DSCG_UE5 : audit en environnement comptable informatisé

Slides:



Advertisements
Présentations similaires
MGP Groupe 30 Processus de projets, contrôle des risques
Advertisements

Projet de Virtualisation dans le cadre d’un PCA/PRA
1 Présentation Juillet Présentation de notre société
METHODOLOGIE DE LAUDIT. Séance 1 Présentation de lUV Introduction Missions et fonctions de lauditeur Réglementation actuelle.
L A D A P T A B I L I T É E S T U N P R I N C I P E, L U T I L I T É U N E E X I G E N C E.
des Structures de Santé
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
Direction générale de la santé Mo VII-5-1 Des résultats évalués : vers un tableau de bord de la santé en France Lévaluation.
Le point de vue de l’auditeur
Appréciation du contrôle interne
Les fondements de la GRH
Mise en place d’un Système Intégré de Gestion des Finances Publiques
D2 : Sécurité de l'information et des systèmes d'information
La politique de Sécurité
La certification du BTS NRC
HORAIRES HEBDOMADAIRES PROPOSES Spécialité Gestion 3 heures en classe entière 2 heures en demi - groupe Soit 5 heures - élève Spécialité Communication.
Présentation de l’audit à visée participative
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
La démarche clinique infirmière
EVALUATION DES RISQUES
1 Je jure quà ma connaissance (qui est trés limitée et peut être révisée dans lavenir), le comptes de ma société sont (plus ou moins) exacts. Jai vérifié
Le projet technique S9.
L’audit assisté par ordinateur
Organisation du système d’information comptable et de gestion
MRP, MRP II, ERP : Finalités et particularités de chacun.
Control des objectifs des technologies de l’information COBIT
Gestion des risques Contrôle Interne
Les exigences de la norme ISO 14001
Initiation à la conception de systèmes d'information
Sésame Conseils Bon sens et compétences
[GPM-02] Approche processus de l'organisation
Gouvernance du Système d’Information
Page 1 / Titre / Auteur / Date / Confidentiel D? LA DEMARCHE COLLEGES METIER.
SEMINAIRE DE CONTACT novembre 2008 Outils de gestion de projet.
La Gestion de Projet.
DSCG_UE5 : audit en environnement comptable informatisé
Type de mission Les missions d'audit peuvent être de plusieurs types: interne, externe et stratégique de la fonction informatique. Elles se caractérisent.
Généralité 1/2 Après avoir longtemps été cantonné au domaine financier, le terme « audit » s'est maintenant largement diffusé et concerne notamment les.
Environnement comptable/informatisé
Méthode Audit Système Informatique Cobit
La démarche d’audit La démarche d’audit s’articule toujours en Phases : La première phase permet de planifier l’audit à partir de la définition du périmètre.
COLLOQUE CEA CAP De la certification qualité dans le domaine judiciaire enjeux et perspectives « De la.
Processus 7 – Fiabilisation de l’information et système d’information comptable 25/11/2014 BTS CG.
Contrôle Interne Comptable
Le système informatique et le système d’information
La norme international OHSAS et la directive MSST
Les épreuves du BTS Systèmes photoniques
Rôle des CI dans la démarche qualité
Section Technicien Supérieur LYCEE FRANÇOIS TRUFFAUT
Type de mission Les missions d'audit se caractérisent :
Management de la qualité
Spécialités Gestion et Finance Ressources humaines et communication
SYSTEMES d’INFORMATION séance 1 : Introduction et définitions
METHODOLOGIE DE L’AUDIT. Séance 3  Méthodologie de l’audit.
DSCG_UE5 : audit en environnement comptable informatisé
Principes et définitions
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
dans le référentiel du BTS comptabilité et gestion des organisations
Présentation du référentiel ITIL v3
Blue Highland Formations
Martine Miny - MPInstitut - Référentiels et métiers de management de projet - Mastère IESTO - 9 février 2004 Référentiels et métiers de management de projet.
Système de Management Intégré
L’auditeur en environnement comptable informatisé
PROCESSUS D’AUDIT PLANIFICATION DES AUDITS
ISO 9001:2000 Interprétation Article 7 Réalisation du produit
1 41Qualité d’un logiciel Référentiel Gestion Comptable.
KM CS – Avril 2004 Monographies de projets CS Guide d’utilisation.
Coopération Technique Belge Audit interne à la CTB : présentation.
Lancer et suivre un audit local TRAINING LAF 2009.
Transcription de la présentation:

DSCG_UE5 : audit en environnement comptable informatisé Présentation Pierna Michel Le groupe classe

Contexte du DSCG Le programme du DSCG 1 - Gestion juridique et fiscale 2 - Finance 3 - Management et contrôle de gestion 4 - Comptabilité et Contexte Épreuve n° 4 5 – Management SI 7 - Relations Professionnelles 8 - Langues étrangères Afficher le contenu du cours Allons nous voir uniquement l’audit du SI 2 2

Contexte de l’UE 5 Le programme de l’UE 5 Épreuve n° 5 1 - Gourvernance SI 1.5 Le rôle de l’audit (1.3 et 1.4) 2 - La gestion de projet SI 3 - Les PGI 4 - La performance SI 5 - La sécurité des SI 6 – Auditeur en environnement informatique Afficher le contenu du cours Allons nous voir uniquement l’audit du SI Lire ou demander de lire le paragraphe : Page 122 -&9 A Page 122 -&9 B 3

Périmètre du cours UE 5.6 UE5 Management des SI UE5. 6 L’auditeur en environnement informatique

Plan du cours 1 – GÉNÉRALITÉS Le système d'information comptable (SIC) 2 - LES MISSIONS D'AUDIT Les contextes d'audit L'audit des systèmes d'information Les différents types de missions d'audit La démarche d'audit 3 – CADRE LÉGAL ET NORMATIF DE L'AUDIT Les normes et les référentiels Le référentiel CobiT Les normes professionnelles internationales Le contrôle interne 4 - LE CONTRÔLE DES COMPTES DES ENTITÉS INFORMATISÉES Le système d'information comptable (SIC) La prise en compte de l'environnement informatique lors de l'audit légal des comptes Le risque d'audit 5 - LA DÉMARCHE D'AUDIT DU CNCC 6 - L'AUDIT ASSISTÉ PAR ORDINATEUR Les étapes de l'audit assisté par ordinateur Les techniques d'audit assisté par ordinateur, TAAO (Computer Assisted Audit Techniques, CAATs) Les progiciels d'aide à la révision Les avantages des progiciels d'aide à la révision

Planning du cours Trois séances de 4 heures : 16/06 23/06 30/06 Chaque séances est phasée de la manière suivante : Cours théorique (power point ) avec documents d’illustration métier Le support de cours est disponible sur le site Pratique de l’audit dans l’environnement ERP (openconcerto ) accessible pendant le cours Avec la méthode CNCC 1 - Prise en compte et description de l’environnement de l’environnement 2 - Evaluation des risques 3 - Obtention d’éléments probants

Généralité 1/2 Utilisé depuis longtemps dans le domaine financier, le terme « audit » s'est maintenant largement diffusé et concerne notamment les systèmes d'information. Les enjeux de la mise en œuvre d'un audit sont multiples et répondent toujours à des problématiques de mise en conformité et de prévention des risques. Un certain nombre de lois et ne normes ont eu pour effet de généraliser et de systématiser la pratique de l'audit des systèmes d'information pour contribuer au rétablissement de la confiance entre les acteurs de l'économie. L'audit des SI bénéficie d'un cadre légal et réglementaire tant au niveau national qu'au niveau international. L’audit des SI dispose non seulement de référentiels de normes propres à la fonction informatique mais également de méthodes spécifiques à son domaine Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver

Généralité 2/2 L’audit du système informatique concerne également ses composants applicatifs. Avec l’évolution des fonctions informatisées et leur intégration au sein des ERP, l’audit financier d’un système comptable informatisé est impacté dans son champ d’investigation aussi bien que dans ses techniques de contrôle. L’auditeur d’un domaine fonctionnel doit donc prendre en compte l’impact du SI dans toutes les phases de sa mission, aussi bien dans la constitution de l’équipe, avec de rôles d’expertise spécifiques au SI, dans la détermination des risques, et enfin dans l’exécution des contrôles . La fonction d’audit n’échappe pas non plus à l’évolution et à l’extension des domaines opérationnels informatisés. L’auditeur dispose d'outils informatiques permettant, d'une part, de traiter les données issues des SI et d'autre part, de faciliter le suivi et la réalisation d'une mission complexe et documentée. Ainsi nos verrons qu’il existe des logiciels de RAO et de GRC et nous étudierons leur application respectivement pour le déroulement de la mission puis pour l’élaboration du contrôle continu. Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver

Les missions d’audit Selon la norme ISO 9000, l'audit est un « processus méthodique , indépendant et documenté permettant de recueillir des informations objectives pour déterminer dans quelle mesure les pratiques observées satisfont aux référentiels du domaine concerné », L'auditeur se forge une opinion qu'il consigne ensuite dans un rapport. L'audit en tant que mécanisme de gouvernance occupe une place croissante, les entreprises cherchent à maîtriser l'incertitude par la conduite d'audits fondés sur une approche par les risques. Ainsi, des audits sont réalisés à la demande des dirigeants des organisations (direction générale, mais également directions opérationnelles) auprès de leur service d'audit interne ou auprès d'auditeurs externes. Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver

Les contextes d’audit De plus en plus, lesentreprises cherchent à maîtriser l'incertitude par la conduite d'audits fondés sur une approche par les risques. Ainsi, des audits sont réalisés à la demande des dirigeants des organisations (direction générale, mais également directions opérationnelles) auprès de leur service d'audit interne ou auprès d'auditeurs externes. Ce peut être, par exemple, un audit de conformité pour anticiper un éventuel contrôle fiscal par un diagnostic du système d'information comptable. Les contextes d'audit sont variés et demandent de plus en plus un audit des systèmes d'information qui se retrouve à la croisée des préoccupations des dirigeants et des différentes parties prenantes. Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver

L’audit des Systèmes d’information Auditer le Système d’information Auditer toute ou partie de la fonction informatique Auditer l’architecture technique Auditer la qualité des projets … Auditer les comptes informatisés c’est étudier la complexité du SI pour la production des comptes l’architecture applicative (best of breed – interfaces..) l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver

L’audit des Systèmes d’information Le concept d'audit des systèmes d'information est apparu au cours des années 1970. Il comprend l'examen et l'évaluation des processus, des systèmes de traitement automatisé de l'information et des interfaces qui les relient ainsi que des procédures connexes non automatisées, avec un ensemble de règles en vigueur (fiscales, juridiques, techniques, etc.). Il vise à mettre en évidence les risques relatifs : aux processus supportés par le système d'information à l'infrastructure technique (adéquation de l'infrastructure avec les besoins de l'entité, sécurité physique, logique et applicative, pérennité du SI, etc.). L'audit des systèmes d'information couvre un périmètre plus large que l'audit informatique dans la mesure où il s'intéresse aux aspects organisationnels et fonctionnels liés au SI, en plus des aspects purement techniques. Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver

L’audit des Systèmes d’information L'audit des systèmes d'information peut être décomposé en deux approches : • l'évaluation de la fonction informatique, pour laquelle l'auditeur s'appuie principalement sur les méthodes et référentiels existants dans ce domaine (essentiellement le CobiT). La fonction «informatique» de l'entreprise est à prendre en compte en termes de séparation des fonctions, gestion des mouvements de personnel, gestion des projets, fiabilité des processus informatiques (pilotage, développement, maintenance, exploitation, sécurité du SI), etc. ; • l'évaluation de la composante « système d'information» des processus opérationnels, pour laquelle l'auditeur s'appuiera sur des programmes de travail spécifiques. Ceux-ci sont induits par l'appréciation des risques généraux portant sur le processus considéré et sont fonction du degré d'informatisation du processus et du type d'outil informatique utilisé. Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver

L’audit des données du SI, L’audit des SI L’audit des données du SI, Pour l’auditeur informatique Contrôle des résultats d’une application Contrôle d’intégrité d’une base de données Analyse des profils et des logs utilisateurs Analyse du help desk Analyse de la maintenance ……….. Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver

L’audit des SI Pour l’auditeur comptable Impact des applications intégrées ((ERP-PGI) Identification et valorisation des cut off (PCA – FAE – FAR – CCA ) Séparation des fonctions paramétrage des menus et des droits d’accès Interfaçage paramétrable, global, justifié ( cr d’exploitation) Impact des applications interfacées (Best of Bread) Alimentation du système comptable Arrivée de nouvelles normes SOX – ISA-315-330 ) Apporter de la valeur sur les sujets suivants : Fiabilité et sécurité du système informatique Connaissances des procéssus transverses Connaissance des procédures de clôture ERP Maîtrise des risques techniques et règlementaires Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver

Environnement comptable/informatisé L’environnement Comptable Balance Écriture Grand Livre Risque Journal Procédure Pièce Audit Auxiliaire (s) Comptabilité OD Analytique Partie double Credit IAS/IFRS Consolidation Drill Down Extourne Tiers Compte lettrable Simulation Risque Méthode Contrôle de gestion Provision pour réception Balance agée Normes Effet à payer ……. On commence l’audit par la balance la balance Les tests de cohérence analytique Puis les contrôle des procédure de l’operation jusqu’à l’écriture La présomption d’exactitude et la certitude d’erreur

Environnement comptable/informatisé L’environnement informatique Ordinateurs Réseaux Clavier Audit Logiciel Métier Best of Breed ERP Interface Mulot Risque SGBD Utilisateur Clé DOSI Credit Serveur SQL BPM Processus Normes Architecture applicative Procédure Méthode Urbaniste SI MCD/MPD MCT/MOT SOA Index Projet ERP automatise les flux physiques et les flux comptables Cela permet de faire facilement les requêtes exaustives (plus facile que partiels pour la probité)

L’environnement comptable informatisé Architecture technique : Architecture applicative : Les PGI/ERP Les évènements de gestion =>Les écritures comptables Les processus

Type de mission Les missions d'audit se caractérisent : par la nature du lien entre l'auditeur et l'audité, avec l'appartenance ou la non appartenance à l'entité auditée ; par la nature du cadre juridique de l'audit, avec le respect d'obligations légales et de normes professionnelles; par la qualité du mandataire de la mission et du contexte d'audit; etc. Ce peut être, par exemple, un audit de conformité pour anticiper un éventuel contrôle fiscal par un diagnostic du système d'information comptable. Des audits peuvent être menés dans le cadre d'une expertise judiciaire, voire à la demande d'une autorité administrative. Les contextes d'audit sont variés et demandent de plus en plus un audit des systèmes d'information qui se retrouve à la croisée des préoccupations des dirigeants nécessitant une maîtrise accrue du risque.

Type de mission L'audit interne La mission d'audit interne est diligentée par la direction de l'entité. Selon l'AFAI (Association française de l'audit et du conseil informatiques), « l'audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité ». Cette activité indépendante est exécutée par le département d'audit interne.

Type de mission L'audit externe La mission d'audit externe est réalisée par des personnes extérieures à l'organisation : cabinets d'experts-comptables ou professionnels spécialisés dans un domaine précis (audit environnemental, audit de sécurité, etc.). Elle peut tenir à plusieurs raisons différentes: soit elle répond aux mêmes objectifs qu'une mission d'audit interne et, dans ce cas, sa justification tient à l'absence d'un département d'audit interne ou à l'absence de compétences au sein du département d'audit interne pour l'évaluation des SI, voire à la volonté de confier la mission à un tiers indépendant de l'entité auditée ; ·soit elle répond à d'autres contextes d'audit et elle est éventuellement diligentée par d'autres acteurs que la direction de l'entité. On peut citer, par exemple, les missions réalisées par les commissaires aux comptes (CAC) dans le cadre de leurs mandats d'audit. Dans ce cas, la mission d'audit a uniquement pour objectifs de renseigner les CAC sur le niveau de contrôle interne existant dans l'entreprise sur le processus informatique et d'évaluer les risques existants pouvant impacter leur opinion.

Type de mission Type de mission suivant le contexte et l’objectif Audit financier, Audit de performance, Audit de conformité, Audit informatique (infrastructure, système en développement, revue post démarrage, planification et organisation, conseil au management), de la fonction informatique; de projet informatique; d'application informatique; de sécurité. Cela permet de déterminer le « Cadre de Référence » pour la définition des processus en jeu, Cela permet ensuite de s’inspirer et d’utiliser des tableaux proposés par le référentiel choisi Cobit – Itil – CMMI – Prince 2 CNCC .

La démarche d’audit La démarche d’audit s’articule toujours en Phases : La première phase permet de planifier l’audit à partir de la définition du périmètre de la mission et des risques potentiels identifiés La seconde phase permet d’analyser les risques identifiés pour déterminer quels contrôles devront être effectués pour obtenir des éléments probants La troisième phase permet d’exécuter l’obtention des preuves et d’établir le rapport Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver

La typologie des risques pour une démarche d’audit La démarche d’audit La typologie des risques pour une démarche d’audit Le risque inhérent Organisation informatique - Audit des fonctions informatiques Les anomalies significatives ( plan de continuité de service – plan de reprise d’activité- sauvegardes ) ….. Le risque de contrôle interne L’évaluation du risque d’anomalies significatives découle en partie de la compréhension qu’a l'auditeur de l’environnement de contrôle. Un environnement de contrôle efficace peut permettre à l'auditeur d’augmenter son niveau de confiance dans le contrôle interne et dans la fiabilité des éléments probants générés au sein de l’entité, Ce niveau de confiance a un impact sur les procédures d’audit à mettre en œuvre (plus/- de contrôles substantifs) Guides des procédures, Gouvernance - Maîtrise du SI, de l’ERP-Organisation …… Le risque d’audit L’évaluation du caractère suffisant des éléments probants recueillis …….je n’ai pas eu le temps, je n’ai pas eu l’expertise nécessaire il y a donc un risque de non détection Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver

La démarche d’audit Conseils pour piloter un audit et appréhender avec le plus d'objectivité possible les résultats : Bien délimiter le champ d'investigation et les enjeux de l'audit. Se préparer à la procédure d'audit. Séparer le commanditaire de l'entité en charge de l'audit. Se doter d'une direction de l'audit interne, Recourir à des référentiels solides comme ISO, CobiT (Control Objectives for Information and related Technology) dans le cadre de processus transverses, CMMI (Capability Maturity Model Integration), dans celui du pilotage de projet, ITIL (Information Technology Infrastructure Library), pour les services, etc. S'entendre sur le référentiel choisi, ainsi la clarté de la démarche d'audit sera appréhendée . Choisir la fréquence et le temps de déroulement de l'audit. Ne pas sous-estimer les limites d'un audit. » 25 25

La démarche d’audit Le rapport d'audit constitue la pièce maîtresse de la mission d'audit. Selon les normes professionnelles de l'ISACA (Information Systems Audit and Control Association), « à l'issue de son travail, l'auditeur des SI doit fournir un rapport sous une forme adéquate. Le rapport doit préciser l'entreprise, les destinataires du document et les éventuelles restrictions à sa diffusion. [ ... ] Le rapport doit spécifier la portée, les objectifs, la période couverte, la nature, la durée et l'ampleur de l'audit réalisé. [ ... ] Sur l’analyse de l’existant, l'auditeur des SI doit collecter des éléments probants suffisants et pertinents pour corroborer les résultats rapportés. [ ... ] Le rapport doit spécifier les conclusions et recommandations de l'audit, ainsi que les éventuelles limitations de portée, réserves ou qualifications jugées opportunes par l'auditeur des SI, et proposer un plan d’action. Lors de son édition, le rapport de l'auditeur des SI doit être signé, daté et distribué conformément aux termes de la charte d'audit ou de la lettre de mission» (source: www.isaca.org). Le rapport d'audit est un outil stratégique, support des améliorations du SI. 26 26