Les Normes et les référentiels Les compétences requises pour accomplir des audits exigent des normes et des référentiels qui s'appliquent à l'audit des SI. Il existe des normes professionnelles internationales et nationales, et des référentiels relatifs à l'audit des entités informatisées. Ils sont élaborés par des organisations internationales qui ont le plus souvent des correspondants nationaux. Les principaux organismes, normes et référentiels sont présentés dans le tableau suivant. Il ne s'agit pas d'une liste exhaustive. L'objectif des normes est d'informer les auditeurs du niveau minimal acceptable pour répondre aux responsabilités professionnelles et les autres parties des attentes de la profession d'audit.
Les Normes Professionnelles Les normes d'audit interne Au niveau international, ce sont les normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (lIA) qui constituent le référentiel de la mission d'audit interne. Elles sont complétées par un code de déontologie fournissant aux auditeurs internes les principes et valeurs régissant leur pratique professionnelle. Selon l'IFACI, les normes ont pour objet: · de définir les principes fondamentaux de la pratique de l'audit interne ; · de fournir un cadre de référence pour la réalisation et la promotion d'un large champ d'intervention d'audit interne à valeur ajoutée; · d'établir les critères d'appréciation du fonctionnement de l'audit interne; · de favoriser l'amélioration des processus organisationnels et des opérations. Les normes se composent: · de normes de qualification qui précisent les caractéristiques que doivent présenter les organisations et les personnes accomplissant des missions d'audit interne; · de normes de fonctionnement qui décrivent la nature des missions d'audit interne et définissent des critères de qualité permettant de mesurer la performance des services fournis ; · de normes de mise en œuvre qui précisent les deux types de normes précédentes en indiquant les exigences applicables dans les activités d'assurance (évaluation objective en vue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une opération, une fonction, un processus, un système ou tout autre sujet) ou de conseil. La norme de qualification 1210.A3 stipule notamment que « les auditeurs internes doivent posséder une connaissance suffisante des principaux risques et contrôles relatifs aux technologies de l'information, et des techniques d'audit informatisées susceptibles d'être mises en œuvre dans le cadre des travaux qui leur sont confiés. Lire aussi p 442, 443 La régularité des comptes ( selon la norme) La fidelité des comptes à la situation réelle de l’entreprise
Les Normes Professionnelles Les normes d'audit externe Au niveau international, ce sont les normes ISA qui constituent le référentiel de la mission d'audit externe. Elles ont été élaborées et publiées par l'International Auditing and Assurance Standards Board (IAASB), qui est une dépendance de l'IFAC (International Federation of Accountants). Les objectifs des normes d'audit des systèmes d'information de l'ISACA sont d'« informer: · les auditeurs de systèmes d'information du niveau minimum de diligence requis pour satisfaire les responsabilités professionnelles définies dans le code d'éthique professionnelle de l'ISACA ; · la direction et les autres parties prenantes de ce qu'elles sont en droit d'attendre des travaux professionnels des auditeurs» (source: AFAI, La Revue, n" 78, mars 2005). L'architecture des normes d'audit des systèmes d'information de l'ISACA comprend plusieurs niveaux : · les normes définissent les exigences obligatoires pour la conduite de l'audit des systèmes d'information et la rédaction des rapports; · les recommandations apportent des conseils pour l'application des normes ISA; · les procédures donnent des informations sur la façon de satisfaire aux normes lors de l'accomplissement des travaux d'audit. Les normes ISA de référence sont: la norme ISA 315 - la norme ISA 330 - Par ailleurs, la norme ISCQ1 (International Standard on Quality Control), établie par l'IFAC, définit les exigences relatives à la mise en place d'un système de « contrôle qualité des cabinets réalisant des missions d'audit ou d'examen limité d'informations financières historiques, et d'autres missions d'assurance et de services connexes ». Lire aussi p 442, 443 La régularité des comptes ( selon la norme) La fidelité des comptes à la situation réelle de l’entreprise
Les Normes Professionnelles la norme ISA 315 - Connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives; La norme ISA 315 1. L'objet de la présente Norme Internationale d'Audit (International Standard on Auditing, ISA) est de définir des procédures et des principes fondamentaux et de préciser leurs modalités d'application concernant la prise de connaissance de l'entité et de son environnement par l'auditeur, y compris de son contrôle interne, et l'évaluation du risque que les états financiers, objet de l'audit, contiennent des anomalies significatives. L'importance de l'évaluation des risques par l'auditeur dans la conception et la mise en oeuvre de procédures d'audit complémentaires est abordée plus amplement dans la présentation du risque d'audit dans la Norme ISA 200 « Objectif et principes généraux en matière d'audit d'états financiers ». Lire aussi p 442, 443 La régularité des comptes ( selon la norme) La fidelité des comptes à la situation réelle de l’entreprise
Les Normes Professionnelles La norme ISA 315 17. L'auditeur exerce son jugement professionnel pour déterminer quels sont les membres de l’équipe affectée à la mission participant à cette discussion, comment et quand elle a lieu, et les thèmes abordés. Les membres-clés de l’équipe affectée à la mission participent habituellement à cette réunion; il n'est cependant pas nécessaire que tous les membres de l’équipe affectée à la mission aient une connaissance complète de tous les aspects de l'audit. Les thèmes abordés dépendent de leur rôle, de leur expérience, et de leur besoin d'information. Si l'audit se déroule dans plusieurs sites, il peut y avoir, par exemple, plusieurs réunions qui impliquent les membres-clés de l’équipe dans chaque site significatif. Il convient également de déterminer, lors de la planification de ces réunions, s’il convient d'y associer les experts assignés à l’équipe affectée à la mission. Par exemple, l'auditeur peut considérer qu'il est nécessaire pour l'équipe affectée à la mission d’avoir un expert en technologie de l'information(2), ou d'autres compétences, et, par conséquent, de faire participer cette personne à la discussion. Lire aussi p 442, 443 Donner un aperçu du disque et toutes les normes
Les Normes Professionnelles La norme ISA 320 a pour objectif de définir des procédures et des principes fondamentaux et de préciser leurs modalités d'application concernant le concept de caractère significatif et sa relation avec le risque d'audit. Lors de la réalisation d'un audit, l'auditeur doit prendre en compte le caractère significatif et la relation existant avec le risque d'audit. Le terme «importance relative» (équivalent à « caractère significatif ») est défini dans le « Cadre pour la préparation et la présentation des états financiers » approuvé par l’International Accounting Standards Board (IASB), dans les termes suivants:« L’information est significative si son omission, ou son inexactitude, peut influencer les décisions économiques que prennent les utilisateurs sur la base des états financiers. L’importance relative dépend de la taille de l'élément ou de l'erreur, jugée dans les circonstances particulières de son omission ou de son inexactitude. En conséquence, l’importance relative fournit un seuil ou un critère de séparation plus qu'une caractéristique qualitative principale que l’information doit posséder pour être utile ». Caractère significatif L’objectif d’un audit d'états financiers est de permettre à l'auditeur d'exprimer une opinion selon laquelle les états financiers ont été établis, dans tous leurs aspects significatifs, conformément à un référentiel comptable applicable. L'évaluation de ce qui est significatif relève du jugement professionnel. Lors de l'élaboration du plan d'audit, l'auditeur définit un seuil de signification acceptable afin de détecter les anomalies quantitatives significatives. Toutefois, il convient de tenirompte à la fois du montant (quantité) et de la nature (qualité) des anomalies. Lire le paragraphe : Page 122 -&9 A Page 122 -&9 B Quels sont les risques ?
Les Normes Professionnelles La norme ISA 330 L'objet de la présente Norme Internationale d'Audit (International Standard on Auditing,ISA) est de définir des procédures et des principes fondamentaux et de préciser leurs modalités d’application relatifs à la définition de réponses globales et de procédures d’audit complémentaires à mettre en oeuvre en fonction de l’évaluation du risque d’anomalies significatives au niveau des états financiers et des assertions dans le cadre de l’audit des états financiers. La prise de connaissance de l’entité et de son environnement, y compris de son contrôle interne, et l’évaluation du risque d’anomalies significatives, sont décrites dans la Norme ISA 315 « Connaissance de l’entité et de son environnement et évaluation du risque d'anomalies significatives ». Distribuer le document 330
Les Normes Professionnelles Les normes professionnelles nationales En France, c'est la CNCC (Compagnie nationale des commissaires aux comptes) qui réalise le référentiel normatif homologué applicable à la profession française. Il a été entériné courant 2000. La transposition dans le référentiel français des normes d'audit internationales de l'IFAC a poursuivi deux objectifs: · positionner clairement la France au regard du référentiel normatif international (IAASB) ; · témoigner du haut degré de qualité de la certification des commissaires aux comptes. De cette transposition ont découlé notamment les normes d'audit en environnement informatisé: · la norme CNCC 2-301 relative à l'évaluation du risque et au contrôle interne; · la norme CNCC 2-302 relative à l'audit réalisé dans un environnement informatique. Ces textes ont été remplacés le 1er mai 2007 par les normes d'exercice professionnel: -la norme NEP 315 - Connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives dans les comptes; · la norme NEP 330 - Procédures d'audit mises en œuvre par le commissaire aux comptes à l'issue de son évaluation des risques. Ces NEP découlent des normes internationales ISA 315 et 330. Les NEP ont valeur de loi et s'imposent dans le cadre de la mission du CAC. Elles ont pour vocation première « de garantir le bon exercice des missions et permettent de trouver, dans une doctrine émanant de l'organisation professionnelle seule habilitée à définir, les critères d'appréciation nécessaires» (Référentiel normatif CNCC, juillet 2003, §0-100, Préambule). Projeter le document CNCC