Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 1 Commission...

1Groupe de travail - Guide pratique audit informatique -

Réunion du 19/10/01

Commission informatique

Réunion du 23 Octobre 2001



Plan d ’action détaillé de la Commission informatique

Synthèse des actions par projet WebTrust Extranet MCC Fiches PGI Formation Guide contrôle système d ’information

Zoom sur le guide de contrôle système d ’information : synthèse de la réunion du 19/10/01 Partage d’expériences des participants sur l ’audit informatique Guide de contrôle et plan d ’action 2001-2002 de la Commission informatique Positionnement par rapport aux autres supports CNCC Démarche de travail Objectifs, Structure, Plan détaillé du guide Actions à mener

Ordre du jour de la Commission informatique du 23/10/01



Plan d ’action détaillé de la Commission informatique

Estimation de la charge de travail CNCC par projet

Liste des projets Charge (%)Actualisation de la doctrine et élaboration d’un guide d’audit 30%

Développement d’outils d’audit pour les confrères Fiches PGI MCC …

20%

Coopération avec la formation pour : Participer au contrôle qualité de la formation La mise à jour des supports de formation et le développement d’éventuels

nouveaux supports

10%

Veille technologique et coopération avec d’autres organismes ou instituts, par exemplesur les missions d’assurance à composante informatique : WEBTRUST France (1) IFAC IIN EIN SYSTRUST

20%

Actions de communication Préparation et participation à la Commission Délégués informatiques Supports de Communication type 5 à 7 Lettre trimestrielle de la Commission informatique : « Le Saviez-vous ? » Participations aux manifestations régionales, salons professionnels…

20%



WEBTRUST

Synthèse des actions par projet (1/4)

Stratégie du Comité de pilotage Constitution d’un Comité des partenaires : des accords de partenariats sont à mettre en

place pour optimiser les actions de communication Webtrust Création officielle du Club utilisateurs WebTrust à la date du 04 octobre, véritable

diffusion de connaissances, de partage des problèmes pratiques rencontrés dans le cadre de la mission, ainsi que d’apport de réponses techniques pour des confrères en voie ou en cours de mission

L’intranet Yahoo : continue d’être l’outil de communication entre confrères entre deux réunions du Club

Le maillage : le principe est que chaque membre du Club puisse être l’ambassadeur de WebTrust d’une part, auprès de ses clients, d’autre part auprès de contacts susceptibles d’intéresser le Club (syndicats professionnels, prospects, associations)

Les actions de communications : • WebTrust Day et les WebTrust Entreprises • Les déjeuners Presse pour développer les articles parlant de Webtrust, à la fois dans la presse

généraliste, financière qu’informatique• La lettre Webtrust : lettre régulière de diffusion trimestrielle à destination des délégués régionaux

informatique (CNCC), des présidents des Comités Régionaux Informatique (CRI) pour l’EOC, des auditeurs WebTrust, des confrères ayant suivi la formation WebTrust, (via notamment le Club WebTrust) et des membres du Comité des partenaires



WEBTRUST (suite)


Stratégie du Comité de pilotage La formation : poursuite du programme de formation commencé en 2000 avec la mise à disposition de

trois nouveaux modules de formation (nouveau programme de formation en annexe) La mise en place de contrôles qualités sur les audits WebTrust La représentation de WebTrust auprès des instances de certification afin de contribuer au rayonnement

des principes et critères WebTrust La Recherche & Développement WebTrust consistant à faire évoluer les versions en fonction des

nouveaux besoins de la profession

Actions à mener en priorité : intervention CNCC à définir Préparation de la 1ère Lettre WebTrust Procédures à formaliser sur la gestion administrative de l ’association WBT entre CNCC, OEC et CFPC Action de relance auprès de l ’ensemble des CAC concernant les formations WEBTRUST Mise en forme des supports de formation de la journée 5 Organisation d ’un bureau en Novembre (comptes financiers WEBTRUST, nomination du nouveau

trésorier) et un bureau en Janvier pour changement de Président Instances de certification : e-Santé, CNIL... Rédaction d ’un dossier des partenaires : La Mondiale, Crédit Lyonnais, Cisco Reprise des travaux menés dans le cadre du WEBTRUST TOP 50 pour relancer les 50 entreprises cibles

susceptibles d ’acheter la mission WEBTRUST



Extranet


Point de synthèse L. Figoni (CNCC Edition) suit le projet Extranet depuis septembre 2001pour le compte de

la CNCC En accord avec le Pdt Tudel, participation de E. Layot à la coordination des relations

techniques avec PageMed

Actions à mener en priorité Rédaction d ’un guide de procédure et d ’un guide utilisateur Réunion prévue le 08/11/01 avec GIR3C, CEGID et PageMed pour faire un point général

et définir un calendrier de livraisons (DA…) Transférer les groupes Yahoo (Commission informatique) sur l ’Extranet

Point de synthèse C. Edery suit le projet MCC jusqu ’à fin décembre : préparation de la version 4 de MCC

intégrant la mise à jour Nouvelles normes

Actions à mener en priorité Livraison version 4 de MCC prévue pour fin année 2001

MCC



Fiches PGI


Actions à mener Prendre contact avec un éditeur PGI pour initialiser le travail de rédaction des fiches outils (ces

fiches sont complémentaires du Guide de contrôle système d ’information)

Point de synthèse Présentation par E&Y de la formation « Organisation informatique des PME : incidences sur la

mission d ’audit » Participation de E. Layot au Comité Qualité Pédagogique : 05/11, 10/12, 30/01

Actions à mener Participation à l ’évolution du catalogue CNCC Formation

• déclinaison du Guide contrôle système d ’information en modules de formation• mise à jour des modules de formation de type Cursus pour intégrer davantage l ’aspect système

Point de synthèse La problématique de la certification financière est relativement large : XBRL, PKI, Tiers de

confiance… Actions en cours de T. Trompette auprès de l ’IFAC Coordination avec le CNP - Groupe de travail « Informations financières »

Liaison avec Formation

Certification des données financière



Zoom sur le guide de contrôle système d ’information

Synthèse de la réunion du 19/10/01



Objectifs de la réunion du 19/10/01

S ’appuyer sur les travaux de l ’AFAI pour intégrer les techniques d ’audit de système d ’information dans la démarche du Commissaire aux comptes

Identifier avec les délégués informatiques les besoins des utilisateurs en terme d ’audit de système et adopter le discours pédagogique adéquat

Proposer une vision la plus complète possible du guide avant de démarrer le travail de rédaction, notamment sur les aspects suivants : objectifs structure forme contenu (plan détaillé) modalités d ’utilisation déclinaisons possibles du support



Partage d’expériences des participants sur l ’audit informatique

Besoins exprimés Intégrer la démarche informatique dans l ’approche légale Avoir une meilleure visibilité sur les risques liés à des systèmes d ’information ouverts

(internet, extranet, ASP…) Connaître les méthodes d ’audit des données (sur les stocks, les comptes clients -

fournisseurs…) et savoir utiliser les outils correspondants Savoir aborder les nouveaux produits comme les PGI (Progiciels de Gestion Intégrée)

Difficultés rencontrées avec les PGI Difficulté pour identifier les éléments à contrôler Difficulté de paramétrage Manque de visibilité sur le circuit de l ’information car moins de séquentialité que dans

un système d ’information traditionnel Nécessité de collecter les données à toutes les étapes de traitement et pas

uniquement au niveau des applications comptables Risques importants liés à la souplesse permise par les applications (en particulier sur

les processus erreurs - correction)



Guide de contrôle système d ’information et plan d ’action 2001-2002 de la Commission informatique

Rappel des objectifs de la Commission informatique intégrer davantage l ’audit des systèmes d ’information dans la démarche de

certification des comptes développer l ’utilisation par les professionnels des outils informatiques pour la

certification des comptes accompagner les professionnels qui souhaitent réaliser les nouvelles missions

d ’assurance comportant des contrôles sur les systèmes d ’information et les process informatiques

participer aux évolutions techniques : échanges électroniques d ’informations financières…

La rédaction de 2 guides sur la prise en compte de l ’informatique dans l ’audit financier doit participer à l ’atteinte de ces objectifs

Guide de contrôle du système d ’information Guide des outils d ’analyse des données

La CNCC a décidé de confier la maîtrise d ’œuvre de la rédaction de ces guides à l ’AFAI



Les deux guides sont destinés à remplacer la note 25 d ’application dans le domaine informatique, intitulée « La démarche du commissaire aux comptes en milieu informatisé »

Les deux guides et les supports suivants de la CNCC devront être rendus homogènes :

supports de formation métier et outils supports d ’information/communication outils opérationnels : MCC, didacticiels, fiches PGI...

Positionnement des guides par rapport aux autres supports CNCC

Travail en commun avecla Commission formation

Mé

tie

r

Formation

Ou

tils

Normes professionnelles

Guide de contrôlesystème d ’info

Guide des outilsanalyse données

5 à

7

Information

Le

Sa

vie

z-V

ou

s

MC

C

Outils

Did

ac

tic

iels

(CD

RO

M d

u g

uid

e

pra

tiqu

e…

)

Fic

he

s P

GI

Ex

tra

ne

t



Constitution des groupes de travail

Principes de mise en oeuvre

Démarche de travail

CNCC

Maîtrise d ’œuvre :P. Trouchaud (Ernst&Young)L. Gobbi (KPMG)M. Lamy (Mazars) ?

RédacteursGuide outilsRédacteursGuide outils

Contrôle qualité AFAI

Contrôle qualité AFAI

RédacteursGuide contrôle

Système Information

RédacteursGuide contrôle

Système Information

Contrôle de relecture Guides

Contrôle de relecture Guides

Maîtrise d ’ouvrage de la rédaction des guides

Maîtrise d ’œuvre :P. Trouchaud (Ernst&Young)M. Richard (Ernst&Young)

S. Yablonsky (AFAI)JM Mathieu (Andersen)T. TrompetteP. RollandF. Renault (Deloitte)

M. Piou (Caen)M. Mercier (Amiens)M. Rondeau (Bordeaux)M. Barlet (Mazars)

Définition du niveau de détail des parties rédigées pour validation par le groupe de relecture

Validation des objectifs et du plan détaillé des guides Définition du calendrier de

livraison des parties rédigéespour validation par legroupe de relecture

01/11/01

Livraison des parties rédigées par les rédacteurs

Validation des parties rédigées par le groupe de relecture

01/04/01

Validation par le Comité des NormesCNCC

01/06/01Groupe de travail : rédacteurs + relecteurs

Intégration AFAI/CNCC



Objectifs du Guide de contrôle du système d ’information (1/2)

Le guide de contrôle du système d ’information doit aider les CAC à prendre davantage en compte les impacts du système d ’information dans la certification des comptes financiers

Il s ’agit d ’une obligation pour les professionnels depuis le 01/01/2001, formalisée dans la norme CNCC 2-302 « audit réalisé dans un environnement informatique »

Pour ce faire, le guide doit... intégrer l ’approche des systèmes d ’information dans la démarche générale de commissariat aux

comptes (dès la prise de connaissance et l ’orientation/planification de la mission) faire les liens entre les objectifs de contrôle généraux et ceux spécifiques au SI être simple, concret et pédagogique : outil de mise en œuvre guidant pas-à-pas le professionnel

avec beaucoup d ’exemples pratiques (cas pratiques en annexes) être adapté aux situations de travail que rencontrent la majorité des cabinets, c ’est-à-dire adapté à

des audits PME sur des systèmes informatiques peu complexes être en cohérence avec le guide des outils d ’analyse des données (le guide de contrôle faisant des

renvois sur le guide des outils)

...pour être directement opérationnel et utilisé sur le terrain par le professionnel

Le guide ne doit pas être : uniquement une note d ’application de la norme 2-302 déconnecté de l ’audit financier une démarche d ’audit système trop lourde à mettre en œuvre (en étant un recueil exhaustif des

dernières techniques d ’audit informatique constituant l ’état de l ’art)



Objectifs du Guide de contrôle du système d ’information (2/2)

Contrôlesspécifiques



Orientationet planification


Contrôle des comptesContrôle des comptes

Travaux de fin de mission

Travaux de fin de mission

Opinionsur les comptes annuels

Opinionsur les comptes annuels

Contrôleset informations

spécifiques

Etude et évaluationdu contrôle interne


Rédaction du rapport Rédaction du rapport

Acceptationdu mandat

Intégration des spécificités SI dans la démarche générale

Identification des liens entre :• les règles de l ’audit SI • les règles de contrôle interne et contrôle des comptes

La démarche du commissaire aux comptes : rappel



Présentation sous la forme de fiches intégrées dans un classeur (facilitant l’utilisation et la mise à jour en fonction des évolutions)

Découpage séquentiel en phases correspondant à la démarche générale d ’audit

Pour chaque sous-phase

En annexes : lexique, exemples,

fiches diagnostic, fiches outils

PHASE 1 PHASE 2 PHASE 3 PHASE 4

Phase 1.1 Phase 1.2 Phase 2.1 Phase 2.2 Phase 3.1 Phase 3.2 Phase 4.1 Phase 4.2

Structure du guide Contrôle du système d ’information Principes généraux

Introduction

Objectifs

Résultats attendus

Démarche

Démarche •Description étapes à mener•Identification des situations rencontrées

Étape 1.1

Résultats attendus (restitués dans la mesure du

possible sous forme graphique) A chaque situation type rencontrée correspond une fiche Diagnostic

Diagnostic

Lexique Fiche diagnosticExemples Fiches outils

Guideoutils

données

FichesPGI

Fournir une estimation du temps nécessaire

à chaque étape



Structure du guide Contrôle du système d ’information Plan général



Fiche de synthèsedes risques

Contrôle des comptes

• Prise de connaissance du SI et évaluation des risques associés• Architecture applicative• Processus métiers / supports externalisables

• Contrôle interne sur l ’organisation générale du système d ’information• Contrôle interne sur les composantes de l ’architecture applicative• Contrôle interne sur les processus métiers

• Définition des niveaux de risques spécifiques au SI• Impact des risques spécifiques SI sur l ’approche par cycle (B01, B02…) • Risque inhérent

• Valorisation financière des risques spécifiques SI détectés dans la phase 3• Réalisation des contrôles des comptes complémentaires (allègement de cette phase par rapport à l ’approche générale)• Mise en place d ’un système pérenne de non régression

Phase 1.1

Phase 1.2

Phase 1.3

Phase 2.1

Phase 2.2

Phase 3.1

Phase 3.2

Phase 3.3

Phase 4.1

PHASE

PHASE

PHASE

PHASE

Phase 2.3

Phase 4.3

Phase 4.2



Plan détaillé du guide Contrôle du système d ’information : Introduction

Rappel de la démarche générale du CAC : normes, textes…

Les caractéristiques de la norme 2-302

Impacts et intégration de la norme 2-302 dans la démarche générale

Les contrôles internes, les risques les similarités avec l ’approche générale les spécificités des traitements informatiques

Allègement du contrôle des comptes



Plan détaillé du guide Contrôle du système d ’information : Orientation et planification (1/4)

Phase 1Orientation

et planification

Phase 1.1 : Prise de connaissance du SI et évaluation des risques

Phase 1.2 : Architecture applicative Phase 1.3 : Processus métiers

Introduction Démarche RTS attendus Introduction Démarche RTS attendus Introduction Démarche RTS attendus

Positionnement de l’informatique dans l’entreprise : organigramme Personnel informatique Equipes projets informatiques Stratégie informatique Fonction conception et/ou paramétrage Fonction d’exploitation / Sous-traitance Fonction de maintenance Fraude et erreur Caractéristiques du SI

-Taille du SI : nombre de postes, utilisateurs-Composantes : applications, bases de données, programmes, interfaces, systèmes d’exploitation…-Ouverture vers l’extérieur : internet, extranet-Complexité du SI : applications diverses connectées par interface-Sécurité physique -Sécurité logique -Piste d’audit-Sauvegarde et plan de secours -Déversement en comptabilité -Procédure de clôture des comptes

Identification des domaines fonctionnels informatisés (achat, vente, production) Pour chaque domaine fonctionnel informatisé, identification :-Des applications (progiciels ou spécifiques)-Des bases de données / fichiers-Des interfaces -Des flux entrants : modalités de saisies des informations (manuelles, intégration de fichiers)-Des flux sortants-Traitements : batchs / temps réels-Sécurité logique-Des Interfaces -Du Paramétrage -Des habilitations Liens entre les applications des différents domaines fonctionnels Alimentation des bases comptables -Interfaces avec les systèmes amonts-Intégration de fichiers-Saisie manuelle par le personnel comptable-Communication avec l’extérieur : banques…

- Identification des principaux processus métiers- Pour chaque processus de gestion, identification :

-Des flux entrants-Des traitements effectués -De l’application concernée-Des acteurs concernés-Des flux sortants



Lexique Exemples

Introduction

Objectifs• Rappel de la démarche générale de prise de connaissance• Spécificités du contrôle SI par rapport à la prise de connaissance

Résultats attendus• Vue générale du SI• Évaluation du risque général système d ’information• Points spécifiques à contrôler et caractéristiques associées

Démarche• Liste des étapes à suivre

Fiches Diagnostic

Démarche

Description étapes à suivre • Etape 1 - Positionnement de l ’informatique dans l ’entreprise - Situation A• Etape 2 - Caractéristiques du SI - Situation C• Etape 3 - Fraude et erreur - Situation B

Phase 1.1 : Prise de connaissance du SI et évaluation des risques associés

Résultats attendus

• Vue générale du SI• Évaluation du risque général système d ’information (cartographie des risques)• Points spécifiques à contrôler et caractéristiques associées (exemple : l ’entreprise utilise le PGI XYZ)Aide à l ’analyse

Pour chaque situation, identification du diagnostic correspondant• Si Situation A, alors... Report description Fiche diagnostic A • Si Situation B, alors... Fiche diagnostic B

Fichesoutils

Phase 1Orientation

et planification Phase 1.1 : Prise de connaissance du

SI et évaluation des risques Phase 1.2 : Architecture applicative Phase 1.3 : Processus métiers

Introduction Démarche RTS attendus

Plan détaillé du guide Contrôle du système d ’information : Orientation et planification (2/4) Zoom sur le découpage de chaque phase en Introduction - Démarche - Résultats attendus

(EXEMPLE)



Résultats attendus

Phase 1Orientation





(EXEMPLE)

Exemples

Résultats attendus

• Vue générale du SI• Évaluation du risque général système d ’information (cartographie des risques)• Points spécifiques à contrôler et caractéristiques associées (exemple : l ’entreprise utilise le PGI XYZ)

Fiche Exemple : Cartographie des risques (Source : Mazars-Guerard)

Tiers

Échanges

Achats

Production

Tiers (contact, mailing)

Relations d ’affaires

Base documentaire

EDI

E-mail

Données support info.

Données support papier

Sécurisation

Messagerie interne, workflow, GED

Appels offresCotations

Politique achat, budget, simulation

Suivi des réalisations

Processus 1

Processus 2

Processus 3

Stocks et encoursSynthèse &statistiques

Production

Investissements

Distribution

Ventes

Support

Directionindustrielle

Pilotage

Risque élevéRisque moyen

Risque faible

Investissement / Maintenance

Production propre

MarketingVentes

Admn. Des ventesFraiscommerc.

Négoce

Accord de distribution

Juridique

Paye / RHTrésorerie

Fiscalité

PlacementsReporting, communication

Comptabilité Tableaux de bord

Etats d ’alerte Gestion prév.

Planning production

Cadence

Contrôlequalité

R&D

Syst

ème

info

rmat

ique

s

GPAO

Contrôle gestion



Résultats attendus

Phase 1Orientation





(EXEMPLE)

Exemples

Résultats attendus

• Vue générale du SI• Évaluation du risque général système d ’information (cartographie des risques)• Points spécifiques à contrôler et caractéristiques associées (exemple : l ’entreprise utilise le PGI XYZ)

Fiche Exemple : Cartographie des risques (Source : Mazars-Guerard) Coût

Qualité

Fonctionnalité

Délai

Fort

Modéré

Faible

Risquesgénéraux

Identification desfonctionnalités

Classement desfonctionnalités

Identification des données deréférence

Contraintes techniquesinternes

Fort

Modéré

Faible

Analysedes contrôles



Plan détaillé du guide Contrôle du système d ’information : Étude et évaluation du contrôle interne (1/3)

Phase 2Etude et évaluation du contrôle interne

Phase 2.2 : Contrôle internesur l ’architecture applicative

Phase 2.3 Contrôle internesur les processus métiers

Introduction Démarche RTS attendus Introduction Démarche RTS attendus

A partir des fiches diagnostic correspondant aux situations rencontrées, effectuer les contrôles internes sur les composantes de l ’architecture applicative (les objectifs de contrôle spécifiques au SI sont différents des objectifs de contrôles sur les cycles et doivent être définis) Estimation des risques associés

A partir des fiches diagnostic correspondant aux situations rencontrées, effectuer les contrôles internes sur les composantes des processus métiers / suppports externalisables (les objectifs de contrôle spécifiques au SI sont différents des objectifs de contrôles sur les cycles et doivent être définis) Estimation des risques associés

Phase 2.1 : Contrôle internesur l ’organisation générale du SI


A partir des fiches diagnostic correspondant aux situations rencontrées, effectuer les contrôles internes sur l ’organisation générale du SI (les objectifs de contrôle spécifiques au SI sont différents des objectifs de contrôles sur les cycles et doivent être définis) Estimation des risques associés

Fiches outils : tests de cheminement, environnements de tests (jeux d ’essais), interrogation de données

Traduire les impacts des risques SI au niveau du contrôle interne sur les cycles (immobilisation, trésorerie -paiements / encaissements, stocks, ventes, achats, paie), dont pour rappel les objectifs de contrôle sont les suivants :Existence : actif ou passif existant à une date donnée, Droits et obligations, Rattachement, Exhaustivité, Evaluation, Mesure, Présentation et informations données




Phase 2Etude et

évaluation du contrôle interne

Phase 2.2 : Contrôle internesur l ’architecture applicative


APPLICATION XYZ

ASP

Plate-forme d’analyse

Plate-frome partenaire

Client 1 Client 2 Client 3

Règle du jeu

EDI XBRL XMODEM

CODA

Interface CRE

Comptabilité Editique

Editique

Paiement Statistiques

Outil depaiement Outil statistique

Infocentre

Développementd ’une interface

Serveur internet auxEntreprises

PaiementArchivage

Qualité service /

Efficacitéopérationnelle

entreprise

Pilotage de larentabilité :

Chiffre d ’affaire

Frais de structure

Services internet

PORTAIL

Référencement despartenaires

Consolidation desflux de gestion

pour alimentation Infocentre

Prospect

Développementd ’interfaces directes :• personnes /bénéficiaires• produits• contrats

Contrats

Individus /Entreprises

Produits / Garanties

Contrats

REFERENTIEL

Phase 2.1 : Contrôle interne sur organisation générale du SI

Phase 2.3 : Contrôle interne sur les Processus métiers




Phase 2Etude et

évaluation du contrôle interne

Phase 2.3 Contrôle internesur les processus métiers


Vérifier exhaustivitédocuments

FichierPersonnes

Rédiger courrierdemande

renseignement

Consultercomposantes

contrat

Vérifierexistenceindividu

Créer individu

Rattachergaranties

Appli 1

Appli 2

Appli 2

Oui Non

Oui Non

1- Documents nécessaires à la souscription du contrat : Carte d ’identité, formulaire XYZ complété

2- Vérification de la présence éventuelle d ’autres informations sur l ’individu

3- La recherche de l'individu dans les bases peut s'effectuer soit par le numéroSS, soit sur le nom (recherche alphabétique)

4- La création de l'individu dans les bases se termine par le rattachement d'unedes garanties du contrat

5- Rattachement des autres garanties à l'individu

Acteurs concernés

•Gestionnaires contrat

Commentaires

CourrierX

Points clés

La garantie X est considéré comme rattachée à l’assuréprincipal au moment de la souscription du contrat

Triple saisie des informations dans des bases différentes (4D, Oracle…)

Délai pour impression des documents commerciaux : entre 2 et 3 semaines

Fréquence de radiation des bases 4D : annuellePROCESSUS 3

Phase 2.2 : Contrôle interne surl ’architecture applicative

Phase 2.1 : Contrôle interne sur organisation générale du SI



Plan détaillé du guide Contrôle du système d ’information : Fiche de synthèse des risques

Phase 3Fiche de synthèse

des risques

Erreurs potentielles Exhaustivité Réalité Evaluation Enregistrementbonne période

ImputationTotalisation

Cycles avec incidence ducontrôle interne

RCIRCC

RCIRCC

RCIRCC

RCIRCC

RCIRCC

Immo corporelles etincorporelles

idem idem idem idem idem

Opérations financières idem idem idem idem idemStocks et travaux en cours idem idem idem idem idemProduits et créancesd’exploitation


Dettes et chargesd’exploitation


Personnel idem idem idem idem idem

Risque RCI RCCCycles sans incidence ducontrôle interneCapitaux propresProvisions pour risques etchargesImmobilisations financièresEtat fiscalitéOpérations exceptionnellesAutres comptes

RCI : risque liés à l’évaluation finale du contrôle interneRCC : niveau de risque retenu pour le contrôle des comptesRisque général :

Risque d’audit résultant :

Définir les risques purement SI (différents des risques correspondant aux cycles) ainsi

que les objectifs de contrôle associés



Phase 4Contrôle des

comptes

Plan détaillé du guide Contrôle du système d ’information : Contrôle des comptes

Pour rappel, le contrôle des comptes s ’effectuent par cycle : capitaux propres, provisions pour risques et charges, immobilisations corporelles et incorporelles...

Les travaux effectués en amont devraient alléger la partie contrôle des comptes par rapport à l ’approche traditionnelle

L’existence de systèmes informatisés influe à 3 niveaux sur l’approche de contrôle des comptes :

L’utilisation des contrôles programmés par l’entreprise selon l’appréciation qui a été faite de leur fiabilité

L’exploitation des fichiers de l’entreprise L’utilisation de l’informatique pour la documentation ou la réalisation de certains

travaux de contrôles

Sur la base des risques SI identifiés lors du contrôle interne Valorisation financière des risques spécifiques SI détectés dans la phase 3 Réalisation des contrôles des comptes complémentaires (allègement de cette phase

par rapport à l ’approche générale)• Mise en place d ’un système de contrôle des comptes automatisé et exhaustif

Mise en place d ’un système pérenne de non régression



Actions à mener

Valider la forme du support : Classeur et Fiches

Valider la structure du classeur Onglet 1 : Phases (objectifs, démarche, résultat) Onglet 2 : Fiches diagnostic Onglet 3 : Exemples Onglet 4 : Fiches Outils Onglet 5 : Lexique

Définir la charte graphique de chacune des fiches types

Pour chacune des phases, identifier : l ’introduction, la démarche (liste des étapes), les résultats attendus les fiches diagnostic, outils à créer les cas et exemples

Définir le niveau de détail des fiches pour validation

Identifier les renvois à effectuer avec le Guide outils données

Définir le calendrier de livraison rédacteurs pour validation

Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 1 Commission...

Documents

Transcript of Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 1 Commission...