Deuxièmes assises du Commissariat aux Comptes

Hôtel LE MERIDIEN – ORAN

4 mai 2013

Arezki MAHIOUT

Expert-comptable diplômé

Commissaire aux comptes

Membre du Conseil

Supérieur de l’Ordre des

Experts comptables

Président du cabinet

SOGEXCO

11, boulevard de Sébastopol

75001 PARIS

http://www.sogexco.com/

expertise-comptable/

accueil.asp

La pratique de l’audit des

systèmes d’information

SOGEXCO

1

SOMMAIRE

2

Contrôle interne relatif à l’élaboration et au traitement de

l’information comptable et financière

3

Toutes entités Toutes entités Sociétés cotées Toutes entités Toutes entités Toutes entités

NEP 315 – 330

Approche d’audit

NEP 265

Communication

des faiblesses de

CI

NEP 9505

Rapport du

Président sur CI et

GE

NEP 9030

Attestations

NEP 9040

Procédures

convenues

NEP 9080

Consultations en

matière de CI

Mission légale DDL

Informatique utilisée dans toutes les fonctions de l’entreprise

Outil devenu le système nerveux de l’entreprise

Traitement de masse

Risques nouveaux et significatifs

Investissements importants

Enjeu stratégique

Système informatique = Système significatif pour l’audit

4

Politique informatique

Rattachement de la fonction informatique

Communication avec les utilisateurs

Définition d’une architecture informatique

Structure de la fonction

Responsable désigné

Séparation de fonctions (développement, exploitation, contrôle)

Matériel utilisé

Nature du matériel

Capacité

Ancienneté

Sécurité

Matérielle

Et/ou logique

5

Procédures de contrôle interne

Développement

Exploitation

Traitement

Liste des éléments informatiques

Applications

Fichiers

Sorties

6

Étude de faisabilité

Étude fonctionnelle

Analyse organique

Réalisation et tests

Procédures utilisateurs

Réception provisoire

Mise en exploitation

Procédures développement

7

Analyse de la conception et du fonctionnement d’une

application informatique

Appréciation des éléments suivants :

Fiabilité des données entrées, des traitements et des

informations produites

Maîtrise de l’outil par les utilisateurs et le management

Possibilité d’utiliser des restitutions / fichiers / bases de

données à des fins d’audit

Outils

Manuel opérateur des applications

Recours à des spécialistes

8

Objectifs de l’utilisation des outils

S’assurer de l’exhaustivité, de la réalité et de la fiabilité des données

S’assurer de la correcte comptabilisation des données

Permettre un traitement automatisé des données lors de l’audit

Avantages procurés par ces outils

Gain de temps par rapport aux contrôles sur pièces

Contrôle de l’exhaustivité des données

9

Quels logiciels pour l’analyse de données ?

Excel (simple d’utilisation adaptée pour les petits et moyens fichiers)

Access (requêtes et tris sur les données de la base)

ACL (capacité importante, contrôles plus complexes possibles, les

données initiales et intermédiaires sont accessibles, utilisé par

l’Administration fiscale)

Idea

A choisir en fonction de différents critères à prendre en

compte :

Volume de données à traiter

Type de fichiers obtenus

Complexité des traitements à réaliser

10

Fonctionnalité ACL IDEA ACCESS EXCEL

Sécurité de la

reprise

Intangibilité du

fichier source

Intangibilité du fichier

source

Non Non

Programmation Possible Possible PossiblePossible

(macros)

Taille des fichiers Quasi illimitée Quasi illimitée 2Go par base

de données

65 000 lignes

(Excel < 2007)

Conservation des

modèles de requête

ou de travail

Automatique Automatique Oui Non

Données de

contrôleOui Oui Non Non

Indexation Oui Oui Oui Non

Reporting Oui Oui Oui Oui

Modèles

d’analyseNon Non Non Non

11

Les outils les plus adaptés pour l’audit sont :

ACL et IDEA

Pourquoi ?

Traçabilité des actions

Intangibilité des données

Intégration simplifiée de fichiers simplifiée

Nombre restreint de commandes pour exécuter tous les types de travaux

Un traitement automatique de travaux récurrents au moyen de programmes

12

Récupérer les données clients à traiter

Via le réseau internet ou à l’aide de supports magnétiques : clé USB, CD-ROM

Format de fichier utilisable : .dbf, ASCII, EBCDIC

Intégrer les données dans le logiciel d’analyse choisi

Mettre en forme le fichier

Définir les champs à partir de la structure du fichier

Utiliser un assistant pour ces tâches basiques

Délimitation de zones

13

Vérifier la qualité des données

Contrôles de cohérence sur l’exhaustivité des données

Totalisation de champs, totalisation du nombre d’enregistrement et

comparaison avec l’attendu (ex : rapprochement avec la comptabilité)

Opérer les traitements souhaités

Penser à conserver les données de bases

Réaliser les tests (programmes, fonctions automatiques,….)

Conserver une trace des traitements effectués sur les fichiers (log)

14

Des contrôles simples pouvant être réalisés avec un outil standard

Totalisations de champs avec ou sans critère

(Ex : totaliser toutes les factures dont le n° commence par 01)

Création de champs de calcul

(Ex : valoriser les stocks en recalculant Prix*Quantité + totalisation)

Tris pour tests sur les montants les plus importants

(Ex : identifier les 5 mouvements de stocks les plus importants)

Comparaison des valeurs de deux fichiers

(Ex : comparaison des stocks de n et n-1 à l’aide du code produit en

utilisant la fonction « Recherchev »)

15

Le système informatique utilisé aujourd’hui dans toutes les

fonctions de l’entreprise constitue un système significatif pour

l’audit.

Les informations à recenser sur le système informatiqueconcernent la politique informatique, structure de la fonction,matériel utilisé et sécurité.

Des contrôles simples peuvent être réalisés avec un outil

standard.

16

Questionnaire informatique

Sécurité physique des matériels ?

Sécurité logique des applications ?

Sauvegardes des données ?

Procédure de modification des programmes ?

Séparation des fonctions de développement et d’exploitation ?

Contrôle de l’initialisation des données ?

Contrôle et recyclage des anomalies ?

Documentation des traitements existants ?

Traçabilité des données (piste d’audit) ?

17

Il existe une typologie des contrôles informatiquesaussi bien pour les contrôles applicatifs que lescontrôles généraux informatiques.

Pour comprendre les processus informatiques, ilconvient d’établir une cartographie applicative et unecartographie réseau.

Un processus est un « enchaînement de tâches » qu’ilconvient de décomposer en plusieurs sous-processusdécrits dans un diagramme de flux.

Afin d’évaluer les risques, il est utile d’établir unecartographie des risques ou un questionnaireinformatique.

18

19

Mais la sécurité, ce n’est pas que des technologies…