Maîtrise Universitaire en Comptabilité, Contrôle et Finance Audit des systèmes d'information Partie 3: ANNNEXES Module Audit Emanuel Campos - version 2015
Exemple - 1
Exemple - 1(suite)
Exemple - 1(suite) De quel type de risque d’agit il ? Qui est responsable ? Quel est l’impact pour l’auditeur d’une des banques concernées ?
Les bases légales du SCI Exigence pour le SCI (ou de la gestion des risques) SA 728a CO lesquelles connaitre
Tous les modèles de SCI intègrent l’informatique Exemple: Ici avec le modèle de l'administration fédérale suisse qui est inspiré du modèle IT Control Objectives for SOX et suit une modélisation « processus métier » Dimension processus metier
NAS 890 Norme d’audit sur le vérification du SCI Points principaux La responsabilité d’un SCI et d’une gestion des risques appropriés incombe au Conseil d’administration La responsabilité de la mise en place incombe à la Direction Le SCI est désormais explicitement désigné dans la loi comme objet de vérification Le SCI se rapporte au «rapport financier» L'étendue et la conception du SCI dépendent de la taille et de la complexité de l’activité de l’entreprise peut plus se limiter a une discussion financiere, il y a IT le (a) c‘est „l‘environnement de controle“ 27
NAS 890 Norme d’audit sur le vérification du SCI Terme: système de contrôle interne (SCI) Le SCI comprend tous les processus et les mesures qui garantissent une tenue régulière de la comptabilité et un rapport financier adéquat. Le SCI peut être structuré comme suit: contrôles au niveau de l’entreprise (ELC), contrôles des processus (PC) et contrôles informatiques généraux (ITGC) Une structuration selon le référentiel COSO (voir www.coso.org) est également possible. peut plus se limiter a une discussion financiere, il y a IT le (a) c‘est „l‘environnement de controle“ 27
NAS 890 Norme d’audit sur le vérification du SCI Termes: Conseil d’administration (CA) et Direction Le CA fixe les principes de la comptabilité, du contrôle financier ainsi que du plan financier, nomme et révoque la Direction, a la haute surveillance sur celle-ci, établit le rapport de gestion (rapport annuel et états financiers) et informe le juge en cas de surendettement (art. 716a CO). Lorsqu’il est fait référence aux deux organes, la norme 890 parle de «Direction de l’entreprise». © Akademie der Treuhand-Kammer AG
NAS 890 Norme d’audit sur le vérification du SCI Terme: risque Par risque au sens de la norme 890 on entend le risque d’anomalies significatives dans les comptes annuels. Ce risque représente une partie des risques d’entreprise.. © Akademie der Treuhand-Kammer AG
NAS 890 Norme d’audit sur le vérification du SCI Terme: contrôles au niveau de l’entreprise (ELC) Les ELC sont des contrôles de niveau supérieur, ce qui signifie qu’ils couvrent simultanément plusieurs processus ou domaines. La NAS 890 fait la distinction entre les «ELC directs» et les «ELC indirects». Les ELC directs sont effectués par la Direction elle-même ou ordonnés par elle. Exemples pratiques: Règlement des signatures pour les achats, les investissements (dépenses d’investissement) et les paiements; planification financière opérationnelle et stratégique avec analyse des écarts entre les prévisions et les chiffres réels; règlement pour l’embauche du personnel, les promotions et les plages de salaires et de bonus. © Akademie der Treuhand-Kammer AG
NAS 890 Norme d’audit sur le vérification du SCI Terme: contrôles au niveau des processus (PC) Les PC sont des contrôles intégrés dans des processus. Ils peuvent être manuels ou automatisés. Un processus peut comporter les étapes suivantes: initialisation, traitement et comptabilisation. Exemples pratiques: Un appel d’offres est uniquement lancé une fois que le CFO a apposé son visa sur la demande d’investissement. Une créance ouverte d’un débiteur fait l’objet d’un ajustement de valeur uniquement après l’obtention de l’accord du Directeur commercial et/ou lorsque le montant en suspens a plus de 180 jours. Tout produit est uniquement livré lorsque le contrôleur documente par écrit que toutes les factures précédentes ont été réglées © Akademie der Treuhand-Kammer AG
NAS 890 Norme d’audit sur le vérification du SCI Terme: contrôles informatiques généraux (ITGC) Les ITGC constituent la base pour le fonctionnement correcte des contrôles d’applications automatisés. Ils couvrent l’accès physique, les droits d’accès logiques, les modifications des données et des systèmes (matériel et logiciel) ainsi que la sécurité des données (continuité et intégrité). Exemples pratiques: La séparation des fonctions est assurée par des droits d’accès logiques. Il existe des sauvegardes de tous les systèmes critiques. Ces sauvegardes sont testées régulièrement. Lors de pannes de systèmes, des systèmes de remplacement prennent le relais © Akademie der Treuhand-Kammer AG
NAS 890 Norme d’audit sur le vérification du SCI Terme: «tests de cheminement» (walk-through tests) Un test de cheminement est une procédure de contrôle qui permet de retracer une opération spécifique du début à la fin. Les documents et les contrôles correspondants sont entièrement remis en question et réévalués. Un test de cheminement suffit à évaluer la conception et la mise en place du SCI à une date donnée, mais pas à vérifier l’efficacité du SCI sur une période donnée. Exemple pratique: La vente d’un véhicule est vérifiée depuis la commande, le contrat d’achat, la production, la mise à disposition, le paiement et la livraison avec tous les documents s’y rapportant. © Akademie der Treuhand-Kammer AG
NAS 890 Norme d’audit sur le vérification du SCI Terme: contrôles-clés (KC) Les contrôles-clés sont destinés à prévenir ou à déceler des anomalies significatives du point de vue de l’ensemble de l’entreprise dans le rapport financier. La norme 890 ne prévoit pas de vérification systématique de tous les contrôles mais se limite à celle des contrôles-clés («Key Controls (KC)»). Exemple pratique: Le contenu des caisses des magasins des filiales est compté tous les jours et rapproché avec le système. Le KC se limite à la documentation mensuelle. Les mouvements de stocks sont comptabilisés immédiatement. Le magasin est inventorié une fois par an. L’inventaire annuel constitue un KC. Le visa sur les bons de préparation et de livraison n’est pas obligatoirement un KC. © Akademie der Treuhand-Kammer AG
NAS 890 Norme d’audit sur le vérification du SCI Termes: déficit de contrôle et faiblesse Il y a déficit de contrôle («deficiency in design and/or operation») lorsque des carences existent dans la définition des principes ou la mise en application d’un contrôle, qui conduisent à ce que le contrôle ne puisse pas remplir son objectif ou ne soit pas exécuté conformément aux prescriptions. Il y a faiblesse («material weakness») lorsqu’un ou plusieurs déficits de contrôle conduisent à ne pas pouvoir prévenir ou déceler une erreur significative dans les comptes annuels (en raison d’erreurs ou de fraudes). © Akademie der Treuhand-Kammer AG