[PDF] commission audit informatique - recueil de tests daudit de données

View - Download commission audit informatique - recueil de tests daudit de données

Previous PDF

Next PDF

DE TESTS

D"AUDIT DE

DONNÉES

DTSU" ULAEOCD"UNTÉ

ULAEOCD"UNTÉ SÉ MD RORR

SÉ PDOUI

AÈXFXÈQ:

rTOrDLS de la CRCC de Paris

Associé, Saint-Honoré

Partenaires

ÈQic

DrÉBB

chez Grant Thornton bu aDrMELIna commissaire aux comptes, président d1honneur de l1AFAI cgMY:

DTI"UL

et Conseil SI chez Exponens cgCQ:lué

SÉLaI

des activités de

Consulting du cabinet

CTF, Compagnie des

Techniques Financières

Xoi

BDLSÉBD

commissaire aux comptes,

Groupe AFIGEC

iskQuc

SUÉLÉ

chez Grant Thornton yÀu

HTrÉO

spécialisé dans les missions de conseil et d1audit en Système d1Information lué

OÉ"ETOL.

spécialisé SI, audit de données, lutte contre la fraude iklic

IUMMDC

chez CTF Conseil NOUS ADRESSONS NOS PLUS SINCÈRES REMERCXIEMENTS AUX CO PRÉSIDENTS DE LA COMMISSION AUDIT INFORMATIQUE

DE LA CRCC DE PARIS

Frédéric Burband

Associé, Saint-Honoré Partenaires

MICHEL RETOURNÉ POUR SON EXCEPTIONNELLE CONTRIBUTION

À LA RÉALISATION DE CE RECUEILX.

DNIOMCDMP:UR"NCMXIErDCUISD

ÉUPÉERPéS

DdDiDSIRDTMPcEOMPD

PO.IÉL"D"UEL SÉI f

BTUSÉI

tant et traitant des millions de données. Elle doit intégrer les systèmes d1information dans son approche d1audit aRn de maintenir une qualité et une pertinence de ses contrôles sur les informations Rnancières soumises à sa certiRcation. L1impulsion conjuguée des exigences réglementaires et de la normalisation technique (avec no- tamment le Rchier des écritures comptables, bientôt la facture électronique) accroît actuellement les besoins et exigences en la matière. C1est pourquoi la CRCC de Paris se mobilise pour apporter le soutien nécessaire à nos consGurs et confrères visant à les sensibiliser sur les risques et enjeux de la digitalisation des processus de l1entreprise. La Commission Audit Informatique de la CRCC de Paris Guvre maintenant depuis 3 ans aRn d1acculturer la profession à l1audit informatique. Elle propose dans ce cadre trois guides visant à rendre accessibles à tous les professionnels la démarche d1audit des systèmes d1informations. dF RU dic

BurbiccFcabXnc

:éerugÈQ:YFic di XliéQ:Qn

XliéP:urééigiéQ

onénuÈX dF

RU dic IU di

XliéQ:Qn

Informatique,

tous concernés sF:di informatique des processus "icQc iQ bréQufXic cFmcQÈéQ:ec BÈu

XlÈéÈXqci dic

dréénic de tests d"audit de données >AUDIT INFORMATIQUE, TOUS CONCERNÉS matiques (ITGC Information Technology General Controls). Les contrôles généraux informatiques s1appliquent à tous les composants, processus et données des systèmes d1une organisation, ou d1un environnement de systèmes. Ils ont pour objectif de veiller au développement et à la mise en Guvre appropriés des applications, à l1in-

tégrité et sécurité des applications, opérations et données, ainsi que des opérations

informatiques. >AUDIT INFORMATIQUES DES PROCESSUS : CONTRÔLES SPÉCIFIQUEXS DES APPLICATIONS ET PROCESSUS Application Controls). Ces contrôles visent à s1assurer du respect de la qualité et de

la sécurité des données générées ou supportées par les applications informatiques

métier, en particulier celles qui impactent les Eux Rnanciers. Ils sont par construc- tion spéciRques à chaque application. >AUDIT PAR LES DONNÉES EN XUTILISANT DES OUTILS INFOXRMATIQUES Computer-Aided Audit Tools). Il présente une bibliothèque de tests et contrôles pos- sibles d1audit par les données, qui est implémenté soit dans le cadre de la vériRcation du fonctionnement des processus ou pour réaliser des contrôles dits substantifs basés sur l'exhaustivité d'une population à auditer. MAIRE

Introduction

8

BÈu Xi brgg:ccÈ:ui ÈF> brgBQic

iQ bruBruiXXic ié EBié SÈQÈ FQ:Xic BrFu

Xi brgg:ccÈ:ui ÈF> brgBQic

tique complet » élaboré par la Commission Audit Informatique de la CRCC de Paris, le présent document a pour objectif de proposer au commissaire aux comptes un recueil de tests d1audit de données qu1il peut réaliser tant dans le cadre de sa mission légale d1audit des comptes que dans celui de missions complémentaires (Prestations). Ce recueil se veut très pratique en abordant successivement > PARTIE 1 U "CU" EEACD > PARTIE 2 U "CU" EEACD > PARTIE 3 U

EAÉCDDNTLCDUI RLULANXTDCLXUÉCDUSLNQNR:

> PARTIE 4 > PARTIE 5 UCicBubcaUncUegYlcoaUnlXausklybcaUckU uckUX"ÀHÀ de Paris une version sous Excel de la partie 4 du recueil aRn de vous permettre de personnaliser et suivre pour chacune de vos missions les tests que vous avez décidé de réaliser après avoir mené votre analyse des risques.

Les tests proposés dans ce recueil ont vocation à être réalisés avec un outil d1audit de

données. Cette recommandation est non seulement faite pour des raisons d1eCcacité et de contraintes de volumes de données mais également pour pouvoir disposer d1une véritable piste d1audit des travaux réalisés, ce que ne permet pas un tableur ou un gestionnaire de base de données (Cf. Rche

5 - Utilisation des outils d1audit de données

du guide précité). À noter que le présent recueil de tests de données ne comporte pas spéciRquement de tests RGPD car la démarche d1audit de ce volet repose sur une analyse des risques et des procédures mises en place par l1entité pour respecter cette obligation de pro- tection des données personnelles. Voir en ce sens les Rches n°6 des parties I et II du

Guide "

Audit informatique : Tous concernés ! Le guide pratique complet ». En revanche, il appartient au commissaire aux comptes de mettre en Guvre les mesures de protection des données à caractère personnel transmises par son client et de mettre en place une organisation qui assure que ces données transmises ne seront pas utilisées pour d1autres finalités que les finalités de traitement. EnRn, le commissaire aux comptes n1étant que responsable de traitement de données et non en tant que prestataire ou sous-traitant de son client, n1est pas tenus d1informer les personnes concernées des traitements opérés dans le cadre de sa mission.

S.CDORHÉ S0DTSU"

SÉ SELL.ÉI PDO

MÉ RECCUIIDUOÉ

DT6 RECP"ÉI

commissaire aux comptes et permettent une atteinte plus aisée de l1assurance raisonnable ainsi qu1une documentation appropriée de l1approche d1audit par les risques par sondage est pertinente adaptés à l1analyse des données est pertinente. Cependant, l1eCcacité des travaux d1analyse de données avec un outil informatique dépend de la démarche de mise en Guvre. La démarche généralement retenue comporte 4 étapes principales

ANALYSE

ANALYSE

DES RÉSULTATS

OBJECTIFS

ET PÉRIMÈTRE

PLANIFICATION

DE L"INTERVENTION

USÉL"UAUÉO

entre tables Cette phase permet de déterminer les objectifs d1audit pouvant être couverts par l1utilisation d1outils d1investigation, le planning, la charge de travail et les ressources qui seront nécessaires (outils et compétences)

S.AULUO

D1ÉR 6lET"U6 SlDTSU" SÉ SELLMÉI

3 UL"ÉOLÉ É" RECÔ"ÉI DLLTÉ6It D1ÉR USÉL"UAURD"UEL SÉI

PHDIÉ SÉ PO.PDOD"UEL

nées sources SMAULUI 6EOI SÉ 6D ÔVDIÉ SÉ Ô6DLUAURD"UEL contrôle etc.) Ôf

Er"ÉLUO MÉI SELL.ÉI

taux de contrôle) totalité du Rchier (dates, montants, données illisibles) tiellement, valeurs incohérentes par rapport aux types de données attendues non balancés disponibles dans les systèmes sources (balance générale, résultat de la pé- riode, chiUre d1aUaires etc.) moyenne, mini, maxi t) tantes, rejeter le Rchier et demander un nouvel envoi format des dates /heures etc.) stocks etct bit 2 Crédit, noms en majuscule etc.), soit lors de chaque test si spéciRques aux tests qui seront menés

É" S0UL"ÉOPO."D"UEL

SÉI O.ITM"D"I Er"ÉLTI

AODTSÉ)

6EOI SÉ 6D ÔVDIÉ ÔOMD6D96É ÔETO XUSÉL"UAUÉO

6lÉ/UI"ÉLRÉ ET D9IÉLRÉ SXÉI ULSURÉI SlÉOOÉTXO

É"JET SÉ AODTSÉI OÉRVÉORVMI

CDUI "OET1MI 6EOI SÉI "OD1DT/ SlDLD62IÉ

LD"TOÉ O.ÉMMÉ

tentionnelles des cas réels de falsiRcations / fraudes

ADUOÉ

ODÔÔOERVÉCÉL" D1ÉR SÉI SELLMÉI É/X"ÉOLÉI ET RÉ66ÉI Ôq lyse des données doit être menée par recoupement avec d1autres sources d1information (toutes ne sont pas forcé- ment falsiRées) et l1auditeur doit être imaginatif face à ces constats déjouer les tentatives de dissimulation passer en dessous des " radars »

6DLsDsÉ RECÔOMVÉLIU96É ÔDO "ETI D1ÉR

3 Ôp formatiques permettant aux entreprises d1analyser leurs données aRn d1alimenter leurs prises de décision. du SI de l1entreprise : infrastructure, logiciels, découpage fonctionnel, description des processus, interface etc. Il permet également de comprendre les interactions entre les diUérents acteurs 2 utilisateurs 2 départements. Rchiers / bases de données. C1est une analyse préliminaire des données où on recherche des indices, conRrmer des intuitions, à faire émerger des tendances, concepts (insights). Cela couvre également la transformation des données en informations utiles, en éta- blissant des relations entre elles, des corrélations pour les catégoriser. champs clés. lettres de l1alphabet. l1information peut être variable dans les documents. Ces informations doivent au

préalable être réorganisées pour pouvoir être exploitables par les outils d1analyse de

données (E-mails, factures, courriers, sms etc.) mation ventilé en colonne (champs). Ces données sont directement exploitables car déjà en forme pour être traitées par les outils d1analyse de données. paiements sans les contreparties requises. d1un ou de plusieurs champs en particulier. entre le Rchier des bons d1expédition avec les factures de vente sur la base du numéro du bon d1expédition pour identiRer les expéditions non facturées et les factures sans bon d1expédition. de fréquence plus élevée que n1importe quel autre chiUre. Le chiUre

2 est lui-même

plus fréquent que le 3, et ainsi de suite jusqu1au chiUre

9, qui a la probabilité la plus

faible d1être le premier chiUre. L1approche consiste donc à calculer les fréquences d1apparition des chiUres 1 à 9 dans un Rchier de données homogènes et à les rap- procher avec la courbe statistique de la loi de Benford pour identiRer les séquences anormales » de nombres, donc réputés fabriqués. L1utilisation seule de la loi de Ben- ford pour identiRer des indices de fraude est rarement concluante mais peut dans certains cas conforter ou étendre les travaux en cas de découverte d1indice de fraude identiRées par d1autres techniques de détection. et services publics (INSEE, INPI, La Poste etc.) un champ numérique, date, texte pour analyse de la répartition de la population en quantité et en valeur (ex. 20/80). Permet également de cibler un échantillonnage à une ou plusieurs strates. Ô1

AURHUÉOI É"

ULAEOCD"UELI

L.RÉIIDUOÉI

Rchiers dont le contenu est diUérent selon la nature de l1information et des contrôles que l1on souhaite réaliser. Les Rchiers et informations disponibles sont à identiRer préalablement à l1audit de Rchier lors de la phase intérim. Elle peut valablement se baser sur la des Systèmes d1informations Sans être exhaustif, les Rchiers et informations généralement utiles pour réaliser

les contrôles proposés au chapitre 4 sont présentés ci-après. Cette liste est à adapter

en fonction du SI de chaque entreprise auditée et des objectifs d1audit que le com- missaire aux comptes s1est Rxés.

DR"UAI UCCE9U6UIMI

des immobilisations, achats de la période, dossiers d1investissements etc. périodiques, coûts standards par référence, Rches de mises au rebut, articles périmés etc. pels d1oUres, achats, mises en paiement etc. tÔ factures de ventes, encaissements, coûts standard par référence, grilles tari- faires etc. paiement, stocks de CP-RTT etc. banques Il est également possible d1utiliser des Rchiers externes disponibles en Open Data pour validation des Rchiers permanents de l1entreprise (bases SIRENE, Adresses postales en France, Rchiers des greUes des tribunaux de commerce etc.). Une liste de Rchiers disponibles en Open Data et pouvant être utiles pour le commis- saire aux comptes est proposée en annexe à la date de parution de la présente Rche.

S0DTSU" SÉ SELL.ÉI

tf pouvant être réalisés par le commissaire aux comptes dans le cadre de sa mission légale, tant lors de la revue de la qualité du contrôle interne, la validation des comptes annuels (revue analytique et contrôles des données) que dans la recherche d1indices de fraude. Ces tests ne se suCsent pas en eux même mais ont pour objet d1alimenter les travaux d1audit du commissaire aux comptes. Le choix des tests à réaliser est à faire bien entendu selon les résultats de l1analyse des risques menée par le commissaire aux comptes. Ils sont présentés par cycle d1audit avec indication pour chacun d1eux de leur(s) contexte(s) d1utilisation sakuDkylÀHbyb table (saisie, suppressions, modiRcations des Rchiers permanents et des écritures) avec le Rchier des droits utilisateurs Rapprocher le Rchier des droits applicatifs par utilisateur avec celui du per- sonnel et identiRer les utilisateurs sortis ou absents des eUectifs sur la période IdentiRer les écritures manuelles passées un jour de WE ou férié Calculer le nombre d1écritures manuelles de régularisation ou d1ajuste- ment par utilisateur Rapprocher les écritures manuelles par utilisateur avec leur direction / département de rattachement IdentiRer les écritures passées par des utilisateurs de la DSI IdentiRer les écritures passées les jours de clôture des périodes comptables dont celles passées durant la dernière heure Rapprocher les soldes de l1exercice (réalisations) avec le budget de la période IdentiRer les écritures avec un montant multiple de 10, 100, 1000 etc. IdentiRcation des écritures de l1exercice ayant une date de pièce de réfé- rence postérieure à la date de clôture (séparation des exercices) IdentiRer les écritures dont la date de lettrage est antérieure à la date de la pièce comptable (ajust, régul, erreur, doublon, extourne, etc.) IdentiRer les écritures manuelles au-dessus du seuil de signiRcation / seuil de contrôle globalement / par cycle IdentiRer les comptes non mouvementés durant l1exercice A partir du FEC, calculer des taux de changes des écritures en devise et rapprocher des taux de change historiques de chaque écriture A partir du FEC, identiRer les schémas comptables utilisés et analyser ceux non conformes aux PCG, méthodes comptables de l1entité IdentiRcation des écritures dont la date comptable est supérieure à la date de la pièce de référence IdentiRer les codes lettrages à pièces multiples

IdentiRer les codes lettrage à somme non nulle

Cohérence des taux de change appliqués avec la table des taux de change StratiRer les écritures de l1exercice par mois comptable A partir du FEC, totaliser par compte et rapprocher avec la balance générale issue de l1outil comptable (comptabilité générale et comptabilités auxiliaires A partir du FEC, totaliser par code journal et par mois et rapprocher avec les états issus de l1outil comptable A partir du FEC, s1assurer de l1équilibre débit-crédit par code journal et par mois A partir du FEC, rapprocher le journal des a-nouveaux de l1exercice avec les soldes des comptes de bilan recalculés à partir du FEC n-1 UCCErUMUID"UELI ULREOPEOÉMMÉI É" REOPEOÉMMÉI ni-maxi, montants erronés-négatifs-mini-maxi-moyen, données erronées, champs obligatoires vides, etc.) Rapprocher la liste des utilisateurs ayant eu accès à l1application de gestion (ajouts/ suppressions / modiRcations) avec le Rchier des droits utilisateurs IdentiRer les immobilisations dont les informations sont incomplètes / champs non renseignés ou nuls Rechercher des doublons dans les numéros de référence des immobilisations IdentiRer les éléments dont les caractéristiques / informations perma- nentes ont été modiRées par rapport à celles de l1exercice précédent Rapprocher la liste des utilisateurs ayant eu accès à l1application de gestion (ajouts/ suppressions / modiRcations) avec le Rchier des droits utilisateurs IdentiRer les actifs transférés ou acquis auprès de sociétés du groupe tq nage aléatoire stratiRé pour la vériRcation physique ou la vériRcation des acquisitions Analyser les taux de conversion des acquisitions en devise StratiRcation des immobilisations sur la base des valeurs brutes/valeurs nettes à la clôture IdentiRer les soldes négatifs (VB, amortissements, valeurs nettes) IdentiRer les immobilisations dont le montant est nul (VB, Amortissement) A partir du FEC recalculer les totaux des comptes d1immobilisation et les rapprocher avec ceux de la balance générale Rapprocher le Rchier des immobilisations avec les soldes comptables (VB, amortissements économiques, amortissements dérogatoires, aug- mentations, diminutions) Rapprocher les dates de facture, dates de mise en service, date de début des amortissements IdentiRer les immobilisations entièrement amorties et encore en utilisation IdentiRer les entrées et sorties d1immobilisations et recalculer les ré- sultats de cession Calculer l1âge des immobilisations encore en service à partir des dates de factures IdentiRer les immobilisations avec des durées de vie ou des taux d1amor- tissement non conforment avec les principes comptables de la société Comparer les durées d1amortissement des immobilisations par catégorie d1immobilisation (valeurs mini/maxi/moyennes) Comparer le coût réel au coût budgété pour mettre en évidence toute variation importante POV"I ni-maxi, montants erronés-négatifs-mini-maxi-moyen, données erronées, champs obligatoires vides, etc.) IdentiRer les éléments dont les informations sont incomplètes / champs non renseignés ou nulsquotesdbs_dbs50.pdfusesText_50

[PDF] comment faire un bac a graisse

[PDF] comment faire un bilan comptable association

[PDF] comment faire un bilan de séance eps

[PDF] comment faire un bilan fonctionnel ? partir d'un bilan comptable

[PDF] comment faire un bon recouvrement

[PDF] comment faire un bon texte de rap

[PDF] comment faire un bulletin scolaire sur word

[PDF] comment faire un cas pratique en droit

[PDF] comment faire un changement d'adresse ? la banque postale

[PDF] comment faire un commentaire de texte

[PDF] comment faire un compte rendu de réunion

[PDF] comment faire un compte rendu de tp physique

[PDF] comment faire un compte rendu de visite d'entreprise

[PDF] comment faire un corpus

[PDF] comment faire un corpus stmg