Audit continu - Continuous auditing

L'audit continu est une méthode automatique utilisée pour effectuer des activités d' audit , telles que le contrôle et l'évaluation des risques , sur une base plus fréquente. La technologie joue un rôle clé dans les activités d'audit continu en aidant à automatiser l'identification des exceptions ou des anomalies, à analyser les modèles dans les chiffres des champs numériques clés, à examiner les tendances et à tester les contrôles, entre autres activités.

L'aspect «continu» de l'audit et du reporting continus fait référence à la capacité en temps réel ou quasi-temps réel de vérifier et de partager les informations financières. Non seulement cela indique que l'intégrité des informations peut être évaluée à un moment donné, mais cela signifie également que les informations peuvent être vérifiées en permanence pour détecter les erreurs, les fraudes et les inefficacités. C'est l'audit le plus détaillé.

Chaque instance d'audit continu a sa propre impulsion. Le délai choisi pour l'évaluation dépend en grande partie de la fréquence des mises à jour au sein des systèmes d'information comptable . L'analyse des données peut être effectuée en continu, toutes les heures, tous les jours, toutes les semaines, tous les mois, etc. selon la nature du cycle économique sous-jacent pour une assertion donnée.

Contexte

L'objectif du reporting financier est de fournir des informations utiles à la direction et aux parties prenantes pour les décisions d'allocation des ressources. Pour que les informations financières soient utiles, elles doivent être fournies en temps opportun et exemptes d'erreurs importantes, d'omissions et de fraudes. Dans l' économie en temps réel , des informations financières opportunes et fiables sont essentielles pour les décisions commerciales quotidiennes concernant la planification stratégique, l'acquisition de capitaux, les décisions de crédit, les partenariats avec les fournisseurs, etc. Les progrès des systèmes d'information comptable tels que l'avènement des systèmes de planification des ressources d'entreprise (ERP) ont permis la génération d'informations en temps réel. Cependant, la pratique de l'audit traditionnel n'a pas suivi le rythme de l'économie en temps réel. Les procédures d'audit manuelles traditionnelles demandent beaucoup de travail et de temps, ce qui limite la fréquence des audits à une base périodique, par exemple annuellement.

Ces contraintes de temps et d'effort peuvent être allégées grâce à l'utilisation de la technologie et de l'automatisation. L'audit continu améliore la prestation de services d'audit en rendant le processus d'audit plus efficace et efficient grâce à l'utilisation de la technologie et de l'automatisation. L'efficience et l'efficacité accrues du processus d'audit permettent des audits plus fréquents ou en temps réel et améliorent ainsi la fiabilité des informations sous-jacentes.

Histoire

La première application d'audit continu a été développée chez AT&T Bell Laboratories en 1989. Connu sous le nom de système d'audit continu des processus (CPAS), le système développé par Miklos Vasarhelyi et Halper permettait de mesurer, surveiller et analyser les informations de facturation de l'entreprise. Ici, des concepts clés tels que les métriques, les analyses et les alarmes relatives aux informations financières ont également été introduits.

Composants

L'audit continu se compose de trois parties principales: l'assurance continue des données (CDA), la surveillance des contrôles continus (CCM) et la surveillance et l'évaluation continues des risques (CRMA).

Assurance continue des données

L'assurance continue des données vérifie l'intégrité des données circulant dans les systèmes d'information. L'assurance continue des données utilise un logiciel pour extraire les données des systèmes informatiques à des fins d'analyse au niveau transactionnel afin de fournir une assurance plus détaillée. Les systèmes CDA offrent la possibilité de concevoir des modèles d'attentes pour les procédures analytiques au niveau des processus métier, par opposition à la pratique actuelle consistant à s'appuyer sur l'analyse des ratios ou des tendances à des niveaux plus élevés d'agrégation de données. Le logiciel CDA peut surveiller en continu et automatiquement les transactions, en comparant leurs caractéristiques génériques avec des références prédéterminées, identifiant ainsi les situations anormales. Lorsque des écarts importants se produisent, des alarmes sont déclenchées et acheminées vers les parties prenantes et les auditeurs appropriés.

Surveillance continue des contrôles

La surveillance continue des contrôles consiste en un ensemble de procédures utilisées pour surveiller la fonctionnalité des contrôles internes. CCM s'appuie sur des procédures automatiques, en supposant que les contrôles eux-mêmes et les procédures de suivi sont formels ou peuvent être formalisés. CCM peut être utilisé pour surveiller le contrôle d'accès et les autorisations, les configurations système et les paramètres de processus métier. CDA et CCM sont des processus complémentaires. Aucun des deux processus n'est autosuffisant ou exhaustif. Même si aucun défaut de données n'est détecté, on ne peut pas conclure que les commandes sont à sécurité intégrée. De plus, même si des contrôles sont mis en œuvre, l'intégrité des données ne peut être présumée. Lorsqu'elles sont combinées, cependant, ces approches de surveillance présentent une image de confiance plus complète.

Surveillance et évaluation continues des risques

Une surveillance et une évaluation continues des risques sont utilisées pour mesurer les risques de manière dynamique et fournir des informations pour la planification des audits. La CRMA est une approche intégrée d'évaluation des risques en temps réel, qui regroupe des données sur différentes tâches fonctionnelles dans les organisations pour évaluer les expositions aux risques et fournir une assurance raisonnable sur les évaluations des risques des entreprises.

Journalisation de la boîte noire

Outre les trois composants mentionnés ci-dessus, le fichier journal d'audit de la boîte noire est également un élément important de l'audit continu. Ce fichier peut être considéré comme une extension de la pratique existante de documentation des activités d'audit dans des documents de travail manuels ou automatisés. Un fichier journal de boîte noire est un enregistrement contrôlé par un tiers en lecture seule des actions des auditeurs. L'objectif de la journalisation de la boîte noire est de protéger un système d'audit continu contre les manipulations de l'auditeur et de la direction.

Rapports continus

Le reporting continu est la publication d'informations financières et non financières en temps réel ou en temps quasi réel. Le but du reporting continu est de permettre aux parties externes d'accéder aux informations lorsque des événements sous-jacents se produisent, plutôt que d'attendre les rapports de fin de période. L'adoption de XBRL par les entreprises rend la publication d'informations de reporting continu plus faisable. Le reporting continu profite également aux utilisateurs en vertu de la réglementation sur la divulgation équitable . Les rapports continus sont un point de débat constant. Certaines parties, y compris les analystes et les investisseurs, souhaitent savoir comment une entreprise se comporte à un moment donné. Ils soutiennent que des informations en temps quasi réel leur donneraient la possibilité de tirer parti des mouvements commerciaux importants au fur et à mesure qu'ils se produisent. Cependant, les opposants sont sceptiques quant à la façon dont les informations brutes peuvent être utiles et craignent une surcharge d'informations , ou qu'il y aurait trop d'informations non pertinentes là-bas. En outre, certaines entreprises craignent que les informations financières communiquées en permanence ne dévoilent d'importants mouvements stratégiques et compromettent leur avantage concurrentiel.

la mise en oeuvre

Généralement, la mise en œuvre de l'audit continu comprend six étapes procédurales, qui sont généralement administrées par un responsable de l'audit continu. La connaissance de ces étapes permettra aux auditeurs de mieux surveiller le processus d'audit continu et de formuler des recommandations pour son amélioration, si nécessaire. Ces étapes comprennent:

Établir des domaines prioritaires.

Cela implique de choisir les domaines organisationnels à auditer. Lors de l'exécution des actions énumérées ci-dessus, les auditeurs doivent tenir compte des objectifs clés de chaque procédure d'audit. Les objectifs peuvent être classés dans l'un des quatre types suivants: détective, dissuasif (également appelé préventif), financier et conformité. Un domaine prioritaire d'audit particulier peut satisfaire l'un de ces quatre objectifs.

Identifier les règles de surveillance et d'audit continu.

La deuxième étape consiste à déterminer les règles ou les analyses qui guideront l'activité d'audit continu, qui doivent être programmées, répétées fréquemment et reconfigurées si nécessaire. En outre, les règles de contrôle et d'audit doivent prendre en considération les questions juridiques et environnementales, ainsi que les objectifs du processus particulier.

Déterminer la fréquence du processus.

L'audit continu n'a pas besoin d'être littéralement continu. Les auditeurs doivent tenir compte du rythme naturel du processus audité, y compris le calendrier des processus informatiques et commerciaux, ainsi que le calendrier et la disponibilité des auditeurs formés ou ayant une expérience de l'audit continu.

Configuration des paramètres d'audit continu.

Les règles utilisées dans chaque domaine d'audit doivent être configurées avant la mise en œuvre de la procédure d'audit continu (CAP). En outre, la fréquence de chaque paramètre peut devoir être modifiée après sa configuration initiale en fonction des changements résultant de l'activité auditée. Lors de la définition d'un CAP, les auditeurs doivent tenir compte des coûts et des avantages de la détection des erreurs ainsi que des activités d'audit et de suivi de la gestion.

Suivi.

Un autre type de paramètre concerne le traitement des alarmes et des erreurs détectées. Des questions telles que qui recevra l'alarme (par exemple, les responsables hiérarchiques, les auditeurs internes, ou les deux - l'alarme est généralement envoyée au responsable de processus, au supérieur immédiat du responsable ou à l'auditeur en charge de ce CAP) et à quel moment le suivi l'activité doit être terminée, doit être abordée lors de l'établissement du processus d'audit continu.

Communiquer les résultats.

Un dernier élément à considérer est la manière de communiquer avec les entités auditées. Lorsqu'il informe les audités des résultats des activités d'audit continu, il est important que l'échange soit indépendant et cohérent.

Demande

La demande d'audit continu provient d'une variété de sources, principalement des besoins des utilisateurs. La divulgation externe, les moteurs internes, les lois et réglementations et la technologie jouent tous un rôle important dans l'augmentation de la demande.

Divulgation externe

Une divulgation plus fréquente déterminera la nature du processus d'audit. Cette augmentation améliore la qualité des bénéfices tout en réduisant l'agressivité des gestionnaires et en diminuant la volatilité des marchés boursiers.

Pilotes internes

Alors que les entreprises sont devenues plus intégrées au sein de leurs propres services et avec d'autres entreprises, telles que les fournisseurs et les détaillants, le désir d'intégrité des données tout au long du processus d'échange de données électroniques stimule également la demande d'audit continu.

Lois et réglementation

Les lois et la réglementation exigent des activités et des moyens suivis par une entreprise afin d'atteindre un objectif spécifique à surveiller. En vertu de ces lois et réglementations, la société a commencé un audit continu.

La technologie

XBRL

XBRL facilite le développement de modules d'audit continu en permettant aux systèmes de comprendre la signification des données étiquetées. Une utilisation appropriée de XBRL garantit que les données pertinentes collectées à partir de sources multiples sont facilement comparables et analysables. XBRL est un dérivé du format de fichier XML , qui balise les données avec des informations contextuelles et hiérarchiques. On s'attend à ce que de nombreux systèmes de planification des ressources d'entreprise fournissent des données au format XBRL-GL pour faciliter la lisibilité de la machine.

Sécurité

En raison de la nature des informations passant par les systèmes d'audit continu, les problèmes de sécurité et de confidentialité sont également traités. Des techniques d'assurance des données, ainsi que des mécanismes et des politiques de contrôle d'accès sont mis en œuvre dans les systèmes CA pour empêcher l'accès et la manipulation non autorisés, et CCM peut aider à tester ces contrôles.

Défis

Pour de nombreuses organisations, la mise en œuvre d'une approche d'audit continu pose un certain nombre de défis. Voici quelques défis courants avec les recommandations associées.

Accès à un environnement système complexe et diversifié

Peu d'entreprises disposent d'un environnement système totalement homogène et transparent. Il existe généralement une combinaison d'ERP ou d'instances multiples d'un ERP, de systèmes mainframe, d'applications standard et de systèmes hérités, qui peuvent tous contenir des données précieuses. La technologie est disponible pour accéder à toutes ces données pour obtenir une image complète.

Réticence à étendre l'utilisation de la technologie

La technologie peut être considérée comme une menace pour ceux qui estiment que l'automatisation pourrait remplacer des emplois. Un avantage de l'audit continu est qu'il effectue des tâches routinières et répétitives et offre la possibilité d'effectuer un travail exploratoire plus intéressant qui ajoute beaucoup plus de valeur à l'organisation.

Des résultats impressionnants

Lorsqu'il n'est pas correctement mis en œuvre, l'audit continu peut entraîner des centaines, voire des milliers, de faux positifs et des efforts inutiles. De nombreuses entreprises qui ont connu du succès avec l'audit continu recommandent de commencer petit. Sélectionnez quel domaine de l'entreprise présente le plus grand risque et où ses transactions et ses systèmes de contrôle sont les plus importants pour l'entreprise pour votre incursion initiale dans l'audit continu. Automatisez un petit nombre de tests initiaux clés, tels que la comparaison de votre fichier principal fournisseur de comptes fournisseurs avec le fichier d'adresses des employés, pour découvrir d'éventuelles violations de politique ou fraude. À l'avenir, augmentez les tests et développez progressivement d'autres processus métier par étapes.

Entraînement

La formation est essentielle pour des résultats optimaux. Un certain nombre d'institutions, dont ACL Services Ltd., offrent une formation sur les techniques d'audit assisté par ordinateur, y compris l'audit continu par automatisation. La formation peut être dispensée sur site ou à distance, selon les besoins des entreprises.

Comparaison avec l'audit assisté par ordinateur

L'audit continu est souvent confondu avec l'audit assisté par ordinateur . Le but et la portée des deux techniques, cependant, sont assez différents. L'audit assisté par ordinateur utilise la technologie de l'utilisateur final, y compris un logiciel de tableur, tel que Microsoft Excel, pour permettre aux auditeurs traditionnels d'exécuter des analyses spécifiques à l'audit lorsqu'ils effectuent l'audit périodique. L'audit continu, d'autre part, implique des outils analytiques avancés qui automatisent la majorité du plan d'audit. Lorsque les auditeurs extraient manuellement les données et exécutent leurs propres analyses dans le cadre de l'audit assisté par ordinateur au cours de leur audit traditionnel, des serveurs puissants extraient et analysent automatiquement les données à des intervalles spécifiés dans le cadre de l'audit continu.

Voir également

Centre pour la qualité de l'audit (CAQ)

Les références

^ Vasarhelyi, Miklos et David Y. Chan. "Innovation et pratique de l'audit continu" Revue internationale des systèmes d'information comptable. (Numéro spécial sur les méthodes de recherche) 12, (2011) 152-160.
^ Vasarhelyi, MA et Halper, FB, 1991, l'audit continu des systèmes en ligne, l'audit: un journal de pratique et de théorie, 10 (1), 110-125.
^ Vasarhelyi, Miklos. «L'ère à venir de l'assurance continue». Insights. Affaires et économie de Melbourne. Avril 2011. 23-30.
^ Alles, Michael, Alexander Kogan et Miklos Vasarhelyi. "Black Box Logging and Tertiary Monitoring of Continuous Assurance Systems." Journal de contrôle des systèmes d'information 1. (2003): 37-39.
^ Vasarhelyi, Miklos, Carlos Elder Maciel De Aquino, Nilton Sigolo et Washington Lopes Da Silva. «Six étapes pour un processus d'audit continu efficace». Le Tech Forum, Institut des auditeurs internes. Juillet 2008.
^ Hunton, J., A. Wright et S. Wright. 2002. Évaluation de l’impact des rapports externes plus fréquents sur les états financiers et de l’assurance de l’auditeur indépendant sur la qualité des bénéfices et les effets sur les marchés boursiers. Document de travail présenté au cinquième symposium sur l'audit continu.
^ Van Decker, J., 2004, The Need for Continuous Controls Monitoring, Disponible en ligne, Delta 2951: METAgroup, http://www.metagroup.com/webhost/ONLINE/739743/d2951.htm .
^ Vasarhelyi, MA, Alles, M. et Kogan, A., 2004, Principes de surveillance analytique pour l'assurance continue, Journal des technologies émergentes en comptabilité, 1 (1), 1-21.
^ ACL: "Copie archivée" (PDF) . Archivé de l'original (PDF) le 2010-05-25 . Récupéré 18/01/2013 .CS1 maint: copie archivée comme titre ( lien )

Liens externes

[1] Vasarhelyi, Miklos et David Y. Chan. "Innovation et pratique de l'audit continu" Revue internationale des systèmes d'information comptable. (Numéro spécial sur les méthodes de recherche) 12, (2011) 152-160.

[2] Vasarhelyi, MA et Halper, FB, 1991, l'audit continu des systèmes en ligne, l'audit: un journal de pratique et de théorie, 10 (1), 110-125.

[3] Vasarhelyi, Miklos. «L'ère à venir de l'assurance continue». Insights. Affaires et économie de Melbourne. Avril 2011. 23-30.

[4] Alles, Michael, Alexander Kogan et Miklos Vasarhelyi. "Black Box Logging and Tertiary Monitoring of Continuous Assurance Systems." Journal de contrôle des systèmes d'information 1. (2003): 37-39.

[5] Vasarhelyi, Miklos, Carlos Elder Maciel De Aquino, Nilton Sigolo et Washington Lopes Da Silva. «Six étapes pour un processus d'audit continu efficace». Le Tech Forum, Institut des auditeurs internes. Juillet 2008.

[6] Hunton, J., A. Wright et S. Wright. 2002. Évaluation de l’impact des rapports externes plus fréquents sur les états financiers et de l’assurance de l’auditeur indépendant sur la qualité des bénéfices et les effets sur les marchés boursiers. Document de travail présenté au cinquième symposium sur l'audit continu.

[7] Van Decker, J., 2004, The Need for Continuous Controls Monitoring, Disponible en ligne, Delta 2951: METAgroup, http://www.metagroup.com/webhost/ONLINE/739743/d2951.htm .

[8] Vasarhelyi, MA, Alles, M. et Kogan, A., 2004, Principes de surveillance analytique pour l'assurance continue, Journal des technologies émergentes en comptabilité, 1 (1), 1-21.

[9] ACL: "Copie archivée" (PDF) . Archivé de l'original (PDF) le 2010-05-25 . Récupéré 18/01/2013 .CS1 maint: copie archivée comme titre ( lien )

Languages

In other projects