Embed Size (px)
Citation preview
Rapport de stagepremier semestre 2009
Elaboré par :Bouden Yassine
Contrôleur de stage : Mr Achref Boudaya
Maître de stage : Mr Lamjed Ben M’barek
[IMPACT DE LA MISE ENPLACE D’UN ERP SUR LESTRAVAUX DE L’AUDITEUR]
2
Introduction
Dans les années 90, avec le développement de l’informatique, les entreprises onténormément évolué. L’apparition des ERP (logiciels paramétrables) dont l’approchemodulaire et intégré ont pour objectif de mettre en réseau, par une base de donnéesunique, l'ensemble des données relatives aux fonctions de l'entreprise (comptabilité,communication, ressources humaines, marketing, etc.). Ils permettent donc d’accroître lesperformances de l’entreprise en permettant notamment d’éviter dans une certaine mesuredes dysfonctionnements. L’entreprise a donc dû évoluer dans son ensemble. Le contrôle degestion qui constitue un instrument de pilotage permanent pour les décideurs, s’appuyantsur l’information comptable, a été pleinement concerné par l’apparition des ERP.
Ainsi, il nous est apparu intéressant de traiter des incidences de la mise en place d’un ERPdans la phase de démarrage sur l’évaluation du système de contrôle interne, en illustrant lepropos par un cas pratiques vécu en entreprise.
Cette étude se veut une revue critique de l’impact de la mise en place d’un ERP et de sesapplications sur les travaux de l’auditeur.
Des progiciels apparaissent mais sont seulement destinés à une fonction spécifique del'entreprise : GPAO (Gestion de production assistée par ordinateur), comptabilité, gestionfinancière, gestion comptable…. On parle alors d'automatisation de fonctions de l'entreprisemais il est encore trop tôt pour parler de systèmes d'informations intégrés.
C'est seulement dans les années 90, avec l'explosion de l'informatique individuelle et desréseaux (client/serveur), que le partage de l'information devient vite accessible. L'utilisateurse place alors au cœur du système et l'informatique se retrouve au service de la stratégie del'entreprise. C'est à partir de là que les PGI (Progiciels de Gestion Intégrés) encore appelésERP, se sont peu à peu imposés aux entreprises, visant à intégrer l'ensemble des EDI(échanges de données informatiques) et de leurs applications. Aux applications spécifiques,très onéreuses et cloisonnées qu'elles développaient, depuis plus de 30 ans, de nombreusesentreprises ont fini par préférer ce type de progiciels, bénéficiant d'une expertise et d'unsupport mondial de leurs éditeurs, quitte à abandonner la souplesse d'une applicationpropriétaire.
A l'heure actuelle, les ERP sont devenus un des moyens de renforcer la multinationalisationdes entreprises avec une structure mondiale de partage de l'information. Les ERP sont doncdes logiciels paramétrables, modulaires, intégrés et qui ont pour objectif de mettre enréseau, par une base de données unique, l'ensemble des données relatives aux fonctions del'entreprise (comptabilité, communication, ressources humaines, marketing, etc.). Ilsglobalisent ainsi tout le système d'information dans un seul progiciel et par cette logiqued'intégration, ces progiciels ont la capacité de récupérer automatiquement et quasiinstantanément toute l'information à tous les niveaux de l'entreprise
3
Partie I : L’ERP et ses apports :
L'évolution de l'informatique, qui progresse vers davantage d’informations, de partage et deflexibilité, est un des facteurs essentiels expliquant le succès grandissant des ERP auprès desentreprises. Malgré le progrès incontestable qu'ils apportent aujourd’hui, les ERP nerépondent pas entièrement de façon satisfaisante aux attentes des entreprises
1. Définitions de l'ERP
L'ERP (Enterprise Resource Planning) est définit comme étant « un sous-ensemble dusystème d'information capable de prendre en charge la gestion intégrale de l'entreprise,incluant la gestion comptable et financière, la gestion de la production et de la logistique, lagestion des ressources humaines, la gestion administrative ainsi que la vente la gestion desventes et des achats »1.
Cela offre pour principal avantage de faire parfaitement communiquer les différentesgrandes fonctions de gestion de l'entreprise. Il intègre les caractéristiques globalessuivantes :
· La gestion effective de plusieurs domaines de l'entreprise par des modules intégrés ou desprogiciels susceptibles d'assurer une collaboration des processus ;
· L’existence d'un référentiel unique de donnée ;
· L’adaptation rapide aux règles de fonctionnement (professionnelles, légales ou résultant del'organisation interne de l'entreprise) ;
· L’unicité d'administration du sous-système applicatif;
· L’uniformisation des interfaces homme-machine (mêmes écrans, mêmes boutons, mêmefamille de barre de menu, même touches de fonctions et de raccourci, etc.).
En plus des ERP, il existe dans certaines organisations des systèmes dits « spécifiques » ouencore non standards, de conception « maison », développés sur mesure, que l'on ne trouvepas sur le marché. La proportion entre ERP et systèmes spécifiques est très variable d'uneentreprise à l'autre.
2. Caractéristiques d'un ERP
Les ERP ont été conçus dans l'optique de faciliter aux entreprises l’utilisation d’un logiciel quipuisse s'étendre à tous les compartiments de l'entreprise, de telle façon, que l'on puisseintégrer dans un même environnement la finance, la logistique, la production, les ressourceshumaines, les achats, le commercial, etc.
1 LEQUEUX Jean-Louis, Manager avec les ERP, Edition Organisation, 2002.
4
Un ERP combine la fonctionnalité de différents programmes de gestion en un seul, en sebasant sur une seule base de données centralisée. On appelle souvent cette base dedonnées le Cube en informatique.
Ceci permet de garantir l'intégrité et l'unicité des données auxquels les départements ontaccès, en évitant de réintroduire les données, à chaque fois, de façon manuelle, dans lesmodules fonctionnels.
Une facture qui aura été enregistrée dans le module commercial n'aura pas besoin d'êtreintroduite à nouveau dans les modules comptables et financiers.
Ce type de système avec de telles caractéristiques peut être installé dans un environnementqui dépasse les frontières en supportant différentes langues, différentes devises et fiscalités.
D’une part, l'ERP peut ainsi générer facilement des documents conformes à la législation envigueur pour chaque pays. Il s'agit d'un aspect important, à prendre en compte, vu ladiversité des normes et des variations de celles-ci à travers le temps.
Dans le tableau qui suit, nous avons une liste non exhaustive de bénéfices attendus par lamise en place d'un ERP
Fonctionnalité BénéficePrix en temps réel sur les commandesclients
Réduction des erreurs de prix et des effortsmanuels
Identification physique automatique desproduits à livrer
Réduction des erreurs, élimination del'identification manuelle des produits
Possibilités d'annuler ou d'inverser uneexpédition avec facturation
Gain de temps et d'effort pour procéder auxmultiples opérations nécessaires
Disponibilité d'un suivi de commandeclient, de la cotation à la facturation
Possibilités multiples de recherche et de suivi àn'importe quel moment
Visibilité sur inventaire et fabrication pourplanifier les commandes clients
Réduction de temps et d'effort pour s'engageravec un client
Définition de critères client spécifiquespour expédier une révision de produit
Assurance du traitement intégral de la demandespécifique d'un client
Les systèmes d'information existants sont relatifs aux traitements opérationnels etstatistiques des grandes fonctions de l'entreprise comme le commercial, la finance, laproduction, ou le personnel.
Ces systèmes d'information ont déjà automatisé les traitements et les opérations répétitives,dégageant des gains de productivité spécifiques à ces différents domaines.
Les techniques d'interfaçage pallient, pour partie, cette désintégration des systèmesd'information.
5
Le problème de l'interfaçage est l'éternel problème de l'intégration et de la compatibilité dessystèmes. Souvent, ces interfaçages sont réalisés avec succès, mais, en même temps, ilsnécessitent un temps homme très important.
La mise en place d'un ERP va donc être une opportunité pour résoudre cesdysfonctionnements. Premièrement, il imposera aux acteurs de l'entreprise de définir,ensemble, les règles de gestion qu'ils veulent partager et deuxièmement, il impliquera unerigueur, avec une information contrôlée à la source. Il faut donc à tenir compte descontraintes liées à ce type de systèmes
3. Les Apports des ERP
L’ERP crée une version unique qui ne peut légitimement être remise en cause car chacuncontribue à alimenter le système à l'origine des résultats. L'ERP permet à l'entreprise dequitter la vision verticale et le cloisonnement par métier et garantit une cohérence del'information.
Cohérence ne signifie pas fiabilité mais, en cas d'erreur dans les données, l'ERP permet unetraçabilité et garantit que la correction sera bien faite pour tout le monde. Dans ce sens,l’ERP aide à fiabiliser les données
L’ERP oblige toutes les entités d'une même entreprise à travailler de la même façon, ce quifacilite les comparaisons entre diverses unités et la consolidation des données
L'arrivée des ERP a complètement transformé les conditions dans lesquelles il convient deconcevoir, de mettre en œuvre et d'exploiter le système d'information de gestion dans uneentreprise.
En effet, le principe de fonctionnement de ces outils est d'associer au sein d'un mêmeproduit des fonctions complémentaires et dépendantes les unes des autres (achat,comptabilité, contrôle de gestion...).
Les tâches y sont de plus en plus automatisées, la charge de production d'informations y estréduite et s'effectue en quasi-temps réel, et sa diffusion est améliorée
La dernière génération de système d'information modifie la structure de l'entreprise : lesERP permettent de passer d'une organisation verticale par fonctions (production,comptabilité, ressources humaines...) à une organisation transversale par processus quicorrespond à un ensemble d'activités coordonnées entre elles.
Parallèlement à la modernisation de leur outil informatique, les entreprises qui installent desERP choisissent de moderniser aussi leurs méthodes et leur organisation en modifiant lesrelations entre les services financiers et le reste de l'entreprise.
De plus, l'intégration des processus comptables et budgétaires dans la plupart de cesprogiciels induit une opportunité de rapprochement et de coopération des fonctionscomptables et du contrôle de gestion, dans les activités de contrôle, d'analyse, deprésentation et de communication des résultats.
6
On constate aujourd’hui que la mise en place d’un ERP s’accompagne d’un certain nombrede difficultés auxquelles les entreprises doivent faire face. Si la firme choisit d'implanterl'ensemble des modules d'un ERP, elle en obtient d'ordinaire une intégrationessentiellement financière. En effet, toutes les transactions liées aux fonctions intégréesdans l'ERP (production, achats, ventes, effectifs, etc.) ayant un quelconque impact sur lesflux financiers vont se répercuter dans les modules de comptabilité tant financière que degestion. Par conséquent, toutes les déviations (erreurs ou inexactitudes) dans la traductiondes processus de gestion dans l'ERP vont faire apparaître des déviations dans le module decomptabilité financière.
Ainsi, l'information transactionnelle saisie dans les modules et celle traduisant son impactsur les flux financiers se déversent en entonnoir dans le module de comptabilité financière.
Il s'ensuit que l'ERP centrée sur la comptabilité financière a plusieurs conséquences:
- Il permet de traduire avec grande transparence la performance économique et financièredes fonctions qui lui sont intégrées;
- La standardisation et l'intégration y adoptent un langage surtout comptable et financier; lesfinanciers et contrôleurs y trouvent plus de pouvoir; etc.
Par ailleurs, l'intégration des modules, en particulier l'intégration entre comptabilitéfinancière et comptabilité de gestion, limite les jeux et maquillages comptables, ce quidonne plus de transparence. Elle permet aussi de réduire le délai dans les rapports mensuelsà 3 ou 4 jours (contre 15 ou 20 auparavant).
7
Partie II : L'implantation d'un ERP2
L'implantation d'un ERP comprend d'ordinaire les cinq phases suivantes:
- Le choix d'une solution ERP
- L'analyse des processus de gestion en place
- Leur réingénierie
- La particularisation de l'ERP (son adaptation à des besoins particuliers)
- La mise en place
La phase de mise en place de l'ERP pose de graves difficultés de transition, de formation etde communication. La transition au système ERP se gère mal, semble-t-il. Les revuesprofessionnelles ne manquent pas d'exemples où la production a souffert (paralysie d'usine),de même que les clients (confusion entre eux, commandes non livrées) et la facturation.Davenport (1998) cite FoxMeyer affirmant que la mise en place d'un ERP a précipité safaillite. De plus, la firme sous-estimerait largement l'ampleur de la formation dont sonpersonnel a besoin pour maîtriser l'utilisation du progiciel, ce qu'indiquerait d'ailleurs sonbudget irréaliste d'implantation. Et ce manque de formation renforcerait la difficulté degérer la transition.
Enfin, des problèmes de communication découleraient du fait que l'ERP impose une visionprocessus de l'organisation plutôt que fonctionnelle classique. Or, cette vision esthorizontale et transversale aux divisions fonctionnelles et celles-ci n'ont pas l'habitude decommuniquer entre elles.
Par ailleurs, les principaux facteurs clés de succès (FCS) sont : l'engagement de la directiongénérale, l'équipe dédiée au projet et une bonne gestion au changement.
Les étapes de la mise en place se résument comme suit :
1. Migrations des données
La migration des données est aussi un chantier important. Chaque migration de donnéesconstitue un sous projet de migration individuel. Cette étape consiste à définir la typologiedes données, leurs relations et choisir celles qui seront transférées dans le nouveauprocessus. La migration consiste aussi à faire correspondre les données du système« source » avec la structure de données du système « cible ». Les contraintes sont multiples :des volumes de données importantes à traiter et à migrer, des fonctionnalités complexes,
2 Supply Chain Magazine : « Dossier ERP dans les entreprises : Comment éviter les pièges ? » 2007 ; ASK,« Réussir le déploiement de son ERP : Enquête sur les grands comptes internationaux », Association Française del'audit et du Conseil informatique, Janvier 2005.
8
l'importance des référentiels, une période de bascule très réduite. Cette délicate opérationest découpée en plusieurs étapes :
2. Mise en exploitation, test et évaluation
La période de basculement ou de mise en exploitation devrait être choisie judicieusement.La date de fin d'exercice est la mieux adaptée aux logiciels comptables. Le déploiement au filde l'eau est moins brutal mais plus gourmand en énergie. Le déploiement en Big bang(bascule complète sans maintenir l'ancien système en parallèle) est très risqué, mais évite ladouble gestion·
Il est cohérent de constater que les facteurs de risques associés à cette étape touchent lechangement technologique et son étendue. C'est à cette étape que les utilisateurs font pourla première fois de vraies transactions sur le nouveau système. Plus l'ensemble del'environnement logiciel aura été changé, plus grandes seront les chances de problèmes àcette étape.
3. Accompagnement au changement3
Le projet ERP a un impact sur les processus de l'entreprise et sur les pratiques desutilisateurs. Ainsi une politique de communication doit être mise en place. Elle consisteratout au long du projet à informer et sensibiliser les utilisateurs, à faire comprendre ce que lenouveau système induira comme changement pour chacun, à faire adhérer le personnel et àobtenir des acteurs qu'ils s'investissent dans la mise en place du projet. Pour cela, il fautformer les employés dans la perspective d'une appropriation et d'une exploitation optimalede l'outil, privilégier la performance de l'entreprise plutôt que la performance de chacun.Ainsi, une formation devra être donnée aux informaticiens internes, aux utilisateurs clés etaux utilisateurs finaux.
4. Maintenance et Support du produit
Après la mise en place de l'ERP, une maintenance doit être faite. Tout d'abord, au traversdes mises à jour. Maintenir c'est aussi le faire évoluer dans le sens de la croissance del'entreprise et des nouveaux besoins. On ne peut évoquer la maintenance sans égalementparler du support. Pour que le support soit optimal, il faut définir des rôles en amont : Lesupport de niveau 1 par des employés de l'entreprise. Le support de niveau 2 parl'intégrateur. Le support de niveau 3 par l'éditeur. Pour ce qui est des moyens mis en œuvre,il y a la hotline et l'intervention sur site.
3 Cabinet Faurie, « ERP et Conduite du Changement », Paris, 2006.
9
Partie III : De l’audit des ERP vers l’impact sur lestravaux d’audit financierA- Audit des ERP
1. Composantes d'un ERP
Un ERP comprend aujourd'hui des dizaines de modules applicatifs qui peuvent êtreregroupés en trois catégories : les modules sectoriels, les modules intersectoriels et lesmodules étendus :
Les modules sectoriels supportent les activités métiers de l'entreprise (production,maintenance...). Ils sont spécifiques au domaine d'activité de l'entreprise (Constructeurautomobile, Assurance, service pétrolier, etc.) ;
Les modules intersectoriels informatisent les activités de support de l'entreprise. Ils sontsubdivisés en trois catégories : les activités de soutien (comptabilité, gestion RessourcesHumaine...), le système direction (planification stratégique et opérationnelle) et le portaild'entreprise vers l'extérieur (accès via Web aux informations de l'entreprise) ;
Les modules étendus gèrent les transactions interentreprises ou entre une entreprise etses clients tels que les modules de type SCM, CRM...
Le modèle standard des ERP inclut toujours les activités suivantes de l'entreprise :
- Planification de la production ;- Gestion des achats et des stocks ;- Administration des ventes ;- Gestion des ressources humaines ;- Logistique ;- Gestion comptable et financière.
Ces modules sont, complètement ou partiellement, interfacés ce qui va engendrer lacréation de flux d'informations importants.
Les flux d'informations sont générés à partir de l'intégration qui existe entre les modulesd'un ERP (gestion des achats, gestion des ventes, comptabilité fournisseurs, comptabilitéclients, comptabilité générale, immobilisation, stock) et les données permanentes de lasociété (informations clients, fournisseurs et articles).
Le module comptabilité générale est intégré avec les autres modules. Il reçoitautomatiquement les informations du module achat (les engagements), de la comptabilitéclients (les factures et les règlements) et de la comptabilité fournisseurs.
10
Les modules du progiciel intégré utilisent instantanément les informations (clients,fournisseurs, taux de change...) à partir des bases de données permanentes (Master Data).
2. Objectifs d'audit d'un ERP
Avant d'entamer la mission, l'auditeur doit se fixer une finalité claire afin de pouvoir suivre ladémarche la plus efficace qui permettra d'atteindre les objectifs prédéfinis.
Dans le cas d'une mission d'audit d'un progiciel intégré, l'objectif principal est d'évaluer lapertinence des contrôles existants au niveau des différents modules pour s'assurer de laqualité des informations produites par le progiciel.
Pour garantir cette assurance, les spécialistes doivent donner leurs avis sur :
La Disponibilité :
C'est l'aptitude des systèmes à remplir une fonction dans des conditions prédéfiniesd'horaires, de délais et de performances. Il s'agit de garantir la continuité du service, assurerles objectifs de performance (temps de réponse) et respecter les dates et heures limites destraitements.
Pour s'assurer de la disponibilité de l'information, des procédures appropriées de couverturecontre les incidents ainsi que des contrôles de sécurité doivent exister afin de se protégercontre les suppressions inattentives ou intentionnelles des fichiers.
La disponibilité des flux d'informations est le fait de garantir la continuité des échangesd'information, c'est à dire de pouvoir disposer, chaque fois que le besoin existe, despossibilités de réception ou de transfert.
Pour les traitements, la disponibilité est destinée à garantir la continuité de service destraitements, c'est à dire de pouvoir disposer des ressources en matériels et logicielsnécessaires à l'ensemble des services, des agences et à la clientèle extérieure.
La disponibilité des données est le fait de pouvoir disposer de l'accès aux données chaquefois que le besoin existe.
L'Intégrité :
C'est la qualité qui assure que les informations sont identiques en deux points, dans le tempscomme dans l'espace.
Selon l'ISO 13-335-1, l'intégrité c'est la propriété de non-altération ou de non-destruction detout ou partie du système d'information et/ou des données de façon non autorisée. Il s'agitde garantir l'exhaustivité, l'exactitude et la validité des informations ainsi que d'éviter lamodification de l'information.
11
L'Intégrité des données consiste à établir des contrôles sur les entrées et sur les traitementsdes transactions. Elle consiste, aussi, à sécuriser les fichiers des données cumulées de toutemodification non autorisée.
L'Intégrité des opérations et des documents électroniques risque d'être mise en cause. Cettedétérioration de L'Intégrité peut provoquer pour l'entreprise des litiges avec ses clients ausujet des conditions de transaction et de paiement.
L'Intégrité des flux d'informations est destinée à garantir la fiabilité et l'exhaustivité deséchanges d'information. C'est à dire de faire en sorte que les données soient reçues commeelles ont été émises et d'avoir les moyens de le vérifier.
Pour les traitements, elle est destinée à assurer l'exactitude et la conformité de l'algorithmedes traitements automatisés ou non par rapport aux spécifications. C'est à dire de pouvoirobtenir des résultats complets et fiables.
L'Intégrité des données est destinée à garantir l'exactitude et l'exhaustivité des données vis àvis d'erreurs de manipulation ou d'usages non autorisés. C'est à dire de pouvoir disposer dedonnées dont l'exactitude, la fraîcheur et l'exhaustivité sont reconnues et attestées.
La Confidentialité :
C'est la qualité qui assure la tenue secrète des informations avec accès aux seules entitésautorisées. La protection de la confidentialité des informations contre toute intrusion nonautorisée est d'une exigence importante qui nécessite un niveau minimum de sécurités.
Il s'agit de :
- réserver l'accès aux données d'un système aux seuls utilisateurs habilités(authentification) en fonction de la classification des données et du niveau d'habilitationde chacun d'eux ;
- garantir le secret des données échangées par deux correspondants sous forme demessage ou de fichiers.
Ce dernier volet constitue le point le plus sensible dans les échanges électroniques etintéresse aussi bien l'entreprise que les consommateurs. En effet, ces derniers se soucientpour la protection de leurs données personnelles et financières par peur que cesinformations soient divulguées ou utilisées de façon à nuire à leurs intérêts. Il est doncnormal que les personnes qui envisagent d'avoir recours au commerce électroniquecherchent à obtenir l'assurance que l'entreprise a mis en place des contrôles efficaces sur laprotection de l'information et qu'elle veille à la confidentialité des renseignementspersonnels de ses clients.
La confidentialité des flux d'informations est destinée à garantir la protection des échangesdont la divulgation ou l'accès par des tiers non autorisés porterait préjudice.
12
Pour les traitements, elle est destinée à assurer la protection des algorithmes décrivant lesrègles de gestion et les résultats dont la divulgation à des tiers non autorisés serait nuisible.
La confidentialité des données est destinée à protéger les données dont l'accès ou l'usagepar des tiers non autorisés porterait préjudice. Il s'agit de donner l'accès qu'aux personneshabilitées tout en se basant sur des procédures formelles.
B- l’impact des ERP sur les travaux d’audit financier4
Le risque d’audit est relié à l’expression d’une opinion sur les états financiers. C’est une donnéeintrinsèque à toute mission d’audit des états financiers, du fait que celle-ci est basée sur dessondages et que l’auditeur peut commettre des erreurs. En d’autres termes, le risque d’audit estle risque acceptable par l’auditeur qu’il émette une opinion erronée quant à la fidélité des étatsfinanciers. Une mission d’audit ne peut, en effet, fournir qu’une assurance raisonnable et nonpas absolue, que les états financiers sont exempts d’anomalies significatives. Afin de réduire cerisque d’erreurs, l’auditeur doit réaliser un audit de qualité lui permettant d’émettre une opinionadéquate sur les états financiers. Ceci implique qu’il doit rassembler une quantité suffisante etappropriée d’éléments probants et réaliser les procédures d’audit en temps opportun. Cecidépendra du niveau du risque d’audit qu’il est prêt à assumer dans la réalisation de sa mission(Shaub, 1996).
Pour prendre en compte le risque dans la planification et l’exécution d’un audit des étatsfinanciers, l’auditeur peut s’appuyer sur le modèle du risque d’audit qui se présente sousl’équation suivante : RA = RI x RNC x RND, où,
RA : correspond au risque d’audit acceptable par l’auditeur,RI : correspond à la probabilité qu’une ou plusieurs assertions (déclarations) contenues dans lesétats financiers, contiennent des anomalies significatives, et ce, sans tenir compte du contrôleinterne ;RNC : correspond à la probabilité que les contrôles mis en place par l’entité, ne puissent prévenirou détecter et corriger en temps opportun, des anomalies significatives ;RND : est le risque que les procédés de détection (procédures analytiques et procéduresdétaillées), ne détectent pas les anomalies significatives contenues dans les états financiers.
Au sein du modèle du risque, le RNC se présente comme une composante clé (Chen, Huang etShih, 2006 ; Fogarty, Graham et Schubert, 2006). En effet, l’auditeur fixe le niveau de ce risquesuite à sa compréhension du contrôle interne. C’est une tâche cruciale dans le processusd’audit des états financiers dans la mesure où elle permet à l’auditeur d’apprécier les risquesd’anomalies, de planifier adéquatement sa mission et de déterminer la stratégie appropriéepour la réaliser (Patterson et Reed, 2007). À l’issue de cette compréhension, l’auditeur est en
4 Article universitaire « Le modèle du risque d’audit appliqué dans un environnement complexe deTechnologies de l’Information. » N. Messabia et A. Elbekkali
13
mesure de décider s’il entend s’appuyer ou non sur les contrôles existants pour exécuter samission. Cette décision aura un impact majeur sur la nature, l’étendue et le calendrier desprocédures d’audit.
L’utilisation du modèle du risque pour la conduite d’une mission d’audit n’est ni obligatoire niindispensable. Cependant, le recours à ce modèle présente l’avantage d’offrir à l’auditeur uneméthode systématique pour la prise en compte de tous les facteurs de risque qui peuvent avoirun impact sur l’exécution de sa mission. La démarche de l’auditeur devient ainsi empreinted’une rigueur qui lui permet de mener une mission efficace et efficiente. Plus spécifiquement,l’utilisation du modèle du risque en audit des états financiers, permet à l’auditeur de mieuxplanifier sa mission et de mieux déterminer le risque que l’exécution des tests de corroborationentraîne l’expression d’une opinion sans restriction sur des états financiers contenant desanomalies significatives.
1. Les Technologies de l’information (TI) et le processus d’audit
Le niveau de complexité de la planification de la mission d’audit est supérieur dans unenvironnement complexe de système d’information comptable tel qu’un système EntrepriseResource Planning- ERP (Brazel et al. 2007). L’audit réalisé par les spécialistes de l’AuditInformatique (SAI) peut maintenant représenter jusqu’à la moitié des travaux d’audit des étatsfinanciers (O’Donnell et al. 2000). À l’échelle individuelle, l’auditeur intervenant dans unenvironnement de TI, doit absolument posséder des compétences essentielles eninformatique même dans le cas où le recours à un spécialiste s’impose. En effet, l’auditeurdevra pouvoir communiquer clairement ses objectifs au spécialiste, valider les procédures quiseront menées par lui et évaluer les résultats de ces procédures et leurs effets sur l’étendue, lanature et le calendrier des procédures d’audit à réaliser. Aussi, l’auditeur est entièrementresponsable du travail du SAI, qui selon les normes d’audit, ne sera considéré en aucunecirconstance, comme externe à l’équipe d’audit, en termes de responsabilité.
Par ailleurs, suite aux scandales financiers qui ont secoué les marchés financiers au début dusiècle (Enron, Worldcom, etc.), de nouvelles réglementations financières (loi Sarbanes-Oxleyou SOX de 2002 aux États-Unis, la loi C-198 de 2002 au Canada et la loi de Sécurité Financière(LSF) de 2003 en France), ont eu pour effet d’exiger le renforcement des contrôles pour lesorganisations concernées par ces réglementations. C’est ainsi que la prise en considération parles auditeurs des contrôles en place qui, auparavant, était un moyen de limiter l’étendue deleur mission, est devenue une partie intégrée de cette mission (Bedard et al, 2005). Avecl’avènement de la loi SOX et des réglementations similaires, le risque que le systèmed’information ne soit pas adéquat au soutien de l’exploitation devient un élément crucial dansl’évaluation des contrôles au sein de l’entreprise. O’Donnell et al. (2000) évoquent unchangement de paradigme dans le métier d’audit de systèmes d’information où l’on passe del’audit des transactions comptables et des systèmes de contrôle de transactions versl’appréciation de la fiabilité des systèmes d’information, redoublant ainsi la complexité du
14
processus d’audit. Avec ce changement de paradigme, l’emphase est, désormais, mise sur lessystèmes de contrôle interne qui gouvernent la conception, le développement, l’implantationet la surveillance des systèmes d’information ; domaines qui ne sont pas familiers pour lesprofessionnels de la comptabilité.
D’un autre côté, les TI créent des opportunités importantes d’un niveau élevé de contrôlequi sont absentes dans un système classique (Bell et al. 1998). Les ERP devraient mener àl’atténuation des risques inhérents et des risques de contrôle si tous les contrôles qu’ilscomprennent sont correctement établis (Hunton et al. 2004).
2. L’appréciation des risques d’audit dans un environnement complexe de TI
La loi SOX a influencé considérablement le travail des auditeurs. Au niveau de la littérature, lespréoccupations des chercheurs ont à leur tour changé suite à l’entrée en vigueur de cette loi.Le tableau 1 présente les objectifs des recherches empiriques examinées selon qu’ellesavaient été publiées avant ou après l’apparition de la loi SOX en 2002 et selon qu’elles avaientété publiées dans des revues comptables ou de Système d’information.
Il importe de noter qu’en dépit de l’abondance de recherches empiriques traitant de la sécuritéinformatique, nous n’avons pas identifié une qui étudie le lien qui peut exister entre ce conceptet l’appréciation par l’auditeur des différents risques associés à l’audit.
15
3. Particularités de l’audit dans un environnement complexe de TI
Les recherches empiriques ont permis de mettre en évidence de nombreuses particularitésd’un environnement d’audit marqué par l’utilisation de TI ou de TI complexes, telles que lessystèmes ERP.
Bell et al. (1998) démontrent qu’il existe des différences significatives dans la fréquence et lescauses des erreurs dans un système comptable informatisé traditionnel comparé à un systèmecomptable manuel. Certains problèmes sont plus fréquents lorsque les systèmes comptablessont informatisés. Il s’agit des problèmes associés à la séparation des fonctions, au plan decontrôle, aux contrôles à base de sondage et à l’application inappropriée des contrôlesinternes. De ce fait, il est nécessaire selon les auteurs, de veiller à ce que la nature et la fiabilitéde ces systèmes soient adéquatement considérées depuis les étapes précoces de planificationd’une mission d’audit.
En ce qui concerne les systèmes ERP, une des conséquences naturelles de l’intégration,caractéristique principale de ces systèmes, est la réduction de la séparation des fonctions. Lapossession par une personne d’un identifiant, un profil et un mot de passe peut lui accorderl’accès à tout module et à toute fonction dans l’organisation, ce qui n’a jamais été le cas avecles systèmes d’information classique (Wright et al. 2002). De surcroît, les ERP peuventaugmenter le risque de non-contrôle du fait que la vérification par les superviseurs esttypiquement minimale et que les modules supplémentaires ajoutés au programme pour desfins de contrôle interne sont rarement bien intégrés au système ERP (Wright et al. 2002).
Par ailleurs, le développement des TI dans les organisations conjugué à la globalisationinformatisée de l’économie a amplement renforcé l’habilité à commettre des fraudes. La fraudeinformatique est définie comme étant tout comportement frauduleux lié à l’informatisation àtravers lequel une personne tente de gagner un avantage indu (Seetharaman et al. 2004).L’introduction des transactions d’affaires virtuelles a aggravé dramatiquement le risque defraude. La prévention et la détection des fraudes informatiques nécessitent la mise en place d’unprogramme intégré de sécurité qui commence par l’identification des faiblesses du systèmed’information en place.
3.1. Planification de la mission d’audit dans un environnement complexe de TI
Certaines recherches empiriques montrent que les auditeurs ne sont pas tout à faitconscients des particularités d’un environnement complexe de TI qui sont de nature à affecterleur processus d’audit. D’autres montrent que les auditeurs sont conscients de cesparticularités mais qu’ils manquent à les refléter dans leur planification d’audit. Les résultats de larecherche menée par Hermanson et al. (2000) révèlent que les auditeurs internes mettentl’emphase davantage sur les contrôles et les risques technologiques traditionnels tels que lagarde des actifs informatiques, l’intégrité des données, la confidentialité et la sécurité. Ils
16
accordent une attention minimale à l’implantation des systèmes, au système d’exploitation etau développement et acquisition des systèmes.
Les auditeurs semblent ne pas être suffisamment conscients des différents risques associés àl’utilisation des ERP par leurs clients (Hunton et al. 2004). En particulier, le risque inhérent estsouligné par la recherche de Wright et al. (2002) du fait de l’émergence de certains problèmesassez fréquents tels qu’une formation inadéquate du personnel ou une entrée inappropriéede données.
Selon Bedard, et al (2005), trois types de facteurs de risque se sont avérés significativementassociés à l’appréciation d’un niveau élevé du risque. Il s’agit des facteurs de risque relatifs auxactivités de contrôle, à l’environnement de contrôle et à l’information/ communication. Seulsles deux derniers types de facteurs sont significativement associés aux décisions deplanification d’audit. Cela signifie que les auditeurs sont conscients des facteurs de risquesrelatifs aux activités de contrôle (le premier type de facteurs) induit par les TI mais ilsn’adaptent pas leurs décisions de planification d’audit en conséquence. En confrontant lesrésultats de la recherche de Bedard, et al (2005), à ceux de la recherche de Hunton et al. (2004),il serait raisonnable de conclure que les auditeurs financiers interrogés dans la premièreenquête n’étaient pas en mesure d’apprécier l’impact des facteurs de risque de systèmeidentifiés à cause de leur manque d’expertise en matière d’audit informatique.
3.2. Appréciation du risque de non-contrôle dans un environnement complexe de TI
Le recours aux services d’un Spécialiste d’Audit Informatique (SAI) pour assister l’auditeurexterne dans l’évaluation du contrôle interne du client est devenu nécessaire, de par les normesd’audit (telle que la norme SAS no 94, AICPA 2001) mais, il n’est pas suffisant. Selon, Brazel etal. (2007), l’auditeur lui-même, doit posséder une expertise minimale en la matière.
L’expertise de l’auditeur en TI et la compétence du SAI affectent l’évaluation par l’auditeur durisque de non-contrôle, selon, Brazel et al. (2007). Les résultats de la recherche montrent quela probabilité que des risques liés au système ne soient pas identifiés est plus élevée quand lacompétence du SAI est basse. Ils montrent également que les auditeurs sont sensibles à lacompétence des SAI et que lorsqu’ils reçoivent une opinion positive sur les tests de contrôlefournie par un SAI peu compétent, ils considèrent élevé le risque de non-contrôle. Sil’incompétence du SAI est associée à un manque d’expertise en Systèmes d’InformationComptables (SIC) chez l’auditeur financier, alors il existe selon les chercheurs, un potentield’insuffisance d’audit.
Pour ce qui est des systèmes ERP, théoriquement, leur implantation devrait mener à unediminution générale du niveau de risque grâce aux contrôles adéquats conçus par lesfournisseurs de ces systèmes. Toutefois, dans la pratique, l’implantation d’ERP ne faitqu’amplifier les risques, à cause du fait que les contrôles en question ne sont que rarement
17
établis de manière appropriée au départ et entretenus ultérieurement (Wright et al. 2002). Unedes causes reconnues par les chercheurs quant au défaut des contrôles adéquats dans les ERPprovient du fait que les consultants et les clients focalisent indument sur le besoin de lancer lesystème à une date donnée ce qui les amène à négliger des activités critiques de réingénieriedes processus d’affaires (Wright et al. 2002). Quand un dépassement du budget dédié àl’implantation du système se manifeste, et si l’entreprise décide de couper dans certainesdépenses afin de limiter le dépassement, ce sont souvent les fonctionnalités de contrôle et desécurité qui sont les premières à se voir coupées (Wright et al. 2002).
La recherche d’O’Donnell et al. (2000) portant sur la démarche de prise de décision en groupemontre que les groupes réalisent de meilleures et de plus complètes évaluations que cellesréalisées par des individus. La performance est meilleure quand les groupes réévaluent lescontrôles du système après que les membres les ont évalués individuellement.
4. Limite du modèle de risque d’audit dans un environnement complexe de TI
La forme multiplicative du modèle du risque d’audit telle que définie par les normesaméricaines de l’AICPA, est largement remise en question dans la littérature (Dusenbury et al.2000, Messier et al. 2000, Huss et al. 2000). En effet, la forme multiplicative sous-entend queles appréciations des trois composantes du risque d’audit (RI, RNC et RND) sont indépendantesles unes des autres. C’est notamment l’hypothèse que le risque inhérent et le risque decontrôle soient appréciés d’une manière totalement indépendante qui est largement critiquéepar la littérature.
En dépit des critiques portant sur cette hypothèse, le maintien par la norme américaine SAS107 publiée par l’AICPA en 2006, laisse entendre que l’effet de l’interdépendance entre lesfacteurs du modèle n’a pas été jugé assez significatif pour remettre en question sa validité.Néanmoins, de nombreuses recherches empiriques ont mis en évidence la complexité del’appréciation du risque inhérent et du risque de non-contrôle dans un environnementcomplexe de TI, tel qu’un système ERP. Ceci nous amène à nous questionner sur la possibilitéque la sophistication des TI constitue un catalyseur de l’interaction entre les appréciationsfaites aux éléments du modèle. En particulier, l’appréciation du risque inhérent et celle du risquede non-contrôle dans un environnement complexe de TI peuvent s’avérer aussiinterdépendantes que l’application du modèle dans sa forme multiplicative devienneabsurde.
A nos jours, il n’existe aucune recherche qui a questionné la validité du modèle du risqued’audit dans un environnement complexe de TI. Pourtant, plusieurs recherches démontrentque la planification d’une mission d’audit aussi bien que l’appréciation du risque inhérent et durisque de non-contrôle diffèrent considérablement selon que l’audit se déroule dans unenvironnement complexe ou dans un environnement traditionnel de TI. Nous croyons que lerecensement et la synthèse de la littérature qui a été menés aussi bien que les voies de
18
recherche qui ont été identifiées par Nabil Messabia5 et Abaelnaq Elbekkali6 sont les seulesréférences bibliographiques trouvées en la matière.
5 Doctorant, université de Sherbrooke, Canada6 Professeur agrégé, université de Sherbrooke, Canada.
19
Partie IV : Cas empirique- Travaux d’audit lors de laphase de mise en place de l’ERP J.D.Edwards7 dansune société pétrolière
A/ Détermination de la cartographie des systèmesAu cours de la phase préliminaire de compréhension du système d'information de la société, nousavons été amenés à schématiser la structure de ce système sous forme de cartographie.
Cette cartographie permet de :
- Déterminer la relation entre les états financiers et les systèmes qui les génèrent ;- Identifier les environnements et les applications informatiques à aborder au cours de la
revue générale des contrôles généraux informatiques ;- Déterminer quelles fonctions et quels systèmes informatiques doivent être revus pour
chaque cycle (revenus et comptes clients, achats et comptes fournisseurs, stocks,immobilisations, paie, trésorerie).
Ces travaux sont, généralement, menés d'une façon conjointe entre l'auditeur financier et l'auditeurinformatique.
La collecte de l'information s’est fait en discutant avec les responsables opérationnels, lesresponsables financiers et les responsables informatiques ainsi qu'en examinant la documentationexistante.
La cartographie a permis d'identifier les principaux cycles dont les données sont principalementissues des traitements informatiques, les principales activités au sein de chacun des cycles, laconduite de ces activités, les systèmes sous-jacents de chacune des activités au sein des cycles, lesenvironnements informatiques sur lesquels les systèmes fonctionnent et les autres systèmes àprendre en compte dans la planification de l'audit.
L'alimentation de la comptabilité générale par les données relatives aux opérations de facturation, degestion des immobilisations, de gestion de la distribution, de gestion des bons d'essence et degestion de la paie du personnel se fait d'une manière automatisée.
En effet, les applications comptables des ventes et gestion de la paie du personnel ont été toutesdéveloppées sur une même plate-forme (système de fichiers sous AS/4008). La saisie des données,précédemment mentionnées, se fait au niveau des modules de J.D.Edwards (comptabilité clients,comptabilité fournisseurs, gestion des immobilisations) et de l'application de gestion de la paie dupersonnel.
7 J.D.Edwards : Progiciel de Gestion Intégré créé à Denver en 1977. La société PeopelSoft a acquis J.D.Edwardsau cours de l'année 2003.8 AS/400 : « Advanced System/400 » est une architecture composée d'éléments matériels et logiciels,comportant notamment une base de données et des éléments de sécurité avancés. Le système d'exploitationde l'AS/400 est appelé OS/400 «Operational System/400 » (Produit IBM).
20
Elles seront, par la suite, automatiquement imputées dans la comptabilité générale au niveau dumodule de la comptabilité général de J.D.Edwards. L'application de gestion des bons d'essence estinterfacée avec J.D.Edwards. via le progiciel SWAT
Le système informatique de la société étudiée comporte aussi d'autres applications qui ont étédéveloppées par la maison mère pour des besoins techniques.
Pour une meilleure compréhension du système informatique de la société auditée, nous avons décritles différentes applications informatiques, est ce, en précisant les informations illustrées dans letableau suivant :
Nature Serveur Systèmed'exploitation
Direction utilisatrice
Modules :
· Comptabilité clients ;
· Comptabilité fournisseurs ;
· Comptabilité générale ;
· Gestion des immobilisations ;
· Distribution / Logistique ;
· Système de gestion de laproduction.
AS/400 Windows NT · Direction Financière
· Direction Financière
· Direction Financière
· Direction Financière
· Directiond'approvisionnement
· Direction de la production
Messagerie Lotus Notes9 WindowsNT
Windows NT Toutes les directions
Gestion de la paie AS/400 Windows NT Direction RessourcesHumaines
Gestion des bons d'essence SWAT Windows NT Agences
Gestion des dépôts WindowsNT
Windows NT Agences
Gestion des ventes AS/400 Windows NT Toutes les directions
9 Lotus Notes : Logiciel de messagerie interne «Intranet » (Produit IBM)
21
B/ Evaluation du système d’information1. Objectifs à atteindre
Nous avons testé un ensemble de contrôles mis en place par la société pour couvrir lesrisques informatiques potentiels.
Ces contrôles sont classés selon les modules et les thèmes suivants :
- La sécurité des données et le contrôle des accès « J.D.Edwards Security » ;- Les données permanentes «Master Data » ;- La comptabilité clients «Accounts Receivables » ;- La comptabilité fournisseurs «Accounts payables » ;- Les immobilisations «Fixed Assets » ;- Le stock «Energy Chimical Solution » ;- La comptabilité générale «General Ledger » ;- Les rapports d'intégrité «Integrity reports ».
Les résultats des tests sont synthétisés selon un système de scoring qui permet derenseigner sur le niveau de confiance à accorder à l'environnement informatique de lasociété.
2. Description des contrôles effectués2.1. Contrôles et tests des modules du progiciel J.D.Edwards
Dans ce qui suit, nous allons citer les principaux contrôles ainsi que les tests s'y rapportantmodule par module.
2.1.1. Les données permanentes «Master Data »
Les données permanentes correspondent aux données de base du système d'informationdont la fréquence de modification est relativement faible. Chaque donnée doit être uniquedans la base de données.
Les principales données permanentes sont :
- Les données de base relatives aux clients : raison sociale, adresse, personnes à contacter,plafond de crédit, remises, etc...
- Les données de base relatives aux fournisseurs : raison sociale, adresse, personnes àcontacter, RIB, etc...
- Les données de base relatives aux produits : désignation, référence, composition, prix,TVA, etc...
- Les données de base relatives aux immobilisations : désignation, référence, tauxd'amortissement, etc...
- Les données de base relatives à la comptabilité : plan des comptes, instructionsautomatiques de comptabilisation, taux de changes, etc...
22
- Les données de base relatives à la production : articles de base, réservoirs, véhicules,dépôts, filiales, usines, etc...
Pour chaque groupe de données (Fournisseurs, Clients, Immobilisations, Banques, taux dechange, etc...), un seul propriétaire doit être désigné. Ce propriétaire est responsable dusuivi des autorisations de modification apportées aux données permanentes et aussi de larevue de ces modifications.
Compte tenu de la sensibilité et de l'importance des données permanentes, des contrôlesclés informatisés devraient être mis en place afin de s'assurer que leurs mises à jour(création, modification, suppression) ont été faites d'une manière correcte et autorisée etque ces mises à jour sont contrôlées à posteriori à travers l'édition des logs d'audit.
Les contrôles clés informatisés appliqués sur les données permanentes sont généralementtraduits, en pratique, par des procédures de mise à jour et de maintenance des donnéespermanentes que l'auditeur sera amené à tester leur niveau d'application.
La procédure de mise à jour et de maintenance des données permanentes permet dedéfinir :
- L'identité des personnes habilitées à mettre à jour les données permanentes ;- La nature des documents autorisant la mise à jour des données permanentes ;- L'identité des personnes habilitées à revoir et à valider ces mises à jour.
Afin de s'assurer du niveau de sécurité des données permanentes de la société nous avonstesté le niveau d'application des procédures.
Le tableau ci-après présente les contrôles qui doivent exister au niveau des donnéespermanentes et les tests s'y rapportant :
Contrôles clés Tests effectué
Toute donnée permanente doitêtre unique dans la base dedonnées.
Discuter avec le responsable la procédure relative auxchangements apportés aux donnéespermanentes (l'initiateur, la personne qui approuve lademande, le responsable de la modification et lecontrôleur) ;
Toutes les données permanentesdoivent être présentées avec desséparations claires despropriétaires ;
Revoir l'historique des demandes de modification ;
Examiner les dernières modifications apportées auxdonnées permanentes à travers les logs d'audit ;
23
Les changements et les mises àjours apportés aux donnéespermanentes doivent êtreautorisés et revues par unepersonne indépendante (selon laprocédure).
Tester sur un échantillon de modifications le niveau deconformité avec la procédure ;
Examiner les logs d'audit correspondants auxmodifications pour s'assurer du respect de la procédure :l'auditeur doit vérifier le nom de la personne qui exécuteles demandes de changement, le nom de la personne quicontrôle la régularité de ces changements, la date demodification, l'ancienne valeur et la nouvelle valeur.
Données permanentes de lacomptabilité :
Revoir les derniers changements apportés auxinstructions automatiques de comptabilisations
2.1.2. Sécurité de JDE
La finalité principale de la revue des contrôles automatisés au niveau de J.D.Edwards est defournir à la Direction une assurance raisonnable quant à l'intégrité et la fiabilité dutraitement des données.
Pour atteindre et confirmer cette assurance, l'équipe d'audit doit focaliser une partie de sestravaux sur la revue des contrôles appliqués au niveau de l'organisation, desenvironnements, des menus et des procédures afin de garantir la sécurité de J.D.Edwards.
Les contrôles se résument aux points suivants :
Contrôles clés Tests
Ségrégation des tâches :
Une ségrégation efficace des tâches doit existerdans l'environnement informatique.
Dénombrer les utilisateurs qui ont uncumul de tâches incompatibles ;
Divisez ce chiffre par le nombre totald'utilisateurs ayant un profil sousAS/400 et sous J.D.Edwards. Cepourcentage est utilisé pour la notation.
24
Contrôles clés Tests
Environnements informatiques :
Les environnements informatiques doivent êtrelimités à ceux de production, de test et dedéveloppement.
Exécuter le programme "F0094"pourdéterminer le nombred'environnements informatiquesexistants ;
Exécuter le programme "F0093" pourIdentifier les droits d'accès attribués auxutilisateurs pour les différentsenvironnements informatiques.
Commandes Systèmes10 :
Le lancement des commandes systèmes devraitêtre restreint convenablement.
Identifier les droits d'accès attribués auxutilisateurs pour ces fonctionnalitésdans l'environnement informatique enexécutant le programme " F0093" ;
Discuter les résultats obtenus avecl'administrateur du système et obtenirdes explications pour tous lesutilisateurs bénéficiant de cet accès.
Accès rapide (Fast Path) :
Description: J.D.Edwards permet l'accès rapide àses modules et rapports standards en utilisant descommandes spécifiques (exp. : l'exécution de lacommande "G09" permet l'accès rapide à lacomptabilité générale G/L).
Les accès rapides doivent être restreintsconvenablement.
Exécuter le programme "F0092" pouridentifier les droits d'accès attribués auxutilisateurs dans les environnementsinformatiques ;
Discuter les résultats obtenus avecl'administrateur du système et obtenirdes explications pour tous lesutilisateurs bénéficiant de cet accès.
Ouverture et fermeture des périodes comptables :
La possibilité d'ouvrir et de fermer les périodescomptables doit être limitée à un nombre restreintd'individus.
Exécuter le programme "P00105" pouridentifier les personnes qui ont lapossibilité d'ouvrir et de fermer lespériodes comptables.
10 Commandes Systèmes : sont des requêtes lancées par l'administrateur J.D.Edwards (le premier responsabledu système J.D.Edwards) pour extraire des données de base du système
25
Contrôles clés Tests
Création de profils utilisateurs :
Une procédure adéquate doit exister pour le suivide la création de nouveaux profils utilisateurs sousJDE.
La procédure doit inclure une estimation adéquatede la ségrégation des tâches.
Discuter avec le responsableJ.D.Edwards l'existence de telleprocédure ;
Tester le cas de profils récemmentcréés.
Droits d'accès :
Les droits d'accès des utilisateurs sous JDEdevraient être annulés ou changés d'une façonadéquate lorsque ces derniers sont transférés ouont quitté la société.
Discuter avec la responsableJ.D.Edwards l'existence de telleprocédure ;
Editer la liste des profils des utilisateursà partir du système ;
Tester des échantillons de profils.
2.2. Documents utilisés
Au cours de la mission, l'auditeur doit avoir à sa disposition plusieurs documents qui luiservent de base pour ses travaux de contrôles. Ces documents sont soit des rapportsgénérés à partir du système ou bien des procédures propres à la société.
Dans ce qui suit, on présentera les documents important que nous ayons consulté dans lecadre de travaux de revue de l’ ERP.
Logs d'audit ou Auditrons :
Se sont des journaux édités par le système par l'exécution de commandes spécifiques. Cesjournaux retracent toutes les opérations de changement (créations, modifications,suppressions) faites au niveau des fichiers permanents tels que le fichierfournisseurs « supplier file », fichier clients « customer file », gestion des tiers « AddressBook », le programme d'ajustement et de prix « Price and Ajustement Schedule ».
Dans ces rapports, on trouve le nom de la personne qui exécute les demandes dechangement, le nom de la personne qui contrôle la régularité de ces changements, la datede modification, l'ancienne valeur et la nouvelle valeur.
26
Les procédures de contrôle des auditrons :
Les Logs d'audit doivent être contrôlés pour identifier les actions non autorisées et les éviterdans le futur. Pour que le contrôle soit bénéfique, il doit obéir à une procédure formalisée etbien définie.
Ce document indique le but de la procédure de contrôle des auditrons, les personnesintervenantes, la périodicité d'édition, les responsabilités, les modalités pratiques et lesapplications.
Les rapports d'intégrités :
Les rapports d'intégrité présentent les problèmes d'intégration qui peuvent exister entre lessoldes des comptes des différents modules de J.D.Edwards « A/R, A/P,F/A, etc » et leurimputation directe au niveau de la comptabilité générale « G/L ».
Ces rapports sont une partie intégrale du système J.D.Edwards.
Ils doivent être édités :
- Durant l'installation de J.D.Edwards et suite à la migration des données.- Quotidiennement, pour la majorité de ces rapports.
Si ces rapports ne sont pas édités régulièrement, l'intégrité des donnés peut être affectée, cequi représente un grand risque : « High Risk of Data Integrity Issues ».
L'examen des rapports d'intégrités aide à :
- S'assurer que le système fonctionne correctement ;- Corriger tout problème à temps d'une manière efficiente.
Les rapports d'intégrités qu'on peut extraire de J.D.Edwards sont les suivants :
Comptabilité Fournisseurs : A/P
· Le rapport P047001 compare les soldes de la comptabilité fournisseurs dans le modulecomptabilité fournisseurs aux soldes des comptes fournisseurs imputés dans la comptabilitégénérale.
· Le rapport P04701 vérifie que le montant global de chaque lot dans la comptabilitéFournisseurs est égal aux montants correspondants dans la comptabilité générale.
Comptabilité clients : A/R
· Le rapport P03702 compare chaque lot des montants bruts reçus inscrit à la comptabilitéclients avec la table clients de la comptabilité générale.
27
· Le rapport P03701 vérifie que chaque Lot de la comptabilité clients, qui lui correspond letotal des montants reçus, est équilibré avec les Lots correspondants dans la comptabilitégénérale.
Immobilisations : F/A
· Le rapport P127011 compare les soldes enregistrés à la table comptabilité immobilisationsaux soldes de la table de la Comptabilité Générale.
· Le rapport P12301 identifie toutes les transactions qui ont été inscrites dans laComptabilité Générale et devraient être, mais ne le sont pas encore, inscrites dans lacomptabilité des immobilisations.
Comptabilité Générale : G/L
· Le rapport P007011 présente la liste des lots non encore comptabilisés en se basant sur latable de contrôle des lots.
· Le rapport P007031 liste les lots qui sont affectés mais non équilibrés. La différenceapparaît dans le rapport.
· Le rapport P097001 présente la balance nette de chaque société.
· Le rapport P09705 montre la divergence de chaque période entre les soldes de la balanceet les soldes dans la comptabilité générale.
· Le rapport P097021 montre les divergences des montants au niveau des sociétés entre lacomptabilité et les tables des comptes.
Stocks : ESC
· Le rapport P41543 montre les types de divergences entre les tables de comptabilité desstocks et celles de la comptabilité générale :
- Le détail de l'article en stock existe sans avoir une correspondance avec lacomptabilité générale.
- L'article n'est pas équilibré avec son correspondant de la comptabilité générale.
· Le rapport P41544 montre les divergences pour les quantités et les montants entre lacomptabilité des stocks et la comptabilité générale.
Les droits d'accès :
Se sont des fiches formalisées qui définissent les droits d'accès des utilisateurs aux différentsmenus du système, tout en respectant le profil de chacun.
Afin d'éviter toute confusion dans l'attribution des droits d'accès, chaque demande decréation, modification et suppression de profil utilisateur devraient préciser :
28
- Le groupe auquel le nouvel utilisateur doit appartenir ;- Les droits supplémentaires à accorder.
Les droits d'accès « Action Code Security » par programme de chaque groupe d'utilisateursdoivent être formellement définis. Un descriptif fonctionnel de chaque programme estélaboré et présenté au responsable utilisateur concerné.
· Action code report :
C'est un rapport édité pour chaque dossier faisant partie des fichiers permanents «Masterfiles ».
Ce document présente les identités des groupes d'utilisateurs « User Id » qui ont le droit demodifier, créer, supprimer des données au niveau des fichiers permanents.
Pour chaque groupe, le rapport présente le profil de l'utilisateur assigné ainsi que lessécurités attribuées.
· Les règles de gestion « Order Acivity Rules » :
Ces documents présentent l'enchaînement logique des processus d'activités d'une sociétéutilisant J.D.Edwards. Se sont les règles de gestion de la société.
Les traitements sont codifiés de façon automatique. Il faut nécessairement passer d'uneétape à l'étape qui la succède. Chaque passage d'une étape à une autre doit être autorisépar une personne désignée.
3. Synthèse des travaux de contrôle interne
A l'issue de la revue des contrôles existants au niveau des différents modules du progiciel degestion intégré J.D.Edwards (la revue du niveau d'existence et d'application de cescontrôles), nous avons relevé les points qui, peuvent affecter le niveau de contrôle au niveaudes processus de la société.
Sur la base de ces travaux, a été fixé le choix de la stratégie d'audit qui est fonction duniveau de confiance dégagé pour chaque process.
29
CONCLUSIONSuite à la libéralisation des marchés et face à la menace accrue de la concurrence, lessociétés sont à la recherche des moyens les plus développés qui leurs permettraientd'améliorer leur compétitivité et d'atteindre leurs objectifs à savoir la création de valeur. Lesnouvelles technologies de l'information, et en particulier les ERP, ont constitué, durant lesdeux dernières décennies, l'un de ces principaux moyens de développement. En effet, lamajorité des entreprises, aussi bien les petites et moyennes entreprises que les grandesfirmes internationales, s'appuient actuellement sur des systèmes d'informations construitsautour des ERP.
Dans ce nouveau paysage qui caractérise la majorité des entreprises, les auditeurs setrouvent face à des systèmes présentant des informations de plus en plus disponibles,intègres et sécurisés. Cependant, ces systèmes sont, parfois si complexes, que leurexploitation nécessite une expertise particulière. Ainsi, la maîtrise des risques inhérents à cesystème dépasse les compétences d'un auditeur utilisant uniquement, des méthodologies etdes outils traditionnels, et nécessite parfois le recours à des experts informatiques.
Ce n'est pas à un changement de métier, mais à une évolution des méthodes et des outils detravail que doit se préparer l'auditeur. Les auditeurs qui se cantonneront à la comptabilitéseront progressivement ravalés à un rôle secondaire et risquent de voir restreindre leursinterventions à quelques opérations de haute technicité comme l'arrêté des états financiers,ou la préparation des déclarations fiscales ou sociales spécifiques.
Les auditeurs devraient, par conséquent, se mettre à niveau et ce, par le développement deleurs connaissances et compétences afin de pouvoir jouer un rôle majeur dans tous cesnouveaux domaines, et réévaluer encore plus leurs apports pour les entreprises.
Parmi les outils et les méthodologies qu'un auditeur financier gagnerait à maîtriser etadopter lors de ses missions, il convient de citer le référentiel COBIT.
Ce référentiel, développé et maintenu par l'ISACA traite en particulier les domaines de lastratégie et l'organisation informatique, de l'acquisition et l'implémentation des systèmesinformatiques, de l'exploitation et la maintenance des systèmes informatiques et ducontrôle et suivi de la fonction informatique.
30
Bibliographie
Auteurs
GERARD PETIT, DANIEL JOLY et JOCELYN MICHEL ; Guide pour l'audit financier des entreprisesinformatisées, Edition CLET, 1985.
JOCELYN MICHEL ; Guide pour l'audit opérationnel de l'informatique et des systèmesd'information, Edition CLET, 1989.
MARC THORIN ; L'audit informatique, Edition PUBLI-UNION, 2000.
ABDERRAOUF YAICH ; La profession comptable et les nouvelles technologies de l'information etde la communication, La revue Comptable et Financière RCF, N° 53
THOMAS DAVENPORT et NITIN NOHRIA ; Recollez le travail au lieu de le diviser ! , l'expansionManagement Review , Automne 1994,
LEQUEUX Jean-Louis, Manager avec les ERP, Edition Organisation, 2002
N. Messabia et A. Elbekkali ; Article universitaire « Le modèle du risque d’audit appliqué dans unenvironnement complexe de Technologies de l’Information.
Yves de Rongé (Louvain) ; L’IMPACT DES ERP SUR LE CONTRÔLE DE GESTION: UNE PREMIÈREÉVALUATION, FINÉCO, volume 10, année 2000
Mémoires et thèses
Bacem Jarraya ; « Revue du module « comptabilité clients » du progiciel JD EDWARDS d'une sociétépétrolière dans le cadre d'une mission d'audit financier » mémoire en vu de l’obtention du Masterspécialisé Nouvelles Technologies & Gestion Comptable, Financière et Fiscale
Aché Missamou ; « Management d’un projet ERP : Harmonisation des systèmes d’information dans lecas d’une fusion » mémoire en vu de l’obtention d’une maitrise en science de gestion.
Webographie :
· Http:// www.sécurité-informatique.enligne-fr.com
· Http:// www.audit-informatique.fr
· Http:// www.clusif.asso.fr
· Http:// www.afai.asso.fr
· Http:// www.audit.com
· Http:// www.itaudit.org
· Http:// www.isaca.org
· Http:// www.erp.com
· Http:// www.issa.org
· Http:// www.jde.fr
31
Table des matières
Introduction ...........................................................................................................................1
Partie I : L’ERP et ses apports : ...............................................................................................3
1. Définitions de l'ERP .............................................................................................................................. 3
2. Caractéristiques d'un ERP ..................................................................................................................... 3
3. Les Apports des ERP ............................................................................................................................. 5
Partie II : L'implantation d'un ERP .........................................................................................7
1. Migrations des données ....................................................................................................................... 7
2. Mise en exploitation, test et évaluation ................................................................................................ 8
3. Accompagnement au changement ....................................................................................................... 8
4. Maintenance et Support du produit...................................................................................................... 8
Partie III : De l’audit des ERP vers l’impact sur les travaux d’audit financier ..........................9
A- Audit des ERP....................................................................................................................................... 91. Composantes d'un ERP ..................................................................................................................... 92. Objectifs d'audit d'un ERP .............................................................................................................. 10
B- l’impact des ERP sur les travaux d’audit financier ............................................................................... 121. Les Technologies de l’information (TI) et le processus d’audit ......................................................... 132. L’appréciation des risques d’audit dans un environnement complexe de TI ..................................... 143. Particularités de l’audit dans un environnement complexe de TI ..................................................... 15
3.1. Planification de la mission d’audit dans un environnement complexe de TI ............................ 153.2. Appréciation du risque de non-contrôle dans un environnement complexe de TI ................... 16
4. Limite du modèle de risque d’audit dans un environnement complexe de TI ................................... 17
Partie IV : Cas empirique- Travaux d’audit lors de la phase de mise en place de l’ERPJ.D.Edwards dans une société pétrolière .............................................................................19
A/ Détermination de la cartographie des systèmes .................................................................................... 19
B/ Evaluation du système d’information .................................................................................................... 211. Objectifs à atteindre ....................................................................................................................... 212. Description des contrôles effectués ................................................................................................ 21
2.1. Contrôles et tests des modules du progiciel J.D.Edwards ........................................................ 212.1.1. Les données permanentes «Master Data » .................................................................... 212.1.2. Sécurité de JDE .............................................................................................................. 23
2.2. Documents utilisés................................................................................................................. 253. Synthèse des travaux de contrôle interne ....................................................................................... 28
CONCLUSION........................................................................................................................29
Bibliographie ……………………………………………………………………………………………………..…………..29
