Audit des systèmes d’information de gestion Laura Carrera, Jeremy Girardin, Géraud Menettrier, Fabienne Wyler, Yuzhuo Zhang MScCCF – HEC Lausanne/Genève
entreprise société sous-traitante travailleurs assurances sociales outsourcing compliance exactitude contrôles programmés gestion
Parce qu’elle n’a pas les compétences nécessaires les ressources (temps, personnel) nécessaires Parce qu’elle veut assurer la confidentialité focaliser les ressources sur le core business économiser des coûts en minimisant l’appareil administratif
1) Comprendre le projet informatique 2) Evaluer les risques chez client 3) Informations sur la sous-traitance contrat de sous-traitance société sous-traitante 4) Tester le système 5) Evaluer le système 6) Donner une opinion
l’auditeur doit tenir en comptes les éléments suivants: la nature de l’activité sous-traitée le contenu du contrat les interactions entre les systèmes comptables et de contrôle interne du client et ceux du sous- traitant le contrôle interne du client l’organisation interne du sous-traitant
Au niveau d ’ assertion : Analyser les procédures de sélection d’un sous-traitant Respect des besoins de l’entreprise Superviser les activités des sous-traitants le contenu des contrats de sous-traitance Important considérer La fiabilité du prestataire choisi L’adéquation des compétences avec les besoins de l’entreprise La qualité des services rendus Pérennité
Au niveau de risque d‘erreurs pour le client InputParamètre d’applicationDonnées de baseOutput Nombre d’heures exact Montant de salaires horaires exact Retenues sociales correctes (taux de cotisation) Nombre de salariés exact Adresse bancaire exacte Montants versés correspondent aux montants dus Date de versement respectée La sécurité des données est-elle assurée? Si le sous-traitant intervient directement dans le système, à quelles données a-t-il accès ? Le contrat comporte-t-il une clause de confidentialité ?
Compétences du sous-traitant et qualité des prestations Dépendance : que se passe-t-il si le sous-traitant ne peut plus fournir la prestation? Protection des données, respect de la confidentialité Protection des données des salariés Protection des données du client Confiance Fiabilité et absence d’erreurs Risque de fraude Contrôle: quels sont les moyens de contrôle que le client peut exercer sur le sous-traitant pour gérer ces risques?
Les bons montants de salaires et charges sociales sont-ils payés ? La répartition des frais envoyés par l’entreprise sont-ils répartis correctement dans les comptes ? Par exemple: la facture mensuelle regroupant les salaires+charges sociales+frais de l’entreprise a bien été répartie dans les comptes du client. La facture envoyée en début d’année (N+1) pour les salaires payés le 25 décembre N figure-t-elle bien dans les comptes de l’année N ? Le client a-t-il facilement contact avec le sous-traitant ? Quelle est la protection des informations (sensibles) transmises ?
Contrôles programmés mis en place: Date de paiement = date sur le relevé bancaire Montant débité = salaire payé Montants pour les assurances sociales sont payés Adresses bancaires correspondent aux adresses des salariés Nombre des salaires payés = nombre salariés But: Vérifier à ce que l’externalisation ne soit pas une boîte noire!