DSCG : UE5 - Management des Systèmes d'Information
Audit
Table des matières CARTE HEURISTIQUE .................................................................................................................................1 GÉNÉRALITÉS .............................................................................. ...................................... ................................................................................. ........................................................ ................... .... 1 LES MISSIONS DAUDIT ..............................................................................................................................1 Les contextes contextes d'audit d'audit ..................................... ....................................................... ..................................... ..................................... ..................................... ..................................... ..................................... ...............................2 ............2 L'audit L'audit des systèmes d'informatio d'information n ................................... ...................................................... ..................................... ..................................... ..................................... ..................................... ..............................2 ...........2 Les différents différents types de missions d'audit ................................... ..................................................... ..................................... ..................................... ..................................... .........................................2 ......................2 La démarche démarche d'audit d'audit ................................... ...................................................... ..................................... ..................................... ..................................... ..................................... ....................................................3 .................................3 LE CADRE LÉGAL ET NORMATI! DE LAUDIT ...................................................................................................." Les normes et les référentiels référentiels ..................................... ........................................................ ..................................... ..................................... ..................................... ..................................... ....................................5 .................5 Le référentiel référentiel CobiT ................................... ..................................................... ..................................... ..................................... ..................................... ..................................... ..................................... ................................ ............. ...6 Les normes professionnell professionnelles es international internationales es ................................... ..................................................... ..................................... ..................................... ..................................... .................................. ............... Le contr!le interne ................................... ...................................................... ..................................... ..................................... ..................................... ..................................... ..................................... ...................................." .................." LE CONTR#LE DES COM$TES DES ENTITÉS IN!ORMATISÉES ..............................................................................11 Le système d'informatio d'information n comptable comptable #$%C& .................................... ....................................................... ..................................... ..................................... .................................................... ................................. La prise en compte de l'en(ironnement informati)ue lors de l'audit lé*al des comptes ........................................................... Le ris)ue d'audit d'audit ..................................... ........................................................ ..................................... ..................................... ..................................... ..................................... ......................................................2 ...................................2 LA DÉMARCHE DAUDIT DU CNCC............................................................................................................1% Les supports opérationnels opérationnels................ .................................. ..................................... ..................................... ..................................... ..................................... ...........................................................5 .........................................5 LAUDIT ASSISTÉ $AR ORDINATEUR ............................................................................................................1& Les étapes de l'audit l'audit assisté par ordinateur ordinateur .................................... ....................................................... ..................................... ..................................... ..................................... ................................6 ..............6 Les techni)ues d'audit assisté par ordinateur+ T,,- #Computer ,ssisted ,udit Techni)ues+ C,,Ts& .................................. Les pro*iciels pro*iciels d'aide la ré(ision ................................................. ................................................................... ..................................... ..................................... .................................... ............................... ............. ..../ Les a(anta*es a(anta*es des pro*iciels pro*iciels d'aide la ré(ision .......................................... ............................................................. ..................................... ..................................... ....................................20 .................20
Carte heuristique
Gnra!its Après avoir longtemps été cantonné au domaine financier, le terme « audit » s'est maintenant largement diffusé et concerne notamment les systèmes d'information. Les enjeux de la mise en œuvre d'un audit sont multiples et répondent des pro!lémati"ues de mise en conformité et de prévention des ris"ues. #n certain nom!re de lois ont eu pour effet de généraliser et de systématiser la prati"ue de l'audit des systèmes d'information pour contri!uer au réta!lissement de la conf confia ianc nce e entr entre e les les acte acteurs urs de l'éc l'écon onomi omie. e. L'aud L'audit it des des $% !éné !énéfifici cie e d'un d'un cadr cadre e léga légall et réglementaire tant au niveau national "u'au niveau international, et dispose d'outils informati"ues permettant, d'une part, de traiter les données issues des $% et, d'autre part, de faciliter le suivi et la réalisation d'une mission complexe et documentée.
"es missions d'audit $elon $elon la norme norme %$& (((, (((, l'audi l'auditt est un « proces processus sus mét)od mét)odi"u i"ue, e, indépe indépenda ndant nt et docume documenté nté permettant de recueillir des informations o!jectives pour déterminer dans "uelle mesure les prati"ues
*+(
DSCG : UE5 - Management des Systèmes d'Information
Audit
o!servées satisfont aux référentiels du domaine concerné », L'auditeur se forge une opinion "u'il consigne ensuite dans un rapport.
"es #onte$tes d'audit L'audit en tant "ue mécanisme de gouvernance occupe une place croissante dans un contexte de regroupement d'entreprise et de développement des fonds d'investissement. -e plus en plus, les entreprises c)erc)ent matriser l'incertitude par la conduite d'audits fondés sur une approc)e par les ris"ues. Ainsi, des audits sont réalisés la demande des dirigeants des organisations /direction générale, mais également directions opérationnelles0 auprès de leur service d'audit interne ou auprès d'auditeurs externes. 1e peut 2tre, par exemple, un audit de conformité pour anticiper un éventuel contr3le fiscal par un diagnostic du système d'information compta!le. -es audits sont également mandatés par des propriétaires pour contr3ler leurs mandataires /les dirigeants0 et réduire l'asymétrie d'information entre les différents « sta4e)olders » ou « parties pren prenan antes tes ». 1es 1es audi audits ts sont sont cond condui uits ts en sus sus de l'au l'audi ditt léga légall des des compt comptes es réal réalis isé é par par les les commissaires aux comptes en 5rance. 6ar ailleurs, des audits peuvent 2tre menés dans le cadre d'une expertise judiciaire, sur la re"u2te d'un tri!unal /juridictions civiles, pénales, etc.0, voire la demande d'une autorité administrative. Les contextes d'audit sont variés et demandent de plus en plus un audit des systèmes d'information "ui se retrouve la croisée des préoccupations des dirigeants et des différentes parties prenantes "ui ont des o!jectifs économi"ues et financiers nécessitant une matrise accrue du ris"ue.
"'audit des systèmes d'information Le concept d'audit des systèmes d'information est apparu au cours des années *7(. %l comprend l'examen et l'évaluation des processus, des systèmes de traitement automatisé de l'information et des interfaces "ui les relient ainsi "ue des procédures connexes non automatisées, avec un ensem!le de règles en vigueur /fiscales, juridi"ues, tec)ni"ues, etc.0. %l vise mettre en évidence les ris"ues relatifs aux processus supportés par le système d'information et ceux liés l'infrastructure tec)ni"ue /adé"uation de l'infrastructure avec les !esoins de l'entité, sécurité p)ysi"ue, logi"ue et applicative, pérennité du $%, etc.0. L'audit des systèmes d'information couvre un périmètre plus large "ue l'audit informati"ue dans la mesure mesure o8 il s'intéresse s'intéresse aux aspects organisationnel organisationnelss et fonctionnels fonctionnels liés au $%, en plus des aspects aspects purement tec)ni"ues. L'audit des systèmes d'information peut 2tre décomposé en deux approc)es 9 •
•
l'évaluation de la fonction informati"ue, pour la"uelle l'auditeur s'appuie principalement sur les mét)odes mét)odes et référentiels référentiels existants existants dans ce domaine domaine /essentiellement /essentiellement le 1o!i:0. La fonction« informati"ue» de l'entreprise est prendre en compte en termes de séparation des fonctions, gest gestio ion n des des mouv mouvem ement entss de perso personn nnel el,, gest gestio ion n des des proj projet ets, s, fia! fia!ililitité é des des proc proces essus sus informati"ues /pilotage, développement, maintenance, exploitation, sécurité du $%0, etc. ; l'évaluation de la composante « système d'information» des processus opérationnels, pour la"uelle l'auditeur s'appuiera sur des programmes de travail spécifi"ues. 1eux
$elon $er*e 1ablonsy+ président d'honneur de l',,% #,ssociation fran4aise de l'audit et du conseil informati)ues& et directeur du cabinet cabinet d'audit oore $tephens $tephens $1C 7 l'audit de la fonction informati informati)ue )ue basé en *énéral sur le référentiel CobiT CobiT peut cou(rir l'audit de la straté*ie+ de la tacti)ue+ de l'opérationnel et de mana*ement de la fonction+ tandis )ue l'audit des applications a(ec les processus métiers métiers cou(rira+ par exemple exemple dans le cas de la *estion commerciale+ la (alidation (alidation des données+ données+ la fiabilité fiabilité et la réacti(ité des traitements ou encore la conformité ré*lementaire. 8 #$ource 999.:ournaldunet.com&
"es diffrents ty%es de missions d'audit Les missions d'audit peuvent 2tre de plusieurs types 9 interne, externe et stratégi"ue de la fonction informati"ue. =lles se caractérisent également 9 •
•
•
par la nature du lien entre l'auditeur et l'audité, avec l'appartenance ou la non appartenance l'entité auditée ; par la nature du cadre juridi"ue de l'audit, avec le respect d'o!ligations légales et de normes professionnelles ; par la "ualité du mandataire de la mission et du contexte d'audit ;
+(
DSCG : UE5 - Management des Systèmes d'Information
•
Audit
etc.
"'audit interne La mission d'audit interne est diligentée par la direction de l'entité. $elon l'A5A% /Association fran>aise de l'audit et du conseil informati"ues0, « l'audit interne est une activité indépendante et o!jective "ui donne une organisation une assurance sur le degré de matrise de ses opérations, lui apporte ses conseils pour les améliorer et contri!ue créer de la valeur ajoutée. %l aide cette organisation atteindre ses o!jectifs en évaluant, par une approc)e systémati"ue et mét)odi"ue, ses processus de management des ris"ues, de contr3le et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité ». 1ette activité indépendante est exécutée par le département d'audit interne.
"'audit e$terne La mission mission d'audit externe externe est réalisée par des personnes personnes extérieure extérieuress l'organisation l'organisation 9 ca!inets d'experts
•
soit elle répond aux m2mes o!jectifs "u'une mission d'audit interne et, dans ce cas, sa justification tient l'a!sence d'un département d'audit interne ou l'a!sence de compétences compéte nces au sein du département d'audit interne pour l'évaluation des $%, voire la volonté de confier la mission un tiers indépendant indépendant de l'entité auditée ; soit elle répond d'autres contextes d'audit et elle est éventuellement diligentée par d'autres acteurs "ue la direction de l'entité. &n peut citer, par exemple, les missions réalisées par les commissaires aux comptes /1A10 dans le cadre de leurs mandats d'audit. -ans ce cas, la mission d'audit a uni"uement pour o!jectifs de renseigner les 1A1 sur le niveau de contr3le intern interne e exista existant nt dans dans l'entr l'entrepri eprise se sur le proces processus sus inform informati ati"ue "ue et d'éval d'évaluer uer les ris"ue ris"uess existants pouvant impacter leur opinion.
"'audit stratgique de !a fon#tion informatique L'audit stratégi"ue de la fonction informati"ue vise vérifier son alignement sur la stratégie long terme de l'entité. %l consiste étudier l'adé"uation de la fonction informati"ue aux !esoins et aux enjeux de l'entreprise, le respect du principe de séparation des t?c)es et le niveau de dépendance de l'entreprise vis<
"a dmar#he d'audit La démarc)e d'audit se déroule déroule en plusieurs p)ases a!outissant a!outissant l'éla!orati l'éla!oration on d'un rapport rapport d'audit, d'audit, vérita!le outil de communication entre le ou les commanditaires de l'audit, les acteurs de l'entité auditée et les auditeurs.
"es %hases d'une mission d'audit La démarc)e d'audit retenue par le @uide d'audit des systèmes d'information de l'A5A% s'appuie sur trois p)ases, dont les activités activités sont détaillées dans la la figure *(.* 9 planification, cadrage et exécution. La démarc)e d'audit
+(
DSCG : UE5 - Management des Systèmes d'Information
Audit
BBB.afai.fr L'auditeur planifie, dans un premier temps, les différents aspects de la mission concourant l'atteinte des o!jectifs o!jectifs initialemen initialementt fixés. 1es o!jectifs o!jectifs sont ensuite ensuite détaillés dans la p)ase de cadrage cadrage puis la p)ase p)ase d'exéc d'exécuti ution on de l'audi l'auditt a!outi a!outitt la formula formulation tion de conclu conclusio sions ns et de recomma recommandat ndation ionss consignées dans un rapport d'audit.
"e ra%%ort d'audit :oute mission d'audit, et donc d'audit des systèmes d'information, se traduit par un rapport d'audit, "ui constitue la pièce matresse de la mission d'audit. $elon les normes professionnelles de l'%$A1A /%nformation $ystems Audit and 1ontrol Association0, « l'issue de son travail, l'auditeur des $% doit fournir un rapport sous une forme adé"uate. Le rapport doit préciser l'entreprise, les destinataires du document et les éventuelles restrictions sa diffusion. C ... D Le rapport doit spécifier la portée, les o!jectifs, la période couverte, la nature, la durée et l'ampleur de l'audit réalisé. C ... D Le rapport doit spécif spécifier ier les concl conclusi usions ons et recomma recommanda ndatio tions ns de l'audi l'audit, t, ainsi ainsi "ue les éventue éventuelle lless limita limitatio tions ns de portée, réserves ou "ualifications jugées opportunes par l'auditeur des $%. C ... D L'auditeur des $% doit collecter collecter des éléments pro!ants suffisants suffisants et pertinents pertinents pour corro!orer les résultats résultats rapportés. C ... D Lors de son édition, le rapport de l'auditeur des $% doit 2tre signé, daté et distri!ué conformément aux termes de la c)arte d'audit ou de la lettre de mission» /source 9 BBB.isaca.org0. Le rapport d'audit est un outil stratégi"ue, support des améliorations du $%.
"es #onsei!s %our %i!oter un audit du système d'information $elon $elon -omini -omini"ue "ue 5ilipp 5ilippone one /E-F /E-F $olutio $olutions, ns, *( consei conseils ls pour pour piloter piloter son audit audit des système systèmess d'information, BBB.journaldunet.com0, lors"u'une entreprise décide ou est contrainte de réaliser un audit, elle doit se poser des "uestions sur la fa>on de le mener !ien et d'appré)ender avec le plus d'o!jectivité possi!le les résultats de l'audit et suivre les conseils suivants 9 *. Gien délim délimiter iter le c)amp d'inves d'investigati tigation on et les les enjeux enjeux de l'audit. l'audit. . $e prépar préparer er la proc procédu édure re d'au d'audit dit.. . $éparer $éparer le commanditair commanditaire e de l'entité l'entité en c)arge c)arge de l'audit. l'audit. L'audit doit 2tre mené par des intervenants indépendants de la -$% et mandatés par la direction générale. 1ependant, des audits seront commandités spécifi"uement par la -$% lors"ue les enjeux seront typi"uement liés ses processus internes /suivi de la production, suivi de la "ualité de service ... 0. H. $e doter doter d'une direct direction ion de l'audi l'auditt interne, interne, oui, oui, mais ce n'est pas pas sans poser poser pro!lème pro!lème en raison de l'importance des ressources mo!iliser et de la place de cette direction dans l'organisation.
H+(
DSCG : UE5 - Management des Systèmes d'Information
Audit
I. Jecour Jecourir ir des référen référentie tiels ls solides solides comme comme %$&, 1o!i: 1o!i: /1ontrol /1ontrol &!jecti &!jectives ves for %nformat %nformation ion and related :ec)nology0 dans le cadre de processus transverses, 1KK% /1apa!ility Katurity Kode Kodell %nteg %ntegra ratition on0, 0, dans dans celu celuii du pilo pilota tage ge de proj projet et,, %:%L %:%L /%nfo /%nforma rmatition on :ec)n :ec)nol olog ogyy %nfrastructure Li!rary0, pour les services, etc. . $'enten $'entendre dre sur le le référe référenti ntiel el c)oi c)oisi. si. Les parties prenantes prenantes concernées par les enjeux enjeux de l'audit l'audit doivent avoir une vision vision sur le référentiel référentiel c)oisi, ainsi la clarté de la démarc)e d'audit sera appré)endée dans le temps. 7. 6réparer 6réparer les pièces pièces indispens indispensa!les a!les l'audit l'audit et en facilit faciliter er l'accès l'accès 9 le ca)ier des des c)arges, c)arges, "ui a pour vocation contractualiser les !esoins d'une entité envers un tiers, mais également le plan "ualité, les ta!leaux de !ord et indicateurs de performance, la gestion des pro!lèmes récurrents, etc. M. 1onfier 1onfier son audit audit une é"uipe é"uipe pluridisci pluridisciplina plinaire ire et indépe indépendant ndante. e. . 1)oisir 1)oisir la fré"uence fré"uence et le temps temps de déroulement déroulement de l'audit. l'audit. *(. Fe pas sous
"e #adre !ga! et normatif de !'audit L'au L'audi ditt des des syst système èmess d'in d'infor forma matition on est est enca encadré dré par par des des norm normes es et référ référen entitiel elss spéci spécififi"u "ues, es, intern internati ationa onaux ux et nation nationaux aux,, "ui servent servent de guide guide dans dans les prati"ues prati"ues des audite auditeurs urs intern internes es et externes. :outefois, le cadre de référence de l'audit retenu par les grandes entreprises est souvent rapproc)é rapproc)é du cadre proposé proposé par l'Autorité l'Autorité des marc)és financiers financiers /AK50 au titre du contr3le interne. interne. =n effet, le législateur a o!ligé les grandes entreprises plus de transparence et disposer de systèmes systèmes d'information d'information la )auteur de ces enjeux enjeux par la loi $ar!anes<&xl $ar!anes<&xley ey /$&N 9 aoOt ((0 aux Ptats<#nis, les lois FJ= /nouvelles réglementations économi"ues, *I mai ((*0, L$5 /loi de sécurité financière, *er aoOt ((0 et la loi pour la confiance et la modernisation de l'économie /QQ loi Greton », juillet ((I0 en 5rance. 1e nouveau socle réglementaire répond un enjeu majeur 9 réta!lir la confiance entre les différents acteurs de l'économie. Fous ne développerons ici "ue les renforcements des o!ligations des sociétés fran>aises en matière de contr3le interne.
"es normes et !es rfrent rfrentie!s ie!s La spécificité spécificité de l'audit l'audit des systèmes d'information d'information et les compétences compétences re"uises pour accomplir des audits exigent des normes et des référentiels "ui s'appli"uent expressément l'audit des $%. %l existe des normes professionnelles internationales et nationales, et des référentiels relatifs l'audit des entités informatisées. %ls sont éla!orés par des organisations internationales "ui ont le plus souvent des correspondants nationaux. Les principaux organismes, normes et référentiels sont présentés dans le ta!leau suivant. %l ne s'agit pas d'une liste ex)austive. A'dit i(ter(e
A'dit i()*rmati+'e
A'dit e,ter(e
#A, %nstitute of %nternal Auditors /BBB.t)eRa.org0
%$A1A, %nformation $ystems Audit and 1ontrol Association /BBB.isaca.org0
%5A1, %nternational 5ederation of Accountants /BBB.ifac.org0
Formes ou référentiels internationaux
Formes internationales pour la prati"ue professionnelle de l'audit
1o!i: /téléc)argement depuis %$A, %nternational $tandards on le site BBB.isaca.c)0 et divers Auditing %$S1*, %nternational normes $tandard on Suality 1ontrol et standards
&rganisations nationales
A5A%, Association fran>aise %5A1%, %nstitut fran>ais des auditeurs de l'audit et du conseil internes /BBB.ifaci.com0 informati"ues /BBB.afai.fr0
&rganismes internationaux
I+(
1F11, 1ompagnie nationale des commis saires aux comptes /BBB. cncc.fr0
DSCG : UE5 - Management des Systèmes d'Information
Audit
A'dit i(ter(e
A'dit i()*rmati+'e
A'dit e,ter(e F=6, normes d'exercice professionnel
Formes nationales
L'o!jectif des normes est d'informer les auditeurs du niveau minimal accepta!le pour répondre aux responsa!ilités professionnelles et les autres parties des attentes de la profession d'audit.
"e rfrentie! Co&i La démarc)e d'audit du système d'information s'appuie sur le référentiel 1o!i: /1ontrol &!jectives for %nforma %nformatio tion n and related related :ec)no :ec)nolog logyy < &!ject &!jectifs ifs de contr3 contr3le le de l'info l'informat rmation ion et des tec)no tec)nolog logies ies associ associées0 ées0 "ui fournit fournit les « !onnes !onnes prati" prati"ues ues» » pour pour l'appr l'appréci éciati ation on des ris"ues ris"ues informa informati" ti"ues ues et propose des standards de contr3le selon le cadre présenté ci
Le modèle dé!ute par une valorisation des !iens. -ans 1o!i:, ces !iens sont les informations < et naturellement l'ensem!le des ressources associées < dont les critères d'efficacité, de disponi!ilité ou d'intégrité, d'intégrité, etc., sont essentiels essentiels pour atteindre les o!jectifs o!jectifs de l'entreprise l'entreprise.. L'étape L'étape suivante suivante est l'anal l'analyse yse de vulnér vulnéra!i a!ilit lité é des proces processus sus,, "ui permet permet d'iden d'identif tifier ier les fai!le fai!lesse ssess par les critère critèress d'information ; un processus peut par exemple 2tre vulnéra!le la perte d'intégrité. L'analyse des menace menaces, s, étape étape suivan suivante, te, doit doit permett permettre re de lister lister l'ense l'ensem!l m!le e des menaces menaces et de voir voir "uelles "uelles vulnér vulnéra!i a!ilit lités és elles elles pourrai pourraient ent exploi exploiter. ter. L'anal L'analyse yse des ris"ue ris"uess va com!in com!iner er la pro!a! pro!a!ili ilité té de la menace, le degré de vulnéra!ilité et le niveau de sévérité de l'impact. %l faut alors réaliser l'analyse du contr3le en ex)i!ant une série de contre
d'adopter une démarc)e efficace en se référant, pour la construction et l'application des programmes de travail, un ensem!le reconnu de !onnes prati"ues ;
–
de structurer la documentation de travail et de la mission ;
–
de prendre en compte tous les les ris"ues /ex)austivité0 ;
–
de faciliter les éc)anges en se référant un référentiel international ;
–
de permettre des comparaisons entre entités ou secteurs d'activité ;
–
etc.
$i le recours au référentiel 1o!i: constitue une vérita!le opportunité pour l'auditeur, son usage présente des limites. -'une part, le référentiel est avant tout un outil de travail. %l devra donc 2tre adapté aux o!jectifs de la mission et au contexte de mise en œuvre. Le référentiel nécessite impérativeme impérativement nt une démarc)e criti"ue de l'auditeur et une appréciatio appréciation n des ris"ues ris"ues liés au contexte spécif spécifi"u i"ue e d'inte d'interve rventi ntion. on. -'autre -'autre part, part, si le référe référenti ntiel el 1o!i: 1o!i: reste reste ex)aus ex)austif tif et pertin pertinent ent pour pour
+(
DSCG : UE5 - Management des Systèmes d'Information
Audit
l'apprécia l'appréciation tion des ris"ues ris"ues liés la fonction informati"ue, informati"ue, sa portée est considéra!le considéra!lement ment limitée lors de l'évaluation des ris"ues informati"ues sous
"es normes %rofessionne!!es internationa!es internationa!es -es normes professionnelles internationales relatives l'audit interne et l'audit externe existent.
"es normes d'audit interne Au niveau international, ce sont les normes internationales pour la prati"ue professionnelle de l'audit interne de l'%nstitute of %nternal Auditors /l%A0 "ui constituent le référentiel de la mission d'audit interne. =lles sont complétées par un code de déontologie fournissant aux auditeurs internes les principes et valeurs régissant leur prati"ue professionnelle. $elon l'%5A1%, les normes ont pour o!jet 9 •
•
de définir les principes fondamentaux de la la prati"ue de l'audit interne ; de fournir fournir un cadre cadre de référence référence pour la réalis réalisatio ation n et la promotion promotion d'un large large c)amp c)amp d'intervention d'audit interne valeur ajoutée ;
•
d'éta!lir les critères d'appréciation du fonctionnement de l'audit interne ;
•
de favoriser l'amélioration des processus organisationnels et des opérations.
Les normes se composent 9 •
•
•
de normes normes de "uali "ualific ficatio ation n "ui précis précisent ent les caracté caractéris risti" ti"ues ues "ue doiven doiventt présent présenter er les organisations et les personnes accomplissant des missions d'audit interne ; de norm normes es de fonct fonctio ionn nnem emen entt "ui "ui décr décriv ivent ent la natu nature re des des miss missio ions ns d'au d'audi ditt inte intern rne e et défini définisse ssent nt des critèr critères es de "ualit "ualité é permet permettant tant de mesurer mesurer la perform performanc ance e des servic services es fournis ; de normes de mise en œuvre "ui précisent les deux types de normes précédentes en indi"uant les exigences applica!les dans les activités d'assurance /évaluation o!jective en vue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une opération, une fonction, un processus, un système ou tout autre sujet0 ou de conseil.
La norme de "ualification "ualification **(.A stipule stipule notamment notamment "ue « les auditeurs internes internes doivent doivent posséder une connai connaissa ssance nce suffis suffisant ante e des princi principau pauxx ris"ue ris"uess et contr3l contr3les es relati relatifs fs aux tec)no tec)nolog logies ies de l'information, et des tec)ni"ues d'audit informatisées suscepti!les d'2tre mises en œuvre dans le cadre des travaux "ui leur sont confiés. :outefois, tous les auditeurs internes ne sont pas censés posséder l'expertise d'un auditeur dont la responsa!ilité première est l'audit informati"ue ».
"es normes d'audit e$terne Au niveau international, ce sont les normes %$A "ui constituent le référentiel de la mission d'audit externe. =lles ont été éla!orées et pu!liées par l'%nternational Auditing and Assurance $tandards Goard /%AA$G0, "ui est une dépendance de l'%5A1 /%nternational 5ederation of Accountants0. Les o!jectifs des normes d'audit des systèmes d'information de l'%$A1A sont d'« informer 9 •
•
les auditeurs de systèmes d'information du niveau minimum de diligence re"uis pour satisfaire les respons responsa!i a!ilit lités és profess profession ionnel nelles les défini définies es dans le code code d'ét)i d'ét)i"ue "ue profess profession ionnel nelle le de l'%$A1A ; la direction et les autres parties prenantes de ce "u'elles sont en droit d'attendre des travaux professionnels des auditeurs» /source 9 A5A%, La Jevue, nT 7M, mars ((I0.
L'arc)itecture des normes d'audit des systèmes d'information de l'%$A1A comprend plusieurs niveaux 9 •
•
•
les normes définissent les exigences o!ligatoires pour la conduite de l'audit des systèmes d'information et la rédaction des rapports ; les recommandations apportent des conseils pour l'application des normes %$A ; les procédures donnent des informations sur la fa>on de satisfaire aux normes lors de l'accomplissement des travaux d'audit.
7+(
DSCG : UE5 - Management des Systèmes d'Information
Audit
Les normes %$A de référence sont 9 •
•
la norme %$A *I < 1onnaissance de l'entité et de son environnement et évaluation du ris"ue d'anomalies significatives ; la norme %$A ( < 6rocédures mettre en œuvre par l'auditeur en fonction de son évaluation du ris"ue.
1es normes ont été transposées au niveau national. 6ar ailleurs, la norme %$1S* /%nternational $tandard on Suality 1ontrol0, éta!lie par l'%5A1, définit les exigences relatives la mise en place d'un système de « contr3le "ualité des ca!inets réalisant des missio missions ns d'audi d'auditt ou d'exame d'examen n limité limité d'info d'informat rmation ionss financ financièr ières es )istori )istori"ue "ues, s, et d'autres d'autres missio missions ns d'assurance et de services connexes ». 1ette 1ette norme norme devrai devraitt 2tre 2tre implém implément entée ée dans les ca!ine ca!inets ts de révise réviseurs urs d'entre d'entrepri prises ses dans les proc)aines années.
"es normes %rofessionne!!es nationa!es =n 5rance, c'est la 1F11 /1ompagnie nationale des commissaires aux comptes0 "ui réalise le référentiel normatif )omologué applica!le la profession fran>aise. %l a été entériné courant (((. La transposition dans le référentiel fran>ais des normes d'audit internationales de l'%5A1 a poursuivi deux o!jectifs 9 •
positionner clairement la 5rance au regard du référentiel normatif normatif international /%AA$G0 ;
•
témoigner du )aut degré de "ualité de la certification des commissaires aux comptes.
-e cette transposition ont découlé notamment les normes d'audit en environnement informatisé 9 •
la norme 1F11 <(* relative l'évaluation du ris"ue et au contr3le interne ;
•
la norme 1F11 <( relative l'audit réalisé dans un environnement informati"ue.
1es textes ont été remplacés le *er mai ((7 par les normes d'exercice professionnel 9
la norme F=6 ( < 6rocédures d'audit mises en œuvre par le commissaire aux comptes l'issue de son évaluation des ris"ues.
1es F=6 découlent des normes internationales %$A *I et (. Les F=6 ont valeur de loi et s'imposent dans le cadre de la mission du 1A1. =lles ont pour vocation première « de garantir le !on exercice des missions et permettent de trouver, dans une doctrine émanan émanantt de l'orga l'organis nisati ation on profess profession ionnel nelle le seule seule )a!ili )a!ilitée tée défini définir, r, les critère critèress d'appr d'appréci éciati ation on nécessaires» /Jéférentiel normatif 1F11, juillet ((, U(<*((, 6réam!ule0.
"e #ontr(!e interne La mise en place de dispositifs de contr3le interne repose en grande partie sur le contr3le du système d'infor d'informat mation ion.. =n effet, effet, la "uasi< "uasi
us cet effet.
"a dfinition et !a %orte du #ontr(!e interne $elo $elon n l'A5 l'A5A%, A%, le contr contr3l 3le e inter interne ne est est un disp dispos osititif if mis mis en œuvre œuvre par par la soci sociét été é et sous sous sa responsa!ilité. « %l comprend un ensem!le de moyens, de comportements, de procédures et d'actions adaptés aux caractéristi"ues propres de c)a"ue société "ui 9 •
•
contri!ue la matrise de ses activités, l'efficacité de ses opérations et l'utilisation efficiente de ses ressources, et doit lui permettre de prendre en compte de manière appropriée les ris"ues significatifs, "u'ils soient opérationnels, financiers ou de conformité. »
Le contr3le interne vise plus particulièrement « assurer 9 •
•
la conformité aux lois et règlements ; l'application des instructions et des orientations fixées par la direction générale ou le directoire ; M+(
DSCG : UE5 - Management des Systèmes d'Information
•
•
Audit
le !on fonctionnement des processus internes de la société, notamment ceux concourant la sauvegarde de ses actifs ; la fia!ilité des informations financières.
Le contr3le interne ne se limite donc pas un ensem!le de procédures ni aux seuls processus compta!les et financiers. La définition du contr3le interne ne recouvre pas toutes les initiatives prises par les organes dirigeants ou le management comme par exemple la définition de la stratégie de la société, la détermination des o!jectifs, les décisions de gestion, le traitement des ris"ues ou le suivi des performances », $elon les articles *. I<7 et *. I<M du 1ode de commerce, "ui trouvent leur origine dans la loi de sécurité financière /L$50 du *er aoOt (( /article **70, dans les sociétés faisant appel pu!lic l'épargne, le président du conseil d'administration ou du conseil de surveillance « rend compte, dans un rapport, C ... D des procédures de contr3le interne mises en place par la société ». 6our ces m2mes sociétés, selon l'article L. I<I du 1ode de commerce /article *( de la L$50, « les commis commissai saires res aux comptes comptes présen présenten tentt dans dans un rappor rapportt ***Ka ***Kanag nageme ement nt des système systèmess d'information C ... D leurs o!servations sur le rapport /du 6résident0 pour celles des procédures de contr3le interne relatives l'éla!oration et au traitement de l'information compta!le et financière ». Les applicatifs dédiés au « 1ontr3le %nterne » répondent aux enjeux majeurs suivants 9 •
• •
$Vassurer de la conformité de lVentreprise aux réglementations et aux normes de contr3le interne 9 L$5, cadre de référence de de lVAK5, $ar!anes<&xley, 1JG5 7<( et G?le %% pour les !an"ues, $olva!ilité %% pour lVassurance, 1ontri!uer lValignement et lVoptimisation des processus opérationnels dans lVentreprise, 5aciliter la communication aux parties prenantes et la rédaction du rapport annuel sur le contr3le interne. »
"e #adre de rfren#e des dis%ositifs de gestion des risques et de #ontr(!e interne de !'AM) 5ace aux préoccupations relatives au contr3le interne, on assiste au développement de démarc)es sur la !ase de cadres de référence, comme celui de l'AK5 /Autorité des marc)és financiers0 ou celui du casa /1ommittee of $ponsoring &rganiWations of t)e :readBay 1ommission0. Le dispositif du contr3le interne s'intéresse tant aux "ualités des systèmes d'information "u'aux informations diffusées, ainsi "ue le préconise le cadre de référence des dispositifs de gestion des ris"ues et de contr3le interne de l'AK5 de (*(, dont un extrait est présenté cius de fa>on pouvoir supporter ses o!jectifs futurs. Les systèmes informati"ues sur les< "uels s'appuient ces systèmes d'information doivent 2tre protégés efficacement tant au niveau de leur sécurité p)ysi"ue "ue logi"ue afin d'assurer la conservation des informations stoc4ées. Leur continuité d'exploitation doit 2tre assurée au moyen de procédures de secours. Les informations relatives aux analyses, la programmation et l'exécution des traitements doivent faire l'o!jet d'une documentation C ... D. 0 La diffusion en interne d'informations pertinentes, fia!les, dont la connaissance permet c)acun d'exercer ses responsa!ilités C ... D. 0 #n dispositif de gestion des ris"ues visant recenser, analyser et traiter les principaux ris"ues identifiés au regard des o!jectifs de la société. H0 -es activités de contr3le proportionnées aux enjeux propres c)a"ue processus, et con>ues pour s'assurer "ue les mesures nécessaires sont prises en vue de matriser les ris"ues suscepti!les d'affecter la réalisation des o!jectifs. I0 #ne surveillance permanente portant sur le dispositif de contr3le interne ainsi "u'un examen régulier de son fonctionnement ». BBB.amf
+(
DSCG : UE5 - Management des Systèmes d'Information
Audit
1ette nouvelle édition du cadre de référence de l'AK5 s'appuie sur les évolutions constatées dans les principaux référentiels internationaux, en particulier 9 •
•
le référentiel de contr3le interne casa %%, "ui est aujourd')ui le plus communément admis et utilisé. %l est adopté notamment par un nom!re croissant d'entreprises fran>aises ; la norme %$& *((( *((( /QQ Kanage Kanagemen mentt du ris"ue ris"ue < 6rinci 6rincipes pes et lignes lignes directr directrice icess », de l'&rga l'&rganis nisati ation on intern internati ational onale e de normal normalisa isatio tion0, n0, "ui fournit fournit des princi principes pes et des ligne ligness directrices générales sur le management du ris"ue.
=lle intègre un "uestionnaire relatif au contr3le interne compta!le et financier dont une partie porte sur les systèmes d'information /voir encadré cia!ilité des transactions est
. l'audit des systèmes d'information, outil privilégié du contr3le interne L'audit des systèmes d'information constitue un pilier du contr3le interne. =n effet, selon l'A5A%, les démarc)es mises en œuvre en matière de contr3le interne sont 9 •
•
•
•
•
•
•
l'audit compta!le, dont l'o!jectif est de garantir la sincérité des comptes. %l peut 2tre conduit par le service d'audit interne, par les commissaires aux comptes ou, le cas éc)éant, par les autorités de tutelle ; l'audit l'audit interne, dont le !ut est de permettre permettre aux directions générales générales d'avoir l'assurance l'assurance d'un niveau de sécurité adapté c)acun de ses processus ; l'anal l'analyse yse des ris"ues ris"ues,, dont dont l'o!je l'o!jecti ctiff est d'éval d'évaluer uer périod périodi"u i"ueme ement nt le niveau niveau des ris"ue ris"uess opérationnels et des ris"ues !ilan ciels des entreprises ; l'audit de sécurité, dont le !ut est de contr3ler "ue les dispositifs de sécurité organisationnels, matériels et logiciels sont corrects ; l'audit informati"ue, "ui a pour o!jectif d'évaluer l'efficacité des activités informati"ues ; l'audit du système d'information, "ui a pour !ut de vérifier la contri!ution des ressources informati"ues consommées l'efficacité de l'entreprise ; l'audit "ualité, dont l'o!jectif est de vérifier "ue les dispositifs d'assurance "ualité garantissent un niveau de "ualité satisfaisant.
6our répondre aux attentes du cadre légal relatif au contr3le interne, il est nécessaire d'assurer la co)érence et la complémentarité des différentes démarc)es d'audit, et notamment de veiller la contri!ution de l'audit des différentes composantes du $% aux démarc)es de contr3le interne. L'A5A% a mis en évidence les principaux apports des domaines de l'audit des composantes du système d'information aux cin" autres démarc)es du contr3le interne. Jelations entre audit des composantes du $% et démarc)es de contr3le interne
*(+(
DSCG : UE5 - Management des Systèmes d'Information
-émarc)es d'audit
$tratégie informati"ue
Audit
5onction informati"ue
6rocessus informatisés
Audit compta!le
x
x
Audit interne
x
x
x
Analyse des ris"ues
x
x
x
Audit de sécurité
x
x
Audit "ualité
x
x
A5A%, 1ontr3le interne et système d'information, T édition, ((M. Ainsi Ainsi,, l'audi l'auditt des compos composant antes es du système système d'info d'informat rmation ion,, "ue sont sont la stratég stratégie ie inform informati" ati"ue, ue, la fonction informati"ue et les processus informatisés, joue un r3le majeur au service du contr3le interne.
"e #ontr(!e des #om%tes des entits informatises Le contr3le des comptes des entités informatisées peut 2tre un contr3le légal effectué par un commissaire aux comptes ou un contr3le de nature contractuelle effectué par un expert
"e système d'information #om%ta&!e *SIC+ Le système d'information compta!le est le système interface entre les systèmes opérants /ac)at, production, vente, investissement...0 et le système de pilotage. %l recueille et traite les différentes informations de nature compta!le et financière afin de les mettre la disposition du système de pilotage /dit aussi « système de décision »0. Les $%1 sont de plus en plus intégrés. L'intégration vise regrouper dans un système uni"ue les différents systèmes compta!les et de gestion de l'entreprise, et assurer la production d'une information fia!le, actuelle, non redondante et )omogène. %l existe différents niveaux d'intégration des $%1 9 la compta!ilité autonome, la compta!ilité semi
"a #om%ta&i!it autonome 1ette arc)itecture arc)itecture est caractéristi" caractéristi"ue ue des petites entreprises entreprises dont l'informatis l'informatisation ation est généraleme généralement nt centrée sur la mise en place d'un progiciel compta!le. La compta!ilité peut 2tre considérée comme autonome du fait de l'existence d'un lien direct entre le fait juridi"ue et l'écriture compta!le.
"a #om%ta&i!it semi-intgre -ans cette organisation "ui caractérise généralement les entreprises de tailles moyenne et grande, la compta!ilité est alimentée par des progiciels amont dédiés aux différents domaines fonctionnels de l'entreprise /ac)ats, ventes, immo!ilisations, paie, etc.0. 1es progiciels appartiennent souvent la m2me gamme logicielle, ce "ui facilite la génération automati"ue des écritures dans le progiciel de compta!ilité gr?ce aux fonctionnalités d'importation et d'exportation.
"a #om%ta&i!it intgre 1e type d'organisation, propre aux grandes entreprises, se caractérise souvent par une saisie uni"ue de l'information dans une !ase de données commune plusieurs modules couvrant les différents domain domaines es foncti fonctionn onnels els de l'entr l'entrepri eprise. se. Les process processus us sont sont généra généralem lement ent très très informa informatis tisés és et supportés par des progiciels de gestion intégrée.
"a %rise en #om%te de !'en,ironnement informatique informatique !ors de !'audit !ga! des #om%tes La prise en compte de l'environnement informati"ue lors de l'audit des comptes par les commissaires aux comptes ne doit pas 2tre confondue avec l'audit informati"ue d'un système d'information confié généralement des experts spécialisés. L'audit des comptes mené par un 1A1 est un audit externe nommé «audit légal des comptes », -epuis (((, le 1A1 doit, dans le cadre de sa mission, prendre en considération le système d'in d'infor forma matition on ains ainsii "ue "ue le stipu stipule le la norm norme e 1F11 1F11 <( <( rela relatitive ve l'au l'audi ditt réal réalis isé é dans dans un environnement informati"ue /voir encadré ci
**+(
DSCG : UE5 - Management des Systèmes d'Information
Audit
=ncadré *(. < =xtrait de la norme 1F11 <( relative l'audit réalisé dans un environnement informati"ue La norme 1F11 <( rappelle les principes fondamentaux suivants 9 •
•
l'existence d'un environnement informati"ue ne modifie pas l'o!jectif et l'étendue de la mission du commissaire aux comptes ; l'utilisat l'utilisation ion d'un ordinateur ordinateur modifie la saisie saisie et le processus de traitement traitement et de conservation conservation des données, et en consé"uence peut avoir une incidence sur les systèmes compta!le et de contr3le interne de l'entité ;
un envi enviro ronn nnem emen entt info inform rmati ati"u "ue e peut peut ains ainsii avoi avoirr une une inci incide denc nce e sur sur la démar démarc) c)e e du commissaire aux comptes lors de 9 la prise de connaissance des systèmes compta!le et de contr3le interne, la prise en compte du ris"ue in)érent et du ris"ue lié au contr3le, la mise en œuvre des procédures d'audit. La nature des ris"ues dans un environnement informati"ue est liée aux spécificités suivantes 9 •
◦ ◦ ◦
•
•
•
le man"ue de trace matérielle justifiant les opérations, "ui entrane un ris"ue plus important de non
le ris"ue d'erreurs et d'irrégularités, "ui peut provenir 9 d'erreurs )umaines dans la conception, la maintenance et la mise en œuvre plus importantes "ue dans un système manuel, d'utilisateurs non autorisés "ui accèdent, modifient, suppriment des données sans trace visi!le. 6ar ailleurs, la possi!ilité de détection de ces erreurs et irrégularités est affectée par le fait "u'elles sont souvent intégrées lors de la conception ou de la modification de programmes d'application ou de logiciels d'exploitation, et sont aussi difficilement identifia!les dans le temps. •
◦
◦
=n résumé, les ris"ues en milieu informatisé peuvent résulter de défaillances dans les activités informati"ues générales, telles "ue 9 •
le développement et la maintenance des programmes ;
•
l'exploitation du système ;
•
les traitements particuliers ;
•
la sécurité p)ysi"ue ;
•
les contr3les d'accès pour les utilisateurs privilégiés.
Le 1A1 ne peut ignorer ni les incidences des tec)nologies de l'information, ni les possi!ilités "ue ces tec)nologies représentent dans l'accomplissement de sa mission. $i le 1A1 ne dispose pas des compétences informati"ues nécessaires, la norme précise "u'il « détermine si des compétences informati"ues particulières sont nécessaires pour réaliser la mission». $i tel est le cas, il se fait assist assister er par un profes professio sionne nnell posséd possédant ant ces compét compétenc ences. es. %l peut peut 2tre un colla! colla!ora orateu teurr ou un spécialiste externe.
"e risque d'audit $elon les normes professionnelles %$A1A, le ris"ue d'audit est composé du ris"ue in)érent, du ris"ue de contr3le et du ris"ue de /non<0 détection Les composantes du ris"ue d'audit Ris+'e Jis"ue in)érent
Des-ri/ti*( 1'est un ris"ue indépendant de la mission d'audit, "ui apparat en fonction de la nature de l'entreprise, c'est<
*+(
DSCG : UE5 - Management des Systèmes d'Information
Jis"ue de contr3le
Audit
1'est le ris"ue "u'une erreur significative significative existe sans 2tre prévenue ou détectée temps par le système de contr3le interne. 1'est le ris"ue "u'un auditeur utilise une procédure de test inadé"uate et conclut "u'il n'y a pas d'erreurs alors "u'en réalité, il y en a.
Jis" Jis"ue ue de /non /non<0 <0 6ar exemple, le ris"ue de non
Jis"ue d'audit
1'est la com!inaison des catégories individuelles des ris"ues évaluée pour c)a"ue o!jectif spécifi"ue de contr3le. L'auditeur fera en sorte "ue le ris"ue d'audit soit limité un niveau suffisamment !as sur le domaine audité. 6our ce faire, il déploiera une approc)e d'audit en consé"uence.
L'opinion du 1A1 sur les comptes nécessite "u'il o!tienne l'assurance "ue les comptes ne comportent pas d'anomalies significatives. 1ette assurance doit 2tre la plus élevée possi!le mais non a!solue en raison des limites propres aux missions d'audit. &n parlera alors d' « assurance raisonna!le» sur les comptes. Y cet effet, il convient de réduire le ris"ue d'audit. Le ris"ue d'audit comprend deux composantes 9 le ris"ue d'anomalies significatives dans les comptes et le ris"ue de non
•
•
« Le ris"ue in)érent correspond la possi!ilité "ue, sans tenir compte du contr3le interne "ui pourrait exister dans l'entité, une anomalie significative se produise dans les comptes. Le ris"ue ris"ue lié au contr3l contr3le e corresp correspond ond au ris"ue ris"ue "u'une "u'une anomal anomalie ie signif significa icativ tive e ne soit soit ni prévenue ni détectée par le contr3le interne de l'entité et donc non corrigée en temps voulu. Le ris"ue de non
E$em%!es %ncidence sur le ris"ue in)érent $elon $elon les modali modalités tés d'ac)a d'ac)att ou de dévelo développem ppement ent des applic applicati ations ons inform informati ati"ues "ues d'une d'une entité, entité, l'incidence sur le ris"ue in)érent est 9 •
•
•
élevée si les ac)ats ou les développements sont lancés consécutivement des incidents majeurs ; modérée si les ac)ats ou les développements sont effectués selon un plan prédéfini selon des critères financiers et non pas tec)ni"ues ; fai!le si les ac)ats ou les développements sont réalisés selon un plan prééta!li tenant compte des !esoins des utilisateurs et des critères tec)ni"ues tels "ue l'indisponi!ilité des solutions existantes, les temps de réponse, etc. %ncidence sur le ris"ue lié au contr3le
$elon $elon la "uali "ualité té des interf interfaces aces relian reliantt les applic applicati ations ons d'un d'un système système d'infor d'informat mation ion d'une d'une entité entité,, l'incidence sur le ris"ue lié au contr3le est 9 •
•
•
•
élevée si les interfaces sont manuelles /ris"ue de non
*+(
DSCG : UE5 - Management des Systèmes d'Information
Audit
Le ris"ue le plus important pour le commissaire aux comptes est le ris"ue de nondétection. Lors"ue le 1A1 apprécie le ris"ue d'anomalies significatives /ris"ue in)érent et ris"ue lié au contr3le0 un niveau élevé, il met alors en œuvre des procédures d'audit complémentaires.
"a dmar#he d'audit du CCC
Les spécificités spécificités de l'environnem l'environnement ent informati"ue informati"ue sont prises prises en compte dans les principal principales es normes au cœur de la démarc)e d'audit proposée par la 1F11, savoir la connaissance de l'entité et de son environnement et évaluation du ris"ue d'anomalies significatives dans les comptes /F=6 *I0, et les procédures d'audit mises en œuvre l'issue de l'évaluation des ris"ues /F=6 (0. La F=6 *I stipule "ue lors de la prise de connaissance des éléments du contr3le interne pertinents pour pour l'audi l'audit, t, le commis commissai saire re aux compte comptess doit doit prendr prendre e notamm notamment ent connai connaissa ssance nce du système système d'information relatif l'éla!oration de l'information financière. Y ce titre, le 1A1 s'intéresse notamment 9 •
•
•
•
•
« aux catégories d'opérations ayant un caractère significatif pour les comptes pris dans leur ensem!le ; aux procédures, informatisées ou manuelles, "ui permettent d'initier, enregistrer, traiter ces opérations et de les traduire dans les comptes ; aux enregistrements compta!les correspondants, aussi !ien informatisés "ue manuels ; la fa>on dont sont traités les événements ponctuels, ponctuels, différents des opérations récurrentes, récurrentes, suscepti!les d'engendrer un ris"ue d'anomalies significatives ; au processus d'éla!oration des comptes, y compris des estimations compta!les significatives et des informations significatives fournies dans l'annexe des comptes» /Formes d'exercice professionnel )omologuées et code de déontologie, 1F11 H décem!re ((M0.
1es différents points sont pris en compte dès la planification de l'audit /F=6 ((0 "ui est formalisée, d'une part, dans un plan de mission "ui décrit la nature et l'étendue des contr3les mettre en œuvre, d'autre part dans un programme de travail. La prise en compte du $% dès le dé!ut de la démarc)e d'audit est importante pour le !on déroulement de la mission. =lle conduit le 1A1 apprécier 9 •
•
la stratégie informati"ue ; la fonction informati"ue et son importance dans l'entreprise en vue de déterminer l'impact de l'informati"ue sur la production des informations compta!les et financières ;
•
le pilotage du système d'information ;
•
les principales applications et l'arc)itecture mises en œuvre ;
*H+(
DSCG : UE5 - Management des Systèmes d'Information
Audit
•
la gestion de la sécurité informati"ue ;
•
les projets clés ;
•
les contraintes légales et réglementaires respecter.
La prise de connaissance de l'environnement informati"ue de l'entité permet au 1A1 de constituer un « dossier permanent» servant de !ase pour capitaliser des connaissances du cadre de référence pour la conduite des missions futures. Le 1A1 apprécie l'impact de l'environnement informati"ue sur le ris"ue in)érent et le ris"ue lié au contr3le afin d'évaluer le ris"ue d'anomalies significatives dans les comptes. 1ette étape de la mission comprend donc 9 •
l'incidence de l'environnement informati"ue sur le ris"ue in)érent. =lle s'apprécie au regard des élémen éléments ts suivan suivants ts 9 la concept conception ion et l'ac"u l'ac"uisi isitio tion n des soluti solutions ons informa informati" ti"ues ues,, la distri!ution et le support informati"ue, la gestion de la sécurité et la gestion des projets inform informati ati"ues "ues.. L'envi L'environ ronnem nement ent inform informati ati"ue "ue d'une d'une entrep entrepris rise e peut peut entra entraner ner un ris"ue ris"ue in)érent élevé et avoir une consé"uence terme sur la continuité d'exploitation.
#ne entreprise spécialisée dans l'e
•
l'incidence de l'environnement informati"ue sur le ris"ue lié au contr3le. =lle s'apprécie par l'étude des processus et des applications jouant un r3le significatif dans la production des comptes de l'entreprise. L'identification des contr3les réaliser dépend des résultats o!tenus dans dans la p)as p)ase e « &rie &rienta ntatition on et plan planifific icati ation on de la miss missio ion» n» et l'ét l'étap ape e « %nci %ncide denc nce e de l'environnement informati"ue sur le ris"ue in)érent ». l'étude des interfaces peut mettre en évidence un ris"ue élevé en termes d'ex)austivité de l'information compta!le. -es contr3les su!stantifs seront alors nécessaires dans la p)ase « &!tent &!tention ion d'élém d'élément entss pro!an pro!ants» ts» pour pour "uanti "uantifie fierr les donnée donnéess non prises prises en compte compte en compta!ilité et demander l'entreprise de passer des écritures correctrices.
La prem premiè ière re année année du mand mandat at,, la pris prise e en comp compte te de l'env l'envir iron onne neme ment nt info inform rmati ati"u "ue e est très très consommatrice en temps mais les années suivantes, sous réserve "u'aucune modification majeure ne vienne impacter le $%, le poids relatif de ces travaux sera en nette diminution. $elo $elon n la F=6 F=6 (, (, lors lors"u "u'i'ill a pris pris conn connai aiss ssan ance ce de l'en l'entitité té et éval évalué ué le ris" ris"ue ue d'an d'anom omal alie iess signi signific ficati atives ves dans les comptes comptes,, le commis commissai saire re aux comptes comptes adapte adapte son approc) approc)e e généra générale le et con>oit et met en œuvre des procédures d'audit "ui lui serviront de !ase pour se forger une opinion sur les comptes. %l détermine alors les contr3les de su!stance mener lors"u'il a déterminé un ris"ue in)érent élevé. Le 1A1 peut appli"uer des procédures d'audit manuelles, des tec)ni"ues assistées par ordinateur ou com!iner les deux pour rassem!ler suffisamment d'éléments pro!ants. Anomalies Anomalies liées aux contr3les contr3les applicatifs, applicatifs, identifiée identifiéess lors de l'évaluati l'évaluation on des systèmes compta!le compta!le et de contr3le interne, "ui pourraient avoir une incidence sur l'opinion du 1A1 •
•
•
•
•
&pérations compta!les ou montants significatifs non transmis par une interface entre une application de gestion commerciale et un progiciel de compta!ilité. %dentification d'une anomalie significative lors de l'analyse d'un fic)ier informati"ue issu d'un 6@% /dépréciation calculée partir d'une !ase erronée, erreur de valorisation des stoc4s d'en< cours de production, etc.0. A!sence ou erreur dans la mise jour du référentiel de l'application de paie ou du module de paie d'un 6@%. 1ontr3le interne déficient ou a!sent, au sein d'une application "ui gère un processus majeur de l'entreprise ou d'un 6@% "ui supporte les processus criti"ues d'une entité. Kise en évidence d'irrégularités ou d'inexactitudes dans la compta!ilisation des ac)ats.
"es su%%orts o%rationne!s Les supports opérationnels sont des modèles de feuilles de travail permettant de mettre en œuvre la mét)odologie.
*I+(
DSCG : UE5 - Management des Systèmes d'Information
Audit
*rie(tati*( *rie(tati*( et /la(i)i-ati*( /la(i)i-ati*( de la missi*( 9 •
•
prise de connaissance de lVinformati"ue dans lVentreprise 9 modèle de ta!leau permettant de déterminer lVincidence sur la fia!ilité du système dVinformation, de la stratégie informati"ue, de la fonction informati"ue, de lVimportance de lVinformati"ue dans lVentreprise, de la complexité du système dVinformation, descri descriptio ption n du système système dVinfo dVinforma rmatio tion n de lVentre lVentrepri prise se 9 cartogr cartograp) ap)ies ies dVappl dVapplic icati ations ons et tec)ni"ues, ta!leaux dVinventaire correspondants,
0al'ati*( 0al'ati*( des ris+'es et *bte(ti*( d20l0me(ts d20l0me(ts /r*ba(ts 9 •
•
•
•
incide incidence nce de lVenv lVenviro ironnem nnement ent inform informati ati"ue "ue sur le ris"ue ris"ue in)ére in)érent nt 9 modèle modèle de ta!lea ta!leau u permettant de déterminer lVincidence sur le ris"ue in)érent de la conception et lVac"uisition des solutions informati"ues, la distri!ution et le support informati"ue, la gestion de la sécurité, la gestion des projets informati"ues, formalisation des processus 9 utiliseW les K&:, diagramme d'activités #KL ou le G6KF ; incidence de lVenvironnement informati"ue sur le ris"ue lié au contr3le 9 modèle de ta!leau permettant de déterminer lVincidence sur le ris"ue lié au contr3le de c)a"ue processus, partir des assertions sous
"'audit assist %ar ordinateur 5ace au volume croissant des données et la complexité des $%1 utilisés par les entreprises, l'auditeur doit se doter d'outils pour automatiser les travaux d'audit pour 9 •
•
•
faciliter des contr3les non réalisa!les manuellement et o!tenir une assurance renforcée ; permet permettre tre des contr3l contr3les es ex)aus ex)austif tifss sur de gros gros volume volumess de donnée donnéess pour pour dispos disposer er de résultats pertinents ; o!tenir des niveaux d'analyse de données plus détaillés "ue ceux offerts par les outils utilisés par l'entité auditée.
Les tec)ni"ues d'audit assisté par ordinateur proposées peuvent 2tre utilisées tant dans l'évaluation des ris"ues et dans l'o!tention d'éléments pro!ants des missions d'audit légal des comptes "ue pour des missions contractuelles.
"es ta%es de !'audit assist %ar ordinateur L'audit assisté par ordinateur dé!ute parfois lors de l'évaluation des ris"ues et essentiellement, lors de l'o!tention d'éléments pro!ants. Les étapes présentées ci
.ta%e / - 0#u%ration des fi#hiers informatiques Après la prise de connaissance de l'entité et de son environnement et la revue générale du système d'information, la conduite de la revue d'application permet d'évaluer 9 •
•
•
la conform conformité ité du paramé paramétrag trage e et des traiteme traitements nts applic applicati atifs fs avec avec les règles règles de gestio gestion n arr2tées par l'entité et les règles légales en vigueur ; l'intégration ou l'interfa>age des applications ; l'efficacité des contr3les programmés par l'entité auditée permettant d'avoir une assurance satisfaisante sur l'ex)austivité, la réalité, l'intégrité, la confidentialité et la disponi!ilité des données traitées.
Après ces activités, le 1A1 9 •
identifie les ris"ues ;
•
définit les données exploiter /contenues dans des des fic)iers ou des !ases !ases de données0 ;
•
récu récupè père re les les fic)i fic)iers ers et les les !ase !asess de donn donnée éess néce nécess ssai aires res la réal réalis isat atio ion n des des tests tests informati"ues utiles l'audit, dans un format et sur un support adaptés pour la récupération
*+(
DSCG : UE5 - Management des Systèmes d'Information
Audit
dans l'environnement informati"ue de l'auditeur. 1ompte tenu de la diversité des tec)nologies et des formats existants ainsi "ue du volume des données, la récupération n'est pas aisée.
.ta%e 1 - 2a!idation des fi#hiers La valida validatio tion n des fic)ie fic)iers rs import importés és par l'audi l'auditeu teurr nécess nécessite ite de rappro rapproc)e c)err ces fic)ie fic)iers rs avec avec la compta!ilit compta!ilité é de l'entité afin de s'assurer "ue les données récupérées récupérées n'ont su!i aucune modification modification lors de l'extraction et de l'intégration dans l'environnement informati"ue de l'auditeur.
.ta%e 3 - 0a!isation des tests #ne fois le contr3le des fic)iers réalisé, les tests peuvent 2tre lancés. %ls permettent l'auditeur, d'une part, de confirmer, sur la !ase d'éléments tangi!les, ex)austifs et incontesta!les, ses évaluations et, d'autre part, d'accéder l'audit de systèmes complexes de traitement, non contr3la!les sans le recours des outils informati"ues. =n raison de leur importance, il est essentiel "ue les tests réalisés puissent 2tre reproduits ultérieurement et "ue toutes les étapes intermédiaires soient sauvegardées. %l est recommandé "ue le logiciel de traitement des données génère un journal des tests effectués. 1ette étape a!outit la constitution d'un dossier contenant les les résultats des tests. %ls peuvent prendre des formes varia!les en fonction des o!jectifs, o!jectifs, de l'étendue l'étendue des tests réalisés réalisés et de l'exploitat l'exploitation ion "ui en sera faite.
.ta%e 4 - Ana!yse et synthèse 1ette dernière étape consiste analyser et interpréter les résultats des tests. #n rapport de synt)èse est alors rédigé, décrivant notamment les tests réalisés et les recommandations "ui en découlent.
"es te#hniques d'audit assist %ar ordinateur AA6 *Com%uter *Com%uter Assisted Audit e#hniques CAAs+ "es te#hniques d'audit %on#tue! L'audi L'auditt assist assisté é par ordina ordinateur teur mo!il mo!ilise ise princi principal paleme ement nt des logici logiciels els de traite traitement ment des donnée donnéess permettant permettant l'interrogation l'interrogation de fic)iers ou de !ases de données données et la réalisation réalisation de différents différents types de tests, dont les plus fré"uemment utilisés en audit sont 9 les tests de totalisation ; les tests de calculs ; les tests de comparaison de fic)iers ou de !ases de données ; les tests d'analyse par stratification, "ui permettent de détecter des anomalies ; les tests d'extraction, afin d'analyser des populations spécifi"ues sur des com!inaisons de critères définis. • • • • •
1ontr3les su!stantifs •
•
•
•
La vérification de calculs 9 calculs des dotations aux amortissements, du cumul des amortissements et de la valeur nette compta!le partir des données issues du logiciel de gestion des immo!ilisations pour vérifier la valeur !rute, le cumul des amortissements et la valeur nette compta!le des immo!ilisations en compta!ilité. La comparaison de fic)iers et l'extraction d'anomalies 9 comparaison des fic)iers des coOts de revient et des prix de vente d'éléments en stoc4 pour déterminer les dépréciations nécessaires. L'extraction de données contenues dans des fic)iers ou des !ases de données selon différents critères 9 valeurs monétaires supérieures au seuil de I ((( Z, écritures passées après la date du M+(+F. Le tri des données contenues contenues dans des fic)iers ou des !ases de données selon différents critères 9 ordre croissant des valeurs monétaires, écritures passées sur la période du (*+(* +F au *+*+F.
1es différent différentss types types de tests tests contri contri!ue !uent nt vérifi vérifier er "ue les traitem traitement entss des données données dans dans les applications des entités auditées sont réalisés selon les règles compta!les et fiscales en vigueur. L'auditeur dispose également d'un ensem!le d'outils informati"ues répondant c)acune des p)ases de la mission d'audit
*7+(
DSCG : UE5 - Management des Systèmes d'Information
Audit
Les outils informati"ues dédiés c)a"ue p)ase de la mission d'audit $3ase
O'tils
Ptude préliminaire
&utils de re"u2tes et collecte d'information, outils d'éditions, outils d'accès %nternet, etc.
1onduite de mission
&utils de restitution &utils de gestion documentaire &utils de planification &utils de gestion de papier de travail
:ravail terrain
&utils de détection d'anomalies, de fraudes, etc., !asés sur l'analyse de données nom!reuses ou des tec)ni"ues d'éc)antillonnage &utils de calculs et de comparaisons pour réaliser des tests analyti"ues et statisti"ues &utils pour rec)erc)er et croiser des informations =tc.
BBB.afai.fr %l existe également des outils plus spécialisés "ui permettent de réaliser des tests d'audit en milieu informatisé, généralement la disposition des auditeurs informati"ues. Les outils informati"ues dédiés aux tests d'audit en milieu informatisé
T4/e de l*5i-iel
Des-ri/ti*(
@énérateur de données de tests
6réparation automati"ue de fic)iers de tests
#tilitaires standard
Livrés avec les systèmes d'exploitation, pour extraction+ fusion de fic)iers, tris de données, etc.
Logiciel de gestion
Logiciel vérifiant l'intégrité et la pertinence des modifications des programmes
BBB.afai.fr L'ensem!le des outils logiciels utilisa!les dans les p)ases d'audit constitue les 1AA:s /1omputer Assisted Audit :ec)ni"ues0.
D'un audit %on#tue! 7 un audit #ontinu
Les tec)ni tec)ni"ue "uess d'audi d'auditt assist assisté é par ordina ordinateu teurr permet permettent tent d'envis d'envisage agerr un glisse glissement ment d'un d'un audit audit ponctuel un audit continu "ui améliorerait la capacité des auditeurs internes et externes répondre aux o!ligations relatives au contr3le interne étant donné "u'il comporte essentiellement les deux volets suivants 9 •
•
l'évaluation continue du contr3le, "ui se focalise sur la détection au plus t3t des déficiences de contr3le ; l'évaluation continue des ris"ues, "ui met en lumière les processus ou les systèmes "ui présentent un niveau de ris"ue mal appré)endé par le système de contr3les permanents.
$elon l'A5%, « l'audit continu est une démarc)e d'audit caractérisée par l'usage intensif de 1AA:s, exercé exercéss avec avec une fré"uence fré"uence propor proportio tionné nnée e aux événem événements ents ou ris"ue ris"uess traiter traiter ». 6lusi 6lusieurs eurs approc)es d'audit continu assisté par ordinateur existent
*M+(
DSCG : UE5 - Management des Systèmes d'Information
Audit
Les différentes approc)es d'audit continu assisté par ordinateur
A//r*-3e
Des-ri/ti*(
$1AJ5 /$ystems 1ontrol Audit 1onsiste 1onsiste introdu introduire ire des logicie logiciels ls d'audi d'auditt écrits écrits spécial spécialeme ement nt l'intér l'intérieur ieur du système système JevieB 5ile0 et =AK d'applications de l'entreprise, de sorte "ue les systèmes applicatifs soient « pilotés» de /=m!edded Audit Kodules0 manière sélective. $FA6$[&:
1onsiste prendre des images tout au long du « c)emin de traitement» /processing pat)0 suivi par une transaction. &n enregistre les évolutions de données sélectionnées, pour une révision ultérieure prati"uée par l'auditeur.
A#-%: [&&\$
6arties de logiciels em!ar"ués sur des systèmes applicatifs, pour fonctionner comme des drapeaux drapeaux rouges. rouges. %ls doivent doivent permett permettre re l'audi l'auditeur teur d'agir avant "u'une "u'une erreur erreur ou une irrégularité ne soit allée trop loin.
%:5 /%ntegrated :est 5aci+ities0
1ette tec)ni"ue consiste introduire des entités fictives dans les fic)iers de production. L'auditeur L'auditeur peut demander au système de travailler soit avec les programmes programmes de production, production, soit avec les programmes de test, afin "ue les programmes mettent jour les entités fictives.
1%$ /1ontinuous %ntermittent $imulation0
Le système déclenc)e déclenc)e une simulation simulation d'exécution d'instructions d'instructions de l'applicatio l'application, n, afin de and s'assurer de la fia!ilité de la transaction. Le déclenc)ement est fait sur certains critères prédéterminés /montant ou autre0. $inon, le simulateur attend jus"u' la proc)aine transaction "ui présentera les critères voulus.
BBB.afai.fr
"es a,antages de !'audit assist %ar ordinateur Les logiciels de traitement des données sont des outils plus puissants "ue les outils !ureauti"ues standard comme les ta!leurs, par exemple. Leur recours permet de traiter rapidement des volumes de données importants, ce "ui est source de gains de productivité. -e plus, partir des données intégr intégrées ées dans dans ces logici logiciels els,, il est possi! possi!le le de paramé paramétrer trer des re"u2t re"u2tes es facilit facilitant ant la rec)er rec)erc)e c)e d'anomalies, les impacts de c)angement de mét)odes compta!les, etc. -es contr3les plus importants peuvent donc 2tre conduits partir de ces solutions, ce "ui permet de fia!iliser les résultats o!tenus et de limiter les ris"ues liés aux missions d'audit. -e plus, ces logiciels respectent des principes renfor>ant la "ualité des travaux conduits comme l'intangi!ilité des données et la conservation des )istori"ues.
"es %rogi#ie!s d'aide 7 !a r,ision $i de nom!reux 1A1 travaillent encore sur ta!leur, la profession s'appuie de plus en plus sur des progiciels spécialisés dans la révision et l'audit des comptes dont la portée des fonctionnalités est plus large "ue les logiciels de traitement des données étudiés. -ifférents progiciels sont disponi!les sur le marc)é 9 JevisAudit de la société @est &n Line, J=]&J con>u par For!ert Lecomte, =xpert< 1ompta!le et 1ommissaire aux 1omptes, etc.
"'organisation des %rogi#ie!s d'aide 7 !a r,ision Les logici logiciels els de révisi révision on et d'audi d'auditt sont sont généra généralem lement ent structu structurés rés comme comme le progic progiciel iel JevisA JevisAudi uditt /BBB.revisaudit.fr0 9 •
•
•
« le doss dossie ierr perm perman anen entt est est le poin pointt d'en d'entr trée ée du doss dossie ierr clie client nt.. %l conti contien entt toute toutess les les informations générales et spécifi"ues du client telles "ue la liste des associés, des procès< ver!aux, les conventions et contrats, les a!onnements, etc. %l permet de créer et de consulter les dossiers annuels ; le dossier d'organisation /ou contr3le interne0 permet d'apprécier l'organisation interne de l'entité par cycles, au travers de différents outils 9 un descriptif de l'entité, un "uestionnaire complet classé par assertions, un formulaire de répartition des t?c)es, un formulaire de tests de conformité. Les principales fonctions de l'entité contr3lée sont ainsi passées en revue avec les différentes fonctionnalités proposées ; le dossier de contr3le 1A1 permet de réaliser l'approc)e par les ris"ues, de !?tir le plan de mission, de vérifier la régularité compta!le et juridi"ue, de faire la revue du dossier et de réaliser toute la partie «contr3les spécifi"ues» /contr3les de l'inventaire, de l'annexe, du rapport de gestion0. L'auditeur s'appuie sur les fonctionnalités proposées "ui permettent de s'assurer "u'aucun élément n'a été ou!lié. L'outil informati"ue le renseigne également sur l'avancement de la mission ;
*+(
DSCG : UE5 - Management des Systèmes d'Information
•
Audit
le dossie dossierr généra générall /dossie /dossierr annuel annuel00 permet permet de visual visualise iserr la !alanc !alance e F+F<* F+F<* importé importée e du système d'information du client ou du logiciel de compta!ilité du ca!inet. %l stoc4e, en plus de la !alance 9 le journal d'&-, le !ilan et le compte de résultat, les soldes intermédiaires de gestion, les principaux ratios, etc. ; le dossier de révision comporte des feuilles de révision préformatées, en liaison avec la !alance !alance et le journal d'&-, "ui permettent de réaliser une révision révision dynami"ue et ex)austive. ex)austive. 1)a"ue 1)a"ue cycle du dossier de révision révision présente un programme de travail propre propre au cycle, cycle, une feuille feuille présentant l'ensem!le l'ensem!le des comptes retrouvés retrouvés dans le cycle ainsi "ue de nom!reuses feuilles nécessaires la révision du cycle. La majorité des feuilles dispose d'un assistant de travail, "ui permet, entre autres c)oses 9 d'effectuer des extractions de compte ou d'écritures spécifi"ues, d'automatiser certains calculs, de récupérer les feuilles F<*, le contr3le des stoc4s, le contr3le des payes, etc.» ▪ ▪ ▪ ▪ ▪
•
▪ ▪ ▪ ▪ ▪ ▪
:outefois, l'organisation des logiciels de révision et d'audit peut différer, mais des fonctionnalités identi"ues sont proposées.
"es a,antages des %rogi#ie!s d'aide 7 !a r,ision Les logiciels de révision et d'audit présentent de nom!reux avantages. %ls permettent notamment une standardisation et une rationalisation des missions de révision par une automatisation des t?c)es répétitives et un pré
(+(