Audit Des Systèmes d’Informations Approche Dans Le Cadre d’Audit Financier
Short Description
Audit Des Systèmes d’Informations Approche Dans Le Cadre d’Audit Financier...
Description
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Institut Supérieur du Commerce et de l’Administration des Entreprises www.memoiregratuit.com
Mémoire de fin d’études option finance Comptabilité
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Année universitaire 2008-2009
Préparé par : TRARI OUMAIMA (FC1/G2A) Année universitaire 2008-2009 KHALILI SAFA (FC1/G1A)
Encadré par : M. ISSADIK OMAR
1
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Dédicace A nos parents, Les êtres qui nous sont les plus chers au monde. Que ce travail soit l’exaucement de vos vœux tant formulés, de vos prières et le fruit de vos innombrables sacrifices. A nos très chers frères et sœurs, Pour leur soutien moral. Que votre vie soit pleine de succès. A nos amis et toute la famille. A tous ceux qui nous sont chers. Nous dédions ce travail
2
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Remerciement Nos profondes gratitudes à toutes les personnes ayant contribué de près ou de loin au bon déroulement et à la réussite de ce mémoire. Nous adressons un remerciement particulier à Monsieur ISSADIK OMAR, expert comptable et professeur à l’ISCAE, pour avoir accepté d’être notre encadrant afin de mener à bien ce travail. Nous le remercions non seulement pour son soutien permanent mais aussi pour ses remarques pertinentes et ses précieux conseils. Enfin, nous tenons à exprimer nos remerciements les plus sincères à tous nos professeurs de l’ISCAE, pour la formation de qualité qu’ils nous ont dispensée et ce tout au long des quatre années du cycle normal de l’ISCAE.
3
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Sommaire Dédicace ................................................................................................................................................. 2 Remerciement ........................................................................................................................................ 3 Introduction............................................................................................................................................ 5 Partie I : L’environnement général des systèmes d’information : Un préalable nécessaire pour la conduite d’une mission d’audit. ........................................................................................................ 7 Chapitre 1 : Vue générale sur les systèmes d’information ...................................................................................... 9 Section 1 : Le cadre conceptuel des systèmes d’information ............................................................................... 9 Section 2 : Le cadre légal et institutionnel des systèmes d’information................................................................ 17 Chapitre 2 : Les systèmes d’informations et l’entreprise ..................................................................................... 25 Section 1 : Nécessité des systèmes d’information dans l’entreprise .................................................................... 25 Section 2 : Spécificité des systèmes comptables et des contrôles internes dans un milieu informatisé. ....................... 28 Section 3 : Risques liés aux systèmes d’information....................................................................................... 44
Partie II : L’audit des systèmes d’information : une démarche intégrée à la mission d’audit financier ................................................................................................................................................ 51 Chapitre 1 : Impact des systèmes d’information sur l’audit financier ....................................................................... 53 Section 1 : Organisation de la mission......................................................................................................... 53 Section 2 : Compétences requises ............................................................................................................ 55 Chapitre 2 : Proposition d’une démarche d’audit financier dans un milieu informatisé ................................................. 60 Section 1 : Orientation de la mission d’audit ................................................................................................. 60 Section 2 : Appréciation du contrôle interne ................................................................................................ 73 Section 3 : Obtention d’éléments probants .................................................................................................. 97
Conclusion ............................................................................................................................................101 Bibliographie ...................................................................................................................................... 103
4
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Introduction La mission de l’auditeur financier est de vérifier et d'exprimer une opinion sur les comptes d'une organisation. Il s'agit pour ce professionnel de se former une conviction sur la validité des documents financiers de l'entreprise avec le référentiel comptable généralement admis; et donc de s'assurer qu'ils traduisent bien les opérations réalisées dans leur intégralité et qu'ils ne donnent pas une image de l'entreprise contraire à sa situation effective. Dans ces missions d'audit, les systèmes d’informations prennent de plus en plus d'importance. Les auditeurs se trouvent confrontés à des systèmes comptables ou financiers basés sur des systèmes d’informations dans l'exercice de leurs missions légales ou contractuelles Cependant, ces systèmes d’informations subissent une évolution de plus en plus rapide. Ainsi, l'approche d'audit, usuellement adoptée dans les entreprises, doit répondre à ce nouveau contexte et aux risques nouveau-nés liés à la mise en place des systèmes d’informations par l’entreprise. En effet, ce
nouveau contexte a une influence sur la démarche suivie par
l’auditeur financier pour acquérir une connaissance suffisante des systèmes comptables et de contrôle interne. La complexité des systèmes d'information liée à l'utilisation des nouvelles technologies impacte le risque inhérent et le risque lié au contrôle permettant d'évaluer le risque d'audit. Cet environnement informatisé impose alors à l’auditeur d'adapter la conception et l'exécution de ses contrôles pour
5
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier obtenir suffisamment d'éléments probants et se forger une assurance raisonnable sur les états financiers de l'entreprise auditée. La démarche d'audit des systèmes d'information en support à l'audit financier est donc une démarche intégrée. La prise en compte de l'informatique par l’auditeur ne doit pas être confondue avec un audit informatique ou une évaluation de la performance d'un système d'information qui reste des missions contractuelles entre un cabinet de conseil et une entreprise, souvent par l'intermédiaire de la Direction des Systèmes d'Information. La démarche d’audit financier concernant les systèmes d'information ne fait que contribuer à l'objectif final de toute mission d’audit en général qu'est l'émission d'une opinion sur les comptes. Ainsi, la problématique du présent mémoire s’articule autour de la question suivante Quelle démarche le commissaire aux comptes doit-il adopter dans le cadre de l’audit des systèmes d’information, compte tenu de leur complexité, afin de mesurer la fiabilité de l’information financière émanant de ces systèmes d’information ? Pour répondre à cette question, ce mémoire sera structuré en deux parties : •
La première partie sera consacrée à la présentation du cadre général des systèmes d’information à savoir leur définition, rôles, et les risques liés à ces systèmes dans l’entreprise.
•
Dans une deuxième partie nous traiterons, en premier lieu, les principaux impacts des systèmes d’informations sur l’audit financier, et par la suite nous allons proposer une démarche présentant les différentes phases de la mission d’audit en milieu informatisé.
6
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Partie I : L’environnement général des systèmes d’information : Un préalable nécessaire pour la conduite d’une mission d’audit.
7
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Introduction de la première partie Aujourd’hui, Les systèmes d’information revêtent un caractère stratégique dans le monde des entreprises. Ils permettent à l’entreprise d’une part, d’adapter en permanence sa structure aux exigences de son marché et, d’autre part, d’être en mesure, d’augmenter continuellement sa productivité. Le recours aux systèmes d’information provoque alors une amplification considérable de la dépendance des entreprises envers ces systèmes et affecte leurs systèmes comptables et de contrôle interne. Cependant ils engendrent pour l’entreprise une panoplie de risques qu’elle est appelée à maîtriser.
Au cours de cette première partie, nous aborderons alors dans un premier temps les notions d’information, de système d’information. Nous verrons le caractère essentiel du système d’information au bon fonctionnement de l’entreprise. Nous traiterons également les principales réactions des législations et des organismes professionnels en la matière.
Dans un second temps, nous examinerons l’impact des systèmes d’informations sur le système comptable et le contrôle interne de l’entreprise ainsi les risques liés à leur mise en place par l’entreprise.
8
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Chapitre 1 : Vue générale sur les systèmes d’information Dans ce chapitre, nous allons présenter une vue générale sur les systèmes d’information à savoir le rôle de l’information, la notion de système d’information, ses principales composantes et enfin les types des systèmes d’information.
Section 1 : Le cadre conceptuel des systèmes d’information 1-1 Pourquoi l'information est-elle aussi importante ? 1-1-1 L’information, élément de communication Une information est un élément de connaissance susceptible d’être représenté à l’aide de conventions pour être conservé, traité ou communiqué. L’information est multiforme, d’origines diverses, canalisée par des moyens de communication variés. L’information est multiforme dans la mesure où elle peut être représentée sous forme de graphiques, de textes, de listes. Les supports de l’information sont tout aussi variés : fichiers informatiques, éditions papier, films audiovisuels.
L’information a trois rôles principaux : L’information renseigne quotidiennement l’entreprise sur son environnement. Elle émane de partenaires économiques (clients, fournisseurs), financiers (banques, actionnaires)… L’information est un facteur d’organisation. En effet, elle favorise la communication interne et la prise de décision. L’information donne la valeur du patrimoine de l’entreprise (stocks, créances, dettes…). L’information est un vecteur de communication de l’entreprise vers l’extérieur, elle véhicule l’image de l’entreprise, la stratégie commerciale. L’entreprise fournit aux tiers les informations commerciales nécessaires au développement de son activité (caractéristiques de ses produits, grilles de
9
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier prix…), elle publie les informations financières dont les financeurs et organismes fiscaux et sociaux ont besoin.
1-1-2 L’information, une ressource précieuse L'information est un élément de connaissance. Elle n’a pas de consistance, elle est insaisissable et pourtant, l’entreprise ne peut s’en passer : l’information est indispensable à sa survie.
L’information est une ressource précieuse. D’une part parce qu’elle a un coût (de collecte, de conservation…) et d’autre part parce que son absence engendre l’incapacité pour l’entreprise à comprendre son environnement, à prendre des décisions.
La valeur de l’information est volatile, l’information est une denrée périssable. Sa valeur dépend beaucoup de celui qui en prend connaissance, selon qu’il soit le dirigeant, un salarié… ou bien un concurrent. La pérennité de l’entreprise peut être compromise lorsque son système d’information est endommagé (erreur humaine, panne, incendie, intrusion, malversation, malveillance, sabotage…) ou lorsque des informations sensibles sont divulguées ou volées (par erreur ou à la suite d’espionnage industriel)… L’entreprise comprend la valeur de l’information quand celle-ci lui fait défaut. La reconstitution de l’information après un sinistre est en effet très coûteuse voire parfois impossible.
Cependant, l’entreprise ne réalise généralement pas aussitôt la compromission de son système d’information. Ceci est d’autant plus vrai que, dans la majorité des cas,
10
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier les entreprises victimes d’une défaillance grave de leur système d’information ne se relèvent pas. En effet, leur image en est affectée et elle peut perdre la confiance de leurs clients actuels et potentiels.
Les partenaires de l’entreprise attachent une importance particulière à la qualité de l’information produite par son système d’information. Les clients (caractéristiques des produits, prix, délais), les actionnaires (comptes annuels, budgets prévisionnels)… les tiers ont besoin d’une information fiable et cohérente pour traiter avec les entreprises.
Etant donné le caractère stratégique et vital de l’information pour l’entreprise et ses partenaires, la gestion de l’information doit être rationnalisée, encadrée, optimisée et sécurisée. Pour remplir cette tâche, l’entreprise met en œuvre le système d’information.
1-2 Notion de système d’information Un système d’information est un ensemble de moyens techniques et humains mis en œuvre par une organisation avec pour objectif de collecter, mémoriser, traiter, maintenir à jour et restituer, sans perte ni altération, des informations. Chacun des termes de cette définition a son importance. Chaque étape est incontournable. De par l’information véhiculée, le système d’information assure la coordination des différents services, leur permettant d’accomplir les missions qui leur sont dévolues, dans le but de répondre à l’objectif que s’est fixé l’entreprise. Les ressources techniques et humaines mobilisées par l’entreprise dans le déploiement et le maintien de son système d’information dépendent directement de ses moyens financiers, des volumes d’information à traiter et de ses besoins en 11
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier information. L’entreprise devra opérer des choix, notamment en matière de précision de l’information. De fait elle devra faire la part des choses entre le temps nécessaire à l’obtention de l’information et la précision souhaitée ; il en est ainsi en matière de détermination du coût de revient des produits fabriqués. Il en est de même en matière de sécurité, de péremption de l’information. Plus les volumes d’information ne sont lourds, plus leur gestion et leur mise à jour sont coûteuses.
1-3 Les principaux composants du système d’information d’une entreprise Le système d’information de l’entreprise forme un tout indissociable qui traite l’information et la diffuse au sein de l’entreprise permettant un fonctionnement organisé et des réactions structurées face à son environnement. Bien que formant un tout, le système d’information est formé de différents composants qui eux-mêmes répondent à des objectifs propres. Ces objectifs sont définis par les différents services de l’entreprise. Chaque service a des besoins précis et spécifiques ; spécifiques mais complémentaires. Spécifiques car chaque composante permet à chaque intervenant d’exécuter sa mission. Complémentaires car assemblés entre eux, ces différents composants forment une chaîne de traitement qui assure la continuité des échanges de flux d’informations au sein de l’entreprise. Les principaux composants, liés à la gestion de l’information de gestion, que l’on retrouve le plus communément sont principalement : - la gestion des stocks et des achats, - la gestion commerciale, - la comptabilité, - la paye et la gestion des ressources humaines.
12
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Ces différents composants peuvent se subdiviser en fonction des besoins de l’entreprise. Par exemple la comptabilité peut être compartimentée en comptabilité générale, analytique, fournisseurs, clients, trésorerie… Cette fragmentation en soussystème s’opère tant au niveau des services de l’entreprise que du système d’information.
1-4 Les types de systèmes d’informations Il existe deux types de systèmes d’information. Le système d’information technique et le système d’information de gestion. Le premier traite les informations techniques nécessaires d’une part pour l’accomplissement de l’activité de l’entreprise (procédés de fabrication, fiches techniques, recettes produits…), et d’autre part pour la conservation et l’utilisation des savoirs et des connaissances (système expert, base documentaire, veille, gestion électronique de documents). Le deuxième gère l’information financière, comptable et plus généralement l’information qui valorise les transactions, le patrimoine de l’entreprise. En effet, il existe trois types de système d’information de gestion : les systèmes de production de rapports, les systèmes d’aide à la décision et les systèmes d’informations pour dirigeants.
13
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Les systèmes de production de rapports
Les systèmes d'aide à la décision
Les systèmes d'information pour dirigeants
Les systèmes de production de rapports : sont les systèmes d’information de gestion les plus couramment utilisés. Ils fournissent aux gestionnaires utilisateurs l’information qui les aide à prendre prendre des décisions courantes. Ces systèmes leur proposent de nombreux rapports et affichages en formats préétablis. Ils ls extraient de l’information concernant les opérations courantes internes. Ils obtiennent également, de sources externes des données relatives relative au monde des affaires.
Les systèmes d’aide à la décision : Ce sont des systèmes d’information interactifs et informatisés qui font appel à des modèles décisionnels et aux bases de données pertinentes en vue d’aider les gestionnaires à prendre des décisions. ons. Ils sont donc différents des systèmes de traitement transactionnel dont la fonction consiste à traiter les données que produisent les transactions commerciales et le fonctionnement de l’entreprise. Ils différent aussi des systèmes de production de rapports, rapports, lesquels fournissent aux gestionnaires
14
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier des rapports d’information selon un format prédéterminé pour les aider à prendre des décisions structurées.
Au contraire les systèmes d’aide à la décision donnent de l’information aux gestionnaires de manière interactive et sur une base ponctuelle. Un système d’aide à la décision permet la modélisation analytique, l’extraction de données et la représentation graphique de l’information. Les dirigeants s’en servent lorsqu’ils ont besoin d’information pour prendre des décisions non structurées dans un cadre interactif et informatisé.
L’information que fournit un système d’aide à la décision diffère donc des réponses en format préétabli d’un système de production de rapports. Un décideur a recours à un système d’aide à la décision pour explorer différentes possibilités et obtenir des réponses provisoires à ses hypothèses.
Les systèmes d’informations pour dirigeants sont conçus pour fournir l’information stratégique aux membres de la haute direction. Les chefs d’entreprises puisent l’information dont ils ont besoin dans des sources variées : lettres, notes de services, périodiques, rapports manuscrits ou informatisés, réunions, conversations téléphoniques et autres. Ainsi les chefs d’entreprise reçoivent de grandes quantités d’information qui ne proviennent pas d’ordinateurs. En effet, l’information générée par ordinateur ne satisfait vraiment pas tous les besoins en information des chefs d’entreprise.
Les systèmes d’informatisés pour dirigeants facilitent l’accès rapide et immédiat des membres de la haute direction à une information choisie en fonction des facteurs critiques pour le succès de l’entreprise. Il faut donc que 15
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier ces systèmes soient faciles à utiliser et à comprendre. C’est pourquoi ils utilisent abondamment les graphiques et permettent un accès rapide à des bases de données internes et externes. Ils peuvent également décrire la situation actuelle et communiquer les tendances futures des facteurs clés que le dirigeant a préalablement choisis. Ces systèmes sont maintenant très répandus et sont de plus en plus utilisés par les cadres moyens.
16
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Section 2 : Le cadre légal et institutionnel des systèmes d’information Face à l’évolution des systèmes d’information, de nouvelles dispositions législatives sont apparues et différentes réflexions ont été créées. A cet effet, nous allons présenter les principales réactions des législations et organismes professionnelles face à la mise en place des systèmes d’information par l’entreprise.
2-1 Les différentes réflexions en France 2-1-1 La loi du 1er août 2003 sur la sécurité financière (LSF) La loi de sécurité financière (LSF) s'applique à toutes les sociétés anonymes ainsi qu'aux sociétés faisant appel à l'épargne publique. Elle repose principalement sur: Une responsabilité accrue des dirigeants Un renforcement du contrôle interne Une réduction des sources de conflits d'intérêt
2-1-2 Le Conseil National des Commissaires aux Comptes (CNCC) : Le CNCC, à travers la commission informatique, traite des sujets informatiques susceptibles d’avoir un impact sur la mission du commissaire aux comptes. Dans ce cadre, cette commission mène régulièrement des réflexions sur les nouvelles technologies et ce, en : Formulant des avis, en diffusant des guides spécifiques de contrôle dans les entreprises informatisées (exemple : l’audit en milieu EDI, édition 1997, un guide d'application intitulé « Prise en compte de l'environnement informatique et incidence sur la démarche d'audit » qui traite des apports de
17
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier la norme CNCC 2-302 et des domaines sensibles de la démarche du commissaire aux comptes en milieu informatisé) ; Elaborant des outils informatiques d’aide à l’audit et à la gestion administrative des missions ;
Contribuant à la mise en place des actions de formation nécessaires et en organisant des manifestations sur les différents thèmes se rattachant aux systèmes d’information.
Certains travaux ont déjà abouti à des publications spécifiques telles que les sujets traitant de la sécurité informatique, du commerce électronique, de l’échange de données informatisées (EDI), des technologies de la communication, d’Internet et des services publics en ligne, etc., et aussi à des ouvrages dont par exemple « le diagnostic des systèmes informatisés : guide d’application des recommandations ».
2-1-3 L’Association Française d’Audit et du conseil en Informatique (AFAI) : L’Association Française de l’Audit et du conseil en Informatiques a été fondée en 1982 pour :
regrouper tous les professionnels concernés par la maîtrise des systèmes d’information,
favoriser le développement des méthodes et des techniques d’audit et de contrôle des systèmes d’informations,
promouvoir l’emploi de méthodologies et de techniques contribuant à une meilleure maîtrise des systèmes d’information,
aider à améliorer les compétences de tous les intervenants dans le domaine de l’audit et du conseil informatiques. 18
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier L’AFAI réunit, aujourd’hui, plus de 400 adhérents représentant : diverses fonctions au sein des entreprises : direction de l’audit, direction de l’informatique, direction financière et direction du contrôle de gestion, des auditeurs externes, des consultants, des experts comptables et des commissaires aux comptes, des sociétés de service et d’ingénierie informatique, des experts judiciaires, des juristes, des enseignants et des spécialistes de la sécurité informatique.
2-1-4 Le Club de la Sécurité des Systèmes d’Information (CLUSIF) : Fondé en 1984, le Club de la Sécurité des Systèmes d'Information (CLUSIF), offre un cadre dans lequel les acteurs dans le domaine de la sécurité des systèmes d'information, responsables et prestataires de services, se rencontrent, échangent leurs points de vue, partagent leurs expériences et connaissances, travaillent et progressent ensemble.
Les travaux du CLUSIF comprennent des travaux de recherche et développement, des prises de position sur des sujets d'actualité, des guides et recommandations à caractère didactique, l'effet de l’art sur différents types de solutions, des méthodes, des enquêtes, des outils de sensibilisation, etc. Le CLUSIF participe avec un certain nombre d'acteurs de la sécurité à la promotion de la sécurité et fait valoir les besoins et contraintes des utilisateurs auprès des instances dirigeantes.
Il s'implique activement dans le processus éducatif et de sensibilisation et ce, à travers les séances thématiques accordées aux étudiants, enseignants et membres.
19
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
2-2 Les différentes réflexions aux Etats Unis 2-2-1 La loi SARBANES OXLEY Adoptée en juillet 2002 par le congrès américain, la loi Sarbanes Oxley implique que les présidents des entreprises côtées aux états unis certifient leurs comptes auprès de Securities and exchanges commission (SEC) l’organisme de régulation des marchés financiers US Cette loi est guidée par 3 grands principes : L’exactitude et l’accessibilité de l’information La responsabilité des gestionnaires L’indépendance des vérificateurs/auditeurs En quoi les systèmes d’information sont-ils concernés Trois de ses articles ont des implications sur les systèmes d'information : La section 409, dénommée « Real Time Issuer Disclosure » Impose aux entreprises de pouvoir clôturer leurs comptes beaucoup plus rapidement que par le passé. De même, le système d’information financier de l’entreprise doit permettre d’estimer rapidement les conséquences d’un évènement majeur de manière à pouvoir en informer les actionnaires Section 404 « Management Assessment of Internal Controls » Oblige les entreprises à réaliser des contrôles internes dont l’efficacité doit pouvoir être prouvée. Cela peut notamment s’effectuer au niveau technique en mettant en œuvre des solutions disposant de technologies de certification et de signature électronique. 20
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Section 302 « Corporate Responsibility for Financial Reports » vérifie que les comptes sont établis dans les règles de l'art et que le management n'omet aucune information pertinente par rapport aux marchés financiers
2-2-2 AICPA « American Institute of Certified Public Accountants » Il existe une multitude d’associations aux Etats Unis
touchant aussi bien le
domaine de l’audit, de l’informatique, des nouvelles technologies, de la sécurité, etc. Nous nous sommes limités à l’AICPA. L’AICPA a proposé, en novembre 2000, un projet de modification de la SAS (Statement on Auditing Standards) intitulé « Consideration of Internal Control structure in a financial statement audit ». Ce projet focalise sur l’effet des systèmes d’information sur le contrôle interne et sur l’évaluation des risques d’audit. La SAS proposée traite, essentiellement, des points suivants : Décrire comment la technologie de l’information peut affecter le contrôle interne, les éléments probants, et la compréhension par l’auditeur du contrôle interne et l’évaluation des risques, Présenter un guide afin d’aider l’auditeur de déterminer s’il y a lieu de recourir à des spécialistes en technologies de l’information.
Par ailleurs, l’AICPA a traité les aspects suivants :
Implication de l’EDI sur l’audit (Audit Implications of Electronic Data Interchange)
21
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier L’âge des technologies de l’information : Les éléments probants dans un milieu informatisé (The Information Technology Age : Evidential matter in the Electronic environment) L’effet des documents électroniques sur l’audit (Audit implications of Electronic Document Management) L’audit dans un environnement informatisé (Auditing in common computer environments) L’audit au moyen de l’informatique (Auditing with computers) La structure du contrôle interne dans un milieu informatisé : Etude de cas (Consideration of the Internal Control Structure in a Computer Environment : A case study)
2-3 Les différentes réflexions au Maroc 2-3-1 La réglementation marocaine La législation marocaine ne prévoit pas des dispositions spécifiques relatives aux systèmes informatisés, à l’exception de quelques dispositions implicites contenues dans les textes fiscaux, le code du commerce, la loi 9-88 relative aux obligations comptables des commerçants et le CGNC.
2-3-2 Les normes marocaines Selon la norme 2102 du manuel marocain des normes d’audit légal et contractuel : « L'évaluation du contrôle interne d'un système de traitement informatisé de l'information financière » est effectuée selon une démarche en deux parties :
- l'évaluation du contrôle interne de la «fonction informatique »c'est-à-dire, l’ensemble formé par le service informatique et par les utilisateurs dans leurs
22
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier relations avec le service),
-l'évaluation du contrôle interne d'un système ou d'une application (les contrôles sur la préparation et la saisie des données, les contrôles sur l'exploitation : prévention contre des erreurs et fraudes pendant le traitement, la qualité de la documentation, les modifications intervenues d'un exercice à l'autre dans les programmes notamment pour les méthodes d'enregistrement et d'évaluation. ».
2-4 Autres réflexions 2-4-1 ISACA Information Systems Audit and Control Association L’ISACA est une association fondée en 1969 qui englobe des professionnels de la sécurité et du contrôle des systèmes d’information. L’ISACA se veut la référence mondiale reconnue en gouvernance, contrôle des systèmes d’information Groupement international de 20.000 membres dans plus de 100 pays, l’ISACA organise des conférences, des cours et des séminaires, publie des informations techniques, édite des guides, développe et met à jour des normes professionnelles. Elle effectue des travaux de recherche en audit informatique et délivre la certification d’auditeur de systèmes d’information (CISA), label professionnel mondial. L’ISACA a développé et promulgué des Normes Générales ainsi que des directives pour l'Audit des Systèmes d'Information. L'objectif de ces normes et directives est de définir pour les auditeurs un niveau de diligence minimal pour répondre aux responsabilités professionnelles. Elle a aussi développé le COBIT qui constitue un référentiel international de Gouvernance, de Contrôle et de l’Audit des systèmes d’information.
23
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier COBIT a été conçu à partir des meilleures pratiques mondiales en audit et en maîtrise des systèmes d'information. Il est destiné à trois publics différents :
La direction : pour l’aider à trouver l’équilibre entre le risque et l’investissement en contrôles,
Les utilisateurs : pour obtenir des garanties sur la sécurité et les contrôles des services informatiques fournis en interne ou par des tiers
Les auditeurs : pour justifier leur opinion et conseiller la direction sur les contrôles internes.
2-4-2 IFAC (International Federation of Accountants) L’IFAC (International Federation of Accountants) est l’organisation mondiale de la profession comptable. Elle travaille avec 157 membres et associés dans 123 pays pour encourager les comptables du monde entier à suivre des pratiques de haute qualité.
L’IFAC a élaboré plusieurs normes relatives à l’audit financier dans un environnement informatisé. Parmi celles-ci, nous pouvons citer : La norme Internationale relative à l'audit dans le contexte d'un système d'information informatisé, La directive Internationale d'Audit relative à un système d'information fondé sur un micro- ordinateur autonome, La directive Internationale d'Audit relative à un système d'information fonctionnant en réseau et/ou en temps réel, Directive Internationale d'Audit relative à un système à bases de données, Directive Internationale d'Audit relative à l'utilisation des techniques d'audit assistées par ordinateur.
24
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Chapitre 2 : Les systèmes d’informations et l’entreprise Section 1 : Nécessité des systèmes d’information dans l’entreprise 1-1 Positionnement du système d’information dans l’entreprise Une entreprise c’est une stratégie, un produit, un marché, des clients, des ressources humaines, financières, des règles de fonctionnement (hiérarchie, procédures, contrôle interne). Le système d’information s’intègre dans cet ensemble. Il en est l’épine dorsale sans lequel l’entreprise se retrouverait dépourvue de capacité sensorielle et décisionnelle.
Le schéma qui suit a pour but de montrer le positionnement central du système d’information dans l’entreprise. Il assure le traitement de l’information de provenances diverses, sa restitution permanente.
25
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
1-2 Les SI au service de l’exploitation et la gestion de l’entreprise Les systèmes d’information soutiennent l’exploitation et la gestion des entreprises de différentes façons. On peut donc les classer selon qu’ils soutiennent l’exploitation ou la gestion : SI qui soutiennent l’exploitation de l’entreprise
Les SI sur l’exploitation permettent d’avoir une variété de produits informatifs. Ils ont pour mission de traiter de façon efficiente les transactions commerciales, de faciliter les communications, de contrôler les processus industriels, d’accroître la productivité du travail administratif et de mettre à jour les bases de données de l’entreprise. SI qui soutiennent la gestion de l’entreprise
Les SI de gestion soutiennent, en effet, l’exploitation et permettent de répondre aux besoins de la gestion courante de l’entreprise, de même qu’aux besoins des agents de maîtrise Ainsi, former et aider tous les gestionnaires (dirigeants, cadres moyens et agents de maîtrise) dans leur prise de décision constituent des tâches d’envergure. En théorie de nombreuses catégories de SI sont nécessaires pour aider les gestionnaires utilisateurs à assumer leurs responsabilités, notamment : * Les systèmes de production de rapports de gestion * Les systèmes d’aide à la décision * Les systèmes d’information pour dirigeants SI et l’amélioration des processus de l’entreprise
26
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Les investissements en technologie de l’information rendent l’exploitation beaucoup plus efficiente. L’amélioration des processus pour permettre à l’entreprise de réduire ses coûts de façon remarquable et de hausser simultanément la qualité de ses biens et services. En effet, les différentes fonctions de la technologie de l’information permettent d’améliorer les processus de l’entreprise par : *La transformation des processus non structurés et transactions programmées ; *Le transfert des données rapidement et avec facilité sur de grandes distances, éliminant ainsi les barrières géographiques ; *Diminution ou remplacement de la main d’œuvre ; *Application des méthodes analytiques complexes à un processus ; *Apport de grandes quantités de données détaillées sur un processus ; *Possibilité de modifier l’ordre des tâches dans l’exécution d’un travail ainsi que la possibilité de traitement multitâche ; *La saisie et la diffusion des connaissances et de la compétence afin d’améliorer un processus ; *Le suivi minutieux de l’état des entrées et des sorties d’un processus ; *La liaison de deux parties au sein d’un processus en supprimant un intermédiaire.
27
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Section 2 : Spécificité des systèmes comptables et des contrôles internes dans un milieu informatisé. 2-1 Définitions Avant d’entamer les spécificités des systèmes comptables et des contrôles internes, nous avons jugé utiles de rappeler la définition de ces derniers concepts et d’identifier quels sont les domaines susceptibles d’être affectés. Système comptable Selon la norme internationale d’audit ISA 4008, « le système comptable est l’ensemble des procédures et des documents d’une entité permettant le traitement des transactions aux fins de leur enregistrement dans les comptes. Ce système identifie, rassemble, analyse, calcule, classe, enregistre, récapitule et fait la synthèse des transactions et autres événements». Ainsi, il s’agit d’un système chargé de traduire les opérations liées à l’activité de l’entreprise en données financières.
Avec les systèmes d’information et l’intégration des fonctions traitant les opérations et les informations depuis leur source jusqu’à leur enregistrement dans les états financiers, il n’est pas toujours facile de faire la distinction entre le système comptable et les systèmes qui traitent d’autres informations. Ainsi, un système de traitement des achats et comptes fournisseurs traite aussi bien des informations comptables que des informations portant sur d’autres aspects des activités (exemple : les quantités optimales à commander).
28
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Système de contrôle interne
Nombreuses sont les définitions qui ont essayé d’appréhender la notion du contrôle interne. Dans toutes ces définitions, le contrôle interne apparaît comme un état de fait existant dans l’entreprise mais qui doit, par l’intervention humaine, devenir délibéré, c’est à dire constituer un système. Le contrôle interne selon la compagnie nationale des commissaires aux comptes se veut comme étant : « Le contrôle interne est constitué par l’ensemble des mesures de contrôle, comptables ou autres, que la direction définit, applique et surveille sous sa responsabilité, afin d’assurer la protection du patrimoine de l’entreprise, la fiabilité des enregistrements comptables et des comptes qui en découlent ainsi que le pilotage de l’organisation ».
Quant au C.O.S.O (Committee Of Sponsoring Organizations of the Treadway Commission), il définit le contrôle interne comme suit: Le contrôle interne est le processus mis œuvre par le conseil d’administration, les dirigeants et le personnel d’une organisation, destiné à fournir l’assurance raisonnable quant aux objectifs suivants :
* Réalisation et optimisation des opérations : Elle concerne les objectifs de base de l’entreprise, y compris ceux relatif s aux performances, à la rentabilité et à la protection des ressources.
* Fiabilité des informations financières : Elle couvre la préparation d’états financiers fiables, incluant les états financiers intérimaires et les informations
29
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier publiées extraites des états financiers, telles que les publications des résultats intermédiaires.
* Conformité aux lois, réglementation et directives de l’organisation : Elle se rapporte à la conformité aux lois et aux règlements auxquels l’entreprise est soumise.
D’une manière générale, nous pourrons dire que le contrôle interne n’est que le guide permettant au voyageur de se repérer et d’atteindre sa destination. En effet, il prévoit les déroutes et optimise le résultat.
•
Les composants du système de contrôle interne comprennent :
* l’environnement de contrôle : Ceci englobe l’intégrité, l’éthique et la compétence des différents intervenants de l’entreprise * l’évaluation des risques : Ceci englobe l’identification et l’analyse des risques aussi bien internes qu’externes rattachés à la réalisation des objectifs de l’entreprise - les activités de contrôle : C’est la mise en place des actions nécessaires pour faire face aux risques pouvant affecter la réalisation des objectifs de l’entreprise * l’information et la communication : C’est développer et communiquer l’information à temps et dans une forme permettant aux différents intervenants de comprendre et d’assurer leurs responsabilités * la direction (monitoring) : C’est une activité continue afin d’assurer que les procédures fonctionnent comme convenu.
Ces composants opèrent à travers l’ensemble des aspects de l’organisation. En outre, étant donné qu’ils forment un système intégré, les forces dans un domaine
30
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier peuvent compenser des faiblesses soulevées dans d’autres domaines et permettent d’avoir un niveau approprié de contrôle contre les risques de l’organisation. Par ailleurs, dans le cadre d’un audit financier, il est évident que les objectifs et les composants du contrôle interne précités ne sont pas tous pertinents.
Ainsi, dans ce qui suit, on va se focaliser uniquement sur les aspects importants pour l’audit financier et susceptibles d’être significativement affectés par les systèmes d’information.
2-2 Les caractéristiques du système comptable dans un milieu informatisé L’intégration des systèmes informatiques est une des caractéristiques majeures de l’évolution actuelle des systèmes d’information de l’entreprise. Le système comptable est au cœur de cette mutation : il devient une pièce maîtresse du système d’information de l’entreprise en assurant un rôle fédérateur et en garantissant la cohérence des informations de gestion à usage aussi bien interne qu’externe.
Ainsi la présence de l’informatique influence : •
La structure organisationnelle
•
La nature des traitements
La structure organisationnelle L’informatisation croissante des entreprises a des impacts plus ou moins significatifs sur la structure organisationnelle de la société. Les principaux se résument dans: •
L’organisation générale de l’entreprise
La mise en place d’un système d’information au sein d’une entreprise, engendre des changements importants rattachés aux flux des informations et à l’accès aux
31
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier données. On assiste, désormais, à des centres de décision moins centralisés, à des utilisateurs finaux plus concernés par les nouvelles évolutions, à une implication et à une appropriation des systèmes par le top management et à une augmentation du nombre de personnes accédant à l’information. Par ailleurs, l’informatisation peut engendrer une redéfinition des responsabilités des employés.
Toutefois, il y a lieu de préciser que vu la complexité de plus en plus importante des nouvelles technologies de l’information et de la communication, la maîtrise convenable de l’outil informatique dans son sens large, c’est à dire l’interdépendance entre la source des données, leur mode de traitement, leur sortie et leur utilisation, est limitée à un nombre de personnel très réduit. Ces personnes connaissent normalement un nombre suffisant de faiblesses de contrôle interne pour modifier les programmes, les données, leur traitement et leur conservation.
•
La séparation des tâches incompatibles
La séparation des tâches incompatibles est parfois plus difficile dans un milieu informatisé en raison, essentiellement, des facteurs suivants :
_ Réduction du nombre de personnes intervenantes, auparavant, dans le traitement manuel des opérations contre une augmentation du staff informatique centralisant, généralement, de nombreux aspects des systèmes.
_ Les informations comptables et de gestion et les programmes d’application de l’entreprise sont stockés sur des mémoires électroniques et accessibles à beaucoup de personnes au moyen de terminaux. En l’absence de contrôle d’accès appropriés, les personnes ayant accès à des traitements informatiques ou à des fichiers peuvent être
32
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier en mesure de réaliser des fonctions qui devraient leur être interdites ou de prendre connaissance de données sans y être autorisées et sans laisser de traces visibles.
_ Quand le service informatique est important, il est en général plus facile de séparer les tâches incompatibles. Toutefois, dans les entreprises de taille moyenne, la formalisation des tâches à l’intérieur des différentes fonctions est beaucoup moins développée que dans un service d’une taille plus importante.
Ainsi, il convient de préciser que la séparation classique des tâches dans un environnement non informatisé, n’est pas totalement efficace dans un système informatisé, mais peut être renforcée par différents types de logiciels destinés à limiter l’accès aux applications et aux fichiers. Il est donc nécessaire d’apprécier les contrôles portant sur l’accès aux informations afin de savoir si la ségrégation des tâches incompatibles a été correctement renforcée. Pour les petites entreprises, il est difficile de mettre en place une séparation convenable des tâches. Toutefois, l’implication plus importante de la direction peut compenser cette déficience. Signalons qu’au regard du système informatique, il existe trois types d’utilisateurs :
1. Les utilisateurs non autorisés : Il s’agit des intrus externes comme par exemple : les pirates des systèmes (hackers) et les anciens employés. Des contrôles préventifs, particulièrement des contrôles d’authentification des utilisateurs, répondent à ce type de risque. Des contrôles détectifs complémentaires permettent de révéler les éventuels accès réussis. 2. Les utilisateurs enregistrés : L’accès de ces utilisateurs devrait être limité aux applications et aux données rattachées à leurs fonctions. Des contrôles préventifs 33
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier pour ce type d’utilisateurs se présentent sous forme de contrôle d’authentification des utilisateurs et d’allocations de droits limités aux applications nécessaires à l’exécution de leurs tâches. 3. Les utilisateurs privilégiés : Il s’agit de l’administrateur système, les développeurs, les responsables de l’exploitation. Ces utilisateurs nécessitent des privilèges de système ou de sécurité pour la réalisation de leurs travaux.
Bien que les organisations aient besoin de confier les clefs de leur royaume à quelqu'un, c'est tout de même important de rappeler que le privilège et le contrôle ne doivent pas être mutuellement exclusifs.
Les privilèges doivent être assignés avec la mise en place de contrôles afin de s’assurer que ces privilèges ne sont pas abusés. Les contrôles détectifs, tels que l’examen des événements de la sécurité et des changements de statut, sont nécessaires pour répondre aux abus potentiels de privilèges spéciaux.
Par ailleurs, à l’intérieur du département informatique, si les fonctions incompatibles ne sont pas correctement séparées, des erreurs ou irrégularités peuvent se produire et ne pas être découvertes dans le cours normal de l’activité. Des changements non autorisés dans des programmes d’application ou dans des fichiers peuvent être difficiles à détecter dans un environnement informatique. C’est pourquoi, des mesures préventives touchant en particulier le respect de la séparation des fonctions principales de programmation et d’exploitation deviennent indispensables pour assurer la fiabilité de l’information financière. A titre indicatif, les dispositions suivantes devraient être respectées :
34
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier _ Interdiction aux analystes fonctionnels et programmeurs de mettre en marche le système et de l’exploiter
_ Interdiction aux programmeurs d’accéder aux environnements de production
_ Interdiction aux opérateurs d’effectuer des modifications de programmes ou de données.
Dans les départements informatiques plus petits, là où la séparation des tâches n’est pas possible, la capacité à éviter toute opération non autorisée à l’intérieur du département informatique est diminuée. Dans ce cas, les contrôles de compensation deviennent particulièrement importants. Ces contrôles compensatoires peuvent être des contrôles puissants lors de la saisie des données, un traitement correct et complet exercé par les départements utilisateurs et une forte supervision de l’exploitation en cours.
La nature des traitements
Les traitements peuvent être effectués en temps réel (real time processing) ou en temps différé. Ce dernier mode de traitement est souvent appelé traitement « batch » ou traitement par lot. Le plus souvent les traitements sont mixtes et font alternativement appel au temps réel et au temps différé, ce qu’on appelle aussi la mise à jour mémorisée (Memo update).
•
Traitement en temps réel
35
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Le traitement en temps réel est un mode de traitement qui permet l’admission des données à un instant quelconque et l’obtention immédiate des résultats.
Le traitement en temps réel permet un retour d’information instantané. Les qualités essentielles de ce type de traitement sont la restitution immédiate du résultat demandé, l’absence d’en-cours dans le système et la possibilité de corriger immédiatement les erreurs. En contrepartie, les arrêtés de périodes sont difficiles du fait de l’alimentation permanente et continue du système. En conséquence, il devient difficile de reconstituer une situation antérieure.
Néanmoins, ce traitement présente les inconvénients suivants :
* possibilité de mise à jour des fichiers ou des bases de données sans autorisation en l’absence de procédures appropriées de sécurité ; * possibilité de dégradation de l’intégrité du système d’information et plus particulièrement des bases de données, si les procédures d’accès, de validation et contrôle a posteriori ne sont pas appropriées ; * pas de chemin de révision en l’absence de procédures de « journalisation » spécifiques. En temps réel, la mise à jour entraîne, sauf option ou programmation appropriée, la disparition de la donnée périmée par la mise à jour ; * complexité des procédures de sauvegarde, de restauration et de reprise.
•
Traitement par lot
Le traitement par lot est défini comme le traitement suivant lequel les programmes à exécuter ou les données à traiter sont groupés par lot.
36
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier La caractéristique essentielle des traitements par lots est que la mise à jour des fichiers n’est pas immédiate. Pour mettre à jour un ou des fichiers, il faut procéder successivement à la réalisation des phases de saisie, de validation, de recyclage des anomalies et finalement de mise à jour. Dans ce genre de système, le retour d’information est différé, et l’utilisateur ne connaît les résultats du traitement qu’une fois ce dernier réalisé. L’avantage du traitement en temps différé est la facilité de gestion des arrêtés de période, toutes les opérations étant rattachées à un lot d’origine. La restitution d’une situation antérieure est donc relativement aisée.
•
Traitement mixte: Mise à jour mémorisée
C’est une association du traitement en temps réel et du traitement par lot. En effet, les transactions mettent immédiatement à jour un fichier mémo qui contient les informations extraites de la dernière version du fichier maître. Ultérieurement, le fichier maître sera mis à jour par un traitement par lot.
En fait, les anciens systèmes, souvent réalisés en temps différé, sont très répandus pour des raisons historiques. Ils ont souvent été modernisés par le développement en temps réel de la saisie des données et de certaines interrogations. Les calculs et les mises à jour de fichiers sont demeurés en temps différé, ce qui est pratiquement transparent pour les utilisateurs, habitués à disposer des résultats attendus en aval des traitements. Certaines applications informatiques récentes, et notamment certains progiciels, conservent des traitements en temps différé, notamment ceux effectués après les clôtures de période. Ces traitements en temps différé ont été conservés en raison de leur côté utile et pratique. 37
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Cela confirme l’intérêt des systèmes mixtes. Ils permettent une saisie contrôlée en temps réel, des interrogations rapides, également une grande fiabilité des traitements, le temps différé étant plus facile à gérer que le temps réel.
De nos jours, la majorité des systèmes opérationnels sont des systèmes à temps réel. Les transactions sont traitées une fois produites, les informations sont mises à jour immédiatement et les données figurant sur les fichiers sont changées avec les données de la nouvelle transaction. Toutefois, il convient de noter que certains systèmes continuent à utiliser le système de traitement par lot. Dans ce système, les saisies s’opèrent quotidiennement, tandis que la mise à jour des fichiers se fait la nuit ou à une date spécifiée (lors de l’absence de transactions).
2-3 Les caractéristiques du contrôle interne dans un milieu informatisé Comme les organisations s’orientent de plus en plus vers un modèle de contrôle interne basé sur les risques, conforme à l’approche du COSO (Committee of Sponsoring Organizations), la mise en œuvre du contrôle interne dans les environnements informatisés continue à évoluer. Comme les systèmes informatiques deviennent de plus en plus complexes et intégrés, souvent par Internet, les difficultés de fournir des contrôles appropriés deviennent de plus en plus ressenties. Les activités de contrôles englobent généralement une combinaison des procédures de contrôles programmés qui permettent la génération de rapports et des procédures manuelles de suivi et d’investigation des éléments figurants sur ces rapports. Ces deux opérations sont nécessaires pour aboutir aux objectifs de contrôle.
38
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier En effet, s’il n’existe aucune personne qui fait le suivi des rapports prévus par le système, on peut dire qu’il n’y a pas de contrôle.
Le mix de ces contrôles dépend de la nature et de la complexité de la technologie utilisée. La croissance de la vitesse et de la capacité en mémoire a permis de mettre en place plus de procédures de contrôle intégrées dans le hardware et/ou dans le software que par le passé.
Outre les contrôles directs, les contrôles généraux informatiques sont nécessaires pour assurer l’intégrité des ressources d’information et pour garantir que les procédures de contrôles programmés (ainsi que les procédures comptables programmées) sont correctement mises en place et sont opérationnelles et qu’uniquement les changements autorisés sont opérés sur les programmes et sur les données. Par exemple, à défaut de contrôles généraux informatiques appropriés, il n’y a aucune assurance que les rapports d’exception soient exacts et exhaustifs. Les contrôles généraux informatiques :
Les contrôles généraux informatiques se rattachent à la fonction informatique et ont pour objectif d’établir un cadre de contrôle global sur les activités informatiques et de fournir un niveau d’assurance raisonnable que les objectifs de contrôle interne sont atteints. Les qualités attendues d’un bon contrôle interne de la fonction informatique sont : la fiabilité des informations produites, la protection du patrimoine et la sécurité et la continuité des travaux. Par ailleurs, les contrôles généraux informatiques portent sur plus d’une application et leur mise en œuvre est essentielle pour assurer l’efficacité des contrôles directs. 39
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Ils touchent, essentiellement, les domaines suivants : - L’organisation et la gestion - La maintenance des programmes - L’exploitation - Le développement et la modification des programmes - La sécurité (sauvegarde, plan de secours, etc.) Ces contrôles peuvent être divisés en quatre catégories : *La sécurité des systèmes : Il s’agit des procédures et des mécanismes en place destinés à s’assurer que l’accès à l’environnement informatique et aux programmes et données (physiques et logiques) est convenablement contrôlé. *La sécurité de l’exploitation : Ce sont des contrôles permettant de s’assurer que les données sont traitées dans les bons fichiers, que les éléments rejetés sont convenablement identifiés et corrigés et que les programmes sont correctement mis en place et exécutés. *La maintenance des applications informatiques : Ce sont les contrôles permettant de s’assurer que les changements dans les programmes informatiques sont autorisés, correctement conçus et effectivement mis en place. *Le développement et la modification des applications : Ce sont les contrôles sur les nouvelles applications ou sur les modifications significatives des applications existantes permettant de s’assurer que les procédures programmées sont convenablement conçues et correctement mises en place.
Les contrôles directs : Les contrôles directs sont des contrôles conçus pour prévenir ou détecter les erreurs et les irrégularités pouvant avoir un impact sur les états financiers. On distingue trois catégories de contrôles directs : 40
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier •
Les contrôles d’application :
Les contrôles d’application sont des contrôles permettant de s’assurer que toutes les opérations sont autorisées, enregistrées, et traitées de façon exhaustive, correcte et dans les délais. Ces contrôles peuvent être défalqués en : *Contrôles portant sur les données d’entrée : Ces contrôles visent à fournir une assurance raisonnable que toutes les transactions sont dûment autorisées avant d’être traitées et qu’elles ne sont pas perdues, ajoutées, dupliquées ou indûment modifiées. Ils visent aussi à assurer que les transactions incorrectes sont rejetées, corrigées et, si nécessaire, soumises en temps voulu à un nouveau traitement. * Contrôles sur les traitements et les fichiers de données informatisés : Ces contrôles visent à fournir une assurance raisonnable que les transactions, y compris celles générées par le système, sont correctement traitées par l’ordinateur et qu’elles ne sont pas perdues, ajoutées, dupliquées ou indûment modifiées. Ils visent, aussi, à assurer que les erreurs de traitement sont détectées et corrigées en temps opportun. * Contrôles sur la production des résultats : Ces contrôles visent à fournir une assurance raisonnable que les résultats des traitements sont exacts, que l’accès aux informations produites est limité aux personnes autorisées et que ces informations sont communiquées aux personnes autorisées en temps voulu. Avec les nouvelles technologies, beaucoup de contrôles, auparavant manuels assurés par le personnel informatique, par les utilisateurs du système ou par un groupe de contrôle indépendant, sont dés lors réalisés par ordinateur. Exemple 1 : Les logiciels de l'E-Business incluent, généralement, des contrôles pour prévenir la répudiation ou la modification des enregistrements qui initient les transactions. Ces contrôles peuvent être une signature électronique et des certificats du serveur qui authentifient les parties de la transaction.
41
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Exemple 2 : L’autorisation de l’entrée peut être assurée par des contrôles programmés d’autorisation (par exemple : approbation d’une commande qui ne dépasse pas le plafond de crédit consenti pour un client donné).
Une fonction de traitement informatisée peut constituer un contrôle clef si elle effectue un aspect essentiel du traitement des opérations de la société et des informations s’y rapportant. Toutefois, il est à noter qu’il n’est pas toujours facile d’établir une distinction claire entre les contrôles et les fonctions intégrées. Certains traitements, comme l’édition, la validation ou la comparaison participent, en effet, au contrôle interne puisqu’ils servent à prévenir ou à détecter les erreurs ou irrégularités. D’autres comme l’enregistrement, le calcul et l’addition ne sont pas des contrôles à proprement parler, puisqu’ils n’ont pas pour but la prévention ni la détection des erreurs et irrégularités, mais sont des fonctions de base pour le système d’information pouvant affecter directement les états financiers.
Par ailleurs, dans un milieu informatisé, les contrôles se basent, de plus en plus, sur des rapports informatiques (intitulés : rapports d’exception ou logs d’audit) qui sont, généralement, suffisamment détaillés pour faire ressortir les opérations inhabituelles ou anormalement importantes ainsi que d’autres problèmes éventuels. Ils sont établis en temps voulu selon une présentation qui souligne les points importants et facilite leur compréhension. Ces opérations, mises en valeur dans les rapports d’exception, peuvent être soient acceptées par le système, enregistrées dans un fichier d’attente ou rejetées par le système. Mais pour l’efficacité de ce contrôle, encore faut-il que ces rapports soient convenablement conçus, paramétrés et contrôlés manuellement. Exemple : La chaîne fournisseurs peut éditer une liste des bons de réception manquants, que l’on 42
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier examinera afin de savoir pourquoi ces bons n’existent pas. En outre, ce contrôle n’est efficace que si la liste sortie de l’ordinateur est exhaustive et fiable.
•
Les contrôles de direction :
Ces contrôles, qui portent sur des informations finales, sont réalisés à posteriori par des personnes indépendantes du processus de traitement. Leur but est de détecter des erreurs ou irrégularités susceptibles de s’être produites en amont. Le système informatique peut offrir à la direction plusieurs informations utiles au pilotage de l’entité et une palette d’outils analytiques permettant d’examiner et de superviser ses activités. Les contrôles de direction peuvent consister en la revue et le suivi des rapports d’exception sur les opérations et les soldes anormaux et des résumés des opérations traitées, en la vérification de la séquence des opérations traitées, etc.
•
Les contrôles visant à protéger les actifs :
Ces contrôles consistent en des mesures de contrôle et de sécurité assurant un accès limité aux personnes expressément autorisées et dans la limite de leurs responsabilités. Ils doivent aussi apporter la garantie que les actifs de la société sont à l’abri de toute création de documents qui en autoriseraient l’utilisation ou la cession. Sous le terme « actifs », on entend aussi bien les actifs inscrits dans les comptes que les informations confidentielles ou non contenues dans les fichiers informatiques. Il est évident que les contrôles visant à protéger les actifs sont encore plus nécessaires si ces actifs sont confidentiels, aisément transportables, convoités et/ou de valeur importante.
43
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Section 3 : Risques liés aux systèmes d’information Après avoir présenté les systèmes d’information et leur importance au sein des entreprises, on a jugé utile de rappeler les différents risques auxquels les entreprises sont confrontées face à la mise en place des systèmes d’informations d’informations par les entreprises.
3-1 Les risques généraux liés aux systèmes d’informations
Risque humain
Risque naturel
Risque technique
Risque d'activité
Risque légal
-1-1 Risque humain Les risques humains sont les plus importants, même s'ils sont le plus souvent ignorés ou minimisés.. Ils concernent les utilisateurs mais également les informaticiens eux-mêmes La maladresse : Comme en toute activité, les humains commettent des erreurs ; ils ils leur arrivent donc plus ou moins fréquemment d'exécuter un traitement non souhaité, d'effacer involontairement des données ou des programmes, etc.
44
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier L'inconscience et l'ignorance : De nombreux utilisateurs d'outils informatiques sont encore inconscients ou ignorants des risques qu'ils encourent aux systèmes qu'ils utilisent, et introduisent souvent des programmes malveillants sans le savoir. Des manipulations inconsidérées (autant avec des logiciels que physiques) sont aussi courantes. La malveillance : Certains utilisateurs, pour des raisons très diverses, peuvent volontairement mettre en péril le système d'information, en y introduisant en connaissance de cause des virus (en connectant par exemple un ordinateur portable sur un réseau d'entreprise), ou en introduisant volontairement de mauvaises informations dans une base de données. De même il est relativement aisé pour un informaticien d'ajouter délibérément des fonctions cachées lui permettant, directement ou avec l'aide de complices, de détourner à son profit de l'information ou de l'argent.
L'ingénierie sociale : L’ingénierie sociale (social engineering en anglais) est une méthode pour obtenir d'une personne des informations confidentielles, que l'on n'est pas normalement autorisé à obtenir, en vue de les exploiter à d'autres fins (publicitaires par exemple). Elle consiste à se faire passer pour quelqu’un que l’on n’est pas (en général un administrateur) et de demander des informations personnelles (nom de connexion, mot de passe, données confidentielles, etc.) en inventant un quelconque prétexte (problème dans le réseau, modification de celui-ci, heure tardive, etc.). Elle peut se faire soit au moyen d’une simple communication téléphonique, soit par mail, soit en se déplaçant directement sur place.
45
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier L'espionnage : L'espionnage, notamment industriel, emploie les même moyens, ainsi que bien d'autres, pour obtenir des informations sur des activités concurrentes, procédés de fabrication, projets en cours, futurs produits, politique de prix, clients et prospects, etc.
3-1-2 Risque naturel Toutes les entreprises sont exposés à des désastres naturels, mais la nature exacte de ces désastres (tremblement de terre, incendie, inondation, tempête, cyclone, etc) dépend de beaucoup de facteurs. Historiquement, les plans établis pour de telles circonstances ont toujours mis l’accent sur la préparation et la réaction. Les désastres naturels ont souvent un effet dévastateur très marqué en raison de leur amplitude.
Le stockage de l’information en dehors du site de l’entreprise est la doctrine de base pour que l’entreprise puisse survivre à un désastre naturel. Toutes les informations nécessaires à la reconstruction du système d’information doivent être conservées en un lieu sûr situé en dehors du site de l’entreprise .Comme un tel accident détruit les locaux et les matériels, il est nécessaire de pouvoir assurer la conduite de l’entreprise depuis un autre site dans lequel seront préservées toutes les informations nécessaires.
3-1-3 Risque d’activité Ces risques sont engendrés par la nature même de l’activité de l’entreprise, son marché, son positionnement, son organisation. Ces risques sont pourtant réels et peuvent provoquer de graves perturbations. En effet, la nécessité d’alignement et de réactivité de l’entreprise face à des marchés très actifs augmente le niveau de contraintes sur le système d’information. 46
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
La perte de capacité est liée à un accroissement des flux de données engendrant une saturation au niveau des moyens de traitement et de stockage. Elle affecte le fonctionnement de l’entreprise par un effet de ralentissement dont la fréquence et l’amplitude augmente avec le temps.
3-1-4 Risque technique Les risques techniques sont tout simplement ceux liés aux défauts et pannes inévitables que connaissent tous les systèmes matériels et logiciels. Ces incidents sont évidemment plus ou moins fréquents selon le soin apporté lors de la fabrication et des tests effectués avant que les ordinateurs et les programmes ne soient mis en service. Cependant les pannes ont parfois des causes indirectes, voire très indirectes, donc difficiles à prévoir.
47
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Incidents liés au matériel : si on peut le plus souvent négliger la probabilité d'une erreur d'exécution par un processeur (il y eut néanmoins une exception célèbre avec l'une des toutes premières générations du processeur Pentium d'Intel qui pouvait produire, dans certaines circonstances, des erreurs de calcul), la plupart des composants électroniques, produits en grandes séries, peuvent comporter des défauts et finissent un jour ou l'autre par tomber en panne. Certaines de ces pannes sont assez difficiles à déceler car intermittentes ou rares.
Incidents liés au logiciel : ils sont de très loin les plus fréquents ; la complexité croissante des systèmes d'exploitation et des programmes nécessite l'effort conjoint de dizaines, de centaines, voire de milliers de programmeurs. Individuellement ou collectivement, ils font inévitablement des erreurs que les meilleures méthodes de travail et les meilleurs outils de contrôle ou de test ne peuvent pas éliminer en totalité. Des failles permettant de prendre le contrôle total ou partiel d'un ordinateur sont régulièrement rendues publiques et répertoriées sur des sites comme Security Focus ou Secunia. Certaines failles ne sont pas corrigées rapidement par leurs auteurs.
Incidents liés à l'environnement : les machines électroniques et les réseaux de communication sont sensibles aux variations de température ou d'humidité (tout particulièrement en cas d'incendie ou d'inondation) ainsi qu'aux champs électriques et magnétiques. Il n'est pas rare que des ordinateurs connaissent des pannes définitives ou intermittentes à cause de conditions climatiques inhabituelles ou par l'influence d'installations électriques notamment industrielles (et parfois celle des ordinateurs eux-mêmes !).
48
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
3-1-5 Risque légal Il est essentiel que les organisations informatisées prennent en compte le cadre réglementaire imposé par la législation, l’administration fiscale, comme les recommandations émises par les différentes organisations professionnelles concernées par la présentation des comptes. Comme les auditeurs doivent informer l’entreprise des risques qu’elle encoure, il leur est indispensable de se forger une première opinion sur la conformité du système informatique contrôlé avec les différents textes réglementaires en vigueur.
49
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Conclusion de la première partie En guise de conclusion de cette partie, on peut dire que les systèmes d’information ont une importance véritablement stratégique (décider du bon système à mettre en place, des nouvelles technologies à implanter, etc.). En outre, la gestion efficace de l’information et des technologies associées est d’une importance critique pour le succès et la survie d’une organisation. En effet, tout au long de cette première partie, nous avons démontré d’une part, comment l’intégration des systèmes d’information dans une entreprise, peut elle affecter l’organisation et les procédures utilisées par l’entité pour satisfaire à la mise en place d’un contrôle interne fiable.et d’une autre part, nous avons essayé de relever les différents risques inhérents, induit de la complexité des systèmes d’information. De ce fait, les questions qui peuvent se poser sont : •
comment l’intégration des systèmes d’information pourrait elle affecter la démarche d’audit financier ?
•
et comment se déroulerai une mission d’audit financier au sein d’un milieu informatisé ?
Pour répondre à ces questions, nous préconisons dans la seconde partie de notre mémoire, une démarche d’audit des systèmes d’informations dans le cadre d’une mission d’audit financier, prenant en compte les enjeux du nouveau contexte.
50
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Partie II : L’audit des systèmes d’information : une démarche intégrée à la mission d’audit financier
51
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Introduction de la deuxième partie
Il apparait clairement que dans un nouveau contexte caractérisé par une évolution accrue, permanente et complexe des systèmes d’informations, il est de plus en plus difficile pour l’auditeur financier de forger son opinion sans une approche approfondie du système d’information Les auditeurs financiers ne peuvent plus ignorer le phénomène de l'informatisation des entreprises devenue de plus en plus complexe. S'ils ont estimé, au départ, qu'il fallait traiter les systèmes d’informations à part, ils sont convaincus, aujourd'hui, que l'audit des systèmes d’informations devrait être intégrer dans leur démarche professionnelle et dans chacune de leurs préoccupations. Ainsi, l'approche d'audit devrait répondre à ce nouveau contexte et aux risques nouveaux nés. L’impact des systèmes d’information sur l’organisation de l’audit financier et sur les compétences de l’auditeur est certain, en effet ce nouveau cadre d’intervention exige de la part de l’auditeur de nouvelles aptitudes et compétences et une nouvelle organisation de la mission pour faire face à la complexité des systèmes d’informations. Dans cette partie, nous nous intéresserons aux conséquences des systèmes d’information sur la conduite de la mission et nous proposerons par la suite une nouvelle méthodologie simple et précise pour mener une démarche d’audit financier en milieu informatisé
52
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Chapitre 1 : Impact des systèmes d’information sur l’audit financier Section 1 : Organisation de la mission Lors de l’organisation de sa mission, l’auditeur doit prendre en considération certains éléments, facteurs impactant le déroulement de la mission d’audit. A savoir, la taille de l’entreprise, le secteur où elle opère et bien évidemment la complexité des systèmes y intégrés.
En fait, les degrés des risques induits par les défaillances informatiques diffèrent d’un secteur à un autre, selon le niveau de dépendance de l’entreprise envers ses systèmes d’informations : Ces risques sont, en effet, plus élevés dans les secteurs bancaires, de télécommunications et des assurances que pour d’autres secteurs de l’économie parce qu’ils peuvent entraîner des conséquences fâcheuses pour les autres sociétés qui sont en relation avec eux, et même, à la limite, avoir des répercussions pour l’économie nationale.
Pour les établissements de crédit et télécommunication, l’informatique est un «outil de production » principal et « incontournable ». Si une entreprise industrielle perd son informatique, il lui restera, en stock, sa production, qu’elle pourra toujours vendre en attendant de rebâtir un nouveau système informatique : celui-ci étant moins intégré au mode de production, une reprise plus ou moins totale de l’activité de l’entreprise pourra intervenir. En revanche la banque, les télécommunications ou les assurances, possèdent la particularité d’avoir l’argent en « input » et en « output ». Si elles perdent leur informatique, comme leur matière première est « l’argent et l’information » - ce qui est immatériel -, elles auront perdu leur outil de production.
53
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier L’auditeur ne peut pas donc rester insensible à ces constatations et par voie de conséquence, il devra donc de plus en plus se reposer sur l’appréciation qualitative du « contrôle informatique » de l’entreprise pour déterminer l’étendue des travaux nécessaires à la bonne exécution de sa mission d’audit dans cet environnement informatisé.
En effet, l’organisation d’une mission audit en milieu informatisé repose sur les éléments suivants :
•
Approche du système: L’approche du système doit être réalisée simultanément à la prise de connaissance de l’entreprise. Cette approche aura principalement pour objectif d’évaluer, d’une part, l’importance du système et, d’autre part, sa complexité ;
•
La compréhension globale de l’intégration et de la complexité du système auront permis de définir la nature et le volume des travaux : répartition entre les travaux d’audit « classiques » et les travaux sur informatique ; définition des zones de risques nécessitant un examen au niveau des procédures et/ou lors du contrôle des comptes.
En fonction de ces éléments, les budgets et les calendriers seront établis. Le planning devra prévoir les contraintes liées au contexte informatique et, en particulier :
•
les besoins éventuels en formations complémentaires de l’auditeur et en documentation sur le système de l’entreprise (matériel, logiciels utilitaires, logiciels d’applications…)
•
la disponibilité des ressources de l’entreprise lors de l’intervention. 54
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Section 2 : Compétences requises La nature des compétences requises au sein du cabinet dépendra de plusieurs éléments :
L’organisation du cabinet et en particulier sa structure et son effectif : Si les cabinets de grande taille disposent généralement d’une cellule spécialisée en informatique, ceci n’est pas possible pour les cabinets de petite structure
La typologie de la clientèle, la taille des entreprises auditées, les spécificités de leur exploitation, la complexité de leur système d’information sont des critères déterminants quant aux besoins en compétences informatiques au sein du cabinet.
La nature des missions : missions légales ou contractuelles, audit, conseil, expertise.
En fonction de ces critères, différentes solutions peuvent être retenues pour développer les compétences nécessaires à l’audit en milieu informatisé.
2-1 La formation des auditeurs aux techniques informatiques Dans un environnement fortement marqué par les nouvelles technologies de l’information et la communication, l’intervention d’une personne ayant des connaissances informatiques est nécessaire. L’auditeur financier doit veiller à avoir un niveau minimum de formation pour qu’ils soient en mesure d’intégrer un environnement informatisé. En se formant, L’auditeur financier disposera donc d’une double qualification pour effectuer au mieux des audits dans un environnement informatisé. L’auditeur financier possédera les connaissances nécessaires en informatique pour : 55
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Planifier, diriger, superviser et contrôler dans un milieu informatisé
Obtenir une compréhension suffisante des systèmes comptables et de contrôle interne influencés par l'environnement informatisé
Déterminer l'incidence des systèmes d’information sur l'évaluation des risques
Concevoir et mettre en œuvre des tests de procédure et de contrôle approfondis.
2-2 La composition d’une équipe mixte Il est souhaitable que la mission d’audit soit menée par une équipe mixte composée du responsable de la mission classique d’audit et d’un auditeur plus spécialisé en matière informatique pour faire face à la complexité des systèmes d’information de l’entreprise auditée.
La perception des choses et les questions posées par chacun des membres sont généralement très profitables à l’équipe. De même la revue macroscopique des domaines couverts par l’informatique sera plus bénéfique si elle est réalisée en commun par cette équipe mixte, plutôt que par l’un ou l’autre des intervenants.
Le responsable de l’équipe doit être unique et la répartition des tâches entre les différents intervenants est très importante. Elle doit tenir compte du niveau de compétence de chacun tout en sachant que certaines parties de la mission doivent être menées en commun.
Dans le cadre d’une mission d’audit en milieu informatisé, une équipe mixte composée d’auditeurs classiques et d’auditeurs plus spécialisées en
56
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier informatiques semble la meilleure solution mais ceci n’est possible que dans les cabinets de grande taille disposant de ressources suffisantes en interne.
2-3 Le recours à des spécialistes externes Dans ce cas, l’auditeur doit prendre en compte :
La compétence du spécialiste
Quand l’auditeur compte utiliser le travail d’un spécialiste, il doit s’assurer que celui-ci possède la compétence suffisante en vérifiant ses qualifications professionnelles, son autorisation d’exercer ou tout autre signe de reconnaissance de sa compétence. Si le spécialiste fait partie d’un groupement professionnel édictant des normes que ses membres doivent respecter, l’auditeur peut se contenter de savoir que cette personne a bonne réputation au sein de ce groupement.
L’objectivité du spécialiste
L’auditeur doit prendre en considération toutes les circonstances pouvant affecter l’objectivité de l’expert. Le risque de manque d’objectivité est plus élevé si le spécialiste est employé par l’entité auditée ou a avec elle une liaison directe ou indirecte. En règle générale, il vaut mieux faire appel à un spécialiste indépendant de l’entité auditée et par conséquent plus objectif mais, si les circonstances l’exigent, on peut envisager d’utiliser le travail d’un membre du personnel de la société auditée, à
57
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier condition que celui ci possède la compétence requise. Dans ce dernier cas, il est plus judicieux de mettre en œuvre des procédures plus approfondies pour vérifier les hypothèses, les méthodes ou les conclusions du spécialiste employé par la société.
Définition des termes de l’intervention du spécialiste
L’auditeur doit préciser clairement au spécialiste les conditions de son intervention et ce, en indiquant notamment l’objectif et l’étendue de ses travaux, les points spécifiques à traiter dans le rapport, l’utilisation que compte faire l’auditeur de ses travaux, les limites éventuelles d’accès aux documents et aux dossiers nécessaires, etc.
De son côté le spécialiste a la responsabilité de : o comprendre la portée de son travail sur l’ensemble de l’audit o porter rapidement à la connaissance du personnel d’audit approprié toutes les conclusions pouvant avoir une incidence significative sur l’audit ou devant être communiquées à la direction de l’entreprise
L’évaluation des travaux du spécialiste :
Ceci englobe l’assurance que les travaux du spécialiste constituent des éléments probants appropriés au regard de l’information financière et ce, en examinant l’adéquation de la démarche suivie et la suffisance, la pertinence et la fiabilité des données utilisées pour aboutir aux conclusions formulées. Bien que ce soit au spécialiste de garantir la pertinence et la vraisemblance de ses hypothèses et de ses méthodes, l’auditeur doit comprendre comment il les met en 58
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier œuvre, afin de déterminer si elles sont raisonnables et identiques à celles qui ont été précédemment appliquées. L’auditeur se basera sur sa connaissance des activités de l’entreprise ainsi que du résultat des autres procédures d’audit.
La mention de l’intervention du spécialiste dans le rapport d’audit :
Lorsque l’auditeur émet une opinion sans réserve, il doit éviter de faire allusion dans son rapport de l’intervention du spécialiste car elle peut être interprétée comme une réserve ou comme un partage de responsabilité. Dans le cas contraire, si le rapport ou les conclusions du spécialiste amènent l’auditeur à émettre des réserves dans son rapport d’audit, il peut être utile d’en expliquer les raisons en faisant référence au travail du spécialiste et ce, avec l’accord de ce dernier et en citant son nom. Si l’auditeur conclut que les travaux du spécialiste ne confirment pas l’information figurant dans les comptes annuels ou ne constituent pas des éléments probants suffisants et appropriés, il doit, selon le cas, émettre une opinion avec réserve ou émettre une opinion défavorable.
59
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Chapitre 2 : Proposition d’une démarche d’audit financier dans un milieu informatisé Section 1 : Orientation de la mission d’audit La méthodologie informatique d’audit proposée ici est l’approche par les risques. Rappelons que cette démarche consiste à révéler les points forts sur lesquels s’appuyer, sachant que l’absence de ces points forts révèle la présence de risques non couverts. La mission sera orientée de manière à valider l’existence réelle des points forts pressentis, sans qu’il soit nécessaire de prévoir des diligences étendues sur ces points forts. En revanche, les risques non couverts feront l’objet de diligences plus complètes destinées à s’assurer qu’aucune anomalie significative n’est survenue dans les domaines sujets à risques potentiels.
1-1 Revue analytique générale L’objectif de la revue analytique générale est de prendre rapidement connaissance de l’entreprise et du champ d’application de l’audit, et de dresser une première carte des zones à risques. Pour parvenir à cet objectif, les auditeurs procèdent par entretiens généraux, ils recueillent une documentation succincte, puis ils passent en revue les principaux systèmes informatiques.
1- 2-Méthodologie Si une revue analytique plus générale a déjà été réalisée, les auditeurs prennent préalablement connaissance du dossier. Ils procèdent ensuite par entretiens successifs, plus ou moins ciblés. C’est au cours de ces entretiens qu’ils se feront préciser l’existence de la documentation susceptible de les aider dans leur mission.
Entretiens généraux
60
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier La première difficulté rencontrée par les auditeurs est souvent le choix des personnes avec lesquelles mener les entretiens qui leur permettront ensuite d’orienter la mission d’audit. Il est rare qu’une personne unique ait une connaissance suffisante de l’entreprise pour apporter une première réponse à l’ensemble des questions. Le responsable de l’informatique, ou parfois le responsable administratif et comptable est en général la personne la plus compétente pour que ces premiers entretiens s’avèrent productifs. En premier lieu, les entretiens vont porter sur le risque lié à l’utilisation de l’informatique dans la marche de l’entreprise. Puis les entretiens vont successivement aborder : •
La politique informatique de l’entreprise
•
La structure informatique
•
Les opérations traitées
•
L’attitude de la direction face à l’informatique
Pour apprécier la politique informatique de l’entreprise, il faut connaître son évolution historique, les objectifs poursuivis jusqu’ici en la matière, enfin les objectifs futurs. Les auditeurs se préoccupent de savoir s’il existe un schéma directeur informatique, voire plus simplement un plan informatique à court et moyen terme. En bons professionnels, les auditeurs confortent leur opinion par l’examen des faits qui leur sont rapportés en demandant à connaître les manifestations pratiques de la politique décrite. Le lien entre la politique informatique et les risques courus est important, car certaines attitudes sont génératrices de risques substantiels. -politique aventureuse ; -course perpétuelle aux dernières techniques ;
61
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier -remise en question permanente en faisant table rase du passé ; -insuffisance de formation du personnel. Les auditeurs prennent connaissance de la structure informatique de l’entreprise, notamment du rôle des hommes qui la gèrent. Ils dressent l’inventaire des différents systèmes utilisés en se faisant préciser les matériels et les techniques informatiques retenus. Ils se font décrire les principales mesures prévues en matière de sécurité physique et logique. Les auditeurs recueillent enfin le degré de satisfaction des utilisateurs souvent révélateur des risques réels. Toujours au cours des entretiens, les auditeurs prennent connaissance des opérations traitées. Ils se renseignent sur les domaines couverts, le volume des opérations, leur fréquence, et leur impact sur la marche de l’entreprise. Ces éléments seront fondamentaux pour établir le programme de travail détaillé. Enfin les auditeurs se font préciser l’attitude de la direction générale de l’entreprise et de la direction informatique afin de mieux apprécier leurs influences respectives dans les différentes décisions.
Recueil d’une documentation succincte
Les auditeurs vont demander le schéma général du système d’information de l’entreprise et celui des applications informatiques en service. Dans la pratique, ces informations existent presque toujours sous une forme ou une autre. Néanmoins, en cas d’absence de ce document, il conviendra de l’établir, car il est quasiment indispensable pour comprendre le fonctionnement des systèmes informatiques.
62
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Au cours de la revue analytique, les auditeurs recherchent les documents essentiels qui vont les guider dans leur approche. C’est ainsi qu’ils vont demander, ou faire établir les listes suivantes : -documents et informations qui sont saisies dans le système ; - transactions proposées aux utilisateurs ; - principaux fichiers utilisés, avec leur contenu sommaire ; -résultats essentiels, ayant une incidence sur les chiffres produits ; -manuels opératoires, informatique et utilisateur. Et toute autre liste dont l’opportunité leur sera apparue au cours des différents entretiens d’approche de la mission. Il est conseillé d’essayer d’obtenir ces différents documents au cours des entretiens. L’intérêt de cette démarche est de pouvoir se faire expliquer immédiatement certains points relevés lors de leur examen.
Revue des systèmes informatiques
Chaque grand domaine informatisé de l’entreprise fait à son tour l’objet d’une revue rapide. L’objet de cet examen est de connaître le mode de développement des applications principales et leur fonctionnement actuel. Les auditeurs se font décrire l’application examinée de façon macroscopique, sans entrer dans un trop grand niveau de détail. Ils passent rapidement en revue les points suivants : o Quelles sont les données en entrée ? o Comment ces données sont-elles acheminées ? o Quels sont les traitements essentiels ? o Quels sont les principaux fichiers utilisés en amont ? 63
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier o En aval, quelle est l’incidence des traitements sur les fichiers ? o Quels sont les résultats et les états produits les plus significatifs ? o Quels sont les principaux contrôles prévus ? o Comment la correction des anomalies est-elle suivie ? o Dans quelles conditions s’effectuent les déversements en comptabilité ? Naturellement, ce dernier point est essentiel dans le cadre de la certification de comptes en milieu informatisé et fait l’objet d’un examen un peu précis. Ensuite, les auditeurs se font communiquer ou établissent eux même un schéma de synthèse de chaque application, afin d’appréhender les grandes lignes de leur fonctionnement. Pour chaque application, ils examinent ensuite plusieurs points bien ciblés : o Les normes et techniques de développement de l’application o Les tests de mise en œuvre, notamment de la part des utilisateurs o Les conditions de réalisation de la maintenance o La qualité du fonctionnement en exploitation courante o Les difficultés rencontrées au plan informatique Une mauvaise réalisation de ces points ou une insatisfaction des utilisateurs sont une source de risques potentiels. A cette occasion, les auditeurs s’informent des conditions dans lesquelles ils pourront mettre en place les tests destinés à vérifier que les risques non couverts n’ont pas produit d’effets. Pour cela, ils révèlent : o les matériels successifs éventuellement utilisés o La nature des bases de données ou la structure des fichiers o L’existence d’outils d’interrogation propres aux systèmes vérifiés o La possibilité de connecter un micro ordinateur
64
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Les auditeurs s’inquiètent du délai de conservation des données sur lesquelles porteront leurs travaux de vérification, notamment le contrôle final sur les comptes de l’exercice. Le cas échéant, ils demandent à l’entreprise de conserver telle ou telle information dans des conditions de durée adaptée et sur des supports exploitables.
Conduite de la revue analytique
La revue analytique fait partie de l’approche de la mission, en amont du programme de travail, qui précisera les points qui feront l’objet de diligences plus approfondies. Un premier rendez vous, vraisemblablement avec la direction générale de l’entreprise ou le responsable financier permettre d’aborder : o La politique informatique de l’entreprise o La structure informatique o Les opérations traitées o L’attitude de la direction face à l’informatique Pour les auditeurs, il n’est donc pas question de chercher à se forger une opinion définitive au cours d’une première série d’entretiens, ni au vu de la documentation sommaire recueillie. La revue est un tour d’horizon relativement complet, mais qui reste global, sans atteindre un niveau de détail précis, sauf dans des cas très ponctuels. Dans le cadre de l’audit financier, il est souhaitable que cette revue analytique soit menée par une équipe mixte composée du responsable de la mission classique d’audit et d’un auditeur plus spécialisé en matière informatique.la perception des choses et les questions posées par chacun des membres sont généralement très profitables à l’équipe. De même la revue macroscopique des domaines couverts par
65
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier l’informatique sera plus bénéfique si elle est réalisée en commun par cette équipe mixte, plutôt que par l’un ou l’autre des intervenants. Après les entretiens généraux, les auditeurs peuvent valablement réaliser de leur côté l’établissement du schéma général des traitements informatiques et la revue des applications informatiques par domaine. Le résultat de leurs travaux sera communiqué au responsable de la mission d’audit.
Temps à consacrer à la revue analytique
Pour la durée d’un entretien, l’expérience montre qu’il est difficile de dépasser deux heures, tant pour la personne interrogée que pour les auditeurs. Pour la personne interrogée, souvent de haut niveau, cette durée maximale permet de garder le niveau général voulu. La durée prévue pour l’entretien doit avoir été annoncée auparavant. Au plan pratique, il est nécessaire pour les auditeurs de s’isoler dès la fin de l’entretien, afin d’en rédiger immédiatement le compte rendu. Il est préférable que les auditeurs n’enchainent pas les différents entretiens mais se ménagent le temps nécessaire pour en tirer rapidement le meilleur profit. La base d’évaluation du temps à passer pour une revue analytique est donc de quatre heures par entretien, deux heures de rendez vous et deux heures pour exploiter pleinement l’information reçue. La durée de la revue analytique dépend essentiellement de la taille de l’entreprise. Pour les petites entreprises ou les grandes entreprises peu informatisés, la revue peut généralement être menée à bien avec deux ou trois entretiens.
66
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Un second rendez vous qui réunira sans doute le responsable informatique de l’entreprise et les auditeurs permettra de faire le tour des différents applications informatiques. S’il s’agit d’organisations informatiques importantes, il faudra vraisemblablement prévoir plusieurs entretiens pour l’approche générale. Comme il est probable que les responsabilités soient partagées, les interlocuteurs risquent d’être plus nombreux. Si le nombre d’applications informatiques en service est important, il faudra prévoir un entretien par application, sinon deux pour les plus complexes d’entre elles .c’est naturellement au terme des premiers entretiens d’approche générale que l’on peut estimer le nombre d’entretiens nécessaires à la couverture des applications informatiques.
1-3 Tableau d’orientation Une fois la revue analytique terminée, les auditeurs dressent le tableau d’orientation de la mission, dont l’objectif est de hiérarchiser les différents risques, tels qu’ils ont été ressentis dans la phase d’approche.
Tableau d’orientation
Lorsque le domaine audité est fortement automatisé, le tableau d’orientation informatique remplace avantageusement le tableau d’orientation classique. Le tableau d’orientation est présenté par grands cycles économiques de l’entreprise, et chacun de ces cycles correspond généralement à une ou plusieurs applications informatiques. Dans une entreprise industrielle ou commerciale, les cycles classiques sont :
67
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier o Clients, ventes, gestion des stocks de produits finis ; o Achats, fournisseurs, gestion des stocks de matières premières ; o Production et gestion des travaux en cours ; o Gestion de la trésorerie ; o Gestion et paie du personnel ; o Gestion des immobilisations et calcul des amortissements. Ces cycles sont présentés dans la première colonne. Les colonnes suivantes du tableau sont regroupées ainsi : Critères d’importance relative o Volume des opérations traitées o Montant global des enjeux financiers Evaluation du risque informatique o Risque lié à l’utilisation de l’informatique o Qualité de la saisie des informations o Qualité des traitements o Qualité des contrôles o Importance relative o Risque global informatique, synthèse des colonnes précédentes Diligences prévues o Lors du contrôle intérimaire o Lors du contrôle final Evaluation du temps o Lors du contrôle intérimaire 68
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier o Lors du contrôle final o Total des temps de l’intérim et du final o Pourcentage du total des temps alloués o Rappel des temps de l’exercice précédent Répartition du temps o Du cabinet titulaire de la mission o D’un éventuel deuxième intervenant A compter de l’évaluation des temps, les dernières colonnes n’appellent pas de commentaire particulier, puisqu’elles sont la conséquence directe de l’évaluation des risques et des diligences retenues. L’orientation de la mission dépend pour l’essentiel de l’évaluation des risques et de leur hiérarchisation. Chaque risque représenté fait l’objet de cotation : o F pour faible o M pour moyen o I pour important Les auditeurs évaluent la qualité des saisies, face aux risques associés. Ils estiment ensuite la qualité des traitements, toujours selon les critères d’appréciation décrits. Les auditeurs évaluent la portée réelle des contrôles prévus. Enfin, ils apprécient l’importance relative de ces risques, c'est-à-dire leur impact potentiel sur les résultats à certifier. Une fois toutes ces évaluations ciblées réalisées, les auditeurs portent dans la colonne prévue à cet effet le risque global informatique. Cette colonne formalise donc le risque synthétique de chacun des cycles économiques évoqués ci-dessus.
69
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Note d’orientation
La note d’orientation complète le tableau d’orientation. Elle précise la raison du classement des risques, importants, moyens ou faibles. La note d’orientation permet surtout de commenter les raisons qui ont conduit au choix des diligences retenues.
1-4 choix des diligences Le choix des diligences dépend essentiellement de la nature des risques pressentis. Les diligences classiques sont : o La revue de sécurité, ou le contrôle interne de l’outil informatique o L’étude d’application informatique, ou l’approche par les systèmes o Les tests informatiques ou l’approche par les résultats Enfin le contrôle manuel traditionnel sans tenir compte de l’ordinateur
La revue de sécurité
La revue de sécurité pourra être proposée systématiquement. Il sera difficile de ne pas la réaliser dès lors que l’approche analytique aura révélé l’absence de points forts en matière de sécurité physique ou logique, ou des insuffisances dans l’organisation de la fonction informatique qui pourraient remettre en cause le fonctionnement général du système.
L’étude des applications informatiques.
L’objectif de l’étude des applications informatiques est de déceler les points forts sur lesquels les auditeurs pourront s’appuyer. Au cours de cette étude, les points forts pressentis seront testés pour s’assurer de leur existence et de leur permanence.
70
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Comme pour toute étude de procédure, l’étude des applications informatiques est par essence une diligence à réaliser lors des contrôles intérimaires, en cours d’exercice.
Les tests informatiques
Les tests informatiques seront requis en l’absence de points forts, pour s’assurer que les risques potentiels n’ont pas produit d’effet. A côté de cette utilisation principale, des traitements analogues aux tests informatiques pourront être réalisés pour faciliter le travail des auditeurs, en présentant les informations de manière à augmenter la productivité de leurs contrôles. Il importe de rappeler que les tests informatiques doivent porter sur l’intégralité de la population présente dans les fichiers, et non pas sur un échantillon comme les sondages. L’idéal est de préparer et de mettre au point les tests pendant la phase des contrôles intérimaires et de les relancer au final sur les comptes de l’exercice entier.
L’approche hors informatique
Dans certains cas, l’approche informatique n’est pas la plus opportune notamment lorsque le volume d’informations est peu important. Dans ces conditions, un traitement manuel peut s’avérer plus productif. Enfin, dans certaines circonstances, le temps nécessaire à la réalisation de tests informatiques est plus consommateur de ressources que des tests manuels équivalents.
Cas de faiblesses flagrantes
Enfin, l’hypothèse extrême est de suspendre la poursuite des différentes diligences prévues, dès que les auditeurs ont acquis la certitude qu’il n’est plus possible de certifier. De même, certains dysfonctionnements peuvent s’avérer rédhibitoires. Dans 71
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier une telle hypothèse, pourquoi mettre en œuvre des ressources importantes quand on est sûr d’aboutir à la non certification.
1-5 Gestion du budget Les ressources allouées aux auditeurs pour mener à bien leur mission ne sont infinies. Il leur faut respecter le budget négocié, à condition bien entendu que ce dernier soit suffisant. Lors de la première intervention dans une entreprise, la négociation du budget est souvent une tâche difficile, car il faut prévoir l’étendue de la mission en amont de la prise de connaissance réelle du contexte.
1-6 Le programme de travail Le programme de travail détaillé est rédigé après l’élaboration du tableau et de la note d’orientation. Ce programme de travail précise : o Les objectifs poursuivis o La répartition des tâches entre auditeurs selon leur qualification o Le détail des diligences à effectuer o La forme des résultats attendus o Les moyens mis en œuvre o Le budget imparti
72
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Section 2 : Appréciation du contrôle interne Les applications informatiques ne fonctionnent correctement que lorsqu’elles sont mises en œuvre dans de bonnes conditions. C’est généralement le service informatique qui est chargé de mettre les différentes applications à la disposition des utilisateurs.
1-1 Principes et objectifs Pour fonctionner avec le niveau de sécurité nécessaire, les services informatiques doivent présenter un contrôle interne de qualité. Celui-ci repose sur les mêmes principes généraux d’organisation que tous les services opérationnels d’une entreprise : o existence de procédures claires et réellement appliquées, o séparation de certaines fonctions o recours à du personnel compétent. Des procédures précisent doivent régir la gestion courante d’un service informatique. Les principales procédures concernent : o Les tests de recette des nouvelles applications ; o La mise en service d’une nouvelle application ; o La maintenance des applications en service ; o Le planning d’ouverture des différentes applications en temps réel ; o Le calendrier de fonctionnement des applications en temps différé ; o Le planning des vacations d’échange d’informations entre ordinateurs ; o Les copies de sécurité ou sauvegardes ; o Les procédures de fonctionnement dégradées suite à incidents ; o Le renouvellement des droits d’accès des différents utilisateurs ; 73
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier o La conservation et l’archivage des données Certaines fonctions gagnent à être séparées. C’est notamment le cas des services d’étude et de développement, qui doivent demeurer indépendants des services d’exploitation courante. Il est toujours préférable de disposer d’un environnement de production. Il est bien évident que dans les très petites structures, l’aspect de séparation des fonctions devient tout à fait théorique. En conséquence, il importe de renforcer les diligences. L’informatique évolue rapidement et il est important de « coller » aux techniques modernes, car l’emploi des méthodes obsolètes est dangereux. Par ailleurs, le retard technologique est de plus en plus difficile à rattraper avec le temps. Pour disposer en permanence de personnel compétent, la direction de l’entreprise doit mener une politique volontariste de formation permanente du personnel informatique. A l’inverse, le changement systématique, sans jamais attendre que la nouvelle organisation soit stabilisée, s’analyse comme un vrai danger.
1-2 Méthodologie Pour se forger une opinion sur la qualité des procédures en vigueur au sein d’un service informatique, les auditeurs s’appuient sur un programme de travail type. Cette méthode permet de ne pas oublier de points majeurs. Le canevas prend la forme d’un mémento de revue de sécurité informatique, qui est adapté à chaque entreprise pour tenir compte de ses particularités.
1-3 Revue de sécurité La revue de sécurité informatique est conduite par entretiens, visite de locaux informatiques et examen des manuels de procédure. Les entretiens ont généralement
74
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier lieu avec les différents responsables du service informatique. Les auditeurs recherchent les manifestations qui prouvent le respect des procédures décrites. Après un rapide historique de l’informatisation de l’entreprise, la revue de sécurité va successivement aborder les points suivants.
Gestion de la sécurité et continuité de l'exploitation
*Comment sont gérés les sauvegardes, existe-t-il un plan de secours? Procédure de sauvegarde : l’auditeur doit s'assurer que les données de la société sont correctement sauvegardées et qu'en cas de défaillances du système d'information, ces données sont facilement récupérables. L’auditeur est tenu de vérifier :
o La description générale de la procédure de sauvegarde o Les procédures régulières o Les procédures de fin de période
Plan de secours : l’auditeur doit s'assurer que la structure auditée a analysé les conséquences sur ses activités et sa pérennité d'une disponibilité longue du système d'information suite à un sinistre majeur. *Comment est définie et mise en œuvre la sécurité logique ? La sécurité logique correspond aux risques d'accès aux données par des personnes non autorisées (internes ou externes), ainsi qu'aux risques d'altération des données par des virus. L’auditeur s'assure que l'entreprise a mis en place un dispositif adapté à la prévention de ces risques. *La sécurité physique est elle satisfaisante ? 75
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Au travers de l'examen de la sécurité physique, l’auditeur va chercher à identifier s'il existe : -un risque de destruction physique des outils informatiques -un risque qu'une personne extérieure puisse s'introduire sans autorisation dans les locaux de la société afin d'accéder aux informations contenues dans le système d'information.
Un niveau de sécurité insuffisant peut entraîner, en cas de sinistre, une indisponibilité plus ou moins importante des systèmes d'information. Dans les cas les plus graves, le commissaire aux comptes peut être amené à déclencher une procédure d'alerte.
Conception et acquisition des solutions informatiques
*Comment sont achetées ou développées les solutions informatiques ? L’auditeur doit s'assurer que la structure respecte les procédures permettant d'identifier les besoins informatiques de la structure et de mener à leur terme les projets d'achats ou de développement de solutions. Les solutions informatiques mises en place doivent répondre précisément aux besoins des utilisateurs. L’auditeur doit s'assurer que les outils informatiques développés et généralement sécurisés sont correctement utilisés par les utilisateurs. Ces derniers ont tendance à développer des outils parallèles lorsque les applications existantes ne sont pas adaptées à leurs besoins.
*Comment sont installés et validés les nouveaux systèmes informatiques ? Pour chaque installation d'un nouvel outil ou d'une nouvelle application, l’auditeur doit s'assurer que des procédures de gestion de projet sont appliquées 76
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier *Comment est assurée la maintenance des systèmes d'information ? En vue de donner une opinion sur la continuité d'exploitation de la structure, l’auditeur doit s'assurer de la pérennité de son système d'information: à ce titre il doit s'assurer que la structure met en œuvre les procédures permettant de garantir la capacité de ses systèmes à évoluer en les maintenant. Dans tous les cas, des procédures doivent prévoir le suivi des performances des applications et systèmes, un programme de révisions régulières, une procédure en cas de défaillance du système ou d'une application.
Distribution et support informatique
*Quelle est la qualité du support fourni aux utilisateurs ? L’auditeur doit s'assurer que les utilisateurs ont les connaissances nécessaires pour l'utilisation optimale des outils dont ils ont l'usage dans le cadre de leurs fonctions. Ainsi pour chaque nouvel outil un support aux utilisateurs et/ou une formation doivent être dispensés afin de réduire les risques de mauvaises utilisations (erreurs, traitements inadaptés...) *Comment sont gérés les problèmes d'exploitation quotidiens ? L'administrateur du système d'information est responsable du bon fonctionnement du système d'information et de son contrôle. C'est à lui de centraliser les anomalies ou dysfonctionnements du réseau. Il gère les habilitations d'accès aux données et doit pouvoir détecter les tentatives d'intrusion. Son rôle est primordial dans la prévention des risques informatiques. Dans le cadre de sa mission, l’auditeur doit s'assurer que l'ensemble de ces tâches sont régulièrement effectuées par un administrateur désigné afin de garantir la pérennité du système d'information ainsi que sa fiabilité et sa disponibilité de l'information.
77
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier *Comment sont gérées les fonctions externalisées ? Un certain nombre de fonctions peuvent être externalisées par la structure auditée. Pour chaque fonction externalisée, l’auditeur doit s'assurer qu'un contrat écrit précise les rôles et responsabilités de chaque partie, le niveau de prestation de services attendu. L’auditeur doit aussi étudier la fiabilité du prestataire choisi, l'adéquation de ses compétences avec les besoins de la société, la qualité des services rendus ainsi que la pérennité du prestataire. Un contrat de prestation de services peu formalisé ou un prestataire peu fiable peuvent entraîner des risques de perte pour la société auditée et des risques sur sa continuité d'exploitation.
La gestion des projets informatiques
L'utilisation d'une méthodologie est le gage d'une bonne maîtrise de la gestion d'un projet et permet, si elle est correctement appliquée, de limiter les dérapages lors de la mise en place d'une nouvelle application. L’auditeur doit s'assurer que l'entreprise auditée suit une méthodologie qui lui permet de mener à bien ses projets informatiques. Un projet raté peut générer des surcoûts menaçant la santé de l'entreprise et une perte de maîtrise du système d'information de l'entreprise.
Les obligations externes
Un certain nombre d'obligations légales, réglementaires ou fiscales s'imposent aux sociétés: celles-ci peuvent concerner les systèmes d'information. L'auditeur doit s'assurer que la structure qu'il analyse est en accord avec l'ensemble des obligations qui la concernent. Le non respect de certaines dispositions peut avoir une incidence sur sa mission de certification des comptes.
78
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
1-4 Présentation des recommandations Un rapport est systématiquement établi au terme de la revue de sécurité. Lorsque les auditeurs constatent qu’un des aspects passés en revue ne donne pas satisfaction, ils décrivent le point relevé, expliquent les risques courus, et émettent une recommandation destinée à apporter la correction nécessaire. Dans la majorité des cas, les risques mis en évidence par la revue de sécurité sont sans incidence sur la conformité des chiffres produits par le système informatique. Ces risques peuvent toutefois mettre en cause la pérennité de l’entreprise, et il importe de rappeler que les auditeurs ne peuvent passer à côté d’un risque majeur sans le signaler. En face de risques de natures différentes, les auditeurs doivent avoir une approche adaptée: Approche par les résultats ou par les systèmes. L’approche par les résultats consiste à vérifier que les informations produites par les traitements informatiques sont conformes aux données initiales entrées dans le système. Dans certaines entreprises, cette approche par les résultats est préférable lorsque les auditeurs sont en présence de systèmes indépendants juxtaposés. En revanche, l’approche par les systèmes est bien plus efficace pour les systèmes intégrés. Cela s’applique aussi bien que l’organisation soit centralisée ou non, et que l’entreprise dispose de moyens concentrés ou répartis.
1-5 Approche par les systèmes ou étude des applications informatiques L’approche par les systèmes consiste à prendre connaissance de la procédure informatique, pour bien appréhender les points forts et les risques potentiels. Cette démarche est la diligence la mieux adaptée face à des volumes importants
79
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier d’opérations répétitives et homogènes. En toute logique, l’absence de tels points forts révèle l’existence des risques potentiels.
Principes et objectifs
L’objectif de l’approche par les systèmes, ou étude des applications, est d’apprécier la qualité et la pérennité des applications informatiques en service. Cette évaluation doit naturellement prendre en compte la qualité de l’organisation du service informatique.
Méthodologie
Une démarche structurée permet de se forger une opinion sur la qualité d’une application informatique. En premier lieu, les auditeurs doivent prendre connaissance de l’application pour rechercher en priorité les points forts, qui leur permettent de valider certaines opérations. Les points forts pressentis ne sont recevables que si les tests d’existence et de permanence prouvent leur réalité. L’absence de véritables points forts est révélatrice des risques réels et les auditeurs devront articuler en conséquence leurs contrôles sur ces risques effectifs.
Approche globale
Comme toujours, l’approche s’effectue en deux temps. Pour illustrer cette démarche, prenons le cas de la visite d’une exposition ou d’un musée. La démarche séquentielle, prévue par les organisateurs, laisse au visiteur le choix du temps qu’il consacre à chacune des salles. Il lui appartient dés lors de ralentir lorsqu’un sujet retient davantage son attention, sans pouvoir mesurer son intérêt relatif. De ce fait, son temps résiduel n’est plus maitrisé. L’heure de fermeture rappellera à l’ordre le visiteur démuni d’objectif. Un premier tour, juste destiné à classer les différents objets du musée ou de l’exposition par ordre d’importance dégressive, permettrait
80
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier d’accorder à chaque sujet d’intérêt une part du temps global dévolu à la visite. La première approche globale donne une vue d’ensemble, et elle permet d’orienter la suite de la démarche en fonction de l’intérêt du visiteur. La démarche de l’auditeur obéit aux mêmes principes. L’approche analytique précède l’étude détaillée de ces procédures. L’étude doit être menée en deux temps : -macro description de l’application -recherche des points forts, suivie de l’analyse détaillée des zones à risques non couvertes par des points forts. Les moyens de réalisation de la macro description sont les entretiens, la prise de connaissance ou l’élaboration d’un schéma d’ensemble de l’application, le recensement des principaux fichiers utilisés et états produits essentiels. Les auditeurs établissent un tableau de recoupement des différents états entre eux, afin de s’assurer que les totaux significatifs concordent. A titre d’exemple, le chiffre d’affaire n’est pas toujours homogène sur différents états, selon qu’ils prennent en compte ou non : •
Les ventes à l’exportation
•
Les ventes au comptant
•
Les ventes directes, sans commissionnement du représentant
•
Les livraisons de marchandises en dépôt
•
Certaines remises différées
•
Les gratuits
81
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Les demandes d’explication sur les éventuels écarts sont généralement très instructives et parfois révélatrices de disfonctionnement.
Etude détaillée
Toujours dans la logique de l’approche par les risques, l’étude détaillée sera particulièrement ciblée sur les zones à risques révélées par l’approche globale. Le but de la démarche est de confirmer ou d’infirmer les risques pressentis. Les moyens d’investigation demeurent analogues. La prise de connaissance détaillée s’effectue par entretiens, par recueil de schémas et revue de documentation. Les auditeurs formalisent leur travail par l’élaboration d’un schéma général de l’application conforme à leurs besoins, et d’une description de l’application plus détaillée sur les points sensibles.
Critères de qualité
Pour être de qualité, une application informatique doit posséder certaines caractéristiques premières. Elle doit être •
conforme aux besoins
•
exempte de disfonctionnements
•
contrôlable et contrôlée
Derrière ces termes très généraux, la qualité d’une application informatique s’apprécie à l’aide des critères beaucoup plus précis. Application conforme aux besoins La conformité d’une application informatique aux besoins ne s’analyse pas comme la simple faculté de gérer les fonctions attendues. Il faut également que cette application comporte : 82
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier •
Une présentation des résultats exploitables
•
Une maille d’analyse adaptée
•
Une périodicité maîtrisée
•
Un délai de diffusion correcte
La couverture des besoins nécessite que toutes les opérations courantes fassent l’objet de transactions bien adaptées. Les auditeurs établissent une liste des transactions économiques possibles. De leur côté, les auditeurs plus spécialisés en informatique dressent l’inventaire des transactions informatiques offertes aux utilisateurs. Ces deux inventaires sont ensuite rapprochés. Cela permet d’une part de déterminer de quelle manière sont traitées les transactions économiques non prévues par l’application, et d’autre part d’analyser à quoi peuvent servir les transactions informatiques dont l’utilité ne semble pas justifiée par un fait économique. Pour être exploitables, il faut que les résultats présentés fassent état d’informations complètes, suffisantes et significatives. Il faut également que l’ordre de présentation des informations obéisse à une certaine logique. A titre d’exemple, que dire d’une application de gestion commerciale qui ne traiterait pas : o Toutes les factures o Tous les avoirs de retour de marchandises o Tous les avoirs o Toutes les sorties de stock sans facture, quel qu’en soit le motif La maille d’analyse est adaptée dés lors que l’information est présentée avec le niveau de détail suffisant. Il est également nécessaire que les différentes totalisations soient significatives et se recoupent entre elles. Enfin et surtout, il faut que le « chemin de révision » demeure explicite. 83
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier La périodicité est réellement maîtrisée lorsque les résultats sont bien le reflet de l’intégralité des opérations d’une période bien définie. Les opérations qui ne correspondent pas à la période de référence doivent être isolées et ces encours maîtrisés, c’est le « cut-off ». Les opérations enregistrées avec retard, comme les opérations rétroactives, doivent pouvoir être distinguées en permanence. Le délai de diffusion doit être conforme aux besoins des utilisateurs, cohérent avec les autres résultats, et effectivement respecté. Les résultats qui ne sont pas produits aux dates voulues perdent une grande partie de leur intérêt. Application exempte de disfonctionnement Une application informatique est exempte de disfonctionnement lorsqu’elle ne fait pas état d’opérations non faites, mal faites ou prises en compte hors délai. Il est relativement aisé de relever les traitements mal faits ou faits hors délai, car il existe des manifestations de ces disfonctionnements, que les auditeurs diligents doivent logiquement découvrir en appliquant avec rigueur la méthodologie proposée. Parfois, les traitements mal faits ou réalisés hors délai peuvent avoir une incidence sur les critères d’évaluation d’une application informatique, exposée ci-après. Le non fait est beaucoup plus difficile à percevoir, car il ne présente pas de manifestation qui conduise à l’identifier. Avant d’aborder l’audit d’une entreprise, les auditeurs doivent se documenter sur le secteur économique en question. Ils réalisent ainsi l’inventaire de ce qui est normalement attendu dans l’entreprise auditée. La prise de connaissance du domaine se fait généralement à partir d’ouvrages de références, ou par entretiens avec des personnes ayant l’expérience souhaitée. 84
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier L’information nécessaire doit se trouver logiquement dans le dossier permanent, dûment mis à jour et complété au fil des interventions. Application contrôlable et contrôlée Pour prouver sa qualité, une application informatique doit non seulement pouvoir être contrôlée, mais ce contrôle doit s’exercer effectivement à plusieurs niveaux. Le contrôle s’effectue : -par le logiciel lui-même, c’est son propre contrôle interne -Par le service informatique, qui vérifie la bonne exécution -Par les utilisateurs, pour apprécier la bonne fin des traitements, -Enfin par les auditeurs, qu’ils s’agissent d’auditeurs internes ou externes Le contrôle interne propre à l’application informatique gagne à être intégré dès la conception de l’application. Il s’applique notamment au contrôle des saisies, au comptage des opérations, à la cohérence des totaux, à la permanence du chemin de révision. Le contrôle interne permet également de suivre l’évolution de l’application, en mémorisant les modifications successives qui lui sont apportées. Un des rôles essentiels du contrôle interne de l’application est le contrôle d’accès, qui définit les différents profils utilisateurs, pour autoriser ou non l’emploi de certaines transactions. Si le contrôle du paramétrage n’est pas rigoureux, il devient presque impossible de s’assurer de la permanence des méthodes, sauf à vérifier l’intégralité des opérations, c’est le « full audit ». Le plus souvent, cette vérification exhaustive est réalisée à l’aide de tests informatiques. Le secteur production du service informatique ne saurait se contenter de lancer les traitements informatiques en temps différé, ni de mettre les applications 85
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier informatiques en temps réel à la disposition des utilisateurs. Il doit donc exercer un contrôle de qualité, et dispose souvent d’une cellule spécialisée dont c’est la fonction. La vérification de bonne fin des traitements conduit à contrôler la concordance des totaux et le suivi en volume des opérations traitées. Au sein du service informatique, une des meilleures mesures de contrôle interne consiste en une bonne séparation des fonctions entre les domaines de production et de contrôles des résultats. Les utilisateurs ne doivent pas accepter passivement les résultats qui leur sont fournis. Il leur appartient de vérifier que ces résultats sont conformes aux entrées, qu’ils sont cohérents et qu’ils sont produits dans des délais acceptables. Les utilisateurs doivent également vérifier le respect des périodes traitées. Malheureusement, force est de constater que les utilisateurs abandonnent le plus souvent ces vérifications au fil du temps, du moment que le service rendu semble de qualité. Dès lors, ils ne réagissent plus qu’en cas de dysfonctionnement apparent. Chacun doit pourtant assurer un minimum de contrôles à son niveau et formaliser ces vérifications. Enfin les auditeurs s’assurent à leur tour que l’application informatique qu’ils contrôlent est bien conforme aux besoins, exempte de dysfonctionnement, et effectivement contrôlable. Un examen mené par les auditeurs peut mettre en relief des carences auxquelles les opérationnels se sont habitués. Que les auditeurs soient internes ou externes à l’entreprise, ils doivent tenir compte des mesures de contrôle intégrées au système, et ne pas mener leurs vérifications comme si ces mesures n’existaient pas.
86
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Tests d’existence et de permanence
Après la phase de prise de connaissance, les auditeurs effectuent les indispensables tests d’existence et de permanence. Ils n’ont pas vocation à confirmer les chiffres produits, à l’instar d’un sondage sur un échantillon réduit. Ils ont pour unique objectif de s’assurer de la réalité et de la qualité des procédures décrites. Pour s’assurer de la réalité des procédures, ces tests n’ont pas besoin d’être nombreux, mais doivent valider chacune des branches et des étapes successives de la procédure contrôlée. Toujours sans être très nombreux, ces tests sont répétés à différentes périodes de l’exercice comptable, pour vérifier leur permanence dans le temps. De manière générale, ces tests de permanence sont positionnés en début et en fin d’exercice. Le plus souvent, ces tests d’existence et de permanence demeurent manuels, puisqu’il s’agit de vérifications ponctuelles.
Critères d’évaluation
Finalement les critères d’évaluation d’une application informatique servent à s’assurer que cette dernière tient effectivement des buts de contrôles habituels d’audit. Le fait qu’une procédure soit fortement informatisée ou non est sans incidence sur les objectifs de vérification. La démarche des auditeurs consiste à se forger une opinion fondée sur le respect des buts de contrôle d’audit, limités au nombre de sept qui veulent que la comptabilité fasse état : o d’opérations réelles o concernant bien la société
87
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier o sans oubli o sans double emploi o
correctement imputées
o pour le bon montant o dans la bonne période de référence Les deux premiers buts de contrôle concernent la « matérialité » de l’opération, les deux suivants sont relatifs à « l’exhaustivité » des opérations. Les deux buts de contrôle qui suivent concernent l’aspect « technique » de la comptabilisation. Enfin le dernier but de contrôle est le positionnement « dans le temps » de l’opération. La logique et l’expérience montrent que tout autre critère rejoint les précédents.les sept buts de contrôle sont les seuls critères que les auditeurs doivent prendre en considération pour valider les comptes qui lui sont soumis.
Synthèse de la couverture des risques
La synthèse de la couverture des risques fait l’objet d’un tableau, qui présente en regard de chaque but de contrôle, le mode de prévention et de correction de ces erreurs. Ce tableau de synthèse de la couverture des risques est un document interne. La dernière colonne, baptisée index, permet de noter la référence des documents de travail qui ont conduit au tableau de synthèse. Souvent, le tableau de synthèse de la couverture des risques est validé avec l’entreprise auditée. Dès lors, il est difficile de ne pas les communiquer, d’autant plus que ces tableaux matérialisent bien la démarche d’audit, et sont aucun doute la concrétisation de la prestation rendue. 88
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
1-6 Approche par les résultats Par opposition à l’approche par les systèmes, qui porte un jugement sur la qualité des procédures concourant à la production des résultats, l’approche par les résultats est en fait un « examen analytique » des résultats produits pour se forger une opinion sur leur qualité. La certification des comptes en milieu informatisé fait appel à des tests informatiques pour s’assurer de la qualité des résultats produits. Ces tests sont également appelés tests informatiques d’audit financier.
Principes et objectifs :
En règle générale, les tests informatiques sont mis en œuvre en l’absence de points forts, donc là où il existe des risques potentiels. En plus de cet usage principal, les techniques utilisées pour les tests informatiques peuvent également servir à améliorer la productivité du travail des auditeurs, en leur présentant l’information sous une forme ou selon des critères mieux adaptés pour mener leurs diligences. Le principe des tests informatiques est d’utiliser les fichiers de l’entreprise auditée, ou une copie de ces fichiers, pour effectuer des traitements de contrôle. Les auditeurs utilisent pour cela des outils informatiques adaptés, dont la mise en œuvre obéit à des principes désormais connus. Enfin, le choix de la méthode est déterminant en fonction des résultats recherchés.
Méthodologie
Les tests informatiques servent à réaliser des contrôles vrais, des contrôles de cohérence, des recherches d’exception. Ils servent également à présenter les données dans un ordre destiné à aider les auditeurs.
89
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Contrôles vrais Un contrôle vrai consiste à rapprocher l’information à vérifier d’un référentiel extérieur ou situé en amont dans la chaîne logique. Les contrôles de rapprochement de données issues de la même saisie ou du même traitement ne sont pas des contrôles vrais. La vérification de l’existence d’un titre de placement dans une base de données externe est un contrôle vrai. Dans ce cas le référentiel, extérieur et indépendant, a été créé hors de la chaîne logique. A l’inverse, il est insuffisant de rapprocher les salaires payés au personnel et constatés en charges avec la déclaration des salaires payés. Les informations qui ont servi à produire ces résultats sont généralement les mêmes. Dans ces conditions, il s’agit d’une fausse redondance, en aucun cas d’un contrôle vrai. Contrôles de cohérence L’objectif des contrôles de cohérence est de comparer la conformité de résultats, obtenus à partir d’une même saisie, mais à l’aide de traitement différents. En règle générale, ces contrôles ne prouvent que la qualité des traitements, pas celle des données. Les contrôles de cohérence sont fréquemment utilisés dans les traitements intégrés. Ils sont également utiles pour prouver le bon fonctionnement du déversement d’informations entre applications indépendantes. La comparaison des totaux du journal de paye, établis par l’application de paye, avec les totaux du journal de paye de la comptabilité générale prouvera que la centralisation des informations s’est déroulée de manière correcte.
90
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Recherche d’exceptions Les techniques utilisées pour les tests informatiques sont souvent employées pour classer les opérations selon certains critères, ou pour rechercher des opérations atypiques. Le travail des auditeurs est grandement facilité si les opérations leur sont présentées dans un ordre déterminé, comme un classement par valeur dégressive ou par antériorité. Les inventaires sont le plus souvent présentés par famille de produit, puis par articles. Prenons l’exemple d’un inventaire que les auditeurs ont souhaité présenté ainsi : •
Les cent plus grandes quantités par ordre dégressif,
•
Les cent plus grandes valeurs par ordre dégressif,
•
Les cent plus petites quantités par ordre progressif,
•
Les quantités négatives,
•
Les quantités nulles.
Les quantités manifestement trop importantes se retrouveront en tête du tri. Il peut s’agir d’erreur de conditionnement, les emballages groupés étant décomptés comme articles, et comme des paquets unitaires. A son tour, l’examen de l’inventaire par valeur dégressive permet aux auditeurs de concentrer leurs travaux sur les éléments les plus significatifs, et couvrir ainsi une plus grande partie de la valeur du stock. Les quantités négatives peuvent soit être des erreurs, soit révéler une mauvaise procédure qui conduit à enregistrer le sortie d’une marchandise avant son entrée.
91
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier L’examen de créances ou de dettes ventilées par antériorité conduit également les auditeurs à orienter leurs travaux vers les cas sensibles, où le risque, est probablement le plus fort. La recherche d’exception est également une aide précieuse pour les auditeurs. Ces exceptions peuvent être : •
Des doublons ;
•
Des manquants ;
•
Des valeurs ou dates hors fourchette prévue ;
•
Des variations au-delà d’un seuil donné ;
•
Des opérations à contre courant ;
•
Des contreparties anormales.
Supposons que l’ont veuille s’assurer que l’on n’a pas payé deux fois la même facture. Il est possible de parcourir le fichier des achats de l’exercice ou d’une période plus restreinte en recherchant les opérations concernant un même fournisseur, pour un même montant. Une fois ces opérations isolées, il devient facile de s’assurer qu’il s’agit d’opérations justifiées ou non. L’analyse des opérations à contre courant est facilité lorsque ces dernières sont isolées sur des listes par nature, comme par exemple : •
Les avoirs marchandise avec remise en stock,
•
Les avoirs marchandise sans remise en stock,
•
Les avoirs financier, par code motif s’il existe,
•
Les retours sans avoir,
Les valeurs hors date permettent souvent de faciliter le contrôle du respect des périodes. Les contreparties anormales sont généralement révélatrices du non- respect de la procédure prévue. 92
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Travaux d’aide à la révision Bien que proches de la recherche d’exceptions, ces travaux n’ont pas pour objectif de révéler directement des anomalies, mais de faciliter les travaux des auditeurs. Ils permettent notamment de : •
Editer le chemin de révision,
•
Regrouper des éléments provenant de plusieurs fichiers distincts,
•
Classer les opérations dans l’ordre de leur archivage,
•
Calculer les variations d’un exercice par rapport au précédent,
•
Effectuer des rapprochements, comme les rapprochements bancaires,
•
Créer des échantillons et procéder à des sélections aléatoires.
Ce dernier cas est de moins en moins utilisé, puisque l’utilisation de tests informatiques permet de traiter l’intégralité d’une population. Dans ce cas, pourquoi vouloir réaliser des traitements plus restrictifs, qui d’ailleurs ne s’avéreront pas nécessairement plus économiques. Enfin, la possibilité de refaire certaines tâches, comme les rapprochements bancaires à l’aide d’outils informatiques, réduit les incertitudes qui peuvent peser sur ces travaux sensibles. En dehors de doutes sérieux sur la qualité des rapprochements, ce type de diligence était rarement entrepris manuellement, en raison de la charge de travail correspondante.
Outils informatiques
Les outils informatiques utilisés pour réaliser ces tests informatiques sont nombreux et le choix de l’outil le mieux adapté n’est pas toujours simple. Parfois, on utilise successivement plusieurs des outils informatiques disponibles. Les logiciels utilisés sont le plus souvent :
93
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier •
Les progiciels spécialisés d’audit,
•
Les progiciels classiques d’interrogation,
•
Les logiciels utilitaires fournis par les constructeurs,
•
Les outils micro-informatiques
Le développement de logiciels spécifiques spécialement destinés à l’audit est de plus en plus exceptionnel. Il ne s’applique qu’à des cas bien ciblés, lorsque l’on a atteint la limite des autres moyens et que le risque pressenti justifie cette démarche, toujours très onéreuse.
Mise en œuvre
La mise en œuvre des tests informatiques doit respecter une certaine procédure. En premier lieu, l’objectif de la diligence doit être clairement défini par le responsable de la mission d’audit et conforme à la démarche adoptée. Le choix de la méthode appartient aux auditeurs plus spécialisés en informatique, qui ont préalablement pris connaissance des conditions dans lesquels les tests informatiques pourraient être réalisés. Il leur faut installer les logiciels requis, s’ils ne sont pas disponibles de façon permanente. Il leur appartient ensuite d’identifier les fichiers nécessaires et d’en obtenir la copie, pour les rendre exploitables dans l’environnement de test. C’est à ce moment que démarre la boucle de test, car il s’agit d’une démarche itérative, qui nécessite la présence permanente d’une équipe mixte : •
Rédaction de la requête dans le langage attendu,
•
Traitement des difficultés techniques,
•
Prise en compte des contraintes comme des opportunités,
94
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier •
Vérification de l’emploi du bon fichier par totalisation de contrôle,
•
Traitement et sortie des résultats.
Vraisemblablement, les résultats ne donneront pas satisfaction dès le premier tour. Il faudra sans doute modifier la requête et relancer le traitement. C’est bien une démarche itérative. La présence du responsable de l’audit est indispensable à ce niveau, si l’on désire relancer le traitement immédiatement après les modifications rendues nécessaires. La boucle de test prendra fin dès que les résultats obtenus seront exploitables. Il importe alors de conserver le traitement et de constituer un dossier pour une prochaine utilisation. Les difficultés techniques sont nombreuses et souvent liées à l’organisation des fichiers (bases de données, fichiers de longueur variable, formats de données condensés, etc.). D’autres difficultés peuvent provenir de l’insuffisance des ressources disponibles. La prise en compte d’opportunités peut s’avérer très positive. Ainsi, avant d’effectuer un travail d’analyse des avoirs, les auditeurs ont examiné le fichier informatique dans lequel figuraient les avoirs. A cette occasion, ils ont découvert la présence d’un code motif de l’avoir. Dans d’autres cas, les auditeurs tentent d’utiliser une codification qu’ils croient pertinente comme critère d’analyse, mais cette démarche s’avère stérile dès lors que la codification sollicitée n’a pas été appliquée avec la rigueur voulue. Ce cas de figure se rencontre relativement souvent lorsque la codification prévoit une rubrique « divers », et que cette dernière est utilisée abusivement ou par défaut. Enfin, certaines pratiques perverses et anormales peuvent rendre beaucoup plus complexe le travail des auditeurs. Ainsi la création d’un avoir, suivi de la génération 95
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier d’une nouvelle facture d’un montant équivalent, permet de masquer l’antériorité des factures d’origine. L’avoir s’impute naturellement sur les créances anciennes et la nouvelle facture fait état d’une créance récente.
Exploitation des résultats
La fin des tests informatiques est matérialisée par la rédaction d’un compte- rendu écrit, rédigé en termes compréhensibles par tous les intéressés. Ce document rappelle l’objectif poursuivi, décrit les résultats et donne les conclusions de ces tests. Au plan technique, ce compte-rendu décrit les conditions de déroulement des tests, et signale les difficultés rencontrées. Il fait part de tous les faits significatifs susceptibles de faciliter un nouvel emploi de ces tests. Enfin ce document fait état des temps passés par les auditeurs et des ressources informatiques consommées.
96
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Section 3 : Obtention d’éléments probants L’obtention d’éléments probants sur les comptes est effectuée sur la base de l’évaluation des risques, afin de pouvoir aboutir à des conclusions fondant l’émission de l’opinion. Si l’appréciation du contrôle interne est menée tout au long de l’exercice, l’obtention d’éléments probants au moyen de contrôles substantifs intervient dans la période de clôture des comptes. La norme précise ce qui suit : « Les objectifs d’audit restent identiques, que les données comptables soient traités manuellement ou par informatique. Toutefois, les méthodes de mise en œuvre des procédures d’audit pour réunir des éléments probants peuvent être influencées par le mode de traitement utilisé. Le commissaire aux comptes peut appliquer des procédures d’audit manuelles, des techniques assistées par ordinateur, ou combiner les deux pour rassembler suffisamment d’éléments probants. Toutefois, dans certains systèmes comptables utilisant un ordinateur pour traiter des applications importantes, il peut être difficile, voir impossible, pour le commissaire aux comptes de se procurer certaines données à des fins d’inspection, de vérification ou de confirmation externe sans utiliser l’informatique ».
1-1 Lien avec les obligations légales du commissaire aux comptes Après avoir effectué les contrôles substantifs nécessaires et disposant des éléments probants suffisants et appropriés recherchés, le commissaire aux comptes peut émettre une opinion sur les comptes de l’entreprise. Cette opinion est fonction notamment du caractère significatif des anomalies éventuellement relevées.
97
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier Le commissaire aux comptes détermine également l’impact des conclusions de ses travaux sur les autres aspects de la mission, tels que l’information des dirigeants ou de l’organe de direction.
1-2 Emission de l’opinion sur les comptes Les travaux d'audit des systèmes d'information peuvent mettre en évidence des anomalies, insuffisances ou ajustements qui auront un impact sur l'opinion du commissaire aux comptes. Les éléments probants recueillis permettront d'alimenter le rapport général sous forme d'observations, de réserves ou de refus de certifier les comptes ou de mentions dans la deuxième partie du rapport général. Exemples d’anomalies liées aux contrôles applicatifs, identifiées lors de l’évaluation des systèmes comptable et de contrôle interne, qui pourraient avoir une incidence sur l'opinion du commissaire aux comptes : •
Opérations ou montants significatifs non transmis par une interface entre deux applications et qui n'ont pas été enregistrés en comptabilité,
•
Identification d'une anomalie significative lors de l'analyse d'un fichier informatique (provision mal calculée, erreur de valorisation des stocks, …),
•
Absence ou erreur dans la mise à jour du référentiel d’une application (exemples : ventes, paie),
•
Absence d'archivage des données et/ou programmes impliquant un risque significatif de taxation d'office en cas de contrôle fiscal (loi sur le contrôle fiscal informatisé),
•
Absence de procédure de sauvegarde des données et/ou programmes impliquant un risque de perte financière en cas de sinistre majeur (incendie, acte de malveillance, intrusion, …), 98
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier •
Contrôle interne déficient ou absent, au sein d'une application qui gère un processus majeur de l'entreprise,
1-3 Information des dirigeants ou de l'organe de direction Une meilleure connaissance du contrôle interne, notamment du point de vue système d'information, permet de relever des faiblesses ou anomalies qui devront être communiquées aux dirigeants. Les remarques du commissaire aux comptes concernant le système d'information de l'entreprise sont porteuses d'une forte valeur ajoutée qui intéresse les dirigeants. En outre, l'information des dirigeants, leur permettra de mettre en œuvre des solutions palliatives, correctives de façon à traiter le plus rapidement possible les faiblesses en matière de contrôle interne. Toutes les faiblesses liées à une défaillance ou une absence de contrôle interne identifiées lors de la revue générale informatique ou de la revue d'application peuvent et doivent dans certains cas, être signalées aux dirigeants.
99
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Conclusion de la deuxième partie Pour mener à bien leurs missions dans un milieu informatisé, les auditeurs financiers doivent maîtriser les systèmes d’information. Ces derniers sont de plus en plus complexes et diversifiés. En effet, la présence des systèmes d’information a un impacte significatif sur les différentes phases de la mission : *La prise de connaissance, * L’appréciation du contrôle interne, *Et l’obtention d’éléments probants. Face à un contexte caractérisé, entre autres, par la dématérialisation des informations et l’automatisation des contrôles, il est de plus en plus difficile pour les auditeurs financiers de forger leur opinion sans une approche approfondie du système informatique. Il leur appartient donc d’adopter une démarche adapté à ce nouveau contexte. Sans oublier tout de même qu’ils doivent disposer des qualifications et aptitudes nécessaires pour la bonne conduite de leur mission.
100
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Conclusion Les systèmes d’informations sont devenues l’une des préoccupations majeures des entreprises et ce, compte tenu des phénomènes de globalisation et de libéralisation ainsi que l’émergence d’une nouvelle économie. Ils irriguent tous les services des entreprises. Ils constituent des leviers stratégiques qui accompagnent les entreprises dans leur mise à niveau et leur développement.
Cependant, la forte intégration des systèmes d’information dans le processus de traitement des entreprises cause de nouveaux risques à celles-ci.
L’auditeur, qui est tenu de forger une opinion sur la fiabilité de l’information comptable et financière issus directement de ces systèmes, se trouve alors confronté à la complexité et la diversité des systèmes d’information.
Il en résulte que l’auditeur va éprouver de plus en plus de difficultés à forger son opinion sans une approche approfondie des systèmes d’informations, il est donc amené à apprécier la fiabilité du fonctionnement du système d’information dans l’entreprise. Une nouvelle démarche d’audit comptable et financier doit donc être proposée pour la compréhension et l’évaluation des systèmes d’informations.
Mais cette nouvelle démarche n’est pas sans soulever des problématiques particulières, notamment en termes de formation et de sensibilisation des auditeurs
101
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier du cabinet, de documentation des travaux d’audit. C’est l’ensemble de l’organisation de la mission de l’auditeur qui doit être repensé.
Heureusement, l’auditeur va pouvoir disposer lui aussi à l’avenir de moyens performants pour vérifier le fonctionnement des systèmes d’information, en utilisant les fonctions d’audit intégrées dans des logiciels et en employant des logiciels d’audit spécialisés.
Dans ce cas l’avenir reposera-t-il sur le dossier électronique du commissaire aux comptes? Sans doute en partie, mais l’homme et son jugement professionnel reste indispensable.
102
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Bibliographie Ouvrages
Les techniques de l’audit informatique, Yann Derrien, Edition « Dunod »,1992 « Stratégie appliquée à l’audit des systèmes d’information », Alphonse Carlier, Edition « Lavoisier », 2006 « Audit et certification des comptes en milieu informatisé », Jean Paul Lamy, les Éditions d'organisation ,1996 « Audit comptable -Audit informatique », Hugues Angot - Christian Fischer- Baudouin Theunissen, Edition « Boeck-Wesmael », 1994 « L'audit informatique », Marc Thorin, Editions « Hermes sciences publication », 2000 « Système d’information et management des organisations », Robert Reix, Edition « Vuibert »,2004 « Performance du système d’information », Yves Caseau, Edition « Dunod »,2007 « Sécurité des systèmes d’information », Donald L Pipkin, Edition « Pearson Education » 2000 Audit & gestion stratégique de l’information, Pierre Morgat , Les éditions D’organisation ,1995 Audit et contrôle interne – Aspects financiers opérationnels et stratégiques, Lionel Collins – Gérad Valin, Edition « Dalloz » ,1992
103
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Guide I.S.A.C.A. Guide cobit : Third edition Guide CNCC : Prise en compte de l’environnement informatique et incidence sur la démarche d’audit, Collection guide d’application, édition avril 2003
Mémoires -Extraction et Exploitation des données du système d’information dans le cadre du commissariat aux comptes : Méthodologie et outils, RIVIERE Benoît-René, Mai 2008 Révision dans un environnement informatisé : Proposition d’une norme d’audit pour le commissariat aux comptes : Leila Falaki, Novembre 2003 Informatisation de la mission d’audit comptable et financier, Abdelhakim Soudi, 2005
104
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
Webographie http://www.scribd.com/doc/4062787/auditcomptableetfinancier http://books.google.fr/books?id=GQsPSA2JKoC&pg=PA13&lpg=PA13&dq=audit+informatiqu e%2Bm%C3%A9moire&source=bl&ots=66fMN9R989&sig=jmToo46UMqpbzE6xb1HYa6mnwS A&hl=fr&ei=IGXySfmWIcSK_QaLjoXSCQ&sa=X&oi=book_result&ct=result&resnum=3#PPA28 8,M1
http://209.85.129.132/search?q=cache:pbMiBqRzSeUJ:concours.eco.univrennes1.fr/capet/sujets/suj_orl/Option%2520B/sysinfo.htm+les+vuln%C3%A9rabilit%C3%A9 s+dans+les+syst%C3%A8mes+d%27information&cd=85&hl=fr&ct=clnk&gl=fr http://books.google.fr/books?id=F3fwtdWLTZQC&pg=PA590&lpg=PA590&dq=les+vuln%C3% A9rabilit%C3%A9s+dans+les+syst%C3%A8mes+d%27information&source=bl&ots=jLl6smA6u&sig=fgAkn0GohF1knW6y1axLHcN3FXQ&hl=fr&ei=v8SStiFLYaU_Qa_xMC0Dw&sa=X&oi=bo ok_result&ct=result&resnum=7#PPA59,M1
http://books.google.fr/books?id=yRU9eq0RVuoC&pg=PA118&lpg=PA118&dq=les+risques&s ource=bl&ots=pVqQjpt2__&sig=cV7BSrf8EjplDxivXrz5JoWhSQ&hl=fr&ei=Kg8TSrjIE5qN_AaPy NmfDw&sa=X&oi=book_result&ct=result&resnum=9#PPA9,M1
105
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
LEXIQUE DU SYSTEME D’INFORMATION L’informatique est définie par le dictionnaire de la langue française comme suit : « Science et technique du traitement automatique de l’information au moyen des Ordinateurs ». En effet, c’est un ensemble d’outils et de méthodes qui permettent de saisir, stocker et échanger les données, et de traiter ces dernières afin d’obtenir des résultats pertinents à un problème donné ;
Le système d’information (SI) est constitué d'un ensemble de moyens, de ressources et d'éléments organisés en vue de recueillir, traiter, stocker et diffuser l’information. C’est un ensemble complexe, souvent hétérogène car constitué d'éléments qui se sont juxtaposés au fil du temps au gré des choix stratégiques, des évolutions technologiques des systèmes informatiques en place, et du développement de l'organisation elle-même.
L’audit informatique est effectué par une ou des personnes indépendantes internes ou externe à l’entreprise, en vue de donner une assurance sur la réalisation des objectifs du contrôle interne de la fonction informatique, et des conseils visant à améliorer le fonctionnement des systèmes d’information.
L’audit comptable et financier est défini par le manuel des normes professionnelles marocaines, comme une mission ayant pour objectif de permettre à l’auditeur d'exprimer une opinion selon laquelle les états de synthèse ont été établis, dans tous leurs aspects significatifs, conformément à un référentiel comptable identifié et qu’ils traduisent d’une manière régulière et sincère la situation financière de la société, ainsi que le résultat de ses opérations et les flux de sa trésorerie.
Application Programme contenant les traitements à appliquer aux données d’entrée (input) pour obtenir un résultat désiré (output).
106
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier
ERP : il s’agit d’un ensemble de modules structurés autour d'une base de données unique et couvrant l'ensemble des domaines fonctionnels de l'entreprise, de la gestion de production à la gestion financière.
Base de données (Database) Logiciel qui permet de stocker, classer, retrouver des données, et de réaliser des calculs sur ces données.
Commerce électronique (Electronic Commerce) Réalisation du processus de la relation commerciale par voie électronique (réseau, ordinateurs) : présentation des produits, prise de commande, paiement, gestion de la logistique de livraison. Dans le cas des documents ou des logiciels, la livraison ellemême peut se faire par voie électronique
Donnée Data Une donnée, c’est un couple logique formé par (a) une définition, (b) la spécification d’une méthode de mesure, d’observation ou de calcul (" Métadonnée"). Réaliser la mesure (ou l’observation pour les données qualitatives ou le calcul pour les données agrégées) permet de connaître la valeur prise par la donnée dans un contexte particulier (lieu, date).
EDI (Echange de données informatisées) (Electronic Data Interchange) Communication entre applications informatiques d’entreprises différentes ou non, par le moyen de messages dont le format et le codage auront été fixé par un accord d’interchange. La norme Edifact définit le format général des messages. L’EDI facilite les échanges répétitifs d’information (commande, facture, etc.) entre un fournisseur et un client assidu. L’ " EDI-ouvert " procure une norme pour décrire les rôles de diverses entreprises dans les montages complexes d’ingénierie d’affaire, et garantit que leurs applications sont capables de communiquer par messages EDI.
Extranet Mise en réseau de plusieurs entreprises qui connectent leurs Intranets. L’Extranet est le moyen idéal pour les relations avec les partenaires, fournisseurs et clients.
Information Une information, c’est une donnée observée par un acteur que cette donnée intéresse. 107
Année universitaire 2008-2009
Audit des systèmes d’informations : Approche dans le cadre d’audit financier L’observation par un acteur implique la comparaison au moins implicite à d’autres données, car sans comparaison il n’y a pas d’interprétation possible. Passer du rang de donnée à celui d’information suppose que la connaissance de la donnée contribue à l’action de celui qui l’observe : la notion d’information recèle donc un côté subjectif et un côté objectif.
Interface Mise en forme des données permettant leur passage d’une étape à l’autre du traitement. Equipement assurant la transcription des données d’un langage dans un autre. L’interface homme-machine assure la communication entre l’homme et l’ordinateur grâce à des supports (écran, clavier, haut-parleurs) accessibles aux sens de l’être humain. L’interface graphique (Graphical User Interface ou GUI), qui permet d’afficher et de créer des images, fait partie de l’ergonomie standard en 1997.
Internet Réseau d’interconnexion d’ordinateurs utilisant le protocole de transmission de données TCP/IP (qui permet aussi le transfert des images, fixes ou animées, et du son). Efficace, robuste et peu coûteux grâce aux qualités de TCP/IP, l’Internet a été d’abord utilisé par des chercheurs, puis a servi de support à des services devenus populaires (messagerie, forums, Web, commerce électronique, téléchargement de logiciels) qui ont fait de lui un phénomène de société. C’est désormais le réseau mondial de communication électronique.
Intranet Utilisation de l’Internet à des fins internes à une entreprise. L’Intranet permet à l’entreprise de bénéficier de l’économie d’échelle acquise par les logiciels sur l’Internet, et d’outils de développement orientés-objet comme Java. On peut réaliser maintenant sur l’Intranet la totalité des applications de groupware. L’Intranet nécessite toutefois une administration soigneuse des droits d’accès, et la mise en place de " Firewalls " pour protéger les données de l’entreprise.
Micro-ordinateur (Micro Computer) Ordinateur dont l’unité centrale est constituée d’un microprocesseur. Le microordinateur contient d’autres circuits intégrés réalisant des fonctions de mémoire et d’interface.
Ordinateur (Computer) Appareil électronique capable de recevoir des données et d’exécuter sur ces données des instructions programmées à l’avance
108
Année universitaire 2008-2009
View more...
Comments