Maîtrise Universitaire en Comptabilité, Contrôle et Finance Audit des systèmes d information Partie 5: Audit d une application informatique Emanuel Campos - version 2015
Les présentations personnelles (suite) Un sujet est traité pendant 15 minutes par un groupe de 4 personnes Si la note de l oral final est moins bonne, la présentation comptera pour 1/2 de la note finale 28 avril 2015 Audit d une application informatique Votre client vous informe avoir automatisé son inventaire. Vous voulez utiliser le journal de valorisation de l'inventaire dans le cadre de votre prochain audit comptable. 1. Exposez votre démarche, les difficultés que vous allez rencontrer, et les points décisifs qui vous permettent d'utiliser la valorisation informatique de l'inventaire. 2. A quels nouveaux risques s expose votre client? 3. A quels nouveau risques êtes vous exposé en tant qu auditeur? MCCF 2015 E. Campos partie 5 2
Littérature MCCF 2015 E. Campos partie 5 3
Aspects informatiques de la révision Introduction 1. Analyse du bilan et du compte de résultat 2. Identification des processus opérationnels et flux de données 3. Identification des applications et des interfaces clés 4. Identification des risques et des contrôles clés 5. Test de cheminement 6. Evaluation de la conception du contrôle 7. Evaluation du fonctionnement du contrôle 8. Appréciation globale MCCF 2015 E. Campos partie 5 4 4
0. Introduction Approche d'audit orientée sur les risques : Manuel suisse d'audit 4 étapes d'audit principales Evaluation du risque fait partie de la planification de l'audit est réalisée le plus souvent par l'auditeur MCCF 2015 E. Campos partie 5 5
0. Introduction Identification du risque La fiabilité de l'ensemble du système de contrôle repose sur l'identification correcte des risques Analyse des risques Système de contrôle interne Risque inhérent Description des risques et des sources à prendre en compte Objectifs de contrôle Assertions dans les états financiers Contrôles prévus Description des contrôles, types de contrôle préventifs / détectifs, manuels / automatiques, responsabilités, etc. Pertinence Evaluation sur la base d'une analyse Efficacité Evaluation sur la base de tests MCCF 2015 E. Campos partie 5 6
0. Introduction Délimitation de l approche de contrôle : MCCF 2015 E. Campos partie 5 7
I. Analyse du bilan et du compte de résultat Principaux comptes Définition des objectifs Définition des positions du bilan et du compte de résultats pertinentes pour l'audit Identification des transactions (opérations commerciales) ou des classes de transactions à l'origine de ces positions MCCF 2015 E. Campos partie 5 8
II. Identification des processus opérationnels et flux de données Documentation : Sous forme de tableau : Solution adaptée à des éléments comptables et interactions simples Sous forme de modèle de processus : Solution adaptée à des interactions complexes Sous forme de flux de données : Solution adaptée à l'analyse effective d'interactions complexes MCCF 2015 E. Campos partie 5 9
II. Identification des processus opérationnels et flux de données Enoncé de la NAS NAS 401) L'impact de l'informatique sur l'analyse des risques dans la phase de planification d'un audit peut être très élevé. L'objectif et le champ d'un audit ne changent pas dans un environnement IT. Le recours aux technologies de l'information et des technologies modifie cependant le traitement, l'enregistrement et la communication d'informations financières et peut avoir un impact sur le système comptable et le contrôle interne de l'entreprise. La NAS 400 «Evaluation du risque et contrôle interne» donne à l'auditeur pour mission d'évaluer les risques inhérents ainsi que les risques de contrôle relatifs à tous les points importants des états financiers. Les risques inhérents et les risques de contrôle de l'environnement IT peuvent avoir une influence diffuse et spécifique sur un état financier et la probabilité d'écarts significatifs... MCCF 2015 E. Campos partie 5 10
III. Identification des applications et interfaces clés Etablissement des applications clés : MCCF 2015 E. Campos partie 5 11
III. Identification des applications et interfaces clés 2 méthodes pour se doter d un applicatif Comparatif des méthodes: Logiciel standard! Fonctions! Coûts! Maintenance Développement! Besoins! Budget! Communication interne! Tests MCCF 2015 E. Campos partie 5 12
III. Identification des applications et interfaces clés 2 méthodes pour se doter d un applicatif Lien avec l approche audit: Logiciel standard! Certification! Paramètres! Interfaces! Développements spéciaux! Droits d accès Développement! Analyse! Programmation! Tests! Droits d accès MCCF 2015 E. Campos partie 5 13
III. Identification des applications et interfaces clés Applications standard :! Les applications standard constituent (aussi) un défi (surtout lorsqu'il s'agit d'applications fortement adaptées)! Les éléments suivants doivent ainsi être pris en compte : " Maturité de la version logicielle " Degré de paramétrisation " Résultats d'audit antérieurs " Forum Internet " Documentation relative à la release MCCF 2015 E. Campos partie 5 14
III. Identification des applications et interfaces clés - Objectif non maitrisé MCCF 2015 E. Campos partie 5 15
III. Identification des applications et interfaces clés Développements internes :! Les applications développées en interne exigent un travail de vérification (beaucoup plus) important.! Pour des raisons d'efficacité, et dans la mesure du possible, l'audit doit s'appuyer sur des tests réalisés et documentés au sein de l'entreprise. " Si les tests correspondants n'existent pas ou ne sont pas pertinents (documentation de test lacunaires, traitement des erreurs non adapté, absence de prise en main formelle par les utilisateurs, etc.), l'auditeur doit réaliser lui-même les tests nécessaires à sa vérification. MCCF 2015 E. Campos partie 5 16
IV. Identification des risques et des contrôles clés Risques et contrôles clés Définition des objectifs :! Délimiter l'univers du contrôle évalué et vérifié dans les étapes suivantes.! Constater quels contrôles clés atténuent les risques pertinents (scénarios de dommages)! Analyser l'impact sur les montants déclarés dans les états financiers MCCF 2015 E. Campos partie 5 17
V. Test de cheminement Contenu et objectifs :! Exécution et documentation des processus / types de transactions pertinentes! Sert à vérifier la compréhension du processus concerné et à confirmer l'analyse précédente Contexte! Vérification des processus et du traitement! Estimation de la consistance / pertinence de la documentation et des diagrammes disponibles! Confirmation de l'existence des contrôles pertinents MCCF 2015 E. Campos partie 5 18 18
V. Test de cheminement Profondeur / degré de détail La profondeur et le degré de détail du test de cheminement dépend de l'intention de l'auditeur de s'appuyer ou non sur le système de contrôle existant.. Analyse et évaluation détaillées du fonctionnement des contrôles afin de savoir s'ils couvrent effectivement les risques existants. ou non Le test de cheminement doit dans ce cas garantir que l'auditeur comprend tous les risques financiers significatifs pouvant résulter du processus. Sur la base des risques identifiés, il déduira/adaptera ses procédures d'audit orientées résultat. MCCF 2015 E. Campos partie 5 19
V. Test de cheminement Indications relatives à l'audit des contrôles d'applications Catégories de contrôles applicatifs Entrée Vérification Confirmation Traitement Interfaces (Entrée) Autorisation Contrôles programmés Contrôles configurables A vérifier via le test de cheminement ¹ ¹ ¹ ¹ Vérification / évaluation de l'autorisation ² Vérification / examen ¹ ¹ ¹ ¹ A vérifier via le test de cheminement ¹ ¹ ¹ ¹ Vérification / évaluation de l'autorisation ² ¹ Le plus souvent, un «test of one» réalisé dans le cadre du test de cheminement suffit ici ² Il est nécessaire de vérifier ici un nombre représentatif d'utilisateurs MCCF 2015 E. Campos partie 5 20
VI. Evaluation de la conception du contrôle Contenu et objectifs :! Les risques identifiés sont-ils entièrement couverts?! Les objectifs de contrôle peuvent-ils être atteints par les contrôles mis en place?! Les contrôles sont-ils efficaces et efficients?! D'autres contrôles (supérieurs ou une combinaison de contrôles) sont-ils éventuellement plus efficaces/efficients?! Identification de lacunes, de chevauchements et de doublons en matière de contrôles! Prévention de contrôles onéreux (services techniques) et de tâches de vérification de l'efficacité (auditeur)! Amélioration éventuelle des résultats au niveau de l'efficience et de l'efficacité grâce à l'utilisation ou l'adaptation d'autres contrôles MCCF 2015 E. Campos partie 5 21
VI. Evaluation de la conception du contrôle Cadres/champ " Evaluation de l'adéquation de la conception du contrôle en prenant en compte l'ensemble des opérations et contrôles importants. Cadres et objet (suite) Objet " Evaluation globale de l'adéquation du système de contrôle intégral: Qualité adéquate avec le moins d'utilisation possible " Dérivation et constatation d'une stratégie d'audit adaptée liée à l'évaluation des contrôles resp. du système de contrôle employés MCCF 2015 E. Campos partie 5 22
VII. Evaluation du fonctionnement du contrôle Définition des objectifs : Donner une opinion sur le système de contrôle interne L'évaluation de l'efficacité d'un contrôle permet de déterminer : " si le contrôle fonctionne comme prévu " s'il a été effectivement réalisé " s'il a été effectué entièrement " s'il a été exécuté par une personne qualifiée et autorisée MCCF 2015 E. Campos partie 5 23
VII. Evaluation du fonctionnement du contrôle Stratégies d'audit dans le cadre des contrôles applicatifs Test unique (Test of One) Test direct Baselining / Benchmarking Data analysis MCCF 2015 E. Campos partie 5 24
VIII. Appréciation globale Définition des objectifs : Les résultats des différentes étapes de l'audit sont évalués et synthétisés dans une appréciation globale en fonction de leur influence sur les rapports financiers. L'auditeur émet une opinion sur l'adéquation du système de contrôle interne et sa capacité à éviter des erreurs majeures dans les états financiers, avec un niveau d'assurance raisonnable. MCCF 2015 E. Campos partie 5 25
VIII. Appréciation globale Déduction de l'appréciation globale : dans quelle mesure l'application contrôlée supporte le processus métier (conception des contrôles, fonctionnement des contrôles) présence de lacunes significatives de contrôle dans l'application l'impact des lacunes de contrôle sur les traitements de l'application et sur le processus global ainsi que sur les assertions s'y rapportant dans les états financiers la présence, dans le processus métier, de contrôles qui compensent l'impact d'éventuelles faiblesses de contrôle dans l'application nécessite la vérifications de contrôle et de procédures d'audit orientées résultat supplémentaires. MCCF 2015 E. Campos partie 5 26
VIII. Appréciation globale Principe : Lorsque les faiblesses des contrôles applicatifs peuvent influencer significativement l'exactitude des assertions dans les états financiers, et que ce risque ne peut pas être compensé par d'autres contrôles (p. ex. des contrôles manuels détectifs), l'impact de ces faiblesses sur le rapport annuel doit être évalué. MCCF 2015 E. Campos partie 5 27
VIII. Appréciation globale Critères d'évaluation : 1. S'agit-il d'un fait qui affecte l'état financier? 2. S'agit-il d'une violation de la loi ou des statuts? 3. S'agit-il d'un élément qui affecte l'opinion d'audit? Lors de l'évaluation de l'impact sur l'opinion d'audit, l'auditeur évalue la possibilité de couvrir l'impact possible des contrôles inopérants par des procédures d'audit substantives. MCCF 2015 E. Campos partie 5 28
VIII. Appréciation globale Présentation de l'information : L'auditeur établit à l'intention de la direction, outre son opinion d'audit, une synthèse de la situation des risques au niveau des processus et des applications contrôlés. MCCF 2015 E. Campos partie 5 29
VIII. Appréciation globale Conséquences de contrôles inefficaces sur le programme d'audit et notamment sur la taille de l'échantillon (sample) lors de procédures d'audit substantives IR Inherent Risk Control Risk at Entity Level Control Risk at Transaction Level CRA Combined Risk Assessment Les contrôles inefficaces augmentent le risque de contrôle et influencent ainsi le Combined Risk Assessment, ce qui peut conduire à des échantillons considérablement plus grands lors de procédures d'audit substantives. CR Audit Program Substantive Audit procedures Data Analysis Regulatory procedures MCCF 2015 E. Campos partie 5 30
Annexes MCCF 2015 E. Campos partie 5 31
VIII. Appréciation globale Rapport avec le SCI et la loi SOX Evaluation du SCI conformément à la NAS 890, à la loi SOX 404 et pour l'audit : Dans le cadre de la vérification de l'existence du SCI suivant la NAS 890, l'auditeur peut effectuer les révisions des étapes 1 à 6, qui sont nécessaires pour confirmer l'existence du SCI requise par la loi. A cet effet, l'opinion est effective au jour de clôture. Aux étapes 7 et 8, l'auditeur obtient la preuve de l'efficacité des contrôles considérés sur toute la période d'audit et peut suivre une stratégie d'audit basée sur les contrôles. MCCF 2015 E. Campos partie 5 32
VIII. Appréciation globale Rapport avec le SCI et la loi SOX (suite) Evaluation du SCI conformément à la NAS 890, à la loi SOX 404 et pour l'audit : Conformément au droit suisse, il n'est pas tenu de le faire sur l'ensemble du SCI, mais il peut décider dans sa stratégie d'audit dans quels domaines il souhaite tester le fonctionnement des contrôles et ainsi suivre une stratégie d'audit basée sur les contrôles, et pour quels domaines il choisit une stratégie d'audit orientée résultat. Dans le cadre d'une évaluation selon SOX 404, l'auditeur doit exécuter l'ensemble des étapes (design assessment et operational testing), mais émet une opinion au jour de clôture. Ainsi, des corrections (y c. nouveau design assessment et operational testing) sont possibles avant la fin de l'exercice. MCCF 2015 E. Campos partie 5 33