Embed Size (px)
Citation preview
Notre approcheNotre approcheNotre approcheNotre approche
Mettre LE SYSTEME D’INFORMATION au service DE LA STRATEGIE…
- en formalisant la stratégie- en identifiant le SI optimal- en évaluant la cohérence SI / Stratégie- en évaluant la cohérence SI / Stratégie
L’audit des systèmes d’information Mohamed Kaddour Guettaoui
Expert SI (Système d’informations)
Bureau Alger: 82, Rue Didouche Mourad 16000- Alger -
Tel / Fax : + (213) 21 630 550
Environnement comptable/informatisé
Faire la distinction
� Auditer le Système d’information� Auditer toute ou partie de la fonction informatique� Auditer l’architecture technique� Auditer la qualité des projets� …
Auditer les comptes informatisés c’est
2
� Auditer les comptes informatisés c’est étudier
- l’architecture applicative (best of breed – interfaces..)- l’architecture de l’ERP- Les évènements de gestion informatisés- Le paramétrage de leur comptabilisation- …
� L'existence d'un environnement informatique ne doit en aucun casmodifie l'objectif et l'étendue de la mission du CAC.
� Néanmoins, l'utilisation d'un ordinateur modifie :� La saisie et le processus de traitement.� La conversation (échanges )des données entre modules.� La communication des informations financières.
L'impact des Technologies d'information et de communication sur l'audit financier :
3
� La communication des informations financières.
� En conséquence, un environnement informatique peut avoir uneinfluence sur :� La démarche suivie par l'expert-comptable pour acquérir une
connaissance suffisante des systèmes comptables et decontrôle interne.
� La prise en compte du risque inhérent et du risque lié aucontrôle permettant d'évaluer le risque d'audit ;
Adapter sa mission dès le début de la mission :� La planification de la mission doit prendre en compte le système
d'information de l'entreprise.� La première phase ou la première année est particulièrement
importante pour le bon déroulement de la mission, elle représentesouvent une part significative du budget Jours/ Heures, notammentpour assimiler le SI. Le CAC doit prendre en compte l'environnementinformatique et sont incidence sur la démarche d'audit, dès la première
Les effets des TIC sur la planification de la missi on d'audit financier :
4
informatique et sont incidence sur la démarche d'audit, dès la premièreannée, pour le reste du mandat.
� Pour les années suivantes, le poids relatif de cette phase par rapport àcelle d'évaluation des risques pourra diminuer, sous réserve qu'aucunemodification majeure n'intervienne dans l'environnement de l'entrepriseet de son organisation.
� Selon l'ISA 401 « L'utilisation des systèmes informatiques par lesentreprises oblige l'expert comptable d'acquérir ou de procéder à uneconnaissance suffisante de l'environnement informatique de l'entitépour planifier, diriger, superviser et revoir les travaux de contrôleeffectués. Il détermine si des compétences informatiques particulièressont nécessaires pour réaliser la mission. ». Celles-ci peuvent êtreutiles pour :
La prise de connaissance des systèmes et de l'environnement informatique:
5
� Obtenir une compréhension suffisante de système comptable et decontrôle interne influencé par l'environnement informatique ;
� Déterminer l'incidence de l'environnement informatique surl'évaluation générale du risque ;
� Concevoir et mettre en œuvre des tests de procédures et descontrôles appropriés.
� Si des compétences particulières sont requises, l'expert comptablepeut demander l'assistance d'un professionnel possédant cescompétences ;
� la première année est à la collecte de d’informations et la stratégie. Elleenglobe la collecte d'un complément d'informations spécifiquesconcernant essentiellement les éléments suivants :� L'organisation de la fonction informatique et le degré de
concentration et de décentralisation ;� Les contrôles de la direction sur la fonction informatique ;� Dans quelle mesure l'activité repose sur les systèmes informatiques
et l'importance et la complexité des traitements informatisés (volume
La prise de connaissance des systèmes et de l'environnement informatique:
6
et l'importance et la complexité des traitements informatisés (volumedes opérations, calculs complexes, génération automatique destraitements et/ou des opérations, échanges de données, etc.) ;
� Les caractéristiques principales des systèmes et des environnementset les contrôles qui y sont rattachés (conception, configuration dumatériel informatique, sécurité, disponibilité des données, contrôlesliés à l'environnement informatique, contrôles liés aux ERP, etc.) ;
� Les changements significatifs en termes de systèmes etd'environnements informatiques ;
� Cette première phase nécessite la prise en compte des domainessuivants dans la définition du contenu du plan de la mission:� La stratégie informatique de l'entreprise : Une position claire des
dirigeants, l'analyse de cette stratégie informatique dans le plan demission conduit à déterminer des situations où le risque sur lafiabilité du système d'information sera plus ou moins important ;
� La fonction informatique de l'entreprise : Cette fonction est à
La prise de connaissance des systèmes et de l'environnement informatique:
7
� La fonction informatique de l'entreprise : Cette fonction est àprendre en compte dans la définition du contenu du plan demission, notamment en termes de séparation des fonctions, gestiondes mouvements de personnel, gestion des projets, fiabilité desprocessus informatiques (pilotage, développement, maintenance,exploitation, sécurité du système d'information).
� L'importance de l'informatique dans l'entreprise : Elle permet dedéterminer le niveau de dépendance de l'entreprise vis-à-vis de sonsystème d'information.
� Selon l'ISA 400 de l'IFAC, le risque inhérent estdéfini comme étant « la possibilité, en l'absence descontrôles internes liés, que le solde d'un compte ouqu'une catégorie d'opérations comporte des
La prise en compte des nouveaux risques inhérents e t risques liés au contrôle :
8
qu'une catégorie d'opérations comporte desanomalies significatives isolées ou cumulées avecdes anomalies dans d'autres soldes ou catégoriesd'opérations ».
� La nature des risques dans un environnement informatique est liéeaux spécificités suivantes :� Le manque de trace matérielle justifiant les opérations;� L'uniformité du traitement des opérations qui permet d'éliminer
quasiment toutes les erreurs humaines;� La séparation insuffisante des tâches qui résultent souvent de la
centralisation des contrôles ;
La prise en compte des nouveaux risques inhérents e t risques liés au contrôle :
9
centralisation des contrôles ;� Les erreurs humaines dans la conception, la maintenance et la
mise en œuvre du SI;� Les utilisateurs non autorisés qui acceptent, modifient,
suppriment des données sans trace visible;� L’extrême flexibilité ou l’hyper complexité;� La multiplicité des systèmes en intégration;� La multiplicité des utilisateurs.
� Pour apprécier les risques associés à l'utilisation des systèmesinformatiques, l'auditeur est amené à vérifier les aspects suivants:� L'intégrité, l'expérience et les connaissances de la direction
informatique ;� Les changements (Turnover) dans la direction informatique ;� Les pressions exercées sur la direction informatique qui pourraient
l'inciter à présenter des informations inexactes ;
La prise en compte des nouveaux risques inhérents e t risques liés au contrôle :
10
l'inciter à présenter des informations inexactes ;� La nature de l'organisation de l'affaire et des systèmes de
l'entreprise (Exemples : le commerce électronique, la complexitédes systèmes, le manque de systèmes intégrés) ;
� Les facteurs qui affectent l'organisation dans son ensemble (Ex:changements technologiques) ;
� La susceptibilité de perte ou de détournement des actifs contrôléspar le système.
� En cas de l'externalisation de la fonction informatique, l'entreprisese trouve susceptible d'une éventuelle perte ou détournement desactifs contrôlés par le système.
� L'auditeur doit procéder ainsi à une évaluation préliminaire durisque lié au contrôle au niveau de la planification. Cette évaluationdoit être fixée à un niveau élevé sauf si l'auditeur :� Envisage de réaliser des tests de procédures pour étayer son
La prise en compte des nouveaux risques inhérents e t risques liés au contrôle :
11
� Envisage de réaliser des tests de procédures pour étayer sonévaluation ;
� Identifie des contrôles internes appliqués à une assertionparticulière et susceptible de prévenir ou détecter et corriger uneanomalie significative.
� Il est à noter que seulement les transactions valides et autoriséespar la direction soient saisies dans le système.
� Les contrôles sur la validité et l'autorisation sont importants pour laprévention contre les fraudes qui peuvent survenir suite à la saisieet au traitement de transactions non autorisées.
Quelques Contrôles:
1. La validité des transactions :
12
� Dans la plupart des cas, les procédures d'autorisation sontsimilaires à celles d'un système non informatisé.� (Exemple : Une réception sans bon de commande, une
réquisition interne sans ITEM existant etc…)
� Le contrôle de l'exhaustivité est l'un des contrôles les plusfondamentaux, et nécessaire afin de s'assurer que chaquetransaction a été introduite dans le système pour traitement, ilconsiste à s'assurer que :� Toutes les transactions rejetées sont rapportées et suivies ;� Chaque transaction est saisie une seule fois ;� Les transactions doublement saisies sont identifiées et
Quelques Contrôles:
2. L'exhaustivité des inputs :
13
� Les transactions doublement saisies sont identifiées etrapportées.
� Il existe plusieurs techniques disponibles pour contrôlerl'exhaustivité des inputs. Nous citons, à titre indicatif, les contrôlessuivants :� Le contrôle automatisé du respect de la séquence numérique des
différents documents : L'ordinateur rapporte les numérosmanquants des pièces justificatives ou ceux existantsdoublement afin d'être suivis d'une façon manuelle.
� L'exactitude des inputs consiste à s'assurer que chaque transaction,y compris celle générée automatiquement par les systèmes, estenregistrée pour son montant correct, dans le compte approprié et àtemps.
� Le contrôle de l'exactitude se rattache aux données de latransaction traitée par contre le contrôle de l'exhaustivité se limite à
Quelques Contrôles:
3. L'exactitude des inputs :
14
transaction traitée par contre le contrôle de l'exhaustivité se limite àsavoir, uniquement, si la transaction a été traitée ou pas.
� Le contrôle de l'exactitude devrait englober toutes les donnéesimportantes que ce soit des données financières (exemple :quantité, prix, taux de remise, etc.) ou des données de référence(exemple : numéro du compte, date de l'opération, les indicateurs dutype de la transaction, etc.).
� Il s'agit des contrôles permettant d'assurer que les changementsapportés aux données sont autorisés, exhaustifs et exacts. Ils sontdésignés pour assurer que :� Les données sont à jour et que les éléments inhabituels
nécessitant une action sont identifiés ;� Les données conservées dans les fichiers ne peuvent être
changées autrement que par les cycles de traitements normaux
Quelques Contrôles:
4. L'intégrité des données :
15
changées autrement que par les cycles de traitements normauxet contrôlés.
� Il existe des techniques utilisées pour contrôler et maintenirl'intégrité des données :� La réconciliation des totaux des fichiers : Cette réconciliation peut se faire
d'une façon manuelle ou par le système ;� Les rapports d'exception : Cette technique implique que le système
informatique examine les données du fichier et rapporte sur les éléments quisemblent incorrects ou hors date ;
� L'exhaustivité des mises à jour.� L'exactitude des mises à jour.� Limitation d'accès aux actifs et aux
enregistrements.
Quelques Contrôles sur les mises à jour :
16
� Selon l'ISA 500, les éléments probants désignent des informationscollectées par l'expert-comptable pour aboutir à des conclusions surlesquelles il fonde son opinion. Ces informations sont constituéesde documents justificatifs et de pièces comptables ayant servi àl'élaboration des comptes et qui viennent corroborer desinformations provenant d'autres sources.
� Donc le CAC est tenu de collecter tout au long de sa mission leséléments probants suffisants et appropriées pour obtenir une
Les effets des TIC sur les éléments probants
17
éléments probants suffisants et appropriées pour obtenir uneassurance raisonnable lui permettant d'exprimer une opinion sur lescomptes.� Le caractère « suffisant » s'établit par rapport au nombre des
éléments probants collectés.� Le caractère « approprié » d'un élément probant s'apprécie par
rapport à sa couverture des objectifs d'audit.� Enfin, le caractère « fiable » s'apprécie par rapport à son
objectivité, à l'indépendance et à la qualité de sa source.
� Suite à l'arrivée des technologies de l'information et de lacommunication, plusieurs documents des preuves d'audit tels queles factures, les bons de commande, les bons de livraison, etc.,sont devenus électroniques.
� Une société qui utilise l'ERP, touts les documents de preuves sontstockés dans une base de donnée. Par ailleurs, l'exécution decertaines transactions peut être opérée d'une façon automatique.L'autorisation de ces opérations peut être assurée par des contrôles
La dématérialisation des preuves d'audit :
18
L'autorisation de ces opérations peut être assurée par des contrôlesprogrammés. Ces preuves électroniques nécessaires pour l'auditpeuvent n'exister que pour une courte période.� L'auditeur doit prendre en compte ce phénomène pour la
détermination de la nature, l'étendue et le timing des procéduresd'audit.
� En outre, la preuve électronique est fondamentalement plusrisquée que la preuve manuelle parce qu'elle est plus susceptibled'être manipulée et qu'il est plus difficile de comprendre et devérifier sa source.
� L'environnement informatique a une incidence sur la conception ,l'exécution et les contrôles des tests nécessaires pour atteindrel'objectif d'audit, et un impact sur les procédures d'audit :� Eviter le travail manuel par l'automatisation des tâches et des
contrôles� Exclure l'analyse des procédures par l'observation et l'entretien� Dématérialiser l'information pour supprimer le papier� Unifier l'accès aux informations en favorisant le partage de données
Les effets des TIC sur la nature et le calendrier d es procédures d'audit
19
� Unifier l'accès aux informations en favorisant le partage de donnéescommunes
� L'auditeur doit répondre, essentiellement, aux questions suivantes :� Comment vérifier l'existence et le fonctionnement des contrôles qui
deviennent informatiques ?� Comment vérifier la génération des informations, qui s'appuie sur des
mécanismes préprogrammés ?� Comment remonter aux documents d'origine, s'ils n'existent plus ?� Comment s'assurer de la réalité de la séparation des fonctions ?
� Le spécialiste peut être soit engagé par l'entité soit engagé parl'auditeur, le recours aux spécialistes obéit à certaines règlesdétaillées ci-après :� La compétence du spécialiste� L'objectivité du spécialiste, il vaut mieux faire appel à un
spécialiste indépendant de l'entité auditée et par conséquent plusobjectif
� Définition des termes de l'intervention du spécialiste.
3. Considérations en cas de recours à des spécialis tes :
20
� De son côté le spécialiste a la responsabilité de :� Comprendre la portée de son travail sur l'ensemble de l'audit ;� Porter rapidement à la connaissance du personnel d'audit approprié
toutes les conclusions pouvant avoir une incidence significative surl'audit ou devant être communiquées à la direction de l'entreprise ;
� Contrôler la progression de son travail et d'avertir le personneld'audit approprier de leurs difficultés éventuelles à respecter lesdélais ou les budgets.
� Il convient de noter que l'objectif du commissaire aux comptes restetoujours la recherche de la fiabilité des états financiers quelque soitle milieu audité.
� Un système d'information automatisé qui produit l'informationfinancier, doit avoir la capacité de produire une information fiablequi est analysée et évaluée par l'auditeur.
Conclusion de la première partie
21
� Face à ce nouveau contexte d'intervention caractérisé, entre autre,par la dématérialisation des informations et l'automatisation descontrôles, il est de plus en plus difficile pour l'auditeur financier deforger son opinion sans une approche approfondie du systèmeinformatique (formation & accompagnement)
