-
DSCG : UE5 - Management des Systmes d'Information Audit
Table des matiresCARTE
HEURISTIQUE.................................................................................................................................
1GNRALITS..........................................................................................................................................
1LES MISSIONS D'AUDIT
..............................................................................................................................
1
Les contextes d'audit
................................................................................................................................................................2L'audit
des systmes d'information
...........................................................................................................................................2Les
diffrents types de missions d'audit
...................................................................................................................................2La
dmarche d'audit
.................................................................................................................................................................3
LE CADRE LGAL ET NORMATIF DE L'AUDIT
....................................................................................................5Les
normes et les rfrentiels
...................................................................................................................................................5Le
rfrentiel CobiT
..................................................................................................................................................................6Les
normes professionnelles internationales
............................................................................................................................7Le
contrle interne
....................................................................................................................................................................8
LE CONTRLE DES COMPTES DES ENTITS INFORMATISES
..............................................................................11Le
systme d'information comptable (SIC)
.............................................................................................................................11La
prise en compte de l'environnement informatique lors de l'audit
lgal des comptes
...........................................................11Le
risque d'audit
.....................................................................................................................................................................12
LA DMARCHE D'AUDIT DU
CNCC............................................................................................................14Les
supports
oprationnels.....................................................................................................................................................15
L'AUDIT ASSIST PAR ORDINATEUR
............................................................................................................16Les
tapes de l'audit assist par ordinateur
............................................................................................................................16Les
techniques d'audit assist par ordinateur, TAAO (Computer Assisted
Audit Techniques, CAATs) ..................................17Les
progiciels d'aide la rvision
...........................................................................................................................................19Les
avantages des progiciels d'aide la rvision
...................................................................................................................20
Carte heuristique
GnralitsAprs avoir longtemps t cantonn au domaine financier, le
terme audit s'est maintenant largement diffus et concerne notamment
les systmes d'information.
Les enjeux de la mise en uvre d'un audit sont multiples et
rpondent des problmatiques de mise en conformit et de prvention des
risques. Un certain nombre de lois ont eu pour effet de gnraliser
et de systmatiser la pratique de l'audit des systmes d'information
pour contribuer au rtablissement de la confiance entre les acteurs
de l'conomie. L'audit des SI bnficie d'un cadre lgal et
rglementaire tant au niveau national qu'au niveau international, et
dispose d'outils informatiques permettant, d'une part, de traiter
les donnes issues des SI et, d'autre part, de faciliter le suivi et
la ralisation d'une mission complexe et documente.
Les missions d'audit Selon la norme ISO 9000, l'audit est un
processus mthodique, indpendant et document permettant de
recueillir des informations objectives pour dterminer dans quelle
mesure les pratiques
1/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
observes satisfont aux rfrentiels du domaine concern ,
L'auditeur se forge une opinion qu'il consigne ensuite dans un
rapport.
Les contextes d'audit L'audit en tant que mcanisme de
gouvernance occupe une place croissante dans un contexte de
regroupement d'entreprise et de dveloppement des fonds
d'investissement. De plus en plus, les entreprises cherchent
matriser l'incertitude par la conduite d'audits fonds sur une
approche par les risques. Ainsi, des audits sont raliss la demande
des dirigeants des organisations (direction gnrale, mais galement
directions oprationnelles) auprs de leur service d'audit interne ou
auprs d'auditeurs externes. Ce peut tre, par exemple, un audit de
conformit pour anticiper un ventuel contrle fiscal par un
diagnostic du systme d'information comptable.
Des audits sont galement mandats par des propritaires pour
contrler leurs mandataires (les dirigeants) et rduire l'asymtrie
d'information entre les diffrents stakeholders ou parties prenantes
. Ces audits sont conduits en sus de l'audit lgal des comptes ralis
par les commissaires aux comptes en France.
Par ailleurs, des audits peuvent tre mens dans le cadre d'une
expertise judiciaire, sur la requte d'un tribunal (juridictions
civiles, pnales, etc.), voire la demande d'une autorit
administrative.
Les contextes d'audit sont varis et demandent de plus en plus un
audit des systmes d'information qui se retrouve la croise des
proccupations des dirigeants et des diffrentes parties prenantes
qui ont des objectifs conomiques et financiers ncessitant une
matrise accrue du risque.
L'audit des systmes d'information Le concept d'audit des systmes
d'information est apparu au cours des annes 1970. Il comprend
l'examen et l'valuation des processus, des systmes de traitement
automatis de l'information et des interfaces qui les relient ainsi
que des procdures connexes non automatises, avec un ensemble de
rgles en vigueur (fiscales, juridiques, techniques, etc.). Il vise
mettre en vidence les risques relatifs aux processus supports par
le systme d'information et ceux lis l'infrastructure technique
(adquation de l'infrastructure avec les besoins de l'entit, scurit
physique, logique et applicative, prennit du SI, etc.).
L'audit des systmes d'information couvre un primtre plus large
que l'audit informatique dans la mesure o il s'intresse aux aspects
organisationnels et fonctionnels lis au SI, en plus des aspects
purement techniques.
L'audit des systmes d'information peut tre dcompos en deux
approches :
l'valuation de la fonction informatique, pour laquelle
l'auditeur s'appuie principalement sur les mthodes et rfrentiels
existants dans ce domaine (essentiellement le CobiT). La fonction
informatique de l'entreprise est prendre en compte en termes de
sparation des fonctions, gestion des mouvements de personnel,
gestion des projets, fiabilit des processus informatiques
(pilotage, dveloppement, maintenance, exploitation, scurit du SI),
etc. ;
l'valuation de la composante systme d'information des processus
oprationnels, pour laquelle l'auditeur s'appuiera sur des
programmes de travail spcifiques. Ceux-ci sont induits par
l'apprciation des risques gnraux portant sur le processus considr
et sont fonction du degr d'informatisation du processus et du type
d'outil informatique utilis.
Selon Serge Yablonsky, prsident d'honneur de l'AFAI (Association
franaise de l'audit et du conseil informatiques) et directeur du
cabinet d'audit Moore Stephens SYC : l'audit de la fonction
informatique bas en gnral sur le rfrentiel CobiT peut couvrir
l'audit de la stratgie, de la tactique, de l'oprationnel et de
management de la fonction, tandis que l'audit des applications avec
les processus mtiers couvrira, par exemple dans le cas de la
gestion commerciale, la validation des donnes, la fiabilit et la
ractivit des traitements ou encore la conformit rglementaire.
(Source : www.journaldunet.com)
Les diffrents types de missions d'audit Les missions d'audit
peuvent tre de plusieurs types : interne, externe et stratgique de
la fonction informatique. Elles se caractrisent galement :
par la nature du lien entre l'auditeur et l'audit, avec
l'appartenance ou la non appartenance l'entit audite ;
par la nature du cadre juridique de l'audit, avec le respect
d'obligations lgales et de normes professionnelles ;
par la qualit du mandataire de la mission et du contexte d'audit
;
2/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
etc.
L'audit interne La mission d'audit interne est diligente par la
direction de l'entit. Selon l'AFAI (Association franaise de l'audit
et du conseil informatiques), l'audit interne est une activit
indpendante et objective qui donne une organisation une assurance
sur le degr de matrise de ses oprations, lui apporte ses conseils
pour les amliorer et contribue crer de la valeur ajoute. Il aide
cette organisation atteindre ses objectifs en valuant, par une
approche systmatique et mthodique, ses processus de management des
risques, de contrle et de gouvernement d'entreprise, et en faisant
des propositions pour renforcer leur efficacit . Cette activit
indpendante est excute par le dpartement d'audit interne.
L'audit externe La mission d'audit externe est ralise par des
personnes extrieures l'organisation : cabinets d'experts-comptables
ou professionnels spcialiss dans un domaine prcis (audit
environnemental, audit de scurit, etc.). Elle peut tenir plusieurs
raisons diffrentes :
soit elle rpond aux mmes objectifs qu'une mission d'audit
interne et, dans ce cas, sa justification tient l'absence d'un
dpartement d'audit interne ou l'absence de comptences au sein du
dpartement d'audit interne pour l'valuation des SI, voire la volont
de confier la mission un tiers indpendant de l'entit audite ;
soit elle rpond d'autres contextes d'audit et elle est
ventuellement diligente par d'autres acteurs que la direction de
l'entit. On peut citer, par exemple, les missions ralises par les
commissaires aux comptes (CAC) dans le cadre de leurs mandats
d'audit. Dans ce cas, la mission d'audit a uniquement pour
objectifs de renseigner les CAC sur le niveau de contrle interne
existant dans l'entreprise sur le processus informatique et
d'valuer les risques existants pouvant impacter leur opinion.
L'audit stratgique de la fonction informatique L'audit
stratgique de la fonction informatique vise vrifier son alignement
sur la stratgie long terme de l'entit. Il consiste tudier
l'adquation de la fonction informatique aux besoins et aux enjeux
de l'entreprise, le respect du principe de sparation des tches et
le niveau de dpendance de l'entreprise vis--vis de prestataires
externes.
La dmarche d'audit La dmarche d'audit se droule en plusieurs
phases aboutissant l'laboration d'un rapport d'audit, vritable
outil de communication entre le ou les commanditaires de l'audit,
les acteurs de l'entit audite et les auditeurs.
Les phases d'une mission d'audit La dmarche d'audit retenue par
le Guide d'audit des systmes d'information de l'AFAI s'appuie sur
trois phases, dont les activits sont dtailles dans la figure 10.1 :
planification, cadrage et excution.
La dmarche d'audit
3/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
www.afai.fr
L'auditeur planifie, dans un premier temps, les diffrents
aspects de la mission concourant l'atteinte des objectifs
initialement fixs. Ces objectifs sont ensuite dtaills dans la phase
de cadrage puis la phase d'excution de l'audit aboutit la
formulation de conclusions et de recommandations consignes dans un
rapport d'audit.
Le rapport d'audit Toute mission d'audit, et donc d'audit des
systmes d'information, se traduit par un rapport d'audit, qui
constitue la pice matresse de la mission d'audit. Selon les normes
professionnelles de l'ISACA (Information Systems Audit and Control
Association), l'issue de son travail, l'auditeur des SI doit
fournir un rapport sous une forme adquate. Le rapport doit prciser
l'entreprise, les destinataires du document et les ventuelles
restrictions sa diffusion. [ ... ] Le rapport doit spcifier la
porte, les objectifs, la priode couverte, la nature, la dure et
l'ampleur de l'audit ralis. [ ... ] Le rapport doit spcifier les
conclusions et recommandations de l'audit, ainsi que les ventuelles
limitations de porte, rserves ou qualifications juges opportunes
par l'auditeur des SI. [ ... ] L'auditeur des SI doit collecter des
lments probants suffisants et pertinents pour corroborer les
rsultats rapports. [ ... ] Lors de son dition, le rapport de
l'auditeur des SI doit tre sign, dat et distribu conformment aux
termes de la charte d'audit ou de la lettre de mission (source :
www.isaca.org).
Le rapport d'audit est un outil stratgique, support des
amliorations du SI.
Les conseils pour piloter un audit du systme d'information Selon
Dominique Filippone (JDN Solutions, 10 conseils pour piloter son
audit des systmes d'information, www.journaldunet.com), lorsqu'une
entreprise dcide ou est contrainte de raliser un audit, elle doit
se poser des questions sur la faon de le mener bien et d'apprhender
avec le plus d'objectivit possible les rsultats de l'audit et
suivre les conseils suivants :
1. Bien dlimiter le champ d'investigation et les enjeux de
l'audit. 2. Se prparer la procdure d'audit. 3. Sparer le
commanditaire de l'entit en charge de l'audit.
L'audit doit tre men par des intervenants indpendants de la DSI
et mandats par la direction gnrale. Cependant, des audits seront
commandits spcifiquement par la DSI lorsque les enjeux seront
typiquement lis ses processus internes (suivi de la production,
suivi de la qualit de service ... ).
4. Se doter d'une direction de l'audit interne, oui, mais ce
n'est pas sans poser problme en raison de l'importance des
ressources mobiliser et de la place de cette direction dans
l'organisation.
4/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
5. Recourir des rfrentiels solides comme ISO, CobiT (Control
Objectives for Information and related Technology) dans le cadre de
processus transverses, CMMI (Capability Maturity Model
Integration), dans celui du pilotage de projet, ITIL (Information
Technology Infrastructure Library), pour les services, etc.
6. S'entendre sur le rfrentiel choisi.
Les parties prenantes concernes par les enjeux de l'audit
doivent avoir une vision sur le rfrentiel choisi, ainsi la clart de
la dmarche d'audit sera apprhende dans le temps.
7. Prparer les pices indispensables l'audit et en faciliter
l'accs : le cahier des charges, qui a pour vocation contractualiser
les besoins d'une entit envers un tiers, mais galement le plan
qualit, les tableaux de bord et indicateurs de performance, la
gestion des problmes rcurrents, etc.
8. Confier son audit une quipe pluridisciplinaire et
indpendante.
9. Choisir la frquence et le temps de droulement de l'audit.
10. Ne pas sous-estimer les limites d'un audit.
Les risques de ne pas identifier l'ensemble des faiblesses et
menaces d'un processus ou d'un applicatif ne sont pas nuls. Parmi
les contraintes et les limites potentielles : un temps imparti
l'audit restreint ou une apprciation biaise du contexte fonctionnel
et mtier de l'organisation tudie. Enfin, un lger rajustement
technique ou organisationnel exerc a posteriori sur le SI peut
remettre en cause tout ou partie des rsultats d'un audit.
Le cadre lgal et normatif de l'audit L'audit des systmes
d'information est encadr par des normes et rfrentiels spcifiques,
internationaux et nationaux, qui servent de guide dans les
pratiques des auditeurs internes et externes. Toutefois, le cadre
de rfrence de l'audit retenu par les grandes entreprises est
souvent rapproch du cadre propos par l'Autorit des marchs
financiers (AMF) au titre du contrle interne. En effet, le
lgislateur a oblig les grandes entreprises plus de transparence et
disposer de systmes d'information la hauteur de ces enjeux par la
loi Sarbanes-Oxley (SOX : 29 aot 2002) aux tats-Unis, les lois NRE
(nouvelles rglementations conomiques, 15 mai 2001), LSF (loi de
scurit financire, 1er aot 2003) et la loi pour la confiance et la
modernisation de l'conomie (
-
DSCG : UE5 - Management des Systmes d'Information Audit
Audit interne Audit informatique Audit externe
Normes nationales NEP, normes d'exercice professionnel
L'objectif des normes est d'informer les auditeurs du niveau
minimal acceptable pour rpondre aux responsabilits professionnelles
et les autres parties des attentes de la profession d'audit.
Le rfrentiel CobiT La dmarche d'audit du systme d'information
s'appuie sur le rfrentiel CobiT (Control Objectives for Information
and related Technology - Objectifs de contrle de l'information et
des technologies associes) qui fournit les bonnes pratiques pour
l'apprciation des risques informatiques et propose des standards de
contrle selon le cadre prsent ci-dessous :
Cadre d'analyse des risques illustr par CobiT
Le modle dbute par une valorisation des biens. Dans CobiT, ces
biens sont les informations - et naturellement l'ensemble des
ressources associes - dont les critres d'efficacit, de disponibilit
ou d'intgrit, etc., sont essentiels pour atteindre les objectifs de
l'entreprise. L'tape suivante est l'analyse de vulnrabilit des
processus, qui permet d'identifier les faiblesses par les critres
d'information ; un processus peut par exemple tre vulnrable la
perte d'intgrit. L'analyse des menaces, tape suivante, doit
permettre de lister l'ensemble des menaces et de voir quelles
vulnrabilits elles pourraient exploiter. L'analyse des risques va
combiner la probabilit de la menace, le degr de vulnrabilit et le
niveau de svrit de l'impact. Il faut alors raliser l'analyse du
contrle en exhibant une srie de contre-mesures et en valuant leur
efficacit face aux risques. Un plan d'actions est alors mis en uvre
et le cycle peut recommencer.
www.afai.fr
L'utilisation du rfrentiel CobiT est rassurante pour l'auditeur
et l'audit car elle renvoie une dmarche accepte et valide au niveau
international. Elle permet l'auditeur :
d'adopter une dmarche efficace en se rfrant, pour la
construction et l'application des programmes de travail, un
ensemble reconnu de bonnes pratiques ;
de structurer la documentation de travail et de la mission ;
de prendre en compte tous les risques (exhaustivit) ;
de faciliter les changes en se rfrant un rfrentiel international
;
de permettre des comparaisons entre entits ou secteurs d'activit
;
etc.
Si le recours au rfrentiel CobiT constitue une vritable
opportunit pour l'auditeur, son usage prsente des limites. D'une
part, le rfrentiel est avant tout un outil de travail. Il devra
donc tre adapt aux objectifs de la mission et au contexte de mise
en uvre. Le rfrentiel ncessite imprativement une dmarche critique
de l'auditeur et une apprciation des risques lis au contexte
spcifique d'intervention. D'autre part, si le rfrentiel CobiT reste
exhaustif et pertinent pour
6/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
l'apprciation des risques lis la fonction informatique, sa porte
est considrablement limite lors de l'valuation des risques
informatiques sous-jacents dans le fonctionnement des autres
processus oprationnels ou les risques informatiques particuliers
propres, par exemple, un environnement lgal et rglementaire
donn.
Les normes professionnelles internationales Des normes
professionnelles internationales relatives l'audit interne et
l'audit externe existent.
Les normes d'audit interne Au niveau international, ce sont les
normes internationales pour la pratique professionnelle de l'audit
interne de l'Institute of Internal Auditors (lIA) qui constituent
le rfrentiel de la mission d'audit interne.
Elles sont compltes par un code de dontologie fournissant aux
auditeurs internes les principes et valeurs rgissant leur pratique
professionnelle.
Selon l'IFACI, les normes ont pour objet :
de dfinir les principes fondamentaux de la pratique de l'audit
interne ;
de fournir un cadre de rfrence pour la ralisation et la
promotion d'un large champ d'intervention d'audit interne valeur
ajoute ;
d'tablir les critres d'apprciation du fonctionnement de l'audit
interne ;
de favoriser l'amlioration des processus organisationnels et des
oprations.
Les normes se composent :
de normes de qualification qui prcisent les caractristiques que
doivent prsenter les organisations et les personnes accomplissant
des missions d'audit interne ;
de normes de fonctionnement qui dcrivent la nature des missions
d'audit interne et dfinissent des critres de qualit permettant de
mesurer la performance des services fournis ;
de normes de mise en uvre qui prcisent les deux types de normes
prcdentes en indiquant les exigences applicables dans les activits
d'assurance (valuation objective en vue de formuler en toute
indpendance une opinion ou des conclusions sur une entit, une
opration, une fonction, un processus, un systme ou tout autre
sujet) ou de conseil.
La norme de qualification 1210.A3 stipule notamment que les
auditeurs internes doivent possder une connaissance suffisante des
principaux risques et contrles relatifs aux technologies de
l'information, et des techniques d'audit informatises susceptibles
d'tre mises en uvre dans le cadre des travaux qui leur sont confis.
Toutefois, tous les auditeurs internes ne sont pas censs possder
l'expertise d'un auditeur dont la responsabilit premire est l'audit
informatique .
Les normes d'audit externe Au niveau international, ce sont les
normes ISA qui constituent le rfrentiel de la mission d'audit
externe. Elles ont t labores et publies par l'International
Auditing and Assurance Standards Board (IAASB), qui est une
dpendance de l'IFAC (International Federation of Accountants). Les
objectifs des normes d'audit des systmes d'information de l'ISACA
sont d' informer :
les auditeurs de systmes d'information du niveau minimum de
diligence requis pour satisfaire les responsabilits
professionnelles dfinies dans le code d'thique professionnelle de
l'ISACA ;
la direction et les autres parties prenantes de ce qu'elles sont
en droit d'attendre des travaux professionnels des auditeurs
(source : AFAI, La Revue, n" 78, mars 2005).
L'architecture des normes d'audit des systmes d'information de
l'ISACA comprend plusieurs niveaux :
les normes dfinissent les exigences obligatoires pour la
conduite de l'audit des systmes d'information et la rdaction des
rapports ;
les recommandations apportent des conseils pour l'application
des normes ISA ;
les procdures donnent des informations sur la faon de satisfaire
aux normes lors de l'accomplissement des travaux d'audit.
7/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
Les normes ISA de rfrence sont :
la norme ISA 315 - Connaissance de l'entit et de son
environnement et valuation du risque d'anomalies significatives
;
la norme ISA 330 - Procdures mettre en uvre par l'auditeur en
fonction de son valuation du risque.
Ces normes ont t transposes au niveau national.
Par ailleurs, la norme ISCQ1 (International Standard on Quality
Control), tablie par l'IFAC, dfinit les exigences relatives la mise
en place d'un systme de contrle qualit des cabinets ralisant des
missions d'audit ou d'examen limit d'informations financires
historiques, et d'autres missions d'assurance et de services
connexes .
Cette norme devrait tre implmente dans les cabinets de rviseurs
d'entreprises dans les prochaines annes.
Les normes professionnelles nationales En France, c'est la CNCC
(Compagnie nationale des commissaires aux comptes) qui ralise le
rfrentiel normatif homologu applicable la profession franaise. Il a
t entrin courant 2000. La transposition dans le rfrentiel franais
des normes d'audit internationales de l'IFAC a poursuivi deux
objectifs :
positionner clairement la France au regard du rfrentiel normatif
international (IAASB) ;
tmoigner du haut degr de qualit de la certification des
commissaires aux comptes.
De cette transposition ont dcoul notamment les normes d'audit en
environnement informatis :
la norme CNCC 2-301 relative l'valuation du risque et au contrle
interne ;
la norme CNCC 2-302 relative l'audit ralis dans un environnement
informatique.
Ces textes ont t remplacs le 1er mai 2007 par les normes
d'exercice professionnel : -la norme NEP 315 - Connaissance de
l'entit et de son environnement et valuation du risque d'anomalies
significatives dans les comptes ;
la norme NEP 330 - Procdures d'audit mises en uvre par le
commissaire aux comptes l'issue de son valuation des risques.
Ces NEP dcoulent des normes internationales ISA 315 et 330.
Les NEP ont valeur de loi et s'imposent dans le cadre de la
mission du CAC. Elles ont pour vocation premire de garantir le bon
exercice des missions et permettent de trouver, dans une doctrine
manant de l'organisation professionnelle seule habilite dfinir, les
critres d'apprciation ncessaires (Rfrentiel normatif CNCC, juillet
2003, 0-100, Prambule).
Le contrle interne La mise en place de dispositifs de contrle
interne repose en grande partie sur le contrle du systme
d'information. En effet, la quasi-totalit des procdures repose
aujourd'hui sur des traitements informatiss. La mise en place de
dispositifs de contrle interne efficaces se fait et se fera de plus
en plus l'aide de SI conus cet effet.
La dfinition et la porte du contrle interne Selon l'AFAI, le
contrle interne est un dispositif mis en uvre par la socit et sous
sa responsabilit. Il comprend un ensemble de moyens, de
comportements, de procdures et d'actions adapts aux caractristiques
propres de chaque socit qui :
contribue la matrise de ses activits, l'efficacit de ses
oprations et l'utilisation efficiente de ses ressources, et
doit lui permettre de prendre en compte de manire approprie les
risques significatifs, qu'ils soient oprationnels, financiers ou de
conformit.
Le contrle interne vise plus particulirement assurer :
la conformit aux lois et rglements ;
l'application des instructions et des orientations fixes par la
direction gnrale ou le directoire ;
8/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
le bon fonctionnement des processus internes de la socit,
notamment ceux concourant la sauvegarde de ses actifs ;
la fiabilit des informations financires.
Le contrle interne ne se limite donc pas un ensemble de
procdures ni aux seuls processus comptables et financiers. La
dfinition du contrle interne ne recouvre pas toutes les initiatives
prises par les organes dirigeants ou le management comme par
exemple la dfinition de la stratgie de la socit, la dtermination
des objectifs, les dcisions de gestion, le traitement des risques
ou le suivi des performances ,
Selon les articles 1. 225-37 et 1. 225-68 du Code de commerce,
qui trouvent leur origine dans la loi de scurit financire (LSF) du
1er aot 2003 (article 117), dans les socits faisant appel public
l'pargne, le prsident du conseil d'administration ou du conseil de
surveillance rend compte, dans un rapport, [ ... ] des procdures de
contrle interne mises en place par la socit .
Pour ces mmes socits, selon l'article L. 225-235 du Code de
commerce (article 120 de la LSF), les commissaires aux comptes
prsentent dans un rapport 13121Management des systmes
d'information
[ ... ] leurs observations sur le rapport (du Prsident) pour
celles des procdures de contrle interne relatives l'laboration et
au traitement de l'information comptable et financire . Les
applicatifs ddis au Contrle Interne rpondent aux enjeux majeurs
suivants :
Sassurer de la conformit de lentreprise aux rglementations et
aux normes de contrle interne : LSF, cadre de rfrence de lAMF,
Sarbanes-Oxley, CRBF 97-02 et Ble II pour les banques, Solvabilit
II pour lassurance,
Contribuer lalignement et loptimisation des processus
oprationnels dans lentreprise, Faciliter la communication aux
parties prenantes et la rdaction du rapport annuel sur le
contrle interne.
Le cadre de rfrence des dispositifs de gestion des risques et de
contrle interne de l'AMF
Face aux proccupations relatives au contrle interne, on assiste
au dveloppement de dmarches sur la base de cadres de rfrence, comme
celui de l'AMF (Autorit des marchs financiers) ou celui du casa
(Committee of Sponsoring Organizations of the Treadway
Commission).
Le dispositif du contrle interne s'intresse tant aux qualits des
systmes d'information qu'aux informations diffuses, ainsi que le
prconise le cadre de rfrence des dispositifs de gestion des risques
et de contrle interne de l'AMF de 2010, dont un extrait est prsent
ci-dessous.
Extrait du cadre de rfrence des dispositifs de gestion des
risques et de contrle interne de l'AMF de 2010
Selon l'AMF, le dispositif de contrle interne comprend cinq
composantes [ ... ] :
1) Une organisation comportant une dfinition claire des
responsabilits, disposant des ressources et des comptences adquates
et s'appuyant sur des systmes d'information, sur des procdures ou
modes opratoires, des outils et des pratiques appropris [ ...
].
Les systmes d'information [doivent tre adapts] aux objectifs
actuels de l'organisation et conus de faon pouvoir supporter ses
objectifs futurs. Les systmes informatiques sur les- quels
s'appuient ces systmes d'information doivent tre protgs
efficacement tant au niveau de leur scurit physique que logique
afin d'assurer la conservation des informations stockes. Leur
continuit d'exploitation doit tre assure au moyen de procdures de
secours. Les informations relatives aux analyses, la programmation
et l'excution des traitements doivent faire l'objet d'une
documentation [ ... ].
2) La diffusion en interne d'informations pertinentes, fiables,
dont la connaissance permet chacun d'exercer ses responsabilits [
... ].
3) Un dispositif de gestion des risques visant recenser,
analyser et traiter les principaux risques identifis au regard des
objectifs de la socit.
4) Des activits de contrle proportionnes aux enjeux propres
chaque processus, et conues pour s'assurer que les mesures
ncessaires sont prises en vue de matriser les risques susceptibles
d'affecter la ralisation des objectifs.
5) Une surveillance permanente portant sur le dispositif de
contrle interne ainsi qu'un examen rgulier de son fonctionnement
.
www.amf-france.org, 14 juin 2010.
9/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
Cette nouvelle dition du cadre de rfrence de l'AMF s'appuie sur
les volutions constates dans les principaux rfrentiels
internationaux, en particulier :
le rfrentiel de contrle interne casa II, qui est aujourd'hui le
plus communment admis et utilis. Il est adopt notamment par un
nombre croissant d'entreprises franaises ;
la norme ISO 31000 (
-
DSCG : UE5 - Management des Systmes d'Information Audit
Dmarches d'audit Stratgie informatique Fonction
informatique Processus
informatiss
Audit comptable x x
Audit interne x x x
Analyse des risques x x x
Audit de scurit x x
Audit qualit x x
AFAI, Contrle interne et systme d'information, 2" dition,
2008.
Ainsi, l'audit des composantes du systme d'information, que sont
la stratgie informatique, la fonction informatique et les processus
informatiss, joue un rle majeur au service du contrle interne.
Le contrle des comptes des entits informatises Le contrle des
comptes des entits informatises peut tre un contrle lgal effectu
par un commissaire aux comptes ou un contrle de nature
contractuelle effectu par un expert-comptable. Le CAC et
l'expert-comptable doivent prendre en compte l'vplution notoire des
systmes d'information comptable, qui sont de plus en plus
automatiss et intgrs. Ici, nous n'tudierons que le contrle externe
lgal effectu par un commissaire aux comptes.
Le systme d'information comptable (SIC) Le systme d'information
comptable est le systme interface entre les systmes oprants (achat,
production, vente, investissement...) et le systme de pilotage. Il
recueille et traite les diffrentes informations de nature comptable
et financire afin de les mettre la disposition du systme de
pilotage (dit aussi systme de dcision ). Les SIC sont de plus en
plus intgrs. L'intgration vise regrouper dans un systme unique les
diffrents systmes comptables et de gestion de l'entreprise, et
assurer la production d'une information fiable, actuelle, non
redondante et homogne. Il existe diffrents niveaux d'intgration des
SIC : la comptabilit autonome, la comptabilit semi-intgre et la
comptabilit intgre.
La comptabilit autonome Cette architecture est caractristique
des petites entreprises dont l'informatisation est gnralement
centre sur la mise en place d'un progiciel comptable. La
comptabilit peut tre considre comme autonome du fait de l'existence
d'un lien direct entre le fait juridique et l'criture
comptable.
La comptabilit semi-intgre Dans cette organisation qui
caractrise gnralement les entreprises de tailles moyenne et grande,
la comptabilit est alimente par des progiciels amont ddis aux
diffrents domaines fonctionnels de l'entreprise (achats, ventes,
immobilisations, paie, etc.). Ces progiciels appartiennent souvent
la mme gamme logicielle, ce qui facilite la gnration automatique
des critures dans le progiciel de comptabilit grce aux
fonctionnalits d'importation et d'exportation.
La comptabilit intgre Ce type d'organisation, propre aux grandes
entreprises, se caractrise souvent par une saisie unique de
l'information dans une base de donnes commune plusieurs modules
couvrant les diffrents domaines fonctionnels de l'entreprise. Les
processus sont gnralement trs informatiss et supports par des
progiciels de gestion intgre.
La prise en compte de l'environnement informatique lors de
l'audit lgal des comptes
La prise en compte de l'environnement informatique lors de
l'audit des comptes par les commissaires aux comptes ne doit pas
tre confondue avec l'audit informatique d'un systme d'information
confi gnralement des experts spcialiss.
L'audit des comptes men par un CAC est un audit externe nomm
audit lgal des comptes , Depuis 2000, le CAC doit, dans le cadre de
sa mission, prendre en considration le systme d'information ainsi
que le stipule la norme CNCC 2-302 relative l'audit ralis dans un
environnement informatique (voir encadr ci-dessous).
11/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
Encadr 10.3 - Extrait de la norme CNCC 2-302 relative l'audit
ralis dans un environnement informatique
La norme CNCC 2-302 rappelle les principes fondamentaux suivants
:
l'existence d'un environnement informatique ne modifie pas
l'objectif et l'tendue de la mission du commissaire aux comptes
;
l'utilisation d'un ordinateur modifie la saisie et le processus
de traitement et de conservation des donnes, et en consquence peut
avoir une incidence sur les systmes comptable et de contrle interne
de l'entit ;
un environnement informatique peut ainsi avoir une incidence sur
la dmarche du commissaire aux comptes lors de : la prise de
connaissance des systmes comptable et de contrle interne, la prise
en compte du risque inhrent et du risque li au contrle, la mise en
uvre des procdures d'audit.
La nature des risques dans un environnement informatique est lie
aux spcificits suivantes :
le manque de trace matrielle justifiant les oprations, qui
entrane un risque plus important de non-dtection des erreurs
contenues dans les programmes d'application ou les logiciels
d'exploitation ;
l'uniformit du traitement des oprations, qui permet d'liminer
quasiment toutes les erreurs humaines ; en revanche, les erreurs de
programmation peuvent entraner un traitement incorrect de toutes
les oprations ;
la sparation insuffisante des tches qui rsultent souvent de la
centralisation des contrles ;
le risque d'erreurs et d'irrgularits, qui peut provenir :
d'erreurs humaines dans la conception, la maintenance et la mise en
uvre plus
importantes que dans un systme manuel, d'utilisateurs non
autoriss qui accdent, modifient, suppriment des donnes sans
trace
visible. Par ailleurs, la possibilit de dtection de ces erreurs
et irrgularits est affecte par le fait qu'elles sont souvent
intgres lors de la conception ou de la modification de programmes
d'application ou de logiciels d'exploitation, et sont aussi
difficilement identifiables dans le temps.
En rsum, les risques en milieu informatis peuvent rsulter de
dfaillances dans les activits informatiques gnrales, telles que
:
le dveloppement et la maintenance des programmes ;
l'exploitation du systme ;
les traitements particuliers ;
la scurit physique ;
les contrles d'accs pour les utilisateurs privilgis.
Le CAC ne peut ignorer ni les incidences des technologies de
l'information, ni les possibilits que ces technologies reprsentent
dans l'accomplissement de sa mission. Si le CAC ne dispose pas des
comptences informatiques ncessaires, la norme prcise qu'il dtermine
si des comptences informatiques particulires sont ncessaires pour
raliser la mission. Si tel est le cas, il se fait assister par un
professionnel possdant ces comptences. Il peut tre un collaborateur
ou un spcialiste externe.
Le risque d'audit Selon les normes professionnelles ISACA, le
risque d'audit est compos du risque inhrent, du risque de contrle
et du risque de (non-) dtection
Les composantes du risque d'audit
Risque Description
Risque inhrent C'est un risque indpendant de la mission d'audit,
qui apparat en fonction de la nature de l'entreprise, c'est--dire
de son environnement, march, et catgorie, mais aussi de la culture
d'entreprise et du style de management qui lui est propre.
12/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
Risque de contrle C'est le risque qu'une erreur significative
existe sans tre prvenue ou dtecte temps par le systme de contrle
interne.
Risque de (non-) dtection
C'est le risque qu'un auditeur utilise une procdure de test
inadquate et conclut qu'il n'y a pas d'erreurs alors qu'en ralit,
il y en a.
Par exemple, le risque de non-dtection de failles de scurit dans
un SI doit tre considr comme lev car l'exhaustivit en ce domaine
peut difficilement tre atteinte.
l'oppos, le risque de non-dtection li l'absence de plan de
secours informatique est gnralement bas car la documentation de ces
plans existe ou n'existe pas, ce qui peut tre trs facilement
vrifi.
Risque d'audit
C'est la combinaison des catgories individuelles des risques
value pour chaque objectif spcifique de contrle.
L'auditeur fera en sorte que le risque d'audit soit limit un
niveau suffisamment bas sur le domaine audit. Pour ce faire, il
dploiera une approche d'audit en consquence.
L'opinion du CAC sur les comptes ncessite qu'il obtienne
l'assurance que les comptes ne comportent pas d'anomalies
significatives. Cette assurance doit tre la plus leve possible mais
non absolue en raison des limites propres aux missions d'audit. On
parlera alors d' assurance raisonnable sur les comptes. cet effet,
il convient de rduire le risque d'audit.
Le risque d'audit comprend deux composantes : le risque
d'anomalies significatives dans les comptes et le risque de
non-dtection de ces anomalies par le commissaire aux comptes.
Le risque d'anomalies significatives dans les comptes est propre
l'entit audite ; il existe indpendamment de l'audit des comptes
pratiqu. Il se subdivise en risque inhrent et risque li au contrle.
Les normes d'exercice professionnel homologues et code de
dontologie de la CNCC (4 dcembre 2008) dfinissent ainsi ces risques
:
Le risque inhrent correspond la possibilit que, sans tenir
compte du contrle interne qui pourrait exister dans l'entit, une
anomalie significative se produise dans les comptes.
Le risque li au contrle correspond au risque qu'une anomalie
significative ne soit ni prvenue ni dtecte par le contrle interne
de l'entit et donc non corrige en temps voulu.
Le risque de non-dtection est propre la mission d'audit : il
correspond au risque que le commissaire aux comptes ne parvienne
pas dtecter une anomalie significative
Exemples
Incidence sur le risque inhrent
Selon les modalits d'achat ou de dveloppement des applications
informatiques d'une entit, l'incidence sur le risque inhrent est
:
leve si les achats ou les dveloppements sont lancs
conscutivement des incidents majeurs ;
modre si les achats ou les dveloppements sont effectus selon un
plan prdfini selon des critres financiers et non pas techniques
;
faible si les achats ou les dveloppements sont raliss selon un
plan prtabli tenant compte des besoins des utilisateurs et des
critres techniques tels que l'indisponibilit des solutions
existantes, les temps de rponse, etc.
Incidence sur le risque li au contrle
Selon la qualit des interfaces reliant les applications d'un
systme d'information d'une entit, l'incidence sur le risque li au
contrle est :
leve si les interfaces sont manuelles (risque de non-exhaustivit
ou de double imputation) ;
leve si les interfaces automatiques sont rcemment introduites
dans le SI sans dition et conservation des tats d'anomalie lors des
transferts des informations entre applications ;
modre si les tats d'anomalies des interfaces sont conservs en
vue d'une correction ultrieure. Si les modifications sont ralises
trop tardivement, elles risquent d'tre imputes sur l'exercice
suivant, ce qui peut conduire au non-respect du principe
d'indpendance des exercices ;
faible si les interfaces automatiques sont prouves et les tats
d'anomalies rgulirement contrls par un acteur responsable qui en
assure par ailleurs la conservation.
13/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
Le risque le plus important pour le commissaire aux comptes est
le risque de nondtection. Lorsque le CAC apprcie le risque
d'anomalies significatives (risque inhrent et risque li au contrle)
un niveau lev, il met alors en uvre des procdures d'audit
complmentaires.
La dmarche d'audit du CNCC
Les spcificits de l'environnement informatique sont prises en
compte dans les principales normes au cur de la dmarche d'audit
propose par la CNCC, savoir la connaissance de l'entit et de son
environnement et valuation du risque d'anomalies significatives
dans les comptes (NEP 315), et les procdures d'audit mises en uvre
l'issue de l'valuation des risques (NEP 330).
La NEP 315 stipule que lors de la prise de connaissance des
lments du contrle interne pertinents pour l'audit, le commissaire
aux comptes doit prendre notamment connaissance du systme
d'information relatif l'laboration de l'information financire. ce
titre, le CAC s'intresse notamment :
aux catgories d'oprations ayant un caractre significatif pour
les comptes pris dans leur ensemble ;
aux procdures, informatises ou manuelles, qui permettent
d'initier, enregistrer, traiter ces oprations et de les traduire
dans les comptes ;
aux enregistrements comptables correspondants, aussi bien
informatiss que manuels ;
la faon dont sont traits les vnements ponctuels, diffrents des
oprations rcurrentes, susceptibles d'engendrer un risque
d'anomalies significatives ;
au processus d'laboration des comptes, y compris des estimations
comptables significatives et des informations significatives
fournies dans l'annexe des comptes (Normes d'exercice professionnel
homologues et code de dontologie, CNCC 4 dcembre 2008).
Ces diffrents points sont pris en compte ds la planification de
l'audit (NEP 300) qui est formalise, d'une part, dans un plan de
mission qui dcrit la nature et l'tendue des contrles mettre en
uvre, d'autre part dans un programme de travail. La prise en compte
du SI ds le dbut de la dmarche d'audit est importante pour le bon
droulement de la mission. Elle conduit le CAC apprcier :
la stratgie informatique ;
la fonction informatique et son importance dans l'entreprise en
vue de dterminer l'impact de l'informatique sur la production des
informations comptables et financires ;
le pilotage du systme d'information ;
les principales applications et l'architecture mises en uvre
;
14/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
la gestion de la scurit informatique ;
les projets cls ;
les contraintes lgales et rglementaires respecter.
La prise de connaissance de l'environnement informatique de
l'entit permet au CAC de constituer un dossier permanent servant de
base pour capitaliser des connaissances du cadre de rfrence pour la
conduite des missions futures.
Le CAC apprcie l'impact de l'environnement informatique sur le
risque inhrent et le risque li au contrle afin d'valuer le risque
d'anomalies significatives dans les comptes. Cette tape de la
mission comprend donc :
l'incidence de l'environnement informatique sur le risque
inhrent. Elle s'apprcie au regard des lments suivants : la
conception et l'acquisition des solutions informatiques, la
distribution et le support informatique, la gestion de la scurit et
la gestion des projets informatiques. L'environnement informatique
d'une entreprise peut entraner un risque inhrent lev et avoir une
consquence terme sur la continuit d'exploitation.
Une entreprise spcialise dans l'e-commerce est fortement
dpendante de son informatique. Elle peut voir remise en cause son
activit en cas de dfaillance majeure survenant dans son systme
d'information.
l'incidence de l'environnement informatique sur le risque li au
contrle. Elle s'apprcie par l'tude des processus et des
applications jouant un rle significatif dans la production des
comptes de l'entreprise. L'identification des contrles raliser
dpend des rsultats obtenus dans la phase Orientation et
planification de la mission et l'tape Incidence de l'environnement
informatique sur le risque inhrent .
l'tude des interfaces peut mettre en vidence un risque lev en
termes d'exhaustivit de l'information comptable. Des contrles
substantifs seront alors ncessaires dans la phase Obtention
d'lments probants pour quantifier les donnes non prises en compte
en comptabilit et demander l'entreprise de passer des critures
correctrices.
La premire anne du mandat, la prise en compte de l'environnement
informatique est trs consommatrice en temps mais les annes
suivantes, sous rserve qu'aucune modification majeure ne vienne
impacter le SI, le poids relatif de ces travaux sera en nette
diminution.
Selon la NEP 330, lorsqu'il a pris connaissance de l'entit et
valu le risque d'anomalies significatives dans les comptes, le
commissaire aux comptes adapte son approche gnrale et conoit et met
en uvre des procdures d'audit qui lui serviront de base pour se
forger une opinion sur les comptes. Il dtermine alors les contrles
de substance mener lorsqu'il a dtermin un risque inhrent lev.
Le CAC peut appliquer des procdures d'audit manuelles, des
techniques assistes par ordinateur ou combiner les deux pour
rassembler suffisamment d'lments probants.
Anomalies lies aux contrles applicatifs, identifies lors de
l'valuation des systmes comptable et de contrle interne, qui
pourraient avoir une incidence sur l'opinion du CAC
Oprations comptables ou montants significatifs non transmis par
une interface entre une application de gestion commerciale et un
progiciel de comptabilit.
Identification d'une anomalie significative lors de l'analyse
d'un fichier informatique issu d'un PGI (dprciation calcule partir
d'une base errone, erreur de valorisation des stocks d'en-cours de
production, etc.).
Absence ou erreur dans la mise jour du rfrentiel de
l'application de paie ou du module de paie d'un PGI.
Contrle interne dficient ou absent, au sein d'une application
qui gre un processus majeur de l'entreprise ou d'un PGI qui
supporte les processus critiques d'une entit.
Mise en vidence d'irrgularits ou d'inexactitudes dans la
comptabilisation des achats.
Les supports oprationnelsLes supports oprationnels sont des
modles de feuilles de travail permettant de mettre en uvre la
mthodologie.
15/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
orientation et planification de la mission :
prise de connaissance de linformatique dans lentreprise : modle
de tableau permettant de dterminer lincidence sur la fiabilit du
systme dinformation, de la stratgie informatique, de la fonction
informatique, de limportance de linformatique dans lentreprise, de
la complexit du systme dinformation,
description du systme dinformation de lentreprise :
cartographies dapplications et techniques, tableaux dinventaire
correspondants,
valuation des risques et obtention dlments probants :
incidence de lenvironnement informatique sur le risque inhrent :
modle de tableau permettant de dterminer lincidence sur le risque
inhrent de la conception et lacquisition des solutions
informatiques, la distribution et le support informatique, la
gestion de la scurit, la gestion des projets informatiques,
formalisation des processus : utilisez les MOT, diagramme
d'activits UML ou le BPMN ;
incidence de lenvironnement informatique sur le risque li au
contrle : modle de tableau permettant de dterminer lincidence sur
le risque li au contrle de chaque processus, partir des assertions
sous-tendant ltablissement des comptes,
exemple de prsentation schmatique de la synthse des risques.
L'audit assist par ordinateur Face au volume croissant des
donnes et la complexit des SIC utiliss par les entreprises,
l'auditeur doit se doter d'outils pour automatiser les travaux
d'audit pour :
faciliter des contrles non ralisables manuellement et obtenir
une assurance renforce ;
permettre des contrles exhaustifs sur de gros volumes de donnes
pour disposer de rsultats pertinents ;
obtenir des niveaux d'analyse de donnes plus dtaills que ceux
offerts par les outils utiliss par l'entit audite.
Les techniques d'audit assist par ordinateur proposes peuvent
tre utilises tant dans l'valuation des risques et dans l'obtention
d'lments probants des missions d'audit lgal des comptes que pour
des missions contractuelles.
Les tapes de l'audit assist par ordinateur L'audit assist par
ordinateur dbute parfois lors de l'valuation des risques et
essentiellement, lors de l'obtention d'lments probants.
Les tapes prsentes ci-aprs sont relatives la mise en uvre des
techniques d'audit assist par ordinateur dans une mission d'audit
lgal, mais elles sont transposables une mission contractuelle.
tape 1 - Rcupration des fichiers informatiques Aprs la prise de
connaissance de l'entit et de son environnement et la revue gnrale
du systme d'information, la conduite de la revue d'application
permet d'valuer :
la conformit du paramtrage et des traitements applicatifs avec
les rgles de gestion arrtes par l'entit et les rgles lgales en
vigueur ;
l'intgration ou l'interfaage des applications ;
l'efficacit des contrles programms par l'entit audite permettant
d'avoir une assurance satisfaisante sur l'exhaustivit, la ralit,
l'intgrit, la confidentialit et la disponibilit des donnes
traites.
Aprs ces activits, le CAC :
identifie les risques ;
dfinit les donnes exploiter (contenues dans des fichiers ou des
bases de donnes) ;
rcupre les fichiers et les bases de donnes ncessaires la
ralisation des tests informatiques utiles l'audit, dans un format
et sur un support adapts pour la rcupration
16/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
dans l'environnement informatique de l'auditeur. Compte tenu de
la diversit des technologies et des formats existants ainsi que du
volume des donnes, la rcupration n'est pas aise.
tape 2 - Validation des fichiers La validation des fichiers
imports par l'auditeur ncessite de rapprocher ces fichiers avec la
comptabilit de l'entit afin de s'assurer que les donnes rcupres
n'ont subi aucune modification lors de l'extraction et de
l'intgration dans l'environnement informatique de l'auditeur.
tape 3 - Ralisation des tests Une fois le contrle des fichiers
ralis, les tests peuvent tre lancs. Ils permettent l'auditeur,
d'une part, de confirmer, sur la base d'lments tangibles,
exhaustifs et incontestables, ses valuations et, d'autre part,
d'accder l'audit de systmes complexes de traitement, non
contrlables sans le recours des outils informatiques. En raison de
leur importance, il est essentiel que les tests raliss puissent tre
reproduits ultrieurement et que toutes les tapes intermdiaires
soient sauvegardes. Il est recommand que le logiciel de traitement
des donnes gnre un journal des tests effectus.
Cette tape aboutit la constitution d'un dossier contenant les
rsultats des tests. Ils peuvent prendre des formes variables en
fonction des objectifs, de l'tendue des tests raliss et de
l'exploitation qui en sera faite.
tape 4 - Analyse et synthse Cette dernire tape consiste analyser
et interprter les rsultats des tests. Un rapport de synthse est
alors rdig, dcrivant notamment les tests raliss et les
recommandations qui en dcoulent.
Les techniques d'audit assist par ordinateur, TAAO (Computer
Assisted Audit Techniques, CAATs)
Les techniques d'audit ponctuel L'audit assist par ordinateur
mobilise principalement des logiciels de traitement des donnes
permettant l'interrogation de fichiers ou de bases de donnes et la
ralisation de diffrents types de tests, dont les plus frquemment
utiliss en audit sont :
les tests de totalisation ; les tests de calculs ; les tests de
comparaison de fichiers ou de bases de donnes ; les tests d'analyse
par stratification, qui permettent de dtecter des anomalies ; les
tests d'extraction, afin d'analyser des populations spcifiques sur
des combinaisons de
critres dfinis. Contrles substantifs
La vrification de calculs : calculs des dotations aux
amortissements, du cumul des amortissements et de la valeur nette
comptable partir des donnes issues du logiciel de gestion des
immobilisations pour vrifier la valeur brute, le cumul des
amortissements et la valeur nette comptable des immobilisations en
comptabilit.
La comparaison de fichiers et l'extraction d'anomalies :
comparaison des fichiers des cots de revient et des prix de vente
d'lments en stock pour dterminer les dprciations ncessaires.
L'extraction de donnes contenues dans des fichiers ou des bases
de donnes selon diffrents critres : valeurs montaires suprieures au
seuil de 5 000 , critures passes aprs la date du 28/02/N.
Le tri des donnes contenues dans des fichiers ou des bases de
donnes selon diffrents critres : ordre croissant des valeurs
montaires, critures passes sur la priode du 01/01 /N au
31/12/N.
Ces diffrents types de tests contribuent vrifier que les
traitements des donnes dans les applications des entits audites
sont raliss selon les rgles comptables et fiscales en vigueur.
L'auditeur dispose galement d'un ensemble d'outils informatiques
rpondant chacune des phases de la mission d'audit
17/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
Les outils informatiques ddis chaque phase de la mission
d'audit
Phase Outils
tude prliminaire Outils de requtes et collecte d'information,
outils d'ditions, outils d'accs Internet, etc.
Conduite de mission
Outils de restitution Outils de gestion documentaire Outils de
planification Outils de gestion de papier de travail
Travail terrain
Outils de dtection d'anomalies, de fraudes, etc., bass sur
l'analyse de donnes nombreuses ou des techniques d'chantillonnage
Outils de calculs et de comparaisons pour raliser des tests
analytiques et statistiques Outils pour rechercher et croiser des
informations Etc.
www.afai.fr
Il existe galement des outils plus spcialiss qui permettent de
raliser des tests d'audit en milieu informatis, gnralement la
disposition des auditeurs informatiques.
Les outils informatiques ddis aux tests d'audit en milieu
informatis
Type de logiciel Description
Gnrateur de donnes de tests Prparation automatique de fichiers
de tests
Utilitaires standard Livrs avec les systmes d'exploitation, pour
extraction/ fusion de fichiers, tris de donnes, etc.
Logiciel de gestion-de changement Logiciel vrifiant l'intgrit et
la pertinence des modifications des programmes
www.afai.fr
L'ensemble des outils logiciels utilisables dans les phases
d'audit constitue les CAATs (Computer Assisted Audit
Techniques).
D'un audit ponctuel un audit continu
Les techniques d'audit assist par ordinateur permettent
d'envisager un glissement d'un audit ponctuel un audit continu qui
amliorerait la capacit des auditeurs internes et externes rpondre
aux obligations relatives au contrle interne tant donn qu'il
comporte essentiellement les deux volets suivants :
l'valuation continue du contrle, qui se focalise sur la dtection
au plus tt des dficiences de contrle ;
l'valuation continue des risques, qui met en lumire les
processus ou les systmes qui prsentent un niveau de risque mal
apprhend par le systme de contrles permanents.
Selon l'AFI, l'audit continu est une dmarche d'audit caractrise
par l'usage intensif de CAATs, exercs avec une frquence
proportionne aux vnements ou risques traiter . Plusieurs approches
d'audit continu assist par ordinateur existent
18/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
Les diffrentes approches d'audit continu assist par
ordinateur
Approche Description
SCARF (Systems Control Audit Review File) et EAM (Embedded Audit
Modules)
Consiste introduire des logiciels d'audit crits spcialement
l'intrieur du systme d'applications de l'entreprise, de sorte que
les systmes applicatifs soient pilots de manire slective.
SNAPSHOT Consiste prendre des images tout au long du chemin de
traitement (processing path) suivi par une transaction. On
enregistre les volutions de donnes slectionnes, pour une rvision
ultrieure pratique par l'auditeur.
AUDIT HOOKS Parties de logiciels embarqus sur des systmes
applicatifs, pour fonctionner comme des drapeaux rouges. Ils
doivent permettre l'auditeur d'agir avant qu'une erreur ou une
irrgularit ne soit alle trop loin.
ITF (Integrated Test Faci/ities) Cette technique consiste
introduire des entits fictives dans les fichiers de production.
L'auditeur peut demander au systme de travailler soit avec les
programmes de production, soit avec les programmes de test, afin
que les programmes mettent jour les entits fictives.
CIS (Continuous and Intermittent Simulation)
Le systme dclenche une simulation d'excution d'instructions de
l'application, afin de s'assurer de la fiabilit de la transaction.
Le dclenchement est fait sur certains critres prdtermins (montant
ou autre). Sinon, le simulateur attend jusqu' la prochaine
transaction qui prsentera les critres voulus.
www.afai.fr
Les avantages de l'audit assist par ordinateur Les logiciels de
traitement des donnes sont des outils plus puissants que les outils
bureautiques standard comme les tableurs, par exemple. Leur recours
permet de traiter rapidement des volumes de donnes importants, ce
qui est source de gains de productivit. De plus, partir des donnes
intgres dans ces logiciels, il est possible de paramtrer des
requtes facilitant la recherche d'anomalies, les impacts de
changement de mthodes comptables, etc. Des contrles plus importants
peuvent donc tre conduits partir de ces solutions, ce qui permet de
fiabiliser les rsultats obtenus et de limiter les risques lis aux
missions d'audit. De plus, ces logiciels respectent des principes
renforant la qualit des travaux conduits comme l'intangibilit des
donnes et la conservation des historiques.
Les progiciels d'aide la rvision Si de nombreux CAC travaillent
encore sur tableur, la profession s'appuie de plus en plus sur des
progiciels spcialiss dans la rvision et l'audit des comptes dont la
porte des fonctionnalits est plus large que les logiciels de
traitement des donnes tudis. Diffrents progiciels sont disponibles
sur le march : RevisAudit de la socit Gest On Line, REVOR conu par
Norbert Lecomte, Expert-Comptable et Commissaire aux Comptes,
etc.
L'organisation des progiciels d'aide la rvision Les logiciels de
rvision et d'audit sont gnralement structurs comme le progiciel
RevisAudit (www.revisaudit.fr) :
le dossier permanent est le point d'entre du dossier client. Il
contient toutes les informations gnrales et spcifiques du client
telles que la liste des associs, des procs-verbaux, les conventions
et contrats, les abonnements, etc. Il permet de crer et de
consulter les dossiers annuels ;
le dossier d'organisation (ou contrle interne) permet d'apprcier
l'organisation interne de l'entit par cycles, au travers de
diffrents outils : un descriptif de l'entit, un questionnaire
complet class par assertions, un formulaire de rpartition des
tches, un formulaire de tests de conformit. Les principales
fonctions de l'entit contrle sont ainsi passes en revue avec les
diffrentes fonctionnalits proposes ;
le dossier de contrle CAC permet de raliser l'approche par les
risques, de btir le plan de mission, de vrifier la rgularit
comptable et juridique, de faire la revue du dossier et de raliser
toute la partie contrles spcifiques (contrles de l'inventaire, de
l'annexe, du rapport de gestion). L'auditeur s'appuie sur les
fonctionnalits proposes qui permettent de s'assurer qu'aucun lment
n'a t oubli. L'outil informatique le renseigne galement sur
l'avancement de la mission ;
19/20
-
DSCG : UE5 - Management des Systmes d'Information Audit
le dossier gnral (dossier annuel) permet de visualiser la
balance N/N-1 importe du systme d'information du client ou du
logiciel de comptabilit du cabinet. Il stocke, en plus de la
balance :
le journal d'OD, le bilan et le compte de rsultat, les soldes
intermdiaires de gestion, les principaux ratios, etc. ;
le dossier de rvision comporte des feuilles de rvision
prformates, en liaison avec la balance et le journal d'OD, qui
permettent de raliser une rvision dynamique et exhaustive. Chaque
cycle du dossier de rvision prsente un programme de travail propre
au cycle, une feuille prsentant l'ensemble des comptes retrouvs
dans le cycle ainsi que de nombreuses feuilles ncessaires la
rvision du cycle. La majorit des feuilles dispose d'un assistant de
travail, qui permet, entre autres choses :
d'effectuer des extractions de compte ou d'critures spcifiques,
d'automatiser certains calculs, de rcuprer les feuilles N-1, le
contrle des stocks, le contrle des payes, etc.
Toutefois, l'organisation des logiciels de rvision et d'audit
peut diffrer, mais des fonctionnalits identiques sont proposes.
Les avantages des progiciels d'aide la rvision Les logiciels de
rvision et d'audit prsentent de nombreux avantages. Ils permettent
notamment une standardisation et une rationalisation des missions
de rvision par une automatisation des tches rptitives et un
pr-paramtrage des documents de travail (feuilles de travail). Les
feuilles de travail peuvent ensuite tre adaptes au contexte et tre
dupliques pour les exercices suivants ou pour des missions
conduites dans d'autres entits prsentant les mmes
caractristiques.
De plus, les logiciels d'aide la rvision permettent l'intgration
par import des dossiers clients, ce qui limite la ressaisie et les
risques d'erreurs.
Ils facilitent galement le suivi des dossiers et des missions
par la dfinition des collaborateurs intervenant sur les dossiers et
les tches de la mission. Leurs fonctionnalits favorisent ainsi un
travail collaboratif et une gestion des comptences des
collaborateurs pour accrotre la productivit au sein du cabinet
comptable.
Les progiciels d'aide la rvision offrent, travers une solution
unique, tant la possibilit de conduire des missions d'expertise
comptable que des missions de commissariat aux comptes. Ainsi, les
collaborateurs voluent dans un environnement informatique cohrent o
les difficults d'apprentissage sont moindres, ce qui favorise
galement des gains de productivit. De plus, ces solutions
permettent de redfinir les postes de travail intgrant un
enrichissement des tches et une approche collaborative.
Ces solutions intgrent galement la dmatrialisation des pices des
dossiers, ce qui permet le partage de documents entre diffrents
collaborateurs, rduit les problmes de stockage des dossiers et
d'archivage sur de longues priodes. L'archivage sous forme numrique
permet galement, au travers de la GED (gestion lectronique de
documents), de faciliter et d'acclrer les travaux de recherche
d'informations. La dmatrialisation favorise galement le nomadisme
afin de poursuivre les travaux d'audit au sein des entreprises
audites, par exemple.
20/20
Carte heuristiqueGnralitsLes missions d'audit Les contextes
d'audit L'audit des systmes d'information Les diffrents types de
missions d'audit La dmarche d'audit
Le cadre lgal et normatif de l'audit Les normes et les
rfrentiels Le rfrentiel CobiT Les normes professionnelles
internationales Le contrle interne
Le contrle des comptes des entits informatises Le systme
d'information comptable (SIC) La prise en compte de l'environnement
informatique lors de l'audit lgal des comptes Le risque d'audit
La dmarche d'audit du CNCCLes supports oprationnels
L'audit assist par ordinateur Les tapes de l'audit assist par
ordinateur Les techniques d'audit assist par ordinateur, TAAO
(Computer Assisted Audit Techniques, CAATs) Les progiciels d'aide
la rvision Les avantages des progiciels d'aide la rvision