DSCG : UE5 - Management des Systèmes d'information

Dimension: px
Commencer à balayer dès la page:

Download "DSCG : UE5 - Management des Systèmes d'information"

Transcription

1 Table des matières CARTE HEURISTIQUE... 1 GÉNÉRALITÉS... 1 LES MISSIONS D'AUDIT... 1 Les contextes d'audit...2 L'audit des systèmes d'information...2 Les différents types de missions d'audit...2 La démarche d'audit...3 LE CADRE LÉGAL ET NORMATIF DE L'AUDIT...5 Les normes et les référentiels...5 Le référentiel CobiT...6 Les normes professionnelles internationales...7 Le contrôle interne...8 LE CONTRÔLE DES COMPTES DES ENTITÉS INFORMATISÉES...11 Le système d'information comptable (SIC)...11 La prise en compte de l'environnement informatique lors de l'audit légal des comptes...11 Le risque d'audit...12 LA DÉMARCHE D'AUDIT DU CNCC...14 Les supports opérationnels...15 L'AUDIT ASSISTÉ PAR ORDINATEUR...16 Les étapes de l'audit assisté par ordinateur...16 Les techniques d'audit assisté par ordinateur, TAAO (Computer Assisted Techniques, CAATs)...17 Les progiciels d'aide à la révision...19 Les avantages des progiciels d'aide à la révision...20 Carte heuristique Généralités Après avoir longtemps été cantonné au domaine financier, le terme «audit» s'est maintenant largement diffusé et concerne notamment les systèmes d'information. Les enjeux de la mise en œuvre d'un audit sont multiples et répondent à des problématiques de mise en conformité et de prévention des risques. Un certain nombre de lois ont eu pour effet de généraliser et de systématiser la pratique de l'audit des systèmes d'information pour contribuer au rétablissement de la confiance entre les acteurs de l'économie. L'audit des SI bénéficie d'un cadre légal et réglementaire tant au niveau national qu'au niveau international, et dispose d'outils informatiques permettant, d'une part, de traiter les données issues des SI et, d'autre part, de faciliter le suivi et la réalisation d'une mission complexe et documentée. Les missions d'audit Selon la norme ISO 9000, l'audit est un «processus méthodique, indépendant et documenté permettant de recueillir des informations objectives pour déterminer dans quelle mesure les pratiques 1/20

2 observées satisfont aux référentiels du domaine concerné», L'auditeur se forge une opinion qu'il consigne ensuite dans un rapport. Les contextes d'audit L'audit en tant que mécanisme de gouvernance occupe une place croissante dans un contexte de regroupement d'entreprise et de développement des fonds d'investissement. De plus en plus, les entreprises cherchent à maîtriser l'incertitude par la conduite d'audits fondés sur une approche par les risques. Ainsi, des audits sont réalisés à la demande des dirigeants des organisations (direction générale, mais également directions opérationnelles) auprès de leur service d'audit interne ou auprès d'auditeurs externes. Ce peut être, par exemple, un audit de conformité pour anticiper un éventuel contrôle fiscal par un diagnostic du système d'information comptable. Des audits sont également mandatés par des propriétaires pour contrôler leurs mandataires (les dirigeants) et réduire l'asymétrie d'information entre les différents «stakeholders» ou «parties prenantes». Ces audits sont conduits en sus de l'audit légal des comptes réalisé par les commissaires aux comptes en France. Par ailleurs, des audits peuvent être menés dans le cadre d'une expertise judiciaire, sur la requête d'un tribunal (juridictions civiles, pénales, etc.), voire à la demande d'une autorité administrative. Les contextes d'audit sont variés et demandent de plus en plus un audit des systèmes d'information qui se retrouve à la croisée des préoccupations des dirigeants et des différentes parties prenantes qui ont des objectifs économiques et financiers nécessitant une maîtrise accrue du risque. L'audit des systèmes d'information Le concept d'audit des systèmes d'information est apparu au cours des années Il comprend l'examen et l'évaluation des processus, des systèmes de traitement automatisé de l'information et des interfaces qui les relient ainsi que des procédures connexes non automatisées, avec un ensemble de règles en vigueur (fiscales, juridiques, techniques, etc.). Il vise à mettre en évidence les risques relatifs aux processus supportés par le système d'information et ceux liés à l'infrastructure technique (adéquation de l'infrastructure avec les besoins de l'entité, sécurité physique, logique et applicative, pérennité du SI, etc.). L'audit des systèmes d'information couvre un périmètre plus large que l'audit informatique dans la mesure où il s'intéresse aux aspects organisationnels et fonctionnels liés au SI, en plus des aspects purement techniques. L'audit des systèmes d'information peut être décomposé en deux approches : l'évaluation de la fonction informatique, pour laquelle l'auditeur s'appuie principalement sur les méthodes et référentiels existants dans ce domaine (essentiellement le CobiT). La fonction«informatique» de l'entreprise est à prendre en compte en termes de séparation des fonctions, gestion des mouvements de personnel, gestion des projets, fiabilité des processus informatiques (pilotage, développement, maintenance, exploitation, sécurité du SI), etc. ; l'évaluation de la composante «système d'information» des processus opérationnels, pour laquelle l'auditeur s'appuiera sur des programmes de travail spécifiques. Ceux-ci sont induits par l'appréciation des risques généraux portant sur le processus considéré et sont fonction du degré d'informatisation du processus et du type d'outil informatique utilisé. Selon Serge Yablonsky, président d'honneur de l'afai (Association française de l'audit et du conseil informatiques) et directeur du cabinet d'audit Moore Stephens SYC : «l'audit de la fonction informatique basé en général sur le référentiel CobiT peut couvrir l'audit de la stratégie, de la tactique, de l'opérationnel et de management de la fonction, tandis que l'audit des applications avec les processus métiers couvrira, par exemple dans le cas de la gestion commerciale, la validation des données, la fiabilité et la réactivité des traitements ou encore la conformité réglementaire.» (Source : Les différents types de missions d'audit Les missions d'audit peuvent être de plusieurs types : interne, externe et stratégique de la fonction informatique. Elles se caractérisent également : par la nature du lien entre l'auditeur et l'audité, avec l'appartenance ou la non appartenance à l'entité auditée ; par la nature du cadre juridique de l'audit, avec le respect d'obligations légales et de normes professionnelles ; par la qualité du mandataire de la mission et du contexte d'audit ; 2/20

3 etc. L'audit interne La mission d'audit interne est diligentée par la direction de l'entité. Selon l'afai (Association française de l'audit et du conseil informatiques), «l'audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité». Cette activité indépendante est exécutée par le département d'audit interne. L'audit externe La mission d'audit externe est réalisée par des personnes extérieures à l'organisation : cabinets d'experts-comptables ou professionnels spécialisés dans un domaine précis (audit environnemental, audit de sécurité, etc.). Elle peut tenir à plusieurs raisons différentes : soit elle répond aux mêmes objectifs qu'une mission d'audit interne et, dans ce cas, sa justification tient à l'absence d'un département d'audit interne ou à l'absence de compétences au sein du département d'audit interne pour l'évaluation des SI, voire à la volonté de confier la mission à un tiers indépendant de l'entité auditée ; soit elle répond à d'autres contextes d'audit et elle est éventuellement diligentée par d'autres acteurs que la direction de l'entité. On peut citer, par exemple, les missions réalisées par les commissaires aux comptes (CAC) dans le cadre de leurs mandats d'audit. Dans ce cas, la mission d'audit a uniquement pour objectifs de renseigner les CAC sur le niveau de contrôle interne existant dans l'entreprise sur le processus informatique et d'évaluer les risques existants pouvant impacter leur opinion. L'audit stratégique de la fonction informatique L'audit stratégique de la fonction informatique vise à vérifier son alignement sur la stratégie à long terme de l'entité. Il consiste à étudier l'adéquation de la fonction informatique aux besoins et aux enjeux de l'entreprise, le respect du principe de séparation des tâches et le niveau de dépendance de l'entreprise vis-à-vis de prestataires externes. La démarche d'audit La démarche d'audit se déroule en plusieurs phases aboutissant à l'élaboration d'un rapport d'audit, véritable outil de communication entre le ou les commanditaires de l'audit, les acteurs de l'entité auditée et les auditeurs. Les phases d'une mission d'audit La démarche d'audit retenue par le Guide d'audit des systèmes d'information de l'afai s'appuie sur trois phases, dont les activités sont détaillées dans la figure 10.1 : planification, cadrage et exécution. La démarche d'audit 3/20

4 L'auditeur planifie, dans un premier temps, les différents aspects de la mission concourant à l'atteinte des objectifs initialement fixés. Ces objectifs sont ensuite détaillés dans la phase de cadrage puis la phase d'exécution de l'audit aboutit à la formulation de conclusions et de recommandations consignées dans un rapport d'audit. Le rapport d'audit Toute mission d'audit, et donc d'audit des systèmes d'information, se traduit par un rapport d'audit, qui constitue la pièce maîtresse de la mission d'audit. Selon les normes professionnelles de l'isaca (Information Systems and Control Association), «à l'issue de son travail, l'auditeur des SI doit fournir un rapport sous une forme adéquate. Le rapport doit préciser l'entreprise, les destinataires du document et les éventuelles restrictions à sa diffusion. [... ] Le rapport doit spécifier la portée, les objectifs, la période couverte, la nature, la durée et l'ampleur de l'audit réalisé. [... ] Le rapport doit spécifier les conclusions et recommandations de l'audit, ainsi que les éventuelles limitations de portée, réserves ou qualifications jugées opportunes par l'auditeur des SI. [... ] L'auditeur des SI doit collecter des éléments probants suffisants et pertinents pour corroborer les résultats rapportés. [... ] Lors de son édition, le rapport de l'auditeur des SI doit être signé, daté et distribué conformément aux termes de la charte d'audit ou de la lettre de mission» (source : Le rapport d'audit est un outil stratégique, support des améliorations du SI. Les conseils pour piloter un audit du système d'information Selon Dominique Filippone (JDN Solutions, 10 conseils pour piloter son audit des systèmes d'information, lorsqu'une entreprise décide ou est contrainte de réaliser un audit, elle doit se poser des questions sur la façon de le mener à bien et d'appréhender avec le plus d'objectivité possible les résultats de l'audit et suivre les conseils suivants : 1. Bien délimiter le champ d'investigation et les enjeux de l'audit. 2. Se préparer à la procédure d'audit. 3. Séparer le commanditaire de l'entité en charge de l'audit. L'audit doit être mené par des intervenants indépendants de la DSI et mandatés par la direction générale. Cependant, des audits seront commandités spécifiquement par la DSI lorsque les enjeux seront typiquement liés à ses processus internes (suivi de la production, suivi de la qualité de service... ). 4. Se doter d'une direction de l'audit interne, oui, mais ce n'est pas sans poser problème en raison de l'importance des ressources à mobiliser et de la place de cette direction dans l'organisation. 4/20

5 5. Recourir à des référentiels solides comme ISO, CobiT (Control Objectives for Information and related Technology) dans le cadre de processus transverses, CMMI (Capability Maturity Model Integration), dans celui du pilotage de projet, ITIL (Information Technology Infrastructure Library), pour les services, etc. 6. S'entendre sur le référentiel choisi. Les parties prenantes concernées par les enjeux de l'audit doivent avoir une vision sur le référentiel choisi, ainsi la clarté de la démarche d'audit sera appréhendée dans le temps. 7. Préparer les pièces indispensables à l'audit et en faciliter l'accès : le cahier des charges, qui a pour vocation à contractualiser les besoins d'une entité envers un tiers, mais également le plan qualité, les tableaux de bord et indicateurs de performance, la gestion des problèmes récurrents, etc. 8. Confier son audit à une équipe pluridisciplinaire et indépendante. 9. Choisir la fréquence et le temps de déroulement de l'audit. 10. Ne pas sous-estimer les limites d'un audit.» Les risques de ne pas identifier l'ensemble des faiblesses et menaces d'un processus ou d'un applicatif ne sont pas nuls. Parmi les contraintes et les limites potentielles : un temps imparti à l'audit restreint ou une appréciation biaisée du contexte fonctionnel et métier de l'organisation étudiée. Enfin, un léger réajustement technique ou organisationnel exercé a posteriori sur le SI peut remettre en cause tout ou partie des résultats d'un audit. Le cadre légal et normatif de l'audit L'audit des systèmes d'information est encadré par des normes et référentiels spécifiques, internationaux et nationaux, qui servent de guide dans les pratiques des auditeurs internes et externes. Toutefois, le cadre de référence de l'audit retenu par les grandes entreprises est souvent rapproché du cadre proposé par l'autorité des marchés financiers (AMF) au titre du contrôle interne. En effet, le législateur a obligé les grandes entreprises à plus de transparence et à disposer de systèmes d'information à la hauteur de ces enjeux par la loi Sarbanes-Oxley (SOX : 29 août 2002) aux États-Unis, les lois NRE (nouvelles réglementations économiques, 15 mai 2001), LSF (loi de sécurité financière, 1er août 2003) et la loi pour la confiance et la modernisation de l'économie (<< loi Breton», 26 juillet 2005) en France. Ce nouveau socle réglementaire répond à un enjeu majeur : rétablir la confiance entre les différents acteurs de l'économie. Nous ne développerons ici que les renforcements des obligations des sociétés françaises en matière de contrôle interne. Les normes et les référentiels La spécificité de l'audit des systèmes d'information et les compétences requises pour accomplir des audits exigent des normes et des référentiels qui s'appliquent expressément à l'audit des SI. Il existe des normes professionnelles internationales et nationales, et des référentiels relatifs à l'audit des entités informatisées. Ils sont élaborés par des organisations internationales qui ont le plus souvent des correspondants nationaux. Les principaux organismes, normes et référentiels sont présentés dans le tableau suivant. Il ne s'agit pas d'une liste exhaustive. interne informatique externe Organismes internationaux UA, Institute of Internal ors (www.theüa.org) ISACA, Information Systems and Control Association (www.isaca.org) IFAC, International Federation of Accountants (www.ifac.org) Normes ou référentiels internationaux Normes internationales pour la pratique professionnelle de l'audit CobiT (téléchargement depuis le site et divers normes et standards ISA, International Standards on ing ISQC1, International Standard on Quality Control Organisations nationales IFACI, Institut français des auditeurs internes (www.ifaci.com) AFAI, Association française de l'audit et du conseil informatiques (www.afai.fr) CNCC, Compagnie nationale des commis saires aux comptes (www. cncc.fr) 5/20

6 interne informatique externe Normes nationales NEP, normes d'exercice professionnel L'objectif des normes est d'informer les auditeurs du niveau minimal acceptable pour répondre aux responsabilités professionnelles et les autres parties des attentes de la profession d'audit. Le référentiel CobiT La démarche d'audit du système d'information s'appuie sur le référentiel CobiT (Control Objectives for Information and related Technology - Objectifs de contrôle de l'information et des technologies associées) qui fournit les «bonnes pratiques» pour l'appréciation des risques informatiques et propose des standards de contrôle selon le cadre présenté ci-dessous : Cadre d'analyse des risques illustré par CobiT Le modèle débute par une valorisation des biens. Dans CobiT, ces biens sont les informations - et naturellement l'ensemble des ressources associées - dont les critères d'efficacité, de disponibilité ou d'intégrité, etc., sont essentiels pour atteindre les objectifs de l'entreprise. L'étape suivante est l'analyse de vulnérabilité des processus, qui permet d'identifier les faiblesses par les critères d'information ; un processus peut par exemple être vulnérable à la perte d'intégrité. L'analyse des menaces, étape suivante, doit permettre de lister l'ensemble des menaces et de voir quelles vulnérabilités elles pourraient exploiter. L'analyse des risques va combiner la probabilité de la menace, le degré de vulnérabilité et le niveau de sévérité de l'impact. Il faut alors réaliser l'analyse du contrôle en exhibant une série de contre-mesures et en évaluant leur efficacité face aux risques. Un plan d'actions est alors mis en œuvre et le cycle peut recommencer. L'utilisation du référentiel CobiT est rassurante pour l'auditeur et l'audité car elle renvoie à une démarche acceptée et validée au niveau international. Elle permet à l'auditeur : d'adopter une démarche efficace en se référant, pour la construction et l'application des programmes de travail, à un ensemble reconnu de bonnes pratiques ; de structurer la documentation de travail et de la mission ; de prendre en compte tous les risques (exhaustivité) ; de faciliter les échanges en se référant à un référentiel international ; de permettre des comparaisons entre entités ou secteurs d'activité ; etc. Si le recours au référentiel CobiT constitue une véritable opportunité pour l'auditeur, son usage présente des limites. D'une part, le référentiel est avant tout un outil de travail. Il devra donc être adapté aux objectifs de la mission et au contexte de mise en œuvre. Le référentiel nécessite impérativement une démarche critique de l'auditeur et une appréciation des risques liés au contexte spécifique d'intervention. D'autre part, si le référentiel CobiT reste exhaustif et pertinent pour 6/20

7 l'appréciation des risques liés à la fonction informatique, sa portée est considérablement limitée lors de l'évaluation des risques informatiques sous-jacents dans le fonctionnement des autres processus opérationnels ou les risques informatiques particuliers propres, par exemple, à un environnement légal et réglementaire donné. Les normes professionnelles internationales Des normes professionnelles internationales relatives à l'audit interne et à l'audit externe existent. Les normes d'audit interne Au niveau international, ce sont les normes internationales pour la pratique professionnelle de l'audit interne de l'institute of Internal ors (lia) qui constituent le référentiel de la mission d'audit interne. Elles sont complétées par un code de déontologie fournissant aux auditeurs internes les principes et valeurs régissant leur pratique professionnelle. Selon l'ifaci, les normes ont pour objet : de définir les principes fondamentaux de la pratique de l'audit interne ; de fournir un cadre de référence pour la réalisation et la promotion d'un large champ d'intervention d'audit interne à valeur ajoutée ; d'établir les critères d'appréciation du fonctionnement de l'audit interne ; de favoriser l'amélioration des processus organisationnels et des opérations. Les normes se composent : de normes de qualification qui précisent les caractéristiques que doivent présenter les organisations et les personnes accomplissant des missions d'audit interne ; de normes de fonctionnement qui décrivent la nature des missions d'audit interne et définissent des critères de qualité permettant de mesurer la performance des services fournis ; de normes de mise en œuvre qui précisent les deux types de normes précédentes en indiquant les exigences applicables dans les activités d'assurance (évaluation objective en vue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une opération, une fonction, un processus, un système ou tout autre sujet) ou de conseil. La norme de qualification 1210.A3 stipule notamment que «les auditeurs internes doivent posséder une connaissance suffisante des principaux risques et contrôles relatifs aux technologies de l'information, et des techniques d'audit informatisées susceptibles d'être mises en œuvre dans le cadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes ne sont pas censés posséder l'expertise d'un auditeur dont la responsabilité première est l'audit informatique». Les normes d'audit externe Au niveau international, ce sont les normes ISA qui constituent le référentiel de la mission d'audit externe. Elles ont été élaborées et publiées par l'international ing and Assurance Standards Board (IAASB), qui est une dépendance de l'ifac (International Federation of Accountants). Les objectifs des normes d'audit des systèmes d'information de l'isaca sont d'«informer : les auditeurs de systèmes d'information du niveau minimum de diligence requis pour satisfaire les responsabilités professionnelles définies dans le code d'éthique professionnelle de l'isaca ; la direction et les autres parties prenantes de ce qu'elles sont en droit d'attendre des travaux professionnels des auditeurs» (source : AFAI, La Revue, n" 78, mars 2005). L'architecture des normes d'audit des systèmes d'information de l'isaca comprend plusieurs niveaux : les normes définissent les exigences obligatoires pour la conduite de l'audit des systèmes d'information et la rédaction des rapports ; les recommandations apportent des conseils pour l'application des normes ISA ; les procédures donnent des informations sur la façon de satisfaire aux normes lors de l'accomplissement des travaux d'audit. 7/20

8 Les normes ISA de référence sont : la norme ISA Connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives ; la norme ISA Procédures à mettre en œuvre par l'auditeur en fonction de son évaluation du risque. Ces normes ont été transposées au niveau national. Par ailleurs, la norme ISCQ1 (International Standard on Quality Control), établie par l'ifac, définit les exigences relatives à la mise en place d'un système de «contrôle qualité des cabinets réalisant des missions d'audit ou d'examen limité d'informations financières historiques, et d'autres missions d'assurance et de services connexes». Cette norme devrait être implémentée dans les cabinets de réviseurs d'entreprises dans les prochaines années. Les normes professionnelles nationales En France, c'est la CNCC (Compagnie nationale des commissaires aux comptes) qui réalise le référentiel normatif homologué applicable à la profession française. Il a été entériné courant La transposition dans le référentiel français des normes d'audit internationales de l'ifac a poursuivi deux objectifs : positionner clairement la France au regard du référentiel normatif international (IAASB) ; témoigner du haut degré de qualité de la certification des commissaires aux comptes. De cette transposition ont découlé notamment les normes d'audit en environnement informatisé : la norme CNCC relative à l'évaluation du risque et au contrôle interne ; la norme CNCC relative à l'audit réalisé dans un environnement informatique. Ces textes ont été remplacés le 1er mai 2007 par les normes d'exercice professionnel : -la norme NEP Connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives dans les comptes ; la norme NEP Procédures d'audit mises en œuvre par le commissaire aux comptes à l'issue de son évaluation des risques. Ces NEP découlent des normes internationales ISA 315 et 330. Les NEP ont valeur de loi et s'imposent dans le cadre de la mission du CAC. Elles ont pour vocation première «de garantir le bon exercice des missions et permettent de trouver, dans une doctrine émanant de l'organisation professionnelle seule habilitée à définir, les critères d'appréciation nécessaires» (Référentiel normatif CNCC, juillet 2003, 0-100, Préambule). Le contrôle interne La mise en place de dispositifs de contrôle interne repose en grande partie sur le contrôle du système d'information. En effet, la quasi-totalité des procédures repose aujourd'hui sur des traitements informatisés. La mise en place de dispositifs de contrôle interne efficaces se fait et se fera de plus en plus à l'aide de SI conçus à cet effet. La définition et la portée du contrôle interne Selon l'afai, le contrôle interne est un dispositif mis en œuvre par la société et sous sa responsabilité. «Il comprend un ensemble de moyens, de comportements, de procédures et d'actions adaptés aux caractéristiques propres de chaque société qui : contribue à la maîtrise de ses activités, à l'efficacité de ses opérations et à l'utilisation efficiente de ses ressources, et doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu'ils soient opérationnels, financiers ou de conformité.» Le contrôle interne vise plus particulièrement à «assurer : la conformité aux lois et règlements ; l'application des instructions et des orientations fixées par la direction générale ou le directoire ; 8/20

9 le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs ; la fiabilité des informations financières. Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux seuls processus comptables et financiers. La définition du contrôle interne ne recouvre pas toutes les initiatives prises par les organes dirigeants ou le management comme par exemple la définition de la stratégie de la société, la détermination des objectifs, les décisions de gestion, le traitement des risques ou le suivi des performances», Selon les articles et du Code de commerce, qui trouvent leur origine dans la loi de sécurité financière (LSF) du 1er août 2003 (article 117), dans les sociétés faisant appel public à l'épargne, le président du conseil d'administration ou du conseil de surveillance «rend compte, dans un rapport, [... ] des procédures de contrôle interne mises en place par la société». Pour ces mêmes sociétés, selon l'article L du Code de commerce (article 120 de la LSF), «les commissaires aux comptes présentent dans un rapport 13121Management des systèmes d'information [... ] leurs observations sur le rapport (du Président) pour celles des procédures de contrôle interne relatives à l'élaboration et au traitement de l'information comptable et financière». Les applicatifs dédiés au «Contrôle Interne» répondent aux enjeux majeurs suivants : S assurer de la conformité de l entreprise aux réglementations et aux normes de contrôle interne : LSF, cadre de référence de l AMF, Sarbanes-Oxley, CRBF et Bâle II pour les banques, Solvabilité II pour l assurance, Contribuer à l alignement et à l optimisation des processus opérationnels dans l entreprise, Faciliter la communication aux parties prenantes et la rédaction du rapport annuel sur le contrôle interne.» Le cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf Face aux préoccupations relatives au contrôle interne, on assiste au développement de démarches sur la base de cadres de référence, comme celui de l'amf (Autorité des marchés financiers) ou celui du casa (Committee of Sponsoring Organizations of the Treadway Commission). Le dispositif du contrôle interne s'intéresse tant aux qualités des systèmes d'information qu'aux informations diffusées, ainsi que le préconise le cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf de 2010, dont un extrait est présenté ci-dessous. Extrait du cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf de 2010 Selon l'amf, «le dispositif de contrôle interne comprend cinq composantes [... ] : 1) Une organisation comportant une définition claire des responsabilités, disposant des ressources et des compétences adéquates et s'appuyant sur des systèmes d'information, sur des procédures ou modes opératoires, des outils et des pratiques appropriés [... ]. Les systèmes d'information [doivent être adaptés] aux objectifs actuels de l'organisation et conçus de façon à pouvoir supporter ses objectifs futurs. Les systèmes informatiques sur les- quels s'appuient ces systèmes d'information doivent être protégés efficacement tant au niveau de leur sécurité physique que logique afin d'assurer la conservation des informations stockées. Leur continuité d'exploitation doit être assurée au moyen de procédures de secours. Les informations relatives aux analyses, à la programmation et à l'exécution des traitements doivent faire l'objet d'une documentation [... ]. 2) La diffusion en interne d'informations pertinentes, fiables, dont la connaissance permet à chacun d'exercer ses responsabilités [... ]. 3) Un dispositif de gestion des risques visant à recenser, analyser et traiter les principaux risques identifiés au regard des objectifs de la société. 4) Des activités de contrôle proportionnées aux enjeux propres à chaque processus, et conçues pour s'assurer que les mesures nécessaires sont prises en vue de maîtriser les risques susceptibles d'affecter la réalisation des objectifs. 5) Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu'un examen régulier de son fonctionnement». 14 juin /20

10 Cette nouvelle édition du cadre de référence de l'amf s'appuie sur les évolutions constatées dans les principaux référentiels internationaux, en particulier : le référentiel de contrôle interne casa II, qui est aujourd'hui le plus communément admis et utilisé. Il est adopté notamment par un nombre croissant d'entreprises françaises ; la norme ISO (<< Management du risque - Principes et lignes directrices», de l'organisation internationale de normalisation), qui fournit des principes et des lignes directrices générales sur le management du risque. Elle intègre un questionnaire relatif au contrôle interne comptable et financier dont une partie porte sur les systèmes d'information (voir encadré ci-dessous). Extrait du cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf de 2010 [...] Système d'information Questionnaire relatif au contrôle interne comptable et financier - Les autorisations et droits d'accès aux systèmes ainsi que les environnements hébergeant ces systèmes prennent-ils suffisamment en compte la séparation des tâches? - Des principes de sécurité d'utilisation sont-ils établis et communiqués (ex. : gestion des mots de passe, transferts de données, accès à Internet... )? Des principes de sécurité physique sont-ils définis et communiqués? Des principes de sécurité logique sontils définis et communiqués? Les accès aux données et programmes sont-ils sécurisés par profil d'utilisateur? Une traçabilité des transactions est-elle possible, analysée, vérifiée? Un dispositif de protection anti-virus contre les attaques et les intrusions externes est-il envisagé? - Des dispositifs de sauvegarde des données sont-ils en place? Font-ils l'objet de tests périodiques? - Des mesures de continuité de service sont-elles mises en place en lien avec les besoins métiers? Font-elles l'objet de tests périodiques? - Les obligations de conservation des informations, données et traitements informatiques concourant directement ou indirectement à la formation des états comptables et financiers sont-elles respectées? [...]. 3. l'audit des systèmes d'information, outil privilégié du contrôle interne 14 juin L'audit des systèmes d'information constitue un pilier du contrôle interne. En effet, selon l'afai, les démarches mises en œuvre en matière de contrôle interne sont : l'audit comptable, dont l'objectif est de garantir la sincérité des comptes. Il peut être conduit par le service d'audit interne, par les commissaires aux comptes ou, le cas échéant, par les autorités de tutelle ; l'audit interne, dont le but est de permettre aux directions générales d'avoir l'assurance d'un niveau de sécurité adapté à chacun de ses processus ; l'analyse des risques, dont l'objectif est d'évaluer périodiquement le niveau des risques opérationnels et des risques bilan ciels des entreprises ; l'audit de sécurité, dont le but est de contrôler que les dispositifs de sécurité organisationnels, matériels et logiciels sont corrects ; l'audit informatique, qui a pour objectif d'évaluer l'efficacité des activités informatiques ; l'audit du système d'information, qui a pour but de vérifier la contribution des ressources informatiques consommées à l'efficacité de l'entreprise ; l'audit qualité, dont l'objectif est de vérifier que les dispositifs d'assurance qualité garantissent un niveau de qualité satisfaisant. Pour répondre aux attentes du cadre légal relatif au contrôle interne, il est nécessaire d'assurer la cohérence et la complémentarité des différentes démarches d'audit, et notamment de veiller à la contribution de l'audit des différentes composantes du SI aux démarches de contrôle interne. L'AFAI a mis en évidence les principaux apports des domaines de l'audit des composantes du système d'information aux cinq autres démarches du contrôle interne. Relations entre audit des composantes du SI et démarches de contrôle interne 10/20

11 Démarches d'audit Stratégie informatique Fonction informatique Processus informatisés comptable x x interne x x x Analyse des risques x x x de sécurité x x qualité x x AFAI, Contrôle interne et système d'information, 2" édition, Ainsi, l'audit des composantes du système d'information, que sont la stratégie informatique, la fonction informatique et les processus informatisés, joue un rôle majeur au service du contrôle interne. Le contrôle des comptes des entités informatisées Le contrôle des comptes des entités informatisées peut être un contrôle légal effectué par un commissaire aux comptes ou un contrôle de nature contractuelle effectué par un expert-comptable. Le CAC et l'expert-comptable doivent prendre en compte l'évplution notoire des systèmes d'information comptable, qui sont de plus en plus automatisés et intégrés. Ici, nous n'étudierons que le contrôle externe légal effectué par un commissaire aux comptes. Le système d'information comptable (SIC) Le système d'information comptable est le système interface entre les systèmes opérants (achat, production, vente, investissement...) et le système de pilotage. Il recueille et traite les différentes informations de nature comptable et financière afin de les mettre à la disposition du système de pilotage (dit aussi «système de décision»). Les SIC sont de plus en plus intégrés. L'intégration vise à regrouper dans un système unique les différents systèmes comptables et de gestion de l'entreprise, et à assurer la production d'une information fiable, actuelle, non redondante et homogène. Il existe différents niveaux d'intégration des SIC : la comptabilité autonome, la comptabilité semi-intégrée et la comptabilité intégrée. La comptabilité autonome Cette architecture est caractéristique des petites entreprises dont l'informatisation est généralement centrée sur la mise en place d'un progiciel comptable. La comptabilité peut être considérée comme autonome du fait de l'existence d'un lien direct entre le fait juridique et l'écriture comptable. La comptabilité semi-intégrée Dans cette organisation qui caractérise généralement les entreprises de tailles moyenne et grande, la comptabilité est alimentée par des progiciels amont dédiés aux différents domaines fonctionnels de l'entreprise (achats, ventes, immobilisations, paie, etc.). Ces progiciels appartiennent souvent à la même gamme logicielle, ce qui facilite la génération automatique des écritures dans le progiciel de comptabilité grâce aux fonctionnalités d'importation et d'exportation. La comptabilité intégrée Ce type d'organisation, propre aux grandes entreprises, se caractérise souvent par une saisie unique de l'information dans une base de données commune à plusieurs modules couvrant les différents domaines fonctionnels de l'entreprise. Les processus sont généralement très informatisés et supportés par des progiciels de gestion intégrée. La prise en compte de l'environnement informatique lors de l'audit légal des comptes La prise en compte de l'environnement informatique lors de l'audit des comptes par les commissaires aux comptes ne doit pas être confondue avec l'audit informatique d'un système d'information confié généralement à des experts spécialisés. L'audit des comptes mené par un CAC est un audit externe nommé «audit légal des comptes», Depuis 2000, le CAC doit, dans le cadre de sa mission, prendre en considération le système 11/20

12 d'information ainsi que le stipule la norme CNCC relative à l'audit réalisé dans un environnement informatique (voir encadré ci-dessous). Encadré Extrait de la norme CNCC relative à l'audit réalisé dans un environnement informatique La norme CNCC rappelle les principes fondamentaux suivants : l'existence d'un environnement informatique ne modifie pas l'objectif et l'étendue de la mission du commissaire aux comptes ; l'utilisation d'un ordinateur modifie la saisie et le processus de traitement et de conservation des données, et en conséquence peut avoir une incidence sur les systèmes comptable et de contrôle interne de l'entité ; un environnement informatique peut ainsi avoir une incidence sur la démarche du commissaire aux comptes lors de : la prise de connaissance des systèmes comptable et de contrôle interne, la prise en compte du risque inhérent et du risque lié au contrôle, la mise en œuvre des procédures d'audit. La nature des risques dans un environnement informatique est liée aux spécificités suivantes : le manque de trace matérielle justifiant les opérations, qui entraîne un risque plus important de non-détection des erreurs contenues dans les programmes d'application ou les logiciels d'exploitation ; l'uniformité du traitement des opérations, qui permet d'éliminer quasiment toutes les erreurs humaines ; en revanche, les erreurs de programmation peuvent entraîner un traitement incorrect de toutes les opérations ; la séparation insuffisante des tâches qui résultent souvent de la centralisation des contrôles ; le risque d'erreurs et d'irrégularités, qui peut provenir : d'erreurs humaines dans la conception, la maintenance et la mise en œuvre plus importantes que dans un système manuel, d'utilisateurs non autorisés qui accèdent, modifient, suppriment des données sans trace visible. Par ailleurs, la possibilité de détection de ces erreurs et irrégularités est affectée par le fait qu'elles sont souvent intégrées lors de la conception ou de la modification de programmes d'application ou de logiciels d'exploitation, et sont aussi difficilement identifiables dans le temps. En résumé, les risques en milieu informatisé peuvent résulter de défaillances dans les activités informatiques générales, telles que : le développement et la maintenance des programmes ; l'exploitation du système ; les traitements particuliers ; la sécurité physique ; les contrôles d'accès pour les utilisateurs privilégiés. Le CAC ne peut ignorer ni les incidences des technologies de l'information, ni les possibilités que ces technologies représentent dans l'accomplissement de sa mission. Si le CAC ne dispose pas des compétences informatiques nécessaires, la norme précise qu'il «détermine si des compétences informatiques particulières sont nécessaires pour réaliser la mission». Si tel est le cas, il se fait assister par un professionnel possédant ces compétences. Il peut être un collaborateur ou un spécialiste externe. Le risque d'audit Selon les normes professionnelles ISACA, le risque d'audit est composé du risque inhérent, du risque de contrôle et du risque de (non-) détection Les composantes du risque d'audit Risque Description 12/20

13 Risque inhérent Risque de contrôle C'est un risque indépendant de la mission d'audit, qui apparaît en fonction de la nature de l'entreprise, c'està-dire de son environnement, marché, et catégorie, mais aussi de la culture d'entreprise et du style de management qui lui est propre. C'est le risque qu'une erreur significative existe sans être prévenue ou détectée à temps par le système de contrôle interne. C'est le risque qu'un auditeur utilise une procédure de test inadéquate et conclut qu'il n'y a pas d'erreurs alors qu'en réalité, il y en a. Risque de (non-) détection Par exemple, le risque de non-détection de failles de sécurité dans un SI doit être considéré comme élevé car l'exhaustivité en ce domaine peut difficilement être atteinte. À l'opposé, le risque de non-détection lié à l'absence de plan de secours informatique est généralement bas car la documentation de ces plans existe ou n'existe pas, ce qui peut être très facilement vérifié. Risque d'audit C'est la combinaison des catégories individuelles des risques évaluée pour chaque objectif spécifique de contrôle. L'auditeur fera en sorte que le risque d'audit soit limité à un niveau suffisamment bas sur le domaine audité. Pour ce faire, il déploiera une approche d'audit en conséquence. L'opinion du CAC sur les comptes nécessite qu'il obtienne l'assurance que les comptes ne comportent pas d'anomalies significatives. Cette assurance doit être la plus élevée possible mais non absolue en raison des limites propres aux missions d'audit. On parlera alors d' «assurance raisonnable» sur les comptes. À cet effet, il convient de réduire le risque d'audit. Le risque d'audit comprend deux composantes : le risque d'anomalies significatives dans les comptes et le risque de non-détection de ces anomalies par le commissaire aux comptes. Le risque d'anomalies significatives dans les comptes est propre à l'entité auditée ; il existe indépendamment de l'audit des comptes pratiqué. Il se subdivise en risque inhérent et risque lié au contrôle. Les normes d'exercice professionnel homologuées et code de déontologie de la CNCC (4 décembre 2008) définissent ainsi ces risques : «Le risque inhérent correspond à la possibilité que, sans tenir compte du contrôle interne qui pourrait exister dans l'entité, une anomalie significative se produise dans les comptes. Le risque lié au contrôle correspond au risque qu'une anomalie significative ne soit ni prévenue ni détectée par le contrôle interne de l'entité et donc non corrigée en temps voulu. Le risque de non-détection est propre à la mission d'audit : il correspond au risque que le commissaire aux comptes ne parvienne pas à détecter une anomalie significative» Exemples Incidence sur le risque inhérent Selon les modalités d'achat ou de développement des applications informatiques d'une entité, l'incidence sur le risque inhérent est : élevée si les achats ou les développements sont lancés consécutivement à des incidents majeurs ; modérée si les achats ou les développements sont effectués selon un plan prédéfini selon des critères financiers et non pas techniques ; faible si les achats ou les développements sont réalisés selon un plan préétabli tenant compte des besoins des utilisateurs et des critères techniques tels que l'indisponibilité des solutions existantes, les temps de réponse, etc. Incidence sur le risque lié au contrôle Selon la qualité des interfaces reliant les applications d'un système d'information d'une entité, l'incidence sur le risque lié au contrôle est : élevée si les interfaces sont manuelles (risque de non-exhaustivité ou de double imputation) ; élevée si les interfaces automatiques sont récemment introduites dans le SI sans édition et conservation des états d'anomalie lors des transferts des informations entre applications ; modérée si les états d'anomalies des interfaces sont conservés en vue d'une correction ultérieure. Si les modifications sont réalisées trop tardivement, elles risquent d'être imputées 13/20

14 sur l'exercice suivant, ce qui peut conduire au non-respect du principe d'indépendance des exercices ; faible si les interfaces automatiques sont éprouvées et les états d'anomalies régulièrement contrôlés par un acteur responsable qui en assure par ailleurs la conservation. Le risque le plus important pour le commissaire aux comptes est le risque de nondétection. Lorsque le CAC apprécie le risque d'anomalies significatives (risque inhérent et risque lié au contrôle) à un niveau élevé, il met alors en œuvre des procédures d'audit complémentaires. La démarche d'audit du CNCC Les spécificités de l'environnement informatique sont prises en compte dans les principales normes au cœur de la démarche d'audit proposée par la CNCC, à savoir la connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives dans les comptes (NEP 315), et les procédures d'audit mises en œuvre à l'issue de l'évaluation des risques (NEP 330). La NEP 315 stipule que lors de la prise de connaissance des éléments du contrôle interne pertinents pour l'audit, le commissaire aux comptes doit prendre notamment connaissance du système d'information relatif à l'élaboration de l'information financière. À ce titre, le CAC s'intéresse notamment : «aux catégories d'opérations ayant un caractère significatif pour les comptes pris dans leur ensemble ; aux procédures, informatisées ou manuelles, qui permettent d'initier, enregistrer, traiter ces opérations et de les traduire dans les comptes ; aux enregistrements comptables correspondants, aussi bien informatisés que manuels ; à la façon dont sont traités les événements ponctuels, différents des opérations récurrentes, susceptibles d'engendrer un risque d'anomalies significatives ; au processus d'élaboration des comptes, y compris des estimations comptables significatives et des informations significatives fournies dans l'annexe des comptes» (Normes d'exercice professionnel homologuées et code de déontologie, CNCC 4 décembre 2008). Ces différents points sont pris en compte dès la planification de l'audit (NEP 300) qui est formalisée, d'une part, dans un plan de mission qui décrit la nature et l'étendue des contrôles à mettre en œuvre, d'autre part dans un programme de travail. La prise en compte du SI dès le début de la démarche d'audit est importante pour le bon déroulement de la mission. Elle conduit le CAC à apprécier : la stratégie informatique ; 14/20

15 la fonction informatique et son importance dans l'entreprise en vue de déterminer l'impact de l'informatique sur la production des informations comptables et financières ; le pilotage du système d'information ; les principales applications et l'architecture mises en œuvre ; la gestion de la sécurité informatique ; les projets clés ; les contraintes légales et réglementaires à respecter. La prise de connaissance de l'environnement informatique de l'entité permet au CAC de constituer un «dossier permanent» servant de base pour capitaliser des connaissances du cadre de référence pour la conduite des missions futures. Le CAC apprécie l'impact de l'environnement informatique sur le risque inhérent et le risque lié au contrôle afin d'évaluer le risque d'anomalies significatives dans les comptes. Cette étape de la mission comprend donc : l'incidence de l'environnement informatique sur le risque inhérent. Elle s'apprécie au regard des éléments suivants : la conception et l'acquisition des solutions informatiques, la distribution et le support informatique, la gestion de la sécurité et la gestion des projets informatiques. L'environnement informatique d'une entreprise peut entraîner un risque inhérent élevé et avoir une conséquence à terme sur la continuité d'exploitation. Une entreprise spécialisée dans l'e-commerce est fortement dépendante de son informatique. Elle peut voir remise en cause son activité en cas de défaillance majeure survenant dans son système d'information. l'incidence de l'environnement informatique sur le risque lié au contrôle. Elle s'apprécie par l'étude des processus et des applications jouant un rôle significatif dans la production des comptes de l'entreprise. L'identification des contrôles à réaliser dépend des résultats obtenus dans la phase «Orientation et planification de la mission» et l'étape «Incidence de l'environnement informatique sur le risque inhérent». l'étude des interfaces peut mettre en évidence un risque élevé en termes d'exhaustivité de l'information comptable. Des contrôles substantifs seront alors nécessaires dans la phase «Obtention d'éléments probants» pour quantifier les données non prises en compte en comptabilité et demander à l'entreprise de passer des écritures correctrices. La première année du mandat, la prise en compte de l'environnement informatique est très consommatrice en temps mais les années suivantes, sous réserve qu'aucune modification majeure ne vienne impacter le SI, le poids relatif de ces travaux sera en nette diminution. Selon la NEP 330, lorsqu'il a pris connaissance de l'entité et évalué le risque d'anomalies significatives dans les comptes, le commissaire aux comptes adapte son approche générale et conçoit et met en œuvre des procédures d'audit qui lui serviront de base pour se forger une opinion sur les comptes. Il détermine alors les contrôles de substance à mener lorsqu'il a déterminé un risque inhérent élevé. Le CAC peut appliquer des procédures d'audit manuelles, des techniques assistées par ordinateur ou combiner les deux pour rassembler suffisamment d'éléments probants. Anomalies liées aux contrôles applicatifs, identifiées lors de l'évaluation des systèmes comptable et de contrôle interne, qui pourraient avoir une incidence sur l'opinion du CAC Opérations comptables ou montants significatifs non transmis par une interface entre une application de gestion commerciale et un progiciel de comptabilité. Identification d'une anomalie significative lors de l'analyse d'un fichier informatique issu d'un PGI (dépréciation calculée à partir d'une base erronée, erreur de valorisation des stocks d'encours de production, etc.). Absence ou erreur dans la mise à jour du référentiel de l'application de paie ou du module de paie d'un PGI. Contrôle interne déficient ou absent, au sein d'une application qui gère un processus majeur de l'entreprise ou d'un PGI qui supporte les processus critiques d'une entité. 15/20

16 Mise en évidence d'irrégularités ou d'inexactitudes dans la comptabilisation des achats. Les supports opérationnels Les supports opérationnels sont des modèles de feuilles de travail permettant de mettre en œuvre la méthodologie. orientation et planification de la mission : prise de connaissance de l informatique dans l entreprise : modèle de tableau permettant de déterminer l incidence sur la fiabilité du système d information, de la stratégie informatique, de la fonction informatique, de l importance de l informatique dans l entreprise, de la complexité du système d information, description du système d information de l entreprise : cartographies d applications et techniques, tableaux d inventaire correspondants, évaluation des risques et obtention d éléments probants : incidence de l environnement informatique sur le risque inhérent : modèle de tableau permettant de déterminer l incidence sur le risque inhérent de la conception et l acquisition des solutions informatiques, la distribution et le support informatique, la gestion de la sécurité, la gestion des projets informatiques, formalisation des processus : utilisez les MOT, diagramme d'activités UML ou le BPMN ; incidence de l environnement informatique sur le risque lié au contrôle : modèle de tableau permettant de déterminer l incidence sur le risque lié au contrôle de chaque processus, à partir des assertions sous-tendant l établissement des comptes, exemple de présentation schématique de la synthèse des risques. L'audit assisté par ordinateur Face au volume croissant des données et à la complexité des SIC utilisés par les entreprises, l'auditeur doit se doter d'outils pour automatiser les travaux d'audit pour : faciliter des contrôles non réalisables manuellement et obtenir une assurance renforcée ; permettre des contrôles exhaustifs sur de gros volumes de données pour disposer de résultats pertinents ; obtenir des niveaux d'analyse de données plus détaillés que ceux offerts par les outils utilisés par l'entité auditée. Les techniques d'audit assisté par ordinateur proposées peuvent être utilisées tant dans l'évaluation des risques et dans l'obtention d'éléments probants des missions d'audit légal des comptes que pour des missions contractuelles. Les étapes de l'audit assisté par ordinateur L'audit assisté par ordinateur débute parfois lors de l'évaluation des risques et essentiellement, lors de l'obtention d'éléments probants. Les étapes présentées ci-après sont relatives à la mise en œuvre des techniques d'audit assisté par ordinateur dans une mission d'audit légal, mais elles sont transposables à une mission contractuelle. Étape 1 - Récupération des fichiers informatiques Après la prise de connaissance de l'entité et de son environnement et la revue générale du système d'information, la conduite de la revue d'application permet d'évaluer : la conformité du paramétrage et des traitements applicatifs avec les règles de gestion arrêtées par l'entité et les règles légales en vigueur ; l'intégration ou l'interfaçage des applications ; l'efficacité des contrôles programmés par l'entité auditée permettant d'avoir une assurance satisfaisante sur l'exhaustivité, la réalité, l'intégrité, la confidentialité et la disponibilité des données traitées. Après ces activités, le CAC : identifie les risques ; 16/20

17 définit les données à exploiter (contenues dans des fichiers ou des bases de données) ; récupère les fichiers et les bases de données nécessaires à la réalisation des tests informatiques utiles à l'audit, dans un format et sur un support adaptés pour la récupération dans l'environnement informatique de l'auditeur. Compte tenu de la diversité des technologies et des formats existants ainsi que du volume des données, la récupération n'est pas aisée. Étape 2 - Validation des fichiers La validation des fichiers importés par l'auditeur nécessite de rapprocher ces fichiers avec la comptabilité de l'entité afin de s'assurer que les données récupérées n'ont subi aucune modification lors de l'extraction et de l'intégration dans l'environnement informatique de l'auditeur. Étape 3 - Réalisation des tests Une fois le contrôle des fichiers réalisé, les tests peuvent être lancés. Ils permettent à l'auditeur, d'une part, de confirmer, sur la base d'éléments tangibles, exhaustifs et incontestables, ses évaluations et, d'autre part, d'accéder à l'audit de systèmes complexes de traitement, non contrôlables sans le recours à des outils informatiques. En raison de leur importance, il est essentiel que les tests réalisés puissent être reproduits ultérieurement et que toutes les étapes intermédiaires soient sauvegardées. Il est recommandé que le logiciel de traitement des données génère un journal des tests effectués. Cette étape aboutit à la constitution d'un dossier contenant les résultats des tests. Ils peuvent prendre des formes variables en fonction des objectifs, de l'étendue des tests réalisés et de l'exploitation qui en sera faite. Étape 4 - Analyse et synthèse Cette dernière étape consiste à analyser et à interpréter les résultats des tests. Un rapport de synthèse est alors rédigé, décrivant notamment les tests réalisés et les recommandations qui en découlent. Les techniques d'audit assisté par ordinateur, TAAO (Computer Assisted Techniques, CAATs) Les techniques d'audit ponctuel L'audit assisté par ordinateur mobilise principalement des logiciels de traitement des données permettant l'interrogation de fichiers ou de bases de données et la réalisation de différents types de tests, dont les plus fréquemment utilisés en audit sont : les tests de totalisation ; les tests de calculs ; les tests de comparaison de fichiers ou de bases de données ; les tests d'analyse par stratification, qui permettent de détecter des anomalies ; les tests d'extraction, afin d'analyser des populations spécifiques sur des combinaisons de critères définis. Contrôles substantifs La vérification de calculs : calculs des dotations aux amortissements, du cumul des amortissements et de la valeur nette comptable à partir des données issues du logiciel de gestion des immobilisations pour vérifier la valeur brute, le cumul des amortissements et la valeur nette comptable des immobilisations en comptabilité. La comparaison de fichiers et l'extraction d'anomalies : comparaison des fichiers des coûts de revient et des prix de vente d'éléments en stock pour déterminer les dépréciations nécessaires. L'extraction de données contenues dans des fichiers ou des bases de données selon différents critères : valeurs monétaires supérieures au seuil de 5 000, écritures passées après la date du 28/02/N. Le tri des données contenues dans des fichiers ou des bases de données selon différents critères : ordre croissant des valeurs monétaires, écritures passées sur la période du 01/01 /N au 31/12/N. Ces différents types de tests contribuent à vérifier que les traitements des données dans les applications des entités auditées sont réalisés selon les règles comptables et fiscales en vigueur. L'auditeur dispose également d'un ensemble d'outils informatiques répondant à chacune des phases de la mission d'audit 17/20

18 Les outils informatiques dédiés à chaque phase de la mission d'audit Phase Étude préliminaire Conduite de mission Outils Outils de requêtes et collecte d'information, outils d'éditions, outils d'accès à Internet, etc. Outils de restitution Outils de gestion documentaire Outils de planification Outils de gestion de papier de travail Travail terrain Outils de détection d'anomalies, de fraudes, etc., basés sur l'analyse de données nombreuses ou des techniques d'échantillonnage Outils de calculs et de comparaisons pour réaliser des tests analytiques et statistiques Outils pour rechercher et croiser des informations Etc. Il existe également des outils plus spécialisés qui permettent de réaliser des tests d'audit en milieu informatisé, généralement à la disposition des auditeurs informatiques. Les outils informatiques dédiés aux tests d'audit en milieu informatisé Type de logiciel Description Générateur de données de tests Utilitaires standard Logiciel de gestion-de changement Préparation automatique de fichiers de tests Livrés avec les systèmes d'exploitation, pour extraction/ fusion de fichiers, tris de données, etc. Logiciel vérifiant l'intégrité et la pertinence des modifications des programmes L'ensemble des outils logiciels utilisables dans les phases d'audit constitue les CAATs (Computer Assisted Techniques). D'un audit ponctuel à un audit continu Les techniques d'audit assisté par ordinateur permettent d'envisager un glissement d'un audit ponctuel à un audit continu qui améliorerait la capacité des auditeurs internes et externes à répondre aux obligations relatives au contrôle interne étant donné qu'il comporte essentiellement les deux volets suivants : l'évaluation continue du contrôle, qui se focalise sur la détection au plus tôt des déficiences de contrôle ; l'évaluation continue des risques, qui met en lumière les processus ou les systèmes qui présentent un niveau de risque mal appréhendé par le système de contrôles permanents. Selon l'afi, «l'audit continu est une démarche d'audit caractérisée par l'usage intensif de CAATs, exercés avec une fréquence proportionnée aux événements ou risques à traiter». Plusieurs approches d'audit continu assisté par ordinateur existent 18/20

19 Les différentes approches d'audit continu assisté par ordinateur Approche Description SCARF (Systems Control Review File) et EAM (Embedded Modules) Consiste à introduire des logiciels d'audit écrits spécialement à l'intérieur du système d'applications de l'entreprise, de sorte que les systèmes applicatifs soient «pilotés» de manière sélective. SNAPSHOT AUDIT HOOKS ITF (Integrated Test Faci/ities) Consiste à prendre des images tout au long du «chemin de traitement» (processing path) suivi par une transaction. On enregistre les évolutions de données sélectionnées, pour une révision ultérieure pratiquée par l'auditeur. Parties de logiciels embarqués sur des systèmes applicatifs, pour fonctionner comme des drapeaux rouges. Ils doivent permettre à l'auditeur d'agir avant qu'une erreur ou une irrégularité ne soit allée trop loin. Cette technique consiste à introduire des entités fictives dans les fichiers de production. L'auditeur peut demander au système de travailler soit avec les programmes de production, soit avec les programmes de test, afin que les programmes mettent à jour les entités fictives. CIS (Continuous and Intermittent Simulation) Le système déclenche une simulation d'exécution d'instructions de l'application, afin de s'assurer de la fiabilité de la transaction. Le déclenchement est fait sur certains critères prédéterminés (montant ou autre). Sinon, le simulateur attend jusqu'à la prochaine transaction qui présentera les critères voulus. Les avantages de l'audit assisté par ordinateur Les logiciels de traitement des données sont des outils plus puissants que les outils bureautiques standard comme les tableurs, par exemple. Leur recours permet de traiter rapidement des volumes de données importants, ce qui est source de gains de productivité. De plus, à partir des données intégrées dans ces logiciels, il est possible de paramétrer des requêtes facilitant la recherche d'anomalies, les impacts de changement de méthodes comptables, etc. Des contrôles plus importants peuvent donc être conduits à partir de ces solutions, ce qui permet de fiabiliser les résultats obtenus et de limiter les risques liés aux missions d'audit. De plus, ces logiciels respectent des principes renforçant la qualité des travaux conduits comme l'intangibilité des données et la conservation des historiques. Les progiciels d'aide à la révision Si de nombreux CAC travaillent encore sur tableur, la profession s'appuie de plus en plus sur des progiciels spécialisés dans la révision et l'audit des comptes dont la portée des fonctionnalités est plus large que les logiciels de traitement des données étudiés. Différents progiciels sont disponibles sur le marché : Revis de la société Gest On Line, REVOR conçu par Norbert Lecomte, Expert- Comptable et Commissaire aux Comptes, etc. L'organisation des progiciels d'aide à la révision Les logiciels de révision et d'audit sont généralement structurés comme le progiciel Revis (www.revisaudit.fr) : «le dossier permanent est le point d'entrée du dossier client. Il contient toutes les informations générales et spécifiques du client telles que la liste des associés, des procèsverbaux, les conventions et contrats, les abonnements, etc. Il permet de créer et de consulter les dossiers annuels ; le dossier d'organisation (ou contrôle interne) permet d'apprécier l'organisation interne de l'entité par cycles, au travers de différents outils : un descriptif de l'entité, un questionnaire complet classé par assertions, un formulaire de répartition des tâches, un formulaire de tests de conformité. Les principales fonctions de l'entité contrôlée sont ainsi passées en revue avec les différentes fonctionnalités proposées ; le dossier de contrôle CAC permet de réaliser l'approche par les risques, de bâtir le plan de mission, de vérifier la régularité comptable et juridique, de faire la revue du dossier et de réaliser toute la partie «contrôles spécifiques» (contrôles de l'inventaire, de l'annexe, du rapport de gestion). L'auditeur s'appuie sur les fonctionnalités proposées qui permettent de s'assurer qu'aucun élément n'a été oublié. L'outil informatique le renseigne également sur l'avancement de la mission ; 19/20

20 le dossier général (dossier annuel) permet de visualiser la balance N/N-1 importée du système d'information du client ou du logiciel de comptabilité du cabinet. Il stocke, en plus de la balance : le journal d'od, le bilan et le compte de résultat, les soldes intermédiaires de gestion, les principaux ratios, etc. ; le dossier de révision comporte des feuilles de révision préformatées, en liaison avec la balance et le journal d'od, qui permettent de réaliser une révision dynamique et exhaustive. Chaque cycle du dossier de révision présente un programme de travail propre au cycle, une feuille présentant l'ensemble des comptes retrouvés dans le cycle ainsi que de nombreuses feuilles nécessaires à la révision du cycle. La majorité des feuilles dispose d'un assistant de travail, qui permet, entre autres choses : d'effectuer des extractions de compte ou d'écritures spécifiques, d'automatiser certains calculs, de récupérer les feuilles N-1, le contrôle des stocks, le contrôle des payes, etc.» Toutefois, l'organisation des logiciels de révision et d'audit peut différer, mais des fonctionnalités identiques sont proposées. Les avantages des progiciels d'aide à la révision Les logiciels de révision et d'audit présentent de nombreux avantages. Ils permettent notamment une standardisation et une rationalisation des missions de révision par une automatisation des tâches répétitives et un pré-paramétrage des documents de travail (feuilles de travail). Les feuilles de travail peuvent ensuite être adaptées au contexte et être dupliquées pour les exercices suivants ou pour des missions conduites dans d'autres entités présentant les mêmes caractéristiques. De plus, les logiciels d'aide à la révision permettent l'intégration par import des dossiers clients, ce qui limite la ressaisie et les risques d'erreurs. Ils facilitent également le suivi des dossiers et des missions par la définition des collaborateurs intervenant sur les dossiers et les tâches de la mission. Leurs fonctionnalités favorisent ainsi un travail collaboratif et une gestion des compétences des collaborateurs pour accroître la productivité au sein du cabinet comptable. Les progiciels d'aide à la révision offrent, à travers une solution unique, tant la possibilité de conduire des missions d'expertise comptable que des missions de commissariat aux comptes. Ainsi, les collaborateurs évoluent dans un environnement informatique cohérent où les difficultés d'apprentissage sont moindres, ce qui favorise également des gains de productivité. De plus, ces solutions permettent de redéfinir les postes de travail intégrant un enrichissement des tâches et une approche collaborative. Ces solutions intègrent également la dématérialisation des pièces des dossiers, ce qui permet le partage de documents entre différents collaborateurs, réduit les problèmes de stockage des dossiers et d'archivage sur de longues périodes. L'archivage sous forme numérique permet également, au travers de la GED (gestion électronique de documents), de faciliter et d'accélérer les travaux de recherche d'informations. La dématérialisation favorise également le nomadisme afin de poursuivre les travaux d'audit au sein des entreprises auditées, par exemple. 20/20

Contrôle interne et organisation comptable de l'entreprise

Contrôle interne et organisation comptable de l'entreprise Source : "Comptable 2000 : Les textes de base du droit comptable", Les Éditions Raouf Yaïch. Contrôle interne et organisation comptable de l'entreprise Le nouveau système comptable consacre d'importants

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE SOMMAIRE Paragraphes Introduction... 1-4 Personnes

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE Septembre 2011 Page 1 Au sommaire Préambule Le nouveau référentiel sur la forme Le nouveau référentiel sur le

Plus en détail

Prise de position de l'iia LES TROIS LIGNES DE MAÎTRISE POUR UNE GESTION DES RISQUES ET UN CONTRÔLE EFFICACES

Prise de position de l'iia LES TROIS LIGNES DE MAÎTRISE POUR UNE GESTION DES RISQUES ET UN CONTRÔLE EFFICACES Prise de position de l'iia LES TROIS LIGNES DE MAÎTRISE POUR UNE GESTION DES RISQUES ET UN CONTRÔLE EFFICACES JANVIER 2013 TABLE DES MATIÈRES Introduction... 1 La surveillance du système de gestion des

Plus en détail

Evaluation des risques et procédures d audit en découlant

Evaluation des risques et procédures d audit en découlant Evaluation des risques et procédures d audit en découlant 1 Présentation des NEP 315, 320, 330, 500 et 501 2 Présentation NEP 315, 320, 330, 500 et 501 Les NEP 315, 320, 330, 500 et 501 ont fait l objet

Plus en détail

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION 02 CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

Plus en détail

Annexe sur la maîtrise de la qualité

Annexe sur la maîtrise de la qualité Version du 09/07/08 Annexe sur la maîtrise de la qualité La présente annexe précise les modalités d'application, en matière de maîtrise de la qualité, de la circulaire du 7 janvier 2008 fixant les modalités

Plus en détail

FORMATION. Connaître les exigences réglementaires appliquées aux Systèmes d Information. 1 JOUR soit 7 heures. Réf.AQ-Q1

FORMATION. Connaître les exigences réglementaires appliquées aux Systèmes d Information. 1 JOUR soit 7 heures. Réf.AQ-Q1 Réf.AQ-Q1 Les Systèmes d'information des entreprises réglementées font l'objet d'exigences spécifiques. Celles-ci sont souvent difficiles à appréhender pour les spécialistes métier de l'assurance Qualité,

Plus en détail

Normes pour la pratique professionnelle de l'audit interne

Normes pour la pratique professionnelle de l'audit interne Normes pour la pratique professionnelle de l'audit interne Copyright 2001 de The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201. Tous droits réservés. Conformément

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

Charte de l'audit informatique du Groupe

Charte de l'audit informatique du Groupe Direction de la Sécurité Globale du Groupe Destinataires Tous services Contact Hervé Molina Tél : 01.55.44.15.11 Fax : E-mail : herve.molina@laposte.fr Date de validité A partir du 23/07/2012 Annulation

Plus en détail

CHAPITRE 2 : LES DOSSIERS THEMATIQUES 81

CHAPITRE 2 : LES DOSSIERS THEMATIQUES 81 SOMMAIRE INTRODUCTION 5 1. Les normes professionnelles 5 2. Les objectifs du guide 5 3. L approche méthodologique et pédagogique 6 4. Les apports de la norme CNCC 2-302 : «audit réalisé dans un environnement

Plus en détail

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D'UN EXPERT

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D'UN EXPERT NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D'UN EXPERT SOMMAIRE Paragraphes Introduction... 1-5 Détermination de la nécessité de recourir à un expert... 6-7 Compétence et objectivité de l'expert...

Plus en détail

CONCLUSIONS DE L'AUDIT ET RAPPORT

CONCLUSIONS DE L'AUDIT ET RAPPORT Manuel des Normes 281 MANUEL DES NORMES TITRE 5 CONCLUSIONS DE L'AUDIT ET RAPPORT Version janvier 2009 Titre 5- Conclusions de l audit et rapport Manuel des Normes 282 CONCLUSIONS DE L'AUDIT ET RAPPORT

Plus en détail

Points d'audit SCI-E : contrôles englobant toute l'entreprise et cadre du SCI

Points d'audit SCI-E : contrôles englobant toute l'entreprise et cadre du SCI Société d assurance Type d'agrément Société d'audit Auditeur responsable Année d'exercice 2015 Version du modèle 28.04.2015 Division Assurances Page 1 / 1 Audit base_points d'audit_sci-e_version 2015_FR.xlsx

Plus en détail

Forum Panafricain de Haut

Forum Panafricain de Haut Forum Panafricain de Haut La problématique de l audit, du contrôle et de l évaluation des institutions de l Etat et des politiques économiques et sociales en Afrique: Fondements, évaluation, défis et stratégies

Plus en détail

MANUEL DES NORMES Audit légal et contractuel

MANUEL DES NORMES Audit légal et contractuel 115 MANUEL DES NORMES TITRE 2 EVALUATION DES RISQUES ET ELEMENTS DE REPONSE AUX RISQUES IDENTIFIES 116 SOMMAIRE INTRODUCTION 2300. PLANIFICATION D UNE MISSION D AUDIT D ETATS DE SYNTHESE 2315. CONNAISSANCE

Plus en détail

Modèle Cobit www.ofppt.info

Modèle Cobit www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Modèle Cobit DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

INTRODUCTION DES NORMES

INTRODUCTION DES NORMES INTRODUCTION DES NORMES L audit interne est exercé dans différents environnements juridiques et culturels ainsi que dans des organisations dont l'objet, la taille, la complexité et la structure sont divers.

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

SEP 2B juin 20. Guide méthodologique de calcul du coût d une prestation

SEP 2B juin 20. Guide méthodologique de calcul du coût d une prestation SEP 2B juin 20 12 Guide méthodologique de calcul du coût d une Sommaire Préambule 3 Objectif et démarche 3 1 Les objectifs de la connaissance des coûts 4 2 Définir et identifier une 5 Calculer le coût

Plus en détail

www.ifec.fr Septembre 2008 OUTIL PRATIQUE DE L INSTITUT FRANÇAIS DES EXPERTS-COMPTABLES ET DES COMMISSAIRES AUX COMPTES Copyright IFEC

www.ifec.fr Septembre 2008 OUTIL PRATIQUE DE L INSTITUT FRANÇAIS DES EXPERTS-COMPTABLES ET DES COMMISSAIRES AUX COMPTES Copyright IFEC www.ifec.fr Septembre 2008 OUTIL PRATIQUE DE L INSTITUT FRANÇAIS DES EXPERTS-COMPTABLES ET DES COMMISSAIRES AUX COMPTES Copyright IFEC IFEC - La démarche générale d audit et les nouvelles normes - septembre

Plus en détail

Diplôme d'expertise comptable

Diplôme d'expertise comptable Diplôme d'expertise comptable Dispositions relatives aux épreuves NOR : ESRS1400075A arrêté du 28-3-2014 ESR - DGESIP A3 Vu ordonnance n 45-2138 du 19-9-1945 ; décret n 2012-432 du 30-3-2012, notamment

Plus en détail

NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES

NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES SOMMAIRE Paragraphes Introduction... 1-3 Réponses globales... 4-6 Procédures d'audit

Plus en détail

Le 19 avril 2013 - ANGERS

Le 19 avril 2013 - ANGERS Le 19 avril 2013 - ANGERS 2 > Sommaire 1. Cadre réglementaire 2. Cadre de délégation 3. Périmètre d intervention du Comité d'audit 4. Rôle du Comité d Audit 5. Coordination et planification des travaux

Plus en détail

Audit interne. Audit interne

Audit interne. Audit interne Définition de l'audit interne L'Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils

Plus en détail

Recommandation AMF n 2006-15 Expertise indépendante dans le cadre d opérations financières

Recommandation AMF n 2006-15 Expertise indépendante dans le cadre d opérations financières Recommandation AMF n 2006-15 Expertise indépendante dans le cadre d opérations financières Texte de référence : article 262-1 du règlement général de l AMF Le titre VI du livre II du règlement général

Plus en détail

Atelier A N 13. Titre : Gestion des risques, audit interne et contrôle interne

Atelier A N 13. Titre : Gestion des risques, audit interne et contrôle interne Atelier A N 13 Titre : Gestion des risques, audit interne et contrôle interne Intervenants Georges BOUCHARD GAZ DE FRANCE Directeur de l'audit et des Risques. E.mail : georges.bouchard@gazdefrance.com

Plus en détail

AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON

AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON RAPPORT DU PRESIDENT A L ASSEMBLÉE GÉNÉRALE ORDINAIRE DU 1er JUIN 2004 SUR

Plus en détail

République Islamique de Mauritanie

République Islamique de Mauritanie MAURITANIE - Projet d'appui à la profession d'expertise comptable et d'audit République Islamique de Mauritanie Projet Banque Mondiale IDF N TF 053981 MANUEL DE REFERENCE DES NORMES D AUDIT ET DE MISSIONS

Plus en détail

Gagner en confiance et en transparence Tirer avantage de la norme SAS 70 et des nouveaux standards ISAE 3402 et SSAE 16

Gagner en confiance et en transparence Tirer avantage de la norme SAS 70 et des nouveaux standards ISAE 3402 et SSAE 16 Gagner en confiance et en transparence Tirer avantage de la norme SAS 70 et des nouveaux standards ISAE 3402 et SSAE 16 Contexte et enjeux de l externalisation Dans l objectif d améliorer de façon permanente

Plus en détail

CONFÉRENCE INTERAFRICAINE DES MARCHÉS D'ASSURANCES. C () N SEI L n E S M l!\ 1 S T l{ l': S J) E S A S S II [{ A NeE S

CONFÉRENCE INTERAFRICAINE DES MARCHÉS D'ASSURANCES. C () N SEI L n E S M l!\ 1 S T l{ l': S J) E S A S S II [{ A NeE S I~,0:.----------, c 1 M A CONFÉRENCE INTERAFRICAINE DES MARCHÉS D'ASSURANCES.'.- 1. ~ 0 0 0 SI: C () N SEI L n E S M l!\ 1 S T l{ l': S J) E S A S S II [{ A NeE S REGLEMENT N,.ICIMAlPCMA/ CE/ SG/ 2DD9

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

Description normative des procédures de contrôle interne de la comptabilité financière

Description normative des procédures de contrôle interne de la comptabilité financière Description normative des procédures de contrôle interne de la comptabilité financière Les objectifs du contrôle interne. Les objectifs du contrôle interne consistent à : Assurer en permanence une bonne

Plus en détail

LIGNE DIRECTRICE RELATIVE AUX PRATIQUES PRUDENTES DE PLACEMENT DES REGIMES DE RETRAITE

LIGNE DIRECTRICE RELATIVE AUX PRATIQUES PRUDENTES DE PLACEMENT DES REGIMES DE RETRAITE LIGNE DIRECTRICE N 6 LIGNE DIRECTRICE RELATIVE AUX PRATIQUES PRUDENTES DE PLACEMENT DES REGIMES DE RETRAITE Le 15 novembre 2011 TABLE DES MATIÈRES CONTEXTE DE LA LIGNE DIRECTRICE... 3 Pratiques prudentes

Plus en détail

...... (dénomination statutaire)...( 1 ) a désigné au cours de l'assemblée générale de la société du...( 2 )

...... (dénomination statutaire)...( 1 ) a désigné au cours de l'assemblée générale de la société du...( 2 ) 5112/PC/MS ANNEXE 1 À LA COMMUNICATION F.2 DÉSIGNATION D'UN COMMISSAIRE AUPRÈS D'UNE SOCIÉTÉ DE CAUTIONNEMENT MUTUEL La société de cautionnement mutuel...... (dénomination statutaire)......... (adresse

Plus en détail

RAPPORT DU PRESIDENT DU CONSEIL D ADMINISTRATION EXERCICE SOCIAL 2008 2009

RAPPORT DU PRESIDENT DU CONSEIL D ADMINISTRATION EXERCICE SOCIAL 2008 2009 FIDUCIAL OFFICE SOLUTIONS SA au capital de 22 000 000 Siège social : 41, rue du Capitaine Guynemer 92400 COURBEVOIE RAPPORT DU PRESIDENT DU CONSEIL D ADMINISTRATION EXERCICE SOCIAL 2008 2009 Conformément

Plus en détail

Maîtrise Universitaire en Comptabilité, Contrôle et Finance

Maîtrise Universitaire en Comptabilité, Contrôle et Finance Maîtrise Universitaire en Comptabilité, Contrôle et Finance Audit des systèmes d'information Partie 3: la dimension informatique de l audit du Système de Contrôle Interne Emanuel Campos - version 2015

Plus en détail

Fiche conseil n 16 Audit

Fiche conseil n 16 Audit AUDIT 1. Ce qu exigent les référentiels Environnement ISO 14001 4.5.5 : Audit interne EMAS Article 3 : Participation à l'emas, 2.b Annexe I.-A.5.4 : Audit du système de management environnemental SST OHSAS

Plus en détail

CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER

CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER CONTROLE GENERAL ECONOMIQUE ET FINANCIER MISSION AUDIT 3, boulevard Diderot 75572 PARIS CEDEX 12 CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER CHARTE DE L'AUDIT Validée par le comité des audits du 4 avril 2012

Plus en détail

Supports de formation du GCE Inventaires nationaux des gaz à effet de serre. Assurance qualité/contrôle qualité

Supports de formation du GCE Inventaires nationaux des gaz à effet de serre. Assurance qualité/contrôle qualité Supports de formation du GCE Inventaires nationaux des gaz à effet de serre Assurance qualité/contrôle qualité Version 2, avril 2012 Public cible et objectif des supports de formation Ces supports de formation

Plus en détail

DOSSIER MODÈLE D'AUDIT NAGR OSBL DU SECTEUR PRIVÉ TABLE DES MATIÈRES GÉNÉRALE PARTIE 1 NOTIONS THÉORIQUES PARTICULARITÉS POUR LES OSBL.

DOSSIER MODÈLE D'AUDIT NAGR OSBL DU SECTEUR PRIVÉ TABLE DES MATIÈRES GÉNÉRALE PARTIE 1 NOTIONS THÉORIQUES PARTICULARITÉS POUR LES OSBL. DOSSIER MODÈLE D'AUDIT NAGR OSBL DU SECTEUR PRIVÉ GÉNÉRALE PARTIE 1 NOTIONS THÉORIQUES PARTICULARITÉS POUR LES OSBL Introduction Module 1 Contrôle de la qualité et documentation Module 2 Acceptation de

Plus en détail

Services informatiques aux organisations

Services informatiques aux organisations I. APPELLATION DU DIPLÔME II. CHAMP D'ACTIVITÉ Services informatiques aux organisations Spécialité «Solutions logicielles et applications métiers» Spécialité «Solutions d infrastructure, systèmes et réseaux»

Plus en détail

Systèmes de transport public guidés urbains de personnes

Systèmes de transport public guidés urbains de personnes service technique des Remontées mécaniques et des Transports guidés Systèmes de transport public guidés urbains de personnes Principe «GAME» (Globalement Au Moins Équivalent) Méthodologie de démonstration

Plus en détail

L audit Informatique et la Qualité

L audit Informatique et la Qualité L audit Informatique et la Qualité Bennani Samir Ecole Mohammadia d Ingénieurs sbennani@emi.ac.ma emi.ac.ma Qu'est-ce que l'audit informatique? Pour Directeur général : voir plus clair dans l'activité

Plus en détail

PRESENTATION DU CADRE DE REFERENCE 2010 A LA COMMISSION DE DROIT COMPTABLE 12 Juillet 2010

PRESENTATION DU CADRE DE REFERENCE 2010 A LA COMMISSION DE DROIT COMPTABLE 12 Juillet 2010 COMMISSION DES MISSIONS COMPTABLES PRESENTATION DU CADRE DE REFERENCE 2010 A LA COMMISSION DE DROIT COMPTABLE 12 Juillet 2010 Joëlle LASRY/Guy ZERAH CREATIVE WORK Page 1 PRESENTATION GENERALE Le Conseil

Plus en détail

G U I D E P R A T I Q U E D ' A U D I T AIDE À LA MISE EN OEUVRE DU RÉFÉRENTIEL DE NORMES

G U I D E P R A T I Q U E D ' A U D I T AIDE À LA MISE EN OEUVRE DU RÉFÉRENTIEL DE NORMES G U I D E P R A T I Q U E D ' A U D I T AIDE À LA MISE EN OEUVRE DU RÉFÉRENTIEL DE NORMES GUIDE PRATIQUE D'AUDIT PAGE 2/175 Avant propos Ce guide vise à synthétiser les éléments essentiels de la mission

Plus en détail

des principes à la pratique

des principes à la pratique Le management par les risques informatiques : des principes à la pratique Partie 1 19 janvier 2012 Le management par les risques Opportunité Menace Aider l entreprise à atteindre ses objectifs métier grâce

Plus en détail

LES FONDAMENTAUX DE L AUDIT DES COMPTES CONSOLIDES

LES FONDAMENTAUX DE L AUDIT DES COMPTES CONSOLIDES LES FONDAMENTAUX DE L AUDIT DES COMPTES CONSOLIDES 1 SOMMAIRE 1. Les sources d information 2. Les conditions d acceptation de mission 3. La planification de l audit de la consolidation 4. Les travaux d

Plus en détail

Gestion des services IT Foundation Bridge basée sur la norme ISO/CIE 20000

Gestion des services IT Foundation Bridge basée sur la norme ISO/CIE 20000 Exemple d examen Gestion des services IT Foundation Bridge basée sur la norme ISO/CIE 20000 Édition Novembre 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published,

Plus en détail

BTS Comptabilité et Gestion SOMMAIRE

BTS Comptabilité et Gestion SOMMAIRE BTS Comptabilité et Gestion SOMMAIRE ANNEXE I : RÉFÉRENTIELS DU DIPLÔME... PAGE 2 I a. Référentiel des activités professionnelles...page 3 I b. Référentiel de certification... page 21 I c. Lexique....

Plus en détail

Les DDL. Les Attestations. (Diligences Directement Liées) Grenoble jeudi 4 juin 2009 Valence mardi 9 juin 2009 Gap vendredi 10 juin 2009

Les DDL. Les Attestations. (Diligences Directement Liées) Grenoble jeudi 4 juin 2009 Valence mardi 9 juin 2009 Gap vendredi 10 juin 2009 Les DDL (Diligences Directement Liées) Les Attestations animation : Marc FERAUD Commissaire aux Comptes à Aix en Provence Conception et Organisation : Compagnie Régionale des Commissaires aux Comptes de

Plus en détail

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET Glossaire La terminologie propre au projet, ainsi que les abréviations et sigles utilisés sont définis dans le Glossaire. Approbation Décision formelle, donnée

Plus en détail

SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance

SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance Procédures de contrôle interne relatives à l'élaboration et au traitement de l'information comptable et financière

Plus en détail

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition)

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition) Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.

Plus en détail

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition)

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition) Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.

Plus en détail

Comprendre ITIL 2011

Comprendre ITIL 2011 Editions ENI Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000 Collection DataPro Extrait 54 Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000

Plus en détail

RAPPORT SUR L'AUDIT PRUDENTIEL DES GROUPES ET CONGLOMERATS D'ASSURANCE [GROUPE OU CONGLOMÉRAT D'ASSURANCE ASSUJETTI]

RAPPORT SUR L'AUDIT PRUDENTIEL DES GROUPES ET CONGLOMERATS D'ASSURANCE [GROUPE OU CONGLOMÉRAT D'ASSURANCE ASSUJETTI] RAPPORT SUR L'AUDIT PRUDENTIEL DES GROUPES ET CONGLOMERATS D'ASSURANCE [GROUPE OU CONGLOMÉRAT D'ASSURANCE ASSUJETTI] 1 Conditions générales de l'audit Les passages indiqués en italique dans le présent

Plus en détail

plate-forme mondiale de promotion

plate-forme mondiale de promotion plate-forme mondiale de promotion À propos de The Institute of Internal Auditors (Institut des auditeurs internes) L'institut des auditeurs internes (IIA) est la voix mondiale de la profession de l'audit

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

Projet en entreprise Cadrage du Projet de Fin d Etudes «Un projet informatique.»

Projet en entreprise Cadrage du Projet de Fin d Etudes «Un projet informatique.» Projet en entreprise Cadrage du Projet de Fin d Etudes «Un projet informatique.» Projet de fin d études 2 Sommaire OBJET DU DOCUMENT... 3 LES ETAPES DU PROJET... 4 ETUDE PREALABLE...5 1 L étude d opportunité...

Plus en détail

++++++++++++++++++++++++++++++++++++ Présenté par : Imed ENNOURI

++++++++++++++++++++++++++++++++++++ Présenté par : Imed ENNOURI ++++++++++++++++++++++++++++++++++++ Présenté par : Imed ENNOURI Réglementation de la profession d expert comptable en Tunisie - Loi 88-108 du 18 août 1988, portant refonte de la législation relative à

Plus en détail

URBANISME DES SYSTÈMES D INFORMATION

URBANISME DES SYSTÈMES D INFORMATION FAYCAL AYECH GL2. INSAT 2010/2011 INTRODUCTION AUX SYSTÈMES D INFORMATIONS URBANISME DES SYSTÈMES D INFORMATION De l Urbanisme à L Urbanisation des SI Urbanisme : Mise en œuvre des politiques urbaines

Plus en détail

ISO/CEI 20000-1 NORME INTERNATIONALE. Technologies de l'information Gestion des services Partie 1: Exigences du système de management des services

ISO/CEI 20000-1 NORME INTERNATIONALE. Technologies de l'information Gestion des services Partie 1: Exigences du système de management des services NORME INTERNATIONALE ISO/CEI 20000-1 Deuxième édition 2011-04-15 Technologies de l'information Gestion des services Partie 1: Exigences du système de management des services Information technology Service

Plus en détail

Appendice A I. Mission II. Domaine d'activité A. VÉRIFICATION

Appendice A I. Mission II. Domaine d'activité A. VÉRIFICATION Appendice A Charte du Bureau de l'inspecteur général I. Mission 1. Le Bureau de l'inspecteur général assure la supervision des programmes et des opérations de l'organisation, par des opérations de vérification

Plus en détail

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D D O M I N I Q U E M O I S A N D F A B R I C E G A R N I E R D E L A B A R E Y R E Préface de Bruno Ménard, président du Cigref CobiT Implémentation ISO 270 2 e édition Pour une meilleure gouvernance des

Plus en détail

Principes fondamentaux de l'audit financier

Principes fondamentaux de l'audit financier ISSAI 200 Version pour adoption Les normes ISSAI internationales 200 Principes des institutions fondamentaux supérieures de l'audit de contrôle financier des finances publiques, désignées par l'acronyme

Plus en détail

Orientations sur la solvabilité du groupe

Orientations sur la solvabilité du groupe EIOPA-BoS-14/181 FR Orientations sur la solvabilité du groupe EIOPA Westhafen Tower, Westhafenplatz 1-60327 Frankfurt Germany - Tel. + 49 69-951119-20; Fax. + 49 69-951119-19; email: info@eiopa.europa.eu

Plus en détail

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009)

Plus en détail

ÉCONOMIE ET GESTION LYCÉES TECHNOLOGIQUE ET PROFESSIONNEL

ÉCONOMIE ET GESTION LYCÉES TECHNOLOGIQUE ET PROFESSIONNEL ÉCONOMIE ET GESTION LYCÉES TECHNOLOGIQUE ET PROFESSIONNEL Au niveau du second degré, l'économie et gestion recouvre un ensemble de champs disciplinaires relevant de l'économie, du droit, des sciences de

Plus en détail

QUESTIONNAIRE D AUTO EVALUATION

QUESTIONNAIRE D AUTO EVALUATION ETRE PRET POUR LE CONTROLE QUALITE 2007 page 1/5 0 INFORMATIONS GENERALES Existe-t-il des procédures dans le cabinet? Le cabinet est-il membre d'un groupe ou d'un réseau? Le cabinet est-il membre d'une

Plus en détail

"Le Référentiel des Métadonnées Documentaires" ou "le MDM appliqué au Records Management"

Le Référentiel des Métadonnées Documentaires ou le MDM appliqué au Records Management OPUS Conseils Le 27 Mai 2013 V2 "Le Référentiel des Métadonnées Documentaires" ou "le MDM appliqué au Records Management" Stratégie en matière Documentaire, par Jacques LERET INTRODUCTION Les Entreprises

Plus en détail

A1 GESTION DE LA RELATION AVEC LA CLIENTELE

A1 GESTION DE LA RELATION AVEC LA CLIENTELE Référentiel des Activités Professionnelles A1 GESTION DE LA RELATION AVEC LA CLIENTELE L assistant prend en charge l essentiel du processus administratif des ventes. Il met en place certaines actions de

Plus en détail

Le commissaire aux comptes et le premier exercice d un nouveau mandat

Le commissaire aux comptes et le premier exercice d un nouveau mandat Le commissaire aux comptes et le premier exercice d un nouveau mandat Objectifs de la conférence n Préciser les modalités pratiques de mise en œuvre de la NEP 510 - Contrôle du bilan d ouverture du premier

Plus en détail

RAPPORT 2004 DE L'AMF SUR LE GOUVERNEMENT D'ENTREPRISE ET LE CONTRÔLE INTERNE

RAPPORT 2004 DE L'AMF SUR LE GOUVERNEMENT D'ENTREPRISE ET LE CONTRÔLE INTERNE RAPPORT 2004 DE L'AMF SUR LE GOUVERNEMENT D'ENTREPRISE ET LE CONTRÔLE INTERNE Autorité des marchés financiers Tél. : 01 53 45 60 00 Fax : 01 53 45 61 00 17, place de la Bourse 75082 Paris cedex 02 RAPPORT

Plus en détail

Manuel technique d audit

Manuel technique d audit Manuel technique d audit Référence : Table des matières section page 1. INTRODUCTION 4 2. METHODOLOGIE D'AUDIT 5 2.1 PRESENTATION DE LA DEMARCHE GENERALE 6 2.1.1 - DEFINITION DES OBJECTIFS DE L'AUDIT 6

Plus en détail

Charte d audit du groupe Dexia

Charte d audit du groupe Dexia Janvier 2013 Charte d audit du groupe Dexia La présente charte énonce les principes fondamentaux qui gouvernent la fonction d Audit interne dans le groupe Dexia en décrivant ses missions, sa place dans

Plus en détail

FONDATION QUÉBÉCOISE POUR LE PROGRÈS DE LA MÉDECINE INTERNE

FONDATION QUÉBÉCOISE POUR LE PROGRÈS DE LA MÉDECINE INTERNE FONDATION QUÉBÉCOISE POUR LE PROGRÈS DE LA MÉDECINE INTERNE ÉTATS FINANCIERS 2 RAPPORT DE L'AUDITEUR INDÉPENDANT À l'attention des membres de Fondation Québécoise pour le progrès de la médecine interne

Plus en détail

Devis de Construction Canada

Devis de Construction Canada États financiers Pour l'exercice terminé le 31 mars 2011 Table des matières Rapport de l'auditeur indépendant 2 États financiers Bilan 3 État de l'évolution des actifs nets 4 État des résultats 5 États

Plus en détail

Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION

Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION Classe de terminale de la série Sciences et Technologie du Management et de la Gestion Préambule Présentation Les technologies de l information

Plus en détail

SOUS-SECTION 2 OBLIGATIONS CONSÉCUTIVES À L'HABILITATION [DB 5J1332]

SOUS-SECTION 2 OBLIGATIONS CONSÉCUTIVES À L'HABILITATION [DB 5J1332] SOUS-SECTION 2 OBLIGATIONS CONSÉCUTIVES À L'HABILITATION [DB Références du document 5J1332 Date du document 15/03/95 2. Respect d'engagements particuliers. Conformément à l'article 164 F unvicies C de

Plus en détail

Fiche méthodologique Rédiger un cahier des charges

Fiche méthodologique Rédiger un cahier des charges Fiche méthodologique Rédiger un cahier des charges Plan de la fiche : 1 : Présentation de la fiche 2 : Introduction : les grands principes 3 : Contenu, 1 : positionnement et objectifs du projet 4 : Contenu,

Plus en détail

asah alpha consulting Prog o ram a m m e e de d e fo f r o mat a i t on o n 2 01 0 5

asah alpha consulting Prog o ram a m m e e de d e fo f r o mat a i t on o n 2 01 0 5 AUDIT 1 1.1 Evaluation et appréciation du contrôle Auditeurs internes, contrôleurs de gestion Responsables administratifs et financiers ; Durée : 03 jours Maitriser la démarche d évaluation interne Mettre

Plus en détail

Bases de données nationales en matière de valeur comme outil d'évaluation des risques

Bases de données nationales en matière de valeur comme outil d'évaluation des risques Bases de données nationales en matière de valeur comme outil d'évaluation des risques Parlons-en... Les directives Directives concernant l'élaboration et l'utilisation des bases de données nationales en

Plus en détail

Chapitre IV. La certification des comptes

Chapitre IV. La certification des comptes Chapitre IV La certification des comptes Aux termes de la Constitution, «les comptes des administrations publiques sont réguliers, sincères et donnent une image fidèle de leur gestion, de leur patrimoine

Plus en détail

Norme ISA 510, Audit initial Soldes d ouverture

Norme ISA 510, Audit initial Soldes d ouverture IFAC Board Prise de position définitive 2009 Norme internationale d audit (ISA) Norme ISA 510, Audit initial Soldes d ouverture Le présent document a été élaboré et approuvé par le Conseil des normes internationales

Plus en détail

Norme ISA 620, Utilisation par l auditeur des travaux d un expert de son choix

Norme ISA 620, Utilisation par l auditeur des travaux d un expert de son choix IFAC Board Prise de position définitive 2009 Norme internationale d audit (ISA) Norme ISA 620, Utilisation par l auditeur des travaux d un expert de son choix Le présent document a été élaboré et approuvé

Plus en détail

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799 David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information

Plus en détail

EVALUATION DU CONTRÔLE INTERNE POUR APPRECIER LE RISQUE D AUDIT

EVALUATION DU CONTRÔLE INTERNE POUR APPRECIER LE RISQUE D AUDIT EVALUATION DU CONTRÔLE INTERNE POUR APPRECIER LE RISQUE D AUDIT Pourquoi une approche par les risques? L approche par les risques en résumé Généralités sur le contrôle interne Définitions du C.I 5 composantes

Plus en détail

Evaluation Gouvernance de la Sécurité de l'information

Evaluation Gouvernance de la Sécurité de l'information CLUSIS Association suisse de sécurité des systèmes d'information Case postale 9 1000 Lausanne 26 Evaluation Gouvernance de la Sécurité de l'information Organisation: Date: Lieu: Interlocuteur(s): Consultant:

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

La politique de sécurité

La politique de sécurité La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,

Plus en détail

MAISON D'INTERVENTION VIVRE RAPPORT FINANCIER ANNUEL AU 31 MARS 2015

MAISON D'INTERVENTION VIVRE RAPPORT FINANCIER ANNUEL AU 31 MARS 2015 RAPPORT FINANCIER ANNUEL SOMMAIRE RAPPORT DE L'AUDITEUR INDÉPENDANT 1 ÉTATS FINANCIERS État des résultats 2 État de l'évolution des actifs nets 3 Bilan 4 Flux de trésorerie 5 Notes aux états financiers

Plus en détail

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments

Plus en détail

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

SPECIFICATION E DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES 92038 PARIS LA DEFENSE CEDEX Page 1 / 11 SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES 29/11/00 13 Indice

Plus en détail

NORME PROFESSIONNELLE APPLICABLE AUX ATTESTATIONS PARTICULIÈRES DELIVRÉES PAR LE PROFESSIONNEL DE L EXPERTISE COMPTABLE À LA DEMANDE DE L ENTITÉ

NORME PROFESSIONNELLE APPLICABLE AUX ATTESTATIONS PARTICULIÈRES DELIVRÉES PAR LE PROFESSIONNEL DE L EXPERTISE COMPTABLE À LA DEMANDE DE L ENTITÉ NORME PROFESSIONNELLE APPLICABLE AUX ATTESTATIONS PARTICULIÈRES DELIVRÉES PAR LE PROFESSIONNEL DE L EXPERTISE COMPTABLE À LA DEMANDE DE L ENTITÉ (NP 3100) (Norme agréée par arrêté ministériel du 20 juin

Plus en détail

MODULE 7 - COMPTABILITÉ

MODULE 7 - COMPTABILITÉ MANUEL DE GESTION FINANCIÈRE POUR LES BÉNÉFICIAIRES DE FONDS EUROPÉENS DESTINÉS AUX ACTIONS EXTÉRIEURES - Histoire vraie Le projet «Droits humains et situations d'urgence» était géré par une organisation

Plus en détail