La prise en compte de l’audit des systèmes d’information dans la mission du commissaire aux comptes.

InsightsPublications et événementsAvis d'experts

L’audit des systèmes d’infos et la mission du CAC

Dans son approche par les risques, l’audit des systèmes d’information répond à la recherche accrue d’efficacité et de pertinence du commissaire aux comptes, mais aussi à sa volonté d’apporter une valeur ajoutée supplémentaire aux clients.

Depuis de nombreuses années, les systèmes d’information de gestion sont au cœur du développement des entreprises et constituent un facteur clé de leur performance. Désormais, aucune organisation n’imaginerait se développer sans le support essentiel d’applications de gestion des fonctions métier : production, achats, stocks, ventes, comptabilité, trésorerie, etc.

Mais l’entreprise doit apprendre à maîtriser les risques inhérents à la mise en place de systèmes d’information de plus en plus complexes : coûts financiers de projets informatiques interminables, indisponibilité des systèmes d’information susceptible de stopper l’activité de l’entreprise, qualité des données comptables ne garantissant pas la fiabilité des états financiers, mais aussi accès à des informations confidentielles et risques de fraudes.

Les commissaires aux comptes ont intégré cette profonde mutation pour développer un savoir faire en matière d’examen des systèmes d’information adapté aux PME mais aussi aux structures de taille plus importante.

La mise en œuvre d’une approche d’audit informatique permet de connaître les risques théoriques et d’identifier des risques potentiels, mais aussi de détecter les éventuelles erreurs ou fraudes dans les processus de gestion. Les auditeurs ont à leur disposition deux types d’approche : la prise de connaissance du dispositif de contrôle interne et l’analyse de données des processus.

 

Prise de connaissance de l’environnement informatique et du dispositif de contrôle interne

Recenser les applications supports des processus métier permet de mieux comprendre l’enchaînement des processus et leurs relations avec le système d’information, mais aussi d’identifier des risques significatifs : interfaces non contrôlées, processus manuels, applications « obsolètes » ou logiciels sans maintenance adaptée aux besoins de disponibilité de l’entreprise.

En complément, l’étude du dispositif de contrôle interne des applications et de la fonction informatique donne une cartographie des risques sur les axes de vigilance majeurs : Sécurité Physique des salles informatiques, Procédures de sauvegardes des applications et des fichiers de travail, Plan de secours en cas de sinistre, Sécurité des accès aux données de l’entreprise, Procédures du service informatique, Processus de gestion de projets informatiques.

Les missions d’audit des systèmes d’information dans ces domaines permettent très couramment d’identifier de nombreux risques :

  • il n’est pas rare de découvrir une perte potentielle de toutes les données informatiques de l’entreprise par la mise en œuvre d’un processus de sauvegarde non adéquat. Identifier ce risque en amont, et mettre en place un plan d’action adapté peut éviter la survenance du risque comme c’est le cas dans de trop nombreuses entreprises,
  • des failles dans la gestion des accès aux applications et aux fichiers peuvent autoriser de façon incontrôlée la consultation, la modification et la suppression de données confidentielles ou sensibles comme les commandes, les factures et les références bancaires. Dans un monde globalisé fortement concurrentiel, dans un contexte de crise où les tentations sont plus fortes, les fraudes sont aujourd’hui plus courantes et l’actualité ne cesse de nous le rappeler.

 

Analyse de données des processus

La réalisation de contrôles automatisés sur les données des systèmes d’information permet de détecter des erreurs et des fraudes. En effet, la création d’un environnement de contrôle externe aux applications et adapté aux processus métier de l’entreprise modifie radicalement l’approche d’audit des commissaires aux comptes en la rendant plus pertinente et plus précise : les auditeurs peuvent travailler sur l’exhaustivité des données des cycles étudiés sans contrainte de volumétrie, tout en conservant une rapidité des contrôles mis en œuvre. Les domaines de contrôles sont très étendus et dépendent fortement des spécificités « métier » des entreprises et de leur secteur d’activité.

Toutefois, les contrôles suivants sont régulièrement mis en œuvre :

  • identification des schémas d’écritures de fraudes dans le journal des écritures comptables,
  • analyse du processus des stocks : calcul de provisions pour dépréciation des stocks, vérification de l’équation de stock au niveau de chaque article,
  • vérification de l’exhaustivité des facturations aux clients,
  • contrôle du correct chaînage achat afin de vérifier que le montant d’une facture règlée est cohérent avec la commande.

L’utilisation d’outils d’analyse de données dédiés assure l’ »auditabilité » et la traçabilité des contrôles, mais aussi leur automatisation afin de mettre en place un contrôle continu par les données, c'est-à-dire, des contrôles reproductibles et enrichis chaque année.

Ainsi, la mise en œuvre combinée de ces deux approches répond aux attentes du commissaire aux comptes dans sa recherche accrue d’efficacité et de pertinence. En même temps, la prise en compte des systèmes d’information contribue aussi, au renforcement de la valeur ajoutée de la mission d’audit légal auprès des clients.