Audit réalisé dans un milieu

informatique
Animateurs
Animateurs::
Michèle CARTIER LE GUERINEL
Emmanuel LAYOT

5 à 7 du 16 septembre 2003
 Ordre
Ordre du
du jour
jour
Prise en compte de l’environnement informatique et
incidence sur la démarche d’audit
– Problématique
– Systèmes d’informations et risques associés
– La démarche d’audit en environnement informatique
– Mise en œuvre de la démarche (outils)
• ORT
• Audit sécurité
• Analyse de données
• Sécurité et dématérialisation des échanges
• Gestion Electronique de Documents (GED) et archivage
Services d'assistance informatique CNCC Qualité

5 à 7 du 16 septembre 2003
Prise
Prise en
en compte
compte dede ll ’environnement
’environnement informatique
informatique et
et
incidence
incidence sur
sur la
la démarche
démarche dd ’audit
’audit :: problématique
problématique
 Une dématérialisation croissante de l’environnement de l’entreprise : l’audit
traditionnel par contrôle sur pièces n’est pas toujours possible et adapté en
termes de pertinence des résultats obtenus

 L’obligation de prendre en compte des risques nouveaux liés aux applications

intégrées (progiciels, intranet, internet, portails d ’entreprise…)

 L’utilisation d ’une méthodologie pour pouvoir mener à bien ces nouveaux

contrôles, en cohérence avec le budget de la mission

 La possibilité d’apporter davantage de valeur ajoutée au client en émettant des

recommandations satisfaisant ses préoccupations :
– fiabilité de son système d ’information
– maîtrise de ses risques juridiques et techniques

5 à 7 du 16 septembre 2003
Prise
Prise en
en compte
compte dede ll ’environnement
’environnement informatique
informatique et
et
incidence
incidence sur
sur la
la démarche
démarche dd ’audit
’audit :: problématique
problématique
 L’environnement informatique ne modifie en rien la finalité de la mission de
certification des comptes, …mais la prise en compte du degré informatique de la
société auditée a une incidence sur la démarche d’audit

 Pourquoi ? : l’utilisation d’un ordinateur modifie la saisie et le processus de

traitement et de conservation des données et en conséquence peut avoir une
incidence sur les systèmes comptable et de contrôle interne de l’entité

 Comment ? : l’environnement informatique peut contenir des erreurs ou

anomalies, à chaque niveau du système :
– Saisie
– Traitement
– Conservation

 A quels niveaux en tenir compte dans la démarche d’audit ?

– La prise de connaissance des systèmes comptable et de contrôle interne
– La prise en compte du risque inhérent et du risque lié au contrôle
– La mise en œuvre des procédures d’audit
5 à 7 du 16 septembre 2003
 Systèmes
Systèmes d’informations
d’informations
et
et risques
risques associés
associés
•Mauvaise conception des programmes
•Erreurs d’imputation, oublis, doublons au niveau •Dépendance vis-à-vis de la sous-traitance
des saisies utilisateurs informatique
•Anomalies dans les traitements / programmes •Faiblesses dans la sécurité physique et logique
•Paramétrage incomplet ou erroné (piratage)
•Habilitations non définies (non séparation de •Sauvegarde des données (archivage fiscal, CNIL)
fonctions) •Assurance RCP ne couvrant pas les risques
•… informatiques

Applications de gestion
(gestion commerciale, stocks, GPAO, Support
réservation de billets…) Informatique
(exploitation,
maintenance, …)
Système comptable et financier

•Dysfonctionnement des interfaces

•Erreurs de rattachement de période
Comptes •Modification directe dans l’application
comptable sans répercussion automatique
annuels dans les applications de gestion

5 à 7 du 16 septembre 2003
La
La démarche
démarche d’audit
d’audit en
en environnement
environnement informatique
informatique
Phase 1
Orientation et planification
de la mission
1.1 Prise de connaissance de
l’informatique dans l’entreprise
Appréciation de l’importance de
l’informatique dans l’entreprise
et de son impact dans
l’élaboration des comptes.
1.2 Description du système
d’information de l ’entreprise
Identification des principales
composantes du système
d’information et de son niveau
de complexité.
1.3 Prise en compte de
l’informatique dans le plan de
mission
Techniques d ’audit assistées par ordinateur
5 à 7 du 16 septembre 2003
Phase 2
Evaluation des risques
2.1 Incidence sur le risque inhérent
Incidence de la fonction informatique
(conception/achat, exploitation,
sécurité et maintenance
informatique), transverse aux
activités de l’entreprise, sur le risque
inhérent
2.2 Incidence sur le risque lié
au contrôle
Incidence des applications
informatiques (jouant un rôle
important dans le processus
d’élaboration des comptes) sur
le risque lié au contrôle.
2.3 Synthèse de l’évaluation des
risques
Phase 3
Obtention d ’éléments
probants
3.1 Méthodes de mise en
œuvre des procédures d ’audit
Détermination du caractère
suffisant et approprié des
éléments probants obtenus et
lien avec l’opinion sur les
comptes.
3.2 Lien avec les obligations
légales du commissaire aux
comptes
Emission de l’opinion sur les
comptes, information des
dirigeants ou de l’organe de
direction.
 Mise
Mise en
en œuvre
œuvre dede la
la méthodologie
méthodologie ::
outils
outils disponibles
disponibles
 Documentation CNCC
– Guide d’application « Prise en compte de l’environnement informatique et incidence sur la
démarche d’audit » : modèles de dossiers de travail à télécharger en version word, moteur de
recherche, exemples, étude de cas corrigée
– Fiches PGI
– Normes professionnelles, guides sectoriels, INFOCOM etc
 Formation CNCC :
– CD-ROM auto-formation
– Formations « Technologies de l’information » : actuel informatique, excel, comment utiliser les
fichiers de l’entreprise, CAC dans les TPE/PME (directeur de mission), ACL
 Service d’assistance informatique CNCC Qualité
 Logiciels d’aide à l’audit : MCC, Auditsoft
 Logiciels d’analyse de données : tableurs, IDEA, ACL
 Logiciels de formalisation de processus : word, excel, powerpoint, visio, aris, …
 Outils de gestion électronique de document (GED) / archivage des données
 Bases de données externes à la profession : ORT (suivi personnalisé mandats),
INFOGREFFES (KBIS), DIANE, SOPHIE (COB), SOCIETES.COM

5 à 7 du 16 septembre 2003
 Guide
Guide dd ’application
’application
«« Prise
Prise en
en compte
compte de
de ll ’environnement
’environnement informatique
informatique et
et
incidence
incidence sur
sur la
la démarche
démarche dd ’audit
’audit »»
 Le guide 2-302 est disponible sous 3 supports

EN LIGNE SUR
PAPIER CD-ROM
EXTRANET
www.crcc.com.fr

 Démonstration des supports opérationnels à partir du CD-ROM

5 à 7 du 16 septembre 2003
 Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 11

1- Prise de connaissance de l’entreprise

 Recherche d’information sur l’entreprise

2- Prise de connaissance de l’informatique dans l’entreprise

Eléments Description Incidence sur la fiabilité du système
d'information
Faible Modérée Elevée
Stratégie informatique
Stratégie élaborée par les entités opérationnelles
Sensibilisation de la direction
Satisfaction des besoins utilisateurs
Fonction informatique
Organisation de la fonction informatique
Organisation informatique
Séparation des tâches
Externalisation
Compétences informatiques
Niveau de compétence
Charge de travail
Niveau de rotation
Importance de l’informatique dans l’entreprise
Degré d’automatisation
Caractéristiques du système d’information
Sensibilité de l'informatique
Indisponibilité
Complexité du système d’information
Intégration
Documentation

5 à 7 du 16 septembre 2003
 Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 11
3 – Description du système d’information
Telbac ou autre logiciel Etebac

Gestion Comptable Extraits de Communication Cartographie applicative

banque
Comptabilité générale et analytique
Tiers - Plans
Gestion clients et fournisseurs comptable et
Ecritures de règlements, analytique
Reporting facturation clients et
fournisseurs
Utilisation
Rapprochement bancaire
Gestion commerciale Fiches PGI
(sage, ccmx, adonix,
Gestion des Ventes Gestion des Acha
Ecritures de
Tiers - Plans
comptable et
Gestion clients Gestion Fournisse navision, cegid…)
caisse Facturation Clients Facturation Fournis
analytique
Statistiques Clients Statistiques Fourn
Saisie de caisse décentralisée
Réglements : Clients Fournis
Gestion des clients
Gestion de caisse comptoir (encaiss.) Gestion de stock/fabrication
Processus à analyser
Applications Saisie Soldes et
Moyens Gestion com
Processus Compta 100 Immos 100 caisse Paie 100 prév.en
paiem. 100 100
décentralisé valeur 100

Gestion des Ventes X X

Gestion des Immobilisations X X

Gestion des Achats X X

5 à 7 du 16 septembre 2003
 Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 22
2- Incidence sur le risque inhérent
Incidence de l’environnement Constats Incidence sur Recommandations Impact Communication au gouvernement
Informatique sur le risque inhérent le risque possible sur les d’entreprise
inhérent contrôles substantifs
Conception et acquisition des solutions
informatiques
Comment sont achetées et développées
les solutions informatiques ?
Identification des besoins en nouveaux outils
Organisation de la fonction développement /
paramétrage
Procédures de développement / paramétrage
Procédures de tests
Comment sont installés et validés les
nouveaux systèmes informatiques ?
Tests lors du démarrage de la nouvelle
application ou version
Validation des développements
Niveau de documentation des outils
Gestion du changement
Comment est assurée la maintenance du
système d’information ?
Maîtrise du système d’information
Maintenance externalisée

Distribution et support informatique

Quelle est la qualité du support fourni aux
utilisateurs ?
Cellule de support (hotline)
Manuel utilisateur et documentations
disponibles
Formations informatiques
Comment sont gérés les problèmes
d’exploitation quotidiens ?
Suivi des performances du système
Disponibilité du système
Fonction exploitation
Historique et surveillances des activités
Comment sont gérées les fonctions
externalisées ?
Procédures de choix des sous-traitants
Sous-traitants correspondant aux besoins de
l’entreprise
Supervision des activités des sous-traitants
Contenu des contrats de sous-traitance
Gestion de la sécurité
Comment sont gérées les sauvegardes ?
Procédure de sauvegarde

5 à 7 du 16 septembre 2003
 Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 22
2- Incidence sur le risque inhérent

 Démonstration d’un audit sécurité ayant un impact sur le risque inhérent

Client 1

Moteur
de tests

Plate-forme Interface
technique Graphique

Interface Update
Graphique Manager
Base de Moteur
données Client 2
de tests
Générateur Console
de rapports Batch

Tests déportés à travers une

Console de test connexion sécurisée
Interface
Graphique

Moteur
de tests

Client n
5 à 7 du 16 septembre 2003
 Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 22
2- Incidence sur le risque lié au contrôle
1°) formalisation du processus Utilisation
Fiches PGI
Gestion commerciale 100 (sage, ccmx, adonix,
navision, cegid…)
Contrôle : 2 F_DOCENTETE

oublis ou
doublons F_DOCLIGNE

Génération 1
Générationdes
desécritures
3 Contrôle :
Contrôle : écritures
comptables
comptablesààpartir
partirdes
desfactures exercice
erreurs factures
de ventes “à comptabiliser” rattachement
d’imputation de ventes “à comptabiliser”

Possibilité
Possibilitéd’exporter
d’exporterununfichier
fichier
plutôt q’une MAJ directe
plutôt q’une MAJ directe
de
delalacomptabilité
comptabilité
Compta100 La fiabilité de l’interface
sera fonction de l’application
utilisée pour importer le fichier
F_ECRITUREC Fichier texte (OK si Compta100, sinon
Attention si développements
spécifiques)

5 à 7 du 16 septembre 2003
 Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 22
2- Incidence sur le risque lié au contrôle
2°) Matrice des risques
Appréciation Incidence
Potentialité Identification des contrôles
Domaine du Assertions Description du risque des sur le risque
N° du risque
contrôle théorique contrôles lié au
théorique Programmés Utilisateurs
internes contrôle

1 Traitement Rattachement Facture imputée sur Elevée si - Contrôle manuel au

N-1 au lieu de N, lors clôture niveau de la période Modéré Elevée /
du traitement “MAJ comptable lors de la procédure modérée
comptable” non faite “MAJ comptable”

Faible si Contrôle -
clôture automatique : Elevé Faible
comptable message d’erreur
faite

Traitement Exhaustivité / Transfert des factures Elevée - Contrôle manuel à Faible / Elevée /
2 réaliser
Evaluation en double en modérée modérée
comptabilité ou
transfert inexistant

Traitement Exhaustivité / Erreur d’imputation Elevée - Contrôle manuel à Faible / Elevée /

3 Mesure d’un produit ou d’une réaliser modérée modérée
charge

5 à 7 du 16 septembre 2003
 Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 33
 Le commissaire aux comptes, à partir des éléments vérifiés lors de
l’évaluation des risques, se concentre sur les risques de niveau modéré
ou élevé, afin de déterminer la nature et l’étendue des contrôles
substantifs à mener et s’il est pertinent, pour ce faire, de recourir aux
techniques d’audit assistées par ordinateur (ou analyse de données)

h Vérification des calculs et additions (ex : recalcul des

totaux des inventaires physiques : des immo, des stocks, des
factures de l’année …)
h Comparaisons de fichiers et extractions
d’anomalies (ex : comparaison des fichiers des
prix de revient et de vente de stocks pour identifier
les dépréciations à effectuer ; extractions des stocks
ou immo dont la valeur nette est négative …)
h Extractions d’échantillons : les 20/80 des factures clients
h Tri des fichiers selon des critères prédéfinis
(ex : ordre croissant des valeurs ; écritures passées
sur une certaine période …)

5 à 7 du 16 septembre 2003
 Mise
Mise en
en œuvre
œuvre de
de la
la méthodologie
méthodologie ::
Phase
Phase 33

Ces techniques sont de nature à :

– permettre l’obtention d’éléments probants dans un environnement
dématérialisé,
– dépasser le stade du sondage dont l’exploitation est toujours délicate compte
tenu des difficultés de mise en œuvre et de la non exhaustivité des contrôles,
– identifier systématiquement toutes les anomalies répondant aux critères de
sélection et / ou de calcul retenus,
– procéder à des traitements par simulation pour mesurer l’impact de
changements de méthode,
– aborder des contrôles fastidieux et complexes sur des populations
nécessitant un nombre de calculs difficilement réalisables par une approche
manuelle.

Démonstration de contrôles substantifs menés avec un logiciel

d’analyse de données

5 à 7 du 16 septembre 2003
Sécurité
Sécurité et
et dématérialisation
dématérialisation des
des échanges
échanges
Les échanges avec les clients sont en augmentation
constante (documents, rapports, courriers, etc)
Le développement des échanges électroniques doit
s’accompagner de la mise en place de solutions apportant
les avantages suivants :
– Amélioration de la productivité : simplification et rapidité des
échanges par voie électronique par rapport aux envois postaux
avec accusé de réception
– Economies réalisées avec les échanges électroniques, moins
coûteux que les échanges postaux
– Sécurité juridique aussi forte qu’avec les documents originaux en
format papier (signature électronique, horodatage et archivage)
5 à 7 du 16 septembre 2003
 Sécurité
Sécurité et
et dématérialisation
dématérialisation des
des échanges
échanges

Site internet

Plate-forme d’échanges

Horodatage Archivage
Commissaire
aux Comptes Tiers de confiance Entreprise

Administrations
et Greffes
5 à 7 du 16 septembre 2003
Service
Service d’assistance
d’assistance informatique
informatique CNCC
CNCC Qualité
Qualité
 Vous travaillez actuellement sur :
– la rédaction de vos lettres de mission,
– la planification et orientation de vos missions,
– la préparation de vos contrôles intérimaires...
 Vous rencontrez peut-être des difficultés pour intégrer dans les missions la
dimension informatique nécessairement présente chez vos client.
 Quel que soit le niveau de développement et d'intégration de leurs systèmes
d'informations, ces aspects doivent être pris en compte dans la démarche d'audit
dès la phase orientation et planification.

 Le service d'assistance informatique proposé par CNCC Qualité a été conçu

pour vous assister dans chacune des étapes de la mission d'audit, en vous
aidant notamment :
– à évaluer les risques inhérents aux systèmes d'information
– à définir et mettre en oeuvre des contrôles substantifs sur les données

5 à 7 du 16 septembre 2003
Service
Service d’assistance
d’assistance informatique
informatique CNCC
CNCC Qualité
Qualité
 Qui intervient ? : un professionnel salarié de CNCC Qualité, spécialisé
en audit financier et informatique
 Où se déroule l'intervention ? : en fonction des besoins, dans votre
cabinet, chez votre client ou à distance
 En quoi consiste cette intervention ? :
• à identifier les mandats pour lesquels il est pertinent de mettre en œuvre cette
méthodologie
• à vous assister dans la définition de l'orientation de la mission et dans
l'explication nécessaire de cette démarche auprès des sociétés contrôlées
• à identifier et à évaluation les risques, notamment les obligations réglementaires
(archivage fiscal, protection des données personnelles, etc)
• à évaluer la vulnérabilté des systèmes d’information
• à prendre en compte les particularités d'un progiciel de gestion intégre (PGI) ou
de l'environnement internet
• à mettre en oeuvre les techniques d'audit assistées par ordinateur (analyse de
données)

5 à 7 du 16 septembre 2003
Service
Service d’assistance
d’assistance informatique
informatique CNCC
CNCC Qualité
Qualité
 En plus de renforcer la qualité des diligences professionnelles mises en oeuvre,
les interventions du service d'assistance informatique vous permettent :
– de formuler des recommandations à forte valeur ajoutée pour vos clients
– de faciliter la mise en oeuvre de la LSF sur l'attestation du rapport rédigé par la SA
portant sur le contrôle interne
– de partager les compétences acquises au sein de votre organisation en les mettant en
oeuvre dans vos autres missions professionnelles
– de comprendre les problématiques de vos clients liées aux systèmes d'information

 Les collaborateurs du service d'assistance informatique peuvent intervenir chez

vous ou chez vos clients, sur la base d'un prix jour/homme compétitif, pour
rendre les prestations accessibles au plus grand nombre.

 Un forfait de 1000 euros ht est proposé pour la première intervention, consistant

à analyser en profondeur chaque mandat, pour identifier les contrôles pertinents
à mener.

5 à 7 du 16 septembre 2003
Service
Service d’assistance
d’assistance informatique
informatique CNCC
CNCC Qualité
Qualité
 Afin de planifier au mieux les interventions, il est indispensable de
renvoyer le bulletin d'inscription avant la date limite fixée au 20
septembre.
Pour toute question ou information complémentaire, vous pouvez
contacter le service d'assistance informatique de CNCC Qualité :
- par téléphone, au numéro suivant : 01 44 77 82 82
- par courrier électronique à l'adresse suivante : cnccqualite-
informatique@cncc.fr
- par fax, au numéro suivant : 01 44 77 82 52

 Le bulletin d'inscription au service d'assistance informatique est

téléchargeable sur l'extranet : www.crcc.com.fr

5 à 7 du 16 septembre 2003