Memoire Online - La dématérialisation des dossiers de travail du commissaire aux comptes.

16 BIS RUE JEAN CHATEL
97400 SAINT DENIS
Maître de stage : El Hadj Malik TIAMIOU
Date de soutenance : octobre 2012

La diffusion de ce document est limitée aux responsables du stage. Sa consultation par d'autres personnes est soumise à l'autorisation du cabinet EL HADJ MALIK TIAMIOU.

REMERCIEMENTS

Je tiens à adresser mes remerciements chaleureux et sincères à Monsieur El Hadj Malik TIAMIOU pour avoir:

~ pour le temps précieux qu'il a consacré à m'écouter et à répondre à mes questions sur le métier d'auditeur;

~ pour la formation qu'il m'a dispensée et le temps consacré à la préparation et à l'organisation des missions d'audit;

~ merci enfin pour ses encouragements et sa bienveillance à mon égard ainsi que pour la confiance qu'il m'a accordée en me donnant accès aux différents dossiers de travail et en me permettant d'avoir un contact direct avec la clientèle à l'occasion de mes nombreux déplacements sur le terrain.

Résumé

Cette réflexion porte sur le concept de la qualité de la mission d'audit menée par le commissaire aux comptes. Notre première étape consistera à mettre en perspective de façon synthétique les principaux développements sur le sujet dans la littérature consacrée à l'audit. Cette analyse nous conduira à faire une opposition entre la qualité de l'auditeur et la qualité du processus d'audit. À partir de cette dernière conception qui concilie l'approche académique des préoccupations de la profession, nous tenterons de faire émerger des propositions pour améliorer l'efficience d'un cabinet d'audit. Ainsi, nous verrons dans un second temps comment par la mise en place d'un système de dématérialisation des dossiers de travail de l'auditeur, il est possible d'améliorer la qualité des missions d'audit dans leur ensemble.

Mots clés : qualité d'audit, processus d'audit, système d'information, recherche d'information, indexation

Index

Table des matières

I ATTESTATION DE STAGE 2 II PRÉSENTATION DU LIEU DE STAGE ET DES MIS- SIONS 4 1 LE CABINET EL HADJ MALIK TIAMIOU 5 1.0.1 Une entreprise en nom personnel....................5 2 LES MISSIONS 6
2.1	L'audit des comptes de la société de spectacle les Tulipiers .........		6
	2.1.1	Contexte de la mission .........................	6
	2.1.2	Objectif de la mission .........................	6
	2.1.3	Organisation de la mission .......................	7
2.2	L'audit des comptes de la société MICROSPHÈRE : participation à l'assem-
	blée générale des actionnaires .........................		7
	2.2.1	Contexte de la mission .........................	7
	2.2.2	Objectif de la mission .........................	8
	2.2.3	Déroulement de l'AGO .........................	8
2.3	L'audit des comptes de la société HERMES : première année d'audit légale		9
	2.3.1	Contexte de la mission .........................	9
	2.3.2	Objectif de la mission .........................	9
	2.3.3	L'organisation de la mission ......................	9
		2.3.3.1 Le contrôle des comptes de la société HERMES ......	9
		2.3.3.2 La mise en place du manuel de procédure .........	10
2.4	Audit de Réunion Insertion Sociale ......................		11
	2.4.1	Contexte de la mission .........................	11
	2.4.2	Particularité de la mission .......................	12

	3.2	3.1.3.2 La structure organisationnelle L'évaluation de la qualité intrinsèque : le processus d'audit 3.2.1 La nature des travaux d'audit 3.2.1.1 Les bases techniques de l'auditeur 3.2.1.2 Vers un approche fondée sur le risque 3.2.1.3 La recherche de compétitivité 3.2.1.4 l'adaptation des travaux d'audit à l'entreprise 3.2.2 L'étendu des travaux d'audit 24 25 26 26 26 27 27 28
4	DÉMATÉRIALISER POUR AMÉLIORER LA QUALITÉ DU PRO-
	CESSUS D'AUDIT			29
	4.1	Le système informatique du cabinet EHMT		31
		4.1.1	L'équipement informatique du cabinet	31
		4.1.2	L'organisation du système informatique	32
		4.1.3	Les attentes vis à vis du système informatique	32
		4.1.4	Les difficultés rencontrées par le système d'information	34
			4.1.4.1 Difficultés liées au système informatique	34
			4.1.4.2 Difficultés liées à l'exploitation de l'information	35
	4.2	Proposition d'évolution du système informatique du Cabinet EHMT . . . .		37
		4.2.1	Un changement de système pour plus de sécurité	37
			4.2.1.1 Migration du système Windows XP vers un système Unix	37
			4.2.1.2 Présentation du système UNIX 37
			4.2.1.3 Présentation du système Linux	38
			4.2.1.4 La distribution Ubuntu en remplacement à Windows XP .	39
		4.2.2	Le maintien de Windows XP pour l'utilisation des progiciels d'audit
			et de comptabilité 40
		4.2.3	Améliorer la gestion de la messagerie électronique 40
		4.2.4	Mettre en place la numérisation complète des documents de travail
			dans le cadre du processus d'audit 44
		4.2.5	Mettre en place les outils permettant d'améliorer l'accès à l'infor-
			mation 45
			4.2.5.1 L'indexation du système d'information 46
		4.2.6	Garantir pérennité du système informatique 47
			4.2.6.1 La sauvegarde des applications 48
			4.2.6.2 La sauvegarde des données 50
			Conclusion	52

Table des figures

4.1 Configuration informatique du cabinet EHMT ................ 33 4.2 Arborescence du système Linux ........................ 39 4.3 Exemple d'une machine virtuelle Windows XP sous Ubuntu ........ 41 4.4 Exportation et importation de machine virtuelle ............... 41 4.5 Schéma général de la gestion du courriel ................... 43 4.6 Arborescence d'un dossier client numérisé ................... 44 4.7 Procédure de création des dossiers d'audit .................. 45 4.8 Résultat de requête sur document scanné à l'aide du Toshiba studio 230 . . 47

4.9 Requête sur courriel .............................. 48
4.10 Nouvelle configuration du système informatique dans le cabinet EHMT . . 49

Liste des tableaux

3.2 Répartition du nombre de clients sur le marché japonnais entre les big Five 21 3.3 Répartition des clients entre les Big-5 au Japon en fonction de leur poids

de capitalisation de marché .......................... 21
3.4 Nombre de critiques, nombre de clients, taille moyenne des clients et nombre

d'entreprises en difficulté en Angleterre de 1987 à 1994 ........... 22 3.5 Chiffre d'affaires par activité de quelques réseaux d'audit en France . . . . 24

Première partie

ATTESTATION DE STAGE

Je soussigné, M. Malik El HADJ TIAMIOU, expert comptable, 16bis Rue Jean Chatel à SAINT-DENIS, atteste par la présente que Monsieur VEFOUR Jean Frédéric, demeurant 11, chemin des Agrumes à Bois de Nèfles SAINTE-CLOTILDE (97 490) a effectué son stage de formation en audit (Décret n°2006-1706 du 22 décembre 2006 relatif au DSCG) au sein de mon cabinet du 17 mai 2010 au 17 août 2010.

Inscrit auprès du Tableau de l'Ordre des Experts Comptables de La Réunion
Siret : 431 734 540 00013 -- APE : 741C
Membre d'une association agréée par l'administration fiscale
Acceptant à ce titre le règlement des chèques libellés à son nom

Deuxième partie

PRÉSENTATION DU LIEU DE

STAGE ET DES MISSIONS

Chapitre 1

LE CABINET EL HADJ MALIK

TIAMIOU1

1.0.1 Une entreprise en nom personnel.

M. TIAMIOU est expert-comptable depuis 1995. Il exerce son activité sous la forme libérale. A l'origine il a effectué des études scientifiques (un bac D). Suivi d'étude universitaire dans le domaine de l'informatique (programmation en cobol, c, pascal...). A l'époque les études en informatique abordaient aussi les sciences de gestion. Il appréciait particulièrement ces disciplines. En côtoyant des étudiants spécialisés dans le domaine de l'expertise comptable, il s'est peu à peu orienté vers cette spécialité. C'est en faisant son service militaire qu'il obtient le probatoire du diplôme d'étude comptable supérieur (DECS).

De 1990 à 1996 il est directeur financier à SORETRANS un transitaire, filiale du groupe BOLORÉ.

Il effectue les deux premières années de stage d'expertise comptable à Nice chez un expert-comptable indépendant. La dernière année est effectuée à la Réunion, dans les années 90, chez un expert-comptable indépendant, M. Michel DUSSEAUX.

Ce que M. TIAMIOU apprécie avant tout dans son activité professionnelle c'est son indépendance et le sentiment de liberté qui accompagne l'activité libérale. Sa devise est : Science, Indépendance, Conscience ^2.

80% des activités du cabinet sont orientées vers l'activité de tenu et de révision des comptes des entreprises contre 20% pour les activités de révision légale. Ces proportions sont généralement celles que l'on observe dans la plupart des cabinets comptables de la Réunion.

Les objectifs de M. TIAMIOU sont de garder une certaine proximité avec la clientèle, être réactif à ses besoins et rechercher des relations de qualité et de confiance.

~ des sociétés, prestataires de service en général, ou, parfois, des professions libérales; Dans l'activité d'audit elle est essentiellement composée :

M. TIAMIOU est membre de la compagnie régionale des commissaires aux comptes. Il est inscrit comme commissaire aux comptes auprès de la cours d'appel de Sainte-Denis.

Chapitre 2

LES MISSIONS

2.1 L'audit des comptes de la société de spectacle les Tulipiers

2.1.1 Contexte de la mission

La compagnie de spectacle les Tulipiers est une Association (loi 1901) . Elle a été mise en place par une collectivité locale il y a une quinzaine d'années. Son objectif est de produire ou de collaborer à la production de spectacle culturel (pièces de théâtre, concerts, festivals, ...). L'association fonctionne essentiellement à l'aide de subventions publiques versées par les collectivités locales ² ainsi que par l'État ³. Toutefois, elle perçoit aussi des subventions d'autres partenaires (SACEM, entreprises privées). Le total des subventions perçues en provenance de fonds publics est supérieur à 600 000 €. En 2009 son total actif brut s'élève à 350 000 € et son total produit d'exploitation 650 000 €.

L'association compte un effectif permanent de 9 personnes. Elle embauche aussi un personnel temporaire qualifié intermittent du spectacle; en 2009 l'effectif de ce type de personnel est d'environ 120 personnes.

2.1.2 Objectif de la mission

D'après l'article L. 612-4 du Code de commerce, toute association ayant reçu annuellement, des autorités administratives ou des établissements publics à caractère industriel et commercial, une ou plusieurs subventions, dont le montant global dépasse un seuil fixé par décret, doit établir des comptes annuels comprenant un bilan, un compte de résultat et une annexe. Ces documents comptables doivent être certifiés par un commissaire aux comptes. Le décret 2001-379 fixe le seuil de subventions entraînant l'obligation de nomination d'un commissaire aux comptes à 150 000 € (Journal Officiel de la Republique Francaise, 2002). Le cabinet EHMT est commissaire aux comptes de la compagnie de spectacle les Tulipiers depuis 2003. Les comptes certifiés en 2010 sont ceux de 2009, il s'agissait donc de la septième mission.

2.1.3 Organisation de la mission

La comptabilité de la compagnie de spectacle les Tulipiers est tenu par un expert-comptable, cabinet d'expertise OI. Conformément aux Normes d'Exercice Professionnel, le cabinet EHMT s'appuie sur ces travaux pour formuler son opinion d'audit (CNCC, 2010). La durée de la mission est de 30 heures conformément au barème légal (Code de commerce art. R823-12).

Pour commencer cette mission j'ai récupéré le dossier de travail réalisé par la société d'expertise comptable directement dans ses locaux et j'en ai fait une copie. J'ai pu observer à cette occasion l'attitude de collaboration et l'esprit confraternel qui animent les échanges entre les professionnels.

~ de vérifier l'actif réel en attachant une attention particulière aux subventions, à la caisse, aux états de rapprochement bancaire de fin d'exercice comptable, aux factures d'immobilisations ainsi qu'à l'existence de ces derniers dans les locaux de l'association, des conditions d'utilisation ...

~ de vérifier le respect de la bonne application du principe de séparation des exercices comptables,

~ avoir un entretien avec les responsables de l'administration de l'association en particulier avec la personne chargée de tenir la comptabilité.

Pour réaliser la mission je devais procéder à des diligences à l'aide de fiche de travail. Les fiches pouvaient être complétées manuellement ou directement sur fichier informatique. J'ai adopté cette dernière solution en complétant les feuilles de travail sur tableur au format excel. Point très important pendant l'exercice de la mission : tout noter sur la fiche de travail, dater et mettre le nom de l'intervenant.

A l'issue de la mission un point a attiré mon attention, il s'agissait d'une facture comptabilisée en décembre 2009 pour une somme supérieure à 15 000 € environ. Elle faisait référence à diverses fournitures pour spectacle et à un investissement dans un équipement de théâtre pour la somme de 4 150 €. Le jour de l'entretien le 12/05/2010, les fournitures et les équipements n'étaient pas livrés. Cette constatation a donné lieu à une régularisation de fin d'exercice, il s'agissait d'une commande dont la facture était parvenue à l'association mais qui n'avait pas été livrée.

Le 9 juin 2010 j'ai participé à l'assemblée générale de l'association avec le commissaire aux comptes, M. TIAMIOU, le conseil d'administration et l'assemblée des adhérents.

2.2 L'audit des comptes de la société MICROSPHÈRE: participation à l'assemblée générale des actionnaires

2.2.1 Contexte de la mission

La société MICROPHÈRE une Société par Action Simplifiée (SAS). À l'origine une EURL spécialisée dans la production de système d'Échange de Données Informatisées (EDI), elle se transforme en SAS en 2006 afin soutenir son développement. À cette occasion, un nouvel associé entre dans son capital, la société SDRUN qui est une société de développement régional. A l'époque le cabinet EHMT intervient comme commissaire à la transformation. La société SDRUN entre dans le capital de la SAS MICROSPHÈRE à hauteur de 30%. En outre, elle souscrit à un prêt participatif dans la société pour environ 40 000€. Ce prêt est rémunéré à hauteur de 4.5% de l'EBE pour la partie variable.

2.2.2 Objectif de la mission

Pour cette société je n'ai pas participé directement à la mission d'audit. En fait l'ensemble de la procédure d'audit, telle que j'ai pu la vivre pour la compagnie de spectacle les Tulipiers, avait déjà été réalisée par M. TIAMIOU.

Contrairement à l'assemblée de la mission précédente, celle de la SAS MICROSPHÈRE était un petit comité . Elle se composait du président de la société, du représentant de la SDRUN, du commissaire aux comptes et de moi-même. Le président de la société qui en est aussi le directeur général, est passionné par son activité, m'avait prévenu M. TIAMIOU.

de l'information, vous n'hésiterez pas à poser des questions si vous en avez, cela permettra d'éclairer l'assemblée.

2.2.3 Déroulement de l'AGO

Le président ouvre la séance et lit l'ordre du jour. Il présente ensuite le bilan de l'année écoulée. Comme prévu les débats sont assez techniques. Le président parle de la solution MICROGSM qui est selon lui le moteur de la société. La société s'est, par ailleurs, lancée dans le développement d'un nouveau produit basé sur php/mysql . Le gros du chiffre d'affaires est constitué par les prestations de service et par les ventes de licence. Toutefois, la société vend aussi du matériel : quelques PDA et des PC. La société fait moins de développement embarqué sur PDA, l'avenir est dans le développement de serveurs d'applications accessibles par PDA ou ultra portable.

Comme convenu après que le président ait présenté son bilan de l'année, je participe à son questionnement.

- Nous avons quelques serveurs à la Réunion, me dit-il, mais nous en avons pas mal dans des datacenters aussi.

Je lui demande ensuite ce qu'il en est de la sécurité informatique des données que la société détient sur ses serveurs, en particulier je souhaite savoir quelles sont les garanties apportées aux clients, si la société est convenablement assurée.

Nous avons prouvé notre savoir-faire répond le président. D'ailleurs, dès l'origine la base de clientèle de la société était des grands comptes (dans la grande distribution, communauté portuaire, ...). Cette caractéristique fait de nous un partenaire fiable. Techniquement, les comptes clients font l'objet de sauvegardes multiples, en des endroits différents, nous permettant de nous prémunir contre toute interruption de service en cas de panne de l'un de nos serveurs. Bien entendu la société est couverte par une assurance responsabilité.

A cette occasion le représentant de la SDRUN demande ce qui explique la baisse de la prime d'assurance pour l'année 2009. Le président explique que face à la baisse d'activité enregistrée en 2009, compte tenu de la crise économique, les niveaux de prime d'assurance qu'avait connu la société ne se justifiaient plus. Devant le refus de l'ancien assureur de prendre en compte cette nouvelle situation, il avait dû se tourner vers un nouvel assureur.

Enfin le président présente les perspectives d'avenir de la société, selon lui, le temps est au nomadisme à la dématérialisation. Il en veux pour preuve le succès croissant rencontré par l'Iphone de la société Apple ou encore le succès annoncé de l'Ipad de la même firme. L'un des projets que souhaite développer la société dans les prochaines années, c'est la mise en place d'un système de gestion des immobilisations en temps réel ...

Je demande alors au président s'il pense que le débit de la connexion internet à la Réunion peut être un frein aux activités de la société. Il reconnaît que c'est un problème

majeur mais qu'il garde espoir d'une amélioration significative dans les prochaines années compte tenu de la volonté politique de faire progresser cette question à la Réunion.

2.3 L'audit des comptes de la société HERMES : première année d'audit légale

2.3.1 Contexte de la mission

La société HERMES est spécialisée dans la commercialisation de médicaments. Il ne s'agit pas d'une société, mais de trois sociétés anonymes qui ont un actionnaire commun. Ce dernier dont les comptes de l'une de ses sociétés sont tenus par une société d'expertise comptable, que nous appellerons PwC , a fait appel au cabinet EHMT, sous le conseil du président de PwC. Ce dernier connaît bien M. TIAMIOU qui a travaillé pour lui pendant de nombreuses années en tant que collaborateur. Les comptes des trois sociétés sont tenus par PwC.

2.3.2 Objectif de la mission

d'une part, participer avec M. TIAMIOU à l'audit des comptes de la société dans les locaux du cabinet d'expertise comptable, chargé de la production des comptes annuels, et dans les locaux de l'entreprise,

d'autre part, concernant le cabinet EHMT, collaborer avec le commissaire aux comptes à l'élaboration d'un manuel de procédure.

L'audit de cette société était particulière par rapport aux deux précédentes missions, puisqu'il s'agissait de la première mission du cabinet EHMT dans cette entreprise.

En outre, pendant cette période, M. TIAMIOU a été informé qu'il allait faire l'objet d'un contrôle par la compagnie régionale des commissaires aux comptes. Les commissaires aux comptes sont soumis, en effet, dans leur activité professionnelle, à des contrôles périodiques organisés selon le cadre, les orientations et les modalités définis par le Haut Conseil. Selon Art. L. 821-9. Les contrôles prévus par l'article L. 821-7 (· b et c) sont effectués par la Compagnie nationale ou les Compagnies régionales (CRCC).

Ils sont contrôlés tous les trois ans lorsqu'ils exercent des fonctions de contrôle légal des comptes auprès d'entités mentionnées à l'article R.821-26 du code de commerce, dénommées entités d'intérêt public (EIP) et tous les six ans lorsqu'ils n'exercent pas ces fonctions auprès de ces entités (H3C, 2008).

2.3.3 L'organisation de la mission

2.3.3.1 Le contrôle des comptes de la société HERMES

La première étape a consisté à mettre en place le dossier de travail qui se compose du dossier permanent et du dossier annuel. Pour chaque client, création d'un dossier de travail est nécessaire. Le dossier permanent contient des informations dont la portée dépasse le cadre de l'exercice comptable. Le dossier annuel se compose des informations concernant l'exercice écoulé et qui fait l'objet de l'audit.

La première étape a consisté à se rendre chez le comptable de la société HERMES, le cabinet PwC, et à photocopier l'ensemble des documents nécessaires à la constitution du

dossier de travail pour chaque client. Actes notarié, statuts de société, baux commerciaux, contrat de crédit-bail, contrat de prêt, ... À partir de cette documentation abondante constitution des dossiers : des classeurs de 600 à 800 pages constitués d'une douzaine de rubriques décomposées elles-mêmes en sous-rubriques (cf figure 2.1) ?. Avant même la réflexion d'audit proprement parlé, je me suis rendu compte à l'occasion de cette mission que le travail de l'audit exige une longue préparation avant l'exécution de chaque mission. Cette préparation est facilitée heureusement par l'existence d'une documentation très importante, des CD-ROM et logiciel qui sont autant d'outils permettant au professionnel de ne rater aucune étape importante. En définitif la mission d'audit a un caractère très procédural. Il s'agit de mettre en oeuvre des diligences et des normes professionnelles.

2.3.3.2 La mise en place du manuel de procédure

Tout en mettant en place le contrôle légal de la société HERMES, l'objectif de M. TIAMIOU était de tester sur ces dernières les méthodes et procédures de travail du cabinet qu'il allait devoir présenter aux contrôleurs de la CRCC.

Dans la perspective du contrôle de la CRCC, M. TIAMIOU a souhaité mettre en place un manuel de procédure du cabinet EHMT. En effet, d'après l'Article R821-24 du code de commerce, les contrôles et inspections prévus à l'article L. 821-7 (sous le contrôle du H3C) sont effectués sur pièces ou sur place.

Le commissaire aux comptes est tenu de fournir tous documents, pièces et explications sur les dossiers et documents établis en application de l'article R. 823-10 (liste des personnes auditées), sur les conditions d'exécution de sa mission au sein des personnes et entités contrôlées, sur l'organisation de son cabinet, ainsi que sur l'activité globale de celui-ci.

Il justifie en outre des diligences accomplies en vue de garantir le respect des règles

relatives à son indépendance, conformément aux dispositions de l'article L. 822-11 (aucun intérêt auprès de la personne auditée) et du code de déontologie, et fournit tous renseignements permettant d'apprécier le respect des prescriptions de l'article L. 822-11.

La conception d'un tel document laisse finalement peu de place à la créativité de ces concepteurs. L'objectif final étant de respecter les prescriptions du code de commerce. Pour réaliser ce travail M. TIAMIOU s'est équipé d'un progiciel le guide d'exercice professionnel édition SID PRESSE. Pour mettre en place le manuel de procédure il s'agissait de compléter, pour chaque mission, un ensemble de rubrique correspondant aux différents articles du code de commerce. À l'issue de ce travail, le logiciel sortait le manuel de procédure avec les diligences effectuées par le commissaire aux comptes à l'occasion de ses missions.

~ rubrique suivie des mandats : tableau à remplir (titulaires et suppléances);

~ Indépendance (art. 821-24) : lettre d'acceptation, date d'acceptation, date assem-

2.4.1 Contexte de la mission

Réunion Insertion Sociale (RIS) est une association créée en 2005, par une collectivité locale, suite à l'épidémie de chikungunya. Son objectif était de recruter des personnes, de les former et de les envoyer sur le terrain afin lutter contre la prolifération des moustiques vecteurs de la maladie. Les actions sur le terrain prenaient deux formes :

~ d'une part la sensibilisation des citoyens sur les mesures à prendre afin de limiter la multiplication des moustiques;

~ d'autre part l'intervention sur le terrain à l'aide de moyens antivectoriels.

Par la suite avec la fin de l'épidémie de chikungunya les activités de l'association ont été pérennisées. Aujourd'hui ses objectifs sont :

~ Organiser et assurer le développement d'activités dans le domaine de la gestion durable et de la valorisation des espaces naturels de la Réunion à forte valeur écologique et paysagère;

~ Participer à la coordination des réseaux d'intervenants dans les milieux naturels;

~ Conserver, gérer, aménager et valoriser les espaces naturels et les sentiers, notamment ceux à vocation touristique (dans le cadre des chantiers ONF)

~ Promouvoir l'insertion des personnes en situation précaire par des activités au service de l'environnement.

Le total bilan de l'association est supérieur à 2 millions d'euros et le total des produits d'exploitation est supérieur à 12 millions d'euros. Ces sommes sont versées par la collectivité locale sous forme de subvention d'exploitation. L'association RIS embauche un effectif de 60 personnes permanents et par ailleurs ces effectifs de travailleurs temporaires se situent entre 600 et 800 personnes par an.

Le cabinet EHMT est commissaire aux comptes de l'association depuis sa création en 2005. La mission que j'ai vécu à l'occasion du stage avait pour objectif de certifier les comptes de l'exercice 2009.

2.4.2 Particularité de la mission

Cette mission était la plus importante du cabinet avec un volume horaire de 120 heures. Dans son déroulement elle était assez proche de ce que j'avais vécu pour les autres missions. Toutefois, j'ai eu l'occasion (pendant son déroulement) de mettre en oeuvre les technologies liées à l'utilisation des bases de données. En effet, l'association avait travaillé sur différents chantiers pendant l'année 2009. L'objectif du commissaire aux comptes était d'évaluer le bon équilibre budgétaire de ces différents chantiers. Pour réaliser cette vérification la personne chargée de tenir la comptabilité nous avait fourni un grand livre général exporté au format tableur. A partir de ce fichier, en me basant sur les comptes de charges et de produits, mon objectif était de sortir un résultat par type de mission menée par l'association. Au moment de la comptabilisation des charges et des produits, le comptable faisait une ventilation entre différents centres (chaque centre correspondant à un type de mission). J'ai donc ouvert le fichier dans un tableur et j'ai supprimé les colonnes non utiles à notre travail. J'ai conservé les colonnes date, libellé, code centre, débit, crédit et solde ⁶. Dans un second temps j'ai exporté les données au format texte csv. Le fichier csv est un format informatique ouvert représentant des données tabulaires sous forme de valeurs séparées par des virgules ⁷. J'ai ensuite récupéré ces données dans le SGBDR SQLITE. SQLite est une bibliothèque écrite en C qui propose un moteur de base de données relationnelles accessible par le langage SQL ^8.

J'ai utilisé en particulier sqlite mangager qui est un module complémentaire du navigateur Firefox offrant une interface pour gérer les données d'une base de données SQLite. Une fois réalisée ces différentes manipulations, nous disposions d'une base de données interrogeable en langage sql. Grâce à une instruction de type group by sur le code centre, nous avons pu dès lors extraire les informations voulues par le commissaire aux comptes (Cf Figure 2.2).

Troisième partie

PARTIE STRUCTURÉE

Introduction

Les scandales récents sur les marchés financiers, une fois de plus, ont fait resurgir la question de la responsabilité, voire de l'irresponsabilité, de certains dirigeants de sociétés. Pour beaucoup d'observateurs cette situation serait due au fait qu'il existe des divergences entre les intérêts de la firme et ceux de ses dirigeants.

JENSEN & MECKLING font partis des premiers à avoir mis en évidence cette réalité inhérente à la séparation entre Pouvoir et Propriété dans la firme (Jensen and Meckling, 1976). Leur perception de la firme repose ici sur la contribution de R. Coase. Selon ce dernier, en effet, la firme est une alternative aux échanges libres sur le marché lorsque les coûts de transaction rendent trop coûteux ces échanges.

où le coût d'organisation d'une transaction devient égal au coût de son déploiement sur le marché » (Coase, 1992).

Pour JENSEN et MECKLING lorsque la firme est dirigée par son propriétaire l'intérêt de ce dernier se confond avec celui de la firme. Dans ce cas il prendrait des décisions qui maximiseraient son utilité et celui de la firme. Il convient d'observer que la notion d'utilité fait référence aux aspects pécuniaires recherchés par le dirigeant (les bénéfices), mais aussi à des aspects non-pécuniaires tels que la recherche du pouvoir, des beaux bureaux, de la notoriété, ...

Lorsque le dirigeant de la firme n'en est pas le propriétaire, en revanche, il apparaît des divergences entre ses centres d'intérêts et ceux de la firme, en particulier, avec ceux des autres parties prenantes. Ces divergences d'intérêts font naître des coûts d'agence.

agent économique - l'agent"- influence le bien être d'un autre -"le principal"»

dependent auditors would be engaged by management to testify to the accuracy and correctness of such reports ».

Comment, en effet, éviter les comportements opportunistes de la part des dirigeants? Comment les inciter, par l'établissement de procédures de contrôle et de règles de gou-vernance, à agir dans un sens qui soit conforme à celui des propriétaires de la firme?

Les propositions sont multiples. Pour JENSEN et MECKLING, en particulier, elles passent par une diffusion transparente de l'information comptable et financière de la firme. Les états financiers produits par la comptabilité constituent, en effet, une source d'information privilégiée pour les investisseurs. Mais cette diffusion à elle seule ne suffit pas. Les règles de comptabilité offrent une certaine flexibilité aux dirigeants qui peuvent faire évoluer le résultat de la firme de manière discrétionnaire en fonction de leurs objectifs personnels. C'est pourquoi, afin de garantir l'exactitude de l'information comptable, sa justesse, sa conformité aux lois et aux règlements, la nomination d'auditeur professionnel, compétent et indépendant constitue une règle de bonne gouvernance.

Comme le souligne MANITA et CHEMANGUI l'audit est un mécanisme de gouver-nance dont le but est de réduire l'asymétrie d'information entre les gestionnaires et les actionnaires ou les autres parties contractantes (MANITA and CHEMANGUI, 2006). Selon CHARREAUX la gourvernance est l'ensemble des mécanismes (dont la confiance)

qui déterminent la latitude discrétionnaire des dirigeants (ou latitude managériale) (Char-reaux, 1998).

L'audit couvre un champ très vaste dont il convient d'en préciser les contours. En effet, l'audit fait référence à plusieurs acceptions. D'après CASTA et MIKOL il est possible de décliner la notion d'audit selon trois critères (Casta and Mikol, 1999).

On distingue l'audit interne de l'audit externe; le premier est mis en oeuvre par un service fonctionnel de l'entreprise rattaché à la direction générale. Le second est mené par un personnel extérieur de la firme.

On fait ensuite la distinction entre la mission d'audit légal, dont le cadre et l'étendue sont fixés par la loi et les règlements, et l'audit contractuel dont les objectifs sont librement déterminés par le mandataire.

Enfin on oppose l'audit financier (conduisant à la certification des comptes) à l'audit de gestion (visant à formuler un jugement sur l'action des dirigeants et sur leurs résultats), et à l'audit opérationnel qui cherche à améliorer les performances de l'entité. Dans la suite de notre réflexion l'utilisation du mot audit fera référence à la mission d'audit légale sauf mention contraire.

En France la mission d'audit qualifiée de mission de certification relève de la responsabilité du commissaire aux comptes. Le commissaire aux comptes a une fonction qui se décline en missions. Celles-ci reposent sur une obligation légale, celle de garantir la fiabilité de l'information financière et comptable produite par les entreprises. Ce faisant, il concourt à la sécurité des relations commerciales, financières et boursières ^10.

Malgré toutes ces sécurités en France, comme à l'étranger, les qualités de l'audit financier sont remises en cause depuis plusieurs décennies. En effet, les scandales financiers à répétition, les états comptables irréguliers de certaines sociétés cotées et l'effondrement boursier [...] ont créé un véritable traumatisme au plan international (CARASSUS and Gregório, 2003).

Plus récemment la chute de la banque d'investissement Lehman Brother, le 15 septembre 2008, a plongé les marchés boursiers dans une crise grave. Le monde n'échappa que de peu pendant cette semaine noire, à la banqueroute du système bancaire mondial, grâce à l'action concertée des banques centrales et des gouvernements (CRESPELLE, 2009) ^11.

On peut se demander avec N. CRESPELLE, comment nous en sommes arrivés là, malgré les règles de bonne gouvernance et les triples AAA . En sciences de gestion, la recherche des causes de la crise a débuté. Elle sera sans doute longue (Farber and Ginsburgh, 2010). Sur le banc des accusés les cabinets d'audit figurent en bonne place.

En 2000 la société Enron cotait 90 ?, elles étaient présentes dans la liste des 500 plus grosses fortunes mondiales et elles annonçaient, pour cette année là, un revenu de 101 milliards de dollar. Le cabinet d'audit Arthur Andersen ¹²avait certifié les comptes sans déceler la moindre irrégularité dans le système d'information comptable. La suite nous la connaissons, fin 2001 les titres de Enron valent 0.3 ? et la société fut déclarée en faillite entraînant dans sa chute la disparition du cabinet Arthur Andersen (Farber and Ginsburgh, 2010).

Dans la crise de 2008, concernant le secteur bancaire, que penser des prestations du cabinet Ernst & Young dont le montant des honoraires s'élevait à 28 millions de dollars l'année qui a précédé la faillite de la banque d'investissement Lehman Brother (PIGE and BON MICHEL, 2008).

Dans cette affaire, une fois de plus, les investigations judiciaires semblent conduire à une incrimination du grand cabinet d'audit :

The Examiner finds that sufficient evidence exists to support at least three colorable claims that could be asserted against Ernst & Young relating to Lehman's Repo 105 activities and reporting : (1) negligence in connection with the investigation into whistleblower Matthew Lee's claims concerning $50 billion in Repo 105 activities [...] (2) at least with respect to Lehman's first quarter and second quarter 2008 Forms 10-Q, if not with respect to earlier filings, negligence by failing to take proper action when Ernst & Young was made aware that the financial information may be materially misleading [...] (ANTON, 2010)

Selon Georges Ugeux (blo, 2010), il est courant pour les banques de vendre des obligations avec une clause de rachat : c'est le repurchase agreement qui se pratique entre banques, mais aussi avec les banques centrales. Le Repo 105 est un instrument financier de ce type, utilisé par Lehman Brother, pour reléguer hors bilan des dettes et améliorer ainsi sa situation financière. ANTON ¹³rapporte que Lehman avait pour habitude de pratiquer ces retraitements quelques jours avant le contrôle des comptes. Repo 105 permettait à la banque d'affaires d'améliorer ainsi ses ratios financiers.

Au final il est fait grief au cabinet Ernst & Young, d'une part, d'avoir été négligent dans les investigations sur les dénonciations de Matthew Lee et sur la correcte information à donner au comité d'audit et au management de Lehman Brothers; d'autre part, d'avoir pour le premier et deuxième trimestre 2008, voire avant, été négligent pour avoir échoué à agir convenablement lorsque Ernst & Young a été au courant de l'impact sur les états financiers du Repo 105.

Tous ces scandales nous montrent que l'audit à lui seul ne garantit pas nécessairement la qualité des états financiers.

Il apparaît dès lors un réel besoin d'évaluation de la qualité d'audit externe. D'après Makram and Pige (2004) il y a deux manières d'appréhender la qualité de l'audit :

~ soit en se fondant sur la perception du marché, c'est l'approche traditionnelle (section 3.1)

~ soit en se fondant sur l'analyse du processus d'audit, ce sont les nouvelles approches théoriques (section 3.2)

A l'issue de ce travail de réflexion, s'appuyant sur une analyse de la littérature sur l'audit, nous verrons dans un quatrième chapitre, pourquoi le système d'information est au coeur de la problématique de la qualité d'audit et comment, à partir d'un cas concret, la situation de travail observé dans le cabinet EHMT, il est possible en modifiant la configuration du système informatique du cabinet, de contribuer à l'amélioration du système d'information dans son ensemble :

~ Après avoir décrit dans une première partie le système informatique du cabinet EHMT (section 4.1),

~ nous verrons dans une deuxième partie comment il est possible de modifier la configuration de ce système afin de contribuer à l'amélioration du processus d'audit (section 4.2)

Chapitre 3

L'ÉVALUATION DE LA QUALITÉ

DANS LA LITTÉRATURE SUR

L'AUDIT

3.1 L'évaluation de l'auditeur

Pour comprendre l'évolution des recherches en audit il convient au préalable d'observer les caractéristiques du marché de l'audit. Avant d'aborder les démarches théoriques qui donnent une approche de la qualité d'un auditeur.

3.1.1 L'influence du marché de l'audit

Le marché de l'audit aujourd'hui est un marché très concentré. Cette caractéristique majeure du marché de l'audit trouve son origine dans l'évolution du commerce international. Face à l'internationalisation des échanges et à la mondialisation de l'économie, les cabinets d'audit ont dû s'adapter. Pour rester compétitif elles ont dû notamment se restructurer. Pour suivre les firmes multinationales et il a fallu ainsi développer de nouvelles compétences, faire des économies d'échelle, standardiser les méthodes de travail (Casta and Mikol, 1999). La constitution de réseau est un facteur clé de succès dans la réussite des firmes multinationales. Il nécessite d'importants investissements humains et financiers. Dans le domaine de l'audit cette concentration a permis d'atteindre un niveau élevé d'homogénéité en matière de méthode de travail et de qualité de prestation.

Certaines institutions comme les bailleurs de fonds internationaux où la SEC subordonnent le référencement en tant que cabinet d'audit de référence à l'appartenance à un big N . C'est l'expression consacrée pour désigner les N plus gros cabinets d'audit, celles qui sont en situation d'oligopole et qui contrôlent le marché.

A partir des années 70 la concentration du marché de l'audit est déjà fort important; au États-Unis on constate à l'époque que 98% des sociétés cotées à la bourse de New-York sont auditées par seulement quelques grands cabinets homologués par la SEC. Dans le courant des années 80 le marché est dominé par les big height (Cf Table A.1). A la suite d'une vague de fusion des réseaux internationaux la fin des années 80 laisse la place

aux big six. (Cf Table A.2) ¹. Dans les années 90 on passe aux Big five. Enfin, dans le classement 2007 le cercle des très grands cabinets se réduit encore avec la disparition en 2001 d'Arthur Andersen; on parle désormais des Big Four².

L'évolution de la structure du marché français est identique aux tendances observées au niveau international (Cf Table A.4 à A.6). Nous sommes donc en présence d'un marché très concentré. On a assisté à une montée en puissance progressive du marché Français. Selon Casta et Mikol (1999) cette évolution est due à deux phénomènes : d'une part un nombre de plus en plus important de sociétés soumis à l'obligation de faire certifier leur compte et d'autre part l'ouverture croissante des entreprises françaises au commerce international

Pendant longtemps, les cabinets d'audit français se sont cantonnés au marché des entreprises cotées en bourse en France. Puis avec l'ouverture internationale, les groupes français se sont associés aux grands groupes anglo-saxon.

Cependant, le phénomène de la concentration des cabinets d'audit ne peut pas s'expliquer essentiellement par la mondialisation (Pige, 2003). Le marché de l'audit est un domaine particulier, marqué par une très forte asymétrie d'information entre l'auditeur et l'audité.

3.1.2 La définition de la qualité d'audit

that a given auditor will both (a) discover a breach in the client's accounting system, and (b) report the breach (DeAngelo, 1981).

Ainsi, selon l'auteure la qualité de l'audit est l'évaluation par le marché de la probabilité jointe que l'auditeur va tout à la fois découvrir une défaillance dans le système d'information comptable du client et mentionner cette défaillance.

Cette définition propose une double approche de la qualité d'audit. Une mission d'audit sera jugée de qualité à deux conditions :

3.1.2.1 La compétence de l'auditeur

En général on considère qu'un auditeur est compétent s'il est en mesure de déceler les irrégularités comptables dans les états financiers de l'audité.

Pour que cette condition soit réunie, les auditeurs doivent posséder des connaissances, une formation, une qualification et une expérience suffisantes pour mener à bien un audit financier. Cependant, le fait de traiter seulement de la compétence de l'auditeur externe est souvent illusoire puisque les travaux d'audit sont souvent exercés par des cabinets d'audit composés de plusieurs individus, ou groupes d'individus, dont la compétence est fonction d'autres paramètres tels que l'organisation et la structure du cabinet.

En effet, la compétence d'un cabinet d'audit dépend de la qualité de l'ensemble des individus et équipes qui le composent. Ainsi, la connaissance précise de la compétence de

chaque individu permettra de constituer une équipe adaptée à une intervention d'audit spécifique, en fonction des connaissances requises pour la résolution de problèmes particuliers associés à celle-ci. La notion de compétence, dans le contexte d'audit externe, doit donc être prise en compte sur trois niveaux :

Pour fournir une prestation de qualité la compétence des auditeurs ne suffit pas, ils doivent aussi être indépendant.

3.1.2.2 L'indépendance de l'auditeur

Un auditeur est indépendant s'il est capable d'affirmer son opinion dans son rapport quelles que soient les pressions qu'il pourrait subir de la part des préparateurs des comptes et des dirigeants des sociétés auditées(PRAT, 2003). L'indépendance constitue une composante essentielle de la qualité de l'audit, puisqu'elle garantit que les travaux et les conclusions formulées par les auditeurs ne sont pas entachés de subjectivité, de manipulations ou d'omissions volontaires suite à des connivences avec l'une des parties contractantes au sein de l'entreprise.

On considère en général que l'indépendance va se situer à trois niveaux (Makram and Pige, 2004) :

~ L'indépendance dans la programmation des travaux d'audit, c'est-à-dire que l'auditeur doit décider seul du programme d'audit à mettre en place.

~ L'indépendance d'investigation, ce qui nécessite une liberté de collecte et d'évaluation des données jugées significatives par l'auditeur sans aucune interférence ou manipulation par d'autres acteurs.

~ L'indépendance dans le reporting , qui stipule une liberté de communication des résultats des travaux de l'auditeur et de son opinion.

Le déroulement des missions, et la situation très concurrentielle de l'activité d'audit, peuvent inciter les auditeurs à tempérer leur indépendance réelle. L'indépendance de l'auditeur dépend donc, in fine, de son niveau de probité face aux pressions imposées par ses clients ou relatives à son activité.

3.1.3 Les critères d'évaluation de la qualité perçue

Les critères d'évaluation de l'audit externe peuvent être décomposés en deux catégories :

~ Les indicateurs qui cherchent à déterminer la qualité perçue par le marché de l'audit, tels que la réputation et la taille du cabinet d'audit.

~ Les indicateurs qui cherchent à déterminer la qualité intrinsèque de l'audit externe. Cette approche consiste à évaluer la structure organisationnelle du cabinet en tant que condition interne de la qualité de la prestation donnée par celui-ci.

3.1.3.1 La qualité perçue

On considère généralement que l'indépendance de l'auditeur est étroitement lié aux deux points suivants :

La réputation Au moment du choix d'un auditeur externe les firmes peuvent se différencier de leurs concurrents par le choix de la qualité de l'auditeur. Tous les auditeurs n'ont pas la même signature, la même réputation. La réputation devient alors un argument de choix, un signal de qualité. Plus ce signal est important plus, l'auditeur sera en mesure de vendre ses prestations à un prix élevé (Fodil et al., 2007). De nombreuses études tentent à démontrer qu'il existe une corrélation entre la réputation de l'auditeur et les variables d'agence.

Ainsi pour préserver sa réputation, source de revenus importants, les grands auditeurs seraient incités à produire des rapport d'audit de qualité d'un niveau supérieur à ceux des petites structures.

On distingue généralement les cabinets faisant parti d'un réseau mondial (les Big-Four) des petits cabinets n'appartenant pas à de tel réseau (les non Big-four).

En fait, l'hypothèse de la réputation s'inspire de la théorie du signal. En effet, lorsque plusieurs détenteurs d'information privée sont en concurrence, la partie la mieux informée doit envoyer un message crédible à la partie sous-informée afin de la convaincre de la qualité de sa prestation (Le Duff et al., 1999) ^4.

Les firmes du Big-four sont donc plus crédibles que les cabinets non Big-four. Selon Lennox (1999) on constate que les marchés financiers sanctionnent les entreprises qui remplacent un auditeur Big-four par un non Big-four.

Pour McCracken (2003), les grandes firmes d'audit dépensent des sommes d'argent considérables à court terme pour défendre leur réputation. Elle observe qu'en cas de litige même les entités disposant de moyens financiers importants, leur permettant, en principe, de se défendre convenablement dans un procès, préfèrent raccourcir les délais des litiges et trouver une fin rapide au conflit par la négociation.

D'après Chaney and Philipich (2002), à long terme, la perte de réputation, entraîne une diminution des capacités de la firme d'audit à conquérir de nouvelle clientèle et à conserver sa clientèle actuelle.

Skinner and Srinivasan (2009) ont étudié la chute du cabinet d'audit ChuoAoyama au Japon. Cette société d'audit est affiliée au groupe PricewaterhouseCoopers (PwC). Les Big-N sont présents au Japon (Cf. Table 3.1) ⁵. En mai 2006, l'agence de contrôle japon-naise, Financial Services Agency (FSA) a suspendu le cabinet d'audit ChuoAoyama de toutes ces opérations sur le marché pendant deux mois. Cette décision inédite faisait suite à l'implication de l'auditeur dans une gigantesque fraude comptable impliquant la société Kanebo Ltd., une grosse société dans les cosmétiques.

Selon les auteurs, durant cet événement, la société PwC n'a cessé de prendre des mesures pour défendre sa réputation non pas seulement au Japon mais aussi au niveau mondial. Allant de l'envoi de spécialiste américain et britannique au Japon au début de la crise à son retrait pur et simple du Japon en 2006.

Plus généralement, on constate que les grandes firmes sont très sensibles à la réputation de leur auditeur. Ainsi, dès que les premières rumeurs de fraude, ChuoAoyama, a perdu sa clientèle. Les Tableaux 3.2 et 3.3 nous montrent l'impact des rumeurs de fraude sur la clientèle de ChuoAoyama; dès 2006 la quasi totalité de la clientèle l'a quitté pour rejoindre un concurrent ⁶. En outre, les auteurs montrent que la probabilité de changer d'auditeur est plus importante dans les grandes firmes ayant un fort market-to-book ratios; en effet, ce type d'entreprise, qui est davantage concernée par les coûts d'agence, est plus demandeuse d'audit de grande qualité (Cf Table 3.3), elles veulent envoyer des signaux forts aux investisseurs sur les marchés.

TABLE 3.2 Répartition du nombre de clients sur le marché japonnais entre les big Five

Pour les partisans de la théorie de la réputation, les contentieux en cas de contestation du rapport d'audit de l'auditeur sont des signes forts qu'il faut éviter. En conséquence, moins un cabinet d'audit est sujet à la contestation des ses rapports, plus son opinion d'audit est de qualité, plus sa réputation est grande.

La domination des Big-four sur l'ensemble des grands marchés de la planète semble plaider en faveur de la théorie de la réputation.

Pourtant, selon Lennox, l'hypothèse de la réputation n'est pas confirmée par les études empiriques. Ainsi, contrairement aux prédictions de cette hypothèse depuis des décennies, on constate que les contentieux à l'encontre des Big-four ont considérablement augmenté.

Cette situation prouve donc que la réputation n'est pas l'élément majeur qui détermine le choix des entreprises lorsqu'elles doivent désigner un auditeur légal.

quality audits and offer greater credibility to clients' financial statements than

TABLE 3.3 Répartition des clients entre les Big-5 au Japon en fonction de leur poids de capitalisation de marché

TABLE 3.4 Nombre de critiques, nombre de clients, taille moyenne des clients et nombre d'entreprises en difficulté en Angleterre de 1987 à 1994

Selon (Pige, 2003) même si la taille n'est pas en soi un indicateur de compétence, il n'en demeure pas moins une variable estimative de l'indépendance de l'auditeur et donc de la qualité de l'audit.

Pour les partisans de cette hypothèse, les grandes firmes d'audit auraient beaucoup plus à perdre que les petites; ce qui les inciterait à adopter une attitude plus conforme aux intérêts des investisseurs. Ils sont plus incités à produire des rapport de qualité en raison de l'importance des litiges auxquels ils doivent faire face en cas d'erreur. Plus un auditeur est de taille importante plus il risque de faire face à un contentieux important (Dye, 1993).

Contrairement aux affirmations de l'hypothèse de la réputation, l'hypothèse de la taille considère qu'il y a une corrélation positive entre la taille de l'auditeur et le nombre de contentieux dont-il a à faire face.

Les cabinets de grande taille sont plus aptes à faire face au coût d'un audit de qualité. Ils ont la surface financière leur permettant de faire face aux investissements nécessaires.

Ils disposent de moyens humains et matériels importants et ils développent des systèmes de surveillance mutuelle très robustes pour limiter les problèmes d'agence.

Lennox (1999) a étudié toutes les publications ⁷concernant les sociétés cotées du Royaume Unis de 1987 à 1994. La table 3.4⁸synthétise les critiques, le nombre de clients, la taille moyenne et le nombre d'échecs par société d'audit. On constate que le rapport des auditeurs sont remis en cause lorsqu'ils n'ont pas su prévenir une faillite ou alors en cas de fusion lorsque les acquéreurs considèrent qu'il y a une surévaluation des comptes et qu'ils ont trop payé la transaction. Par ailleurs, contrairement aux prédictions de l'hypothèse de la réputation, on constate que les critiques à l'encontre des auditeurs ne se traduisent pas par une baisse de clientèle ou par une diminution de leurs honoraires. Ce qui signifierait, d'après Lennox, que la réputation n'explique pas la supériorité des grands auditeurs.

Cette étude examine les effets de la critique des rapports d'audit sur la demande d'audit et les relation entre la taille de l'auditeur et le nombre de contentieux. Pour l'auteur, tout semble conclure que l'hypothèse de la taille de l'auditeur a un pouvoir explicatif plus important que l'hypothèse de la réputation dans la motivation du choix d'un auditeur par un client. Malgré leur plus grande fiabilité les grands cabinets sont davantage sujet à contentieux de la part de leur client. Cette conclusion est contraire à celle de l'hypothèse de la réputation.

D'après Lennox les clients font les choix des grands cabinets car il savent que ces derniers seront en mesure de faire face aux coûts des poursuites judiciaire.

Plusieurs autres études ont présenté la taille du cabinet comme une garantie implicite de la qualité des travaux d'audit réalisés. Selon DeAngelo (1981), les cabinets de grande taille, disposant d'un portefeuille clients important et diversifié, seront moins vulnérables aux pressions d'un client particulier. En fait, l'auditeur sait qu'il risque une perte plus importante de son revenu si ses manipulations sont découvertes et révélées dans le marché de l'audit.

Les Big-four disposent d'un portefeuille client diversifié qui leur permette de ne pas dépendre d'un client particulier pour l'obtention de leurs honoraires, par conséquent ils sont moins dépendant que les non Big-four lors de la formulation de leur opinion d'audit. Ainsi, selon certains auteurs, l'information concernant les honoraires permet d'apprécier la relative liberté dont peut disposer l'auditeur au moment de la rédaction de son rapport d'audit. Les honoraires de vérification représentent le coût économique de la mission d'audit. Ce coût varie avec la taille et la complexité de l'entité soumise à vérification ainsi que le risque qu'elle représente.

Certains auteurs estiment de l'utilisation des montants d'honoraires en valeur absolue constitue un critère d'analyse de l'indépendance pertinent. En effet, les montants d'honoraires permettent d'évaluer le poids des honoraires perçus par l'auditeur par rapport à son chiffre d'affaires et donc sa dépendance économique vis à vis de son client. Le risque de perdre une fraction d'honoraires importante est supposé diminuer l'indépendance de l'auditeur. A l'inverse plus ce dernier dispose d'une clientèle large et varié, plus l'on pourra présumer de son indépendance vis à vis de l'audité.

Les cabinets d'audit ne font pas toujours que de l'audit légal des comptes. Compte tenu de la technicité de la profession elles exercent aussi des activités annexes. Ces missions annexes aux activités de contrôle sont des activités supports (Pige, 2003). Comme on peut le voir avec la table 3.5 ⁹ces activités occupent une place plus ou moins importante selon les cabinets d'audit en France .

Certains auteurs utilisent le ratio des honoraires de non-audit sur le total des hono-

TABLE 3.5 Chiffre d'affaires par activité de quelques réseaux d'audit en France

raires comme indicateur de la capacité des honoraires de non-audit à diminuer l'indépendance. Quand le ratio augmente, les auditeurs sont plus susceptibles de compromettre leur indépendance.

Les honoraires d'audit, et les honoraires de non-audit permettent de mesurer la dépendance économique d'un auditeur par rapport à un client donné.

Les honoraires des missions de non-audit permettent également d'évaluer si la proportion et la magnitude de ces missions sont de nature à obérer l'indépendance de l'opinion émise sur les comptes faisant l'objet de l'audit légal car ils sont supposés entraîner une perte d'impartialité et d'objectivité (Audousset-Coulier, 2009).

3.1.3.2 La structure organisationnelle

La qualité des travaux d'audit fournit par le cabinet va dépendre de l'investissement de ses membres mais aussi de l'organisation du travail, de la répartition des tâches entre ses membres. Pour Mintzberg toute activité humaine organisée doit répondre à deux exigences fondamentales et contradictoires : la division du travail entre les différentes tâches à accomplir et la coordination de ces tâches pour l'accomplissement du travail. Parmi les différentes configurations structurelles définies par l'auteur, il classe les activités d'audit dans la bureaucratie professionnelle.

On trouve la bureaucratie professionnelle dans les universités, les hôpitaux, les systèmes d'éducation, les cabinets d'expertise comptable, [les cabinets d'audit], [...] (Mintzberg, 1982)

Les cabinets de'audit se caractérisent par une structure hiérarchisée où chaque grade a, non seulement des attributions spécifiques et déterminées dans le cadre de la réalisation technique des missions d'audit, mais aussi des comportements et des modes de pensée qui traduisent une socialisation progressive. Dans l'évaluation de la qualité de l'auditeur une importance particulière sera accordée au système de surveillance mutuelle au sein du cabinet. Un certain nombre de travaux de recherche ont cherché à mettre en évidence le fait qu'il existait une corrélation entre l'organisation structurelle du cabinet et la qualité des missions menées chez l'audité (Kaplan et al., 1990).

Conclusion partielle

De nombreuses études ont montré que les deux caractéristiques principales de la qualité de l'audit, que sont la compétence et l'indépendance, étaient, dans les faits, soumises à des pressions très fortes.

Comme le souligne PRAT (2003) la profession d'audit est à la fois monopolistique et auto réglementée. Or, il existe, comme dans toute activité humaine, le risque que les professionnels comptables abusent de leur monopole et privilégient avant tout leur propre intérêt lorsqu'ils sont en situation conflictuelle avec un client.

Selon Makram and Pige (2004) l'évaluation de la compétence peut être sujet à la sélection adverse. Cette situation est due à l'asymétrie d'information qui existe entre l'auditeur et l'audité. Ce dernier a en effet du mal à percevoir les compétences réelles de l'auditeur. Par ailleurs, il n'est pas en mesure d'apprécier si ce dernier met tout en oeuvre pour parvenir à un rapport de bonne qualité.

La concurrence au sein de la profession d'audit étant de plus en plus vive, l'intérêt personnel de l'auditeur peut primer sur la mission de service public qu'il doit réaliser mettant ainsi à mal l'hypothèse de l'indépendance des professionnels. Le problème de l'indépendance de l'auditeur, et de la difficulté à le rester, proviennent de la position spécifique de l'auditeur. Il est, en effet, au centre d'une relation d'agence peu commune. Il est nommé par les actionnaires, sur proposition des dirigeants de la société qu'il devra contrôler, afin de garantir les intérêts de tous les utilisateurs de l'information financière.

Il apparaît que cet examen externe de la mission d'audit n'est pas suffisant. Les échecs en matière d'audit dont nous avons parlé au début de notre discussion nous le prouve bien. Pour faire progresser la discipline de l'audit de plus en plus d'auteurs s'intéressent au processus d'audit proprement dite afin de faire émerger les règles de nature à faire progresser la qualité d'audit.

3.2 L'évaluation de la qualité intrinsèque : le processus d'audit

Ainsi, l'approche de la qualité de l'audit que nous avons examiné jusqu'à présent se contente d'étudier la qualité de l'auditeur sans se préoccuper véritablement de la mission d'audit proprement dite. Cette dernière reste selon MANITA and CHEMANGUI (2006) une boite noire considérée comme inaccessible compte tenu de la complexité de la mission. La majorité des études normatives et expérimentales sur la qualité d'audit se sont contentées d'extrapoler la qualité de l'audit par la qualité de l'auditeur . Ce choix a été souvent motivé par la difficulté d'observabilité du processus d'audit.

Mais le manque de réalisme, le caractère simpliste et les limites conceptuelles de cette approche traditionnelle à conduit de plus en plus d'auteurs à s'intéresser à nature du processus d'audit afin d'y déceler les éléments permettant d'améliorer l'appréciation de la mission d'audit.

En 1987, d'après le Treadway Commission, l'organisation de contrôles qualité de l'auditeur par ses pairs est une mesure indispensable à l'amélioration de la qualité d'audit (AICPA, 1987).

La directive 2006/43/CE relative aux contrôles légaux des comptes annuels et des comptes consolidés stipule que des inspections régulières sont un bon moyen d'assurer au contrôle légal des comptes une qualité constamment élevée .

Il apparaît donc qu'il est indispensable de soumettre les contrôleurs légaux des comptes et les cabinets d'audit à un système d'assurance qualité qui soit organisé de façon à être indépendant des entités contrôlées (Europeenne, 2006).

On constate que l'importance de notre questionnement dépasse le cadre académique pour trouver son fondement sur le plan pratique. Ainsi, de nouvelles prérogatives de contrôle sont accordées à des organisations indépendantes. Aux USA, Ces nouvelles dispositions trouvent leur application à travers la loi Sarban Oxley, en France, la loi sur les nouvelles régulations économiques ou encore la loi de sécurité financière ont donné naissance au H3C. L'objectif de ces nouvelles législations sont de mettre en place des procédures de contrôle du travail de l'auditeur.

Une telle mission ne peut se faire sans le développement d'une approche d'évaluation directe de la qualité des travaux d'audit. Il s'agit d'apprécier la nature des travaux d'audit réalisée.

3.2.1 La nature des travaux d'audit

Les travaux d'audit se caractérisent par leur technicité, la prise en compte du risque et son caractère contingent à l'entreprise auditée.

Pendant longtemps l'activité d'auditeur légal a été considérée comme une activité de vérification exhaustive des enregistrements comptables(Casta and Mikol, 1999). Par la suite, les praticiens ont progressivement développé une approche structurée de l'audit.

Un système est un ensemble d'éléments liés entre eux et formant un tout organisé. De l'interaction des parties émergent des propriétés nouvelles, de nature interactive ou globale, que les parties ne possèdent pas en tant que telles. La transformation d'un élément agit sur les autres et entraîne une modification du système tout entier (Le Duff et al., 1999) ^10.

Le système est un outil de modélisation permettant de représenter et d'analyser des complexes d'éléments caractérisés par leur nombre élevé et un réseau de relations imbriquées.

Cette évolution conduit l'auditeur à privilégier les études de fonctionnement, c'est-à-dire à analyser davantage les flux d'information et le système de contrôle interne que les enregistrements comptables.

Ces approches font aujourd'hui référence à des outils de base qui font partie de la panoplie de l'auditeur :

En outre, cette approche moderne a intégré, dès les années 50, une perception du risque issue de la théorie statistique de la décision.

Selon Casta and Mikol (1999) la méthodologie a, dès cette époque, été profondément marquée par la décomposition du risque. Du risque d'audit (risque qu'il subsiste une erreur significative dans les comptes annuels) on en vient à une multitudes de risque élémentaires :

Dans une logique d'analyse du risque des instruments spécifiques vont être mis en oeuvre. Ainsi, on parle du seuil de signification (ou seuil de matérialité) qui représente le niveau au-dessous duquel les erreurs ou risques d'erreurs relevés ne sont pas de nature à remettre en cause la régularité et la sincérité des états financiers sur lesquels l'auditeur est amené à porter une opinion.

On a aussi élaboré le concept de niveau de confiance qui permet d'identifier les zones de risques.

Nous vivons dans une économie caractérisée par la complexité et l'interdépendance, dès lors les auditeurs externes doivent élargir leurs champs d'investigation pour atteindre un audit intégrant la dimension stratégique de l'entreprise. Cette démarche implique une analyse approfondie du risque inhérents aux caractéristiques de l'entreprise. Elle est devenue l'une des exigences majeures des utilisateurs de l'information financière et des rapports d'audit associés.

Plus récemment avec la croissance de la compétition entre les cabinets d'audit, ces derniers ont cherché à améliorer leur productivité. L'usage de l'outil informatique à de ce point de vue apporté des progrès considérables. Ainsi, les auditeurs utilisent dorénavant :

Par l'usage de ces nouveaux procédés les auditeurs cherchent un arbitrage optimal entre le risque et le coût. Le but ultime étant l'allègement de leur programme de travail tout en améliorant leur capacité de détection des zones de risque.

Dans ce contexte, les nouvelles méthodes s'inscrivent dans une démarche qui cherche à construire un modèle d'évaluation de la qualité d'audit, axé sur la mesure du niveau d'adaptabilité de l'audit aux caractéristiques de l'entreprise et aux zones de risques inhérentes. Il ne s'agit plus d'apprécier les qualités de l'auditeur, mais bien d'étudier le processus de travail mis en oeuvre par ce dernier afin de déterminer si ce processus est de nature à permettre la mise en lumière des défaillances et des insuffisances des états financiers.

La manière dont l'auditeur va mettre en oeuvre le processus d'audit, en particulier, son aptitude choisir le coût de production optimal des inputs, nommé effort (ou heures d'audit) et son aptitude à sélectionner les technologies auxquelles il va recourir, va directement déterminer sa capacité à découvrir les erreurs dans les documents de synthèse. (Sirois, 2009)

Pour mettre en oeuvre des travaux d'audit efficace l'auditeur doit disposer d'une base de connaissance suffisante. Il doit en fonction de l'entreprise utiliser les outils appropriés, mettre en pratique les diligences qui s'imposent. Dans sa pratique de l'audit, l'auditeur va devoir choisir entre l'application d'une technique de contrôle plutôt qu'une autre. Ce choix sera spécifique à chaque entreprise. Une technique de contrôle sera jugée efficace si elle est capable, en tenant compte de son pouvoir de détection et d'explication, de résoudre le problème auquel l'entreprise est confrontée.

L'auditeur devra donc s'interroger en permanence sur l'adéquation des techniques de contrôle aux problèmes rencontrés. Mesurer le degré d'adaptabilité des travaux d'audit, c'est évaluer si les techniques et moyens de contrôle mis en place par les auditeurs permettront de détecter et d'expliquer les dysfonctionnements éventuellement existants au niveau de l'entreprise.

Compte tenu de toutes ces considérations, l'auditeur doit être un professionnel de haut niveau doté d'une solide expérience professionnelle (Europeenne, 2006).

3.2.2 L'étendu des travaux d'audit

~ Sur différentes fonctions de l'entreprise : aspects organisationnels, informationnels, financiers;

~ Sur plusieurs niveaux de l'organisation : contrôle des relations internes, des relations dirigeants-actionnaires, des relations dirigeants-créanciers, des relations avec les organismes dotés d'un pouvoir de réglementation et de contrôle (l'État, les organismes de prévoyance sociale, les autorités des marchés financiers), etc.

~ Et en tenant compte du degré d'importance des différentes fonctions ou des relations entre les acteurs.

Ainsi, l'évaluation de l'adaptabilité de l'audit doit passer nécessairement par une prise en compte de l'ensemble de ses problèmes. Ceci suppose l'analyse détaillée des travaux d'audit pour savoir s'ils ont permis un contrôle adéquat des zones de risques de l'entreprise. Il ne s'agit donc pas d'une évaluation basée sur un seul critère mais il est question de recenser l'ensemble des travaux et des diligences effectuées dans le cadre d'une mission d'audit et de voir si cette démarche de contrôle coïncide avec les besoins de contrôles tels que définis par les spécificités de l'entreprise et selon les priorités qui s'imposent.

Chapitre 4

DÉMATÉRIALISER POUR

AMÉLIORER LA QUALITÉ DU

PROCESSUS D'AUDIT

[...] Et il n'y avait plus qu'à élire les deux commissaires censeurs, chargés de présenter à l'assemblée un rapport sur le bilan et de contrôler ainsi les comptes fournis par les administrateurs fonction délicate autant qu'inutile, pour laquelle Saccard avait désigné un sieur Rousseau et un sieur Lavignière, le premier complètement inféodé au second, celui-ci grand, blond, très poli, approuvant toujours, dévoré de l'envie d'entrer plus tard dans le conseil, lorsqu'on serait content de ses services.[...](Zola, 1891)

Comme nous le montre cet extrait de l'argent d'E. ZOLA, les doutes quant à la pertinence des travaux des commissaires aux comptes ne date pas de notre époque contemporaine. Dans ce roman qui pour nombre d'observateurs fait allusion au scandale de Panama au XIX siècle (ANZola, 2008), c'est non sans humour que l'auteur déclare que la fonction de commissaire aux comptes, quoi que complexe, est inutile. Comme nous le rappelle Christine FOURNES DATTIN, les commissaires censeurs sont devenus des commissaires aux comptes; ce sont aujourd'hui des professionnels indépendants et compétents (DATTIN and du Tertre, 2010). D'après le Haut Conseil du commissariat aux comptes, le commissaire aux comptes est un rouage essentiel dans la recherche de l'amélioration du fonctionnement des marchés (H3C, 2008). Nous sommes loin de l'image caricaturale décrite par Zola.

Mon stage au cabinet EHMT m'a donné l'opportunité de rencontrer une discipline qui, il est vrai, reste complexe, et ce notamment en raison de son caractère réglementaire. Mais au delà de cet aspect j'ai pu voir des professionnels respectant une éthique, soucieux de mener à bien leur mission avec un souci constant de l'amélioration de la qualité de leur travail.

A l'occasion de mes déplacements sur le terrain je discutais souvent avec les personnes que je rencontrais. La discussion ne portait pas obligatoirement sur la comptabilité ou sur l'audit. L'audit n'est pas seulement un métier du chiffre, c'est aussi un métier de communication.

- Notre mission est souvent mal comprise, me disait M. TIAMIOU, nous avons un rôle important à jouer dans l'information de la clientèle.

Prendre contact, rassurer les personnes, instaurer un climat de confiance. Tous ces aspects contribuent au bon déroulement de la mission dans son ensemble.

Lors de l'une de nos visites à la société d'expertise PwC, c'est ainsi que nous avons pu discuter avec l'un des comptables du cabinet. Nous nous trouvions au sous-sol du

bâtiment dans une grande salle d'environ 100 m². Il y avait quelques postes de travail. Les murs du local étaient tous équipés d'étagères remplis de classeurs. C'était les archives du cabinet. Nous étions entourés de classeurs!

- Nous ne savons plus où mettre nos archives, disait le comptable, chaque année, nous sommes confrontés à un problème de place. De plus les clients refusent souvent de reprendre leurs vieux dossiers lorsque nous leur demandons de les récupérer. Les archives représentent un coût pour le cabinet.

- Je suis confronté au même problème, disait M. TIAMIOU, mais avec moins de place.

J'avais constaté effectivement au cours des précédentes missions les volumineux classeurs de travail qui accompagnaient la mission d'audit. Ainsi pour la compagnie des spectacles les Tulipiers le dossiers de travail pour l'année 2009 était un épais classeur d'environ 800 pages! La société HERMES le nombre de classeur était de trois pour le même volume de feuilles. Il est vrai que l'audit la société HERMES portait sur trois entités.

D'après la NEP-230, intitulée Documentation de l'audit des comptes , le commissaire aux comptes constitue pour chaque entité qu'il contrôle un dossier contenant la documentation de l'audit des comptes. Cette obligation résulte des dispositions de l'article R. 823-10 du code de commerce. Le dossier est conservé dans son intégralité durant la durée légale de conservation de dix ans.(CNCC, 2010)

Comme nous l'avons vu précédemment ¹ le commissaire aux comptes est tenu en cas de contrôle périodique de mettre ses documents de travail à disposition du contrôleur.

Plus généralement il convient de rappeler que la mission du commissaire aux comptes est définie par la loi et porte principalement sur la certification des comptes. Cette certification consiste en l'émission d'une opinion sur les états financiers préparés par l'entreprise. Pour mener à bien ses travaux, le commissaire aux comptes doit appliquer les normes d'exercice professionnel (NEP). Ces normes retracent la démarche d'audit que le commissaire aux comptes va retenir pour lui permettre de certifier les comptes.

D'après les cahiers de l'académie (lacademie.info, 2008) toutes les missions s'accompagnent d'une obligation générale de conseil et d'information. Le défaut de conseil est donc constitutif d'une faute pouvant engager la responsabilité des professionnels et justifiant l'extension des cas de mises en cause. Un manquement au devoir de conseil résulte généralement d'un défaut d'information ou de renseignement traduit par une opportunité non signalée entraînant pour le client une perte de chance. Dans la majorité des cas, les mises en cause sont la conséquence d'une absence de mise en garde de la part du professionnel, notamment dans les cas où un dysfonctionnement est constaté dans l'entreprise et n'est pas signalé aux dirigeants.

L'Ordre des Experts-Comptables de Paris Ile de France et la Compagnie des Commissaires aux comptes estiment que les cas de mise en cause du fait d'une Erreur relative à la certification des comptes représentent pour les années 2004, 2005 et 2006 respectivement 12%, 8% et 7% des cas et 22%, 10% et 19% du coût total des sinistres. A noter que le coût moyen du sinistre s'élève dans ces cas à 120 000 euros environ sur les trois années citées (lacademie.info, 2008).

Ces quelques chiffres clés renforcent l'idée de la nécessité pour le commissaire aux comptes de se prémunir contre tout risque de mise en cause.

Il apparaît que l'aptitude de l'auditeur à organiser ses documents, à les stocker et à les ressortir en lieu et temps opportun constitue une compétence clé. S'il devait faillir en ce domaine ce n'est pas moins que la qualité de ses missions d'audit qui serait remis en question par les contrôleurs missionnés par le H3C.

Pendant la réalisation de ses travaux, le CAC doit mettre en oeuvre les moyens lui permettant de sécuriser ses travaux et de constituer des éléments de preuve en cas de mise

en cause de sa responsabilité. Il doit mettre en place un système d'information de qualité. Le terme système d'information a fait l'objet de multiples définitions que nous pouvons synthétiser de la façon suivante : Le système d'information est un système de traitement informatisé qui permet :

~ la restitution de données ou de résultats, sous différentes formes, fiables et objectifs. Il ne convient de distinguer le système d'information du système informatique qui désigne les outils employés pour traiter les informations à un moment donné (lacademie.info, 2008) ^2.

La qualité du système d'information est donc un enjeu important dans le processus d'audit. Comme le souligne le cahier de l'académie (2008), le système d'information améliore efficacité, efficience, confidentialité, intégrité, disponibilité, conformité et fiabilité.

Les objectifs d'un bon système d'information [..] [sont de] maîtriser l'information, ne pas perdre de temps, savoir ce que l'on a à faire, produire les informations rapidement et ne pas avoir à tout retraiter manuellement, communiquer avec ses clients, répondre aux sollicitations dans des temps courts

A l'occasion de mon stage je me suis donc intéressé plus particulièrement à la question de l'amélioration du processus d'audit. Amélioration dans le but d'être efficace et donc de mieux répondre aux attentes de la clientèle dans le cadre de la mission mais aussi amélioration dans le but de se conformer davantage aux prescriptions du H3C.

La discussion à laquelle j'avais participé chez PwC ainsi que les observations et questionnements ultérieur auprès de M. TIAMIOU, m'ont conduit à formuler la problématique suivante :

Peut-on améliorer le processus d'audit en améliorant l'adéquation du système informatique ?

Je commencerai mon exposé par la présentation du système informatique du cabinet EHMT, nous verrons ainsi quelle était la configuration matériel, l'organisation, l'objectif du système.

Dans une deuxième partie je ferai des propositions qui pourraient contribuer à améliorer le processus d'audit.

4.1 Le système informatique du cabinet EHMT

Le cabinet EHMT est un petit cabinet se situant dans un immeuble situé au centre de Saint-Denis rue Jean Chatel. Le bureau est une local d'environ 50 m²situé au première étage du bâtiment. Une partie des murs du bureau est équipé d'armoires à portes coulissantes remplies de dossiers de travail (classeurs de différentes couleurs).

4.1.1 L'équipement informatique du cabinet

Le cabinet est équipé de 3 ordinateurs de type PC, d'un routeur qui gère l'accès à internet (il s'agit du modem ADSL fourni par le fournisseur d'accès), d'une infrastructure réseau de bonne qualité (les goulottes et le câblage sont récents), d'un photocopieur

toshiba studio 230, d'un disque externe USB d'une capacité de 2 téra-octets, un commutateur, d'un switch-écran, de deux écrans plats (cf Figure 4.1) ?. Toutes les prises du cabinet sont ondulées.

4.1.2 L'organisation du système informatique

Les PC 1 & 2, équipés du système d'exploitation windows XP, sont les postes de travail de M. TIAMIOU. Ils sont configurés quasiment de la même manière. Toutefois l'un des postes est une ancienne machine. Ces deux machines sont très importantes dans le travail quotidien. La plus récente est surtout utilisée avec les progiciels d'audit et d'expertise comptable ainsi qu'avec les logiciels bureautiques (Microsoft Word, Excel, ...). La seconde machine est elle utilisée pour naviguer sur le web et pour consulter la messagerie à l'aide de Microsoft outlook.

Le PC 3 est équipé d'un système d'exploitation de type UNIX probablement une distribution Linux. C'est un serveur de données pour les deux autres machines. En fait, les machines 1 et 2 ne contiennent que les applications nécessaires au fonctionnement du cabinet alors que la machine 3 est le lieu de stockage des données que ce soit en expertise ou en commissariat aux comptes.

Pour communiquer avec les machine 1 & 2 la machine 3 est équipé d'un serveur SAMBA.

SAMBA est un ensemble de programmes qui permettent à des stations fonctionnant sous des systèmes divers : Windows 3.11, Windows 9x, Windows Nt, OS/2, Mac.... de connecter à un serveur Linux. Le serveur Linux est en mesure de se conduire comme un serveur de fichiers capables d'offrir les services habituels sur un réseau : partage de fichiers et de répertoires, partage d'imprimantes, respect des comptes utilisateurs gestion des permissions d'accès, exécution de scripts de connexion personnalisés...

Le PC 3 est aussi une machine de sauvegarde puisque elle est équipée d'un RAID. En informatique, le mot RAID désigne les techniques permettant de répartir des données sur plusieurs disques durs afin d'améliorer soit la tolérance aux pannes, soit la sécurité, soit les performances de l'ensemble, ou une répartition de tout cela.

Le terme RAID est apparu en 1987 avec (Patterson et al., 1988) de l'université de Berkeley dans un article nommé A Case for Redundant Arrays of Inexpensive Disks (RAID), soit matrice redondante de disques peu onéreux . Aujourd'hui, le mot est devenu l'acronyme de Redundant Array of Independent Disks, ce qui signifie matrice redondante de disques indépendants ?.

Par ailleurs, le disque externe usb est un dispositif de sécurité supplémentaire. Il sauvegarde en permanence l'intégralité des données du serveur Linux.

Le photocopieur toshiba est multi-fonction, relié au réseau, il sert d'imprimante pour les postes de travail. Par ailleurs, il peut servir également à scanner des documents et à les stocker au format numérique de type jpeg ou pdf. La vitesse de reproduction de document est de l'ordre de 23 copies par minute.

4.1.3 Les attentes vis à vis du système informatique

M. TIAMIOU est seul à exploiter les ressources du système informatique. Toutefois, il ne travaille pas seul dans le fonctionnement du cabinet. Il est assisté, en effet, par une

collaboratrice pour les travaux d'expertise comptable. Cette personne travaille à domicile. Elle passe au cabinet, de temps à autre, pour récupérer les pièces nécessaires à la réalisation de son travail. Le plus souvent elle communique par courriel avec l'expert-comptable.

En premier lieu j'ai pu observer que le système informatique est un outil de communication majeur. Ainsi l'expert-comptable communique beaucoup par courriel avec sa collaboratrice pour la production des travaux comptables. De même les échanges sont nombreux et variés avec la clientèle du cabinet mais aussi les autres cabinets d'expertise comptable de la place. En matière d'audit, par exemple, souvent le dossier des clients audités par le cabinet EHMT, sont envoyés par mail par les professionnels chargés de tenir la comptabilité. Pour la société HERMES, la balance général et le grand livre des différentes sociétés ont été échangés par courriel.

Bien entendu l'informatique est un outil de production majeur tant au niveau de l'activité de tenue de compte que pour l'activité d'audit. Les principaux progiciels utilisés par le cabinet sont résumé dans le tableau 4.1.

Outre ces progiciels, le cabinet utilise aussi des logiciels standard que sont le tableur, le texteur, le client messagerie, lecteur de pdf. Pour l'essentiel les outils bureautiques utilisés par le cabinet sont issus de la suite bureautique Microsoft Office (excel, word). Pour consulter ses courriels M. TIAMIOU utilise le client messagerie Microsoft outlook. Pour consulter les fichiers PDF le cabinet utilise adobe reader mais il dispose aussi de la version adobe acrobat pro pour apporter des modifications à ce type de document.

4.1.4 Les difficultés rencontrées par le système d'information

4.1.4.1 Difficultés liées au système informatique

La première difficulté trouve son origine au niveau des postes de travail 1 & 2 (figure 4.1). En effet, étant équipé du système d'exploitation windows XP, ces deux machines sont vulnérables au virus informatiques. Un virus informatique est un logiciel malveillant conçu pour se propager à d'autres ordinateurs en s'insérant dans des programmes légitimes appelés hôtes . Il peut perturber plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques

comme les réseaux informatiques et les cédéroms, les clefs USB, etc. ⁶ La présence de virus sur un ordinateur n'est pas toujours facile à déceler. Elle se manifeste souvent par un ralentissement du système d'exploitation ou par des comportements inattendus de la machine : une fenêtre qui s'ouvre sans raison apparente, redémarrage inattendu de la machine de travail, lenteur dans l'exécution de certaines tâches (recherche de fichier, lancement de certains programmes ...). La solution souvent préconisée et conseillée d'ailleurs par l'éditeur du système est d'équiper l'ordinateur d'un antivirus de qualité. Les PC 1 & 2 étaient équipés de l'antivirus Kaspersky ⁷. En outre, afin d'éviter l'exposition au virus, la machine 1 était, en principe, destinée à être utilisée exclusivement dans la production de travaux comptable. Alors que la machine 2 devait servir d'outil de communication et d'information en étant spécialisés à la consultation du courrier et à la navigation sur internet. Toutefois, la configuration en réseau limite sérieusement les effets de cette spécialisation des machines. En outre, les échanges avec l'extérieur (collaborateurs, clientèles...) sont inhérentes à la production de tout travail en comptabilité mais aussi en audit. La contamination peut se faire lors de la connexion à internet mais elle se fait aussi souvent lors de l'introduction d'une clé usb lorsque l'on souhaite récupérer un document de travail.

4.1.4.2 Difficultés liées à l'exploitation de l'information

Les technologies de l'information et notamment l'usage de l'informatique ont apporté des progrès indéniables dans le travail de l'auditeur et de l'expert-comptable. En même temps que la technologie a fourni aux entreprises le moyens de traiter plus facilement l'information, elle lui a aussi fourni des moyens d'impression d'une grande qualité et d'une grande rapidité (Cf figure 4.1). Or nous abordons ici le problème, objet de notre discussion avec le comptable de PwC ⁸. Il est facile d'imprimer vite et en de nombreux exemplaires mais on peut très vite aussi être confronté à la problématique de l'archivage. Nous l'avons vu, l'auditeur doit se forger une opinion. Il a besoin pour cela de se documenter. L'information doit être organisée, classée, rangée. Il doit, le cas échéant, la retrouver puis la montrer pour prouver les diligences mis en oeuvre. Les capacités de stockage d'un micro-ordinateur sont gigantesques eu égard les besoins d'information d'un cabinet d'audit. Les fichiers de travail stockés dans un espace personnel au cours d'une année de travail sont considérables. Probablement, cela se compte en centaine de fichiers pour petit cabinet comme celui de EHMT. Mais contrairement aux apparences cette profusion d'information ne rend pas l'accès à l'information plus facile. Il y a pour cela différentes raisons.

D'abord comme nous l'avons signalé les ordinateurs doivent être protégés contre les virus informatiques. S'ils sont infectés le temps de traitement de l'information a tendance à s'allonger⁹. S'ils ne le sont pas mais qu'ils sont équipés d'un bon antivirus les temps de traitement ont tendance à s'allonger aussi. En effet, toute connexion d'un périphérique de stockage à l'ordinateur fait l'objet d'un scan de sécurité par l'antivirus. Il en est de même pour les courriels qui sont passés au crible.

Ensuite la diversité des formats de fichiers de travail ne facilite pas la recherche d'information. Chaque éditeur crée son propre format de fichier. Ces différents formats ne sont pas forcément compatibles entre eux. C'est une stratégie des éditeurs qui cherchent à rendre captifs les utilisateurs. Ainsi, j'ai pu constater que le progiciel d'audit utilisé par le cabinet permettait l'exportation de la lettre de mission au format PDF . Mais le fichier exporté était doté d'une protection qui empéchait de récupérer le texte du document dans le texteur afin de le modifier si l'auditeur le souhaitait.

Cette diversité des formats de fichiers rend par ailleurs la recherche d'un fichier difficile sur un ordinateur. L'idéal lorsque l'on souhaite accéder aux informations d'un fichier c'est de pouvoir disposer d'un moteur de recherche interne. Ce type de programme existe, nous en reparlerons par la suite, mais la diversité des formats constitue un frein à leur performance. Le plus souvent pour rechercher un fichier dans l'arborescence d'un répertoire de travail on utilise un explorateur de fichiers. Le problème de ce type de programme est qu'il ne s'en tient qu'au contenu du nom de fichier. Certes on peut s'attacher a avoir une politique de nommage des fichiers qui facilite leur recherche par la suite, mais un tel système trouve vite ses limites.

Par ailleurs, le troisième élément qui rend l'accès à l'information difficile réside dans la quantité croissante d'information à traiter par le système. Ainsi, comme nous l'avons indiqué, le cabinet EHMT communique beaucoup par courriel. Dans bien des cas les cour-riels sont accompagnés de pièces jointes dont la taille peut varier. Il est vrai qu'une pièce jointe dépasse rarement les 5 Mo. D'abord parce que leur taille maiximal est généralement limitée par les fournisseurs d'accès d'autre part, du point de vue de l'utilisateur, l'envoie d'un mail avec une pièce jointe de grosse taille peut-être plus ou moins long selon la qualité de la connexion internet dont il dispose; c'est un détail qui peut faire perdre du temps. Pour récupérer le courriel le logiciel de messagerie se connecte en général à un serveur imap ou pop du fournisseur d'accès. Plus il va y avoir de fichiers à récupérer avec des pièces jointes de taille importante plus le temps d'attente va s'allonger pour l'obtention de l'information. Une double stratégie se présente alors à l'utilisateur; soit il peut décider de récupérer l'ensemble des messages et vider le serveur du fournisseur d'accès au fur et à mesure. La consultation de ces messages sur sa machine personnelle sera dès lors plus rapide. Il peut aussi décider de laisser l'ensemble des messages sur le serveur. Ce peut-être un choix de sécurité qui permet de conserver l'ensemble des adresses mails de ses clients, collaborateurs ...(son carnet d'adresse) sur le serveur. Dans cette hypothèse en cas de problème au niveau de la machine du bureau l'utilisateur conserve ses informations qui sont importantes et difficiles à reconstituer dans l'urgence. Cette stratégie a toutefois ses limites : la taille de disque dur accordée par le serveur de mail.

Enfin la constitution des dossiers papier ne facilite pas le travail de l'auditeur. En effet, pour le moment dans le cabinet EHMT l'archivage des informations se fait essentiellement sous forme de classeurs (dossier annuel et dossier permanent) . Tout passe donc par l'impression des documents de travail créé par le CAC au moment de la réalisation de la mission et par la reproduction d'un nombre important de pièces fournies par le client ou son comptable. Il peut même faire confirmer par leurs auteurs les options ou déclarations et réclamer copie de tout document important et/ou significatif (lacademie.info, 2008). Tous ces documents doivent ensuite être triés, classés, perforés et rangés dans des classeurs. Toutes ces informations, qui ne sont en fait que le travail préparatoire de la mission d'audit proprement dite, doivent ensuite être étudiées pour permettre à l'auditeur de forger son opinion. Bien sûr le travail d'audit ne consiste pas seulement en la lecture et en l'analyse de documents. Il comporte aussi une part d'investigation sur le terrain, d'entretien et de discussion avec le client qui sont essentielles pour lui permettre de se faire une représentation réaliste de la situation.

Afin de matérialiser le contexte de son intervention, [le CAC] doit garder trace, dans son dossier de travail, des diligences techniques accomplies, des contrôles et vérifications opérées. Il doit également matérialiser la supervision des tâches qu'il a déléguées ...(lacademie.info, 2008)

4.2 Proposition d'évolution du système informatique du Cabinet EHMT

L'objectif de mes propositions sera de passer d'un système fondé sur l'usage de l'outil informatique simultanément avec un système manuel d'archivage papier de la documentation de chaque dossier d'audit à un système où l'ensemble de la documentation d'audit sera numérisée.

Je pense que la dématérialisation du processus d'archivage des dossiers devrait permettre au CAC de mieux maîtriser l'ensemble du processus d'audit. En effet, nous l'avons vu, la maîtrise du système d'information est en la matière un élément clé.

Je pense également qu'un tel changement est de nature à réduire le coût global de la mission d'audit. La baisse de coût devrait avoir lieu en raison :

La mise en place d'un tel système relève de la stratégie de management du système d'information. Une erreur en ce domaine peut avoir des conséquence graves. Il ne s'agit pas d'un simple changement, il est dès lors indispensable d'assurer une parfaite maîtrise du processus par le professionnel. Le passage d'un système à l'autre ne peut pas se faire par l'arrêt de l'un et le remplacement par l'autre. En fait il faudrait opérer une migration progressive. Nous étudierons d'abord les changements préalables à opérer au niveau du système informatique du cabinet.

4.2.1 Un changement de système pour plus de sécurité

Le passage à des dossiers complètement numérisés ne peut se faire sans une maîtrise totale des risques informatiques. Les notions de risques en matière informatique peuvent nous paraître comme abstraites. Pourtant une parfaite maîtrise en ce domaine est un préalable à tout espérance de progrès.

4.2.1.1 Migration du système Windows XP vers un système Unix

Comme nous l'avons vu dans les sections précédentes le cabinet EHMT dispose actuellement de deux postes de travail (1 & 2) sous le système d'exploitation Windows XP ¹¹. Je propose de faire évoluer l'un de ces postes et de le mettre sous un système de type UNIX.

4.2.1.2 Présentation du système UNIX

Unix est le nom d'un système d'exploitation multitâche et multi-utilisateur créé en 1969 par Ken Thompson qui travaillait alors pour les laboratoires Bell ¹². Il est fondé sur une approche par laquelle, il offre de nombreux petits outils chacun dotés d'une mission spécifique. À l'origine les laboratoires Bell ne fournissaient des versions d'Unix qu'aux Universités. Ces dernières les ont adaptées à leur utilisation. Il existe ainsi une multitude de version d'Unix qui ont toutefois en commun environ 75% de leur fonctionnalité (Levine and Levine Young, 2002).

4.2.1.3 Présentation du système Linux

En 1991 un étudiant finlandais, Linus Torvalds, décida de concevoir un système d'exploitation capable de fonctionner sur les architectures à base de processeur Intel 80386 avec les mêmes caractéristiques qu'Unix. Le noyau, qui était alors au stade expérimental, devait être généré sur un système Minix¹³.

Linus Torvalds baptisa son système Freax, dans un premier temps, et posta le message suivant sur le groupe de discussion comp.os.minix :

I'm doing a (free) operating system (just a hobby, won't be big and professional like gnu) for 386 (486) AT clones. This has been brewing since april, and is starting to get ready. I'd like any feedback on things people like/dislike in minix, as my OS resembles it somewhat (same physical layout of the file-system (due to practical reasons) among other things) [...].

Linux était né. Le nom Freax fût remplacé par celui de Linux qui était en fait le nom de la personne qui hébergeait le projet pour sa diffusion. Linux ne contient pas de code provenant d'Unix, mais c'est un système inspiré d'Unix et complètement réécrit. D'autre part, Linux est un logiciel libre.

En réalité, Linux est le noyau du système d'exploitation, il utilise l'ensemble des logiciels du projet GNU pour en faire un système d'exploitation complet. GNU signifie GNU is Not Unix. C'est le premier projet de grande envergure de logiciel libre, initié par la F.S.F, dont le fondateur est Richard STALLMAN ¹⁵, pour mettre à disposition du public un système d'exploitation complet (avec ses outils) ¹⁶. Pour le GNU un logiciel libre comporte quatre libertés essentielles :

~ La liberté d'étudier le fonctionnement du programme, et de l'adapter à ses besoins (liberté 1). Pour ceci l'accès au code source est une condition requise.

~ La liberté de redistribuer des copies, donc d'aider son voisin, (liberté 2).

~ La liberté d'améliorer le programme et de publier ses améliorations, pour en faire profiter toute la communauté (liberté 3). Pour ceci l'accès au code source est une condition requise. ¹⁷

Le noyau est le coeur du système, c'est lui qui s'occupe de fournir aux logiciels une interface pour utiliser le matériel. Il existe différentes distributions Linux. On appelle distribution Linux une solution prête à être installée par l'utilisateur final comprenant le système d'exploitation (GNU, BSD...), le noyau Linux, des programmes d'installation et d'administration de l'ordinateur, un mécanisme facilitant l'installation et la mise à jour des logiciels comme RPM ou APT ainsi qu'une sélection de logiciels ¹⁸. Il en résulte de ce système de fichier une grande stabilité des systèmes d'exploitation Linux en général. Cette caractéristique est primordiale par rapport aux objectifs que nous avons définis dans le cadre de la mission d'audit.

4.2.1.4 La distribution Ubuntu en remplacement à Windows XP

La grande majorité des micro-ordinateurs de la planète sont équipés du système d'exploitation de Miscrosoft Windows. De ce fait la quasi totalité des virus en circulation sur le web le sont à destination du système Windows. Il y a une raison toute simple à cet état de fait : les programmes conçus pour fonctionner sous windows ne fonctionnent pas sous Linux. Aussi si l'on souhaite se préserver des effets dévastateurs d'un programme malveillant, il suffit d'utiliser un système d'exploitation qui est insensible aux instructions du programme. En outre la base de GNU/Linux est fondée sur la séparation des comptes entre un administrateur qui peut tout faire et un utilisateur au pouvoir restreint. Cette séparation des rôles rend difficile la diffusion de virus sur le système. En effet, dans les systèmes Linux seul l'administrateur a le pouvoir d'installer et de dés-installer des programmes. Le système est conçu dès le départ pour être multi-utilisateurs et il y a au minimum deux utilisateurs : l'administrateur, qui a tous les droits et un utilisateur normal, dont les prérogatives se limitent à son répertoire personnel (Cf figure 4.2).

Toutes les distributions Linux, même si elles ont de nombreux points communs, n'ont pas toutes les mêmes caractéristiques. Certaines distributions sont réputées difficiles d'accès, d'autres sont davantage envisagées dans une optique de serveur, alors que d'autres sont plus appropriées comme poste de travail. C'est plutôt vers ce type de système qu'il nous faut nous orienter ainsi la distribution Ubuntu semble idéale.

alité. Elle s'adresse aussi bien aux particuliers qu'aux professionnels, débu-
tants ou confirmés qui souhaitent disposer d'un système d'exploitation libre

4.2.2 Le maintien de Windows XP pour l'utilisation des progiciels d'audit et de comptabilité

Comme nous l'avons vu dans les sections précédentes M. TIAMIOU utilise de nombreux progiciels tant pour son activité d'expertise comptable que pour son activité de commissariat aux comptes. Or tous ces programmes ne fonctionnent que sous le système Windows. Il ne saurait par conséquent être question de ne plus utiliser Windows. Pour contourner cette difficulté, il nous faut utiliser un logiciel de virtualisatin. Grâce à ce programme il est alors possible de créer une machine virtuelle. C'est un ordinateur virtuel créé et fonctionnant sous le système d'exploitation hôte c'est-à-dire le système d'exploitation principal de votre ordinateur, dans notre cas Ubuntu. Il existe différents logiciels de virtualisation sous Ubuntu. Nous utiliserons VirtualBox. VirtualBox est un logiciel sous licence libre appartenant à l'éditeur Oracle. Il permet d'émuler de nombreux systèmes en particulier les différents systèmes d'exploitation de Microsoft. Le principe est d'installer un système Windows une fois Ubuntu lancé. Cette installation se fait dans un fichier que l'on va sauvegarder quelque part dans le répertoire personnel de l'utilisateur (Cf figure 4.2). La taille du fichier en d'autre terme, la taille du disque dur peut-être de la taille choisi par l'utilisateur. Il est même possible au moment de l'installation de la machine virtuelle de définir un disque virtuel dont la taille s'adaptera aux conditions d'utilisation de la machine virtuelle. La seule limite étant les capacités réelles du disque dur de la machine hôte.

La machine virtuelle fonctionne alors comme une machine réelle et elle a accès aux différents périphériques de l'ordinateur hôte (clé usb, lecteur de cd, imprimante, ...). En outre, comme on peut le voir sur la figure 4.3, elle peut partager un espace disque avec la machine hôte, généralement ce sera le dossier personnel de l'utilisateur. De même les disques de partage SAMBA dont nous avons parlé au paragraphe 4.1.2 seront accessibles comme pour la machine réelle. La machine virtuelle dispose de sa propre adresse ip, elle fonctionne en réseau comme une machine quelconque, elle peut accéder à internet. Compte tenu des problèmes liés au virus dont nous avons parlé il sera possible d'opter pour un blocage de l'adresse ip de la machine virtuelle afin de l'empêcher de naviguer sur le web; cette prérogative étant dès lors allouée à la machine hôte ^2O. VirtualBox offre la possibilité d'exporter et d'importer des machines virtuelles (Cf figure 4.4). Ainsi le système XP une fois installé avec les différents progiciels utilisés par le cabinet pourra faire l'objet d'une sauvegarde sur la machine hôte ou sur tout autre support. En cas de dysfonctionnement de la machine vitrutelle ultérieurement, il suffira alors d'importer la sauvegarde pour retrouver une machine parfaitement opérationnelle.

Nous venons de voir comment sécuriser le réseau informatique du cabinet en ayant recours à une machine de travail équipée d'un système d'exploitation de type Unix. Cette solution, nous le constatons n'exclut pas l'utilisation du système Windows grâce à la virtualisation. Voyons maintenant comment améliorer la gestion du courrier électronique.

4.2.3 Améliorer la gestion de la messagerie électronique

Comme nous l'avons vu, la communication par courriel est un élément important du processus d'audit. Le système Linux offre de nombreux outils permettant d'améliorer la gestion du courrier électronique. Pour favoriser un accès plus rapide à l'information

je propose ici de mettre en place un serveur de messagerie sur la machine Ubuntu. Ce serveur de messagerie aura pour rôle :

~ de distribuer le courrier électronique à destination des partenaires du cabinet;

Pour mettre en place un serveur de mail sous Ubuntu il faut installer et configurer le programme Postx²¹. Postfix est un serveur de messagerie électronique et un logiciel libre développé par Wietse Venema et plusieurs contributeurs. Il se charge de la livraison de courriers électroniques (Cf étape 5 et 8 figure 4.5) ²². Par ailleurs en plus d'envoyer le courriel, l'utilisateur a besoin de lire les messages qu'il a reçu à l'aide de son client messagerie. Pour cela le poste de travail Ubuntu doit être équipé d'un serveur IMAP et POP. Il existe de multiple serveurs de ce type sous Ubuntu, par exemple, le programme Dove-cot²³(Cf étape 4). Ce programme permet à la machine Ubuntu de se comporter comme le serveur de mail du fournisseur d'accès (étape 2). Toutefois, compte tenu de la présence de la machine Ubuntu dans le réseau local, l'accès au courriel est plus rapide. Enfin pour que la messagerie soit complète, il faut un logiciel permettant, à intervalle de temps défini, de récupérer les courriels sur la boite mail de l'utilisateur chez son fournisseur d'accès. Ce programme s'appelle fetchmail (Cf étape 3) ²⁴. Le programme Fetchmail pourra être configuré pour se connecter au serveur du FA afin de récupérer les courriels toutes les 5 minutes, par exemple. Le cabinet peut décider de conserver une copie des mails chez le FA ou de les effacer. Tous les messages de l'utilisateur vont être stockés par Postfix dans son répertoire personnel sous la forme d'un fichier intitulé mbox (Cf figure 4.2).

Nous avons sécurisé le système informatique et amélioré le fonctionnement de la messagerie électronique du cabinet. Il convient dès lors de faire évoluer l'organisation du système d'information afin d'aboutir à une dématérialisation des dossiers de travail du cabinet d'audit.

4.2.4 Mettre en place la numérisation complète des documents de travail dans le cadre du processus d'audit

Cette dématérialisation passe par la numérisation de toute la documentation du dossier d'audit de chaque client. Comme nous l'avons vu cette étape passe par la constitution d'un dossier de travail (Cf figure 2.1). Comme pour la procédure manuelle il est nécessaire ici de reproduire l'ensemble des documents qui vont constituer chaque dossier. Cependant, les documents ne vont pas être photocopiés mais numérisés cette fonction est disponible sur la photocopieuse toshiba studio 230. Le chargeur de la machine peut contenir jusqu'à 100 feuilles.

Il convient d'observer que le travail de numérisation ne dispense pas du travail de classement et de tri de la documentation. En effet, comme nous l'avons indiqué au paragraphe 2.3.3.1 la documentation doit être classée en dossier permanent et dossier annuel. Et à l'intérieur de chaque dossier, différentes rubriques opèrent à nouveau un classement entre les documents.

Les feuilles à numériser devront donc être classées par type de dossier puis par rubrique en fonction de chaque dossier. À l'issue de ce classement, les documents devront être numérisés par rubrique (PA, PB, ... EA, EB ...).

Tous les fichiers numérisés devront être stockés dans des dossiers dont l'arborescence sera normalisée (Cf figure 4.6)

A chaque nouveau dossier il sera nécessaire de recréer cette arborescence. Afin de simplifier ce travail répétitif, il suffit de créer un script en shell qui va exécuter la procédure automatiquement (Cf figure 4.7). Le shell est un programme que tout utilisateur de Unix utilise afin de faire exécuter par le système des séquences d'actions répétitives. Pour

Une fois constitué, il ne reste plus qu'à rendre les dossiers de travail accessibles facilement par l'utilisateur.

4.2.5 Mettre en place les outils permettant d'améliorer l'accès à l'information

Nous l'avons dit le risque au fil du temps serait de se trouver confronter à un nombre considérable de fichiers où il deviendrait de plus en plus difficile d'accéder à l'information et ce malgré le classement conformément au modèle précédent.

Pour éviter cette dérive, les dossiers de travail ainsi que le contenu des documents qui les composent doivent être indexés.

Ces documents sont de deux types : d'une part ceux qui ont été fournis par le client et qui ont donc été numérisés et d'autres part les feuilles de travail produites par le CAC et ses collaborateurs.

Les documents numérisés à l'aide du photocopieur toshiba studio 230 peuvent être sauvegardés sur les disques partagés du réseau de deux manières : soit au format jpeg , soit au format pdf . Cependant, quelque soit le format choisi, après la numérisation, le texte des documents n'est pas accessible et donc non indexable! La machine ne produit en vérité qu'un simple fichier image. Pour changer les caractéristiques de ces fichiers, il faut recourir à un logiciel de reconnaissance optique de caractères (ROC). La reconnaissance optique de caractères (ROC), ou encore appelée vidéo-codage désigne les procédés informatiques pour la traduction d'images de textes imprimés ou dactylographiés en fichiers de texte²⁶. Au cabinet EHMT nous utiliserons le logiciel Adobe Acrobat Pro qui était installé sur les deux postes Windows XP. Il suffit d'installer ce programme sur la machine virtuelle XP et procéder ensuite à la ROC. Le programme Adobe est assez pratique, il

suffit de lui indiquer un répertoire, à l'intérieur duquel se trouve les fichiers images à traiter, et il procède à la transformation directe des documents en fichier pdf dont le contenu est indexable.

Les feuilles de travail sont importantes, elles accompagnent la constitution du dossier de travail tout au long du processus d'audit. C'est par la présence des feuilles de travail que le CAC est en mesure de justifier des diligences accomplies dans le cadre de sa mission. Au cabinet EHMT ses feuilles se présentent sous forme de tableau excel. Le plus souvent l'auditeur l'imprime, la complète à la main et la joint au classeur de travail. Dans la perpective d'une numérisation des dossiers d'audit, ces feuilles de travail devront être complétées directement sur ordinateur afin de permettre leur indexation. M. TIAMIOU dispose d'un ordinateur ultra-portable qui l'accompagne dans les missions sur le terrain. Cet équipement devrait faciliter la réalisation de feuille de travail au format tableur.

4.2.5.1 L'indexation du système d'information

Une fois les dossiers numérisés et transformés, si nécessaire dans un format où le texte des documents est accessible, il ne reste plus dès lors qu'à indexer cette importante documentation. Il faut utiliser des outils de recherche qui permettent d'indexer le répertoire de travail de l'utilisateur. Parmi les logiciels susceptibles de répondre à notre attente on trouve tracker ²⁷, beagle ²⁸, disponible sur le système Ubuntu, et Google-Desktop. Les deux premiers sont des logiciels libres et le troisième est un logiciel propriétaire, gratuit et très performant à l'image du célèbre moteur de recherche sur internet ²⁹. Nous opterons pour cette dernière solution pour indexer la documentation d'audit du cabinet EHMT. Une fois installée la version Linux du logiciel, il démarre l'indexation du répertoire de travail. Le temps d'indexation va dépendre du nombre de documents à indexer. C'est pourquoi au moment de la première utilisation, il faudra bien attendre une journée entière pour que le moteur de recherche devienne prolixe après la première requête.

Google Desktop indexe automatiquement la plupart des fichiers courants sur un ordinateur. Les formats suivants sont pris en compte :

En guise de test j'ai demandé à M. TIAMIOU de scanner une page du livre Structure et dynamique des organisations (Mintzberg, 1982) à partir du photocopieur toshiba; il a scanné la page 94. J'ai traité le fichier à l'aide du logiciel Adobe Acrobat et je l'ai enregistré sous le nom de MINTZBERG2.pdf dans mon espace de travail. Au bout de quelques

FIGURE 4.8 Résultat de requête sur document scanné à l'aide du Toshiba studio 230

minutes, je lance un navigateur et dans le moteur de recherche je tape le mot FiIIey . Comme nous pouvons le voir à la figure 4.8 le moteur de recherche nous a trouvé l'extrait du livre de Mintzberg; à la page 94, en effet, on trouve la citation suivante :

Mais des observateurs plus détachés parlent aussi d'échecs; et lorsqu'on passe en revue les recherches récentes, les résultats de l'élargissement du travail paraissent être variés, bien que les succès l'emportent probablement sur les échecs (Pierce et Dunham, 1976; FiIIey et al., 1976, pp. 343-357; Melcher, 1976, pp. 72-83).

En tapant le nom TIAMIOU dans le moteur de recherche sur ma machine personnelle, il me sort une liste de courriel ainsi que l'annuaire des expert-comptables de la Réunion au format pdf (Cf figure 4.9).

A l'issue des différentes propositions que j'ai formulé dans les sections précédentes, l'architecture du système informatique du cabinet EHMT pourrait se présenter comme la figure 4.10 ?.

Il nous faut pour terminer envisager les solutions pour assurer la pérennité du système d'information et du système informatique.

4.2.6 Garantir pérennité du système informatique

Comme le souligne le cahier de l'académie la dématérialisation des flux d'information engendre une plus grande vulnérabilité de notre mémoire.

tos de vacances, courriers... Qu'en serait-il si cela arrivait à votre société? (lacademie.info, 2008)

Pour que de telles situations ne puissent avoir lieu, il est indispensable pour assurer la pérennité des activités du cabinet de mettre en oeuvre un processus de sauvegarde permettant de récupérer dans un bref délai l'ensemble du système informatique. Deux types de sauvegarde sont à prévoir :

4.2.6.1 La sauvegarde des applications

Par applications, il faut entendre ici tous les programmes utilisés par le cabinet pour la réalisation de sa mission (Cf figure 4.1). Réaliser une telle opération pourrait paraître inopportune a priori. On peut se demander, en effet, quel est l'intérêt de sauvegarder des applications pour lesquelles nous disposons d'une licence et des périphériques d'installation. Quant aux logiciels libres, ils sont généralement disponibles sur le site du projet.

Comme nous l'avons vu, le cabinet EHMT utilise de nombreux logiciels qui fonctionnent tous sous le système Windows XP. Un crash informatique peut signifier un système d'exploitation complètement in-opérationnel qu'il faille réinstaller complètement avec l'ensemble des pilotes et des logiciels applicatifs. Une telle opération peut faire perdre beaucoup de temps et en fonction de la date de réalisation du risque dans le calendrier professionnel (imaginons la période fiscale !), on peut penser que les conséquences seraient catastrophiques.

Dès lors, la sauvegarde du système avec l'ensemble de ses applications semble incontournable. Nous avons vu que cette opération était très facile s'agissant d'une machine virtuelle puisque le logiciel virtualbox possède une fonction d'exportation du système. L'exportation génère un fichier compressé qui contient une image de la machine virtuelle ^31. Il suffit ensuite de ranger ce fichier en lieu sûr.

S'agissant du système hôte, Ubuntu, il n'existe pas une telle procédure. La sauvegarde doit se faire en dehors du système c'est-à-dire lorsqu'il n'est pas en fonctionnement. On utilise généralement un système d'exploitation temporaire sur une live-cd ou une clé usb. L'opération consiste à démarrer l'ordinateur où se trouve le système que l'on souhaite sauvegarder, sur la live-cd, par exemple, et à faire une image des partitions du système. Sur les live-cd de type linux on dispose généralement de l'outil partimage 32 qui permet

FIGURE 4.10 Nouvelle configuration du système informatique dans le cabinet EHMT

de sauvegarder et de restaurer si nécessaire une ou plusieurs partitions, voire un disque entier. L'un des gros avantages des systèmes d'exploitation de type Linux réside dans le fait qu'il n'y ai pas d'activation à réaliser au moment de l'installation. Le système étant libre il peut être reproduit et réinstallé indéfiniment (Cf paragraphe 4.2.1.3). De ce fait, la restauration de l'image du système peut se faire sur la même machine, avec le même disque dur, mais aussi sur une machine totalement différente. La sauvegarde va se faire en général sur un disque externe et l'on prendra soin d'en faire plusieurs copies sur différents supports (disque usb, cd-rom...).

La sauvegarde des applications est une opération occasionnelle qui va se faire en particulier au tout début de l'installation du système informatique. Par la suite, une fois que système sera entré en phase de production, l'accent devra porter une sauvegarde récurrente des données.

4.2.6.2 La sauvegarde des données

C'est probablement l'un des aspects les plus importants eu égard les objectifs que nous nous sommes fixés au départ. Un crash fait parti des risques inhérents à l'usage de l'outil informatique. Dans un contexte professionnel, cependant, il est inconcevable de tout perdre au moment de la réalisation du risque. Il appartient au professionnel de tout mettre en oeuvre (d'être diligent) afin de garantir la préservation de l'intégralité de ses dossiers de travail. Pour qu'elle soit efficace la sauvegarde devra se faire à l'initiative du système lui-même, sans que l'intervention de l'utilisateur ne soit nécessaire et sur différents supports en des lieux différents de préférence. Sur un système d'exploitation de type Ubuntu il existe différents outils de sauvegarde. C'est le cas notamment du logiciel rdiff-backup ??. Cette application va permettre à l'utilisateur de faire une copie incrémentale (ou incrémentielle) de tous ses fichiers et dossiers de travail. Cette méthode consiste à sauvegarder les fichiers créés ou modifiés depuis la dernière sauvegarde quel que soit son type. L'avantage de ce système est de permettre à l'utilisateur de choisir le jeu de sauvegarde qu'il souhaite récupérer. A supposer que le premier jeu de sauvegarde ai eu lieu au jour J. En J+10, l'utilisateur peut récupérer ces données en l'état J, J+1, J+2 ...

Pour automatiser cette opération de sauvegarde, il faut créer un script shell qui indique au système qu'il faut faire une sauvegarde avec rdiff-backup et à quel endroit il faut stocker la copie. Pour l'automatisation de la tâche proprement dite on utilisera cron . Cron est un petit programme qui permet aux utilisateurs des systèmes Unix d'exécuter automatiquement des scripts, des commandes ou des logiciels à une date et une heure spécifiées à l'avance, ou selon un cycle défini à l'avance. Le nom est dérivé du grec chronos, signifiant le temps ?.

En premier lieu la sauvegarde se fera sur le réseau local du cabinet. Un premier jeu de sauvegarde se fera quotidiennement sur le poste 2 (Cf figure 4.10) et un deuxième jeu, à l'issu de la première sauvegarde, se fera sur le disque externe.

L'adage populaire nous rappelle qu'il ne faut pas garder tous ses oeufs dans le même panier. En matière informatique on pourrait aussi dire qu'il est bon de ne pas garder toutes ses sauvegardes en un même lieu. C'est le défaut actuel de la sauvegarde des données dans

le cabinet EHMT où toutes les sauvegardes se font en local. Pour pallier à cet inconvénient on pourrait envisager la location d'un serveur auprès d'un centre de traitement de données (datacenter). Un centre de traitement des données est un service généralement utilisé pour remplir une mission critique relative à l'informatique et à la télématique. Il comprend en général un contrôle sur l'environnement (climatisation, système de prévention contre l'incendie, etc.), une alimentation d'urgence et redondante, ainsi qu'une sécurité physique élevée ^3?. Cette solution va entraîner un coût supplémentaire pour l'entreprise mais je pense que dans la solution que nous avons envisagé (la dématérialisation complète des dossiers de travail), ce coût est une assurance indispensable. À titre indicatif chez une datacenter comme OVH le prix de base pour la location d'un serveur est de l'ordre de 60 ? par mois (frais d'installation compris) ^36.

Lorsque j'ai abordé cette question avec M. TIAMIOU, il a soulevé une question très importante : celle de la sécurité.

confidentiels, à un prestataire que je ne verrais probablement jamais en personne ...

La sauvegarde avec rdiff-backup, va se faire à travers le réseau via le protocole sécurisé SSH, personne ne sera donc en mesure d'intercepter les fichiers transférés. En effet, Secure Shell (SSH) est à la fois un programme informatique et un protocole de communication sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de connexion. Par la suite toutes les trames sont chiffrées. Il devient donc impossible d'utiliser un sniffer pour voir ce que fait l'utilisateur.

Un packet sniffer ( renifleur de paquets, ou simplement renifleur ou sniffeur) est un logiciel qui peut lire au passage les données transitant par le biais d'un réseau local. Il permet une consultation aisée des données non-chiffrées et peut ainsi servir à intercepter des mots de passe qui transitent en clair ou toute autre information non-chiffrée 3?.

Pour un exemple d'application de la sauvegarde avec rdiff-backup et cron dans le cabinet EHMT voir l'annexe C.

En cas de problème, la récupération du système se fera par la commande suivante (on déplace la console au préalable sur la machine de sauvegarde, par exemple le poste 2 (CF figure 4.10)) :

Dans cet exemple, rdiff-backup restaure le dossier de l'utilisateur malik tel qu'il était il y a 1 jour.

Conclusion

Mon stage auprès du cabinet d'audit EHMT a été une opportunité pour mener une réflexion sur le concept de qualité d'une mission d'audit. L'audit en tant que discipline de recherche (Casta and Mikol, 1999) nous a fourni de ce point de vue de multiple sources d'approfondissement.

Ainsi, un survol rapide de la littérature sur le sujet nous a permis de constater qu'il existait deux voies pour aborder ce concept. La première approche est fondée sur une vision extérieur de la mission d'audit. Il s'agit dans cette perspective d'analyser les critères visibles de l'extérieur qui peuvent influencer la qualité de la mission d'audit. Ainsi, la taille de l'auditeur, sa sensibilité aux événements qui peuvent affectés sa réputation, la nature et l'importance des honoraires perçus, l'efficacité organisationnelle ... sont autant de thèmes qui constitue le socle commun de cette première approche.

Cependant, il semble que le seul examen de la qualité de l'auditeur ne suffise pas pour donner une exacte compréhension de la qualité d'une mission d'audit.

C'est pourquoi, depuis une période récente, de nombreux auteurs se sont penchés sur l'examen du processus d'audit proprement dit. Le rapport d'audit qui est un document très normalisé nous donne peu d'information sur la qualité de la mission d'audit. C'est à travers l'examen minutieux du processus mis en oeuvre par l'auditeur pour parvenir à son opinion qu'il est possible de porter un jugement objectif de la qualité du travail de l'auditeur.

La mission d'audit repose aujourd'hui sur un corpus important dont la mise en oeuvre nécessite un haut niveau de qualification de la part de l'auditeur. Cette caractéristique se retrouve au travers des conditions exigeantes qui entourent l'accès à la fonction de commissaire aux comptes en France.

En outre, il apparaît que la documentation de son dossier de travail constitue une étape fondamentale dans la justification de son opinion d'audit.

En m'appuyant sur cette dernière idée, j'ai voulu, pour conclure cette réflexion, proposer une alternative aux pratiques que j'ai pu observer dans la conduite de la mission d'audit dans le cabinet EHMT. Plus particulièrement, il s'agissait de proposer une modification du système d'information du cabinet afin de parvenir à une dématérialisation complète de l'ensemble des dossiers de travail qui accompagnent chaque mission. La dématérialisation permettant une indexation de tous les dossiers d'audit, rend dès lors l'accès à l'information plus aisé. Grâce à cette évolution la quantité croissante d'information n'est plus une difficulté dans l'exploitation de l'information. On peut penser qu'une telle évolution serait de nature à accélérer l'accès à l'information et donc il permettrait un gain de temps pour le commissaire aux comptes. Le temps étant la variable à la base de sa rémunération dans le système français le système proposé contribuait donc à une amélioration de l'efficience du cabinet.

La solution proposée n'apporte cependant pas une réponse totale à la problématique majeure du commissaire aux comptes. Ce dernier est en effet confronté au risque de non détection d'une information importante de nature à remettre en cause l'image fidèle des états financiers dont il doit certifier le contenu. La découverte de tels faits est le fruit de son jugement. Comme le souligne E. BERTIN le jugement de l'auditeur apparaît comme un phénomène complexe qui repose sur les aptitudes cognitives intrinsèques de l'auditeur, ses aptitudes et connaissances techniques, son expérience ainsi que des facteurs organisationnels et psychologiques difficilement dissociables.

ANNEXES

Annexe A

TABLE A.1 Classement des réseaux internationaux de cabinets d'audit en 198.5

TABLE A.4 Classement des cabinets de commissariat aux comptes en France en 1983/84

TABLE A.5 Classement des cabinets de commissariat aux comptes en France en 1996/97

TABLE A.6 Classement des cabinets de commissariat aux comptes en France en 2003/04 et 2005/06

Annexe B

Voici les scripts bash permettant de créer l'arborescence de chaque dossier d'audit :

Il faut taper ces codes dans un éditeur de texte. Le premier est nommé permanent.sh, par

exemple, et est enregistré dans le répertoire script . Pour le rendre exécutable, il faut ouvrir

Grâce à cette instruction, le script permanent.sh peut être lancé à l'aide de la commande

Enfin, il faut ouvrir le fichier caché .bashrc , qui se trouve à la racine du répertoire de

Cette ligne indique à la console que les programmes exécutables de l'utilisateur se trouve

Annexe C

Pour générer la paire de clé rsa on va utiliser le programme openssh à l'aide de la commande suivante (à taper dans une console) :

Cette commande crée une clé publique et une clé privée. La première doit être envoyée sur le serveur (machines 2 et 3) en utilisant une connexion sécurisée scp. La seconde doit être sur la machine à sauvegarder. ^a

Le script de sauvegarde est le suivant (on l'enregistre dans le fichier sauvegarde.sh : # !/bin/bash

if ls malik@adresse_ip_poste2 : :/media/disque_usb/ then echo "Le disque_usb est

rdiff-backup -v5 /home/malik/ malik@adresse_ip_serveur3 : :/home/malik/sauvegarde/; halt -p

Bibliographie

D. CARASSUS and G. Gregório. Gouvernance et audit externe legal : une approche historique comparée à travers l'obligation de reddition des comptes. Technical report, Working Paper, 2003.

J. Casta and A. Mikol. Vingt ans d'audit : De la révision des comptes aux activités multiservices. 1999.

P. Chaney and K. Philipich. Shredded reputation : The cost of audit failure. Journal of Accounting Research, 40(4) :12211245, 2002.

G. Charreaux. La theorie positive de l'agence :lecture et relectures.. Technical Report 0980901, Universite de Bourgogne - Latec/Fargo (Research center in Fi-nance,organizational ARchitecture and GOvernance), 1998. URL http://ideas. repec.org/p/dij/wpfarg/0980901.html.

CNCC. Table synth(c)tique des normes, Mai 2010. URL www.cncc.fr. R. Coase. The firm, the market, and the law. Univ. of Chicago Press, 1992. N. CRESPELLE. La crise en questions. 2009. ISBN 978-2-212-54296-7.

L. E. DeAngelo. Auditor size and audit quality. Journal of Accounting and Economics, 3(3) :183-199, December 1981. URL http://ideas.repec.org/a/eee/ jaecon/v3y1981i3p183-199.html.

R. A. Dye. Auditing standards, legal liability, and auditor wealth. Journal of Political Economy, 101(5) :887-914, October 1993. URL http://ideas.repec.org/a/ucp/ jpolec/v101y1993i5p887-914.html.

U. Europeenne. Directive du parlement europeenne du 17 mai 2006 concernant les con-troles legaux des comptes annuels et des comptes consolides. Journal officiel, L, 157 : 87, 2006.

A. Farber and V. Ginsburgh. Crise financière et normes comptables. Reflets et perspectives de la vie ï3/4÷conomique, 2010/1, 2010.

A. Fodil, M. Chokri, and S. Fatma. La reputation de l'audit externe et les mecanismes de gouvernement d'entreprise : Interactions et effet sur la performance. 28 eme Congres de l'Association Francophone de Comptabilite, Mai 2007.

M. Jensen and W. Meckling. Theory of the firm: Managerial behavior, agency costs and ownership structure. Journal of financial economics, 3(4) :305-360, 1976.

Journal Officiel de la Republique Francaise. Decret fixant le montant en euros de la subvention revue partir duquel les associations sont soumises certaines obligations, janvier 2002. URL http://www.legifrance.gouv.fr.

S. Kaplan, K. Menon, and D. Williams. The effect of audit structure on the audit market. Journal of Accounting and Public Policy, 9(3) :197-215, 1990. URL http://www.sciencedirect.com/.

lacademie.info. Les bonnes pratiques en matiere de controle interne dans les pme, Octobre 2008. URL http://lacademie.info.

R. Le Duff, G. Cliquet, and C. Vailhen. Encyclopédie de la gestion et du management : ECM. Dalloz, Paris, 1999.

C. Lennox. Audit quality and auditor size: An evaluation of reputation and deep pockets hypotheses. Journal of Business Finance Accounting, 26(7&8) :779-805, 1999.

C. Makram and B. B. Pige. La qualite de l'audit : analyse critique et proposition d'une approche d'evaluation axee sur la nature des travaux d'audit r(c)alises. Mars 2004. URL http://www.afc-cca.com/archives/docs_congres/25_congres2004/ fichierpdf/chemingu_%20pige2.pdf.

H. Mintzberg. Structure et dynamique des organisations. Les Ed. d'Organisation, 1982.

D. Patterson, G. Gibson, and R. Katz. A case for redundant arrays of inexpensive disks (RAID). In Proceedings of the 1988 ACM SIGMOD international conference on Management of data, pages 109116. ACM, 1988.

B. Pige. Les enjeux du marché de l'audit. Revue française de gestion, (6) :87103, 2003.