5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Audit réalisé dans un milieu informatique
Animateurs:
Michèle CARTIER LE GUERINEL
Emmanuel LAYOT
Audit réalisé dans un milieu informatique
AnimateursAnimateurs: :
MichèleMichèle CARTIER LE GUERINEL CARTIER LE GUERINEL
Emmanuel LAYOT Emmanuel LAYOT
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Ordre du jourOrdre du jourPrise en compte de l’environnement informatique et incidence sur la démarche d’audit– Problématique– Systèmes d’informations et risques associés– La démarche d’audit en environnement informatique– Mise en œuvre de la démarche (outils)
• ORT• Audit sécurité• Analyse de données• Sécurité et dématérialisation des échanges • Gestion Electronique de Documents (GED) et archivage
Services d'assistance informatique CNCC Qualité
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Prise en compte de l ’environnement informatique et incidence sur la démarche d ’audit : problématique
Prise en compte de l ’environnement informatique et incidence sur la démarche d ’audit : problématique
Une dématérialisation croissante de l’environnement de l’entreprise : l’audit traditionnel par contrôle sur pièces n’est pas toujours possible et adapté en termes de pertinence des résultats obtenus
L’obligation de prendre en compte des risques nouveaux liés aux applications intégrées (progiciels, intranet, internet, portails d ’entreprise…)
L’utilisation d ’une méthodologie pour pouvoir mener à bien ces nouveaux contrôles, en cohérence avec le budget de la mission
La possibilité d’apporter davantage de valeur ajoutée au client en émettant des recommandations satisfaisant ses préoccupations :
– fiabilité de son système d ’information– maîtrise de ses risques juridiques et techniques
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Prise en compte de l ’environnement informatique et incidence sur la démarche d ’audit : problématique
Prise en compte de l ’environnement informatique et incidence sur la démarche d ’audit : problématique
L’environnement informatique ne modifie en rien la finalité de la mission de certification des comptes, …mais la prise en compte du degré informatique de la société auditée a une incidence sur la démarche d’audit
Pourquoi ? : l’utilisation d’un ordinateur modifie la saisie et le processus de traitement et de conservation des données et en conséquence peut avoir une incidence sur les systèmes comptable et de contrôle interne de l’entité
Comment ? : l’environnement informatique peut contenir des erreurs ou anomalies, à chaque niveau du système :
– Saisie – Traitement– Conservation
A quels niveaux en tenir compte dans la démarche d’audit ? – La prise de connaissance des systèmes comptable et de contrôle interne– La prise en compte du risque inhérent et du risque lié au contrôle– La mise en œuvre des procédures d’audit
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Systèmes d’informationset risques associés
Systèmes d’informationset risques associés
Système comptable et financier
Support Informatique(exploitation,
maintenance, …)
Applications de gestion (gestion commerciale, stocks, GPAO,
réservation de billets…)
Comptes annuels
•Erreurs d’imputation, oublis, doublons au niveau des saisies utilisateurs •Anomalies dans les traitements / programmes•Paramétrage incomplet ou erroné•Habilitations non définies (non séparation de fonctions)•…
•Mauvaise conception des programmes•Dépendance vis-à-vis de la sous-traitance informatique•Faiblesses dans la sécurité physique et logique (piratage)•Sauvegarde des données (archivage fiscal, CNIL)•Assurance RCP ne couvrant pas les risques informatiques
•Dysfonctionnement des interfaces•Erreurs de rattachement de période•Modification directe dans l’application comptable sans répercussion automatique dans les applications de gestion
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
La démarche d’audit en environnement informatiqueLa démarche d’audit en environnement informatique
Phase 1Orientation et planification
de la mission 1.1 Prise de connaissance de l’informatique dans l’entrepriseAppréciation de l’importance de l’informatique dans l’entreprise et de son impact dans l’élaboration des comptes.
1.2 Description du système d’information de l ’entrepriseIdentification des principales composantes du système d’information et de son niveau de complexité.
Phase 2Evaluation des risques
Phase 3Obtention d ’éléments
probants 2.1 Incidence sur le risque inhérentIncidence de la fonction informatique (conception/achat, exploitation, sécurité et maintenance informatique), transverse aux activités de l’entreprise, sur le risque inhérent2.2 Incidence sur le risque lié au contrôleIncidence des applications informatiques (jouant un rôle important dans le processus d’élaboration des comptes) sur le risque lié au contrôle.
3.1 Méthodes de mise en œuvre des procédures d ’auditDétermination du caractère suffisant et approprié des éléments probants obtenus et lien avec l’opinion sur les comptes.
3.2 Lien avec les obligations légales du commissaire aux comptesEmission de l’opinion sur les comptes, information des dirigeants ou de l’organe de direction.
Techniques d ’audit assistées par ordinateur
1.3 Prise en compte de l’informatique dans le plan de mission
2.3 Synthèse de l’évaluation des risques
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Mise en œuvre de la méthodologie : outils disponibles
Mise en œuvre de la méthodologie : outils disponibles
Documentation CNCC– Guide d’application « Prise en compte de l’environnement informatique et incidence sur la
démarche d’audit » : modèles de dossiers de travail à télécharger en version word, moteur de recherche, exemples, étude de cas corrigée
– Fiches PGI– Normes professionnelles, guides sectoriels, INFOCOM etc
Formation CNCC : – CD-ROM auto-formation– Formations « Technologies de l’information » : actuel informatique, excel, comment utiliser les
fichiers de l’entreprise, CAC dans les TPE/PME (directeur de mission), ACL Service d’assistance informatique CNCC QualitéLogiciels d’aide à l’audit : MCC, AuditsoftLogiciels d’analyse de données : tableurs, IDEA, ACLLogiciels de formalisation de processus : word, excel, powerpoint, visio, aris, …Outils de gestion électronique de document (GED) / archivage des donnéesBases de données externes à la profession : ORT (suivi personnalisé mandats), INFOGREFFES (KBIS), DIANE, SOPHIE (COB), SOCIETES.COM
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Guide d ’application « Prise en compte de l ’environnement informatique et
incidence sur la démarche d ’audit »
Guide d ’application « Prise en compte de l ’environnement informatique et
incidence sur la démarche d ’audit »
PAPIER CD-ROM EN LIGNE SUR EXTRANET
www.crcc.com.fr
Le guide 2-302 est disponible sous 3 supports
Démonstration des supports opérationnels à partir du CD-ROM
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Mise en œuvre de la méthodologie : Phase 1
Mise en œuvre de la méthodologie : Phase 1
Eléments Description Incidence sur la fiabilité du système d'information
Faible Modérée Elevée Stratégie informatique
Stratégie élaborée par les entités opérationnelles Sensibilisation de la direction
Satisfaction des besoins utilisateurs Fonction informatique
Organisation de la fonction informatique Organisation informatique
Séparation des tâches Externalisation
Compétences informatiques Niveau de compétence
Charge de travail Niveau de rotation
Importance de l’informatique dans l’entreprise Degré d’automatisation
Caractéristiques du système d’information Sensibilité de l'informatique
Indisponibilité Complexité du système d’information
Intégration Documentation
2- Prise de connaissance de l’informatique dans l’entreprise
1- Prise de connaissance de l’entreprise
Recherche d’information sur l’entreprise
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Mise en œuvre de la méthodologie : Phase 1
Mise en œuvre de la méthodologie : Phase 1
UtilisationFiches PGI
(sage, ccmx, adonix,navision, cegid…)
Applications Processus Compta 100 Moyens
paiem. 100Gestion com
100Immos 100
Saisie caisse
décentraliséPaie 100
Soldes et prév.en
valeur 100
Gestion des Ventes X X
Gestion des Immobilisations X X
Gestion des Achats X X
Communication
Comptabilité générale et analytique
Gestion clients et fournisseurs
Reporting
Rapprochement bancaire
Gestion des Ventes Gestion des AchaGestion clients Gestion FournisseFacturation Clients Facturation Fournis
Statistiques Clients Statistiques Fourn
Réglements : Clients FournisGestion des clientsGestion de caisse comptoir (encaiss.) Gestion de stock/fabrication
Gestion Comptable
Gestion commerciale
Saisie de caisse décentralisée
Telbac ou autre logiciel Etebac
Ecritures de règlements, facturation clients et
fournisseurs
Extraits de banque
Tiers - Plans comptable et
analytique
Tiers - Plans comptable et
analytique
Ecritures de caisse
3 – Description du système d’informationCartographie applicative
Processus à analyser
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Mise en œuvre de la méthodologie : Phase 2
Mise en œuvre de la méthodologie : Phase 2
2- Incidence sur le risque inhérentIncidence de l’environnement Informatique sur le risque inhérent
Constats Incidence sur le risque inhérent
Recommandations Impact possible sur les
contrôles substantifs
Communication au gouvernement d’entreprise
Conception et acquisition des solutions informatiques
Comment sont achetées et développées les solutions informatiques ?
Identification des besoins en nouveaux outils Organisation de la fonction développement /
paramétrage
Procédures de développement / paramétrage Procédures de tests
Comment sont installés et validés les nouveaux systèmes informatiques ?
Tests lors du démarrage de la nouvelle application ou version
Validation des développements Niveau de documentation des outils
Gestion du changement Comment est assurée la maintenance du
système d’information ?
Maîtrise du système d’information Maintenance externalisée
Distribution et support informatique Quelle est la qualité du support fourni aux
utilisateurs ?
Cellule de support (hotline) Manuel utilisateur et documentations
disponibles
Formations informatiques Comment sont gérés les problèmes
d’exploitation quotidiens ?
Suivi des performances du système Disponibilité du système
Fonction exploitation Historique et surveillances des activités
Comment sont gérées les fonctions externalisées ?
Procédures de choix des sous-traitants Sous-traitants correspondant aux besoins de
l’entreprise
Supervision des activités des sous-traitants Contenu des contrats de sous-traitance
Gestion de la sécurité Comment sont gérées les sauvegardes ?
Procédure de sauvegarde
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Mise en œuvre de la méthodologie : Phase 2
Mise en œuvre de la méthodologie : Phase 2
2- Incidence sur le risque inhérent2- Incidence sur le risque inhérent
Tests déportés à travers uneconnexion sécurisée
Moteurde tests
InterfaceGraphique
Client n
Moteurde tests Client 2
Moteurde tests
InterfaceGraphique
Client 1
InterfaceGraphique
ConsoleBatch
UpdateManager
Générateurde rapports
Base dedonnées
Console de test
Plate-formetechnique
Démonstration d’un audit sécurité ayant un impact sur le risque inhérent
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Mise en œuvre de la méthodologie : Phase 2
Mise en œuvre de la méthodologie : Phase 2
1°) formalisation du processus
2- Incidence sur le risque lié au contrôle
F_DOCENTETE
F_DOCLIGNE
Génération des écriturescomptables à partir des factures
de ventes “à comptabiliser”
Génération des écriturescomptables à partir des factures
de ventes “à comptabiliser”Contrôle :
erreursd’imputation
Contrôle : oublis oudoublons
Contrôle : exercice
rattachement
Fichier texteF_ECRITUREC
La fiabilité de l’interfacesera fonction de l’application
utilisée pour importer le fichier(OK si Compta100, sinon
Attention si développementsspécifiques)
Possibilité d’exporter un fichierplutôt q’une MAJ directe
de la comptabilité
Possibilité d’exporter un fichierplutôt q’une MAJ directe
de la comptabilité
Compta100
1
2
3
Gestion commerciale 100
UtilisationFiches PGI
(sage, ccmx, adonix,navision, cegid…)
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Mise en œuvre de la méthodologie : Phase 2
Mise en œuvre de la méthodologie : Phase 2
2°) Matrice des risques
N° Domaine ducontrôle
Assertions Description du risquethéorique
Potentialitédu risquethéorique
Identification des contrôles
Programmés Utilisateurs
1 Traitement Rattachement Facture imputée surN-1 au lieu de N, lorsdu traitement “MAJ comptable”
Elevée siclôturecomptablenon faite
- Contrôle manuel au niveau de la périodelors de la procédure
“MAJ comptable”
Appréciationdes
contrôlesinternes
Incidencesur le risque
lié au contrôle
Faible siclôturecomptablefaite
Contrôleautomatique :
message d’erreur
-
2 Exhaustivité /Evaluation
Traitement Transfert des factures en double en comptabilité outransfert inexistant
Elevée Contrôle manuel àréaliser
Modéré
Elevé Faible
Elevée / modérée
Faible / modérée
Elevée / modérée
3 Exhaustivité /Mesure
Traitement Erreur d’imputationd’un produit ou d’unecharge
Elevée Contrôle manuel àréaliser
Faible / modérée
Elevée / modérée
-
-
2- Incidence sur le risque lié au contrôle
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Mise en œuvre de la méthodologie : Phase 3
Mise en œuvre de la méthodologie : Phase 3
Le commissaire aux comptes, à partir des éléments vérifiés lors de l’évaluation des risques, se concentre sur les risques de niveau modéré ou élevé, afin de déterminer la nature et l’étendue des contrôles substantifs à mener et s’il est pertinent, pour ce faire, de recourir aux techniques d’audit assistées par ordinateur (ou analyse de données)
h Vérification des calculs et additions (ex : recalcul destotaux des inventaires physiques : des immo, des stocks, des factures de l’année …)h Comparaisons de fichiers et extractionsd’anomalies (ex : comparaison des fichiers des prix de revient et de vente de stocks pour identifier les dépréciations à effectuer ; extractions des stocksou immo dont la valeur nette est négative …)h Extractions d’échantillons : les 20/80 des factures clients
h Tri des fichiers selon des critères prédéfinis(ex : ordre croissant des valeurs ; écritures passéessur une certaine période …)
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Mise en œuvre de la méthodologie : Phase 3
Mise en œuvre de la méthodologie : Phase 3
Ces techniques sont de nature à :– permettre l’obtention d’éléments probants dans un environnement
dématérialisé, – dépasser le stade du sondage dont l’exploitation est toujours délicate compte
tenu des difficultés de mise en œuvre et de la non exhaustivité des contrôles, – identifier systématiquement toutes les anomalies répondant aux critères de
sélection et / ou de calcul retenus, – procéder à des traitements par simulation pour mesurer l’impact de
changements de méthode, – aborder des contrôles fastidieux et complexes sur des populations
nécessitant un nombre de calculs difficilement réalisables par une approche manuelle.
Démonstration de contrôles substantifs menés avec un logiciel d’analyse de données
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Sécurité et dématérialisation des échangesSécurité et dématérialisation des échanges
Les échanges avec les clients sont en augmentation constante (documents, rapports, courriers, etc)Le développement des échanges électroniques doit s’accompagner de la mise en place de solutions apportant les avantages suivants : – Amélioration de la productivité : simplification et rapidité des
échanges par voie électronique par rapport aux envois postaux avec accusé de réception
– Economies réalisées avec les échanges électroniques, moins coûteux que les échanges postaux
– Sécurité juridique aussi forte qu’avec les documents originaux en format papier (signature électronique, horodatage et archivage)
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Sécurité et dématérialisation des échangesSécurité et dématérialisation des échanges
Plate-forme d’échanges
Horodatage Archivage
Tiers de confianceCommissaire aux Comptes Entreprise
Administrations et Greffes
Site internet
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Service d’assistance informatique CNCC QualitéService d’assistance informatique CNCC Qualité
Vous travaillez actuellement sur : – la rédaction de vos lettres de mission, – la planification et orientation de vos missions, – la préparation de vos contrôles intérimaires...
Vous rencontrez peut-être des difficultés pour intégrer dans les missions la dimension informatique nécessairement présente chez vos client. Quel que soit le niveau de développement et d'intégration de leurs systèmes d'informations, ces aspects doivent être pris en compte dans la démarche d'audit dès la phase orientation et planification.
Le service d'assistance informatique proposé par CNCC Qualité a été conçu pour vous assister dans chacune des étapes de la mission d'audit, en vous aidant notamment :
– à évaluer les risques inhérents aux systèmes d'information– à définir et mettre en oeuvre des contrôles substantifs sur les données
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Service d’assistance informatique CNCC QualitéService d’assistance informatique CNCC Qualité
Qui intervient ? : un professionnel salarié de CNCC Qualité, spécialisé en audit financier et informatique Où se déroule l'intervention ? : en fonction des besoins, dans votre cabinet, chez votre client ou à distance En quoi consiste cette intervention ? :
• à identifier les mandats pour lesquels il est pertinent de mettre en œuvre cette méthodologie
• à vous assister dans la définition de l'orientation de la mission et dans l'explication nécessaire de cette démarche auprès des sociétés contrôlées
• à identifier et à évaluation les risques, notamment les obligations réglementaires (archivage fiscal, protection des données personnelles, etc)
• à évaluer la vulnérabilté des systèmes d’information • à prendre en compte les particularités d'un progiciel de gestion intégre (PGI) ou
de l'environnement internet• à mettre en oeuvre les techniques d'audit assistées par ordinateur (analyse de
données)
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Service d’assistance informatique CNCC QualitéService d’assistance informatique CNCC Qualité
En plus de renforcer la qualité des diligences professionnelles mises en oeuvre, les interventions du service d'assistance informatique vous permettent :
– de formuler des recommandations à forte valeur ajoutée pour vos clients – de faciliter la mise en oeuvre de la LSF sur l'attestation du rapport rédigé par la SA
portant sur le contrôle interne– de partager les compétences acquises au sein de votre organisation en les mettant en
oeuvre dans vos autres missions professionnelles – de comprendre les problématiques de vos clients liées aux systèmes d'information
Les collaborateurs du service d'assistance informatique peuvent intervenir chez vous ou chez vos clients, sur la base d'un prix jour/homme compétitif, pour rendre les prestations accessibles au plus grand nombre.
Un forfait de 1000 euros ht est proposé pour la première intervention, consistant à analyser en profondeur chaque mandat, pour identifier les contrôles pertinents à mener.
5 à 7 du 16 septembre 20035 à 7 du 16 septembre 2003
Service d’assistance informatique CNCC QualitéService d’assistance informatique CNCC Qualité
Afin de planifier au mieux les interventions, il est indispensable de renvoyer le bulletin d'inscription avant la date limite fixée au 20 septembre.
Pour toute question ou information complémentaire, vous pouvez contacter le service d'assistance informatique de CNCC Qualité :- par téléphone, au numéro suivant : 01 44 77 82 82- par courrier électronique à l'adresse suivante : [email protected] par fax, au numéro suivant : 01 44 77 82 52
Le bulletin d'inscription au service d'assistance informatique est téléchargeable sur l'extranet : www.crcc.com.fr
Top Related