Exécution de votre audit

Les fiches de travail de l'audit représentent la principale preuve documentaire du test de l'audit, des discussions et des observations. La gestion des fiches de travail doit être centralisée, automatisée et en temps réel afin de garantir immédiatement la transparence et un suivi continu de l'audit. Cet article aborde comment exécuter un audit à l'aide de l'application Projets.

Cet article explique comment exécuter un audit à l'aide d'un flux de travail de plan de travail, utile pour les équipes et les fonctions d'audit de petite et moyenne taille. Le flux de travail mis en évidence dans cet article convient aux audits simples, qui se composent d'une série d'étapes ou de procédures que l'équipe d'audit va exécuter, ainsi que de la documentation du résultat de chaque étape. Il s'agit d'une approche mais vous pouvez atteindre les mêmes objectifs à l'aide d'autres types de projets.

Que signifie exécuter un audit ?

Exécuter un audit implique diverses activités telles que :

  • exécuter des évaluations de risque ;
  • exécuter des procédures ;
  • vérifier et analyser l'évidence ;
  • documenter les observations et les problèmes ;
  • rédiger une première ébauche des recommandations et des conclusions ;
  • consulter les clients et les autres membres de l'équipe.

L'exécution d'un audit aboutit à l'identification de problèmes et à leur remédiation.

Où dois-je exécuter un audit ?

L'application Projets vous permet d'exécuter un audit.

Une image étendue

  • Les modèles de projet servent de points de départ à la génération d'un ou de plusieurs audits et peuvent être modifiés, si nécessaire.
  • Les projets permettent de documenter les objectifs, les risques et les procédures, de documenter le travail de terrain et de récupérer les problèmes.

  • Les cadres permettent de structurer et de gérer les mêmes informations entre plusieurs projets. Vous pouvez utiliser un cadre pour synchroniser les mêmes objectifs, descriptions, risques, contrôles et plans de test entre plusieurs projets.

    Lorsque vous apportez des modifications aux éléments ci-dessus dans un projet, vous pouvez resynchroniser ces modifications avec le cadre auquel le projet est associé, vous pouvez ainsi appliquer ces modifications à tous les autres projets associés à ce cadre. Cette fonctionnalité s'avère notamment utile pour les audits qui se déroulent régulièrement. Pour plus d'informations, consultez la section Synchroniser des projets avec des cadres.

Dans un projet, le champ d'application du travail de l'audit est guidé par plusieurs étapes et affiché dans un ensemble d'onglets séquentiels.

Ils incluent :

  • les activités de planification de projet ;
  • la documentation du travail de terrain ;
  • l'exécution des examens d'assurance qualité pour le travail réalisé ;
  • le reporting des résultats d'audit et la proposition de recommandations à la direction ;
  • la capture et la remédiation des problèmes.

Étapes

Prêt pour un tour ?

Étudions plus précisément ces fonctions dans le contexte.

1. Configurer votre projet

La première étape consiste à comprendre la meilleure méthode pour configurer les données dans le système afin que vous puissiez les rapporter de manière appropriée. Vous pouvez créer des projets afin de définir des objectifs, des risques et des procédures, exécuter des procédures et compiler des informations à des fin de reporting. Vous pouvez également configurer des structures pour mapper les objectifs, les risques et les procédures aux points de données contextuelles pertinentes (actifs, propriétaires, entités, etc.) et permettre le reporting dans ces dimensions.

Astuce

L'application Projets propose plusieurs bibliothèques de risque et de contrôle (modèles de projet) qui contiennent du contenu pré-renseigné pour des flux de travail spécifiques. Une variété de modèles de projet sont généralement utilisés pour lancer rapidement les audits et créer des modèles réutilisables. Ils incluent :

  • Modèles d'audit interne (opérationnel)
  • Modèles d'audit SOC/SSAE 16/ISAE 3402
  • Modèles d'audit interne (Contrôle financier et Contrôle interne)
  • Modèle d'audit Sarbanes-Oxley (SOX) (Cadre COSO 2013)

Préparer un projet

Vous pouvez choisir entre deux différents types de flux de travail de projet selon que les audits sont opérationnels ou plus compréhensifs (tels que des examens SOX ou ICFR). Une fois que vous avez configuré un projet, Projets applique un flux de travail simple dans l'audit. Vous pouvez ainsi identifier les procédures d'audit pertinentes et gérer les problèmes.

Exemple

Scénario

Vous êtes un auditeur en charge de l'audit de la sécurité physique et vous voulez commencer à centraliser la documentation d'audit. Le projet porte essentiellement sur la sécurité physique du stock de caoutchouc qui est très important pour votre entreprise, Vandelay Industries.

Processus

Rubrique d'aide Utiliser des modèles de projet

Le point de départ de la génération de votre projet consiste à créer un projet à l'aide du modèle de projet Examen de sécurité de l'équipement Latex.

Résultat

Le projet est renseigné à l'aide d'une liste d'objectifs. Chaque objectif comprend une série de risques et de procédures.

Modélisation de votre structure d'entité organisationnelle

Les organisations sont composées de différentes unités commerciales, départements, sites, régions et entités juridiques. Vous pouvez modéliser la structure de votre entreprise et de l'entité juridique dans votre processus de gestion des audits. Vous pouvez ainsi rapporter des résultats de test et les problèmes à la direction et au comité d'audit.

Exemple

Scénario

Vandelay Industries comporte différentes localisations et sites. Vous voulez créer des rapports de différents groupes représentatifs de l'activité et permettre aux acteurs de tous les niveaux de l'organisation d'obtenir les informations nécessaires. Le comité Santé et sécurité a également demandé des rapports spécifiques.

Processus

Rubrique d'aide Configurer l'étiquetage des entités

Sous Gérer les entités, vous modélisez votre structure d'entreprise en fonction des localisations et sites qui sont applicables au projet.

Résultat

Vous pouvez désormais étiqueter des projets, des objectifs, des risques, des procédures et des problèmes selon les points de données contextuelles pertinents et permettre le reporting au niveau de ces dimensions.

Réaliser une évaluation du risque d'audit

Les organisations s'engagent dans une identification systématique et une évaluation des risques. Les évaluations du risque d'audit offrent les moyens d'évaluer des risques opérationnels qui ont une incidence sur l'entreprise et de prioriser les risques à atténuer dans un premier temps. Vous pouvez développer un ensemble typique de critères d'évaluation pouvant être utilisés dans les secteurs opérationnels, les entités ou les unités commerciales et noter les risques opérationnels en fonction du cadre de score défini.

Astuce

Pour éviter une notation manuelle des risques opérationnels, vous pouvez utiliser des pilotes d'évaluation afin d'automatiser les différentes évaluations de risque. Vous pouvez lier une mesure créée dans l'application Résultats à une évaluation de risque dans projets afin d'informer l'évaluation et renseigner automatiquement les scores de risque inhérents en fonction de plages de mesures prédéfinies.

Exemple

Scénario

Votre organisation dispose d'un processus d'évaluation de risque opérationnel mature et précis ; elle évalue le risque dans deux dimensions (Probabilité et Impact) sur une échelle à trois points :

  • 1 - Faible
  • 2 - Moyen
  • 3 - Élevé

Désormais, vous devez évaluer le score de risque inhérent afin de déterminer le risque brut auquel l'organisation sera confrontée si aucun contrôle ou tout autre facteur d'atténuation n'est mis en place.

Processus

Rubriques d'aide

Vous capturez les informations suivantes dans le projet Examen de sécurité de l'équipement Latex :

Risque 4-A : dans le cas d'une urgence, il est possible d'interrompre les activités et la sécurité de l'équipement.

  • Impact 2 - Moyen
  • Probabilité 2- Moyen

Risque 4-B - L'impossibilité de satisfaire aux conditions de sécurité pendant une inspection peut entraîner des amendes, ou tout autre pénalité, dont la fermeture.

  • Impact 1 - Faible
  • Probabilité 3 - Élevé

Résultat

L'évaluation du risque inhérent est terminée.

2. Collecter, évaluer et documenter des évidences

Collecter, évaluer et documenter des évidences implique différentes activités. Les examens d'assurance qualité peuvent s'exécuter dès que le travail du projet est terminé. Les auditeurs expérimentés peuvent facilement ajouter des conseils et des commentaires pour la révision, affecter des tâches supplémentaires aux membres juniors de l'équipe. Projets envoie des courriers électroniques et informe automatiquement les membres de l'équipe des tâches à effectuer et les implique dans le processus d'examen.

Astuce

Grâce à Diligent HighBond pour iOS ou Android, les équipes d'audit peuvent bénéficier d'un accès en temps réel et ininterrompu aux fiches de travail quel que soit l'emplacement physique des membres de l'équipe.

Procédures d'exécution

Les auditeurs peuvent enregistrer le résultat des procédures qu'ils ont exécutées. Lorsque les procédures sont exécutées, Projets agrège automatiquement les résultats des tests et les problèmes, et calcule l'assurance en temps réel.

Astuce

Les applications Projets et Résultats vous permettent de lier directement des preuves à des outils d'analyse automatisés pour obtenir un test optimal et à grande échelle. Grâce aux évaluations de risque orientées outils d'analyse qui sont basées sur les données réelles de votre organisation, la direction peut connaître l'état exact des risques de l'organisation à tout moment sans avoir à compiler les différents rapports et mises à jour. Les évaluations de risque prennent automatiquement en compte les risques inhérents et les efforts d'atténuation, offrant ainsi une estimation quantifiée du risque résiduel.

Exemple

Scénario

Suite à l'évaluation du risque d'audit, votre équipe identifie le besoin de se concentrer sur la garantie de la mise en place des contrôles environnementaux. Vous devez exécuter la procédure qui est associée au risque 4-A et au risque 4-B :

4-03 :Les équipements doivent passer des contrôles incendie périodiques. Toute déficience détectée doit être rapidement résolue. Des extincteurs portatifs ou des lances à incendie fixes sont disponibles.

Processus

Rubrique d'aide Exécuter des procédures ou tester des contrôles

Dans la section Résultats de la procédure, vous notez vos observations et faites état de la présence d'un extincteur arrivé à expiration. Vous indiquez Problèmes relevés en regard de Avez-vous identifié des problèmes au cours de cette procédure ?.

Résultat

L'évaluation de la procédure est capturée :

Identifier les problèmes

Les auditeurs peuvent capturer et affecter les problèmes marqués pour remédiation dans tout le processus d'audit. Ils peuvent déléguer des problèmes aux propriétaires afin de mettre à jour le statut et les plans d'action liés. Ils peuvent également affecter des actions à un intervenant afin de simplifier la surveillance, le rassemblement de preuves et la résolution.

Exemple

Scénario

L'échec de la procédure 4-03 exige que vous notiez l'exception en journalisant un problème. Vous voulez ajouter le problème et le contexte de la raison pour laquelle il a été capturé, dans vos documents de travail.

Processus

Rubrique d'aide Enregistrer des problèmes

Vous documentez le problème suivant :

  • Intitulé/Titre Extincteur expiré
  • Description Nous avons trouvé un extincteur dont la date de validité a expiré à côté de l'entrée Ouest de l'installation.
  • Propriétaire Responsable du bâtiment
  • Type de problème Découverte
  • Date identifiée Date
  • Gravité Faible
  • Publié Publié

Une fois que vous avez terminé l'audit des extincteurs, vous validez et définissez votre responsable comme le prochain examinateur qui doit approuver votre travail.

Résultat

Le problème est enregistré. Plus tard, l'audit peut examiner le plan de remédiation et documenter les résultats du nouveau test afin de déterminer si la déficience a réellement été remédiée.

Enregistrer la durée

Les responsables peuvent utiliser l'application Relevés de temps pour mesurer les performances des ressources individuelles par utilisation. Ils peuvent avoir un aperçu sur les ressources planifiées allouées à un projet particulier comprenant le nombre d'heures travaillées Ils peuvent également mesurer la rentabilité globale et le retour sur investissement (ROI) d'un projet particulier, et générer des rapports.

Exemple

Scénario

Vous devez enregistrer le temps passé à l'inspection des extincteurs dans le bâtiment. Vous voulez ajouter la saisie des temps à vos documents de travail.

Processus

Rubrique d'aide Enregistrer la durée

Vous enregistrez rapidement l'heure suivante proposée en fonction votre activité récente :

  • Date 11/07/2018
  • Heures 1
  • Description Inspection de l'extincteur

Résultat

L'heure est enregistrée :

Gérer les requêtes

À tout moment du cycle du projet, les auditeurs peuvent soumettre et suivre toutes les demandes client directement dans Projets afin de conserver tous les fils de communication et les éléments demandés organisés. Vous pouvez également configurer Projets pour qu'il envoie périodiquement des invites automatiques pour rappeler les demandes en attente aux participants du projet.

Exemple

Scénario

Vous êtes prêt à exécuter la procédure suivante :

3-02 Durant les week-ends, seules les entrées principales de l'installation (Sud 1 à Denver (DV1) et Sud 2 à Los Angeles (LA2)) peuvent autoriser des entrées par carte magnétique.

Avant de pouvoir exécuter cette procédure, vous devez examiner les journaux d'accès par carte magnétique du bâtiment. Vous voulez soumettre une demande pour les journaux d'accès afin de pouvoir continuer l'exécution de la procédure.

Processus

Rubrique d'aide Ajouter des requêtes

Vous enregistrez l'élément de demande suivant dans le panneau Requêtes :

  • Demandeur votreNom
  • Description Veuillez m'envoyer les journaux d'accès afin que je puisse les analyser.
  • Propriétaire Responsable du bâtiment
  • Envoyer immédiatement sélectionné
  • Email e-mail
  • Date d'échéance 27 juillet 2018

Résultat

L'élément de la demande est enregistré et une notification est envoyée au responsable du bâtiment. Ce-dernier peut visualiser la demande et charger les journaux d'accès demandés.

3. Gérer la remédiation du problème

La gestion, le suivi et la remédiation des problèmes constituent les principaux résultats des audits. La phase de remédiation implique la gestion du cycle de vie des problèmes et la réception de réponses de la direction au sujet de ces problèmes. Vous pouvez identifier, cataloguer, évaluer et ventiler les problèmes dans des actions de remédiation. Vous pouvez également regrouper les problèmes des des thèmes plus vastes à des fins de reporting.

Définir des plans de remédiations

Les auditeurs travaillent souvent avec la direction afin de s'assurer que les réponses aux problèmes sont correctement définies et répondent aux causes de base. En affectant des problèmes au propriétaire correspondant, les propriétaires de problème peuvent saisir leurs propres réponses ou plans d'action, définir qui est responsable, les opérations qu'ils vont entreprendre et le délai.

Exemple

Scénario

Vous devez enregistrer un plan de remédiation pour répondre aux besoins du plan de sécurité incendie et enregistrer une action comme mesure ultérieure.

Processus

Rubriques d'aide

Dans le sous-onglet Suivi et remédiation, vous indiquez En attente de réponse de la direction comme statut de remédiation. Dans le cadre du plan de remédiation, vous donnez des indications à la direction pour qu'elle vérifie le plan de sécurité incendie et s'assure que toutes les exigences sont respectées. Pour terminer, vous créez les deux actions pour résoudre le problème.

Résultat

Les actions sont enregistrées :

Tester à nouveau et clôturer les problèmes

Les auditeurs peuvent avoir un suivi avec la direction, retester des problèmes et enregistrer toute découverte ultérieure. Ils peuvent indiquer si un problème a réellement été remédié ou non, et rapporter le statut des activités de remédiation au comité d'audit.

Exemple

Scénario

Les deux actions ont été complétés ; l'extincteur a été remplacé et la direction a vérifié le plan de sécurité incendie. Vous inspectez à nouveau les extincteurs et constatez qu'ils ont été remplacés. Vous remarquez que la direction a revu le plan de sécurité incendie et garantit la conformité.

Processus

Rubriques d'aide

Vous documentez les résultats du retest afin de vérifier que le problème a été réellement corrigé :

Retest de l'aperçu des résultats en cours

Les extincteurs ont été inspectés et remplacés. Le plan de sécurité incendie a été vérifié.

Ensuite, vous clôturez le problème et les actions :

Résultat

Les résultats du retest sont enregistrés et les éléments sont clôturés et prêts pour le reporting.

Quelles sont les prochaines étapes ?

Apprendre à surveiller et à communiquer les résultats

L'application Résultats permet d'identifier et de gérer des exceptions, de collecter des informations auprès des personnes interrogées afin de contextualiser les données et visualiser les données pour mettre en évidence les tendances, les modèles ou les valeurs aberrantes. Vous pouvez ensuite afficher plusieurs visualisations et du contenu à texte enrichi dans une seule présentation à l'aide de l'application Storyboards.

Pour en savoir plus, voir Surveillance et communication des résultats.

Inscrivez-vous à une formation de l'Académie

Poursuivez votre apprentissage des concepts présentés dans cet article en suivant le parcours d'apprentissage PROJ 100.

L'Académie est le centre des ressources de formation en ligne de Diligent. Les sessions de l'Académie sont incluses sans coût supplémentaire pour tout utilisateur disposant d'un abonnement Diligent One. Pour plus d'informations, consultez Académie.