Documente Academic
Documente Profesional
Documente Cultură
informatique
Animateurs
Animateurs::
Michèle CARTIER LE GUERINEL
Emmanuel LAYOT
5 à 7 du 16 septembre 2003
Ordre
Ordre du
du jour
jour
Prise en compte de l’environnement informatique et
incidence sur la démarche d’audit
– Problématique
– Systèmes d’informations et risques associés
– La démarche d’audit en environnement informatique
– Mise en œuvre de la démarche (outils)
• ORT
• Audit sécurité
• Analyse de données
• Sécurité et dématérialisation des échanges
• Gestion Electronique de Documents (GED) et archivage
Services d'assistance informatique CNCC Qualité
5 à 7 du 16 septembre 2003
Prise
Prise en
en compte
compte dede ll ’environnement
’environnement informatique
informatique et
et
incidence
incidence sur
sur la
la démarche
démarche dd ’audit
’audit :: problématique
problématique
Une dématérialisation croissante de l’environnement de l’entreprise : l’audit
traditionnel par contrôle sur pièces n’est pas toujours possible et adapté en
termes de pertinence des résultats obtenus
5 à 7 du 16 septembre 2003
Prise
Prise en
en compte
compte dede ll ’environnement
’environnement informatique
informatique et
et
incidence
incidence sur
sur la
la démarche
démarche dd ’audit
’audit :: problématique
problématique
L’environnement informatique ne modifie en rien la finalité de la mission de
certification des comptes, …mais la prise en compte du degré informatique de la
société auditée a une incidence sur la démarche d’audit
Applications de gestion
(gestion commerciale, stocks, GPAO, Support
réservation de billets…) Informatique
(exploitation,
maintenance, …)
Système comptable et financier
5 à 7 du 16 septembre 2003
La
La démarche
démarche d’audit
d’audit en
en environnement
environnement informatique
informatique
Phase 1 Phase 2 Phase 3
Orientation et planification Evaluation des risques Obtention d ’éléments
de la mission probants
2.1 Incidence sur le risque inhérent
1.1 Prise de connaissance de 3.1 Méthodes de mise en
Incidence de la fonction informatique
l’informatique dans l’entreprise œuvre des procédures d ’audit
(conception/achat, exploitation,
Appréciation de l’importance de Détermination du caractère
sécurité et maintenance
l’informatique dans l’entreprise suffisant et approprié des
informatique), transverse aux
et de son impact dans éléments probants obtenus et
activités de l’entreprise, sur le risque
l’élaboration des comptes. lien avec l’opinion sur les
inhérent
comptes.
1.2 Description du système 2.2 Incidence sur le risque lié
d’information de l ’entreprise au contrôle
Identification des principales Incidence des applications 3.2 Lien avec les obligations
composantes du système informatiques (jouant un rôle légales du commissaire aux
d’information et de son niveau important dans le processus comptes
de complexité. d’élaboration des comptes) sur Emission de l’opinion sur les
le risque lié au contrôle. comptes, information des
1.3 Prise en compte de dirigeants ou de l’organe de
l’informatique dans le plan de 2.3 Synthèse de l’évaluation des
direction.
mission risques
5 à 7 du 16 septembre 2003
Guide
Guide dd ’application
’application
«« Prise
Prise en
en compte
compte de
de ll ’environnement
’environnement informatique
informatique et
et
incidence
incidence sur
sur la
la démarche
démarche dd ’audit
’audit »»
Le guide 2-302 est disponible sous 3 supports
EN LIGNE SUR
PAPIER CD-ROM
EXTRANET
www.crcc.com.fr
5 à 7 du 16 septembre 2003
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 11
3 – Description du système d’information
Telbac ou autre logiciel Etebac
5 à 7 du 16 septembre 2003
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 22
2- Incidence sur le risque inhérent
Incidence de l’environnement Constats Incidence sur Recommandations Impact Communication au gouvernement
Informatique sur le risque inhérent le risque possible sur les d’entreprise
inhérent contrôles substantifs
Conception et acquisition des solutions
informatiques
Comment sont achetées et développées
les solutions informatiques ?
Identification des besoins en nouveaux outils
Organisation de la fonction développement /
paramétrage
Procédures de développement / paramétrage
Procédures de tests
Comment sont installés et validés les
nouveaux systèmes informatiques ?
Tests lors du démarrage de la nouvelle
application ou version
Validation des développements
Niveau de documentation des outils
Gestion du changement
Comment est assurée la maintenance du
système d’information ?
Maîtrise du système d’information
Maintenance externalisée
5 à 7 du 16 septembre 2003
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 22
2- Incidence sur le risque inhérent
Moteur
de tests
Plate-forme Interface
technique Graphique
Interface Update
Graphique Manager
Base de Moteur
données Client 2
de tests
Générateur Console
de rapports Batch
Moteur
de tests
Client n
5 à 7 du 16 septembre 2003
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 22
2- Incidence sur le risque lié au contrôle
1°) formalisation du processus Utilisation
Fiches PGI
Gestion commerciale 100 (sage, ccmx, adonix,
navision, cegid…)
Contrôle : 2 F_DOCENTETE
oublis ou
doublons F_DOCLIGNE
Génération 1
Générationdes
desécritures
3 Contrôle :
Contrôle : écritures
comptables
comptablesààpartir
partirdes
desfactures exercice
erreurs factures
de ventes “à comptabiliser” rattachement
d’imputation de ventes “à comptabiliser”
Possibilité
Possibilitéd’exporter
d’exporterununfichier
fichier
plutôt q’une MAJ directe
plutôt q’une MAJ directe
de
delalacomptabilité
comptabilité
Compta100 La fiabilité de l’interface
sera fonction de l’application
utilisée pour importer le fichier
F_ECRITUREC Fichier texte (OK si Compta100, sinon
Attention si développements
spécifiques)
5 à 7 du 16 septembre 2003
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 22
2- Incidence sur le risque lié au contrôle
2°) Matrice des risques
Appréciation Incidence
Potentialité Identification des contrôles
Domaine du Assertions Description du risque des sur le risque
N° du risque
contrôle théorique contrôles lié au
théorique Programmés Utilisateurs
internes contrôle
Faible si Contrôle -
clôture automatique : Elevé Faible
comptable message d’erreur
faite
Traitement Exhaustivité / Transfert des factures Elevée - Contrôle manuel à Faible / Elevée /
2 réaliser
Evaluation en double en modérée modérée
comptabilité ou
transfert inexistant
5 à 7 du 16 septembre 2003
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 33
Le commissaire aux comptes, à partir des éléments vérifiés lors de
l’évaluation des risques, se concentre sur les risques de niveau modéré
ou élevé, afin de déterminer la nature et l’étendue des contrôles
substantifs à mener et s’il est pertinent, pour ce faire, de recourir aux
techniques d’audit assistées par ordinateur (ou analyse de données)
5 à 7 du 16 septembre 2003
Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 33
5 à 7 du 16 septembre 2003
Sécurité
Sécurité et
et dématérialisation
dématérialisation des
des échanges
échanges
Les échanges avec les clients sont en augmentation
constante (documents, rapports, courriers, etc)
Le développement des échanges électroniques doit
s’accompagner de la mise en place de solutions apportant
les avantages suivants :
– Amélioration de la productivité : simplification et rapidité des
échanges par voie électronique par rapport aux envois postaux
avec accusé de réception
– Economies réalisées avec les échanges électroniques, moins
coûteux que les échanges postaux
– Sécurité juridique aussi forte qu’avec les documents originaux en
format papier (signature électronique, horodatage et archivage)
5 à 7 du 16 septembre 2003
Sécurité
Sécurité et
et dématérialisation
dématérialisation des
des échanges
échanges
Site internet
Plate-forme d’échanges
Horodatage Archivage
Commissaire
aux Comptes Tiers de confiance Entreprise
Administrations
et Greffes
5 à 7 du 16 septembre 2003
Service
Service d’assistance
d’assistance informatique
informatique CNCC
CNCC Qualité
Qualité
Vous travaillez actuellement sur :
– la rédaction de vos lettres de mission,
– la planification et orientation de vos missions,
– la préparation de vos contrôles intérimaires...
Vous rencontrez peut-être des difficultés pour intégrer dans les missions la
dimension informatique nécessairement présente chez vos client.
Quel que soit le niveau de développement et d'intégration de leurs systèmes
d'informations, ces aspects doivent être pris en compte dans la démarche d'audit
dès la phase orientation et planification.
5 à 7 du 16 septembre 2003
Service
Service d’assistance
d’assistance informatique
informatique CNCC
CNCC Qualité
Qualité
Qui intervient ? : un professionnel salarié de CNCC Qualité, spécialisé
en audit financier et informatique
Où se déroule l'intervention ? : en fonction des besoins, dans votre
cabinet, chez votre client ou à distance
En quoi consiste cette intervention ? :
• à identifier les mandats pour lesquels il est pertinent de mettre en œuvre cette
méthodologie
• à vous assister dans la définition de l'orientation de la mission et dans
l'explication nécessaire de cette démarche auprès des sociétés contrôlées
• à identifier et à évaluation les risques, notamment les obligations réglementaires
(archivage fiscal, protection des données personnelles, etc)
• à évaluer la vulnérabilté des systèmes d’information
• à prendre en compte les particularités d'un progiciel de gestion intégre (PGI) ou
de l'environnement internet
• à mettre en oeuvre les techniques d'audit assistées par ordinateur (analyse de
données)
5 à 7 du 16 septembre 2003
Service
Service d’assistance
d’assistance informatique
informatique CNCC
CNCC Qualité
Qualité
En plus de renforcer la qualité des diligences professionnelles mises en oeuvre,
les interventions du service d'assistance informatique vous permettent :
– de formuler des recommandations à forte valeur ajoutée pour vos clients
– de faciliter la mise en oeuvre de la LSF sur l'attestation du rapport rédigé par la SA
portant sur le contrôle interne
– de partager les compétences acquises au sein de votre organisation en les mettant en
oeuvre dans vos autres missions professionnelles
– de comprendre les problématiques de vos clients liées aux systèmes d'information
5 à 7 du 16 septembre 2003
Service
Service d’assistance
d’assistance informatique
informatique CNCC
CNCC Qualité
Qualité
Afin de planifier au mieux les interventions, il est indispensable de
renvoyer le bulletin d'inscription avant la date limite fixée au 20
septembre.
Pour toute question ou information complémentaire, vous pouvez
contacter le service d'assistance informatique de CNCC Qualité :
- par téléphone, au numéro suivant : 01 44 77 82 82
- par courrier électronique à l'adresse suivante : cnccqualite-
informatique@cncc.fr
- par fax, au numéro suivant : 01 44 77 82 52
5 à 7 du 16 septembre 2003