AVIS CONCERNANT LE DROIT D’AUTEUR — Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.
1192 Confidentialité, archivage sécurisé, intégrité, accessibilité et facilité de consultation de la documentation des missions
déc.-2022
Aperçu
La documentation des missions est habituellement conservée dans l’un ou l’autre des deux formats suivants : copie papier ou support électronique. Bien qu’il soit préférable de conserver les documents d’audit sur support électronique, il peut y avoir des exceptions.
La présente section porte sur les politiques et procédures du Bureau qui visent à assurer la confidentialité, l’archivage sécurisé, l’intégrité, l’accessibilité et la facilité de consultation de la documentation des missions. L’utilisation d’un logiciel pour les feuilles de travail d’audit est essentielle à l’application de ces politiques et procédures.
Politiques du BVG
Remarque : La majorité des énoncés de politiques qui figurent ci-dessous sont tirés des documents stratégiques du Bureau. On peut les consulter à partir des liens fournis à la fin de la présente section.
Utilisation d’un logiciel pour les feuilles de travail d’audit
Toute la documentation des missions classée jusqu’au niveau « Protégé B » inclusivement doit être conservée sur support électronique et enregistrée dans le logiciel pour les feuilles de travail d’audit. Les dérogations autorisées à cette politique sont énoncées dans la partie du document qui porte sur les directives, sous le titre « Utilisation d’un logiciel pour les feuilles de travail d’audit ». [juin.-2020]
Confidentialité
Conformément aux règles de déontologie pertinentes (BVG Audit 1031 — Règles de déontologie régissant une mission de vérification), les auditeurs doivent respecter le caractère confidentiel de l’information recueillie et ne rien divulguer de cette information à quiconque sans avoir obtenu d’autorisation appropriée, à moins qu’une obligation légale ou professionnelle ne s’applique. De plus, ils ne doivent pas utiliser cette information pour favoriser leurs intérêts personnels ni ceux d’une tierce partie. [nov.-2011]
Au sein du Bureau, les auditeurs doivent faire appel à leur jugement professionnel pour respecter le caractère confidentiel de l’information d’audit. Les auditeurs doivent en particulier tenir compte de la confidentialité de l’information lorsqu’ils ont des entretiens avec d’autres membres du personnel du Bureau qui ne sont pas directement associés aux travaux portant sur l’entité en question. [nov.-2011]
Les auditeurs doivent recenser l’information et voir à ce qu’elle ne soit pas divulguée sans autorisation appropriée. Lors du classement, il faut tenir compte de l’agrégation des données, en ce sens que la nature délicate d’un ensemble de données peut dépasser celle de tout composant pris isolément. [nov.-2011]
Le Bureau doit limiter l’accès aux renseignements classifiés et protégés et aux autres biens, aux seules personnes qui :
- détiennent la cote de fiabilité ou l’attestation de sécurité nécessaire;
- ont besoin de prendre connaissance de ces renseignements ou d’y avoir accès. [nov.-2011]
L’étiquetage, la copie, le stockage, la transmission et la destruction des renseignements protégés ou classifiés doivent se faire conformément aux dispositions énoncées dans la fiche de consultation rapide servant d’aide-mémoire sur la sécurité. [nov.-2011]
Les équipes d’audit doivent faire en sorte que l’accès à la documentation de l’audit soit limité aux membres de l’équipe de mission et à ceux qui doivent prendre connaissance de ces renseignements pour s’acquitter de leurs fonctions (p. ex. responsable de la revue de la qualité, équipes des méthodes, spécialistes internes). [juin-2020]
Voir également la section BVG Mission d’appréciation directe 9020 − Gestion des documents contrôlés. [nov.-2011]
Pour protéger la confidentialité et l’intégrité des renseignements d’audit, le Bureau chiffre toutes les données stockées sur les ordinateurs du BVG. [nov.-2011]
Les auditeurs doivent veiller :
-
à ne dévoiler les mots de passe à personne (p. ex. SecureDoc, réseau du BVG, logiciel pour les feuilles de travail d’audit);
-
à conserver les mots de passe enregistrés dans un endroit sûr;
-
à changer immédiatement tout mot de passe dont la confidentialité est compromise, et à en aviser le Service de sécurité du BVG. [juin-2020]
Seules les clés USB chiffrées fournies par le BVG sont autorisées. [nov.-2011]
Archivage sécurisé
L’étiquetage, la reproduction, le stockage, la transmission et la destruction des renseignements protégés ou classifiés doivent se faire conformément aux dispositions énoncées dans la fiche de consultation rapide servant d’aide-mémoire sur la sécurité. [nov.-2011]
Il faut verrouiller les ordinateurs portatifs à l’aide d’un câble de sécurité lorsque ceux-ci sont laissés sans surveillance. Il ne faut jamais oublier des clés dans un endroit accessible aux personnes non autorisées (p. ex. sur un bureau ou dans un tiroir non verrouillé). [nov.-2011]
Les ordinateurs portatifs qui ne peuvent être verrouillés à l’aide d’un câble de sécurité doivent être placés dans un contenant de sécurité approuvé qui assure une protection au niveau correspondant à la sensibilité de l’information contenue sur le disque dur. [nov.-2011]
Les membres du personnel auxquels on prête un ordinateur portatif à utiliser hors du Bureau doivent prendre des précautions raisonnables pour éviter toute perte, tout bris ou usage inapproprié. [nov.-2011]
Intégrité
Les auditeurs doivent inscrire sur les feuilles de travail quand et par qui la documentation de la mission a été établie, modifiée ou revue (BVG Audit 1111). Dans le logiciel pour les feuilles de travail d’audit, la fonction d’approbation par voie électronique aide à consigner ces renseignements. [juin-2020]
Voir également la section BVG Audit 1172 — Modifications des documents d’audit après la constitution du dossier d’audit définitif. [nov.-2011]
Dans le logiciel pour les feuilles de travail d’audit, les auditeurs qui se servent de répliques locales doivent mettre le fichier maître régulièrement à jour. Ils doivent régler rapidement tout conflit qui puisse survenir au moment du fusionnement d’une réplique avec le fichier maître. [juin-2020]
Lorsque les auditeurs travaillent dans un secteur qui n’est pas doté d’une connexion à distance fiable (ils utilisent alors le fichier maître à partir d’une clé USB chiffrée qu’ils apportent avec eux sur le terrain), il faut faire des sauvegardes de sécurité du fichier maître et l’enregistrer sur un lecteur distinct (le disque dur de l’ordinateur portatif d’un autre membre de l’équipe). La clé USB chiffrée ne doit pas être conservée avec l’ordinateur portatif qui contient aussi les copies de sauvegarde. [nov.-2011]
Accessibilité et facilité de consultation
Utilisation de PROxI pour les audits de performance et les examens spéciaux — On s’attend à ce que les équipes chargées des audits de performance et des examens spéciaux utilisent PROxI comme système de gestion des documents et comme dépôt des documents externes électroniques jusqu’à ce qu’il soit nécessaire de les verser dans le logiciel pour les feuilles de travail d’audit (BVG Audit 1121 — Préparation en temps opportun de la documentation de l’audit). [juin-2020]
Le BVG donnera à son service informatique l’accès à l’information et au matériel électronique du BVG de façon sélective, aux personnes qui en ont besoin et qui ont fait l’objet d’une vérification appropriée de la fiabilité ou de la sécurité. [nov.-2011]
Pour que les documents électroniques ou protégés par un mot de passe, y compris les courriels, soient accessibles à partir de PROxI ou du logiciel pour les feuilles de travail d’audit, il faut faire enlever le mot de passe ou le chiffrement. [nov.-2011]
Numérisation
Dans les cas où des documents originaux sur papier ont été numérisés pour être intégrés au dossier de l’audit, l’auditeur doit s’assurer que la copie numérisée :
-
est identique dans sa forme et son contenu (voir les directives ci-dessous) aux documents originaux sur papier, y compris les signatures manuscrites, les renvois et les annotations;
-
est indexée et approuvée dans le dossier de l’audit;
-
peut être récupérée et imprimée. [nov.-2011]
Directives du BVG
Utilisation d’un logiciel pour les feuilles de travail d’audit
Les équipes doivent conserver tous les documents d’audit sur support électronique, dans le logiciel pour les feuilles de travail d’audit, à l’exception de ce qui suit :
-
les documents dont la cote de sécurité est « Protégé C » ou s’ils sont « classifiés » (Confidentiel, Secret ou Très secret);
-
pour les pratiques d’appréciation directe, toutes les pièces de correspondance importantes signées en provenance de l’entité auditée ou de tiers;
-
dans les rares cas où le responsable de mission estime qu’il y a des raisons d’ordre juridique ou autres de conserver la documentation originale sur papier, il doit, dans de tels cas, consulter les Services juridiques;
-
lorsque l’équipe ne peut facilement sauvegarder le document dans le logiciel pour les feuilles de travail d’audit (p. ex. en raison de sa taille ou du format du fichier).
L’équipe doit ajouter dans le logiciel pour les feuilles de travail d’audit un renvoi à tout document d’audit conservé sur papier ainsi qu’une description de l’endroit physique où il se trouve, de façon à maintenir l’intégralité du fichier d’audit.
Obligations légales et réglementaires
Le Bureau a consulté les Services juridiques pour déterminer, en fonction des normes professionnelles, les raisons pour lesquelles il faut conserver certains documents originaux sur papier, que ce soit des raisons d’ordre légal, réglementaire ou autre.
Le premier facteur à considérer est la probabilité d’avoir besoin de la documentation de l’audit dans le contexte de litiges. Par le passé, lorsque de la documentation d’audit a été demandée dans le contexte d’un litige, il s’agissait toujours d’un audit de performance.
Le second facteur à considérer est le risque que les éléments probants électroniques ne soient pas acceptés à titre d’éléments probants si leur authenticité est discutable. En général, les dossiers électroniques sont acceptables en tant que preuve légale, à moins que l’original n’ait une caractéristique unique, comme une signature. Comme les dossiers d’un audit de performance peuvent contenir des éléments probants signés, dont un certain nombre sont importants, ils doivent donc être conservés sur papier (BVG Audit 1191 — Procédures et politiques sur la conservation des dossiers d’audit).
Numérisation
Les équipes peuvent faire preuve de discernement lorsqu’il s’agit de numériser des documents volumineux. Il faut en effet tenir compte du fait que l’efficacité de consultation des dossiers (en raison de la réplication du dossier d’audit électronique) risque d’être compromise si l’on sauvegarde de gros fichiers dans le logiciel pour les feuilles de travail d’audit. Ainsi, au lieu de numériser tout le contenu des dossiers, il peut suffire de numériser seulement les principales pages (comme la page titre, les extraits pertinents et la page de signatures), ce qui pourrait suffire en tant que documentation d’audit.
Confidentialité
Échange de l’information au sein du Bureau
Les documents confidentiels des clients peuvent être échangés d’une équipe à l’autre sans le consentement des clients. Toutefois, cette pratique pourrait entraîner un conflit d’intérêts, soulever des questions relatives à l’indépendance ou comporter d’autres risques.
En général, il n’est pas interdit d’échanger de l’information importante concernant les clients au sein du Bureau (entre les auditeurs, les équipes d’audit ou les pratiques d’audit) dans la mesure où, tel qu’il est expliqué ci-dessous, cela sert les intérêts du client et que les professionnels de l’audit sont convaincus que des contrôles suffisants sont en place pour atténuer les risques associés à la divulgation interne d’information.
La divulgation d’information confidentielle sur les clients au sein du BVG repose sur le jugement professionnel des employés du Bureau. Il existe par ailleurs une distinction importante à faire avec la divulgation de ce type d’information aux tierces parties externes, ce qui est normalement interdit sans avoir obtenu l’autorisation appropriée. Au sein du BVG, outre s’assurer que le récipiendaire possède la cote de sécurité adéquate et qu’il a un besoin légitime de connaître l’information confidentielle qui se trouve dans les documents du client, la restriction de la distribution de cette information à l’interne est aussi un mécanisme organisationnel important pour respecter les principes fondamentaux de déontologie et les exigences connexes, conformément à BVG Audit 1031.
L’exercice du jugement professionnel dans ces circonstances doit se faire conformément au Code de valeurs, d’éthique et de conduite professionnelle du BVG ainsi qu’aux codes de déontologie des différents organismes professionnels comptables du Canada, qui décrivent de manière approfondie les obligations connexes. Par exemple, la protection de la confidentialité des renseignements au sein d’une organisation ou d’un cabinet est incluse dans le principe général de confidentialité aux termes du préambule et de la règle 208 du code de déontologie de CPA Ontario, lequel est assujetti à la Loi de 2010 sur les comptables agréés, 2010. Les directives connexes établies par CPA Ontario sur ce sujet, toutefois, précisent que l’interdiction d’utiliser de manière inappropriée les renseignements confidentiels des clients ne restreint pas la divulgation de tels renseignements au sein d’un cabinet. Cette interprétation repose sur la présomption que les connaissances d’une personne au sein d’un cabinet sont mises en commun avec d’autres membres du cabinet (ou communiquées à ces derniers) au moment de tenir compte de la question des conflits d’intérêts. Cette question est la principale raison pour laquelle il faut contrôler dans quelle mesure les membres d’un cabinet s’échangent de l’information protégée des clients. Cette interprétation correspond également aux commentaires diffusés par le Barreau du Haut-Canada à l’article 3.3 de son Code de déontologie, qui stipule : « […], sauf directive contraire, l’avocat peut discuter des affaires de son client avec ses associés et les professionnels salariés du cabinet, […] ».
Si les équipes d’audit prévoient utiliser à d’autres fins l’information des clients en la communiquant à d’autres équipes d’audit, il serait souhaitable à notre avis d’au moins d’informer l’entité auditée (sauf instruction contraire de cette dernière) durant l’une des étapes préliminaires de la mission que l’équipe entend se procurer de l’information confidentielle précédemment fournie au BVG par l’entité, et ce, dans le but d’obtenir une meilleure connaissance des activités de cette dernière et d’éviter toute demande additionnelle d’information auprès d’elle pour les mêmes documents et la même information.
La possibilité pour les auditeurs, les équipes d’audit et les pratiques d’audit d’échanger de l’information sur leurs expériences antérieures respectives peut être restreinte par notre responsabilité de maintenir la confidentialité de l’information sur les clients. Cependant, ce type d’échange ne doit pas nécessiter la divulgation d’information confidentielle sur les clients. Le principe de la confidentialité des clients s’applique à l’information en soi et prévaut, peu importe la forme de communication (discussions de vive voix ou examen de la documentation). Cependant, il arrive souvent que la mise en commun des expériences antérieures n’entraîne pas la divulgation d’information confidentielle sur les clients. De plus, la mise en commun des expériences et des opinions à l’interne se fait dans l’intérêt du Bureau.
Communication de l’information à de tierces parties
Le Bureau peut, dans des cas précis, accorder à des tiers l’accès à de l’information relative à un audit. Le responsable de la mission est chargé de régler la question de l’accès aux dossiers d’audit et de veiller à ce que les mesures de sécurité pertinentes soient appliquées si l’accès est accordé. Le coordonnateur de l’accès à l’information et de la protection des renseignements personnels (AIPRP) et les Services juridiques doivent être consultés lorsque les circonstances le justifient.
Normalement, l’accès à nos dossiers d’audit est consenti seulement dans les circonstances suivantes :
-
Lorsqu’un nouvel auditeur a été nommé ou lorsqu’un nouveau co-auditeur a été nommé — Il s’agit là d’une pratique professionnelle normale, qui sert l’intérêt du client en ce sens qu’elle assure une pleine collaboration entre les auditeurs successifs. Avant d’accorder l’accès aux dossiers, le Bureau doit établir une entente écrite claire, expliquant les conditions dans lesquelles l’accès est consenti. L’auditeur successeur est normalement supervisé lorsqu’il examine des dossiers.
-
En cas d’audit conjoint — Dans de telles ententes, les deux auditeurs sont conjointement et solidairement responsables de l’audit. Il est courant que toutes les sections clés des dossiers soient examinées par les deux équipes d’auditeurs pour garantir qu’il y a des éléments probants suffisants et appropriés pour étayer l’opinion de l’auditeur.
-
En cas de procédure judiciaire — Nos dossiers d’audit peuvent être utilisés comme preuve dans des cas de litiges, et ils l’ont d’ailleurs déjà été. Les Services juridiques doivent normalement s’occuper de fournir l’information visée par l’assignation à témoigner, de la façon prescrite et au moment demandé.
-
Lorsqu’un client en fait la demande — Il arrive à l’occasion que nos clients demandent l’accès à nos dossiers d’audit. En règle générale, une telle demande est adressée par l’audit interne ou des gestionnaires qui veulent prendre connaissance des descriptions que nous avons faites de leurs systèmes comptables. Le responsable de la mission doit alors tenter de satisfaire à la demande du client autrement qu’en lui laissant examiner nos dossiers, pourvu que l’information transmise est telle qu’elle ne mine pas l’indépendance du Bureau ni celle des membres de l’équipe.
-
Lorsque des inspections externes sont effectuées par les ordres provinciaux.
Les auditeurs doivent renvoyer toute demande d’accès à l’information relative à un audit au bureau du coordonnateur de l’accès à l’information et de la protection des renseignements personnels ou aux Services juridiques.
Demandes présentées en vertu de la Loi sur l’accès à l’information
Pour protéger la confidentialité des dossiers d’audit, d’enquête et d’examen du BVG, le paragraphe 16.1(1) de la Loi sur l’accès à l’information exige du vérificateur général du Canada qu’il refuse de communiquer les documents qui contiennent des renseignements créés ou obtenus par lui ou pour son compte dans le cadre de tout examen, enquête ou audit fait par lui ou sous son autorité.
Si une entité qui a reçu une demande de divulgation d’information relative à un audit, consulte le Bureau, ce dernier demande à l’entité en question de protéger toute information relative aux audits en cours qu’elle a en sa possession jusqu’à ce que le rapport d’audit ait été déposé ou présenté. En vertu de l’article 22 de la Loi sur l’accès à l’information, le Bureau demande à l’entité de protéger toute information d’audit contre la divulgation.
Une fois qu’un rapport a été déposé ou présenté, le Bureau demande à l’entité de protéger les documents sur lesquels le BVG exerce clairement un contrôle (à savoir les « documents rouges »). Le Bureau ne demande pas aux entités de ne pas divulguer d’autres renseignements liés à l’audit en leur possession.
Demandes présentées en vertu de la Loi sur la protection des renseignements personnels
La Loi sur la protection des renseignements personnels protège la confidentialité des renseignements personnels recueillis, gérés et détruits par le gouvernement du Canada. La Loi donne aussi aux Canadiens le droit d’obtenir l’accès aux renseignements personnels détenus par une institution gouvernementale et de les corriger, sauf dans des circonstances restreintes et particulières (exceptions et exclusions). Puisque le Bureau du vérificateur général est assujetti à la Loi, un citoyen canadien ou un résident permanent du Canada peut lui demander l’accès à ses renseignements personnels. Si le Bureau a en sa possession les renseignements personnels demandés, il est tenu de les communiquer, qu’ils comptent ou non parmi ses documents d’audit.
Étant donné que l’opinion d’une personne sur une autre personne constitue un renseignement personnel sur cette dernière, les auditeurs doivent s’abstenir de formuler des commentaires non nécessaires sur des personnes dans les notes marginales de documents ou dans les documents d’audit. Les commentaires qui pourraient être considérés comme choquants par la personne concernée doivent être évités. Les auditeurs doivent aussi prendre soin de formuler convenablement les questions destinées à des entrevues auxquelles les réponses seront consignées en dossier.
Procédure judiciaire
L’éthique professionnelle veut que nous protégions la confidentialité des informations que nous obtenons des entités auditées. Par conséquent, la position du Bureau a toujours été de ne pas produire volontairement ses dossiers d’audit. Cependant, les documents du Bureau peuvent être obtenus au moyen d’une ordonnance d’un tribunal.
Documents du BVG laissés en la possession de l’entité auditée
Lorsqu’une procédure judiciaire est intentée contre une entité auditée, les documents d’audit laissés en sa possession ne sont pas protégés de la divulgation et de la production s’ils sont pertinents dans le contexte du litige. La loi exige que les parties à un litige communiquent tous les documents pertinents en leur possession, sous leur contrôle ou sous leur garde. L’emploi du papier « à encadré rouge » du Bureau pour contrôler les documents d’audit n’exempterait pas ceux-ci de l’obligation de divulgation dans le cadre d’une procédure judiciaire, surtout s’ils sont restés en la possession de l’entité.
Documents du BVG qui ne sont plus en la possession de l’entité auditée
Lorsque l’entité a retourné les documents d’audit au Bureau avant d’être informée de la procédure judiciaire, il est probable que nos documents n’auront pas à être produits devant un tribunal. Les auditeurs doivent donc s’assurer que les documents contrôlés du Bureau leur sont retournés à l’issue d’un audit (Manuel pour les missions d’appréciation directe section 9020 — Gestion des documents contrôlés). L’entité sera tout de même tenue d’indiquer que les documents pertinents du BVG ont été en sa possession à un moment donné, mais un tribunal ne pourrait délivrer d’ordonnance que s’il estimait que les documents sont pertinents pour une question essentielle de la procédure et qu’il serait inéquitable pour une des parties d’engager la procédure sans les documents.
Les auditeurs doivent garder à l’esprit que les documents du Bureau en la possession d’une entité auditée, en plus d’être assujettis à la Loi sur l’accès à l’information, peuvent aussi être produits par l’entité lors d’une procédure judiciaire. En conséquence, le contenu et le ton des documents, qu’ils soient sur support électronique ou papier, doivent pouvoir résister à l’examen du public. Les auditeurs doivent faire preuve de diligence et exercer leur jugement professionnel lorsqu’ils communiquent par écrit.
Immunité prévue par la Loi sur le vérificateur général
L’article 18.2 de la Loi sur le vérificateur général confère au vérificateur général et aux personnes qui agissent en son nom ou sous son autorité une immunité qui les exempte des poursuites visant toute mesure prise, tout rapport établi ou toute parole prononcée de bonne foi dans l’acquittement des attributions qui leur sont confiées en vertu de la loi.
L’article 18.1 de la Loi, quant à lui, prévoit une immunité testimoniale. Plus précisément, selon cet article, le vérificateur général et les personnes qui agissent en son nom ou sous son autorité n’ont pas qualité pour témoigner ou ne peuvent être contraints à témoigner sur les questions portées à leur connaissance dans l’acquittement de leurs attributions d’audit. Autrement dit, la loi ne permet pas aux représentants du Bureau de témoigner lors d’une procédure judiciaire sur les informations relevées au cours d’un audit. La seule exception à cette immunité testimoniale est une poursuite pour parjure.
Les deux articles confèrent l’immunité au vérificateur général et aux personnes (employés et contractuels) qui agissent sous son autorité. Cependant, ils ne s’appliquent pas aux documents du BVG, ce qui comprend les documents d’audit.
Archivage sécurisé
La Politique sur la sécurité du BVG établit des lignes directrices pouvant servir à ceux qui apportent leur ordinateur portatif avec eux dans leurs déplacements.
Une fois que le dossier définitif est constitué, la Gestion de l’information et des données limite l’accès à un dossier, en permet la distribution adéquate et veille à ce qu’elle soit conservée sur papier ou support électronique dans le respect de la confidentialité.
Intégrité
Une fonctionnalité du logiciel pour les feuilles de travail d’audit permet de signaler toute feuille de travail électronique qui a été modifiée après avoir été revue.
La section BVG Audit 1172 fournit de plus amples détails sur la conservation de l’intégrité des feuilles de travail en format papier.
Accessibilité
Le dossier d’audit ne doit contenir que les documents d’audit importants, en particulier les éléments probants suffisants et appropriés. Cela réduit à la fois le nombre d’approbations de préparation ou de revue requises et les ralentissements occasionnés au cours du traitement de gros dossiers d’audit. De plus, l’utilisation de PROxI améliore le processus de gestion des fichiers et accroît la capacité (non disponible dans le logiciel pour les feuilles de travail d’audit) de classement, de recherche et de gestion des documents. Consulter la section BVG Audit 1111 — Nature, utilité et étendue de la documentation de l’audit, ainsi que la section BVG Audit 1112 — Documents de l’entité et éléments probants de source électronique (y compris les courriels).
Les principes régissant le traitement des documents externes pour les audits de performance et les examens spéciaux sont les suivants :
-
Les équipes d’audit doivent utiliser PROxI comme répertoire de tous les documents électroniques externes recueillis au cours de l’audit, en s’assurant que ces documents sont consignés et conservés de façon appropriée jusqu’à ce qu’ils servent à documenter une étape d’audit.
-
Lorsqu’un membre de l’équipe d’audit détermine qu’un document externe est requis, ce document, ou à tout le moins les éléments pertinents de ce document, doit être copié dans le dossier d’audit électronique.
-
Tous les travaux d’audit préparés par un membre de l’équipe doivent être revus par un membre de l’équipe plus expérimenté. L’auteur du document est le membre de l’équipe qui juge de l’importance du document dans le cadre de l’audit. Le « responsable de la revue » est le membre de l’équipe qui revoit la ou les feuilles de travail ou les étapes de l’audit que viennent appuyer le ou les documents externes.
-
Au début du processus de préparation du rapport, le responsable de mission doit veiller à ce que soient revus une dernière fois tous les documents externes reçus qui sont conservés à l’extérieur du dossier d’audit électronique. Le but de cette revue est de déterminer, avant la date de communication du rapport, si un ou plusieurs documents reçus par l’équipe et qui n’ont pas été transférés dans le dossier d’audit pourraient remettre en cause les conclusions de l’audit ou le contenu du rapport. Le responsable de mission doit documenter cette revue, les conclusions ou les mesures prises dans le logiciel pour les feuilles de travail d’audit pour qu’elles fassent partie du dossier d’audit.
-
Conformément aux politiques du Bureau en vigueur (BVG Audit 1191 — Procédures et politiques sur la conservation des dossiers d’audit), une fois que le responsable de mission a terminé son examen, les équipes d’audit doivent se défaire des documents de transition à moins qu’elles jugent que l’on connaîtrait mieux l’entité si ces documents étaient conservés dans le dossier « Connaissance des activités ».
Dans le cas des documents électroniques qui sont chiffrés ou protégés par un mot de passe, y compris les courriels conservés comme fichiers, il faut éliminer le mot de passe ou le chiffrement avant d’enregistrer les documents dans PROxI ou dans le logiciel pour les feuilles de travail d’audit.
Pour enlever le mot de passe d’un fichier, il faut enregistrer le fichier de nouveau, mais sans mot de passe. Cependant, dans le cas de courriel chiffré, l’enregistrement par défaut (avec .msg comme extension de fichier) conserve le chiffrement. Par conséquent, les membres de l’équipe doivent enlever le chiffrement.
Facilité de consultation
Les auditeurs sont encouragés à effectuer des sauvegardes à partir de leur poste de travail à intervalles réguliers, lorsque l’application de sauvegarde informatisée les invite à le faire.
La direction du dirigeant principal de l’information doit établir les exigences et mettre en place des procédures de sauvegarde et de récupération pour prévenir une panne du système ou une interruption temporaire ou localisée du service. Le processus de sauvegarde sert à la récupération des données des serveurs et des postes de travail. Les systèmes informatisés sont conçus de façon à pouvoir, après tout incident de sécurité, récupérer les données à partir de points de contrôle connus et fiables.
La direction du dirigeant principal de l’information prépare des plans de continuité pour la reprise des activités après la perturbation du service.
Pendant la période de conservation (BVG Audit 1191), la direction du dirigeant principal de l’information effectue des essais de compatibilité pour s’assurer que les fichiers dans le logiciel pour les feuilles de travail d’audit pourront être récupérés et consultés même si la technologie est mise à niveau ou remplacée.