DSCG : UE5 - Management des Systèmes d'information

Transcription

1 Table des matières CARTE HEURISTIQUE... 1 GÉNÉRALITÉS... 1 LES MISSIONS D'AUDIT... 1 Les contextes d'audit...2 L'audit des systèmes d'information...2 Les différents types de missions d'audit...2 La démarche d'audit...3 LE CADRE LÉGAL ET NORMATIF DE L'AUDIT...5 Les normes et les référentiels...5 Le référentiel CobiT...6 Les normes professionnelles internationales...7 Le contrôle interne...8 LE CONTRÔLE DES COMPTES DES ENTITÉS INFORMATISÉES...11 Le système d'information comptable (SIC)...11 La prise en compte de l'environnement informatique lors de l'audit légal des comptes...11 Le risque d'audit...12 LA DÉMARCHE D'AUDIT DU CNCC...14 Les supports opérationnels...15 L'AUDIT ASSISTÉ PAR ORDINATEUR...16 Les étapes de l'audit assisté par ordinateur...16 Les techniques d'audit assisté par ordinateur, TAAO (Computer Assisted Techniques, CAATs)...17 Les progiciels d'aide à la révision...19 Les avantages des progiciels d'aide à la révision...20 Carte heuristique Généralités Après avoir longtemps été cantonné au domaine financier, le terme «audit» s'est maintenant largement diffusé et concerne notamment les systèmes d'information. Les enjeux de la mise en œuvre d'un audit sont multiples et répondent à des problématiques de mise en conformité et de prévention des risques. Un certain nombre de lois ont eu pour effet de généraliser et de systématiser la pratique de l'audit des systèmes d'information pour contribuer au rétablissement de la confiance entre les acteurs de l'économie. L'audit des SI bénéficie d'un cadre légal et réglementaire tant au niveau national qu'au niveau international, et dispose d'outils informatiques permettant, d'une part, de traiter les données issues des SI et, d'autre part, de faciliter le suivi et la réalisation d'une mission complexe et documentée. Les missions d'audit Selon la norme ISO 9000, l'audit est un «processus méthodique, indépendant et documenté permettant de recueillir des informations objectives pour déterminer dans quelle mesure les pratiques 1/20

2 observées satisfont aux référentiels du domaine concerné», L'auditeur se forge une opinion qu'il consigne ensuite dans un rapport. Les contextes d'audit L'audit en tant que mécanisme de gouvernance occupe une place croissante dans un contexte de regroupement d'entreprise et de développement des fonds d'investissement. De plus en plus, les entreprises cherchent à maîtriser l'incertitude par la conduite d'audits fondés sur une approche par les risques. Ainsi, des audits sont réalisés à la demande des dirigeants des organisations (direction générale, mais également directions opérationnelles) auprès de leur service d'audit interne ou auprès d'auditeurs externes. Ce peut être, par exemple, un audit de conformité pour anticiper un éventuel contrôle fiscal par un diagnostic du système d'information comptable. Des audits sont également mandatés par des propriétaires pour contrôler leurs mandataires (les dirigeants) et réduire l'asymétrie d'information entre les différents «stakeholders» ou «parties prenantes». Ces audits sont conduits en sus de l'audit légal des comptes réalisé par les commissaires aux comptes en France. Par ailleurs, des audits peuvent être menés dans le cadre d'une expertise judiciaire, sur la requête d'un tribunal (juridictions civiles, pénales, etc.), voire à la demande d'une autorité administrative. Les contextes d'audit sont variés et demandent de plus en plus un audit des systèmes d'information qui se retrouve à la croisée des préoccupations des dirigeants et des différentes parties prenantes qui ont des objectifs économiques et financiers nécessitant une maîtrise accrue du risque. L'audit des systèmes d'information Le concept d'audit des systèmes d'information est apparu au cours des années Il comprend l'examen et l'évaluation des processus, des systèmes de traitement automatisé de l'information et des interfaces qui les relient ainsi que des procédures connexes non automatisées, avec un ensemble de règles en vigueur (fiscales, juridiques, techniques, etc.). Il vise à mettre en évidence les risques relatifs aux processus supportés par le système d'information et ceux liés à l'infrastructure technique (adéquation de l'infrastructure avec les besoins de l'entité, sécurité physique, logique et applicative, pérennité du SI, etc.). L'audit des systèmes d'information couvre un périmètre plus large que l'audit informatique dans la mesure où il s'intéresse aux aspects organisationnels et fonctionnels liés au SI, en plus des aspects purement techniques. L'audit des systèmes d'information peut être décomposé en deux approches : l'évaluation de la fonction informatique, pour laquelle l'auditeur s'appuie principalement sur les méthodes et référentiels existants dans ce domaine (essentiellement le CobiT). La fonction«informatique» de l'entreprise est à prendre en compte en termes de séparation des fonctions, gestion des mouvements de personnel, gestion des projets, fiabilité des processus informatiques (pilotage, développement, maintenance, exploitation, sécurité du SI), etc. ; l'évaluation de la composante «système d'information» des processus opérationnels, pour laquelle l'auditeur s'appuiera sur des programmes de travail spécifiques. Ceux-ci sont induits par l'appréciation des risques généraux portant sur le processus considéré et sont fonction du degré d'informatisation du processus et du type d'outil informatique utilisé. Selon Serge Yablonsky, président d'honneur de l'afai (Association française de l'audit et du conseil informatiques) et directeur du cabinet d'audit Moore Stephens SYC : «l'audit de la fonction informatique basé en général sur le référentiel CobiT peut couvrir l'audit de la stratégie, de la tactique, de l'opérationnel et de management de la fonction, tandis que l'audit des applications avec les processus métiers couvrira, par exemple dans le cas de la gestion commerciale, la validation des données, la fiabilité et la réactivité des traitements ou encore la conformité réglementaire.» (Source : Les différents types de missions d'audit Les missions d'audit peuvent être de plusieurs types : interne, externe et stratégique de la fonction informatique. Elles se caractérisent également : par la nature du lien entre l'auditeur et l'audité, avec l'appartenance ou la non appartenance à l'entité auditée ; par la nature du cadre juridique de l'audit, avec le respect d'obligations légales et de normes professionnelles ; par la qualité du mandataire de la mission et du contexte d'audit ; 2/20

3 etc. L'audit interne La mission d'audit interne est diligentée par la direction de l'entité. Selon l'afai (Association française de l'audit et du conseil informatiques), «l'audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité». Cette activité indépendante est exécutée par le département d'audit interne. L'audit externe La mission d'audit externe est réalisée par des personnes extérieures à l'organisation : cabinets d'experts-comptables ou professionnels spécialisés dans un domaine précis (audit environnemental, audit de sécurité, etc.). Elle peut tenir à plusieurs raisons différentes : soit elle répond aux mêmes objectifs qu'une mission d'audit interne et, dans ce cas, sa justification tient à l'absence d'un département d'audit interne ou à l'absence de compétences au sein du département d'audit interne pour l'évaluation des SI, voire à la volonté de confier la mission à un tiers indépendant de l'entité auditée ; soit elle répond à d'autres contextes d'audit et elle est éventuellement diligentée par d'autres acteurs que la direction de l'entité. On peut citer, par exemple, les missions réalisées par les commissaires aux comptes (CAC) dans le cadre de leurs mandats d'audit. Dans ce cas, la mission d'audit a uniquement pour objectifs de renseigner les CAC sur le niveau de contrôle interne existant dans l'entreprise sur le processus informatique et d'évaluer les risques existants pouvant impacter leur opinion. L'audit stratégique de la fonction informatique L'audit stratégique de la fonction informatique vise à vérifier son alignement sur la stratégie à long terme de l'entité. Il consiste à étudier l'adéquation de la fonction informatique aux besoins et aux enjeux de l'entreprise, le respect du principe de séparation des tâches et le niveau de dépendance de l'entreprise vis-à-vis de prestataires externes. La démarche d'audit La démarche d'audit se déroule en plusieurs phases aboutissant à l'élaboration d'un rapport d'audit, véritable outil de communication entre le ou les commanditaires de l'audit, les acteurs de l'entité auditée et les auditeurs. Les phases d'une mission d'audit La démarche d'audit retenue par le Guide d'audit des systèmes d'information de l'afai s'appuie sur trois phases, dont les activités sont détaillées dans la figure 10.1 : planification, cadrage et exécution. La démarche d'audit 3/20

4 L'auditeur planifie, dans un premier temps, les différents aspects de la mission concourant à l'atteinte des objectifs initialement fixés. Ces objectifs sont ensuite détaillés dans la phase de cadrage puis la phase d'exécution de l'audit aboutit à la formulation de conclusions et de recommandations consignées dans un rapport d'audit. Le rapport d'audit Toute mission d'audit, et donc d'audit des systèmes d'information, se traduit par un rapport d'audit, qui constitue la pièce maîtresse de la mission d'audit. Selon les normes professionnelles de l'isaca (Information Systems and Control Association), «à l'issue de son travail, l'auditeur des SI doit fournir un rapport sous une forme adéquate. Le rapport doit préciser l'entreprise, les destinataires du document et les éventuelles restrictions à sa diffusion. [... ] Le rapport doit spécifier la portée, les objectifs, la période couverte, la nature, la durée et l'ampleur de l'audit réalisé. [... ] Le rapport doit spécifier les conclusions et recommandations de l'audit, ainsi que les éventuelles limitations de portée, réserves ou qualifications jugées opportunes par l'auditeur des SI. [... ] L'auditeur des SI doit collecter des éléments probants suffisants et pertinents pour corroborer les résultats rapportés. [... ] Lors de son édition, le rapport de l'auditeur des SI doit être signé, daté et distribué conformément aux termes de la charte d'audit ou de la lettre de mission» (source : Le rapport d'audit est un outil stratégique, support des améliorations du SI. Les conseils pour piloter un audit du système d'information Selon Dominique Filippone (JDN Solutions, 10 conseils pour piloter son audit des systèmes d'information, lorsqu'une entreprise décide ou est contrainte de réaliser un audit, elle doit se poser des questions sur la façon de le mener à bien et d'appréhender avec le plus d'objectivité possible les résultats de l'audit et suivre les conseils suivants : 1. Bien délimiter le champ d'investigation et les enjeux de l'audit. 2. Se préparer à la procédure d'audit. 3. Séparer le commanditaire de l'entité en charge de l'audit. L'audit doit être mené par des intervenants indépendants de la DSI et mandatés par la direction générale. Cependant, des audits seront commandités spécifiquement par la DSI lorsque les enjeux seront typiquement liés à ses processus internes (suivi de la production, suivi de la qualité de service... ). 4. Se doter d'une direction de l'audit interne, oui, mais ce n'est pas sans poser problème en raison de l'importance des ressources à mobiliser et de la place de cette direction dans l'organisation. 4/20

5 5. Recourir à des référentiels solides comme ISO, CobiT (Control Objectives for Information and related Technology) dans le cadre de processus transverses, CMMI (Capability Maturity Model Integration), dans celui du pilotage de projet, ITIL (Information Technology Infrastructure Library), pour les services, etc. 6. S'entendre sur le référentiel choisi. Les parties prenantes concernées par les enjeux de l'audit doivent avoir une vision sur le référentiel choisi, ainsi la clarté de la démarche d'audit sera appréhendée dans le temps. 7. Préparer les pièces indispensables à l'audit et en faciliter l'accès : le cahier des charges, qui a pour vocation à contractualiser les besoins d'une entité envers un tiers, mais également le plan qualité, les tableaux de bord et indicateurs de performance, la gestion des problèmes récurrents, etc. 8. Confier son audit à une équipe pluridisciplinaire et indépendante. 9. Choisir la fréquence et le temps de déroulement de l'audit. 10. Ne pas sous-estimer les limites d'un audit.» Les risques de ne pas identifier l'ensemble des faiblesses et menaces d'un processus ou d'un applicatif ne sont pas nuls. Parmi les contraintes et les limites potentielles : un temps imparti à l'audit restreint ou une appréciation biaisée du contexte fonctionnel et métier de l'organisation étudiée. Enfin, un léger réajustement technique ou organisationnel exercé a posteriori sur le SI peut remettre en cause tout ou partie des résultats d'un audit. Le cadre légal et normatif de l'audit L'audit des systèmes d'information est encadré par des normes et référentiels spécifiques, internationaux et nationaux, qui servent de guide dans les pratiques des auditeurs internes et externes. Toutefois, le cadre de référence de l'audit retenu par les grandes entreprises est souvent rapproché du cadre proposé par l'autorité des marchés financiers (AMF) au titre du contrôle interne. En effet, le législateur a obligé les grandes entreprises à plus de transparence et à disposer de systèmes d'information à la hauteur de ces enjeux par la loi Sarbanes-Oxley (SOX : 29 août 2002) aux États-Unis, les lois NRE (nouvelles réglementations économiques, 15 mai 2001), LSF (loi de sécurité financière, 1er août 2003) et la loi pour la confiance et la modernisation de l'économie (<< loi Breton», 26 juillet 2005) en France. Ce nouveau socle réglementaire répond à un enjeu majeur : rétablir la confiance entre les différents acteurs de l'économie. Nous ne développerons ici que les renforcements des obligations des sociétés françaises en matière de contrôle interne. Les normes et les référentiels La spécificité de l'audit des systèmes d'information et les compétences requises pour accomplir des audits exigent des normes et des référentiels qui s'appliquent expressément à l'audit des SI. Il existe des normes professionnelles internationales et nationales, et des référentiels relatifs à l'audit des entités informatisées. Ils sont élaborés par des organisations internationales qui ont le plus souvent des correspondants nationaux. Les principaux organismes, normes et référentiels sont présentés dans le tableau suivant. Il ne s'agit pas d'une liste exhaustive. interne informatique externe Organismes internationaux UA, Institute of Internal ors ( ISACA, Information Systems and Control Association ( IFAC, International Federation of Accountants ( Normes ou référentiels internationaux Normes internationales pour la pratique professionnelle de l'audit CobiT (téléchargement depuis le site et divers normes et standards ISA, International Standards on ing ISQC1, International Standard on Quality Control Organisations nationales IFACI, Institut français des auditeurs internes ( AFAI, Association française de l'audit et du conseil informatiques ( CNCC, Compagnie nationale des commis saires aux comptes (www. cncc.fr) 5/20

6 interne informatique externe Normes nationales NEP, normes d'exercice professionnel L'objectif des normes est d'informer les auditeurs du niveau minimal acceptable pour répondre aux responsabilités professionnelles et les autres parties des attentes de la profession d'audit. Le référentiel CobiT La démarche d'audit du système d'information s'appuie sur le référentiel CobiT (Control Objectives for Information and related Technology - Objectifs de contrôle de l'information et des technologies associées) qui fournit les «bonnes pratiques» pour l'appréciation des risques informatiques et propose des standards de contrôle selon le cadre présenté ci-dessous : Cadre d'analyse des risques illustré par CobiT Le modèle débute par une valorisation des biens. Dans CobiT, ces biens sont les informations - et naturellement l'ensemble des ressources associées - dont les critères d'efficacité, de disponibilité ou d'intégrité, etc., sont essentiels pour atteindre les objectifs de l'entreprise. L'étape suivante est l'analyse de vulnérabilité des processus, qui permet d'identifier les faiblesses par les critères d'information ; un processus peut par exemple être vulnérable à la perte d'intégrité. L'analyse des menaces, étape suivante, doit permettre de lister l'ensemble des menaces et de voir quelles vulnérabilités elles pourraient exploiter. L'analyse des risques va combiner la probabilité de la menace, le degré de vulnérabilité et le niveau de sévérité de l'impact. Il faut alors réaliser l'analyse du contrôle en exhibant une série de contre-mesures et en évaluant leur efficacité face aux risques. Un plan d'actions est alors mis en œuvre et le cycle peut recommencer. L'utilisation du référentiel CobiT est rassurante pour l'auditeur et l'audité car elle renvoie à une démarche acceptée et validée au niveau international. Elle permet à l'auditeur : d'adopter une démarche efficace en se référant, pour la construction et l'application des programmes de travail, à un ensemble reconnu de bonnes pratiques ; de structurer la documentation de travail et de la mission ; de prendre en compte tous les risques (exhaustivité) ; de faciliter les échanges en se référant à un référentiel international ; de permettre des comparaisons entre entités ou secteurs d'activité ; etc. Si le recours au référentiel CobiT constitue une véritable opportunité pour l'auditeur, son usage présente des limites. D'une part, le référentiel est avant tout un outil de travail. Il devra donc être adapté aux objectifs de la mission et au contexte de mise en œuvre. Le référentiel nécessite impérativement une démarche critique de l'auditeur et une appréciation des risques liés au contexte spécifique d'intervention. D'autre part, si le référentiel CobiT reste exhaustif et pertinent pour 6/20

7 l'appréciation des risques liés à la fonction informatique, sa portée est considérablement limitée lors de l'évaluation des risques informatiques sous-jacents dans le fonctionnement des autres processus opérationnels ou les risques informatiques particuliers propres, par exemple, à un environnement légal et réglementaire donné. Les normes professionnelles internationales Des normes professionnelles internationales relatives à l'audit interne et à l'audit externe existent. Les normes d'audit interne Au niveau international, ce sont les normes internationales pour la pratique professionnelle de l'audit interne de l'institute of Internal ors (lia) qui constituent le référentiel de la mission d'audit interne. Elles sont complétées par un code de déontologie fournissant aux auditeurs internes les principes et valeurs régissant leur pratique professionnelle. Selon l'ifaci, les normes ont pour objet : de définir les principes fondamentaux de la pratique de l'audit interne ; de fournir un cadre de référence pour la réalisation et la promotion d'un large champ d'intervention d'audit interne à valeur ajoutée ; d'établir les critères d'appréciation du fonctionnement de l'audit interne ; de favoriser l'amélioration des processus organisationnels et des opérations. Les normes se composent : de normes de qualification qui précisent les caractéristiques que doivent présenter les organisations et les personnes accomplissant des missions d'audit interne ; de normes de fonctionnement qui décrivent la nature des missions d'audit interne et définissent des critères de qualité permettant de mesurer la performance des services fournis ; de normes de mise en œuvre qui précisent les deux types de normes précédentes en indiquant les exigences applicables dans les activités d'assurance (évaluation objective en vue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une opération, une fonction, un processus, un système ou tout autre sujet) ou de conseil. La norme de qualification 1210.A3 stipule notamment que «les auditeurs internes doivent posséder une connaissance suffisante des principaux risques et contrôles relatifs aux technologies de l'information, et des techniques d'audit informatisées susceptibles d'être mises en œuvre dans le cadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes ne sont pas censés posséder l'expertise d'un auditeur dont la responsabilité première est l'audit informatique». Les normes d'audit externe Au niveau international, ce sont les normes ISA qui constituent le référentiel de la mission d'audit externe. Elles ont été élaborées et publiées par l'international ing and Assurance Standards Board (IAASB), qui est une dépendance de l'ifac (International Federation of Accountants). Les objectifs des normes d'audit des systèmes d'information de l'isaca sont d'«informer : les auditeurs de systèmes d'information du niveau minimum de diligence requis pour satisfaire les responsabilités professionnelles définies dans le code d'éthique professionnelle de l'isaca ; la direction et les autres parties prenantes de ce qu'elles sont en droit d'attendre des travaux professionnels des auditeurs» (source : AFAI, La Revue, n" 78, mars 2005). L'architecture des normes d'audit des systèmes d'information de l'isaca comprend plusieurs niveaux : les normes définissent les exigences obligatoires pour la conduite de l'audit des systèmes d'information et la rédaction des rapports ; les recommandations apportent des conseils pour l'application des normes ISA ; les procédures donnent des informations sur la façon de satisfaire aux normes lors de l'accomplissement des travaux d'audit. 7/20

8 Les normes ISA de référence sont : la norme ISA Connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives ; la norme ISA Procédures à mettre en œuvre par l'auditeur en fonction de son évaluation du risque. Ces normes ont été transposées au niveau national. Par ailleurs, la norme ISCQ1 (International Standard on Quality Control), établie par l'ifac, définit les exigences relatives à la mise en place d'un système de «contrôle qualité des cabinets réalisant des missions d'audit ou d'examen limité d'informations financières historiques, et d'autres missions d'assurance et de services connexes». Cette norme devrait être implémentée dans les cabinets de réviseurs d'entreprises dans les prochaines années. Les normes professionnelles nationales En France, c'est la CNCC (Compagnie nationale des commissaires aux comptes) qui réalise le référentiel normatif homologué applicable à la profession française. Il a été entériné courant La transposition dans le référentiel français des normes d'audit internationales de l'ifac a poursuivi deux objectifs : positionner clairement la France au regard du référentiel normatif international (IAASB) ; témoigner du haut degré de qualité de la certification des commissaires aux comptes. De cette transposition ont découlé notamment les normes d'audit en environnement informatisé : la norme CNCC relative à l'évaluation du risque et au contrôle interne ; la norme CNCC relative à l'audit réalisé dans un environnement informatique. Ces textes ont été remplacés le 1er mai 2007 par les normes d'exercice professionnel : -la norme NEP Connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives dans les comptes ; la norme NEP Procédures d'audit mises en œuvre par le commissaire aux comptes à l'issue de son évaluation des risques. Ces NEP découlent des normes internationales ISA 315 et 330. Les NEP ont valeur de loi et s'imposent dans le cadre de la mission du CAC. Elles ont pour vocation première «de garantir le bon exercice des missions et permettent de trouver, dans une doctrine émanant de l'organisation professionnelle seule habilitée à définir, les critères d'appréciation nécessaires» (Référentiel normatif CNCC, juillet 2003, 0-100, Préambule). Le contrôle interne La mise en place de dispositifs de contrôle interne repose en grande partie sur le contrôle du système d'information. En effet, la quasi-totalité des procédures repose aujourd'hui sur des traitements informatisés. La mise en place de dispositifs de contrôle interne efficaces se fait et se fera de plus en plus à l'aide de SI conçus à cet effet. La définition et la portée du contrôle interne Selon l'afai, le contrôle interne est un dispositif mis en œuvre par la société et sous sa responsabilité. «Il comprend un ensemble de moyens, de comportements, de procédures et d'actions adaptés aux caractéristiques propres de chaque société qui : contribue à la maîtrise de ses activités, à l'efficacité de ses opérations et à l'utilisation efficiente de ses ressources, et doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu'ils soient opérationnels, financiers ou de conformité.» Le contrôle interne vise plus particulièrement à «assurer : la conformité aux lois et règlements ; l'application des instructions et des orientations fixées par la direction générale ou le directoire ; 8/20

9 le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs ; la fiabilité des informations financières. Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux seuls processus comptables et financiers. La définition du contrôle interne ne recouvre pas toutes les initiatives prises par les organes dirigeants ou le management comme par exemple la définition de la stratégie de la société, la détermination des objectifs, les décisions de gestion, le traitement des risques ou le suivi des performances», Selon les articles et du Code de commerce, qui trouvent leur origine dans la loi de sécurité financière (LSF) du 1er août 2003 (article 117), dans les sociétés faisant appel public à l'épargne, le président du conseil d'administration ou du conseil de surveillance «rend compte, dans un rapport, [... ] des procédures de contrôle interne mises en place par la société». Pour ces mêmes sociétés, selon l'article L du Code de commerce (article 120 de la LSF), «les commissaires aux comptes présentent dans un rapport 13121Management des systèmes d'information [... ] leurs observations sur le rapport (du Président) pour celles des procédures de contrôle interne relatives à l'élaboration et au traitement de l'information comptable et financière». Les applicatifs dédiés au «Contrôle Interne» répondent aux enjeux majeurs suivants : S assurer de la conformité de l entreprise aux réglementations et aux normes de contrôle interne : LSF, cadre de référence de l AMF, Sarbanes-Oxley, CRBF et Bâle II pour les banques, Solvabilité II pour l assurance, Contribuer à l alignement et à l optimisation des processus opérationnels dans l entreprise, Faciliter la communication aux parties prenantes et la rédaction du rapport annuel sur le contrôle interne.» Le cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf Face aux préoccupations relatives au contrôle interne, on assiste au développement de démarches sur la base de cadres de référence, comme celui de l'amf (Autorité des marchés financiers) ou celui du casa (Committee of Sponsoring Organizations of the Treadway Commission). Le dispositif du contrôle interne s'intéresse tant aux qualités des systèmes d'information qu'aux informations diffusées, ainsi que le préconise le cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf de 2010, dont un extrait est présenté ci-dessous. Extrait du cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf de 2010 Selon l'amf, «le dispositif de contrôle interne comprend cinq composantes [... ] : 1) Une organisation comportant une définition claire des responsabilités, disposant des ressources et des compétences adéquates et s'appuyant sur des systèmes d'information, sur des procédures ou modes opératoires, des outils et des pratiques appropriés [... ]. Les systèmes d'information [doivent être adaptés] aux objectifs actuels de l'organisation et conçus de façon à pouvoir supporter ses objectifs futurs. Les systèmes informatiques sur les- quels s'appuient ces systèmes d'information doivent être protégés efficacement tant au niveau de leur sécurité physique que logique afin d'assurer la conservation des informations stockées. Leur continuité d'exploitation doit être assurée au moyen de procédures de secours. Les informations relatives aux analyses, à la programmation et à l'exécution des traitements doivent faire l'objet d'une documentation [... ]. 2) La diffusion en interne d'informations pertinentes, fiables, dont la connaissance permet à chacun d'exercer ses responsabilités [... ]. 3) Un dispositif de gestion des risques visant à recenser, analyser et traiter les principaux risques identifiés au regard des objectifs de la société. 4) Des activités de contrôle proportionnées aux enjeux propres à chaque processus, et conçues pour s'assurer que les mesures nécessaires sont prises en vue de maîtriser les risques susceptibles d'affecter la réalisation des objectifs. 5) Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu'un examen régulier de son fonctionnement» juin /20

10 Cette nouvelle édition du cadre de référence de l'amf s'appuie sur les évolutions constatées dans les principaux référentiels internationaux, en particulier : le référentiel de contrôle interne casa II, qui est aujourd'hui le plus communément admis et utilisé. Il est adopté notamment par un nombre croissant d'entreprises françaises ; la norme ISO (<< Management du risque - Principes et lignes directrices», de l'organisation internationale de normalisation), qui fournit des principes et des lignes directrices générales sur le management du risque. Elle intègre un questionnaire relatif au contrôle interne comptable et financier dont une partie porte sur les systèmes d'information (voir encadré ci-dessous). Extrait du cadre de référence des dispositifs de gestion des risques et de contrôle interne de l'amf de 2010 [...] Système d'information Questionnaire relatif au contrôle interne comptable et financier - Les autorisations et droits d'accès aux systèmes ainsi que les environnements hébergeant ces systèmes prennent-ils suffisamment en compte la séparation des tâches? - Des principes de sécurité d'utilisation sont-ils établis et communiqués (ex. : gestion des mots de passe, transferts de données, accès à Internet... )? Des principes de sécurité physique sont-ils définis et communiqués? Des principes de sécurité logique sontils définis et communiqués? Les accès aux données et programmes sont-ils sécurisés par profil d'utilisateur? Une traçabilité des transactions est-elle possible, analysée, vérifiée? Un dispositif de protection anti-virus contre les attaques et les intrusions externes est-il envisagé? - Des dispositifs de sauvegarde des données sont-ils en place? Font-ils l'objet de tests périodiques? - Des mesures de continuité de service sont-elles mises en place en lien avec les besoins métiers? Font-elles l'objet de tests périodiques? - Les obligations de conservation des informations, données et traitements informatiques concourant directement ou indirectement à la formation des états comptables et financiers sont-elles respectées? [...]. 3. l'audit des systèmes d'information, outil privilégié du contrôle interne 14 juin L'audit des systèmes d'information constitue un pilier du contrôle interne. En effet, selon l'afai, les démarches mises en œuvre en matière de contrôle interne sont : l'audit comptable, dont l'objectif est de garantir la sincérité des comptes. Il peut être conduit par le service d'audit interne, par les commissaires aux comptes ou, le cas échéant, par les autorités de tutelle ; l'audit interne, dont le but est de permettre aux directions générales d'avoir l'assurance d'un niveau de sécurité adapté à chacun de ses processus ; l'analyse des risques, dont l'objectif est d'évaluer périodiquement le niveau des risques opérationnels et des risques bilan ciels des entreprises ; l'audit de sécurité, dont le but est de contrôler que les dispositifs de sécurité organisationnels, matériels et logiciels sont corrects ; l'audit informatique, qui a pour objectif d'évaluer l'efficacité des activités informatiques ; l'audit du système d'information, qui a pour but de vérifier la contribution des ressources informatiques consommées à l'efficacité de l'entreprise ; l'audit qualité, dont l'objectif est de vérifier que les dispositifs d'assurance qualité garantissent un niveau de qualité satisfaisant. Pour répondre aux attentes du cadre légal relatif au contrôle interne, il est nécessaire d'assurer la cohérence et la complémentarité des différentes démarches d'audit, et notamment de veiller à la contribution de l'audit des différentes composantes du SI aux démarches de contrôle interne. L'AFAI a mis en évidence les principaux apports des domaines de l'audit des composantes du système d'information aux cinq autres démarches du contrôle interne. Relations entre audit des composantes du SI et démarches de contrôle interne 10/20

11 Démarches d'audit Stratégie informatique Fonction informatique Processus informatisés comptable x x interne x x x Analyse des risques x x x de sécurité x x qualité x x AFAI, Contrôle interne et système d'information, 2" édition, Ainsi, l'audit des composantes du système d'information, que sont la stratégie informatique, la fonction informatique et les processus informatisés, joue un rôle majeur au service du contrôle interne. Le contrôle des comptes des entités informatisées Le contrôle des comptes des entités informatisées peut être un contrôle légal effectué par un commissaire aux comptes ou un contrôle de nature contractuelle effectué par un expert-comptable. Le CAC et l'expert-comptable doivent prendre en compte l'évplution notoire des systèmes d'information comptable, qui sont de plus en plus automatisés et intégrés. Ici, nous n'étudierons que le contrôle externe légal effectué par un commissaire aux comptes. Le système d'information comptable (SIC) Le système d'information comptable est le système interface entre les systèmes opérants (achat, production, vente, investissement...) et le système de pilotage. Il recueille et traite les différentes informations de nature comptable et financière afin de les mettre à la disposition du système de pilotage (dit aussi «système de décision»). Les SIC sont de plus en plus intégrés. L'intégration vise à regrouper dans un système unique les différents systèmes comptables et de gestion de l'entreprise, et à assurer la production d'une information fiable, actuelle, non redondante et homogène. Il existe différents niveaux d'intégration des SIC : la comptabilité autonome, la comptabilité semi-intégrée et la comptabilité intégrée. La comptabilité autonome Cette architecture est caractéristique des petites entreprises dont l'informatisation est généralement centrée sur la mise en place d'un progiciel comptable. La comptabilité peut être considérée comme autonome du fait de l'existence d'un lien direct entre le fait juridique et l'écriture comptable. La comptabilité semi-intégrée Dans cette organisation qui caractérise généralement les entreprises de tailles moyenne et grande, la comptabilité est alimentée par des progiciels amont dédiés aux différents domaines fonctionnels de l'entreprise (achats, ventes, immobilisations, paie, etc.). Ces progiciels appartiennent souvent à la même gamme logicielle, ce qui facilite la génération automatique des écritures dans le progiciel de comptabilité grâce aux fonctionnalités d'importation et d'exportation. La comptabilité intégrée Ce type d'organisation, propre aux grandes entreprises, se caractérise souvent par une saisie unique de l'information dans une base de données commune à plusieurs modules couvrant les différents domaines fonctionnels de l'entreprise. Les processus sont généralement très informatisés et supportés par des progiciels de gestion intégrée. La prise en compte de l'environnement informatique lors de l'audit légal des comptes La prise en compte de l'environnement informatique lors de l'audit des comptes par les commissaires aux comptes ne doit pas être confondue avec l'audit informatique d'un système d'information confié généralement à des experts spécialisés. L'audit des comptes mené par un CAC est un audit externe nommé «audit légal des comptes», Depuis 2000, le CAC doit, dans le cadre de sa mission, prendre en considération le système 11/20

12 d'information ainsi que le stipule la norme CNCC relative à l'audit réalisé dans un environnement informatique (voir encadré ci-dessous). Encadré Extrait de la norme CNCC relative à l'audit réalisé dans un environnement informatique La norme CNCC rappelle les principes fondamentaux suivants : l'existence d'un environnement informatique ne modifie pas l'objectif et l'étendue de la mission du commissaire aux comptes ; l'utilisation d'un ordinateur modifie la saisie et le processus de traitement et de conservation des données, et en conséquence peut avoir une incidence sur les systèmes comptable et de contrôle interne de l'entité ; un environnement informatique peut ainsi avoir une incidence sur la démarche du commissaire aux comptes lors de : la prise de connaissance des systèmes comptable et de contrôle interne, la prise en compte du risque inhérent et du risque lié au contrôle, la mise en œuvre des procédures d'audit. La nature des risques dans un environnement informatique est liée aux spécificités suivantes : le manque de trace matérielle justifiant les opérations, qui entraîne un risque plus important de non-détection des erreurs contenues dans les programmes d'application ou les logiciels d'exploitation ; l'uniformité du traitement des opérations, qui permet d'éliminer quasiment toutes les erreurs humaines ; en revanche, les erreurs de programmation peuvent entraîner un traitement incorrect de toutes les opérations ; la séparation insuffisante des tâches qui résultent souvent de la centralisation des contrôles ; le risque d'erreurs et d'irrégularités, qui peut provenir : d'erreurs humaines dans la conception, la maintenance et la mise en œuvre plus importantes que dans un système manuel, d'utilisateurs non autorisés qui accèdent, modifient, suppriment des données sans trace visible. Par ailleurs, la possibilité de détection de ces erreurs et irrégularités est affectée par le fait qu'elles sont souvent intégrées lors de la conception ou de la modification de programmes d'application ou de logiciels d'exploitation, et sont aussi difficilement identifiables dans le temps. En résumé, les risques en milieu informatisé peuvent résulter de défaillances dans les activités informatiques générales, telles que : le développement et la maintenance des programmes ; l'exploitation du système ; les traitements particuliers ; la sécurité physique ; les contrôles d'accès pour les utilisateurs privilégiés. Le CAC ne peut ignorer ni les incidences des technologies de l'information, ni les possibilités que ces technologies représentent dans l'accomplissement de sa mission. Si le CAC ne dispose pas des compétences informatiques nécessaires, la norme précise qu'il «détermine si des compétences informatiques particulières sont nécessaires pour réaliser la mission». Si tel est le cas, il se fait assister par un professionnel possédant ces compétences. Il peut être un collaborateur ou un spécialiste externe. Le risque d'audit Selon les normes professionnelles ISACA, le risque d'audit est composé du risque inhérent, du risque de contrôle et du risque de (non-) détection Les composantes du risque d'audit Risque Description 12/20

13 Risque inhérent Risque de contrôle C'est un risque indépendant de la mission d'audit, qui apparaît en fonction de la nature de l'entreprise, c'està-dire de son environnement, marché, et catégorie, mais aussi de la culture d'entreprise et du style de management qui lui est propre. C'est le risque qu'une erreur significative existe sans être prévenue ou détectée à temps par le système de contrôle interne. C'est le risque qu'un auditeur utilise une procédure de test inadéquate et conclut qu'il n'y a pas d'erreurs alors qu'en réalité, il y en a. Risque de (non-) détection Par exemple, le risque de non-détection de failles de sécurité dans un SI doit être considéré comme élevé car l'exhaustivité en ce domaine peut difficilement être atteinte. À l'opposé, le risque de non-détection lié à l'absence de plan de secours informatique est généralement bas car la documentation de ces plans existe ou n'existe pas, ce qui peut être très facilement vérifié. Risque d'audit C'est la combinaison des catégories individuelles des risques évaluée pour chaque objectif spécifique de contrôle. L'auditeur fera en sorte que le risque d'audit soit limité à un niveau suffisamment bas sur le domaine audité. Pour ce faire, il déploiera une approche d'audit en conséquence. L'opinion du CAC sur les comptes nécessite qu'il obtienne l'assurance que les comptes ne comportent pas d'anomalies significatives. Cette assurance doit être la plus élevée possible mais non absolue en raison des limites propres aux missions d'audit. On parlera alors d' «assurance raisonnable» sur les comptes. À cet effet, il convient de réduire le risque d'audit. Le risque d'audit comprend deux composantes : le risque d'anomalies significatives dans les comptes et le risque de non-détection de ces anomalies par le commissaire aux comptes. Le risque d'anomalies significatives dans les comptes est propre à l'entité auditée ; il existe indépendamment de l'audit des comptes pratiqué. Il se subdivise en risque inhérent et risque lié au contrôle. Les normes d'exercice professionnel homologuées et code de déontologie de la CNCC (4 décembre 2008) définissent ainsi ces risques : «Le risque inhérent correspond à la possibilité que, sans tenir compte du contrôle interne qui pourrait exister dans l'entité, une anomalie significative se produise dans les comptes. Le risque lié au contrôle correspond au risque qu'une anomalie significative ne soit ni prévenue ni détectée par le contrôle interne de l'entité et donc non corrigée en temps voulu. Le risque de non-détection est propre à la mission d'audit : il correspond au risque que le commissaire aux comptes ne parvienne pas à détecter une anomalie significative» Exemples Incidence sur le risque inhérent Selon les modalités d'achat ou de développement des applications informatiques d'une entité, l'incidence sur le risque inhérent est : élevée si les achats ou les développements sont lancés consécutivement à des incidents majeurs ; modérée si les achats ou les développements sont effectués selon un plan prédéfini selon des critères financiers et non pas techniques ; faible si les achats ou les développements sont réalisés selon un plan préétabli tenant compte des besoins des utilisateurs et des critères techniques tels que l'indisponibilité des solutions existantes, les temps de réponse, etc. Incidence sur le risque lié au contrôle Selon la qualité des interfaces reliant les applications d'un système d'information d'une entité, l'incidence sur le risque lié au contrôle est : élevée si les interfaces sont manuelles (risque de non-exhaustivité ou de double imputation) ; élevée si les interfaces automatiques sont récemment introduites dans le SI sans édition et conservation des états d'anomalie lors des transferts des informations entre applications ; modérée si les états d'anomalies des interfaces sont conservés en vue d'une correction ultérieure. Si les modifications sont réalisées trop tardivement, elles risquent d'être imputées 13/20

14 sur l'exercice suivant, ce qui peut conduire au non-respect du principe d'indépendance des exercices ; faible si les interfaces automatiques sont éprouvées et les états d'anomalies régulièrement contrôlés par un acteur responsable qui en assure par ailleurs la conservation. Le risque le plus important pour le commissaire aux comptes est le risque de nondétection. Lorsque le CAC apprécie le risque d'anomalies significatives (risque inhérent et risque lié au contrôle) à un niveau élevé, il met alors en œuvre des procédures d'audit complémentaires. La démarche d'audit du CNCC Les spécificités de l'environnement informatique sont prises en compte dans les principales normes au cœur de la démarche d'audit proposée par la CNCC, à savoir la connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives dans les comptes (NEP 315), et les procédures d'audit mises en œuvre à l'issue de l'évaluation des risques (NEP 330). La NEP 315 stipule que lors de la prise de connaissance des éléments du contrôle interne pertinents pour l'audit, le commissaire aux comptes doit prendre notamment connaissance du système d'information relatif à l'élaboration de l'information financière. À ce titre, le CAC s'intéresse notamment : «aux catégories d'opérations ayant un caractère significatif pour les comptes pris dans leur ensemble ; aux procédures, informatisées ou manuelles, qui permettent d'initier, enregistrer, traiter ces opérations et de les traduire dans les comptes ; aux enregistrements comptables correspondants, aussi bien informatisés que manuels ; à la façon dont sont traités les événements ponctuels, différents des opérations récurrentes, susceptibles d'engendrer un risque d'anomalies significatives ; au processus d'élaboration des comptes, y compris des estimations comptables significatives et des informations significatives fournies dans l'annexe des comptes» (Normes d'exercice professionnel homologuées et code de déontologie, CNCC 4 décembre 2008). Ces différents points sont pris en compte dès la planification de l'audit (NEP 300) qui est formalisée, d'une part, dans un plan de mission qui décrit la nature et l'étendue des contrôles à mettre en œuvre, d'autre part dans un programme de travail. La prise en compte du SI dès le début de la démarche d'audit est importante pour le bon déroulement de la mission. Elle conduit le CAC à apprécier : la stratégie informatique ; 14/20

15 la fonction informatique et son importance dans l'entreprise en vue de déterminer l'impact de l'informatique sur la production des informations comptables et financières ; le pilotage du système d'information ; les principales applications et l'architecture mises en œuvre ; la gestion de la sécurité informatique ; les projets clés ; les contraintes légales et réglementaires à respecter. La prise de connaissance de l'environnement informatique de l'entité permet au CAC de constituer un «dossier permanent» servant de base pour capitaliser des connaissances du cadre de référence pour la conduite des missions futures. Le CAC apprécie l'impact de l'environnement informatique sur le risque inhérent et le risque lié au contrôle afin d'évaluer le risque d'anomalies significatives dans les comptes. Cette étape de la mission comprend donc : l'incidence de l'environnement informatique sur le risque inhérent. Elle s'apprécie au regard des éléments suivants : la conception et l'acquisition des solutions informatiques, la distribution et le support informatique, la gestion de la sécurité et la gestion des projets informatiques. L'environnement informatique d'une entreprise peut entraîner un risque inhérent élevé et avoir une conséquence à terme sur la continuité d'exploitation. Une entreprise spécialisée dans l'e-commerce est fortement dépendante de son informatique. Elle peut voir remise en cause son activité en cas de défaillance majeure survenant dans son système d'information. l'incidence de l'environnement informatique sur le risque lié au contrôle. Elle s'apprécie par l'étude des processus et des applications jouant un rôle significatif dans la production des comptes de l'entreprise. L'identification des contrôles à réaliser dépend des résultats obtenus dans la phase «Orientation et planification de la mission» et l'étape «Incidence de l'environnement informatique sur le risque inhérent». l'étude des interfaces peut mettre en évidence un risque élevé en termes d'exhaustivité de l'information comptable. Des contrôles substantifs seront alors nécessaires dans la phase «Obtention d'éléments probants» pour quantifier les données non prises en compte en comptabilité et demander à l'entreprise de passer des écritures correctrices. La première année du mandat, la prise en compte de l'environnement informatique est très consommatrice en temps mais les années suivantes, sous réserve qu'aucune modification majeure ne vienne impacter le SI, le poids relatif de ces travaux sera en nette diminution. Selon la NEP 330, lorsqu'il a pris connaissance de l'entité et évalué le risque d'anomalies significatives dans les comptes, le commissaire aux comptes adapte son approche générale et conçoit et met en œuvre des procédures d'audit qui lui serviront de base pour se forger une opinion sur les comptes. Il détermine alors les contrôles de substance à mener lorsqu'il a déterminé un risque inhérent élevé. Le CAC peut appliquer des procédures d'audit manuelles, des techniques assistées par ordinateur ou combiner les deux pour rassembler suffisamment d'éléments probants. Anomalies liées aux contrôles applicatifs, identifiées lors de l'évaluation des systèmes comptable et de contrôle interne, qui pourraient avoir une incidence sur l'opinion du CAC Opérations comptables ou montants significatifs non transmis par une interface entre une application de gestion commerciale et un progiciel de comptabilité. Identification d'une anomalie significative lors de l'analyse d'un fichier informatique issu d'un PGI (dépréciation calculée à partir d'une base erronée, erreur de valorisation des stocks d'encours de production, etc.). Absence ou erreur dans la mise à jour du référentiel de l'application de paie ou du module de paie d'un PGI. Contrôle interne déficient ou absent, au sein d'une application qui gère un processus majeur de l'entreprise ou d'un PGI qui supporte les processus critiques d'une entité. 15/20

16 Mise en évidence d'irrégularités ou d'inexactitudes dans la comptabilisation des achats. Les supports opérationnels Les supports opérationnels sont des modèles de feuilles de travail permettant de mettre en œuvre la méthodologie. orientation et planification de la mission : prise de connaissance de l informatique dans l entreprise : modèle de tableau permettant de déterminer l incidence sur la fiabilité du système d information, de la stratégie informatique, de la fonction informatique, de l importance de l informatique dans l entreprise, de la complexité du système d information, description du système d information de l entreprise : cartographies d applications et techniques, tableaux d inventaire correspondants, évaluation des risques et obtention d éléments probants : incidence de l environnement informatique sur le risque inhérent : modèle de tableau permettant de déterminer l incidence sur le risque inhérent de la conception et l acquisition des solutions informatiques, la distribution et le support informatique, la gestion de la sécurité, la gestion des projets informatiques, formalisation des processus : utilisez les MOT, diagramme d'activités UML ou le BPMN ; incidence de l environnement informatique sur le risque lié au contrôle : modèle de tableau permettant de déterminer l incidence sur le risque lié au contrôle de chaque processus, à partir des assertions sous-tendant l établissement des comptes, exemple de présentation schématique de la synthèse des risques. L'audit assisté par ordinateur Face au volume croissant des données et à la complexité des SIC utilisés par les entreprises, l'auditeur doit se doter d'outils pour automatiser les travaux d'audit pour : faciliter des contrôles non réalisables manuellement et obtenir une assurance renforcée ; permettre des contrôles exhaustifs sur de gros volumes de données pour disposer de résultats pertinents ; obtenir des niveaux d'analyse de données plus détaillés que ceux offerts par les outils utilisés par l'entité auditée. Les techniques d'audit assisté par ordinateur proposées peuvent être utilisées tant dans l'évaluation des risques et dans l'obtention d'éléments probants des missions d'audit légal des comptes que pour des missions contractuelles. Les étapes de l'audit assisté par ordinateur L'audit assisté par ordinateur débute parfois lors de l'évaluation des risques et essentiellement, lors de l'obtention d'éléments probants. Les étapes présentées ci-après sont relatives à la mise en œuvre des techniques d'audit assisté par ordinateur dans une mission d'audit légal, mais elles sont transposables à une mission contractuelle. Étape 1 - Récupération des fichiers informatiques Après la prise de connaissance de l'entité et de son environnement et la revue générale du système d'information, la conduite de la revue d'application permet d'évaluer : la conformité du paramétrage et des traitements applicatifs avec les règles de gestion arrêtées par l'entité et les règles légales en vigueur ; l'intégration ou l'interfaçage des applications ; l'efficacité des contrôles programmés par l'entité auditée permettant d'avoir une assurance satisfaisante sur l'exhaustivité, la réalité, l'intégrité, la confidentialité et la disponibilité des données traitées. Après ces activités, le CAC : identifie les risques ; 16/20

17 définit les données à exploiter (contenues dans des fichiers ou des bases de données) ; récupère les fichiers et les bases de données nécessaires à la réalisation des tests informatiques utiles à l'audit, dans un format et sur un support adaptés pour la récupération dans l'environnement informatique de l'auditeur. Compte tenu de la diversité des technologies et des formats existants ainsi que du volume des données, la récupération n'est pas aisée. Étape 2 - Validation des fichiers La validation des fichiers importés par l'auditeur nécessite de rapprocher ces fichiers avec la comptabilité de l'entité afin de s'assurer que les données récupérées n'ont subi aucune modification lors de l'extraction et de l'intégration dans l'environnement informatique de l'auditeur. Étape 3 - Réalisation des tests Une fois le contrôle des fichiers réalisé, les tests peuvent être lancés. Ils permettent à l'auditeur, d'une part, de confirmer, sur la base d'éléments tangibles, exhaustifs et incontestables, ses évaluations et, d'autre part, d'accéder à l'audit de systèmes complexes de traitement, non contrôlables sans le recours à des outils informatiques. En raison de leur importance, il est essentiel que les tests réalisés puissent être reproduits ultérieurement et que toutes les étapes intermédiaires soient sauvegardées. Il est recommandé que le logiciel de traitement des données génère un journal des tests effectués. Cette étape aboutit à la constitution d'un dossier contenant les résultats des tests. Ils peuvent prendre des formes variables en fonction des objectifs, de l'étendue des tests réalisés et de l'exploitation qui en sera faite. Étape 4 - Analyse et synthèse Cette dernière étape consiste à analyser et à interpréter les résultats des tests. Un rapport de synthèse est alors rédigé, décrivant notamment les tests réalisés et les recommandations qui en découlent. Les techniques d'audit assisté par ordinateur, TAAO (Computer Assisted Techniques, CAATs) Les techniques d'audit ponctuel L'audit assisté par ordinateur mobilise principalement des logiciels de traitement des données permettant l'interrogation de fichiers ou de bases de données et la réalisation de différents types de tests, dont les plus fréquemment utilisés en audit sont : les tests de totalisation ; les tests de calculs ; les tests de comparaison de fichiers ou de bases de données ; les tests d'analyse par stratification, qui permettent de détecter des anomalies ; les tests d'extraction, afin d'analyser des populations spécifiques sur des combinaisons de critères définis. Contrôles substantifs La vérification de calculs : calculs des dotations aux amortissements, du cumul des amortissements et de la valeur nette comptable à partir des données issues du logiciel de gestion des immobilisations pour vérifier la valeur brute, le cumul des amortissements et la valeur nette comptable des immobilisations en comptabilité. La comparaison de fichiers et l'extraction d'anomalies : comparaison des fichiers des coûts de revient et des prix de vente d'éléments en stock pour déterminer les dépréciations nécessaires. L'extraction de données contenues dans des fichiers ou des bases de données selon différents critères : valeurs monétaires supérieures au seuil de 5 000, écritures passées après la date du 28/02/N. Le tri des données contenues dans des fichiers ou des bases de données selon différents critères : ordre croissant des valeurs monétaires, écritures passées sur la période du 01/01 /N au 31/12/N. Ces différents types de tests contribuent à vérifier que les traitements des données dans les applications des entités auditées sont réalisés selon les règles comptables et fiscales en vigueur. L'auditeur dispose également d'un ensemble d'outils informatiques répondant à chacune des phases de la mission d'audit 17/20

18 Les outils informatiques dédiés à chaque phase de la mission d'audit Phase Étude préliminaire Conduite de mission Outils Outils de requêtes et collecte d'information, outils d'éditions, outils d'accès à Internet, etc. Outils de restitution Outils de gestion documentaire Outils de planification Outils de gestion de papier de travail Travail terrain Outils de détection d'anomalies, de fraudes, etc., basés sur l'analyse de données nombreuses ou des techniques d'échantillonnage Outils de calculs et de comparaisons pour réaliser des tests analytiques et statistiques Outils pour rechercher et croiser des informations Etc. Il existe également des outils plus spécialisés qui permettent de réaliser des tests d'audit en milieu informatisé, généralement à la disposition des auditeurs informatiques. Les outils informatiques dédiés aux tests d'audit en milieu informatisé Type de logiciel Description Générateur de données de tests Utilitaires standard Logiciel de gestion-de changement Préparation automatique de fichiers de tests Livrés avec les systèmes d'exploitation, pour extraction/ fusion de fichiers, tris de données, etc. Logiciel vérifiant l'intégrité et la pertinence des modifications des programmes L'ensemble des outils logiciels utilisables dans les phases d'audit constitue les CAATs (Computer Assisted Techniques). D'un audit ponctuel à un audit continu Les techniques d'audit assisté par ordinateur permettent d'envisager un glissement d'un audit ponctuel à un audit continu qui améliorerait la capacité des auditeurs internes et externes à répondre aux obligations relatives au contrôle interne étant donné qu'il comporte essentiellement les deux volets suivants : l'évaluation continue du contrôle, qui se focalise sur la détection au plus tôt des déficiences de contrôle ; l'évaluation continue des risques, qui met en lumière les processus ou les systèmes qui présentent un niveau de risque mal appréhendé par le système de contrôles permanents. Selon l'afi, «l'audit continu est une démarche d'audit caractérisée par l'usage intensif de CAATs, exercés avec une fréquence proportionnée aux événements ou risques à traiter». Plusieurs approches d'audit continu assisté par ordinateur existent 18/20

19 Les différentes approches d'audit continu assisté par ordinateur Approche Description SCARF (Systems Control Review File) et EAM (Embedded Modules) Consiste à introduire des logiciels d'audit écrits spécialement à l'intérieur du système d'applications de l'entreprise, de sorte que les systèmes applicatifs soient «pilotés» de manière sélective. SNAPSHOT AUDIT HOOKS ITF (Integrated Test Faci/ities) Consiste à prendre des images tout au long du «chemin de traitement» (processing path) suivi par une transaction. On enregistre les évolutions de données sélectionnées, pour une révision ultérieure pratiquée par l'auditeur. Parties de logiciels embarqués sur des systèmes applicatifs, pour fonctionner comme des drapeaux rouges. Ils doivent permettre à l'auditeur d'agir avant qu'une erreur ou une irrégularité ne soit allée trop loin. Cette technique consiste à introduire des entités fictives dans les fichiers de production. L'auditeur peut demander au système de travailler soit avec les programmes de production, soit avec les programmes de test, afin que les programmes mettent à jour les entités fictives. CIS (Continuous and Intermittent Simulation) Le système déclenche une simulation d'exécution d'instructions de l'application, afin de s'assurer de la fiabilité de la transaction. Le déclenchement est fait sur certains critères prédéterminés (montant ou autre). Sinon, le simulateur attend jusqu'à la prochaine transaction qui présentera les critères voulus. Les avantages de l'audit assisté par ordinateur Les logiciels de traitement des données sont des outils plus puissants que les outils bureautiques standard comme les tableurs, par exemple. Leur recours permet de traiter rapidement des volumes de données importants, ce qui est source de gains de productivité. De plus, à partir des données intégrées dans ces logiciels, il est possible de paramétrer des requêtes facilitant la recherche d'anomalies, les impacts de changement de méthodes comptables, etc. Des contrôles plus importants peuvent donc être conduits à partir de ces solutions, ce qui permet de fiabiliser les résultats obtenus et de limiter les risques liés aux missions d'audit. De plus, ces logiciels respectent des principes renforçant la qualité des travaux conduits comme l'intangibilité des données et la conservation des historiques. Les progiciels d'aide à la révision Si de nombreux CAC travaillent encore sur tableur, la profession s'appuie de plus en plus sur des progiciels spécialisés dans la révision et l'audit des comptes dont la portée des fonctionnalités est plus large que les logiciels de traitement des données étudiés. Différents progiciels sont disponibles sur le marché : Revis de la société Gest On Line, REVOR conçu par Norbert Lecomte, Expert- Comptable et Commissaire aux Comptes, etc. L'organisation des progiciels d'aide à la révision Les logiciels de révision et d'audit sont généralement structurés comme le progiciel Revis ( : «le dossier permanent est le point d'entrée du dossier client. Il contient toutes les informations générales et spécifiques du client telles que la liste des associés, des procèsverbaux, les conventions et contrats, les abonnements, etc. Il permet de créer et de consulter les dossiers annuels ; le dossier d'organisation (ou contrôle interne) permet d'apprécier l'organisation interne de l'entité par cycles, au travers de différents outils : un descriptif de l'entité, un questionnaire complet classé par assertions, un formulaire de répartition des tâches, un formulaire de tests de conformité. Les principales fonctions de l'entité contrôlée sont ainsi passées en revue avec les différentes fonctionnalités proposées ; le dossier de contrôle CAC permet de réaliser l'approche par les risques, de bâtir le plan de mission, de vérifier la régularité comptable et juridique, de faire la revue du dossier et de réaliser toute la partie «contrôles spécifiques» (contrôles de l'inventaire, de l'annexe, du rapport de gestion). L'auditeur s'appuie sur les fonctionnalités proposées qui permettent de s'assurer qu'aucun élément n'a été oublié. L'outil informatique le renseigne également sur l'avancement de la mission ; 19/20

20 le dossier général (dossier annuel) permet de visualiser la balance N/N-1 importée du système d'information du client ou du logiciel de comptabilité du cabinet. Il stocke, en plus de la balance : le journal d'od, le bilan et le compte de résultat, les soldes intermédiaires de gestion, les principaux ratios, etc. ; le dossier de révision comporte des feuilles de révision préformatées, en liaison avec la balance et le journal d'od, qui permettent de réaliser une révision dynamique et exhaustive. Chaque cycle du dossier de révision présente un programme de travail propre au cycle, une feuille présentant l'ensemble des comptes retrouvés dans le cycle ainsi que de nombreuses feuilles nécessaires à la révision du cycle. La majorité des feuilles dispose d'un assistant de travail, qui permet, entre autres choses : d'effectuer des extractions de compte ou d'écritures spécifiques, d'automatiser certains calculs, de récupérer les feuilles N-1, le contrôle des stocks, le contrôle des payes, etc.» Toutefois, l'organisation des logiciels de révision et d'audit peut différer, mais des fonctionnalités identiques sont proposées. Les avantages des progiciels d'aide à la révision Les logiciels de révision et d'audit présentent de nombreux avantages. Ils permettent notamment une standardisation et une rationalisation des missions de révision par une automatisation des tâches répétitives et un pré-paramétrage des documents de travail (feuilles de travail). Les feuilles de travail peuvent ensuite être adaptées au contexte et être dupliquées pour les exercices suivants ou pour des missions conduites dans d'autres entités présentant les mêmes caractéristiques. De plus, les logiciels d'aide à la révision permettent l'intégration par import des dossiers clients, ce qui limite la ressaisie et les risques d'erreurs. Ils facilitent également le suivi des dossiers et des missions par la définition des collaborateurs intervenant sur les dossiers et les tâches de la mission. Leurs fonctionnalités favorisent ainsi un travail collaboratif et une gestion des compétences des collaborateurs pour accroître la productivité au sein du cabinet comptable. Les progiciels d'aide à la révision offrent, à travers une solution unique, tant la possibilité de conduire des missions d'expertise comptable que des missions de commissariat aux comptes. Ainsi, les collaborateurs évoluent dans un environnement informatique cohérent où les difficultés d'apprentissage sont moindres, ce qui favorise également des gains de productivité. De plus, ces solutions permettent de redéfinir les postes de travail intégrant un enrichissement des tâches et une approche collaborative. Ces solutions intègrent également la dématérialisation des pièces des dossiers, ce qui permet le partage de documents entre différents collaborateurs, réduit les problèmes de stockage des dossiers et d'archivage sur de longues périodes. L'archivage sous forme numérique permet également, au travers de la GED (gestion électronique de documents), de faciliter et d'accélérer les travaux de recherche d'informations. La dématérialisation favorise également le nomadisme afin de poursuivre les travaux d'audit au sein des entreprises auditées, par exemple. 20/20