Audit réalisé dans un milieu informatiquekhalid.najeddine.free.fr/cours/RAPPORT DE STAGE/Audit...

5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003

Audit réalisé dans un milieu informatique

Animateurs:

Michèle CARTIER LE GUERINEL

Emmanuel LAYOT

Audit réalisé dans un milieu informatique

AnimateursAnimateurs: :

MichèleMichèle CARTIER LE GUERINEL CARTIER LE GUERINEL

Emmanuel LAYOT Emmanuel LAYOT


Ordre du jourOrdre du jourPrise en compte de l’environnement informatique et incidence sur la démarche d’audit– Problématique– Systèmes d’informations et risques associés– La démarche d’audit en environnement informatique– Mise en œuvre de la démarche (outils)

• ORT• Audit sécurité• Analyse de données• Sécurité et dématérialisation des échanges • Gestion Electronique de Documents (GED) et archivage

Services d'assistance informatique CNCC Qualité


Prise en compte de l ’environnement informatique et incidence sur la démarche d ’audit : problématique


Une dématérialisation croissante de l’environnement de l’entreprise : l’audit traditionnel par contrôle sur pièces n’est pas toujours possible et adapté en termes de pertinence des résultats obtenus

L’obligation de prendre en compte des risques nouveaux liés aux applications intégrées (progiciels, intranet, internet, portails d ’entreprise…)

L’utilisation d ’une méthodologie pour pouvoir mener à bien ces nouveaux contrôles, en cohérence avec le budget de la mission

La possibilité d’apporter davantage de valeur ajoutée au client en émettant des recommandations satisfaisant ses préoccupations :

– fiabilité de son système d ’information– maîtrise de ses risques juridiques et techniques




L’environnement informatique ne modifie en rien la finalité de la mission de certification des comptes, …mais la prise en compte du degré informatique de la société auditée a une incidence sur la démarche d’audit

Pourquoi ? : l’utilisation d’un ordinateur modifie la saisie et le processus de traitement et de conservation des données et en conséquence peut avoir une incidence sur les systèmes comptable et de contrôle interne de l’entité

Comment ? : l’environnement informatique peut contenir des erreurs ou anomalies, à chaque niveau du système :

– Saisie – Traitement– Conservation

A quels niveaux en tenir compte dans la démarche d’audit ? – La prise de connaissance des systèmes comptable et de contrôle interne– La prise en compte du risque inhérent et du risque lié au contrôle– La mise en œuvre des procédures d’audit


Systèmes d’informationset risques associés

Systèmes d’informationset risques associés

Système comptable et financier

Support Informatique(exploitation,

maintenance, …)

Applications de gestion (gestion commerciale, stocks, GPAO,

réservation de billets…)

Comptes annuels

•Erreurs d’imputation, oublis, doublons au niveau des saisies utilisateurs •Anomalies dans les traitements / programmes•Paramétrage incomplet ou erroné•Habilitations non définies (non séparation de fonctions)•…

•Mauvaise conception des programmes•Dépendance vis-à-vis de la sous-traitance informatique•Faiblesses dans la sécurité physique et logique (piratage)•Sauvegarde des données (archivage fiscal, CNIL)•Assurance RCP ne couvrant pas les risques informatiques

•Dysfonctionnement des interfaces•Erreurs de rattachement de période•Modification directe dans l’application comptable sans répercussion automatique dans les applications de gestion


La démarche d’audit en environnement informatiqueLa démarche d’audit en environnement informatique

Phase 1Orientation et planification

de la mission 1.1 Prise de connaissance de l’informatique dans l’entrepriseAppréciation de l’importance de l’informatique dans l’entreprise et de son impact dans l’élaboration des comptes.

1.2 Description du système d’information de l ’entrepriseIdentification des principales composantes du système d’information et de son niveau de complexité.

Phase 2Evaluation des risques

Phase 3Obtention d ’éléments

probants 2.1 Incidence sur le risque inhérentIncidence de la fonction informatique (conception/achat, exploitation, sécurité et maintenance informatique), transverse aux activités de l’entreprise, sur le risque inhérent2.2 Incidence sur le risque lié au contrôleIncidence des applications informatiques (jouant un rôle important dans le processus d’élaboration des comptes) sur le risque lié au contrôle.

3.1 Méthodes de mise en œuvre des procédures d ’auditDétermination du caractère suffisant et approprié des éléments probants obtenus et lien avec l’opinion sur les comptes.

3.2 Lien avec les obligations légales du commissaire aux comptesEmission de l’opinion sur les comptes, information des dirigeants ou de l’organe de direction.

Techniques d ’audit assistées par ordinateur

1.3 Prise en compte de l’informatique dans le plan de mission

2.3 Synthèse de l’évaluation des risques


Mise en œuvre de la méthodologie : outils disponibles

Mise en œuvre de la méthodologie : outils disponibles

Documentation CNCC– Guide d’application « Prise en compte de l’environnement informatique et incidence sur la

démarche d’audit » : modèles de dossiers de travail à télécharger en version word, moteur de recherche, exemples, étude de cas corrigée

– Fiches PGI– Normes professionnelles, guides sectoriels, INFOCOM etc

Formation CNCC : – CD-ROM auto-formation– Formations « Technologies de l’information » : actuel informatique, excel, comment utiliser les

fichiers de l’entreprise, CAC dans les TPE/PME (directeur de mission), ACL Service d’assistance informatique CNCC QualitéLogiciels d’aide à l’audit : MCC, AuditsoftLogiciels d’analyse de données : tableurs, IDEA, ACLLogiciels de formalisation de processus : word, excel, powerpoint, visio, aris, …Outils de gestion électronique de document (GED) / archivage des donnéesBases de données externes à la profession : ORT (suivi personnalisé mandats), INFOGREFFES (KBIS), DIANE, SOPHIE (COB), SOCIETES.COM


Guide d ’application « Prise en compte de l ’environnement informatique et

incidence sur la démarche d ’audit »

Guide d ’application « Prise en compte de l ’environnement informatique et

incidence sur la démarche d ’audit »

PAPIER CD-ROM EN LIGNE SUR EXTRANET

www.crcc.com.fr

Le guide 2-302 est disponible sous 3 supports

Démonstration des supports opérationnels à partir du CD-ROM


Mise en œuvre de la méthodologie : Phase 1


Eléments Description Incidence sur la fiabilité du système d'information

Faible Modérée Elevée Stratégie informatique

Stratégie élaborée par les entités opérationnelles Sensibilisation de la direction

Satisfaction des besoins utilisateurs Fonction informatique

Organisation de la fonction informatique Organisation informatique

Séparation des tâches Externalisation

Compétences informatiques Niveau de compétence

Charge de travail Niveau de rotation

Importance de l’informatique dans l’entreprise Degré d’automatisation

Caractéristiques du système d’information Sensibilité de l'informatique

Indisponibilité Complexité du système d’information

Intégration Documentation

2- Prise de connaissance de l’informatique dans l’entreprise

1- Prise de connaissance de l’entreprise

Recherche d’information sur l’entreprise




UtilisationFiches PGI

(sage, ccmx, adonix,navision, cegid…)

Applications Processus Compta 100 Moyens

paiem. 100Gestion com

100Immos 100

Saisie caisse

décentraliséPaie 100

Soldes et prév.en

valeur 100

Gestion des Ventes X X

Gestion des Immobilisations X X

Gestion des Achats X X

Communication

Comptabilité générale et analytique

Gestion clients et fournisseurs

Reporting

Rapprochement bancaire

Gestion des Ventes Gestion des AchaGestion clients Gestion FournisseFacturation Clients Facturation Fournis

Statistiques Clients Statistiques Fourn

Réglements : Clients FournisGestion des clientsGestion de caisse comptoir (encaiss.) Gestion de stock/fabrication

Gestion Comptable

Gestion commerciale

Saisie de caisse décentralisée

Telbac ou autre logiciel Etebac

Ecritures de règlements, facturation clients et

fournisseurs

Extraits de banque

Tiers - Plans comptable et

analytique

Tiers - Plans comptable et

analytique

Ecritures de caisse

3 – Description du système d’informationCartographie applicative

Processus à analyser




2- Incidence sur le risque inhérentIncidence de l’environnement Informatique sur le risque inhérent

Constats Incidence sur le risque inhérent

Recommandations Impact possible sur les

contrôles substantifs

Communication au gouvernement d’entreprise

Conception et acquisition des solutions informatiques

Comment sont achetées et développées les solutions informatiques ?

Identification des besoins en nouveaux outils Organisation de la fonction développement /

paramétrage

Procédures de développement / paramétrage Procédures de tests

Comment sont installés et validés les nouveaux systèmes informatiques ?

Tests lors du démarrage de la nouvelle application ou version

Validation des développements Niveau de documentation des outils

Gestion du changement Comment est assurée la maintenance du

système d’information ?

Maîtrise du système d’information Maintenance externalisée

Distribution et support informatique Quelle est la qualité du support fourni aux

utilisateurs ?

Cellule de support (hotline) Manuel utilisateur et documentations

disponibles

Formations informatiques Comment sont gérés les problèmes

d’exploitation quotidiens ?

Suivi des performances du système Disponibilité du système

Fonction exploitation Historique et surveillances des activités

Comment sont gérées les fonctions externalisées ?

Procédures de choix des sous-traitants Sous-traitants correspondant aux besoins de

l’entreprise

Supervision des activités des sous-traitants Contenu des contrats de sous-traitance

Gestion de la sécurité Comment sont gérées les sauvegardes ?

Procédure de sauvegarde




2- Incidence sur le risque inhérent2- Incidence sur le risque inhérent

Tests déportés à travers uneconnexion sécurisée

Moteurde tests

InterfaceGraphique

Client n

Moteurde tests Client 2

Moteurde tests

InterfaceGraphique

Client 1

InterfaceGraphique

ConsoleBatch

UpdateManager

Générateurde rapports

Base dedonnées

Console de test

Plate-formetechnique

Démonstration d’un audit sécurité ayant un impact sur le risque inhérent




1°) formalisation du processus

2- Incidence sur le risque lié au contrôle

F_DOCENTETE

F_DOCLIGNE

Génération des écriturescomptables à partir des factures

de ventes “à comptabiliser”

Génération des écriturescomptables à partir des factures

de ventes “à comptabiliser”Contrôle :

erreursd’imputation

Contrôle : oublis oudoublons

Contrôle : exercice

rattachement

Fichier texteF_ECRITUREC

La fiabilité de l’interfacesera fonction de l’application

utilisée pour importer le fichier(OK si Compta100, sinon

Attention si développementsspécifiques)

Possibilité d’exporter un fichierplutôt q’une MAJ directe

de la comptabilité

Possibilité d’exporter un fichierplutôt q’une MAJ directe

de la comptabilité

Compta100

1

2

3

Gestion commerciale 100

UtilisationFiches PGI

(sage, ccmx, adonix,navision, cegid…)




2°) Matrice des risques

N° Domaine ducontrôle

Assertions Description du risquethéorique

Potentialitédu risquethéorique

Identification des contrôles

Programmés Utilisateurs

1 Traitement Rattachement Facture imputée surN-1 au lieu de N, lorsdu traitement “MAJ comptable”

Elevée siclôturecomptablenon faite

- Contrôle manuel au niveau de la périodelors de la procédure

“MAJ comptable”

Appréciationdes

contrôlesinternes

Incidencesur le risque

lié au contrôle

Faible siclôturecomptablefaite

Contrôleautomatique :

message d’erreur

-

2 Exhaustivité /Evaluation

Traitement Transfert des factures en double en comptabilité outransfert inexistant

Elevée Contrôle manuel àréaliser

Modéré

Elevé Faible

Elevée / modérée

Faible / modérée

Elevée / modérée

3 Exhaustivité /Mesure

Traitement Erreur d’imputationd’un produit ou d’unecharge

Elevée Contrôle manuel àréaliser

Faible / modérée

Elevée / modérée

-

-

2- Incidence sur le risque lié au contrôle




Le commissaire aux comptes, à partir des éléments vérifiés lors de l’évaluation des risques, se concentre sur les risques de niveau modéré ou élevé, afin de déterminer la nature et l’étendue des contrôles substantifs à mener et s’il est pertinent, pour ce faire, de recourir aux techniques d’audit assistées par ordinateur (ou analyse de données)

h Vérification des calculs et additions (ex : recalcul destotaux des inventaires physiques : des immo, des stocks, des factures de l’année …)h Comparaisons de fichiers et extractionsd’anomalies (ex : comparaison des fichiers des prix de revient et de vente de stocks pour identifier les dépréciations à effectuer ; extractions des stocksou immo dont la valeur nette est négative …)h Extractions d’échantillons : les 20/80 des factures clients

h Tri des fichiers selon des critères prédéfinis(ex : ordre croissant des valeurs ; écritures passéessur une certaine période …)




Ces techniques sont de nature à :– permettre l’obtention d’éléments probants dans un environnement

dématérialisé, – dépasser le stade du sondage dont l’exploitation est toujours délicate compte

tenu des difficultés de mise en œuvre et de la non exhaustivité des contrôles, – identifier systématiquement toutes les anomalies répondant aux critères de

sélection et / ou de calcul retenus, – procéder à des traitements par simulation pour mesurer l’impact de

changements de méthode, – aborder des contrôles fastidieux et complexes sur des populations

nécessitant un nombre de calculs difficilement réalisables par une approche manuelle.

Démonstration de contrôles substantifs menés avec un logiciel d’analyse de données


Sécurité et dématérialisation des échangesSécurité et dématérialisation des échanges

Les échanges avec les clients sont en augmentation constante (documents, rapports, courriers, etc)Le développement des échanges électroniques doit s’accompagner de la mise en place de solutions apportant les avantages suivants : – Amélioration de la productivité : simplification et rapidité des

échanges par voie électronique par rapport aux envois postaux avec accusé de réception

– Economies réalisées avec les échanges électroniques, moins coûteux que les échanges postaux

– Sécurité juridique aussi forte qu’avec les documents originaux en format papier (signature électronique, horodatage et archivage)


Sécurité et dématérialisation des échangesSécurité et dématérialisation des échanges

Plate-forme d’échanges

Horodatage Archivage

Tiers de confianceCommissaire aux Comptes Entreprise

Administrations et Greffes

Site internet


Service d’assistance informatique CNCC QualitéService d’assistance informatique CNCC Qualité

Vous travaillez actuellement sur : – la rédaction de vos lettres de mission, – la planification et orientation de vos missions, – la préparation de vos contrôles intérimaires...

Vous rencontrez peut-être des difficultés pour intégrer dans les missions la dimension informatique nécessairement présente chez vos client. Quel que soit le niveau de développement et d'intégration de leurs systèmes d'informations, ces aspects doivent être pris en compte dans la démarche d'audit dès la phase orientation et planification.

Le service d'assistance informatique proposé par CNCC Qualité a été conçu pour vous assister dans chacune des étapes de la mission d'audit, en vous aidant notamment :

– à évaluer les risques inhérents aux systèmes d'information– à définir et mettre en oeuvre des contrôles substantifs sur les données



Qui intervient ? : un professionnel salarié de CNCC Qualité, spécialisé en audit financier et informatique Où se déroule l'intervention ? : en fonction des besoins, dans votre cabinet, chez votre client ou à distance En quoi consiste cette intervention ? :

• à identifier les mandats pour lesquels il est pertinent de mettre en œuvre cette méthodologie

• à vous assister dans la définition de l'orientation de la mission et dans l'explication nécessaire de cette démarche auprès des sociétés contrôlées

• à identifier et à évaluation les risques, notamment les obligations réglementaires (archivage fiscal, protection des données personnelles, etc)

• à évaluer la vulnérabilté des systèmes d’information • à prendre en compte les particularités d'un progiciel de gestion intégre (PGI) ou

de l'environnement internet• à mettre en oeuvre les techniques d'audit assistées par ordinateur (analyse de

données)



En plus de renforcer la qualité des diligences professionnelles mises en oeuvre, les interventions du service d'assistance informatique vous permettent :

– de formuler des recommandations à forte valeur ajoutée pour vos clients – de faciliter la mise en oeuvre de la LSF sur l'attestation du rapport rédigé par la SA

portant sur le contrôle interne– de partager les compétences acquises au sein de votre organisation en les mettant en

oeuvre dans vos autres missions professionnelles – de comprendre les problématiques de vos clients liées aux systèmes d'information

Les collaborateurs du service d'assistance informatique peuvent intervenir chez vous ou chez vos clients, sur la base d'un prix jour/homme compétitif, pour rendre les prestations accessibles au plus grand nombre.

Un forfait de 1000 euros ht est proposé pour la première intervention, consistant à analyser en profondeur chaque mandat, pour identifier les contrôles pertinents à mener.



Afin de planifier au mieux les interventions, il est indispensable de renvoyer le bulletin d'inscription avant la date limite fixée au 20 septembre.

Pour toute question ou information complémentaire, vous pouvez contacter le service d'assistance informatique de CNCC Qualité :- par téléphone, au numéro suivant : 01 44 77 82 82- par courrier électronique à l'adresse suivante : [email protected] par fax, au numéro suivant : 01 44 77 82 52

Le bulletin d'inscription au service d'assistance informatique est téléchargeable sur l'extranet : www.crcc.com.fr

Audit réalisé dans un milieu informatiquekhalid.najeddine.free.fr/cours/RAPPORT DE STAGE/Audit...

Documents

Transcript of Audit réalisé dans un milieu informatiquekhalid.najeddine.free.fr/cours/RAPPORT DE STAGE/Audit...