Qu’est-ce qu’un audit de conformité ?

Un audit de conformité est un examen impartial des activités et enregistrements d’une entreprise, visant à vérifier le respect des politiques, normes et réglementations internes et externes. Il peut couvrir des domaines tels que la cybersécurité, la confidentialité des données, la comptabilité financière ainsi que la santé et la sécurité au travail.

Les audits de conformité sont souvent menés dans le cadre du système de gestion de la conformité de l’entreprise. Un système de gestion de la conformité, ou SGC, est un système intégré qui permet de répondre aux exigences réglementaires, aux politiques internes et aux normes sectorielles.

Outre des audits de conformité réguliers, un CMS efficace peut également inclure un conseil d’administration axé sur la création d’une culture de conformité au sein de l’entreprise ; un directeur ou responsable de la conformité chargé d’établir ou de mettre en œuvre des politiques et procédures de conformité ; et un dispositif de suivi de la conformité, qui consiste à surveiller les opérations pour identifier les zones de non-conformité.

La pratique de l’audit s’est imposée dans la société pendant la première révolution industrielle, alors que les entreprises se développaient et que les investisseurs recherchaient des garanties sur leur santé financière via l’audit de leurs états financiers. Au milieu du 19e siècle, le Royaume-Uni a adopté une loi rendant les audits d’entreprises obligatoires, contribuant à initier le développement des réglementations en matière de conformité qui se poursuit encore aujourd’hui.¹

Les exigences actuelles en matière de conformité vont au-delà de l’examen des états financiers et incluent divers domaines, tels que la protection des informations sensibles ou le respect des réglementations environnementales.

Pour comprendre l’importance des audits de conformité, il est utile de considérer le paysage actuel de la conformité.

Partout dans le monde, les gouvernements et les entreprises appliquent un large éventail d’exigences de conformité dans l’intérêt des consommateurs, des travailleurs, des investisseurs et des autres parties prenantes. Le non-respect de ces exigences peut entraîner des sanctions lourdes et une perte de réputation.

Par exemple, les entreprises reconnues coupables de violations graves du Règlement général sur la protection des données (RGPD) de l’Union européenne peuvent se voir infliger des amendes allant jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Les audits de conformité peuvent aider les organisations à atteindre leurs objectifs commerciaux tout en évitant de telles conséquences coûteuses. Ils permettent aux organisations de déterminer si elles respectent leurs propres bonnes pratiques de gestion des risques, d’identifier les risques de non-conformité et de déterminer quand des mesures correctives sont nécessaires. Les audits rassurent également les parties prenantes quant aux efforts de conformité réglementaire de l’organisation.

Le terme « audit de conformité » est souvent utilisé pour désigner spécifiquement un audit externe, mené par des auditeurs externes indépendants. Cependant, les audits internes, exécutés par un auditeur interne ou une équipe d’audit au sein de l’entreprise, peuvent également relever de cette catégorie.

Les audits de conformité internes se concentrent souvent sur le respect par une entreprise de ses propres politiques et procédures, ainsi que sur l’amélioration de l’efficacité des processus métier et des activités de gestion des risques. Les audits externes, en revanche, sont souvent réalisés dans le but de rassurer les parties prenantes externes sur le fait que l’entreprise respecte les normes externes, telles que les réglementations gouvernementales.

Dans les deux cas, le processus d’audit doit être mené de manière impartiale afin que les résultats (conclusions et recommandations compilées dans un rapport d’audit) permettent aux entreprises et aux responsables de la conformité d’assurer une conformité continue et d’identifier les risques de non-conformité.

Les procédures d’audit permettent d’évaluer la conformité des entreprises aux normes applicables dans différents domaines et disciplines. En voici quelques exemples :

• Cybersécurité
• Confidentialité et protection des données
• Rapports financiers et sécurité
• Les critères environnementaux, sociaux et de gouvernance (ESG)
• Santé et sécurité

L’audit des pratiques de cybersécurité des organisations permet de s’assurer qu’elles ont mis en place les mesures appropriées pour gérer les cybermenaces et y répondre : du phishing aux logiciels malveillants.

Le cadre de cybersécurité du National Institute of Standards and Technology (NIST CSF) des États-Unis est une norme couramment utilisée pour les audits de cybersécurité. Cette norme fournit des lignes directrices et des bonnes pratiques que les organisations du secteur privé peuvent suivre pour améliorer la sécurité de l’information et la gestion des risques liés à la cybersécurité. Le cadre couvre un éventail de mesures de cybersécurité, notamment l’évaluation des risques, la gestion des identités, le contrôle des accès, la planification de la réponse et les activités de reprise.

Une autre norme majeure à la base des audits de cybersécurité est l’ISO/IEC 27001, également appelée ISO 27001. Cette norme internationale de sécurité de l’information, développée conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI), définit un ensemble d’exigences pour les systèmes de gestion de la sécurité de l’information au sein d’une organisation. En pratique, elle fournit un cadre permettant aux organisations de gérer et de protéger leurs données sensibles et autres informations, réduisant ainsi le risque de violations de données, de cyberattaques et d’autres incidents de sécurité.

Il existe également un audit de cybersécurité spécifiquement conçu pour les fournisseurs de services. Les rapports Service Organization Control (SOC) sont des rapports indépendants réalisés par des évaluateurs certifiés par l’American Institute of Certified Public Accountants (AICPA) pour évaluer les risques associés à un service externalisé. Un rapport SOC 2 évalue les contrôles internes mis en place par une organisation pour protéger les données des clients et fournit des détails sur la nature de ces contrôles internes.

Si les audits de cybersécurité incluent généralement un examen des mesures de protection des données d’une organisation, les audits basés sur certaines lois et réglementations se concentrent spécifiquement sur cet aspect. Cela inclut les audits conformes à des lois protégeant les informations des consommateurs et la confidentialité des données de santé.

Les lois s’appliquant largement aux consommateurs incluent le Règlement général sur la protection des données (RGPD) de l’UE et le California Consumer Privacy Act (CCPA) en Californie. Pour se conformer au RGPD, les entreprises doivent utiliser des méthodes légalement approuvées pour transférer et traiter les données personnelles ; protéger les données personnelles au repos et en transit ; et respecter les droits des résidents de l’UE, tels que définis par la loi, concernant la collecte, l’utilisation et la possession de leurs données personnelles.

Pour se conformer à la loi CCPA, les entreprises doivent respecter des obligations concernant plusieurs types de données personnelles des résidents californiens : date de naissance, numéro de permis de conduire, numéro de passeport, coordonnées bancaires et numéro de carte de crédit ou de débit.

L’un des principaux types d’audit de conformité dans le domaine de la confidentialité des données de santé est l’audit HIPAA (Health Insurance Portability and Accountability Act). Les entités couvertes par cette loi américaine (y compris les prestataires de soins de santé tels que les médecins et les hôpitaux, ainsi que les compagnies d’assurance maladie) et leurs partenaires commerciaux doivent mettre en œuvre et maintenir un ensemble de contrôles techniques, administratifs et physiques destinés à protéger les données de santé protégées (PHI).

Les audits des états financiers et des contrôles de sécurité des organisations peuvent évaluer leur conformité à des lois telles que la loi Sarbanes-Oxley (SOX) et à des normes sectorielles telles que le Payment Card Industry Data Security Standard (PCI DSS).

La loi SOX est une loi américaine qui vise à prévenir la fraude dans les entreprises. Elle exige que les sociétés cotées en bourse mettent en place des contrôles internes pour protéger les données financières contre toute manipulation ; qu’elles déposent des rapports réguliers auprès de la Securities and Exchange Commission (SEC) attestant de l’efficacité de leurs contrôles de sécurité et de l’exactitude de leurs informations financières ; et qu’elles se soumettent à un audit annuel indépendant de leurs états financiers et de leurs contrôles.

La norme PCI DSS est un ensemble d’exigences de sécurité qui vise à protéger les données des titulaires de cartes, comme les numéros de compte principaux (PAN), les noms, les dates d’expiration et les codes de service, ainsi que d’autres informations sensibles tout au long de leur cycle de vie.

La conformité à la norme PCI DSS exige des commerçants et des prestataires de services qu’ils fassent des rapports annuels, ainsi que des rapports supplémentaires suite à des changements significatifs apportés à l’environnement de données des titulaires de cartes. La validation de la conformité implique également une évaluation continue de la posture de sécurité d’une organisation et des actions correctives continues pour combler toute lacune en matière de politique de sécurité, de technologie ou de procédures.

Les audits environnementaux, sociaux et de gouvernance (ESG) peuvent déterminer si les entreprises respectent les lois et cadres volontaires liés aux impacts environnementaux et sociaux. Il s’agit notamment de la directive sur la publication d’informations en matière de durabilité des entreprises (CSRD) de l'UE, des réglementations de l’Agence américaine de protection de l’environnement, de l’Initiative mondiale de reporting (Global Reporting Initiative ou GRI) et des normes du Conseil des normes comptables de durabilité (SASB).

Les audits de sécurité évaluent si les organisations se conforment aux règles et réglementations destinées à protéger la santé et la sécurité des travailleurs. Les principales normes comprennent la norme ISO 45001, une norme mondiale de santé et sécurité au travail élaborée par l’Organisation internationale de normalisation, et, aux États-Unis, les règles de sécurité au travail définies et appliquées par l’Occupational Safety and Health Administration (OSHA). 

La nature de l’audit de conformité varie selon le type d’audit, le programme de conformité, l’entreprise et le secteur d’activité. Le processus comporte toutefois quelques étapes que tous les auditeurs conformité suivent généralement. Les voici :

Étape 1 : planifier l’audit

Détermine la portée de l’audit, ses objectifs et les ressources nécessaires. Une liste de vérification qui cartographie l’audit de conformité peut s’avérer utile.

Étape 2 : vérifier les documents

Examiner les politiques et procédures de l’entreprise, ainsi que tout autre document pertinent, comme les divers dossiers et contrats.

Étape 3 : mener des recherches supplémentaires

Interviewer les employés et/ou les responsables. Le cas échéant, observer les opérations et les processus internes.

Étape 4 : compiler un rapport d’audit de conformité

Consigner les résultats, les conclusions et les recommandations en vue d’une amélioration continue ou de mesures correctives.

Étape 5 : assurer le suivi

Suivre l’avancement de la mise en œuvre des mesures ou actions recommandées.

Les solutions logicielles aident les entreprises à veiller au respect des exigences et à se préparer aux audits de conformité. Les solutions les plus performantes offrent les fonctionnalités suivantes :