Le règlement DORA (2022/2554) établit un cadre uniforme pour la résilience opérationnelle numérique dans le secteur financier européen. Contrairement aux directives précédentes, DORA s'applique directement sans transposition nationale et concerne plus de 22 000 entités financières dans l'UE.

Table des matières

Comprendre DORA et son impact sur l'audit financier

Le règlement DORA (2022/2554) établit un cadre uniforme pour la résilience opérationnelle numérique dans le secteur financier européen. Contrairement aux directives précédentes, DORA s'applique directement sans transposition nationale et concerne plus de 22 000 entités financières dans l'UE.

Qui est concerné par DORA


DORA s'applique aux établissements de crédit, entreprises d'investissement, entreprises d'assurance, institutions de monnaie électronique, établissements de paiement, gestionnaires d'actifs, contreparties centrales et référentiels centraux. Les filiales européennes d'entités non-européennes entrent également dans le champ d'application.
L'article 2 de DORA définit cinq piliers de conformité : la gouvernance des risques TIC, la gestion des risques TIC, la gestion des incidents liés aux TIC, les tests de résilience opérationnelle numérique, et la surveillance des risques TIC liés aux tiers. Chaque pilier génère des obligations de contrôle interne qui impactent directement l'évaluation selon ISA 315.

Les implications pour l'audit selon ISA 315


ISA 315.21 exige que l'auditeur acquière une compréhension du contrôle interne pertinent pour l'audit. Sous DORA, cette compréhension doit désormais inclure l'évaluation des dispositifs de résilience numérique mis en place par l'entité. Les contrôles DORA ne sont pas optionnels ; ils constituent des exigences réglementaires dont la défaillance peut entraîner des sanctions pouvant atteindre 2 % du chiffre d'affaires annuel.
L'article 5 de DORA impose un cadre de gouvernance incluant une stratégie de résilience opérationnelle numérique approuvée par l'organe de direction. Cette stratégie doit être documentée, révisée au moins annuellement, et inclure une tolérance au risque clairement définie. Pour l'auditeur, cela signifie qu'ISA 315.A94 s'applique : l'absence de documentation appropriée constitue une déficience significative du contrôle interne.

L'évaluation des contrôles DORA selon ISA 315

Identification des risques liés aux contrôles DORA


ISA 315.31 oblige l'auditeur à identifier et évaluer les risques d'anomalies significatives au niveau des assertions. Les contrôles DORA créent de nouveaux risques d'audit dans trois domaines principaux.
Premièrement, les tests de résilience selon l'article 26 de DORA peuvent révéler des vulnérabilités susceptibles d'affecter la continuité d'exploitation. Une banque qui échoue à son test de résistance aux cyberattaques peut voir sa capacité à maintenir ses activités remise en question. ISA 570.A3 exige alors une évaluation spécifique des plans d'atténuation.
Deuxièmement, la classification des incidents selon l'article 19 de DORA génère des obligations de provision. Un incident classé comme "majeur" (critères définis par les normes techniques réglementaires) déclenche une obligation de notification sous 24 heures et peut entraîner des coûts de remédiation substantiels. L'auditeur doit évaluer si ces coûts font l'objet d'une provision selon IAS 37.
Troisièmement, les arrangements avec les fournisseurs TIC tiers critiques créent des risques de concentration. L'article 30 de DORA impose des clauses contractuelles spécifiques et des droits d'audit. L'absence de ces clauses ou leur non-exercice peut constituer un risque d'anomalies significatives dans l'évaluation des risques opérationnels.

Procédures de test des contrôles DORA


ISA 330.8 exige de tester l'efficacité opérationnelle des contrôles sur lesquels l'auditeur s'appuie. Pour les contrôles DORA, cette approche nécessite une adaptation des procédures standard.
Les contrôles de gouvernance selon l'article 5 peuvent être testés par inspection de la documentation. L'auditeur vérifie l'existence d'une stratégie de résilience approuvée, la fréquence des revues du comité d'audit ou du conseil, et la traçabilité des décisions relatives aux investissements TIC. ISA 330.A23 précise que l'inspection seule n'est pas suffisante pour les contrôles impliquant un jugement humain.
Les contrôles de gestion des incidents selon l'article 17 nécessitent des tests de procédures combinés. L'auditeur peut sélectionner un échantillon d'incidents survenus durant l'exercice et vérifier le respect des délais de classification, de notification et de remédiation. La cohérence entre les registres internes et les notifications aux superviseurs constitue un indicateur clé.

Impact sur l'audit des estimations selon ISA 540

Provisions pour risques informatiques sous DORA


DORA génère de nouveaux types de provisions qui entrent dans le champ d'ISA 540. L'article 11 impose aux entités de maintenir des dispositifs de protection, de détection, de confinement, de récupération et de réparation concernant les incidents liés aux TIC. Ces dispositifs génèrent des coûts prévisibles qui doivent faire l'objet d'estimations comptables.
ISA 540.13 exige que l'auditeur comprenne comment la direction a développé ses estimations comptables. Pour les provisions DORA, cette compréhension inclut la méthode d'évaluation des coûts de mise en conformité, les hypothèses sur la fréquence des incidents, et les estimations de coûts de remédiation par type d'incident.
La complexité de l'estimation varie selon la maturité de l'entité. Une banque établie avec un historique d'incidents peut utiliser des données actuarielles. Une fintech récente devra s'appuyer sur des benchmarks sectoriels et des évaluations d'experts. ISA 540.A76 rappelle que l'incertitude d'estimation ne dispense pas l'entité de comptabiliser une provision si les critères d'IAS 37 sont remplis.

Dépréciation des actifs informatiques


L'article 8 de DORA exige une revue régulière de l'adéquation des systèmes TIC aux besoins opérationnels. Cette revue peut révéler des indices de perte de valeur selon IAS 36. Un système dont l'obsolescence est accélérée par les exigences DORA nécessite une évaluation de sa valeur recouvrable.
ISA 540.18 impose à l'auditeur d'évaluer le caractère raisonnable des hypothèses de la direction. Pour un test de dépréciation déclenché par DORA, les hypothèses clés incluent la durée de vie résiduelle du système, les coûts de mise à niveau nécessaires pour la conformité, et les flux de trésorerie futurs générés. L'auditeur peut s'appuyer sur l'expertise d'un spécialiste selon ISA 620 pour valider les aspects techniques.

Exemple pratique : Audit d'une banque sous DORA

Contexte

Banque Européenne Numérique S.A., banque de détail basée à Lyon, 450 salariés, total du bilan 2,8 Md EUR. Premier exercice sous DORA (2025). L'entité a investi 12 M EUR dans la mise en conformité DORA au cours des 18 derniers mois.

Étape 1 : Évaluation de la gouvernance DORA


L'auditeur examine les procès-verbaux du conseil d'administration de janvier à septembre 2025. La stratégie de résilience numérique a été approuvée le 15 mars 2025, avec révision programmée annuellement. Le comité des risques se réunit trimestriellement avec un point dédié aux risques TIC depuis janvier 2025.
Note de documentation : Stratégie conforme à l'article 5 DORA. Gouvernance adaptée. Pas de déficience identifiée au niveau de l'entité selon ISA 315.16.

Étape 2 : Test des contrôles de gestion des incidents


La banque a enregistré 23 incidents TIC en 2025, dont 3 classés comme "majeurs" selon les critères DORA. L'auditeur sélectionne les 3 incidents majeurs plus 5 incidents mineurs pour tester la procédure.
Pour l'incident du 14 juin 2025 (interruption du système de paiement pendant 4 heures), l'auditeur vérifie : classification dans les 6 heures (conforme), notification au superviseur dans les 24 heures (conforme), rapport de remédiation dans les délais (conforme), coûts engagés documentés (85 000 EUR, provisionnés).
Note de documentation : Procédures de gestion des incidents opérationnelles. Tests satisfaisants sur 8 incidents. Base pour s'appuyer sur les contrôles selon ISA 330.

Étape 3 : Audit des provisions DORA


La banque a constitué une provision de 2,1 M EUR pour coûts de conformité DORA 2026, basée sur un plan triennal validé par un consultant externe. La provision couvre les tests de résilience obligatoires (800 000 EUR), la formation du personnel (400 000 EUR), et les améliorations système identifiées (900 000 EUR).
L'auditeur applique ISA 540.18 : examen du plan triennal, validation des coûts unitaires par comparaison avec des prestations similaires, confirmation de l'obligation par lecture des textes réglementaires. Les hypothèses apparaissent raisonnables au regard des dépenses 2024-2025.
Note de documentation : Provision conforme à IAS 37.36. Méthodologie appropriée. Hypothèses raisonnables selon ISA 540.

Étape 4 : Évaluation des risques tiers


La banque s'appuie sur deux fournisseurs TIC critiques : un prestataire de services de paiement et un hébergeur de données. Les contrats ont été amendés en 2025 pour inclure les clauses DORA obligatoires, en particulier les droits d'audit et les obligations de notification.
L'auditeur vérifie la conformité contractuelle et examine les rapports d'audit des fournisseurs reçus en 2025. Les deux fournisseurs ont fourni des attestations de conformité DORA datées de novembre 2025.
Note de documentation : Arrangements tiers conformes à l'article 30 DORA. Pas de concentration excessive identifiée. Surveillance appropriée selon ISA 315.
Conclusion de l'exemple : Les contrôles DORA fonctionnent efficacement. La provision est appropriée. Les risques tiers sont maîtrisés. L'audit peut s'appuyer sur les contrôles mis en place par l'entité pour réduire l'étendue des procédures substantives dans les domaines concernés.

Liste de contrôle pour les missions 2025

  • Vérifier l'applicabilité DORA : Confirmer que l'entité entre dans le champ d'application selon l'article 2. Documenter les filiales concernées et les exclusions éventuelles.
  • Obtenir la stratégie de résilience : Inspecter le document approuvé par l'organe de direction. Vérifier la date d'approbation et la fréquence de révision prévue selon ISA 315.A94.
  • Cartographier les fournisseurs TIC critiques : Identifier les prestataires selon l'article 30 DORA. Vérifier l'existence des clauses contractuelles obligatoires et des rapports de surveillance.
  • Tester la procédure de gestion des incidents : Sélectionner un échantillon d'incidents 2025. Vérifier le respect des délais de classification et de notification selon ISA 330.A23.
  • Auditer les provisions DORA : Évaluer la complétude et l'évaluation des provisions pour coûts de conformité selon ISA 540.13 et IAS 37.
  • Examiner les tests de résilience : Si réalisés durant l'exercice, analyser les résultats et leur impact sur l'évaluation de la continuité d'exploitation selon ISA 570.
  • Documenter les risques identifiés : Évaluer si les déficiences DORA constituent des risques d'anomalies significatives nécessitant une adaptation des procédures selon ISA 315.31.

Erreurs courantes à éviter

  • DORA est une réglementation sectorielle spécifique, pas une évaluation technique des systèmes. L'auditeur évalue la conformité réglementaire, pas la sécurité informatique. Confondre les deux approches oriente les procédures vers des contrôles non pertinents pour l'opinion sur les états financiers.
  • Les tests de résilience DORA génèrent des coûts substantiels (entre 200 000 et 2 M EUR selon la taille). Ces coûts doivent être provisionnés dès que l'obligation est certaine selon IAS 37.14.
  • La supervision des fournisseurs TIC critiques est une obligation DORA distincte de l'évaluation habituelle des prestataires. Les droits d'audit prévus par l'article 30.3 doivent être exercés, pas seulement contractualisés.

Ressources connexes

  • Évaluation des risques selon ISA 315 : Guide complet sur l'identification des risques d'anomalies significatives et l'évaluation du contrôle interne
  • Calculateur de provisions IAS 37 : Outil pour évaluer et documenter les provisions, incluant les nouveaux types de provisions DORA
  • Audit des estimations comptables ISA 540 : Procédures détaillées pour l'audit des estimations complexes et des provisions réglementaires

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.