METHODOLOGIE
Notre méthodologie d’audit ISAE se décline en 3 étapes bien définies, et peut être récapitulée comme suit :
I – PHASE DESIGN (type I et II) :
Définition avec vous du périmètre, des risques identifiés comme significatifs, puis des contrôles internes et de leur pertinence (couverture adéquate des risques critiques en vigueur).
Nos travaux de préparation incluent les éléments suivants :
-
- Définition précise du périmètre ISAE (en fonction de votre service et de votre offre).
- Définition du nombre de processus au sein du périmètre retenu.
- Pour chaque processus:
- Recensement des procédures existantes ainsi que de celles à créer.
- Formalisation des risques et contrôles au sein des supports méthodologiques dédiés (Matrices des Risques et Contrôles).
- Audit de la bonne exécution (à la fréquence indiquée) des activités de contrôles décrites au sein des matrices.
II – PHASE TESTING (Type II uniquement) :
Évaluation de la fiabilité des contrôles internes en place par le biais des séries de tests par sondage. Le cas échéant, des plans d’actions correctives sont suggérés pour les contrôles défaillants (testés négatifs).
Nos travaux de testing incluent les éléments suivants :
- Rédaction de scripts de test pour chaque activité de contrôle inclus dans le périmètre.
- Réalisation de tests par sondage, en sélectionnant et en auditant des échantillons représentatifs – (sur la période de l’audit soit en général 12 mois).
- Appréciation sur la mise en place du contrôle et son application
- Pour chaque contrôle testé négatif :
-
-
- Suggestion d’un plan d’action correctif à valider et mettre en oeuvre par le Management (le plan d’action a pour objectif de corriger la cause de la déficience notée)
- Re-testing (dans un second temps) d’un nouvel échantillon (d’occurrences représentatives) afin de s’assurer que le contrôle antérieurement déficient est désormais fonctionnel.
-
III – PHASE DE RÉDACTION & VALIDATION DU RAPPORT FINAL (type I et II) :
Nous présentons un résumé de nos travaux ainsi que nos conclusions dans un rapport final qui est revu puis validé par notre partenaire ‘CPA’ – Certified Public Accountant (localisé à Paris et New-York), habilité à signer les rapports ISAE d’après les normes AICPA).
Vous disposez alors de copies du rapport annuel que vous pourrez communiquer à votre discrétion aux parties de votre choix.
Vous pouvez aussi faire mention de l’accréditation dans vos outils de communication, (plaquette, site internet).