cours msi audit

DSCG : UE5 - Management des Systmes d'Information Audit

Table des matiresCARTE HEURISTIQUE................................................................................................................................. 1GNRALITS.......................................................................................................................................... 1LES MISSIONS D'AUDIT .............................................................................................................................. 1

Les contextes d'audit ................................................................................................................................................................2L'audit des systmes d'information ...........................................................................................................................................2Les diffrents types de missions d'audit ...................................................................................................................................2La dmarche d'audit .................................................................................................................................................................3

LE CADRE LGAL ET NORMATIF DE L'AUDIT ....................................................................................................5Les normes et les rfrentiels ...................................................................................................................................................5Le rfrentiel CobiT ..................................................................................................................................................................6Les normes professionnelles internationales ............................................................................................................................7Le contrle interne ....................................................................................................................................................................8

LE CONTRLE DES COMPTES DES ENTITS INFORMATISES ..............................................................................11Le systme d'information comptable (SIC) .............................................................................................................................11La prise en compte de l'environnement informatique lors de l'audit lgal des comptes ...........................................................11Le risque d'audit .....................................................................................................................................................................12

LA DMARCHE D'AUDIT DU CNCC............................................................................................................14Les supports oprationnels.....................................................................................................................................................15

L'AUDIT ASSIST PAR ORDINATEUR ............................................................................................................16Les tapes de l'audit assist par ordinateur ............................................................................................................................16Les techniques d'audit assist par ordinateur, TAAO (Computer Assisted Audit Techniques, CAATs) ..................................17Les progiciels d'aide la rvision ...........................................................................................................................................19Les avantages des progiciels d'aide la rvision ...................................................................................................................20

Carte heuristique

GnralitsAprs avoir longtemps t cantonn au domaine financier, le terme audit s'est maintenant largement diffus et concerne notamment les systmes d'information.

Les enjeux de la mise en uvre d'un audit sont multiples et rpondent des problmatiques de mise en conformit et de prvention des risques. Un certain nombre de lois ont eu pour effet de gnraliser et de systmatiser la pratique de l'audit des systmes d'information pour contribuer au rtablissement de la confiance entre les acteurs de l'conomie. L'audit des SI bnficie d'un cadre lgal et rglementaire tant au niveau national qu'au niveau international, et dispose d'outils informatiques permettant, d'une part, de traiter les donnes issues des SI et, d'autre part, de faciliter le suivi et la ralisation d'une mission complexe et documente.

Les missions d'audit Selon la norme ISO 9000, l'audit est un processus mthodique, indpendant et document permettant de recueillir des informations objectives pour dterminer dans quelle mesure les pratiques

1/20


observes satisfont aux rfrentiels du domaine concern , L'auditeur se forge une opinion qu'il consigne ensuite dans un rapport.

Les contextes d'audit L'audit en tant que mcanisme de gouvernance occupe une place croissante dans un contexte de regroupement d'entreprise et de dveloppement des fonds d'investissement. De plus en plus, les entreprises cherchent matriser l'incertitude par la conduite d'audits fonds sur une approche par les risques. Ainsi, des audits sont raliss la demande des dirigeants des organisations (direction gnrale, mais galement directions oprationnelles) auprs de leur service d'audit interne ou auprs d'auditeurs externes. Ce peut tre, par exemple, un audit de conformit pour anticiper un ventuel contrle fiscal par un diagnostic du systme d'information comptable.

Des audits sont galement mandats par des propritaires pour contrler leurs mandataires (les dirigeants) et rduire l'asymtrie d'information entre les diffrents stakeholders ou parties prenantes . Ces audits sont conduits en sus de l'audit lgal des comptes ralis par les commissaires aux comptes en France.

Par ailleurs, des audits peuvent tre mens dans le cadre d'une expertise judiciaire, sur la requte d'un tribunal (juridictions civiles, pnales, etc.), voire la demande d'une autorit administrative.

Les contextes d'audit sont varis et demandent de plus en plus un audit des systmes d'information qui se retrouve la croise des proccupations des dirigeants et des diffrentes parties prenantes qui ont des objectifs conomiques et financiers ncessitant une matrise accrue du risque.

L'audit des systmes d'information Le concept d'audit des systmes d'information est apparu au cours des annes 1970. Il comprend l'examen et l'valuation des processus, des systmes de traitement automatis de l'information et des interfaces qui les relient ainsi que des procdures connexes non automatises, avec un ensemble de rgles en vigueur (fiscales, juridiques, techniques, etc.). Il vise mettre en vidence les risques relatifs aux processus supports par le systme d'information et ceux lis l'infrastructure technique (adquation de l'infrastructure avec les besoins de l'entit, scurit physique, logique et applicative, prennit du SI, etc.).

L'audit des systmes d'information couvre un primtre plus large que l'audit informatique dans la mesure o il s'intresse aux aspects organisationnels et fonctionnels lis au SI, en plus des aspects purement techniques.

L'audit des systmes d'information peut tre dcompos en deux approches :

l'valuation de la fonction informatique, pour laquelle l'auditeur s'appuie principalement sur les mthodes et rfrentiels existants dans ce domaine (essentiellement le CobiT). La fonction informatique de l'entreprise est prendre en compte en termes de sparation des fonctions, gestion des mouvements de personnel, gestion des projets, fiabilit des processus informatiques (pilotage, dveloppement, maintenance, exploitation, scurit du SI), etc. ;

l'valuation de la composante systme d'information des processus oprationnels, pour laquelle l'auditeur s'appuiera sur des programmes de travail spcifiques. Ceux-ci sont induits par l'apprciation des risques gnraux portant sur le processus considr et sont fonction du degr d'informatisation du processus et du type d'outil informatique utilis.

Selon Serge Yablonsky, prsident d'honneur de l'AFAI (Association franaise de l'audit et du conseil informatiques) et directeur du cabinet d'audit Moore Stephens SYC : l'audit de la fonction informatique bas en gnral sur le rfrentiel CobiT peut couvrir l'audit de la stratgie, de la tactique, de l'oprationnel et de management de la fonction, tandis que l'audit des applications avec les processus mtiers couvrira, par exemple dans le cas de la gestion commerciale, la validation des donnes, la fiabilit et la ractivit des traitements ou encore la conformit rglementaire. (Source : www.journaldunet.com)

Les diffrents types de missions d'audit Les missions d'audit peuvent tre de plusieurs types : interne, externe et stratgique de la fonction informatique. Elles se caractrisent galement :

par la nature du lien entre l'auditeur et l'audit, avec l'appartenance ou la non appartenance l'entit audite ;

par la nature du cadre juridique de l'audit, avec le respect d'obligations lgales et de normes professionnelles ;

par la qualit du mandataire de la mission et du contexte d'audit ;

2/20


etc.

L'audit interne La mission d'audit interne est diligente par la direction de l'entit. Selon l'AFAI (Association franaise de l'audit et du conseil informatiques), l'audit interne est une activit indpendante et objective qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer et contribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacit . Cette activit indpendante est excute par le dpartement d'audit interne.

L'audit externe La mission d'audit externe est ralise par des personnes extrieures l'organisation : cabinets d'experts-comptables ou professionnels spcialiss dans un domaine prcis (audit environnemental, audit de scurit, etc.). Elle peut tenir plusieurs raisons diffrentes :

soit elle rpond aux mmes objectifs qu'une mission d'audit interne et, dans ce cas, sa justification tient l'absence d'un dpartement d'audit interne ou l'absence de comptences au sein du dpartement d'audit interne pour l'valuation des SI, voire la volont de confier la mission un tiers indpendant de l'entit audite ;

soit elle rpond d'autres contextes d'audit et elle est ventuellement diligente par d'autres acteurs que la direction de l'entit. On peut citer, par exemple, les missions ralises par les commissaires aux comptes (CAC) dans le cadre de leurs mandats d'audit. Dans ce cas, la mission d'audit a uniquement pour objectifs de renseigner les CAC sur le niveau de contrle interne existant dans l'entreprise sur le processus informatique et d'valuer les risques existants pouvant impacter leur opinion.

L'audit stratgique de la fonction informatique L'audit stratgique de la fonction informatique vise vrifier son alignement sur la stratgie long terme de l'entit. Il consiste tudier l'adquation de la fonction informatique aux besoins et aux enjeux de l'entreprise, le respect du principe de sparation des tches et le niveau de dpendance de l'entreprise vis--vis de prestataires externes.

La dmarche d'audit La dmarche d'audit se droule en plusieurs phases aboutissant l'laboration d'un rapport d'audit, vritable outil de communication entre le ou les commanditaires de l'audit, les acteurs de l'entit audite et les auditeurs.

Les phases d'une mission d'audit La dmarche d'audit retenue par le Guide d'audit des systmes d'information de l'AFAI s'appuie sur trois phases, dont les activits sont dtailles dans la figure 10.1 : planification, cadrage et excution.

La dmarche d'audit

3/20


www.afai.fr

L'auditeur planifie, dans un premier temps, les diffrents aspects de la mission concourant l'atteinte des objectifs initialement fixs. Ces objectifs sont ensuite dtaills dans la phase de cadrage puis la phase d'excution de l'audit aboutit la formulation de conclusions et de recommandations consignes dans un rapport d'audit.

Le rapport d'audit Toute mission d'audit, et donc d'audit des systmes d'information, se traduit par un rapport d'audit, qui constitue la pice matresse de la mission d'audit. Selon les normes professionnelles de l'ISACA (Information Systems Audit and Control Association), l'issue de son travail, l'auditeur des SI doit fournir un rapport sous une forme adquate. Le rapport doit prciser l'entreprise, les destinataires du document et les ventuelles restrictions sa diffusion. [ ... ] Le rapport doit spcifier la porte, les objectifs, la priode couverte, la nature, la dure et l'ampleur de l'audit ralis. [ ... ] Le rapport doit spcifier les conclusions et recommandations de l'audit, ainsi que les ventuelles limitations de porte, rserves ou qualifications juges opportunes par l'auditeur des SI. [ ... ] L'auditeur des SI doit collecter des lments probants suffisants et pertinents pour corroborer les rsultats rapports. [ ... ] Lors de son dition, le rapport de l'auditeur des SI doit tre sign, dat et distribu conformment aux termes de la charte d'audit ou de la lettre de mission (source : www.isaca.org).

Le rapport d'audit est un outil stratgique, support des amliorations du SI.

Les conseils pour piloter un audit du systme d'information Selon Dominique Filippone (JDN Solutions, 10 conseils pour piloter son audit des systmes d'information, www.journaldunet.com), lorsqu'une entreprise dcide ou est contrainte de raliser un audit, elle doit se poser des questions sur la faon de le mener bien et d'apprhender avec le plus d'objectivit possible les rsultats de l'audit et suivre les conseils suivants :

1. Bien dlimiter le champ d'investigation et les enjeux de l'audit. 2. Se prparer la procdure d'audit. 3. Sparer le commanditaire de l'entit en charge de l'audit.

L'audit doit tre men par des intervenants indpendants de la DSI et mandats par la direction gnrale. Cependant, des audits seront commandits spcifiquement par la DSI lorsque les enjeux seront typiquement lis ses processus internes (suivi de la production, suivi de la qualit de service ... ).

4. Se doter d'une direction de l'audit interne, oui, mais ce n'est pas sans poser problme en raison de l'importance des ressources mobiliser et de la place de cette direction dans l'organisation.

4/20


5. Recourir des rfrentiels solides comme ISO, CobiT (Control Objectives for Information and related Technology) dans le cadre de processus transverses, CMMI (Capability Maturity Model Integration), dans celui du pilotage de projet, ITIL (Information Technology Infrastructure Library), pour les services, etc.

6. S'entendre sur le rfrentiel choisi.

Les parties prenantes concernes par les enjeux de l'audit doivent avoir une vision sur le rfrentiel choisi, ainsi la clart de la dmarche d'audit sera apprhende dans le temps.

7. Prparer les pices indispensables l'audit et en faciliter l'accs : le cahier des charges, qui a pour vocation contractualiser les besoins d'une entit envers un tiers, mais galement le plan qualit, les tableaux de bord et indicateurs de performance, la gestion des problmes rcurrents, etc.

8. Confier son audit une quipe pluridisciplinaire et indpendante.

9. Choisir la frquence et le temps de droulement de l'audit.

10. Ne pas sous-estimer les limites d'un audit.

Les risques de ne pas identifier l'ensemble des faiblesses et menaces d'un processus ou d'un applicatif ne sont pas nuls. Parmi les contraintes et les limites potentielles : un temps imparti l'audit restreint ou une apprciation biaise du contexte fonctionnel et mtier de l'organisation tudie. Enfin, un lger rajustement technique ou organisationnel exerc a posteriori sur le SI peut remettre en cause tout ou partie des rsultats d'un audit.

Le cadre lgal et normatif de l'audit L'audit des systmes d'information est encadr par des normes et rfrentiels spcifiques, internationaux et nationaux, qui servent de guide dans les pratiques des auditeurs internes et externes. Toutefois, le cadre de rfrence de l'audit retenu par les grandes entreprises est souvent rapproch du cadre propos par l'Autorit des marchs financiers (AMF) au titre du contrle interne. En effet, le lgislateur a oblig les grandes entreprises plus de transparence et disposer de systmes d'information la hauteur de ces enjeux par la loi Sarbanes-Oxley (SOX : 29 aot 2002) aux tats-Unis, les lois NRE (nouvelles rglementations conomiques, 15 mai 2001), LSF (loi de scurit financire, 1er aot 2003) et la loi pour la confiance et la modernisation de l'conomie (


Audit interne Audit informatique Audit externe

Normes nationales NEP, normes d'exercice professionnel

L'objectif des normes est d'informer les auditeurs du niveau minimal acceptable pour rpondre aux responsabilits professionnelles et les autres parties des attentes de la profession d'audit.

Le rfrentiel CobiT La dmarche d'audit du systme d'information s'appuie sur le rfrentiel CobiT (Control Objectives for Information and related Technology - Objectifs de contrle de l'information et des technologies associes) qui fournit les bonnes pratiques pour l'apprciation des risques informatiques et propose des standards de contrle selon le cadre prsent ci-dessous :

Cadre d'analyse des risques illustr par CobiT

Le modle dbute par une valorisation des biens. Dans CobiT, ces biens sont les informations - et naturellement l'ensemble des ressources associes - dont les critres d'efficacit, de disponibilit ou d'intgrit, etc., sont essentiels pour atteindre les objectifs de l'entreprise. L'tape suivante est l'analyse de vulnrabilit des processus, qui permet d'identifier les faiblesses par les critres d'information ; un processus peut par exemple tre vulnrable la perte d'intgrit. L'analyse des menaces, tape suivante, doit permettre de lister l'ensemble des menaces et de voir quelles vulnrabilits elles pourraient exploiter. L'analyse des risques va combiner la probabilit de la menace, le degr de vulnrabilit et le niveau de svrit de l'impact. Il faut alors raliser l'analyse du contrle en exhibant une srie de contre-mesures et en valuant leur efficacit face aux risques. Un plan d'actions est alors mis en uvre et le cycle peut recommencer.

www.afai.fr

L'utilisation du rfrentiel CobiT est rassurante pour l'auditeur et l'audit car elle renvoie une dmarche accepte et valide au niveau international. Elle permet l'auditeur :

d'adopter une dmarche efficace en se rfrant, pour la construction et l'application des programmes de travail, un ensemble reconnu de bonnes pratiques ;

de structurer la documentation de travail et de la mission ;

de prendre en compte tous les risques (exhaustivit) ;

de faciliter les changes en se rfrant un rfrentiel international ;

de permettre des comparaisons entre entits ou secteurs d'activit ;

etc.

Si le recours au rfrentiel CobiT constitue une vritable opportunit pour l'auditeur, son usage prsente des limites. D'une part, le rfrentiel est avant tout un outil de travail. Il devra donc tre adapt aux objectifs de la mission et au contexte de mise en uvre. Le rfrentiel ncessite imprativement une dmarche critique de l'auditeur et une apprciation des risques lis au contexte spcifique d'intervention. D'autre part, si le rfrentiel CobiT reste exhaustif et pertinent pour

6/20


l'apprciation des risques lis la fonction informatique, sa porte est considrablement limite lors de l'valuation des risques informatiques sous-jacents dans le fonctionnement des autres processus oprationnels ou les risques informatiques particuliers propres, par exemple, un environnement lgal et rglementaire donn.

Les normes professionnelles internationales Des normes professionnelles internationales relatives l'audit interne et l'audit externe existent.

Les normes d'audit interne Au niveau international, ce sont les normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (lIA) qui constituent le rfrentiel de la mission d'audit interne.

Elles sont compltes par un code de dontologie fournissant aux auditeurs internes les principes et valeurs rgissant leur pratique professionnelle.

Selon l'IFACI, les normes ont pour objet :

de dfinir les principes fondamentaux de la pratique de l'audit interne ;

de fournir un cadre de rfrence pour la ralisation et la promotion d'un large champ d'intervention d'audit interne valeur ajoute ;

d'tablir les critres d'apprciation du fonctionnement de l'audit interne ;

de favoriser l'amlioration des processus organisationnels et des oprations.

Les normes se composent :

de normes de qualification qui prcisent les caractristiques que doivent prsenter les organisations et les personnes accomplissant des missions d'audit interne ;

de normes de fonctionnement qui dcrivent la nature des missions d'audit interne et dfinissent des critres de qualit permettant de mesurer la performance des services fournis ;

de normes de mise en uvre qui prcisent les deux types de normes prcdentes en indiquant les exigences applicables dans les activits d'assurance (valuation objective en vue de formuler en toute indpendance une opinion ou des conclusions sur une entit, une opration, une fonction, un processus, un systme ou tout autre sujet) ou de conseil.

La norme de qualification 1210.A3 stipule notamment que les auditeurs internes doivent possder une connaissance suffisante des principaux risques et contrles relatifs aux technologies de l'information, et des techniques d'audit informatises susceptibles d'tre mises en uvre dans le cadre des travaux qui leur sont confis. Toutefois, tous les auditeurs internes ne sont pas censs possder l'expertise d'un auditeur dont la responsabilit premire est l'audit informatique .

Les normes d'audit externe Au niveau international, ce sont les normes ISA qui constituent le rfrentiel de la mission d'audit externe. Elles ont t labores et publies par l'International Auditing and Assurance Standards Board (IAASB), qui est une dpendance de l'IFAC (International Federation of Accountants). Les objectifs des normes d'audit des systmes d'information de l'ISACA sont d' informer :

les auditeurs de systmes d'information du niveau minimum de diligence requis pour satisfaire les responsabilits professionnelles dfinies dans le code d'thique professionnelle de l'ISACA ;

la direction et les autres parties prenantes de ce qu'elles sont en droit d'attendre des travaux professionnels des auditeurs (source : AFAI, La Revue, n" 78, mars 2005).

L'architecture des normes d'audit des systmes d'information de l'ISACA comprend plusieurs niveaux :

les normes dfinissent les exigences obligatoires pour la conduite de l'audit des systmes d'information et la rdaction des rapports ;

les recommandations apportent des conseils pour l'application des normes ISA ;

les procdures donnent des informations sur la faon de satisfaire aux normes lors de l'accomplissement des travaux d'audit.

7/20


Les normes ISA de rfrence sont :

la norme ISA 315 - Connaissance de l'entit et de son environnement et valuation du risque d'anomalies significatives ;

la norme ISA 330 - Procdures mettre en uvre par l'auditeur en fonction de son valuation du risque.

Ces normes ont t transposes au niveau national.

Par ailleurs, la norme ISCQ1 (International Standard on Quality Control), tablie par l'IFAC, dfinit les exigences relatives la mise en place d'un systme de contrle qualit des cabinets ralisant des missions d'audit ou d'examen limit d'informations financires historiques, et d'autres missions d'assurance et de services connexes .

Cette norme devrait tre implmente dans les cabinets de rviseurs d'entreprises dans les prochaines annes.

Les normes professionnelles nationales En France, c'est la CNCC (Compagnie nationale des commissaires aux comptes) qui ralise le rfrentiel normatif homologu applicable la profession franaise. Il a t entrin courant 2000. La transposition dans le rfrentiel franais des normes d'audit internationales de l'IFAC a poursuivi deux objectifs :

positionner clairement la France au regard du rfrentiel normatif international (IAASB) ;

tmoigner du haut degr de qualit de la certification des commissaires aux comptes.

De cette transposition ont dcoul notamment les normes d'audit en environnement informatis :

la norme CNCC 2-301 relative l'valuation du risque et au contrle interne ;

la norme CNCC 2-302 relative l'audit ralis dans un environnement informatique.

Ces textes ont t remplacs le 1er mai 2007 par les normes d'exercice professionnel : -la norme NEP 315 - Connaissance de l'entit et de son environnement et valuation du risque d'anomalies significatives dans les comptes ;

la norme NEP 330 - Procdures d'audit mises en uvre par le commissaire aux comptes l'issue de son valuation des risques.

Ces NEP dcoulent des normes internationales ISA 315 et 330.

Les NEP ont valeur de loi et s'imposent dans le cadre de la mission du CAC. Elles ont pour vocation premire de garantir le bon exercice des missions et permettent de trouver, dans une doctrine manant de l'organisation professionnelle seule habilite dfinir, les critres d'apprciation ncessaires (Rfrentiel normatif CNCC, juillet 2003, 0-100, Prambule).

Le contrle interne La mise en place de dispositifs de contrle interne repose en grande partie sur le contrle du systme d'information. En effet, la quasi-totalit des procdures repose aujourd'hui sur des traitements informatiss. La mise en place de dispositifs de contrle interne efficaces se fait et se fera de plus en plus l'aide de SI conus cet effet.

La dfinition et la porte du contrle interne Selon l'AFAI, le contrle interne est un dispositif mis en uvre par la socit et sous sa responsabilit. Il comprend un ensemble de moyens, de comportements, de procdures et d'actions adapts aux caractristiques propres de chaque socit qui :

contribue la matrise de ses activits, l'efficacit de ses oprations et l'utilisation efficiente de ses ressources, et

doit lui permettre de prendre en compte de manire approprie les risques significatifs, qu'ils soient oprationnels, financiers ou de conformit.

Le contrle interne vise plus particulirement assurer :

la conformit aux lois et rglements ;

l'application des instructions et des orientations fixes par la direction gnrale ou le directoire ;

8/20


le bon fonctionnement des processus internes de la socit, notamment ceux concourant la sauvegarde de ses actifs ;

la fiabilit des informations financires.

Le contrle interne ne se limite donc pas un ensemble de procdures ni aux seuls processus comptables et financiers. La dfinition du contrle interne ne recouvre pas toutes les initiatives prises par les organes dirigeants ou le management comme par exemple la dfinition de la stratgie de la socit, la dtermination des objectifs, les dcisions de gestion, le traitement des risques ou le suivi des performances ,

Selon les articles 1. 225-37 et 1. 225-68 du Code de commerce, qui trouvent leur origine dans la loi de scurit financire (LSF) du 1er aot 2003 (article 117), dans les socits faisant appel public l'pargne, le prsident du conseil d'administration ou du conseil de surveillance rend compte, dans un rapport, [ ... ] des procdures de contrle interne mises en place par la socit .

Pour ces mmes socits, selon l'article L. 225-235 du Code de commerce (article 120 de la LSF), les commissaires aux comptes prsentent dans un rapport 13121Management des systmes d'information

[ ... ] leurs observations sur le rapport (du Prsident) pour celles des procdures de contrle interne relatives l'laboration et au traitement de l'information comptable et financire . Les applicatifs ddis au Contrle Interne rpondent aux enjeux majeurs suivants :

Sassurer de la conformit de lentreprise aux rglementations et aux normes de contrle interne : LSF, cadre de rfrence de lAMF, Sarbanes-Oxley, CRBF 97-02 et Ble II pour les banques, Solvabilit II pour lassurance,

Contribuer lalignement et loptimisation des processus oprationnels dans lentreprise, Faciliter la communication aux parties prenantes et la rdaction du rapport annuel sur le

contrle interne.

Le cadre de rfrence des dispositifs de gestion des risques et de contrle interne de l'AMF

Face aux proccupations relatives au contrle interne, on assiste au dveloppement de dmarches sur la base de cadres de rfrence, comme celui de l'AMF (Autorit des marchs financiers) ou celui du casa (Committee of Sponsoring Organizations of the Treadway Commission).

Le dispositif du contrle interne s'intresse tant aux qualits des systmes d'information qu'aux informations diffuses, ainsi que le prconise le cadre de rfrence des dispositifs de gestion des risques et de contrle interne de l'AMF de 2010, dont un extrait est prsent ci-dessous.

Extrait du cadre de rfrence des dispositifs de gestion des risques et de contrle interne de l'AMF de 2010

Selon l'AMF, le dispositif de contrle interne comprend cinq composantes [ ... ] :

1) Une organisation comportant une dfinition claire des responsabilits, disposant des ressources et des comptences adquates et s'appuyant sur des systmes d'information, sur des procdures ou modes opratoires, des outils et des pratiques appropris [ ... ].

Les systmes d'information [doivent tre adapts] aux objectifs actuels de l'organisation et conus de faon pouvoir supporter ses objectifs futurs. Les systmes informatiques sur les- quels s'appuient ces systmes d'information doivent tre protgs efficacement tant au niveau de leur scurit physique que logique afin d'assurer la conservation des informations stockes. Leur continuit d'exploitation doit tre assure au moyen de procdures de secours. Les informations relatives aux analyses, la programmation et l'excution des traitements doivent faire l'objet d'une documentation [ ... ].

2) La diffusion en interne d'informations pertinentes, fiables, dont la connaissance permet chacun d'exercer ses responsabilits [ ... ].

3) Un dispositif de gestion des risques visant recenser, analyser et traiter les principaux risques identifis au regard des objectifs de la socit.

4) Des activits de contrle proportionnes aux enjeux propres chaque processus, et conues pour s'assurer que les mesures ncessaires sont prises en vue de matriser les risques susceptibles d'affecter la ralisation des objectifs.

5) Une surveillance permanente portant sur le dispositif de contrle interne ainsi qu'un examen rgulier de son fonctionnement .

www.amf-france.org, 14 juin 2010.

9/20


Cette nouvelle dition du cadre de rfrence de l'AMF s'appuie sur les volutions constates dans les principaux rfrentiels internationaux, en particulier :

le rfrentiel de contrle interne casa II, qui est aujourd'hui le plus communment admis et utilis. Il est adopt notamment par un nombre croissant d'entreprises franaises ;

la norme ISO 31000 (


Dmarches d'audit Stratgie informatique Fonction

informatique Processus

informatiss

Audit comptable x x

Audit interne x x x

Analyse des risques x x x

Audit de scurit x x

Audit qualit x x

AFAI, Contrle interne et systme d'information, 2" dition, 2008.

Ainsi, l'audit des composantes du systme d'information, que sont la stratgie informatique, la fonction informatique et les processus informatiss, joue un rle majeur au service du contrle interne.

Le contrle des comptes des entits informatises Le contrle des comptes des entits informatises peut tre un contrle lgal effectu par un commissaire aux comptes ou un contrle de nature contractuelle effectu par un expert-comptable. Le CAC et l'expert-comptable doivent prendre en compte l'vplution notoire des systmes d'information comptable, qui sont de plus en plus automatiss et intgrs. Ici, nous n'tudierons que le contrle externe lgal effectu par un commissaire aux comptes.

Le systme d'information comptable (SIC) Le systme d'information comptable est le systme interface entre les systmes oprants (achat, production, vente, investissement...) et le systme de pilotage. Il recueille et traite les diffrentes informations de nature comptable et financire afin de les mettre la disposition du systme de pilotage (dit aussi systme de dcision ). Les SIC sont de plus en plus intgrs. L'intgration vise regrouper dans un systme unique les diffrents systmes comptables et de gestion de l'entreprise, et assurer la production d'une information fiable, actuelle, non redondante et homogne. Il existe diffrents niveaux d'intgration des SIC : la comptabilit autonome, la comptabilit semi-intgre et la comptabilit intgre.

La comptabilit autonome Cette architecture est caractristique des petites entreprises dont l'informatisation est gnralement centre sur la mise en place d'un progiciel comptable. La comptabilit peut tre considre comme autonome du fait de l'existence d'un lien direct entre le fait juridique et l'criture comptable.

La comptabilit semi-intgre Dans cette organisation qui caractrise gnralement les entreprises de tailles moyenne et grande, la comptabilit est alimente par des progiciels amont ddis aux diffrents domaines fonctionnels de l'entreprise (achats, ventes, immobilisations, paie, etc.). Ces progiciels appartiennent souvent la mme gamme logicielle, ce qui facilite la gnration automatique des critures dans le progiciel de comptabilit grce aux fonctionnalits d'importation et d'exportation.

La comptabilit intgre Ce type d'organisation, propre aux grandes entreprises, se caractrise souvent par une saisie unique de l'information dans une base de donnes commune plusieurs modules couvrant les diffrents domaines fonctionnels de l'entreprise. Les processus sont gnralement trs informatiss et supports par des progiciels de gestion intgre.

La prise en compte de l'environnement informatique lors de l'audit lgal des comptes

La prise en compte de l'environnement informatique lors de l'audit des comptes par les commissaires aux comptes ne doit pas tre confondue avec l'audit informatique d'un systme d'information confi gnralement des experts spcialiss.

L'audit des comptes men par un CAC est un audit externe nomm audit lgal des comptes , Depuis 2000, le CAC doit, dans le cadre de sa mission, prendre en considration le systme d'information ainsi que le stipule la norme CNCC 2-302 relative l'audit ralis dans un environnement informatique (voir encadr ci-dessous).

11/20


Encadr 10.3 - Extrait de la norme CNCC 2-302 relative l'audit ralis dans un environnement informatique

La norme CNCC 2-302 rappelle les principes fondamentaux suivants :

l'existence d'un environnement informatique ne modifie pas l'objectif et l'tendue de la mission du commissaire aux comptes ;

l'utilisation d'un ordinateur modifie la saisie et le processus de traitement et de conservation des donnes, et en consquence peut avoir une incidence sur les systmes comptable et de contrle interne de l'entit ;

un environnement informatique peut ainsi avoir une incidence sur la dmarche du commissaire aux comptes lors de : la prise de connaissance des systmes comptable et de contrle interne, la prise en compte du risque inhrent et du risque li au contrle, la mise en uvre des procdures d'audit.

La nature des risques dans un environnement informatique est lie aux spcificits suivantes :

le manque de trace matrielle justifiant les oprations, qui entrane un risque plus important de non-dtection des erreurs contenues dans les programmes d'application ou les logiciels d'exploitation ;

l'uniformit du traitement des oprations, qui permet d'liminer quasiment toutes les erreurs humaines ; en revanche, les erreurs de programmation peuvent entraner un traitement incorrect de toutes les oprations ;

la sparation insuffisante des tches qui rsultent souvent de la centralisation des contrles ;

le risque d'erreurs et d'irrgularits, qui peut provenir : d'erreurs humaines dans la conception, la maintenance et la mise en uvre plus

importantes que dans un systme manuel, d'utilisateurs non autoriss qui accdent, modifient, suppriment des donnes sans trace

visible. Par ailleurs, la possibilit de dtection de ces erreurs et irrgularits est affecte par le fait qu'elles sont souvent intgres lors de la conception ou de la modification de programmes d'application ou de logiciels d'exploitation, et sont aussi difficilement identifiables dans le temps.

En rsum, les risques en milieu informatis peuvent rsulter de dfaillances dans les activits informatiques gnrales, telles que :

le dveloppement et la maintenance des programmes ;

l'exploitation du systme ;

les traitements particuliers ;

la scurit physique ;

les contrles d'accs pour les utilisateurs privilgis.

Le CAC ne peut ignorer ni les incidences des technologies de l'information, ni les possibilits que ces technologies reprsentent dans l'accomplissement de sa mission. Si le CAC ne dispose pas des comptences informatiques ncessaires, la norme prcise qu'il dtermine si des comptences informatiques particulires sont ncessaires pour raliser la mission. Si tel est le cas, il se fait assister par un professionnel possdant ces comptences. Il peut tre un collaborateur ou un spcialiste externe.

Le risque d'audit Selon les normes professionnelles ISACA, le risque d'audit est compos du risque inhrent, du risque de contrle et du risque de (non-) dtection

Les composantes du risque d'audit

Risque Description

Risque inhrent C'est un risque indpendant de la mission d'audit, qui apparat en fonction de la nature de l'entreprise, c'est--dire de son environnement, march, et catgorie, mais aussi de la culture d'entreprise et du style de management qui lui est propre.

12/20


Risque de contrle C'est le risque qu'une erreur significative existe sans tre prvenue ou dtecte temps par le systme de contrle interne.

Risque de (non-) dtection

C'est le risque qu'un auditeur utilise une procdure de test inadquate et conclut qu'il n'y a pas d'erreurs alors qu'en ralit, il y en a.

Par exemple, le risque de non-dtection de failles de scurit dans un SI doit tre considr comme lev car l'exhaustivit en ce domaine peut difficilement tre atteinte.

l'oppos, le risque de non-dtection li l'absence de plan de secours informatique est gnralement bas car la documentation de ces plans existe ou n'existe pas, ce qui peut tre trs facilement vrifi.

Risque d'audit

C'est la combinaison des catgories individuelles des risques value pour chaque objectif spcifique de contrle.

L'auditeur fera en sorte que le risque d'audit soit limit un niveau suffisamment bas sur le domaine audit. Pour ce faire, il dploiera une approche d'audit en consquence.

L'opinion du CAC sur les comptes ncessite qu'il obtienne l'assurance que les comptes ne comportent pas d'anomalies significatives. Cette assurance doit tre la plus leve possible mais non absolue en raison des limites propres aux missions d'audit. On parlera alors d' assurance raisonnable sur les comptes. cet effet, il convient de rduire le risque d'audit.

Le risque d'audit comprend deux composantes : le risque d'anomalies significatives dans les comptes et le risque de non-dtection de ces anomalies par le commissaire aux comptes.

Le risque d'anomalies significatives dans les comptes est propre l'entit audite ; il existe indpendamment de l'audit des comptes pratiqu. Il se subdivise en risque inhrent et risque li au contrle. Les normes d'exercice professionnel homologues et code de dontologie de la CNCC (4 dcembre 2008) dfinissent ainsi ces risques :

Le risque inhrent correspond la possibilit que, sans tenir compte du contrle interne qui pourrait exister dans l'entit, une anomalie significative se produise dans les comptes.

Le risque li au contrle correspond au risque qu'une anomalie significative ne soit ni prvenue ni dtecte par le contrle interne de l'entit et donc non corrige en temps voulu.

Le risque de non-dtection est propre la mission d'audit : il correspond au risque que le commissaire aux comptes ne parvienne pas dtecter une anomalie significative

Exemples

Incidence sur le risque inhrent

Selon les modalits d'achat ou de dveloppement des applications informatiques d'une entit, l'incidence sur le risque inhrent est :

leve si les achats ou les dveloppements sont lancs conscutivement des incidents majeurs ;

modre si les achats ou les dveloppements sont effectus selon un plan prdfini selon des critres financiers et non pas techniques ;

faible si les achats ou les dveloppements sont raliss selon un plan prtabli tenant compte des besoins des utilisateurs et des critres techniques tels que l'indisponibilit des solutions existantes, les temps de rponse, etc.

Incidence sur le risque li au contrle

Selon la qualit des interfaces reliant les applications d'un systme d'information d'une entit, l'incidence sur le risque li au contrle est :

leve si les interfaces sont manuelles (risque de non-exhaustivit ou de double imputation) ;

leve si les interfaces automatiques sont rcemment introduites dans le SI sans dition et conservation des tats d'anomalie lors des transferts des informations entre applications ;

modre si les tats d'anomalies des interfaces sont conservs en vue d'une correction ultrieure. Si les modifications sont ralises trop tardivement, elles risquent d'tre imputes sur l'exercice suivant, ce qui peut conduire au non-respect du principe d'indpendance des exercices ;

faible si les interfaces automatiques sont prouves et les tats d'anomalies rgulirement contrls par un acteur responsable qui en assure par ailleurs la conservation.

13/20


Le risque le plus important pour le commissaire aux comptes est le risque de nondtection. Lorsque le CAC apprcie le risque d'anomalies significatives (risque inhrent et risque li au contrle) un niveau lev, il met alors en uvre des procdures d'audit complmentaires.

La dmarche d'audit du CNCC

Les spcificits de l'environnement informatique sont prises en compte dans les principales normes au cur de la dmarche d'audit propose par la CNCC, savoir la connaissance de l'entit et de son environnement et valuation du risque d'anomalies significatives dans les comptes (NEP 315), et les procdures d'audit mises en uvre l'issue de l'valuation des risques (NEP 330).

La NEP 315 stipule que lors de la prise de connaissance des lments du contrle interne pertinents pour l'audit, le commissaire aux comptes doit prendre notamment connaissance du systme d'information relatif l'laboration de l'information financire. ce titre, le CAC s'intresse notamment :

aux catgories d'oprations ayant un caractre significatif pour les comptes pris dans leur ensemble ;

aux procdures, informatises ou manuelles, qui permettent d'initier, enregistrer, traiter ces oprations et de les traduire dans les comptes ;

aux enregistrements comptables correspondants, aussi bien informatiss que manuels ;

la faon dont sont traits les vnements ponctuels, diffrents des oprations rcurrentes, susceptibles d'engendrer un risque d'anomalies significatives ;

au processus d'laboration des comptes, y compris des estimations comptables significatives et des informations significatives fournies dans l'annexe des comptes (Normes d'exercice professionnel homologues et code de dontologie, CNCC 4 dcembre 2008).

Ces diffrents points sont pris en compte ds la planification de l'audit (NEP 300) qui est formalise, d'une part, dans un plan de mission qui dcrit la nature et l'tendue des contrles mettre en uvre, d'autre part dans un programme de travail. La prise en compte du SI ds le dbut de la dmarche d'audit est importante pour le bon droulement de la mission. Elle conduit le CAC apprcier :

la stratgie informatique ;

la fonction informatique et son importance dans l'entreprise en vue de dterminer l'impact de l'informatique sur la production des informations comptables et financires ;

le pilotage du systme d'information ;

les principales applications et l'architecture mises en uvre ;

14/20


la gestion de la scurit informatique ;

les projets cls ;

les contraintes lgales et rglementaires respecter.

La prise de connaissance de l'environnement informatique de l'entit permet au CAC de constituer un dossier permanent servant de base pour capitaliser des connaissances du cadre de rfrence pour la conduite des missions futures.

Le CAC apprcie l'impact de l'environnement informatique sur le risque inhrent et le risque li au contrle afin d'valuer le risque d'anomalies significatives dans les comptes. Cette tape de la mission comprend donc :

l'incidence de l'environnement informatique sur le risque inhrent. Elle s'apprcie au regard des lments suivants : la conception et l'acquisition des solutions informatiques, la distribution et le support informatique, la gestion de la scurit et la gestion des projets informatiques. L'environnement informatique d'une entreprise peut entraner un risque inhrent lev et avoir une consquence terme sur la continuit d'exploitation.

Une entreprise spcialise dans l'e-commerce est fortement dpendante de son informatique. Elle peut voir remise en cause son activit en cas de dfaillance majeure survenant dans son systme d'information.

l'incidence de l'environnement informatique sur le risque li au contrle. Elle s'apprcie par l'tude des processus et des applications jouant un rle significatif dans la production des comptes de l'entreprise. L'identification des contrles raliser dpend des rsultats obtenus dans la phase Orientation et planification de la mission et l'tape Incidence de l'environnement informatique sur le risque inhrent .

l'tude des interfaces peut mettre en vidence un risque lev en termes d'exhaustivit de l'information comptable. Des contrles substantifs seront alors ncessaires dans la phase Obtention d'lments probants pour quantifier les donnes non prises en compte en comptabilit et demander l'entreprise de passer des critures correctrices.

La premire anne du mandat, la prise en compte de l'environnement informatique est trs consommatrice en temps mais les annes suivantes, sous rserve qu'aucune modification majeure ne vienne impacter le SI, le poids relatif de ces travaux sera en nette diminution.

Selon la NEP 330, lorsqu'il a pris connaissance de l'entit et valu le risque d'anomalies significatives dans les comptes, le commissaire aux comptes adapte son approche gnrale et conoit et met en uvre des procdures d'audit qui lui serviront de base pour se forger une opinion sur les comptes. Il dtermine alors les contrles de substance mener lorsqu'il a dtermin un risque inhrent lev.

Le CAC peut appliquer des procdures d'audit manuelles, des techniques assistes par ordinateur ou combiner les deux pour rassembler suffisamment d'lments probants.

Anomalies lies aux contrles applicatifs, identifies lors de l'valuation des systmes comptable et de contrle interne, qui pourraient avoir une incidence sur l'opinion du CAC

Oprations comptables ou montants significatifs non transmis par une interface entre une application de gestion commerciale et un progiciel de comptabilit.

Identification d'une anomalie significative lors de l'analyse d'un fichier informatique issu d'un PGI (dprciation calcule partir d'une base errone, erreur de valorisation des stocks d'en-cours de production, etc.).

Absence ou erreur dans la mise jour du rfrentiel de l'application de paie ou du module de paie d'un PGI.

Contrle interne dficient ou absent, au sein d'une application qui gre un processus majeur de l'entreprise ou d'un PGI qui supporte les processus critiques d'une entit.

Mise en vidence d'irrgularits ou d'inexactitudes dans la comptabilisation des achats.

Les supports oprationnelsLes supports oprationnels sont des modles de feuilles de travail permettant de mettre en uvre la mthodologie.

15/20


orientation et planification de la mission :

prise de connaissance de linformatique dans lentreprise : modle de tableau permettant de dterminer lincidence sur la fiabilit du systme dinformation, de la stratgie informatique, de la fonction informatique, de limportance de linformatique dans lentreprise, de la complexit du systme dinformation,

description du systme dinformation de lentreprise : cartographies dapplications et techniques, tableaux dinventaire correspondants,

valuation des risques et obtention dlments probants :

incidence de lenvironnement informatique sur le risque inhrent : modle de tableau permettant de dterminer lincidence sur le risque inhrent de la conception et lacquisition des solutions informatiques, la distribution et le support informatique, la gestion de la scurit, la gestion des projets informatiques,

formalisation des processus : utilisez les MOT, diagramme d'activits UML ou le BPMN ;

incidence de lenvironnement informatique sur le risque li au contrle : modle de tableau permettant de dterminer lincidence sur le risque li au contrle de chaque processus, partir des assertions sous-tendant ltablissement des comptes,

exemple de prsentation schmatique de la synthse des risques.

L'audit assist par ordinateur Face au volume croissant des donnes et la complexit des SIC utiliss par les entreprises, l'auditeur doit se doter d'outils pour automatiser les travaux d'audit pour :

faciliter des contrles non ralisables manuellement et obtenir une assurance renforce ;

permettre des contrles exhaustifs sur de gros volumes de donnes pour disposer de rsultats pertinents ;

obtenir des niveaux d'analyse de donnes plus dtaills que ceux offerts par les outils utiliss par l'entit audite.

Les techniques d'audit assist par ordinateur proposes peuvent tre utilises tant dans l'valuation des risques et dans l'obtention d'lments probants des missions d'audit lgal des comptes que pour des missions contractuelles.

Les tapes de l'audit assist par ordinateur L'audit assist par ordinateur dbute parfois lors de l'valuation des risques et essentiellement, lors de l'obtention d'lments probants.

Les tapes prsentes ci-aprs sont relatives la mise en uvre des techniques d'audit assist par ordinateur dans une mission d'audit lgal, mais elles sont transposables une mission contractuelle.

tape 1 - Rcupration des fichiers informatiques Aprs la prise de connaissance de l'entit et de son environnement et la revue gnrale du systme d'information, la conduite de la revue d'application permet d'valuer :

la conformit du paramtrage et des traitements applicatifs avec les rgles de gestion arrtes par l'entit et les rgles lgales en vigueur ;

l'intgration ou l'interfaage des applications ;

l'efficacit des contrles programms par l'entit audite permettant d'avoir une assurance satisfaisante sur l'exhaustivit, la ralit, l'intgrit, la confidentialit et la disponibilit des donnes traites.

Aprs ces activits, le CAC :

identifie les risques ;

dfinit les donnes exploiter (contenues dans des fichiers ou des bases de donnes) ;

rcupre les fichiers et les bases de donnes ncessaires la ralisation des tests informatiques utiles l'audit, dans un format et sur un support adapts pour la rcupration

16/20


dans l'environnement informatique de l'auditeur. Compte tenu de la diversit des technologies et des formats existants ainsi que du volume des donnes, la rcupration n'est pas aise.

tape 2 - Validation des fichiers La validation des fichiers imports par l'auditeur ncessite de rapprocher ces fichiers avec la comptabilit de l'entit afin de s'assurer que les donnes rcupres n'ont subi aucune modification lors de l'extraction et de l'intgration dans l'environnement informatique de l'auditeur.

tape 3 - Ralisation des tests Une fois le contrle des fichiers ralis, les tests peuvent tre lancs. Ils permettent l'auditeur, d'une part, de confirmer, sur la base d'lments tangibles, exhaustifs et incontestables, ses valuations et, d'autre part, d'accder l'audit de systmes complexes de traitement, non contrlables sans le recours des outils informatiques. En raison de leur importance, il est essentiel que les tests raliss puissent tre reproduits ultrieurement et que toutes les tapes intermdiaires soient sauvegardes. Il est recommand que le logiciel de traitement des donnes gnre un journal des tests effectus.

Cette tape aboutit la constitution d'un dossier contenant les rsultats des tests. Ils peuvent prendre des formes variables en fonction des objectifs, de l'tendue des tests raliss et de l'exploitation qui en sera faite.

tape 4 - Analyse et synthse Cette dernire tape consiste analyser et interprter les rsultats des tests. Un rapport de synthse est alors rdig, dcrivant notamment les tests raliss et les recommandations qui en dcoulent.

Les techniques d'audit assist par ordinateur, TAAO (Computer Assisted Audit Techniques, CAATs)

Les techniques d'audit ponctuel L'audit assist par ordinateur mobilise principalement des logiciels de traitement des donnes permettant l'interrogation de fichiers ou de bases de donnes et la ralisation de diffrents types de tests, dont les plus frquemment utiliss en audit sont :

les tests de totalisation ; les tests de calculs ; les tests de comparaison de fichiers ou de bases de donnes ; les tests d'analyse par stratification, qui permettent de dtecter des anomalies ; les tests d'extraction, afin d'analyser des populations spcifiques sur des combinaisons de

critres dfinis. Contrles substantifs

La vrification de calculs : calculs des dotations aux amortissements, du cumul des amortissements et de la valeur nette comptable partir des donnes issues du logiciel de gestion des immobilisations pour vrifier la valeur brute, le cumul des amortissements et la valeur nette comptable des immobilisations en comptabilit.

La comparaison de fichiers et l'extraction d'anomalies : comparaison des fichiers des cots de revient et des prix de vente d'lments en stock pour dterminer les dprciations ncessaires.

L'extraction de donnes contenues dans des fichiers ou des bases de donnes selon diffrents critres : valeurs montaires suprieures au seuil de 5 000 , critures passes aprs la date du 28/02/N.

Le tri des donnes contenues dans des fichiers ou des bases de donnes selon diffrents critres : ordre croissant des valeurs montaires, critures passes sur la priode du 01/01 /N au 31/12/N.

Ces diffrents types de tests contribuent vrifier que les traitements des donnes dans les applications des entits audites sont raliss selon les rgles comptables et fiscales en vigueur.

L'auditeur dispose galement d'un ensemble d'outils informatiques rpondant chacune des phases de la mission d'audit

17/20


Les outils informatiques ddis chaque phase de la mission d'audit

Phase Outils

tude prliminaire Outils de requtes et collecte d'information, outils d'ditions, outils d'accs Internet, etc.

Conduite de mission

Outils de restitution Outils de gestion documentaire Outils de planification Outils de gestion de papier de travail

Travail terrain

Outils de dtection d'anomalies, de fraudes, etc., bass sur l'analyse de donnes nombreuses ou des techniques d'chantillonnage Outils de calculs et de comparaisons pour raliser des tests analytiques et statistiques Outils pour rechercher et croiser des informations Etc.

www.afai.fr

Il existe galement des outils plus spcialiss qui permettent de raliser des tests d'audit en milieu informatis, gnralement la disposition des auditeurs informatiques.

Les outils informatiques ddis aux tests d'audit en milieu informatis

Type de logiciel Description

Gnrateur de donnes de tests Prparation automatique de fichiers de tests

Utilitaires standard Livrs avec les systmes d'exploitation, pour extraction/ fusion de fichiers, tris de donnes, etc.

Logiciel de gestion-de changement Logiciel vrifiant l'intgrit et la pertinence des modifications des programmes

www.afai.fr

L'ensemble des outils logiciels utilisables dans les phases d'audit constitue les CAATs (Computer Assisted Audit Techniques).

D'un audit ponctuel un audit continu

Les techniques d'audit assist par ordinateur permettent d'envisager un glissement d'un audit ponctuel un audit continu qui amliorerait la capacit des auditeurs internes et externes rpondre aux obligations relatives au contrle interne tant donn qu'il comporte essentiellement les deux volets suivants :

l'valuation continue du contrle, qui se focalise sur la dtection au plus tt des dficiences de contrle ;

l'valuation continue des risques, qui met en lumire les processus ou les systmes qui prsentent un niveau de risque mal apprhend par le systme de contrles permanents.

Selon l'AFI, l'audit continu est une dmarche d'audit caractrise par l'usage intensif de CAATs, exercs avec une frquence proportionne aux vnements ou risques traiter . Plusieurs approches d'audit continu assist par ordinateur existent

18/20


Les diffrentes approches d'audit continu assist par ordinateur

Approche Description

SCARF (Systems Control Audit Review File) et EAM (Embedded Audit Modules)

Consiste introduire des logiciels d'audit crits spcialement l'intrieur du systme d'applications de l'entreprise, de sorte que les systmes applicatifs soient pilots de manire slective.

SNAPSHOT Consiste prendre des images tout au long du chemin de traitement (processing path) suivi par une transaction. On enregistre les volutions de donnes slectionnes, pour une rvision ultrieure pratique par l'auditeur.

AUDIT HOOKS Parties de logiciels embarqus sur des systmes applicatifs, pour fonctionner comme des drapeaux rouges. Ils doivent permettre l'auditeur d'agir avant qu'une erreur ou une irrgularit ne soit alle trop loin.

ITF (Integrated Test Faci/ities) Cette technique consiste introduire des entits fictives dans les fichiers de production. L'auditeur peut demander au systme de travailler soit avec les programmes de production, soit avec les programmes de test, afin que les programmes mettent jour les entits fictives.

CIS (Continuous and Intermittent Simulation)

Le systme dclenche une simulation d'excution d'instructions de l'application, afin de s'assurer de la fiabilit de la transaction. Le dclenchement est fait sur certains critres prdtermins (montant ou autre). Sinon, le simulateur attend jusqu' la prochaine transaction qui prsentera les critres voulus.

www.afai.fr

Les avantages de l'audit assist par ordinateur Les logiciels de traitement des donnes sont des outils plus puissants que les outils bureautiques standard comme les tableurs, par exemple. Leur recours permet de traiter rapidement des volumes de donnes importants, ce qui est source de gains de productivit. De plus, partir des donnes intgres dans ces logiciels, il est possible de paramtrer des requtes facilitant la recherche d'anomalies, les impacts de changement de mthodes comptables, etc. Des contrles plus importants peuvent donc tre conduits partir de ces solutions, ce qui permet de fiabiliser les rsultats obtenus et de limiter les risques lis aux missions d'audit. De plus, ces logiciels respectent des principes renforant la qualit des travaux conduits comme l'intangibilit des donnes et la conservation des historiques.

Les progiciels d'aide la rvision Si de nombreux CAC travaillent encore sur tableur, la profession s'appuie de plus en plus sur des progiciels spcialiss dans la rvision et l'audit des comptes dont la porte des fonctionnalits est plus large que les logiciels de traitement des donnes tudis. Diffrents progiciels sont disponibles sur le march : RevisAudit de la socit Gest On Line, REVOR conu par Norbert Lecomte, Expert-Comptable et Commissaire aux Comptes, etc.

L'organisation des progiciels d'aide la rvision Les logiciels de rvision et d'audit sont gnralement structurs comme le progiciel RevisAudit (www.revisaudit.fr) :

le dossier permanent est le point d'entre du dossier client. Il contient toutes les informations gnrales et spcifiques du client telles que la liste des associs, des procs-verbaux, les conventions et contrats, les abonnements, etc. Il permet de crer et de consulter les dossiers annuels ;

le dossier d'organisation (ou contrle interne) permet d'apprcier l'organisation interne de l'entit par cycles, au travers de diffrents outils : un descriptif de l'entit, un questionnaire complet class par assertions, un formulaire de rpartition des tches, un formulaire de tests de conformit. Les principales fonctions de l'entit contrle sont ainsi passes en revue avec les diffrentes fonctionnalits proposes ;

le dossier de contrle CAC permet de raliser l'approche par les risques, de btir le plan de mission, de vrifier la rgularit comptable et juridique, de faire la revue du dossier et de raliser toute la partie contrles spcifiques (contrles de l'inventaire, de l'annexe, du rapport de gestion). L'auditeur s'appuie sur les fonctionnalits proposes qui permettent de s'assurer qu'aucun lment n'a t oubli. L'outil informatique le renseigne galement sur l'avancement de la mission ;

19/20


le dossier gnral (dossier annuel) permet de visualiser la balance N/N-1 importe du systme d'information du client ou du logiciel de comptabilit du cabinet. Il stocke, en plus de la balance :

le journal d'OD, le bilan et le compte de rsultat, les soldes intermdiaires de gestion, les principaux ratios, etc. ;

le dossier de rvision comporte des feuilles de rvision prformates, en liaison avec la balance et le journal d'OD, qui permettent de raliser une rvision dynamique et exhaustive. Chaque cycle du dossier de rvision prsente un programme de travail propre au cycle, une feuille prsentant l'ensemble des comptes retrouvs dans le cycle ainsi que de nombreuses feuilles ncessaires la rvision du cycle. La majorit des feuilles dispose d'un assistant de travail, qui permet, entre autres choses :

d'effectuer des extractions de compte ou d'critures spcifiques, d'automatiser certains calculs, de rcuprer les feuilles N-1, le contrle des stocks, le contrle des payes, etc.

Toutefois, l'organisation des logiciels de rvision et d'audit peut diffrer, mais des fonctionnalits identiques sont proposes.

Les avantages des progiciels d'aide la rvision Les logiciels de rvision et d'audit prsentent de nombreux avantages. Ils permettent notamment une standardisation et une rationalisation des missions de rvision par une automatisation des tches rptitives et un pr-paramtrage des documents de travail (feuilles de travail). Les feuilles de travail peuvent ensuite tre adaptes au contexte et tre dupliques pour les exercices suivants ou pour des missions conduites dans d'autres entits prsentant les mmes caractristiques.

De plus, les logiciels d'aide la rvision permettent l'intgration par import des dossiers clients, ce qui limite la ressaisie et les risques d'erreurs.

Ils facilitent galement le suivi des dossiers et des missions par la dfinition des collaborateurs intervenant sur les dossiers et les tches de la mission. Leurs fonctionnalits favorisent ainsi un travail collaboratif et une gestion des comptences des collaborateurs pour accrotre la productivit au sein du cabinet comptable.

Les progiciels d'aide la rvision offrent, travers une solution unique, tant la possibilit de conduire des missions d'expertise comptable que des missions de commissariat aux comptes. Ainsi, les collaborateurs voluent dans un environnement informatique cohrent o les difficults d'apprentissage sont moindres, ce qui favorise galement des gains de productivit. De plus, ces solutions permettent de redfinir les postes de travail intgrant un enrichissement des tches et une approche collaborative.

Ces solutions intgrent galement la dmatrialisation des pices des dossiers, ce qui permet le partage de documents entre diffrents collaborateurs, rduit les problmes de stockage des dossiers et d'archivage sur de longues priodes. L'archivage sous forme numrique permet galement, au travers de la GED (gestion lectronique de documents), de faciliter et d'acclrer les travaux de recherche d'informations. La dmatrialisation favorise galement le nomadisme afin de poursuivre les travaux d'audit au sein des entreprises audites, par exemple.

20/20

Carte heuristiqueGnralitsLes missions d'audit Les contextes d'audit L'audit des systmes d'information Les diffrents types de missions d'audit La dmarche d'audit

Le cadre lgal et normatif de l'audit Les normes et les rfrentiels Le rfrentiel CobiT Les normes professionnelles internationales Le contrle interne

Le contrle des comptes des entits informatises Le systme d'information comptable (SIC) La prise en compte de l'environnement informatique lors de l'audit lgal des comptes Le risque d'audit

La dmarche d'audit du CNCCLes supports oprationnels

L'audit assist par ordinateur Les tapes de l'audit assist par ordinateur Les techniques d'audit assist par ordinateur, TAAO (Computer Assisted Audit Techniques, CAATs) Les progiciels d'aide la rvision Les avantages des progiciels d'aide la rvision

cours msi audit

Documents