DSCG_UE5 : audit en environnement comptable informatisé Présentation Pierna Michel Le groupe classe
Contexte du DSCG Le programme du DSCG 1 - Gestion juridique et fiscale 2 - Finance 3 - Management et contrôle de gestion 4 - Comptabilité et Contexte Épreuve n° 4 5 – Management SI 7 - Relations Professionnelles 8 - Langues étrangères Afficher le contenu du cours Allons nous voir uniquement l’audit du SI 2 2
Contexte de l’UE 5 Le programme de l’UE 5 Épreuve n° 5 1 - Gourvernance SI 1.5 Le rôle de l’audit (1.3 et 1.4) 2 - La gestion de projet SI 3 - Les PGI 4 - La performance SI 5 - La sécurité des SI 6 – Auditeur en environnement informatique Afficher le contenu du cours Allons nous voir uniquement l’audit du SI Lire ou demander de lire le paragraphe : Page 122 -&9 A Page 122 -&9 B 3
Périmètre du cours UE 5.6 UE5 Management des SI UE5. 6 L’auditeur en environnement informatique
Plan du cours 1 – GÉNÉRALITÉS Le système d'information comptable (SIC) 2 - LES MISSIONS D'AUDIT Les contextes d'audit L'audit des systèmes d'information Les différents types de missions d'audit La démarche d'audit 3 – CADRE LÉGAL ET NORMATIF DE L'AUDIT Les normes et les référentiels Le référentiel CobiT Les normes professionnelles internationales Le contrôle interne 4 - LE CONTRÔLE DES COMPTES DES ENTITÉS INFORMATISÉES Le système d'information comptable (SIC) La prise en compte de l'environnement informatique lors de l'audit légal des comptes Le risque d'audit 5 - LA DÉMARCHE D'AUDIT DU CNCC 6 - L'AUDIT ASSISTÉ PAR ORDINATEUR Les étapes de l'audit assisté par ordinateur Les techniques d'audit assisté par ordinateur, TAAO (Computer Assisted Audit Techniques, CAATs) Les progiciels d'aide à la révision Les avantages des progiciels d'aide à la révision
Planning du cours Trois séances de 4 heures : 16/06 23/06 30/06 Chaque séances est phasée de la manière suivante : Cours théorique (power point ) avec documents d’illustration métier Le support de cours est disponible sur le site Pratique de l’audit dans l’environnement ERP (openconcerto ) accessible pendant le cours Avec la méthode CNCC 1 - Prise en compte et description de l’environnement de l’environnement 2 - Evaluation des risques 3 - Obtention d’éléments probants
Généralité 1/2 Utilisé depuis longtemps dans le domaine financier, le terme « audit » s'est maintenant largement diffusé et concerne notamment les systèmes d'information. Les enjeux de la mise en œuvre d'un audit sont multiples et répondent toujours à des problématiques de mise en conformité et de prévention des risques. Un certain nombre de lois et ne normes ont eu pour effet de généraliser et de systématiser la pratique de l'audit des systèmes d'information pour contribuer au rétablissement de la confiance entre les acteurs de l'économie. L'audit des SI bénéficie d'un cadre légal et réglementaire tant au niveau national qu'au niveau international. L’audit des SI dispose non seulement de référentiels de normes propres à la fonction informatique mais également de méthodes spécifiques à son domaine Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver
Généralité 2/2 L’audit du système informatique concerne également ses composants applicatifs. Avec l’évolution des fonctions informatisées et leur intégration au sein des ERP, l’audit financier d’un système comptable informatisé est impacté dans son champ d’investigation aussi bien que dans ses techniques de contrôle. L’auditeur d’un domaine fonctionnel doit donc prendre en compte l’impact du SI dans toutes les phases de sa mission, aussi bien dans la constitution de l’équipe, avec de rôles d’expertise spécifiques au SI, dans la détermination des risques, et enfin dans l’exécution des contrôles . La fonction d’audit n’échappe pas non plus à l’évolution et à l’extension des domaines opérationnels informatisés. L’auditeur dispose d'outils informatiques permettant, d'une part, de traiter les données issues des SI et d'autre part, de faciliter le suivi et la réalisation d'une mission complexe et documentée. Ainsi nos verrons qu’il existe des logiciels de RAO et de GRC et nous étudierons leur application respectivement pour le déroulement de la mission puis pour l’élaboration du contrôle continu. Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver
Les missions d’audit Selon la norme ISO 9000, l'audit est un « processus méthodique , indépendant et documenté permettant de recueillir des informations objectives pour déterminer dans quelle mesure les pratiques observées satisfont aux référentiels du domaine concerné », L'auditeur se forge une opinion qu'il consigne ensuite dans un rapport. L'audit en tant que mécanisme de gouvernance occupe une place croissante, les entreprises cherchent à maîtriser l'incertitude par la conduite d'audits fondés sur une approche par les risques. Ainsi, des audits sont réalisés à la demande des dirigeants des organisations (direction générale, mais également directions opérationnelles) auprès de leur service d'audit interne ou auprès d'auditeurs externes. Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver
Les contextes d’audit De plus en plus, lesentreprises cherchent à maîtriser l'incertitude par la conduite d'audits fondés sur une approche par les risques. Ainsi, des audits sont réalisés à la demande des dirigeants des organisations (direction générale, mais également directions opérationnelles) auprès de leur service d'audit interne ou auprès d'auditeurs externes. Ce peut être, par exemple, un audit de conformité pour anticiper un éventuel contrôle fiscal par un diagnostic du système d'information comptable. Les contextes d'audit sont variés et demandent de plus en plus un audit des systèmes d'information qui se retrouve à la croisée des préoccupations des dirigeants et des différentes parties prenantes. Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver
L’audit des Systèmes d’information Auditer le Système d’information Auditer toute ou partie de la fonction informatique Auditer l’architecture technique Auditer la qualité des projets … Auditer les comptes informatisés c’est étudier la complexité du SI pour la production des comptes l’architecture applicative (best of breed – interfaces..) l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver
L’audit des Systèmes d’information Le concept d'audit des systèmes d'information est apparu au cours des années 1970. Il comprend l'examen et l'évaluation des processus, des systèmes de traitement automatisé de l'information et des interfaces qui les relient ainsi que des procédures connexes non automatisées, avec un ensemble de règles en vigueur (fiscales, juridiques, techniques, etc.). Il vise à mettre en évidence les risques relatifs : aux processus supportés par le système d'information à l'infrastructure technique (adéquation de l'infrastructure avec les besoins de l'entité, sécurité physique, logique et applicative, pérennité du SI, etc.). L'audit des systèmes d'information couvre un périmètre plus large que l'audit informatique dans la mesure où il s'intéresse aux aspects organisationnels et fonctionnels liés au SI, en plus des aspects purement techniques. Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver
L’audit des Systèmes d’information L'audit des systèmes d'information peut être décomposé en deux approches : • l'évaluation de la fonction informatique, pour laquelle l'auditeur s'appuie principalement sur les méthodes et référentiels existants dans ce domaine (essentiellement le CobiT). La fonction «informatique» de l'entreprise est à prendre en compte en termes de séparation des fonctions, gestion des mouvements de personnel, gestion des projets, fiabilité des processus informatiques (pilotage, développement, maintenance, exploitation, sécurité du SI), etc. ; • l'évaluation de la composante « système d'information» des processus opérationnels, pour laquelle l'auditeur s'appuiera sur des programmes de travail spécifiques. Ceux-ci sont induits par l'appréciation des risques généraux portant sur le processus considéré et sont fonction du degré d'informatisation du processus et du type d'outil informatique utilisé. Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver
L’audit des données du SI, L’audit des SI L’audit des données du SI, Pour l’auditeur informatique Contrôle des résultats d’une application Contrôle d’intégrité d’une base de données Analyse des profils et des logs utilisateurs Analyse du help desk Analyse de la maintenance ……….. Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver
L’audit des SI Pour l’auditeur comptable Impact des applications intégrées ((ERP-PGI) Identification et valorisation des cut off (PCA – FAE – FAR – CCA ) Séparation des fonctions paramétrage des menus et des droits d’accès Interfaçage paramétrable, global, justifié ( cr d’exploitation) Impact des applications interfacées (Best of Bread) Alimentation du système comptable Arrivée de nouvelles normes SOX – ISA-315-330 ) Apporter de la valeur sur les sujets suivants : Fiabilité et sécurité du système informatique Connaissances des procéssus transverses Connaissance des procédures de clôture ERP Maîtrise des risques techniques et règlementaires Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver
Environnement comptable/informatisé L’environnement Comptable Balance Écriture Grand Livre Risque Journal Procédure Pièce Audit Auxiliaire (s) Comptabilité OD Analytique Partie double Credit IAS/IFRS Consolidation Drill Down Extourne Tiers Compte lettrable Simulation Risque Méthode Contrôle de gestion Provision pour réception Balance agée Normes Effet à payer ……. On commence l’audit par la balance la balance Les tests de cohérence analytique Puis les contrôle des procédure de l’operation jusqu’à l’écriture La présomption d’exactitude et la certitude d’erreur
Environnement comptable/informatisé L’environnement informatique Ordinateurs Réseaux Clavier Audit Logiciel Métier Best of Breed ERP Interface Mulot Risque SGBD Utilisateur Clé DOSI Credit Serveur SQL BPM Processus Normes Architecture applicative Procédure Méthode Urbaniste SI MCD/MPD MCT/MOT SOA Index Projet ERP automatise les flux physiques et les flux comptables Cela permet de faire facilement les requêtes exaustives (plus facile que partiels pour la probité)
L’environnement comptable informatisé Architecture technique : Architecture applicative : Les PGI/ERP Les évènements de gestion =>Les écritures comptables Les processus
Type de mission Les missions d'audit se caractérisent : par la nature du lien entre l'auditeur et l'audité, avec l'appartenance ou la non appartenance à l'entité auditée ; par la nature du cadre juridique de l'audit, avec le respect d'obligations légales et de normes professionnelles; par la qualité du mandataire de la mission et du contexte d'audit; etc. Ce peut être, par exemple, un audit de conformité pour anticiper un éventuel contrôle fiscal par un diagnostic du système d'information comptable. Des audits peuvent être menés dans le cadre d'une expertise judiciaire, voire à la demande d'une autorité administrative. Les contextes d'audit sont variés et demandent de plus en plus un audit des systèmes d'information qui se retrouve à la croisée des préoccupations des dirigeants nécessitant une maîtrise accrue du risque.
Type de mission L'audit interne La mission d'audit interne est diligentée par la direction de l'entité. Selon l'AFAI (Association française de l'audit et du conseil informatiques), « l'audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité ». Cette activité indépendante est exécutée par le département d'audit interne.
Type de mission L'audit externe La mission d'audit externe est réalisée par des personnes extérieures à l'organisation : cabinets d'experts-comptables ou professionnels spécialisés dans un domaine précis (audit environnemental, audit de sécurité, etc.). Elle peut tenir à plusieurs raisons différentes: soit elle répond aux mêmes objectifs qu'une mission d'audit interne et, dans ce cas, sa justification tient à l'absence d'un département d'audit interne ou à l'absence de compétences au sein du département d'audit interne pour l'évaluation des SI, voire à la volonté de confier la mission à un tiers indépendant de l'entité auditée ; ·soit elle répond à d'autres contextes d'audit et elle est éventuellement diligentée par d'autres acteurs que la direction de l'entité. On peut citer, par exemple, les missions réalisées par les commissaires aux comptes (CAC) dans le cadre de leurs mandats d'audit. Dans ce cas, la mission d'audit a uniquement pour objectifs de renseigner les CAC sur le niveau de contrôle interne existant dans l'entreprise sur le processus informatique et d'évaluer les risques existants pouvant impacter leur opinion.
Type de mission Type de mission suivant le contexte et l’objectif Audit financier, Audit de performance, Audit de conformité, Audit informatique (infrastructure, système en développement, revue post démarrage, planification et organisation, conseil au management), de la fonction informatique; de projet informatique; d'application informatique; de sécurité. Cela permet de déterminer le « Cadre de Référence » pour la définition des processus en jeu, Cela permet ensuite de s’inspirer et d’utiliser des tableaux proposés par le référentiel choisi Cobit – Itil – CMMI – Prince 2 CNCC .
La démarche d’audit La démarche d’audit s’articule toujours en Phases : La première phase permet de planifier l’audit à partir de la définition du périmètre de la mission et des risques potentiels identifiés La seconde phase permet d’analyser les risques identifiés pour déterminer quels contrôles devront être effectués pour obtenir des éléments probants La troisième phase permet d’exécuter l’obtention des preuves et d’établir le rapport Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver
La typologie des risques pour une démarche d’audit La démarche d’audit La typologie des risques pour une démarche d’audit Le risque inhérent Organisation informatique - Audit des fonctions informatiques Les anomalies significatives ( plan de continuité de service – plan de reprise d’activité- sauvegardes ) ….. Le risque de contrôle interne L’évaluation du risque d’anomalies significatives découle en partie de la compréhension qu’a l'auditeur de l’environnement de contrôle. Un environnement de contrôle efficace peut permettre à l'auditeur d’augmenter son niveau de confiance dans le contrôle interne et dans la fiabilité des éléments probants générés au sein de l’entité, Ce niveau de confiance a un impact sur les procédures d’audit à mettre en œuvre (plus/- de contrôles substantifs) Guides des procédures, Gouvernance - Maîtrise du SI, de l’ERP-Organisation …… Le risque d’audit L’évaluation du caractère suffisant des éléments probants recueillis …….je n’ai pas eu le temps, je n’ai pas eu l’expertise nécessaire il y a donc un risque de non détection Auditer les comptes porter une appréciation sur les états financiers Assurer la fiabilité des états financier Auditer le SI c’est étudier l’architecture applicative -l’architecture de l’ERP Les évènements de gestion informatisés Le paramétrage de leur comptabilisation La démarche d’audit complétude : toutes les opérations sont enregistrées Accuracy ( exactitude ) lemontant comptable = le réel Cut off : dans la bonne période et la démarche c’est de mesurer le risque de ne pas y arriver
La démarche d’audit Conseils pour piloter un audit et appréhender avec le plus d'objectivité possible les résultats : Bien délimiter le champ d'investigation et les enjeux de l'audit. Se préparer à la procédure d'audit. Séparer le commanditaire de l'entité en charge de l'audit. Se doter d'une direction de l'audit interne, Recourir à des référentiels solides comme ISO, CobiT (Control Objectives for Information and related Technology) dans le cadre de processus transverses, CMMI (Capability Maturity Model Integration), dans celui du pilotage de projet, ITIL (Information Technology Infrastructure Library), pour les services, etc. S'entendre sur le référentiel choisi, ainsi la clarté de la démarche d'audit sera appréhendée . Choisir la fréquence et le temps de déroulement de l'audit. Ne pas sous-estimer les limites d'un audit. » 25 25
La démarche d’audit Le rapport d'audit constitue la pièce maîtresse de la mission d'audit. Selon les normes professionnelles de l'ISACA (Information Systems Audit and Control Association), « à l'issue de son travail, l'auditeur des SI doit fournir un rapport sous une forme adéquate. Le rapport doit préciser l'entreprise, les destinataires du document et les éventuelles restrictions à sa diffusion. [ ... ] Le rapport doit spécifier la portée, les objectifs, la période couverte, la nature, la durée et l'ampleur de l'audit réalisé. [ ... ] Sur l’analyse de l’existant, l'auditeur des SI doit collecter des éléments probants suffisants et pertinents pour corroborer les résultats rapportés. [ ... ] Le rapport doit spécifier les conclusions et recommandations de l'audit, ainsi que les éventuelles limitations de portée, réserves ou qualifications jugées opportunes par l'auditeur des SI, et proposer un plan d’action. Lors de son édition, le rapport de l'auditeur des SI doit être signé, daté et distribué conformément aux termes de la charte d'audit ou de la lettre de mission» (source: www.isaca.org). Le rapport d'audit est un outil stratégique, support des améliorations du SI. 26 26