L'audit dans un milieu informatisé( Télécharger le fichier original )par Oussama Ghorbel & Wael Rekik IHEC SFAX - Maà®trise en Théories et Techniques Comptables 2008 |
L'impact des Technologies d'information et de communication sur l'audit financier2 Chapitre L'existence d'un environnement informatique ne modifie pas l'objectif et l'étendue de la mission du CAC. Néanmoins, l'utilisation d'un ordinateur modifie la saisie et le processus de traitement, la conversation des données et la communication des informations financières et peut avoir une incidence sur les systèmes comptables et de contrôle interne de l'entité. En conséquence, un environnement informatique peut avoir une influence sur : ü La démarche suivie par l'expert-comptable pour acquérir une connaissance suffisante des systèmes comptables et de contrôle interne (Annexe 2); ü La prise en compte du risque inhérent (Annexe 3) et du risque lié au contrôle (Annexe 4) permettant d'évaluer le risque d'audit ; ü La conception et l'exécution de tests de procédures et de contrôles substantifs nécessaires en la circonstance pour atteindre l'objectif de l'audit. Section 1. Les effets des TIC sur la planification de la mission d'audit financier La phase « planification de la mission » conduit à l'élaboration du plan de mission et implique la prise en compte du système d'information de l'entreprise. Cette phase est particulièrement importante pour le bon déroulement de la mission, elle représente souvent une part significative du budget d'heures, notamment la première année du mandat. Pour les années suivantes, le poids relatif de cette phase par rapport à celle d'évaluation des risques et d'obtention des éléments probants pourra diminuer, sous réserve qu'aucune modification majeure n'intervienne d ans l'environnement de l'entreprise et de son organisation. L'expert comptable doit prendre en compte l'environnement informatique et sont incidence sur la démarche d'audit. Il doit ainsi prendre en considération les nouveaux risques inhérents et les risques de non contrôles associés aux traitements informatisés.
1. La prise de connaissance des systèmes et de l'environnement informatique : Selon l'ISA 401 « L'utilisation des systèmes informatiques par les entreprises oblige l'expert comptable d'acquérir ou de procéder à une connaissance suffisante de l'environnement informatique de l'entité pour planifier, diriger, superviser et revoir les travaux de contrôle effectués. Il détermine si des compétences informatiques particulières sont nécessaires pour réaliser la mission. ». Celles-ci peuvent être utiles pour : ü Obtenir une compréhension suffisante de système comptable et de contrôle interne influencé par l'environnement informatique ; ü Déterminer l'incidence de l'environnement informatique sur l'évaluation générale du risque et sur l'évaluation de risque au niveau du solde des comptes et des catégories d'opérations ; ü Concevoir et mettre en oeuvre des tests de procédures et des contrôles substantifs appropriés. Si des compétences particulières sont requises, l'expert comptable peut demander l'assistance d'un professionnel possédant ces compétences ; il peut s'agir d'un collaborateur ou d'un spécialiste externe. Cette prise de connaissance est limitée aux systèmes ayant une incidence significative sur les assertions sous-tendant l'établissement des états financiers. La phase de collecte de l'information est plus importante la première année ou l'année du changement avant de pouvoir décider de la stratégie. En revanche, les années suivantes, compte tenu des connaissances d'audit accumulées, le processus doit être plus rapide puisque focalisé uniquement sur les changements de l'exercice. Elle englobe la collecte d'un complément d'informations spécifiques concernant essentiellement les éléments suivants : ü L'organisation de la fonction informatique et le degré de concentration et de décentralisation ; ü Les contrôles de la direction sur la fonction informatique ; ü Dans quelle mesure l'activité repose sur les systèmes informatiques et l'importance et la complexité des traitements informatisés (volume des opérations, calculs complexes, génération automatique des traitements et/ou des opérations, échanges de données, etc.) ; ü Les caractéristiques principales des systèmes et des environnements et les contrôles qui y sont rattachés (conception, configuration du matériel informatique, sécurité, disponibilité des données, contrôles liés à l'environnement informatique, contrôles liés aux ERP, etc.) ; ü Les changements significatifs en termes de systèmes et d'environnements informatiques ; ü Les problèmes antérieurs identifiés au niveau des systèmes. Selon la CNCC cette phase nécessite ainsi la prise en compte des domaines suivants dans la définition du contenu du plan de la mission :
L'analyse de cette stratégie informatique dans le plan de mission conduit à déterminer des situations où le risque sur la fiabilité du système d'information sera plus ou moins important ;
L'analyse de la fonction informatique dans le plan de mission conduit à déterminer des situations où le risque sur la fiabilité du système d'information sera plus ou moins important ;
2. La prise en compte des nouveaux risques inhérents et risques liés au contrôle : Selon l'ISA 400 de l'IFAC, le risque inhérent est défini comme étant « la possibilité, en l'absence des contrôles internes liés, que le solde d'un compte ou qu'une catégorie d'opérations comporte des anomalies significatives isolées ou cumulées avec des anomalies dans d'autres soldes ou catégories d'opérations ». Cette même norme définie ainsi le risque lié au contrôle comme étant « le risque qu'une anomalie dans un solde de compte ou dans une catégorie d'opération, prise isolément ou cumulée avec des anomalies dans d'autres soldes de comptes ou d'autres catégories d'opérations, soit significative et ne soit ni prévenue, ni détectée par les systèmes comptables et de contrôle interne et donc non corrigée en temps voulu ». Selon la CNCC, la nature des risques dans un environnement informatique est liée aux spécificités suivantes : ü Le manque de trace matérielle justifiant les opérations qui entraîne un risque plus important de non détection des erreurs contenues dans les programmes d'application ou les logiciels d'exploitation ; ü L'uniformité du traitement des opérations qui permet d'éliminer quasiment toutes les erreurs humaines, en revanche, les erreurs de programmation peuvent entraîner un traitement incorrect de toutes les opérations ; ü La séparation insuffisante des tâches qui résultent souvent de la centralisation des contrôles ; ü Le risque d'erreur et d'irrégularité qui peut provenir : - D'erreurs humaines dans la conception, la maintenance et la mise en oeuvre plus importante que dans un système manuel, - D'utilisateurs non autorisés qui acceptent, modifient, suppriment des données sans trace visible. L'utilisation des technologies d'information et de communication entraîne généralement des risques inhérents élevés justifiés par : ü Leur extrême flexibilité et complexité ; ü La multiplicité des systèmes en intégration ; et ü La multiplicité des utilisateurs. A titre d'exemple, l'absence de sécurité du système d'exploitation peut résulter en des changements de données ou de programmes altérant, par conséquent, la fiabilité des états financiers. Lorsque des états financiers ou des documents déposés auprès des autorités de réglementation sont établis à l'aide de XBRL, ils sont exposés aux risques d'erreurs habituels concernant les états financiers, mais aussi à d'autres risques liés à la mise en correspondance des comptes et des étiquettes et à l'utilisation des taxonomies2(*) appropriées. La mise en correspondance adéquate des étiquettes fait en sorte que les données récupérées soient les bonnes. Si des informations financières devaient être communiquées en temps réel, le risque d'erreur dans les états financiers pourrait s'avérer plus élevé, selon les contrôles mis en place sur les modifications apportées à ces données, et les contrôles mis en place sur les changements survenus dans la mise en correspondance des données et des étiquettes. En pareil cas, il existerait un risque supplémentaire que les données recueillies au moyen des étiquettes changent, et que ces changements contiennent des erreurs ou ne soient pas vérifiés. Des contrôles additionnels doivent donc être mis en oeuvre pour assurer l'exactitude et l'intégrité des données. Pour apprécier les risques inhérents associés à l'utilisation des systèmes informatiques, l'auditeur est amené à vérifier des différents aspects. L'auditeur peut considérer, par exemple, les éléments suivants : ü L'intégrité, l'expérience et les connaissances de la direction informatique ; ü Les changements dans la direction informatique ; ü Les pressions exercées sur la direction informatique qui pourraient l'inciter à présenter des informations inexactes ; ü La nature de l'organisation de l'affaire et des systèmes de l'entreprise (Exemples : le commerce électronique, la complexité des systèmes, le manque de systèmes intégrés) ; ü Les facteurs qui affectent l'organisation dans son ensemble (Exemple : changements technologiques) ; ü La susceptibilité de perte ou de détournement des actifs contrôlés par le système. En cas de l'externalisation de la fonction informatique, l'entreprise se trouve susceptible d'une éventuelle perte ou détournement des actifs contrôlés par le système. L'auditeur doit procéder ainsi à une évaluation préliminaire du risque lié au contrôle au niveau de la planification. Cette évaluation doit être fixée à un niveau élevé sauf si l'auditeur : ü Envisage de réaliser des tests de procédures pour étayer son évaluation ; ü Parvient à identifier des contrôles internes appliqués à une assertion particulière et susceptible de prévenir ou détecter et corriger une anomalie significative. 3. Considérations particulières en cas d'externalisation : L'externalisation représente le recours de certaines entreprises à des services bureaux pour tout ce qui se rattache à leur système d'information. Selon l'ISA 402 portant sur les facteurs à considérer lorsque l'entité fait appel à un service bureau : l'expert comptable détermine l'importance des prestations fournies par le service bureau et leur incidence sur sa mission d'audit. Pour ce faire, il prend en compte les éléments suivants : ü Nature des prestations fournies ; ü Conditions contractuelles et relations entre l'entité et le service bureau ; ü Assertions significatives sous-tendant l'établissement des comptes qui peuvent être influencées par le recours à un service bureau ; ü Risques inhérents associés à ces assertions ; ü Interactions entre les systèmes comptables et de contrôle interne de l'entité et ceux du service bureau ; ü Contrôles internes de l'entité auxquels sont soumises les opérations traitées par le service bureau ; ü Organisation interne et la surface financière du service bureau et incidence éventuelle d'une défaillance de ce dernier ; ü Informations émanant du service bureau telles que celles figurant dans ses manuels utilisateurs et ses manuels techniques ; ü Informations disponibles sur les contrôles généraux et les contrôles informatiques relatifs aux applications utilisées par le service bureau pour l'entité. Si l'expert comptable conclut que les activités du service bureau ont une incidence significative sur le fonctionnement de l'entité et peuvent en conséquence affecter la démarche d'audit, il rassemble des informations suffisantes pour comprendre les systèmes comptables et de contrôle interne du service bureau et évalue le risque lié au contrôle à un niveau élevé, ou à un niveau inférieur (moyen ou faible) selon que des tests de procédures seront ou non réalisés. 4. L'effet des systèmes informatiques sur la stratégie d'audit : La stratégie d'audit a pour but de déterminer les procédures à mettre en oeuvre pour atteindre les objectifs d'audit. Elle est définie par rapport au niveau de confiance accordé aux contrôles de direction, contrôles informatiques généraux et les contrôles d'applications. Avec l'évolution des TIC, l'approche basée sur les systèmes semble être, dans la plupart des cas, la plus adaptée et la plus efficace et ce, en raison notamment de : ü La conscience de plus en plus ressentie des dirigeants des entreprises de la nécessité de mettre en place les sécurités nécessaires comme condition indispensable de la pérennité ; ü Le volume de plus en plus important des transactions, leur complexité et leur étendue ; ü La dématérialisation des informations. Par ailleurs, cette approche permet aux auditeurs d'apporter de la valeur à l'entreprise à travers des conseils touchant aussi bien les processus que la sécurité des traitements. Section 2. Les effets des TIC sur les objectifs du contrôle L'évaluation des contrôles par l'auditeur se fait généralement par références aux objectifs du contrôle. Nous allons étudier, dans ce qui suit, l'évolution de ces objectifs dans le cadre d'un milieu informatisé. 1. La validité des transactions : Il est à noter que seulement les transactions valides et autorisées par la direction soient saisies dans le système. Les contrôles sur la validité et l'autorisation sont importants pour la prévention contre les fraudes qui peuvent survenir suite à la saisie et au traitement de transactions non autorisées. Dans la plupart des cas, les procédures d'autorisation sont similaires à celles d'un système non informatisé. Toutefois, les procédures dans le cadre informatisé peuvent présenter les différences suivantes : ü L'autorisation des données se fait, souvent, lors de la saisie dans le système (ou aussi, dans certains cas, après avoir effectué les contrôles d'exhaustivité et d'exactitude des inputs et des mises à jour) et non lors de l'utilisation des outputs correspondants. Dans ce cas, il est important de s'assurer que l'autorisation demeure valable et que des changements ne peuvent pas être apportés durant les traitements subséquents ; ü L'autorisation des données peut être gérée par exception. En effet, c'est l'ordinateur qui identifie et rapporte les éléments identifiés et nécessitant une autorisation manuelle. Dans ce cas, l'attention est focalisée sur les éléments importants susceptibles d'être incorrectes améliorant ainsi l'efficacité et l'efficience des contrôles manuels. Exemple : nombre d'heures saisies pour un employé dépasse de 50% les heures normales du travail ; ü Dans certains cas, la capacité du programme à tester la validité des éléments est si précise que le recours aux autorisations manuelles n'est plus requis. Exemple : une réception de marchandise peut être rejetée par le système si un bon de commande autorisé correspondant ne figure pas dans ledit système ou figure pour des quantités différentes. 2. L'exhaustivité des inputs : Le contrôle de l'exhaustivité, qui est l'un des contrôles les plus fondamentaux, est nécessaire afin de s'assurer que chaque transaction a été introduite dans le système pour traitement. En outre, les contrôles de l'exhaustivité consistent à s'assurer que : ü Toutes les transactions rejetées sont rapportées et suivies ; ü Chaque transaction est saisie une seule fois ; ü Les transactions doublement saisies sont identifiées et rapportées. Il existe plusieurs techniques disponibles pour contrôler l'exhaustivité des inputs. Nous citons, à titre indicatif, les contrôles suivants : ü Le contrôle automatisé du respect de la séquence numérique des différents documents : L'ordinateur rapporte les numéros manquants des pièces justificatives ou ceux existants doublement afin d'être suivis d'une façon manuelle. La réalisation effective de ce contrôle suppose l'existence de procédures adéquates dont par exemple les procédures de gestion des ruptures de la séquence, les procédures à suivre en cas de l'utilisation simultanée de plusieurs séquences à la fois (cas d'une entreprise à plusieurs agences, exemple : banques). En outre, le fichier des numéros manquants ou doubles devrait être protégé contre toute modification non autorisée ; ü Le rapprochement automatique avec des données déjà saisies et traitées : Exemple: rapprochement des factures avec les bons de livraison. Dans ce cas, l'ordinateur doit permettre la génération d'un rapport des éléments non rapprochés pour s'assurer que toutes les livraisons clients ont été facturées. 3. L'exactitude des inputs : L'exactitude des inputs consiste à s'assurer que chaque transaction, y compris celle générée automatiquement par les systèmes, est enregistrée pour son montant correct, dans le compte approprié et à temps. Le contrôle de l'exactitude se rattache aux données de la transaction traitée par contre le contrôle de l'exhaustivité se limite à savoir, uniquement, si la transaction a été traitée ou pas. Le contrôle de l'exactitude devrait englober toutes les données importantes que ce soit des données financières (exemple : quantité, prix, taux de remise, etc.) ou des données de référence (exemple : numéro du compte, date de l'opération, les indicateurs du type de la transaction, etc.). L'appréciation des contrôles de l'exactitude se fait par référence aux éléments de données jugés importants. Il existe plusieurs techniques qui peuvent être utilisées pour contrôler l'exactitude des inputs. Nous en citons, à titre d'exemple, les suivantes : ü Le rapprochement automatique avec les données déjà saisies et traitées : Il s'agit de la même technique détaillée ci-dessus. Toutefois, l'action devrait être focalisée sur les données composant la transaction et non uniquement sur l'existence de la transaction ; ü Le contrôle de la vraisemblance : Il s'agit, par exemple, de tester si les données saisies figurent dans une limite prédéfinie. Les données n'obéissant pas à cette limite ne sont pas nécessairement des données erronées mais sont douteuses et nécessitent des investigations supplémentaires. Ce type de contrôle est mis en place pour les éléments de données qu'il est souvent difficile ou non pratique de contrôler autrement. Exemple : dans une application de paie, contrôlé si le nombre d'heures travaillées par semaine ne dépasse pas 60 heures. 4. L'intégrité des données : Il s'agit des contrôles permettant d'assurer que les changements apportés aux données sont autorisés, exhaustifs et exacts. Les contrôles d'intégrité sont requis aussi bien pour les données des transactions que pour les fichiers de données permanentes et semi permanentes. Ils sont désignés pour assurer que : ü Les données sont à jour et que les éléments inhabituels nécessitant une action sont identifiés ; ü Les données conservées dans les fichiers ne peuvent être changées autrement que par les cycles de traitements normaux et contrôlés. Les techniques les plus utilisées pour contrôler et maintenir l'intégrité des données sont les suivantes : ü La réconciliation des totaux des fichiers : Cette réconciliation peut se faire d'une façon manuelle ou par le système ; ü Les rapports d'exception : Cette technique implique que le système informatique examine les données du fichier et rapporte sur les éléments qui semblent incorrects ou hors date ; Exemple : cette technique peut être utilisée pour contrôler l'exactitude des fichiers des prix de valorisation des stocks en produisant périodiquement les rapports d'exception suivants : - Les prix n'ayant pas été modifiés pour une certaine période ; - Les prix ayant des relations anormales avec les prix de vente ; - Les prix ayant eu des fluctuations anormales. ü Vérification détaillée des données des fichiers : Cette vérification se fait par sondage. Sa fréquence dépend largement de l'importance des données et de l'existence et de la force des autres contrôles en place. 5. L'exhaustivité des mises à jour : Le contrôle de l'exhaustivité des mises à jour est désigné pour s'assurer que toutes les données saisies et acceptées par l'ordinateur ont mis à jour les fichiers correspondants. Les contrôles sur l'exhaustivité des inputs peuvent être applicables pour contrôler l'exhaustivité des mises à jour. Toutefois, d'autres techniques propres existent dont, notamment, la réconciliation manuelle ou automatisée du total des éléments acceptés. 6. L'exactitude des mises à jour : Lorsque les fichiers informatiques sont mis à jour, des contrôles sont nécessaires afin de s'assurer que la nouvelle entrée est correctement traitée et a correctement mis à jour les bons fichiers. Parmi les techniques utilisées pour s'assurer de l'exactitude des mises à jour, nous citons : Le rapprochement avec des données antérieures. Cette méthode est communément utilisée pour s'assurer de l'exactitude des modifications du fichier des données permanentes. Exemple : La modification du prix d'un article est saisie avec son ancienne valeur. L'ordinateur rapproche la référence et l'ancien prix saisi avec le fichier des données permanentes correspondant. La modification n'est acceptée que si le rapprochement aboutisse. 7. Limitation d'accès aux actifs et aux enregistrements : Ces contrôles visent la protection des actifs et des enregistrements contre les pertes dues aux erreurs et aux fraudes. Nous distinguons : la limitation d'accès et la séparation des tâches. ü La limitation d'accès : Ce contrôle est destiné à éviter que des personnes non autorisées puissent accéder aux fonctions de traitement ou aux enregistrements, leur permettant de lire, modifier, ajouter ou effacer des informations figurant dans les fichiers de données ou de saisir des transactions non autorisées pour traitement. Les contrôles d'accès visent, ainsi, à : - Protéger contre les changements non autorisés de données ; - Assurer la confidentialité des données ; - Protéger les actifs physiques tels que la trésorerie et les stocks. ü La séparation des tâches : Le principe de la séparation des fonctions incompatibles est le même quel que soit le moyen de traitement (manuel ou informatisé). Toutefois, dans un milieu informatisé, la séparation des tâches peut être renforcée par différents types de logiciels destinés à limiter l'accès aux applications et aux fichiers. Il est donc nécessaire d'apprécier les contrôles portant sur l'accès aux informations afin de savoir si la ségrégation des tâches incompatibles a été correctement renforcée. Enfin, il convient de préciser que ces objectifs de contrôle peuvent être regroupés selon les objectifs de contrôle classiques d'exhaustivité, d'exactitude, de validité et d'accès limité comme précisé dans le tableau suivant :
ü Tableau 1 : Les objectifs du contrôle classique (CNNC 2003) Section 3. Les effets des TIC sur les éléments probants Selon l'ISA 500, les éléments probants désignent des informations collectées par l'expert-comptable pour aboutir à des conclusions sur lesquelles il fonde son opinion. Ces informations sont constituées de documents justificatifs et de pièces comptables ayant servi à l'élaboration des comptes et qui viennent corroborer des informations provenant d'autres sources. Donc l'expert-comptable est tenu de collecter tout au long de sa mission les éléments probants suffisants et appropriées pour obtenir une assurance raisonnable lui permettant d'exprimer une opinion sur les comptes. Ces éléments probants doivent être suffisants, appropriés et fiables : ü Le caractère « suffisant » s'établit par rapport au nombre des éléments probants collectés. ü Le caractère « approprié » d'un élément probant s'apprécie par rapport à sa couverture des objectifs d'audit. ü Enfin, le caractère « fiable » s'apprécie par rapport à son objectivité, à l'indépendance et à la qualité de sa source. Selon le paragraphe 12 de la norme CNCC 2-302 les objectifs d'audit restent identiques, que les données comptables soient traitées manuellement ou par informatique. Toutefois, les méthodes de mise en oeuvre des procédures d'audit pour réunir des éléments probants peuvent être influencées par le mode de traitement utilisé. Le commissaire aux comptes peut appliquer les procédures d'audit manuelles, des techniques assistées par ordinateur, ou combiner les deux pour rassembler suffisamment d'éléments probants. Toutefois, dans certains systèmes comptables utilisant un ordinateur pour traiter des applications importantes, il peut être difficile, voir impossible, pour le commissaire aux comptes de se procurer certaines données à des fins d'inspection, de vérification ou de confirmation externe sans utiliser l'informatique. Les principales caractéristiques et techniques de collecte des éléments probants dans un milieu informatisé se présentent comme suit : 1. La dématérialisation des preuves d'audit : Suite à l'arrivée des technologies de l'information et de la communication, plusieurs documents des preuves d'audit tels que les factures, les bons de commande, les bons de livraison, etc., sont devenus électroniques. Dans le cadre d'une société qui utilise l'ERP, touts les documents de preuves sont stockés dans une base de donnée. Figure 2 : Un exemple de ERP Source : « http://blog.erp360 .net » schémas publié par Marc SHOUTEAU le 02/04/2008 Par ailleurs, l'exécution de certaines transactions peut être opérée d'une façon automatique. L'autorisation de ces opérations peut être assurée par des contrôles programmés. Ces preuves électroniques nécessaires pour l'audit peuvent n'exister que pour une courte période. L'auditeur doit prendre en compte ce phénomène pour la détermination de la nature, l'étendue et le timing des procédures d'audit. En outre, la preuve électronique est fondamentalement plus risquée que la preuve manuelle parce qu'elle est plus susceptible d'être manipulée et qu'il est plus difficile de comprendre et de vérifier sa source. 2. L'appréciation des éléments probants se rapportant aux contrôles : Plusieurs considérations devraient être prises en compte pour l'appréciation des éléments probants recueillis et se rapportant aux contrôles. En effet, la défaillance des contrôles peut avoir des effets différents selon la nature du contrôle. A titre d'exemple, les défaillances de contrôle touchant les données permanentes ont souvent une incidence plus importante que celles touchant les données variables. ü Eléments probants liés aux contrôles généraux informatiques : Il est nécessaire d'examiner la conception même des contrôles généraux informatiques et leur incidence sur les contrôles relatifs aux applications, qui revêtent un caractère significatif pour l'audit, car la mise en oeuvre des contrôles généraux informatiques est souvent déterminante pour l'efficacité des contrôles d'application et par suite, de la fiabilité des éléments probants correspondants. En outre, étant donné que la fiabilité des informations produites par le système dépend du paramétrage du progiciel (les règles qui déterminent le fonctionnement d'une application informatique, cette technique permet de confier aux utilisateurs une plus grande part de pilotage du système informatique), l'auditeur doit s'assurer que des contrôles généraux informatiques appropriés entoure le paramétrage. L'appréciation des éléments probants liés aux contrôles généraux informatiques doit tenir compte des contrôles compensatoires. A titre d'exemple : - Certaines faiblesses touchant la fonction informatique sont parfois compensées par des contrôles spécifiques d'application. Par exemple, en l'absence d'un logiciel de contrôle d'accès, l'auditeur ne peut conclure automatiquement que les risques d'accès sont élevés, étant donné que certains contrôles d'accès à l'intérieur du système d'application peuvent compenser ce risque ; - Pour les petites entreprises, il est difficile de mettre en place une séparation convenable des tâches. Toutefois, l'implication plus importante de la direction peut compenser cette déficience ; - Le risque de changements non autorisés des programmes peut être diminué si l'entreprise n'utilise que des progiciels achetés et qu'elle n'a pas accès au code source. ü Eléments probants liés aux contrôles manuels effectués par les utilisateurs : Les contrôles manuels effectués par les utilisateurs d'un logiciel se rapportent, généralement, à la vérification de l'exhaustivité et de l'exactitude des restitutions informatiques et ce, en les rapprochant avec les documents sources ou toute autre entrée (input). Les tests sur les contrôles des utilisateurs peuvent être suffisants dans les systèmes informatiques où l'utilisateur vérifie toute la production du système (output) et aucune confiance n'est placée sur les procédures programmées ou sur les données tenues sur fichier informatique. Dans un environnement informatisé, ce type de contrôle est de plus en plus limité à cause de la difficulté de réaliser le rapprochement en raison de la dématérialisation de la preuve, de l'importance du volume des opérations et de la complexité des traitements. Par conséquent, le contrôle des utilisateurs ne peut être que très sommaire et vise à identifier les éléments ayant un caractère inhabituel ou douteux. ü Eléments probants liés aux contrôles programmés et aux suivis manuels : Le résultat des contrôles programmés fait, généralement, l'objet d'une production de rapports informatiques intitulés « rapports d'exception » ou « logs d'audit ». Exemple : Rapports d'exception indiquant les autorisations de dépassement du plafond des crédits clients. Les rapports d'exception correspondants se rapportent aux : - Lots de factures fournisseurs non traitées ; - Factures non prises en charge au niveau du grand livre par l'instruction comptable automatique ; - Ecarts entre les soldes du grand livre et les soldes correspondants au niveau de la balance générale. L'efficacité de ce contrôle programmé est liée à la production informatique exacte des rapports d'exception. Il faut que ces rapports soient contrôlés manuellement. Enfin, il convient d'indiquer que l'auditeur peut utiliser les fonctions de traitement informatisées (exemple : les règles de génération des événements et des écritures comptables) comme des contrôles à condition de s'assurer, avec un degré de certitude raisonnable, de leur validité et de leur fonctionnement effectif et régulier au cours de la période considérée. Cette condition est vérifiée si l'auditeur obtient des preuves de l'existence de contrôles sur les changements de programmes, ou s'il effectue, au cours de la période qui l'intéresse, des sondages périodiques sur les fonctions de traitement informatisées. 3. Les techniques de collecte des éléments probants dans un milieu informatisé : En se referant au cours de certification et vérification des comptes dans un milieu informatisé préparé par Mr ZAMMIT Mounir dispensé aux étudiants de 4éme année de l'IHEC de Sfax, les techniques de collecte des éléments probants dans un milieu informatisé sont : ü Création d'une unité d'essai intégrée : C'est la création d'une filiale ou d'une société fictive à l'intérieur d'un système et exécution des programmes avec un fichier de données réel. L'objectif de cette technique est de permettre au vérificateur de créer dans les systèmes clients des opérations fictives qui n'affecteront pas le grand livre ou les comptes de l'entreprise afin d'examiner le fonctionnement des programmes (test des contrôles). Exemple : Les sociétés d'un secteur qui utilisent l'EDI ont créé chacune une société fictive dans leurs systèmes. Les vérificateurs utilisent les sociétés fictives pour transmettre des opérations, vérifier que les accusés de réception sont envoyés et que des rapports d'anomalies faisant état des opérations inhabituelles sont imprimés. ü Simulation parallèle (reprise) : Utilisation d'une forme de logiciel quelconque pour reproduire intégralement le traitement effectué par un programme. L'objectif de cette technique est de reproduire le fonctionnement d'un programme pour vérifier les résultats (test des contrôles et test sur les soldes de comptes). Exemple : Le vérificateur multiplie les quantités en stocks par le prix et obtient ainsi une valeur donnée pour chaque article. Ces valeurs sont additionnées et comparées au grand livre. Le vérificateur peut ainsi vérifier la valeur arithmétique de tout écart par rapport au grand livre et s'assurer que le programme effectue correctement les calculs. ü Logiciel de comparaison des programmes : C'est un logiciel qui permet au vérificateur de comparer les programmes utilisés avec les versions du code source qu'il a testées afin de relever les écarts. L'objectif de cette technique est de définir les modifications non autorisées éventuellement apportées aux programmes (test des contrôles). Exemple : On compare une version approuvée d'un programme de classement chronologique des comptes clients avec le programme utilisé pour le classement chronologique des comptes clients. ü Langages de quatrième génération ou générateur de rapports : C'est un logiciel qui utilise une interface s'apparentant à l'anglais ou contrôlée par un menu pour permettre la lecture des fichiers de données et la préparation de rapports personnalisés. L'objectif de cette technique est d'accéder aux fichiers de données des clients et imprimer des rapports ou créer des fichiers de données pour les données qui présentent un intérêt (test sur les soldes de comptes). Exemple : Une demande est acheminée à la base de données des ressources humaines et une liste de toutes les personnes qui ont effectué plus de cinquante heurs supplémentaires au cours d'une période donnée est imprimés pour examen par le vérificateur. Section 4. Les effets des TIC sur la nature et le calendrier des procédures d'audit L'environnement informatique peut avoir une incidence sur la conception et l'exécution des tests sur les contrôles et des tests substantifs nécessaires pour atteindre l'objectif d'audit. En effet, certains objectifs de l'évolution des technologies de l'information et de la communication sont antinomiques des besoins de l'auditeur, dont par exemple:
ì L'auditeur doit répondre, essentiellement, aux questions suivantes : ü Comment vérifier l'existence et le fonctionnement des contrôles qui deviennent informatiques ? ü Comment vérifier la génération des informations, qui s'appuie sur des mécanismes préprogrammés ? ü Comment remonter aux documents d'origine, s'ils n'existent plus ? ü Comment s'assurer de la réalité de la séparation des fonctions ? 1. Les tests sur les contrôles : Dans un milieu informatisé, les types de tests sur les contrôles sont les mêmes que dans un milieu on informatisé. Les principales procédures que l'auditeur peut appliquer sont les suivantes : ü La demande et l'affirmation : Les demandes consistent à chercher les informations et affirmations appropriées auprès du personnel de l'entreprise. Ils peuvent avoir pour but de connaître et mettre à jour la connaissance de l'activité de l'entreprise et d'obtenir des preuves concernant la fiabilité des systèmes de l'entreprise. En général, les preuves obtenues à partir des demandes et affirmations ne constituent pas en elles-mêmes des preuves d'audit suffisamment fiables et pertinentes. L'auditeur doit les confirmer par d'autres procédures d'audit. ü L'observation : En général, l'observation ne peut apporter des preuves très fiables du fonctionnement des contrôles qu'au moment de sa réalisation. De ce fait, l'auditeur doit réaliser d'autres procédures destinées à s'assurer que les contrôles ont été mis en oeuvre de manière continue tout au long de la période auditée. ü L'examen d'une évidence tangible : La preuve que les procédures de contrôle interne ont été correctement appliquées peut être apportée par la recherche dans les documents de signes, tels que des initiales ou une signature, indiquant que le contrôle a été effectué. Des preuves concernant le contrôle interne peuvent aussi être fournies par l'examen de la documentation des systèmes, des manuels d'utilisation, des organigrammes ou des descriptions des postes. Ces documents décrivent les systèmes préconisés par la direction générale mais n'apportent pas la preuve que, dans la pratique, les contrôles sont effectués de manière régulière. ü La répétition : Il s'agit de refaire les contrôles effectués par l'entreprise ou les fonctions de traitement afin de s'assurer de leur exactitude. Refaire un contrôle peut fournir deux sortes de preuves : - Des preuves de l'exactitude arithmétique et de la fiabilité du traitement des transactions comptables. Cette démarche est généralement essentielle pour obtenir l'assurance que les documents comptables sont complets et exacts ; - La découverte dans une transaction d'erreurs non détectées par les systèmes de contrôle est le signe du non fonctionnement d'un contrôle ou d'une faiblesse dans les systèmes de contrôle. En cas d'erreurs dans la transaction, la répétition d'un contrôle prouve soit son efficacité, si les erreurs ont été détectées et résolues de manière satisfaisante, soit son inefficacité. En l'absence d'erreurs dans la transaction, la répétition du contrôle ne permet pas de déterminer son manque de fiabilité ou les cas dans lesquels il n'a pas été réalisé avec efficacité. Il y a lieu d'indiquer que la répétition n'est normalement considérée que si les autres procédures ne permettent pas l'obtention d'une assurance suffisante que le contrôle fonctionne d'une façon effective. En outre, un contrôle peut être si significatif (ayant des conséquences significatives sur la fiabilité des états financiers) que l'auditeur doit obtenir d'autres éléments probants assurant son fonctionnement effectif. Signalons qu'en cas d'exceptions relevées, l'auditeur doit apprécier leurs implications possibles sur l'audit. Ceci est d'autant plus important en cas d'exceptions qui mettent en cause des systèmes informatiques. En effet, si les contrôles automatisés (et les contrôles manuels s'y rattachant) ou les fonctions de traitement informatisées sont inefficaces à un moment donné, il est probable qu'un certain nombre de transactions soient affectées. Par exemple : - Une erreur décelée dans la logique de la fonction de traitement informatisée qui calcule les factures de vente affectera tous les calculs effectués de la même façon ; - Une erreur dans les prix de vente unitaires utilisés dans la préparation des factures aura pour conséquence de fausser toutes les facturations effectuées depuis l'apparition de l'erreur. Une fois l'auditeur a déterminé que le contrôle automatisé fonctionne comme prévu, il doit considérer la réalisation des tests pour s'assurer que les contrôles ont fonctionné d'une façon permanente. Il en découle que si l'auditeur a testé les contrôles généraux informatiques et a conclu qu'ils sont réellement fonctionnels, ceci constitue une évidence que les procédures de contrôles programmés ont été opérationnelles tout au long de la période auditée. Ces tests peuvent englober la détermination que des modifications n'ont pas été apportées aux programmes sans respecter les contrôles appropriés des changements de programmes, que la version autorisée du programme est utilisée et que les contrôles généraux informatiques sont effectifs. 2. Les tests substantifs : L'élaboration d'une approche d'audit adapté aux risques identifiés suppose que l'on choisisse des procédures apportant un niveau approprié de conviction globale pour chaque assertion. Ainsi, les tests substantifs servent à valider les assertions d'audit non couvertes par les contrôles. Les principaux types de tests substantifs sont les suivants :
Dans un environnement informatisé, les procédures analytiques sont, généralement, plus efficaces et plus efficientes que les tests de détail. Par ailleurs, il y a lieu de noter que dans certaines circonstances où les éléments probants sont sous forme électronique, il peut ne pas être pratique ou possible de réduire le risque d'audit à un niveau acceptable en réalisant uniquement des tests substantifs. Le recours aux tests sur les contrôles est indispensable pour s'assurer de l'exactitude et de l'exhaustivité de ces éléments probants. 3. Le recours aux techniques d'audit assistées par ordinateur (TAAO) : Dans un environnement informatisé et en raison de la nature des systèmes informatiques, il est rarement possible de réaliser tous les tests requis d'une façon manuelle. L'auditeur peut être conduit à appliquer des techniques qui utilisent l'ordinateur comme aide à l'audit. Ces techniques sont appelées Techniques d'Audit Assistées par Ordinateur (TAAO). En se referant au mémoire de MOHAMED, L. (2001), le recours aux TAAO peut être nécessaire dans les cas suivants : ü L'absence de documents d'entrée ou la production informatisée de transactions comptables par des programmes informatiques (par exemple, le calcul automatique des escomptes) peuvent empêcher l'examen des pièces justificatives par l'auditeur ; ü L'absence de visualisation du chemin d'audit ne permet pas à l'auditeur de suivre matériellement les opérations ; ü L'absence d'un document de sortie matérialisé peut exiger l'accès à des données conservées dans des fichiers lisibles uniquement par l'ordinateur ; ü Le temps imparti à la réalisation de l'audit est limité. Par ailleurs, l'utilisation des TAAO peut, dans certains cas, améliorer l'efficacité et l'efficience des procédures d'audit. En effet, l'utilisation des techniques informatisées offre l'accès à une quantité plus importante de données conservées dans le système informatique. En outre, dans le cas de systèmes informatiques complexes et intégrés, l'utilisation des TAAO ne répond pas uniquement à un objectif d'efficience de l'audit mais représente aussi à un élément nécessaire à son efficacité. Selon la CNCC, les principaux avantages des TAAO sont les suivantes : ü Permettre l'obtention d'éléments probants dans un environnement dématérialisé ; ü Dépasser le stade de sondage dont l'exploitation est toujours délicate compte tenu des difficultés de mise en oeuvre et de la non exhaustivité des contrôles ; ü Identifier systématiquement toutes les anomalies répondant aux critères de sélection et/ou de calcule retenus ; ü Procéder à des traitements par simulation pour mesurer l'impacte de changements de méthode ; ü Aborder des contrôles fastidieux et complexes sur des populations nécessitant un nombre de calculs difficilement réalisables par une approche manuelle. 4. Le calendrier des procédures d'audit : Le calendrier des procédures d'audit est devenu un point critique de l'audit. Dans un environnement informatisé, le calendrier traditionnel peut être, dans certains cas, inadéquat. ü Limitation de la conservation des évidences électroniques : Le déroulement des procédures d'audit peut être influencé par le fait que des documents source, certains fichiers informatiques et d'autres éléments nécessaires à l'auditeur ne sont disponibles que pendant une courte période. En effet, les programmes informatiques peuvent résumer des transactions sur une base périodique et après purger, mettre à jour, changer, modifier, ou écrire sur les enregistrements originaux et détaillés des transactions. Par conséquent, l'auditeur devrait considérer, lors de l'élaboration de son calendrier d'intervention, la période au cours de laquelle l'information à tester existe ou est disponible. ü Dispositions en cas de mise en place de nouvelles applications : Lorsque le système est nouveau, l'auditeur peut décider de ne pas se fier aux contrôles de mise en place. Il pourra décider de tester les procédures de programmes au moment où le système devient opérationnel. Toutefois, l'auditeur peut participer lors de la mise en place ou lors des modifications de tout système même s'il n'entend pas s'y fier et ce afin de fournir un service additionnel à la société en lui indiquant les déficiences au moment où l'on peut encore y remédier et afin de s'assurer que les modalités de contrôle nécessaires ont bien été prévues. Selon PETIT, G., JOLY, D. et MICHEL, J. (1985), cette possibilité correspond à une nécessité de la pratique dans la mesure où les demandes a posteriori de l'auditeur pour une amélioration des procédures programmées de contrôle sont souvent irréalistes pour l'entreprise en raison des coûts et des aspects techniques à résoudre. La mise en oeuvre de cette possibilité suppose la compétence et le maintien de l'indépendance de l'auditeur. Section 5. Les effets des TIC sur les aptitudes et les compétences nécessaires de l'auditeur financier L'impact des technologies de l'information et de communication sur les aptitudes et les compétences nécessaires de l'auditeur financier est devenu de plus en plus important. En effet, ce nouveau cadre d'intervention exige de sa part et d'une façon continue, de nouvelles aptitudes et compétences pour faire face à la complexité des environnements informatiques. Ceci n'écarte pas la possibilité du recours à des spécialistes en cas de besoin. 1. L'exigence d'un niveau de formation minimal de l'auditeur : L'auditeur doit avoir une connaissance suffisante des technologies de l'information et de la communication et ce, afin de :
Par ailleurs, les technologies de l'information et de la communication exigent de l'auditeur : ü Une compétence et une expérience à la hauteur des difficultés rencontrées et de l'efficacité requise ; ü Une recherche permanente des méthodes et techniques nouvelles et mieux adaptées. Avec les développements constants dans tous les domaines, il est difficile que l'expert comptable soit spécialiste dans tous ces domaines. L'auditeur doit, quand même, veiller à avoir un minimum de formation et de compétence en matière de technologies de l'information et de la communication. Ce niveau minimal doit lui permettre de : ü Détecter la nécessité de faire appel à un spécialiste ; ü Définir le domaine d'intervention du spécialiste ; ü Diriger et superviser le déroulement des travaux du spécialiste ; ü Intégrer les conclusions des travaux du spécialiste avec celles de l'audit. En effet, il est utile de rappeler que l'auditeur ne peut en aucun cas déléguer la responsabilité de tirer les conclusions finales de l'audit ou celle d'exprimer son opinion sur l'information financière. En conséquence, lorsqu'il délègue certains travaux à des assistants ou qu'il a recours à des travaux effectués par d'autres auditeurs ou des experts qualifiés en technologies de l'information et de la communication, l'auditeur doit posséder des connaissances suffisantes en la matière pour diriger, superviser et examiner les travaux des assistants qualifiés et/ou pour obtenir un degré raisonnable de certitude que les travaux effectués par d'autres auditeurs ou des experts qualifiés répondent bien à ses besoins. 2. La composition de l'équipe intervenante dans une mission d'audit financier : L'équipe d'audit est responsable de tous les aspects de la mission, même dans le cas où elle se heurte à des problèmes dépassant son champ de compétence. Qu'ils fassent appel à leurs propres compétences ou à des spécialistes externes travaillant sous leur direction, les membres de l'équipe doivent avoir une compréhension suffisante des problèmes affectant la mission d'audit pour pouvoir effectuer la planification et l'exécution. Dans un système complexe, le recours à des auditeurs spécialisés dans le domaine informatique est l'une des conditions du succès de la mission d'audit. Un système complexe est défini comme étant un système qui exige une connaissance profonde des environnements informatiques et qui présente, selon l'ISA 401, les caractéristiques suivantes: ü Le volume des opérations est tel qu'il est difficile aux utilisateurs d'identifier et de corriger des erreurs de saisie, de traitement, de restitution, de programmes, etc. ; ü L'ordinateur génère automatiquement des opérations ou des écritures importantes intégrées directement dans une autre application ; ü L'ordinateur exécute des calculs complexes d'informations financières et/ou génère automatiquement des opérations ou des écritures importantes qui ne peuvent être (ou ne sont pas) validées en dehors de l'application ; ü Des opérations font l'objet d'un échange électronique avec d'autres entités (comme dans les systèmes d'échange des données informatiques (EDI)) sans contrôle manuel de la pertinence du caractère normal de ces échanges. Un environnement informatisé satisfait à la majorité de ces caractéristiques et est, par conséquent, jugé complexe. Par ailleurs, la complexité d'un système est aussi appréciée par rapport au type de l'activité. A titre d'exemple : les activités financières sont supposées être complexes. 3. Considérations en cas de recours à des spécialistes : Le spécialiste peut être soit engagé par l'entité soit engagé par l'auditeur. Le recours aux spécialistes obéit à certaines règles détaillées ci-après : ü La compétence du spécialiste : Quand l'auditeur compte utiliser le travail d'un spécialiste, il doit s'assurer que celui-ci possède la compétence suffisante en vérifiant ses qualifications professionnelles, son autorisation d'exercer ou tout autre signe de reconnaissance de sa compétence. Si le spécialiste fait partie d'un groupement professionnel édictant des normes que ses membres doivent respecter, l'auditeur peut se contenter de savoir que cette personne a bonne réputation au sein de ce groupement. ü L'objectivité du spécialiste : L'auditeur doit prendre en considération toutes les circonstances pouvant affecter l'objectivité de l'expert. Le risque de manque d'objectivité est plus élevé si le spécialiste est employé par l'entité auditée ou a avec elle une liaison directe ou indirecte. Généralement, il vaut mieux faire appel à un spécialiste indépendant de l'entité auditée et par conséquent plus objectif mais, si les circonstances l'exigent, on peut envisager d'utiliser le travail d'un membre du personnel de la société auditée, à condition que celui ci possède la compétence requise. ü Définition des termes de l'intervention du spécialiste : L'auditeur doit préciser clairement au spécialiste les conditions de son intervention et ce, en indiquant notamment l'objectif et l'étendue de ses travaux, les points spécifiques à traiter dans le rapport, l'utilisation que compte faire l'auditeur de ses travaux, les limites éventuelles d'accès aux documents et aux dossiers nécessaires, etc. De son côté le spécialiste a la responsabilité de : - Comprendre la portée de son travail sur l'ensemble de l'audit ; - Porter rapidement à la connaissance du personnel d'audit approprié toutes les conclusions pouvant avoir une incidence significative sur l'audit ou devant être communiquées à la direction de l'entreprise ; - Contrôler la progression de son travail et d'avertir le personnel d'audit approprier de leurs difficultés éventuelles à respecter les délais ou les budgets. ü L'évaluation des travaux du spécialiste : Ceci englobe l'assurance que les travaux du spécialiste constituent des éléments probants appropriés au regard de l'information financière et ce, en examinant l'adéquation de la démarche suivie et la suffisance, la pertinence et la fiabilité des données utilisées pour aboutir aux conclusions formulées. Bien que ce soit au spécialiste de garantir la pertinence et la vraisemblance de ses hypothèses et de ses méthodes, l'auditeur doit comprendre comment il les met en oeuvre, afin de déterminer si elles sont raisonnables et identiques à celles qui ont été précédemment appliquées. L'auditeur se basera sur sa connaissance des activités de l'entreprise ainsi que du résultat des autres procédures d'audit. ü La mention de l'intervention du spécialiste dans le rapport d'audit : Lorsque l'auditeur émet une opinion sans réserve, il doit éviter de faire allusion dans son rapport de l'intervention du spécialiste car elle peut être interprétée comme une réserve ou comme un partage de responsabilité. Dans le cas contraire, si le rapport ou les conclusions du spécialiste amènent l'auditeur à émettre des réserves dans son rapport d'audit, il peut être utile d'en expliquer les raisons en faisant référence au travail du spécialiste et ce, avec l'accord de ce dernier et en citant son nom. Si l'auditeur conclut que les travaux du spécialiste ne confirment pas l'information figurant dans les comptes annuels ou ne constituent pas des éléments probants suffisants et appropriés, il doit, selon le cas, émettre une opinion avec réserve ou émettre une opinion défavorable. Conclusion de la première partieOn a essayé de montrer de montrer tout au long de cette partie les différents impacts des TIC sur l'audit financier. Il convient de noter que l'objectif du commissaire aux comptes reste toujours la recherche de la fiabilité des états financiers quelque soit le milieu audité. En effet, dans la mesure où le système d'information automatisé produit l'information financier, c'est la capacité de ce système à produire une information fiable qui est analysée et évaluée par l'auditeur. De ce fait, on n'a pas focalisé sur les aspects d'efficacité et d'efficience des opérations touchées par les TIC. Face à ce nouveau contexte d'intervention caractérisé, entre autre, par la dématérialisation des informations et l'automatisation des contrôles, il est de plus en plus difficile pour l'auditeur financier de forger son opinion sans une approche approfondie du système informatique. La deuxième partie de ce mémoire est consacrée à une étude de cas dans l'objectif de pratiquer la manière avec laquelle s'intègre l'informatique dans les différentes étapes de l'audit financier. * 2 Une taxonomie est un document qui décrit les principaux éléments de données (chiffres ou texte) à inclure dans une instance XBRL pour répondre aux besoins d'un type particulier de document d'information financière |
|