Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Prise en compte de l’environnement informatique et incidence sur la démarche d’

Prise en compte de l’environnement informatique et incidence sur la démarche d’audit Collection guide d’application © CNCC Edition – Avril 2003 2 SOMMAIRE INTRODUCTION 5 1. Les normes professionnelles 5 2. Les objectifs du guide 5 3. L’approche méthodologique et pédagogique 6 4. Les apports de la norme CNCC 2-302 : « audit réalisé dans un environnement informatique » 6 5. Rappel de la notion de risque d’audit 8 6. La structure du guide 9 6.1. Méthodologie 9 6.2. Dossiers thématiques 9 6.3. Techniques d’audit assistées par ordinateur 10 6.4. Annexes 10 CHAPITRE 1 : LA METHODOLOGIE 11 1. Orientation et planification de la mission 11 1.1. Prise de connaissance de l’informatique dans l’entreprise 11 1.2. Description du système d’information de l’entreprise 22 1.3. Prise en compte de l’informatique dans le plan de mission 26 2. Evaluation des risques 30 2.1. Incidence de l’environnement informatique sur le risque inhérent 30 2.2. Incidence de l’environnement informatique sur le risque lié au contrôle 59 2.3. Synthèse de l’évaluation des risques 77 3. Obtention d'éléments probants 78 3.1. Méthodes de mise en œuvre des procédures d’audit 78 3.2. Lien avec les obligations légales du commissaire aux comptes 79 CHAPITRE 2 : LES DOSSIERS THEMATIQUES 81 1. THEME 1 : l’organisation de la fonction informatique dans l’entreprise 81 1.1. Organigramme 81 1.2. Conception informatique 81 1.3. Exploitation informatique 82 1.4. Maintenance 82 1.5. Sécurité 83 2. THEME 2 : les obligations réglementaires 84 2.1. Archivage fiscal et contrôle des comptabilités informatisées 84 2.2. Protection des informations nominatives 92 2.3. Protection des logiciels 95 3. THEME 3 : les particularités en environnement progiciel de gestion intégré (PGI) 97 3.1. Description générale 97 3.2. Evaluation des risques 98 4. THEME 4 : les particularités en environnement internet 105 4.1. Risques liés à Internet 106 4.2. Mise en œuvre des contrôles juridiques et techniques dans la mission d’audit 120 Prise en compte de l’environnement informatique et incidence sur la démarche d’audit Collection guide d’application © CNCC Edition – Avril 2003 3 5. THEME 5 : les risques liés à l’existence d’un projet informatique 121 5.1. Présentation d’un projet informatique 122 5.2. Risques liés à l’existence d’un projet informatique 127 CHAPITRE 3 : LES TECHNIQUES D’AUDIT ASSISTEES PAR ORDINATEUR 131 1. Introduction 131 2. Pratique des techniques d’audit assistées par ordinateur 131 2.1. Introduction 131 2.2. Techniques d’audit assistées par ordinateur dans le cadre de la mission d’audit 132 2.3. Techniques d’audit assistées par ordinateur dans le cadre de missions contractuelles 132 2.4. Avantages des techniques d’audit assistées par ordinateur 132 2.5. Technique d’audit standard et technique d’audit spécifique 132 2.6. Cas des progiciels de gestion intégrés 134 2.7. Récurrence / fréquence des tests 134 3. Identification des ressources nécessaires à la mise en œuvre des techniques d’audit assistées par ordinateur 134 3.1. Réflexions préalables à la mise en œuvre des techniques d’audit assistées par ordinateur 134 3.2. Stratégie « ambitieuse » 135 3.3. Stratégie « prudente » 137 3.4. Règles et risques communs 137 3.5. Procédures préalables 138 3.6. Sélection du logiciel de traitement 140 4. Etapes de la mise en œuvre des techniques d’audit assistées par ordinateur 141 4.1. Récupération des fichiers informatiques 141 4.2. Validation des fichiers 141 4.3. Réalisation des tests 141 4.4. Analyse et synthèse 142 5. Exemples de mise en œuvre de techniques d’audit assistées par ordinateur 143 5.1. Exemples de base 143 5.2. Exemples de recherches plus élaborées 167 ANNEXES 176 1. ANNEXE 1 : les supports opérationnels de mise en œuvre de la méthodologie 177 1.1. Orientation et planification de la mission 177 1.2. Evaluation des risques et obtention d'éléments probants 182 2. ANNEXE 2 : étude de cas 192 2.1. Présentation 192 2.2. Corrigé indicatif 194 3. GLOSSAIRE 214 4. BIBLIOGRAPHIE 223 4.1. Ouvrages management et NTIC 223 4.2. Ouvrages d’audit 223 4.3. Ouvrage technique 223 4.4. Ouvrages juridiques 224 4.5. Articles 224 4.6. Annuaires et portails 225 Prise en compte de l’environnement informatique et incidence sur la démarche d’audit Collection guide d’application © CNCC Edition – Avril 2003 4 REMERCIEMENTS Cet ouvrage a été élaboré sous l’égide de la Commission informatique de la CNCC (Président : Stéphane Lipski), en collaboration avec l’AFAI (Association française de l’audit et du conseil informatiques), par un groupe de travail regroupant des commissaires aux comptes, des experts en audit des systèmes d’information, des membres du service technique de la CNCC et composé des personnes suivantes : Groupe de rédacteurs − Emmanuel Gineste − Laurent Gobbi − Zouheir Guedri − Cécile Huet − Vincent Manière − Beatrice Pajczer − Vincent Péquignot − Gérard Pomper − Michel Richard − Renaud Ronchieri Groupe de relecteurs − Jean-Luc Barlet − Fabien Cleuet − Brigitte Guillebert − Jean-Paul Lamy − Jean-Michel Mathieu − Gilles Mercier − Eric Piou − Dominique Raynot − Xavier Rondeau − Isabelle Tracq-Sengeissen − Serge Yablonsky − Guy Zerah Emmanuel Layot, conseiller technique de la Compagnie nationale des commissaires aux comptes, a assuré la coordination des études et de la rédaction. Prise en compte de l’environnement informatique et incidence sur la démarche d’audit Collection guide d’application © CNCC Edition – Avril 2003 5 INTRODUCTION 1. LES NORMES PROFESSIONNELLES Le Conseil national des commissaires aux comptes a entériné courant 2000, la transposition dans le référentiel français des normes d’audit internationales de l’IFAC. Cette transposition s’inscrit dans une démarche volontariste, engagée par la Compagnie nationale des commissaires aux comptes depuis plus de vingt ans, qui se fonde sur la poursuite des objectifs qui lui sont confiés par le décret d’août 1969 organisant la profession de commissaire aux comptes, à savoir : assurer le bon exercice de la profession en utilisant les meilleures pratiques. Deux objectifs ont été fixés pour la réalisation des travaux de transposition : positionner clairement la France au regard du référentiel normatif international (IAASB), témoigner du haut degré de qualité de la certification des commissaires aux comptes. Les normes professionnelles, intégrées dans le Recueil « Normes professionnelles et Code de déontologie » paru en décembre 2000 et mis à jour en juillet 2002, sont applicables pour l’audit des comptes des exercices ouverts à compter du 1er janvier 2001. Le Recueil est divisé en huit sections : Introduction Dispositions relatives à l’exercice des missions Mission d’audit Mission d’examen limité Interventions définies par convention Vérifications et informations spécifiques Interventions définies par la loi ou le règlement Missions particulières confiées à un commissaire aux comptes Parmi les normes relatives à la mission d’audit, celles qui traitent de « l’appréciation du contrôle interne » sont au nombre de trois : évaluation du risque et contrôle interne (norme CNCC 2-301), audit réalisé dans un environnement informatique (norme CNCC 2-302), facteurs à considérer lorsque l’entité fait appel à un service bureau (norme CNCC 2-303). 2. LES OBJECTIFS DU GUIDE L’audit réalisé dans un environnement informatique peut poser au commissaire aux comptes des difficultés de mise en œuvre en termes d’approche, de nature des contrôles à réaliser et d’exploitation des résultats obtenus à l’issue de ces contrôles. Toutefois, la prise en compte de l’environnement informatique lors de l’audit des comptes ne doit pas être confondue avec l’audit informatique d’un système d’information confié généralement à des experts spécialisés. La Note d’information CNCC n° 25 intitulée « La démarche du commissaire aux comptes en milieu informatisé » publiée en 1995, avait déjà sensibilisé les professionnels sur ces difficultés. L’émergence des nouvelles technologies de l’information ainsi que la complexité croissante des systèmes d’information automatisés a conduit la CNCC à élaborer le présent guide destiné Prise en compte de l’environnement informatique et incidence sur la démarche d’audit Collection guide d’application © CNCC Edition – Avril 2003 6 essentiellement à remplacer la précédente « Note d’information » et à privilégier les aspects opérationnels. Il traite notamment : des apports de la norme CNCC 2-302 précitée, des domaines sensibles de la démarche du commissaire aux comptes en milieu informatisé. Il intègre : une méthodologie de la prise en compte de l’environnement informatique dans la mission du commissaire aux comptes, des exemples pratiques portant sur la nature et l’étendue des travaux à mettre en œuvre, des outils opérationnels pour la mise en œuvre de techniques d’audit assistées par ordinateur. 3. L’APPROCHE METHODOLOGIQUE ET PEDAGOGIQUE L’objectif principal du guide est de préciser et commenter les modalités d’application décrites dans la norme CNCC 2-302 et d’apporter au commissaire aux comptes des solutions opérationnelles ; il sera fait référence à ce texte pour aborder chaque étape de la démarche. L’approche méthodologique retenue a en conséquence privilégié les spécificités de la démarche dans un environnement informatique, notamment en ce qui concerne : l’orientation et la planification de la mission (prise de connaissance), l’évaluation du risque inhérent et du risque lié au contrôle, la conception et l’exécution des tests de procédures et des contrôles substantifs. 4. LES APPORTS DE LA NORME CNCC 2-302 : « AUDIT REALISE DANS UN ENVIRONNEMENT INFORMATIQUE » La norme CNCC 2-302 rappelle les principes uploads/Management/ audit-informatique-cncc.pdf