Table des matières

1. Pourquoi l'audit cloud diffère de l'audit traditionnel 2. Contrôles d'accès et autorisation selon l'ISA 315 3. Tests d'intégrité des données et pistes d'audit 4. Exemple pratique : Audit d'une PME sur Xero 5. Checklist des procédures cloud incontournables 6. Erreurs fréquentes dans l'audit cloud 7. Ressources connexes

Pourquoi l'audit cloud diffère de l'audit traditionnel

L'ISA 315.13 exige que le CAC comprenne les contrôles informatiques pertinents pour l'audit. Dans un environnement de bureau traditionnel, ces contrôles sont visibles et documentés : serveurs physiques, accès aux fichiers, sauvegardes sur site. Le cloud change deux choses pour nous.

Premier changement, les données financières résident sur des serveurs externes. Nous ne pouvons pas inspecter physiquement le système ni vérifier les contrôles de sauvegarde. L'ISA 402.8 s'applique si le fournisseur cloud héberge des applications qui traitent les transactions financières du client. Xero, QuickBooks Online et Sage Business Cloud entrent dans cette catégorie. Les utilisateurs accèdent aux données depuis n'importe où avec une connexion internet. Les contrôles d'accès traditionnels (bureau verrouillé, poste de travail unique) n'existent plus. Un salarié peut poster une écriture depuis un café à Barcelone avec les mêmes droits qu'au siège social. L'ISA 315.A94 mentionne l'importance des contrôles d'accès dans les environnements IT complexes.

Deuxième changement, la synchronisation automatique remplace la saisie manuelle. Les transactions remontent directement depuis les systèmes de point de vente, les banques et les plateformes de commerce électronique. Cette automatisation réduit les erreurs de saisie mais crée de nouveaux risques de complétude et d'exactitude que l'ISA 240.A28 identifie dans les environnements hautement automatisés.

Ces changements ne modifient pas vos objectifs d'audit. Ils modifient les procédures nécessaires pour les atteindre.

Contrôles d'accès et autorisation selon l'ISA 315

L'ISA 315.21 oblige le CAC à identifier les contrôles pertinents pour l'audit. Dans un système cloud, les contrôles d'accès deviennent la première ligne de défense contre les erreurs et les fraudes.

Qui peut modifier quoi et depuis où

Documentez chaque utilisateur actif dans le système comptable cloud. Ne vous contentez pas de la liste que fournit la direction. Connectez-vous avec les droits administrateur et exportez le rapport d'utilisateurs complet. Vérifiez :

- Le nombre d'utilisateurs actifs versus les salariés autorisés - Les niveaux de permission de chaque utilisateur (lecture seule, saisie, approbation, administrateur) - Les dates de dernière connexion et les comptes inactifs restés ouverts - Les restrictions géographiques ou temporelles éventuelles

L'ISA 315.A127 souligne que les contrôles d'accès inadéquats peuvent permettre des modifications non autorisées. Chez l'un de nos clients de 150 personnes, QuickBooks Online comptait 23 utilisateurs actifs pour une équipe comptable de 4 personnes. Les 19 comptes supplémentaires appartenaient à d'anciens salariés ou à des consultants externes qui conservaient un accès complet.

Tests de séparation des fonctions

Les systèmes cloud permettent souvent une séparation des fonctions plus granulaire que les logiciels de bureau. Xero distingue les droits de saisie, d'approbation et de clôture mensuelle. QuickBooks Online sépare la création de factures, l'enregistrement des paiements et la réconciliation bancaire.

Testez cette séparation en sélectionnant un échantillon d'écritures et en traçant qui les a saisies, qui les a approuvées, et qui peut les modifier. L'ISA 265.A6 définit les déficiences de contrôle interne qui méritent communication à la direction. Un salarié capable de créer des factures et d'enregistrer les paiements clients présente un risque de détournement.

Authentification à deux facteurs et politiques de mot de passe

L'authentification à deux facteurs (2FA) devient un contrôle compensatoire quand la séparation des fonctions physiques disparaît. Si le client n'active pas le 2FA, documentez ce choix comme une déficience de contrôle dans le mémorandum de planification.

Vérifiez les paramètres de sécurité du système : expiration des mots de passe, complexité requise, verrouillage après tentatives échouées, sessions simultanées autorisées. Ces contrôles préventifs réduisent le risque d'accès non autorisé que l'ISA 240.A41 identifie comme un facteur de risque de fraude.

Tests d'intégrité des données et pistes d'audit

L'ISA 500.7 exige que le CAC évalue la fiabilité des informations utilisées comme éléments probants. Les données cloud ajoutent une couche de complexité : nous devons vérifier non seulement l'exactitude des soldes, mais aussi l'intégrité du processus de stockage et de récupération.

Vérification des sauvegardes automatiques

Les systèmes cloud sauvegardent automatiquement, mais à quelle fréquence et avec quelle granularité ? Xero sauvegarde en continu. QuickBooks Online sauvegarde toutes les heures. Sage Business Cloud varie selon l'abonnement. Obtenez ces détails du fournisseur ou de la documentation technique du client.

Testez la récupération en demandant au client de générer un rapport à une date antérieure spécifique. Si le système ne peut pas reproduire un état historique précis, vous avez identifié une limitation dans les éléments probants. L'ISA 500.A31 mentionne que les limitations dans la disponibilité des informations peuvent affecter la nature et l'étendue des procédures.

Journaux d'audit et pistes de révision

Chaque système cloud maintient un journal des modifications, mais avec des niveaux de détail variables. Le journal doit capturer :

- Qui a effectué chaque modification - Quand la modification a eu lieu - Quelles données ont changé (avant et après) - Depuis quelle adresse IP ou quel appareil

Exportez ce journal pour la période auditée. Recherchez les écritures postées en dehors des heures de bureau, les modifications en lot importantes ou les ajustements effectués par des utilisateurs inattendus. L'ISA 240.A47 suggère d'examiner les journaux d'écritures pour identifier les ajustements inhabituels.

Si le journal ne capture pas suffisamment de détails pour permettre une piste d'audit claire, documentez cette limitation. Vous devrez peut-être étendre les tests substantifs pour compenser l'affaiblissement des contrôles de piste.

Intégrations automatiques et flux de données

Les systèmes cloud excellent dans l'intégration avec d'autres applications : banques, processeurs de paiement, systèmes de point de vente, plateformes de commerce électronique. Chaque intégration crée un point de données automatisées qui contourne les contrôles manuels traditionnels.

Identifiez chaque flux automatique. Pour chacun, documentez :

- La source des données (Stripe, PayPal, système bancaire) - La fréquence de synchronisation (temps réel, quotidienne, hebdomadaire) - Les champs de données transmis - Les contrôles de validation côté réception

Testez l'exactitude en sélectionnant un échantillon de transactions du système source et en les traçant jusqu'aux écritures comptables. L'ISA 330.18 exige des tests de détail pour les assertions où les contrôles sont insuffisants. Les flux automatisés non testés entrent souvent dans cette catégorie. Le budget temps alloué à ces contrôles est presque toujours sous-évalué dans les dossiers que nous voyons.

Exemple pratique : Audit d'une PME sur Xero

> Contexte client : Rousseau Électricité SARL, installateur électrique basé à Lyon, 12 employés, 2,4 M EUR de chiffre d'affaires. Migration sur Xero Business il y a 18 mois. Intégrations actives avec Stripe (paiements en ligne) et BNP Paribas (flux bancaires).

Évaluation des contrôles d'accès

Connexion avec les droits administrateur fournis par le dirigeant. Export du rapport utilisateur complet via Paramètres > Utilisateurs et organisations.

Constatation : 8 utilisateurs actifs pour une équipe de 3 personnes (dirigeant, comptable, secrétaire). Les 5 comptes supplémentaires incluent l'ancien comptable (parti il y a 6 mois) et un consultant IT avec droits administrateur complets.

Note de documentation : Déficience de contrôle identifiée. Recommandation de désactivation immédiate des comptes non utilisés. Révision trimestrielle des droits d'accès à mettre en place.

Test des séparations de fonctions

Sélection d'un échantillon de 25 factures émises en novembre. Vérification via Rapports > Journal général détaillé.

Constatation : Le dirigeant crée les factures et enregistre les règlements clients. La comptable effectue les rapprochements bancaires mais peut également modifier les factures validées.

Note de documentation : Séparation des fonctions insuffisante. Contrôles compensatoires à identifier (approbations, revues hebdomadaires). Extension des tests substantifs sur les créances clients.

Intégrité des flux automatiques Stripe

Test de 15 transactions Stripe du 15 novembre. Comparaison entre le tableau de bord Stripe et les écritures Xero correspondantes.

Constatation : Synchronisation quotidienne à minuit. Toutes les transactions tracées correctement. Les frais Stripe (2,9% + 0,25 EUR) comptabilisés automatiquement en charges financières. Un décalage de 2 jours entre l'encaissement client et le virement bancaire, reflété correctement dans le compte d'attente Stripe.

Note de documentation : Flux automatique fiable. Contrôles de rapprochement mensuel Stripe/Xero documentés et testés satisfaisants.

Vérification des sauvegardes et récupération

Demande de génération d'un bilan au 31 octobre, puis au 15 octobre pour tester la granularité historique.

Constatation : Xero reconstitue les états historiques sans problème. Journal d'audit disponible depuis la mise en service. Aucune limitation technique identifiée pour les éléments probants.

Note de documentation : Intégrité des données historiques confirmée. Pas de limitation sur la disponibilité des éléments probants.

Conclusion de la mission : Contrôles d'accès déficients mais flux de données fiables. Plan d'audit ajusté avec extension des tests substantifs sur les cycles ventes-clients et achats-fournisseurs pour compenser l'absence de séparation des fonctions. Recommandations de gestion communiquées pour la désactivation des comptes et la révision des droits.

Checklist des procédures cloud incontournables

1. Obtenir la liste complète des utilisateurs actifs avec leurs niveaux de permission depuis l'interface administrateur du système (ISA 315.13). Ne pas se fier uniquement aux déclarations de la direction.

2. Exporter le journal d'audit complet pour la période sous revue. Vérifier qu'il capture qui, quand, quoi et depuis où pour chaque modification (ISA 500.7).

3. Identifier et tester chaque intégration automatique (source, fréquence, champs transmis, contrôles de validation). Tracer un échantillon de la source au système comptable (ISA 330.18).

4. Vérifier la capacité de récupération historique en générant des rapports à différentes dates. Documenter toute limitation comme restriction sur les éléments probants (ISA 500.A31).

5. Évaluer les contrôles de sécurité (authentification à deux facteurs, politique de mots de passe, verrouillage des comptes, restrictions géographiques) selon l'ISA 315.A127.

6. L'accès administrateur est requis pour une évaluation complète des contrôles. Sans cet accès, vous ne pouvez pas évaluer l'environnement de contrôle selon la NEP 315.

Erreurs fréquentes dans l'audit cloud

- Traiter les systèmes cloud comme des logiciels de bureau en ignorant les contrôles d'accès distants et les intégrations automatiques. L'environnement de contrôle n'a plus grand-chose à voir.

- Accepter les listes d'utilisateurs fournies par la direction sans vérification indépendante. Les comptes inactifs ou les droits excessifs passent souvent inaperçus dans les déclarations de gestion.

- Négliger de tester la récupération des données historiques avant de s'appuyer sur les rapports générés par le système pour les éléments probants.

Ressources connexes

- Calculateur de matérialité ISA 320 - Ajustez vos seuils selon l'environnement de contrôle cloud identifié - Guide des contrôles informatiques ISA 315 - Évaluation complète des contrôles IT dans les environnements mixtes - Checklist d'évaluation des risques ISA 240 - Points de contrôle spécifiques aux environnements cloud pour la détection de fraude

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.