Table des matières

- Comprendre DORA et son impact sur l'audit financier - L'évaluation des contrôles DORA selon ISA 315 - Impact sur l'audit des estimations selon ISA 540 - Exemple pratique : audit d'une banque sous DORA - Liste de contrôle pour les missions 2025 - Erreurs courantes à éviter - Ressources connexes

Comprendre DORA et son impact sur l'audit financier

Le règlement DORA (2022/2554) n'est pas une directive de plus à transposer. Il s'applique directement dans les 27 États membres depuis le 17 janvier 2025, et il couvre plus de 22 000 entités financières, des grands groupes bancaires cotés jusqu'aux établissements de paiement que personne n'inspecte habituellement. Les collaborateurs qui sortent du cursus d'audit classique découvrent un texte qui parle autant gouvernance que contrats, autant systèmes d'information qu'états financiers. Pour moi, c'est la première vraie convergence entre audit financier et audit des TIC depuis ISA 315 révisée.

Qui est concerné par DORA

L'article 2 de DORA vise les établissements de crédit, les entreprises d'investissement, les entreprises d'assurance, les institutions de monnaie électronique, les établissements de paiement, les gestionnaires d'actifs et les infrastructures de marché (contreparties centrales, référentiels). Les filiales européennes d'entités non-européennes entrent aussi dans le champ, ce qui surprend une partie des groupes américains qui pensaient pouvoir externaliser la question à leur maison mère.

Le même article 2 structure la conformité en cinq piliers : gouvernance TIC, gestion des risques TIC, gestion des incidents, tests de résilience, surveillance des tiers critiques. Chaque pilier génère des obligations de contrôle interne qui atterrissent directement sur notre évaluation ISA 315.

Les implications pour l'audit selon ISA 315

Ce que la norme dit. ISA 315.21 nous demande d'acquérir une compréhension du contrôle interne pertinent pour l'audit, et ISA 315.A94 précise que l'absence de documentation appropriée constitue une déficience significative. Sous DORA, la résilience numérique devient partie intégrante de ce périmètre : les contrôles ne sont pas optionnels, leur défaillance expose l'entité à des sanctions jusqu'à 2 % du chiffre d'affaires annuel, et le commissaire aux comptes qui passe à côté s'expose à un constat H2A au prochain contrôle de qualité.

Ce qui se passe en pratique. Dans quatre dossiers sur huit que nous avons revus, la « stratégie de résilience numérique » prévue à l'article 5 existe sur papier mais n'a jamais été présentée à l'organe de direction avec une tolérance au risque chiffrée. C'est du tampon. L'article 5 exige une approbation formelle, une révision au moins annuelle, et une tolérance au risque clairement définie. Un document signé en mars dont personne ne peut citer les seuils en septembre ne remplit aucune de ces conditions.

L'évaluation des contrôles DORA selon ISA 315

Identification des risques liés aux contrôles DORA

ISA 315.31 nous oblige à identifier les risques d'anomalies significatives au niveau des assertions. Trois zones méritent une attention particulière sous DORA, et elles sortent toutes du périmètre IT classique.

D'abord, les tests de résilience de l'article 26. Quand une banque échoue à un scénario de cyberattaque et que le rapport atterrit en décembre, la question n'est plus technique : c'est ISA 570.A3 qui s'applique, et il faut évaluer l'impact sur les plans de continuité. Un test raté sans plan d'atténuation documenté est, pour moi, un indicateur de risque sur la continuité d'exploitation au même titre qu'une rupture de covenant bancaire.

Ensuite, la classification des incidents de l'article 19. Un incident qualifié de « majeur » selon les critères des normes techniques réglementaires déclenche une notification sous 24 heures et peut générer des coûts de remédiation substantiels. La norme IAS 37 s'applique dès que l'obligation devient certaine. La question pour l'auditeur : la provision reflète-t-elle le coût réel, ou la direction a-t-elle chiffré au doigt mouillé pour éviter un ajustement qui dégraderait le résultat ?

Enfin, les arrangements avec les fournisseurs TIC tiers critiques (article 30). Les clauses contractuelles DORA sont spécifiques : droit d'audit, obligation de notification, clauses de sortie. L'absence d'une clause ou sa non-exécution constitue un risque d'anomalie significative sur l'évaluation des risques opérationnels, et pas seulement un point de conformité juridique.

Procédures de test des contrôles DORA

ISA 330.8 exige de tester l'efficacité opérationnelle des contrôles sur lesquels nous nous appuyons. Pour DORA, l'inspection seule ne suffit pas, et ISA 330.A23 le dit clairement dès qu'un jugement humain intervient.

Pour les contrôles de gouvernance de l'article 5, nous vérifions l'existence de la stratégie de résilience approuvée, la fréquence des revues du comité d'audit ou du conseil, et la traçabilité des décisions d'investissement TIC. Un procès-verbal qui mentionne « point DORA évoqué » sans trace de décision ne constitue pas une preuve d'efficacité.

Pour les contrôles de gestion des incidents (article 17), nous combinons inspection et réexécution. Sélection d'un échantillon d'incidents sur l'exercice, vérification des délais de classification, de notification et de remédiation. La cohérence entre les registres internes et les notifications aux superviseurs est l'indicateur qui révèle le plus souvent la défaillance : quand les deux journaux divergent, soit l'entité sous-notifie, soit elle surclasse pour paraître transparente.

Impact sur l'audit des estimations selon ISA 540

Provisions pour risques informatiques sous DORA

DORA crée des types de provisions qui n'existaient pas dans le référentiel antérieur, et qui entrent directement dans le champ d'ISA 540. L'article 11 impose des dispositifs de protection, de détection, de confinement et de récupération. Ces dispositifs génèrent des coûts prévisibles qui doivent faire l'objet d'estimations comptables.

ISA 540.13 nous demande de comprendre comment la direction a développé ses estimations. Pour les provisions DORA, cela inclut la méthode d'évaluation des coûts de mise en conformité, les hypothèses sur la fréquence des incidents, et les estimations de coûts de remédiation par type d'incident.

Ici commence la zone grise. Une banque établie avec dix ans d'historique d'incidents peut utiliser des données actuarielles, et nous avons une base solide pour challenger. Une fintech récente s'appuie sur des benchmarks sectoriels et des avis d'experts, et c'est là que l'associé A et l'associé B divergent : A accepte l'estimation si elle est cohérente avec un échantillon de pairs, parce que ISA 540.A76 reconnaît l'incertitude d'estimation dans les obligations nouvelles. B refuse de signer sans sensibilité chiffrée, parce qu'une fourchette est faisable même sans historique, et qu'une estimation ponctuelle sans fourchette est une décision cachée. Dans notre cabinet, nous avons tranché pour la position B, parce qu'un dossier qui ne documente pas la fourchette ne tient pas sous revue H2A.

Dépréciation des actifs informatiques

L'article 8 de DORA impose une revue régulière de l'adéquation des systèmes aux besoins opérationnels. Cette revue peut révéler des indices de perte de valeur au sens d'IAS 36. Un système dont l'obsolescence est accélérée par les exigences DORA nécessite une évaluation de sa valeur recouvrable.

Ce qui se passe en pratique : les systèmes mis en cause par DORA sont souvent les plus anciens, les plus coûteux à remplacer, et les plus défendus en interne par les collaborateurs qui les ont construits. Un test de dépréciation déclenché par DORA est rarement neutre politiquement. ISA 540.18 nous oblige à évaluer le caractère raisonnable des hypothèses. Nous nous appuyons sur ISA 620 pour la partie technique, parce que la durée de vie résiduelle d'un système que les équipes connaissent depuis 15 ans n'est pas une question comptable, c'est une question d'ingénierie, et aucun CAC généraliste ne peut la trancher seul.

Exemple pratique : audit d'une banque sous DORA

Contexte : Banque Européenne Numérique S.A., banque de détail basée à Lyon, 450 salariés, total du bilan 2,8 milliards d'euros. Premier exercice sous DORA (2025). L'entité a investi 12 millions d'euros dans la mise en conformité DORA au cours des 18 derniers mois.

évaluation de la gouvernance DORA

Nous examinons les procès-verbaux du conseil d'administration de janvier à septembre 2025. La stratégie de résilience numérique a été approuvée le 15 mars 2025, avec révision programmée annuellement. Le comité des risques se réunit trimestriellement, avec un point dédié aux risques TIC depuis janvier 2025.

Note de documentation : stratégie conforme à l'article 5 DORA. Gouvernance adaptée. Pas de déficience identifiée au niveau de l'entité selon ISA 315.16.

test des contrôles de gestion des incidents

La banque a enregistré 23 incidents TIC en 2025, dont 3 classés « majeurs » selon les critères DORA. Nous sélectionnons les 3 incidents majeurs et 5 incidents mineurs pour tester la procédure.

Pour l'incident du 14 juin 2025 (interruption du système de paiement pendant 4 heures), nous vérifions : classification dans les 6 heures (conforme), notification au superviseur dans les 24 heures (conforme), rapport de remédiation dans les délais (conforme), coûts engagés documentés (85 000 euros, provisionnés).

Complication rencontrée en cours de mission. Pour l'incident du 22 août 2025 (intrusion sur un environnement de test exposé à Internet), le registre interne classe l'événement comme « mineur ». Le prestataire tiers critique, lui, l'a notifié à son propre superviseur comme « incident significatif ». Les deux journaux divergent. Le client nous explique que le prestataire a sur-classé par prudence contractuelle, et que la classification interne est la bonne parce que l'environnement de test ne contenait pas de données clients. Nous ne sommes pas d'accord. La définition de « majeur » à l'article 19 ne dépend pas de la sensibilité des données exposées mais du périmètre de l'incident. Nous demandons un reclassement, ou à défaut une note technique du RSSI justifiant la divergence. Le client reclasse. La provision passe de 0 à 145 000 euros. C'est le type de constat qui ne se trouve pas par inspection de document : il faut croiser deux sources.

Note de documentation : procédures de gestion des incidents opérationnelles après reclassement. Tests satisfaisants sur 8 incidents (dont 1 reclassé). Base pour s'appuyer sur les contrôles selon ISA 330.

audit des provisions DORA

La banque a constitué une provision de 2,1 millions d'euros pour coûts de conformité DORA 2026, basée sur un plan triennal validé par un consultant externe. La provision couvre les tests de résilience obligatoires (800 000 euros), la formation du personnel (400 000 euros), et les améliorations système identifiées (900 000 euros).

Nous appliquons ISA 540.18 : examen du plan triennal, validation des coûts unitaires par comparaison avec des prestations similaires observées sur deux autres mandats du cabinet, confirmation de l'obligation par lecture des textes réglementaires. Les hypothèses apparaissent raisonnables au regard des dépenses 2024-2025.

Note de documentation : provision conforme à IAS 37.36. Méthodologie appropriée. Hypothèses raisonnables selon ISA 540.

évaluation des risques tiers

La banque s'appuie sur deux fournisseurs TIC critiques (un prestataire de services de paiement et un hébergeur de données). Les contrats ont été amendés en 2025 pour inclure les clauses DORA obligatoires, notamment les droits d'audit et les obligations de notification.

Nous vérifions la conformité contractuelle et examinons les rapports d'audit des fournisseurs reçus en 2025. Les deux fournisseurs ont fourni des attestations de conformité DORA datées de novembre 2025. Point de vigilance : aucune des deux attestations ne porte sur l'environnement de production du client. Nous demandons un rapport ISAE 3402 Type II sur le périmètre utilisé, reçu en décembre avec des exceptions mineures acceptables.

Note de documentation : arrangements tiers conformes à l'article 30 DORA. Pas de concentration excessive identifiée. Surveillance appropriée selon ISA 315, moyennant obtention du rapport ISAE 3402 complémentaire.

Conclusion de l'exemple. Après reclassement de l'incident d'août et obtention des rapports ISAE complémentaires, les contrôles DORA fonctionnent effectivement. La provision est appropriée. Les risques tiers sont maîtrisés. L'audit peut s'appuyer sur les contrôles mis en place par l'entité, ce qui réduit l'étendue des procédures substantives dans les domaines concernés. Pour les deux sur huit des autres dossiers 2025 où la divergence de classification n'a pas été résolue, nous avons modifié l'approche vers une stratégie substantive pure, avec l'impact budgétaire qui en découle.

Liste de contrôle pour les missions 2025

1. Vérifier l'applicabilité DORA. Confirmez que l'entité entre dans le champ d'application selon l'article 2. Documentez les filiales concernées et les exclusions éventuelles.

2. Obtenir la stratégie de résilience. Inspectez le document approuvé par l'organe de direction. Vérifiez la date d'approbation, la fréquence de révision, et l'existence d'une tolérance au risque chiffrée selon ISA 315.A94.

3. Cartographier les fournisseurs TIC critiques. Identifiez les prestataires relevant de l'article 30 DORA. Vérifiez l'existence des clauses contractuelles obligatoires et des rapports de surveillance, y compris le périmètre couvert par les attestations reçues.

4. Tester la procédure de gestion des incidents. Sélectionnez un échantillon d'incidents 2025 couvrant les catégories majeur et mineur. Croisez systématiquement registre interne et notifications aux tiers pour détecter les divergences de classification selon ISA 330.A23.

5. Auditer les provisions DORA. Évaluez la complétude et l'évaluation des provisions pour coûts de conformité selon ISA 540.13 et IAS 37. Exigez une fourchette de sensibilité pour les estimations sans historique.

6. Examiner les tests de résilience. Si réalisés durant l'exercice, analysez les résultats et leur impact sur l'évaluation de la continuité d'exploitation selon ISA 570.

7. Documenter les risques identifiés. Évaluez si les déficiences DORA constituent des risques d'anomalies significatives nécessitant une adaptation des procédures selon ISA 315.31.

Erreurs courantes à éviter

- Confondre conformité DORA et audit des contrôles généraux informatiques. DORA est une réglementation sectorielle spécifique, pas une évaluation technique des systèmes. Nous évaluons la conformité réglementaire et son impact sur le contrôle interne financier, pas la sécurité informatique au sens strict. - Sous-estimer les provisions liées aux tests de résilience. Les tests DORA génèrent des coûts substantiels (entre 200 000 et 2 millions d'euros selon la taille de l'entité). Ces coûts doivent être provisionnés dès que l'obligation devient certaine, pas au moment du décaissement. - Négliger les risques tiers. La surveillance des fournisseurs TIC critiques est une obligation DORA distincte de l'évaluation habituelle des prestataires. Les droits d'audit doivent être exercés, pas seulement contractualisés. Un droit d'audit jamais exercé sur trois exercices consécutifs est un signal que les Bigs relèvent systématiquement en revue indépendante.

Un dernier point que nous voyons sous-traité presque partout. L'incitation perverse structurelle est la suivante : les équipes d'audit sont budgétées sur des heures IT historiques, alors que DORA exige un effort qui n'existait pas dans les référentiels de budgétisation. Résultat, la tentation de traiter DORA comme une checklist documentaire plutôt que comme un risque à auditer. Je l'avoue : sur notre premier mandat 2025, nous avons sous-budgété de 40 % l'effort de test des contrôles DORA. Le bon réflexe n'est pas de vider la démarche pour tenir le budget. C'est de renégocier le budget en expliquant que DORA a déplacé la frontière du contrôle interne pertinent pour l'audit. Les confrères qui ne font pas cette conversation aujourd'hui la feront dans deux ans face à un constat H2A.

Ressources connexes

- Évaluation des risques selon ISA 315 : guide complet sur l'identification des risques d'anomalies significatives et l'évaluation du contrôle interne - Calculateur de provisions IAS 37 : outil pour évaluer et documenter les provisions, incluant les nouveaux types de provisions DORA - Audit des estimations comptables ISA 540 : procédures détaillées pour l'audit des estimations complexes et des provisions réglementaires

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.