Le rapport d’audit est peut-être l’un des documents les plus analysés au sein d’une entité qui, après une période plus ou moins longue de travail sur un système de management, voit son effort évalué par un tiers externe (ou interne, si l’audit est de cette nature), dans un document qui voudra rendre compte de son bon travail.
C’est pourquoi les mises en garde occupent une section si importante du rapport d’audit.
Étant constructives, les mises en garde établissent le début de la marge d’amélioration nécessaire dans les entreprises, avec un lien réglementaire plus ou moins important.
Cependant, la façon dont les réserves doivent être reflétées dans le rapport d’audit n’est pas une question triviale, car la qualification doit être le reflet fidèle d’une non-conformité objective.
Écarts par rapport à la conformité
L’exception ne doit pas être l’avis d’un auditeur, mais la formulation de sa part de l’écart par rapport à la conformité de l’entreprise à un précepte, qu’il soit légal (par exemple, s’il s’agit d’un règlement tel que le RGPD – Règlement Général sur la Protection des Données), ou réglementaire (par exemple, s’il s’agit d’une norme internationale telle qu’une norme ISO).
En d’autres termes, si le précepte audité est loin de la réalité appliquée dans l’entreprise, cela doit se refléter dans le rapport écrit de l’auditeur. Il doit y avoir une correspondance directe entre l’exigence légale ou réglementaire et la manière de « ne pas faire » les choses dans l’entité.
Si la procédure mise en œuvre est conforme à ce qui est exigé par la réglementation en question, elle sera respectée. S’il ne le fait pas, il y aura violation et, par conséquent, une réserve sera inscrite dans le rapport.
Exemple du rapport d’audit dans une entreprise
Il y a deux ans, AUDITED COMPANY a adapté toutes ses procédures de protection des données pour se conformer au RGPD, établissant qu’elle devrait effectuer un audit biennal comme mesure de sécurité pour tous ses traitements, qu’ils contiennent des données sensibles ou non.
Le jour de l’audit, l’équipe d’audit arrive à l’ENTREPRISE AUDITÉE et s’enregistre en tant que visiteur au comptoir d’accès aux installations, en prenant toutes leurs données et en faisant une copie numérique de l’identité de chaque personne de l’équipe pour leur donner leurs laissez-passer d’accès aux bureaux. Ils observent que personne ne les informe de la capture de ces données et ils les notent pour ne pas cesser de les demander lors de l’audit.
Lorsque vient le moment des entretiens, l’équipe d’audit s’interroge sur le respect du devoir d’information envers les personnes concernées, qui est requis par la réglementation en vigueur sur la protection des données, en ce qui concerne l’enregistrement des visites, et demande des preuves de ces informations, mais SOCIÉTÉ AUDITÉE confirme qu’elle n’informe en aucun cas les visiteurs de la collecte et du traitement de leurs données personnelles.
Dans le rapport d’audit, l’équipe d’audit reflétera cet écart par rapport à la conformité à la réglementation comme une mise en garde objective, sans opinion, simplement avec la mention expresse de l’inexistence des informations qu’un contrôleur de données doit fournir aux personnes concernées lorsqu’il traite des informations personnelles dans leurs processus commerciaux.
La réserve doit être parfaitement détaillée, ne doit pas donner lieu à des malentendus ou à des malentendus, et il est même recommandé qu’elle mentionne expressément l’article de la loi, du règlement ou de la règle au regard duquel l’audit est effectué, et pour lequel se produit la non-conformité de la part de l’audité.
Cela réduira le débat entre les parties (équipe d’audit et entité auditée) qui pourrait mener à une mauvaise compréhension de la non-conformité survenue de la part de l’entité auditée si la réserve ne fournit pas d’informations complètes ou si elle est subjective.
Révision du rapport intérimaire
Il peut arriver que, lors de l’examen du rapport intermédiaire, l’entité auditée allègue que l’auditeur n’a pas correctement compris les informations fournies ou n’a pas tenu compte des éléments probants fournis. S’il est finalement démontré que l’auditeur n’a pas été correct dans ses notes, par exemple, et que le respect du précepte audité et, par conséquent, l’absence d’écart peuvent être prouvés, la réserve doit effectivement être corrigée ou éliminée.
Une autre situation particulière qui peut se produire est celle où l’entité auditée reproduit une mise en garde parce qu’entre l’entrevue d’audit et la remise du rapport intermédiaire, l’écart a été corrigé et l’exception doit être éliminée pour la livraison du rapport final.
Dans ces cas, il serait possible de maintenir la réserve telle qu’elle apparaissait dès le début, bien qu’il soit, de l’avis de l’équipe d’audit, de qualifier dans le rapport d’une manière ou d’une autre la correction immédiate de la réserve par l’entité auditée.
Par conséquent, la nécessité d’une formulation correcte des réserves dans le rapport d’audit doit être soulignée afin que l’entité auditée n’ait pas la possibilité de commettre des malentendus ou d’ouvrir des débats sur les éléments de preuve trouvés.
Solutions
Chez GlobalSuite Solutions , nous disposons du logiciel GlobalSuite® qui garantit des économies de temps et d’argent dans la réalisation des travaux d’audit dans un environnement collaboratif avec une surveillance complète. Nous avons également plus de 15 ans d’expérience dans la protection des données personnelles et la sécurité de l’information. Nos équipes de consultants spécialisés offrent les conseils et le soutien nécessaires pour aider les entreprises à réaliser leurs audits périodiques avec la fiabilité et la sécurité d’une équipe externe entièrement solvable dans l’une des normes nécessitant un audit, du RGPD à la norme UNE 19601, ISO 27001, ISO 22301, etc.
