Table des matières

1. Définitions et cadre normatif 2. Comment la surveillance continue affecte notre évaluation des contrôles 3. Stratégie d'audit et technologies de surveillance 4. Exemple pratique 5. Checklist pratique 6. Erreurs courantes 7. Contenu connexe

Définitions et cadre normatif

Audit continu vs surveillance continue

L'audit continu est notre méthodologie. La surveillance continue est celle du client.

L'audit continu selon ISA 330.8 consiste à utiliser la technologie pour automatiser des procédures d'audit et obtenir des éléments probants de façon répétée. Nous écrivons des scripts qui analysent 100 % des transactions au lieu d'échantillonner. Nous configurons des alertes qui signalent les écritures comptables suspectes. C'est notre processus d'audit qui devient continu.

La surveillance continue selon ISA 315.A137 est une composante du contrôle interne. La direction met en place des systèmes qui surveillent l'efficacité des contrôles et détectent les défaillances en temps quasi-réel. Les dashboards qui alertent le DAF quand les paiements dépassent certains seuils. Les rapports automatiques qui identifient les écritures comptables inhabituelles. C'est le système de contrôle du client qui surveille en continu.

Cadre normatif applicable

ISA 315.A137 précise que la surveillance continue fait partie des activités de surveillance des contrôles internes. Quand nous évaluons le système de contrôle interne selon ISA 315.13, nous devons comprendre comment l'entité surveille ses contrôles, y compris les mécanismes automatisés.

ISA 330.A42 nous permet de nous appuyer sur des contrôles automatisés, y compris les systèmes de surveillance continue, si nous testons leur fonctionnement efficace. Mais ISA 330.8 exige que nous comprenions comment ces contrôles ont été conçus et mis en oeuvre.

Comment la surveillance continue affecte notre évaluation des contrôles

Systèmes de surveillance comme contrôles détectifs

Les systèmes de surveillance continue ne sont pas des contrôles préventifs. Ce sont des contrôles détectifs : ils identifient les problèmes après qu'ils se produisent. ISA 315.A75 classe les contrôles selon leur nature : préventifs (empêchent les erreurs) ou détectifs (détectent les erreurs après coup).

Un système qui bloque automatiquement les paiements au-dessus de 50 000 EUR sans approbation à deux niveaux est préventif. Un dashboard qui génère une alerte quand des paiements inhabituels sont détectés est détectif.

Pour les contrôles détectifs, ISA 315.A76 exige que nous évaluions si la détection est suffisamment rapide pour permettre une correction avant que les états financiers soient finalisés. Un rapport mensuel qui identifie les écritures suspectes peut être utile. Un rapport trimestriel, moins.

Évaluation de la fiabilité des données

ISA 315.A154 exige que nous comprenions les contrôles généraux informatiques (ITGC) qui supportent les applications sur lesquelles nous comptons. Si le système de surveillance continue analyse des données de l'ERP, nous devons tester les ITGC de cet ERP selon ISA 315.A155.

Les quatre domaines d'ITGC selon ISA 315.A156 : - Développement et acquisition de programmes - Gestion des changements de programmes - Accès aux programmes et données - Exploitation informatique

Si les contrôles généraux sont défaillants, la surveillance continue peut manquer des transactions ou générer des faux positifs. ISA 330.10 nous oblige alors à adapter la stratégie d'audit. Dans les dossiers que nous voyons, c'est le scénario le plus fréquent : le client a un beau dashboard mais les ITGC sous-jacents ne tiennent pas la route.

Documentation des systèmes de surveillance

ISA 315.32 exige que nous documentions notre compréhension du système de contrôle interne. Pour les systèmes de surveillance continue, nous documentons :

- Quels processus métier sont surveillés et quelles anomalies le système détecte - Comment les alertes sont traitées - Qui reçoit les rapports et quand - Quelle suite est donnée aux anomalies détectées

Stratégie d'audit et technologies de surveillance

Utilisation des données de surveillance dans nos procédures

ISA 500.A37 permet d'utiliser des informations produites par l'entité, y compris les rapports de surveillance continue, comme éléments probants. Mais ISA 500.9 exige que nous évaluions l'exactitude et l'exhaustivité de ces informations.

Nous testons d'abord la logique de détection. Si le système génère une alerte pour les écritures comptables supérieures à 100 000 EUR, nous vérifions qu'une écriture de 99 999 EUR n'a pas déclenché d'alerte et qu'une écriture de 100 001 EUR l'a fait.

Nous testons ensuite l'exhaustivité. Nous créons une écriture test qui devrait déclencher une alerte selon les paramètres configurés. Si elle n'apparaît pas dans les rapports de surveillance, le système est une usine à gaz qui donne une fausse impression de couverture.

Adaptation de l'échantillonnage

Si le système de surveillance continue fonctionne efficacement et que nous avons testé sa fiabilité, ISA 530.A14 permet de réduire la taille de nos échantillons. Mais ISA 530.5 exige toujours un échantillon représentatif.

Personne n'aime cette procédure, mais concentrer l'échantillonnage uniquement sur les transactions qui ont déclenché des alertes créerait un biais. Nous utilisons les alertes comme indicateur de risque, mais nous maintenons un échantillonnage aléatoire sur la population totale.

Tests substantifs assistés par la surveillance

ISA 520.5 permet d'utiliser des procédures analytiques comme tests substantifs. Les données de surveillance continue peuvent alimenter ces procédures, mais ISA 520.A11 exige que notre attente soit suffisamment précise pour identifier une anomalie significative.

Un ratio calculé automatiquement chaque jour peut révéler des tendances qu'un ratio calculé une fois par an masquerait. Nous vérifions la cohérence des règles de calcul et la qualité des données sources avant de nous appuyer dessus.

Exemple pratique

Distributex S.A.S. est un distributeur de matériel industriel basé à Lyon, avec un chiffre d'affaires de 45 M EUR.

Contexte

Distributex a implémenté un système de surveillance continue dans son ERP SAP qui : - Surveille tous les paiements en temps réel - Génère des alertes pour les paiements supérieurs à 25 000 EUR sans double approbation - Produit un rapport hebdomadaire des écritures comptables inhabituelles (montants, fournisseurs nouveaux) - Envoie des notifications au DAF et au directeur commercial

Etape 1 : comprendre le systeme de surveillance

Documentation : description du système dans le mémo de compréhension des contrôles internes

Nous rencontrons le DAF et le responsable IT. Nous obtenons la documentation des paramètres d'alerte et identifions qui configure les seuils et comment les modifications sont approuvées.

Etape 2 : tester les ITGC

Documentation : tests ITGC dans le papier de travail sécurité informatique

Nous vérifions les droits d'accès au paramétrage des alertes et testons le processus de changement des seuils de détection. Nous confirmons que les logs d'accès sont conservés.

Etape 3 : tester l'efficacité de la surveillance

Documentation : tests de fonctionnement des contrôles détectifs

Nous sélectionnons 10 paiements supérieurs à 25 000 EUR et vérifions qu'ils ont tous généré une alerte. Nous sélectionnons 5 paiements de 24 999 EUR et confirmons qu'aucune alerte n'a été générée.

Etape 4 : utiliser les données dans nos tests substantifs

Documentation : procédures analytiques sur les achats

Nous analysons les rapports d'écritures inhabituelles des 12 derniers mois et investiguons les 5 alertes les plus importantes. Cette analyse oriente notre sélection d'échantillons sur les achats. Le résultat sur ce dossier : nous réduisons l'échantillonnage sur les achats de 60 à 40 éléments tout en maintenant un niveau d'assurance équivalent.

Checklist pratique

1. Inventorier les systèmes de surveillance continue du client : quels processus sont surveillés, quels paramètres d'alerte sont configurés, qui reçoit les rapports, quelle fréquence de remontée (ISA 315.13).

2. Tester les ITGC : droits d'accès, gestion des changements, logs d'activité, exploitation informatique pour tous les systèmes de surveillance utilisés dans l'audit (ISA 315.A155).

3. Valider la logique de détection : tester que les seuils configurés fonctionnent comme prévu avec des transactions réelles au-dessus et en-dessous des limites (ISA 330.8).

4. Evaluer l'exhaustivité des données : créer des transactions test ou utiliser des données historiques pour confirmer que rien n'échappe à la surveillance (ISA 500.9).

5. Documenter la stratégie d'audit adaptée : comment nous utilisons les données de surveillance et comment cela affecte nos échantillons (ISA 300.8).

6. Ne jamais remplacer nos procédures d'audit par les contrôles de surveillance du client. Nous les utilisons pour orienter et affiner nos tests, jamais pour les substituer.

Erreurs courantes

Contenu connexe

- Évaluation du contrôle interne selon ISA 315: comprendre comment intégrer la surveillance continue dans l'évaluation globale des contrôles

- Tests de procédures selon ISA 330: méthodologie pour tester l'efficacité des contrôles automatisés de surveillance

- Calculateur de taille d'échantillon ISA 530: ajuster les échantillons quand nous nous appuyons sur des contrôles de surveillance efficaces

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.