DSCG : UE5 - Management des Systèmes d'information

Dimension: px
Commencer à balayer dès la page:

Download "DSCG : UE5 - Management des Systèmes d'information"

Transcription

1 Table des matières CARTE HEURISTIQUE... 1 GÉNÉRALITÉS... 1 LES MISSIONS D'AUDIT... 1 Les contextes d'audit...2 L'audit des systèmes d'information...2 Les différents types de missions d'audit...2 La démarche d'audit...3 LE CADRE LÉGAL ET NORMATIF DE L'AUDIT...5 Les normes et les référentiels...5 Le référentiel CobiT...6 Les normes professionnelles internationales...7 Le contrôle interne...8 LE CONTRÔLE DES COMPTES DES ENTITÉS INFORMATISÉES...11 Le système d'information comptable (SIC)...11 La prise en compte de l'environnement informatique lors de l'audit légal des comptes...11 Le risque d'audit...12 LA DÉMARCHE D'AUDIT DU CNCC...14 Les supports opérationnels...15 L'AUDIT ASSISTÉ PAR ORDINATEUR...16 Les étapes de l'audit assisté par ordinateur...16 Les techniques d'audit assisté par ordinateur, TAAO (Computer Assisted Techniques, CAATs)...17 Les progiciels d'aide à la révision...19 Les avantages des progiciels d'aide à la révision...20 Carte heuristique Généralités Après avoir longtemps été cantonné au domaine financier, le terme «audit» s'est maintenant largement diffusé et concerne notamment les systèmes d'information. Les enjeux de la mise en œuvre d'un audit sont multiples et répondent à des problématiques de mise en conformité et de prévention des risques. Un certain nombre de lois ont eu pour effet de généraliser et de systématiser la pratique de l'audit des systèmes d'information pour contribuer au rétablissement de la confiance entre les acteurs de l'économie. L'audit des SI bénéficie d'un cadre légal et réglementaire tant au niveau national qu'au niveau international, et dispose d'outils informatiques permettant, d'une part, de traiter les données issues des SI et, d'autre part, de faciliter le suivi et la réalisation d'une mission complexe et documentée. Les missions d'audit Selon la norme ISO 9000, l'audit est un «processus méthodique, indépendant et documenté permettant de recueillir des informations objectives pour déterminer dans quelle mesure les pratiques 1/20

2 observées satisfont aux référentiels du domaine concerné», L'auditeur se forge une opinion qu'il consigne ensuite dans un rapport. Les contextes d'audit L'audit en tant que mécanisme de gouvernance occupe une place croissante dans un contexte de regroupement d'entreprise et de développement des fonds d'investissement. De plus en plus, les entreprises cherchent à maîtriser l'incertitude par la conduite d'audits fondés sur une approche par les risques. Ainsi, des audits sont réalisés à la demande des dirigeants des organisations (direction générale, mais également directions opérationnelles) auprès de leur service d'audit interne ou auprès d'auditeurs externes. Ce peut être, par exemple, un audit de conformité pour anticiper un éventuel contrôle fiscal par un diagnostic du système d'information comptable. Des audits sont également mandatés par des propriétaires pour contrôler leurs mandataires (les dirigeants) et réduire l'asymétrie d'information entre les différents «stakeholders» ou «parties prenantes». Ces audits sont conduits en sus de l'audit légal des comptes réalisé par les commissaires aux comptes en France. Par ailleurs, des audits peuvent être menés dans le cadre d'une expertise judiciaire, sur la requête d'un tribunal (juridictions civiles, pénales, etc.), voire à la demande d'une autorité administrative. Les contextes d'audit sont variés et demandent de plus en plus un audit des systèmes d'information qui se retrouve à la croisée des préoccupations des dirigeants et des différentes parties prenantes qui ont des objectifs économiques et financiers nécessitant une maîtrise accrue du risque. L'audit des systèmes d'information Le concept d'audit des systèmes d'information est apparu au cours des années Il comprend l'examen et l'évaluation des processus, des systèmes de traitement automatisé de l'information et des interfaces qui les relient ainsi que des procédures connexes non automatisées, avec un ensemble de règles en vigueur (fiscales, juridiques, techniques, etc.). Il vise à mettre en évidence les risques relatifs aux processus supportés par le système d'information et ceux liés à l'infrastructure technique (adéquation de l'infrastructure avec les besoins de l'entité, sécurité physique, logique et applicative, pérennité du SI, etc.). L'audit des systèmes d'information couvre un périmètre plus large que l'audit informatique dans la mesure où il s'intéresse aux aspects organisationnels et fonctionnels liés au SI, en plus des aspects purement techniques. L'audit des systèmes d'information peut être décomposé en deux approches : l'évaluation de la fonction informatique, pour laquelle l'auditeur s'appuie principalement sur les méthodes et référentiels existants dans ce domaine (essentiellement le CobiT). La fonction«informatique» de l'entreprise est à prendre en compte en termes de séparation des fonctions, gestion des mouvements de personnel, gestion des projets, fiabilité des processus informatiques (pilotage, développement, maintenance, exploitation, sécurité du SI), etc. ; l'évaluation de la composante «système d'information» des processus opérationnels, pour laquelle l'auditeur s'appuiera sur des programmes de travail spécifiques. Ceux-ci sont induits par l'appréciation des risques généraux portant sur le processus considéré et sont fonction du degré d'informatisation du processus et du type d'outil informatique utilisé. Selon Serge Yablonsky, président d'honneur de l'afai (Association française de l'audit et du conseil informatiques) et directeur du cabinet d'audit Moore Stephens SYC : «l'audit de la fonction informatique basé en général sur le référentiel CobiT peut couvrir l'audit de la stratégie, de la tactique, de l'opérationnel et de management de la fonction, tandis que l'audit des applications avec les processus métiers couvrira, par exemple dans le cas de la gestion commerciale, la validation des données, la fiabilité et la réactivité des traitements ou encore la conformité réglementaire.» (Source : Les différents types de missions d'audit Les missions d'audit peuvent être de plusieurs types : interne, externe et stratégique de la fonction informatique. Elles se caractérisent également : par la nature du lien entre l'auditeur et l'audité, avec l'appartenance ou la non appartenance à l'entité auditée ; par la nature du cadre juridique de l'audit, avec le respect d'obligations légales et de normes professionnelles ; par la qualité du mandataire de la mission et du contexte d'audit ; 2/20

3 etc. L'audit interne La mission d'audit interne est diligentée par la direction de l'entité. Selon l'afai (Association française de l'audit et du conseil informatiques), «l'audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité». Cette activité indépendante est exécutée par le département d'audit interne. L'audit externe La mission d'audit externe est réalisée par des personnes extérieures à l'organisation : cabinets d'experts-comptables ou professionnels spécialisés dans un domaine précis (audit environnemental, audit de sécurité, etc.). Elle peut tenir à plusieurs raisons différentes : soit elle répond aux mêmes objectifs qu'une mission d'audit interne et, dans ce cas, sa justification tient à l'absence d'un département d'audit interne ou à l'absence de compétences au sein du département d'audit interne pour l'évaluation des SI, voire à la volonté de confier la mission à un tiers indépendant de l'entité auditée ; soit elle répond à d'autres contextes d'audit et elle est éventuellement diligentée par d'autres acteurs que la direction de l'entité. On peut citer, par exemple, les missions réalisées par les commissaires aux comptes (CAC) dans le cadre de leurs mandats d'audit. Dans ce cas, la mission d'audit a uniquement pour objectifs de renseigner les CAC sur le niveau de contrôle interne existant dans l'entreprise sur le processus informatique et d'évaluer les risques existants pouvant impacter leur opinion. L'audit stratégique de la fonction informatique L'audit stratégique de la fonction informatique vise à vérifier son alignement sur la stratégie à long terme de l'entité. Il consiste à étudier l'adéquation de la fonction informatique aux besoins et aux enjeux de l'entreprise, le respect du principe de séparation des tâches et le niveau de dépendance de l'entreprise vis-à-vis de prestataires externes. La démarche d'audit La démarche d'audit se déroule en plusieurs phases aboutissant à l'élaboration d'un rapport d'audit, véritable outil de communication entre le ou les commanditaires de l'audit, les acteurs de l'entité auditée et les auditeurs. Les phases d'une mission d'audit La démarche d'audit retenue par le Guide d'audit des systèmes d'information de l'afai s'appuie sur trois phases, dont les activités sont détaillées dans la figure 10.1 : planification, cadrage et exécution. La démarche d'audit 3/20

4 L'auditeur planifie, dans un premier temps, les différents aspects de la mission concourant à l'atteinte des objectifs initialement fixés. Ces objectifs sont ensuite détaillés dans la phase de cadrage puis la phase d'exécution de l'audit aboutit à la formulation de conclusions et de recommandations consignées dans un rapport d'audit. Le rapport d'audit Toute mission d'audit, et donc d'audit des systèmes d'information, se traduit par un rapport d'audit, qui constitue la pièce maîtresse de la mission d'audit. Selon les normes professionnelles de l'isaca (Information Systems and Control Association), «à l'issue de son travail, l'auditeur des SI doit fournir un rapport sous une forme adéquate. Le rapport doit préciser l'entreprise, les destinataires du document et les éventuelles restrictions à sa diffusion. [... ] Le rapport doit spécifier la portée, les objectifs, la période couverte, la nature, la durée et l'ampleur de l'audit réalisé. [... ] Le rapport doit spécifier les conclusions et recommandations de l'audit, ainsi que les éventuelles limitations de portée, réserves ou qualifications jugées opportunes par l'auditeur des SI. [... ] L'auditeur des SI doit collecter des éléments probants suffisants et pertinents pour corroborer les résultats rapportés. [... ] Lors de son édition, le rapport de l'auditeur des SI doit être signé, daté et distribué conformément aux termes de la charte d'audit ou de la lettre de mission» (source : Le rapport d'audit est un outil stratégique, support des améliorations du SI. Les conseils pour piloter un audit du système d'information Selon Dominique Filippone (JDN Solutions, 10 conseils pour piloter son audit des systèmes d'information, lorsqu'une entreprise décide ou est contrainte de réaliser un audit, elle doit se poser des questions sur la façon de le mener à bien et d'appréhender avec le plus d'objectivité possible les résultats de l'audit et suivre les conseils suivants : 1. Bien délimiter le champ d'investigation et les enjeux de l'audit. 2. Se préparer à la procédure d'audit. 3. Séparer le commanditaire de l'entité en charge de l'audit. L'audit doit être mené par des intervenants indépendants de la DSI et mandatés par la direction générale. Cependant, des audits seront commandités spécifiquement par la DSI lorsque les enjeux seront typiquement liés à ses processus internes (suivi de la production, suivi de la qualité de service... ). 4. Se doter d'une direction de l'audit interne, oui, mais ce n'est pas sans poser problème en raison de l'importance des ressources à mobiliser et de la place de cette direction dans l'organisation. 4/20

5 5. Recourir à des référentiels solides comme ISO, CobiT (Control Objectives for Information and related Technology) dans le cadre de processus transverses, CMMI (Capability Maturity Model Integration), dans celui du pilotage de projet, ITIL (Information Technology Infrastructure Library), pour les services, etc. 6. S'entendre sur le référentiel choisi. Les parties prenantes concernées par les enjeux de l'audit doivent avoir une vision sur le référentiel choisi, ainsi la clarté de la démarche d'audit sera appréhendée dans le temps. 7. Préparer les pièces indispensables à l'audit et en faciliter l'accès : le cahier des charges, qui a pour vocation à contractualiser les besoins d'une entité envers un tiers, mais également le plan qualité, les tableaux de bord et indicateurs de performance, la gestion des problèmes récurrents, etc. 8. Confier son audit à une équipe pluridisciplinaire et indépendante. 9. Choisir la fréquence et le temps de déroulement de l'audit. 10. Ne pas sous-estimer les limites d'un audit.» Les risques de ne pas identifier l'ensemble des faiblesses et menaces d'un processus ou d'un applicatif ne sont pas nuls. Parmi les contraintes et les limites potentielles : un temps imparti à l'audit restreint ou une appréciation biaisée du contexte fonctionnel et métier de l'organisation étudiée. Enfin, un léger réajustement technique ou organisationnel exercé a posteriori sur le SI peut remettre en cause tout ou partie des résultats d'un audit. Le cadre légal et normatif de l'audit L'audit des systèmes d'information est encadré par des normes et référentiels spécifiques, internationaux et nationaux, qui servent de guide dans les pratiques des auditeurs internes et externes. Toutefois, le cadre de référence de l'audit retenu par les grandes entreprises est souvent rapproché du cadre proposé par l'autorité des marchés financiers (AMF) au titre du contrôle interne. En effet, le législateur a obligé les grandes entreprises à plus de transparence et à disposer de systèmes d'information à la hauteur de ces enjeux par la loi Sarbanes-Oxley (SOX : 29 août 2002) aux États-Unis, les lois NRE (nouvelles réglementations économiques, 15 mai 2001), LSF (loi de sécurité financière, 1er août 2003) et la loi pour la confiance et la modernisation de l'économie (<< loi Breton», 26 juillet 2005) en France. Ce nouveau socle réglementaire répond à un enjeu majeur : rétablir la confiance entre les différents acteurs de l'économie. Nous ne développerons ici que les renforcements des obligations des sociétés françaises en matière de contrôle interne. Les normes et les référentiels La spécificité de l'audit des systèmes d'information et les compétences requises pour accomplir des audits exigent des normes et des référentiels qui s'appliquent expressément à l'audit des SI. Il existe des normes professionnelles internationales et nationales, et des référentiels relatifs à l'audit des entités informatisées. Ils sont élaborés par des organisations internationales qui ont le plus souvent des correspondants nationaux. Les principaux organismes, normes et référentiels sont présentés dans le tableau suivant. Il ne s'agit pas d'une liste exhaustive. interne informatique externe Organismes internationaux UA, Institute of Internal ors (www.theüa.org) ISACA, Information Systems and Control Association (www.isaca.org) IFAC, International Federation of Accountants (www.ifac.org) Normes ou référentiels internationaux Normes internationales pour la pratique professionnelle de l'audit CobiT (téléchargement depuis le site et divers normes et standards ISA, International Standards on ing ISQC1, International Standard on Quality Control Organisations nationales IFACI, Institut français des auditeurs internes (www.ifaci.com) AFAI, Association française de l'audit et du conseil informatiques (www.afai.fr) CNCC, Compagnie nationale des commis saires aux comptes (www. cncc.fr) 5/20

6 interne informatique externe Normes nationales NEP, normes d'exercice professionnel L'objectif des normes est d'informer les auditeurs du niveau minimal acceptable pour répondre aux responsabilités professionnelles et les autres parties des attentes de la profession d'audit. Le référentiel CobiT La démarche d'audit du système d'information s'appuie sur le référentiel CobiT (Control Objectives for Information and related Technology - Objectifs de contrôle de l'information et des technologies associées) qui fournit les «bonnes pratiques» pour l'appréciation des risques informatiques et propose des standards de contrôle selon le cadre présenté ci-dessous : Cadre d'analyse des risques illustré par CobiT Le modèle débute par une valorisation des biens. Dans CobiT, ces biens sont les informations - et naturellement l'ensemble des ressources associées - dont les critères d'efficacité, de disponibilité ou d'intégrité, etc., sont essentiels pour atteindre les objectifs de l'entreprise. L'étape suivante est l'analyse de vulnérabilité des processus, qui permet d'identifier les faiblesses par les critères d'information ; un processus peut par exemple être vulnérable à la perte d'intégrité. L'analyse des menaces, étape suivante, doit permettre de lister l'ensemble des menaces et de voir quelles vulnérabilités elles pourraient exploiter. L'analyse des risques va combiner la probabilité de la menace, le degré de vulnérabilité et le niveau de sévérité de l'impact. Il faut alors réaliser l'analyse du contrôle en exhibant une série de contre-mesures et en évaluant leur efficacité face aux risques. Un plan d'actions est alors mis en œuvre et le cycle peut recommencer. L'utilisation du référentiel CobiT est rassurante pour l'auditeur et l'audité car elle renvoie à une démarche acceptée et validée au niveau international. Elle permet à l'auditeur : d'adopter une démarche efficace en se référant, pour la construction et l'application des programmes de travail, à un ensemble reconnu de bonnes pratiques ; de structurer la documentation de travail et de la mission ; de prendre en compte tous les risques (exhaustivité) ; de faciliter les échanges en se référant à un référentiel international ; de permettre des comparaisons entre entités ou secteurs d'activité ; etc. Si le recours au référentiel CobiT constitue une véritable opportunité pour l'auditeur, son usage présente des limites. D'une part, le référentiel est avant tout un outil de travail. Il devra donc être adapté aux objectifs de la mission et au contexte de mise en œuvre. Le référentiel nécessite impérativement une démarche critique de l'auditeur et une appréciation des risques liés au contexte spécifique d'intervention. D'autre part, si le référentiel CobiT reste exhaustif et pertinent pour 6/20

7 l'appréciation des risques liés à la fonction informatique, sa portée est considérablement limitée lors de l'évaluation des risques informatiques sous-jacents dans le fonctionnement des autres processus opérationnels ou les risques informatiques particuliers propres, par exemple, à un environnement légal et réglementaire donné. Les normes professionnelles internationales Des normes professionnelles internationales relatives à l'audit interne et à l'audit externe existent. Les normes d'audit interne Au niveau international, ce sont les normes internationales pour la pratique professionnelle de l'audit interne de l'institute of Internal ors (lia) qui constituent le référentiel de la mission d'audit interne. Elles sont complétées par un code de déontologie fournissant aux auditeurs internes les principes et valeurs régissant leur pratique professionnelle. Selon l'ifaci, les normes ont pour objet : de définir les principes fondamentaux de la pratique de l'audit interne ; de fournir un cadre de référence pour la réalisation et la promotion d'un large champ d'intervention d'audit interne à valeur ajoutée ; d'établir les critères d'appréciation du fonctionnement de l'audit interne ; de favoriser l'amélioration des processus organisationnels et des opérations. Les normes se composent : de normes de qualification qui précisent les caractéristiques que doivent présenter les organisations et les personnes accomplissant des missions d'audit interne ; de normes de fonctionnement qui décrivent la nature des missions d'audit interne et définissent des critères de qualité permettant de mesurer la performance des services fournis ; de normes de mise en œuvre qui précisent les deux types de normes précédentes en indiquant les exigences applicables dans les activités d'assurance (évaluation objective en vue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une opération, une fonction, un processus, un système ou tout autre sujet) ou de conseil. La norme de qualification 1210.A3 stipule notamment que «les auditeurs internes doivent posséder une connaissance suffisante des principaux risques et contrôles relatifs aux technologies de l'information, et des techniques d'audit informatisées susceptibles d'être mises en œuvre dans le cadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes ne sont pas censés posséder l'expertise d'un auditeur dont la responsabilité première est l'audit informatique». Les normes d'audit externe Au niveau international, ce sont les normes ISA qui constituent le référentiel de la mission d'audit externe. Elles ont été élaborées et publiées par l'international ing and Assurance Standards Board (IAASB), qui est une dépendance de l'ifac (International Federation of Accountants). Les objectifs des normes d'audit des systèmes d'information de l'isaca sont d'«informer : les auditeurs de systèmes d'information du niveau minimum de diligence requis pour satisfaire les responsabilités professionnelles définies dans le code d'éthique professionnelle de l'isaca ; la direction et les autres parties prenantes de ce qu'elles sont en droit d'attendre des travaux professionnels des auditeurs» (source : AFAI, La Revue, n" 78, mars 2005). L'architecture des normes d'audit des systèmes d'information de l'isaca comprend plusieurs niveaux : les normes définissent les exigences obligatoires pour la conduite de l'audit des systèmes d'information et la rédaction des rapports ; les recommandations apportent des conseils pour l'application des normes ISA ; les procédures donnent des informations sur la façon de satisfaire aux normes lors de l'accomplissement des travaux d'audit. 7/20

8 Les normes ISA de référence sont : la norme ISA Connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives ; la norme ISA Procédures à mettre en œuvre par l'auditeur en fonction de son évaluation du risque. Ces normes ont été transposées au niveau national. Par ailleurs, la norme ISCQ1 (International Standard on Quality Control), établie par l'ifac, définit les exigences relatives à la mise en place d'un système de «contrôle qualité des cabinets réalisant des missions d'audit ou d'examen limité d'informations financières historiques, et d'autres missions d'assurance et de services connexes». Cette norme devrait être implémentée dans les cabinets de réviseurs d'entreprises dans les prochaines années. Les normes professionnelles nationales En France, c'est la CNCC (Compagnie nationale des commissaires aux comptes) qui réalise le référentiel normatif homologué applicable à la profession française. Il a été entériné courant La transposition dans le référentiel français des normes d'audit internationales de l'ifac a poursuivi deux objectifs : positionner clairement la France au regard du référentiel normatif international (IAASB) ; témoigner du haut degré de qualité de la certification des commissaires aux comptes. De cette transposition ont découlé notamment les normes d'audit en environnement informatisé : la norme CNCC relative à l'évaluation du risque et au contrôle interne ; la norme CNCC relative à l'audit réalisé dans un environnement informatique. Ces textes ont été remplacés le 1er mai 2007 par les normes d'exercice professionnel : -la norme NEP Connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives dans les comptes ; la norme NEP Procédures d'audit mises en œuvre par le commissaire aux comptes à l'issue de son évaluation des risques. Ces NEP découlent des normes internationales ISA 315 et 330. Les NEP ont valeur de loi et s'imposent dans le cadre de la mission du CAC. Elles ont pour vocation première «de garantir le bon exercice des missions et permettent de trouver, dans une doctrine émanant de l'organisation professionnelle seule habilitée à définir, les critères d'appréciation nécessaires» (Référentiel normatif CNCC, juillet 2003, 0-100, Préambule). Le contrôle interne La mise en place de dispositifs de contrôle interne repose en grande partie sur le contrôle du système d'information. En effet, la quasi-totalité des procédures repose aujourd'hui sur des traitements informatisés. La mise en place de dispositifs de contrôle interne efficaces se fait et se fera de plus en plus à l'aide de SI conçus à cet effet. La définition et la portée du contrôle interne Selon l'afai, le contrôle interne est un dispositif mis en œuvre par la société et sous sa responsabilité. «Il comprend un ensemble de moyens, de comportements, de procédures et d'actions adaptés aux caractéristiques propres de chaque société qui : contribue à la maîtrise de ses activités, à l'efficacité de ses opérations et à l'utilisation efficiente de ses ressources, et doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu'ils soient opérationnels, financiers ou de conformité.» Le contrôle interne vise plus particulièrement à «assurer : la conformité aux lois et règlements ; l'application des instructions et des orientations fixées par la direction générale ou le directoire ; 8/20

9 le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs ; la fiabilité des informations financières. Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux seuls processus comptables et financiers. La définition du contrôle interne ne recouvre pas toutes les initiatives prises par les organes dirigeants ou le management comme par exemple la définition de la stratégie de la société, la détermination des objectifs, les décisions de gestion, le traitement des risques ou le suivi des performances», Selon les articles et du Code de commerce, qui trouvent leur origine dans la loi de sécurité financière (LSF) du 1er août 2003 (article 117), dans les sociétés faisant appel public à l'épargne, le président du conseil d'administration ou du conseil de surveillance «rend compte, dans un rapport, [... ] des procédures de contrôle interne mises en place par la société». Pour ces mêmes sociétés, selon l'article L du Code de commerce (article 120 de la LSF), «les commissaires aux comptes présentent dans un rapport 13121Management des systèmes d'information [... ] leurs observations sur le rapport (du Président) pour celles des procédures de contrôle interne relatives à l'élaboration et au traitement de l'information comptable et financière». Les applicatifs dédiés au «Contrôle Interne» répondent aux enjeux majeurs suivants : S assurer de la conformité de l entreprise aux réglementations et aux normes de contrôle interne : LSF, cadre de référence de l AMF, Sarbanes-Oxley, CRBF et Bâle II pour les banques, Solvabilité II pour l assurance, Contribuer à l alignement et à l optimisation des processus opérationnels dans l entreprise, Faciliter la communication aux parties prenantes et la rédaction du rapport annuel sur le contrôle interne.» Le cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf Face aux préoccupations relatives au contrôle interne, on assiste au développement de démarches sur la base de cadres de référence, comme celui de l'amf (Autorité des marchés financiers) ou celui du casa (Committee of Sponsoring Organizations of the Treadway Commission). Le dispositif du contrôle interne s'intéresse tant aux qualités des systèmes d'information qu'aux informations diffusées, ainsi que le préconise le cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf de 2010, dont un extrait est présenté ci-dessous. Extrait du cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf de 2010 Selon l'amf, «le dispositif de contrôle interne comprend cinq composantes [... ] : 1) Une organisation comportant une définition claire des responsabilités, disposant des ressources et des compétences adéquates et s'appuyant sur des systèmes d'information, sur des procédures ou modes opératoires, des outils et des pratiques appropriés [... ]. Les systèmes d'information [doivent être adaptés] aux objectifs actuels de l'organisation et conçus de façon à pouvoir supporter ses objectifs futurs. Les systèmes informatiques sur les- quels s'appuient ces systèmes d'information doivent être protégés efficacement tant au niveau de leur sécurité physique que logique afin d'assurer la conservation des informations stockées. Leur continuité d'exploitation doit être assurée au moyen de procédures de secours. Les informations relatives aux analyses, à la programmation et à l'exécution des traitements doivent faire l'objet d'une documentation [... ]. 2) La diffusion en interne d'informations pertinentes, fiables, dont la connaissance permet à chacun d'exercer ses responsabilités [... ]. 3) Un dispositif de gestion des risques visant à recenser, analyser et traiter les principaux risques identifiés au regard des objectifs de la société. 4) Des activités de contrôle proportionnées aux enjeux propres à chaque processus, et conçues pour s'assurer que les mesures nécessaires sont prises en vue de maîtriser les risques susceptibles d'affecter la réalisation des objectifs. 5) Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu'un examen régulier de son fonctionnement». 14 juin /20

10 Cette nouvelle édition du cadre de référence de l'amf s'appuie sur les évolutions constatées dans les principaux référentiels internationaux, en particulier : le référentiel de contrôle interne casa II, qui est aujourd'hui le plus communément admis et utilisé. Il est adopté notamment par un nombre croissant d'entreprises françaises ; la norme ISO (<< Management du risque - Principes et lignes directrices», de l'organisation internationale de normalisation), qui fournit des principes et des lignes directrices générales sur le management du risque. Elle intègre un questionnaire relatif au contrôle interne comptable et financier dont une partie porte sur les systèmes d'information (voir encadré ci-dessous). Extrait du cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf de 2010 [...] Système d'information Questionnaire relatif au contrôle interne comptable et financier - Les autorisations et droits d'accès aux systèmes ainsi que les environnements hébergeant ces systèmes prennent-ils suffisamment en compte la séparation des tâches? - Des principes de sécurité d'utilisation sont-ils établis et communiqués (ex. : gestion des mots de passe, transferts de données, accès à Internet... )? Des principes de sécurité physique sont-ils définis et communiqués? Des principes de sécurité logique sontils définis et communiqués? Les accès aux données et programmes sont-ils sécurisés par profil d'utilisateur? Une traçabilité des transactions est-elle possible, analysée, vérifiée? Un dispositif de protection anti-virus contre les attaques et les intrusions externes est-il envisagé? - Des dispositifs de sauvegarde des données sont-ils en place? Font-ils l'objet de tests périodiques? - Des mesures de continuité de service sont-elles mises en place en lien avec les besoins métiers? Font-elles l'objet de tests périodiques? - Les obligations de conservation des informations, données et traitements informatiques concourant directement ou indirectement à la formation des états comptables et financiers sont-elles respectées? [...]. 3. l'audit des systèmes d'information, outil privilégié du contrôle interne 14 juin L'audit des systèmes d'information constitue un pilier du contrôle interne. En effet, selon l'afai, les démarches mises en œuvre en matière de contrôle interne sont : l'audit comptable, dont l'objectif est de garantir la sincérité des comptes. Il peut être conduit par le service d'audit interne, par les commissaires aux comptes ou, le cas échéant, par les autorités de tutelle ; l'audit interne, dont le but est de permettre aux directions générales d'avoir l'assurance d'un niveau de sécurité adapté à chacun de ses processus ; l'analyse des risques, dont l'objectif est d'évaluer périodiquement le niveau des risques opérationnels et des risques bilan ciels des entreprises ; l'audit de sécurité, dont le but est de contrôler que les dispositifs de sécurité organisationnels, matériels et logiciels sont corrects ; l'audit informatique, qui a pour objectif d'évaluer l'efficacité des activités informatiques ; l'audit du système d'information, qui a pour but de vérifier la contribution des ressources informatiques consommées à l'efficacité de l'entreprise ; l'audit qualité, dont l'objectif est de vérifier que les dispositifs d'assurance qualité garantissent un niveau de qualité satisfaisant. Pour répondre aux attentes du cadre légal relatif au contrôle interne, il est nécessaire d'assurer la cohérence et la complémentarité des différentes démarches d'audit, et notamment de veiller à la contribution de l'audit des différentes composantes du SI aux démarches de contrôle interne. L'AFAI a mis en évidence les principaux apports des domaines de l'audit des composantes du système d'information aux cinq autres démarches du contrôle interne. Relations entre audit des composantes du SI et démarches de contrôle interne 10/20

11 Démarches d'audit Stratégie informatique Fonction informatique Processus informatisés comptable x x interne x x x Analyse des risques x x x de sécurité x x qualité x x AFAI, Contrôle interne et système d'information, 2" édition, Ainsi, l'audit des composantes du système d'information, que sont la stratégie informatique, la fonction informatique et les processus informatisés, joue un rôle majeur au service du contrôle interne. Le contrôle des comptes des entités informatisées Le contrôle des comptes des entités informatisées peut être un contrôle légal effectué par un commissaire aux comptes ou un contrôle de nature contractuelle effectué par un expert-comptable. Le CAC et l'expert-comptable doivent prendre en compte l'évplution notoire des systèmes d'information comptable, qui sont de plus en plus automatisés et intégrés. Ici, nous n'étudierons que le contrôle externe légal effectué par un commissaire aux comptes. Le système d'information comptable (SIC) Le système d'information comptable est le système interface entre les systèmes opérants (achat, production, vente, investissement...) et le système de pilotage. Il recueille et traite les différentes informations de nature comptable et financière afin de les mettre à la disposition du système de pilotage (dit aussi «système de décision»). Les SIC sont de plus en plus intégrés. L'intégration vise à regrouper dans un système unique les différents systèmes comptables et de gestion de l'entreprise, et à assurer la production d'une information fiable, actuelle, non redondante et homogène. Il existe différents niveaux d'intégration des SIC : la comptabilité autonome, la comptabilité semi-intégrée et la comptabilité intégrée. La comptabilité autonome Cette architecture est caractéristique des petites entreprises dont l'informatisation est généralement centrée sur la mise en place d'un progiciel comptable. La comptabilité peut être considérée comme autonome du fait de l'existence d'un lien direct entre le fait juridique et l'écriture comptable. La comptabilité semi-intégrée Dans cette organisation qui caractérise généralement les entreprises de tailles moyenne et grande, la comptabilité est alimentée par des progiciels amont dédiés aux différents domaines fonctionnels de l'entreprise (achats, ventes, immobilisations, paie, etc.). Ces progiciels appartiennent souvent à la même gamme logicielle, ce qui facilite la génération automatique des écritures dans le progiciel de comptabilité grâce aux fonctionnalités d'importation et d'exportation. La comptabilité intégrée Ce type d'organisation, propre aux grandes entreprises, se caractérise souvent par une saisie unique de l'information dans une base de données commune à plusieurs modules couvrant les différents domaines fonctionnels de l'entreprise. Les processus sont généralement très informatisés et supportés par des progiciels de gestion intégrée. La prise en compte de l'environnement informatique lors de l'audit légal des comptes La prise en compte de l'environnement informatique lors de l'audit des comptes par les commissaires aux comptes ne doit pas être confondue avec l'audit informatique d'un système d'information confié généralement à des experts spécialisés. L'audit des comptes mené par un CAC est un audit externe nommé «audit légal des comptes», Depuis 2000, le CAC doit, dans le cadre de sa mission, prendre en considération le système 11/20

12 d'information ainsi que le stipule la norme CNCC relative à l'audit réalisé dans un environnement informatique (voir encadré ci-dessous). Encadré Extrait de la norme CNCC relative à l'audit réalisé dans un environnement informatique La norme CNCC rappelle les principes fondamentaux suivants : l'existence d'un environnement informatique ne modifie pas l'objectif et l'étendue de la mission du commissaire aux comptes ; l'utilisation d'un ordinateur modifie la saisie et le processus de traitement et de conservation des données, et en conséquence peut avoir une incidence sur les systèmes comptable et de contrôle interne de l'entité ; un environnement informatique peut ainsi avoir une incidence sur la démarche du commissaire aux comptes lors de : la prise de connaissance des systèmes comptable et de contrôle interne, la prise en compte du risque inhérent et du risque lié au contrôle, la mise en œuvre des procédures d'audit. La nature des risques dans un environnement informatique est liée aux spécificités suivantes : le manque de trace matérielle justifiant les opérations, qui entraîne un risque plus important de non-détection des erreurs contenues dans les programmes d'application ou les logiciels d'exploitation ; l'uniformité du traitement des opérations, qui permet d'éliminer quasiment toutes les erreurs humaines ; en revanche, les erreurs de programmation peuvent entraîner un traitement incorrect de toutes les opérations ; la séparation insuffisante des tâches qui résultent souvent de la centralisation des contrôles ; le risque d'erreurs et d'irrégularités, qui peut provenir : d'erreurs humaines dans la conception, la maintenance et la mise en œuvre plus importantes que dans un système manuel, d'utilisateurs non autorisés qui accèdent, modifient, suppriment des données sans trace visible. Par ailleurs, la possibilité de détection de ces erreurs et irrégularités est affectée par le fait qu'elles sont souvent intégrées lors de la conception ou de la modification de programmes d'application ou de logiciels d'exploitation, et sont aussi difficilement identifiables dans le temps. En résumé, les risques en milieu informatisé peuvent résulter de défaillances dans les activités informatiques générales, telles que : le développement et la maintenance des programmes ; l'exploitation du système ; les traitements particuliers ; la sécurité physique ; les contrôles d'accès pour les utilisateurs privilégiés. Le CAC ne peut ignorer ni les incidences des technologies de l'information, ni les possibilités que ces technologies représentent dans l'accomplissement de sa mission. Si le CAC ne dispose pas des compétences informatiques nécessaires, la norme précise qu'il «détermine si des compétences informatiques particulières sont nécessaires pour réaliser la mission». Si tel est le cas, il se fait assister par un professionnel possédant ces compétences. Il peut être un collaborateur ou un spécialiste externe. Le risque d'audit Selon les normes professionnelles ISACA, le risque d'audit est composé du risque inhérent, du risque de contrôle et du risque de (non-) détection Les composantes du risque d'audit Risque Description 12/20

13 Risque inhérent Risque de contrôle C'est un risque indépendant de la mission d'audit, qui apparaît en fonction de la nature de l'entreprise, c'està-dire de son environnement, marché, et catégorie, mais aussi de la culture d'entreprise et du style de management qui lui est propre. C'est le risque qu'une erreur significative existe sans être prévenue ou détectée à temps par le système de contrôle interne. C'est le risque qu'un auditeur utilise une procédure de test inadéquate et conclut qu'il n'y a pas d'erreurs alors qu'en réalité, il y en a. Risque de (non-) détection Par exemple, le risque de non-détection de failles de sécurité dans un SI doit être considéré comme élevé car l'exhaustivité en ce domaine peut difficilement être atteinte. À l'opposé, le risque de non-détection lié à l'absence de plan de secours informatique est généralement bas car la documentation de ces plans existe ou n'existe pas, ce qui peut être très facilement vérifié. Risque d'audit C'est la combinaison des catégories individuelles des risques évaluée pour chaque objectif spécifique de contrôle. L'auditeur fera en sorte que le risque d'audit soit limité à un niveau suffisamment bas sur le domaine audité. Pour ce faire, il déploiera une approche d'audit en conséquence. L'opinion du CAC sur les comptes nécessite qu'il obtienne l'assurance que les comptes ne comportent pas d'anomalies significatives. Cette assurance doit être la plus élevée possible mais non absolue en raison des limites propres aux missions d'audit. On parlera alors d' «assurance raisonnable» sur les comptes. À cet effet, il convient de réduire le risque d'audit. Le risque d'audit comprend deux composantes : le risque d'anomalies significatives dans les comptes et le risque de non-détection de ces anomalies par le commissaire aux comptes. Le risque d'anomalies significatives dans les comptes est propre à l'entité auditée ; il existe indépendamment de l'audit des comptes pratiqué. Il se subdivise en risque inhérent et risque lié au contrôle. Les normes d'exercice professionnel homologuées et code de déontologie de la CNCC (4 décembre 2008) définissent ainsi ces risques : «Le risque inhérent correspond à la possibilité que, sans tenir compte du contrôle interne qui pourrait exister dans l'entité, une anomalie significative se produise dans les comptes. Le risque lié au contrôle correspond au risque qu'une anomalie significative ne soit ni prévenue ni détectée par le contrôle interne de l'entité et donc non corrigée en temps voulu. Le risque de non-détection est propre à la mission d'audit : il correspond au risque que le commissaire aux comptes ne parvienne pas à détecter une anomalie significative» Exemples Incidence sur le risque inhérent Selon les modalités d'achat ou de développement des applications informatiques d'une entité, l'incidence sur le risque inhérent est : élevée si les achats ou les développements sont lancés consécutivement à des incidents majeurs ; modérée si les achats ou les développements sont effectués selon un plan prédéfini selon des critères financiers et non pas techniques ; faible si les achats ou les développements sont réalisés selon un plan préétabli tenant compte des besoins des utilisateurs et des critères techniques tels que l'indisponibilité des solutions existantes, les temps de réponse, etc. Incidence sur le risque lié au contrôle Selon la qualité des interfaces reliant les applications d'un système d'information d'une entité, l'incidence sur le risque lié au contrôle est : élevée si les interfaces sont manuelles (risque de non-exhaustivité ou de double imputation) ; élevée si les interfaces automatiques sont récemment introduites dans le SI sans édition et conservation des états d'anomalie lors des transferts des informations entre applications ; modérée si les états d'anomalies des interfaces sont conservés en vue d'une correction ultérieure. Si les modifications sont réalisées trop tardivement, elles risquent d'être imputées 13/20

14 sur l'exercice suivant, ce qui peut conduire au non-respect du principe d'indépendance des exercices ; faible si les interfaces automatiques sont éprouvées et les états d'anomalies régulièrement contrôlés par un acteur responsable qui en assure par ailleurs la conservation. Le risque le plus important pour le commissaire aux comptes est le risque de nondétection. Lorsque le CAC apprécie le risque d'anomalies significatives (risque inhérent et risque lié au contrôle) à un niveau élevé, il met alors en œuvre des procédures d'audit complémentaires. La démarche d'audit du CNCC Les spécificités de l'environnement informatique sont prises en compte dans les principales normes au cœur de la démarche d'audit proposée par la CNCC, à savoir la connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives dans les comptes (NEP 315), et les procédures d'audit mises en œuvre à l'issue de l'évaluation des risques (NEP 330). La NEP 315 stipule que lors de la prise de connaissance des éléments du contrôle interne pertinents pour l'audit, le commissaire aux comptes doit prendre notamment connaissance du système d'information relatif à l'élaboration de l'information financière. À ce titre, le CAC s'intéresse notamment : «aux catégories d'opérations ayant un caractère significatif pour les comptes pris dans leur ensemble ; aux procédures, informatisées ou manuelles, qui permettent d'initier, enregistrer, traiter ces opérations et de les traduire dans les comptes ; aux enregistrements comptables correspondants, aussi bien informatisés que manuels ; à la façon dont sont traités les événements ponctuels, différents des opérations récurrentes, susceptibles d'engendrer un risque d'anomalies significatives ; au processus d'élaboration des comptes, y compris des estimations comptables significatives et des informations significatives fournies dans l'annexe des comptes» (Normes d'exercice professionnel homologuées et code de déontologie, CNCC 4 décembre 2008). Ces différents points sont pris en compte dès la planification de l'audit (NEP 300) qui est formalisée, d'une part, dans un plan de mission qui décrit la nature et l'étendue des contrôles à mettre en œuvre, d'autre part dans un programme de travail. La prise en compte du SI dès le début de la démarche d'audit est importante pour le bon déroulement de la mission. Elle conduit le CAC à apprécier : la stratégie informatique ; 14/20

15 la fonction informatique et son importance dans l'entreprise en vue de déterminer l'impact de l'informatique sur la production des informations comptables et financières ; le pilotage du système d'information ; les principales applications et l'architecture mises en œuvre ; la gestion de la sécurité informatique ; les projets clés ; les contraintes légales et réglementaires à respecter. La prise de connaissance de l'environnement informatique de l'entité permet au CAC de constituer un «dossier permanent» servant de base pour capitaliser des connaissances du cadre de référence pour la conduite des missions futures. Le CAC apprécie l'impact de l'environnement informatique sur le risque inhérent et le risque lié au contrôle afin d'évaluer le risque d'anomalies significatives dans les comptes. Cette étape de la mission comprend donc : l'incidence de l'environnement informatique sur le risque inhérent. Elle s'apprécie au regard des éléments suivants : la conception et l'acquisition des solutions informatiques, la distribution et le support informatique, la gestion de la sécurité et la gestion des projets informatiques. L'environnement informatique d'une entreprise peut entraîner un risque inhérent élevé et avoir une conséquence à terme sur la continuité d'exploitation. Une entreprise spécialisée dans l'e-commerce est fortement dépendante de son informatique. Elle peut voir remise en cause son activité en cas de défaillance majeure survenant dans son système d'information. l'incidence de l'environnement informatique sur le risque lié au contrôle. Elle s'apprécie par l'étude des processus et des applications jouant un rôle significatif dans la production des comptes de l'entreprise. L'identification des contrôles à réaliser dépend des résultats obtenus dans la phase «Orientation et planification de la mission» et l'étape «Incidence de l'environnement informatique sur le risque inhérent». l'étude des interfaces peut mettre en évidence un risque élevé en termes d'exhaustivité de l'information comptable. Des contrôles substantifs seront alors nécessaires dans la phase «Obtention d'éléments probants» pour quantifier les données non prises en compte en comptabilité et demander à l'entreprise de passer des écritures correctrices. La première année du mandat, la prise en compte de l'environnement informatique est très consommatrice en temps mais les années suivantes, sous réserve qu'aucune modification majeure ne vienne impacter le SI, le poids relatif de ces travaux sera en nette diminution. Selon la NEP 330, lorsqu'il a pris connaissance de l'entité et évalué le risque d'anomalies significatives dans les comptes, le commissaire aux comptes adapte son approche générale et conçoit et met en œuvre des procédures d'audit qui lui serviront de base pour se forger une opinion sur les comptes. Il détermine alors les contrôles de substance à mener lorsqu'il a déterminé un risque inhérent élevé. Le CAC peut appliquer des procédures d'audit manuelles, des techniques assistées par ordinateur ou combiner les deux pour rassembler suffisamment d'éléments probants. Anomalies liées aux contrôles applicatifs, identifiées lors de l'évaluation des systèmes comptable et de contrôle interne, qui pourraient avoir une incidence sur l'opinion du CAC Opérations comptables ou montants significatifs non transmis par une interface entre une application de gestion commerciale et un progiciel de comptabilité. Identification d'une anomalie significative lors de l'analyse d'un fichier informatique issu d'un PGI (dépréciation calculée à partir d'une base erronée, erreur de valorisation des stocks d'encours de production, etc.). Absence ou erreur dans la mise à jour du référentiel de l'application de paie ou du module de paie d'un PGI. Contrôle interne déficient ou absent, au sein d'une application qui gère un processus majeur de l'entreprise ou d'un PGI qui supporte les processus critiques d'une entité. 15/20

16 Mise en évidence d'irrégularités ou d'inexactitudes dans la comptabilisation des achats. Les supports opérationnels Les supports opérationnels sont des modèles de feuilles de travail permettant de mettre en œuvre la méthodologie. orientation et planification de la mission : prise de connaissance de l informatique dans l entreprise : modèle de tableau permettant de déterminer l incidence sur la fiabilité du système d information, de la stratégie informatique, de la fonction informatique, de l importance de l informatique dans l entreprise, de la complexité du système d information, description du système d information de l entreprise : cartographies d applications et techniques, tableaux d inventaire correspondants, évaluation des risques et obtention d éléments probants : incidence de l environnement informatique sur le risque inhérent : modèle de tableau permettant de déterminer l incidence sur le risque inhérent de la conception et l acquisition des solutions informatiques, la distribution et le support informatique, la gestion de la sécurité, la gestion des projets informatiques, formalisation des processus : utilisez les MOT, diagramme d'activités UML ou le BPMN ; incidence de l environnement informatique sur le risque lié au contrôle : modèle de tableau permettant de déterminer l incidence sur le risque lié au contrôle de chaque processus, à partir des assertions sous-tendant l établissement des comptes, exemple de présentation schématique de la synthèse des risques. L'audit assisté par ordinateur Face au volume croissant des données et à la complexité des SIC utilisés par les entreprises, l'auditeur doit se doter d'outils pour automatiser les travaux d'audit pour : faciliter des contrôles non réalisables manuellement et obtenir une assurance renforcée ; permettre des contrôles exhaustifs sur de gros volumes de données pour disposer de résultats pertinents ; obtenir des niveaux d'analyse de données plus détaillés que ceux offerts par les outils utilisés par l'entité auditée. Les techniques d'audit assisté par ordinateur proposées peuvent être utilisées tant dans l'évaluation des risques et dans l'obtention d'éléments probants des missions d'audit légal des comptes que pour des missions contractuelles. Les étapes de l'audit assisté par ordinateur L'audit assisté par ordinateur débute parfois lors de l'évaluation des risques et essentiellement, lors de l'obtention d'éléments probants. Les étapes présentées ci-après sont relatives à la mise en œuvre des techniques d'audit assisté par ordinateur dans une mission d'audit légal, mais elles sont transposables à une mission contractuelle. Étape 1 - Récupération des fichiers informatiques Après la prise de connaissance de l'entité et de son environnement et la revue générale du système d'information, la conduite de la revue d'application permet d'évaluer : la conformité du paramétrage et des traitements applicatifs avec les règles de gestion arrêtées par l'entité et les règles légales en vigueur ; l'intégration ou l'interfaçage des applications ; l'efficacité des contrôles programmés par l'entité auditée permettant d'avoir une assurance satisfaisante sur l'exhaustivité, la réalité, l'intégrité, la confidentialité et la disponibilité des données traitées. Après ces activités, le CAC : identifie les risques ; 16/20

17 définit les données à exploiter (contenues dans des fichiers ou des bases de données) ; récupère les fichiers et les bases de données nécessaires à la réalisation des tests informatiques utiles à l'audit, dans un format et sur un support adaptés pour la récupération dans l'environnement informatique de l'auditeur. Compte tenu de la diversité des technologies et des formats existants ainsi que du volume des données, la récupération n'est pas aisée. Étape 2 - Validation des fichiers La validation des fichiers importés par l'auditeur nécessite de rapprocher ces fichiers avec la comptabilité de l'entité afin de s'assurer que les données récupérées n'ont subi aucune modification lors de l'extraction et de l'intégration dans l'environnement informatique de l'auditeur. Étape 3 - Réalisation des tests Une fois le contrôle des fichiers réalisé, les tests peuvent être lancés. Ils permettent à l'auditeur, d'une part, de confirmer, sur la base d'éléments tangibles, exhaustifs et incontestables, ses évaluations et, d'autre part, d'accéder à l'audit de systèmes complexes de traitement, non contrôlables sans le recours à des outils informatiques. En raison de leur importance, il est essentiel que les tests réalisés puissent être reproduits ultérieurement et que toutes les étapes intermédiaires soient sauvegardées. Il est recommandé que le logiciel de traitement des données génère un journal des tests effectués. Cette étape aboutit à la constitution d'un dossier contenant les résultats des tests. Ils peuvent prendre des formes variables en fonction des objectifs, de l'étendue des tests réalisés et de l'exploitation qui en sera faite. Étape 4 - Analyse et synthèse Cette dernière étape consiste à analyser et à interpréter les résultats des tests. Un rapport de synthèse est alors rédigé, décrivant notamment les tests réalisés et les recommandations qui en découlent. Les techniques d'audit assisté par ordinateur, TAAO (Computer Assisted Techniques, CAATs) Les techniques d'audit ponctuel L'audit assisté par ordinateur mobilise principalement des logiciels de traitement des données permettant l'interrogation de fichiers ou de bases de données et la réalisation de différents types de tests, dont les plus fréquemment utilisés en audit sont : les tests de totalisation ; les tests de calculs ; les tests de comparaison de fichiers ou de bases de données ; les tests d'analyse par stratification, qui permettent de détecter des anomalies ; les tests d'extraction, afin d'analyser des populations spécifiques sur des combinaisons de critères définis. Contrôles substantifs La vérification de calculs : calculs des dotations aux amortissements, du cumul des amortissements et de la valeur nette comptable à partir des données issues du logiciel de gestion des immobilisations pour vérifier la valeur brute, le cumul des amortissements et la valeur nette comptable des immobilisations en comptabilité. La comparaison de fichiers et l'extraction d'anomalies : comparaison des fichiers des coûts de revient et des prix de vente d'éléments en stock pour déterminer les dépréciations nécessaires. L'extraction de données contenues dans des fichiers ou des bases de données selon différents critères : valeurs monétaires supérieures au seuil de 5 000, écritures passées après la date du 28/02/N. Le tri des données contenues dans des fichiers ou des bases de données selon différents critères : ordre croissant des valeurs monétaires, écritures passées sur la période du 01/01 /N au 31/12/N. Ces différents types de tests contribuent à vérifier que les traitements des données dans les applications des entités auditées sont réalisés selon les règles comptables et fiscales en vigueur. L'auditeur dispose également d'un ensemble d'outils informatiques répondant à chacune des phases de la mission d'audit 17/20

18 Les outils informatiques dédiés à chaque phase de la mission d'audit Phase Étude préliminaire Conduite de mission Outils Outils de requêtes et collecte d'information, outils d'éditions, outils d'accès à Internet, etc. Outils de restitution Outils de gestion documentaire Outils de planification Outils de gestion de papier de travail Travail terrain Outils de détection d'anomalies, de fraudes, etc., basés sur l'analyse de données nombreuses ou des techniques d'échantillonnage Outils de calculs et de comparaisons pour réaliser des tests analytiques et statistiques Outils pour rechercher et croiser des informations Etc. Il existe également des outils plus spécialisés qui permettent de réaliser des tests d'audit en milieu informatisé, généralement à la disposition des auditeurs informatiques. Les outils informatiques dédiés aux tests d'audit en milieu informatisé Type de logiciel Description Générateur de données de tests Utilitaires standard Logiciel de gestion-de changement Préparation automatique de fichiers de tests Livrés avec les systèmes d'exploitation, pour extraction/ fusion de fichiers, tris de données, etc. Logiciel vérifiant l'intégrité et la pertinence des modifications des programmes L'ensemble des outils logiciels utilisables dans les phases d'audit constitue les CAATs (Computer Assisted Techniques). D'un audit ponctuel à un audit continu Les techniques d'audit assisté par ordinateur permettent d'envisager un glissement d'un audit ponctuel à un audit continu qui améliorerait la capacité des auditeurs internes et externes à répondre aux obligations relatives au contrôle interne étant donné qu'il comporte essentiellement les deux volets suivants : l'évaluation continue du contrôle, qui se focalise sur la détection au plus tôt des déficiences de contrôle ; l'évaluation continue des risques, qui met en lumière les processus ou les systèmes qui présentent un niveau de risque mal appréhendé par le système de contrôles permanents. Selon l'afi, «l'audit continu est une démarche d'audit caractérisée par l'usage intensif de CAATs, exercés avec une fréquence proportionnée aux événements ou risques à traiter». Plusieurs approches d'audit continu assisté par ordinateur existent 18/20

19 Les différentes approches d'audit continu assisté par ordinateur Approche Description SCARF (Systems Control Review File) et EAM (Embedded Modules) Consiste à introduire des logiciels d'audit écrits spécialement à l'intérieur du système d'applications de l'entreprise, de sorte que les systèmes applicatifs soient «pilotés» de manière sélective. SNAPSHOT AUDIT HOOKS ITF (Integrated Test Faci/ities) Consiste à prendre des images tout au long du «chemin de traitement» (processing path) suivi par une transaction. On enregistre les évolutions de données sélectionnées, pour une révision ultérieure pratiquée par l'auditeur. Parties de logiciels embarqués sur des systèmes applicatifs, pour fonctionner comme des drapeaux rouges. Ils doivent permettre à l'auditeur d'agir avant qu'une erreur ou une irrégularité ne soit allée trop loin. Cette technique consiste à introduire des entités fictives dans les fichiers de production. L'auditeur peut demander au système de travailler soit avec les programmes de production, soit avec les programmes de test, afin que les programmes mettent à jour les entités fictives. CIS (Continuous and Intermittent Simulation) Le système déclenche une simulation d'exécution d'instructions de l'application, afin de s'assurer de la fiabilité de la transaction. Le déclenchement est fait sur certains critères prédéterminés (montant ou autre). Sinon, le simulateur attend jusqu'à la prochaine transaction qui présentera les critères voulus. Les avantages de l'audit assisté par ordinateur Les logiciels de traitement des données sont des outils plus puissants que les outils bureautiques standard comme les tableurs, par exemple. Leur recours permet de traiter rapidement des volumes de données importants, ce qui est source de gains de productivité. De plus, à partir des données intégrées dans ces logiciels, il est possible de paramétrer des requêtes facilitant la recherche d'anomalies, les impacts de changement de méthodes comptables, etc. Des contrôles plus importants peuvent donc être conduits à partir de ces solutions, ce qui permet de fiabiliser les résultats obtenus et de limiter les risques liés aux missions d'audit. De plus, ces logiciels respectent des principes renforçant la qualité des travaux conduits comme l'intangibilité des données et la conservation des historiques. Les progiciels d'aide à la révision Si de nombreux CAC travaillent encore sur tableur, la profession s'appuie de plus en plus sur des progiciels spécialisés dans la révision et l'audit des comptes dont la portée des fonctionnalités est plus large que les logiciels de traitement des données étudiés. Différents progiciels sont disponibles sur le marché : Revis de la société Gest On Line, REVOR conçu par Norbert Lecomte, Expert- Comptable et Commissaire aux Comptes, etc. L'organisation des progiciels d'aide à la révision Les logiciels de révision et d'audit sont généralement structurés comme le progiciel Revis (www.revisaudit.fr) : «le dossier permanent est le point d'entrée du dossier client. Il contient toutes les informations générales et spécifiques du client telles que la liste des associés, des procèsverbaux, les conventions et contrats, les abonnements, etc. Il permet de créer et de consulter les dossiers annuels ; le dossier d'organisation (ou contrôle interne) permet d'apprécier l'organisation interne de l'entité par cycles, au travers de différents outils : un descriptif de l'entité, un questionnaire complet classé par assertions, un formulaire de répartition des tâches, un formulaire de tests de conformité. Les principales fonctions de l'entité contrôlée sont ainsi passées en revue avec les différentes fonctionnalités proposées ; le dossier de contrôle CAC permet de réaliser l'approche par les risques, de bâtir le plan de mission, de vérifier la régularité comptable et juridique, de faire la revue du dossier et de réaliser toute la partie «contrôles spécifiques» (contrôles de l'inventaire, de l'annexe, du rapport de gestion). L'auditeur s'appuie sur les fonctionnalités proposées qui permettent de s'assurer qu'aucun élément n'a été oublié. L'outil informatique le renseigne également sur l'avancement de la mission ; 19/20

20 le dossier général (dossier annuel) permet de visualiser la balance N/N-1 importée du système d'information du client ou du logiciel de comptabilité du cabinet. Il stocke, en plus de la balance : le journal d'od, le bilan et le compte de résultat, les soldes intermédiaires de gestion, les principaux ratios, etc. ; le dossier de révision comporte des feuilles de révision préformatées, en liaison avec la balance et le journal d'od, qui permettent de réaliser une révision dynamique et exhaustive. Chaque cycle du dossier de révision présente un programme de travail propre au cycle, une feuille présentant l'ensemble des comptes retrouvés dans le cycle ainsi que de nombreuses feuilles nécessaires à la révision du cycle. La majorité des feuilles dispose d'un assistant de travail, qui permet, entre autres choses : d'effectuer des extractions de compte ou d'écritures spécifiques, d'automatiser certains calculs, de récupérer les feuilles N-1, le contrôle des stocks, le contrôle des payes, etc.» Toutefois, l'organisation des logiciels de révision et d'audit peut différer, mais des fonctionnalités identiques sont proposées. Les avantages des progiciels d'aide à la révision Les logiciels de révision et d'audit présentent de nombreux avantages. Ils permettent notamment une standardisation et une rationalisation des missions de révision par une automatisation des tâches répétitives et un pré-paramétrage des documents de travail (feuilles de travail). Les feuilles de travail peuvent ensuite être adaptées au contexte et être dupliquées pour les exercices suivants ou pour des missions conduites dans d'autres entités présentant les mêmes caractéristiques. De plus, les logiciels d'aide à la révision permettent l'intégration par import des dossiers clients, ce qui limite la ressaisie et les risques d'erreurs. Ils facilitent également le suivi des dossiers et des missions par la définition des collaborateurs intervenant sur les dossiers et les tâches de la mission. Leurs fonctionnalités favorisent ainsi un travail collaboratif et une gestion des compétences des collaborateurs pour accroître la productivité au sein du cabinet comptable. Les progiciels d'aide à la révision offrent, à travers une solution unique, tant la possibilité de conduire des missions d'expertise comptable que des missions de commissariat aux comptes. Ainsi, les collaborateurs évoluent dans un environnement informatique cohérent où les difficultés d'apprentissage sont moindres, ce qui favorise également des gains de productivité. De plus, ces solutions permettent de redéfinir les postes de travail intégrant un enrichissement des tâches et une approche collaborative. Ces solutions intègrent également la dématérialisation des pièces des dossiers, ce qui permet le partage de documents entre différents collaborateurs, réduit les problèmes de stockage des dossiers et d'archivage sur de longues périodes. L'archivage sous forme numérique permet également, au travers de la GED (gestion électronique de documents), de faciliter et d'accélérer les travaux de recherche d'informations. La dématérialisation favorise également le nomadisme afin de poursuivre les travaux d'audit au sein des entreprises auditées, par exemple. 20/20

Norme d'audit suisse: Audit réalisé dans l environnement de la technologie de l information et de la communication (NAS 401)

Norme d'audit suisse: Audit réalisé dans l environnement de la technologie de l information et de la communication (NAS 401) Norme d'audit suisse: Audit réalisé dans l environnement de la technologie de l information et de la communication (NAS 401) "Préface explicative" Chiffre Cette NAS donne des instructions sur un audit

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

Evaluation des risques et procédures d audit en découlant

Evaluation des risques et procédures d audit en découlant Evaluation des risques et procédures d audit en découlant 1 Présentation des NEP 315, 320, 330, 500 et 501 2 Présentation NEP 315, 320, 330, 500 et 501 Les NEP 315, 320, 330, 500 et 501 ont fait l objet

Plus en détail

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE SOMMAIRE Paragraphes Introduction... 1-4 Personnes

Plus en détail

Charte de l'audit informatique du Groupe

Charte de l'audit informatique du Groupe Direction de la Sécurité Globale du Groupe Destinataires Tous services Contact Hervé Molina Tél : 01.55.44.15.11 Fax : E-mail : herve.molina@laposte.fr Date de validité A partir du 23/07/2012 Annulation

Plus en détail

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE. Septembre 2011. Page 1

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE. Septembre 2011. Page 1 LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE Septembre 2011 Page 1 Au sommaire Préambule Le nouveau référentiel sur la forme Le nouveau référentiel sur le

Plus en détail

Charte de l audit interne de la Direction Générale de la Dette

Charte de l audit interne de la Direction Générale de la Dette MINISTÈRE DE L ECONOMIE ET DE LA PROSPECTIVE RÉPUBLIQUE GABONAISE Union-Travail-Justice ------------ -------- SECRETARIAT GENERAL ------------ ------------ DIRECTION DE L AUDIT ET DU CONTROLE ------------

Plus en détail

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE Septembre 2011 Page 1 Au sommaire Préambule Le nouveau référentiel sur la forme Le nouveau référentiel sur le

Plus en détail

Le 19 avril 2013 - ANGERS

Le 19 avril 2013 - ANGERS Le 19 avril 2013 - ANGERS 2 > Sommaire 1. Cadre réglementaire 2. Cadre de délégation 3. Périmètre d intervention du Comité d'audit 4. Rôle du Comité d Audit 5. Coordination et planification des travaux

Plus en détail

Maîtrise Universitaire en Comptabilité, Contrôle et Finance. Audit des systèmes d information. Partie 5: Audit d une application informatique

Maîtrise Universitaire en Comptabilité, Contrôle et Finance. Audit des systèmes d information. Partie 5: Audit d une application informatique Maîtrise Universitaire en Comptabilité, Contrôle et Finance Audit des systèmes d information Partie 5: Audit d une application informatique Emanuel Campos - version 2015 Les présentations personnelles

Plus en détail

Management des Systèmes d information (SI)

Management des Systèmes d information (SI) ENGDE - DSCG 2 - Formation initiale Préparation au concours 2015 - UE5 Management des Systèmes d information (SI) S6 - Audit et Gouvernance Yves MEISTERMANN Rappel : Sommaire de l UE5 4. Gestion de la

Plus en détail

CHARTE DE L AUDIT INTERNE

CHARTE DE L AUDIT INTERNE CHARTE DE L AUDIT INTERNE Septembre 2009 Introduction La présente charte définit la mission et le rôle de l audit interne de l Institut National du Cancer (INCa) ainsi que les modalités de sa gouvernance.

Plus en détail

# 07 Charte de l audit interne

# 07 Charte de l audit interne Politiques et bonnes pratiques # 07 de l audit Direction générale fédérale Service Redevabilité & Qualité Janvier 2015 Approuvé par le Comité des audits Juin 2013 Approuvé par le Directoire fédéral Juillet

Plus en détail

NORME INTERNATIONALE D AUDIT 402 FACTEURS A CONSIDERER POUR L'AUDIT D'ENTITES FAISANT APPEL A DES SERVICES BUREAUX

NORME INTERNATIONALE D AUDIT 402 FACTEURS A CONSIDERER POUR L'AUDIT D'ENTITES FAISANT APPEL A DES SERVICES BUREAUX NORME INTERNATIONALE D AUDIT 402 FACTEURS A CONSIDERER POUR L'AUDIT D'ENTITES FAISANT APPEL A DES SERVICES BUREAUX SOMMAIRE Paragraphes Introduction... 1-3 Facteurs à prendre en considération par l'auditeur...

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Atelier 84 - L approche d audit par les risques

Atelier 84 - L approche d audit par les risques Atelier 84 - L approche d audit par les risques 1 Plan Présentation des NEP 315, 320, 330, 500 et 501 Principales différences par rapport au référentiel de juillet 2003? 2 Présentation NEP 315, 320, 330,

Plus en détail

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION 02 CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

Plus en détail

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D'UN EXPERT

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D'UN EXPERT NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D'UN EXPERT SOMMAIRE Paragraphes Introduction... 1-5 Détermination de la nécessité de recourir à un expert... 6-7 Compétence et objectivité de l'expert...

Plus en détail

Befimmo SA Règlement de l'audit interne

Befimmo SA Règlement de l'audit interne Befimmo SA Règlement de l'audit interne Table des matières Article 1 - Nature... 1 Article 2 - Mission, objectifs et activités... 2 Article 3 - Programme annuel... 3 Article 4 - Reporting... 3 Article

Plus en détail

Norme ISA 320, CARACTERE SIGNIFICATIF LORS DE LA PLANIFICATION ET DE LA REALISATION D UN AUDIT

Norme ISA 320, CARACTERE SIGNIFICATIF LORS DE LA PLANIFICATION ET DE LA REALISATION D UN AUDIT Norme internationale d audit (ISA) Norme ISA 320, CARACTERE SIGNIFICATIF LORS DE LA PLANIFICATION ET DE LA REALISATION D UN AUDIT La présente Norme internationale d audit (ISA) publiée en anglais par l

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

Agent comptable. Référentiels métier des personnels d encadrement. des établissements publics d'enseignement supérieur.

Agent comptable. Référentiels métier des personnels d encadrement. des établissements publics d'enseignement supérieur. Référentiels métier des personnels d encadrement des établissements publics d'enseignement supérieur et de recherche Agent comptable Sous-direction de la gestion prévisionnelle et des missions de l encadrement

Plus en détail

PPA. Préambule. Présentation du Pack PA. ACK Pack PA - Notice d utilisation. En pratique. Sommaire. Comment utiliser les outils?

PPA. Préambule. Présentation du Pack PA. ACK Pack PA - Notice d utilisation. En pratique. Sommaire. Comment utiliser les outils? Classement des outils du Pack PA (fichiers bureautiques) P Petites Associations et Fondations Petits Fonds de dotation Exemple de fichier : Questionnaire d analyse du risque d anomalies Notice d utilisation

Plus en détail

3.0. Pack. Petites Entreprises Notice d utilisation. Conventions. juin 2012. Nouvelle version. d utilisation du Pack PE. www.cncc.

3.0. Pack. Petites Entreprises Notice d utilisation. Conventions. juin 2012. Nouvelle version. d utilisation du Pack PE. www.cncc. Conventions d utilisation du Pack PE Nouvelle version Le Pack PE est à distinguer NEP 910 dite «Norme PE» : il ne correspond pas à une solution pratique de mise en œuvre norme. La notion de «Petite entreprise»

Plus en détail

Séminaire des auditeurs de l ACORS. Club Belambra Presqu île du Ponant, La Grande-Motte, Les 16, 17 et 18 septembre 2015

Séminaire des auditeurs de l ACORS. Club Belambra Presqu île du Ponant, La Grande-Motte, Les 16, 17 et 18 septembre 2015 Séminaire des auditeurs de l ACORS Club Belambra Presqu île du Ponant, La Grande-Motte, Les 16, 17 et 18 septembre 2015 Intervenant : Philippe AVRIL Sous-Directeur Adjoint du DPMRF (Contrôle Interne) DDFC-CNAMTS

Plus en détail

NORME INTERNATIONALE D AUDIT 300 PLANIFICATION D'UNE MISSION D'AUDIT D'ETATS FINANCIERS

NORME INTERNATIONALE D AUDIT 300 PLANIFICATION D'UNE MISSION D'AUDIT D'ETATS FINANCIERS NORME INTERNATIONALE D AUDIT 300 PLANIFICATION D'UNE MISSION D'AUDIT D'ETATS FINANCIERS SOMMAIRE Paragraphes Introduction... 1-3 Travaux préliminaires à la planification de la mission... 6-7 Planification

Plus en détail

PRESENTATION DU CADRE DE REFERENCE 2010 A LA COMMISSION DE DROIT COMPTABLE 12 Juillet 2010

PRESENTATION DU CADRE DE REFERENCE 2010 A LA COMMISSION DE DROIT COMPTABLE 12 Juillet 2010 COMMISSION DES MISSIONS COMPTABLES PRESENTATION DU CADRE DE REFERENCE 2010 A LA COMMISSION DE DROIT COMPTABLE 12 Juillet 2010 Joëlle LASRY/Guy ZERAH CREATIVE WORK Page 1 PRESENTATION GENERALE Le Conseil

Plus en détail

Olivier Terrettaz, Expert diplômé en finance et controlling 1

Olivier Terrettaz, Expert diplômé en finance et controlling 1 Olivier Terrettaz Expert diplômé en finance et controlling Economiste d'entreprise HES Olivier Terrettaz, Expert diplômé en finance et controlling 1 Gouvernement d'entreprise Définition Le gouvernement

Plus en détail

Les missions du comité d audit

Les missions du comité d audit AUDIT COMMITTEE INSTITUTE FRANCE Les missions du comité d audit Aide mémoire kpmg.fr Sommaire Réglementation... 3 Exemples de bonnes pratiques... 6 Suivi de l efficacité des systèmes de contrôle interne

Plus en détail

...... (dénomination statutaire)...( 1 ) a désigné au cours de l'assemblée générale de la société du...( 2 )

...... (dénomination statutaire)...( 1 ) a désigné au cours de l'assemblée générale de la société du...( 2 ) 5112/PC/MS ANNEXE 1 À LA COMMUNICATION F.2 DÉSIGNATION D'UN COMMISSAIRE AUPRÈS D'UNE SOCIÉTÉ DE CAUTIONNEMENT MUTUEL La société de cautionnement mutuel...... (dénomination statutaire)......... (adresse

Plus en détail

CHAPITRE I er OBJET, CHAMP D'APPLICATION ET DÉFINITIONS

CHAPITRE I er OBJET, CHAMP D'APPLICATION ET DÉFINITIONS Règlement CSSF N 12-01 - Fonds d'investissement spécialisés Règlement CSSF N 12-01 arrêtant les modalités d'application de l'article 42bis de la loi du 13 février 2007 relative aux fonds d'investissement

Plus en détail

Valorisez vos missions d audit grâce à l évaluation du contrôle interne. Jean François MALLEN

Valorisez vos missions d audit grâce à l évaluation du contrôle interne. Jean François MALLEN Valorisez vos missions d audit grâce à l évaluation du contrôle interne Conférence animée par Carole SENELIS Jean François MALLEN SOMMAIRE INTRODUCTION APPROCHE PAR LES RISQUES CONCLUSION QUESTIONS ET

Plus en détail

PROCEDURES DE CONTROLE INTERNE

PROCEDURES DE CONTROLE INTERNE PROCEDURES DE CONTROLE INTERNE.1 RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION SUR LES PROCÉDURES DE CONTRÔLE INTERNE ET SUR LE GOUVERNEMENT D ENTREPRISE (ARTICLE L. 225-37 DU CODE DE COMMERCE) 156.1.1

Plus en détail

Covéa Finance Charte de l Audit et du Contrôle Interne

Covéa Finance Charte de l Audit et du Contrôle Interne CHARTE D AUDIT ET DE CONTROLE INTERNE DE COVÉA FINANCE DEFINITION DU CONTROLE INTERNE Le contrôle interne est un dispositif défini et mis en œuvre par les dirigeants et les personnels des sociétés, qui

Plus en détail

Ordre des Experts Comptables de Tunisie

Ordre des Experts Comptables de Tunisie Ordre des Experts Comptables de Tunisie Norme relative aux Modalités d Application des Articles 2 et 3 de l Arrêté du 28 février 2003 portant Homologation du Barème des Honoraires des Experts Comptables

Plus en détail

L audit interne : vers la maîtrise des risques. Séquence 2 : Maîtrise des risques : le dispositif de contrôle

L audit interne : vers la maîtrise des risques. Séquence 2 : Maîtrise des risques : le dispositif de contrôle L audit interne : vers la maîtrise des risques Séquence 2 : Maîtrise des risques : le dispositif de contrôle Master 2 - Développement et management des Universités Julien Herenberg SOMMAIRE Introduction

Plus en détail

Le rapport d audit Modifications apportées par la version révisée de la norme ISA 700 applicable à partir du 31/12/2006

Le rapport d audit Modifications apportées par la version révisée de la norme ISA 700 applicable à partir du 31/12/2006 Le rapport d audit Modifications apportées par la version révisée de la norme ISA 700 applicable à partir du 31/12/2006 Introduction : Dans le but d accroître la transparence et la comparabilité des rapports

Plus en détail

Décision du Haut Conseil du Commissariat aux Comptes

Décision du Haut Conseil du Commissariat aux Comptes DECISION 2009-02 Décision du Haut Conseil du Commissariat aux Comptes Relative aux contrôles périodiques auxquels sont soumis les commissaires aux comptes Principes directeurs du système des contrôles

Plus en détail

Contrôle interne et organisation comptable de l'entreprise

Contrôle interne et organisation comptable de l'entreprise Source : "Comptable 2000 : Les textes de base du droit comptable", Les Éditions Raouf Yaïch. Contrôle interne et organisation comptable de l'entreprise Le nouveau système comptable consacre d'importants

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Tous droits réservés SELENIS

Tous droits réservés SELENIS 1. Objectifs 2. Etapes clefs 3. Notre proposition d accompagnement 4. Présentation de SELENIS 2 Un projet est une réalisation spécifique, dans un système de contraintes donné (organisation, ressources,

Plus en détail

Politiques et normes d audit de la Cour des comptes (20 avril 2007)

Politiques et normes d audit de la Cour des comptes (20 avril 2007) Politiques et normes d audit de la Cour des comptes (20 avril 2007) Légende: Politiques et normes d audit de la Cour des comptes européennes (20 avril 2007). Source: Cour des comptes européenne. Politiques

Plus en détail

Bureau du vérificateur général du Canada. Rapport sur la revue des pratiques d audit de performance

Bureau du vérificateur général du Canada. Rapport sur la revue des pratiques d audit de performance Bureau du vérificateur général du Canada Rapport sur la revue des pratiques d audit de performance Revues des pratiques effectuées au cours de l exercice 2011-2012 Juillet 2012 Revue des pratiques et audit

Plus en détail

Expertise. Prestations comptables et fiscales :

Expertise. Prestations comptables et fiscales : Pour le PCG (plan, générale, comptable), la comptabilité est définie comme un système d organisation de l information financière. La comptabilité est un outil qui fournit, après traitement approprié, un

Plus en détail

INTRODUCTION. QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel.

INTRODUCTION. QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel. INTRODUCTION QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel. Ce certificat est destiné à toutes les écoles d enseignement

Plus en détail

NORME INTERNATIONALE D AUDIT 320 CARACTERE SIGNIFICATIF LORS DE LA PLANIFICATION ET DE LA REALISATION D UN AUDIT

NORME INTERNATIONALE D AUDIT 320 CARACTERE SIGNIFICATIF LORS DE LA PLANIFICATION ET DE LA REALISATION D UN AUDIT NORME INTERNATIONALE D AUDIT 320 CARACTERE SIGNIFICATIF LORS DE LA PLANIFICATION Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009) SOMMAIRE

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique RENCONTRE SOLUTIONS ENERGIE ENTREPRISE CCI Grand Lille, 20 mai 2014 Atelier «Audit énergétique obligatoire : quelles sont les entreprises concernées?» Transposition de l article 8 de la directive européenne

Plus en détail

LIGNE DIRECTRICE SUR LA CONFORMITÉ

LIGNE DIRECTRICE SUR LA CONFORMITÉ LIGNE DIRECTRICE SUR LA CONFORMITÉ Avril 2009 Table des matières Préambule... 3 Introduction... 4 Champ d application... 5 Entrée en vigueur et processus de mise à jour... 6 1. Cadre de gestion de la conformité...

Plus en détail

CHARTE DE L AUDIT INTERNE DU CNRS

CHARTE DE L AUDIT INTERNE DU CNRS Direction de l audit interne www.cnrs.fr NE DAI 0 0 00 CHARTE DE L AUDIT INTERNE DU CNRS INTRODUCTION La présente charte définit la mission, le rôle et les responsabilités de la Direction de l audit interne

Plus en détail

Les DDL. Les Attestations. (Diligences Directement Liées) Grenoble jeudi 4 juin 2009 Valence mardi 9 juin 2009 Gap vendredi 10 juin 2009

Les DDL. Les Attestations. (Diligences Directement Liées) Grenoble jeudi 4 juin 2009 Valence mardi 9 juin 2009 Gap vendredi 10 juin 2009 Les DDL (Diligences Directement Liées) Les Attestations animation : Marc FERAUD Commissaire aux Comptes à Aix en Provence Conception et Organisation : Compagnie Régionale des Commissaires aux Comptes de

Plus en détail

Les dispositifs de gestion des risques et de contrôle interne. Cadre de référence : Guide de mise en œuvre pour les valeurs moyennes et petites

Les dispositifs de gestion des risques et de contrôle interne. Cadre de référence : Guide de mise en œuvre pour les valeurs moyennes et petites Les dispositifs de gestion des risques et de contrôle interne Cadre de référence : Guide de mise en œuvre pour les valeurs moyennes et petites SOMMAIRE SOMMAIRE... 2 I- OBJECTIFS, PRINCIPES ET CONTENU...

Plus en détail

La Gestion globale et intégrée des risques

La Gestion globale et intégrée des risques La Gestion globale et intégrée des risques (Entreprise-wide Risk Management ERM) Une nouvelle perspective pour les établissements de santé Jean-Pierre MARBAIX Directeur Technique Ingénierie Gestion des

Plus en détail

RECUEIL DES RÈGLES DE GESTION (POLITIQUE)

RECUEIL DES RÈGLES DE GESTION (POLITIQUE) RECUEIL DES RÈGLES DE GESTION (POLITIQUE) Titre : Responsable de l'application : Santé et sécurité du travail Direction des services des ressources humaines Adoption : 23 mars 1998 (98-03-23-05) Entrée

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Améliorer votre approche processus

Améliorer votre approche processus Améliorer votre approche processus Décrire de manière complète les processus, Mettre en place des tableaux de bord de manière à en surveiller le fonctionnement et à en déterminer l efficacité, Réaliser

Plus en détail

Annexes. Attestations entrant dans le cadre de diligences directement liées à la mission de commissaire aux comptes...p. 57

Annexes. Attestations entrant dans le cadre de diligences directement liées à la mission de commissaire aux comptes...p. 57 Annexes Rapport annuel H3C 2008 Annexes FONCTIONNEMENT DU HAUT CONSEIL Pas d annexe ACTIVITÉ NORMATIVE Annexe 2.1. Liste des normes d exercice professionnel au 31 janvier 2009...p. 55 Normes homologuées

Plus en détail

Présentation du cadre réglementaire des audits énergétiques

Présentation du cadre réglementaire des audits énergétiques Présentation du cadre réglementaire des audits énergétiques Jean-Pierre ROPTIN DREAL Basse-Normandie Division Energie-Air-Climat du 8 septembre 2009 Séminaire Document de stratégie régional du MEEDDM 1

Plus en détail

Techniques d évaluation des risques norme ISO 31010

Techniques d évaluation des risques norme ISO 31010 Techniques d évaluation des risques norme ISO 31010 www.pr4gm4.com Gestion des risques Présentation Mars 2010 Copyright 2010 - PR4GM4 Actualité du 27 janvier 2010 2 Actualité du 11 février 2010 3 Domaine

Plus en détail

Annexe sur la maîtrise de la qualité

Annexe sur la maîtrise de la qualité Version du 09/07/08 Annexe sur la maîtrise de la qualité La présente annexe précise les modalités d'application, en matière de maîtrise de la qualité, de la circulaire du 7 janvier 2008 fixant les modalités

Plus en détail

REFERENTIEL DU CQPM. Les missions ou activités confiées au titulaire peuvent porter à titre d exemples non exhaustifs sur :

REFERENTIEL DU CQPM. Les missions ou activités confiées au titulaire peuvent porter à titre d exemples non exhaustifs sur : COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 30/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Responsable d affaires I OBJECTIF PROFESSIONNEL

Plus en détail

J u i n 2 0 1 0. C o n s e i l n a t i o n a l d e r e c h e r c h e s d u C a n a d a. V é r i f i c a t i o n i n t e r n e d u C N R C

J u i n 2 0 1 0. C o n s e i l n a t i o n a l d e r e c h e r c h e s d u C a n a d a. V é r i f i c a t i o n i n t e r n e d u C N R C C o n s e i l n a t i o n a l d e r e c h e r c h e s d u C a n a d a Vérification de la gestion des risques V é r i f i c a t i o n i n t e r n e d u C N R C J u i n 2 0 1 0 Juin 2010 i 1.0 Sommaire

Plus en détail

plate-forme mondiale de promotion

plate-forme mondiale de promotion plate-forme mondiale de promotion À propos de The Institute of Internal Auditors (Institut des auditeurs internes) L'institut des auditeurs internes (IIA) est la voix mondiale de la profession de l'audit

Plus en détail

Charte de contrôle interne de Fongépar Gestion Financière

Charte de contrôle interne de Fongépar Gestion Financière Charte de contrôle interne de Fongépar Gestion Financière Sommaire : 1 Avant propos... 2 1.1 Objet de la Charte... 2 1.2 Le cadre règlementaire... 2 2 Organisation du dispositif de contrôle interne...

Plus en détail

Avis n 2012 05 du 18 octobre 2012 relatif aux changements de méthodes comptables, changements d estimations comptables et corrections d erreurs

Avis n 2012 05 du 18 octobre 2012 relatif aux changements de méthodes comptables, changements d estimations comptables et corrections d erreurs Avis n 2012 05 du 18 octobre 2012 relatif aux changements de méthodes comptables, changements d estimations comptables et corrections d erreurs Sommaire 1. CHAMP D APPLICATION... 2 2. CHANGEMENTS DE METHODES

Plus en détail

UE 5 Management des systèmes d informations. Le programme

UE 5 Management des systèmes d informations. Le programme UE 5 Management des systèmes d informations Le programme Légende : Modifications de l arrêté du 8 mars 2010 Suppressions de l arrêté du 8 mars 2010 Partie inchangée par rapport au programme antérieur 1.

Plus en détail

1-Audit fiscal : I/Définition et objectifs de l audit fiscal :

1-Audit fiscal : I/Définition et objectifs de l audit fiscal : 1-Audit fiscal : I/Définition et objectifs de l audit fiscal : Toute mission d'audit, quelle qu'en soit sa nature, suppose une démarche et une méthodologie permettant d'atteindre son objectif avec le maximum

Plus en détail

99.1 RAPPORT DU PRÉSIDENT DU CONSEIL. Procédures de contrôle interne

99.1 RAPPORT DU PRÉSIDENT DU CONSEIL. Procédures de contrôle interne GRANULATS ET BÉTON Canada. Le village olympique des JO d hiver de 2010, une réalisation Agilia et UltraGreen, certifiée LEED (Leadership in Energy and Environmental Design), Vancouver. Procédures de contrôle

Plus en détail

CHARTE DE L AUDIT INTERNE DU CMF

CHARTE DE L AUDIT INTERNE DU CMF CHARTE DE L AUDIT INTERNE DU CMF Approuvée par le Collège du CMF en date du 3 juillet 2013 1 La présente charte définit officiellement les missions, les pouvoirs et les responsabilités de la structure

Plus en détail

Norme comptable relative au contrôle interne et l organisation comptable dans les établissements bancaires NC22

Norme comptable relative au contrôle interne et l organisation comptable dans les établissements bancaires NC22 Norme comptable relative au contrôle interne et l organisation comptable dans les établissements bancaires NC22 OBJECTIF 01. La Norme Comptable NC 01 - Norme Comptable Générale définit les règles relatives

Plus en détail

Référentiel de compétences en système d'information

Référentiel de compétences en système d'information ANTICIPER ET COMPRENDRE Référentiel de compétences en système d'information OCTOBRE 2013 Publication réalisée dans le cadre du programme national Hôpital numérique Métiers Management des soins Cadre responsable

Plus en détail

DSCG. Diplôme Supérieur de Comptabilité et de Gestion. UE 5 Management des systèmes d information. VAE R é f é r e n t i e l d e c o m p é t e n c e s

DSCG. Diplôme Supérieur de Comptabilité et de Gestion. UE 5 Management des systèmes d information. VAE R é f é r e n t i e l d e c o m p é t e n c e s Diplôme Supérieur de Comptabilité et de Gestion DSCG D é c r e t N 2 0 0 6-1 7 0 6 d u 2 2 d é c e m b r e 2 0 0 6 - A r r ê t é d u 8 m a r s 2 0 1 0 Validation des Acquis de l Expérience VAE R é f é

Plus en détail

MISE EN PLACE D'UN SYSTEME DE MANAGEMENT ENVIRONNEMENTAL ACCOMPAGNEMENT A LA CERTIFICATION ISO 14001.

MISE EN PLACE D'UN SYSTEME DE MANAGEMENT ENVIRONNEMENTAL ACCOMPAGNEMENT A LA CERTIFICATION ISO 14001. MISE EN PLACE D'UN SYSTEME DE MANAGEMENT ENVIRONNEMENTAL ACCOMPAGNEMENT A LA CERTIFICATION ISO 14001. Public : Objectif : Direction Membres du comité de direction - Responsable de service Responsables

Plus en détail

Norme ISA 315, IDENTIFICATION ET EVALUATION DES RISQUES D'ANOMALIES SIGNIFICATIVES PAR LA CONNAISSANCE DE L'ENTITE ET DE SON ENVIRONNEMENT

Norme ISA 315, IDENTIFICATION ET EVALUATION DES RISQUES D'ANOMALIES SIGNIFICATIVES PAR LA CONNAISSANCE DE L'ENTITE ET DE SON ENVIRONNEMENT Norme internationale d audit (ISA) Norme ISA 315, IDENTIFICATION ET EVALUATION DES RISQUES D'ANOMALIES SIGNIFICATIVES PAR LA CONNAISSANCE DE L'ENTITE ET DE SON ENVIRONNEMENT La présente Norme internationale

Plus en détail

QUESTIONNAIRE D AUTO EVALUATION

QUESTIONNAIRE D AUTO EVALUATION ETRE PRET POUR LE CONTROLE QUALITE 2007 page 1/5 0 INFORMATIONS GENERALES Existe-t-il des procédures dans le cabinet? Le cabinet est-il membre d'un groupe ou d'un réseau? Le cabinet est-il membre d'une

Plus en détail

L'audit informatique au service du contrôle interne

L'audit informatique au service du contrôle interne L'audit informatique au service du contrôle interne Compte-rendu de la Rencontre Autour d un verre du 11 octobre 2010 Conférence de Gina Gullà-Menez rapportée par Martine Otter Gina Gullà-Menez, Directeur

Plus en détail

des référentiels r rentiels Jean-Louis Bleicher Régis Delayat

des référentiels r rentiels Jean-Louis Bleicher Régis Delayat L évolution récente r des référentiels r rentiels Jean-Louis Bleicher Régis Delayat 7 Avril 2009 Plan COBIT V4.1 COBIT Quickstart V2 Guide d audit informatique COBIT Val IT Risk IT Le Guide pratique CIGREF/

Plus en détail

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique Pollutec 2013 Atelier ATEE AUDIT ENERGETIQUE EN ENTREPRISE Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique Laurent Cadiou DGEC/SCEE Bureau Économies

Plus en détail

Charte du management des risques du groupe La Poste

Charte du management des risques du groupe La Poste Direction de l'audit et des Risques du Groupe Direction des Risques du Groupe Destinataires Tous services Contact Béatrice MICHEL Tél : 01 55 44 15 06 Fax : E-mail : beatrice.michel@laposte.fr Date de

Plus en détail

SOMMAIRE Thématique : Qualité

SOMMAIRE Thématique : Qualité SOMMAIRE Thématique : Qualité Rubrique : Audit et amélioration... 2 Rubrique : Divers... 8 Rubrique : Maintenance...11 Rubrique : Système de management de la qualité...14 1 Rubrique : Audit et amélioration

Plus en détail

Piloter le contrôle permanent

Piloter le contrôle permanent Piloter le contrôle permanent Un cadre règlementaire en permanente évolution L évolution des réglementations oblige les institutions financières à revoir leur dispositif de contrôle Secteur bancaire CRBF

Plus en détail

CHARTE DES BONNES PRATIQUES

CHARTE DES BONNES PRATIQUES COMITE DES COMITES D ENTREPRISE DU CONSEIL SUPERIEUR DE L ORDRE DES EXPERTS-COMPTABLES CHARTE DES BONNES PRATIQUES ETABLIE au nom du Conseil supérieur de l Ordre des Experts-comptables dans le cadre des

Plus en détail

AUDITS QUALITÉ INTERNES

AUDITS QUALITÉ INTERNES AUDITS QUALITÉ INTERNES 0 Ind. Date Etabli par Vérifié par Approuvé par observations 1/6 1. OBJET Cette procédure a pour objet de définir l'organisation, la planification, la réalisation et le suivi des

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Nom: DOS SANTOS. Date: 23/08/2014 IDENTIFICATION DU POSTE. Localisation géographique: 26 Rue Desaix, 75015 Paris

Nom: DOS SANTOS. Date: 23/08/2014 IDENTIFICATION DU POSTE. Localisation géographique: 26 Rue Desaix, 75015 Paris FICHE DE DESCRIPTION DE POSTE DIRECTION DE L INFORMATION LEGALE ET ADMINISTRATIVE TITULAIRE DU POSTE Nom: Prénom: Visa: RESPONSABLE HIERARCHIQUE DIRECT Nom: DOS SANTOS Prénom: Joseph Visa: Date: 23/08/2014

Plus en détail

MANUEL DE MANAGEMENT DE LA QUALITE. «Votre satisfaction est notre objectif, chacun de son poste est le garant de son application»

MANUEL DE MANAGEMENT DE LA QUALITE. «Votre satisfaction est notre objectif, chacun de son poste est le garant de son application» MANUEL DE MANAGEMENT DE LA QUALITE «Votre satisfaction est notre objectif, chacun de son poste est le garant de son application» SOMMAIRE 1. INTRODUCTION... 4 1.1. Généralités... 4 1.2. Domaine d application...

Plus en détail

Politique de gestion intégrée des risques

Politique de gestion intégrée des risques 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de gestion intégrée des risques Émise par la Direction, Gestion

Plus en détail

LA MAÎTRISE DE LA QUALITE PAR LES CABINETS D AUDIT

LA MAÎTRISE DE LA QUALITE PAR LES CABINETS D AUDIT LA MAÎTRISE DE LA QUALITE PAR LES CABINETS D AUDIT par Janin AUDAS et Brigitte GUILLEBERT Associés de 01 AUDIT ASSISTANCE Novembre 2011 Tout cabinet d audit doit gérer la qualité de ce qu il produit, c

Plus en détail

Proposition. Obtenir l approbation du conseil concernant les modifications proposées à la charte du Comité d audit

Proposition. Obtenir l approbation du conseil concernant les modifications proposées à la charte du Comité d audit Proposition N o : 2015-S05f Au : Conseil d administration Pour : DÉCISION Date : 2015-04-22 1. TITRE Modifications à la charte du Comité d audit 2. BUT DE LA PROPOSITION Obtenir l approbation du conseil

Plus en détail

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D D O M I N I Q U E M O I S A N D F A B R I C E G A R N I E R D E L A B A R E Y R E Préface de Bruno Ménard, président du Cigref CobiT Implémentation ISO 270 2 e édition Pour une meilleure gouvernance des

Plus en détail

Comprendre ITIL 2011

Comprendre ITIL 2011 Editions ENI Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000 Collection DataPro Extrait 54 Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000

Plus en détail

NORME INTERNATIONALE D AUDIT 800 RAPPORT DE L'AUDITEUR (INDEPENDANT) SUR DES MISSIONS D'AUDIT SPECIALES

NORME INTERNATIONALE D AUDIT 800 RAPPORT DE L'AUDITEUR (INDEPENDANT) SUR DES MISSIONS D'AUDIT SPECIALES NORME INTERNATIONALE D AUDIT 800 RAPPORT DE L'AUDITEUR (INDEPENDANT) SUR DES MISSIONS D'AUDIT SPECIALES SOMMAIRE Paragraphes Introduction... 1-2 Remarques d'ordre général... 3-8 Rapports sur des états

Plus en détail

CONTROLES, ANALYSE ET AMELIORATION

CONTROLES, ANALYSE ET AMELIORATION Manuel de management de la qualité Chapitre 5 : CONTROLES, ANALYSE ET AMELIORATION Approuvé par Guy MAZUREK Le 1/10/2014 Visa Page 2 / 8 SOMMAIRE 1 CONTRÔLES DE CONFORMITE... 3 1.1 Contrôle effectués sur

Plus en détail

Par nature, Nous vous rendons. Plus performant. Séminaire Démarche écoresponsable et sites sensibles : l exemple du Life Promesse.

Par nature, Nous vous rendons. Plus performant. Séminaire Démarche écoresponsable et sites sensibles : l exemple du Life Promesse. Séminaire Démarche écoresponsable et sites sensibles : l exemple du Life Promesse Par nature, Nous vous rendons Plus performant. 11 décembre 2007 Group Présentation et comparaison de la norme ISO 14001

Plus en détail

RAPPORT DE TRANSPARENCE. Exercice 2013. Rapport de transparence 2013 (mars 2014)

RAPPORT DE TRANSPARENCE. Exercice 2013. Rapport de transparence 2013 (mars 2014) RAPPORT DE TRANSPARENCE Exercice 2013 Rapport de transparence 2013 (mars 2014) RAPPORT DE TRANSPARENCE DU CABINET MALEVAUT-NAUD Exercice clos le 31 décembre 2013 La dénomination Cabinet MALEVAUT-NAUD,

Plus en détail

N 65 État de Genève : audit de gestion de la gouvernance globale des systèmes d information rapport publié le 27 juin 2013

N 65 État de Genève : audit de gestion de la gouvernance globale des systèmes d information rapport publié le 27 juin 2013 N 65 État de Genève : audit de gestion de la gouvernance globale des systèmes d information rapport publié le 27 juin 2013 Les 12 recommandations de la Cour des comptes ont été approuvées. Actuellement

Plus en détail

Les métiers de l assistanat Evolutions Compétences - Parcours

Les métiers de l assistanat Evolutions Compétences - Parcours Les métiers de l assistanat Evolutions Compétences - Parcours Neuf pôles d activité La majorité des assistantes ont des activités couvrant ces différents pôles, à des niveaux différents, à l exception

Plus en détail