DSCG : UE5 - Management des Systèmes d'information

Dimension: px
Commencer à balayer dès la page:

Download "DSCG : UE5 - Management des Systèmes d'information"

Transcription

1 Table des matières CARTE HEURISTIQUE... 1 GÉNÉRALITÉS... 1 LES MISSIONS D'AUDIT... 1 Les contextes d'audit...2 L'audit des systèmes d'information...2 Les différents types de missions d'audit...2 La démarche d'audit...3 LE CADRE LÉGAL ET NORMATIF DE L'AUDIT...5 Les normes et les référentiels...5 Le référentiel CobiT...6 Les normes professionnelles internationales...7 Le contrôle interne...8 LE CONTRÔLE DES COMPTES DES ENTITÉS INFORMATISÉES...11 Le système d'information comptable (SIC)...11 La prise en compte de l'environnement informatique lors de l'audit légal des comptes...11 Le risque d'audit...12 LA DÉMARCHE D'AUDIT DU CNCC...14 Les supports opérationnels...15 L'AUDIT ASSISTÉ PAR ORDINATEUR...16 Les étapes de l'audit assisté par ordinateur...16 Les techniques d'audit assisté par ordinateur, TAAO (Computer Assisted Techniques, CAATs)...17 Les progiciels d'aide à la révision...19 Les avantages des progiciels d'aide à la révision...20 Carte heuristique Généralités Après avoir longtemps été cantonné au domaine financier, le terme «audit» s'est maintenant largement diffusé et concerne notamment les systèmes d'information. Les enjeux de la mise en œuvre d'un audit sont multiples et répondent à des problématiques de mise en conformité et de prévention des risques. Un certain nombre de lois ont eu pour effet de généraliser et de systématiser la pratique de l'audit des systèmes d'information pour contribuer au rétablissement de la confiance entre les acteurs de l'économie. L'audit des SI bénéficie d'un cadre légal et réglementaire tant au niveau national qu'au niveau international, et dispose d'outils informatiques permettant, d'une part, de traiter les données issues des SI et, d'autre part, de faciliter le suivi et la réalisation d'une mission complexe et documentée. Les missions d'audit Selon la norme ISO 9000, l'audit est un «processus méthodique, indépendant et documenté permettant de recueillir des informations objectives pour déterminer dans quelle mesure les pratiques 1/20

2 observées satisfont aux référentiels du domaine concerné», L'auditeur se forge une opinion qu'il consigne ensuite dans un rapport. Les contextes d'audit L'audit en tant que mécanisme de gouvernance occupe une place croissante dans un contexte de regroupement d'entreprise et de développement des fonds d'investissement. De plus en plus, les entreprises cherchent à maîtriser l'incertitude par la conduite d'audits fondés sur une approche par les risques. Ainsi, des audits sont réalisés à la demande des dirigeants des organisations (direction générale, mais également directions opérationnelles) auprès de leur service d'audit interne ou auprès d'auditeurs externes. Ce peut être, par exemple, un audit de conformité pour anticiper un éventuel contrôle fiscal par un diagnostic du système d'information comptable. Des audits sont également mandatés par des propriétaires pour contrôler leurs mandataires (les dirigeants) et réduire l'asymétrie d'information entre les différents «stakeholders» ou «parties prenantes». Ces audits sont conduits en sus de l'audit légal des comptes réalisé par les commissaires aux comptes en France. Par ailleurs, des audits peuvent être menés dans le cadre d'une expertise judiciaire, sur la requête d'un tribunal (juridictions civiles, pénales, etc.), voire à la demande d'une autorité administrative. Les contextes d'audit sont variés et demandent de plus en plus un audit des systèmes d'information qui se retrouve à la croisée des préoccupations des dirigeants et des différentes parties prenantes qui ont des objectifs économiques et financiers nécessitant une maîtrise accrue du risque. L'audit des systèmes d'information Le concept d'audit des systèmes d'information est apparu au cours des années Il comprend l'examen et l'évaluation des processus, des systèmes de traitement automatisé de l'information et des interfaces qui les relient ainsi que des procédures connexes non automatisées, avec un ensemble de règles en vigueur (fiscales, juridiques, techniques, etc.). Il vise à mettre en évidence les risques relatifs aux processus supportés par le système d'information et ceux liés à l'infrastructure technique (adéquation de l'infrastructure avec les besoins de l'entité, sécurité physique, logique et applicative, pérennité du SI, etc.). L'audit des systèmes d'information couvre un périmètre plus large que l'audit informatique dans la mesure où il s'intéresse aux aspects organisationnels et fonctionnels liés au SI, en plus des aspects purement techniques. L'audit des systèmes d'information peut être décomposé en deux approches : l'évaluation de la fonction informatique, pour laquelle l'auditeur s'appuie principalement sur les méthodes et référentiels existants dans ce domaine (essentiellement le CobiT). La fonction«informatique» de l'entreprise est à prendre en compte en termes de séparation des fonctions, gestion des mouvements de personnel, gestion des projets, fiabilité des processus informatiques (pilotage, développement, maintenance, exploitation, sécurité du SI), etc. ; l'évaluation de la composante «système d'information» des processus opérationnels, pour laquelle l'auditeur s'appuiera sur des programmes de travail spécifiques. Ceux-ci sont induits par l'appréciation des risques généraux portant sur le processus considéré et sont fonction du degré d'informatisation du processus et du type d'outil informatique utilisé. Selon Serge Yablonsky, président d'honneur de l'afai (Association française de l'audit et du conseil informatiques) et directeur du cabinet d'audit Moore Stephens SYC : «l'audit de la fonction informatique basé en général sur le référentiel CobiT peut couvrir l'audit de la stratégie, de la tactique, de l'opérationnel et de management de la fonction, tandis que l'audit des applications avec les processus métiers couvrira, par exemple dans le cas de la gestion commerciale, la validation des données, la fiabilité et la réactivité des traitements ou encore la conformité réglementaire.» (Source : Les différents types de missions d'audit Les missions d'audit peuvent être de plusieurs types : interne, externe et stratégique de la fonction informatique. Elles se caractérisent également : par la nature du lien entre l'auditeur et l'audité, avec l'appartenance ou la non appartenance à l'entité auditée ; par la nature du cadre juridique de l'audit, avec le respect d'obligations légales et de normes professionnelles ; par la qualité du mandataire de la mission et du contexte d'audit ; 2/20

3 etc. L'audit interne La mission d'audit interne est diligentée par la direction de l'entité. Selon l'afai (Association française de l'audit et du conseil informatiques), «l'audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité». Cette activité indépendante est exécutée par le département d'audit interne. L'audit externe La mission d'audit externe est réalisée par des personnes extérieures à l'organisation : cabinets d'experts-comptables ou professionnels spécialisés dans un domaine précis (audit environnemental, audit de sécurité, etc.). Elle peut tenir à plusieurs raisons différentes : soit elle répond aux mêmes objectifs qu'une mission d'audit interne et, dans ce cas, sa justification tient à l'absence d'un département d'audit interne ou à l'absence de compétences au sein du département d'audit interne pour l'évaluation des SI, voire à la volonté de confier la mission à un tiers indépendant de l'entité auditée ; soit elle répond à d'autres contextes d'audit et elle est éventuellement diligentée par d'autres acteurs que la direction de l'entité. On peut citer, par exemple, les missions réalisées par les commissaires aux comptes (CAC) dans le cadre de leurs mandats d'audit. Dans ce cas, la mission d'audit a uniquement pour objectifs de renseigner les CAC sur le niveau de contrôle interne existant dans l'entreprise sur le processus informatique et d'évaluer les risques existants pouvant impacter leur opinion. L'audit stratégique de la fonction informatique L'audit stratégique de la fonction informatique vise à vérifier son alignement sur la stratégie à long terme de l'entité. Il consiste à étudier l'adéquation de la fonction informatique aux besoins et aux enjeux de l'entreprise, le respect du principe de séparation des tâches et le niveau de dépendance de l'entreprise vis-à-vis de prestataires externes. La démarche d'audit La démarche d'audit se déroule en plusieurs phases aboutissant à l'élaboration d'un rapport d'audit, véritable outil de communication entre le ou les commanditaires de l'audit, les acteurs de l'entité auditée et les auditeurs. Les phases d'une mission d'audit La démarche d'audit retenue par le Guide d'audit des systèmes d'information de l'afai s'appuie sur trois phases, dont les activités sont détaillées dans la figure 10.1 : planification, cadrage et exécution. La démarche d'audit 3/20

4 L'auditeur planifie, dans un premier temps, les différents aspects de la mission concourant à l'atteinte des objectifs initialement fixés. Ces objectifs sont ensuite détaillés dans la phase de cadrage puis la phase d'exécution de l'audit aboutit à la formulation de conclusions et de recommandations consignées dans un rapport d'audit. Le rapport d'audit Toute mission d'audit, et donc d'audit des systèmes d'information, se traduit par un rapport d'audit, qui constitue la pièce maîtresse de la mission d'audit. Selon les normes professionnelles de l'isaca (Information Systems and Control Association), «à l'issue de son travail, l'auditeur des SI doit fournir un rapport sous une forme adéquate. Le rapport doit préciser l'entreprise, les destinataires du document et les éventuelles restrictions à sa diffusion. [... ] Le rapport doit spécifier la portée, les objectifs, la période couverte, la nature, la durée et l'ampleur de l'audit réalisé. [... ] Le rapport doit spécifier les conclusions et recommandations de l'audit, ainsi que les éventuelles limitations de portée, réserves ou qualifications jugées opportunes par l'auditeur des SI. [... ] L'auditeur des SI doit collecter des éléments probants suffisants et pertinents pour corroborer les résultats rapportés. [... ] Lors de son édition, le rapport de l'auditeur des SI doit être signé, daté et distribué conformément aux termes de la charte d'audit ou de la lettre de mission» (source : Le rapport d'audit est un outil stratégique, support des améliorations du SI. Les conseils pour piloter un audit du système d'information Selon Dominique Filippone (JDN Solutions, 10 conseils pour piloter son audit des systèmes d'information, lorsqu'une entreprise décide ou est contrainte de réaliser un audit, elle doit se poser des questions sur la façon de le mener à bien et d'appréhender avec le plus d'objectivité possible les résultats de l'audit et suivre les conseils suivants : 1. Bien délimiter le champ d'investigation et les enjeux de l'audit. 2. Se préparer à la procédure d'audit. 3. Séparer le commanditaire de l'entité en charge de l'audit. L'audit doit être mené par des intervenants indépendants de la DSI et mandatés par la direction générale. Cependant, des audits seront commandités spécifiquement par la DSI lorsque les enjeux seront typiquement liés à ses processus internes (suivi de la production, suivi de la qualité de service... ). 4. Se doter d'une direction de l'audit interne, oui, mais ce n'est pas sans poser problème en raison de l'importance des ressources à mobiliser et de la place de cette direction dans l'organisation. 4/20

5 5. Recourir à des référentiels solides comme ISO, CobiT (Control Objectives for Information and related Technology) dans le cadre de processus transverses, CMMI (Capability Maturity Model Integration), dans celui du pilotage de projet, ITIL (Information Technology Infrastructure Library), pour les services, etc. 6. S'entendre sur le référentiel choisi. Les parties prenantes concernées par les enjeux de l'audit doivent avoir une vision sur le référentiel choisi, ainsi la clarté de la démarche d'audit sera appréhendée dans le temps. 7. Préparer les pièces indispensables à l'audit et en faciliter l'accès : le cahier des charges, qui a pour vocation à contractualiser les besoins d'une entité envers un tiers, mais également le plan qualité, les tableaux de bord et indicateurs de performance, la gestion des problèmes récurrents, etc. 8. Confier son audit à une équipe pluridisciplinaire et indépendante. 9. Choisir la fréquence et le temps de déroulement de l'audit. 10. Ne pas sous-estimer les limites d'un audit.» Les risques de ne pas identifier l'ensemble des faiblesses et menaces d'un processus ou d'un applicatif ne sont pas nuls. Parmi les contraintes et les limites potentielles : un temps imparti à l'audit restreint ou une appréciation biaisée du contexte fonctionnel et métier de l'organisation étudiée. Enfin, un léger réajustement technique ou organisationnel exercé a posteriori sur le SI peut remettre en cause tout ou partie des résultats d'un audit. Le cadre légal et normatif de l'audit L'audit des systèmes d'information est encadré par des normes et référentiels spécifiques, internationaux et nationaux, qui servent de guide dans les pratiques des auditeurs internes et externes. Toutefois, le cadre de référence de l'audit retenu par les grandes entreprises est souvent rapproché du cadre proposé par l'autorité des marchés financiers (AMF) au titre du contrôle interne. En effet, le législateur a obligé les grandes entreprises à plus de transparence et à disposer de systèmes d'information à la hauteur de ces enjeux par la loi Sarbanes-Oxley (SOX : 29 août 2002) aux États-Unis, les lois NRE (nouvelles réglementations économiques, 15 mai 2001), LSF (loi de sécurité financière, 1er août 2003) et la loi pour la confiance et la modernisation de l'économie (<< loi Breton», 26 juillet 2005) en France. Ce nouveau socle réglementaire répond à un enjeu majeur : rétablir la confiance entre les différents acteurs de l'économie. Nous ne développerons ici que les renforcements des obligations des sociétés françaises en matière de contrôle interne. Les normes et les référentiels La spécificité de l'audit des systèmes d'information et les compétences requises pour accomplir des audits exigent des normes et des référentiels qui s'appliquent expressément à l'audit des SI. Il existe des normes professionnelles internationales et nationales, et des référentiels relatifs à l'audit des entités informatisées. Ils sont élaborés par des organisations internationales qui ont le plus souvent des correspondants nationaux. Les principaux organismes, normes et référentiels sont présentés dans le tableau suivant. Il ne s'agit pas d'une liste exhaustive. interne informatique externe Organismes internationaux UA, Institute of Internal ors (www.theüa.org) ISACA, Information Systems and Control Association (www.isaca.org) IFAC, International Federation of Accountants (www.ifac.org) Normes ou référentiels internationaux Normes internationales pour la pratique professionnelle de l'audit CobiT (téléchargement depuis le site et divers normes et standards ISA, International Standards on ing ISQC1, International Standard on Quality Control Organisations nationales IFACI, Institut français des auditeurs internes (www.ifaci.com) AFAI, Association française de l'audit et du conseil informatiques (www.afai.fr) CNCC, Compagnie nationale des commis saires aux comptes (www. cncc.fr) 5/20

6 interne informatique externe Normes nationales NEP, normes d'exercice professionnel L'objectif des normes est d'informer les auditeurs du niveau minimal acceptable pour répondre aux responsabilités professionnelles et les autres parties des attentes de la profession d'audit. Le référentiel CobiT La démarche d'audit du système d'information s'appuie sur le référentiel CobiT (Control Objectives for Information and related Technology - Objectifs de contrôle de l'information et des technologies associées) qui fournit les «bonnes pratiques» pour l'appréciation des risques informatiques et propose des standards de contrôle selon le cadre présenté ci-dessous : Cadre d'analyse des risques illustré par CobiT Le modèle débute par une valorisation des biens. Dans CobiT, ces biens sont les informations - et naturellement l'ensemble des ressources associées - dont les critères d'efficacité, de disponibilité ou d'intégrité, etc., sont essentiels pour atteindre les objectifs de l'entreprise. L'étape suivante est l'analyse de vulnérabilité des processus, qui permet d'identifier les faiblesses par les critères d'information ; un processus peut par exemple être vulnérable à la perte d'intégrité. L'analyse des menaces, étape suivante, doit permettre de lister l'ensemble des menaces et de voir quelles vulnérabilités elles pourraient exploiter. L'analyse des risques va combiner la probabilité de la menace, le degré de vulnérabilité et le niveau de sévérité de l'impact. Il faut alors réaliser l'analyse du contrôle en exhibant une série de contre-mesures et en évaluant leur efficacité face aux risques. Un plan d'actions est alors mis en œuvre et le cycle peut recommencer. L'utilisation du référentiel CobiT est rassurante pour l'auditeur et l'audité car elle renvoie à une démarche acceptée et validée au niveau international. Elle permet à l'auditeur : d'adopter une démarche efficace en se référant, pour la construction et l'application des programmes de travail, à un ensemble reconnu de bonnes pratiques ; de structurer la documentation de travail et de la mission ; de prendre en compte tous les risques (exhaustivité) ; de faciliter les échanges en se référant à un référentiel international ; de permettre des comparaisons entre entités ou secteurs d'activité ; etc. Si le recours au référentiel CobiT constitue une véritable opportunité pour l'auditeur, son usage présente des limites. D'une part, le référentiel est avant tout un outil de travail. Il devra donc être adapté aux objectifs de la mission et au contexte de mise en œuvre. Le référentiel nécessite impérativement une démarche critique de l'auditeur et une appréciation des risques liés au contexte spécifique d'intervention. D'autre part, si le référentiel CobiT reste exhaustif et pertinent pour 6/20

7 l'appréciation des risques liés à la fonction informatique, sa portée est considérablement limitée lors de l'évaluation des risques informatiques sous-jacents dans le fonctionnement des autres processus opérationnels ou les risques informatiques particuliers propres, par exemple, à un environnement légal et réglementaire donné. Les normes professionnelles internationales Des normes professionnelles internationales relatives à l'audit interne et à l'audit externe existent. Les normes d'audit interne Au niveau international, ce sont les normes internationales pour la pratique professionnelle de l'audit interne de l'institute of Internal ors (lia) qui constituent le référentiel de la mission d'audit interne. Elles sont complétées par un code de déontologie fournissant aux auditeurs internes les principes et valeurs régissant leur pratique professionnelle. Selon l'ifaci, les normes ont pour objet : de définir les principes fondamentaux de la pratique de l'audit interne ; de fournir un cadre de référence pour la réalisation et la promotion d'un large champ d'intervention d'audit interne à valeur ajoutée ; d'établir les critères d'appréciation du fonctionnement de l'audit interne ; de favoriser l'amélioration des processus organisationnels et des opérations. Les normes se composent : de normes de qualification qui précisent les caractéristiques que doivent présenter les organisations et les personnes accomplissant des missions d'audit interne ; de normes de fonctionnement qui décrivent la nature des missions d'audit interne et définissent des critères de qualité permettant de mesurer la performance des services fournis ; de normes de mise en œuvre qui précisent les deux types de normes précédentes en indiquant les exigences applicables dans les activités d'assurance (évaluation objective en vue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une opération, une fonction, un processus, un système ou tout autre sujet) ou de conseil. La norme de qualification 1210.A3 stipule notamment que «les auditeurs internes doivent posséder une connaissance suffisante des principaux risques et contrôles relatifs aux technologies de l'information, et des techniques d'audit informatisées susceptibles d'être mises en œuvre dans le cadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes ne sont pas censés posséder l'expertise d'un auditeur dont la responsabilité première est l'audit informatique». Les normes d'audit externe Au niveau international, ce sont les normes ISA qui constituent le référentiel de la mission d'audit externe. Elles ont été élaborées et publiées par l'international ing and Assurance Standards Board (IAASB), qui est une dépendance de l'ifac (International Federation of Accountants). Les objectifs des normes d'audit des systèmes d'information de l'isaca sont d'«informer : les auditeurs de systèmes d'information du niveau minimum de diligence requis pour satisfaire les responsabilités professionnelles définies dans le code d'éthique professionnelle de l'isaca ; la direction et les autres parties prenantes de ce qu'elles sont en droit d'attendre des travaux professionnels des auditeurs» (source : AFAI, La Revue, n" 78, mars 2005). L'architecture des normes d'audit des systèmes d'information de l'isaca comprend plusieurs niveaux : les normes définissent les exigences obligatoires pour la conduite de l'audit des systèmes d'information et la rédaction des rapports ; les recommandations apportent des conseils pour l'application des normes ISA ; les procédures donnent des informations sur la façon de satisfaire aux normes lors de l'accomplissement des travaux d'audit. 7/20

8 Les normes ISA de référence sont : la norme ISA Connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives ; la norme ISA Procédures à mettre en œuvre par l'auditeur en fonction de son évaluation du risque. Ces normes ont été transposées au niveau national. Par ailleurs, la norme ISCQ1 (International Standard on Quality Control), établie par l'ifac, définit les exigences relatives à la mise en place d'un système de «contrôle qualité des cabinets réalisant des missions d'audit ou d'examen limité d'informations financières historiques, et d'autres missions d'assurance et de services connexes». Cette norme devrait être implémentée dans les cabinets de réviseurs d'entreprises dans les prochaines années. Les normes professionnelles nationales En France, c'est la CNCC (Compagnie nationale des commissaires aux comptes) qui réalise le référentiel normatif homologué applicable à la profession française. Il a été entériné courant La transposition dans le référentiel français des normes d'audit internationales de l'ifac a poursuivi deux objectifs : positionner clairement la France au regard du référentiel normatif international (IAASB) ; témoigner du haut degré de qualité de la certification des commissaires aux comptes. De cette transposition ont découlé notamment les normes d'audit en environnement informatisé : la norme CNCC relative à l'évaluation du risque et au contrôle interne ; la norme CNCC relative à l'audit réalisé dans un environnement informatique. Ces textes ont été remplacés le 1er mai 2007 par les normes d'exercice professionnel : -la norme NEP Connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives dans les comptes ; la norme NEP Procédures d'audit mises en œuvre par le commissaire aux comptes à l'issue de son évaluation des risques. Ces NEP découlent des normes internationales ISA 315 et 330. Les NEP ont valeur de loi et s'imposent dans le cadre de la mission du CAC. Elles ont pour vocation première «de garantir le bon exercice des missions et permettent de trouver, dans une doctrine émanant de l'organisation professionnelle seule habilitée à définir, les critères d'appréciation nécessaires» (Référentiel normatif CNCC, juillet 2003, 0-100, Préambule). Le contrôle interne La mise en place de dispositifs de contrôle interne repose en grande partie sur le contrôle du système d'information. En effet, la quasi-totalité des procédures repose aujourd'hui sur des traitements informatisés. La mise en place de dispositifs de contrôle interne efficaces se fait et se fera de plus en plus à l'aide de SI conçus à cet effet. La définition et la portée du contrôle interne Selon l'afai, le contrôle interne est un dispositif mis en œuvre par la société et sous sa responsabilité. «Il comprend un ensemble de moyens, de comportements, de procédures et d'actions adaptés aux caractéristiques propres de chaque société qui : contribue à la maîtrise de ses activités, à l'efficacité de ses opérations et à l'utilisation efficiente de ses ressources, et doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu'ils soient opérationnels, financiers ou de conformité.» Le contrôle interne vise plus particulièrement à «assurer : la conformité aux lois et règlements ; l'application des instructions et des orientations fixées par la direction générale ou le directoire ; 8/20

9 le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs ; la fiabilité des informations financières. Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux seuls processus comptables et financiers. La définition du contrôle interne ne recouvre pas toutes les initiatives prises par les organes dirigeants ou le management comme par exemple la définition de la stratégie de la société, la détermination des objectifs, les décisions de gestion, le traitement des risques ou le suivi des performances», Selon les articles et du Code de commerce, qui trouvent leur origine dans la loi de sécurité financière (LSF) du 1er août 2003 (article 117), dans les sociétés faisant appel public à l'épargne, le président du conseil d'administration ou du conseil de surveillance «rend compte, dans un rapport, [... ] des procédures de contrôle interne mises en place par la société». Pour ces mêmes sociétés, selon l'article L du Code de commerce (article 120 de la LSF), «les commissaires aux comptes présentent dans un rapport 13121Management des systèmes d'information [... ] leurs observations sur le rapport (du Président) pour celles des procédures de contrôle interne relatives à l'élaboration et au traitement de l'information comptable et financière». Les applicatifs dédiés au «Contrôle Interne» répondent aux enjeux majeurs suivants : S assurer de la conformité de l entreprise aux réglementations et aux normes de contrôle interne : LSF, cadre de référence de l AMF, Sarbanes-Oxley, CRBF et Bâle II pour les banques, Solvabilité II pour l assurance, Contribuer à l alignement et à l optimisation des processus opérationnels dans l entreprise, Faciliter la communication aux parties prenantes et la rédaction du rapport annuel sur le contrôle interne.» Le cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf Face aux préoccupations relatives au contrôle interne, on assiste au développement de démarches sur la base de cadres de référence, comme celui de l'amf (Autorité des marchés financiers) ou celui du casa (Committee of Sponsoring Organizations of the Treadway Commission). Le dispositif du contrôle interne s'intéresse tant aux qualités des systèmes d'information qu'aux informations diffusées, ainsi que le préconise le cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf de 2010, dont un extrait est présenté ci-dessous. Extrait du cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf de 2010 Selon l'amf, «le dispositif de contrôle interne comprend cinq composantes [... ] : 1) Une organisation comportant une définition claire des responsabilités, disposant des ressources et des compétences adéquates et s'appuyant sur des systèmes d'information, sur des procédures ou modes opératoires, des outils et des pratiques appropriés [... ]. Les systèmes d'information [doivent être adaptés] aux objectifs actuels de l'organisation et conçus de façon à pouvoir supporter ses objectifs futurs. Les systèmes informatiques sur les- quels s'appuient ces systèmes d'information doivent être protégés efficacement tant au niveau de leur sécurité physique que logique afin d'assurer la conservation des informations stockées. Leur continuité d'exploitation doit être assurée au moyen de procédures de secours. Les informations relatives aux analyses, à la programmation et à l'exécution des traitements doivent faire l'objet d'une documentation [... ]. 2) La diffusion en interne d'informations pertinentes, fiables, dont la connaissance permet à chacun d'exercer ses responsabilités [... ]. 3) Un dispositif de gestion des risques visant à recenser, analyser et traiter les principaux risques identifiés au regard des objectifs de la société. 4) Des activités de contrôle proportionnées aux enjeux propres à chaque processus, et conçues pour s'assurer que les mesures nécessaires sont prises en vue de maîtriser les risques susceptibles d'affecter la réalisation des objectifs. 5) Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu'un examen régulier de son fonctionnement». 14 juin /20

10 Cette nouvelle édition du cadre de référence de l'amf s'appuie sur les évolutions constatées dans les principaux référentiels internationaux, en particulier : le référentiel de contrôle interne casa II, qui est aujourd'hui le plus communément admis et utilisé. Il est adopté notamment par un nombre croissant d'entreprises françaises ; la norme ISO (<< Management du risque - Principes et lignes directrices», de l'organisation internationale de normalisation), qui fournit des principes et des lignes directrices générales sur le management du risque. Elle intègre un questionnaire relatif au contrôle interne comptable et financier dont une partie porte sur les systèmes d'information (voir encadré ci-dessous). Extrait du cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf de 2010 [...] Système d'information Questionnaire relatif au contrôle interne comptable et financier - Les autorisations et droits d'accès aux systèmes ainsi que les environnements hébergeant ces systèmes prennent-ils suffisamment en compte la séparation des tâches? - Des principes de sécurité d'utilisation sont-ils établis et communiqués (ex. : gestion des mots de passe, transferts de données, accès à Internet... )? Des principes de sécurité physique sont-ils définis et communiqués? Des principes de sécurité logique sontils définis et communiqués? Les accès aux données et programmes sont-ils sécurisés par profil d'utilisateur? Une traçabilité des transactions est-elle possible, analysée, vérifiée? Un dispositif de protection anti-virus contre les attaques et les intrusions externes est-il envisagé? - Des dispositifs de sauvegarde des données sont-ils en place? Font-ils l'objet de tests périodiques? - Des mesures de continuité de service sont-elles mises en place en lien avec les besoins métiers? Font-elles l'objet de tests périodiques? - Les obligations de conservation des informations, données et traitements informatiques concourant directement ou indirectement à la formation des états comptables et financiers sont-elles respectées? [...]. 3. l'audit des systèmes d'information, outil privilégié du contrôle interne 14 juin L'audit des systèmes d'information constitue un pilier du contrôle interne. En effet, selon l'afai, les démarches mises en œuvre en matière de contrôle interne sont : l'audit comptable, dont l'objectif est de garantir la sincérité des comptes. Il peut être conduit par le service d'audit interne, par les commissaires aux comptes ou, le cas échéant, par les autorités de tutelle ; l'audit interne, dont le but est de permettre aux directions générales d'avoir l'assurance d'un niveau de sécurité adapté à chacun de ses processus ; l'analyse des risques, dont l'objectif est d'évaluer périodiquement le niveau des risques opérationnels et des risques bilan ciels des entreprises ; l'audit de sécurité, dont le but est de contrôler que les dispositifs de sécurité organisationnels, matériels et logiciels sont corrects ; l'audit informatique, qui a pour objectif d'évaluer l'efficacité des activités informatiques ; l'audit du système d'information, qui a pour but de vérifier la contribution des ressources informatiques consommées à l'efficacité de l'entreprise ; l'audit qualité, dont l'objectif est de vérifier que les dispositifs d'assurance qualité garantissent un niveau de qualité satisfaisant. Pour répondre aux attentes du cadre légal relatif au contrôle interne, il est nécessaire d'assurer la cohérence et la complémentarité des différentes démarches d'audit, et notamment de veiller à la contribution de l'audit des différentes composantes du SI aux démarches de contrôle interne. L'AFAI a mis en évidence les principaux apports des domaines de l'audit des composantes du système d'information aux cinq autres démarches du contrôle interne. Relations entre audit des composantes du SI et démarches de contrôle interne 10/20

11 Démarches d'audit Stratégie informatique Fonction informatique Processus informatisés comptable x x interne x x x Analyse des risques x x x de sécurité x x qualité x x AFAI, Contrôle interne et système d'information, 2" édition, Ainsi, l'audit des composantes du système d'information, que sont la stratégie informatique, la fonction informatique et les processus informatisés, joue un rôle majeur au service du contrôle interne. Le contrôle des comptes des entités informatisées Le contrôle des comptes des entités informatisées peut être un contrôle légal effectué par un commissaire aux comptes ou un contrôle de nature contractuelle effectué par un expert-comptable. Le CAC et l'expert-comptable doivent prendre en compte l'évplution notoire des systèmes d'information comptable, qui sont de plus en plus automatisés et intégrés. Ici, nous n'étudierons que le contrôle externe légal effectué par un commissaire aux comptes. Le système d'information comptable (SIC) Le système d'information comptable est le système interface entre les systèmes opérants (achat, production, vente, investissement...) et le système de pilotage. Il recueille et traite les différentes informations de nature comptable et financière afin de les mettre à la disposition du système de pilotage (dit aussi «système de décision»). Les SIC sont de plus en plus intégrés. L'intégration vise à regrouper dans un système unique les différents systèmes comptables et de gestion de l'entreprise, et à assurer la production d'une information fiable, actuelle, non redondante et homogène. Il existe différents niveaux d'intégration des SIC : la comptabilité autonome, la comptabilité semi-intégrée et la comptabilité intégrée. La comptabilité autonome Cette architecture est caractéristique des petites entreprises dont l'informatisation est généralement centrée sur la mise en place d'un progiciel comptable. La comptabilité peut être considérée comme autonome du fait de l'existence d'un lien direct entre le fait juridique et l'écriture comptable. La comptabilité semi-intégrée Dans cette organisation qui caractérise généralement les entreprises de tailles moyenne et grande, la comptabilité est alimentée par des progiciels amont dédiés aux différents domaines fonctionnels de l'entreprise (achats, ventes, immobilisations, paie, etc.). Ces progiciels appartiennent souvent à la même gamme logicielle, ce qui facilite la génération automatique des écritures dans le progiciel de comptabilité grâce aux fonctionnalités d'importation et d'exportation. La comptabilité intégrée Ce type d'organisation, propre aux grandes entreprises, se caractérise souvent par une saisie unique de l'information dans une base de données commune à plusieurs modules couvrant les différents domaines fonctionnels de l'entreprise. Les processus sont généralement très informatisés et supportés par des progiciels de gestion intégrée. La prise en compte de l'environnement informatique lors de l'audit légal des comptes La prise en compte de l'environnement informatique lors de l'audit des comptes par les commissaires aux comptes ne doit pas être confondue avec l'audit informatique d'un système d'information confié généralement à des experts spécialisés. L'audit des comptes mené par un CAC est un audit externe nommé «audit légal des comptes», Depuis 2000, le CAC doit, dans le cadre de sa mission, prendre en considération le système 11/20

12 d'information ainsi que le stipule la norme CNCC relative à l'audit réalisé dans un environnement informatique (voir encadré ci-dessous). Encadré Extrait de la norme CNCC relative à l'audit réalisé dans un environnement informatique La norme CNCC rappelle les principes fondamentaux suivants : l'existence d'un environnement informatique ne modifie pas l'objectif et l'étendue de la mission du commissaire aux comptes ; l'utilisation d'un ordinateur modifie la saisie et le processus de traitement et de conservation des données, et en conséquence peut avoir une incidence sur les systèmes comptable et de contrôle interne de l'entité ; un environnement informatique peut ainsi avoir une incidence sur la démarche du commissaire aux comptes lors de : la prise de connaissance des systèmes comptable et de contrôle interne, la prise en compte du risque inhérent et du risque lié au contrôle, la mise en œuvre des procédures d'audit. La nature des risques dans un environnement informatique est liée aux spécificités suivantes : le manque de trace matérielle justifiant les opérations, qui entraîne un risque plus important de non-détection des erreurs contenues dans les programmes d'application ou les logiciels d'exploitation ; l'uniformité du traitement des opérations, qui permet d'éliminer quasiment toutes les erreurs humaines ; en revanche, les erreurs de programmation peuvent entraîner un traitement incorrect de toutes les opérations ; la séparation insuffisante des tâches qui résultent souvent de la centralisation des contrôles ; le risque d'erreurs et d'irrégularités, qui peut provenir : d'erreurs humaines dans la conception, la maintenance et la mise en œuvre plus importantes que dans un système manuel, d'utilisateurs non autorisés qui accèdent, modifient, suppriment des données sans trace visible. Par ailleurs, la possibilité de détection de ces erreurs et irrégularités est affectée par le fait qu'elles sont souvent intégrées lors de la conception ou de la modification de programmes d'application ou de logiciels d'exploitation, et sont aussi difficilement identifiables dans le temps. En résumé, les risques en milieu informatisé peuvent résulter de défaillances dans les activités informatiques générales, telles que : le développement et la maintenance des programmes ; l'exploitation du système ; les traitements particuliers ; la sécurité physique ; les contrôles d'accès pour les utilisateurs privilégiés. Le CAC ne peut ignorer ni les incidences des technologies de l'information, ni les possibilités que ces technologies représentent dans l'accomplissement de sa mission. Si le CAC ne dispose pas des compétences informatiques nécessaires, la norme précise qu'il «détermine si des compétences informatiques particulières sont nécessaires pour réaliser la mission». Si tel est le cas, il se fait assister par un professionnel possédant ces compétences. Il peut être un collaborateur ou un spécialiste externe. Le risque d'audit Selon les normes professionnelles ISACA, le risque d'audit est composé du risque inhérent, du risque de contrôle et du risque de (non-) détection Les composantes du risque d'audit Risque Description 12/20

13 Risque inhérent Risque de contrôle C'est un risque indépendant de la mission d'audit, qui apparaît en fonction de la nature de l'entreprise, c'està-dire de son environnement, marché, et catégorie, mais aussi de la culture d'entreprise et du style de management qui lui est propre. C'est le risque qu'une erreur significative existe sans être prévenue ou détectée à temps par le système de contrôle interne. C'est le risque qu'un auditeur utilise une procédure de test inadéquate et conclut qu'il n'y a pas d'erreurs alors qu'en réalité, il y en a. Risque de (non-) détection Par exemple, le risque de non-détection de failles de sécurité dans un SI doit être considéré comme élevé car l'exhaustivité en ce domaine peut difficilement être atteinte. À l'opposé, le risque de non-détection lié à l'absence de plan de secours informatique est généralement bas car la documentation de ces plans existe ou n'existe pas, ce qui peut être très facilement vérifié. Risque d'audit C'est la combinaison des catégories individuelles des risques évaluée pour chaque objectif spécifique de contrôle. L'auditeur fera en sorte que le risque d'audit soit limité à un niveau suffisamment bas sur le domaine audité. Pour ce faire, il déploiera une approche d'audit en conséquence. L'opinion du CAC sur les comptes nécessite qu'il obtienne l'assurance que les comptes ne comportent pas d'anomalies significatives. Cette assurance doit être la plus élevée possible mais non absolue en raison des limites propres aux missions d'audit. On parlera alors d' «assurance raisonnable» sur les comptes. À cet effet, il convient de réduire le risque d'audit. Le risque d'audit comprend deux composantes : le risque d'anomalies significatives dans les comptes et le risque de non-détection de ces anomalies par le commissaire aux comptes. Le risque d'anomalies significatives dans les comptes est propre à l'entité auditée ; il existe indépendamment de l'audit des comptes pratiqué. Il se subdivise en risque inhérent et risque lié au contrôle. Les normes d'exercice professionnel homologuées et code de déontologie de la CNCC (4 décembre 2008) définissent ainsi ces risques : «Le risque inhérent correspond à la possibilité que, sans tenir compte du contrôle interne qui pourrait exister dans l'entité, une anomalie significative se produise dans les comptes. Le risque lié au contrôle correspond au risque qu'une anomalie significative ne soit ni prévenue ni détectée par le contrôle interne de l'entité et donc non corrigée en temps voulu. Le risque de non-détection est propre à la mission d'audit : il correspond au risque que le commissaire aux comptes ne parvienne pas à détecter une anomalie significative» Exemples Incidence sur le risque inhérent Selon les modalités d'achat ou de développement des applications informatiques d'une entité, l'incidence sur le risque inhérent est : élevée si les achats ou les développements sont lancés consécutivement à des incidents majeurs ; modérée si les achats ou les développements sont effectués selon un plan prédéfini selon des critères financiers et non pas techniques ; faible si les achats ou les développements sont réalisés selon un plan préétabli tenant compte des besoins des utilisateurs et des critères techniques tels que l'indisponibilité des solutions existantes, les temps de réponse, etc. Incidence sur le risque lié au contrôle Selon la qualité des interfaces reliant les applications d'un système d'information d'une entité, l'incidence sur le risque lié au contrôle est : élevée si les interfaces sont manuelles (risque de non-exhaustivité ou de double imputation) ; élevée si les interfaces automatiques sont récemment introduites dans le SI sans édition et conservation des états d'anomalie lors des transferts des informations entre applications ; modérée si les états d'anomalies des interfaces sont conservés en vue d'une correction ultérieure. Si les modifications sont réalisées trop tardivement, elles risquent d'être imputées 13/20

14 sur l'exercice suivant, ce qui peut conduire au non-respect du principe d'indépendance des exercices ; faible si les interfaces automatiques sont éprouvées et les états d'anomalies régulièrement contrôlés par un acteur responsable qui en assure par ailleurs la conservation. Le risque le plus important pour le commissaire aux comptes est le risque de nondétection. Lorsque le CAC apprécie le risque d'anomalies significatives (risque inhérent et risque lié au contrôle) à un niveau élevé, il met alors en œuvre des procédures d'audit complémentaires. La démarche d'audit du CNCC Les spécificités de l'environnement informatique sont prises en compte dans les principales normes au cœur de la démarche d'audit proposée par la CNCC, à savoir la connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives dans les comptes (NEP 315), et les procédures d'audit mises en œuvre à l'issue de l'évaluation des risques (NEP 330). La NEP 315 stipule que lors de la prise de connaissance des éléments du contrôle interne pertinents pour l'audit, le commissaire aux comptes doit prendre notamment connaissance du système d'information relatif à l'élaboration de l'information financière. À ce titre, le CAC s'intéresse notamment : «aux catégories d'opérations ayant un caractère significatif pour les comptes pris dans leur ensemble ; aux procédures, informatisées ou manuelles, qui permettent d'initier, enregistrer, traiter ces opérations et de les traduire dans les comptes ; aux enregistrements comptables correspondants, aussi bien informatisés que manuels ; à la façon dont sont traités les événements ponctuels, différents des opérations récurrentes, susceptibles d'engendrer un risque d'anomalies significatives ; au processus d'élaboration des comptes, y compris des estimations comptables significatives et des informations significatives fournies dans l'annexe des comptes» (Normes d'exercice professionnel homologuées et code de déontologie, CNCC 4 décembre 2008). Ces différents points sont pris en compte dès la planification de l'audit (NEP 300) qui est formalisée, d'une part, dans un plan de mission qui décrit la nature et l'étendue des contrôles à mettre en œuvre, d'autre part dans un programme de travail. La prise en compte du SI dès le début de la démarche d'audit est importante pour le bon déroulement de la mission. Elle conduit le CAC à apprécier : la stratégie informatique ; 14/20

15 la fonction informatique et son importance dans l'entreprise en vue de déterminer l'impact de l'informatique sur la production des informations comptables et financières ; le pilotage du système d'information ; les principales applications et l'architecture mises en œuvre ; la gestion de la sécurité informatique ; les projets clés ; les contraintes légales et réglementaires à respecter. La prise de connaissance de l'environnement informatique de l'entité permet au CAC de constituer un «dossier permanent» servant de base pour capitaliser des connaissances du cadre de référence pour la conduite des missions futures. Le CAC apprécie l'impact de l'environnement informatique sur le risque inhérent et le risque lié au contrôle afin d'évaluer le risque d'anomalies significatives dans les comptes. Cette étape de la mission comprend donc : l'incidence de l'environnement informatique sur le risque inhérent. Elle s'apprécie au regard des éléments suivants : la conception et l'acquisition des solutions informatiques, la distribution et le support informatique, la gestion de la sécurité et la gestion des projets informatiques. L'environnement informatique d'une entreprise peut entraîner un risque inhérent élevé et avoir une conséquence à terme sur la continuité d'exploitation. Une entreprise spécialisée dans l'e-commerce est fortement dépendante de son informatique. Elle peut voir remise en cause son activité en cas de défaillance majeure survenant dans son système d'information. l'incidence de l'environnement informatique sur le risque lié au contrôle. Elle s'apprécie par l'étude des processus et des applications jouant un rôle significatif dans la production des comptes de l'entreprise. L'identification des contrôles à réaliser dépend des résultats obtenus dans la phase «Orientation et planification de la mission» et l'étape «Incidence de l'environnement informatique sur le risque inhérent». l'étude des interfaces peut mettre en évidence un risque élevé en termes d'exhaustivité de l'information comptable. Des contrôles substantifs seront alors nécessaires dans la phase «Obtention d'éléments probants» pour quantifier les données non prises en compte en comptabilité et demander à l'entreprise de passer des écritures correctrices. La première année du mandat, la prise en compte de l'environnement informatique est très consommatrice en temps mais les années suivantes, sous réserve qu'aucune modification majeure ne vienne impacter le SI, le poids relatif de ces travaux sera en nette diminution. Selon la NEP 330, lorsqu'il a pris connaissance de l'entité et évalué le risque d'anomalies significatives dans les comptes, le commissaire aux comptes adapte son approche générale et conçoit et met en œuvre des procédures d'audit qui lui serviront de base pour se forger une opinion sur les comptes. Il détermine alors les contrôles de substance à mener lorsqu'il a déterminé un risque inhérent élevé. Le CAC peut appliquer des procédures d'audit manuelles, des techniques assistées par ordinateur ou combiner les deux pour rassembler suffisamment d'éléments probants. Anomalies liées aux contrôles applicatifs, identifiées lors de l'évaluation des systèmes comptable et de contrôle interne, qui pourraient avoir une incidence sur l'opinion du CAC Opérations comptables ou montants significatifs non transmis par une interface entre une application de gestion commerciale et un progiciel de comptabilité. Identification d'une anomalie significative lors de l'analyse d'un fichier informatique issu d'un PGI (dépréciation calculée à partir d'une base erronée, erreur de valorisation des stocks d'encours de production, etc.). Absence ou erreur dans la mise à jour du référentiel de l'application de paie ou du module de paie d'un PGI. Contrôle interne déficient ou absent, au sein d'une application qui gère un processus majeur de l'entreprise ou d'un PGI qui supporte les processus critiques d'une entité. 15/20

16 Mise en évidence d'irrégularités ou d'inexactitudes dans la comptabilisation des achats. Les supports opérationnels Les supports opérationnels sont des modèles de feuilles de travail permettant de mettre en œuvre la méthodologie. orientation et planification de la mission : prise de connaissance de l informatique dans l entreprise : modèle de tableau permettant de déterminer l incidence sur la fiabilité du système d information, de la stratégie informatique, de la fonction informatique, de l importance de l informatique dans l entreprise, de la complexité du système d information, description du système d information de l entreprise : cartographies d applications et techniques, tableaux d inventaire correspondants, évaluation des risques et obtention d éléments probants : incidence de l environnement informatique sur le risque inhérent : modèle de tableau permettant de déterminer l incidence sur le risque inhérent de la conception et l acquisition des solutions informatiques, la distribution et le support informatique, la gestion de la sécurité, la gestion des projets informatiques, formalisation des processus : utilisez les MOT, diagramme d'activités UML ou le BPMN ; incidence de l environnement informatique sur le risque lié au contrôle : modèle de tableau permettant de déterminer l incidence sur le risque lié au contrôle de chaque processus, à partir des assertions sous-tendant l établissement des comptes, exemple de présentation schématique de la synthèse des risques. L'audit assisté par ordinateur Face au volume croissant des données et à la complexité des SIC utilisés par les entreprises, l'auditeur doit se doter d'outils pour automatiser les travaux d'audit pour : faciliter des contrôles non réalisables manuellement et obtenir une assurance renforcée ; permettre des contrôles exhaustifs sur de gros volumes de données pour disposer de résultats pertinents ; obtenir des niveaux d'analyse de données plus détaillés que ceux offerts par les outils utilisés par l'entité auditée. Les techniques d'audit assisté par ordinateur proposées peuvent être utilisées tant dans l'évaluation des risques et dans l'obtention d'éléments probants des missions d'audit légal des comptes que pour des missions contractuelles. Les étapes de l'audit assisté par ordinateur L'audit assisté par ordinateur débute parfois lors de l'évaluation des risques et essentiellement, lors de l'obtention d'éléments probants. Les étapes présentées ci-après sont relatives à la mise en œuvre des techniques d'audit assisté par ordinateur dans une mission d'audit légal, mais elles sont transposables à une mission contractuelle. Étape 1 - Récupération des fichiers informatiques Après la prise de connaissance de l'entité et de son environnement et la revue générale du système d'information, la conduite de la revue d'application permet d'évaluer : la conformité du paramétrage et des traitements applicatifs avec les règles de gestion arrêtées par l'entité et les règles légales en vigueur ; l'intégration ou l'interfaçage des applications ; l'efficacité des contrôles programmés par l'entité auditée permettant d'avoir une assurance satisfaisante sur l'exhaustivité, la réalité, l'intégrité, la confidentialité et la disponibilité des données traitées. Après ces activités, le CAC : identifie les risques ; 16/20

17 définit les données à exploiter (contenues dans des fichiers ou des bases de données) ; récupère les fichiers et les bases de données nécessaires à la réalisation des tests informatiques utiles à l'audit, dans un format et sur un support adaptés pour la récupération dans l'environnement informatique de l'auditeur. Compte tenu de la diversité des technologies et des formats existants ainsi que du volume des données, la récupération n'est pas aisée. Étape 2 - Validation des fichiers La validation des fichiers importés par l'auditeur nécessite de rapprocher ces fichiers avec la comptabilité de l'entité afin de s'assurer que les données récupérées n'ont subi aucune modification lors de l'extraction et de l'intégration dans l'environnement informatique de l'auditeur. Étape 3 - Réalisation des tests Une fois le contrôle des fichiers réalisé, les tests peuvent être lancés. Ils permettent à l'auditeur, d'une part, de confirmer, sur la base d'éléments tangibles, exhaustifs et incontestables, ses évaluations et, d'autre part, d'accéder à l'audit de systèmes complexes de traitement, non contrôlables sans le recours à des outils informatiques. En raison de leur importance, il est essentiel que les tests réalisés puissent être reproduits ultérieurement et que toutes les étapes intermédiaires soient sauvegardées. Il est recommandé que le logiciel de traitement des données génère un journal des tests effectués. Cette étape aboutit à la constitution d'un dossier contenant les résultats des tests. Ils peuvent prendre des formes variables en fonction des objectifs, de l'étendue des tests réalisés et de l'exploitation qui en sera faite. Étape 4 - Analyse et synthèse Cette dernière étape consiste à analyser et à interpréter les résultats des tests. Un rapport de synthèse est alors rédigé, décrivant notamment les tests réalisés et les recommandations qui en découlent. Les techniques d'audit assisté par ordinateur, TAAO (Computer Assisted Techniques, CAATs) Les techniques d'audit ponctuel L'audit assisté par ordinateur mobilise principalement des logiciels de traitement des données permettant l'interrogation de fichiers ou de bases de données et la réalisation de différents types de tests, dont les plus fréquemment utilisés en audit sont : les tests de totalisation ; les tests de calculs ; les tests de comparaison de fichiers ou de bases de données ; les tests d'analyse par stratification, qui permettent de détecter des anomalies ; les tests d'extraction, afin d'analyser des populations spécifiques sur des combinaisons de critères définis. Contrôles substantifs La vérification de calculs : calculs des dotations aux amortissements, du cumul des amortissements et de la valeur nette comptable à partir des données issues du logiciel de gestion des immobilisations pour vérifier la valeur brute, le cumul des amortissements et la valeur nette comptable des immobilisations en comptabilité. La comparaison de fichiers et l'extraction d'anomalies : comparaison des fichiers des coûts de revient et des prix de vente d'éléments en stock pour déterminer les dépréciations nécessaires. L'extraction de données contenues dans des fichiers ou des bases de données selon différents critères : valeurs monétaires supérieures au seuil de 5 000, écritures passées après la date du 28/02/N. Le tri des données contenues dans des fichiers ou des bases de données selon différents critères : ordre croissant des valeurs monétaires, écritures passées sur la période du 01/01 /N au 31/12/N. Ces différents types de tests contribuent à vérifier que les traitements des données dans les applications des entités auditées sont réalisés selon les règles comptables et fiscales en vigueur. L'auditeur dispose également d'un ensemble d'outils informatiques répondant à chacune des phases de la mission d'audit 17/20

18 Les outils informatiques dédiés à chaque phase de la mission d'audit Phase Étude préliminaire Conduite de mission Outils Outils de requêtes et collecte d'information, outils d'éditions, outils d'accès à Internet, etc. Outils de restitution Outils de gestion documentaire Outils de planification Outils de gestion de papier de travail Travail terrain Outils de détection d'anomalies, de fraudes, etc., basés sur l'analyse de données nombreuses ou des techniques d'échantillonnage Outils de calculs et de comparaisons pour réaliser des tests analytiques et statistiques Outils pour rechercher et croiser des informations Etc. Il existe également des outils plus spécialisés qui permettent de réaliser des tests d'audit en milieu informatisé, généralement à la disposition des auditeurs informatiques. Les outils informatiques dédiés aux tests d'audit en milieu informatisé Type de logiciel Description Générateur de données de tests Utilitaires standard Logiciel de gestion-de changement Préparation automatique de fichiers de tests Livrés avec les systèmes d'exploitation, pour extraction/ fusion de fichiers, tris de données, etc. Logiciel vérifiant l'intégrité et la pertinence des modifications des programmes L'ensemble des outils logiciels utilisables dans les phases d'audit constitue les CAATs (Computer Assisted Techniques). D'un audit ponctuel à un audit continu Les techniques d'audit assisté par ordinateur permettent d'envisager un glissement d'un audit ponctuel à un audit continu qui améliorerait la capacité des auditeurs internes et externes à répondre aux obligations relatives au contrôle interne étant donné qu'il comporte essentiellement les deux volets suivants : l'évaluation continue du contrôle, qui se focalise sur la détection au plus tôt des déficiences de contrôle ; l'évaluation continue des risques, qui met en lumière les processus ou les systèmes qui présentent un niveau de risque mal appréhendé par le système de contrôles permanents. Selon l'afi, «l'audit continu est une démarche d'audit caractérisée par l'usage intensif de CAATs, exercés avec une fréquence proportionnée aux événements ou risques à traiter». Plusieurs approches d'audit continu assisté par ordinateur existent 18/20

19 Les différentes approches d'audit continu assisté par ordinateur Approche Description SCARF (Systems Control Review File) et EAM (Embedded Modules) Consiste à introduire des logiciels d'audit écrits spécialement à l'intérieur du système d'applications de l'entreprise, de sorte que les systèmes applicatifs soient «pilotés» de manière sélective. SNAPSHOT AUDIT HOOKS ITF (Integrated Test Faci/ities) Consiste à prendre des images tout au long du «chemin de traitement» (processing path) suivi par une transaction. On enregistre les évolutions de données sélectionnées, pour une révision ultérieure pratiquée par l'auditeur. Parties de logiciels embarqués sur des systèmes applicatifs, pour fonctionner comme des drapeaux rouges. Ils doivent permettre à l'auditeur d'agir avant qu'une erreur ou une irrégularité ne soit allée trop loin. Cette technique consiste à introduire des entités fictives dans les fichiers de production. L'auditeur peut demander au système de travailler soit avec les programmes de production, soit avec les programmes de test, afin que les programmes mettent à jour les entités fictives. CIS (Continuous and Intermittent Simulation) Le système déclenche une simulation d'exécution d'instructions de l'application, afin de s'assurer de la fiabilité de la transaction. Le déclenchement est fait sur certains critères prédéterminés (montant ou autre). Sinon, le simulateur attend jusqu'à la prochaine transaction qui présentera les critères voulus. Les avantages de l'audit assisté par ordinateur Les logiciels de traitement des données sont des outils plus puissants que les outils bureautiques standard comme les tableurs, par exemple. Leur recours permet de traiter rapidement des volumes de données importants, ce qui est source de gains de productivité. De plus, à partir des données intégrées dans ces logiciels, il est possible de paramétrer des requêtes facilitant la recherche d'anomalies, les impacts de changement de méthodes comptables, etc. Des contrôles plus importants peuvent donc être conduits à partir de ces solutions, ce qui permet de fiabiliser les résultats obtenus et de limiter les risques liés aux missions d'audit. De plus, ces logiciels respectent des principes renforçant la qualité des travaux conduits comme l'intangibilité des données et la conservation des historiques. Les progiciels d'aide à la révision Si de nombreux CAC travaillent encore sur tableur, la profession s'appuie de plus en plus sur des progiciels spécialisés dans la révision et l'audit des comptes dont la portée des fonctionnalités est plus large que les logiciels de traitement des données étudiés. Différents progiciels sont disponibles sur le marché : Revis de la société Gest On Line, REVOR conçu par Norbert Lecomte, Expert- Comptable et Commissaire aux Comptes, etc. L'organisation des progiciels d'aide à la révision Les logiciels de révision et d'audit sont généralement structurés comme le progiciel Revis (www.revisaudit.fr) : «le dossier permanent est le point d'entrée du dossier client. Il contient toutes les informations générales et spécifiques du client telles que la liste des associés, des procèsverbaux, les conventions et contrats, les abonnements, etc. Il permet de créer et de consulter les dossiers annuels ; le dossier d'organisation (ou contrôle interne) permet d'apprécier l'organisation interne de l'entité par cycles, au travers de différents outils : un descriptif de l'entité, un questionnaire complet classé par assertions, un formulaire de répartition des tâches, un formulaire de tests de conformité. Les principales fonctions de l'entité contrôlée sont ainsi passées en revue avec les différentes fonctionnalités proposées ; le dossier de contrôle CAC permet de réaliser l'approche par les risques, de bâtir le plan de mission, de vérifier la régularité comptable et juridique, de faire la revue du dossier et de réaliser toute la partie «contrôles spécifiques» (contrôles de l'inventaire, de l'annexe, du rapport de gestion). L'auditeur s'appuie sur les fonctionnalités proposées qui permettent de s'assurer qu'aucun élément n'a été oublié. L'outil informatique le renseigne également sur l'avancement de la mission ; 19/20

20 le dossier général (dossier annuel) permet de visualiser la balance N/N-1 importée du système d'information du client ou du logiciel de comptabilité du cabinet. Il stocke, en plus de la balance : le journal d'od, le bilan et le compte de résultat, les soldes intermédiaires de gestion, les principaux ratios, etc. ; le dossier de révision comporte des feuilles de révision préformatées, en liaison avec la balance et le journal d'od, qui permettent de réaliser une révision dynamique et exhaustive. Chaque cycle du dossier de révision présente un programme de travail propre au cycle, une feuille présentant l'ensemble des comptes retrouvés dans le cycle ainsi que de nombreuses feuilles nécessaires à la révision du cycle. La majorité des feuilles dispose d'un assistant de travail, qui permet, entre autres choses : d'effectuer des extractions de compte ou d'écritures spécifiques, d'automatiser certains calculs, de récupérer les feuilles N-1, le contrôle des stocks, le contrôle des payes, etc.» Toutefois, l'organisation des logiciels de révision et d'audit peut différer, mais des fonctionnalités identiques sont proposées. Les avantages des progiciels d'aide à la révision Les logiciels de révision et d'audit présentent de nombreux avantages. Ils permettent notamment une standardisation et une rationalisation des missions de révision par une automatisation des tâches répétitives et un pré-paramétrage des documents de travail (feuilles de travail). Les feuilles de travail peuvent ensuite être adaptées au contexte et être dupliquées pour les exercices suivants ou pour des missions conduites dans d'autres entités présentant les mêmes caractéristiques. De plus, les logiciels d'aide à la révision permettent l'intégration par import des dossiers clients, ce qui limite la ressaisie et les risques d'erreurs. Ils facilitent également le suivi des dossiers et des missions par la définition des collaborateurs intervenant sur les dossiers et les tâches de la mission. Leurs fonctionnalités favorisent ainsi un travail collaboratif et une gestion des compétences des collaborateurs pour accroître la productivité au sein du cabinet comptable. Les progiciels d'aide à la révision offrent, à travers une solution unique, tant la possibilité de conduire des missions d'expertise comptable que des missions de commissariat aux comptes. Ainsi, les collaborateurs évoluent dans un environnement informatique cohérent où les difficultés d'apprentissage sont moindres, ce qui favorise également des gains de productivité. De plus, ces solutions permettent de redéfinir les postes de travail intégrant un enrichissement des tâches et une approche collaborative. Ces solutions intègrent également la dématérialisation des pièces des dossiers, ce qui permet le partage de documents entre différents collaborateurs, réduit les problèmes de stockage des dossiers et d'archivage sur de longues périodes. L'archivage sous forme numérique permet également, au travers de la GED (gestion électronique de documents), de faciliter et d'accélérer les travaux de recherche d'informations. La dématérialisation favorise également le nomadisme afin de poursuivre les travaux d'audit au sein des entreprises auditées, par exemple. 20/20

Norme d'audit suisse: Audit réalisé dans l environnement de la technologie de l information et de la communication (NAS 401)

Norme d'audit suisse: Audit réalisé dans l environnement de la technologie de l information et de la communication (NAS 401) Norme d'audit suisse: Audit réalisé dans l environnement de la technologie de l information et de la communication (NAS 401) "Préface explicative" Chiffre Cette NAS donne des instructions sur un audit

Plus en détail

Management des Systèmes d information (SI)

Management des Systèmes d information (SI) ENGDE - DSCG 2 - Formation initiale Préparation au concours 2015 - UE5 Management des Systèmes d information (SI) S6 - Audit et Gouvernance Yves MEISTERMANN Rappel : Sommaire de l UE5 4. Gestion de la

Plus en détail

Norme ISA 320, CARACTERE SIGNIFICATIF LORS DE LA PLANIFICATION ET DE LA REALISATION D UN AUDIT

Norme ISA 320, CARACTERE SIGNIFICATIF LORS DE LA PLANIFICATION ET DE LA REALISATION D UN AUDIT Norme internationale d audit (ISA) Norme ISA 320, CARACTERE SIGNIFICATIF LORS DE LA PLANIFICATION ET DE LA REALISATION D UN AUDIT La présente Norme internationale d audit (ISA) publiée en anglais par l

Plus en détail

Contrôle interne et organisation comptable de l'entreprise

Contrôle interne et organisation comptable de l'entreprise Source : "Comptable 2000 : Les textes de base du droit comptable", Les Éditions Raouf Yaïch. Contrôle interne et organisation comptable de l'entreprise Le nouveau système comptable consacre d'importants

Plus en détail

Politiques et normes d audit de la Cour des comptes (20 avril 2007)

Politiques et normes d audit de la Cour des comptes (20 avril 2007) Politiques et normes d audit de la Cour des comptes (20 avril 2007) Légende: Politiques et normes d audit de la Cour des comptes européennes (20 avril 2007). Source: Cour des comptes européenne. Politiques

Plus en détail

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE SOMMAIRE Paragraphes Introduction... 1-4 Personnes

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE. Septembre 2011. Page 1

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE. Septembre 2011. Page 1 LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE Septembre 2011 Page 1 Au sommaire Préambule Le nouveau référentiel sur la forme Le nouveau référentiel sur le

Plus en détail

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE Septembre 2011 Page 1 Au sommaire Préambule Le nouveau référentiel sur la forme Le nouveau référentiel sur le

Plus en détail

3.0. Pack. Petites Entreprises Notice d utilisation. Conventions. juin 2012. Nouvelle version. d utilisation du Pack PE. www.cncc.

3.0. Pack. Petites Entreprises Notice d utilisation. Conventions. juin 2012. Nouvelle version. d utilisation du Pack PE. www.cncc. Conventions d utilisation du Pack PE Nouvelle version Le Pack PE est à distinguer NEP 910 dite «Norme PE» : il ne correspond pas à une solution pratique de mise en œuvre norme. La notion de «Petite entreprise»

Plus en détail

NORME INTERNATIONALE D AUDIT 402 FACTEURS A CONSIDERER POUR L'AUDIT D'ENTITES FAISANT APPEL A DES SERVICES BUREAUX

NORME INTERNATIONALE D AUDIT 402 FACTEURS A CONSIDERER POUR L'AUDIT D'ENTITES FAISANT APPEL A DES SERVICES BUREAUX NORME INTERNATIONALE D AUDIT 402 FACTEURS A CONSIDERER POUR L'AUDIT D'ENTITES FAISANT APPEL A DES SERVICES BUREAUX SOMMAIRE Paragraphes Introduction... 1-3 Facteurs à prendre en considération par l'auditeur...

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Charte du management des risques du groupe La Poste

Charte du management des risques du groupe La Poste Direction de l'audit et des Risques du Groupe Direction des Risques du Groupe Destinataires Tous services Contact Béatrice MICHEL Tél : 01 55 44 15 06 Fax : E-mail : beatrice.michel@laposte.fr Date de

Plus en détail

Maîtrise Universitaire en Comptabilité, Contrôle et Finance. Audit des systèmes d information. Partie 5: Audit d une application informatique

Maîtrise Universitaire en Comptabilité, Contrôle et Finance. Audit des systèmes d information. Partie 5: Audit d une application informatique Maîtrise Universitaire en Comptabilité, Contrôle et Finance Audit des systèmes d information Partie 5: Audit d une application informatique Emanuel Campos - version 2015 Les présentations personnelles

Plus en détail

Les dispositifs de gestion des risques et de contrôle interne. Cadre de référence : Guide de mise en œuvre pour les valeurs moyennes et petites

Les dispositifs de gestion des risques et de contrôle interne. Cadre de référence : Guide de mise en œuvre pour les valeurs moyennes et petites Les dispositifs de gestion des risques et de contrôle interne Cadre de référence : Guide de mise en œuvre pour les valeurs moyennes et petites SOMMAIRE SOMMAIRE... 2 I- OBJECTIFS, PRINCIPES ET CONTENU...

Plus en détail

Les Diligences Directement Liées à la mission du commissaire aux comptes

Les Diligences Directement Liées à la mission du commissaire aux comptes DOSSIER TECHNIQUE Les Diligences Directement Liées à la mission du commissaire aux comptes Guide pratique Copyright ecf Copyright ecf 2 Les Diligences directement liées DDL Juin 2009 En conformité avec

Plus en détail

Cour des Comptes Européenne

Cour des Comptes Européenne Cour des Comptes Européenne 2012 Manuel d Audit Financier et d Audit de Conformité FR 2 Vue d'ensemble MANUEL D'AUDIT FINANCIER ET D'AUDIT DE CONFORMITÉ VUE D'ENSEMBLE PARTIES DU MANUEL D'AUDIT FINANCIER

Plus en détail

Evaluation des risques et procédures d audit en découlant

Evaluation des risques et procédures d audit en découlant Evaluation des risques et procédures d audit en découlant 1 Présentation des NEP 315, 320, 330, 500 et 501 2 Présentation NEP 315, 320, 330, 500 et 501 Les NEP 315, 320, 330, 500 et 501 ont fait l objet

Plus en détail

Normes de qualification et de fonctionnement du cadre de référence de l audit interne dans l administration de l État

Normes de qualification et de fonctionnement du cadre de référence de l audit interne dans l administration de l État MINISTÈRE DE LA RÉFORME DE L ÉTAT, DE LA DÉCENTRALISATION ET DE LA FONCTION PUBLIQUE COMITÉ D HARMONISATION DE L AUDIT INTERNE (CHAI) Normes de qualification et de fonctionnement du cadre de référence

Plus en détail

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION 02 CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

Plus en détail

3. Rapport du Président du conseil d administration

3. Rapport du Président du conseil d administration 3. Rapport du Président du conseil d administration Conformément aux dispositions de l article L.225-37 du code de commerce, le président du conseil d administration rend compte, au terme de ce rapport,

Plus en détail

FORMATION. Connaître les exigences réglementaires appliquées aux Systèmes d Information. 1 JOUR soit 7 heures. Réf.AQ-Q1

FORMATION. Connaître les exigences réglementaires appliquées aux Systèmes d Information. 1 JOUR soit 7 heures. Réf.AQ-Q1 Réf.AQ-Q1 Les Systèmes d'information des entreprises réglementées font l'objet d'exigences spécifiques. Celles-ci sont souvent difficiles à appréhender pour les spécialistes métier de l'assurance Qualité,

Plus en détail

Comment optimiser la rentabilité des mandats par une utilisation intelligente des NEP?

Comment optimiser la rentabilité des mandats par une utilisation intelligente des NEP? Comment optimiser la rentabilité des mandats par une utilisation intelligente des NEP? 1 Objectifs Maitriser l approche de l analyse des risques d anomalie significative dans un environnement ultra simple.

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

Norme ISA 260, COMMUNICATION AVEC LES PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

Norme ISA 260, COMMUNICATION AVEC LES PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE Norme internationale d audit (ISA) Norme ISA 260, COMMUNICATION AVEC LES PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE La présente Norme internationale d audit (ISA) publiée en anglais par l International

Plus en détail

Annexe sur la maîtrise de la qualité

Annexe sur la maîtrise de la qualité Version du 09/07/08 Annexe sur la maîtrise de la qualité La présente annexe précise les modalités d'application, en matière de maîtrise de la qualité, de la circulaire du 7 janvier 2008 fixant les modalités

Plus en détail

Prise de position de l'iia LES TROIS LIGNES DE MAÎTRISE POUR UNE GESTION DES RISQUES ET UN CONTRÔLE EFFICACES

Prise de position de l'iia LES TROIS LIGNES DE MAÎTRISE POUR UNE GESTION DES RISQUES ET UN CONTRÔLE EFFICACES Prise de position de l'iia LES TROIS LIGNES DE MAÎTRISE POUR UNE GESTION DES RISQUES ET UN CONTRÔLE EFFICACES JANVIER 2013 TABLE DES MATIÈRES Introduction... 1 La surveillance du système de gestion des

Plus en détail

NORMES INTERNATIONALES POUR LA PRATIQUE PROFESSIONNELLE DE L AUDIT INTERNE (LES NORMES)

NORMES INTERNATIONALES POUR LA PRATIQUE PROFESSIONNELLE DE L AUDIT INTERNE (LES NORMES) NORMES INTERNATIONALES POUR LA PRATIQUE PROFESSIONNELLE DE L AUDIT INTERNE (LES NORMES) Introduction L audit interne est exercé dans différents environnements juridiques et culturels ainsi que dans des

Plus en détail

Befimmo SA Règlement de l'audit interne

Befimmo SA Règlement de l'audit interne Befimmo SA Règlement de l'audit interne Table des matières Article 1 - Nature... 1 Article 2 - Mission, objectifs et activités... 2 Article 3 - Programme annuel... 3 Article 4 - Reporting... 3 Article

Plus en détail

Charte de l audit interne de la Direction Générale de la Dette

Charte de l audit interne de la Direction Générale de la Dette MINISTÈRE DE L ECONOMIE ET DE LA PROSPECTIVE RÉPUBLIQUE GABONAISE Union-Travail-Justice ------------ -------- SECRETARIAT GENERAL ------------ ------------ DIRECTION DE L AUDIT ET DU CONTROLE ------------

Plus en détail

Recommandation AMF n 2006-15 Expertise indépendante dans le cadre d opérations financières

Recommandation AMF n 2006-15 Expertise indépendante dans le cadre d opérations financières Recommandation AMF n 2006-15 Expertise indépendante dans le cadre d opérations financières Texte de référence : article 262-1 du règlement général de l AMF Le titre VI du livre II du règlement général

Plus en détail

Audit réalisé dans un milieu informatique. Animateurs: Michèle CARTIER LE GUERINEL Emmanuel LAYOT

Audit réalisé dans un milieu informatique. Animateurs: Michèle CARTIER LE GUERINEL Emmanuel LAYOT Audit réalisé dans un milieu informatique Animateurs: Michèle CARTIER LE GUERINEL Emmanuel LAYOT Ordre du jour Prise en compte de l environnement informatique et incidence sur la démarche d audit Problématique

Plus en détail

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D'UN EXPERT

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D'UN EXPERT NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D'UN EXPERT SOMMAIRE Paragraphes Introduction... 1-5 Détermination de la nécessité de recourir à un expert... 6-7 Compétence et objectivité de l'expert...

Plus en détail

Cartographie des risques informatiques : exemples, méthodes et outils

Cartographie des risques informatiques : exemples, méthodes et outils : exemples, méthodes et outils Gina Gullà-Ménez, Directeur de l Audit des Processus et des Projets SI, Sanofi-Aventis Vincent Manière Consultant Construction d une cartographie des risques : quel modèle

Plus en détail

PPA. Préambule. Présentation du Pack PA. ACK Pack PA - Notice d utilisation. En pratique. Sommaire. Comment utiliser les outils?

PPA. Préambule. Présentation du Pack PA. ACK Pack PA - Notice d utilisation. En pratique. Sommaire. Comment utiliser les outils? Classement des outils du Pack PA (fichiers bureautiques) P Petites Associations et Fondations Petits Fonds de dotation Exemple de fichier : Questionnaire d analyse du risque d anomalies Notice d utilisation

Plus en détail

INTRODUCTION DES NORMES

INTRODUCTION DES NORMES INTRODUCTION DES NORMES L audit interne est exercé dans différents environnements juridiques et culturels ainsi que dans des organisations dont l'objet, la taille, la complexité et la structure sont divers.

Plus en détail

Normes internationales pour la pratique professionnelle de l'audit interne

Normes internationales pour la pratique professionnelle de l'audit interne Normes internationales pour la pratique professionnelle de l'audit interne Copyright 2004 de The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA. Tous droits

Plus en détail

SOMMAIRE. Rubrique : Audit et amélioration. Sommaire THEMATIQUE

SOMMAIRE. Rubrique : Audit et amélioration. Sommaire THEMATIQUE SOMMAIRE Rubrique : Audit et amélioration... 2 Rubrique : Divers...12 Rubrique : Maintenance...17 Rubrique : Système de management de la qualité...20 1 Rubrique : Audit et amélioration SOMMAIRE Auditer

Plus en détail

Covéa Finance Charte de l Audit et du Contrôle Interne

Covéa Finance Charte de l Audit et du Contrôle Interne CHARTE D AUDIT ET DE CONTROLE INTERNE DE COVÉA FINANCE DEFINITION DU CONTROLE INTERNE Le contrôle interne est un dispositif défini et mis en œuvre par les dirigeants et les personnels des sociétés, qui

Plus en détail

Charte de l'audit informatique du Groupe

Charte de l'audit informatique du Groupe Direction de la Sécurité Globale du Groupe Destinataires Tous services Contact Hervé Molina Tél : 01.55.44.15.11 Fax : E-mail : herve.molina@laposte.fr Date de validité A partir du 23/07/2012 Annulation

Plus en détail

Description normative des procédures de contrôle interne de la comptabilité financière

Description normative des procédures de contrôle interne de la comptabilité financière Description normative des procédures de contrôle interne de la comptabilité financière Les objectifs du contrôle interne. Les objectifs du contrôle interne consistent à : Assurer en permanence une bonne

Plus en détail

AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON

AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON RAPPORT DU PRESIDENT A L ASSEMBLÉE GÉNÉRALE ORDINAIRE DU 1er JUIN 2004 SUR

Plus en détail

Le 19 avril 2013 - ANGERS

Le 19 avril 2013 - ANGERS Le 19 avril 2013 - ANGERS 2 > Sommaire 1. Cadre réglementaire 2. Cadre de délégation 3. Périmètre d intervention du Comité d'audit 4. Rôle du Comité d Audit 5. Coordination et planification des travaux

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

AUDEXO Audit Expertise Conseil. Audexo Exercice clos au 31 décembre 2014. Rapport de transparence

AUDEXO Audit Expertise Conseil. Audexo Exercice clos au 31 décembre 2014. Rapport de transparence AUDEXO Audit Expertise Conseil Audexo Exercice clos au 31 décembre 2014 Rapport de transparence mars 2015 Sommaire Page 1. Présentation d Audexo 3 1.1 Présentation et activité 1.2 Organisation 2. Gestion

Plus en détail

CHAPITRE 2 : LES DOSSIERS THEMATIQUES 81

CHAPITRE 2 : LES DOSSIERS THEMATIQUES 81 SOMMAIRE INTRODUCTION 5 1. Les normes professionnelles 5 2. Les objectifs du guide 5 3. L approche méthodologique et pédagogique 6 4. Les apports de la norme CNCC 2-302 : «audit réalisé dans un environnement

Plus en détail

Modèle Cobit www.ofppt.info

Modèle Cobit www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Modèle Cobit DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

Maîtrise Universitaire en Comptabilité, Contrôle et Finance

Maîtrise Universitaire en Comptabilité, Contrôle et Finance Maîtrise Universitaire en Comptabilité, Contrôle et Finance Audit des systèmes d'information Partie 3: la dimension informatique de l audit du Système de Contrôle Interne Emanuel Campos - version 2015

Plus en détail

Urbanisation des Systèmes d'information

Urbanisation des Systèmes d'information Urbanisation des Systèmes d'information Les Audits de Systèmes d Information et leurs méthodes 1 Gouvernance de Système d Information Trois standards de référence pour trois processus du Système d Information

Plus en détail

Rapport du Président du Conseil d'administration

Rapport du Président du Conseil d'administration SOCIETE ANONYME DES BAINS DE MER ET DU CERCLE DES ETRANGERS A MONACO (S.B.M.) Société anonyme monégasque au capital de 18 160 490 euros Siège social : Monte-Carlo - Place du Casino, Principauté de Monaco

Plus en détail

Normes pour la pratique professionnelle de l'audit interne

Normes pour la pratique professionnelle de l'audit interne Normes pour la pratique professionnelle de l'audit interne Copyright 2001 de The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201. Tous droits réservés. Conformément

Plus en détail

Audit interne. Audit interne

Audit interne. Audit interne Définition de l'audit interne L'Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils

Plus en détail

Deux approches peuvent être. Analyse de données. Dossier : Audit

Deux approches peuvent être. Analyse de données. Dossier : Audit Dossier : Audit Analyse de données Mathieu Laubignat CISA, Auditeur informatique Les techniques d analyse des données, utilisées depuis 1998 au sein de l Audit Informatique du Groupe La Poste, constituent

Plus en détail

Diplôme d'expertise comptable

Diplôme d'expertise comptable Diplôme d'expertise comptable Dispositions relatives aux épreuves NOR : ESRS1400075A arrêté du 28-3-2014 ESR - DGESIP A3 Vu ordonnance n 45-2138 du 19-9-1945 ; décret n 2012-432 du 30-3-2012, notamment

Plus en détail

plan directeur des systèmes d'information objectif et marche à suivre

plan directeur des systèmes d'information objectif et marche à suivre plan directeur des systèmes d'information objectif et marche à suivre Direction du développement des entreprises et des affaires Préparé par Michel Lapointe Conseiller en gestion Publié par la Direction

Plus en détail

L A COUR D ES C OMPTES

L A COUR D ES C OMPTES L A COUR D ES C OMPTES E UROPÉENNE L A M ÉTHODOLOGIE DAS F R A N Ç A II S La présente brochure présente la Cour des comptes européenne, est principalement centrée sur la déclaration d'assurance publiée

Plus en détail

NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES

NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES SOMMAIRE Paragraphes Introduction... 1-3 Réponses globales... 4-6 Procédures d'audit

Plus en détail

PRESENTATION DU CADRE DE REFERENCE 2010 A LA COMMISSION DE DROIT COMPTABLE 12 Juillet 2010

PRESENTATION DU CADRE DE REFERENCE 2010 A LA COMMISSION DE DROIT COMPTABLE 12 Juillet 2010 COMMISSION DES MISSIONS COMPTABLES PRESENTATION DU CADRE DE REFERENCE 2010 A LA COMMISSION DE DROIT COMPTABLE 12 Juillet 2010 Joëlle LASRY/Guy ZERAH CREATIVE WORK Page 1 PRESENTATION GENERALE Le Conseil

Plus en détail

www.ifec.fr Septembre 2008 OUTIL PRATIQUE DE L INSTITUT FRANÇAIS DES EXPERTS-COMPTABLES ET DES COMMISSAIRES AUX COMPTES Copyright IFEC

www.ifec.fr Septembre 2008 OUTIL PRATIQUE DE L INSTITUT FRANÇAIS DES EXPERTS-COMPTABLES ET DES COMMISSAIRES AUX COMPTES Copyright IFEC www.ifec.fr Septembre 2008 OUTIL PRATIQUE DE L INSTITUT FRANÇAIS DES EXPERTS-COMPTABLES ET DES COMMISSAIRES AUX COMPTES Copyright IFEC IFEC - La démarche générale d audit et les nouvelles normes - septembre

Plus en détail

QUIZ «METHODOLOGIE» - CORRIGE

QUIZ «METHODOLOGIE» - CORRIGE QUIZ «METHODOLOGIE» - CORRIGE Qu est-ce qu un risque? 1 - LES RISQUES (CONCEPT et MANAGEMENT) «Le RISQUE est un concept signifiant la possibilité que la combinaison d un évènement incertain et d un mode

Plus en détail

Règles de certification des systèmes de management d'entreprise ISO 14001 ISO 9001

Règles de certification des systèmes de management d'entreprise ISO 14001 ISO 9001 Règles de certification des systèmes de management d'entreprise ISO 14001 ISO 9001 Revision du 03/06/2008 Règles de certification des système de management d entreprise ISO 14001-ISO 9001 1/12 Révision

Plus en détail

Norme ISA 402, Facteurs à considérer pour l audit d entités faisant appel à une société de services

Norme ISA 402, Facteurs à considérer pour l audit d entités faisant appel à une société de services IFAC Board Prise de position définitive 2009 Norme internationale d audit (ISA) Norme ISA 402, Facteurs à considérer pour l audit d entités faisant appel à une société de services Le présent document a

Plus en détail

Les Normes ont pour objet :

Les Normes ont pour objet : L audit interne est exercé dans différents environnements juridiques et culturels ainsi que dans des organisations dont l'objet, la taille, la complexité et la structure sont divers. Il peut être en outre

Plus en détail

Fiche conseil n 16 Audit

Fiche conseil n 16 Audit AUDIT 1. Ce qu exigent les référentiels Environnement ISO 14001 4.5.5 : Audit interne EMAS Article 3 : Participation à l'emas, 2.b Annexe I.-A.5.4 : Audit du système de management environnemental SST OHSAS

Plus en détail

République Algérienne. Démocratique et Populaire. Cour des comptes. Plan Stratégique

République Algérienne. Démocratique et Populaire. Cour des comptes. Plan Stratégique République Algérienne Démocratique et Populaire Cour des comptes Plan Stratégique 2011-2013 Plan Stratégique 2011-2013 3 Table des Matières Mot du Président de la Cour des comptes... 5 Introduction...

Plus en détail

Forum Panafricain de Haut

Forum Panafricain de Haut Forum Panafricain de Haut La problématique de l audit, du contrôle et de l évaluation des institutions de l Etat et des politiques économiques et sociales en Afrique: Fondements, évaluation, défis et stratégies

Plus en détail

CHARTE ACTION LOGEMENT SUR :

CHARTE ACTION LOGEMENT SUR : CHARTE ACTION LOGEMENT SUR : LA GESTION DES RISQUES LE CONTROLE INTERNE L AUDIT INTERNE Validée par le Conseil de surveillance du 18 septembre 2013 1/22 SOMMAIRE INTRODUCTION... 3 I. LE CADRE DE REFERENCE...

Plus en détail

# 07 Charte de l audit interne

# 07 Charte de l audit interne Politiques et bonnes pratiques # 07 de l audit Direction générale fédérale Service Redevabilité & Qualité Janvier 2015 Approuvé par le Comité des audits Juin 2013 Approuvé par le Directoire fédéral Juillet

Plus en détail

MANUEL DES NORMES Audit légal et contractuel

MANUEL DES NORMES Audit légal et contractuel 115 MANUEL DES NORMES TITRE 2 EVALUATION DES RISQUES ET ELEMENTS DE REPONSE AUX RISQUES IDENTIFIES 116 SOMMAIRE INTRODUCTION 2300. PLANIFICATION D UNE MISSION D AUDIT D ETATS DE SYNTHESE 2315. CONNAISSANCE

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

CONCLUSIONS DE L'AUDIT ET RAPPORT

CONCLUSIONS DE L'AUDIT ET RAPPORT Manuel des Normes 281 MANUEL DES NORMES TITRE 5 CONCLUSIONS DE L'AUDIT ET RAPPORT Version janvier 2009 Titre 5- Conclusions de l audit et rapport Manuel des Normes 282 CONCLUSIONS DE L'AUDIT ET RAPPORT

Plus en détail

DE L IGN. Le directeur général. Le 31 juillet 2013. Pascal Berteaud

DE L IGN. Le directeur général. Le 31 juillet 2013. Pascal Berteaud LA CHARTE QUALITÉ DE L IGN L Institut national de l information géographique et forestière a pour mission de décrire, d un point de vue géométrique et physique, la surface du territoire national et l occupation

Plus en détail

INTRODUCTION DES NORMES

INTRODUCTION DES NORMES INTRODUCTION DES NORMES L audit interne est exercé dans différents environnements juridiques et culturels ainsi que dans des organisations dont l'objet, la taille, la complexité et la structure sont divers.

Plus en détail

Agent comptable. Référentiels métier des personnels d encadrement. des établissements publics d'enseignement supérieur.

Agent comptable. Référentiels métier des personnels d encadrement. des établissements publics d'enseignement supérieur. Référentiels métier des personnels d encadrement des établissements publics d'enseignement supérieur et de recherche Agent comptable Sous-direction de la gestion prévisionnelle et des missions de l encadrement

Plus en détail

Atelier 84 - L approche d audit par les risques

Atelier 84 - L approche d audit par les risques Atelier 84 - L approche d audit par les risques 1 Plan Présentation des NEP 315, 320, 330, 500 et 501 Principales différences par rapport au référentiel de juillet 2003? 2 Présentation NEP 315, 320, 330,

Plus en détail

INTRODUCTION GENERALE

INTRODUCTION GENERALE INTRODUCTION GENERALE Chaque année, les entreprises ont de nombreux challenges à relever; adaptation à des contraintes légales nationales, européennes ou internationales, lancement de nouveaux services

Plus en détail

RAPPORT DE TRANSPARENCE (Exercice clos le 30 septembre 2014)

RAPPORT DE TRANSPARENCE (Exercice clos le 30 septembre 2014) RAPPORT DE TRANSPARENCE (Exercice clos le 30 septembre 2014) Sommaire 1 PRESENTATION DU CABINET...1 1.1 Le cabinet en France...1 1.1.1 Description de l activité et des entités de commissariat aux comptes

Plus en détail

CHARTE DE L AUDIT INTERNE

CHARTE DE L AUDIT INTERNE CHARTE DE L AUDIT INTERNE Septembre 2009 Introduction La présente charte définit la mission et le rôle de l audit interne de l Institut National du Cancer (INCa) ainsi que les modalités de sa gouvernance.

Plus en détail

Supports de formation du GCE Inventaires nationaux des gaz à effet de serre. Assurance qualité/contrôle qualité

Supports de formation du GCE Inventaires nationaux des gaz à effet de serre. Assurance qualité/contrôle qualité Supports de formation du GCE Inventaires nationaux des gaz à effet de serre Assurance qualité/contrôle qualité Version 2, avril 2012 Public cible et objectif des supports de formation Ces supports de formation

Plus en détail

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous Direction des Opérations Bureau Conseil Élaboration de tableaux de bord SSI

Plus en détail

AVANT-PROPOS. Certains aspects du module D peuvent nécessiter une étude plus approfondie. Une révision du guide pourra donc s'avérer nécessaire.

AVANT-PROPOS. Certains aspects du module D peuvent nécessiter une étude plus approfondie. Une révision du guide pourra donc s'avérer nécessaire. Le présent document est une traduction du guide 8.4, dont l original en anglais est disponible sur le site Internet de WELMEC (www.welmec.org). Pour tout problème d interprétation, il est nécessaire de

Plus en détail

CONFÉRENCE INTERAFRICAINE DES MARCHÉS D'ASSURANCES. C () N SEI L n E S M l!\ 1 S T l{ l': S J) E S A S S II [{ A NeE S

CONFÉRENCE INTERAFRICAINE DES MARCHÉS D'ASSURANCES. C () N SEI L n E S M l!\ 1 S T l{ l': S J) E S A S S II [{ A NeE S I~,0:.----------, c 1 M A CONFÉRENCE INTERAFRICAINE DES MARCHÉS D'ASSURANCES.'.- 1. ~ 0 0 0 SI: C () N SEI L n E S M l!\ 1 S T l{ l': S J) E S A S S II [{ A NeE S REGLEMENT N,.ICIMAlPCMA/ CE/ SG/ 2DD9

Plus en détail

Annexes. Attestations entrant dans le cadre de diligences directement liées à la mission de commissaire aux comptes...p. 57

Annexes. Attestations entrant dans le cadre de diligences directement liées à la mission de commissaire aux comptes...p. 57 Annexes Rapport annuel H3C 2008 Annexes FONCTIONNEMENT DU HAUT CONSEIL Pas d annexe ACTIVITÉ NORMATIVE Annexe 2.1. Liste des normes d exercice professionnel au 31 janvier 2009...p. 55 Normes homologuées

Plus en détail

CONTRÔLE INTERNE ET GESTION DE LA QUALITÉ DANS LES CABINETS D'AUDIT

CONTRÔLE INTERNE ET GESTION DE LA QUALITÉ DANS LES CABINETS D'AUDIT CONTRÔLE INTERNE ET GESTION DE LA QUALITÉ DANS LES CABINETS D'AUDIT Introduction Un moyen de se doter d un système de contrôle interne efficace et performant réside dans la mise en place d un système de

Plus en détail

Corrigé - Exercices. A l'aide de vos connaissances et du document suivant, répondez aux questions.

Corrigé - Exercices. A l'aide de vos connaissances et du document suivant, répondez aux questions. Exercice 1 A l'aide de vos connaissances et du document suivant, répondez aux questions. 1. D'après vous, pourquoi utilise-t-on le terme d'«urbanisation» plutôt que celui d'«urbanisme»? On utilise le terme

Plus en détail

Considerant qu'il s'impose de moderniser le cadre normatif d'exercice des missions revisorales ;

Considerant qu'il s'impose de moderniser le cadre normatif d'exercice des missions revisorales ; 7 Norme relative it l'application des normes ISA en Belgique Le Conseil de l'institut des Reviseurs d'entreprises, Considerant qu'il s'impose de moderniser le cadre normatif d'exercice des missions revisorales

Plus en détail

PRISE DE POSITION AMÉLIORER LA COOPÉRATION ENTRE L'AUDIT INTERNE ET L'AUDIT EXTERNE

PRISE DE POSITION AMÉLIORER LA COOPÉRATION ENTRE L'AUDIT INTERNE ET L'AUDIT EXTERNE AMÉLIORER LA COOPÉRATION ENTRE L'AUDIT INTERNE ET L'AUDIT EXTERNE AMÉLIORER LA COOPÉRATION ENTRE L AUDIT INTERNE ET L AUDIT EXTERNE Les auditeurs partenaires et alliés indispensables des administrateurs

Plus en détail

Perception du processus qualité L audit

Perception du processus qualité L audit Audit L audit HISTORIQUE Audit: c'est un terme anglo-saxon pour désigner des actions de vérification et de contrôle des comptes d'une entreprise (du latin audire: écouter) Audit L audit est un processus

Plus en détail

SEP 2B juin 20. Guide méthodologique de calcul du coût d une prestation

SEP 2B juin 20. Guide méthodologique de calcul du coût d une prestation SEP 2B juin 20 12 Guide méthodologique de calcul du coût d une Sommaire Préambule 3 Objectif et démarche 3 1 Les objectifs de la connaissance des coûts 4 2 Définir et identifier une 5 Calculer le coût

Plus en détail

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009)

Plus en détail

L audit Informatique et la Qualité

L audit Informatique et la Qualité L audit Informatique et la Qualité Bennani Samir Ecole Mohammadia d Ingénieurs sbennani@emi.ac.ma emi.ac.ma Qu'est-ce que l'audit informatique? Pour Directeur général : voir plus clair dans l'activité

Plus en détail

Points d'audit SCI-E : contrôles englobant toute l'entreprise et cadre du SCI

Points d'audit SCI-E : contrôles englobant toute l'entreprise et cadre du SCI Société d assurance Type d'agrément Société d'audit Auditeur responsable Année d'exercice 2015 Version du modèle 28.04.2015 Division Assurances Page 1 / 1 Audit base_points d'audit_sci-e_version 2015_FR.xlsx

Plus en détail

SOMMAIRE Thématique : Qualité

SOMMAIRE Thématique : Qualité SOMMAIRE Thématique : Qualité Rubrique : Audit et amélioration... 2 Rubrique : Divers... 8 Rubrique : Maintenance...11 Rubrique : Système de management de la qualité...14 1 Rubrique : Audit et amélioration

Plus en détail

Ordre des Experts Comptables de Tunisie

Ordre des Experts Comptables de Tunisie Ordre des Experts Comptables de Tunisie Norme relative aux Modalités d Application des Articles 2 et 3 de l Arrêté du 28 février 2003 portant Homologation du Barème des Honoraires des Experts Comptables

Plus en détail

Améliorer votre approche processus

Améliorer votre approche processus Améliorer votre approche processus Décrire de manière complète les processus, Mettre en place des tableaux de bord de manière à en surveiller le fonctionnement et à en déterminer l efficacité, Réaliser

Plus en détail

DOSSIER MODÈLE D'AUDIT NAGR OSBL DU SECTEUR PRIVÉ TABLE DES MATIÈRES GÉNÉRALE PARTIE 1 NOTIONS THÉORIQUES PARTICULARITÉS POUR LES OSBL.

DOSSIER MODÈLE D'AUDIT NAGR OSBL DU SECTEUR PRIVÉ TABLE DES MATIÈRES GÉNÉRALE PARTIE 1 NOTIONS THÉORIQUES PARTICULARITÉS POUR LES OSBL. DOSSIER MODÈLE D'AUDIT NAGR OSBL DU SECTEUR PRIVÉ GÉNÉRALE PARTIE 1 NOTIONS THÉORIQUES PARTICULARITÉS POUR LES OSBL Introduction Module 1 Contrôle de la qualité et documentation Module 2 Acceptation de

Plus en détail

Comprendre ITIL 2011

Comprendre ITIL 2011 Editions ENI Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000 Collection DataPro Extrait 54 Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail