[PDF] commission audit informatique - guide audit des processus

View - Download commission audit informatique - guide audit des processus

Previous PDF

Next PDF

AUDIT DES

PROCESSUS

A

TSPDRAD OUCITRDNSL

UIDDE EIATSPREOTEACINDSOELPÈTT

RÈTMSTUNUUTRÈTXSNE

CÉFQFÉ:rTT

éPNéSAR

CdiÉ:cBTT

SéÈuu

bÉabTT nSéMIA en gbcBYMlrTT

SP OEA

gbcBYD:robdTT

RÈAn

R:FBFscTT

uSARÈuS

Fscky:bBTT

REÈAÈ

gFÉ"ÀbTT

JPéÈN

D:robdTT

NÈOIPNA-

giBcyocBTT

EMMSDT

DE LA COMMISSION AUDIT INFORMATIQUE DE LA CRCC DE PARIS

Frédéric Burband

Associé, Saint-Honoré Partenaires

président dqhonneur de lqAFAI

À LA RÉDACTION DE CE GUIDE

Florian Abegg

de Consulting du cabinet CTF,

Compagnie des Techniques Financières

aux comptes, Groupe AFIGEC conseil et dqaudit en Système dqInformation audit de données, lutte contre la fraude T Q

XN- ÈAOSOEIATRÈ Tt

T uPERÈ formatisées, collectant et traitant des millions de données. Elle doit intégrer les systèmes dqinformation dans son approche dqaudit aGn de maintenir une qualité et une pertinence de ses contrôles sur les informations Gnancières soumises à sa certiGcation. Lqimpulsion conjuguée des exigences réglementaires et de la normalisation technique (avec notamment le Gchier des écritures comptables, bientôt la facture électronique) accroît actuellement les besoins et exigences en la matière. Cqest pourquoi la CRCC de Paris se mobilise pour apporter le soutien nécessaire à nos cons7urs et confrères visant à les sensibiliser sur les risques et enjeux de la digitalisation des processus de lqentreprise. La Commission Audit Informatique de la CRCC de Paris 7uvre maintenant depuis 3 ans aGn dqacculturer la profession à lqaudit informatique. Elle propose dans ce cadre trois guides visant à rendre accessibles à tous les professionnels la démarche dqaudit des sys- tèmes dqinformations. >AUDIT INFORMATIQUE, TOUS CONCERNÉS raux informatiques (ITGC Information Technology General Controls). Les contrôles généraux informatiques sqappliquent à tous les com- posants, processus et données des systèmes dqune organisation, ou dqun environnement de systèmes. Ils ont pour objectif de veiller au développement et à la mise en 7uvre appropriés des applications, à lqintégrité et sécurité des applications, opérations et données, ainsi que des opérations informatiques. >AUDIT INFORMATIQUES DES PROCESSUS : CONTRÔLES

SPÉCIFIQUES DES APPÉLICATIONS ET PROCESSUS

Technology Application Controls). Ces contrôles visent à sqassurer du respect de la qualité et de la sécurité des données générées ou sup- portées par les applications informatiques métier, en particulier celles qui impactent les Uux Gnanciers. Ils sont par construction spéciGques

à chaque application.

>AUDIT PAR LES DONNÉES EN UÉTILISANT DES OUTILS

INFORMATIQUES

ordinateur (CAATs : Computer-Aided Audit Tools). Il présente une bibliothèque de tests et contrôles possibles dqaudit par les données, qui est implémenté soit dans le cadre de la vériGcation du fonction- nement des processus ou pour réaliser des contrôles dits substantifs basés sur l'exhaustivité d'une population à auditer. dFAGDAdicA

BurbiccFcabÉncA

:éerugXQ:YFicA diAÉliéQ:Qn bréQuoÉicA cFscQXéQ:ecABXuA

ÉlXéXÉkciAdicA

dréénic

ÉliéM:urééigiéQA

ynénuXÉAdFA

GDAdicAEDAdiA

ÉliéQ:Qn

Informatique,

tous concernés "F:diA informatique des processus de tests d"audit de données XIPNLPIETMÈTUSUTÈ OYEMTSDÈA-THTÈ>SDEAÈNTT

MÈ TUIAON,MÈ TSXXMEUSOEC

TÔ aux comptes acquiert une connaissance suIsante de lqentité, notam- ment de son contrôle interne, aGn dqidentiGer et dqévaluer le risque dqanomalies signiGcatives dans les comptes et aGn de concevoir et de mettre en 7uvre des procédures dqaudit permettant de fonder son opinion sur les comptes (NEP 315). Lors de la prise de connaissance de lqentité, notamment de son contrôle interne, eDectuée en application de la norme dqexercice professionnel relative à la connaissance de lqentité et de son environnement et à lqévaluation du risque dqanomalies dans les comptes, et tout au long de son audit, le commissaire aux comptes peut relever des faiblesses dudit contrôle interne qui doivent être communiquées à lqentité (NEP 265). Après avoir pris connaissance de lqentité et évalué le risque dqanomalies signiGcatives dans les comptes, le commissaire aux comptes adapte son approche générale, conçoit et met en 7uvre des procédures dqau- dit lui permettant de fonder son opinion sur les comptes (NEP 330). Être en mesure dqidentiGer et de sqappuyer sur les forces de contrôle interne dqune entité dont les processus sont très informatisés, implique dqévaluer la qualité et lqeDectivité des contrôles applicatifs embarqués dans les diDérents processus de cette entité.

Le terme de -

semble de tâches corrélées ou en interaction qui utilise des éléments dqentrée pour produire un résultat escompté. On décompose ainsi un processus en diDérents sous-ensembles tité tels que le Quote to Cash (de la cotation à lqencaissement), Procure to pay (de lqapprovisionnement au paiement), Compta- bilité/Gnance, Paie, Etc cessus. Pour lqexemple du macro-processus Quote to cash, on identiGera notamment le processus prise de commande, Plani-

Gcation de production, fabrication, -

pondent aux unités qui composent un processus. Pour lqexemple du processus planiGcation, on évoquera ainsi lqactivité contrôle des Uux, gestion et prévision, contrôle des gains et des coûts, - du contrôle des Uux, on évoquera le rapprochement bancaire. meilleure maîtrise des fonctions opérationnelles ainsi ququne Uui- diGcation de la circulation de lqinformation par leur capacité à com- muniquer entre elles. Elles permettent ainsi la traduction de Uux opérationnels en Uux comptables. La gestion commerciale, la gestion des stocks, la gestion de la pro- duction et bien dqautres modules du système dqinformation déversent continuellement des Uux dqécritures comptables rendant marginale la saisie manuelle des écritures comptables. Les comptes annuels prennent ainsi en grande partie leur source dans les systèmes dqinformation. Quelle que soit lqapplication utilisée, les processus eux-mêmes pré- sentent un risque inhérent. Cqest pourquoi nombre dqorganisations associent des contrôles automatisés et manuels pour gérer ces risques dans les applications transactionnelles. Ces contrôles automatisés, généralement qualiGés de contrôles applicatifs sont spéciGques aux processus concernés. iAcFuAA

ÉiAgXubÔn

GrébiBQ:réA

CqPAgXupiQ:éyA

cQuXQny:YFi T D::GU

X:ccigiéQ

,:MuX:créA eXbQFuXQ:ré

OXsu:bXQ:ré

mÉXé:0bXQ:réA murdFbQ:ré mu:ciAdiAA brggXédic T LNPB

ÉigiéQ

GréQuoÉiAA

eXbQFui T

IDTXNu

F2QicAA

diAcXQ:ceXbQ:ré

CiQrFucAA

ÈbÔXéyicAA

CnBXuXQ:ré

T

LSÈUMIP

:ÈMNMLUT T

LDRXINT

T

FUPIÈDM

ÈM:DGRNIÈÉEU

GBTXNÈU

"icQ:réAbrggiub:XÉiA3L RLE "icQ:réAbrggiub:XÉiATGHTRE "icQ:rééX:uiAdliéYF2Qic

GrgBQXs:É:Qn

mX:i comptes peut intervenir dans deux cadres comptes doit sqassurer que les applications garantissent lqintégrité des données entrées tout en se fondant sur lqexhaustivité et lqexactitude des données reçues. Le CAC évalue ainsi le contrôle interne, teste les procédures et sqassure de la qualité du fonctionnement du système dqinformation. En fonction des points forts et points faibles relevés, il ajuste son risque dqaudit. Le CAC, dans sa démarche dqaudit, doit sqassurer de la qualité de la donnée depuis son à input » dans le sys- tème dqinformation jusquqà sa transformation, son extraction et son déversement dans les logiciels avals. Cette évolution de lqinformatisation a comme incidence une inter- connexion entre les Uux de données et une forte volumétrie. Les états Gnanciers sont alimentés par ces Uux dqinformation et conditionnent leur Gabilité. disposer dqun diagnostic approfondi sur lqeIcacité dqun processus informatisé. Ce processus peut être stratégique, complexe ou ancien- nement mis en place aGn de garantir notamment la qualité et la sécurité des données. La mission conGée au commissaire aux comptes permet de donner un avis ou de fournir des éléments dqinformation. Elle peut nécessiter la mise en 7uvre de travaux non requis pour la certiGcation des comptes. Ces avis peuvent être assortis de recom- mandations contribuant à lqamélioration de la qualité et de la sécurité des données de lqentité. Ils sont destinés à lqusage propre de lqentité. Le présent guide peut être utilisé dans les deux contextes décrits ci-dessus.

UIDDÈAOTMÈTUSUT-0SMPÈYOYEMTT

MÈ TUIAON,MÈ TSXXMEUSOEC

TÔ du présent guide qui se présente sous la forme dqun ensemble de Gches couvrant les principaux processus dqune entité. Ces Gches ont pour objectif de guider le commissaire aux comptes dans sa démarche dqaudit en arborant une structure logique et des applicatifs concernés trepris par le commissaire aux comptes applicatifs (sur les données entrées, les traitements de données, et les sorties de données) caractère approprié) piste dqaudit traçabilité).

FICHE 01

FICHE 02

FICHE 03

FICHE 04

FICHE 05

FICHE 06

FICHE 07

Glossaire 148

XN-SDéPMÈT

opérations économiques de lqentreprise retraduite dans les bonnes normes comptables. Les ERP permettent dqautomatiser le traduction des événements de gestion en écritures comptables, laissant place à des saisies manuelles dqécritures comptables plus réduites. Dans le cadre dqun Système dqInformation plus simple avec une appli- cation comptable et des applications métiers dédiées, la comptabilité est plus manuelle. Le CAC aura pour objectif de sqassurer que lqapplication comptable reUète les Uux et opérations de lqentreprise retraduits en termes Gnanciers. Elle reUète ainsi le patrimoine et les performances de lqentreprise.

XNIUÈ P TUIDXOSéMÈ

AUXILIAIRE

FOURNISSEURS

COMPTABILITÉ

AUXILIAIRE

CLIENTS

COMPTABILITÉ

GÉNÉRALE

COMPTABILITÉ GÉNÉRALE

mRTfD,DRÈA

TS4D,DTDCLA

OUSC DEELSCE

GUImRTfD,DRÈA

TS4D,DTDCLAA

G,DL RE

GÉNÉRALE

A

G,8RSCLEAqAÈGCDRSCÉLEA

PlD 3L RTDCLE

"LERDU AA

PLEART4LEAA

LRAPLA,TAR3T

CTmmCUGHLIL RA

GUImRTV"LERDU

CÈGU GD,DTRDU A

fT GTDCL ,LRRCT"L

TmSCLIL RAA

PLEAGUImRLEA

PlTRRL RL

"LERDU AA PLEAA

PL3DELE

"LERDU APLEA

UmÈCTRDU EA

PD3LCELE

PTABILITÉ AUXILIAIRE CLIENTS

mRTfD,DRÈA

TS4D,DTDCLA

OUSC DEELSCE

AUXILIAIRE

CLIENTS

mRTfD,DRÈA "È ÈCT,L "LERDU APLEA

L GTDEELIL RE

"LERDU A

PLEAERUGÂEA

GUImRTf,LE

"LERDU APLEA

GCÈT GLEA

PUSRLSELE

"LERDU APLEA

GCÈT GLEAG,DL REA

ÀPÈ,TDAPLAmTDLIL REô

"LERDU APLEAOTGRSCLEA

ÀÈIDEEDU EAT3UDCEVCTfTDEV

CLIDELEVCDERUSC LEô

"LERDU APLEA ,DIDRLEAPLA

GCÈPDRE

"LERDU APLEA

PU ÈLEAPLA

RTCDODGTRDU

"LERDU APLEA

PU ÈLEA

G,DL RE

PTABILITÉ AUXILIAIRE FOURNISSEURS

COMPTABILITÉ

AUXILIAIRE

FOURNISSEURS

mRTfD,DRÈA

TS4D,DTDCLAA

G,DL RE

GUImRTfD,DRÈA

"È ÈCT,L

3T,UCDETRDU AA

PLEAERUGÂE

"LERDU APLEAA

C|",LIL RE

RCTDRLIL RAPLEAOTGRSCLEVA

TGGUCPAPLACTfTDEAqAA

CDERUSC LEVT3UDCE

"LERDU AA

PLEAERUGÂEAA

GUImRTf,LE

"LERDU APLEAA

PLRRLEAOUSC DEELSCEAA

ÀPÈ,TDAPLAmTDLIL Rô

"LERDU APLEAA

PU ÈLEAA

OUSC DEELSCE

RIAA-È TXÈNDSAÈAOÈÉ

>PLAN DE COMPTES >JOURNAUX D"ÉCRITURE >SCHÉMAS COMPTABLES >RÉFÉRENTIEL CLIENTS >RÉFÉRENTIEL FOURNISSEURS >LISTE DES DEVISES >LISTES DES ENTITÉS JURÉIDIQUES

APPLICATIF

PU ÈLEAPLAfTELAG,DL RE

A

LRAmUERLEAD PD3DPSL,E

A ,TAGUImRTfD,DRÈA"È ÈCT,L acomptes et garanties de paiement

GUIILCGDT,LEAPT EA,TAGUImRTfD,DRÈAG,DL RE

la comptabilité clients

GUIILCGDT,LEAPT EA,TAGUImRTfD,DRÈA

OUSC DEELSCE

la comptabilité fournisseurs

PnlYoXanegYYlYLnskay"gGÀYJlg

Générale

Gestion des données

comptables

Utilisation des clés de comptabilisation.Saisie comptable incorrecte impactant la validité des états Gnanciers.

Comptabilité

Générale

Gestion des données

comptables

Les groupes de comptes sont correcte-

ment assignés à un intervalle de numé- ros de compte.

Comptabilité

Générale

Gestion des données

comptables

Validité des modiGcations de données

comptables. Des modiGcations inappropriées ou non valides apportées aux don- nées comptables pourraient ne pas être détectées.

Comptabilité

Générale

Gestion des données

comptables

DéGnition dqun seuil de tolérance sur les

cours de conversion entrés manuellement. Un taux de conversion incorrect pourrait être utilisé pour une saisie comptable GL, impactant lqintégrité des états Gnanciers.

Comptabilité

Générale

Gestion des données

comptables (plan de comptes)

Restriction des accès à la gestion des

données comptables (plan de comptes). L'accès aux transactions relatives à la gestion des données comptables par des personnes non habilitées peut permettre de contourner les contrôles (automatisés et manuels) en place. Des modiGcations inap- propriées ou non valides pourraient ainsi être apportées aux données comptables. Il existe également un risque de fraude.

Comptabilité

Générale

Comptabilisation

Numérotation automatique des pièces

comptables utilisées pour la comptabi- lité clients, fournisseurs et aux mouve- ments de stock. La numérotation externe des pièces comptables peut être à l'origine d'une discontinuité dans leur séquence de numéros. Cela pourrait nuire à la piste d'audit et augmenter le risque de fraude.

Comptabilité

Générale

Comptabilisation

IdentiGcation des numéros manquants

dans la séquence des numéros de pièces. La présence de numéros manquants dans la séquence des numéros de pièces comptables peut correspondre à un dysfonctionnement du sys- tème ou traduire une fraude. Cela pourrait donc avoir un impact sur les états Gnanciers et être source de questions lors d'un CFI (Contrôle

Fiscal Informatisé).

Comptabilité

Générale

Comptabilisation

VériGcation du paramétrage sur les

écritures négatives.

Possibilité de saisir des écritures comptables négatives.

COMPTABILITÉ GÉNÉRALE

PnlYoXanegYYlYLnskay"gGÀYJlg

Générale

Comptabilisation

VériGcation des contrôles relatifs aux

groupes de tolérances aGn dqinstaurer des limites supérieures pour les opéra- tions comptables et les diDérences de paiement acceptées.

Comptabilisation de transactions non valides.

Comptabilité

Générale

Comptabilisation

Gestion des écarts non soldés dans les

comptes de factures non parvenues (comptes d'attente EM/EF). L'absence d'analyse périodique des comptes de factures non parvenuesquotesdbs_dbs41.pdfusesText_41

[PDF] processus commercial définition

[PDF] procédure de vente pdf

[PDF] exemple de procedure de vente

[PDF] les étapes de la recherche scientifique

[PDF] les étapes de la traduction

[PDF] polymere amorphe ou cristallin

[PDF] plastique amorphe

[PDF] état de lart définition

[PDF] dresser un état de lart

[PDF] état de l'art informatique

[PDF] etat de lart informatique définition

[PDF] mister compta etat de rapprochement

[PDF] etat de rapprochement bancaire exercice corrigé pdf

[PDF] etat de rapprochement bancaire excel

[PDF] etat de rapprochement bancaire excel pdf