3102 Participation de l’audit des TI
sept.-2022

Participation de l’équipe de l’Audit des TI

Directives des NCA

L'utilisation que fait l'entité de l'informatique de même que la nature et l'étendue des changements survenus dans l'environnement informatique peuvent aussi avoir une incidence sur les compétences spécialisées qui sont nécessaires pour permettre l'acquisition de la compréhension requise. (NCA 315.A55)

Si l'environnement informatique de l'entité est particulièrement complexe, il est probable qu'il soit nécessaire d'inclure dans l'équipe des membres possédant des compétences spécialisées en informatique qui seront appelés à participer à l'identification des applications informatiques et des autres aspects de l'environnement informatique, des risques connexes découlant du recours à l'informatique et des contrôles généraux informatiques. La contribution de ces membres dans un environnement informatique complexe sera sans doute essentielle et possiblement considérable. (NCA 315.A171)

Politique du BVG

Environnement informatique complexe

Si l’entité dispose d’un environnement informatique complexe, l’Audit des TI doit participer à l’audit, à moins que le responsable de mission et l’Audit des TI ne concluent conjointement qu’aucune compétence spécialisée n’est requise, au‑delà de celles que possède l’équipe de mission, pour identifier, évaluer et mettre en œuvre des procédures qui répondent aux risques découlant du recours à l’informatique pertinents pour l’audit. [sept.-2022]

Environnement informatique modérément complexe

Si l’entité dispose d’un environnement informatique modérément complexe, l’Audit des TI participera à l’audit, à moins que le responsable de mission ne conclue, en tenant compte des conseils de l’équipe de l’Audit des TI, qu’aucune compétence spécialisée n’est requise, au‑delà de celles que possède l’équipe de mission, pour identifier, évaluer et mettre en œuvre des procédures qui répondent aux risques découlant du recours à l’informatique pertinents pour l’audit. [sept.-2022]

Lorsque l’Audit des TI participe à l’audit :

  1. L’intervention prévue de l’équipe de l’Audit des TI doit être documentée de façon satisfaisante dans le Mémoire sur la planification de l’audit des TI et approuvée par le responsable de la mission et par un membre de l’équipe de l’Audit des TI.
  2. Le responsable de la mission doit s’assurer que le membre de l’équipe de l’Audit des TI assiste aux réunions d’équipe où la stratégie d’audit ou les sources d’éléments probants choisies font l’objet d’une discussion. [sept.-2022]

Chaque fois que la stratégie d’audit s’appuie sur des sources d’éléments probants qui dépendent des systèmes informatiques pour lesquelles la fiabilité des informations qu’elle contient ne peut pas ou ne sera pas vérifiée par l’équipe de mission, l’équipe de l’Audit des TI doit participer à l’évaluation de l’efficacité du fonctionnement des contrôles informatiques généraux pertinents qui appuient les sources d’éléments probants qui dépendent des systèmes informatiques. [sept.-2022]

Directives du BVG

Le niveau de participation de l’Audit des TI dépendra des éléments suivants :

  • les compétences spécialisées nécessaires pour comprendre l’environnement informatique de l’entité, identifier les risques découlant du recours à l’informatique, identifier les contrôles informatiques et élaborer et exécuter le plan d’audit;
  • la complexité évaluée de l’environnement informatique;
  • la mesure dans laquelle les membres de l’équipe d’audit principale possèdent une partie ou la totalité des compétences spécialisées nécessaires.

Il faut envisager de consulter l’Audit des TI à l’étape de planification de la mission, afin que le spécialiste puisse aider l’équipe d’audit principale à évaluer la complexité de l’environnement informatique et à déterminer le niveau approprié de la participation de l’Audit des TI en ce qui a trait à l’acquisition d’une compréhension de l’environnement informatique de l’entité, à l’identification et l’évaluation des risques découlant du recours à l’informatique, à l’identification des contrôles informatiques et à l’élaboration et l’exécution du plan d’audit. L’Audit des TI peut être consultée en vue de remplir un rôle de consultation, d’encadrement et/ou de réalisation de la mission, et ces rôles peuvent varier pour différentes applications visées par le même audit (voir la section BVG Audit 3101 pour une explication de chacun de ces trois rôles de spécialiste). Par exemple, l’Audit des TI peut être consultée, au besoin, par l’équipe d’audit principale concernant un logiciel commercial non complexe (application « standard »), alors qu’elle peut être aussi mobilisée pour effectuer les travaux relatifs à une application plus complexe.

Lorsque l’Audit des TI participe à la mission, il est important que l’équipe de mission principale et les membres de l’Audit des TI travaillent de façon coordonnée, et que le travail effectué et les conclusions tirées par l’Audit des TI soient examinés et intégrés au processus d’audit. La communication et la coordination anticipées entre l’équipe de mission principale et l’Audit des TI aident à prévenir les changements imprévus dans l’approche en matière de test adoptée par l’auditeur vers la fin de la mission. Par exemple, si l’équipe d’audit principale a mis en œuvre ses procédures en supposant que les contrôles généraux informatiques fonctionnaient efficacement, mais qu’au cours des dernières étapes de la mission, lors de l’examen du travail effectué par l’Audit des TI, elle a constaté que des lacunes relatives aux contrôles généraux informatiques ont été décelées, il peut être nécessaire de modifier la nature et l’étendue des procédures de corroboration prévues. Cette réalisation tardive peut entraîner des difficultés à terminer la mission en temps opportun et/ou donner lieu à des problèmes imprévus vers la fin de la mission. Voir la politique du BVG ci‑dessus pour obtenir des renseignements sur la participation de l’Audit des TI à une mission.

La nécessité de faire participer l’Audit des TI à une mission impliquant un environnement informatique complexe ou modérément complexe (à moins qu’il ait été convenu que des compétences spécialisées autres que celles que possède l’équipe de mission principale ne sont pas requises) ne signifie pas nécessairement que toutes les applications informatiques nécessitent la participation de l’Audit des TI. L’Audit des TI et l’équipe d’audit principale doivent s’entendre sur le niveau de participation de l’Audit des TI pour chaque application informatique. Par exemple, l’Audit des TI participera habituellement à l’audit d’une entité ayant un environnement informatique complexe qui comprend un volume important de données, des applications couplées et l’utilisation de nouvelles technologies. Une même entité peut également avoir une application non complexe et autonome (p. ex., aucune interface avec d’autres applications) pour laquelle l’équipe d’audit principale a la compétence nécessaire pour évaluer et mettre en œuvre des procédures répondant aux risques découlant du recours à l’informatique pertinents pour l’audit, et ce, sans la participation de l’Audit des TI. Voir la section BVG Audit 5034 pour consulter des exemples portant sur un environnement informatique complexe comportant des applications informatiques non complexes.

Le tableau suivant donne des exemples du moment et de la façon dont l’Audit des TI peut intervenir pour chacun des trois niveaux de complexité des environnements informatiques définis dans la section BVG Audit 5034 :

Complexité de l’environnement informatique Exemples de participation de l’Audit des TI (se reporter à la section BVG Audit 3101 pour de plus amples détails et directives concernant les responsabilités des spécialistes)
Complexe
  • Comprendre la complexité de l’environnement informatique de l’entité, y compris la mesure dans laquelle le modèle opérationnel intègre le recours aux TI
  • Acquérir une compréhension des contrôles généraux informatiques (CGI) liés aux environnements informatiques complexes et aux dépendances aux TI, y compris des applications intégrant de nouvelles technologies, évaluer ces CGI et les tester
  • Tester les dépendances aux TI pour lesquelles on prévoit s’appuyer sur les CGI
  • Encadrer l’équipe d’audit principale dans l’évaluation de l’incidence des lacunes liées aux CGI, aux contrôles automatisés ou aux contrôles manuels qui dépendent de l’utilisation des TI
  • Encadrer l’équipe d’audit principale dans la mise en œuvre des procédures liées aux applications informatiques non complexes
  • Consulter l’équipe d’audit principale afin de concevoir des procédures de corroboration pour tester les dépendances aux TI lorsqu’on ne prévoit pas s’appuyer sur les CGI
  • Consulter l’équipe d’audit principale pour concevoir des procédures d’audit lorsque l’entité a recours à des organisations de service
  • Consulter l’équipe d’audit principale pour comprendre la nature de tout ajustement d’audit consigné, afin de déterminer s’il y a des indicateurs de lacunes supplémentaires relativement aux CGI
Modérément complexe
  • Comprendre la complexité de l’environnement informatique de l’entité, y compris la mesure dans laquelle le modèle opérationnel intègre le recours aux TI
  • Encadrer l’équipe d’audit principale pour qu’elle comprenne les CGI liés aux applications informatiques complexes
  • Évaluer et tester les CGI liés aux applications informatiques complexes
  • Encadrer l’équipe d’audit principale dans la mise en œuvre des procédures liées aux applications informatiques non complexes
  • Encadrer l’équipe d’audit principale dans l’évaluation de l’incidence des lacunes relevées
  • Consulter l’équipe d’audit principale en vue de la conception des procédures de test à l’égard des dépendances aux TI lorsqu’on prévoit s’appuyer sur les CGI
  • Consulter l’équipe d’audit principale en vue de la conception des procédures de corroboration aux fins des tests des dépendances aux TI lorsqu’on ne prévoit pas s’appuyer sur les CGI
  • Consulter l’équipe d’audit principale en vue de l’acquisition d’une compréhension de la nature de tout ajustement d’audit consigné, afin de déterminer s’il y a des indicateurs de lacunes supplémentaires relativement aux CGI
Non complexe*
  • Encadrer l’équipe d’audit principale en ce qui a trait à l’acquisition d’une compréhension de la complexité de l’environnement informatique de l’entité, y compris la mesure dans laquelle le modèle opérationnel intègre le recours aux TI
  • Encadrer l’équipe d’audit principale en ce qui a trait à l’acquisition d’une compréhension, à l’évaluation et aux tests des CGI liés aux applications informatiques non complexes
  • Consulter l’équipe d’audit principale en vue de la conception des procédures de test à l’égard des dépendances aux TI lorsqu’on prévoit s’appuyer sur les CGI
  • Consulter l’équipe d’audit principale en vue de la conception des procédures de corroboration aux fins des tests des dépendances aux TI lorsqu’on ne prévoit pas s’appuyer sur les CGI

* Bien que la Politique du Bureau n’exige pas la participation de l’Audit des TI lorsque l’environnement informatique d’une entité est non complexe, l’Audit des TI peut quand même améliorer la compréhension acquise par l’auditeur de la façon dont les risques découlant du recours à l’informatique peuvent avoir une incidence sur la mission ou fournir des conseils sur l’élaboration d’une réponse d’audit efficace à ces risques.

La décision de ne pas avoir recours au personnel de l’Audit des TI dans le cadre d’un audit comportant un environnement informatique complexe doit être prise conjointement entre le responsable de la mission et l’Audit des TI. La décision de ne pas avoir recours au personnel de l’Audit des TI dans le cadre d’un audit comportant un environnement informatique modérément complexe doit être prise avec l’intervention de l’Audit des TI. La justification de ces conclusions doit être incluse dans la documentation de planification. Ces conclusions peuvent tenir compte non seulement des compétences spécialisées de l’équipe de mission principale, mais aussi de la complexité des applications et d’autres aspects de l’environnement informatique qui donnent lieu à des risques découlant du recours à l’informatique, ainsi que de l’approche prévue pour obtenir des éléments probants aux fins de gestion de ces risques.

Si il n’y a pas eu de changements importants dans les caractéristiques de l’environnement informatique de l’entité (se référer à la section BVG Audit 5034) depuis qu’une décision conjointe (dans le cadre d’un environnement informatique complexe) ou une décision avec l’intervention de l’Audit des TI (dans le cadre d’un environnement informatique modérément complexe) a conclu que la participation de l’Audit des TI n’était pas nécessaire, le responsable de la mission peut choisir, au cours de la ou des périodes d’audit subséquente(s), de déterminer si des compétences spécialisées, au‑delà de celles que possède l’équipe de mission principale, sont nécessaires pour identifier, évaluer et mettre en œuvre des procédures qui tiennent compte des risques découlant du recours à l’informatique pertinents pour l’audit, sans autre intervention de l’Audit des TI. Pour déterminer s’il y a eu des changements importants, il faut tenir compte à la fois des changements survenus au cours de la période considérée et de l’accumulation de changements non importants au cours de la période depuis qu’il a été conclu, de façon conjointe, que la participation de l’Audit des TI n’était pas nécessaire. Plus la période écoulée depuis l’établissement de la conclusion conjointe est longue, plus il est probable que des changements non importants s’accumuleront pour donner lieu à un changement important qui nécessiterait une réévaluation conjointe du besoin de faire participer l’Audit des TI.

La justification de cette conclusion, y compris la question de savoir s’il y a eu des changements importants dans l’environnement informatique depuis l’établissement de la conclusion initiale, doit être incluse dans la documentation de planification.

Dans le cadre de la planification d’un audit où la participation de l’Audit des TI sera sollicitée, le responsable de mission et le personnel de l’Audit des TI s’entendent généralement sur des questions telles que les suivantes :

  • le niveau de participation de l’Audit des TI, qui dépendra des compétences spécialisées nécessaires pour comprendre l’environnement informatique, cerner les risques découlant du recours à l’informatique et comprendre les contrôles informatiques qui répondent à ces risques;
  • les questions et les risques liés aux TI auxquels il faut accorder une attention particulière;
  • les applications informatiques visées qui nécessitent la participation de l’Audit des TI;
  • les attentes à l’égard de la participation de l’Audit des TI aux principales réunions avec l’équipe et les clients, s’il y a lieu;
  • l’évaluation des risques liés à la cybersécurité et l’étendue de la participation de l’Audit des TI à la réponse aux risques liés à la cybersécurité (voir les directives supplémentaires liées à la cybersécurité dans la section BVG Audit 5035.2);
  • le plan en matière de test et l’affectation des ressources en ce qui a trait aux CGI, aux contrôles automatisés, aux calculs automatisés et aux autres dépendances aux TI pertinentes;
  • la mesure dans laquelle le personnel de l’Audit des TI affecté à la mission et/ou le responsable de mission superviseront et examineront les travaux effectués;
  • la façon dont l’Audit des TI et le personnel de l’équipe d’audit principale examineront la réponse d’audit prévue lorsque des lacunes en matière de contrôle interne sont décelées;
  • la façon dont les lacunes en matière de contrôle des TI seront évaluées et signalées à l’équipe d’audit principale et, le cas échéant, à la direction et aux personnes responsables de la gouvernance.

Bien que le responsable de mission ait la responsabilité globale de déterminer les rôles et les responsabilités de l’équipe, y compris en ce qui a trait au recours au personnel de l’Audit des TI dans le cadre de la mission, si le personnel de l’Audit des TI affecté à la mission a des opinions divergentes au sujet de la décision du responsable de mission quant au niveau de participation nécessaire, il faut suivre les directives de la section BVG Audit 3082 pour résoudre ces divergences.

Voir la section BVG Audit 5034 pour obtenir des conseils sur l’évaluation de la complexité de l’environnement informatique, y compris des exemples de différents niveaux de complexité.

Voir la section BVG Audit 3101 pour obtenir des conseils sur la documentation du travail effectué par des spécialistes de la comptabilité ou de l’audit, y compris l’utilisation d’outils technologiques, dans le cadre d’un audit.

La conclusion tirée à l’égard de la participation d’un spécialiste en audit des TI et les motifs qui sous-tendent cette participation sont documentés dans le Mémoire sur la planification de l’audit des TI.

Principes de la rotation des membres de l’audit des TI

Directives du BVG

Les spécialistes en audit des TI qui exécutent des travaux dans le cadre d’une mission doivent connaître les directives sur la rotation qui s’appliquent aux audits. Actuellement, il n’existe aucune directive précise en ce qui concerne la rotation obligatoire des spécialistes en audit des TI, puisque cela dépend du rôle qu’ils jouent dans le cadre de la mission. Afin de déterminer s’ils sont soumis au principe de la rotation, les spécialistes en audit des TI doivent évaluer leur rôle dans le cadre de la mission et prendre en considération les règles relatives à l’indépendance, les obligations réglementaires et la section BVG Audit 3031.