Démontrer l'assurance sur les contrôles internes

La fonction principale de l'audit est de garantir l'efficacité de la gestion des risques et le poids de l'environnement des contrôles au sein d'une organisation. Grâce à la centralisation et l'automatisation du programme d'audit, l'audit peut simplifier la gestion des contrôles internes et promouvoir la collaboration au sein de l'organisation. Cet article présente comment tester les contrôles à l'aide de l'application Projets.

Cet article explique comment tester les contrôles à l'aide d'un modèle de projet Cadre des contrôles internes en matière de lutte contre la corruption utile pour les équipes et les fonctions d'audit dans les PME. Le flux de travail mis en évidence dans cet article convient pour les types d'audits plus complexes où des descriptions sont définies, où des revues générales sont effectuées afin de vérifier la conception des contrôles et où des tests sont exécutés afin de vérifier le bon fonctionnement des contrôles Il s'agit d'une approche mais vous pouvez atteindre les mêmes objectifs à l'aide d'autres modèles de projet.

Que signifie tester des contrôles ?

Le processus du test des contrôles comprend les activités suivantes :

  • détermination des contrôles clés et non-clés ;
  • identification des contrôles à tester ;
  • évaluation de chaque contrôle clé en fonction de sa conception et de l'efficacité opérationnelle.

Si le test indique qu'un contrôle ne peut pas fonctionner comme prévu, l'audit relève une exception et collabore avec l'entreprise pour gérer un plan de remédiation.

Où tester les contrôles ?

L'application Projets vous permet de tester des contrôles.

Une image étendue

  • Les projets permettent de documenter les objectifs, les risques et les contrôles, de tester la conception et l'efficacité des contrôles et de capturer les problèmes.
  • Les évaluations permettent de documenter les évaluations de la conception et l'efficacité opérationnelle des contrôles.

Enfin, les résultats du test dans un projet peuvent se répercuter dans le score d'assurance de votre organisation qui vous renvoie une image en temps réel de la manière dont votre organisation atténue le risque.

Étapes

Prêt pour un tour ?

Étudions plus précisément ces fonctions dans le contexte.

1. Configurer votre projet

La première étape consiste à comprendre la meilleure méthode pour configurer les données dans le système afin que vous puissiez les rapporter de manière appropriée. Vous pouvez créer des projets pour définir des objectifs, des risques et des contrôles, évaluer la conception et l'efficacité opérationnelle des contrôles ainsi que compiler les informations en vue du reporting. La création des projets peut s'effectuer de zéro, à partir d'un modèle ou depuis un projet existant.

Astuce

L'application Projets propose plusieurs bibliothèques de risque et de contrôle (modèles de projet) qui contiennent du contenu pré-renseigné pour des flux de travail spécifiques. Il existe une variété de modèles de projet généralement utilisés pour lancer rapidement les audits et créer des modèles réutilisables. Ils incluent :

  • Modèles d'audit interne (opérationnel)
  • Modèles d'audit SOC/SSAE 16/ISAE 3402
  • Modèles d'audit interne (Contrôle financier et Contrôle interne)
  • Modèle d'audit Sarbanes-Oxley (SOX) (Cadre COSO 2013)

Préparer un projet

Vous pouvez choisir entre deux différents types de flux de travail de projet selon que les audits sont opérationnels ou plus compréhensifs (tels que des examens SOX ou ICFR). Une fois que vous avez configuré un projet, Projets applique un flux de travail simple dans l'audit. Vous pouvez ainsi identifier les procédures d'audit pertinentes et gérer les problèmes.

Astuce

Les cadres contribuent à réduire les efforts manuels nécessaires pour définir des projets et ils permettent de gérer de manière centralisée les informations dans des environnements réglementaires et commerciaux en constante évolution.

Exemple

Scénario

Vous êtes un professionnel de la conformité chargé de mener un audit de contrôle interne des mesures anti-corruption.

Processus

Rubriques d'aide

Au début de la définition de votre projet, vous créez un projet à l'aide du modèle de projet Cadre de contrôles internes en matière de lutte contre la corruption.

Dans le projet, vous activez le paramètre Assurance afin de garantir que les résultats du test sont automatiquement agrégés en vue du reporting et vous définissez le nombre de sessions de test sur Un.

Résultat

Le projet est renseigné par une série d'objectifs, chacun contenant des risques et des contrôles.

Documenter les objectifs

Les objectifs constituent la base d'un projet et ce sont également les conteneurs d'organisation pour le travail effectué dans un projet. Chaque objectif indique quel est le sujet qui est examiné et comment la performance sera évaluée. Les objectifs peuvent être définis de sorte que le travail puisse être divisé en tâches gérables que les membres de l'équipe d'audit peuvent exécuter.

Exemple

Scénario

Une part des efforts d'anti-corruption de votre organisation comprend les politiques Déplacements et loisirs (D&L) à tester dans le cadre de l'audit. Vous devez ajouter un objectif D&L au projet afin de définir le domaine à examiner.

Processus

Rubrique d'aide Définir des objectifs

Vous définissez l'objectif comme suit :

  • Titre Déplacements et loisirs
  • Description S'assurer qu'il existe des contrôles préventifs et de détection pour le risque de corruption au niveau du processus de frais de déplacement et de loisir (y compris la carte d'achat).
  • Référence D&L
  • Division/Département Finance
  • Utilisateur affecté votreNom

Résultat

L'objectif est défini.

Descriptions de document

Les descriptions permettent de comprendre de quelle manière les contrôles internes de votre organisation s'intègrent à un processus opérationnel. De nombreuses organisations s'appuient d'abord sur des diagrammes pour visualiser et afficher le flux de travail détaillé dans un domaine donné. Il est possible d'attacher un contenu audio ou visuel pour supporter la documentation de description et vous pouvez associer les contrôles à des fins de référencement.

Exemple

Scénario

Vous devez concevoir une description en lien avec l'objectif D&L.

Dans la description, vous prévoyez de définir le processus opérationnel et d'attacher une synthèse des risques et des contrôles clés associés au processus. Comme vous collectez plus d'informations, vous voulez mettre à jour la description en conséquence.

Processus

Rubrique d'aide Définir des descriptions

Vous accédez à l'onglet Descriptions dans le projet et ajoutez une nouvelle description intitulée Description du processus D&L.

Vous commencez par définir la description comme suit :

Aperçu du processus : les politiques de déplacement et loisirs intègrent les frais engagés pendant un déplacement professionnel et incluent le transport, le logement, les repas et d'autres frais divers. Ces dépenses doivent être raisonnables et nécessaires dans le cadre de l'activité et directement imputable à celle-ci.

Pour finir, vous attachez un document Word qui résume les risques et les contrôles clés associés au processus D&L.

Résultat

La version préliminaire de la première partie de la description est rédigée, le document Word est alors ajouté comme pièce jointe justificative.

Documenter les risques et les contrôles

La documentation des risques et des contrôles entraîne la production d'une matrice de contrôle du risque (MCR). UN MCR est une combinaison des risques identifiés et des contrôles correspondants (les mesures ou les cours de l'action pour la manière d'atténuation du risque).

Remarque

Selon l'organisation et la taille de la fonction d'audit, différentes équipes peuvent être en charge de l'évaluation du risque inhérent et résiduel. Les organisations de plus grande taille exploitent généralement les évaluations de risque opérationnel ou de risque de conformité pour appuyer le travail d'audit.

Astuce

Une fois que les risques et les contrôles sont documentés, les propriétaires de processus peut définir un calendrier dans Projets pour garantir une exécution cohérente des activités de contrôle.

Exemple

Scénario

Votre organisation dispose d'un processus d'évaluation de risque mature et précis ; elle évalue le risque dans deux dimensions (Impact et Probabilité) sur une échelle à trois points :

Vous devez évaluer le score de risque inhérent afin de déterminer le risque brut auquel l'organisation sera confrontée si aucun contrôle ou tout autre facture d'atténuation n'est mis en place. Vous voulez également attribuer un score d'efficacité à vos contrôles clés. Ainsi, tout échec de contrôle génère un score de risque résiduel.

Processus

Rubriques d'aide

Dans un premier temps, vous chargez en masse les risques et les contrôles et attribuez une notation basée sur la probabilité et l'impact à chaque risque.

Ensuite, vous associez les risques et les contrôles et attribuez un score d'efficacité à chaque contrôle pour refléter la pertinence du contrôle au moment où vous devez rapporter l'assurance.

Résultat

L'évaluation du risque inhérent est terminée et les risques et contrôles sont documentés :

2. Évaluer la conception des contrôles et leur efficacité

De nombreuses fonctions d'audit observent l'activité pour prendre en compte certaines des responsabilités liées à l'évaluation de la conception et de l'efficacité du contrôle. Les propriétaires eux-mêmes peuvent accéder à des tâches simples, comme la mise à jour d'une revue générale de contrôle et la documentation des étapes de test d'efficacité du contrôle. Ceci permet à l'activité de véritablement être propriétaire de l'évaluation de ces contrôles.

Évaluer la conception du contrôle

L'audit peut travailler avec les propriétaires du contrôle afin d'évaluer la conception d'un contrôle au moyen d'attestation et/ou de mise à disposition d'évidence, définir des plans d'action pour implémenter les contrôles manquants ou expliquer la raison pour laquelle un contrôle est inutile.

Astuce

L'application Suivi des contrôles permet aux personnel de première ligne dans une organisation de gérer les contrôles auxquels il a accès, en dehors de l'application Projets. Suivi des contrôles est une application qui présente les informations sur les contrôles provenant de Projets dans une vue simplifiée et centralisée.

Exemple

Scénario

Après avoir évalué le risque inhérent, vous devez effectuer une revue générale afin d'évaluer la conception de chaque contrôle.

Processus

Rubrique d'aide Exécuter des procédures ou tester des contrôles

Vous accédez à la revue générale associée à chaque contrôle et évaluez la conception du contrôle D&L par rapport au processus présenté dans la description.

Vous déterminez que la conception de l'ensemble des contrôles est correcte. Une fois que vous avez terminé l'évaluation de la conception des contrôles, vous validez et définissez votre responsable comme le prochain examinateur qui doit approuver votre travail.

Résultat

La revue générale pour chaque contrôle est enregistrée :

Définir un plan de test

Les plans de test identifient de quelle manière vous testez le contrôle. Vous pouvez définir des plans de test pour préciser la méthode de test, la taille totale de l'échantillonnage (répartie entre les sessions de test) et les étapes de test à suivre pour tester le contrôle.

Astuce

Inspirations, un catalogue des scénarios de risque et de tests provenant des initiatives Diligent au niveau international, propose une diversité d'idées de test d'analyse par processus. Pour plus d'informations, consultez la rubrique Outils et modèles.

Exemple

Scénario

Maintenant que vous avez effectué les revues générales, vous avez une meilleure compréhension de la manière dont le contrôle s'organise pour atténuer le risque. Avant de commencer le test de l'efficacité du contrôle, vous devez préparer un plan de test qui identifie la manière selon laquelle vous allez tester chaque contrôle.

Processus

Rubrique d'aide Exécuter des procédures ou tester des contrôles

Vous commencez par définir un plan de test pour le contrôle suivant :

TNE-04 - Seuil carte d'achats : les cartes d'achats ont des limites individuelles et mensuelles. Tout achat qui dépasse ces limites est refusé. Le direction doit examiner et remédier les exceptions au moment opportun.

  • Méthode de test Observation
  • Taille totale de l'échantillonnage 1
  • Étapes du test / Attributs du test
    1. Récupérez des données nécessaires pour le test :
      • Données du détenteur de la carte d'achats qui incluent les plafonds mensuels et d'opération pour chaque carte
      • Données sur la transaction de carte d'achats pour la période à examiner
    2. Comparez les montants de transaction disponibles dans les données de transaction de carte d'achats aux plafonds de transaction figurant dans les données du détenteur de carte.
    3. Sous-totalisez les montants de transaction par mois et carte puis comparez-les aux plafonds mensuels figurant dans les données du détenteur de carte d'achats.

Résultat

Le plan de test de TNE-04 est enregistré.

Évaluer l'efficacité du contrôle

L'évaluation de l'efficacité du contrôle implique de documenter les résultats du test détaillé et de spécifier si le contrôle a réussi ou échoué. Lorsque vous avez terminé d'évaluer l'efficacité du contrôle, vous pouvez marquer des parties du texte et les lier à des justificatifs tels que des manuels de politique ou de procédure, des réglementations, des SLA/SLS et des contrats.

Astuce

Pour éviter une notation manuelle de l'efficacité du contrôle, vous pouvez utiliser des pilotes d'évaluation afin d'automatiser les différentes évaluations du contrôle. Vous pouvez lier une mesure créée dans l'application Résultats à une évaluation de contrôle dans Projets afin d'informer l'évaluation et de renseigner automatiquement les scores de risque inhérents en fonction de plages de mesures prédéfinies.

Exemple

Scénario

Vous avez évalué la conception du contrôle et préparé un plan de test qui définit le mode de test de TNE-04, vous devez désormais évaluer l'efficacité du contrôle afin de déterminer le risque résiduel ou la quantité de risque qu'il reste après la mise en place de contrôles.

Processus

Rubrique d'aide Exécuter des procédures ou tester des contrôles

Vous accédez à la session de test associée à chaque contrôle et tester l'efficacité de chaque contrôle.

Vous déterminez que tous les contrôles s'exécutent de manière optimale, sauf pour le contrôle TNE-04. Alors que les plafonds de transactions sont respectées et refusées au point de vente, ce n'est pas le cas pour les plafonds mensuels et de nombreuses cartes dépassent largement leur plafond mensuel.

Résultat

L'évaluation de test pour chaque contrôle est enregistrée : À ce stade, vous pouvez également créer un problème afin de pouvoir gérer un plan de remédiation du problème et affecter des actions au responsable en charge des relations avec la société de la carte d'achats.

3. Démontrer l'assurance

Projets permet d'agréger automatiquement les évaluations de risque, les résultats du test et les problèmes couvrant l'ensemble du projet dans une seule mesure d'assurance (pourcentage) utilisable à des fins de reporting. Au fur et à mesure que la revue générale et les tests réussissent, l'assurance augmente.

Astuce

Si vous avez adopté une approche descendante et que vous gérez les risques stratégiques de votre organisation dans l'application Stratégie, vous pouvez présenter l'assurance en comprimant les résultats du test depuis les projets mis en place pour atténuer ou gérer les risques stratégiques.

Exemple

Scénario

Une fois le test de l'objectif D&L terminé, vous voulez évaluer le niveau d'atténuation du risque par l'organisation afin que les ressources puissent être affectées de manière appropriée.

Processus

Rubrique d'aide Premiers pas avec l'assurance du risque

Vous accédez au domaine Progression, visualisez les scores de risque inhérents et résiduels ainsi que le score d'assurance pour l'objectif Déplacement et loisirs :

Vous passez ensuite au domaine Résultats et visualisez le score d'assurance global pour l'audit :

Résultat

Vous pouvez déclarer le score d'assurance associé à l'objectif Déplacement et loisirs et le score d'assurance global associé à l'audit dans son ensemble.

Quelles sont les prochaines étapes ?

Suivez l'avancement de vos programmes SOX

Vous pouvez visualiser et surveiller l'avancement de vos programmes SOX par le biais de Storyboards. Cela ne prend que quelques minutes d'installer le kit de ressources Storyboard SOX pré-configuré et de remplir automatiquement les storyboards avec vos données. Pour plus d'informations, consultez la section Kit de ressources Storyboard SOX.