La démarche d’audit La démarche d’audit s’articule toujours en Phases : La première phase permet de planifier l’audit à partir de la définition du périmètre de la mission et des risques potentiels identifiés La seconde phase permet d’analyser les risques identifiés pour déterminer quels contrôles devront être effectués pour obtenir des éléments probants La troisième phase permet d’exécuter l’obtention des preuves et d’établir le rapport Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver
La typologie des risques pour une démarche d’audit La démarche d’audit La typologie des risques pour une démarche d’audit Le risque inhérent Organisation informatique - Audit des fonctions informatiques Les anomalies significatives ( plan de continuité de service – plan de reprise d’activité- sauvegardes ) ….. Le risque de contrôle interne L’évaluation du risque d’anomalies significatives découle en partie de la compréhension qu’a l'auditeur de l’environnement de contrôle. Un environnement de contrôle efficace peut permettre à l'auditeur d’augmenter son niveau de confiance dans le contrôle interne et dans la fiabilité des éléments probants générés au sein de l’entité, Ce niveau de confiance a un impact sur les procédures d’audit à mettre en œuvre (plus/- de contrôles substantifs) Guides des procédures, Gouvernance - Maîtrise du SI, de l’ERP-Organisation …… Le risque d’audit L’évaluation du caractère suffisant des éléments probants recueillis …….je n’ai pas eu le temps, je n’ai pas eu l’expertise nécessaire il y a donc un risque de non détection Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver
La démarche d’audit Conseils pour piloter un audit et appréhender avec le plus d'objectivité possible les résultats : Bien délimiter le champ d'investigation et les enjeux de l'audit. Se préparer à la procédure d'audit. Séparer le commanditaire de l'entité en charge de l'audit. Se doter d'une direction de l'audit interne, Recourir à des référentiels solides comme ISO, CobiT (Control Objectives for Information and related Technology) dans le cadre de processus transverses, CMMI (Capability Maturity Model Integration), dans celui du pilotage de projet, ITIL (Information Technology Infrastructure Library), pour les services, etc. S'entendre sur le référentiel choisi, ainsi la clarté de la démarche d'audit sera appréhendée . Choisir la fréquence et le temps de déroulement de l'audit. Ne pas sous-estimer les limites d'un audit. » 3 3
La démarche d’audit Le rapport d'audit constitue la pièce maîtresse de la mission d'audit. Selon les normes professionnelles de l'ISACA (Information Systems Audit and Control Association), « à l'issue de son travail, l'auditeur des SI doit fournir un rapport sous une forme adéquate. Le rapport doit préciser l'entreprise, les destinataires du document et les éventuelles restrictions à sa diffusion. [ ... ] Le rapport doit spécifier la portée, les objectifs, la période couverte, la nature, la durée et l'ampleur de l'audit réalisé. [ ... ] Sur l’analyse de l’existant, l'auditeur des SI doit collecter des éléments probants suffisants et pertinents pour corroborer les résultats rapportés. [ ... ] Le rapport doit spécifier les conclusions et recommandations de l'audit, ainsi que les éventuelles limitations de portée, réserves ou qualifications jugées opportunes par l'auditeur des SI, et proposer un plan d’action. Lors de son édition, le rapport de l'auditeur des SI doit être signé, daté et distribué conformément aux termes de la charte d'audit ou de la lettre de mission» (source: www.isaca.org). Le rapport d'audit est un outil stratégique, support des améliorations du SI. 4 4