B Quinio page : 1 SI, contrôle interne et Audit B QUINIO Master M2 CG - CCA 2010 / 2011

B Quinio page : 1

SI, contrôle interne et AuditB QUINIO

Master M2 CG - CCA2010 / 2011

B Quinio page : 2

Plan du cours

• Définitions

• Le contrôle Interne

• Audit Informatique

• Les outils de l’auditeur

B Quinio page : 3

Contrôle interne, audit, conseil (1)

• Contrôle interne :– Cadre de référence de l’AMF (Autorité des Marchés

Financiers)– Assurer la conformité aux lois et règlements– Appliquer les instructions et les orientations de la DG– Maintenir le bon fonctionnement des processus internes– Garantir la fiabilité des informations financières

B Quinio page : 4


• Contrôle interne :– Cadre du COSO – "Le contrôle interne est un processus mis en œuvre par

l'organe de direction (c'est-à-dire le Conseil d'Administration), les dirigeants et le personnel d'une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants :

• réalisation et optimisation des opérations,

• fiabilité des informations financières,

• respect des lois et réglementations en vigueur."

B Quinio page : 5


• Audit : processus structuré et documenté pour vérifier qu’un système et conforme à un référentiel donné

• Audit Comptable:– « Comptable » si ce n’est pas précisé– Certification des comptes de l’entreprise– Un prestataire qui audit ne peut pas faire du conseil pour le

même client

• Audit informatique :– Evaluer l’efficacité de l’exploitation, projet, …

B Quinio page : 6


• Conseil :– Analyse d’un domaine de l’entreprise (organisation, SI,

stratégie)– Préconisation pour améliorer la performance– Éventuellement, mise en œuvre des conseils

• Exemple de Deloitte (cabinet d’audit) :– « Dans le cadre de la Loi de Sécurité Financière votée en

2003, la société s'est séparée de sa branche consulting, devenue Ineum Consulting - avec laquelle elle n'a plus aucun lien désormais » (source Wikipedia)

B Quinio page : 7

Le contrôle Interne

• 5 composantes :– une organisation, s’appuyant sur des SI– une diffusion efficace de l’information pertinente et

fiable,– un dispositif d’identification, de suivi et de gestion des

risques,– des activités de contrôle proportionnées aux enjeux,– une surveillance permanente du dispositif de contrôle

interne

B Quinio page : 8

Le contrôle Interne & Processus (1)

Contrôle

Procédures / processus

Applications/ BDD

Nouveaux risques

B Quinio page : 9

Le contrôle Interne & Processus (2)

• Le CI vise à contrôler les processus

• Les processus sont réalisés, en partie, par les applications informatiques

• Le CI doit donc contrôler :– Les applications informatiques– Les bases de données

• L’utilisation des l’informatique ajoute de nouveaux risques et entraîne de nouveaux contrôle

B Quinio page : 10

Les types de contrôle : traitement (1)

1. Contrôle manuel

2. Contrôle automatisé ou « embarqué » dans les applications informatiques

3. Contrôle mixte : manuel à partir d’états fournis par le SI

B Quinio page : 11

Les types de contrôle : traitement (2)

• Contrôles automatisés pertinents, bien implantés

• Les versions validées des applications sont en production

• Les contrôles ne peuvent être contournés

Applications Informatique

B Quinio page : 12

Les types de contrôle : données (1)

• La traçabilité et la fiabilité des informations produites sont deux éléments clés de la transparence financière (SOX & LSF)

• Exige de maîtriser 4 niveaux :– Identifier les flux de données,– Contrôler ces données,– Obtenir une cartographie des bases de données,– Vérifier l’existence de chemins de révision.

B Quinio page : 13


• Identifier les flux de données :– A partir de l’architecture applicative– Analyse des flux Intra et Inter BDD

• Contrôler les données :– Contrôle à la saisie par programme– Contrôle pendant les traitements– Contrôle type « inventaire » (doublons, mise à jours,

cohérence entre les BDD

B Quinio page : 14


• Obtenir une cartographie des bases de données :– A partir du schéma physique des données– C’est un SCHEMA qui permet de contrôler :

• la localisation des données : serveur où les données sont stockées,

• le volume de la base • le type de sauvegarde des bases et la périodicité• Duplication des données• Journalisation des mises à jour

B Quinio page : 15


• Vérifier l’existence de chemins de révision :– Pouvoir retrouver une information à partir d’une autre– Exemple (AFAI) :

• « remonter d'un compte du bilan au détail des comptes puis aux écritures et, le cas échéant, aux pièces justificatives. »

– Le chemin doit être documenté et des outils logiciels doivent permettre de le suivre

B Quinio page : 16

Démarche globale de CI

1. Cartographie globale des processus

2. Modélisation des processus

3. Analyse des processus :– Contrôles– Documentation– Amélioration

B Quinio page : 17

1 cartographie globale (exemple AFAI)

B Quinio page : 18

2 Modélisation processus (exemple AFAI)

B Quinio page : 19

3 analyse du processus (1)

• Mise en place des contrôles de traitement :– Accepter que les commandes complètes et validées par

les personnes habilitées,– Vérifier que les commandes et les annulations de

commandes sont enregistrées correctement– Rejeter les commandes de tout client en défaut de

paiement,– Traiter les commandes dans les limites de crédit

autorisées.

B Quinio page : 20


• Mettre en œuvre chaque contrôle

Manuel Embarqué Mixte

Avant

Pendant

Après

B Quinio page : 21


• Mise en place des contrôles de données liés au processus

– Flux– Contrôle des données– Utilisation de la cartographie– Utilisation des chemins de révision

B Quinio page : 22

Audit informatique (1)

• Recouvre 3 domaines :– La stratégie informatique ou la pertinence du SI par

rapport aux objectifs business de l’organisation• Val IT

– La fonction informatiques ou la qualité des processus DE LA fonction SI

• COBIT & ITIL

– Les processus informatisés de l’entreprise et la sécurité du fonctionnement

• Très proche du contrôle interne

B Quinio page : 23

Audit informatique – AFAI (2)

B Quinio page : 24

Outils de l’auditeur : Exemple Revisauto

http://www.revisaudit.fr/

B Quinio page : 25


• Dossier permanent :– Pour chaque client, il contient toutes les informations

générales et spécifiques du client et permet de créer et consulter les dossiers annuels. Il permet aussi de consulter l'historique des données de vos clients et intègre un générateur de documents Word ® et Excel ® : Rapports, courriers, Tableaux de bord...

B Quinio page : 26


• Dossier organisation ou contrôle interne:– Permet d'apprécier l'organisation interne du client au

travers de 4 outils pour chaque cycle : descriptif de cycle, questionnaires complets par assertion, répartition des tâches, tests de conformité. Les principales fonctions de l'entité contrôlée sont ainsi passées en revue

B Quinio page : 27


• Dossier de contrôle :– l'approche par les risques,– la planification de la mission,– la régularité comptable et juridique,– la revue du dossier,– les préoccupations du client,– les contrôles de l'inventaire, de l'annexe et du rapport de

gestion.

B Quinio page : 28


• Dossier Général :– Le dossier général annuel permet de visualiser la

balance N / N-1 importée du système de votre client ou de votre logiciel de comptabilité. Il stocke, en plus de la balance :

• le journal d'OD, le bilan, le résultat, les Soldes Intermédiaires de Gestion, les principaux ratios,

B Quinio page : 29


• Dossier de révision :– Les 120 feuilles de révision pré-formatées, en liaison

avec la balance et le journal d'OD, vous permettent de réaliser une révision dynamique et exhaustive en bénéficiant d'un réel gain de temps. Avec une révision des comptes par cycle, une extraction automatique des comptes, racines de comptes et écritures comptables

B Quinio page : 30

Outils de l’auditeur : les autres

• Interrogations des BDD :– SQL– Business Object– …

• Analyse des données :– Datamining / datawarehouse– OLAP

• Et toujours Excel !

B Quinio page : 31

Bibliographie et références

• Articles – dossiers - ouvrages– Contrôle interne et système d'information, AFAI, 2008– Management des systèmes d'information DSCG 5,

Daniel Le Rouzic, Bertrand Lacoste, 2008– http://www.coso.org/Publications/ERM/COSO_ERM_Ex

ecutiveSummary_french.pdf

Documents

B Quinio page : 1 SI, contrôle interne et Audit B QUINIO Master M2 CG - CCA 2010 / 2011