1Modalits Pratiques dApplication

IFACI - septembre 2013

MPA 2320-3Lchantillonnage en audit

1. Les sondages sont utiliss en audit an de fournir des preuves factuelles et une base raison-nable permettant de formuler des conclusions relatives une population partir de laquelleun chantillon a t slectionn. L'auditeur interne conoit un chantillon d'audit, ralise le

2320 Analyse et valuation

Les auditeurs internes doivent fonder leurs conclusions et les rsultats de leur mission sur desanalyses et valuations appropries.

Principale Norme de rfrence

MPA 2240-1Programme de travail de la mission

1. Les auditeurs internes laborent les programmes de travail et en obtiennent la validationformelle avant de commencer la mission. Le programme de travail comprend les mthodesutilises telles que les audits informatiss et les techniques dchantillonnage.

2. Le processus de collecte, danalyse, dinterprtation et de documentation de linformationest supervis an dobtenir une assurance raisonnable que les objectifs daudit sont atteintset que lobjectivit de lauditeur est maintenue.

MPA lie

MPA

230

0

La prsente MPA na pas pour but de dcrire toutes les procdures mettre en uvre dans le cadre dune vrification parsondage. Elle introduit la prise en compte des techniques de sondage lors de la planification dtaille des travaux daudit.A ce titre, elle est complmentaire dautres lignes directrices de lIIA (notamment celles qui sont relatives la gestion durisque daudit (MPA 2120-2), aux objectifs de la mission (cf. Normes et MPA de la srie 2210) ; au programme de travail(Norme 2240), lidentification des informations (Normes 2300 et 2310), la documentation des informations (Norme2330) ou le GTAG sur les techniques informatises danalyse de donnes. Pour la mise en uvre des principes recommandsci-dessous, des connaissances plus prcises en mthodes statistiques sont ncessaires.

Nous utiliserons indiremment chantillonnage ou sondage pour traduire sampling .

Commentaire IFACI

2tirage, excute des procdures d'audit et value les rsultats issus de cet chantillon and'obtenir des preuves d'audit susantes, ables, pertinentes et utiles pour atteindre les objec-tifs de la mission. Une information susante est factuelle, adquate et probante, de sortequune personne prudente et informe pourrait parvenir aux mmes conclusions que lau-diteur. Une information able est une information concluante et facilement accessible parlutilisation de techniques daudit appropries. Une information pertinente conforte lesconstatations et recommandations de laudit, et rpond aux objectifs de la mission. Une infor-mation utile contribue sassurer que l'organisation atteindra ses objectifs.

2. En audit, les sondages consistent appliquer des procdures d'audit sur moins de 100 % deslments d'une catgorie de transactions ou d'un solde de compte, de telle manire quechaque unit d'chantillonnage ait la mme chance d'tre slectionne. La populationdsigne l'ensemble des donnes partir desquelles un chantillon est construit et proposde laquelle l'auditeur interne souhaite tirer des conclusions. Le risque d'chantillonnage sednit comme le risque que la conclusion tire par l'auditeur interne partir d'un chantillonsoit dirente de celle qu'il aurait tire en soumettant l'ensemble de la population la mmeprocdure d'audit.

IFACI - septembre 2013

Le sondage comporte toujours une marge dincertitude que lauditeur interne dtermine a priori. (cf. 11)

Commentaire IFACI

La dfinition de la fiabilit de linformation met laccent sur son accessibilit. En eet, une information dicilementaccessible est une information quil va falloir reconstituer partir de calculs, dalgorithmes ou dautres raisonnementsreposant souvent sur des hypothses, do une grande dicult valuer une information de ce type sur des critrescomme lexactitude ou lexhaustivit. De plus, le rapport cot-avantage peut limiter de telles recherches.Nanmoins, la facilit daccs nest pas un critre susant. Si une information est accessible, il restera prouver sa fiabiliten sassurant quelle peut tre vrifie par dautres personnes et en validant lintgrit des sources dinformation.

Commentaire IFACI

La population est dfinie en fonction du primtre et des objectifs de la mission.

Le dveloppement des outils danalyse de donnes permet denvisager lapplication de procdures daudit sur lensembledune population. Nanmoins, lauditeur peut tre confront au fait que tous les lments auditer ne sont pas embarqusdans les systmes dinformations (par exemple pour lexamen dlments physiques), que la base de donnes estincomplte (empchant par exemple laccs des donnes antrieures ou dautres entits) ou que lauditeur a lobligationde faire un contrle sur pices.

Commentaire IFACI

3Modalits Pratiques dApplication

chantillonnages statistique et non statistique

3. L'chantillonnage statistique (alatoire ou systmatique) consiste raliser un tirage partirduquel la vraisemblance des conclusions pourra tre mathmatiquement value pour uneextrapolation la population considre. Avec ce type de sondage, l'auditeur pourra formulerdes conclusions en tenant compte de lintervalle de conance (pour viter en particulier lerisque de conclusion errone). Il est essentiel que l'chantillon de transactions construit soitreprsentatif de la population value, faute de quoi la possibilit de tirer des conclusionsfondes sur la revue de lchantillon sera limite voire inexistante. L'auditeur interne devraitvrier le caractre exhaustif de la population an de s'assurer que l'chantillon est construit partir dun ensemble appropri de donnes.

4. L'chantillonnage non statistique est utilis par l'auditeur qui souhaite se fonder sur sa propreexprience et sur ses connaissances pour dterminer les critres de construction d'un chan-tillon. Ces sondages non statistiques (raisonns, essentiellement fonds sur le jugement), nepermettent pas de justier, d'un point de vue mathmatique, lextrapolation des rsultats lensemble de la population. Autrement dit, l'chantillon peut tre biais et non reprsentatifde la population. L'objectif du test, son ecience, les caractristiques oprationnelles, lesrisques inhrents et l'impact des rsultats sont des lments communment pris en comptepar l'auditeur pour orienter la mthode de sondage. L'chantillonnage non statistique peuttre utilis lorsqu'il est ncessaire d'obtenir rapidement des rsultats et pour tester une hypo-thse plutt que pour projeter la vraisemblance mathmatique des conclusions lensemblede la population.

IFACI - septembre 2013

MPA

230

0

Le caractre exhaustif est apprci au regard de lobjectif du test daudit et des caractristiques valuer.En pratique, ces objectifs se traduisent notamment par la dfinition de bornes temporelles ou dune srie de transactions-cls du processus auditer.

Commentaire IFACI

Selon le paragraphe 5.g de la norme ISA 530 : le sondage statistique est une mthode de slection dchantillons

Commentaire IFACI

En outre, malgr lopportunit oerte par les systmes dinformation, la ralisation de procdures daudit sur lensemble dela population peut avoir un cot (en temps ou en ressources dinvestigation) justifiant une approche par chantillonnage.

Pour dterminer son approche, lauditeur devra prendre en compte le risque dchantillonnage et le risque daudit.

Le lecteur pourra se rfrer GAO Assessing the reliability of computer-processed data .

45. Lorsqu'ils formulent une opinion ou une conclusion, les auditeurs sont souvent dans l'im-possibilit, pour des raisons pratiques, d'examiner toutes les informations disponibles. L'chan-tillonnage permet alors de tirer des conclusions valables. L'auditeur qui utilise des mthodesde sondage (statistique ou non) devrait construire et slectionner un chantillon, excuterdes procdures d'audit et valuer les rsultats de cet chantillon an d'obtenir des preuvesd'audit susantes, ables, pertinentes et utiles.

6. Il existe direntes techniques d'chantillonnage et objectifs associs en audit dont voiciquelques exemples : chantillonnage alatoire simple - la slection n'est pas rgie par des facteurs prd-

IFACI - septembre 2013

possdant les caractristiques suivantes : Slection alatoire des lments formant lchantillon ; Utilisation de la thorie des probabilits pour valuer les rsultats du sondage, y compris la mesure du risque

dchantillonnage.

Une mthode de sondage qui ne runit pas ces caractristiques est considre comme une mthode de sondage nonstatistique.

Les tirages non statistiques peuvent par exemple tre justifis dans le cadre de lanalyse dun indice de fraude, enconstituant lchantillon partir d'lments connus comme tant les plus risques. La technique de sondage de dpistagepeut galement tre utilise dans le cas o la proportion est considre comme proche de 0.

Lauditeur interne dtermine sa stratgie dchantillonnage partir des objectifs daudit et en fonction du niveau desrisques dchantillonnage et daudit quil sest fix. Il conviendra galement de prendre en compte les caractristiques de lapopulation value notamment en termes dhomognit. Tous ces lments lui permettront de dfinir la mthodedchantillonnage et la taille de lchantillon.

Commentaire IFACI

Les conclusions peuvent tre de 2 ordres :1) Estimer une valeur (un montant, une moyenne. Par exemple, le montant des crances chues non renouveles de plus

de 3 mois), ou un attribut (nombre ou proportion dunits, possdant ou non une caractristique donne : taux dedemande dachat non signe)

2) Tester une hypothse (e.g., la satisfaction client est en moyenne plus leve dans la rgion A / rgion B).

Extrait de louvrage Les outils de laudit / IFACI. Eyrolles, 2013

Commentaire IFACI

5Modalits Pratiques dApplication

termins ; chaque unit de la population a une chance gale d'tre slectionne. Sondages bas sur des units montaires - utilis pour identier les anomalies mon-

taires ventuelles dans le solde dun compte. chantillonnage strati - utilis pour rpartir la population en sous-groupes ; en gn-

ral, un chantillon alatoire est slectionn partir de chacun des sous-groupes pourtre revu.

chantillonnage pour estimation dattributs - utilis pour dterminer le nombre ou laproportion dunits, possdant ou non une caractristique donne, dans la populationvalue.

chantillonnage pour estimation de valeurs - utilis pour dterminer les paramtresd'une population.

chantillonnage fond sur le jugement professionnel de l'auditeur, il est cens tre axsur une hypothse tester.

chantillonnage de dpistage - utilis lorsque la preuve de lexistence d'une erreur oud'une occurrence implique ensuite une investigation approfondie.

IFACI - septembre 2013

MPA

230

0

Selon la nature des preuves daudit recherches, dautres typologies peuvent tre proposes.Pour la slection sur les enregistrements, les mthodes dchantillonnage les plus courantes sont :

Le tirage alatoire Le tirage laveuglette, sans dmarche structure et en vitant de fausser consciemment la slection ou de lui donner

un caractre prvisible Le tirage raisonn et fond sur le jugement de lauditeur. Lchantillon est construit sur la base dun ou plusieurs critres

choisis par lauditeur en fonction de leur pertinence et non pas de leur reprsentativit statistique. Par exemple, ilchoisit toutes les units de sondages suprieures un certain montant, tous les lments sauf un type prcisdexceptions, toutes les valeurs ngatives, tous les nouveaux utilisateurs, etc. Les rsultats ne peuvent pas tregnraliss la population entire.

Pour la slection sur des champs de donnes, les mthodes les plus courantes sont les suivantes : Le tirage alatoire partir de gnrateurs de nombres alatoires Le tirage par intervalles fixes. Les units de sondage sont slectionns en respectant un intervalle fixe entre les tirages,

le point de dpart tant dtermin au hasard. A titre dexemple, il peut sagir de factures dotes dun numro uniqueincrment unitairement, ce qui permet de procder ce tirage systmatique qui sapparente un tirage alatoire.

Par cellule (slection alatoire dans un intervalle)

Lannexe 4 de lISA 530 propose galement des exemples de mthodes dchantillonnage.

Commentaire IFACI

67. Lorsqu'ils dterminent la taille et la structure d'un chantillon, les auditeurs devraient tenircompte des objectifs d'audit de la mission, de la nature de la population et des mthodesd'chantillonnage et de slection. L'auditeur devrait envisager de faire appel des spcialistescomptents en matire de conception et d'analyse de la mthodologie d'chantillonnage.

8. La mthode d'chantillonnage dpendra de l'objectif vis. Pour des tests de conformit,l'chantillonnage pour estimation dattributs qui consiste observer un vnement ou unetransaction (par exemple le contrle dune autorisation lie une facture) est gnralementutilis. Pour les tests de corroboration, l'chantillonnage pour estimation de valeurs estsouvent utilis.

9. Dans la mesure o la population dsigne l'ensemble des donnes partir desquelles unchantillon est construit et propos de laquelle l'auditeur interne souhaite tirer des conclu-sions ; cette population devra tre approprie et son caractre exhaustif, au regard de l'objectifspcique de la mission, devra tre vri.

10. La stratication peut contribuer l'ecacit de la conception de l'chantillon. Elle consiste rpartir une population en sous-groupes homognes explicitement dnis de manire ceque chaque unit d'chantillonnage ne puisse appartenir qu une seule strate.

IFACI - septembre 2013

Dterminer la structure dun chantillon consiste dfinir sa composition au regard des objectifs daudit (par exemple pourdes factures, lchantillon peut tre constitu des factures rcapitulatives ou des factures lacte) et son ventuellestratification.Le recours des spcialistes devra se faire conformment la norme 1210.A1. Le service daudit interne est mme dedisposer collectivement de ces comptences grce notamment des formations, la diversit de parcours des auditeursinternes et au recours des outils appropris.

Commentaire IFACI

La stratification est recommande pour rduire la dispersion de lchantillon. Plusieurs sondages sont alors raliss. Parexemple : si la population de clients est diversifie, elle peut tre stratifie selon leur zone de rsidence (ville / campagne)si lhypothse sous-jacente est que ces clients nont pas le mme profil. Cela peut permettre aussi de rduire la taille totalede lchantillon.

Commentaire IFACI

7Modalits Pratiques dApplication

Erreur acceptable et erreur escompte

11. L'auditeur qui utilise un chantillon statistique devrait tenir compte de concepts tels que lerisque d'chantillonnage ainsi que les notions derreurs acceptables ou escomptes. Le risqued'chantillonnage provient de la possibilit que la conclusion de l'auditeur puisse tre di-rente de celle qu'il aurait tire en soumettant l'ensemble de la population la mme proc-dure d'audit. Il existe deux types de risques d'chantillonnage : Le risque dacceptation incorrecte - le risque que la caractristique ou l'hypothse

teste soit valide alors qu'en ralit, elle est fausse, Le risque de rejet incorrect - le risque que la caractristique ou l'hypothse teste soit

rejete alors qu'en ralit, elle est vraie.

Les erreurs acceptables reprsentent le nombre maximum d'erreurs que l'auditeur est prt accep-ter sans pour autant que la validit de l'hypothse ne soit remise en cause. L'auditeur nest pastoujours matre de la xation de ce nombre maximum, car elle peut tre dtermine par la naturede l'activit, les avis du management ou les meilleures pratiques. Dans certains cas, une seuleerreur ne sera pas acceptable.

IFACI - septembre 2013

Le risque dacceptation incorrecte est dnomm par les statisticiens risque de premire espre ou seuil de signification(). dsigne la probabilit de se tromper, c'est--dire de rejeter lhypothse nulle (la population est homogne) alorsquelle est vraie.Le risque de rejet incorrect est dnomm par les statisticiens risque de deuxime espce ou derreur de deuxime espce (). dsigne la probabilit de se tromper (ne pas rejeter lhypothse nulle dhomognit de la population alors quelle estfausse). Il sagit de la puissance du test.En pratique, cest surtout lerreur de premire espce qui est utilise.

Le 5 de la norme ISA 530 donne des exemples de risque dchantillonnage en audit : conclure que les contrles sont plus ecaces quils ne le sont en ralit, ou quil ny a pas danomalies significatives

alors quil en existe en ralit, conclure que les contrles sont moins ecaces quils ne le sont en ralit, ou quil existe une anomalie significative alors

quil nen existe pas en ralit.

Commentaire IFACI

Lauditeur interne devra sassurer quun cart, mme minime, ne gnrera pas de graves dsordres.

Commentaire IFACI

8Les erreurs escomptes sont celles que l'auditeur sattend trouver dans la population sur la basede prcdents rsultats d'audit, de modications des processus et de preuves/conclusions prove-nant d'autres sources.

12. Le niveau de risque d'chantillonnage que l'auditeur est prt accepter, l'erreur acceptableet l'erreur escompte sont autant de facteurs qui inuent sur la taille de l'chantillon. Le risqued'chantillonnage devrait tre cohrent avec les lments pris en compte pour dnir lerisque daudit. Ce risque d'audit comprend le risque inhrent, le risque associ aux contrleset le risque de non-dtection.

13. Des procdures d'chantillonnage ecaces augmentent la couverture, la prcision et l'e-cience des missions. Elles permettent l'auditeur de donner une assurance sur les processusoprationnels qui aectent la ralisation des buts et objectifs de l'organisation. Lorsqu'ilrecherche la technique d'chantillonnage approprie, il est important que l'auditeurcomprenne les directives et les normes communment admises en matire d'chantillon-nage, au mme titre que les processus oprationnels et les donnes sur lesquelles il travaille.

14. L'audit en continu permet l'auditeur interne de tester l'ensemble de la population en tempsvoulu, tandis que l'chantillonnage d'audit facilite lanalyse de moins de 100 % de la popula-tion.

15. L'auditeur interne devrait analyser les erreurs potentielles dtectes dans l'chantillon ande vrier qu'il s'agit rellement d'erreurs et, le cas chant, en dterminer la nature et lacause. En fonction des erreurs avres, il sera ncessaire de dterminer si des tests suppl-mentaires devraient tre envisags.

16. L'auditeur interne dispose de direntes mthodes statistiques (le paragraphe 6 ci-dessusprsente des exemples de procdures) pour obtenir des preuves d'audit susantes. S'il nepeut appliquer les procdures d'audit prvues ou les procdures alternatives un lmentdonn, l'auditeur interne devrait identier cet cart par rapport au programme de contrle.

IFACI - septembre 2013

Pour les tests de confirmation, lerreur acceptable est fonction du seuil de signification fix par lauditeur. Pour les tests deconformit, cest le taux maximum dcart que lauditeur peut tolrer par rapport une procdure de contrle prescrite.

Les erreurs escomptes peuvent se fonder sur les rsultats des travaux de la seconde ligne de dfense, de la mise en uvrede procdures et des rsultats de revues analytiques.

Commentaire IFACI

En pratique, cette dcision dpendra des objectifs daudit.

Commentaire IFACI

9Modalits Pratiques dApplication

17. L'auditeur interne devrait extrapoler les rsultats de lchantillon la population, en utilisantune mthode dextrapolation cohrente avec celle utilise pour slectionner l'chantillon.Lextrapolation des rsultats de lchantillon peut ncessiter d'estimer les erreurs ou les cartsprobables dans la population, les erreurs qui pourraient ne pas avoir t dtectes du fait del'imprcision de la technique utilise, ainsi que les aspects qualitatifs des erreurs dtectes.La question de savoir si l'chantillonnage a permis de conforter raisonnablement les conclu-sions relatives la population value devrait tre pose.

18. L'auditeur devrait comparer l'erreur escompte dans la population l'erreur acceptable. Enfonction du risque dchantillonnage, il pourra alors envisager de rviser la taille de lchan-tillon ou d'excuter des procdures d'audit alternatives.

19. Les papiers de travail devraient tre susamment dtaills an de dcrire clairement l'objectifde l'chantillonnage et le processus d'chantillonnage utiliss. Les papiers de travail devraientindiquer la source de la population, la mthode d'chantillonnage utilise, les paramtresd'chantillonnage (par exemple, la valeur de dpart utilise pour gnrer un tirage alatoireou la mthode de dtermination de la valeur de dpart et l'intervalle d'chantillonnage), leslments slectionns, les dtails des tests d'audit raliss et les conclusions obtenues.

20. Lors de la communication, par lauditeur interne, des rsultats des tests et de la conclusion,des informations susantes devront tre transmises au lecteur pour lui permettre decomprendre le fondement de la conclusion.

Note : Cette MPA porte sur l'chantillonnage d'audit et n'est pas destine donner des informa-tions sur l'analyse de donnes. Pour obtenir des informations sur l'analyse de donnes, veuillez-vous rfrer au Guide Pratique dAudit des Technologies de lInformation (GTAG) 16, de l'IIA, DataAnalysis Technologies.

IFACI - septembre 2013

La rponse cette question dpendra notamment du seuil de confiance retenu.

Commentaire IFACI