Le processus d'audit
L'administrateur fonctionnel GRC prépare au préalable l'environnement de travail nécessaire (définition de l'équipe, gestion des devises et des calendriers de campagnes, paramétrage des feuilles de temps).
Pour plus de détails, voir Administration fonctionnelle GRC. Le processus d'audit à proprement parler comprend grandes parties :
• préparation
• exécution
• suivi
Préparation de l'audit
Concevoir le plan d'audit
Le directeur d'audit rassemble les informations obtenues auprès des directeurs de l'organisation au cours d'interviews. Il crée une liste de missions potentielles.
Le plan d'audit est validé via le workflow.
Planifier l'audit et gérer les équipes
Le directeur d'audit :
• planifie les missions d'audit
• affecte les auditeurs aux missions d'audit
Préparer la mission d'audit
Le directeur d'audit informe les audités du lancement d'une mission d'audit. Il spécifie le calendrier et nomme le chef de mission.
Il définit le périmètre de l'audit (thème principaux) et le communique à l'ensemble de l'équipe d'audit.
Exécution de l'audit
Rédiger et revoir le programme de travail de l'audit
Le chef de mission rencontre les principaux audités durant les premiers jours de l'audit. Il réunit les documents et définit les risques et/ou contrôles à auditer, ce qui conduit à la définition du programme de travail.
Le programme de travail consiste en la définition des tâches de l'audit de manière à couvrir les risques identifiés ou contrôles audités, la répartition de la charge de travail et la définition des responsables de l'audit.Le programme de travail est validé par le directeur d'audit.
Réaliser les tâches d'audit
Les auditeurs réalisent les tâches d'audit (les "activités") :
• tests sur échantillons
• interviews
• collecte d'informations
• rédaction et revue des constats
• proposition de recommandations
Superviser l'audit
Le chef de mission procède à la revue des constats rédigés par les auditeurs. Il vérifie que :
• le style est respecté (forme et contenu)
• le processus est analysé correctement (démonstrations claires et précises)
• les preuves d'audit sont jointes
• les causes, risques et impacts sont clairement identifiés
Emettre le rapport d'audit
Une fois les tâches d'audit réalisées, le chef de mission peut rassembler les constats dans un premier rapport, appelé rapport d'audit.
Les constats sont validés avec les audités responsables. Il peut s'avérer nécessaire d'effectuer quelques modifications.
Une réunion de validation est organisée pour valider les constats oralement.
Le rapport d'audit final est envoyé pour commentaire.
Après approbation, la version finale est envoyée aux audités.
Suivi de l'audit
Les recommandations peuvent être envoyées :
• directement aux audités, ou
• à un correspondant, qui s'assure par la suite que les recommandations sont appliquées.
Les audités font suite aux recommandations à l'aide de plans d'action (ensemble d'actions).
Le directeur d'audit assure le suivi des actions.