Audit réalisé dans un milieu informatique Audit réalisé dans

Audit réalisé dans un milieu
informatique
Animateurs
Animateurs::
Michèle CARTIER LE GUERINEL
Emmanuel LAYOT
5 à 7 du 16 septembre 2003
Ordre
Ordre du
du jour
jour
Prise en compte de l’environnement informatique et
incidence sur la démarche d’audit
–
–
–
–
Problématique
Systèmes d’informations et risques associés
La démarche d’audit en environnement informatique
Mise en œuvre de la démarche (outils)
•
•
•
•
•
ORT
Audit sécurité
Analyse de données
Sécurité et dématérialisation des échanges
Gestion Electronique de Documents (GED) et archivage
Services d'assistance informatique CNCC Qualité
5 à 7 du 16 septembre 2003
Prise
Prise en
en compte
compte de
de ll ’environnement
’environnement informatique
informatique et
et
incidence
incidence sur
sur la
la démarche
démarche dd ’audit
’audit :: problématique
problématique
Une dématérialisation croissante de l’environnement de l’entreprise : l’audit
traditionnel par contrôle sur pièces n’est pas toujours possible et adapté en
termes de pertinence des résultats obtenus
L’obligation de prendre en compte des risques nouveaux liés aux applications
intégrées (progiciels, intranet, internet, portails d ’entreprise…)
L’utilisation d ’une méthodologie pour pouvoir mener à bien ces nouveaux
contrôles, en cohérence avec le budget de la mission
La possibilité d’apporter davantage de valeur ajoutée au client en émettant des
recommandations satisfaisant ses préoccupations :
– fiabilité de son système d ’information
– maîtrise de ses risques juridiques et techniques
5 à 7 du 16 septembre 2003
Prise
Prise en
en compte
compte de
de ll ’environnement
’environnement informatique
informatique et
et
incidence
incidence sur
sur la
la démarche
démarche dd ’audit
’audit :: problématique
problématique
L’environnement informatique ne modifie en rien la finalité de la mission de
certification des comptes, …mais la prise en compte du degré informatique de la
société auditée a une incidence sur la démarche d’audit
Pourquoi ? : l’utilisation d’un ordinateur modifie la saisie et le processus de
traitement et de conservation des données et en conséquence peut avoir une
incidence sur les systèmes comptable et de contrôle interne de l’entité
Comment ? : l’environnement informatique peut contenir des erreurs ou
anomalies, à chaque niveau du système :
–
–
–
Saisie
Traitement
Conservation
A quels niveaux en tenir compte dans la démarche d’audit ?
–
–
–
La prise de connaissance des systèmes comptable et de contrôle interne
La prise en compte du risque inhérent et du risque lié au contrôle
La mise en œuvre des procédures d’audit
5 à 7 du 16 septembre 2003
Systèmes
Systèmes d’informations
d’informations
et
et risques
risques associés
associés
•Erreurs d’imputation, oublis, doublons au niveau
des saisies utilisateurs
•Anomalies dans les traitements / programmes
•Paramétrage incomplet ou erroné
•Habilitations non définies (non séparation de
fonctions)
•…
•Mauvaise conception des programmes
•Dépendance vis-à-vis de la sous-traitance
informatique
•Faiblesses dans la sécurité physique et logique
(piratage)
•Sauvegarde des données (archivage fiscal, CNIL)
•Assurance RCP ne couvrant pas les risques
informatiques
Applications de gestion
(gestion commerciale, stocks, GPAO,
réservation de billets…)
Support
Informatique
(exploitation,
maintenance, …)
Système comptable et financier
Comptes
annuels
5 à 7 du 16 septembre 2003
•Dysfonctionnement des interfaces
•Erreurs de rattachement de période
•Modification directe dans l’application
comptable sans répercussion automatique
dans les applications de gestion
La
La démarche
démarche d’audit
d’audit en
en environnement
environnement informatique
informatique
Phase 1
Orientation et planification
de la mission
1.1 Prise de connaissance de
l’informatique dans l’entreprise
Appréciation de l’importance de
l’informatique dans l’entreprise
et de son impact dans
l’élaboration des comptes.
1.2 Description du système
d’information de l ’entreprise
Identification des principales
composantes du système
d’information et de son niveau
de complexité.
1.3 Prise en compte de
l’informatique dans le plan de
mission
Phase 2
Evaluation des risques
2.1 Incidence sur le risque inhérent
Incidence de la fonction informatique
(conception/achat, exploitation,
sécurité et maintenance
informatique), transverse aux
activités de l’entreprise, sur le risque
inhérent
2.2 Incidence sur le risque lié
au contrôle
Incidence des applications
informatiques (jouant un rôle
important dans le processus
d’élaboration des comptes) sur
le risque lié au contrôle.
2.3 Synthèse de l’évaluation des
risques
Phase 3
Obtention d ’éléments
probants
3.1 Méthodes de mise en
œuvre des procédures d ’audit
Détermination du caractère
suffisant et approprié des
éléments probants obtenus et
lien avec l’opinion sur les
comptes.
3.2 Lien avec les obligations
légales du commissaire aux
comptes
Emission de l’opinion sur les
comptes, information des
dirigeants ou de l’organe de
direction.
Techniques d ’audit assistées par ordinateur
5 à 7 du 16 septembre 2003
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
outils
outils disponibles
disponibles
Documentation CNCC
–
–
–
Guide d’application « Prise en compte de l’environnement informatique et incidence sur la
démarche d’audit » : modèles de dossiers de travail à télécharger en version word, moteur de
recherche, exemples, étude de cas corrigée
Fiches PGI
Normes professionnelles, guides sectoriels, INFOCOM etc
Formation CNCC :
–
–
CD-ROM auto-formation
Formations « Technologies de l’information » : actuel informatique, excel, comment utiliser les
fichiers de l’entreprise, CAC dans les TPE/PME (directeur de mission), ACL
Service d’assistance informatique CNCC Qualité
Logiciels d’aide à l’audit : MCC, Auditsoft
Logiciels d’analyse de données : tableurs, IDEA, ACL
Logiciels de formalisation de processus : word, excel, powerpoint, visio, aris, …
Outils de gestion électronique de document (GED) / archivage des données
Bases de données externes à la profession : ORT (suivi personnalisé mandats),
INFOGREFFES (KBIS), DIANE, SOPHIE (COB), SOCIETES.COM
5 à 7 du 16 septembre 2003
Guide
Guide dd ’application
’application
«« Prise
Prise en
en compte
compte de
de ll ’environnement
’environnement informatique
informatique et
et
incidence
incidence sur
sur la
la démarche
démarche dd ’audit
’audit »»
Le guide 2-302 est disponible sous 3 supports
PAPIER
CD-ROM
EN LIGNE SUR
EXTRANET
www.crcc.com.fr
Démonstration des supports opérationnels à partir du CD-ROM
5 à 7 du 16 septembre 2003
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 11
1- Prise de connaissance de l’entreprise
Recherche d’information sur l’entreprise
2- Prise de connaissance de l’informatique dans l’entreprise
Eléments
Stratégie informatique
Stratégie élaborée par les entités opérationnelles
Sensibilisation de la direction
Satisfaction des besoins utilisateurs
Fonction informatique
Organisation de la fonction informatique
Organisation informatique
Séparation des tâches
Externalisation
Compétences informatiques
Niveau de compétence
Charge de travail
Niveau de rotation
Importance de l’informatique dans l’entreprise
Degré d’automatisation
Caractéristiques du système d’information
Sensibilité de l'informatique
Indisponibilité
Complexité du système d’information
Intégration
Documentation
5 à 7 du 16 septembre 2003
Description
Incidence sur la fiabilité du système
d'information
Faible
Modérée
Elevée
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 11
3 – Description du système d’information
Telbac ou autre logiciel Etebac
Extraits de
banque
Gestion Comptable
Cartographie applicative
Communication
Comptabilité générale et analytique
Gestion clients et fournisseurs
Ecritures de règlements,
facturation clients et
fournisseurs
Reporting
Tiers - Plans
comptable et
analytique
Utilisation
Fiches PGI
(sage, ccmx, adonix,
navision, cegid…)
Rapprochement bancaire
Gestion commerciale
Ecritures de
caisse
Tiers - Plans
comptable et
analytique
Gestion des Ventes
Gestion clients
Facturation Clients
Gestion des Acha
Gestion Fournisse
Facturation Fournis
Statistiques Clients
Statistiques Fourn
Réglements :
Clients
Saisie de caisse décentralisée
Gestion des clients
Gestion de caisse comptoir (encaiss.)
Fournis
Gestion de stock/fabrication
Applications
Processus à analyser
Compta 100
Moyens
Gestion com
Immos 100
paiem. 100
100
Gestion des Ventes
X
X
Gestion des Immobilisations
X
Gestion des Achats
X
Processus
5 à 7 du 16 septembre 2003
X
X
Saisie
caisse
décentralisé
Paie 100
Soldes et
prév.en
valeur 100
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 22
2- Incidence sur le risque inhérent
Incidence de l’environnement
Informatique sur le risque inhérent
Constats
Incidence sur
le risque
inhérent
Conception et acquisition des solutions
informatiques
Comment sont achetées et développées
les solutions informatiques ?
Identification des besoins en nouveaux outils
Organisation de la fonction développement /
paramétrage
Procédures de développement / paramétrage
Procédures de tests
Comment sont installés et validés les
nouveaux systèmes informatiques ?
Tests lors du démarrage de la nouvelle
application ou version
Validation des développements
Niveau de documentation des outils
Gestion du changement
Comment est assurée la maintenance du
système d’information ?
Maîtrise du système d’information
Maintenance externalisée
Distribution et support informatique
Quelle est la qualité du support fourni aux
utilisateurs ?
Cellule de support (hotline)
Manuel utilisateur et documentations
disponibles
Formations informatiques
Comment sont gérés les problèmes
d’exploitation quotidiens ?
Suivi des performances du système
Disponibilité du système
Fonction exploitation
Historique et surveillances des activités
Comment sont gérées les fonctions
externalisées ?
Procédures de choix des sous-traitants
Sous-traitants correspondant aux besoins de
l’entreprise
Supervision des activités des sous-traitants
Contenu des contrats de sous-traitance
Gestion de la sécurité
Comment sont gérées les sauvegardes ?
Procédure de sauvegarde
5 à 7 du 16 septembre 2003
Recommandations
Impact
possible sur les
contrôles substantifs
Communication au gouvernement
d’entreprise
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 22
2- Incidence sur le risque inhérent
Démonstration d’un audit sécurité ayant un impact sur le risque inhérent
Client 1
Moteur
de tests
Plate-forme
technique
Base de
données
Interface
Graphique
Interface
Update
Graphique Manager
Moteur
de tests
Client 2
Générateur Console
de rapports Batch
Console de test
Tests déportés à travers une
connexion sécurisée
Interface
Graphique
Moteur
de tests
5 à 7 du 16 septembre 2003
Client n
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 22
2- Incidence sur le risque lié au contrôle
Utilisation
Fiches PGI
(sage, ccmx, adonix,
navision, cegid…)
1°) formalisation du processus
Gestion commerciale 100
Contrôle :
oublis ou
doublons
Contrôle :
erreurs
d’imputation
2
F_DOCENTETE
F_DOCLIGNE
3
Génération
Générationdes
desécritures
écritures
comptables
comptablesààpartir
partirdes
desfactures
factures
de
ventes
“à
comptabiliser”
de ventes “à comptabiliser”
1
Contrôle :
exercice
rattachement
Possibilité
Possibilitéd’exporter
d’exporterun
unfichier
fichier
plutôt
q’une
MAJ
directe
plutôt q’une MAJ directe
de
delalacomptabilité
comptabilité
Compta100
F_ECRITUREC
5 à 7 du 16 septembre 2003
Fichier texte
La fiabilité de l’interface
sera fonction de l’application
utilisée pour importer le fichier
(OK si Compta100, sinon
Attention si développements
spécifiques)
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 22
2- Incidence sur le risque lié au contrôle
2°) Matrice des risques
N°
Domaine du
contrôle
Assertions
1
Traitement
Rattachement
2
3
Description du risque
théorique
Potentialité
du risque
théorique
Facture imputée sur
N-1 au lieu de N, lors
du traitement “MAJ
comptable”
Elevée si
clôture
comptable
non faite
-
Faible si
clôture
comptable
faite
Contrôle
automatique :
message d’erreur
Identification des contrôles
Programmés
Utilisateurs
Contrôle manuel au
niveau de la période
lors de la procédure
“MAJ comptable”
-
Appréciation Incidence
des
sur le risque
contrôles
lié au
internes
contrôle
Modéré
Elevée /
modérée
Elevé
Faible
Traitement
Exhaustivité /
Evaluation
Transfert des factures
en double en
comptabilité ou
transfert inexistant
Elevée
-
Contrôle manuel à
réaliser
Faible /
modérée
Elevée /
modérée
Traitement
Exhaustivité /
Mesure
Erreur d’imputation
d’un produit ou d’une
charge
Elevée
-
Contrôle manuel à
réaliser
Faible /
modérée
Elevée /
modérée
5 à 7 du 16 septembre 2003
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 33
Le commissaire aux comptes, à partir des éléments vérifiés lors de
l’évaluation des risques, se concentre sur les risques de niveau modéré
ou élevé, afin de déterminer la nature et l’étendue des contrôles
substantifs à mener et s’il est pertinent, pour ce faire, de recourir aux
techniques d’audit assistées par ordinateur (ou analyse de données)
h Vérification des calculs et additions (ex : recalcul des
totaux des inventaires physiques : des immo, des stocks, des
factures de l’année …)
h Comparaisons de fichiers et extractions
d’anomalies (ex : comparaison des fichiers des
prix de revient et de vente de stocks pour identifier
les dépréciations à effectuer ; extractions des stocks
ou immo dont la valeur nette est négative …)
h Extractions d’échantillons : les 20/80 des factures clients
h Tri des fichiers selon des critères prédéfinis
(ex : ordre croissant des valeurs ; écritures passées
sur une certaine période …)
5 à 7 du 16 septembre 2003
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 33
Ces techniques sont de nature à :
– permettre l’obtention d’éléments probants dans un environnement
dématérialisé,
– dépasser le stade du sondage dont l’exploitation est toujours délicate compte
tenu des difficultés de mise en œuvre et de la non exhaustivité des contrôles,
– identifier systématiquement toutes les anomalies répondant aux critères de
sélection et / ou de calcul retenus,
– procéder à des traitements par simulation pour mesurer l’impact de
changements de méthode,
– aborder des contrôles fastidieux et complexes sur des populations
nécessitant un nombre de calculs difficilement réalisables par une approche
manuelle.
Démonstration de contrôles substantifs menés avec un logiciel
d’analyse de données
5 à 7 du 16 septembre 2003
Sécurité
Sécurité et
et dématérialisation
dématérialisation des
des échanges
échanges
Les échanges avec les clients sont en augmentation
constante (documents, rapports, courriers, etc)
Le développement des échanges électroniques doit
s’accompagner de la mise en place de solutions apportant
les avantages suivants :
– Amélioration de la productivité : simplification et rapidité des
échanges par voie électronique par rapport aux envois postaux
avec accusé de réception
– Economies réalisées avec les échanges électroniques, moins
coûteux que les échanges postaux
– Sécurité juridique aussi forte qu’avec les documents originaux en
format papier (signature électronique, horodatage et archivage)
5 à 7 du 16 septembre 2003
Sécurité
Sécurité et
et dématérialisation
dématérialisation des
des échanges
échanges
Site internet
Plate-forme d’échanges
Horodatage Archivage
Commissaire
aux Comptes
Tiers de confiance
5 à 7 du 16 septembre 2003
Entreprise
Administrations
et Greffes
Service
Service d’assistance
d’assistance informatique
informatique CNCC
CNCC Qualité
Qualité
Vous travaillez actuellement sur :
– la rédaction de vos lettres de mission,
– la planification et orientation de vos missions,
– la préparation de vos contrôles intérimaires...
Vous rencontrez peut-être des difficultés pour intégrer dans les missions la
dimension informatique nécessairement présente chez vos client.
Quel que soit le niveau de développement et d'intégration de leurs systèmes
d'informations, ces aspects doivent être pris en compte dans la démarche d'audit
dès la phase orientation et planification.
Le service d'assistance informatique proposé par CNCC Qualité a été conçu
pour vous assister dans chacune des étapes de la mission d'audit, en vous
aidant notamment :
– à évaluer les risques inhérents aux systèmes d'information
– à définir et mettre en oeuvre des contrôles substantifs sur les données
5 à 7 du 16 septembre 2003
Service
Service d’assistance
d’assistance informatique
informatique CNCC
CNCC Qualité
Qualité
Qui intervient ? : un professionnel salarié de CNCC Qualité, spécialisé
en audit financier et informatique
Où se déroule l'intervention ? : en fonction des besoins, dans votre
cabinet, chez votre client ou à distance
En quoi consiste cette intervention ? :
• à identifier les mandats pour lesquels il est pertinent de mettre en œuvre cette
méthodologie
• à vous assister dans la définition de l'orientation de la mission et dans
l'explication nécessaire de cette démarche auprès des sociétés contrôlées
• à identifier et à évaluation les risques, notamment les obligations réglementaires
(archivage fiscal, protection des données personnelles, etc)
• à évaluer la vulnérabilté des systèmes d’information
• à prendre en compte les particularités d'un progiciel de gestion intégre (PGI) ou
de l'environnement internet
• à mettre en oeuvre les techniques d'audit assistées par ordinateur (analyse de
données)
5 à 7 du 16 septembre 2003
Service
Service d’assistance
d’assistance informatique
informatique CNCC
CNCC Qualité
Qualité
En plus de renforcer la qualité des diligences professionnelles mises en oeuvre,
les interventions du service d'assistance informatique vous permettent :
– de formuler des recommandations à forte valeur ajoutée pour vos clients
– de faciliter la mise en oeuvre de la LSF sur l'attestation du rapport rédigé par la SA
portant sur le contrôle interne
– de partager les compétences acquises au sein de votre organisation en les mettant en
oeuvre dans vos autres missions professionnelles
– de comprendre les problématiques de vos clients liées aux systèmes d'information
Les collaborateurs du service d'assistance informatique peuvent intervenir chez
vous ou chez vos clients, sur la base d'un prix jour/homme compétitif, pour
rendre les prestations accessibles au plus grand nombre.
Un forfait de 1000 euros ht est proposé pour la première intervention, consistant
à analyser en profondeur chaque mandat, pour identifier les contrôles pertinents
à mener.
5 à 7 du 16 septembre 2003
Service
Service d’assistance
d’assistance informatique
informatique CNCC
CNCC Qualité
Qualité
Afin de planifier au mieux les interventions, il est indispensable de
renvoyer le bulletin d'inscription avant la date limite fixée au 20
septembre.
Pour toute question ou information complémentaire, vous pouvez
contacter le service d'assistance informatique de CNCC Qualité :
- par téléphone, au numéro suivant : 01 44 77 82 82
- par courrier électronique à l'adresse suivante : [email protected]
- par fax, au numéro suivant : 01 44 77 82 52
Le bulletin d'inscription au service d'assistance informatique est
téléchargeable sur l'extranet : www.crcc.com.fr
5 à 7 du 16 septembre 2003