Quels sont les impacts des PGI sur le processus daudit ?
Le cas de lauditeur lgal
Grald BRUNETTO Matre de Confrences Laboratoire CREGOR - Universit Montpellier II Gerald.brunetto@ac-montpellier.fr
Vronique MASSOT Diplme en expertise comptable Agrge dconomie et de gestion Universit Perpignan massot@univ-perp.fr
Rsum
Le dveloppement des progiciels de gestion intgrs (PGI) au sein des entreprises sexplique par la ncessit dhomogniser leur systme dinformation et de scuriser les donnes comptables et financires. Lobjet de cette tude est de cerner les facteurs de risques mais galement les difficults spcifiques lies la dmarche daudit en environnement PGI. La littrature souligne les liens existant entre processus daudit et PGI, mais naborde pas spcifiquement la problmatique de lauditeur lgal dans cet environnement informatique. Lanalyse de la thmatique par la thorie de la complexit apporte un clairage particulier cette recherche. Une tude exploratoire, ralise sur le terrain sous forme dentretiens semi directifs effectus auprs de commissaires aux comptes, a mis en vidence deux principaux rsultats. En premier lieu, notre tude montre quil existe des risques particuliers au niveau des interfaces, du chemin de rvision et des techniques daudit informatises. En second lieu, notre recherche identifie des stratgies dacteurs qui tentent de simplifier la complexit croissante du processus daudit en environnement PGI.
Mots Cls : Audit, PGI, thorie de la complexit, auditeur lgal
Abstract The ever greater use of Enterprise Resource Planning (ERP) in companies accounts for the necessity to homogenize their information system and to reliabilize their accounting and financial information. The aim of this study is to identify the risk factors and also the specific difficulties in conducting the audit process in an ERP environment. Literature documents the links between the audit process and ERP but, to our knowledge, the specific issue of the legal auditor in this environment is not mentioned. Analyzing this issue from the angle of the complexity theory sheds a specific light into this research. An exploratory field study with semi structured interviews from legal auditors allowed us to identify two main results. Firstly, our study reveals the existence of particular risks affecting the interfaces, the review path and the audit technique based on computer science. Secondly, our research shows strategies of actors trying to simplify the growing complexity of the audit process in an ERP environment.
Key words : Audit, ERP, complexity theory, auditor
1 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 Manuscrit auteur, publi dans "LA COMPTABILITE, LE CONTRLE ET L'AUDIT ENTRE CHANGEMENT ET STABILITE, France (2008)" INTRODUCTION Les systmes dinformation des entreprises ont connu, au cours de ces dernires annes, plusieurs vagues de changement: mise en place darchitecture client/serveur, intranet/extranet, urbanisation et surtout implantation de progiciels de gestion intgrs (PGI). Les dcideurs informatiques ont alors progressivement pris conscience de la ncessit d'homogniser leur systme d'information. Cette dmarche s'est d'abord oriente vers une structuration par les donnes (base de donnes centrale de PGI), puis le systme d'information des entreprises s'est tendu fonctionnellement et s'articule dsormais de plus en plus autour de briques logicielles fournies par plusieurs diteurs : modules PGI, gestion de la relation client (ou CRM), gestion de la chane logistique (ou SCM).
Ainsi, les organisations ont intgr des PGI dans le cadre de leur structure pour deux raisons : rsoudre les problmes poss par des applications disparates au sein des domaines fonctionnels, et raliser des avantages concurrentiels. En provoquant des changements radicaux dans les flux dinformation, lobjectif des PGI est de fournir des solutions technologiques pour rpondre des besoins clairement identifis. Il convient par consquent de sinterroger si dans un tel environnement informatique, les auditeurs doivent adapter leur dmarche de contrle. L'ide sduisante de la base de donnes unique des PGI n'a pas toujours tenu ses promesses et lauditeur financier constate souvent que lobjectif de structuration du systme d'information nest pas atteint. En effet, la complexit de limplantation des PGI et de leur connexion au systme d'information existant, qui se pose alors en systme hrit, rvle au terme du projet, un cart sensible par rapport au schma simplifi mis en avant par les diteurs de ces produits. Force est de constater que le systme dinformation peut par consquent aboutir au modle spaghetti dcri par le GartnerGroup.
2 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 Un faible nombre de recherches a trait de la problmatique des progiciels de gestion intgrs et du processus daudit. De rares travaux ont port sur linfluence des PGI sur le contrle de gestion (Meyssonnier et Pourtier, 2004, 2006 ; Gosselin et Mvellec, 2003) ou ont tent dapporter un clairage sur l'impact des technologies de l'information sur le processus d'audit (Bagranoff et Vendrzyk, 2000 ; Bierstaker, Burnaby et Thibodeau, 2001). Bierstaker, Burnaby et Thibodeau (2001) soulignent que les technologies de linformation ont une incidence sur chaque phase de ce processus. La littrature dans ce domaine montre que les auditeurs ont la difficile tche de mener un audit dans un environnement informatique de progiciels intgrs, dans lequel les systmes de contrle interne peuvent devenir inefficaces. Les travaux de Zhao, Yen et Chang (2004) ont mis en vidence quun systme informatique complexe de type PGI influence les pratiques en matire de contrle financier et peut reprsenter de graves menaces pour la viabilit conomique des audits. Les PGI semblent provoquer des changements profonds pour les auditeurs, qui ont alors besoin dajuster leur dmarche, dans le cadre de leur mission. Les rcents amnagements de la lgislation fiscale franaise renforcent ce constat. En effet, lvolution des logiciels disponibles en matire de comptabilits informatises et la forte prsence des PGI au sein des entreprises ont rendu ncessaire de nouvelles dispositions rglementaires, notamment travers linstruction fiscale du 24 janvier 2006. Dautre part, lanalyse des normes dexercice professionnel des commissaires aux comptes montre comment la profession intgre lenvironnement informatique et la complexit croissante des systmes dans la dmarche daudit.
La finalit de notre recherche est danalyser limpact des progiciels de gestion intgrs sur le processus daudit dans une organisation. Notre principal objectif est de cerner les facteurs de risques mais galement les difficults spcifiques lies la dmarche de contrle en environnement PGI. Ce travail de recherche qui accorde une importance particulire 3 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 lidentification des acteurs intervenant dans le processus daudit et aux changements de comportement induits par un contexte technologique complexe se structure de la manire suivante : Dans une premire partie nous exposerons le cadre thorique en nous appuyant sur la littrature acadmique, la rglementation fiscale en matire de contrle des comptabilits informatises, les normes et les tudes ralises par la Compagnie nationale des commissaires aux comptes (CNCC). Nous apporterons galement un clairage particulier de la problmatique par la thorie de la complexit. Dans une deuxime partie nous prciserons la dmarche de la recherche. A cet effet, nous avons adopt une mthode qualitative, base sur des entretiens raliss auprs des commissaires aux comptes qui effectuent des missions daudit dans un environnement informatique de progiciels de gestion intgrs. Par consquent, nous avons men une tude qui porte sur les lments noncs prcdemment, tout en dpassant la simple et insuffisante contingence technologique des PGI. Enfin dans une troisime section, nous dvelopperons les principaux rsultats empiriques obtenus au cours de cette tude exploratoire.
1. ETAT DE LA LITTERATURE La littrature traitant de la problmatique du processus daudit en environnement PGI se dcline selon plusieurs perspectives. La premire section expose la recherche acadmique au travers des tudes ralises par les spcialistes des processus daudit et des environnements PGI. La deuxime perspective sattache dcrire les prconisations dictes par ladministration fiscale en matire de matriels, dapplications informatiques, et analyse le cadre normatif de lauditeur lgal en France. Nous complterons cette recherche par les avis mis par la Compagnie nationale des commissaires aux comptes dans le cadre dun audit en environnement PGI et par lanalyse de la thmatique travers la thorie de la complexit.
4 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 1.1 Du point de vue de la recherche acadmique Si l'volution des technologies de l'information a affect la comptabilit et le processus daudit dans les organisations, rares sont pourtant les recherches qui tudient les impacts des PGI sur la dmarche daudit et sur le travail des commissaires aux comptes en particulier. La littrature explore ainsi deux thmes de recherche qui mettent en exergue les liens existant entre processus daudit et PGI.
Le premier axe de recherche aborde les problmes lis limplantation de systmes PGI et leurs consquences sur le processus daudit en terme de risques. Ainsi, Sutton (2006), Yang et de Guan (2004), Bierstaker, Burnaby et Thibodeau (2001) soulignent que les auditeurs ont besoin de mthodes et de procdures diffrentes pour auditer dans un environnement informatis et notamment celui des PGI. De mme, Bae et Ashcroft (2004) montrent que les risques dimplmentation dun PGI, peuvent potentiellement augmenter les risques connexes au processus daudit et compromettre par consquent les systmes de contrle internes.
Les rsultats de ltude conduite par Bierstaker, Burnaby et Thibodeau (2001), mene au sein dun public de professionnels de trois grands cabinets comptables internationaux, montrent linfluence des technologies de linformation sur le processus daudit, notamment en termes de planification, de validation et de documentation. Ces travaux identifient les impacts des fonctions intrinsques aux technologies de linformation dans leur capacit soutenir le processus daudit. Parmi les lments dterminants, les auteurs soulignent les changements cruciaux de chaque phase du processus d'audit :
5 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 Les environnements technologiques et informatiques offrent des outils qui amliorent la procdure daudit et les valuations de contrle interne. Les modules de PGI, tels ceux de SAP tudis par les auteurs, contribuent crer une varit de configurations de contrle. Ces nouvelles technologies de linformation comprennent des choix de notation, des outils de scurit ; elles permettent de comparer les performances relles dans un secteur aux objectifs prtablis, et offrent la possibilit de tracer du dbut jusqu la fin les diffrentes transactions.
En outre, les logiciels daudit sont censs sintgrer au processus daudit global. Les auditeurs auraient alors davantage de temps pour aborder les situations complexes auxquelles leurs clients font face dans leur activit. Ceci implique que les systmes ERP intgrent des rapports prconfigurs, des fonctions danalyse capables de gnrer des informations dduites partir de faibles liaisons entre des donnes existantes. Enfin, les technologies de linformation permettraient aux auditeurs de prvenir des erreurs et des irrgularits dans le processus daudit.
Wright et Wright (2002) ont constat que le manque dimplication des utilisateurs dans lusage du PGI expose lentreprise des risques significatifs d'erreurs et d'inefficacits involontaires. Ces auteurs notent galement qu'en raison des calendriers fixes dimplmentation des PGI, il en rsulte habituellement une inadquation avec le temps ncessaire pour former les utilisateurs. Par consquent, ce dsquilibre aboutit des taux d'erreurs levs qui peuvent affecter les tats financiers. Cette situation induit alors un reporting erron. Wright et Wright (2002) ont galement identifi des risques spcifiques selon les modules utiliss au sein du PGI. Ils ont constat que les modules de chane 6 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 logistique (SCM), les modules comptables et financiers (FI-CO) ont montr de plus grands risques en terme de contrle.
La littrature montre galement une focalisation des auditeurs sur laudit des processus au dtriment dun audit sur les rsultats financiers (Wright et Wright, 2002). En effet, le procd d'implantation dun systme PGI a un impact important sur la fiabilit de laudit. Les contrles d'accs et les protocoles de scurit sont ainsi corrls aux risques du PGI. Par consquent, les erreurs de relevs de comptes financiers et les risques mtiers peuvent tre accrus si les accs ne sont pas reconsidrs lors de linstallation du progiciel de gestion intgr (Wright et Wright, 2002). Ainsi, la conception des systmes PGI implique une dtrioration des procdures de contrle travers les reconfigurations des processus mtiers, et la personnalisation de larchitecture PGI lentreprise, ce qui peut compromettre lvaluation de lauditeur.
Ces travaux ont mis en vidence que le risque de contrle peut potentiellement augmenter avec la mise en place de systmes ERP et varie selon les fournisseurs. Ce rsultat est rapprocher avec ceux tablis par Girard et Farmer (1999) qui ont not que limplantation de tels systmes au sein de nombreuses socits a augment le risque daudit en raison de linterdpendance automatise des processus mtiers, et des bases de donnes relationnelles intgres.
De manire complmentaire, un second thme merge de lensemble des recherches sur les PGI et le processus daudit, celui de ltude des comportements des auditeurs. En effet, la littrature dans ce domaine sest particulirement intresse aux comportements des auditeurs face des environnements PGI lors de processus daudit. Si l'utilisation dun PGI 7 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 provoque des changements dans lapproche de laudit et quil augmente le risque (Bae et Ashcroft, 2004), de rcents travaux suggrent que les auditeurs doivent imprativement comprendre les systmes PGI afin de conduire de manire efficace une mission daudit. Cette ide a t dveloppe par Kinney (2001) qui a tudi le comportement des auditeurs face aux dveloppements technologiques lis aux PGI. Il a observ que les auditeurs se trouvent dans lobligation daccrotre leurs connaissances et leurs qualifications dans les technologies de linformation afin de raliser leur mission de contrle. Dans ce contexte spcifique, Bagranoff et Vendrzyk (2000) proposent que la comptabilit et le domaine des systmes dinformation fusionnent pour former des professionnels capables de relever les nouveaux dfis de laudit dans un environnement informatique de progiciels intgrs.
Dautre part, les tudes menes par Hunton, Wright et Wright (2004) ont analys la capacit des auditeurs financiers identifier les risques crs par les systmes PGI. Ils ont examin la propension des professionnels du contrle recourir un expert en technologie de linformation, pour la conduite dun audit dans des organisations utilisant un PGI, puis au sein dentreprises dotes de systme informatique sans PGI.
Les rsultats de ces travaux montrent que les auditeurs financiers ne sont pas pleinement conscients des risques importants gnrs par la prsence de PGI au sein des organisations. En effet, ils identifient clairement la faiblesse des contrles de scurit des environnements informatiques non bass sur les PGI, mais ne relvent pas de risques supplmentaires dans lusage des PGI. Ce constat est dmontr par la frquence des recours un expert en technologie de linformation (TI) par les auditeurs au cours de leurs missions. Hunton, Wright et Wright (2004) montrent que les experts techniques identifient incontestablement des risques de scurit accrus associs aux infrastructures rseaux, aux bases de donnes et aux 8 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 applications des PGI par rapport des systmes dinformation ne comportant pas de progiciels intgrs. Cette tude fait apparatre un paradoxe : la prsence de PGI au sein dune organisation modifie la reprsentation du risque daudit pour les experts, mais les auditeurs financiers gardent une reprsentation similaire du risque de contrle quelque soit la technologie informatique prsente au sein de lorganisation. Ce constat sappuie notamment sur le fait que les auditeurs sont insensibles aux risques de scurit lis aux bases de donnes intgres du PGI.
Les recherches de ces auteurs soulignent galement que les auditeurs financiers ne manifestent pas un fort besoin de consulter un expert lors daudit en environnement PGI. Ils expriment alors une forte assurance dans leur aptitude apprcier les risques quelque soit lenvironnement informatique utilis par lentreprise. Ces chercheurs voquent lexcs de confiance des auditeurs, lorsquils ralisent des missions au sein de systmes dinformation en environnement PGI.
Toutefois, Hunton, Wright et Wright (2004) relvent que la reprsentation du risque en environnement PGI par les auditeurs financiers, peut tre influence par deux phnomnes. Tout dabord, ils suggrent que la pression conomique exerce sur les cots dun audit peut contribuer expliquer la faible motivation des auditeurs financiers recourir des experts en TI, notamment lors de contrle de systmes PGI. De plus, ils justifient les hsitations des auditeurs par leur faible capacit percevoir les liens qui existent entre les risques des systmes PGI et les possibilits derreurs dans les tats financiers ou les ventuelles fraudes financires. 9 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 1.2 Le cadre rglementaire et normatif de laudit lgal, dans un environnement informatis Dans le cadre de sa mission, le commissaire aux comptes, devra intgrer laspect rglementaire du contrle des comptabilits informatises prvu par linstruction fiscale du 24 janvier 2006 n13 L-106 qui remplace les deux prcdentes instructions du 14/10/1991 et du 24/12/1996.
Ce texte a pour objectif de scuriser les comptabilits informatises, en prsentant un nouveau cadre juridique pour leur contrle. Il rappelle les principales rgles de tenue dune comptabilit informatise sincre, rgulire et probante conformment aux dispositions du plan comptable gnral rvis de 1999. Cette nouvelle instruction, rendue ncessaire par lvolution trs rapide des technologies de linformation et la sophistication croissante des systmes informatiques, tant au niveau des matriels que des logiciels, dicte les prconisations de ladministration fiscale en matire de logiciels comptables et de progiciels de gestion intgrs.
Afin de sassurer que le contribuable nutilise pas linformatique dans un objectif de modification, de falsification du systme dinformation de lentreprise ou de contournement des rgles fiscales, ladministration fiscale exige plus de transparence et de traabilit dans les comptabilits informatises. Elle a ainsi prcis les caractristiques dun logiciel comptable en nonant trois principes fondamentaux : - Les critures doivent prsenter un caractre intangible ou irrversible. Un logiciel qui autorise la suppression ou la modification dune criture valide, nest pas conforme au plan comptable gnral. Si le traitement de linformation peut tre 10 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 modifie et que lutilisateur a la possibilit de supprimer des squences, alors le systme nest pas fiable. - Les critures numrotes chronologiquement font lobjet dune clture priodique, en conformit avec larticle L. 123-12, alina 3 du code de commerce. - Le logiciel doit assurer la permanence du chemin de rvision entre lcriture et la pice justificative, ce qui permet lauditeur lgal de valider une opration en remontant sa source. Pour les progiciels de gestion intgrs, ce dernier principe revt une importance particulire, car les critures peuvent tre enregistres dans le module comptabilit sans faire lobjet dune saisie directe.
Un systme informatique non conforme aux prconisations de ladministration fiscale peut justifier des rserves dans le rapport du commissaire aux comptes, voir une impossibilit de certifier les comptes.
Linstruction a galement dfini le primtre informatique vis par larticle L 13 du livre des procdures fiscales. Lors de contrles fiscaux, ladministration peut ainsi vrifier lensemble des informations et des donnes qui participent directement ou indirectement llaboration de linformation comptable et financire, ce qui est particulirement pertinent pour les PGI.
En France, le cadre gnral des missions des commissaires aux comptes est fix par des dispositions lgales et rglementaires. Celles-ci sont compltes par les normes dexercice professionnel et un code de dontologie. J usquen juillet 2006, le travail de lauditeur lgal dans un environnement informatis est orient par la norme CNCC 2-302. Elle met en exergue les points suivants : 11 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 - Lexistence de systme dinformation dans les organisations contrles ne modifie pas la dmarche daudit du commissaire aux comptes qui comporte trois tapes ( Orientation et planification de la mission , Evaluation des risques , et Obtention dlments probants ). - Dautre part, il doit intgrer dans sa mthodologie, et notamment dans les diffrentes tapes du processus daudit, les spcificits de lenvironnement informatique.
Dans la phase 1 intitule Orientation et planification de la mission , lauditeur dtermine les caractristiques du projet informatique pour en tenir compte dans llaboration du plan de mission et indiquer dans la phase 2, quels contrles devront tre effectus en rapport avec la fonction et les applications informatiques. Il va valuer limportance des systmes informatiques dans lorganisation de lentreprise et son impact sur llaboration des comptes. La prise de connaissance vise, lorganisation et les comptences de la fonction informatique dans lentreprise telles que la spcialisation, la formation et la rotation du personnel. Elle porte galement sur la stratgie informatique mise en place et notamment sur la dcision de raliser en interne le dveloppement des applications informatiques ou de faire le choix de recourir un prestataire extrieur. Enfin, lanalyse de limportance de la fonction informatique dans lentreprise permet de dterminer son degr de dpendance lgard de systmes informatiques complexes et, danalyser quel est limpact de cette technologie sur la production des comptes. Les faiblesses dtectes au cours des entretiens raliss, doivent amener lauditeur lgal renforcer les contrles dans ce domaine.
Dans la phase 2 intitule Evaluation des risques et apprciation du contrle interne , le commissaire aux comptes identifie les risques potentiels et value le systme de contrle interne de lentreprise. Au cours de cette tape, il tudie comment la conception, lachat, 12 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 lexploitation, la scurit et la maintenance informatique influencent le risque inhrent. Ainsi, les acquisitions de PGI par les groupes sont souvent inadaptes pour leurs filiales. La mise en place dun tel systme peut gnrer de graves dysfonctionnements au sein de lentreprise et obrer sa rentabilit future. Les risques lis au contrle ou risque de non matrise sont analyss travers les applications informatiques et ltude des processus comptables qui jouent un rle dterminant dans la production de linformation financire.
Dans la dernire phase, le commissaire aux comptes collecte les lments probants sur la base de lvaluation des risques prcdemment identifis, en se concentrant sur les risques de niveau modrs ou levs afin de formuler une opinion sur les comptes annuels.
A compter du 1 er aot 2006, les normes dexercice professionnel intitules NEP-315 Connaissance de lentit et de son environnement et valuation du risque danomalies significatives dans les comptes et NEP-330 Procdures daudit mises en uvre par le commissaire aux comptes lissue de son valuation des risques qui correspondent ladaptation des normes ISA 315 et 330, remplacent dans le rfrentiel normatif de juillet 2003, les normes 2-202. Connaissance gnrale de lentit et de son secteur dactivit , 2- 301. Evaluation du risque et contrle interne et 2-302. Audit ralis dans un environnement informatique .
Dans ce nouveau cadre normatif, la dmarche daudit ne comporte plus que deux tapes : - Au cours de la premire phase, lauditeur lgal prend connaissance de lentit, de son environnement, du contrle interne et value les risques. - Dans la deuxime tape, il met en uvre une procdure daudit qui doit rpondre lvaluation des risques. 13 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 La norme qui traite spcifiquement de lenvironnement informatique nexiste plus. La connaissance du systme dinformation de lentreprise contrle est aborde dune faon gnrale dans la rdaction des NEP 315 et 330. Elles traduisent une approche daudit par les risques plus intgre que le rfrentiel du 3 juillet 2003. Ces normes soulignent que la finalit des travaux daudit est de collecter des lments probants obtenus partir des tests de procdures et des contrles de substance afin que lauditeur lgal puisse mettre une opinion sur les comptes annuels. Elles mettent laccent sur la manire dont le commissaire aux comptes adapte son approche gnrale en fonction de lentit contrle et du niveau du risque danomalies significatives dtectes au niveau des comptes, et des assertions, c'est--dire des critres rgissant ltablissement des comptes annuels et dont lexistence conditionne la rgularit, la sincrit et limage fidle des comptes .
Ces normes dexercice professionnel insistent sur lobligation faite lauditeur lgal de connatre lentit contrle, son environnement et notamment le systme dinformation relatif llaboration de linformation financire . Il va ainsi juger limportance de linformatique dans lentreprise, son influence sur la production des comptes annuels et valuer le niveau de complexit du systme informatique. En fonction de ce dernier lment, lauditeur pourra justifier de lintervention dun expert, comme le prconise la norme dexercice professionnel n620, afin didentifier les principales zones de risques et essayer dobtenir une assurance raisonnable sur la qualit du systme dinformation. Ce dernier analysera la fiabilit des informations obtenues dans le cadre dun systme fortement intgr et tudiera le respect des procdures de contrle interne sur les flux dinformations.
14 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 1.3 Les avis et recommandations de la profession des commissaires aux comptes Selon les recommandations de la CNCC, lanalyse de la complexit dun systme informatique sapprcie travers les lments suivants : utilisation de progiciels intgrs, qualit du paramtrage, nombre dinterfaces, automatisation ou utilisation manuelle des interfaces, qualit de la documentation. Lexamen de ces diffrents critres permettra au commissaire aux comptes de dterminer quel est le degr de risque (faible, modr ou lev) encouru par lorganisation et relatif son systme dinformation. De plus, des tudes ralises par la profession ont mis en vidence que lenvironnement informatique comporte des risques particuliers qui peuvent entraner des pertes financires considrables et dans certains cas constituer une menace pour la continuit dexploitation. La CNCC a rpertori la nature des risques lis un environnement informatique : le manque de traabilit de certaines oprations, la comptence du personnel informatique, la sparation insuffisante des tches, laccs du systme des utilisateurs non autoriss. De plus, les irrgularits sont difficilement dcelables pour lauditeur lgal, car elles sont souvent intgres lors de la programmation ou des mises jour des applications informatiques.
Dautre part, lexistence de PGI au sein de lentit peut gnrer des risques spcifiques, qui ont une incidence sur la fiabilit de linformation produite. La mconnaissance du systme informatique par un personnel, insuffisamment form ou impliqu constitue lune des principales sources de risque, comme le souligne la CNCC. Dans un grand nombre de cas, les utilisateurs nvaluent pas toute la porte dune mauvaise utilisation, ou du paramtrage incorrect dun PGI sur lintgrit du systme dinformation de lentreprise et notamment sur les donnes issues du domaine de la gestion qui concourent indirectement aux critures comptables.
15 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 Au-del de lapprentissage dune nouvelle technologie, lutilisation de progiciels intgrs provoque dimportants bouleversements dans lentreprise tant au niveau de lorganisation, du contrle interne que de la place des diffrents utilisateurs. La question qui se pose est de savoir si cest la technologie qui doit sadapter lentreprise ou inversement. Meyssonnier et Pourtier (2004), dveloppent lide que les dirigeants ne doivent pas sous-estimer limpact organisationnel des PGI qui ncessitent une refonte partielle des processus et usages au sein de lentreprise . Leur mise en place cre des paradoxes organisationnels , car ils peuvent structurer lorganisation qui doit sadapter la logique et aux fonctionnalits de ce systme dinformation. Concernant linstallation du PGI, lorganisation peut opter pour deux stratgies diffrentes : la reconfiguration complte des processus de lentreprise pour se conformer aux spcificits du PGI, ou ladaptation de celui-ci lorganisation et aux diffrentes activits de lentreprise.
Le problme de limpact des PGI sur le processus daudit fait aujourdhui lobjet dattentions particulires de la part de la profession des auditeurs lgaux en France. En effet, cette prise de conscience de lexistence de tel systme informatique au sein des entreprises a montr la ncessit de mettre en place des contrles adapts. Pour la CNCC, lexistence de paramtres et dhabilitations spcifiques au PGI, rendent celui-ci plus difficile cerner que des systmes non intgrs. Lensemble des commissaires aux comptes reconnat que le systme dinformation apparat ferm en premire approche, rendant difficiles les travaux de contrle interne. Cette mesure des difficults poses par laudit du systme dinformation en milieu informatis a incit la profession des commissaires aux comptes effectuer une tude qui identifie sept risques spcifiques lis lenvironnement PGI :
16 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 - La gestion des habilitations revt une importance particulire pour les PGI. En effet des utilisateurs non autoriss peuvent crer des erreurs, des irrgularits dans le systme informatique et supprimer des donnes capitales. - Le paramtrage est trs dvelopp dans le cadre des PGI. Afin de dtecter les faiblesses du systme informatique, le commissaire aux comptes tudiera la documentation technique disponible au sein de lentreprise pour reprer les modules paramtrs ou prendre connaissance du contrat de licence qui donne des informations trs utiles sur les fonctionnalits du PGI et les profils des utilisateurs. Un paramtrage dfaillant peut entraner des risques de non exhaustivit des enregistrements et le non respect de la sparation des exercices. - Les rfrentiels utiliss dsignent des bases de donnes utilises dans les programmes. Les principales caractristique des PGI, sont lexistence de bases de donnes homognes et dinterfaces inter-modules. Cependant lintgrit des informations est fortement dpendante du paramtrage et de la manire dont le systme est matris par le personnel. - Les interfaces externes au PGI sont des points dintgration entre les diffrents modules et tablissent la liaison entre le PGI et les autres systmes. Elles sont dterminantes dans le transfert des donnes. Lors de lacquisition dun nouveau progiciel, les interfaces connaissent souvent des dysfonctionnements en raison derreurs de paramtrage, certains flux ne gnrent pas dcritures comptables, et le risque porte sur lexhaustivit des enregistrements. - Les tats se subdivisent en deux catgories : les tats standards (comptables, de gestion et financiers) et les tats spcifiques au PGI. Il est important que le commissaire aux comptes vrifie la cohrence de linformation produite et lexactitude des calculs. 17 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 - La piste daudit joue un rle dterminant dans la scurit des informations produites, car elle doit donner la possibilit lauditeur lgal de retrouver la pice justificative partir dune criture comptable. Ce qui rpond aux exigences de ladministration fiscale en matire de transparence et de traabilit de linformation financire. - Les techniques daudit assistes par ordinateur peuvent se rvler utiles au commissaire aux comptes, car la complexit croissante des PGI rend la structure de base de donnes difficilement contrlable.
De plus, ltude ralise par la CNCC met en exergue des particularits lies lenvironnement PGI, que lauditeur lgal doit apprhender dans le cadre de sa mission. Elles portent notamment sur la connaissance des caractristiques du progiciel, en raison de lhtrognit des systmes et de la manire dont il a t dvelopp dans lentreprise. Dautre part, dans le cas du recours une socit de service informatique, le commissaire aux comptes devra apprcier le risque gnr par lexternalisation. Il analysera le contrat qui lie les deux parties, sinterrogera sur la matrise par lorganisation des prestations sous-traites et de son niveau de dpendance lgard du prestataire. Lanalyse de la cartographie se rvle trs pertinente, car elle permet dvaluer la complexit du systme dinformation. En donnant une vision globale de celui-ci, en permettant de reprer les fonctionnalits installes et paramtres, elle facilite la comprhension de son architecture, et met en vidence les risques potentiels.
18 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 1.4 Une approche du processus daudit en environnement PGI par la thorie de la complexit. Afin de rpondre aux multiples besoins des entreprises, les progiciels de gestion intgrs sont devenus des applications informatiques de plus en plus complexes, en raison notamment de lexistence de nombreux paramtres, des habilitations et de linterdpendance des diffrents domaines.
On distingue gnralement trois grandes catgories de systmes PGI : ceux conus pour les grandes entreprises, possdent des fonctionnalits trs dveloppes dans tous les domaines de la gestion, et couvrent lensemble des diffrents mtiers de lentreprise. la deuxime catgorie de PGI sadresse aux entreprises de taille moyenne. Leurs fonctionnalits se limitent la comptabilit, ses domaines connexes, et permettent le cas chant de grer plusieurs tablissements. Enfin, ceux destins aux petites entreprises, prsentent des fonctionnalits plus succinctes qui nautorisent pas une prise en compte des spcificits de lorganisation.
Si par nature les PGI peuvent tre considrs comme des phnomnes compliqus, il convient toutefois de sinterroger sur la dfinition dun tel systme. En effet, un phnomne est dit compliqu sil remplit les critres suivants :
Il doit tre compos dun grand nombre dlments ou comporter une grande varit de paramtres conditionnant son fonctionnement.
19 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 Le systme doit rester prvisibleet contrlable. Tant que lon reste dans le domaine du quantitatif, de l'imbriqu, de l'enchevtr, de ce qui demande un effort mme trs important - mais qui finit par tre, clairement compris -, on est dans le domaine du compliqu mme si certains auteurs rangent les objets techniques sophistiqus dans la catgorie du complexe. (Encyclopdie de la Gestion et du Management)
Mais, dans la pratique des entreprises et plus spcifiquement celle des progiciels de gestion intgrs, il sopre un glissement de la reprsentation du PGI du compliqu vers le complexe. Or comme le dfinit lEncyclopdie de la Gestion et du Management : Un phnomne complexe nest jamais totalement compris, expliqu et encore moins matris quels que soient les efforts fournis, les moyens dploys et le temps consacr (). Limpossibilit dlucider ce genre de phnomne peut avoir deux catgories de causes aboutissant lune une complexit dabondance et lautre une complexit de sens. La premire catgorie de cause est dordre quantitatif, dans ce cas, le nombre lev dlments, de paramtres, de relations, dinterdpendance constitue un obstacle insurmontable la comprhension, lexplication et la matrise du phnomne (). La deuxime cause est dordre qualitatif ; elle brouille la lisibilit et le contrle du phnomne ().
En complment des apports de la littrature scientifique, des aspects rglementaires et normatifs de laudit lgal en milieu informatis, nous proposons de complter notre tude, en proposant un cadre thorique bas sur les travaux relatifs au concept de la complexit. Cette approche semble tre particulirement approprie la problmatique du processus daudit en environnement PGI. En effet, les progiciels de gestion intgrs rsultent dune architecture complexe de modules, de fonctions et procdures qui peuvent gnrer des interactions non connues ou mal dfinies, ce qui aboutit un spaghetti informationnel et 20 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 technique. Cette complexit quantitative, due la grande varit de variables, de liens entre les diffrentes composantes du systme, lexistence de nombreuses interdpendances, empche la comprhension et le contrle du systme. Il est donc ncessaire de distinguer la complexit intrinsque du systme ou complexit cognitive la situation complexe.
Dans une situation complexe, Delorme (1997) propose dappliquer la thorie de la rationalit limite dveloppe par Simon (1976) : - La rationalit procdurale et adaptative dcrit un comportement raisonnable face une situation complexe. La satisfaction par rapport un niveau de rsultat remplace la recherche de maximisation. - La rationalit substantielle sappliquerait des situations non complexes .
De mme, pour Le Moigne (1990) et Delorme (1997), la complexit nest rductible ni lordre, ni au dsordre, mais elle est compose irrductiblement dordre et de dsordre . Toutefois, Ashby (1973) value la complexit par la quantit dinformation requise pour dcrire un objet . Il montre que cest une notion relative, car elle est fonction de la connaissance qua lobservateur par rapport lobjet : quun objet soit complexe ou non dpend de lobservateur , qui souhaite parvenir un rsultat satisfaisant .
Des obstacles existent galement sur le plan qualitatif, du fait du contenu des relations et des ractions des lments entre eux. Il se cre un dsordre qualitatif qui masque la lisibilit et le pilotage du systme. En effet, les PGI sont des reprsentations non partages par les utilisateurs des fonctionnalits du systme informatique ; ils rinterprtent ou mconnaissent les processus mtiers de lentreprise, comportent des donnes htrognes. Ainsi, depuis la date de sa mise en service, un PGI peut connatre diverses modifications qui visent des ajouts 21 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 de fonctionnalits au systme, afin de rpondre aux besoins dfinis par les utilisateurs, do sa complexit croissante. Il est important alors de mesurer en quoi et comment cette double complexit, quantitative et qualitative, influence le processus daudit pour le commissaire aux comptes.
2. DEMARCHE DE LA RECHERCHE Notre recherche a pour objectif dexaminer limpact des PGI sur le processus daudit. Nous tentons ainsi de comprendre comment les changements induits par ces technologies de linformation peuvent influencer le processus daudit conduit par lauditeur lgal.
Pour ce faire, nous avons adopt une mthode de recherche qualitative. Ltude des situations professionnelles a port sur le travail de quatorze auditeurs lgaux qui ont tous men une ou plusieurs missions daudit dans des environnements informatiss bass sur un PGI au sein de PME-PMI. Lessentiel des donnes a t recueilli par voie dentretiens. Cette phase de collecte intensive des donnes sest chelonne de mars 2007 octobre 2007. Les entretiens ont dur en moyenne de une deux heures. Parmi les quatorze rpondants, certains ont t sollicits plusieurs fois.
Lentretien a constitu le mode principal de recueil de donnes pour notre recherche. Snow et Thomas (1994) soulignent les mrites de cet instrument de collecte de donnes discursives prcisant quil permet une comprhension en profondeur du phnomne tudi en abordant les diffrentes significations que les rpondants attribuent leurs expriences dans les organisations. Plus exactement nous avons ralis des entretiens centrs ou semi directifs (Merton, Fiske, Kendall, 1990). Outre un mode denregistrement dinformations plus systmatique, le processus dinterview semi structur favorise lexploration en lui donnant de 22 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 la profondeur (Patton, 1990). Toutefois, comme le rappelle Mc Kinnon (1988) la compltude et la prcision (lexactitude des informations obtenues lors dinterviews) dpendent certes de la forme et du contenu de linstrument de recherche, mais aussi de la manire dont il est appliqu.
Nous avons choisi de retenir une mthode qualitative inspire de la thorie enracine (Glaser et Strauss, 1967), pour deux raisons :
Cette thorie semble tre en adquation avec la finalit de notre recherche qui vise notamment cerner les principaux facteurs de risques lis la dmarche daudit dans un environnement informatique complexe, identifier les acteurs et leur changement de comportement dans ce contexte technologique particulier. Lobjectif de ltude est denrichir la comprhension des significations des actions des individus et daugmenter ainsi les possibilits de communication et dinfluence mutuelle.
Lapplication dune mthode inspire de la thorie enracine sadapte particulirement bien lanalyse du processus daudit en environnement PGI. La finalit de notre recherche porte sur ltude dune problmatique peu connue pour laquelle la littrature ne nous renseigne gure. La dmarche de cette thorie savre singulirement intressante, comme le soulignent Strauss et Corbin (1994).
23 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 3. RESULTATS DE LA RECHERCHE Notre travail de recherche, men auprs de commissaires aux comptes ayant conduit des missions daudit en environnement PGI, permet de faire merger deux rsultats principaux. Tout dabord, nous identifions des risques spcifiques du processus daudit dans cet environnement particulier. Ensuite, la lumire de la thorie de la complexit, notre recherche met en vidence des comportements dacteurs (auditeurs, diteurs, utilisateurs) qui se traduisent par des tentatives de simplification de la complexit du PGI.
3.1 Rsultats n1 : Lexistence de risques spcifiques de laudit en environnement PGI Notre tude montre quil existe des difficults spcifiques au cours dun processus daudit en environnement PGI, par rapport un environnement informatique classique : les recherches sur le terrain ont mis en vidence trois risques majeurs lis lutilisation des ERP : le risque li aux interfaces du PGI, celui de la perte de la piste daudit et le risque de faiblesse des techniques daudit informatises.
3.1.1 Le risque intrinsque des interfaces du PGI Lexistence de PGI au sein dune organisation pose le problme des interfaces vis--vis du processus daudit men par le commissaire aux comptes. En effet, la notion de risque dans une interface dpend troitement du rle qu'elle joue dans les activits de la socit. L'importance d'une interface s'accrot avec celle des processus dans lesquels elle intervient.
Pour lauditeur lgal, confront un environnement PGI, il sagit didentifier les interfaces prsentant des risques importants et, par voie de consquence, constituant le primtre auditer en priorit. Cette identification repose sur une valuation effectue selon les trois axes suivants : 24 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 - L'importance stratgique du processus auquel elle contribue (prise de commande sur Internet). - Son mode de fonctionnement (rgulier ou occasionnel, synchrone ou asynchrone). - La nature des travaux qu'elle ralise sur les donnes (simple transfert de donnes ou avec transformation et routage des donnes en fonction de rgles de gestion).
Les reprsentations des auditeurs lgaux que nous avons interviews nous ont permis de mettre en vidence deux risques spcifiques lis aux interfaces lors dun audit en environnement PGI.
Tout dabord, la faiblesse des descriptifs relatifs aux interfaces externes au PGI pose des difficults pour la ralisation de laudit. En effet, si les interfaces dveloppes autour dun PGI doivent tre caractrises par la description de leur type (entrante/sortante), leur degr dautomatisation (intervention ou non de lutilisateur), les modules concerns (FI, CO, MM, SD par exemple dans le PGI SAP), les auditeurs lgaux mentionnent la raret de ces formalismes.
Dautre part, lauditeur lgal se heurte galement lhtrognit des types dinterfaces prsentes au sein des PGI audits. Pralablement tout contrle, le commissaire aux comptes doit reprer quelle est la nature de linterface utilise (norme ou non norme). Son tude concerne particulirement la fiabilit des interfaces entrantes. Lanalyse de la qualit des interfaces peut rvler un risque lev en terme dexhaustivit des informations comptables.
25 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 En fonction du langage et des modules proposs, on peut recenser plusieurs types dinterfaces : - Pour les interfaces conues par lditeur, il existe des contrles complets qui portent la fois sur la cohrence et sur les aspects fonctionnels des applications . Ces contrles concernent les informations qui sont intgres de manire automatique par le systme. Ils sont identiques ceux effectus pour les donnes saisies manuellement.
- Certaines interfaces intgrent des modules labors partir du systme de gestion de la base de donnes (SGBD) et sont soumises seulement des contrles de cohrence de donnes. Dautres utilisent un langage normalis de type EDI.
- Enfin, les interfaces qui ne sont pas normes par lditeur, peuvent tre dveloppes en interne par le service informatique, ou par des prestataires extrieurs (SSII). Ces applications spcifiques doivent faire lobjet dattentions particulires de la part de lauditeur lgal, qui doit sassurer quelles garantissent la disponibilit et lintgrit des donnes tout au long de la chane comptable : de la saisie des informations jusqu la production des tats comptables.
Cette extrme diversit des interfaces constitue un cueil majeur pour le travail de lauditeur lgal. Afin didentifier les travaux de contrle interne pertinents mener et dapprcier les risques associs, le commissaire aux comptes doit pralablement la vrification de linterface, cerner ses caractristiques. Mais cet aspect technique peut chapper sa comptence.
26 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 3.1.2 Le risque de perte de la piste daudit L'auditeur cherche vrifier lexactitude et lexhaustivit de linformation. Celle-ci doit rester intgre durant son traitement, c'est--dire qu'elle ne subit pas de dtrioration : la traabilit repose sur le suivi des donnes dans le PGI et le suivi des rgles appliques (transformation, dispatching , ) tout au long de leur cheminement.
Au-del des aspects rglementaires, la traabilit est une ncessit de gestion permettant d'expliquer et de recouper l'information. Elle est indispensable pour mettre en oeuvre les mcanismes de rversibilit. Par consquent, l'interface est un carrefour du systme dinformation qui se doit de maintenir la piste d'audit et ce titre intgrer des mcanismes qui gardent la trace des flux, vnements et traitements. De mme, la qualit de la documentation des interfaces va de pair avec la traabilit. Elle a pour but de satisfaire au maintien de la piste d'audit.
Celle-ci revt une importance particulire car elle permet de valider une opration en remontant sa source, c'est--dire, en produisant la pice justificative. En effet, dans un environnement PGI la diffrence dune application informatique classique, les critures peuvent tre verses automatiquement dans le module comptabilit sans intervention humaine. Mais dans certains cas, le progiciel de gestion intgr ne permet pas dassurer la permanence du chemin de rvision. La justification des critures comptables est conditionne par lexistence de fonctionnalits de type drill-down 1 .
3.1.3 Le risque de faiblesse des techniques daudit informatises Il existe un autre risque, celui li aux techniques daudit assistes par ordinateur, qui sont utilises par le commissaire aux comptes dans le cadre de sa mission. Ces logiciels daudit 27 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 doivent rpondre aux objectifs de contrle des lments suivants : la qualit du paramtrage et lexactitude des calculs effectus par le PGI, sur des points sensibles tels que les amortissements des immobilisations.
La pratique des commissaires aux comptes tudie dans notre recherche montre que les vrifications des informations effectues en environnement PGI prsentent des similitudes avec les contrles pratiqus dans un autre environnement informatis, de type application spcifique ou progiciel comptable.
Par contre, la nature du PGI a une influence dterminante sur lanalyse des informations produites. En effet, la complexit de larchitecture de certains PGI rend la structure de la base de donnes difficilement vrifiable et limite lefficacit des contrles effectus par les logiciels daudit. Ainsi, lutilisation des fichiers dinterfaces nautorise pas certains contrles notamment sur les donnes internes un ou plusieurs modules. Quant aux fichiers exports, ils sont gnralement peu connus des utilisateurs et exige des comptences particulires rarement dtenues au sein de lentreprise audite. Enfin, lutilisation par lauditeur lgal, dun module dexport de donnes propos par lditeur de PGI, exige une grande pratique de la structure des donnes du progiciel intgr.
De plus, la documentation utilisateur est gnralement insuffisante sur ce point ; il est alors indispensable dtudier la documentation technique ou une documentation spcialise mise disposition par lditeur, ce qui constitue ici encore des lments dinformation difficiles valuer et comprendre du point de vue des commissaires aux comptes, par nature non expert dans les PGI.
28 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 Notre recherche montre, quau cours de leur mission les commissaires aux comptes limitent ltude des bases de donnes dans un environnement PGI, en raison de la complexit de lanalyse et du temps imparti pour effectuer laudit. Dautres moyens sont voqus par les auditeurs lgaux afin datteindre les rsultats attendus : revue du paramtrage et/ou revue des habilitations. Nanmoins, les commissaires aux comptes reconnaissent que ces mthodes restent contestes dans la mesure o elles ne permettent pas directement dapprhender lanalyse des donnes.
3.2 Rsultats n2 : Des tentatives de simplification de la complexit du processus daudit en environnement PGI
Notre travail de recherche, en mobilisant la thorie de la complexit, permet de mettre en vidence les comportements dacteurs, qui par leurs actions essayent de simplifier la complexit croissante des systmes informatiques et le processus daudit en environnement PGI.
Lobjectif des PGI de crer une base de donnes homognes avec des interfaces inter- modules, en vue de simplifier le travail des utilisateurs ne semble pas avoir t atteint. En effet, du point de vue des auditeurs lgaux, les tmoignages convergent pour dcrire les PGI comme des systmes complexes. Cette complexit peut, dans certains cas, gnrer le chaos dans lorganisation. Elle saccrot galement en intgrant les diverses modifications apportes en interne, compte tenu que toute volution du progiciel ajoute des risques non ngligeables, dus la grande technicit de la tche accomplir. Ainsi, plus le systme PGI se ramifie et se sophistique, plus les connexions entre les applications deviennent nombreuses et fragiles dans le temps. Dans le pire des cas, les 29 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 auditeurs constatent rapidement que ces interfaces conduisent brouiller la piste d'audit. Cette situation se traduit bien souvent par l'impossibilit de rapprocher les lments du systme de gestion avec leur traduction comptable.
Se posent alors deux questions fondamentales : Face ces risques, comment volue un tel systme dinformation au sein de lorganisation et quels vont tre les comportements des diffrents acteurs ?
A la lumire de ces rflexions, nous identifions trois stratgies dacteurs qui se traduisent par des tentatives de simplification de la complexit de lenvironnement de laudit et du processus lui-mme. Il sagit des auditeurs lgaux, des diteurs de PGI et des utilisateurs.
3.2.1 Des tentatives de simplification par lauditeur lgal Nos rsultats montrent que le travail du commissaire aux comptes est trs centr sur le risque, car il assure la transparence de linformation financire et il est garant de lordre public. En effet, sa responsabilit civile peut tre engage en vertu de larticle L225-241 du Code de Commerce : Les commissaires aux comptes sont responsables tant lgard de la socit que des tiers des consquences dommageables des fautes et ngligences par eux commises dans lexercice de leur fonction . De plus, si le commissaire aux comptes commet des infractions spcifiques dans le cadre de sa mission, telles que la non rvlation de faits dlictueux, il engage sa responsabilit pnale. Enfin, sa responsabilit disciplinaire peur tre mise en uvre.
30 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 Face ces enjeux et dans le contexte des PGI, lauditeur lgal, qui a besoin dvaluer le systme dinformation de lorganisation, ralise sa mission selon deux perspectives : - Soit il possde les comptences techniques lui permettant de mener laudit du PGI. Dans les faits, cette situation ne reprsente quune infime minorit de professionnels. - Dans le cas contraire, il fait appel un expert technique, auquel il dlgue le soin deffectuer laudit du systme dinformation et donc du PGI qui en est lossature.
Par consquent, lauditeur lgal opre alors une tentative de simplification de la ralit du PGI, en trouvant une solution adapte ses besoins : travers le recours un expert technique, il cherche sassurer que les progiciels utiliss sont conformes aux rgles dictes par ladministration fiscale et respectent les trois principes suivants : caractre intangible des critures, existence dune procdure de clture priodique des enregistrements chronologiques et permanence du chemin de rvision. Le commissaire aux comptes prouve la ncessit de recourir un expert, afin dobtenir, dans le cas de systmes dinformation importants et complexes, une assurance raisonnable, pour formuler une opinion sur les comptes annuels. Il doit cependant apprcier la pertinence des travaux de lexpert, afin de les utiliser en tant qulments probants dans lobjectif de certification des comptes. Dans le cas contraire, il met des rserves dans son rapport gnral ou refuse de certifier les comptes.
Ce comportement soppose celui de lauditeur financier contractuel, qui peut avoir une perception simplificatrice du PGI et montrer un excs de confiance vis--vis de cette technologie comme lont soulign les travaux de Hunton, Wright et Wright (2004). Ce rsultat indique quil est impratif dtablir une distinction entre ces deux catgories dauditeurs, qui ont une reprsentation diffrente de la complexit du systme dinformation et des risques inhrents au PGI. 31 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 Le recours un expert technique illustre la manire par laquelle le commissaire aux comptes gre le risque daudit dans un environnement informatique complexe. Cette dlgation constitue une simplification de la complexit du PGI. En se trouvant dans lincapacit de mener seul sa mission, il couvre ainsi sa responsabilit professionnelle.
3.2.2 Des tentatives de simplification par les Editeurs de Progiciel Ltude des pratiques professionnelles nous a galement permis de mesurer loffre abondante et htrogne en matire de progiciels laquelle sont confronts les auditeurs lgaux. En effet, en rponse des besoins multiples issus des entreprises, les diteurs ont conu de nombreux produits destins diffrents types dorganisations et dutilisateurs. A titre dillustration, nous citerons le progiciel intgr SAP, trs utilis dans le domaine de la gestion. Afin de rpondre aux besoins dauditeurs peu expriments en matire de PGI, lditeur SAP fournit des interfaces (tableaux de bord), via le module AIS (Auditing Information System). Il sagit dune collection pr-paramtre doutils daudit, dote dun moniteur de surveillance du systme dinformation et de commandes configurables.
Nos entretiens avec des commissaires aux comptes ayant une forte exprience daudit dans les environnements SAP permettent didentifier un comportement opportuniste de la part des diteurs de PGI. Cette rponse technologique et informatique au problme de laudit des PGI traduit, chez lditeur, une volont de simplifier la complexit inhrente aux progiciels intgrs. Elle dfinit ainsi une stratgie dlibre de lditeur du PGI. La cration de modules daide laudit, constitue une reconnaissance des difficults que rencontrent les auditeurs et des risques auxquels ils sont soumis.
32 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 Loffre des diteurs de PGI a volu et intgre actuellement des fonctionnalits de piste daudit dynamique permettant de reprer les oprations qui sont lorigine dun enregistrement comptable. Cette volution technologique donne la possibilit lauditeur ou tout autre utilisateur de retrouver partir dune criture comptable, lensemble des oprations lies au document source et prsentes dans le systme. Les fonctionnalits illustrent la rcente prise de conscience chez les diteurs, des difficults que rencontrent les commissaires aux comptes lors de leurs missions en environnement PGI. Elles offrent un intrt pour lauditeur lgal qui peut retrouver les justificatifs dune opration comptable, dans les modules situs en amont mais galement pour les utilisateurs internes de lorganisation. Par consquent, la raction des concepteurs de PGI vise un triple objectif :
- Tout dabord, offrir les services indispensables aux commissaires aux comptes pour la russite de leur audit. - Ensuite, rassurer les entreprises et notamment les directions des services informatiques dans leur capacit rpondre positivement aux objectifs viss par lauditeur lgal. - Enfin, convaincre les utilisateurs de persvrer dans leurs usages ou les inciter recourir aux PGI pour piloter leurs activits sans craindre les perspectives dun audit.
Mais lutilisation de ces modules additionnels, tel AIS pour SAP, comporte des limites la conduite du processus daudit. La validit et la compatibilit des modules daudit sont dpendants de la version du PGI install dans lorganisation. En effet, concernant par exemple AIS, lditeur souligne que les fonctions dAIS ne sont pas toutes disponibles et accessibles. Celles-ci sont corrles la version de SAP .
33 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 Dautre part, le changement de version du PGI, comme la migration de SAP/R3 la version SAP ECC6, peut impliquer une reconfiguration des procdures et des rsultats daudit. Les modules additionnels correspondant une configuration antrieure peuvent alors devenir caduques lors du passage la nouvelle version du PGI. Cette mise jour entrane une rvision du processus daudit et rend obsolte le travail effectu les annes prcdentes par lauditeur lgal.
Il est important de rappeler que les fonctionnalits de la piste daudit dynamique ne permettent quun audit sur les modules Finance des PGI comme par exemple celui dnomm FI dans SAP, ce qui exclut les modules de gestion des achats, et de gestion de la production. Ce manque de transversalit constitue un frein non ngligeable pour le commissaire aux comptes lors de la poursuite de laudit.
Enfin, nous terminerons cette section en soulignant un point voqu prcdemment : La littrature ne mentionne pas la stratgie dacteur des concepteurs de progiciels de gestion intgrs, et ignore leurs comportements opportunistes.
3.2.3 Des tentatives de simplification par les utilisateurs des PGI Ltude sur le terrain montre que les utilisateurs sont confronts des difficults majeures dans leur usage du PGI. Ils ont une reprsentation particulire des progiciels de gestion intgrs. Ils les peroivent comme des systmes difficiles matriser et dont la complexit saccrot dans le temps. Celle-ci sappuie sur deux lments : ladquation aux besoins des utilisateurs et les changements rguliers de version.
34 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 Le problme de ladquation aux besoins constitue le premier facteur de complexit peru par les utilisateurs. En effet, les directions gnrales reconnaissent, quen raison du degr important de personnalisation, le dveloppement du PGI seffectue de plus en plus souvent au sige de lentreprise. Ces mises jour ultrieures qui ont pour objectif dapporter une rponse aux besoins des divers processus mtiers gnrent de nouvelles difficults. Ceci se traduit par des actions de paramtrage des rgles de gestion qui peuvent se rvler trop complexes pour les utilisateurs. La volont de corriger cette situation, induit alors une augmentation de la complexit de la maintenance du systme, en raison dune multiplication non contrle des rgles de gestion. Par consquent, la recherche de ladquation aux besoins, qui se traduit par la cration de nouvelles interfaces personnalises, peut provoquer des dcalages informationnels entre les diffrentes parties du PGI (metteurs, rcepteurs), et aboutir une perte de tracabilit.
Les changements et les migrations de versions des PGI constituent une seconde source de complexit dans la reprsentation des utilisateurs. La recherche dune adquation la plus efficace possible aux besoins des utilisateurs pose le problme de la mise jour du PGI. Ltude empirique permet dtablir deux options qui sont envisages par les directions gnrales :
- Soit une mise niveau purement technique. Dans ce cas, celle-ci amliore la performance et les fonctionnalits des systmes existants moyennant linstallation de nouveaux modules qui tirent parti des amliorations rcentes du logiciel. Toutefois, elle ne modifie en rien les pratiques actuelles et les utilisateurs peuvent avoir des difficults valuer les amliorations apportes. 35 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 - Soit une approche adapte aux processus. Cette option donne loccasion damliorer les divers systmes en reconfigurant les procdures, en visant une amlioration globale de la qualit du PGI.
Compte tenu des diverses modifications apportes au PGI, toute mise jour ultrieure comporte des risques non ngligeables en raison de la complexit de la tche. Des risques importants peuvent alors se poser en ce qui concerne les contrles financiers, la continuit des activits, lexhaustivit de linformation et lintgrit des tats comptables dans le cas o la mise jour du systme ne fonctionnerait pas comme prvu. Cet tat de fait ajoute donc de la complexit au systme et alimente le risque dune reprsentation de rejet du PGI par les utilisateurs.
Face ces deux difficults, les utilisateurs sinquitent du fait que ces technologies de linformation ne rpondent pas aux besoins essentiels de leurs activits. Ils ralisent alors une tentative de simplification de la complexit du PGI en maintenant ou en dveloppant des interfaces externes (type feuille excel ou rapports ad-hoc) au PGI existant. Ce comportement peut tre analys comme une rsistance au changement technologique et organisationnel.
Les exemples de situations vcues par les commissaires aux comptes sont difiants quant aux disfonctionnements organisationnels que peut gnrer la complexit dun PGI du point de vue des utilisateurs : dans certaines entreprises, il faut compter une journe de travail complte pour transfrer les donnes de SAP en tableurs Microsoft Excel et pour les analyser. Dans dautres cas, lensemble des utilisateurs de filiales rgionales maintenait des tableurs priphriques en dehors du systme SAP. Ces processus externes rpondaient aux besoins de 36 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 procdures, dans le cas o SAP noffrait pas les fonctionnalits correspondantes, ou si le personnel avait une connaissance limite de lutilisation du progiciel. Enfin, une dernire situation voque des enregistrements de transactions laide dun progiciel de comptabilit compltement distinct de SAP mais qui tait familier aux utilisateurs pour imprimer les chques et comptabiliser les sommes payer. Les transactions taient ensuite transfres sous SAP, et les totaux rapprochs pour viter tout risque dincohrence. Les utilisateurs avaient ici encore ralis une simplification de la complexit du PGI en comparant la facilit daccs leur systme local celui de SAP, jug trop lent.
Cette approche du processus daudit en environnement PGI permet donc de minorer limportance des aspects techniques des PGI. Cette composante est par consquent secondaire, car nos rsultats dmontrent le caractre majeur du comportement des acteurs sur le processus daudit en environnement PGI. En effet, ce sont ces acteurs, qui en simplifiant la complexit du PGI, trahissent les difficults inhrentes au systme.
CONCLUSION Face la raret de la littrature existante sur la problmatique tudie, cette recherche qualitative met en vidence linfluence de lenvironnement informatique des progiciels de gestion intgrs sur le processus daudit. Elle fait apparatre deux principaux rsultats. Tout dabord, il existe des risques spcifiques de laudit en environnement PGI : celui lis aux interfaces, le risque de perte de la piste daudit ainsi que les risques gnrs par les limites des logiciels daudit. Dautre part, cette tude rvle des stratgies dacteurs qui essayent de simplifier la complexit croissante de lenvironnement technologique. Les entretiens mens avec les commissaires aux comptes montrent que les dysfonctionnements des interfaces peuvent gnrer des risques non ngligeables en terme 37 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 dexhaustivit des informations comptables. Le contrle des interfaces en environnement PGI, est difficile effectuer en raison de linsuffisance des descriptifs et de leur trs grande htrognit. Les auditeurs lgaux insistent galement sur limportance particulire de la traabilit des informations produites. Les rsultats montrent que dans certains cas, les PGI ne permettent pas dassurer la permanence du chemin de rvision, principe fondamental dict par ladministration fiscale en matire de systme informatique. La non-conformit cette rgle entrane des rserves ou un refus de certifier de la part de lauditeur lgal. Enfin, il existe des limites importantes au niveau de lutilisation des techniques daudit informatises, notamment pour le contrle de la structure des fichiers. Dans un contexte de progiciels intgrs, cette vrification peut se rvler difficile mettre en uvre.
Les rsultats obtenus mettent en vidence des tentatives de simplification, de la complexit de lenvironnement de laudit et du processus de contrle par les diffrents acteurs. Ainsi, lauditeur lgal peut faire appel un expert en systme dinformation, pour obtenir une assurance raisonnable sur la qualit du PGI audit. En adoptant cette dmarche, il essaye de trouver une solution simple une situation complexe. Pour facilit la comprhension du systme, les diteurs de progiciels, ont ajout de nouvelles fonctionnalits sous la forme de modules additionnels. Lobjectif recherch est de rendre plus accessible lutilisation et laudit des PGI par le commissaire aux comptes. Dans une volont de simplifier la complexit intrinsque des PGI, les utilisateurs dveloppent des interfaces externes, en utilisant par exemple des tableurs de type excel pour effectuer les calculs. Ces actions constituent une forme de rsistance au changement organisationnel et entranent une fragmentation du systme qui ncessite la saisie manuelle des informations. La cration dinterfaces adhoc neutralise lefficacit des bases de donnes homognes.
38 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 Ces travaux ont montr que la profession des commissaires aux comptes sintresse depuis quelques annes aux risques potentiels gnrs par les systmes fortement intgrs. La qualit et lintgrit des informations comptables produites sont conditionnes par la matrise du systme par le personnel et le service informatique de lorganisation. Des tudes ralises par la profession ont notamment soulign que, dans le cadre des PGI, les entreprises sont trs dpendantes de linformatique. Cette forte dpendance appelle une rflexion et des pistes de recherches sur la relation entre les diteurs de PGI et les auditeurs. En effet, il convient dapprofondir la nature des liens animant ces deux acteurs, qui sont confronts en matire de progiciels intgrs aux mmes contraintes rglementaires prconises par ladministration fiscale.
Notre tude prsente des limites lies son caractre exploratoire et invite creuser certains thmes de recherche. Dans un premier temps, nous suggrons dapprofondir lanalyse en largissant les entretiens un plus grand nombre de commissaires aux comptes. Il serait galement intressant de recueillir les avis des responsables des services informatiques des socits concernes ainsi que des utilisateurs cls. En effet, notre rsultat relatif aux tentatives de simplification de la complexit des PGI par les utilisateurs ne sappuie que sur les perceptions et les expriences vcues par les commissaires aux comptes que nous avons interrogs. Une future recherche, qui sappuierait sur les utilisateurs en tant que tels, permettrait dtudier de manire plus dtaille certains risques spcifiques lis lenvironnement PGI, comme la gestion des habilitations et le paramtrage qui peuvent gnrer des risques potentiels importants.
39 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 BIBLIOGRAPHIE Asby W.R. (1973), Some peculiarities of complex systems , Cybernetic Medecine, vol.9, p.1-8.
Bae B. et Ashcroft (2004), Implementation of ERP Systems: Accounting and Auditing Implications , Academy of Management Meeting, Chicago.
Bagranoff N. et Vendrzyk V. (2000), The changing role of IS audit among the big five accounting firms , Information Systems Control J ournal, Vol.5, p. 33-37.
Besson P. (1999), Les ERP lpreuve de lorganisation , Systmes dInformation et Management, n4, dcembre 1999, p. 21-52.
Bierstaker J .L., Burnaby P. et Thibodeau J . (2001), The impact of Information technology on the audit process: an assessment of the state of the art and implications for the future , Managerial Auditing J ournal, 16, 3, p.159-164.
Boitier M. (2004), Les ERP. Un outil au service du contrle des entreprises ? , Le mythe de lorganisation intgre, Sciences de la socit, n 61, p. 91-106.
Bulletin Officiel des Impts n12 du 24 janvier 2006, Contrle des comptabilits informatises , Direction Gnrale des Impts, 13 L-1-06.
Compagnie nationale des Commissaires aux comptes (2003), Norme 2-302. Audit ralis dans un environnement informatique , Rfrentiel normatif et dontologique de juillet 2003.
Compagnie nationale des commissaires aux comptes (2003), Dossier normes et doctrines professionnelle, CNCC Edition.
Compagnie Nationale des Commissaires aux Comptes (2007), Le guide du commissaire aux comptes : Principaux textes de rfrences, code de dontologie, normes dexercice professionnel, pratiques professionnelles , CNCC Edition.
Compagnie Nationale des Commissaires aux Comptes (2007), Dossier normes et doctrine professionnelle, CNCC Edition.
Compagnie Nationale des Commissaires aux Comptes (2007), Le programme de contrle des comptes, CNCC Edition.
Davenport T.H. (2000), Mission Critical - Realizing the Promise of Enterprise Systems , Harvard Business School Press, Boston MA.
Delorme R. (1997), Evolution et complexit : lapport de la complexit de second ordre lconomie volutionnaire , Economie applique, n3, p. 95-120.
Delorme R. (2000), Thorie de la complexit et institutions en conomie , actes du colloque de lERSI-CRIISEA et GERME, Amiens.
40 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 Encyclopdie de la Gestion et du Management (1999), Complexit , sous la direction de Le Duff R., Editions Dalloz Gestion p. 152-153.
Girard K. et Farmer M. (1999), Business software firms sued over implementation , CNET News.com (November 3).
Glaser B.G. et Strauss A.L. (1967), The discovery of grounded theory : strategies for qualitative research, New York, Aldine de Gruyter.
Gosselin M. et Mvellec P. (2003), Plaidoyer pour la prise en compte des paramtres de conception dans la recherche sur les innovations en comptabilit de gestion , Comptabilit Contrle Audit, numro spcial Les innovations managriales , mai, p. 87-110.
Hunton J .E., Wright A.M., et Wright S. (2004), Are Financial Auditors Overconfident in Their Ability to Assess Risks Associated with Enterprise Resource Planning Systems? , J ournal of Information Systems, Vol.18, n.2, p.728.
ISACA (Information Systems Audit and Control Association) (2003), Is Auditing Guideline ERP System Review ? .
Kinney W.R. J r (2001), Accounting scholarship : what is uniquely ours ? , The Accounting Review, Vol. 76, p. 275-284.
Le Moigne J .L. (1990), La modlisation des systmes complexes, Paris, Dunod.
McKinnon J . (1988), Reliability and validity in field research : some strategies and tactics , Accounting, Auditing & Accountability J ournal, vol.1, p. 34-54.
Mercier A., Merle P. (2006), Audit et commissariat aux comptes, Mmento pratique Francis Lefebvre.
Merton R.K., Fiske M. et Kendall P.L. (1990), The focused interviews : a manual of problems and procedures, New York, 2 nd ed, Free Press.
Meyssonnier F. (2004), Rponse J ean Fivez , Comptabilit Contrle Audit, juin, p. 188- 189.
Meyssonnier F. et Pourtier F. (2004a), ERP, changement organisationnel et contrle de gestion , congrs de lAFC (Orlans), 18 pages.
Meyssonnier F.et Pourtier F. (2006), Les ERP changent-ils le contrle de gestion ? , Comptabilit Contrle Audit, Mai, Tome 12, vol 1, p. 45-64.
Mikol A. (1999), Les audits financiers : Comprendre les mcanismes du contrle lgal , Editions dOrganisation.
Patton M.Q. (1990), Qualitative evaluation and research methods, sage, New York, N.Y.
41 h a l s h s - 0 0 5 2 2 4 1 1 ,
v e r s i o n
1
-
8
N o v
2 0 1 0 Rowe F. (1999), Cohrence, intgration informationnelle et changement : esquisse dun programme de recherche partir des progiciels intgrs de gestion , Systmes dInformation et Management, n4, dcembre, p. 3-20.
Simon H. (1976), From Substantive to Procedural Rationality , in Method and Appraisal in Economics, S.J . Latsis editor, Cambridge University Press, p. 129-147.
Snow C.C. et Thomas J .B. (1994), Fields research methods in strategic management: contributions to theory building and testing , J ournal of management Studies, vol 31, n4 july, p. 457-480.
Sprecher M. (2006), Audit Support in SAP , SAP Public Services.
Strauss A. et Corbin J . (1994), Grounded theory methodology : an overview , in Denzin N.K. and Lincoln Y.S. (eds), Handbook of Qualitative Research, Sage, Thousand Oaks, CA.
Sutton S.G. (2006), Enterprise systems and the reshaping of accounting systems : a call for research , International J ournal of Accounting Information Systems.
Wright S. et Wright A.M. (2002), Information System Assurance for Enterprise Resource Planning Systems: Unique Risk Considerations , J ournal of Information Systems, Vol.16 Supplement p. 99-113.
Yang D.C. et Guan L. (2004), The evolution of IT auditing and Internal Control Standards in financial statement audits : the case of the United States , Managerial Auditing J ournal; 19, 4, p. 544.
Zhao N., Yen D.C. et Chang I. (2004), Auditing in the ecommerce era , Information Management and Computer Security, Vol.12, n.5, p. 389-400.
1 Le drill-down consiste explorer les donnes de faon interactive, afin de pouvoir dgager une premire "impression" sur les variables. Il fournit une combinaison d'outils graphiques, d'analyses exploratoires qui vont permettre d'tudier rapidement la distribution des variables, les relations entre elles et d'identifier les observations appartenant des sous-groupes spcifiques dans les donnes. 42 h a l s h s - 0 0 5 2 2 4 1 1 ,