Deuxièmes assises du Commissariat aux Comptes
Hôtel LE MERIDIEN – ORAN
4 mai 2013
Arezki MAHIOUT
Expert-comptable diplômé
Commissaire aux comptes
Membre du Conseil
Supérieur de l’Ordre des
Experts comptables
Président du cabinet
SOGEXCO
11, boulevard de Sébastopol
75001 PARIS
http://www.sogexco.com/
expertise-comptable/
accueil.asp
La pratique de l’audit des
systèmes d’information
SOGEXCO
1
Contrôle interne relatif à l’élaboration et au traitement de
l’information comptable et financière
3
Toutes entités Toutes entités Sociétés cotées Toutes entités Toutes entités Toutes entités
NEP 315 – 330
Approche d’audit
NEP 265
Communication
des faiblesses de
CI
NEP 9505
Rapport du
Président sur CI et
GE
NEP 9030
Attestations
NEP 9040
Procédures
convenues
NEP 9080
Consultations en
matière de CI
Mission légale DDL
Informatique utilisée dans toutes les fonctions de l’entreprise
Outil devenu le système nerveux de l’entreprise
Traitement de masse
Risques nouveaux et significatifs
Investissements importants
Enjeu stratégique
Système informatique = Système significatif pour l’audit
4
Politique informatique
Rattachement de la fonction informatique
Communication avec les utilisateurs
Définition d’une architecture informatique
Structure de la fonction
Responsable désigné
Séparation de fonctions (développement, exploitation, contrôle)
Matériel utilisé
Nature du matériel
Capacité
Ancienneté
Sécurité
Matérielle
Et/ou logique
5
Procédures de contrôle interne
Développement
Exploitation
Traitement
Liste des éléments informatiques
Applications
Fichiers
Sorties
6
Étude de faisabilité
Étude fonctionnelle
Analyse organique
Réalisation et tests
Procédures utilisateurs
Réception provisoire
Mise en exploitation
Procédures développement
7
Analyse de la conception et du fonctionnement d’une
application informatique
Appréciation des éléments suivants :
Fiabilité des données entrées, des traitements et des
informations produites
Maîtrise de l’outil par les utilisateurs et le management
Possibilité d’utiliser des restitutions / fichiers / bases de
données à des fins d’audit
Outils
Manuel opérateur des applications
Recours à des spécialistes
8
Objectifs de l’utilisation des outils
S’assurer de l’exhaustivité, de la réalité et de la fiabilité des données
S’assurer de la correcte comptabilisation des données
Permettre un traitement automatisé des données lors de l’audit
Avantages procurés par ces outils
Gain de temps par rapport aux contrôles sur pièces
Contrôle de l’exhaustivité des données
9
Quels logiciels pour l’analyse de données ?
Excel (simple d’utilisation adaptée pour les petits et moyens fichiers)
Access (requêtes et tris sur les données de la base)
ACL (capacité importante, contrôles plus complexes possibles, les
données initiales et intermédiaires sont accessibles, utilisé par
l’Administration fiscale)
Idea
A choisir en fonction de différents critères à prendre en
compte :
Volume de données à traiter
Type de fichiers obtenus
Complexité des traitements à réaliser
10
Fonctionnalité ACL IDEA ACCESS EXCEL
Sécurité de la
reprise
Intangibilité du
fichier source
Intangibilité du fichier
source
Non Non
Programmation Possible Possible PossiblePossible
(macros)
Taille des fichiers Quasi illimitée Quasi illimitée 2Go par base
de données
65 000 lignes
(Excel < 2007)
Conservation des
modèles de requête
ou de travail
Automatique Automatique Oui Non
Données de
contrôleOui Oui Non Non
Indexation Oui Oui Oui Non
Reporting Oui Oui Oui Oui
Modèles
d’analyseNon Non Non Non
11
Les outils les plus adaptés pour l’audit sont :
ACL et IDEA
Pourquoi ?
Traçabilité des actions
Intangibilité des données
Intégration simplifiée de fichiers simplifiée
Nombre restreint de commandes pour exécuter tous les types de travaux
Un traitement automatique de travaux récurrents au moyen de programmes
12
Récupérer les données clients à traiter
Via le réseau internet ou à l’aide de supports magnétiques : clé USB, CD-ROM
Format de fichier utilisable : .dbf, ASCII, EBCDIC
Intégrer les données dans le logiciel d’analyse choisi
Mettre en forme le fichier
Définir les champs à partir de la structure du fichier
Utiliser un assistant pour ces tâches basiques
Délimitation de zones
13
Vérifier la qualité des données
Contrôles de cohérence sur l’exhaustivité des données
Totalisation de champs, totalisation du nombre d’enregistrement et
comparaison avec l’attendu (ex : rapprochement avec la comptabilité)
Opérer les traitements souhaités
Penser à conserver les données de bases
Réaliser les tests (programmes, fonctions automatiques,….)
Conserver une trace des traitements effectués sur les fichiers (log)
14
Des contrôles simples pouvant être réalisés avec un outil standard
Totalisations de champs avec ou sans critère
(Ex : totaliser toutes les factures dont le n° commence par 01)
Création de champs de calcul
(Ex : valoriser les stocks en recalculant Prix*Quantité + totalisation)
Tris pour tests sur les montants les plus importants
(Ex : identifier les 5 mouvements de stocks les plus importants)
Comparaison des valeurs de deux fichiers
(Ex : comparaison des stocks de n et n-1 à l’aide du code produit en
utilisant la fonction « Recherchev »)
15
Le système informatique utilisé aujourd’hui dans toutes les
fonctions de l’entreprise constitue un système significatif pour
l’audit.
Les informations à recenser sur le système informatiqueconcernent la politique informatique, structure de la fonction,matériel utilisé et sécurité.
Des contrôles simples peuvent être réalisés avec un outil
standard.
16
Questionnaire informatique
Sécurité physique des matériels ?
Sécurité logique des applications ?
Sauvegardes des données ?
Procédure de modification des programmes ?
Séparation des fonctions de développement et d’exploitation ?
Contrôle de l’initialisation des données ?
Contrôle et recyclage des anomalies ?
Documentation des traitements existants ?
Traçabilité des données (piste d’audit) ?
17
Il existe une typologie des contrôles informatiquesaussi bien pour les contrôles applicatifs que lescontrôles généraux informatiques.
Pour comprendre les processus informatiques, ilconvient d’établir une cartographie applicative et unecartographie réseau.
Un processus est un « enchaînement de tâches » qu’ilconvient de décomposer en plusieurs sous-processusdécrits dans un diagramme de flux.
Afin d’évaluer les risques, il est utile d’établir unecartographie des risques ou un questionnaireinformatique.
18
Top Related