Société fictive : Distributex S.A.S., distributeur de matériel industriel basé à Lyon, chiffre d'affaires de 45 M EUR.

Table des matières

Définitions et cadre normatif

Audit continu vs surveillance continue


L'audit continu est votre méthodologie. La surveillance continue est celle du client.
L'audit continu selon ISA 330.8 consiste à utiliser la technologie pour automatiser des procédures d'audit et obtenir des éléments probants de façon répétée. Vous écrivez des scripts qui analysent 100 % des transactions au lieu d'échantillonner. Vous configurez des alertes qui vous signalent les écritures comptables suspectes. C'est votre processus d'audit qui devient continu.
La surveillance continue selon ISA 315.A137 est une composante du contrôle interne. La direction met en place des systèmes qui surveillent l'efficacité des contrôles et détectent les défaillances ou les anomalies en temps quasi-réel. Les dashboards qui alertent le CFO quand les paiements dépassent certains seuils. Les rapports automatiques qui identifient les écritures comptables inhabituelles. C'est le système de contrôle du client qui surveille en continu.

Cadre normatif applicable


ISA 315.A137 précise que la surveillance continue fait partie des activités de surveillance des contrôles internes. Quand vous évaluez le système de contrôle interne selon ISA 315.13, vous devez comprendre comment l'entité surveille ses contrôles, y compris les mécanismes automatisés.
ISA 330.A42 vous permet de vous appuyer sur des contrôles automatisés, y compris les systèmes de surveillance continue, si vous testez leur fonctionnement efficace. Mais ISA 330.8 exige que vous compreniez comment ces contrôles ont été conçus et mis en œuvre.

Comment la surveillance continue affecte votre évaluation des contrôles

Systèmes de surveillance comme contrôles détectifs


Les systèmes de surveillance continue sont généralement des contrôles détectifs, pas préventifs. Ils identifient les problèmes après qu'ils se produisent. ISA 315.A75 classe les contrôles selon leur nature : préventifs (empêchent les erreurs) ou détectifs (détectent les erreurs après coup).
Un système qui bloque automatiquement les paiements au-dessus de 50 000 EUR sans approbation à deux niveaux est préventif. Un dashboard qui génère une alerte quand des paiements inhabituels sont détectés est détectif.
Pour les contrôles détectifs, ISA 315.A76 exige que vous évaluiez si la détection est suffisamment rapide pour permettre une correction avant que les états financiers soient finalisés. Un rapport mensuel qui identifie les écritures suspectes peut être utile. Un rapport trimestriel, moins.

Évaluation de la fiabilité des données


ISA 315.A154 exige que vous compreniez les contrôles généraux informatiques (ITGC) qui supportent les applications sur lesquelles vous comptez. Si le système de surveillance continue analyse des données de l'ERP, vous devez tester les ITGC de cet ERP selon ISA 315.A155.
Quatre domaines d'ITGC selon ISA 315.A156 :
Si les contrôles généraux sont défaillants, la surveillance continue peut manquer des transactions ou générer des faux positifs. ISA 330.10 vous oblige alors à adapter votre stratégie d'audit.

Documentation des systèmes de surveillance


ISA 315.32 exige que vous documentiez votre compréhension du système de contrôle interne. Pour les systèmes de surveillance continue, documentez :

  • Développement et acquisition de programmes
  • Gestion des changements de programmes
  • Accès aux programmes et données
  • Exploitation informatique
  • Quels processus métier sont surveillés
  • Quelles anomalies le système détecte
  • Comment les alertes sont traitées
  • Qui reçoit les rapports et quand
  • Quelle suite est donnée aux anomalies détectées

Stratégie d'audit et technologies de surveillance

Utilisation des données de surveillance dans vos procédures


ISA 500.A37 permet d'utiliser des informations produites par l'entité, y compris les rapports de surveillance continue, comme éléments probants. Mais ISA 500.9 exige que vous évaluiez l'exactitude et l'exhaustivité de ces informations.
Testez la logique de détection. Si le système génère une alerte pour les écritures comptables supérieures à 100 000 EUR, vérifiez qu'une écriture de 99 999 EUR n'a pas déclenché d'alerte et qu'une écriture de 100 001 EUR l'a fait.
Testez l'exhaustivité. Créez une écriture test qui devrait déclencher une alerte selon les paramètres configurés. Vérifiez qu'elle apparaît bien dans les rapports de surveillance.

Adaptation de votre échantillonnage


Si le système de surveillance continue fonctionne efficacement et que vous avez testé sa fiabilité, ISA 530.A14 permet de réduire la taille de vos échantillons. Mais attention : ISA 530.5 exige toujours un échantillon représentatif.
Ne concentrez pas votre échantillonnage uniquement sur les transactions qui ont déclenché des alertes. Cela créerait un biais. Utilisez les alertes comme indicateur de risque, mais maintenez un échantillonnage aléatoire sur la population totale.

Tests substantifs assistés par la surveillance


ISA 520.5 permet d'utiliser des procédures analytiques comme tests substantifs. Les données de surveillance continue peuvent alimenter ces procédures, mais ISA 520.A11 exige que votre attente soit suffisamment précise pour identifier une anomalie significative.
Un ratio calculé automatiquement chaque jour peut révéler des tendances qu'un ratio calculé une fois par an masquerait. Mais vérifiez la cohérence des règles de calcul et la qualité des données sources.

Exemple pratique

Société fictive : Distributex S.A.S., distributeur de matériel industriel basé à Lyon, chiffre d'affaires de 45 M EUR.

Contexte


Distributex a implémenté un système de surveillance continue dans son ERP SAP qui :

Application d'audit étape par étape


Étape 1 . Comprenez le système de surveillance
Documentation : Description du système dans le mémo de compréhension des contrôles internes
Rencontrez le DAF et le responsable IT. Obtenez la documentation des paramètres d'alerte. Identifiez qui configure les seuils et comment les modifications sont approuvées.
Étape 2 . Testez les contrôles généraux informatiques
Documentation : Tests ITGC dans le papier de travail sécurité informatique
Vérifiez les droits d'accès au paramétrage des alertes. Testez le processus de changement des seuils de détection. Confirmez que les logs d'accès sont conservés.
Étape 3 . Testez l'efficacité de la surveillance
Documentation : Tests de fonctionnement des contrôles détectifs
Sélectionnez 10 paiements supérieurs à 25 000 EUR et vérifiez qu'ils ont tous généré une alerte. Sélectionnez 5 paiements de 24 999 EUR et confirmez qu'aucune alerte n'a été générée.
Étape 4 . Utilisez les données de surveillance dans vos tests substantifs
Documentation : Procédures analytiques sur les achats
Analysez les rapports d'écritures inhabituelles des 12 derniers mois. Investigez les 5 alertes les plus importantes. Utilisez cette analyse pour orienter votre sélection d'échantillons sur les achats.
Conclusion : Le système détecte efficacement les paiements non autorisés et fournit une source fiable d'information sur les transactions inhabituelles. Vous pouvez réduire votre échantillonnage sur les achats de 60 à 40 éléments tout en maintenant un niveau d'assurance équivalent.

  • Surveille tous les paiements en temps réel
  • Génère des alertes pour les paiements supérieurs à 25 000 EUR sans double approbation
  • Produit un rapport hebdomadaire des écritures comptables inhabituelles (montants, fournisseurs nouveaux, comptes rarement utilisés)
  • Envoie des notifications au DAF et au directeur commercial

Checklist pratique

  • Inventoriez les systèmes de surveillance continue du client: quels processus sont surveillés, quels paramètres d'alerte sont configurés, qui reçoit les rapports (ISA 315.13)
  • Testez les contrôles généraux informatiques: droits d'accès, gestion des changements, logs d'activité pour tous les systèmes de surveillance utilisés dans votre audit (ISA 315.A155)
  • Validez la logique de détection: testez que les seuils configurés fonctionnent comme prévu avec des transactions réelles au-dessus et en-dessous des limites (ISA 330.8)
  • Évaluez l'exhaustivité des données: créez des transactions test ou utilisez des données historiques pour confirmer que rien n'échappe à la surveillance (ISA 500.9)
  • Documentez votre stratégie d'audit adaptée: comment vous utilisez les données de surveillance, comment cela affecte vos échantillons, quels risques résiduels subsistent (ISA 300.8)
  • Le point capital : Ne remplacez jamais vos procédures d'audit par les contrôles de surveillance du client. Utilisez-les pour orienter et optimiser vos tests, jamais pour les substituer.

Erreurs courantes

Confusion entre audit continu et surveillance continue: l'audit continu est votre méthode, la surveillance continue est le contrôle du client. Ne pas confondre les deux dans votre documentation
Confiance aveugle dans les rapports automatisés: tester la fiabilité des systèmes avant de s'appuyer sur leurs outputs pour réduire les procédures d'audit substantives
Négligence des contrôles généraux informatiques: des ITGC défaillants invalident la fiabilité de toute surveillance automatisée, même si les paramètres métier paraissent corrects

Contenu connexe

• Évaluation du contrôle interne selon ISA 315: comprendre comment intégrer la surveillance continue dans votre évaluation globale des contrôles
Tests de procédures selon ISA 330: méthodologie pour tester l'efficacité des contrôles automatisés de surveillance
• Calculateur de taille d'échantillon ISA 530: ajustez vos échantillons quand vous vous appuyez sur des contrôles de surveillance efficaces

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.