Audit Dans l'Environnement Informatique

stivité, de la réalité et de la fiabilité des données, mesurer la compréhension et la maîtrise des utilisateurs

Limites de la prise de connaissance

L’auditeur peut se heurter assez rapidement à des difficultés lors de cette phase préliminaire :

- Du fait de sa propre compétence : toutefois, une démarche classique de de description des existants et des procédures permet aisément d’inventorier et de cerner le domaine informatique

- Du fait de systèmes complexes dont la transparence ne repose que sur la qualité de la documentation élaborée par le prestataire : ce peut être le cas pour des outils de type ERP

- Du fait de systèmes « maison » pour lesquels les objectifs de matérialité et de sécurité ne sont pas pris en compte.

Démarche de la prise de connaissance

La prise de connaissance suit un canal usuel comportant des phases de :

- Collecte documentaire (documents système, utilisateur, contrats)

- Entretiens visant à compléter l’information de base

- Notes descriptives de l’organisation, des intervenants (internes et externes), des fonctions (dont identification de la séparation des tâches), des compétences, des charges de travail, des équipements (« soft » et hard), des capacités, des projets.

- Un intérêt tout particulier devant être porté aux fonctions externalisées.

Elle comporte plus spécialement une phase dédiée à l’identification des informations et traitements constituant le chemin d’audit dans le cadre de la mission du réviseur :

- Nature des données input et output

- Nature des traitements

- Matérialisation de bases de données

2- Place de l’informatique et évaluation des risques

Les risques issus du système informatique sont spécifiques : ils peuvent résulter :

- De déficiences des activités :

o De développement et maintenance des programmes

o De support logiciel

o De sécurité des équipements et des accès

o De traitement des opérations

- De la multiplicité des systèmes utilisés et des interfaces les reliant, voire de développement « anarchiques » greffés sur les applications

Ils peuvent exister aussi plus généralement, par non-respect de règles propres à des réglementations sectorielles ou des règles sur la propriété intellectuelle (des licences, des images)

Les risques peuvent se percevoir à partir d’indices tels que :

- Maîtrise déficiente du système et des solutions informatiques

- Couverture en terme de maintenance (et donc de redémarrage) insuffisante

- Séparation insuffisante des tâches ou accès non maitrisés

- Erreurs de programmation engendrant un traitement incorrect des opérations

- Manque de traçabilité des opérations dans le système (soit par absence de matérialisation soit par non conservation)

- Possibilité pour les utilisateurs d’accéder à des données pour les modifier

- Non maitrise du déclenchement de traitements automatisés

- Multiplication des interfaces entre applications

- Absence des procédures et/ ou d’outils permettant des contrôles de cohérence

- Absence de protection physique ou logicielle des données

3- Obtention des éléments probants

L’environnement informatisé ne doit pas être un frein aux investigations de l’auditeur, bien au contraire

Celui-ci doit toujours se trouver en situation de :

- Réaliser des tests sur le système (en tant que composante du contrôle interne)

- Traiter des données qui collaborent à la production de l’information comptable

- Automatiser les travaux de contrôle à partir de données plus nombreuses et parfois plus diffuses

Dans tous les cas, la démarche englobera les phases suivantes :

- Contrôle de cohérence des informations produites

- Traçabilité des données de traitements

- Documentation des travaux

La contribution du système informatique apparaît très nettement par les moyens d’investigation qu’il offre à l’auditeur : en effet, les volumes ne sont plus un obstacle, les tris, requêtes et analyses deviennent aisés.

Cela suppose toutefois, lors la prise de connaissance, l’intégration de démarches visant à