Vous êtes sur la page 1sur 135

UNIVERSITE DE LA MANOUBA

Institut Suprieur de Comptabilit et dAdministration des Entreprises

(I.S.C.A.E)

Commission dExpertise Comptable


Mmoire en vue de l'obtention du diplme d'expertise comptable

Sujet :

LEVOLUTION DES TECHNOLOGIES DE


LINFORMATION ET DE LA COMMUNICATION

IMPACT SUR LAUDIT FINANCIER

Prpar par : Mohamed Lassad Encadr par : Ahmed BELAIFA

Anne Universitaire 2000/2001

Sommaire :
Introduction Gnrale ........................................................................................................................... 3 Partie I : Nouvelles technologies de linformation et de la communication : Impact sur lentreprise et sur laudit financier....................................................................................................... 5 Introduction Partie I.............................................................................................................................. 6 Chapitre 1 : Les Principaux Impacts des Nouvelles Technologies sur le Systme Comptable et les Contrles Internes de lEntreprise ....................................................................................................... 9 Introduction :..................................................................................................................................... 9 Section 1 : Les caractristiques du systme comptable et des contrles internes dans un milieu informatis........................................................................................................................................ 9 Section 2 : Les diffrentes catgories des risques et des pertes informatiques dans un milieu informatis :.................................................................................................................................... 19 Section 3 : La scurit des informations et des communications dans un milieu informatis .. 25 Conclusion :.................................................................................................................................... 31 Chapitre 2 : Les Principaux Impacts des Nouvelles Technologies sur lAudit Financier................... 33 Introduction :................................................................................................................................... 33 Section 1 : Les effets des nouvelles technologies sur la ralisation de laudit financier................ 33 Section 2 : Les effets des nouvelles technologies sur les aptitudes et les comptences ncessaires de lauditeur financier................................................................................................. 45 Conclusion :.................................................................................................................................... 48 Chapitre 3 : Les Principales Ractions des Lgislations et des Organismes Professionnels Face aux Evolutions Informatiques.................................................................................................................... 49 Introduction..................................................................................................................................... 49 Section 1 : La rglementation comptable, fiscale et juridique........................................................ 49 Section 2 : Les principales ractions des organismes professionnels :......................................... 60 Conclusion :.................................................................................................................................... 64 Conclusion Partie I............................................................................................................................. 65

http://www.procomptable.com/

Partie II : Laudit informatique dans le processus de laudit financier .......................................... 66 Introduction Partie II........................................................................................................................... 67 Chapitre 1 : Le Besoin De Recours A lAudit Informatique Et Ses Rles Dans Une Mission DAudit Financier ............................................................................................................................................ 68 Introduction :................................................................................................................................... 68 Section 1 : La planification dune mission daudit financier et la dtermination du besoin de recours laudit informatique ......................................................................................................... 68 Section 2 : Les rles dvolus laudit informatique dans une mission daudit financier ............... 76 Conclusion :.................................................................................................................................... 80 Chapitre 2 : Prsentation de la Dmarche de lAudit Informatique En support lAudit Financier ... 81 Introduction :................................................................................................................................... 81 Section 1 : La planification de la mission daudit informatique....................................................... 81 Section 2 : Lexamen des contrles gnraux informatiques ........................................................ 87 Section 3 : Lexamen des contrles dapplication .......................................................................... 99 Section 4 : La phase de finalisation ............................................................................................. 105 Conclusion :.................................................................................................................................. 109 Chapitre 3 : Les Principales Evolutions Prvisibles des Pratiques en la Matire en Tunisie.......... 110 Introduction................................................................................................................................... 110 Section 1 : Lvolution du cadre juridique et technique................................................................ 110 Section 2 : Lvolution de lapproche et des procdures daudit.................................................. 115 Section 3 : La mise niveau de la formation des auditeurs ........................................................ 118 Conclusion.................................................................................................................................... 123 Conclusion Partie II.......................................................................................................................... 124 Conclusion Gnrale......................................................................................................................... 125 Bibliographies.................................................................................................................................... 128

http://www.procomptable.com/

Introduction Gnrale
Les technologies de linformation et de la communication peuvent tre dfinies comme tant lensemble des technologies informatiques et de tlcommunication permettant le traitement et lchange dinformations et la communication construite autour de lordinateur et du tlphone 1. Ces technologies touchent de plus en plus les entreprises en Tunisie. En effet, ces dernires sont devenues de plus en plus informatises et beaucoup dentre elles ont mis ou sont en cours de mettre en place des progiciels de gestion intgre, dnomms aussi E.R.P (Enterprise Resource Planning) dont titre dexemple : SAP, JDEdwards, Oracle, etc. Par ailleurs, la nouvelle technologie de lInternet va certainement devenir, dans un proche avenir, lune des proccupations majeures de nos entreprises tunisiennes et ce, compte tenu des phnomnes de globalisation et de libralisation ainsi que de lmergence de la nouvelle conomie. Cette volution de linformatique, aussi bien au niveau du hardware que du software, et sa pntration dans tous les domaines de lentreprise est, sans doute, spectaculaire. En effet, les systmes informatiques actuels permettent de plus en plus : une mise jour et un partage des donnes en temps rel, une intgration des systmes dinformation financiers et oprationnels (ERP : Entreprise Resource Planning), des changes conomiques intractifs de lentreprise, non seulement avec les clients, mais aussi avec les fournisseurs (E-commerce, E-business, etc.)

Toutefois, cette volution a augment considrablement la dpendance des entreprises envers leurs systmes informatiques et a affect leurs systmes comptables et de contrle interne. Nous en citons, essentiellement, la dmatrialisation tendant devenir totale (zro papier) de la transaction et par suite, de la preuve (Absence de documents dentre, absence de systmes de rfrences visibles, absence de documents de sortie visibles). Paralllement, ce dveloppement de l'informatique augmente, dans des proportions importantes, la vulnrabilit du systme d'information et engendre pour l'entreprise de nouveaux risques qu'elle est appele matriser. Ces risques touchent aussi bien la fonction informatique que les traitements automatiss. Face ce nouveau contexte, les auditeurs financiers ne peuvent plus ignorer le phnomne de linformatisation des entreprises devenue de plus en plus complexe. Sils ont estim, au dpart, qu'il fallait traiter l'informatique part, ils sont convaincus, aujourd'hui, que l'informatique devrait tre intgre dans leur dmarche professionnelle et dans chacune de leurs proccupations. Ainsi, lapproche daudit, que nous avions lhabitude dadopter dans nos entreprises tunisiennes, devrait rpondre ce nouveau contexte et aux risques nouveau-ns. Cette mise niveau de lapproche daudit est une proccupation majeure et dactualit des organismes professionnels dans le monde et des cabinets internationaux. Cest ainsi que les organismes professionnels n'ont pas manqu d'apporter et de mettre jour les lignes directrices et le minimum de diligences dans le cadre dun audit dans un milieu informatis et que les cabinets internationaux ont dvelopp des mthodologies appropries et ont fait de gros investissements pour adapter les approches daudit un environnement devenu de plus en plus complexe.
Abderraouf YAICH, La profession comptable et les nouvelles technologies de linformation et de la communication , La Revue Comptable et Financire RCF N53, Troisime trimestre 2001, Page 17.
1

http://www.procomptable.com/

Paralllement, la lgislation, la jurisprudence et la doctrine lchelle internationale se sont enrichies de rgles nouvelles destines rglementer et contrler certains aspects des systmes informatiss. Par ailleurs, ce nouveau contexte implique, de la part de lauditeur, un minimum de connaissances en matire informatique. Ceci n'carte pas, bien sr, la possibilit du recours des spcialistes en cas de besoin. Ainsi, la question qui se pose est de savoir comment ces nouveaux aspects informatiques sont pris en compte dans la dmarche de laudit financier ? Et quelles sont les volutions ncessaires des pratiques en la matire en Tunisie ? Pour rpondre cette problmatique, ce mmoire sera structur en deux parties : La premire partie sera consacre ltude de limpact des nouvelles technologies de linformation et de la communication sur le systme comptable et les contrles internes de lentreprise ainsi que sur laudit financier. Elle traitera aussi les principales ractions des lgislations et des organismes professionnels en la matire. Lobjectif de cette partie est de mettre en exergue les enjeux informatiques complexes et de montrer limportance que revt dsormais laudit informatique dans le processus de laudit financier. La deuxime partie sera consacre la dtermination du besoin de recours laudit informatique dans une mission daudit financier, ltude des rles qui lui sont dvolus et une prsentation de la dmarche correspondante suivre. Seront aussi traites, les principales volutions prvisibles des pratiques en la matire en Tunisie. Lobjectif de cette partie est de prsenter la manire avec laquelle sintgre laudit informatique dans les diffrentes tapes de laudit financier et danticiper le dveloppement futur de laudit informatique en support laudit financier. Aussi, faut il indiquer que le prsent mmoire ne traite pas les aspects suivants : Description dtaille des impacts de chaque nouvelle technologie sur le systme comptable et les contrles internes : uniquement les domaines touchs sont traits. Des exemples ont t fournis titre indicatif. Description dtaille des contrles mettre en place par lentreprise pour couvrir les nouveaux risques engendrs par les nouvelles technologies de linformation et de la communication. Description dtaille des tests entreprendre par lauditeur pour la validation des contrles clefs associs aux contrles gnraux informatiques et aux contrles dapplication. Conception des techniques daudit assistes par ordinateur et description de la dmarche de leur utilisation. Les problmes comptables qui peuvent surgir de lutilisation des nouvelles technologies de linformation et de la communication (exemples : limpact de lenvironnement informatique sur la continuit dexploitation, la comptabilisation des revenus, lestimation des provisions pour dprciation clients pour les ventes via le Web, la comptabilisation du cot de dveloppement des applications, la comptabilisation du cot des recherches et des dveloppements touchant par exemple lInternet, etc.).

http://www.procomptable.com/

Partie I : Nouvelles technologies de linformation et de la communication : Impact sur lentreprise et sur laudit financier

http://www.procomptable.com/

Introduction Partie I
Comme indiqu dans lintroduction gnrale, cette partie est consacre ltude des principaux impacts des nouvelles technologies de linformation et de la communication sur le systme comptable et les contrles internes de lentreprise ainsi que sur laudit financier. Ainsi, faut-il, tout dabord, indiquer et dcrire brivement les principales nouvelles technologies de linformation et de la communication. Larchitecture Client / Serveur : De nos jours, larchitecture Client / Serveur est, probablement, le changement le plus rpandu dans le traitement des donnes. Elle rpond une ncessit de faire partager linformation entre les diffrents utilisateurs. Les applications informatiques et les bases de donnes sont localises sur le serveur et sont partageables par les utilisateurs depuis leurs postes (client)2. Larchitecture client/serveur se caractrise par la division dun traitement informatique excut sur des plates-formes interconnectes en rseau. LEchange de Donnes Informatis (EDI) : LE.D.I est un transfert de donnes, suivant des standards prtablis de messages (protocoles de communication), d'ordinateur ordinateur par des moyens lectroniques. Un systme E.D.I. concerne gnralement des partenaires juridiquement distincts. Il sert supprimer les changes sur support papier tout en conservant une mme qualit sur le plan de la scurit, et viter les ressaisies et laccroissement des dlais. Les Progiciels de Gestion Intgre (ERP) : Aprs l're du dveloppement spcifique et des premiers progiciels de gestion monodomaine (comptabilit, gestion de production...), les annes 90 ont vu le dveloppement des ERP ou progiciels de gestion intgre. Il sagit dun ensemble de modules structurs autour d'une base de donnes unique et couvrant l'ensemble des domaines fonctionnels de l'entreprise, de la gestion de production la gestion financire. Cinq grands fournisseurs de progiciels se partagent aujourd'hui 60% du march des ERP dans le monde, avec SAP (32% de parts de march en 1998) comme leader incontest.
A ut re s s o lut io ns 40%

SA P 32%

B aan 5%

JD E dwa rds 6%

P e o ple s o ft 8%

O ra c le 9%

Source : The Gartner Group 1998

Le taux de pntration des ERP dans les grandes entreprises mondiales est important. Plus de 40% des 500 entreprises les plus fortunes dans le monde ont choisi un outil ERP. Le secteur ptrolier vient en tte suivi du secteur de lindustrie chimique et pharmaceutique3.
Cette architecture a volu vers une architecture 3-tiers : serveur de donnes (bases de donnes), serveur de traitement (applications) et utilisateurs. 3 Etude ralise par le cabinet PricewaterhouseCoopers sur les top 1000 entreprises, 1998.
2

http://www.procomptable.com/

Les ERP prsentent les caractristiques essentielles suivantes : Ils permettent une intgration totale des diffrents aspects de laffaire Ils sont fonctions multiples : devises, matires, services, produits, etc. Ils sont Flexibles : La totalit ou seulement certaines fonctionnalits peuvent tre utilises Ils permettent une large couverture du business : Planning, contrle et traitement pour l'entit entire, couverture en cas de sites multiples Ils assurent une puissante gestion transactionnelle en temps rel

En outre, lavantage des ERP est quils cumulent lexprience de quelques milliers dentreprises et renferment ce que les spcialistes de la gestion appellent les meilleures pratiques 4. Par ailleurs, il y a lieu dindiquer que le march des ERP est en pleine expansion. En 1998, le march des ERP slve 14,8 Milliards de dollars amricains contre une prvision pour lan 2002 slevant 52 Milliards US$. Les principales raisons de cette forte progression sont : Lintroduction de nouvelles fonctions intgres (exemple : supply chain management, EBusiness) Lextension vers de nouveaux secteurs : secteur public, sant, etc. Nouvelles cibles : (exemple : PME).

LInternet : E-commerce, E-Business LInternet a t dvelopp en 1969 pour les scientifiques de la recherche militaire et les laboratoires de la dfense comme rseaux informatiques dcentraliss qui pourraient survivre une attaque nuclaire. Peu aprs, les dveloppeurs de l'Internet se sont rendus compte que son utilisation commerciale aurait un impact norme sur notre conomie mondiale. Il est certain quInternet a permis l'ouverture sur le monde un prix rduit, et est en train de crer trs rapidement un nouveau circuit de distribution, et plus encore, un nouveau modle conomique qui bouleverseront durablement la faon dont les entreprises produisent et entretiennent leurs relations avec leurs principaux partenaires conomiques (clients, fournisseurs, etc.). Internet reprsente donc un vritable dfi quaucune entreprise ne peut ignorer au risque dtre rapidement mise hors course dans une comptition dsormais mondiale. Dans ce qui suit, nous allons dcrire les deux concepts : E-commerce et E-Business. 1. LE- business : Selon une dfinition dIBM, l'E-Business veut dire la transformation de processus cls travers l'usage des technologies de lInternet. Cette dfinition peut tre tendue davantage pour inclure la connectivit entre l'Internet (par le Web) et la technologie de l'information d'une entit ainsi que ses diffrentes fonctions. Ainsi, lE-Business consiste connecter les chanes de valeur entre les diffrentes entits, divisions et localits afin de vendre davantage, de se rapprocher des clients, de rduire les cots et d'ouvrir de nouvelles voies. 2. L'E-Commerce : LE-Commerce est un sous-ensemble de lE-Business. Plusieurs dfinitions ont t avances par diffrentes organisations. A titre dexemple, en 1997, lAICPA5 a dfini lE-commerce comme la conduite de transactions commerciales entre les individus et les organisations sur des rseaux publics ou privs. En lan 2000, lISACA6 a limit cette dfinition aux transactions conduites sur Internet.

4 5

Traduction anglaise : Best practices . AICPA : American Institute of Certified Public Accountants . 6 ISACA : Information System Audit and Control Association .

http://www.procomptable.com/

Lintgration Internet ERP : Jusqu' une date rcente, l'ERP s'est concentr avant tout sur le systme d'information interne l'entreprise, bien qu'il ait dvelopp des relations troites avec l'extrieur grce la technologie EDI (en particulier dans le secteur de l'automobile, de la pharmacie, ...). Face aux enjeux et bnfices potentiels de l'E-business, qui prsupposent une intgration technique forte des systmes d'information des partenaires (front office et back office), les ERP ont voulu sortir de leur simple image d'outil de back-office transactionnel et passer d'un systme "gocentrique" un systme compltement ouvert sur l'extrieur. Nous citons titre dexemple : Etendre laccs l'ERP des personnes extrieures l'entreprise et notamment les clients pour vrifier le statut de leur commande ou l'enregistrement d'un rglement sur leur compte. Dans un souci doptimisation du supply chain 7, les ERP ont dvelopp des fonctionnalits de planification oprationnelle, tactique et stratgique de la chane logistique en combinant la puissance du systme transactionnel de base, les fonctionnalits Internet et les produits et technologies novateurs.

Le schma8 suivant illustre lintgration Internet ERP :


Partenaires de l'entreprise

Supply Chain Management

Applications en collaboration Logistique/ Production Strategic Enterprise Management Ressources Humaines Finance

Service Client Online Customer Relationship Management Prise de commandes


Vente & catalogue

Fournisseurs

Achat / Approvisionnement

Ventes & Marketing Gestion du Savoir-faire / Recherche

Clients

Comptabilit fournisseurs / Rglement

on-line

Employee Self Service

Facturation/ Rglement

Employs

Le supply chain management (SCM) (traduction franaise : La gestion de la chane logistique) reprsente lensemble des outils et des mthodes permettant doptimiser les flux des matires premires et des biens dun bout lautre de la chane industrielle, cest dire du client le plus en aval au fournisseur le plus en amont. Il regroupe quatre domaines : La gestion des achats, la gestion de la production, la gestion de la demande et la gestion de la distribution. 8 Schma extrait du sminaire organis par le cabinet PricewaterhouseCoopers (Bureau de Tunis) et la Socit Tunisienne de lElectricit et du Gaz (STEG) portant sur le thme ERP et E-business , le 13 et 14 dcembre 1999.

http://www.procomptable.com/

Chapitre 1 : Les Principaux Impacts des Nouvelles Technologies sur le Systme Comptable et les Contrles Internes de lEntreprise
Introduction :
Le recours aux nouvelles technologies de linformation et de la communication est susceptible dengendrer une incidence importante sur le systme comptable et les contrles internes de lentreprise. Il est aussi susceptible dengendrer une incidence significative sur la gestion et la performance de lentreprise, dont : loptimisation du flux des matires premires et des biens au niveau interne de la socit et en relation avec ses partenaires llargissement de son march et ltablissement de liens directs, instantans et intractifs avec ses clients, ses fournisseurs,

Toutefois, et tant donn que le prsent mmoire est focalis sur laudit financier, nous allons nous limiter ltude des impacts se rattachant uniquement aux contrles internes et au systme comptable. Paralllement, nous examinerons les diffrentes catgories de risques et de pertes associs la mise en place des nouvelles technologies et limportance consquente de la scurit informatique.

Section 1 : Les caractristiques du systme comptable et des contrles internes dans un milieu informatis
Sous section 1 : Dfinitions
Avant de prsenter limpact des technologies de linformation et de la communication sur le systme comptable et les contrles internes de lentreprise, nous avons jug utile de rappeler la dfinition de ces deux derniers concepts et didentifier quels sont les domaines susceptibles dtre affects.

1. Le systme comptable :
Selon la norme internationale daudit ISA 4009, le systme comptable est lensemble des procdures et des documents dune entit permettant le traitement des transactions aux fins de leur enregistrement dans les comptes. Ce systme identifie, rassemble, analyse, calcule, classe, enregistre, rcapitule et fait la synthse des transactions et autres vnements . Ainsi, il sagit dun systme charg de traduire les oprations lies lactivit de lentreprise en donnes financires. Avec les nouvelles technologies de linformation et de la communication, et lintgration des fonctions traitant les oprations et les informations depuis leur source jusqu leur enregistrement dans les tats financiers, il nest pas toujours facile de faire la distinction entre le systme comptable et les systmes qui traitent dautres informations. Ainsi, un systme de traitement des achats et comptes fournisseurs traite aussi bien des informations comptables que des informations portant sur dautres aspects des activits (exemple : les quantits optimales commander).
9

ISA 400 : Evaluation du risque et contrle interne (Risk Assessment and Internal Control) ; IFAC.

http://www.procomptable.com/

2. Le systme de contrle interne :


Le contrle interne dans le sens traditionnel a eu un intrt direct sur les contrles internes se rattachant la fonction financire et comptable. Les questions dordre financier taient la principale inquitude aussi bien des financiers de lentreprise que de leur auditeur externe. Les activits oprationnelles clefs taient omises par la plupart des acteurs de lentreprise. Pour faire face cette situation, une tude a t lance par le Committee of Sponsoring Organizations , comit connu sous le nom COSO et englobant plusieurs organisations dont lAICPA, IIA10 et AAA11. Ce comit a redfini le contrle interne comme tant un processus mis en uvre par la direction gnrale, la hirarchie, le personnel dune entreprise et destin fournir une assurance raisonnable quant la ralisation des objectifs suivants : Ralisation et optimisation des oprations Protection des actifs Fiabilit des informations financires Conformit aux lois, rglementation et directives de lorganisation .

Il convient dindiquer que cette dfinition a t adopte par le Nouveau Systme Comptable Tunisien. Elle implique que le systme comptable fait partie intgrante du systme de contrle interne. Les composants du systme de contrle interne comprennent : lenvironnement de contrle : Ceci englobe lintgrit, lthique et la comptence des diffrents intervenants de lentreprise lvaluation des risques : Ceci englobe lidentification et lanalyse des risques aussi bien internes quexternes rattachs la ralisation des objectifs de lentreprise les activits de contrle : Cest la mise en place des actions ncessaires pour faire face aux risques pouvant affecter la ralisation des objectifs de lentreprise linformation et la communication : Cest dvelopper et communiquer linformation temps et dans une forme permettant aux diffrents intervenants de comprendre et dassurer leurs responsabilits la direction (monitoring) : Cest une activit continue afin dassurer que les procdures fonctionnent comme convenu.

Ces composants oprent travers lensemble des aspects de lorganisation. En outre, tant donn quils forment un systme intgr, les forces dans un domaine peuvent compenser des faiblesses souleves dans dautres domaines et permettent davoir un niveau appropri de contrle contre les risques de lorganisation. Par ailleurs, dans le cadre dun audit financier, il est vident que les objectifs et les composants du contrle interne prcits ne sont pas tous pertinents. Ainsi, dans ce qui suit, nous allons focaliser uniquement sur les aspects importants pour laudit financier et susceptibles dtre significativement affects par les nouvelles technologies de linformation et de la communication.

Sous section 2 : La structure organisationnelle


Linformatisation croissante des entreprises a des impacts plus ou moins significatifs sur la structure organisationnelle de la socit. Les principaux se rsument dans ce qui suit :

1. Lorganisation gnrale de la socit :


La mise en place des nouvelles technologies de linformation et de la communication engendre des changements importants rattachs au flux des informations et laccs aux donnes. On assiste, dsormais, des centres de dcision moins centraliss, des utilisateurs finaux plus concerns par les nouvelles volutions, une implication et une appropriation des systmes par le "senior management" et une augmentation du nombre de personnes accdant linformation. Par ailleurs, linformatisation peut engendrer une redfinition des responsabilits des employs.
10 11

IIA : Institute of Internal Auditors AAA : American Accounting Association

http://www.procomptable.com/

10

Toutefois, il y a lieu de prciser que vu la complexit de plus en plus importante des nouvelles technologies de linformation et de la communication, la matrise convenable de loutil informatique dans son sens large, cest dire linterdpendance entre la source des donnes, leur mode de traitement, leur sortie et leur utilisation, est limite un nombre de personnel trs rduit. Ces personnes connaissent normalement un nombre suffisant de faiblesses de contrle interne pour modifier les programmes, les donnes, leur traitement et leur conservation.

2. Lorganisation du service informatique :


La structure organisationnelle du service informatique couvre deux aspects : (a) la place de la fonction dans la structure globale de lentreprise et (b) la structure interne du service informatique. Ces deux volets dpendent de limportance des traitements informatiques, du nombre de personnes employes dans le service et des techniques de contrle utilises. Ci-aprs, un organigramme dune direction informatique importante :

3. Lexternalisation du systme dinformation :


Directeur du systme d'information

Responsable scurit

responsable exploitation

assistance aux utilisateurs

Responsable systme

Responsable tudes et dveloppement

Responsable tlcommunication

Administrateur de scurit

Support technique

"Help Desk"

Veille technologique

Mthodes

Architecture

Recette

Statistiques / Tableaux de bord

Systme de base

Groupe projet 1

Ingnierie

Planification ordonnancement

Tltraitement

Groupe projet 2

Bureautique

Surveillance du rseau

Performance

Administration et modalisation de donnes

Tlphone et multimdia

Equipe de salle (contrle/pupitrage)

Certaines entreprises externalisent leur systme dinformation en le confiant un tiers charg dassurer sa gestion et son exploitation. Il existe une multitude de formules possibles. Daprs les chiffres parus dans le journal les Echos 12, lexternalisation des technologies de linformation reprsentait sur le plan mondial un march de 100 milliards de dollars en 1998, et passerait 120 milliards de dollars en 2002 et 150 milliards de dollars en 2004. Par ailleurs, et toujours selon la mme rfrence, une tude rcente montre que le quart des entreprises qui externalisent leurs technologies de linformation et de la communication rencontrent des difficults srieuses. Les cots cachs et la crdibilit du prestataire restent les principaux risques de lexternalisation. Parmi les principaux avantages et inconvnients de lexternalisation, nous citons : Avantages : 12

Lamlioration de la performance La rduction de la gestion du systme dinformation La mise en uvre plus rapide de systmes La limitation des dpenses Un meilleur contrle sur lactivit principale Une plus grande expertise en systme dinformation
Leslie Willcocks et Chris Sauer, Externaliser les technologies de linformation , Les Echos, jeudi 2 Novembre 2000.

http://www.procomptable.com/

11

Inconvnients : Des cots dpassant les attentes La perte de lexpertise interne en systme dinformation La perte de contrle sur le Systme dInformation La faillite du prestataire Laccs limit au produit La difficult de renverser ou de changer les dispositions externalises.

4. La sparation des tches incompatibles :


La sparation des tches incompatibles est parfois plus difficile dans un milieu informatis en raison, essentiellement, des facteurs suivants : Rduction du nombre de personnes intervenantes, auparavant, dans le traitement manuel des oprations contre une augmentation du staff informatique centralisant, gnralement, de nombreux aspects des systmes. Les informations comptables et de gestion et les programmes dapplication de lentreprise sont stocks sur des mmoires lectroniques et accessibles beaucoup de personnes au moyen de terminaux. En labsence de contrle daccs appropris, les personnes ayant accs des traitements informatiques ou des fichiers peuvent tre en mesure de raliser des fonctions qui devraient leur tre interdites ou de prendre connaissance de donnes sans y tre autorises et sans laisser de traces visibles. Quand le service informatique est important, il est en gnral plus facile de sparer les tches incompatibles. Toutefois, dans les entreprises de taille moyenne, la formalisation des tches lintrieur des diffrentes fonctions est beaucoup moins dveloppe que dans un service dune taille plus importante.

Ainsi, il convient de prciser que la sparation classique des tches dans un environnement non informatis, nest pas totalement efficace dans un systme informatis, mais peut tre renforce par diffrents types de logiciels destins limiter laccs aux applications et aux fichiers. Il est donc ncessaire dapprcier les contrles portant sur laccs aux informations afin de savoir si la sgrgation des tches incompatibles a t correctement renforce. Pour les petites entreprises, il est difficile de mettre en place une sparation convenable des tches. Toutefois, limplication plus importante de la direction peut compenser cette dficience. Signalons quau regard du systme informatique, il existe trois types dutilisateurs : 1. Les utilisateurs non autoriss : Il sagit des intrus externes comme par exemple : les pirates des systmes (hackers) et les anciens employs. Des contrles prventifs, particulirement des contrles dauthentification des utilisateurs, rpondent ce type de risque. Des contrles dtectifs complmentaires permettent de rvler les ventuels accs russis. 2. Les utilisateurs enregistrs : Laccs de ces utilisateurs devrait tre limit aux applications et aux donnes rattaches leurs fonctions. Des contrles prventifs pour ce type dutilisateurs se prsentent sous forme de contrle dauthentification des utilisateurs et dallocations de droits limits aux applications ncessaires lexcution de leurs tches. 3. Les utilisateurs privilgis : Il sagit de ladministrateur systme, les dveloppeurs, les responsables de lexploitation. Ces utilisateurs ncessitent des privilges de systme ou de scurit pour la ralisation de leurs travaux. Bien que les organisations aient besoin de confier les clefs de leur royaume quelqu'un, c'est tout de mme important de rappeler que le privilge et le contrle ne doivent pas tre mutuellement exclusifs. Les privilges doivent tre assigns avec la mise en place de contrles afin de sassurer que ces privilges ne sont pas abuss. Les contrles dtectifs, tels que lexamen des vnements de la scurit et des changements de statut, sont ncessaires pour rpondre aux abus potentiels de privilges spciaux. Par ailleurs, lintrieur du dpartement informatique, si les fonctions incompatibles ne sont pas correctement spares, des erreurs ou irrgularits peuvent se produire et ne pas tre dcouvertes

http://www.procomptable.com/

12

dans le cours normal de lactivit. Des changements non autoriss dans des programmes dapplication ou dans des fichiers peuvent tre difficiles dtecter dans un environnement informatique. Cest pourquoi, des mesures prventives touchant en particulier le respect de la sparation des fonctions principales de programmation et dexploitation deviennent indispensables pour assurer la fiabilit de linformation financire. A titre indicatif, les dispositions suivantes devraient tre respectes : Interdiction aux analystes fonctionnels et programmeurs de mettre en marche le systme et de lexploiter Interdiction aux programmeurs daccder aux environnements de production Interdiction aux oprateurs deffectuer des modifications de programmes ou de donnes

Dans les dpartements informatiques plus petits, l o la sparation des tches nest pas possible, la capacit viter toute opration non autorise lintrieur du dpartement informatique est diminue. Dans ce cas, les contrles de compensation deviennent particulirement importants. Ces contrles compensatoires peuvent tre des contrles puissants lors de la saisie des donnes, un traitement correct et complet exerc par les dpartements utilisateurs et une forte supervision de lexploitation en cours.

Sous section 3 : La nature des traitements


Les nouvelles technologies de linformation et de la communication influencent sur la manire avec laquelle les transactions sont traites. Le traitement inclut des fonctions telles que la validation, le calcul, la mesure, lvaluation, la synthtisation et la rconciliation. Il est clair que lordinateur applique le mme traitement toutes les oprations similaires en utilisant les mmes instructions. Ainsi, les systmes informatiss excutent leurs fonctions exactement selon le programme et sont, en thorie, plus fiables que les systmes manuels.

1. Les types de traitement :


Il existe plusieurs types de traitements. Les plus communment utiliss sont : Traitement en temps rel (real time processing) : Les diffrentes transactions sont saisies sur les terminaux, puis valides et utilises pour mettre jour immdiatement les fichiers informatiques. Ainsi, les rsultats du traitement sont immdiatement disponibles pour toute interrogation ou gnration dtat. Traitement par lot (batch processing): Les transactions sont saisies sur un terminal puis soumises certains contrles de validation et ajoutes un fichier transactions contenant les autres transactions de la priode. Selon une priodicit dfinie, le fichier des transactions mettra jour le fichier matre correspondant. Mise jour mmorise (memo update) : Cest une association du traitement en temps rel et du traitement par lot. En effet, les transactions mettent immdiatement jour un fichier mmo qui contient les informations extraites de la dernire version du fichier matre. Ultrieurement, le fichier matre sera mis jour par un traitement par lot. Traitement par extraction ou par chargement de donnes (downloading / uploading processing) : Ceci consiste transfrer les donnes du fichier matre un terminal intelligent pour traitement ultrieur par lutilisateur. Le rsultat du traitement sera ensuite recharg sur lordinateur central du sige.

De nos jours, la majorit des systmes oprationnels sont des systmes temps rel. Les transactions sont traites une fois produites, les informations sont mises jour immdiatement et les donnes figurant sur les fichiers sont changes avec les donnes de la nouvelle transaction. Toutefois, il convient de noter que certains systmes continuent utiliser le systme de traitement par lot. Dans ce systme, les saisies soprent quotidiennement, tandis que la mise jour des fichiers se fait la nuit ou une date spcifie (lors de labsence de transactions).

http://www.procomptable.com/

13

2. La cl comptable :
Dans la plupart des progiciels intgrs (ERP), c'est la cl comptable qui reprsente l'identifiant portant l'ensemble des imputations utiles la bonne analyse de l'activit de l'entreprise. Elle doit permettre l'enregistrement de toutes les informations significatives pour la comptabilit de l'entreprise. Pour cela, elle contient autant d'axes d'analyse que ncessaire : analyse par nature, par destination, par rubrique budgtaire, par produit, par projet, par zone gographique, etc. Par ailleurs, la cl comptable est compose d'une succession de segments indpendants. Selon les progiciels, elle peut tre unique et impose pour tous les mouvements (tous les segments dclars doivent tre renseigns) ou flexible (le nombre de segments tant variable et la signification du segment pouvant tre diffrente selon l'vnement gr). Exemple de cl comptable dune entreprise industrielle :

Code socit Centre de Compte cot comptable

Extension de compte

Produit

Ligne de produit

Exemple de cl comptable dune entreprise de service :

Code socit Compte comptable

Code activit

Code affaire

Code march

Exemple de cl comptable dune banque :

Agence

Compte comptable

Nature Produit Type analytique commercial client

3. La gnration automatique des critures comptables :


La gnration automatique des critures comptables reprsente lune des importantes volutions. En effet, les nouvelles technologies offrent la possibilit de paramtrer des rgles de traduction automatique des oprations en critures comptables. Exemple 1 : Exemple 2 : Suite ldition dune facture de vente, le systme dbite automatiquement le compte client correspondant et crdite les comptes appropris de vente et de TVA. Des intrts peuvent tre calculs et dbits automatiquement sur les comptes clients sur la base des conditions pralablement dfinies dans le programme informatique.

Sous section 4 : Les aspects de conception et des procdures


1. Lintgration des systmes :
Les systmes oprationnels englobent, de plus en plus, une varit dapplications en interface qui taient auparavant spares et qui engendraient des ressaisis des donnes dune application lautre. Avec les nouvelles technologies de linformation et de la communication, lintgration des systmes oprationnels et des systmes financiers et comptables est devenue une ralit. Certes, cette intgration a permis aux entreprises de tirer de nombreux bnfices comme la cohrence des modes de fonctionnement, la rduction des dlais (dlais de clture, dlai de livraison.), l'unicit de l'information de rfrence (rfrentiels uniques et partags entre les diffrentes fonctions) et la cohrence de l'information dans toute l'entreprise. En outre, avec Internet, nous assistons une intgration des chanes de valeur des partenaires conomiques. Internet permet, par exemple, au fournisseur daccder au plan de fabrication de son client et au client de transmettre aux fournisseurs ses prvisions commerciales facilitant ainsi la planification de la fabrication et des approvisionnements.

http://www.procomptable.com/

14

Le schma, qui suit, montre lintgration des modules de lERP JDEdwards install dans une entreprise ptrolire en Tunisie.

Fixed Assets

ECS Sales Order Management Load and Delivery Management

General Accounting

Il convient de signaler que lintgration suppose, gnralement, lexistence de dictionnaire de donnes commun toutes les entits de lentreprise couvrant lensemble des domaines fonctionnels et partag par les diffrents utilisateurs. A titre dexemple, au niveau de JDEdwards, cest l Address Book qui centralise toutes les donnes se rapportant aux clients, fournisseurs, personnels, banques, etc. Lintgration des modules peut tre schmatise comme suit :
GESTION DES ACHATS Suggestions dAchats STOCKS et PRODUCTION Cration Besoins GESTION COMMERCIALE

GESTION FOURNISSEURS

2. La gnration automatique des transactions :


Il sagit dune programmation des systmes pour gnrer des donnes ou initier une transaction. Cette gnration peut se faire selon les faons suivantes : 1. Le traitement dune transaction peut crer les conditions de gnration dune autre transaction : exemple : la constatation dune vente peut rduire les stocks disponibles au-dessous du stock minimum. Ainsi, un bon de commande automatique peut tre dit. Cela suppose lexistence dun fichier permanent dfinissant les stocks minimums. 2. Un signal pour initier dautres transactions peut tre saisi : exemple : la saisie de lavancement de la production dun ordre de fabrication gnre les charges dans le stock des travaux en cours.

http://www.procomptable.com/

Energy & Chemical Solutions

J.D. EDWARDS

Address Book

Financials

Accounts Receivable

Inventory Management

Sales Order Management

Purchase Management

Accounts Payable

Purchase Order Management

- Contrle budget - Engagements - Contrle factures ... COMPTABILITE GENERALE

- Factures - Crdit client ...

GESTION CLIENTS

15

3. Les types de donnes et de procdures :


A titre de rappel, dans un milieu informatis, nous distinguons quatre lments de traitement fondamentaux ayant des impacts plus ou moins importants sur la prparation dune information financire fiable : Les donnes de transaction : Les donnes de transaction sont des donnes spcifiques chaque transaction. Les erreurs se limitent la seule transaction et ont, par consquent, un impact limit. Les donnes permanentes ou semi-permanentes : Ces donnes sont utilises lors du traitement des transactions mais ne sont pas spcifiques aux transactions individuelles. Ainsi, une erreur survenue dans ce type de donnes peut affecter plusieurs transactions se rattachant cette donne. Les procdures programmes (ou automatises) : Il sagit des procdures intgres dans le software et/ou le hardware. Les erreurs de programmes affectent toutes les transactions et les donnes permanentes traites. Les procdures manuelles : Ces procdures sont essentielles pour la prparation, le traitement et le suivi des rsultats de traitement. Si le systme cre des rapports dexception, une personne devrait enquter et corriger les conditions dexception.

4. La dmatrialisation des transactions et de la preuve :


La conception des systmes fait que les procdures informatiques laissent moins de traces matrielles que les procdures manuelles. A titre dexemple : Absence de justificatifs de certaines donnes saisies : Des donnes peuvent tre introduites dans le systme informatique sans documents justificatifs. De plus, les autorisations crites de saisie des donnes sont remplaces par dautres procdures intgres aux programmes informatiques. Absence dun systme de rfrences visibles : Les donnes sont de plus en plus gres uniquement sur support informatique engendrant, ainsi, une difficult de suivre une opration travers les pices justificatives correspondantes. En outre, les traces des transactions peuvent ntre que partiellement disponibles sur des supports lisibles par ordinateur et/ou peuvent avoir une dure de conservation limite dans le temps. Absence de documents de sortie visibles : Dans certains systmes, le rsultat du traitement peut ne pas tre imprim ou ltre sous forme de rsum seulement (un tat peut ne comporter que des totaux rcapitulatifs, tandis que les dtails des mouvements sont conservs en fichiers). De nos jours, la premire situation reste rare, tandis que la seconde est assez frquente. En raison de labsence de documents de sortie visibles, il est parfois ncessaire de se reporter aux donnes conserves dans des fichiers exploitables seulement par ordinateur.

Sous section 5 : Les aspects des contrles


Comme les organisations sorientent de plus en plus vers un modle de contrle interne bas sur les risques, conforme lapproche du COSO (Committee of Sponsoring Organizations), la mise en uvre du contrle interne dans les environnements informatiss continue voluer. Comme les systmes informatiques deviennent de plus en plus complexes et intgrs, souvent par Internet, les difficults de fournir des contrles appropris deviennent de plus en plus ressenties. Les activits de contrles englobent gnralement une combinaison des procdures de contrles programms qui permettent la gnration de rapports (exemple : les rapports dexception) et des procdures manuelles de suivi et dinvestigation des lments figurants sur ces rapports. Ces deux oprations sont ncessaires pour aboutir aux objectifs de contrle. En effet, sil nexiste aucune personne qui fait le suivi des rapports prvus par le systme, on peut dire quil ny a pas de contrle. Le mix de ces contrles dpend de la nature et de la complexit de la technologie utilise. La croissance de la vitesse et de la capacit en mmoire a permis de mettre en place plus de procdures de contrle intgres dans le hardware et/ou dans le software que par le pass. Outre les contrles directs, les contrles gnraux informatiques sont ncessaires pour assurer lintgrit des ressources dinformation et pour garantir que les procdures de contrles programms (ainsi que les procdures comptables programmes) sont correctement mises en place et sont

http://www.procomptable.com/

16

oprationnelles et quuniquement les changements autoriss sont oprs sur les programmes et sur les donnes. Par exemple, dfaut de contrles gnraux informatiques appropris, il ny a aucune assurance que les rapports dexception soient exacts et exhaustifs.

1. Les contrles gnraux informatiques :


Les contrles gnraux informatiques se rattachent la fonction informatique et ont pour objectif dtablir un cadre de contrle global sur les activits informatiques et de fournir un niveau dassurance raisonnable que les objectifs de contrle interne sont atteints 13. Les qualits attendues dun bon contrle interne de la fonction informatique sont : la fiabilit des informations produites, la protection du patrimoine et la scurit et la continuit des travaux. Par ailleurs, les contrles gnraux informatiques portent sur plus dune application et leur mise en uvre est essentielle pour assurer lefficacit des contrles directs. Ils touchent, essentiellement, les domaines suivants : Lorganisation et la gestion La maintenance des programmes Lexploitation Le dveloppement et la modification des programmes La scurit (sauvegarde, plan de secours, etc.) La scurit des systmes : Il sagit des procdures et des mcanismes en place destins sassurer que laccs lenvironnement informatique et aux programmes et donnes (physiques et logiques) est convenablement contrl. La scurit de lexploitation : Ce sont des contrles permettant de sassurer que les donnes sont traites dans les bons fichiers, que les lments rejets sont convenablement identifis et corrigs et que les programmes sont correctement mis en place et excuts. La maintenance des applications informatiques : Ce sont les contrles permettant de sassurer que les changements dans les programmes informatiques sont autoriss, correctement conus et effectivement mis en place. Le dveloppement et la modification des applications : Ce sont les contrles sur les nouvelles applications ou sur les modifications significatives des applications existantes permettant de sassurer que les procdures programmes sont convenablement conues et correctement mises en place.

Ces contrles peuvent tre diviss en quatre catgories :

2. Les contrles directs :


Les contrles directs sont des contrles conus pour prvenir ou dtecter les erreurs et les irrgularits pouvant avoir un impact sur les tats financiers. On distingue trois catgories de contrles directs :

1.1. Les contrles dapplication :


Les contrles dapplication sont des contrles permettant de sassurer que toutes les oprations sont autorises, enregistres, et traites de faon exhaustive, correcte et dans les dlais. Ces contrles peuvent tre dfalqus en : Contrles portant sur les donnes dentre : Ces contrles visent fournir une assurance raisonnable que toutes les transactions sont dment autorises avant dtre traites et quelles ne sont pas perdues, ajoutes, dupliques ou indment modifies. Ils visent aussi assurer que les transactions incorrectes sont rejetes, corriges et, si ncessaire, soumises en temps voulu un nouveau traitement. Contrles sur les traitements et les fichiers de donnes informatiss : Ces contrles visent fournir une assurance raisonnable que les transactions, y compris celles gnres par le systme, sont correctement traites par lordinateur et quelles ne sont pas perdues, ajoutes, dupliques ou indment modifies. Ils visent, aussi, assurer que les erreurs de traitement sont dtectes et corriges en temps opportun.

13

IAPS 1008 : Evaluation du risque et contrle interne : caractristiques et considrations sur linformatique , IFAC.

http://www.procomptable.com/

17

Contrles sur la production des rsultats : Ces contrles visent fournir une assurance raisonnable que les rsultats des traitements sont exacts, que laccs aux informations produites est limit aux personnes autorises et que ces informations sont communiques aux personnes autorises en temps voulu.

Avec les nouvelles technologies, beaucoup de contrles, auparavant manuels assurs par le personnel informatique, par les utilisateurs du systme ou par un groupe de contrle indpendant, sont ds lors raliss par ordinateur. Exemple 1 : Les logiciels de l'E-Business incluent, gnralement, des contrles pour prvenir la rpudiation ou la modification des enregistrements qui initient les transactions. Ces contrles peuvent tre une signature lectronique et des certificats du serveur qui authentifient les parties de la transaction. Exemple 2 : Lautorisation de lentre peut tre assure par des contrles programms dautorisation (par exemple : approbation dune commande qui ne dpasse pas le plafond de crdit consenti pour un client donn). Une fonction de traitement informatise peut constituer un contrle clef si elle effectue un aspect essentiel du traitement des oprations de la socit et des informations sy rapportant. Toutefois, il est noter quil nest pas toujours facile dtablir une distinction claire entre les contrles et les fonctions intgres. Certains traitements, comme ldition, la validation ou la comparaison participent, en effet, au contrle interne puisquils servent prvenir ou dtecter les erreurs ou irrgularits. Dautres comme lenregistrement, le calcul et laddition ne sont pas des contrles proprement parler, puisquils nont pas pour but la prvention ni la dtection des erreurs et irrgularits, mais sont des fonctions de base pour le systme dinformation pouvant affecter directement les tats financiers. Par ailleurs, dans un milieu informatis, les contrles se basent, de plus en plus, sur des rapports informatiques (intituls : rapports dexception ou logs daudit) qui sont, gnralement, suffisamment dtaills pour faire ressortir les oprations inhabituelles ou anormalement importantes ainsi que dautres problmes ventuels. Ils sont tablis en temps voulu selon une prsentation qui souligne les points importants et facilite leur comprhension. Ces oprations, mises en valeur dans les rapports dexception, peuvent tre soient acceptes par le systme, enregistres dans un fichier dattente ou rejetes par le systme. Mais pour lefficacit de ce contrle, encore faut-il que ces rapports soient convenablement conus, paramtrs et contrls manuellement. Exemple : La chane fournisseurs peut diter une liste des bons de rception manquants, que lon examinera afin de savoir pourquoi ces bons nexistent pas. En outre, ce contrle nest efficace que si la liste sortie de lordinateur est exhaustive et fiable.

1.2. Les contrles de direction :


Ces contrles, qui portent sur des informations finales, sont raliss posteriori par des personnes indpendantes du processus de traitement. Leur but est de dtecter des erreurs ou irrgularits susceptibles de stre produites en amont. Le systme informatique peut offrir la direction plusieurs informations utiles au pilotage de lentit et une palette doutils analytiques permettant dexaminer et de superviser ses activits. Les contrles de direction peuvent consister en la revue et le suivi des rapports dexception sur les oprations et les soldes anormaux et des rsums des oprations traites, en la vrification de la squence des oprations traites, etc.

1.3. Les contrles visant protger les actifs :


Ces contrles consistent en des mesures de contrle et de scurit assurant un accs limit aux personnes expressment autorises et dans la limite de leurs responsabilits. Ils doivent aussi apporter la garantie que les actifs de la socit sont labri de toute cration de documents qui en autoriseraient lutilisation ou la cession. Sous le terme actifs , nous entendons aussi bien les actifs inscrits dans les comptes que les informations confidentielles ou non contenues dans les fichiers informatiques. Il est vident que les contrles visant protger les actifs sont encore plus ncessaires si ces actifs sont confidentiels, aisment transportables, convoits et/ou de valeur importante.

http://www.procomptable.com/

18

Section 2 : Les diffrentes catgories des risques et des pertes informatiques dans un milieu informatis :
Lvolution des technologies de linformation et de la communication engendre pour lentreprise une panoplie de risques informatiques quelle est appele matriser. Hormis les simples vols, les documents financiers peuvent tre modifis et des transactions illicites peuvent tre engages au nom de lentreprise sans son consentement. Linterception et labus dutilisation des cartes de crdit ou des informations bancaires compromettent les intrts du client de lentreprise. Des documents confidentiels peuvent tre divulgus au public ou aux concurrents de lentreprise. Les droits dauteurs, les marques et les brevets peuvent tre viols. Mais aussi, bien dautres dommages peuvent toucher la rputation et la notorit de lentreprise. Ces risques peuvent engendrer des pertes que lon mesure, soit quantitativement par le montant des pertes, soit de faon qualitative.

Sous section 1 : Les catgories des risques informatiques


Les risques informatiques sont de plusieurs ordres. Nous citons : Les risques stratgiques : Le sous emploi ou lincapacit de suivre le rythme de mise en place des nouvelles technologies de linformation et de la communication peut faire qu'une entreprise s'exclue d'elle-mme du groupe de partenaires que constitue son milieu professionnel concurrentiel. Les risques techniques : Ces risques englobent les risques associs la fonction informatique ainsi que ceux rattachs aux applications. Les risques juridiques : Ces risques se rapportent au non respect de la rglementation en vigueur (juridique, comptable et fiscale), tel que le piratage des logiciels. En outre, il convient de prciser ce niveau que la nouvelle technologie de lInternet na pas encore ses propres lois ni de prcdents juridiques grande chelle. En fait, lune des principales sources de risque est le trop grand nombre de lois rgissant lactivit en ligne. Le danger pour tout site marchand est donc denfreindre par inadvertance la lgislation tablie du pays o il vend ses produits ou services. Pour laudit financier, nous sommes intresss, principalement, par les deux derniers risques savoir les risques techniques et les risques juridiques. Nous traitons, dans ce qui suit, les risques techniques. Les risques juridiques feront lobjet dune tude spcifique au niveau du chapitre 3 de la prsente partie.

1. Les composants des risques techniques :


Les risques techniques se divisent en :

1.1. Risques associs la fonction informatique :


Dans un milieu informatis, les principaux risques associs la fonction informatique sont : a) Lorganisation et les procdures dexploitation du dpartement informatique peuvent ne pas constituer un environnement de traitement favorable la prparation dinformations financires fiables. b) Les programmeurs peuvent modifier de faon errone ou non autorise les logiciels dapplication, rduisant ainsi la fiabilit des informations financires traites par le systme. c) Des personnes non autorises (employs ou personnel extrieur) peuvent accder directement aux fichiers ou programmes dapplication utiliss pour le traitement des transactions et y apporter des modifications non autorises. En outre, avec les nouvelles technologies de linformation et de la communication, les systmes informatiques constituent, de plus en plus, une fentre ouverte dans laquelle peuvent s'engouffrer des flux perturbateurs. L'entreprise qui ne matriserait pas ce nouveau contexte peut se rendre permable aux intrusions et recevra, par consquent, des flux indsirables dont le traitement correctif non anticip reste manuel et coteux.

http://www.procomptable.com/

19

En effet, au cours de la communication et la ralisation daffaires sur Internet, les consommateurs et lentreprise doivent envoyer et recevoir des informations rciproques. Les informations fournies sont susceptibles des accs non autoriss lors de la transmission sur Internet et pendant quelles sont stockes sur le systme informatique de la partie rceptionnaire. Par ailleurs, les tltransmissions, sur lesquelles se basent les nouvelles technologies, prsentent elles-mmes des risques : le recours des spcialistes hautement qualifis sur lesquels un contrle n'est pas ais et qui ont parfois des autorisations daccs tendues ; la complexit technique, une caractristique des tlcommunications, fragilise les systmes qui en font un usage exclusif ;

Une tude portant sur les origines des risques les plus significatifs touchant la fonction informatique a t mene en se basant sur les rsultats daudit effectus auprs de 23 socits14. Il y avait 256 constats gnrs de cet audit. Ces constats ont tre groups en sept catgories de risque, savoir : Source lectrique : Non fiabilit de la source lectrique et absence de solutions en cas de sa rupture ou de son insuffisance ; Scurit de lentreprise : Scurit physique et logique insuffisantes et absence de protection contre toute forme dintervention humaine intentionnelle ou inattentive ; Architecture physique : Architecture inadquate et non pratique du btiment abritant le matriel informatique : difficult daccs, absence de moyens de dtection des incendies, etc. ; Documentation : Absence dune documentation convenable et jour et absence dune procdure de mise jour adquate ; Architecture du systme : Ceci englobe les insuffisances dues lge, au type et la configuration des ressources informatiques ; Sauvegarde et restauration des donnes : Ceci englobe toutes les insuffisances rattaches aux procdures de gestion de la sauvegarde et de la restauration des donnes ; Nature du business : Il sagit des risques associs la nature de lactivit de lentreprise audite qui se rpercutent sur la fonction informatique ;

Les rsultats de cette tude se prsentent comme suit :


Nature du business Sauvegarde et restauration Architecture du systme Documentation Architecture physique Scurit de l'entreprise Source lectrique 3% 9% 43% 48% 96% 43% 83% 57%

7% 6% 27% 12% 35% 10%

0%

20%

40%

60%

80%

100%

120%

Pource ntage de s entre prise s pr se ntant le risque Pource ntage de la r alisation globale du risque

Ainsi, il ressort de cette tude que le principal pourcentage de risque se situe au niveau de la scurit de lentreprise (35%). Un pourcentage important des entreprises prsente ce risque (83%).

14

Extrait de louvrage : Handbook of Information Technology Auditing , D 6-08 ; Coopers & Lybrand 1997.

http://www.procomptable.com/

20

Labsence dune documentation convenable et jour et labsence dune procdure de mise jour adquate constituent aussi un risque important (27%). La quasi-totalit des entreprises prsentent ce risque (96%).

1.2. Risques lis aux applications :


Les principaux risques lis aux applications peuvent se rsumer comme suit : a) Des personnes non autorises peuvent avoir accs aux fonctions de traitement des programmes dapplication et peuvent, ainsi, effectuer des oprations de lecture, daltration, dajout ou de suppression dinformations des fichiers de donnes, ou de saisies de transactions non autorises. Ceci peut conduire des erreurs ou irrgularits pouvant fort bien demeurer caches. Ce risque est similaire celui provenant dune mauvaise sparation des tches ou lexercice de tches incompatibles. Il concerne la possibilit daccs non autoris aux fonctions de traitement des programmes dapplication par des procdures normales de dclenchement dautorisation et denregistrement de transactions et ce, contrairement au risque que des personnes non autorises accdent directement des informations mmorises ou des programmes dapplication utiliss au travers de logiciels systme, par des moyens de tlcommunication, programmes utilitaires ou autres sources informatises. Ce dernier risque est voqu dans le paragraphe risques associs la fonction informatique . b) Les transactions et donnes permanentes introduites pour traitement peuvent tre inexactes, incompltes ou saisies plusieurs fois. c) Les donnes rejetes ou en suspens peuvent ne pas tre identifies, analyses et rectifies. d) Des transactions valides saisies pour traitement ou gnres par le systme peuvent se perdre, tre incorrectement ou incompltement traites ou imputes, ou bien encore traites ou imputes une mauvaise priode comptable. Exemple, les transactions traites par le commerce lectronique sont susceptibles dtre perdues, traites doublement ou dune faon errone. Ainsi, si une commande est envoye par Internet dune entreprise une autre sans lexistence de contrles dintgrit appropris, lacheteur peut ne pas recevoir les marchandises commandes ou recevoir une quantit suprieure. Ces risques sont dautant plus importants avec lintgration des systmes o une seule donne introduite dans le systme peut mettre jour automatiquement tous les renseignements correspondants. Ainsi, une erreur introduite peut engendrer une erreur dans diffrents fichiers et/ou bases de donnes.

2. Les types de risques :


Les risques peuvent tre diviss en trois types : les accidents, les erreurs, et la malveillance15.

2.1. Les accidents :


Accidents sur les locaux : Incendie, explosion, dgts des eaux, bris de machine, etc. Accidents sur les matriels : pannes, destruction, etc. Accidents du fait des services : lectricit, tlcommunication, etc.

2.2. Les erreurs :


Erreurs de saisie, de transmission des donnes, et dutilisation des informations (erreurs didentification des documents informatiques, erreurs dinterprtation du contenu dun document informatique, document insuffisamment contrl, etc.) Erreurs d'exploitation : exemple : destruction accidentelle dun fichier Erreurs de conception et de ralisation de logiciels et procdures d'application.

15

2.3. La malveillance :
Vol de matriels principaux ou accessoires Fraude : Utilisation non autorise des ressources du systme d'information :

Selon louvrage du CLUSIF (Club de la scurit informatique franais), Evaluation des consquences conomiques des incidents et sinistres relatifs aux systmes informatiques : France 1996 ; Fvrier 1997.

http://www.procomptable.com/

21

dtournement de fonds, dtournement de biens ou services matriels ou immatriels, les attaques cibles vers une entreprise pour rcuprer des informations ou modifier des dispositifs en vue d'oprer ultrieurement une autre opration malveillante Sabotage : Attentat, vandalisme et toute action malveillante conduisant un sinistre matriel Attaque logique : Utilisation non autorise des ressources du systme d'information se traduisant, essentiellement, par une perte d'intgrit et/ou de disponibilit. Ces attaques sont de deux catgories : les attaques non cibles (les virus, etc.) qui reprsentent l'immense majorit des attaques en nombre, mais avec un impact modr, les attaques cibles vers une entreprise (bombe logique, manipulation de donnes ou de programmes, etc.) dans le but de la paralyser au moins momentanment. Ces attaques sont trs peu nombreuses, mais peuvent avoir un impact trs nuisible. Divulgation : Utilisation non autorise des ressources du systme d'information, entranant la divulgation des tiers d'informations confidentielles. Autres : Grves, dparts individuels ou collectifs de personnels informatiques (aggravs par labsence ou linsuffisance de la documentation et par labsence de rotation du personnel informatique. Ceci implique, souvent, que certaines applications ne peuvent tre maintenues que par un seul informaticien), etc.

Sous section 2 : Les catgories des pertes informatiques


Les catgories des pertes informatiques sont les suivantes : Les dommages matriels et annexes : Ces pertes reprsentent les cots de rfection ou dacquisition de biens endommags ou vols. Les biens concerns sont le matriel informatique, le matriel denvironnement (climatisation, onduleur, etc.), les supports magntiques et les fournitures. Des frais annexes, pour la rfection des btiments et les honoraires de toutes sortes (expertise, bureau dtude) sajoutent ces cots directs. Les frais supplmentaires et les pertes dexploitation : Ces pertes sont les plus importantes et sont engendres par tous les types de risques. 1. Les frais supplmentaires : Ces frais correspondent aux moyens supplmentaires mettre en uvre suite un sinistre informatique. Ils sont destins maintenir pour le systme des fonctionnalits et des performances aussi proches que possible de celles qui taient avant le sinistre. Nous citons, notamment : des locaux informatiques de secours des matriels informatiques de secours un rseau de tltransmission de secours du personnel de secours des frais financiers

2. Les pertes dexploitation : Ce sont des pertes rsultant dune baisse temporaire ou durable de la marge brute de lentreprise. Ces pertes correspondent, notamment, : Des pertes de chiffre daffaires Des pertes de crances ou augmentation des dettes fournisseurs Des pertes de clientle Des pertes dimage de marque

Les pertes de fonds et de biens : Ce type de perte a essentiellement pour origine la fraude et le sabotage immatriel. Les pertes de fonds correspondent une diminution du patrimoine financier de lentreprise soit par une diminution des comptes dactif soit par une augmentation des comptes

http://www.procomptable.com/

22

de passif. Les pertes de biens consistent en des dtournements de biens physiques (immobilisations et stocks). Nous citons : pertes de fonds ou de biens physiques, pertes d'informations confidentielles, de savoir-faire, etc., pertes d'lments non reconstituables du systme (essentiellement donnes ou programmes) valus en valeur patrimoniale.

Les autres pertes (rglementaires, dontologique, etc.) : Parmi les autres pertes, nous citons : les honoraires et les frais de justice lis la mise en cause de la responsabilit de lentreprise du fait des prjudices causs autrui volontairement ou pas, la copie illicite des logiciels, etc.

Selon une tude ralise par le CLUSIF16, les pertes dues des sinistres impliquant linformatique, hors secteur gouvernemental et administration, sont values, pour la France et pour lanne 1996, 12,7 milliards de francs (environ 2,5 milliards de Dinars Tunisiens), dont : 62% sont imputables la malveillance 24% sont imputables des accidents 14% sont dues des erreurs

14%

24%

62%

M alvaillance s

Accide n ts

Er r e ur s

A titre de comparaison, cette tude prcise que les pertes correspondantes de 1987 sont values 7,9 milliards de francs (Franc courant), soit environ 1,5 milliards de Dinars Tunisiens, dont : 49% sont imputables la malveillance 28% sont imputables des accidents 23% sont dues des erreurs

23%

49%

28% Malvaillances Accidents Erreurs

Par ailleurs et toujours selon la mme tude ralise par le CLUSIF, les pertes enregistres en France pour lanne 1996 se dtaillent comme suit :

16

CLUSIF (Club de la scurit informatique franais), Evaluation des consquences conomiques des incidents et sinistres relatifs aux systmes informatiques : France 1996 , Fvrier 1997.

http://www.procomptable.com/

23

Catgories Dommages matriels et annexes Frais supplmentaires et pertes dexploitation Pertes de fonds et de biens Autres pertes Total

Pertes en millions de FRF 1.535 4.530 2.760 * 3.895 12.720

% 12,1 35,6 21,7 30,6 100

(*) Dont 1.700 millions de Franc Franais correspondent aux copies illicites.

Il apparat clairement que les frais supplmentaires et les pertes dexploitation sont les pertes les plus importantes avec un pourcentage slevant 35,6% de la totalit des pertes. Quant aux consquences de ces pertes, elles peuvent tre regroupes en trois catgories : Disponibilit : cest laptitude des systmes remplir une fonction dans des conditions prdfinies dhoraires, de dlais et de performances Intgrit : Proprit qui assure qu'une information n'est modifie que par les utilisateurs habilits dans les conditions d'accs normalement prvues. Confidentialit : Proprit qui assure que seuls les utilisateurs habilits dans les conditions normalement prvues ont accs aux informations.

Pour lexercice 1996, les consquences des pertes dtailles ci-haut ont t regroupes comme suit : Disponibilit : Intgrit : Confidentialit : 40 % 37 % 23 %
23%

Exercice 1996
40%

37% Disponibilit Intgrit Confidentialit

Contre des pourcentages correspondants en 1987 de : Disponibilit : Intgrit : Confidentialit : 51 % 31 % 8%


Exercice 1987
51%

31% 8% Disponibilit Intgrit Confidentialit

http://www.procomptable.com/

24

Il convient de prciser quil faut valuer avec prudence lvolution entre 1987 et 1996 du fait que certaines dfinitions ont chang depuis 1987, de l'imprcision des chiffres, de l'volution des mentalits (diminution de la propension de non dclaration selon les catgories) et de la modification du contexte informationnel, juridique etc. Enfin, la rpartition des auteurs des sinistres, pour lexercice 1999, se prsente comme suit17 : Employs actuels : 81 % Anciens employs : 6 % Personnes extrieures : 13%
6% 13%

81%
Employs actuels Personnes extrieurs Anciens employs

Tous ces chiffres tmoignent de limportance des risques et des pertes informatiques dans un milieu informatis. Le chef dentreprise doit tre conscient de limportance, sans cesse croissante, de lenjeu informatique.

Section 3 : La scurit des informations et des communications dans un milieu informatis


Les nouvelles technologies de l'information et de la communication constituent un facteur essentiel d'accroissement de la comptitivit et sont porteuses de bnfices. Nanmoins, les consquences peuvent tre catastrophiques si lentreprise ne sy conduit pas correctement en matire de scurit. Cette dernire est devenue un sujet particulirement mdiatis. On relaye largement les incidents et actes illicites touchant la scurit des systmes dinformation, dont titre dexemple : le virus "I Love You" en mars 2000, les fraudes la carte bancaire sur Internet, etc. Paralllement, la scurit des informations et des communications est devenue de plus en plus complexe. A titre dexemple, pour scuriser un environnement Client / Serveur , il faut identifier tous les points daccs (serveur, postes clients , etc.) aussi bien au niveau individuel quau niveau de leur interaction densemble afin de sassurer quaucun risque ne demeure non vrifi. En outre et concernant les ERP, selon les rsultats de lenqute annuelle 1998 dErnst & Young18 sur la scurit des systmes dinformation, il ressort que prs dune entreprise sur cinq na pas confiance en la scurit de son progiciel intgr et par consquent sur la fiabilit des processus informatiss. Ces inquitudes ont t expliques, en partie, par le fait que les progiciels intgrs ncessitent une prise en compte particulire des besoins de fiabilit et de scurit. En effet, mme si chaque module est bien matris en matire de contrle informatique, il subsiste souvent des failles potentielles de contrle interne entre les diffrents modules. Quant la scurit sur Internet, les attaques cyberntiques peuvent compromettre lentreprise et dtruire tout son patrimoine. En effet, Internet fournit laccs des millions de clients potentiels mais aussi des milliers de fraudeurs et descrocs ventuels.
Informations extraites du sminaire Global Risk Management Solutions : Joiners Course (Initiation la gestion du risque management), Marburg Allemagne, PricewaterhouseCoopers, 2000. 18 Philippe TROUCHAUD, Apprciation du contrle interne informatique des grandes entreprises et impact sur le contrle des comptes , Revue Franaise de Comptabilit N 316, Novembre 1999, page 21.
17

http://www.procomptable.com/

25

Nous allons tudier dans ce qui suit : les objectifs de la scurit en milieu informatis, les diffrents types de scurit informatique au sein de lentreprise, et, les mthodes dvaluation de la scurit informatique.

Sous section 1 : Les objectifs de la scurit en milieu informatis


Lobjectif de la politique de scurit du systme dinformation est de garantir la disponibilit, lintgrit, la confidentialit et la possibilit de contrle et de preuve.

1. La disponibilit :
Cest laptitude des systmes remplir une fonction dans des conditions prdfinies dhoraires, de dlais et de performances. Il sagit de garantir la continuit du service, assurer les objectifs de performance (temps de rponse) et respecter les dates et heures limites des traitements. Assurer la disponibilit de linformation ncessite des procdures appropries de couverture contre les accidents ainsi que des contrles de scurit afin de se protger contre les suppressions inattentives ou intentionnelles des fichiers. Applique aux flux d'information, la disponibilit est destine garantir la continuit des changes d'information, c'est dire de pouvoir disposer, chaque fois que le besoin existe, des possibilits de rception ou de transfert. En outre, applique aux traitements, elle est destine garantir la continuit de service des traitements, c'est dire de pouvoir disposer des ressources en matriels et logiciels ncessaires l'ensemble des services, des agences et la clientle extrieure. Enfin, applique aux donnes, elle est destine garantir la disponibilit prvue pour l'accs aux donnes (dlais et horaires), c'est dire de pouvoir disposer, de l'accs aux donnes, chaque fois que le besoin existe, dans des conditions de performance prdfinies.

2. Lintgrit :
Cest la proprit qui assure que les informations sont identiques en deux points, dans le temps comme dans lespace. Selon lISO 13-335-1, lintgrit cest la proprit de non-altration ou de non-destruction de tout ou partie du systme dinformation et/ou des donnes de faon non autorise. Il sagit de garantir lexhaustivit, lexactitude et la validit des informations ainsi que dviter la modification, par erreur, de linformation. Assurer lintgrit des donnes consiste tablir des contrles aussi bien sur les entres que sur les traitements des transactions et scuriser les fichiers des donnes cumules de toute modification non autorise. A titre dexemple, pour les entreprises utilisant le commerce lectronique sans des contrles dintgrit adquats, les oprations et les documents lectroniques peuvent tre aisment modifis, perdus ou reproduits et faire lobjet derreurs de traitement. Lintgrit des oprations et des documents lectroniques risque alors dtre mise en cause, ce qui pourrait provoquer lentreprise des litiges avec ses clients au sujet des conditions de transaction et de paiement. Applique aux flux d'information, lintgrit est destine garantir la fiabilit et l'exhaustivit des changes d'information. C'est dire de faire en sorte que les donnes soient reues comme elles ont t mises et davoir les moyens de le vrifier. En outre, applique aux traitements, elle est destine assurer la conformit de l'algorithme des traitements automatiss ou non par rapport aux spcifications. C'est dire de pouvoir obtenir des rsultats complets et fiables. Enfin, applique aux donnes, elle est destine garantir l'exactitude et l'exhaustivit des donnes vis vis d'erreurs de manipulation ou d'usages non autoriss. C'est dire de pouvoir disposer de donnes dont l'exactitude, la fracheur et l'exhaustivit sont reconnues et attestes.

http://www.procomptable.com/

26

3. La confidentialit :
Cest la proprit qui assure la tenue secrte des informations avec accs aux seules entits autorises. La protection de la confidentialit des informations contre toute intrusion non autorise est dune exigence importante qui ncessite un niveau minimum de scurit. Il sagit de : rserver laccs aux donnes dun systme aux seuls utilisateurs habilits (authentification) en fonction de la classification des donnes et du niveau dhabilitation de chacun deux ; garantir le secret des donnes changes par deux correspondants sous forme de message ou de fichiers.

Ce dernier volet constitue l'aspect le plus vulnrable dans les changes lectroniques et intresse aussi bien lentreprise que les consommateurs. En effet, ces derniers se soucient pour la protection de leurs donnes personnelles et financires par peur que ces informations soient divulgues ou utilises de faon nuire leurs intrts. Il est donc normal que les personnes qui envisagent davoir recours au commerce lectronique cherchent obtenir lassurance que lentreprise a mis en place des contrles efficaces sur la protection de linformation et quelle veille la confidentialit des renseignements personnels de ses clients. Applique aux flux d'information, la confidentialit est destine garantir la protection des changes dont la divulgation ou l'accs par des tiers non autoriss porterait prjudice. En outre, applique aux traitements, elle est destine assurer la protection des algorithmes dcrivant les rgles de gestion et les rsultats dont la divulgation des tiers non autoriss serait nuisible. Enfin, applique aux donnes, elle est destine protger les donnes dont l'accs ou l'usage par des tiers non autoriss porterait prjudice. C'est dire de donner l'accs aux seules personnes habilites par des procdures organisationnelles et informatiques.

4. La possibilit de contrle et de preuve :


Ceci englobe la facult de vrifier le bon droulement dune fonction et limpossibilit pour une entit de nier avoir reu ou mis un message (La non rpudiation). Elle garantit la possibilit de reconstituer un traitement tous les niveaux (logique de programmation, droulement du traitement, forme des rsultats) des fins de contrle ou de preuve. Applique aux flux d'information, la possibilit de contrle et de preuve est destine garantir le fait de ne pouvoir nier avoir reu ou mis un flux (Iogs, authentifiants, accuss de rception, ...) et de pouvoir reconstituer ce flux. En outre, applique aux traitements, elle est destine garantir la possibilit de reconstituer tout moment le droulement d'un traitement et limpossibilit de nier la rception des rsultats. Enfin, applique aux donnes, elle est destine garantir la possibilit de reconstituer tout moment une donne et limpossibilit de nier l'accs une donne. C'est dire assurer la possibilit de reconstituer une donne et de retrouver trace de son utilisation.

Sous section 2 : Les diffrents types de scurit informatique au sein de lentreprise


Nous distinguons les types de scurit informatique suivants : 1. La scurit physique 2. La scurit des matriels et logiciels de base 3. La scurit des donnes 4. La scurit de la production

http://www.procomptable.com/

27

5. La scurit des tudes et des ralisations 6. La scurit des tlcommunications 7. La protection assurances La mise en place de moyens de scurit appropris ne peut se concrtiser efficacement qu la condition de correspondre une politique dcide par la Direction et prcise dans un plan (schma directeur) impliquant lentreprise toute entire. En outre, un contexte et un environnement socio-conomique positifs influencent favorablement lattitude du personnel et constituent un facteur de scurit important.

1. La scurit physique :
La scurit physique englobe les lments suivants : 1. Lenvironnement : Cest un paramtre la fois externe (milieu naturel et artificiel) et interne (exemple : la structure du btiment et la situation des locaux administratifs) lentreprise. 2. La pollution : Certains lments sont susceptibles dinfluencer la qualit de lenvironnement dans lequel fonctionnent les matriels et opre le personnel. Exemple : les vibrations, le magntisme, la temprature, les particules en suspension dans lair, etc. 3. La scurit incendie : Elle ncessite des dmarches dans les domaines de : la protection passive, visant diminuer la probabilit de survenance du sinistre (exemple : consignes de scurit) la dtection, destine viter quun incident mineur ne dgnre en un sinistre rel (exemple : capteurs de fume) la propagation, afin de limiter lampleur dun sinistre (exemple : porte coupe-feu) lextinction, en vue de rduire les consquences dun accident (exemple : quipe de premire intervention)

4. La scurit dgts des eaux : Cet lment est trop souvent nglig alors quil peut tre lorigine de lindisponibilit totale ou partielle dun centre informatique. Ce type de scurit doit tenir compte de lenvironnement du btiment ainsi que des diverses installations (canalisation dextinction de feu, dispositifs de climatisation, etc.) 5. Le contrle des accs : Ceci vise protger les cellules Etudes et Exploitation des entres intempestives et de la prsence inutile de personnes extrieures au service. Elle vise aussi protger les biens informatiques contre le vol et loutil informatique contre le sabotage et lattentat. 6. La fiabilit technique et nergtique : Ceci englobe la mise en place de dispositifs en vue de rduire la frquence des incidents matriels et den limiter la dure (alimentation lectrique, conditionnement dair, etc.)

2. La scurit des matriels et logiciels de base :


Ceci englobe : 1. Lacquisition et la maintenance des matriels : Cest lensemble des dispositifs ncessaires pour garantir un fonctionnement du matriel sans incident. 2. Lacquisition et la maintenance des logiciels de base : Ceci consiste en lensemble des scurits limitant et identifiant les altrations non autorises du fonctionnement du logiciel de base. En effet, toute altration du fonctionnement du logiciel de base est un facteur dimmobilisation quasi-totale de toutes les applications. 3. Le systme de secours : Cest lensemble de moyens matriels (exemple : la salle redondante, le centre de backup) et organisationnels (exemple : traitement manuel) destins pallier la dfaillance prolonge de loutil informatique. Signalons, ce niveau, limportance de la mise en place dun plan de continuit des systmes dinformation. Chaque plan de continuit a des caractristiques propres conditionnes par lactivit de lentreprise et sa dpendance vis--vis du systme dinformation.

http://www.procomptable.com/

28

Un plan de continuit comprend : Un plan de continuit utilisateur : dont lobjectif est de fournir un service minimum aux clients de lentreprise en cas de sinistre Un plan de secours qui prvoit une solution de secours en cas dinterruption du systme ainsi que les procdures associes Un plan de gestion et de communication de crise dont les objectifs sont de dclencher les mesures durgence au plus tt et de faon opportune et de diffuser une information sur la crise la plus judicieuse pour lentreprise Un plan de test et de gestion du plan qui garantissent la prennit du plan de continuit et son efficacit.

3. La scurit des donnes :


Ceci englobe : 1. Ladministration des donnes : Cest lensemble des dispositifs destins prserver la scurit et la confidentialit des donnes et veiller la cohrence du systme dinformation. 2. La conservation des donnes : Ceci englobe larchivage, le dsarchivage et la sauvegarde. Par donnes , on entend les fichiers, les programmes et la documentation.

4. La scurit de la production :
La scurit de la production couvre les domaines suivants : 1. La planification : Ceci englobe lensemble des mesures pour que le droulement des travaux se fasse dans lordre et ce, afin dassurer toutes les chances dune production russie. 2. Le contrle des entres / sorties : Il sagit de contrler lensemble des donnes entres et sorties de lentreprise et des traitements informatiques quels que soit leur origine, leur forme, leur support et leur destination. 3. Le traitement des applications : Il sagit de lensemble des scurits destines se prmunir, essentiellement, contre les modifications errones et non conformes des programmes utiliss ainsi que contre les actions frauduleuses introduites dans le droulement des travaux. 4. La sous-traitance : Cest lensemble des scurits assurant que les travaux raliss chez le sous-traitant sont convenablement scuriss.

5. La scurit des tudes et des ralisations :


Ceci consiste en lensemble des moyens assurant la scurit de la maintenance (autorisation, validation, recettage, etc.). Elle consiste aussi assurer une communication approprie entre les informaticiens et les utilisateurs et dfinir dune faon prcise la responsabilit de chacun.

6. La scurit des tlcommunications :


Ceci englobe : 1. La scurit physique : Cest lensemble des scurits touchant linfrastructure de tlcommunication et les constituants du rseau appartenant lentreprise. 2. La scurit logique : Outre les protections qui sappliquent aux logiciels de base et des contrles mis au niveau des applications, des prcautions supplmentaires sont ncessaires dans le cas du tltraitement. Les scnarios et les positions dattaque peuvent tre trs diffrents. A ce niveau, il convient dindiquer que le grand dfi de la scurit des donnes, pour les entreprises utilisant la technologie Internet, inclut des procds dauthentification lectronique et de cryptage. Lauthentification lectronique ou encore la signature lectronique est un processus permettant de sassurer de la fiabilit des donnes numriques et celles des diffrentes parties dune transaction. Plusieurs pays ont proclam des lois pour rglementer la signature lectronique et la valider pour la conclusion des contrats. Quant au cryptage, il se prsente comme une solution efficace permettant linformation dtre envoye travers les rseaux de communication publics sans perdre son caractre confidentiel

http://www.procomptable.com/

29

ou son intgrit et permettant cryptographie a fait aussi lobjet, lusage national des logiciels et sont suivis svrement vu les cryptage.

aussi de vrifier la source des donnes. Signalons que la dans plusieurs pays, de rgulation contrlant limport, lexport et mthodes de cryptage. Les changes de logiciels de cryptage risques pouvant dcouler des abus dutilisation des cls de

7. La protection assurances :
La protection assurances se distingue des autres types de scurit car elle correspond une indemnisation financire du prjudice subi. Cette indemnisation intervient, gnralement, avec un dcalage dans le temps qui peut tre important. En dehors des couvertures spciales, les compagnies dassurances couvrent les pertes engendres par deux grands types de dommages lis linformatique : 1. Les dommages matriels dus des vnements accidentels lexclusion des pannes et des erreurs quelles quelles soient, 2. Les dommages immatriels : dtournements, fraudes, escroqueries, sabotages immatriels.

Sous section 3 : Les mthodes dvaluation de la scurit informatique


Nous allons dans ce qui suit prsenter, dune faon trs brve, certaines mthodes dvaluation de la scurit informatique. Nous citons : la mthode statistique empirique, la mthode CHURCHMAN-ACKOFF et la mthode Marion 19. Il est utile de prciser que dans le cadre de laudit financier, nous ne sommes pas concerns par une valuation numrique du risque mais nous avons plutt besoin dexprimer un jugement professionnel sur ladaptation de la scurit aux risques identifis.

1. La mthode statistique empirique :


Elle consiste estimer les pertes potentielles de l'entreprise sur la base des pertes subies dans le pass. Il sagit de dterminer la distribution de la frquence absolue des incidents (nombre d'incidents annuels possibles avec la probabilit de ralisation de chacun), et des pertes unitaires (montants possibles pour un incident et probabilit de chacun). Cette mthode prsente de nombreux inconvnients. Elle suppose, en effet, l'existence d'une base de donnes statistiques complte et fiable. En outre, elle est base sur l'hypothse que le nombre des incidents et leur montant unitaire sont linaires et rptitifs dans le temps et que le pass est statistiquement reprsentatif de tous les risques possibles.

2. La mthode CHURCHMAN-ACKOFF :
Elle est base sur une approche qualitative : l'importance de chaque risque identifi est pondre par un coefficient de priorit. Les rangs de priorit sont attribus par comparaison des risques deux deux. Une cotation de la gravit relative de l'un par rapport l'autre est dfinie. Le tout est ensuite regroup pour tablir une hirarchie des risques. Ces deux mthodes sont essentiellement bases sur des schmas mathmatiques. Or, la scurit est avant tout base sur une politique de scurit qui ne peut tre prise en compte par des modles purement mathmatiques. C'est la raison pour laquelle elles ont t plus ou moins abandonnes au profit dautres mthodes telles que la mthode MARION.

3. La mthode MARION (Mthode danalyse informatiques et optimisation par niveau) :

des

risques

Cette mthode a t labore par l'APSAD20. Le CLUSIF en assure l'actualisation. Elle est fonde sur l'analyse des risques (elle tient compte de leur probabilit d'occurrence) et du cot de leurs consquences compar au cot de la prvention.

19

Yves BEGON, mmoire : Les professionnels des comptes et linformatique : risques et principes de scurit , session Mai 1997. 20 APSAD : Assemble Plnire des Socits dAssurances Dommages

http://www.procomptable.com/

30

Elle permet de dresser un inventaire des risques importants et de rechercher les moyens de scurit susceptibles de les rduire. En outre, elle permet d'aboutir la rdaction d'un schma directeur de la scurit et la mise en uvre de moyens de protection et de prvention cohrents et adquats. Schmatiquement, elle comporte six phases : a) l'analyse des risques (inventaire des risques encourus et valuation de leur cot), b) la dfinition du risque maximum tolrable, c) le questionnaire d'valuation qui permet l'analyse de la scurit existante. Les rsultats sont reports sur une grille / questionnaire qui donne lieu une notation allant de 0 (niveau de risque maximum) 4 (scurit maximale). Les rsultats sont ensuite prsents dans une rosace. d) la prise en compte des contraintes techniques et humaines dans l'analyse des risques, e) la dfinition des moyens mettre en uvre afin d'amliorer la scurit, f) la rdaction d'un plan de scurit indiquant les modalits pratiques de mise en uvre de la scurit.

Exemple : Le diagramme qui suit prsente lvaluation de la scurit dune banque compare la scurit requise dans le secteur bancaire.

Organisation gnrale Micro-informatique 3,50 Contrles permanents Contrles programms Mthodes d'analyse-programmation Procdure de rvision
3,00 2,50 2,00 1,50

Rglementation et Audit Facteurs socio-conomiques Environnement de base

Maintenance

1,00 0,50

Contrle des accs

Suivi de l'exploitation
0,00

Consignes de scurit

Sauvegardes

Scurit incendie

Archivage/Dsarchivage

Dgts des eaux

Protections des donnes Scurit des tlcommunications Fiabilit des matriels et logiciels de base Plan informatique

Amlioration fiabilit de fonctionnement Systmes et procdures de secours Protocoles utilisateurs-informaticiens Personnel informatique

XXX Banque

Commission Bancaire Groupe 4

Conclusion :
Les systmes dinformation ont une importance vritablement stratgique (dcider du bon systme mettre en place, des nouvelles technologies implanter, etc.). En outre, la gestion efficace de linformation et des technologies associes est dune importance critique pour le succs et la survie dune organisation. Cette importance a, essentiellement, pour origine : la dpendance croissante de linformation et des systmes qui la dlivrent le potentiel quont les technologies changer radicalement les organisations et les pratiques des affaires, crer de nouvelles opportunits et rduire les cots une vulnrabilit croissante et un large spectre de menaces.

http://www.procomptable.com/

31

Par ailleurs, il a t dmontr au cours de ce chapitre comment le milieu informatis et plus particulirement les nouvelles technologies de linformation et de la communication, peuvent affecter lorganisation et les procdures utilises par lentit pour satisfaire la mise en place dun contrle interne fiable. La mission de laudit financier, qui repose gnralement sur le contrle interne en place, sera affecte en consquence. Lapproche daudit doit tenir compte du nouvel environnement dintervention qui est, gnralement, plus difficile que lenvironnement traditionnel et ce, en raison notamment de : la frquence des modifications la complexit et lintgration des traitements laugmentation constante des volumes dinformation la concentration et/ou de la dispersion croissantes des donnes.

Les principaux impacts des nouvelles technologies sur laudit financier font lobjet dune tude dtaille dans le chapitre suivant.

http://www.procomptable.com/

32

Chapitre 2 : Les Principaux Impacts des Nouvelles Technologies sur lAudit Financier
Introduction :
Selon la norme internationale daudit N40121 de lIFAC, lexistence dun environnement informatique ne modifie pas lobjectif et ltendue de la mission daudit financier. Toutefois, il a t prcis dans le premier chapitre que la mise en place des nouvelles technologies de linformation et de la communication modifie la saisie et le processus de traitement, la conservation des donnes et la communication des informations financires et peut, par consquent, avoir des incidences sur le systme comptable et les contrles internes de lentit. Aussi, ces nouvelles technologies redfinissent un nouveau primtre de risques de nature financire, oprationnelle et de conformit. Ce nouveau cadre dintervention : appelle un complment de normes de travail de lauditeur aussi bien au niveau de la planification quau niveau de lexcution ; exige, dune faon continue, de nouvelles aptitudes et comptences pour faire face la complexit, de plus en plus croissante, des environnements informatiques.

Ces deux volets font lobjet dune tude dtaille dans les sections qui suivent.

Section 1 : Les effets des nouvelles technologies sur la ralisation de laudit financier
Laudit financier repose, gnralement, sur lexamen du systme de contrle interne en place. La dmarche de lauditeur consiste alors recenser les procdures utilises et ce, en procdant au dcoupage de lentreprise en fonctions, indpendantes ou non, mais facilement isolables. Cette approche na pas connu de rvolutions particulires avec la mise en place des applications informatiques traditionnelles. En effet, ces dernires taient associes aux diffrentes fonctions de lentreprise : achats, ventes, stocks, etc. Toutefois, la mise en place des nouvelles technologies entrane dimportants changements sur le plan de lorganisation, des processus et de la technologie. Avec les ERP, par exemple, une commande client peut gnrer une commande fournisseur, un lancement en production, un bon de livraison, une facture, son rglement, et lenregistrement en comptabilit de ces vnements. Lintervention humaine est limite la validation ou non de certains processus. Cest ainsi quon parle actuellement de la mutation de lapproche de lauditeur, de systmique et verticale, pour devenir vnementielle et transversale22. Par consquent, il faudra suivre le chemin parcouru par un vnement et tudier son impact sur lensemble du systme dinformation. Ce nouvel environnement appelle de la part de lauditeur un complment de normes de travail, dont essentiellement :

21

22

I.S.A 401 : Audit ralis dans un environnement informatis , (Auditing in a computer information system environment), IFAC. Daniel JOLY, Les progiciels intgrs et les nouveaux outils informatiques vont ils changer lapproche daudit ? ,, Revue Franaise de Comptabilit, Novembre 1999.

http://www.procomptable.com/

33

Lexamen des nouveaux domaines se rattachant aux nouvelles technologies afin dobtenir une comprhension suffisante du systme comptable et des contrles internes de l'entreprise, L'analyse des nouveaux risques inhrents et des nouveaux risques de non contrle ncessaire pour l'apprciation du risque d'audit et la planification des travaux, La conception, lexcution et le timing des tests sur les contrles et des tests substantifs afin de runir des lments probants suffisants et adquats ncessaires pour fonder lopinion daudit.

Sous section 1 : Les effets sur la planification de la mission daudit financier


Lauditeur doit considrer limportance et la complexit des systmes et de lenvironnement informatique. Il doit, aussi, considrer les nouveaux risques inhrents et les risques de non contrle associs aux traitements informatiss.

1. La prise de informatique :

connaissance

des

systmes

et

de

lenvironnement

Les changements dans la manire avec laquelle les entreprises ralisent leurs affaires dans un environnement dERP et/ou dInternet devraient tre considrs par lauditeur lors de la planification de la mission. En effet, tant donn les caractristiques uniques de ces entreprises, une bonne comprhension de ces caractristiques lors de la planification de la mission est essentielle. Cette prise de connaissance est limite aux systmes ayant une incidence sur les assertions soustendant ltablissement des tats financiers. Elle englobe la collecte dun complment dinformations spcifiques concernant par exemple les lments suivants : Lorganisation de la fonction informatique et le degr de concentration et de dcentralisation, Les contrles de la direction sur la fonction informatique, Dans quelle mesure lactivit repose sur les systmes informatiques et limportance et la complexit des traitements informatiss (volume des oprations, calculs complexes, gnration automatique des traitements et/ou des oprations, changes de donnes, etc.), Les caractristiques principales des systmes et des environnements et les contrles qui y sont rattachs (conception, configuration du matriel informatique, scurit, disponibilit des donnes, contrles lis lenvironnement informatique, contrles lis aux ERP, etc.), Les changements significatifs en termes de systmes et denvironnements informatiques, Les problmes antrieurs identifis au niveau des systmes.

La phase de collecte de linformation est plus importante la premire anne ou lanne du changement avant de pouvoir dcider de la stratgie. En revanche, les annes suivantes, compte tenu des connaissances daudit accumules, le processus doit tre plus rapide puisque focalis uniquement sur les changements de lexercice.

2. La prise en compte des nouveaux risques inhrents :


Le risque inhrent est la possibilit que le solde dun compte ou quune catgorie de transactions comporte des erreurs significatives isoles ou cumules des erreurs dans dautres soldes ou catgories de transactions, du fait de linsuffisance de contrle interne 23. Les risques inhrents associs lutilisation des nouvelles technologies de linformation et de la communication sont gnralement levs et ce, en raison de leur extrme flexibilit et complexit, de la multiplicit des systmes en intgration et de la multiplicit des utilisateurs. A titre dexemple, labsence de scurit du systme dexploitation peut rsulter en des changements de donnes ou de programmes altrant, par consquent, la fiabilit des tats financiers. En effet, en labsence de contrles appropris, il existe un risque accru que des personnes situes lintrieur ou

23

Norme internationale daudit (ISA) N400 : Evaluation du risque et contrle interne , IFAC.

http://www.procomptable.com/

34

lextrieur (par lutilisation dquipements informatiques distance) de lentit aient indment accs aux donnes et aux programmes et les modifient. Par ailleurs, le risque derreurs humaines dans la conception, la maintenance et la mise en uvre dun systme informatique est suprieur celui dun systme manuel cause du niveau de dtail inhrent ces systmes 24. En outre, en raison de la diminution de lintervention humaine dans le traitement informatis doprations, les erreurs ou irrgularits se produisant lors de la conception ou de la modification des programmes risquent de passer longtemps inaperues et entranent, en gnral, un traitement incorrect de toutes les oprations. Lauditeur peut considrer, par exemple, les lments suivants : L'intgrit, lexprience et les connaissances de la direction informatique Les changements dans la direction Les pressions exerces sur la direction informatique qui pourraient linciter prsenter des informations inexactes La nature de lorganisation de l'affaire et des systmes (Exemples : le commerce lectronique, la complexit des systmes, le manque de systmes intgrs) Les facteurs qui affectent l'organisation dans son ensemble (Exemple : changements technologiques)

Le niveau dinfluence dune partie externe sur le contrle des systmes (Exemples : lexternalisation des traitements informatiques, laccs direct par les clients) La susceptibilit de perte ou de dtournement des actifs contrls par le systme

3. La prise en compte des risques lis au contrle :


Le risque li au contrle est dfini comme tant le risque quune erreur significative dans un solde de compte ou dans une catgorie de transactions, isole ou cumule des erreurs dans dautres soldes ou catgories de transactions, ne soit ni prvenue ou dtecte, et corrige en temps voulu par les systmes comptable et de contrle interne 25. Au niveau de la planification, lauditeur procde une valuation prliminaire du risque li au contrle. Cette valuation doit tre fixe un niveau lev sauf si lauditeur : Parvient identifier des contrles internes appliqus une assertion particulire et susceptibles de prvenir ou dtecter et corriger une anomalie significative Envisage de raliser des tests de procdures pour tayer son valuation.

Les risques lis au contrle ont t traits au niveau du chapitre prcdent. Ils se composent des risques lis aux contrles directs et des risques lis aux contrles gnraux informatiques.

4. Considrations particulires en cas dexternalisation :


Certaines entreprises font appel des services bureaux pour tout ce qui se rattache leur systme dinformation. Ceci est dautant plus not avec lE-Business o beaucoup dentreprises utilisent un fournisseur de service Internet (ISP : Internet Service Provider) pour abriter leurs sites Web, y compris les bases de donnes utilises pour linitiation des ventes et des encaissements par cartes de crdit. Afin de planifier laudit et concevoir une approche daudit efficace, lauditeur doit dterminer ltendue des prestations rendues par le service bureau et leur incidence sur laudit. Les lments prendre en considration26 sont, titre indicatif : La nature des prestations du service bureau Les conditions contractuelles et relations entre lentreprise et le service bureau

Norme internationale daudit (ISA) N401 : Audit ralis dans un environnement informatis , IFAC. Norme internationale daudit (ISA) N400 : Evaluation du risque et contrle interne , IFAC. Norme internationale daudit N 402 : Facteurs considrer pour laudit dentits faisant appel aux services bureaux , IFAC.
25 26

24

http://www.procomptable.com/

35

Les assertions significatives sous-tendant l'tablissement des tats financiers influences par le recours au service bureau Les risques inhrents associs ces assertions Les interactions entre les systmes comptables et de contrle interne de lentreprise et ceux du service bureau Les contrles internes de lentreprise auxquels sont soumises les transactions traites par le service bureau Lorganisation interne et la surface financire du service bureau et lincidence ventuelle d'une dfaillance de ce dernier sur lentreprise Les informations sur le service bureau telles que celles figurant dans les manuels utilisateurs et les manuels techniques Les informations disponibles sur les contrles gnraux et dapplication de lentreprise.

Lauditeur doit ensuite valuer lincidence des prestations du service bureau sur le systme comptable et sur le systme de contrle interne de lentreprise audite. Si lauditeur conclut que lincidence en question est significative, il doit rassembler des informations suffisantes pour comprendre les systmes et valuer le risque li au contrle.

5. La stratgie daudit :
Les diffrentes tapes dcrites ci-dessus, doivent permettre lauditeur de recueillir des indicateurs lui permettant de fixer la stratgie daudit par cycle et ce afin datteindre les objectifs daudit. La stratgie daudit vise dterminer le mix des procdures mettre en uvre pour atteindre les objectifs daudit, en conciliant au mieux lefficacit, la gestion du risque et la rentabilit. Elle est dfinie par rapport au niveau de confiance accord aux contrles de direction, contrles informatiques gnraux et les contrles dapplications. Avec lvolution des technologies de linformation et de la communication, lapproche base sur les systmes semble tre, dans la plupart des cas, la plus adapte et la plus efficace et ce, en raison notamment de : la conscience de plus en plus ressentie des dirigeants des entreprises de la ncessit de mettre en place les scurits ncessaires comme condition indispensable de la prennit, le volume de plus en plus important des transactions, leur complexit et leur tendue, la dmatrialisation des informations.

Par ailleurs, cette approche permet aux auditeurs dapporter de la valeur lentreprise travers des conseils touchant aussi bien les processus que la scurit des traitements.

Sous section 2 : Les effets sur les objectifs de contrle


Lvaluation des contrles par lauditeur se fait par rfrence aux objectifs de contrle. Ces derniers se dtaillent comme suit :

1. La validit des transactions :


Il est essentiel que seulement les transactions valides et autorises par la direction soient saisies dans le systme. Les contrles sur la validit et lautorisation sont importants pour la prvention contre les fraudes qui peuvent survenir suite la saisie et au traitement de transactions non autorises. Dans la plupart des cas, les procdures dautorisation sont similaires celles dun systme non informatis. Toutefois, les procdures dans le cadre informatis peuvent prsenter les diffrences suivantes : Lautorisation des donnes se fait, souvent, lors de la saisie dans le systme (ou aussi, dans certains cas, aprs avoir effectu les contrles dexhaustivit et dexactitude des inputs et des mises jour) et non lors de lutilisation des outputs correspondants. Dans ce cas, il est important de sassurer que lautorisation demeure valable et que des changements ne peuvent pas tre apports durant les traitements subsquents.

http://www.procomptable.com/

36

Lautorisation des donnes peut tre gre par exception. En effet, cest lordinateur qui identifie et rapporte les lments identifis et ncessitant une autorisation manuelle. Dans ce cas, lattention est focalise sur les lments importants susceptibles dtre incorrectes amliorant ainsi lefficacit et lefficience des contrles manuels (exemple : nombre dheures saisies pour un employ dpasse de 50% les heures normales de travail). Dans certains cas, la capacit du programme tester la validit des lments est si prcise que le recours aux autorisations manuelles nest plus requis. Exemple : une rception de marchandise peut tre rejete par le systme si un bon de commande autoris correspondant ne figure pas dans ledit systme ou figure pour des quantits diffrentes.

2. Lexhaustivit des inputs :


Le contrle de lexhaustivit, qui est lun des contrles les plus fondamentaux, est ncessaire afin de sassurer que chaque transaction a t introduite dans le systme pour traitement. En outre, les contrles de lexhaustivit consistent sassurer que : toutes les transactions rejetes sont rapportes et suivies chaque transaction est saisie une seule fois les transactions doublement saisies sont identifies et rapportes.

Il existe plusieurs techniques disponibles pour contrler lexhaustivit des inputs. Nous citons, titre indicatif, les contrles suivants : Le contrle automatis du respect de la squence numrique des diffrents documents : Lordinateur rapporte les numros manquants des pices justificatives ou ceux existants doublement afin dtre suivis dune faon manuelle. La ralisation effective de ce contrle suppose lexistence de procdures adquates dont par exemple les procdures de gestion des ruptures de la squence, les procdures suivre en cas dutilisation concomitante de plusieurs squences la fois (cas dune entreprise plusieurs agences, exemple : banques). En outre, le fichier des numros manquants ou doubles devrait tre protg contre toute modification non autorise. Le rapprochement automatique avec des donnes dj saisies et traites : Exemple : rapprochement des factures avec les bons de livraison. Dans ce cas, lordinateur doit permettre la gnration dun rapport des lments non rapprochs pour sassurer que toutes les livraisons clients ont t factures.

3. Lexactitude des inputs :


Lexactitude des inputs consiste sassurer que chaque transaction, y compris celle gnre automatiquement par les systmes, est enregistre pour son montant correct, dans le compte appropri et temps. Le contrle de lexactitude se rattache aux donnes de la transaction traite par contre le contrle de lexhaustivit se limite savoir, uniquement, si la transaction a t traite ou pas. Le contrle de lexactitude devrait englober toutes les donnes importantes que ce soit des donnes financires (exemple : quantit, prix, taux de remise, etc.) ou des donnes de rfrence (exemple : numro du compte, date de lopration, les indicateurs du type de la transaction, etc.). Lapprciation des contrles de lexactitude se fait par rfrence aux lments de donnes jugs importants. Il existe plusieurs techniques qui peuvent tre utilises pour contrler lexactitude des inputs. Nous en citons, titre dexemple, les suivantes : Le rapprochement automatique avec les donnes dj saisies et traites : Il sagit de la mme technique dtaille ci-dessus. Toutefois, laction devrait tre focalise sur les donnes composant la transaction et non uniquement sur lexistence de la transaction. Le contrle de la vraisemblance : Il sagit, par exemple, de tester si les donnes saisies figurent dans une limite prdfinie. Les donnes nobissant pas cette limite ne sont pas ncessairement des donnes errones mais sont douteuses et ncessitent des investigations supplmentaires.

http://www.procomptable.com/

37

Ce type de contrle est mis en place pour les lments de donnes quil est souvent difficile ou non pratique de contrler autrement. Exemple : dans une application de paie, contrler si le nombre dheures travailles par semaine ne dpasse pas 60 heures.

4. Lintgrit des donnes :


Il sagit des contrles permettant dassurer que les changements apports aux donnes sont autoriss, exhaustifs et exacts. Les contrles dintgrit sont requis aussi bien pour les donnes des transactions que pour les fichiers de donnes permanentes et semi-permanentes. Ils sont dsigns pour assurer que : les donnes sont jour et que les lments inhabituels ncessitant une action sont identifis les donnes conserves dans les fichiers ne peuvent tre changes autrement que par les cycles de traitements normaux et contrls. La rconciliation des totaux des fichiers : Cette rconciliation peut se faire dune faon manuelle ou par le systme. Les rapports dexception : Cette technique implique que le systme informatique examine les donnes du fichier et rapporte sur les lments qui semblent incorrects ou hors date. Exemple : cette technique peut tre utilise pour contrler lexactitude des fichiers des prix de valorisation des stocks en produisant priodiquement les rapports dexception suivants : Les prix nayant pas t modifis pour une certaine priode Les prix ayant des relations anormales avec les prix de vente Les prix ayant eu des fluctuations anormales.

Les techniques les plus utilises pour contrler et maintenir lintgrit des donnes sont les suivantes :

Vrification dtaille des donnes des fichiers : Cette vrification se fait par sondage. Sa frquence dpend largement de limportance des donnes et de lexistence et de la force des autres contrles en place.

5. Lexhaustivit des mises jour :


Le contrle de lexhaustivit des mises jour est dsign pour sassurer que toutes les donnes saisies et acceptes par lordinateur ont mis jour les fichiers correspondants. Les contrles sur lexhaustivit des inputs peuvent tre applicables pour contrler lexhaustivit des mises jour. Toutefois, dautres techniques propres existent dont, notamment, la rconciliation manuelle ou automatise du total des lments accepts.

6. Lexactitude des mises jour :


Lorsque les fichiers informatiques sont mis jour, des contrles sont ncessaires afin de sassurer que la nouvelle entre est correctement traite et a correctement mis jour les bons fichiers. Parmi les techniques utilises pour sassurer de lexactitude des mises jour, nous citons : Le rapprochement avec des donnes antrieures. Cette mthode est communment utilise pour sassurer de lexactitude des modifications du fichier des donnes permanentes. Exemple : La modification du prix dun article est saisie avec son ancienne valeur. Lordinateur rapproche la rfrence et lancien prix saisi avec le fichier des donnes permanentes correspondant. La modification nest accepte que si le rapprochement aboutisse.

7. Limitation daccs aux actifs et aux enregistrements :


Ces contrles visent la protection des actifs et des enregistrements contre les pertes dues aux erreurs et aux fraudes. Nous distinguons : la limitation daccs et la sparation des tches. La limitation daccs : Ce contrle est destin viter que des personnes non autorises puissent accder aux fonctions de traitement ou aux enregistrements, leur permettant de lire, modifier, ajouter ou effacer des informations figurant dans les fichiers de donnes ou de saisir des transactions non autorises pour traitement. Les contrles d'accs visent, ainsi, :

http://www.procomptable.com/

38

Protger contre les changements non autoriss de donnes Assurer la confidentialit des donnes. Protger les actifs physiques tels que la trsorerie et les stocks.

La sparation des tches : Le principe de la sparation des fonctions incompatibles est le mme quel que soit le moyen de traitement (manuel ou informatis). Toutefois, dans un milieu informatis, la sparation des tches peut tre renforce par diffrents types de logiciels destins limiter laccs aux applications et aux fichiers. Il est donc ncessaire dapprcier les contrles portant sur laccs aux informations afin de savoir si la sgrgation des tches incompatibles a t correctement renforce.

Enfin, il convient de prciser que ces objectifs de contrle peuvent tre regroups selon les objectifs de contrle classiques dexhaustivit, dexactitude, de validit et daccs limit comme prcis dans le tableau suivant : Exhaustivit La validit des transactions Lexhaustivit des inputs Lexactitude des inputs Lintgrit des donnes Lexhaustivit des mises jour Lexactitude des mises jour Limitation daccs aux actifs et aux enregistrements Exactitude Validit Accs limit

Sous section 3 : Les effets sur les lments probants


Lauditeur doit obtenir, travers la ralisation de procdures de conformit et de validit des lments probants suffisants, appropris et fiables lui permettant de tirer des conclusions raisonnables pour fonder son opinion sur linformation financire. Le caractre suffisant stablit par rapport au nombre des lments probants collects. Le caractre appropri dun lment probant sapprcie par rapport sa couverture des objectifs daudit. Enfin, le caractre fiable dun lment probant sapprcie par rapport son objectivit et lindpendance et la qualit de sa source. Les principales caractristiques des lments probants dans un milieu de nouvelles technologies se prsentent comme suit :

1. La dmatrialisation des preuves daudit :


Avec les nouvelles technologies de linformation et de la communication, plusieurs documents, qui constituent des preuves daudit tels que les factures, les bons de commande, les bons de livraison, etc., sont devenus lectroniques. Par ailleurs, linitiation ou lexcution de certaines transactions peut tre opre dune faon automatique. Lautorisation de ces oprations peut tre assure par des contrles programms. Ces preuves lectroniques ncessaires pour laudit peuvent nexister que pour une courte priode. Lauditeur doit prendre en compte ce phnomne pour la dtermination de la nature, ltendue et le timing des procdures daudit. En outre, la preuve lectronique est fondamentalement plus risque que la preuve manuelle parce quelle est plus susceptible dtre manipule et quil est plus difficile de comprendre et de vrifier sa source. Face ces nouvelles donnes, lauditeur ne peut plus se limiter aux tests substantifs mais doit aussi se baser sur les tests sur les contrles. Exemple : lauditeur doit sassurer quil ny a pas de modifications non autorises de lapplication pour le volet traitant des conditions dautorisation automatique des transactions.

http://www.procomptable.com/

39

2. Considrations pour lapprciation des lments probants se rapportant aux contrles :


Plusieurs considrations devraient tre prises en compte pour lapprciation des lments probants recueillis et se rapportant aux contrles. En effet, la dfaillance des contrles peut avoir des effets diffrents selon la nature du contrle. A titre dexemple, les dfaillances de contrle touchant les donnes permanentes ont souvent une incidence plus importante que celles touchant les donnes variables. Les lments probants, se rattachant aux contrles, peuvent tre obtenus travers lexamen : des contrles gnraux informatiques des contrles manuels effectus par les utilisateurs des contrles programms et des suivis manuels.

2.1. Elments probants lis aux contrles gnraux informatiques :


Il est ncessaire dexaminer la conception mme des contrles gnraux informatiques et leur incidence sur les contrles relatifs aux applications, qui revtent un caractre significatif pour laudit, car la mise en uvre des contrles gnraux informatiques est souvent dterminante pour lefficacit des contrles dapplication et par suite, de la fiabilit des lments probants correspondants. En outre, tant donn que la fiabilit des informations produites par le systme dpend du paramtrage du progiciel, lauditeur doit sassurer que des contrles gnraux informatiques appropris entourent ledit paramtrage. Lapprciation des lments probants lis aux contrles gnraux informatiques doit tenir compte des contrles compensatoires. A titre dexemple : Certaines faiblesses touchant la fonction informatique sont parfois compenses par des contrles spcifiques dapplication. Par exemple, en labsence dun logiciel de contrle daccs, lauditeur ne peut conclure automatiquement que les risques daccs sont levs, tant donn que certains contrles daccs lintrieur du systme dapplication peuvent compenser ce risque. Pour les petites entreprises, il est difficile de mettre en place une sparation convenable des tches. Toutefois, limplication plus importante de la direction peut compenser cette dficience. Le risque de changements non autoriss des programmes peut tre diminu si lentreprise nutilise que des progiciels achets et quelle na pas accs au code source.

2.2. Elments probants lis aux contrles manuels effectus par les utilisateurs :
Les contrles manuels effectus par les utilisateurs dun logiciel se rapportent, gnralement, la vrification de lexhaustivit et de lexactitude des restitutions informatiques et ce, en les rapprochant avec les documents sources ou toute autre entre (input). Les tests sur les contrles des utilisateurs peuvent tre suffisants dans les systmes informatiques o l'utilisateur vrifie toute la production du systme (output) et aucune confiance n'est place sur les procdures programmes ou sur les donnes tenues sur fichier informatique. Dans un environnement de nouvelles technologies, ce type de contrle est de plus en plus limit cause de la difficult de raliser le rapprochement en raison de la dmatrialisation de la preuve, de limportance du volume des oprations et de la complexit des traitements. Par consquent, le contrle des utilisateurs ne peut tre que trs sommaire et vise identifier les lments ayant un caractre inhabituel ou douteux.

2.3. Elments probants lis aux contrles programms et aux suivis manuels :
Le rsultat des contrles programms fait, gnralement, lobjet dune production de rapports informatiques intituls rapports dexception ou logs daudit . Exemple : Rapports dexception indiquant les autorisations de dpassement du plafond des crdits clients.

http://www.procomptable.com/

40

Au niveau de lERP JDEwards , le processus de gnration des critures comptables relatif au cycle achats, fournisseurs et comptes rattachs est schmatis27 comme suit : Les rapports dexception correspondants se rapportent aux : lots de factures fournisseurs non traites (P07011) factures non prises en charge au niveau du Grand Livre GL par linstruction comptable automatique (P47001) Ecarts entre les soldes du GL et les soldes correspondants au niveau de la Balance Gnrale (P09705)

Exemple dun rapport dintgrit de JDEdwards (A/R to GL by offset accounts):

Lefficacit de ce contrle programm est lie la production informatique exacte des rapports dexception. Encore faut-il que ces rapports soient contrls manuellement. Exemple : La chane fournisseurs peut diter une liste des bons de rception manquants, que lon examinera afin de savoir pourquoi ces bons nexistent pas. En outre, ce contrle nest efficace que si la liste sortie de lordinateur est exhaustive et fiable. Enfin, il convient dindiquer que lauditeur peut utiliser les fonctions de traitement informatises (exemple : les rgles de gnration des vnements et des critures comptables) comme des contrles condition de sassurer, avec un degr de certitude raisonnable, de leur validit et de leur fonctionnement effectif et rgulier au cours de la priode considre. Cette condition est vrifie si lauditeur obtient des preuves de lexistence de contrles sur les changements de programmes, ou sil effectue, au cours de la priode qui lintresse, des sondages priodiques sur les fonctions de traitement informatises.

Schma extrait de la prsentation ERP & E-business : Les systmes dinformatin et la gestion du changement , sminaire organis par PricewaterhouseCoopers et STEG, le 13 et 14 dcembre 1999.

27

http://www.procomptable.com/

41

Sous section 4 : Les effets sur la nature et le calendrier des procdures daudit
Selon la norme internationale daudit N401 de lIFAC, un environnement informatique, et plus particulirement de nouvelles technologies, peut avoir une incidence sur la conception et lexcution des tests sur les contrles et des tests substantifs ncessaires pour atteindre lobjectif daudit. En effet, certains objectifs de lvolution des technologies de linformation et de la communication sont antinomiques des besoins de lauditeur, dont par exemple : Objectifs Impact sur les procdures daudit

Exclut lanalyse des procdures par - Eviter le travail manuel par lautomatisation lobservation et lentretien des tches et des contrles - Dmatrialiser linformation pour supprimer le Ceci rend difficiles les travaux de contrle sur papier documents - Unifier laccs aux informations en favorisant Ceci rend plus complexe lapproche des le partage de donnes communes procdures dhabilitation et dautorisation - La scurit daccs est gre par le systme Lauditeur doit rpondre, essentiellement, aux questions suivantes : Comment vrifier lexistence et le fonctionnement des contrles qui deviennent informatiques ? Comment vrifier la gnration des informations, qui sappuie sur des mcanismes prprogramms ? Comment remonter aux documents dorigine, sils nexistent plus ? Comment sassurer de la ralit de la sparation des fonctions ?

Nous prsentons, dans ce qui suit, les principaux effets sur la nature et le calendrier des procdures daudit.

1. Les tests sur les contrles :


Dans un milieu informatis, les types de tests sur les contrles sont les mmes que dans un milieu non informatis. Normalement, lauditeur applique une ou plusieurs des procdures suivantes (classes selon lordre croissant du niveau dassurance et du temps dexcution) : La demande et laffirmation : Les demandes consistent chercher les informations et affirmations appropries auprs du personnel de lentreprise. Ils peuvent avoir pour but de connatre et mettre jour la connaissance de lactivit de lentreprise et dobtenir des preuves concernant la fiabilit des systmes de lentreprise. En gnral, les preuves obtenues partir des demandes et affirmations ne constituent pas en elles-mmes des preuves daudit suffisamment fiables et pertinentes. Lauditeur doit les confirmer par dautres procdures daudit. Lobservation : En gnral, lobservation ne peut apporter des preuves trs fiables du fonctionnement des contrles quau moment de sa ralisation. De ce fait, lauditeur doit raliser dautres procdures destines sassurer que les contrles ont t mis en uvre de manire continue tout au long de la priode audite. Lexamen dune vidence tangible : La preuve que les procdures de contrle interne ont t correctement appliques peut tre apporte par la recherche dans les documents de signes, tels que des initiales ou une signature, indiquant que le contrle a t effectu. Des preuves concernant le contrle interne peuvent aussi tre fournies par lexamen de la documentation des systmes, des manuels dutilisation, des organigrammes ou des descriptions des postes. Ces documents dcrivent les systmes prconiss par la direction gnrale mais napportent pas la preuve que, dans la pratique, les contrles sont effectus de manire rgulire. La rptition : Il sagit de refaire les contrles effectus par lentreprise ou les fonctions de traitement afin de sassurer de leur exactitude. Refaire un contrle peut fournir deux sortes de preuves :

http://www.procomptable.com/

42

Des preuves de lexactitude arithmtique et de la fiabilit du traitement des transactions comptables. Cette dmarche est gnralement essentielle pour obtenir lassurance que les documents comptables sont complets et exacts. - La dcouverte dans une transaction derreurs non dtectes par les systmes de contrle est le signe du non-fonctionnement dun contrle ou dune faiblesse dans les systmes de contrle. En cas derreurs dans la transaction, la rptition dun contrle prouve soit son efficacit, si les erreurs ont t dtectes et rsolues de manire satisfaisante, soit son inefficacit. En labsence derreurs dans la transaction, la rptition du contrle ne permet pas de dterminer son manque de fiabilit ou les cas dans lesquels il na pas t ralis avec efficacit. Il y a lieu dindiquer que la rptition nest normalement considre que si les autres procdures ne permettent pas lobtention dune assurance suffisante que le contrle fonctionne dune faon effective. En outre, un contrle peut tre si significatif (ayant des consquences significatives sur la fiabilit des tats financiers) que lauditeur doit obtenir dautres lments probants assurant son fonctionnement effectif.

Exemple : Le contrle dsign pour assurer lexhaustivit, lexactitude et lautorisation de la mise jour du fichier des donnes permanentes affrent aux taux dintrt dans une banque peut tre si significatif pour lexactitude des intrts comptabiliss que lauditeur cherchera dautres lments probants assurant le fonctionnement effectif du contrle. Signalons quen cas dexceptions releves, lauditeur doit apprcier leurs implications possibles sur laudit. Ceci est dautant plus important en cas dexceptions qui mettent en cause des systmes informatiques. En effet, si les contrles automatiss (et les contrles manuels sy rattachant) ou les fonctions de traitement informatises sont inefficaces un moment donn, il est probable quun certain nombre de transactions soient affectes. Par exemple : - Une erreur dcele dans la logique de la fonction de traitement informatise qui calcule les factures de vente affectera tous les calculs effectus de la mme faon, - Une erreur dans les prix de vente unitaires utiliss dans la prparation des factures aura pour consquence de fausser toutes les facturations effectues depuis lapparition de lerreur. Une fois lauditeur a dtermin que le contrle automatis fonctionne comme prvu, il doit considrer la ralisation des tests pour sassurer que les contrles ont fonctionn dune faon permanente. En raison de luniformit des traitements informatiques, un contrle programm est cens fonctionner dune faon permanente sauf en cas de changement dapplication. Par consquent, la permanence des procdures de contrles programms nest pas mise en cause lorsque les contrles gnraux informatiques sont effectivement oprationnels. Il en dcoule que si lauditeur a test les contrles gnraux informatiques et a conclu quils sont rellement fonctionnels, ceci constitue une vidence que les procdures de contrles programms ont t oprationnelles tout au long de la priode audite. Ces tests peuvent englober la dtermination que des modifications nont pas t apportes aux programmes sans respecter les contrles appropris des changements de programmes, que la version autorise du programme est utilise et que les contrles gnraux informatiques sont effectifs.

2. Les tests substantifs :


Llaboration dune approche daudit adapte aux risques identifis suppose que lon choisisse des procdures apportant un niveau appropri de conviction globale pour chaque assertion. Ainsi, les tests substantifs servent valider les assertions daudit non couvertes par les contrles. Les principaux types de tests substantifs sont les suivants : Procdures analytiques Demande dinformations et de confirmations Examen des documents et des enregistrements.

Dans un environnement de nouvelles technologies, les procdures analytiques sont, gnralement, plus efficaces et plus efficientes que les tests de dtail. Par ailleurs, il y a lieu de noter que dans certaines circonstances o les lments probants sont sous forme lectronique, il peut ne pas tre pratique ou possible de rduire le risque daudit un niveau acceptable en ralisant uniquement des tests substantifs. Le recours aux tests sur les contrles est indispensable pour sassurer de lexactitude et de lexhaustivit de ces lments probants.

http://www.procomptable.com/

43

3. Le recours aux techniques daudit assistes par ordinateur (TAAO) :


Dans un environnement de nouvelles technologies et en raison de la nature des systmes informatiques, il est rarement possible de raliser tous les tests requis dune faon manuelle. Lauditeur peut tre conduit appliquer des techniques qui utilisent lordinateur comme aide laudit. Ces techniques sont appeles Techniques dAudit Assistes par Ordinateur28 (TAAO). Le recours aux TAAO peut tre ncessaire dans les cas suivants : Labsence de documents dentre ou la production informatise de transactions comptables par des programmes informatiques (par exemple, le calcul automatique des escomptes) peuvent empcher lexamen des pices justificatives par lauditeur ; Labsence de visualisation du chemin daudit ne permet pas lauditeur de suivre matriellement les oprations ; Labsence dun document de sortie matrialis peut exiger laccs des donnes conserves dans des fichiers lisibles uniquement par lordinateur. Le temps imparti la ralisation de laudit est limit.

Par ailleurs, lutilisation des TAAO peut, dans certains cas, amliorer lefficacit et lefficience des procdures daudit. En effet, lutilisation des techniques informatises offre laccs une quantit plus importante de donnes conserves dans le systme informatique. En outre, dans le cas de systmes informatiques complexes et intgrs, lutilisation des TAAO ne rpond pas uniquement un objectif defficience de laudit mais reprsente aussi un lment ncessaire son efficacit. Les deux techniques daudit assistes par ordinateur les plus frquemment utilises sont les logiciels daudit et les jeux dessai. En outre, certains systmes prvoient des commandes qui peuvent tre utilises par lauditeur. Nous en citons titre dexemple la commande qui renseigne sur la gestion des mots de passe.

4. Le cas particulier de lexternalisation :


Les lments probants, se rattachant aux contrles, sont obtenus par : La ralisation des tests sur les contrles auxquels lentreprise soumet les activits du service bureau La ralisation des tests sur les contrles directement sur le service bureau Lobtention dun rapport de lauditeur du service bureau sur lefficacit du fonctionnement du systme comptable et des contrles internes du service bureau relatifs aux applications considres dans laudit. Rapport sur ladquation de la conception Rapport sur ladquation de la conception et sur lefficacit de fonctionnement

Pour ce dernier cas, nous devons signaler que les rapports sont de deux types :

Dans tous les cas, lauditeur doit envisager de vrifier les comptences professionnelles de lauditeur du service bureau pour la mission spcifique qui lui a t confie. Toutefois, et vu la nouveaut des nouvelles technologies de linformation et de la communication, il est improbable que lauditeur puisse obtenir ce genre de rapports. Dans ce cas, et en absence des autres possibilits mentionnes ci-dessus, lauditeur peut tre amen considrer une limitation dtendue au niveau de son opinion.

5. Le calendrier des procdures daudit :


Le calendrier des procdures daudit est devenu un point critique de laudit. Dans un environnement de nouvelles technologies, le calendrier traditionnel peut tre, dans certains cas, inadquat.

5.1. Limitation de la conservation des vidences lectroniques :


Le droulement des procdures daudit peut tre influenc par le fait que des documents source, certains fichiers informatiques et dautres lments ncessaires lauditeur ne sont disponibles que pendant une courte priode.
28

Traduction franaise de Computer Assisted Audit Techniques (CAATs).

http://www.procomptable.com/

44

En effet, les programmes informatiques peuvent rsumer des transactions sur une base priodique et aprs purger, mettre jour, changer, modifier, ou crire sur les enregistrements originaux et dtaills des transactions. (Exemple : LERP Systme 21 de JBA ne permet pas ldition ou la consultation dun tat dtaill des stocks une date antrieure donne mais uniquement la date de ldition). Par consquent, lauditeur devrait considrer, lors de llaboration de son calendrier dintervention, la priode au cours de laquelle l'information tester existe ou est disponible.

5.2. Dispositions en cas de mise en place de nouvelles applications :


Lorsque le systme est nouveau, lauditeur peut dcider de ne pas se fier aux contrles de mise en place. Il pourra dcider de tester les procdures de programmes au moment o le systme devient oprationnel. Toutefois, lauditeur peut participer lors de la mise en place ou lors des modifications de tout systme mme sil nentend pas sy fier et ce afin de fournir un service additionnel la socit en lui indiquant les dficiences au moment o lon peut encore y remdier et afin de sassurer que les modalits de contrle ncessaires ont bien t prvues. Cette possibilit correspond une ncessit de la pratique dans la mesure o les demandes a posteriori de lauditeur pour une amlioration des procdures programmes de contrle sont souvent irralistes pour lentreprise en raison des cots et des aspects techniques rsoudre. La mise en uvre de cette possibilit suppose la comptence et le maintien de lindpendance de lauditeur29.

Section 2 : Les effets des nouvelles technologies sur les aptitudes et les comptences ncessaires de lauditeur financier
Limpact des nouvelles technologies sur les aptitudes et les comptences ncessaires de lauditeur financier est certain. En effet, ce nouveau cadre dintervention exige de sa part et dune faon continue, de nouvelles aptitudes et comptences pour faire face la complexit, de plus en plus croissante, des environnements informatiques. Ceci n'carte pas la possibilit du recours des spcialistes en cas de besoin. Nous traitons au niveau de cette section : Lexigence dun niveau de formation minimal de lauditeur La composition de lquipe intervenante dans une mission daudit financier Les considrations en cas de recours des spcialistes.

Sous section 1 : Lexigence dun niveau de formation minimal de lauditeur


Lauditeur doit avoir une connaissance suffisante des nouvelles technologies de linformation et de la communication et ce, afin de : dterminer leffet de ces technologies sur lvaluation du risque daudit global et du risque au niveau du compte et au niveau de la transaction obtenir une comprhension de la structure du contrle interne telle quaffecte par ces technologies et son effet sur les transactions de lentit dterminer et excuter les tests sur les contrles et les tests substantifs appropris adapts la dmarche particulire daudit pouvoir mettre en uvre les techniques daudit assistes par ordinateur valuer les rsultats des procdures effectues.

29

Grard PETIT, Daniel JOLY et Jocelyn MICHEL, Guide pour laudit financier des entreprises informatises , Association technique dharmonisation des cabinets daudit et conseil ATH, dition CLET, 1985.

http://www.procomptable.com/

45

Par ailleurs, les nouvelles technologies de linformation et de la communication exigent de lauditeur : une comptence et une exprience la hauteur des difficults rencontres et de l'efficacit requise ; la formation permanente en sminaires et sur le terrain doit constituer un investissement important ; une recherche permanente des mthodes et techniques nouvelles et mieux adaptes.

Avec les dveloppements constants dans tous les domaines, il est difficile que lexpert comptable soit spcialiste dans tous ces domaines. Il doit choisir soit de devenir un spcialiste dans le domaine des nouvelles technologies de linformation et de la communication, soit dtre spcialiste dans dautres domaines. Dans ce dernier cas, lauditeur doit, quand mme, veiller avoir un minimum de formation et de comptence en matire de nouvelles technologies de linformation et de la communication. Ce niveau minimal doit lui permettre de : dtecter la ncessit de faire appel un spcialiste dfinir le domaine dintervention du spcialiste diriger et superviser le droulement des travaux du spcialiste intgrer les conclusions des travaux du spcialiste avec celles de laudit.

En effet, il est utile de rappeler que lauditeur ne peut en aucun cas dlguer la responsabilit de tirer les conclusions finales de laudit ou celle dexprimer son opinion sur linformation financire. En consquence, lorsquil dlgue certains travaux des assistants ou quil a recours des travaux effectus par dautres auditeurs ou des experts qualifis en nouvelles technologies de linformation et de la communication, lauditeur doit possder des connaissances suffisantes en la matire pour diriger, superviser et examiner les travaux des assistants qualifis et/ou pour obtenir un degr raisonnable de certitude que les travaux effectus par dautres auditeurs ou des experts qualifis rpondent bien ses besoins.

Sous section 2 : La composition de lquipe intervenante dans une mission daudit financier
Lquipe daudit est responsable de tous les aspects de la mission, mme dans le cas o elle se heurte des problmes dpassant son champ de comptence. Quils fassent appel leurs propres comptences ou des spcialistes externes travaillant sous leur direction, les membres de lquipe doivent avoir une comprhension suffisante des problmes affectant la mission daudit pour pouvoir effectuer la planification et lexcution. Dans un systme complexe, le recours des auditeurs spcialiss dans le domaine informatique est lune des conditions du succs de la mission d'audit. Un systme complexe est dfini comme tant un systme qui exige une connaissance profonde des environnements informatiques et qui prsente, titre dexemple, les caractristiques suivantes30 : Une infrastructure et des contrles informatiques complexes (dcentralisation, intgration complexe, etc.) Le volume des oprations est tel quil est difficile aux utilisateurs didentifier et de corriger des erreurs de saisie, de traitement, de restitution, de programmes, etc., Le systme gnre automatiquement des oprations ou des critures importantes intgres directement dans une autre application Le systme excute des calculs complexes dinformations financires et/ou gnre automatiquement des oprations ou des critures importantes qui ne peuvent tre valides indpendamment, Lexistence doprations importantes faisant lobjet dun change lectronique avec dautres entits (EDI, E-commerce, E-business, etc.) La dmatrialisation et la disponibilit limite de la preuve daudit.

30

Norme internationale daudit N401 : Audit ralis dans un environnement informatis , IFAC.

http://www.procomptable.com/

46

Un environnement de nouvelles technologies satisfait la majorit de ces caractristiques et est, par consquent, jug complexe. Par ailleurs, la complexit dun systme est aussi apprcie par rapport au type de lactivit. A titre dexemple : les activits financires sont supposes tre complexes.

Sous section 3 : Considrations en cas de recours des spcialistes


Le spcialiste peut tre soit engag par lentit, ou engag par lauditeur, ou employ par lentit, ou employ par lauditeur. Le recours aux spcialistes obit certaines rgles dtailles ci-aprs31.

1. La comptence du spcialiste :
Quand lauditeur compte utiliser le travail dun spcialiste, il doit sassurer que celui-ci possde la comptence suffisante en vrifiant ses qualifications professionnelles, son autorisation dexercer ou tout autre signe de reconnaissance de sa comptence. Si le spcialiste fait partie dun groupement professionnel dictant des normes que ses membres doivent respecter, lauditeur peut se contenter de savoir que cette personne a bonne rputation au sein de ce groupement.

2. Lobjectivit du spcialiste :
Lauditeur doit prendre en considration toutes les circonstances pouvant affecter lobjectivit de lexpert. Le risque de manque dobjectivit est plus lev si le spcialiste est employ par lentit audite ou a avec elle une liaison directe ou indirecte. En rgle gnrale, il vaut mieux faire appel un spcialiste indpendant de lentit audite et par consquent plus objectif mais, si les circonstances lexigent, on peut envisager dutiliser le travail dun membre du personnel de la socit audite, condition que celui ci possde la comptence requise. Dans ce dernier cas, il est notre avis plus judicieux de mettre en uvre des procdures plus approfondies pour vrifier les hypothses, les mthodes ou les conclusions du spcialiste employ par la socit.

3. Dfinition des termes de lintervention du spcialiste :


Lauditeur doit prciser clairement au spcialiste les conditions de son intervention et ce, en indiquant notamment lobjectif et ltendue de ses travaux, les points spcifiques traiter dans le rapport, lutilisation que compte faire lauditeur de ses travaux, les limites ventuelles daccs aux documents et aux dossiers ncessaires, etc. De son ct le spcialiste a la responsabilit de : comprendre la porte de son travail sur lensemble de laudit porter rapidement la connaissance du personnel daudit appropri toutes les conclusions pouvant avoir une incidence significative sur laudit ou devant tre communiques la direction de lentreprise contrler la progression de son travail et davertir le personnel daudit appropri de leurs difficults ventuelles respecter les dlais ou les budgets.

4. Lvaluation des travaux du spcialiste :


Ceci englobe lassurance que les travaux du spcialiste constituent des lments probants appropris au regard de linformation financire et ce, en examinant ladquation de la dmarche suivie et la suffisance, la pertinence et la fiabilit des donnes utilises pour aboutir aux conclusions formules.

31

Ces rgles sont inspirs, essentiellement, de : la norme internationale daudit N620 : Utilisation des travaux dun expert , IFAC ; la directive daudit des systmes dinformation : Using the work of other auditors and experts , ISACA ; louvrage : Audit Guidance Series : Computer information system , Price Waterhouse ; mmoire de Mohamed Hichem RAIES : Les aspects juridiques et techniques des recours aux spcialistes dans les missions daudit , Avril 1987.

http://www.procomptable.com/

47

Bien que ce soit au spcialiste de garantir la pertinence et la vraisemblance de ses hypothses et de ses mthodes, lauditeur doit comprendre comment il les met en uvre, afin de dterminer si elles sont raisonnables et identiques celles qui ont t prcdemment appliques. Lauditeur se basera sur sa connaissance des activits de lentreprise ainsi que du rsultat des autres procdures daudit.

5. La mention de lintervention du spcialiste dans le rapport daudit :


Lorsque lauditeur met une opinion sans rserve, il doit viter de faire allusion dans son rapport de lintervention du spcialiste car elle peut tre interprte comme une rserve ou comme un partage de responsabilit. Dans le cas contraire, si le rapport ou les conclusions du spcialiste amnent lauditeur mettre des rserves dans son rapport daudit, il peut tre utile den expliquer les raisons en faisant rfrence au travail du spcialiste et ce, avec laccord de ce dernier et en citant son nom. Si lauditeur conclut que les travaux du spcialiste ne confirment pas linformation figurant dans les comptes annuels ou ne constituent pas des lments probants suffisants et appropris, il doit, selon le cas, mettre une opinion avec rserve ou mettre une opinion dfavorable.

Conclusion :
Il est certain que les auditeurs financiers ne peuvent plus ignorer le phnomne de linformatisation des entreprises devenue de plus en plus complexe avec les nouvelles technologies de linformation et de la communication. L'environnement des nouvelles technologies devrait, par consquent, tre intgr dans la dmarche de laudit financier. En outre, il doit constituer, en permanence, lune des proccupations de lauditeur afin de mettre niveau ses aptitudes et ses comptences. Cette mise niveau de lapproche daudit est une proccupation majeure et dactualit des divers organismes professionnels et de la majorit des cabinets internationaux daudit. Paralllement, la lgislation, la jurisprudence et la doctrine lchelle internationale se sont enrichies de rgles nouvelles destines rglementer et contrler certains aspects des systmes informatiss. Ces deux volets font lobjet dune tude plus dtaille dans le chapitre suivant.

http://www.procomptable.com/

48

Chapitre 3 : Les Principales Ractions des Lgislations et des Organismes Professionnels Face aux Evolutions Informatiques
Introduction
Ce chapitre est destin prsenter les principales ractions des lgislations et des organismes professionnels face aux volutions informatiques. Cette prsentation nest pas limite aux seuls aspects des nouvelles technologies mais couvre aussi les diffrentes ractions se rattachant linformatique en gnral. En outre, nous avons essay, tout au long de ce chapitre, de comparer les ractions en Tunisie par rapport celles dautres pays (dont, essentiellement, la France) et par rapport dautres rflexions internationales.

Section 1 : La rglementation comptable, fiscale et juridique


Sous section 1 : La rglementation comptable
Les dispositions du Code de Commerce, non abroges par la loi 2000-93 du 3 novembre 2000 portant promulgation du nouveau code des socits commerciales, se rapportant aux obligations en matire comptable sont les suivantes : Article 8 : Conserver, pendant dix ans tous les documents justificatifs des oprations inscrites sur les livres susviss . Article 9 : Le livre journal et le livre dinventaire prvus larticle 8 sont cots et paraphs, soit par le juge, soit par le Prsident de la Municipalit ou un adjoint, dans la forme ordinaire et sans frais . Article 10 : les livres sont tenus chronologiquement sans blanc ni altration daucune sorte. Ils seront conservs pendant 10 ans . Article 11 : Les livres, que les commerants sont obligs de tenir et pour lesquels ils nauront pas observ les formalits ci-dessus prescrites, ne pourront tre reprsents ni faire foi en justice au profit de ceux qui les auront tenus, sans prjudice de ce qui sera rgl au livre du concordat prventif et de la faillite. .

Ainsi, le code de commerce tunisien na pas prvu de dispositions particulires en cas de comptabilit informatise. En effet, il na pas prcis les conditions de forme pour les pices justificatives des oprations ni les conditions et les moyens de conservation. Au niveau du livre journal et du livre dinventaire, ils doivent tre tenus manuellement sur des registres cots (attestant le nombre des pages) et paraphs (certifiant lexistence du livre obligatoire et lui confrant une date certaine). En outre, il convient de signaler quaucune nouvelle disposition comptable na t prvue par le nouveau code des socits commerciales promulgu par la loi 2000-93 du 3 novembre 2000. La loi N96-112 du 30 dcembre 1996 relative au systme comptable des entreprises a apport de nouvelles dispositions et a aussi confirm les des articles 8, 9 et 10 du code de commerce.

http://www.procomptable.com/

49

Ces principales dispositions, qui se rapprochent de celles du Nouveau Plan Comptable Gnral Franais de 1999, se rsument comme suit :

1. Les livres comptables :


Les livres comptables comportent le journal gnral, le grand-livre et le livre dinventaire. Le journal gnral et le livre dinventaire sont cots et paraphs. En outre, les livres sont tablis sans blanc ni altration daucune sorte. Selon larticle 14 de la loi 96-112, les documents crits issus de linformatique peuvent tenir lieu de livres et journaux auxiliaires. Dans ce cas, ces documents doivent tre identifis, numrots et dats ds leur laboration par des moyens offrant toute garantie en matire de preuve.. Les critures portes sur les livres et journaux auxiliaires ainsi que les totaux des oprations et des soldes doivent tre centraliss dans le journal gnral et le grand livre au moins une fois par mois. Ainsi, nous devons formuler les remarques suivantes : Les documents informatiques ne peuvent tenir lieu de livre journal et de livre dinventaire comme cest le cas en France32. Cette possibilit na t accorde que pour les livres et journaux auxiliaires. Que faut-il entendre par des moyens offrant toute garantie en matire de preuve ? Signalons dabord que cette disposition est identique celle prvue en France33. Plusieurs solutions critiquables ont t avances. Selon le Mmento Comptable dans son paragraphe 3112, bien que la rglementation franaise a considr que les documents informatiques peuvent tenir lieu de journal gnral et de livre dinventaire, la manire la plus pratique de respecter actuellement lobligation de la tenue du livre journal sans aucun risque, reste et demeure, pour linstant, la transcription manuelle des totalisations des critures mensuelles sur un livre cot et paraph .

2. La documentation des procdures et de lorganisation Comptable :


Larticle 15 de la loi 96-112 stipule que : lorsque lentreprise opte pour la mthode de centralisation mensuelle des livres et journaux auxiliaires ou pour lusage de linformatique pour tenir sa comptabilit, il est tabli un document qui prvoit lorganisation comptable et comporte notamment les intituls et lobjet des documents utiliss pour le traitement des informations et les modalits de liaison entre ces documents et les pices justificatives y affrentes. La norme gnrale34 a prcis le contenu de ce document. En ce qui concerne les traitements informatiss, ce manuel doit comprendre notamment : 1. La description des procdures de collecte, de saisie, de traitement et de contrle des informations ; 2. Le systme de classement et darchivage ; 3. Les livres comptables obligatoires et les liens entre ces livres et les autres documents et pices comptables. En outre, le paragraphe 49 et 50 de la norme gnrale stipulent que la ralisation de tout contrle du systme de traitement automatis suppose laccs la documentation relative aux analyses, la programmation et lexcution des traitements en vue, notamment, de procder aux tests ncessaires.35 Dans le cas dacquisition de logiciel standard, la documentation fournie avec le logiciel peut constituer la documentation requise.

Dispositions prvues par le dcret N83-1020 du 29 novembre 1983 portant promulgation des obligations comptables des commerants de certaines socits et par le Nouveau Plan Comptable Gnral homologu par larrt du 22 juin 1999 (paragraphe 410-06.) 33 Idem 34 Deuxime partie, Paragraphe 63 35 Mme disposition que le paragraphe 410-4 du Nouveau Plan Comptable Gnrale Franais 1999 : L'organisation de la comptabilit tenue au moyen de systmes informatiss implique l'accs la documentation relative aux analyses, la programmation et l'excution des traitements, en vue, notamment, de procder aux tests ncessaires la vrification des conditions d'enregistrement et de conservation des critures.

32

http://www.procomptable.com/

50

Cette documentation dcrivant les procdures et l'organisation comptables est tablie en vue de permettre la comprhension et le contrle du systme de traitement. Elle doit tre complte, claire, prcise et constamment tenue jour. Elle est conserve aussi longtemps qu'est exige la prsentation des documents comptables auxquels elle se rapporte. Toutefois, il y a lieu de prciser quaucune sanction nest prvue pour le non-respect de cette disposition. En pratique, nous constatons que cette documentation est quasiment absente dans les entreprises ou est dans la majorit des cas obsolte. Par ailleurs, la documentation fournie avec le logiciel standard ne concerne gnralement que le volet dutilisation et dexploitation.

3. Les pices justificatives :


Selon le paragraphe 53 de la norme gnrale (partie II : dispositions relatives lorganisation comptable) : La pice justificative est tablie sur papier ou sur un support assurant la fiabilit, la conservation et la restitution en clair de son contenu pendant les dlais requis et comporte la mention de la date . Cette disposition est identique celle du paragraphe 420-3 du Nouveau Plan Comptable Gnral Franais de 1999. Selon le Conseil National de la Comptabilit Franais36, les rsultats de traitement en amont peuvent tre intgrs en comptabilit laide dcritures comptables gnres automatiquement par le systme, sans tre accompagnes de lmission de pices justificatives classiques (exemple : le calcul des agios effectu par les banques).

4. Le chemin de rvision :
Le Nouveau Systme Comptable Tunisien stipule dans son article 12 que : Tout enregistrement prcise lorigine, le contenu et limputation de lopration ainsi que les rfrences des pices justificatives qui lappuient 37. Le paragraphe 52 de la norme gnrale (partie II : Dispositions relatives lorganisation comptable) ajoute que : tout moment, il est possible de reconstituer partir des pices justificatives appuyant les donnes entres, les lments des comptes, tat et renseignements soumis la vrification, ou, partir de ces comptes, tats et renseignements, de retrouver ces donnes et les pices justificatives38. Cest ainsi que tout solde de compte doit pouvoir tre justifi par un relev des critures dont il dcoule depuis un solde antrieur. Chacune de ces critures doit comporter une rfrence permettant lidentification des donnes correspondantes.

5. Le caractre dfinitif des enregistrements :


Selon les paragraphes 56 et 57 de la norme gnrale (Partie II) : le caractre dfinitif des enregistrements est assur, pour les comptabilits tenues au moyen de systmes informatiss, par la validation. Cette procdure, qui interdit toute modification ou suppression de lenregistrement est mise en uvre au plus tard au terme de chaque mois.39 Une procdure de clture destine figer la chronologie et garantir lintangibilit des enregistrements est mise en uvre et ce, au plus tard avant lexpiration de la priode suivante, sous rserve des dlais diffrents fixs par des dispositions lgales ou rglementaires. . Cette mesure vise interdire la modification ou la suppression des donnes sans laisser de traces. En informatique, elle est en principe assure par la validation, la clture et l'utilisation d'un support de sauvegarde inaltrable. Par ailleurs, et selon le mmento comptable 2000, si lentreprise utilise un systme comptable ne garantissant pas labsence daltration, ceci peut remettre en cause la force probante de la comptabilit. Une telle situation constitue pour le commissaire aux comptes un facteur de risque qu'il doit intgrer dans son approche gnrale d'audit et dont il doit tirer les consquences dans son plan de mission. Par ailleurs, dans la mesure o les insuffisances du systme comptable seraient de nature enlever toute force probante aux contrles effectus par le commissaire aux comptes, celui-ci serait conduit formuler une rserve dans l'expression de son opinion sur les comptes.
36 37

Bulletin N88 du 3 trimestre 1991, page 4 et suivant. Disposition identique aux dispositions du paragraphe 420-2 du Nouveau Plan Comptable Gnral Franais 1999 38 Disposition identique aux dispositions du paragraphe 410-3 du Nouveau Plan Comptable Gnral Franais 1999 39 Disposition identique aux dispositions du paragraphe 420-5 du Nouveau Plan Comptable Gnral Franais 1999

me

http://www.procomptable.com/

51

Il convient de distinguer trois phases pour apprcier la validit dune comptabilit informatise : Avant la validation comptable dune criture : la modification est dans ce cas permise. En effet, tant que la validation nest pas faite, les critures ne font pas partie du systme comptable. La validation comptable proprement dite : Il sagit dune tape qui consiste figer les diffrents lments de lcriture de faon ce que toute modification ultrieure soit impossible. Cette tape devrait tre ralise au moins mensuellement. Aprs la validation comptable dune criture : Toute modification devrait tre impossible.

6. Les procds et les moyens de traitement de linformation :


Selon le paragraphe 47 de la norme comptable gnrale40, lorganisation de la comptabilit tenue au moyen de systmes informatiss doit permettre : de satisfaire les exigences de scurits et de fiabilit requises en la matire de restituer sur papier sous une forme directement intelligible toute donne entre dans le systme de traitement . Une numrotation des pages, Lutilisation de la date du jour de traitement gnre par le systme et qui ne peut tre modifie par lentreprise, pour dater les documents, Lutilisation dun programme interdisant lannulation ou la modification des oprations valides .

Le paragraphe 48 ajoute que : lidentification des documents informatiques est obtenue par : -

Sous section 2 : La rglementation fiscale


Ltude de la rglementation fiscale touchant les aspects informatiques et les nouvelles technologies couvre deux aspects : Le rgime fiscal des oprations Les obligations des contribuables

1. Le rgime fiscal des oprations :


Les oprations ralises travers Internet posent une multitude de questions fiscales dont : Les taxes de ventes, et en particulier la TVA, sont-elles applicables pour les ventes de produits linternational ? Et comment taxer les produits immatriels, informations ou produits numriques tlchargeables (logiciels, films, musique, voyages) ?

1.1. Pour les biens physiques :


La commercialisation de biens physiques et leur exportation ou importation nest pas un obstacle la perception de droits fiscaux et de droits de douanes. Bien videmment, les rglementations douanires peuvent limiter lexpdition ou limportation de certains produits suivant leur nature de ou vers tel ou tel pays.

1.2. Pour les biens immatriels :


Ces taxes et droits de douanes sappliquent galement aux produits immatriels, mais leur perception est quasi impossible compte tenu de la difficult de contrler la circulation des biens immatriels et de labsence de filtres douaniers ou guichets de douane virtuels au sein du rseau Internet. Afin dofficialiser cet tat de fait, un moratoire a t sign par les pays membres de lOCDE41 Amsterdam dbut mai 1998, reculant lan 2000 toute dcision en ce domaine. Ceci est suite la pression des Etats Unis dAmrique qui souhaiteraient la disparition de toutes les taxes et droits de douane sur les transactions commerciales effectues sur le rseau international de lInternet et ce, dans un objectif de dveloppement plus rapide de ce nouveau circuit commercial.

Partie 2 de la Norme Gnrale : Dispositions relatives lorganisation comptable . O.C.D.E. : Organisation de Coopration et de Dveloppement Economique : Groupe constitu Paris en 1961 par les dix-neuf Etats europens membres de lex-O.E.C.E (Organisation Europenne de Coopration Economique) et par quelques pays non europens (Australie, Canada, Etas Unis, Nouvelle zlande, Japon, Mexique) en vue de favoriser lexpansion des Etats membres et des Etats en voie de dveloppement.
41

40

http://www.procomptable.com/

52

2. Les obligations des contribuables :


Les obligations des contribuables se prsentent comme suit :

2.1. En Tunisie :
Les principales dispositions fiscales tunisiennes en la matire se rsument dans ce qui suit : A/ Dispositions en matire de comptabilit informatise : Larticle 62 alina II du code de limpt sur le revenu des personnes physiques et de limpt sur les socits stipule que les personnes qui tiennent leur comptabilit sur ordinateur doivent : Dposer, contre accus de rception, au bureau de contrle des impts dont elles relvent un exemplaire du programme initial ou modifi sur support magntique ; Informer ledit bureau de la nature du matriel utilis, du lieu de son implantation et de tout changement apport ces donnes.42

Ce mme article ajoute dans son alina IV que les livres de commerce et autres documents comptables, et dune faon gnrale, tous documents dont la tenue et la production sont prescrites en excution du prsent code doivent tre conservs pendant 10 ans. Par ailleurs, la loi de finances pour la gestion de 1998 dans ses articles 75, 76, 77 et 78 a harmonis les obligations comptables prvues par la lgislation fiscale avec les dispositions de la lgislation comptable des entreprises (Loi 96-112 du 30 dcembre 1996). Ainsi, et sur le plan fiscal, les entreprises qui tiennent leur comptabilit sur ordinateur demeurent astreintes la tenue des documents prescrits par la lgislation comptable savoir le journal gnral, le grand-livre et le livre dinventaire. En outre, et dans le cas o la comptabilit est tenue sur ordinateur, par le moyen de logiciels informatiques destins lusage collectif et labors par les entreprises des services informatiques, ces derniers peuvent dposer, au lieu et place de leurs entreprises clientes, une copie du programme initial ou modifi sur supports magntiques, condition de faire parvenir aux services du contrle fiscal la liste de la clientle utilisant lesdits programmes43. Par ailleurs et selon les dispositions de la loi N 2000-82 du 09 aot 2000 portant promulgation du code des droits et des procdures fiscaux, les personnes soumises la tenue dune comptabilit conformment larticle 62 du code de lIRPP et de lIS, doivent communiquer, en cas de contrle et entre autres, les programmes, logiciels et applications informatiques utiliss pour larrt des comptes ou pour ltablissement de leurs dclarations fiscales. En outre, les personnes qui tiennent leur comptabilit ou tablissent leurs dclarations fiscales par les moyens informatiques, doivent communiquer, aux agents de ladministration fiscale, les informations et claircissements que les agents de ladministration leur demandent dans le cadre de lexercice de leurs fonctions. Selon larticle 97 de la loi 2000-82 prcite, toute personne qui refuse de communiquer ou qui a dtruit, avant lexpiration de la dure lgale de conservation, la comptabilit, les registres ou rpertoires prescrits par la lgislation fiscale est punie dune amende allant de 100 dinars 10.000 dinars. B/ Dispositions en matire de factures : Larticle 18 du code de la TVA stipule dans son alina III que : 1) Les assujettis la TVA sont tenus : dutiliser des factures numrotes dans une srie ininterrompue de dclarer au bureau de contrle des impts de leur circonscription les noms et adresses de leurs fournisseurs en factures.

2) Les imprimeurs doivent tenir un registre cot et paraph par les services du contrle fiscal sur lequel sont inscrits, pour toute opration de livraison, les noms, adresses et matricules fiscaux des clients, le nombre de carnets de factures livrs ainsi que leur srie numrique.
42 43

Article 75 de la loi N97-88 du 29 dcembre 1997 portant loi de finances pour lanne 1998 Note commune 19/98

http://www.procomptable.com/

53

Cette mesure s'applique aux entreprises qui procdent l'impression de leurs factures par leurs propres moyens. Par ailleurs, ladministration fiscale na pas encore trait la dmatrialisation des factures et leur transmission par voir tlmatique. En outre, selon larticle 96 du nouveau code des droits et procdures fiscaux44, est punie dune amende de 1.000 dinars 50.000 dinars, toute personne qui procde limpression de factures non numrotes ou numrotes dans une srie irrgulire ou interrompue . Aussi, et selon le mme article, est punie dune amende de 50 dinars 1.000 dinars par facture, toute personne qui utilise des factures non numrotes ou numrotes dans une srie irrgulire ou interrompue. C/ Assouplissement pour laccomplissement des obligations fiscales : Les articles 57 et 58 de la loi N2000-101 du 31 dcembre 2000, portant loi de finances pour lanne 2001, ont institu des mesures dassouplissement pour laccomplissement des obligations fiscales. Afin de bnficier des nouvelles technologies de la communication et dans un souci de simplification des procdures daccomplissement des obligations fiscales, la loi de finances pour la gestion 2001 a prvu la possibilit de dpt des dclarations fiscales et de paiement de limpt par des moyens lectroniques. Les procds correspondants seront fixs par dcret. En attendant la parution de ce dcret, ce qui demandera ncessairement du temps tant donn limportance de la question, la loi de finances pour la gestion 2001 a prvu, au profit des contribuables soumis au rgime rel dimposition, la possibilit de dpt des dclarations fiscales et autres documents sur des supports magntiques au lieu et place des procds classiques (sur papier). Les modalits pratiques seront, aussi, fixes par dcret45.

2.2. En France :
En France, depuis le dbut des annes 80, la direction gnrale des impts (DGI) a modernis les procdures de transmission des informations l'administration. Elle a dvelopp une nouvelle application dite Transfert des Donnes Fiscales et Comptables (TDFC). L'article 47 de la loi de finances rectificative pour 1990 (dcret d'application n 91-579 du 20 juin 1991) autorise la dmatrialisation des factures et la transmission par voie tlmatique si elles rpondent certaines conditions et si l'administration a donn expressment son accord. L'arrt du 26 janvier 1993 admet la transmission par voie informatique de la dclaration d'change de biens en matire douanire. En outre, entre 1990 et 1996, plusieurs textes sont venus dfinir progressivement le cadre et les modalits de vrification, par ladministration fiscale, des comptabilits informatises : 1990 : Dfinition des aspects informatiques susceptibles dtre vrifis. lorsque la comptabilit est tenue au moyen de systmes informatiss, le contrle porte sur lensemble des informations, donnes et traitements informatiques qui concourent directement ou indirectement la formation des rsultats comptables ou fiscaux et llaboration des dclarations rendues obligatoires par le code gnral des impts ainsi que sur la documentation relative aux analyses, la programmation et lexcution des traitements. 46 1991 : Publication de linstruction du 14 octobre 1991 prcisant les modalits de conservation des informations, donnes et traitements, ainsi que le cadre et les conditions de contrle des comptabilits informatises. 1996 : Raffirmation de la volont de ladministration fiscale dans linstruction du 24 dcembre 1996 de poursuivre dans la voie de linstruction de 1991, tout en apportant des claircissements et des prcisions quant aux modalits darchivage des comptabilits informatises. Elments dactualit : Aprs sept annes de mise en place de ces procdures de contrle des comptabilits informatises, lattitude de ladministration fiscale franaise semble sorienter vers une application plus systmatique des sanctions fiscales prvues par les textes (procdure dvaluation doffice) .47

44 45 46

Code promulgu par la loi 2000 82 du 9 aot 2000 portant promulgation du code des droits et procdures fiscaux. Dcret non encore paru la date de la rdaction du prsent mmoire. Article 103 de la loi de finances pour la gestion de lexercice 1999 47 Bulletin Comptable et Financier , Avril 1997, Edition Francis Lefvre.

http://www.procomptable.com/

54

Les principales dispositions fiscales en France sont les suivantes : A/ La documentation technique : La documentation doit poursuivre un double objectif : Informatique : lanalyse de la documentation doit permettre aux vrificateurs de connatre et de comprendre le systme dinformation en vigueur au cours de la priode soumise au contrle, y compris lensemble des volutions significatives. Fiscal : la documentation doit dcrire de faon suffisamment prcise et explicite les rgles de gestion des donnes et des fichiers mises en uvre dans les programmes informatiques et qui ont une incidence sur la formation du rsultat comptable, du rsultat fiscal et des dclarations rendues obligatoires par le code gnral des impts.

Linstruction du 14 octobre 1991 numre de faon exhaustive la documentation susceptible dtre vrifie lors dun contrle fiscal : il sagit de "la documentation relative aux analyses, la programmation et lexcution des traitements". Ceci implique au minimum : Un dossier de prsentation gnrale de lorganisation et de fonctionnement du systme dinformation et moyens informatiques (humains et matriels), Les dossiers de conception, de ralisation et de maintenance Les dossiers dutilisation et dexploitation

B/ Conservation des donnes et des traitements : Les donnes soumises lobligation de conservation sont dfinies par leur relation avec la formation des rsultats comptable et fiscal et des diverses dclarations obligatoires. Dune faon gnrale, les livres, registres, documents ou pices quelconques doivent tre conservs pendant un dlai de six ans. Sil sagit de documents tablis ou reus sur support informatique, ils doivent tre conservs sur leur support original au minimum pendant trois ans. Pass ce dlai, ils peuvent tre conservs sur support informatique ou sur tout autre support. La documentation relative aux analyses, la programmation et lexcution des traitements doit tre conserve jusqu lexpiration de la troisime anne suivant celle laquelle elle se rapporte. La non-prsentation des informations, donnes et traitements informatiques requis par ladministration ainsi que de la documentation informatique, pour quelque motif que ce soit, exemple : absence de conservation, archives dtruites, archives illisibles par suite dun changement de systme, constitue une opposition au contrle fiscal. Dans cette situation, les bases dimposition peuvent faire lobjet de redressement selon la procdure dvaluation doffice et entraner lapplication dune amende de 150%.

Sous section 3 : La rglementation juridique


Ce volet reprsente un domaine trs vaste et le prsent mmoire ne peut songer une couverture totale de tous les aspects. Nous avons essay de prsenter les principaux.

1. La rglementation juridique en Tunisie :


En Tunisie, la rglementation juridique spcifique linformatique se rsume, essentiellement, dans ce qui suit :

1.1. Loi 94-36 du 24 fvrier 1994 relative la proprit littraire et artistique :


Les grands axes de cette loi se rapportant aux logiciels sont les suivants : Le logiciel cre par un ou plusieurs salaris dun organisme appartient, sauf stipulation contraire, cet organisme employeur ; Sauf stipulation contraire, lauteur ne peut sopposer ladaptation du logiciel par des tiers dans la limite des droits quil leur a cds ; Sauf stipulation contraire, toute production autre que ltablissement dune copie de sauvegarde par lutilisateur ainsi que toute utilisation dun logiciel non expressment autorise par lauteur ou

http://www.procomptable.com/

55

des ayants droits, est interdite. Toute infraction est passible dune amende de 500 5000 dinars et/ou dun emprisonnement de un six mois ; Les droits prvus steignent lexpiration dune priode de vingt cinq ans compter de la date de la cration du logiciel.

1.2. Loi 2000-57 du 13 juin 2000 :


Cette loi a adapt les dispositions du code des obligations et des contrats aux exigences du commerce sur Internet en introduisant lusage lgal de la signature lectronique et des documents lectroniques pour conclure des contrats sur Internet.

1.3. Loi 2000-83 du 09 aot 2000 relative aux changes et au commerce lectronique :
Cette loi a rglement lactivit du fournisseur de certification lectronique. Elle a prvu aussi la cration de l'ANCE (Agence Nationale de Certification Electronique) charge de chapeauter les fournisseurs privs de services de certification lectronique et de dfinir des normes pour les dispositifs de cration et de vrification des signatures lectroniques. En outre, cette loi a prvu dautres dispositions rgissant les changes et le commerce lectronique dont les principales sont : A/ Documents et signatures lectroniques : La conservation du document lectronique fait foi au mme titre que la conservation du document crit (article 4). Lmetteur sengage conserver le document lectronique dans la forme de lmission. Le destinataire sengage conserver ce document dans la forme de la rception. Le document lectronique est conserv sur un support lectronique permettant : 1. La consultation de son contenu tout au long de la dure de sa validit 2. Sa conservation dans sa forme dfinitive de manire assurer lintgrit de son contenu 3. La conservation des informations relatives son origine et sa destination ainsi que la date et le lieu de son mission ou de sa rception. La loi admet lapposition dune signature lectronique sous rserve de lexistence dun dispositif fiable dont les caractristiques techniques seront fixes par dcret.48 Avant la conclusion du contrat, le vendeur est tenu lors des transactions commerciales lectroniques de fournir au consommateur de manire claire et comprhensible toutes les informations se rattachant la transaction et au paiement. La loi numre les obligations et les droits aussi bien du consommateur que du vendeur. Le fournisseur de services de certification ne peut traiter les donnes personnelles quaprs accord du titulaire du certificat concern. Auquel cas, il doit appliquer des procdures suffisantes pour la protection de ces donnes. Sauf consentement du titulaire du certificat, le fournisseur de services de certification lectronique ou un de ses agents ne peut collecter les informations relatives au titulaire du certificat que dans le cas o ces informations seraient ncessaires la conclusion du contrat, la fixation de son contenu, son excution et la prparation et lmission des factures.

B/ Des transactions commerciales lectroniques : -

C/ Protection des donnes personnelles :

1.4. Loi N 2001-1 du 15 janvier 2001 portant promulgation du code des tlcommunications :
Le code des tlcommunications a pour objet lorganisation du secteur des tlcommunications. Parmi les principales sanctions prvues par ce code, nous citons : est puni dun emprisonnement de 3 mois, quiconque divulgue, incite ou participe la divulgation du contenu des communications et des changes transmis travers les rseaux des tlcommunications.

48

Dcret non encore paru la date de la rdaction du prsent mmoire

http://www.procomptable.com/

56

est puni dun emprisonnement de six mois cinq ans et dune amende de 1.000 5.000 DT ou de lune de ces deux peines seulement, celui qui utilise, fabrique, importe, exporte, dtient en vue de la vente ou la distribution titre gratuit ou onreux ou met en vente ou vend les moyens ou les services de cryptologie en violation de la rglementation en vigueur.

1.5. Code pnal :


Les principales dispositions du code pnal, pouvant tre appliques dans un contexte denvironnement informatique, sont : Vol : Selon l'article 258 du Code Pnal Quiconque soustrait frauduleusement une chose qui ne lui appartient pas est coupable de vol . Il ne s'applique qu' la soustraction de biens corporels (ordinateurs, priphriques...). Escroquerie : L'escroquerie est dfinie l'article 291 du Code Pnal. Elle est caractrise par une tromperie. L'auteur de l'infraction obtient de sa victime la remise de fonds, de valeurs ou de biens. En informatique, la chose remise est, la plupart des temps, des fonds. Abus de confiance : Il est prvu par l'article 297 du Code Pnal. A l'inverse de l'escroquerie, la chose dtourne a t remise avec le consentement de la victime. Lauteur de linfraction la accept par contrat et sest engag la restituer ou en faire un usage dtermin. Dommages divers la proprit dautrui : Prvus par larticle 304 et suivant du code pnal et concernent quiconque, volontairement, cause un dommage la proprit immobilire ou mobilire dautrui.

2. La rglementation juridique en France :


2.1. Loi du 6 janvier 1978 Informatique et liberts :
Cette loi dcrit les rgles relatives linformatique, aux fichiers et aux liberts. Sa porte est limite la protection des donnes nominatives. Son objectif est d'viter que l'informatique ne puisse porter atteinte ni l'identit humaine, ni aux droits de l'homme, ni la vie prive, ni aux liberts individuelles ou publiques. Elle expose les contrevenants des sanctions allant de 2.000 2.000.000 Francs Franais d'amende et de 6 mois 5 ans de prison. Par ailleurs, en date du 24 octobre 1995, le parlement europen et du conseil a promulgu la Directive 95/46/CE relative la protection des personnes physiques l'gard du traitement des donnes caractre personnel et la libre circulation de ces donnes entre les Etats membres.

2.2. Loi du 3 juillet 1985 : La protection des logiciels


Lobjectif de cette loi est d'tendre aux logiciels le rgime de protection du droit d'auteur (loi du 11 mars 1957). Ce droit doit tre dfini dans un cadre contractuel (incessibilit du produit, interdiction des copies, limitation du nombre de sites dutilisation). Il existe plusieurs types de piratage de logiciel : La reproduction intgrale sans lautorisation de lauteur (sauf copie de secours), La reproduction partielle ou limitation dun logiciel, Lutilisation dun logiciel sans licence.

Le piratage dun logiciel constitue un acte de contrefaon (dlit pnal). Les sanctions peuvent tre lourdes (jusqu deux ans de prison en sus dune amende). Du point de vue pratique, un diteur de logiciels peut mandater un commissaire de police qui viendra limproviste vrifier tous les postes informatiques de lentreprise.

2.3. La rglementation de la cryptologie :


Le dcret N 86-250 du 18 fvrier 1986 assimile les matriels et logiciels de chiffrement des armes de guerre, et donc les soumet au rgime strict de l'autorisation pralable. La loi du 29 dcembre 1990 assouplit lgrement cette rglementation, en instituant un rgime de simple dclaration pralable auprs du Service Central de la Scurit des Systmes Informatiques (S.C.S.S.I), si l'utilisation est faite des fins d'authentification ou d'intgrit. L'autorisation tant maintenue dans les autres cas, c'est--dire chaque fois qu'il y a chiffrement de fichiers.

http://www.procomptable.com/

57

Les dfauts de dclaration ou d'autorisation sont sanctionns de 6.000 500.000 Francs Franais d'amende et de 1 mois 1 an de prison.

2.4. La loi N88-19 du 5 janvier 1988 (Loi GODFRAIN) relative la fraude informatique :
Par la loi GODFRAIN, un vide juridique qui persistait en matire de fraude informatique a t combl. Cette loi punit : l'accs ou le maintien non autoris dans tout ou partie d'un Systme d'Information, le fait d'entraver ou de fausser le fonctionnement d'un Systme d'Information, l'introduction ou la modification non autorise des donnes ou leur code de traitement ou de transmission, la falsification des documents informatiss, lusage de documents informatiss falsifis.

Les tentatives, mme infructueuses, sont passibles des mmes sanctions, pouvant atteindre 2.000.000 Francs Franais et/ou 5 ans demprisonnement.

2.5. La loi du 10 juillet 1991 relative la protection des tlcommunications :


Son objectif est de prserver le secret des correspondances mises par la voie des tlcommunications. Elle ne concerne pas que les coutes tlphoniques, mais aussi les transmissions de donnes. Cette loi interdit l'installation dappareils d'interception. Elle interdit, aussi, l'interception, le dtournement, l'utilisation et la divulgation des informations transmises par tlcommunication. Elle prvoit des sanctions allant de 5.000 100.000 Francs Franais d'amende et de 6 jours 1 an de prison.

2.6. Loi MADELIN du 11 fvrier 1994 :


Il est entendu que la preuve est libre pour les actes de commerce conclus entre commerants. Larticle 4 alina I de la loi sus-vise a largi ces possibilits en disposant que les entreprises peuvent remplacer toutes dclarations crites par un message lectronique quivalent. La conclusion d'un contrat prcisant les rgles en matire de preuve est ncessaire (identification de l'auteur, lisibilit, fiabilit et intgrit de la transmission, horodatation, rception et archivage).

2.7. Loi 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative la signature lectronique 49:
La signature lectronique et la valeur probante du document numrique sont reconnus par la loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative la signature lectronique. Les principales dispositions sont les suivantes : Art. 1316-1 : L'crit sous forme lectronique est admis en preuve au mme titre que l'crit sur support papier, sous rserve que puisse tre dment identifie la personne dont il mane et qu'il soit tabli et conserv dans des conditions de nature en garantir l'intgrit. Art. 1316-3 : L'crit sur support lectronique a la mme force probante que l'crit sur support papier. Art. 1316-4 : La signature, lorsqu'elle est lectronique, consiste en l'usage d'un procd fiable d'identification garantissant son lien avec l'acte auquel elle s'attache.

Le Dcret N 2001-272 du 30 mars 2001, a dfini les conditions de fiabilit dun procd de signature lectronique assurant l'identit du signataire et garantissant l'intgrit de l'acte.

49

Cette loi a t lbore conformment la directive 1999/93/CE du Parlement Europen et du Conseil du 13 dcembre 1999 portant sur un cadre communautaire pour les signatures lectroniques.

http://www.procomptable.com/

58

2.8. Dispositions particulires du Code Pnal :


Les dispositions du Code Pnal Franais en la matire sont similaires celles des dispositions du Code Pnal Tunisien. Toutefois, il est utile dajouter quen matire de vol, il est admis par les tribunaux franais qu'un vol est commis en cas de reproduction d'un support matriel (disquette...) alors que la chose vole est immatrielle (logiciels, donnes...).

2.9. Code du travail :


Dans le cadre des dispositions de larticle L321.1 du code de travail et d'aprs un arrt de la cour de Cassation Sociale du 15 octobre 1992, si malgr les efforts pour assurer l'adaptation d'un employ l'informatisation de l'entreprise, celui-ci n'a pu s'adapter ni aux nouvelles exigences technologiques de son emploi ni aux autres postes qui lui ont t proposs, le licenciement est lgitime et a une cause conomique.

3. La rglementation juridique aux Etats Unis dAmrique (USA) :


Nous avons constat que contrairement la Tunisie et la France, la rglementation aux USA a prvu des dispositions prventives et dtectives des violations de la loi50 et ce, outre les dispositions touchant les obligations comptables, fiscales et celles se rapportant la protection des droits de lindividu face linformatique. En effet, selon le guide de condamnation fdral, il est exig de chaque entreprise davoir un programme effectif de prvention et de dtection des violations de la loi. Labsence de ce programme exposera lentreprise des sanctions financires importantes. La liste des tapes prvoir dpend de plusieurs facteurs dont notamment la taille de lentreprise et la nature de lactivit. Le programme englobe : Ltablissement de standards et de procdures de conformit capables de rduire le risque de toute conduite criminelle, La dsignation dun responsable de haut niveau charg dassurer la conformit avec les standards et les procdures tablis, La non-dlgation de pouvoirs discrtionnaires importants pour des personnes qui pourraient tre engages dans des activits illgales, La prise de mesures ncessaires pour la communication des standards et des procdures tous les employs, La prise de mesures raisonnables pour sassurer de la conformit avec les standards et les procdures en place : exemple : audit interne, systme de reporting, etc., La mise en place de mesures disciplinaires aussi bien pour la personne coupable que pour la personne responsable nayant pas dtect les infractions, La prise de mesures appropries devant toute infraction et la mise en place de mesures prventives contre toute infraction similaire future.

Par ailleurs, la rglementation aux USA51 prvoit des amendes et des termes demprisonnement lencontre de la direction dune entreprise qui a ferm, ou qui a enregistr des pertes de revenus considrables, ou qui a encouru, exceptionnellement, de grosses dpenses dues l'absence d'un plan de secours52.

4. Les difficults juridiques associes aux nouvelles technologies :


Certaines difficults juridiques sont nes suite lutilisation des technologies de lInternet. Ces difficults sont dues au fait que plusieurs pays ont mis en place un systme juridique rgulant les affaires lectroniques nationales sans que laspect mondial de ce genre daffaires soit pris en compte. Exemple : Plusieurs pays ont proclam des lois pour rguler la signature lectronique sans que soit mis en place un systme de signature lectronique reconnu mondialement. Parmi les difficults, nous citons :
50 51

Handbook of information system auditing , paragraphe A 2.03.5b, Coopers & Lybrand, 1997 Exemple : La rfrence pour les banques est le circulaire N177. 52 Handbook of information system auditing , paragraphe D 6.02, Coopers & Lybrand, 1997

http://www.procomptable.com/

59

La proprit intellectuelle : Lensemble des rgles internationales relatives la protection intellectuelle du droit dauteur sapplique au support multimdia que sont les sites Web, commerciaux ou non commerciaux. Mais les actions juridiques contre un serveur hberg dans un pays tiers diffusant des crations multimdias contrefaites (son, image, texte, vido), ncessitent des procdures lgales difficiles mettre en uvre, et ne facilitant pas la suppression ou la rparation immdiate des faits dlictueux constats. Les disparits rglementaires concernant les noms de domaine (les adresses des sites web) posent galement des problmes. La rgle est celle du premier arriv, premier servi. Ceci a permis des personnes, denregistrer lgalement des noms des marques mondialement connues ou dentreprises, soit pour les utiliser leurs propres bnfices, soit pour les revendre fort chers leurs vritables titulaires (exemple : vizzavi de vivendi).

Section 2 : Les principales ractions des organismes professionnels :


Etant membre de lIFAC, l'Ordre des Experts Comptables de Tunisie a dcid de faire des normes internationales daudit (ISA)53 la base des normes d'audit et de services connexes approuvs en Tunisie. Le Conseil de l'Ordre des Experts Comptables de Tunisie a dcid de les adopter compter de l'anne 2000. Nous avons examin au niveau de cette section les principales rflexions de lIFAC ainsi que celles des autres principaux organismes professionnels.

Sous section 1 : Les rflexions de lIFAC


L'International Auditing Practices Committee (IAPC)54 a labor des projets de mise jour des documents suivants : Norme Internationale d'Audit N401 relative l'audit dans le contexte d'un systme d'information informatis, Directive Internationale d'Audit N1001 relative un systme d'information fond sur un microordinateur autonome, Directive Internationale d'Audit N1002 relative un systme d'information fonctionnant en rseau et/ou en temps rel, Directive Internationale d'Audit N1003 relative un systme bases de donnes, Directive Internationale d'Audit N1009 relative l'utilisation des techniques d'audit assistes par ordinateur.

1. Le projet de la norme internationale daudit N401 :


Cette norme traite les principes de base rgissant : limpact du systme informatis sur lapproche daudit la comptence et le savoir-faire ncessaires de lauditeur lutilisation des comptences de lauditeur ou le recours des spcialistes le risque inhrent et le risque li au contrle relatifs linformatique et les procdures daudit destines diminuer le risque daudit.

La structure et le contenu de ce projet sont diffrents de la norme actuelle. Les diffrents chapitres portent sur55 :

ISA : International Standards on Auditing IAPC : Comit des Normes Internationales dAudit cre par le Conseil de lIFAC afin dlaborer et de publier pour son compte des normes et des directives daudit et de services connexes. 55 Muttiah Yogananthan, Les projets en cours de lIAPC , Revue Franaise de Comptabilit N 16, Novembre 1999.
54

53

http://www.procomptable.com/

60

Les dfinitions de linfrastructure de scurit, des contrles informatiques, des risques relatifs la scurit informatique et de la configuration informatique, Les objectifs informatiques de lentreprise, Linformatique et le management des risques, La comptence et le savoir-faire, Le recours un spcialiste, Le planning, La connaissance de lentreprise et de son secteur dactivit, La structure et lorganisation, Linfrastructure scuritaire, Les contrles gnraux, Le risque inhrent et le risque li au contrle, Les rapports financiers et le contrle interne, Les procdures daudit, La continuit de lexploitation.

2. Le projet de la directive internationale daudit N1001 :


Ce projet traite du systme dinformation fond sur un micro ordinateur autonome. Il prsente les arguments conduisant affirmer quen gnral le risque li au contrle est plus lev que dans le cadre dun systme plus grand. Par consquent, il peut savrer plus appropri pour lauditeur daugmenter les contrles substantifs, la taille des chantillons et les contrles physiques et dutiliser de faon plus large les techniques daudit assistes par ordinateur.

3. Le projet de la directive internationale daudit N1002 :


Ce projet traite des systmes dinformation fonctionnant en rseau et/ou en temps rel. Il comporte une description de leurs caractristiques ainsi quune numration des contrles quils peuvent comporter. Il contient, aussi, une analyse de limpact de ce type de systme sur le systme comptable et les contrles internes et par consquent, sur les procdures daudit. Le projet de la directive met laccent sur le fait que les caractristiques de ces systmes font quil est plus efficace pour lauditeur de faire une revue avant la mise en place de ces systmes quaprs et ce afin de demander les modifications et les amliorations ncessaires en vue de renforcer les contrles.

4. Le projet de la directive internationale daudit N1003 :


Ce projet traite des systmes de base de donnes. Il comporte une description de leurs caractristiques ainsi quune numration des contrles quils peuvent comporter. Il contient, aussi, une analyse de limpact des bases de donnes sur le systme comptable et les contrles internes ainsi quune apprciation de limpact de ce type de systme sur les procdures daudit. A linstar de la directive 1002, le projet de la directive met laccent sur le fait que les caractristiques de ces systmes font quil est plus efficace pour lauditeur de faire une revue avant la mise en place de ces systmes quaprs.

5. Le projet de la directive internationale daudit N1009 :


Ce projet traite des techniques daudit assistes par ordinateur en tant quoutils permettant damliorer lefficacit et lefficience des procdures daudit en indiquant une description des diffrentes techniques et de leurs utilisations possibles. Le projet traite aussi des conditions et des modalits de mise en place de ces techniques. Outre la mise jour de ces normes et directives, il convient de signaler quil existe au sein de lIFAC un comit des technologies de l'information (ITC : Information Technology Commitee) charg de dvelopper les comptences des professionnels et des gestionnaires et leurs consciences des nouveaux dveloppements technologiques et ce, en facilitant la recherche, en renforant les communications et en fournissant des guides sur diverses questions dactualit. A la date de la rdaction du prsent mmoire, lIFAC a publi cinq guides relatifs aux technologies de linformation. Ces guides sont :

http://www.procomptable.com/

61

1. Grer la scurit de linformation (Managing Security of Information) 2. Grer la planification des technologies de linformation (managing Information Technology Planning for Business Impact) 3. Acquisition des technologies de linformation (Acquisition of Information Technology) 4. Les solutions de la mise en place des technologies de linformation (The implementation of Information Technology Solutions) 5. La distribution et le support des technologies de linformation (IT service delivery and support)

Janvier 1998 Janvier 1999

Juillet 2000 Juillet 2000

Juillet 2000

Sous section 2 : Les diffrentes rflexions en France


1. Le Conseil National des Commissaires aux Comptes (CNCC) :
Le CNCC, travers la commission informatique, traite des sujets informatiques susceptibles davoir un impact sur la mission du commissaire aux comptes. Dans ce cadre, cette commission mne rgulirement des rflexions sur les nouvelles technologies et ce, en : Formulant des avis, en diffusant des guides spcifiques de contrle dans les entreprises informatises (exemple : laudit en milieu EDI, dition 1997) et en apportant des rponses aux questions techniques poses par les professionnels ; Elaborant des outils informatiques daide laudit et la gestion administrative des missions ; Contribuant la mise en place des actions de formation ncessaires et en organisant des manifestations sur les diffrents thmes se rattachant linformatique.

Certains travaux ont dj abouti des publications spcifiques telles que les sujets traitant de la scurit informatique, du Webtrust, du commerce lectronique, de lchange de donnes informatises (EDI), des technologies de la communication, dInternet et des services publics en ligne, etc., et aussi des ouvrages dont par exemple le diagnostic des systmes informatiss : guide dapplication des recommandations .

2. LAssociation Franaise dAudit et du conseil en Informatique (AFAI) :


LAssociation Franaise de lAudit et du conseil en Informatiques a t fonde en 1982 pour : regrouper tous les professionnels concerns par la matrise des systmes dinformation, favoriser le dveloppement des mthodes et des techniques daudit et de contrle de linformatique, promouvoir lemploi de mthodologies et de techniques contribuant une meilleure matrise des systmes dinformation, aider amliorer les comptences de tous les intervenants dans le domaine de laudit et du conseil informatiques. diverses fonctions au sein des entreprises : direction de laudit, direction de linformatique, direction financire et direction du contrle de gestion, des auditeurs externes, des consultants, des experts comptables et des commissaires aux comptes, des socits de service et dingnierie informatique, des experts judiciaires, des juristes, des enseignants et des spcialistes de la scurit informatique.

LAFAI runit, aujourdhui, plus de 400 adhrents reprsentant :

3. Le Club de la Scurit des Systmes dInformation (CLUSIF) :


Fond en 1984, le Club de la Scurit des Systmes d'Information (CLUSIF), offre un cadre dans lequel les acteurs dans le domaine de la scurit des systmes d'information, responsables et prestataires de services, se rencontrent, changent leurs points de vue, partagent leurs expriences et connaissances, travaillent et progressent ensemble.

http://www.procomptable.com/

62

Les travaux du CLUSIF comprennent des travaux de recherche et dveloppement, des prises de position sur des sujets d'actualit, des guides et recommandations caractre didactique, l'effet de lart sur diffrents types de solutions, des mthodes, des enqutes, des outils de sensibilisation, etc. Le CLUSIF participe avec un certain nombre d'acteurs de la scurit la promotion de la scurit et fait valoir les besoins et contraintes des utilisateurs auprs des instances dirigeantes. Il s'implique activement dans le processus ducatif et de sensibilisation et ce, travers les sances thmatiques accordes aux tudiants, enseignants et membres.

Sous section 3 : Les diffrentes rflexions aux Etats Unis dAmrique


Il existe une multitude dassociations aux Etats Unis dAmrique touchant aussi bien le domaine de laudit, de linformatique, des nouvelles technologies, de la scurit, etc. Nous nous sommes limits lAICPA56. LAICPA a propos, en novembre 2000, un projet de modification de la SAS (Statement on Auditing Standards) N55 intitul Consideration of Internal Control structure in a financial statement audit . Ce projet focalise sur leffet de la technologie de linformation et de la communication sur le contrle interne et sur lvaluation des risques daudit. La SAS propose traite, essentiellement, des points suivants : Dcrire comment la technologie de linformation peut affecter le contrle interne, les lments probants, et la comprhension par lauditeur du contrle interne et lvaluation des risques, Prsenter un guide afin daider lauditeur de dterminer sil y a lieu de recourir des spcialistes en technologies de linformation. Implication de lEDI sur laudit (Audit Implications of Electronic Data Interchange) : Produit N021060kk Lge des technologies de linformation : Les lments probants dans un milieu informatis (The Information Technology Age : Evidential matter in the Electronic environment) : Produit N021068kk Leffet des documents lectroniques sur laudit (Audit implications of Electronic Document Management) : Produit N021066kk Laudit dans un environnement informatis (Auditing in common computer environments) : Produit N021059kk Laudit au moyen de linformatique (Auditing with computers) : Produit N021057kk La structure du contrle interne dans un milieu informatis : Etude de cas (Consideration of the Internal Control Structure in a Computer Environment : A case study) : Produit N021055kk

Par ailleurs, lAICPA a trait les aspects suivants :

Par ailleurs, et en collaboration avec le CICA Canadian Institute of Chartered Accountants , lAICPA a dfini les principes et les critres associs au WebTrust. Ces derniers sont applicables partir du 28 fvrier 2001.

Sous section 4 : Autres rflexions : ISACA


LISACA57 est une association fonde en 1969 qui englobe des professionnels de la vrification, de la scurit et du contrle des technologies de linformation. LISACA se veut la rfrence mondiale reconnue en gouvernance, contrle et assurance qualit des technologies de linformation. Groupement international de 20.000 membres dans plus de 100 pays, lISACA organise des confrences, des cours et des sminaires, publie des informations techniques, dite des guides, dveloppe et met jour des normes professionnelles. Elle effectue des travaux de recherche en audit informatique et dlivre la certification dauditeur de systmes dinformation (CISA), label professionnel mondial.
56 57

AICPA : American Institute of Certified Public Accountants ISACA : Information System Audit and Constrol Association .

http://www.procomptable.com/

63

LISACA a dvelopp et promulgu des Normes Gnrales ainsi que des directives pour l'Audit des Systmes d'Information58. L'objectif de ces normes et directives est de dfinir pour les auditeurs un niveau de diligence minimal pour rpondre aux responsabilits professionnelles. Elle a aussi dvelopp le COBIT59 qui constitue un rfrentiel international de Gouvernance, de Contrle et de lAudit de lInformation et des technologies associes. COBIT a t conu partir des meilleures pratiques mondiales en audit et en matrise des systmes d'information. Il est destin trois publics diffrents : La direction : pour laider trouver lquilibre entre le risque et linvestissement en contrles, les utilisateurs : pour obtenir des garanties sur la scurit et les contrles des services informatiques fournis en interne ou par des tiers les auditeurs : pour justifier leur opinion et conseiller la direction sur les contrles internes.

Le rfrentiel COBIT retient quatre domaines fonctionnels : Planification et Organisation, Acquisition et Mise en Place de systmes, Distribution et Support, Surveillance. Ces domaines regroupent 34 processus principaux auxquels correspondent 302 objectifs de contrle. Paralllement, lISACF (Information Systems Audit and Control Foundation), un organisme but non lucratif rattach lISACA, assure la promotion de la recherche et publie diffrents ouvrages traitant du contrle des technologies de linformation. Parmi les projets en cours de lISACF, nous citons : E-commerce : Contrle, Audit et scurit Lintgrit de linformation Enterprise Resource Planning - SAP Les pratiques du contrle des technologies de linformation

Conclusion :
A travers cette tude sommaire, nous constatons lintressement que revt le sujet des nouvelles technologies de linformation et de la communication aussi bien pour les instances lgislatives que pour les organismes professionnels. En Tunisie et au niveau rglementaire, nous remarquons un intressement constant du lgislateur et du gouvernement mettre en place une rglementation la hauteur des exigences des nouvelles technologies tout en assurant les objectifs des systmes dinformation : efficacit, optimisation, confidentialit, intgrit, fiabilit, disponibilit, etc. Certainement, il y a encore beaucoup faire tant donn le caractre embryonnaire, en Tunisie, des affaires sur Internet. En outre, du ct de la fiscalit, nous constatons que ce volet demeure toujours rigide et ncessite par consquent une mise niveau aussi bien lgislative quadministrative. Par ailleurs, une approche internationale de la rglementation touchant la technologie de lInternet est tout fait souhaitable. A dfaut, toute entreprise entrant dans le cyberespace doit savoir quelle prend des risques denfreindre par inadvertance la lgislation du pays o elle compte vendre ses produits ou services. Au niveau des organismes professionnels, nous constatons une mise jour des lignes directrices des normes de rvision ainsi que des recherches constantes sur dautres aspects se rattachant directement aux nouvelles technologies. Ceci dnote limportance de lenjeu pour lexpert comptable.

58 59

La liste des normes gnrales et des directives de lISACA figure au niveau de la bibliographie. COBIT : Control Objectives for Information and Related Technology

http://www.procomptable.com/

64

Conclusion Partie I
Nous avons essay de montrer tout au long de cette partie les diffrents impacts des nouvelles technologies de linformation et de la communication aussi bien sur lentreprise que sur laudit financier. Il convient de noter que cette tude a t oriente audit financier et par consquent, cest la recherche de la fiabilit des tats financiers qui est privilgie. En effet, dans la mesure o le systme dinformation automatis produit linformation financire, cest la capacit de ce systme produire une information fiable qui est analyse et value par lauditeur. De ce fait, nous navons pas focalis sur les aspects defficacit et defficience des oprations touches par les nouvelles technologies. Face ce nouveau contexte dintervention caractris, entre autres, par la dmatrialisation des informations et lautomatisation des contrles, il est de plus en plus difficile pour lauditeur financier de forger son opinion sans une approche approfondie du systme informatique. Par consquent, laudit informatique, qui consiste mettre une opinion sur la fonction informatique et sur les traitements et les contrles automatiss, devient, dsormais, une ncessit dans le processus de laudit financier. La deuxime partie de ce mmoire est consacre ltude des diffrents aspects de laudit informatique et ce, dans un objectif de prsenter la manire avec laquelle sintgre laudit informatique dans les diffrentes tapes de laudit financier et danticiper le dveloppement futur de laudit informatique en support laudit financier.

http://www.procomptable.com/

65

Partie II : Laudit informatique dans le processus de laudit financier

http://www.procomptable.com/

66

Introduction Partie II
Aprs avoir expos les principaux impacts des nouvelles technologies de linformation et de la communication sur lentreprise et sur laudit financier, il apparat clairement que laudit informatique est devenu un lment ncessaire dans une mission daudit financier. Laudit informatique, dans son sens large, peut traiter plusieurs aspects couvrant aussi bien la fonction que les applications informatiques. Toutefois, il est utile de prciser que, dans le cadre dune mission daudit financier, cest la recherche de la fiabilit qui est privilgie. Les autres aspects defficacit et defficience, couverts gnralement par laudit oprationnel, ne sont pas exigs par laudit financier. Cest ainsi que cette deuxime partie traite uniquement des aspects de laudit informatique dans le cadre dune mission daudit financier. Pour cela, nous examinons, dans un premier chapitre, la dtermination du besoin de recours laudit informatique et ltude des rles qui lui sont dvolus. Ensuite, nous prsentons, dans un deuxime chapitre, une dmarche daudit informatique qui pourrait tre suivie dans le processus de laudit financier. Cette dmarche peut tre aussi utilise dans une mission spciale daudit informatique avec, gnralement, un champ daction plus largi. Enfin, nous traitons, dans un dernier chapitre, les principales volutions prvisibles des pratiques en la matire en Tunisie.

http://www.procomptable.com/

67

Chapitre 1 : Le Besoin De Recours A lAudit Informatique Et Ses Rles Dans Une Mission DAudit Financier
Introduction :
Cest lors de la planification de la mission daudit financier que le besoin de recours laudit informatique est ressenti. Cette phase dlicate de la mission est gnralement conduite par le signataire du rapport ou par lun de ses collaborateurs les plus expriments sous sa supervision et son entire responsabilit. Nous rappelons dans ce chapitre la dmarche suivre pour la planification dune mission daudit financier et nous dterminons les cas o il y a lieu de faire recours laudit informatique. En outre, nous prcisons, dans une deuxime section, les rles dvolus laudit informatique dans une mission daudit financier.

Section 1 : La planification dune mission daudit financier et la dtermination du besoin de recours laudit informatique
La planification dune mission daudit financier se compose des tapes suivantes : Lvaluation de lenvironnement de contrle La comprhension de lactivit de lentreprise et de son secteur La collecte dinformations sur les systmes et lenvironnement informatique Lvaluation prliminaire des contrles de direction La dfinition de la stratgie daudit et le besoin de recours laudit informatique

Sous section 1 : Lvaluation de lenvironnement de contrle


Lenvironnement de contrle est lensemble des conditions dans lesquelles fonctionnent les systmes de contrle. Il reflte la philosophie de la direction, son attitude et son engagement dmontr tablir une atmosphre positive pour la mise en uvre et lexcution doprations bien contrles. Aussi, il influence profondment le fonctionnement des systmes de contrle contribuant ou non leur fiabilit. Si lauditeur ne peut pas mesurer avec prcision les aspects de lenvironnement de contrle, il est cependant possible de dceler des facteurs plus ou moins favorables lexercice du contrle interne. Il sagit, alors, dvaluer de manire globale si lenvironnement de contrle contribue lefficacit des contrles, et donc au traitement correct des informations comptables et la prvention ou la dtection des erreurs et irrgularits. Linexistence ou la faiblesse de lun de ces aspects ne signifie pas ncessairement que lattitude globale vis--vis des contrles est ngative. Toutefois, un bon environnement de contrle a pour consquences : une approche utilisant les contrles clefs ayant de fortes chances dtre efficaces lapplication dun plan daudit comportant une rotation plus grande des secteurs contrls

http://www.procomptable.com/

68

un niveau probable de conformit (application effective des contrles) lev, permettant de rduire la quantit de preuves ncessaires la formation de la conviction sur lefficacit des contrles gnraux et des contrles directs. les incidences de lorganisation, des rles et des responsabilits sur lenvironnement de contrle et ce, en valuant : 1. le rle du Conseil d'Administration : lauditeur doit sassurer, sil compte leur accorder un niveau de confiance, que la composition, les responsabilits et le comportement des membres du Conseil d'Administration ainsi que les informations dont ils disposent sont de nature gnrer une ligne de conduite approprie, conduisent une relle prise de dcisions et un contrle effectif des oprations, et encouragent la direction agir dans l'intrt des actionnaires. 2. l'efficacit de l'organisation et de l'encadrement : lauditeur doit sassurer, sil compte leur accorder un niveau de confiance, que la structure de la socit, les responsabilits et l'attitude de la Direction sont de nature permettre la matrise et le contrle de l'activit. Il doit aussi sassurer que les directeurs et les cadres dirigeants, en particulier ceux qui exercent une responsabilit financire directe, ont les comptences requises et l'exprience ncessaire pour mettre en uvre les dcisions du Conseil et faire face aux changements de l'environnement. 3. la politique et les procdures en matire de ressources humaines : lauditeur doit valuer et, si un niveau de confiance est accord ces aspects, tester si la politique et les procdures en place assurent le recrutement d'un nombre suffisant de personnes qualifies (y compris le personnel informatique), leur panouissement et leur fidlit, afin de favoriser l'excution de la stratgie de l'entreprise et de prvenir les dfaillances de contrle interne ou les pertes financires.

Les aspects valuer sont :

les incidences de lvaluation des risques par lentreprise sur lenvironnement de contrle et ce, en valuant : 1. le processus de gestion des risques par la direction : lauditeur doit valuer et, si un niveau de confiance est accord ces aspects, tester : si la direction tablit des objectifs clairs et met en place des procdures permettant d'identifier les risques qui compromettent la ralisation de ces objectifs et, si les procdures mises en place reposent sur une information fiable, sont appliques par des personnes comptentes, et toute action ncessaire est mene dans les temps.

Dsormais, les risques informatiques font partie de lensemble de ces risques. 2. le respect des lois et de la rglementation : lauditeur doit valuer, et si un niveau de confiance est accord ces aspects, tester si la direction a une connaissance adquate des lois et de la rglementation applicable son activit, si elle mesure le risque de leur ventuel non-respect et si elle agit pour prvenir les infractions. les incidences du processus de pilotage sur lenvironnement de contrle et ce, en valuant : 1. la fiabilit du reporting financier : lauditeur doit valuer, et si un niveau de confiance est accord ces aspects, tester si des procdures de reporting financier sont en place pour produire les informations destines tre revues par la direction et que cette revue permet de dtecter d'ventuelles dfaillances dans le contrle interne ou des erreurs significatives et dbouche sur des actions appropries, si besoin est. 2. la qualit des prvisions de la direction et du contrle budgtaire : Ceci englobe, titre indicatif, les procdures de prparation des prvisions et des budgets, leur qualit, la pertinence et la fiabilit de l'information financire produite. 3. le rle de l'audit interne : lauditeur doit valuer, et si un niveau de confiance est accord ces aspects, tester si l'audit interne est un rouage essentiel de l'environnement de contrle, par sa contribution l'valuation des risques de l'activit (y compris les risques informatiques), et en sa qualit de garant du fonctionnement continu des rgles de contrle interne destines atteindre les objectifs de l'entreprise.

http://www.procomptable.com/

69

4. le rle du comit d'audit : lauditeur doit valuer, et si un niveau de confiance est accord ces aspects, tester : si la composition, les responsabilits et le comportement du comit d'audit, ainsi que l'information dont il dispose, dbouchent sur un pilotage et une revue effectifs de la comptabilit, du contrle interne et des procdures de reporting financier et, si le comit contribue la dfinition d'une ligne de conduite approprie et au maintien d'un rseau de communication constructif avec les auditeurs internes et externes.

5. la fiabilit des estimations de la direction : lauditeur doit valuer, et si un niveau de confiance est accord ces aspects, tester si la direction, pour l'tablissement d'estimations, utilise une mthodologie fonde sur des donnes actualises et fiables, supervise la production des estimations, et s'appuie sur les personnes qui disposent des comptences ncessaires l'tablissement d'estimations raisonnables.

Sous section 2 : La comprhension de lactivit de lentreprise et de son secteur


Une connaissance approfondie de lactivit de lentreprise est indispensable pour que la planification de laudit soit efficace. Lobjectif nest pas de devenir des experts dans le domaine de lentreprise audite mais de connatre suffisamment lentreprise pour pouvoir dterminer les orientations stratgiques de la planification. Les tapes suivre peuvent se rsumer comme suit : Prendre en considration les spcificits du secteur et ce, notamment, en consultant des spcialistes du secteur d'activit et dautres sources d'information concernant ledit secteur. Comprendre ou mettre jour la comprhension de lentreprise et de son secteur d'activit, de faon pouvoir apprhender les vnements, les transactions et les pratiques qui peuvent avoir un impact significatif sur les tats financiers ou sur le rapport d'audit. Lattention de lauditeur devrait tre focalise davantage, si lentreprise : utilise lInternet ou une autre technologie pour la conduite de son affaire. Exemples : lentreprise achte ou vend des produits ou des services par Internet, lentreprise procde des actions de publicit sur son site Web, etc. opre dans une industrie o les oprations sont significativement traites par Internet (Les agents immobiliers, les agences de voyage et les tours oprateurs, etc.).

Si lentreprise audite externalise certaines fonctions, focaliser lattention sur le caractre significatif de cette externalisation et sa pertinence pour laudit et ce, en examinant dans quelle mesure cette externalisation des services affecte la comptabilit de lentreprise et son systme de contrle interne et en y tenant compte dans la planification de laudit et llaboration du programme de travail. Comprendre les politiques comptables les plus significatives utilises et considrer si elles sont appropries pour lentreprise audite et en relation avec les risques que court lentreprise et la substance conomique des transactions. Effectuer une revue analytique prliminaire : Il sagit danalyser l'information financire ou non financire rcente. Les procdures analytiques prliminaires sont ncessaires afin de : comprendre les conditions actuelles de l'activit (cash flow, rsultat d'exploitation, situation financire,), valuer les risques de continuit d'exploitation, identifier les principales activits et les comptes concerns, la nature et le volume des transactions, les soldes comptables et les lments inhabituels ou inattendus pouvant traduire un risque de fraude ou d'erreur permettre une valuation prliminaire du seuil de signification.

Sur la base de la comprhension de lentreprise, de son activit, de son secteur, de ses risques et des contrles lis, ainsi que des rsultats des procdures analytiques prliminaires, lauditeur doit

http://www.procomptable.com/

70

identifier et documenter les risques inhrents spcifiques chaque section d'audit significative, et en tenir compte pour l'laboration des programmes de travail.

Sous section 3 : La collecte dinformations sur les systmes et lenvironnement informatique


La comprhension des systmes de lentreprise et son environnement informatique est ncessaire pour une planification efficace et efficiente. Les informations collectes seront utilises dans un objectif de dtermination du degr dappui placer sur le contrle interne de lentreprise audite et par suite de la stratgie daudit adopter. Au cours de la phase de planification, la ncessit de faire appel des experts en rvision informatique doit tre considre en cas de systme complexe. Lquipe intervenante sera dans ce cas mixte. Cette phase de la planification doit apporter toute l'quipe daudit une identification et une comprhension suffisante : des principaux cycles ainsi que des applications informatiques qui les supportent, de l'organisation de la fonction informatique, des contrles de la direction sur la fonction informatique, du degr de dpendance de lactivit quotidienne sur les systmes informatiques, des caractristiques principales des systmes et environnements, des changements significatifs en termes de systmes et d'environnement informatiques, des problmes antrieurs survenus au niveau des systmes.

Elle doit permettre lauditeur de dgager les facteurs de risques pouvant avoir un impact sur la stratgie d'audit. Nous citons : Lexistence ventuelle de faiblesses de contrle relatives la fonction informatique qui empchent d'accorder aux contrles un niveau de confiance dtermin ; Lexistence de problmes fondamentaux, concernant la qualit de l'information de gestion, qui pourraient remettre en cause la fiabilit des contrles de pilotage et par consquent, empcher d'accorder ces contrles un niveau de confiance dtermin ; Les incidences des changements de systmes ou d'environnements informatiques sur notre connaissance antrieure de la mission et par suite sur la stratgie d'audit ; La ncessit de faire recours des spcialistes au cours de l'audit.

Cette tape importante de la planification fait lobjet dune tude plus dtaille dans le chapitre suivant.

Sous section 4 : Lvaluation prliminaire des contrles de direction


Les contrles de direction (ou aussi les contrles de pilotage) peuvent tre dfinis comme tant les moyens que la direction utilise pour piloter laffaire et en contrler les risques, soit de faon continue tout au long de lanne, soit de faon ponctuelle. Ils peuvent tre raliss par la direction elle-mme ou par la fonction daudit interne. Les contrles de direction sont de nature dceler des erreurs potentielles et/ou des fraudes qui rsulteraient des dfaillances des systmes de contrle interne (y compris les contrles gnraux informatiques) ou des systmes comptables. Ils peuvent procurer une certaine confiance sur les contrles informatiques gnraux ou sur les contrles dapplication. A titre dexemple : La revue dun rapport de revenu avec une connaissance globale du volume livre Lexamen des dpenses dinvestissement sur la base dun rapport trimestriel analysant ces dpenses par dpartement et les comparant par rapport aux budgets

http://www.procomptable.com/

71

Les contrles de direction sapprcient au niveau dun cycle contrairement lenvironnement de contrle qui sapprcie au niveau de lentreprise dans son ensemble. Ils sont dtectifs plutt que prventifs et sapparentent des contrles de vraisemblance, de cohrence, des revues par exception, des procdures analytiques, etc. Les objectifs des contrles de la direction sont varis et ne visent pas ncessairement des objectifs financiers. En particulier, ils ne visent pas directement et spcifiquement les objectifs de contrle, mais fournissent une assurance indirecte sur la ralisation de ces objectifs. Lvaluation prliminaire des contrles de direction, au niveau de chaque cycle, est effectue afin de dterminer le niveau de confiance accord aux contrles. A ce stade, ces contrles sont documents sans pour autant tre tests. Etant donn que les contrles de direction sont moins dtaills que les contrles dapplication, ils ne peuvent fournir un niveau de confiance aussi lev. En fait, ils permettent didentifier quil y a un problme mais pas de dterminer quel objectif particulier nest pas atteint. En outre, il y a lieu de prciser que le niveau de confiance que lon peut obtenir des contrles de direction est trs variable. Il dpend notamment de la comptence de la personne charge deffectuer le contrle, de la rapidit avec laquelle il est effectu, de la fiabilit de linformation utilise, de la probabilit que ce contrle permette effectivement de dceler des dfaillances, etc. Par ailleurs, et au cas o lentreprise audite externalise certaines fonctions, lauditeur devrait considrer les contrles de direction relatifs la fonction du prestataire de services, que ces contrles de pilotage soient effectus par lentreprise audite ou par son prestataire de services.

Sous section 5 : La dfinition de la stratgie daudit et du besoin de recours laudit informatique


Signalons tout dabord que pour la premire anne ou lanne du changement, la phase de collecte dinformations est bien videmment plus importante. En revanche, les annes suivantes, compte tenu des connaissances daudit accumules, le processus doit tre plus rapide puisque focalis uniquement sur les changements de lexercice. Cette phase de collecte doit renseigner, entre autres, les lments suivants : Quels sont les cycles et comment laudit sera organis ? Quels sont les risques inhrents spcifiques chaque section d'audit significative ? Quels sont les risques touchant les systmes et les risques informatiques ? Quelles sont les ventuelles oprations ponctuelles considrer (hors cycle ou hors systme) ? Quel est limpact de lventuelle externalisation de certains services ? Quels sont les principaux changements de lexercice ?

Ces diffrentes informations recueillies permettent lauditeur de dfinir la stratgie daudit par cycle compte tenu du niveau de confiance accord aux contrles de direction, contrles gnraux informatiques et contrles sur dapplication. La dfinition de la stratgie daudit est illustre dans le schma60 suivant :

60

Schma inspir de la mthodologie daudit du cabinet international PricewaterhouseCoopers, The PwC audit , 1999.

http://www.procomptable.com/

72

Les options de stratgies daudit


Evaluation de lenvironnement de contrle Comprendre lactivit du client et son secteur Comprendre et mettre jour les informations sur les systmes et lenvironnement informatique Evaluation prliminaire des contrles de direction

Aucun appui sur les contrles NON

Envisage-t-on de sappuyer sur les contrles pour ce cycle ?

Appui sur les controles OUI Sur quel type de contrles envisage-t-on de sappuyer ?

Les contrles de direction

Les CD, CGI,CA

Documenter et valuer les contrles dapplication et les contrles gnraux informatiques

Pas de tests sur les contrles

Tester les contrles clefs de direction

Tester les contrles clefs de direction, dapplication et les contrles gnraux informatiques

Procdures analytiques et tests de dtail tendus

Procdures analytiques et tests de dtail limits

Des larges procdures analytiques et des tests de dtail limits aux objectifs non couverts

Stratgie

Stratgie

Stratgie

CD : Contrles de direction CGI : Contrles gnraux informatiques CA : Contrles dapplication Il en dcoule de ce schma que trois stratgies daudit peuvent tre envisages. Pour chaque cycle, lauditeur doit se poser la question suivante : Compte tenu des lments dinformation pralables dont on dispose, envisage-t-on de sappuyer sur les contrles ? Si la rponse est non : la stratgie retenue sera Niveau de confiance : Aucun . Si la rponse est oui, il faut ensuite se poser la question suivante : Sur quel type de contrle envisage-t-on de sappuyer ? Si on envisage de sappuyer sur les contrles de direction uniquement la stratgie sera Niveau de confiance : Moyen . Si on envisage de sappuyer galement sur les contrles dapplication et les contrles gnraux informatiques, la stratgie sera Niveau de confiance : Elev . Il convient de noter quen pratique la stratgie daudit pour un cycle se positionne sur un continuum de Aucun Elev . Lide gnrale tant : appuyons sur les contrles clefs ds lors que cest possible et ds lors que cet appui nous parat optimal en terme de rapport efficacit/cot. Par ailleurs, le choix de la stratgie daudit constitue une dcision prliminaire. Ce choix sera confirm ou infirm loccasion de la ralisation des tests sur les contrles. Le schma, qui suit, prsente chacune de ces stratgies :

http://www.procomptable.com/

73

Niveau de confiance AUCUN Tests de dtails

Niveau de Confiance MOYEN


Environnement de Contrle & CEAA

Niveau de Confiance ELEVE


Environnement de contrle & CEAA

Contrles de direction

Tests de dtails

Contrles de direction, dapplication et gnraux


Tests de dtails

Revue analytique

Revue anlaytique

Revue analytique

(CEAA : Connaissances et Expriences dAudit

1. Stratgie 1 : Niveau de confiance AUCUN :


Deux types de situations peuvent conduire ce choix : soit le cycle est mal voire pas contrl (mcanismes insuffisants pour assurer lintgrit des donnes financires), soit des contrles existent mais une approche substantive serait plus efficace et moins coteuse, et donc plus approprie en la circonstance. Exemple : des transactions individuellement significatives et peu nombreuses pouvant tre vrifies par des documents ou des confirmations. Cette approche implique : une documentation trs succincte des contrles existants visant uniquement la comprhension densemble de lenvironnement de contrle la non-ralisation de tests sur les contrles clefs ni sur les contrles informatiques gnraux des travaux daudit constitus pour lessentiel de tests de dtail ainsi que dventuelles procdures analytiques.

2. Stratgie 2 : Niveau de confiance : MOYEN :


Deux types de situations peuvent conduire ce choix : Le cycle est contrl mais les contrles clefs visant de faon dtaille les quatre objectifs de contrle ne sont pas toujours documents (donc difficile tester) ou pas totalement performants. Cependant, il existe des contrles de direction performants permettant de dtecter des dfaillances majeures. Une approche Niveau de confiance - Moyen est juge plus adapte car moins coteuse quune approche Niveau de confiance - Elev pour un mme niveau defficacit. En effet, la ralisation de tests sur les contrles de direction et des tests de dtail additionnels peut tre, dans certains cas, plus efficace quvaluer et tester les contrles gnraux informatiques et les contrles dapplication et la ralisation de tests substantifs rduits.

Cette approche implique lappui sur les contrles de direction qui donnent une certaine vidence quil n'y a pas eu de dfaillances majeures et rduit ltendue, mais en gnral pas la nature, des tests de dtail selon la confiance que lauditeur place sur ces contrles. Ainsi, la dmarche suivre par lauditeur consiste : Documenter les contrles de direction Tester les contrles clefs de direction Ne pas tester les contrles informatiques gnraux Raliser des travaux daudit constitus pour lessentiel de tests de dtail ainsi que des procdures analytiques.

http://www.procomptable.com/

74

3. Stratgie 3 : Niveau de confiance ELEVE :


Dans ce cas des contrles clefs existent (de direction et dapplication), sont documents, performants et couvrent de faon dtaille les quatre objectifs de contrle. La ralisation de tests sur ces contrles permet lauditeur de sassurer de leur fonctionnement effectif et de leur permanence. Ainsi, cette dmarche consiste : Documenter les contrles de direction, les contrles dapplication et les contrles gnraux informatiques existants Tester les contrles gnraux informatiques Slectionner et tester les contrles clefs de direction et dapplication Raliser de trs larges procdures analytiques. Les tests de dtail ne seront drouls que pour les objectifs daudit non couverts par les contrles Rduire les tests substantifs : Ltendue et mme la nature des tests devront tre rduites en consquence selon les rsultats des procdures prcdentes.

Toutefois, il convient de signaler que pour la premire anne ou lanne de changement (exemple : installation de nouveau logiciel, modification significative dun logiciel existant), les tests sur les contrles clefs sont focaliss, essentiellement, sur les contrles dapplication comme base pour les annes ultrieures. Pour les annes suivantes sans changements significatifs, l'tendue des tests des contrles cls peut tre rduite sur la base de la connaissance et lexprience accumules sur lentreprise et sur la base de la capacit des contrles de pilotage dtecter une dfaillance au niveau des contrles gnraux informatiques ou au niveau des contrles d'application et dtecter des problmes existants au niveau des systmes comptables sous-jacents. Les contrles gnraux informatiques continuent tre tests car ils permettent une assurance globale de lintgrit de lenvironnement du traitement et par suite la rduction des tests sur les contrles clefs. Dans un contexte de nouvelles technologies, caractris, entre autres, par la dmatrialisation des informations, lautomatisation des contrles et la complexit et le volume de plus en plus important des oprations, il est de plus en plus difficile pour lauditeur financier de forger son opinion sans une approche approfondie du systme informatique. Ainsi, la tendance, dans ce type denvironnement, est toujours vers une stratgie de Niveau de confiance Elev . Parmi les principaux avantages offerts par cette stratgie est quelle est, gnralement, la plus optimale en terme de rapport efficacit / cot, en raison du fait que les tests sur les contrles consomment, gnralement, moins de temps que les tests de dtail. Cette approche est dautant plus efficace en cas dutilisation des techniques daudit assistes par ordinateur. De ce fait, lauditeur est de plus en plus confront mettre en uvre une approche base sur lvaluation et lexamen des contrles de direction, des contrles gnraux informatiques et des contrles dapplication. Cest dans ce cadre quintervient laudit informatique en support laudit financier pour assurer, entre autres, la documentation, lvaluation et lexamen des contrles gnraux informatiques et des contrles dapplication (autres que les contrles purement manuels). Afin dillustrer ces faits nous avons jug utile de prsenter lexemple dune Caisse de Scurit Sociale tunisienne. Cette dernire compte des milliers de cotisants et de prestataires. Elle gre une multitude de secteurs, de rgimes, de prestations etc. Le volume des oprations est important et les montants sont peu significatifs. Lensemble des processus de gestion est automatis : lencaissement des cotisations, la liquidation des droits, etc., font lobjet de traitements informatiques complexes et lourds. Ainsi, une approche base essentiellement sur les tests de dtail nest, donc, pas adapte et ne permet pas de mettre en vidence des faiblesses de contrle interne pouvant avoir un impact significatif sur les tats financiers. Par ailleurs, le recours laudit informatique peut tre requis mme pour une approche de Niveau de confiance Moyen et ce, pour sassurer que les process de gnration des rapports, sur lesquels sexerce la fonction de pilotage, sont convenablement contrls.

http://www.procomptable.com/

75

Enfin, avant daborder avec plus de dtails les rles dvolus laudit informatique dans une mission daudit financier, nous devons rpondre linterrogation suivante : Quelle doit tre la composition de lquipe charge de laudit informatique ? Cest suite la phase de la collecte dinformations sur les systmes et lenvironnement informatique que lauditeur dcide si le systme est considr comme tant complexe61 ou pas. Cette dcision devrait tre prise conjointement avec lauditeur spcialiste. Dans le cas de systmes complexes, la composition recommande de lquipe pour lexcution de la documentation, lvaluation et lexamen des contrles dapplication est une quipe mixte dauditeurs gnraux et de spcialistes. Toutefois, quelle que soit la complexit des systmes, les spcialistes rservent la partie consacre lexamen des contrles gnraux informatiques. En effet, ce volet ncessite des comptences non videntes chez lauditeur financier gnraliste . De ce fait, dans un systme de nouvelles technologies, le recours une quipe daudit mixte est, trs souvent, ncessaire. Le tableau, qui suit, rsume les situations dcrites ci-dessus :
Systmes complexes Auditeurs Spcialistes
Recueillir des informations sur les systmes et lenvironnement informatique. Documenter et valuer les contrles dapplication. Slectionner et tester les contrles clefs. Documenter, valuer, slectionner et tester les contrles gnraux informatiques. Equipe mixte

Systmes moins complexes Auditeurs Spcialistes


X *

Equipe mixte

Equipe mixte X

* X

(*) Des spcialistes peuvent tre impliqus sil y une incertitude quant au degr de complexit ou sur lapproche daudit mettre en uvre.

Section 2 : Les rles dvolus laudit informatique dans une mission daudit financier
Laudit informatique vient supporter la mission de laudit financier dans la mesure o il permet de : mettre en vidence des faiblesses de contrle interne ayant un impact sur les tats financiers et non dtectables par une approche classique ; limiter les travaux substantifs pour les entreprises pour lesquelles lauditeur peut s'appuyer sur les systmes ; apporter une plus value lentreprise audite par la mise en uvre de travaux d'audit-conseil.

Ces objectifs sont atteints travers la description et lexamen des contrles gnraux informatiques et des contrles dapplication.

Sous section 1 : Les tests sur les contrles gnraux informatiques


Les contrles gnraux informatiques sont les contrles qui contribuent de manire significative lefficacit des contrles directs individuels. Ils ne visent pas directement les objectifs de contrle et ne
61

Pour la dfinition de systme complexe, se rfrer la partie I, Chapitre II, Section 2, Sous-section 2

http://www.procomptable.com/

76

servent donc pas par eux mme fonder la conviction de lauditeur, mais permettent ce dernier de savoir si les faiblesses ventuelles dgages ne rduisent pas lefficacit et la fiabilit des contrles directs. Aussi, les contrles gnraux informatiques ne sexercent pas au niveau dun cycle particulier et peuvent avoir, par consquent, une incidence diffuse sur les divers traitements raliss par le systme. En effet, si ces contrles ne sont pas efficaces, des erreurs peuvent se produire et passer inaperues dans les diverses applications. Cest pourquoi des dfaillances dans les contrles informatiques gnraux peuvent empcher de vrifier efficacement les contrles prvus pour certaines applications 62. Cet aspect de laudit informatique ne sagit pas dexaminer les contrles gnraux de faon isole mais lors de lvaluation de la qualit des contrles directs. En effet, si lauditeur estime quun contrle direct constitue un contrle clef potentiel, il doit dterminer sil peut aussi sappuyer sur les contrles gnraux sy rapportant. Ainsi, il est gnralement plus efficace dexaminer les contrles gnraux une fois les contrles directs clefs identifis. Faire le lien entre les risques identifis au niveau de la fonction informatique et les risques en dcoulant sur les applications est une tche assez difficile qui demande de la comptence, de lexprience et du jugement. Exemple : En cas de contrles insuffisants des modifications de programmes, le risque derreurs sur le calcul des paies est relativement faible du fait que la plupart des salaris vrifient leur bulletin de paie. Par contre le risque dirrgularits sur les bulletins de paie est thoriquement possible. Dans le cadre de laudit financier, lexamen des contrles gnraux informatiques englobe, notamment, lexamen des aspects suivants :

1. Organisation gnrale de la fonction informatique :


Le contrle de lorganisation gnrale de la fonction informatique permet, notamment, dapprcier : le degr de sensibilisation au contrle interne de la fonction, le degr de sparation des tches incompatibles, la division des obligations et des responsabilits entre le service informatique et les diffrents utilisateurs.

Le contrle de lorganisation gnrale de la fonction informatique ne peut donner que des indices ou des prsomptions qui doivent tre complts par laudit des diffrentes activits de la fonction informatique.

2. Dveloppement, mise en place, modification et intgrit de systme :


Laudit de cet aspect permet lauditeur de sassurer que les systmes sont dvelopps en limitant au minimum les risques derreurs (objectif de fiabilit des traitements) et quils ne peuvent tre modifis linsu des utilisateurs (objectif de fiabilit des traitements et de protection du patrimoine) Les contrles destins couvrir les risques lis aux modifications des programmes sont particulirement importants du fait quils affectent lefficacit dun bon nombre de contrles clefs dpendants. Lexistence de contrles efficaces se rapportant aux modifications des programmes reprsente un moyen privilgi pour sassurer que ces deniers restent fiables et complets. Si ce contrle nest pas satisfaisant, il ny a souvent quun autre moyen de savoir si les programmes qui ont t utiliss au cours de la priode sont correctement approuvs et tests, cest de les rpter partir dun chantillon reprsentatif.

3. Accs aux ressources logiques :


Lobjectif de laudit de cet aspect est de permettre lauditeur de porter une apprciation sur les procdures dautorisation daccs et de protection de lintgrit des donnes.

62

IFAC : Directive Internationale dAudit N1008 : Evaluation du risque et contrle interne : caractristiques et considrations sur linformatique .

http://www.procomptable.com/

77

Dans la pratique, lauditeur est confront de nombreux environnements o les procdures en ce domaine sont inadquates ou insuffisantes. Dans ces environnements, lauditeur doit apprcier, cas par cas, limpact de ces risques sur les applications. La nature des risques et lexistence ou non de contrles compensatoires guident lauditeur dans la conception, la priode et ltendue des tests sur les applications. Par exemple, pour une application imprimant des lettres chques, un contrle rigoureux des utilisateurs sur les squences et le montant des lettres chques est un contrle compensatoire ncessaire en cas dabsence de procdures daccs suffisamment rigoureuses vitant toute modification non contrle des fichiers et des programmes.

4. Scurit physique et procdures de sauvegarde et durgence :


Lexamen des procdures de contrle relatives la scurit physique et aux procdures de sauvegarde et durgence permet lauditeur dapprcier si la protection du patrimoine informatique, la scurit et la continuit des travaux sont correctement assures eu gard la spcificit de lentreprise.

5. Exploitation :
Lauditeur examine lexploitation pour apprcier la faon dont cette activit satisfait aux objectifs dautorisation, dexhaustivit et dexactitude.

Sous section 2 : Les tests sur les contrles dapplication


Les contrles dapplication garantissent lintgrit de linformation. Ils peuvent tre dfinis comme tant des contrles assurant que seulement les donnes compltes, exactes et valides sont saisies et mises jour dans le systme informatique, que le traitement a t correctement accompli, que les rsultats du traitement satisfont les attentes et que lintgrit de donnes est maintenue. Nous rappelons que les principales caractristiques des contrles dapplication sont les suivantes : Ils sexercent au niveau dun cycle ou dune transaction Ils visent directement et spcifiquement les objectifs de contrle (ils peuvent galement viser dautres objectifs daudit tel que la sparation des exercices). Ils peuvent tre manuels ou automatiss

Les contrles dapplication qui sont couverts par laudit informatique sont ceux portant sur les outputs des systmes et sur les procdures de contrles programms et les contrles manuels sy rattachant. Lassurance que les contrles programms sont correctement conus peut tre obtenue directement travers la rptition ou indirectement travers les rsultats des tests sur les contrles gnraux informatiques portant sur les procdures de dveloppement et de mise en place de nouveaux systmes. Ltendue des tests varie selon quil sagit de la premire anne daudit (ou lanne du changement) ou dune anne suivante sans changements significatifs.

1. La premire anne ou l'anne du changement :


La premire anne ou lanne du changement se dfinit comme suit : nouveau mandat, mandat rcurrent mais au cours duquel un changement s'est produit affectant le cycle de faon significative, dont par exemple : changements significatifs au niveau de l'activit ou des risques de lentreprise susceptibles d'avoir un impact sur la capacit des systmes traiter et assurer la fiabilit des transactions et des soldes, changement au niveau oprationnel ou au niveau des hommes, installation d'un nouveau systme ou logiciel, modifications significatives d'un logiciel existant, changements significatifs au niveau de la structure organisationnelle ou au niveau des politiques ou des procdures,

http://www.procomptable.com/

78

la premire anne pour laquelle le niveau de confiance accorde aux contrles est rvalu alors qu'il avait pralablement t estim comme "Aucun" ou comme "Moyen".

Dans ces cas, il sagit de slectionner et tester tous les contrles d'application cls qui permettent d'atteindre les objectifs de contrle. Cette slection doit tre effectue en liaison avec la slection des contrles de direction cls. La combinaison de ces deux types de contrles (pilotage et applications) constitue l'ensemble des contrles cls pour le cycle. Gnralement, lattention est focalise plus sur les contrles dapplication que sur les contrles de direction et ce, en raison du fait que les contrles dapplication fournissent une assurance plus importante quant la satisfaction des objectifs de contrle et que la ralisation de tests sur ces contrles constitue une base dappui pour les annes subsquentes.

2. Les annes suivantes sans changements significatifs :


Les contrles clefs identifis durant la premire anne demeurent valables. Toutefois, l'tendue des tests des contrles d'application cls peut tre rduite sur la base de : la connaissance et lexprience daudit accumules sur lentreprise audite, la capacit des contrles de pilotage dtecter une dfaillance au niveau des contrles gnraux informatiques ou au niveau des contrles d'application, ou des problmes existants au niveau des systmes comptables sous-jacents. slectionner et tester tous les contrles de pilotage cls qui permettent d'atteindre les objectifs de contrle Slectionner et tester les contrles d'application qui permettent d'atteindre les objectifs de contrle pour lesquels les seuls tests sur les contrles de pilotage ne fournissent pas une assurance suffisante (en tenant compte de la connaissance et lexprience daudit accumules).

Ainsi, dans ce cas, il y a lieu de : -

Lassurance que les contrles programms fonctionnent correctement et dune faon permanente tout au long de la priode audite peut tre obtenue indirectement travers les rsultats des tests sur les contrles gnraux informatiques portant sur les procdures de maintenance et ceux portant sur la scurit des systmes et sur la scurit de lexploitation. En effet, lauditeur aura toujours besoin de tester les contrles gnraux informatiques pour sassurer quils demeurent les mmes et pour sassurer quil nexiste pas de nouvelles faiblesses de nature rduire lefficacit et la fiabilit des contrles directs.

Sous section 3 : Exemple des rles dvolus laudit informatique dans un milieu dERP :
Dans un milieu dERP, laudit informatique couvre, gnralement, les volets suivants : Contrles de linfrastructure technique Scurit ERP Contrles dapplication
Securit ERP Contrles Application/ Business Process

Infrastructure Technique (OS, rseau)

http://www.procomptable.com/

79

A/ Contrle des infrastructures techniques des systmes d'information : Les faiblesses ventuelles de l'infrastructure technique de l'ERP peuvent remettre en cause l'environnement de contrle constitu au sein de l'application. Il est donc essentiel que ce domaine fasse l'objet d'une revue afin de vrifier que de tels risques sont matriss et limits. Les domaines spcifiques de cette revue comprennent notamment : Le systme d'exploitation afin de s'assurer que l'accs aux objets, commandes et utilitaires sont convenablement protgs ; Les scurits rseau afin de s'assurer que les accs l'ERP sont protgs ; Les procdures de sauvegarde et de reprise afin de s'assurer que les donnes essentielles peuvent tre rcupres en cas dincident.

B/ Scurit ERP : Lauditeur doit, notamment : valider l'existence et la mise en place d'une politique et de procdures adquates de scurit des donnes vrifier que la sparation des tches a t correctement dfinie dans chacun des modules de lERP vrifier que des procdures et des directives ont t dfinies afin d'assurer une sparation des tches efficace et une maintenance permanente des profils.

C/ Contrles dapplication : Lauditeur doit couvrir quatre risques lis l'ERP. Il doit documenter les flux des processus cls de l'entreprise et doit valuer la pertinence des contrles exercs sur : la saisie des donnes et les interfaces avec les systmes amont l'identification et la correction des erreurs les traitements et les tats de sortie les procdures concernant les donnes permanentes

Par ailleurs, pour la premire anne de mise en exploitation de lERP, lauditeur doit revoir les procdures et les contrles appliqus au cours du processus de conversion, afin de confirmer que tous les soldes et les donnes permanentes migrs des systmes existants vers lERP ont t correctement rapprochs des systmes sources et autoriss.

Conclusion :
Nous pouvons conclure que, dans un environnement de nouvelles technologies de linformation et de la communication, laudit informatique fait partie intgrante de laudit financier. Certains auteurs affirment que linformatique doit tre intgre la dmarche professionnelle de lauditeur et que dsormais, il ny a plus daudit financier sans audit informatique.63 Une dmarche de laudit informatique en support laudit financier est prsente dans le chapitre suivant.

63

Michel LEGER, Didier KING, Pierre COLL et Patrick DE CAMBOURG, Audit financier : Faire face aux risques me congrs de lAFAI ; Revue Audit et conseil informatique N54 ; Janvier Mars 1998. informatiques ; 15

http://www.procomptable.com/

80

Chapitre 2 : Prsentation de la Dmarche de lAudit Informatique En support lAudit Financier


Introduction :
Le prsent chapitre se propose dapporter une contribution la recherche dune mthodologie daudit informatique comme support laudit financier. Cette mthodologie est dvelopper et adapter chaque contexte technique rencontr. Elle peut tre aussi utilise dans une mission spciale daudit informatique avec, gnralement, un champ daction plus largi. Notons, tout dabord, quen raison de la complexit croissante des systmes, la majorit des cabinets internationaux ont dvelopp des quipes internes spcialises dans laudit informatique. Dans leurs travaux, ces derniers entreprennent leur audit en relle collaboration avec lquipe daudit financier mais dune faon indpendante de point de vue formalisme64. La dmarche prsente ci-aprs tient compte de ce fait.

Section 1 : La planification de la mission daudit informatique


Sous section 1 : Le lancement de la mission daudit informatique :
Le lancement de la mission daudit informatique sintgre dans celui de la mission principale daudit financier. Son rle de dpart se limite la collecte dinformations sur les systmes et lenvironnement informatique. Le lancement de la mission consiste, essentiellement, organiser une runion de mobilisation comprenant les membres clefs de lquipe afin daborder, principalement, les aspects suivants : Revoir les points soulevs lors de la runion de clture de la dernire intervention sur lentreprise, Evaluer la connaissance et lexprience daudit accumules sur lentreprise et la consolider avec les connaissances acquises par lintermdiaire des contacts rguliers avec la direction et des autres missions ventuelles menes pour lentreprise, Dterminer le processus de collecte dinformations le plus optimal pour mettre jour les informations sur le systme informatique de lentreprise. Ceci suppose au pralable une parfaite coordination avec lquipe daudit financier et avec les diffrents responsables concerns de lentreprise, Envisager la coordination avec lquipe daudit interne, Examiner les problmes de coordination en cas daudit sur plusieurs sites.

64

Cette sparation est, essentiellement, pour des raisons techniques et de suivi administratif du dossier.

http://www.procomptable.com/

81

Sous section 2 : Linformation sur les systmes et lenvironnement informatique


Cette phase se compose, essentiellement, de deux principales tapes savoir : Ltablissement de la cartographie des fonctions et systmes informatiques et identification des cycles Collecte dinformations sur les systmes et lenvironnement informatique

1. Ltablissement de la cartographie des fonctions et systmes informatiques et identification des cycles :


Lauditeur doit identifier les principaux cycles et tablir la cartographie des fonctions et systmes informatiques applicables aux sections daudit lies chacun de ces cycles. Ces travaux permettront de : dterminer la relation entre les tats financiers et les fonctions et systmes qui les gnrent dterminer les environnements et les applications informatiques aborder au cours de la revue gnrale des contrles gnraux informatiques dterminer quelles fonctions et quels systmes informatiques doivent tre revus pour chaque cycle.

Ces travaux sont, gnralement, mens dune faon conjointe entre lauditeur gnraliste et lauditeur spcialiste des systmes . La collecte de linformation se fait en discutant avec les responsables oprationnels, les responsables financiers et les responsables informatiques ainsi quen examinant la documentation correspondante existante. La cartographie doit permettre de rpondre aux questions suivantes : Quels sont les principaux cycles ? Quelles sont les sections daudit cls ? Quelles sont, parmi ces sections daudit, celles dont les donnes sont principalement issues de traitements informatiques ? Comment les sections daudit sont-elles relies avec les cycles ? Quelles sont les principales activits au sein de chacun des cycles ? Comment ces activits sont-elles inities ? Quels sont les documents comptables et autres documents significatifs relatifs ces cycles ? Quel est le processus comptable et le processus de reporting financier de linitiation des transactions significatives jusqu linclusion dans les tats financiers ? Quels sont les systmes sous-jacents de chacune des activits au sein des cycles ? Sur quels environnements informatiques les systmes fonctionnent-ils ? Quels sont les autres systmes prendre en compte dans la planification de laudit ?

Elle se prsente le plus souvent sous la forme dun diagramme ou, dans le cas de systmes moins complexes, sous la forme dun tableau. Toute information utile la planification devrait y tre porte, tels que les volumes, les montants et la frquence des transactions. Dans ce qui suit, nous prsentons un exemple simple de cartographie affrent au cycle revenu 65 :

65

Cartographie extraite de louvrage du cabinet international PricewaterhouseCoopers, The PwC audit , 1999.

http://www.procomptable.com/

82

Cycle Revenu :

Revenue cycle (Direct Sales)

Financial statements Tetra General Ledger (Unix)

Audit Areas

Sales (P&L)

Accrued income (B/S)

Sales tax/VAT (B/S)

Accounts receivable (B/S)

Cash (B/S)

Expenses write-offs (P&L)

CR

DR
Delivery and distribution Tetra SOP (Unix)

CR

CR DR
Invoicing

CR

DR

DR

CR

DR

Activities

Order processing Tetra SOP (Unix)

Cash receipting Tetra Sales Ledger (Unix)

Credits & adjustments Tetra Sales Ledger (Unix)

Tetra SOP (Unix)

Linked Cycles
Standing data maintenance Tetra customer & product files (Unix)

Inventory cycle - cost of goods sold

2. La collecte dinformations informatique :

sur

les

systmes

et

lenvironnement

Nous distinguons, essentiellement, les axes suivants66 :

2.1. Apprhender lorganisation de la fonction informatique :


Lauditeur doit documenter sa comprhension de lorganisation de la fonction informatique. Il doit rpondre aux questions suivantes : Quelle est lorganisation de la fonction informatique ? Les rles et les responsabilits au sein de la fonction informatique sont-ils clairement dfinis ? Des changements majeurs sont-ils intervenus au cours de lexercice ? Qui assume la responsabilit oprationnelle de la fonction informatique (Directeur Gnral, Directeur Financier, etc.) ? A qui est rattache la fonction informatique ? Y a-t-il un Comit de Pilotage Informatique ? Comment les priorits sont-elles dfinies ? Quels sont nos principaux interlocuteurs au sein de la fonction informatique ? Y a-t-il dautres dpartements qui assument des responsabilits en matire informatique ?

2.2. Apprhender les contrles de la direction sur la fonction informatique :


Lauditeur doit documenter sa comprhension des contrles effectus par la direction sur la fonction informatique. Il doit rpondre aux questions suivantes :
66

Quels sont les indicateurs cls de performance utiliss par le service informatique dans son reporting ? Ces indicateurs sont-ils revus par des membres appropris de la direction ? Les dveloppements informatiques sont-ils raliss sur la base dune mthodologie formalise ?

NB : La collecte dinformations particulires en cas dexternalisation figure au niveau de la partie I, chapitre 2, section 1, Sous section 1, paragraphe 1.4.

http://www.procomptable.com/

83

La direction a-t-elle dfini une procdure formelle pour piloter les interventions courantes de maintenance ? Une politique en matire de scurit informatique a-t-elle t dfinie et communique au sein de la socit ? La socit a-t-elle valu les impacts qui pourraient rsulter dune indisponibilit du systme informatique ? Un plan de secours a-t-il t dfini ?

2.3. Evaluer dans quelle mesure lactivit repose sur les systmes informatiques :
Lauditeur doit documenter sa comprhension de limportance du support informatique dans lactivit. Il doit rpondre aux questions suivantes : Quel rle le management attribue-t-il au dpartement informatique dans la ralisation des objectifs de la socit ? Quelle est lvolution probable du dpartement informatique dans lorganisation ? (i.e. quelle est la stratgie informatique) ? Comment le management value-t-il la qualit de sa fonction informatique par rapport celle dorganisations similaires ? Quelles sont les fonctions cls de la socit qui ont une forte prdominance informatique ? Comment les utilisateurs peroivent-ils le service informatique ? Comment la direction informatique mesure-t-elle cette perception ? Les informations issues des systmes rpondent-elles aux besoins de la direction ? Dans quelle mesure la socit utilise-t-elle des technologies nouvelles ou mergentes, telles que le commerce lectronique ?

2.4. Identifier les caractristiques principales des systmes et environnements :


Lauditeur doit identifier et documenter les caractristiques principales des systmes et environnements. Il doit rpondre aux questions suivantes : Quels sont les systmes que lentreprise considre comme les plus importants pour lactivit de la socit ? Les systmes sont-ils essentiellement des applicatifs maisons ou des progiciels ? Dans quelle mesure les progiciels ont-ils t adapts ? Par qui sont effectues les modifications sur ces applicatifs (internes ou externes) ? Quels sont les principaux sites de traitement informatique ? Quels sont les principaux environnements hardware ? Comment les environnements informatiques sont-ils interconnects ? Quelles sont les principales connexions avec des rseaux externes (Exemple : EDI, Internet) ?

2.5. Identifier les changements significatifs en termes de systmes et denvironnement informatiques :


Lauditeur doit identifier tout changement significatif dans les systmes et lenvironnement informatiques. Il sagit de rpondre, essentiellement, aux questions suivantes : Quels nouveaux systmes ont t mis en place ? Comment se sont droules ces oprations ? Quel est le volume dinterventions courantes de maintenance sur les systmes existants ? Y a-t-il eu des interventions majeures ? Y a-t-il eu des migrations vers de nouveaux environnements ? Y a-t-il eu des mises jour majeures du logiciel systme ? Y a-t-il eu des changements majeurs au niveau du rseau ? Quelles sont les principales actions informatiques planifies, long terme et pour les douze prochains mois ?

http://www.procomptable.com/

84

2.6. Comprendre les problmes identifis au niveau des systmes :


Lauditeur doit documenter les problmes identifis au niveau des systmes de lentreprise audite. Il sagit dobserver, essentiellement, les points suivants : Y a-t-il des problmes significatifs ou des dficiences fonctionnelles au niveau des systmes ? Quelles sont, le cas chant, les mesures palliatives ? Y a-t-il eu des incidents dexploitation majeurs ou des problmes dintgrit des donnes ?

Sous section 3 : Lorganisation et la planification de la mission daudit informatique


A lissue des diffrentes tapes de la planification, la stratgie daudit par cycle est fixe. Si le besoin ventuel de recours aux services de laudit informatique est exprim, le responsable de la mission daudit informatique tablira un plan stratgique et un programme de travail qui feront lobjet dune approbation par le responsable de la mission daudit financier pour tenir lieu de lettre de mission interne. Le plan stratgique indique, essentiellement, les lments suivants : Un rsum des principaux lments recueillis sur le systme dinformation se rapportant la structure gnrale de lorganisation informatique, la configuration du systme informatique, la nature et ltendue du traitement informatis de linformation, la complexit des systmes et des traitements, etc. Un plan de rotation entre les units oprationnelles et un plan de rotation entre les composants : Dans le cas o le systme de traitement des donnes serait dcentralis, chaque unit a sa propre organisation de la fonction informatique, ses programmes et ses applications. Lauditeur peut avoir besoin de visiter chaque emplacement potentiellement significatif pour laudit. Mme si la politique de l'entreprise dicte l'usage de procdures identiques chaque emplacement, lauditeur aura besoin de considrer si les procdures sont rellement appliques. Lorganisation gnrale de la mission : Ceci consiste, essentiellement, : Prparer un calendrier dintervention qui doit contenir au minimum les dates concernant : a) le dmarrage et la finalisation de laudit et les tapes cls de la mission, b) la prparation par les responsables de lentreprise des informations et documents importants ncessaires laudit et, c) les runions priodiques avec lquipe daudit et avec les responsables de lentreprise. Ce calendrier dtaill doit tre discut et accept par le responsable de la mission daudit financier et par les responsables de lentreprise. Prvoir des runions davancement rgulires avec lquipe daudit informatique afin de sassurer du bon droulement de la mission et des runions davancement rgulires avec lquipe daudit financier et, ventuellement, avec les diffrents responsables de lentreprise. Prparer la rpartition des tches avec un niveau de dtail suffisant en prenant les dispositions ncessaires pour permettre une ralisation efficace des travaux daudit informatique et une parfaite coordination avec lquipe daudit et les diffrents responsables de lentreprise. Prparer le budget global et par intervenant. Se mettre daccord avec lquipe daudit financier des procdures suivre en cas de modifications apportes au plan daudit informatique.

Lvaluation des risques lis lenvironnement informatique : Il sagit de dgager les risques lis la fonction informatique pouvant affecter la stratgie. Exemples : des modifications ont t ou seront apportes aux systmes informatiques durant l'exercice ; De nouveaux systmes ou des amliorations majeures ont t ou seront mis en place pendant l'exercice.

http://www.procomptable.com/

85

La dmarche suivre en cas dexternalisation : Au cas o lentreprise externalise un ou plusieurs aspects de son systme informatique, lauditeur devrait considrer les contrles gnraux informatiques et les contrles dapplication relatifs la fonction du prestataire de services, que ces contrles soient effectus par lentreprise audite ou par son prestataire de services. En effet, Si le prestataire de services procde des contrles gnraux informatiques et des contrles dapplications pertinents pour lvaluation des risques, il convient de dterminer si l'auditeur du prestataire a formalis, dans son rapport, ses conclusions sur les tests raliss sur ces contrles et si ce rapport est exploitable ; Si c'est lentreprise qui effectue des contrles gnraux informatiques et des contrles dapplications lis la fonction du prestataire de services, lauditeur doit tester ces contrles ; Si le rapport de l'auditeur du prestataire de services n'est pas disponible et si les contrles effectus par lentreprise ne sont pas suffisants, lauditeur doit s'interroger sur la ncessit de tester les contrles existants chez le prestataire de services.

Sous section 4 : Le dossier permanent informatique


Le dossier permanent informatique comprend les informations permanentes se rapportant au systme dinformation de lentreprise. Il peut tre structur comme suit :

1. Renseignements gnraux :
Prsentation gnrale de lentreprise : (Raison sociale, adresse, activit, adresse du service informatique si diffrente, personnes contacter, etc.) Renseignements internes (Associ responsable, quipe, clture comptable, code mission, etc.) Organigramme de la socit Place de linformatique dans lorganisation gnrale de lentreprise : Rattachement de l'informatique dans l'organigramme gnral, rles et limites de la responsabilit du dpartement ou du service informatique Evolution du budget informatique sur les cinq dernires annes (en valeur et en pourcentage du chiffre daffaires) Principaux axes du plan informatique.

2. La fonction informatique :

Structure du service ou de la direction informatique Schma directeur informatique les comptes rendus du comit directeur informatique Configuration gnrale Configuration de chaque centre de traitement : matriel, etc.

3. Le (ou les) centres de traitement :

4. Les applications :
Pour chaque application en place, il y a lieu dindiquer : La version La description : fonction, interface, etc. Le fournisseur La date dinstallation de la premire version La date de la dernire mise jour Le cot de la maintenance Etc.

http://www.procomptable.com/

86

5. Historique des interventions :


Objets de lintervention Budgets Intervenants

6. Cartographie et description des procdures 7. Autres informations

Section 2 : Lexamen des contrles gnraux informatiques


En se basant sur les informations documentes dans la cartographie durant la phase de planification, lauditeur slectionne les environnements et les systmes informatiques significatifs. Il procde, ensuite, la documentation de ces environnements et systmes afin de dgager les contrles gnraux informatiques clefs. Ces derniers font lobjet de tests appropris afin dapporter la preuve quils fonctionnent rellement et dune faon permanente. Ces travaux se font, gnralement, durant la phase intrimaire. La documentation des contrles peut tre ralise en utilisant les questionnaires standards en la matire. Elle peut tre, aussi, sous forme narrative et/ou sous forme de diagrammes. Par ailleurs, avant la slection des contrles clefs, lauditeur doit assurer sa comprhension des contrles documents travers, gnralement, la ralisation de tests de cheminement ou la confirmation auprs des responsables de lentreprise. Les contrles gnraux informatiques clefs sont des contrles qui : fournissent l'assurance lauditeur de sappuyer sur les contrles automatiss slectionns comme des contrles clefs dun cycle ; peuvent tre tests le plus efficacement possible.

En cas dabsence de changements, les contrles gnraux informatiques clefs demeurent les mmes dune anne lautre. Pour les annes suivantes, lauditeur aura toujours besoin de tester ces contrles, mais l'tendue des tests peut tre rduite sur la base de l'valuation antrieure du risque et de l'implication des dirigeants dans le domaine de la maintenance, de la scurit des systmes et de la scurit de lexploitation. Le mix des contrles dpend de plusieurs facteurs : La largeur de couverture qu'un contrle fournit Ltendue de l'assurance fournie par le contrle sur un contrle automatis particulier La comptence requise pour excuter les tests Le temps exig pour la ralisation du test La complexit du test L'ampleur du risque et l'assurance requise.

Dans ce qui suit, nous examinons, avec plus de dtails, les diffrentes catgories de contrles gnraux informatiques et les divers indicateurs qui peuvent tre considrs par lauditeur67.

Sous section 1 : Les contrles portant sur la scurit des systmes


L'efficacit de certains contrles automatiss et l'intgrit des donnes peuvent tre affectes par des contrles insuffisants au niveau de la scurit des systmes. Par exemple, l'utilisation de mots de passe et de menus pour assurer la sparation des fonctions peut tre rendue inefficace si la scurit globale de l'environnement informatique s'avre peu fiable.

Cette section est une synthses des diffrents ouvrages, articles, formations, ateliers, sminaires, etc. traitant du sujet et figurant au niveau de la bibliographie. Nous citons, essentiellement, The PricewaterhouseCoopers Audit , Cabinet international PwC, 1999.

67

http://www.procomptable.com/

87

Ainsi, lauditeur doit documenter, valuer, slectionner et tester les contrles clefs affrents l'administration d'ensemble et aux procdures dtailles de gestion de la scurit de l'information.

1. Documenter, valuer et tester l'administration d'ensemble de la scurit de l'information :


Il sagit deffectuer une description gnrale de l'administration d'ensemble de la scurit de l'information. En outre, et pour lvaluation des contrles mis en place, il y a lieu de considrer, titre indicatif, les lments suivants :

1.1. Administration d'ensemble de la scurit :


La direction de lentreprise doit tablir des procdures de contrle d'accs en fonction du niveau de risque rsultant de l'accs aux programmes et aux donnes. Ainsi, lauditeur doit considrer, titre dexemple, les indicateurs suivants : Quelle est l'approche de la direction pour valuer les risques lis la confidentialit, l'intgrit et la disponibilit de l'environnement informatique ? La direction a-t-elle clairement identifi les informations et les actifs informatiques qu'il convient de protger ? La direction a-t-elle pris en compte les obligations rglementaires et lgales ? La direction a-t-elle pris en compte le risque d'intrusion en provenance de l'extrieur y compris via des connections des rseaux externes ? La direction a-t-elle pris en compte le risque de fraude informatique, les ventuels actes de sabotage ou de vandalisme sur les installations informatiques ? Quelle est l'attitude de la direction l'gard de la scurit ? La politique de scurit est-elle approprie ? Les descriptions de postes dfinissent-elles les rles et les responsabilits en termes de scurit informatique ? Quelle est la procdure de slection des candidats des postes impliquant un accs des systmes informatiques grant des informations sensibles ? Les utilisateurs sont-ils soumis une clause de confidentialit ?

1.2. Dfinition des rles, des responsabilits et des procdures :


La direction de lentreprise doit dfinir les rles et les responsabilits en termes de scurit informatique et s'assurer que les responsables mettent en place des procdures adquates. Ainsi, lauditeur doit considrer, par exemple, les indicateurs suivants : Les rles et les responsabilits sont-ils clairement dfinis et compris et ce en matire de configuration des systmes, de gestion de la scurit, de proprit des donnes et de scurit physique des installations informatiques ? Si la taille de l'organisation est importante, comment les mesures en matire de scurit informatique sont-elles coordonnes et communiques ? Les paramtres de configuration systme sont-ils clairement documents ? Les procdures d'administration de la scurit (par exemple pour la cration de nouveaux utilisateurs, la modification ou la suppression d'utilisateurs existants) sont-elles dfinies et communiques ?

1.3. Sensibilisation et formation des utilisateurs la scurit :


La direction doit s'assurer que les utilisateurs sont suffisamment sensibiliss et forms dans le domaine de la scurit informatique, et qu'ils comprennent les enjeux et les actions mener. Ainsi, lauditeur doit considrer, titre dexemple, les indicateurs suivants : La direction a-t-elle mis en place une procdure pour s'assurer que les utilisateurs ont suivi une formation de sensibilisation aux enjeux de la scurit informatique ? Les formations utilisateurs sont-elles adaptes ?

http://www.procomptable.com/

88

1.4. Moyens informatiques la disposition des utilisateurs :


Les moyens informatiques mis la disposition des utilisateurs finaux ainsi que leur utilisation doivent tre contrls de manire assurer la compatibilit des systmes et garantir l'intgrit des donnes. Ainsi, lauditeur doit considrer, par exemple, les indicateurs suivants : Comment identifie-t-on et contrle-t-on l'utilisation des ordinateurs et des autres moyens informatiques laisss la disposition des utilisateurs ? Comment est contrle l'acquisition des matriels et des logiciels informatiques destins aux utilisateurs ? Les utilisateurs bnficient-ils d'une formation adquate et d'un support technique suffisant ? Quels contrles ont t mis en place par la direction pour prvenir le risque de virus informatiques (y compris celui provenant de lusage dInternet) ? Quels contrles ont t mis en place par la direction pour prvenir les risques de non-respect de la rglementation des droits sur les licences de progiciels ?

1.5. Contrle des incidents en matire de scurit et du respect des procdures :


La direction doit contrler les incidents lis la scurit ainsi que le respect des procdures de scurit. Lauditeur doit considrer, par exemple, les indicateurs suivants : Comment sont rpertoris les incidents ou les vnements survenant dans le domaine de la scurit ? Comment la direction en est-elle informe ? Ces vnements et ces incidents font-ils l'objet d'un suivi ? Combien d'incidents ou d'vnements lis la scurit se sont-ils produits au cours de la priode audite ? Quelles sont les vrifications rgulires effectues sur les paramtres de configuration du systme, afin de s'assurer de leur conformit ? Quel type de contrle (ou procdure d'audit) garantit l'efficacit du processus d'administration de la scurit ? Des problmes de non-respect des procdures de la scurit se sont-ils produits ?

2. Documenter, valuer et tester les procdures dtailles de gestion de la scurit de l'information :


Aprs avoir effectuer une description gnrale des procdures dtailles de gestion de la scurit de l'information, lauditeur doit documenter et valuer les contrles mis en place et ce en considrant, titre indicatif, les lments suivants :

2.1. Administration de la scurit logique des accs utilisateurs au systme d'exploitation :


L'accs des utilisateurs au systme d'exploitation et aux programmes doit tre contrl. Lauditeur doit considrer, par exemple, les indicateurs suivants : Les utilisateurs et les administrateurs ont-ils un identifiant spcifique (ID) ? Quelle procdure permet de contrler la cration d'un nouvel identifiant ? Existe-t-il des procdures assurant une mise jour rapide des autorisations d'accs en cas de changement, d'affectation ou de dpart du personnel ? Quelles mesures permettent de prvenir les accs non autoriss suite l'utilisation d'identifiants par dfaut (par exemple, identifiants crs automatiquement lors de la mise en place du systme d'exploitation) ? Quelles mesures permettent d'identifier les identifiants inactifs et de minimiser le risque d'accs non autoriss lis l'utilisation de ces identifiants ? Quels sont les contrles priodiques effectus afin de garantir l'adquation du profil d'accs des utilisateurs avec leurs fonctions ? La saisie des mots de passe est-elle obligatoire pour l'ensemble des identifiants ?

http://www.procomptable.com/

89

Quelle est la longueur minimale des mots de passe ? Et quelles mesures permettent de prvenir l'utilisation de mots de passe faciles deviner ? Quelle est la priodicit de renouvellement des mots de passe ? Quel est le niveau de protection du fichier contenant les identifiants et les mots de passe ? Quelles sont les mesures permettant d'empcher l'accs aux commandes des systmes par les utilisateurs ? La structure de dtermination des groupes d'identifiants est-elle approprie et l'affectation d'un utilisateur un groupe est-elle pertinente ? Quel est le processus de connexion ? Quels sont les messages d'avertissement lancs au moment de la connexion, afin de prvenir tout accs non autoris dans l'environnement ? Quelles sont les procdures permettant d'viter l'usurpation des mots de passe par essais successifs ou la suite d'une erreur ? Y a-t-il des procdures d'identification de terminal permettant d'authentifier les postes sur lesquels sont effectues les connexions ? Le nombre de connexions simultanes par utilisateur est-il limit un ? Existe-t-il des restrictions d'accs des utilisateurs en termes de nombre de connexions par jour, ou de jours par semaine, ou d'horaires ? Y a-t-il une procdure de dconnexion automatique ou de mise en veille des crans inactifs aprs une priode de non-utilisation ?

2.2. Administration de la scurit logique des donnes :


L'accs aux donnes doit tre contrl de manire adquate. Lauditeur doit considrer, par exemple, les indicateurs suivants : Comment les fichiers systmes/rpertoires sont-ils protgs contre des modifications non autorises ? Les droits d'accs accords par dfaut sur les nouveaux fichiers sont-ils pertinents ? Les droits en cration/modification sur les rpertoires sont-ils justifis ? Comment les droits d'accs des utilisateurs sur les fichiers sont-ils contrls ?

2.3. Administration de la scurit au niveau applicatif :


Les moyens informatiques et les procdures en place doivent permettre de restreindre les accs aux diffrentes fonctions applicatives (par exemple : approbation des rglements fournisseurs) afin d'assurer une sparation des tches adquates et d'empcher les accs non autoriss. Dans ce cadre, lauditeur doit considrer, par exemple, les indicateurs suivants : Comment les accs utilisateurs sont-ils limits au sein des applications ? La gestion des mots de passe au sein des applications est-elle efficace ? Quelle est la qualit des "pistes d'audit" issues des systmes ? Comment le paramtrage de nouveaux utilisateurs est-il contrl ? Existe-t-il des procdures assurant une mise jour rapide des autorisations d'accs en cas de changement d'affectation ou de dpart de personnel ? Quels contrles rguliers permettent de garantir l'adquation des profils d'accs des employs avec leurs fonctions ?

2.4. Administration des systmes et des profils privilgis :


L'utilisation de ressources sensibles, telles que les mots de passe systme, les utilitaires puissants et les outils de gestion du systme, doit tre contrle de faon approprie. A cet effet, lauditeur doit considrer, par exemple, les indicateurs suivants :

http://www.procomptable.com/

90

Le nombre de personnes ayant des profils d'administrateurs systme est-il appropri ? Comment l'activit des administrateurs systme est-elle contrle ? Quelle est la frquence de renouvellement des mots de passe pour les administrateurs systme ? Le nombre de profils privilgis est-il appropri ? Comment l'usage des profils privilgis est-il contrl ?

2.5. Scurit physique :


L'accs physique aux installations informatiques et aux donnes doit tre contrl de manire approprie. A cet effet, lauditeur doit, titre indicatif, considrer les indicateurs suivants : Comment l'accs au site/btiment comportant les installations informatiques est-il restreint ? Comment l'accs la salle informatique est-il contrl ? Comment les supports informatiques (cassettes, cartouches, etc.) sont-ils protgs ? Comment les documents confidentiels sont-ils classs et protgs ? Comment la documentation relative aux systmes est-elle protge ? Comment la mise au rebut des quipements informatiques et des supports de donnes est-elle scurise (destruction, reformatage des supports physiques) ?

2.6. Contrle des accs rseaux informatiques / accs distants :


Les accs distants aux systmes informatiques, via des connexions par rseau informatique ou tlphonique, doivent tre restreints de faon approprie. A ce niveau, lauditeur doit considrer, par exemple, les indicateurs suivants : Comment les connexions avec des sites distants sont-elles authentifies ? Si le rseau est tendu, est-il divis entre plusieurs domaines distincts ? Si oui, quels sont les contrles permettant de s'assurer que les utilisateurs n'accdent qu'aux domaines relevant de leurs fonctions ? Comment les transferts de donnes par les rseaux sont-ils protgs ? Le nombre d'utilisateurs ayant un accs distant est-il appropri ? Comment ces utilisateurs sont-ils authentifis ? La disponibilit des connexions distantes au rseau est-elle limite certaines priodes de la journe /semaine ? Quels sont les contrles mis en place sur la tlmaintenance ?

2.7. Contrle des connexions avec des rseaux externes (par exemple : Internet, EDI, etc.) :
Les connexions avec des rseaux externes doivent tre convenablement protges. Des contrles doivent tre mis en place afin de prvenir le risque d'une faille dans la scurit du systme. A titre indicatif, les indicateurs suivants devraient tre considrs par lauditeur : Des conditions de scurit adquates ont-elles t dfinies dans les contrats signs avec des tiers concernant les transferts de donnes via des rseaux externes ? Quel est le niveau de scurit de la messagerie lectronique ? Comment le point d'entre entre l'environnement informatique de la socit et le rseau Internet est-il contrl ? Comment les connexions externes utilises pour des liaisons EDI sont-elles protges ? La socit utilise-t-elle lencryptage ou toute autre procdure de scurit quivalente pour assurer lintgrit des transactions ralises travers Internet et pour protger les transmissions de lauthentification de lutilisateur et des informations de vrification ? Des tests priodiques de pntration sont-ils raliss ? (Ces tests utilisent les mmes mthodes de pntration que celles des pirates informatiques).

http://www.procomptable.com/

91

Sous section 2 : Les contrles portant sur la scurit de lexploitation


Lexamen des contrles portant sur la scurit de lexploitation ncessite la documentation, lvaluation et lexamen de ladministration densemble de lexploitation des systmes dune part, et des procdures dtailles de lexploitation dautre part.

1. Documenter, valuer et tester l'administration d'ensemble de l'exploitation des systmes :


Lauditeur doit effectuer une description gnrale de l'administration d'ensemble de l'exploitation des systmes informatiques relative tous les environnements. Il doit documenter et valuer les contrles mis en place par lentreprise. Pour cela, il doit considrer, titre indicatif, les lments suivants :

1.1. Dfinition des rles, des responsabilits et des procdures :


La direction doit dfinir les rles et les responsabilits des personnes charges de l'exploitation et s'assurer que les procdures sont clairement dfinies et comprises. Lauditeur doit sassurer que les rles, les responsabilits et les procdures relatifs aux domaines suivants sont clairement dfinis et compris : Les traitements Les traitements des sauvegardes et des restaurations La maintenance des logiciels systmes

Par ailleurs, lauditeur doit s'assurer que le personnel impliqu dans l'exploitation informatique a reu une formation adquate et dispose d'une documentation approprie.

1.2. Procdures de continuit d'exploitation :


Des plans de continuit d'exploitation couvrant tous les aspects de la fonction informatique doivent tre en place. Pour cela, lauditeur doit considrer par exemple les indicateurs suivants : La direction a-t-elle valu le risque qui pourrait rsulter des dfaillances des quipements ou d'un sinistre ? Existe-t-il un plan de secours servant limiter les pertes tangibles et intangibles associes une interruption ou catastrophe majeure et planifier le retour aux oprations normales ? Le plan de secours fait-il l'objet d'une procdure d'actualisation et de test ?

1.3. Gestion du rseau :


Les rseaux hardware et software doivent tre conus de faon adquate afin de rpondre aux besoins de disponibilit, de performance et d'adaptabilit. Ainsi, lauditeur doit considrer, par exemple, les indicateurs suivants : Quelle est la documentation rseau disponible ? Quelle est la procdure d'approbation, de contrle et de test des modifications apportes au rseau ? Quelles sont les procdures en place en matire de gestion de la capacit et de suivi du niveau de performance ?

1.4. Suivi des performances oprationnelles et du respect des procdures :


La direction doit assurer le suivi des performances et contrler le respect des procdures d'exploitation. Ainsi lauditeur doit considrer, par exemple, les indicateurs suivants : Sur la base de quelles informations la direction contrle-t-elle les oprations d'exploitation et le bon droulement des traitements batch ? Selon quelle frquence la direction dispose-t-elle de ces informations ? Y a-t-il eu des problmes dans la performance du systme ou dans le bon droulement des traitements batch ? Quel type de contrle (ou procdure d'audit) garantit l'efficacit du processus d'exploitation ? Des problmes de non-respect des procdures d'exploitation se sont-ils produits ?

http://www.procomptable.com/

92

2. Documenter, valuer et tester les procdures dtailles de l'exploitation :


Lauditeur doit effectuer une description gnrale des procdures dtailles de l'exploitation. Ensuite, il procdera la documentation et lvaluation des contrles mis en place. A titre indicatif, les lments suivants peuvent tre tudis :

2.1. Planification, prparation et excution des traitements batch :


Les traitements batch qui doivent tre excuts des priodes dfinies (quotidiennement, hebdomadairement, mensuellement, annuellement) doivent tre documents, planifis et mis jour rgulirement. A titre indicatif, les indicateurs suivants peuvent tre considrs : Les oprateurs d'exploitation disposent-ils de consignes d'exploitation documentes ? Quelles procdures garantissent la qualit de la planification et de l'ordonnancement des traitements batch ? Comment s'assure-t-on que les donnes ncessaires l'excution des traitements batch sont effectivement disponibles (par exemple : disponibilit au dbut de traitement de donnes provenant de diffrents sites) ? Existe-t-il des comptes-rendus de traitement permettant d'assurer aux oprateurs le suivi de l'excution et le contrle de l'excution ? Comment s'assure-t-on que l'activit des oprateurs est conforme leur dfinition de fonction ?

2.2. Sauvegarde :
Des sauvegardes jour des programmes et des donnes doivent tre disponibles pour assurer la continuit de l'exploitation en cas de besoin. Lauditeur doit examiner, titre indicatif, les points suivants : Les procdures de sauvegarde des donnes et des programmes sont-elles satisfaisantes ? Les supports de sauvegarde sont-ils rpertoris et conservs dans un lieu sr ? Quelles sont les procdures garantissant le bon fonctionnement des sauvegardes et la reprise des donnes ?

2.3. Gestion des incidents :


Des procdures doivent tre dfinies afin de garantir que les incidents d'exploitation (par exemple : crash de disques, dfaillances des programmes) sont identifis et rsolus de manire adquate. A titre indicatif, lauditeur doit observer les indicateurs suivants : La protection physique des quipements est-elle correctement assure (par exemple : contre le feu, la fume, l'eau, les poussires, les lments chimiques, les radiations lectromagntiques) ? Les quipements informatiques bnficient-ils d'une maintenance adquate ? Quels sont les contrles permettant d'viter la survenance d'incidents oprationnels lis au matriel ? Comment l'alimentation lectrique des quipements informatiques est-elle scurise ? Quelles sont les procdures permettant d'assurer l'adquation des niveaux de ressources et des performances avec les besoins de l'entreprise ? Comment les incidents sont-ils rpertoris ? Quelles sont les procdures permettant de rsoudre les incidents oprationnels ?

2.4. Mise jour des logiciels systmes :


La slection de nouveaux logiciels systmes et la mise jour des logiciels existants (par exemple : systme d'exploitation et tout autre logiciel systme dans les domaines de la scurit) ne doivent pas causer d'incidents de traitements ou dstabiliser les mcanismes de contrle des systmes. Lauditeur doit, par consquent, considrer les indicateurs suivants : Comment le processus de slection / mise jour des versions des logiciels systmes est-il contrl ? Qui est habilit effectuer la maintenance des logiciels systmes ? Quelles procdures garantissent que seules les mises jour appropries sont effectues sur les logiciels maintenus en interne ?

http://www.procomptable.com/

93

Comment les modifications apportes aux logiciels de base maintenus en interne sont-elles testes avant leur mise en exploitation ? Comment s'assure-t-on que les nouveaux logiciels ou les mises jour ont t tests de manire approprie avant transfert dans l'environnement d'exploitation ? Des procdures sont-elles prvues pour permettre le retour l'ancien environnement en cas de problme survenu lors de la mise en place d'une nouvelle version d'un logiciel ?

Sous section 3 : Les contrles portant sur les procdures de maintenance des applications informatiques
Les procdures de maintenance en place doivent permettre, essentiellement, d'assurer le contrle que les programmes modifis oprent comme prvu et quils ne peuvent tre manipuls pour des raisons non autorises durant le processus de maintenance. En terme d'audit, ces procdures sont importantes pour assurer la prennit des contrles automatiss. Ainsi, lauditeur doit documenter et valuer les activits de maintenance des systmes et slectionner et tester les contrles cls correspondants en considrant, titre indicatif, les lments suivants :

1. La gestion de la maintenance :
La direction doit tablir une procdure ds lors que des modifications de systme sont envisages et s'assurer du respect de cette procdure. Dans ce cadre, lauditeur peut examiner les indicateurs suivants : La direction a-t-elle mis en place une procdure afin de contrler les modifications apportes aux systmes informatiques ? La direction est-elle implique dans la revue et l'approbation des changements relatifs aux systmes informatiques ? La direction effectue-t-elle une revue rgulire de ces changements ? Lorsque la maintenance de la nouvelle application est assure directement par le fournisseur, quelles prcautions sont prises dans le cas o celui-ci ne serait plus en mesure de fournir ce service ? Les qualits fonctionnelles et oprationnelles des systmes sont-elles mesures et suivies par la direction informatique ? Le management oprationnel dispose-t-il de rapports et de statistiques pour apprcier les qualits oprationnelles des systmes ? Le management oprationnel est-il directement impliqu dans le test des modifications apportes au systme ? La direction dispose-t-elle de rapports sur les rsultats de ces tests ?

2. La dfinition, lautorisation et la gestion des demandes de modifications


Les demandes de modifications de programmes informatiques doivent tre correctement examines et traites. Ainsi, lauditeur doit examiner, par exemple, les indicateurs suivants : Les quipes de dveloppement sont-elles en liaison troite avec les utilisateurs ? Comment les demandes de modifications sont-elles transmises aux quipes de dveloppement ? Quelles procdures permettent d'assurer que les quipes de dveloppement ont bien compris les besoins des utilisateurs avant d'entamer toute modification des systmes ? Existe-t-il une procdure adquate permettant de rpertorier et de suivre les demandes de modifications ? Qui approuve et hirarchise les demandes de modifications ? Dans quelle mesure l'ordre de ralisation des modifications est-il conforme l'ordre des priorits qui leur a t affect ? Quelles sont les procdures permettant, d'une part d'assurer que les modifications approuves sont mises en uvre dans les dlais impartis et d'autre part de suivre l'avancement des projets ? Le nombre de programmeurs est-il suffisant pour assurer la maintenance des systmes ?

http://www.procomptable.com/

94

Les programmeurs ont-ils les comptences ncessaires pour assurer la maintenance des systmes ? Les programmeurs ont-ils une comprhension suffisante des enjeux lis aux systmes d'information de l'entreprise ? Depuis combien de temps les programmeurs assurent-ils la maintenance des systmes ?

3. Les tests unitaires, les tests d'intgration et les tests utilisateurs :


Les modifications apportes aux programmes doivent tre testes pour s'assurer qu'elles rpondent aux attentes des utilisateurs et qu'elles n'ont pas d'incidences ngatives sur les traitements existants. A titre indicatif, les indicateurs suivants devraient tre considrs par lauditeur : La sparation des environnements informatiques de dveloppement, de test et d'exploitation estelle respecte ? Quelle est la nature et l'tendue des tests raliss par l'quipe de dveloppement pralablement aux tests d'intgration dans le systme et aux tests utilisateurs ? Quelle est la nature des tests d'intgration et des tests utilisateurs raliss sur les changements applicatifs mineurs et sur les changements applicatifs majeurs ? Les utilisateurs sont-ils en nombre suffisant pour assurer un contrle adquat sur les systmes ? Quelles procdures permettent de s'assurer qu'aucune modification non autorise ne peut tre effectue entre la phase des tests et la mise en production des programmes ? Quels contrles permettent de s'assurer que la version de code source utilise est la plus rcente et que les modifications faites par plusieurs programmeurs sont coordonnes ?

4. Lautorisation de mise en production :


Seuls les changements dment autoriss et tests doivent tre transfrs dans l'environnement d'exploitation. A titre dexemple, lauditeur doit examiner les indicateurs suivants : Qui ralise les migrations courantes (pour les modifications routinires) ? Dans quelle mesure les dveloppeurs peuvent-ils avoir accs l'environnement d'exploitation ? Une procdure d'autorisation pour les corrections urgentes de programmes ou de donnes estelle dfinie ? Garde-t-on la trace des accs l'environnement d'exploitation par les programmeurs dans le cadre de corrections urgentes ? Comment s'assure-t-on que les mises jour sont ralises sur les bonnes bibliothques de programmes et avec la dernire version des programmes dvelopps ? Lorsque les applications sont installes sur plusieurs sites, quelles procdures permettent d'assurer la correcte mise jour des programmes sur l'ensemble des sites concerns ?

5. La formation et la mise jour de la documentation technique et de la documentation destine aux utilisateurs :


La documentation technique doit tre mise jour en fonction des modifications effectues. Quand les modifications affectent les procdures utilisateurs, la documentation qui leur est destine doit galement tre mise jour et, si ncessaire, une formation devait leur tre assure ainsi quau personnel informatique. Lauditeur doit considrer, par exemple, les indicateurs suivants : La documentation utilisateur et le manuel de procdures sont-ils facilement accessibles et exploitables ? Couvrent-ils tous les aspects du systme ? Existe-t-il des procdures de mise jour de la documentation utilisateur lorsque des modifications sont effectues ? La documentation technique relative au systme est-elle facilement accessible et exploitable ? Quelle est l'tendue du domaine couvert par la documentation technique ? Existe-t-il des procdures de mise jour de la documentation technique lorsque des modifications sont effectues ? Les utilisateurs ont-ils reu une formation approprie pour exploiter les systmes ?

http://www.procomptable.com/

95

6. La gestion des bases de donnes (si applicable) :


Les bases de donnes alimentant les systmes doivent tre gres de faon ce que l'intgrit des donnes soit assure. Lauditeur doit examiner, par exemple, quelles sont les procdures mises en place pour assurer l'intgrit des donnes ? Il y a lieu de rappeler que pour les auditeurs, les contrles portant sur les procdures de maintenance des applications informatiques sont des contrles importants. En effet, en l'absence de contrles appropris sur les changements des programmes, il peut tre difficile, pour lauditeur, de sassurer par dautres moyens que les contrles programms et les fonctions de traitement informatises fonctionnent dune faon efficace et permanente tout au long de la priode examine. Par ailleurs, un facteur important considrer lors de lvaluation des risques et des contrles est que, dans la majorit des cas associs aux nouvelles technologies, le personnel de lentreprise n'a aucune participation directe dans le dveloppement ou la maintenance du logiciel (ou uniquement une participation limite) de source extrieure. En effet, souvent, il est stipul dans les contrats dachat que la maintenance est fournie par le vendeur du logiciel. Dans cette situation, lentreprise ne peut pas apporter des changements au logiciel (laccs au code source est non fourni). En consquence, le risque que des changements non autoriss soient apports aux programmes peut tre jug faible. Toutefois, lauditeur doit obtenir lassurance que les changements raliss par le vendeur sont tests par lentreprise dune faon approprie. Enfin, il est noter que lauditeur est souvent confront des environnements qui ne satisfont pas, ou qui ne satisfont que partiellement, les lments tudis ci-dessus. Dans ce cas, lauditeur peut faire recours des tests alternatifs destins dgager les ventuelles modifications apportes. Nous citons, titre dexemple, le rapprochement, par des outils informatiques daide laudit, la version utilise et une copie de contrle et lidentification des modifications qui feront lobjet dune investigation par lquipe daudit.

Sous section 4 : Les contrles portant sur les procdures de dveloppement et de modification des applications
La mise en place de contrles portant sur les procdures de dveloppement et de modification des applications permet la direction de sassurer que les nouveaux systmes ou les amliorations importantes introduites sont convenablement conus, tests et mis en exploitation et que des contrles appropris ont t prvus. Lauditeur, travers lexamen de ces contrles, vise sassurer que les systmes, une fois mis en exploitation, incluent des contrles appropris et fonctionnent comme prvu. Il doit effectuer, au pralable, une description gnrale des procdures de dveloppement et de mise en exploitation. Par ailleurs, il doit documenter et valuer les contrles dans les domaines suivants :

1. Le lancement du projet :
La direction doit s'assurer que seuls les projets adquats sont initis et que la structure de ces projets est approprie. A titre dexemple, lauditeur peut considrer les indicateurs suivants : Quelle procdure garantit la planification de l'ensemble des tapes ncessaires au projet (par exemple : utilisation d'une mthodologie de dveloppement) ? Quelles procdures assurent le contrle de l'avancement du projet (par exemple : structure de projet, procdures de reporting) ? A-t-on dfini des objectifs oprationnels clairs pour ce projet ? Quelles tudes de faisabilit ont t engages pralablement au dmarrage du projet ? Le projet a-t-il t plac sous la responsabilit d'un membre de l'quipe de Direction ? Des objectifs en termes de rsultats atteindre ont-ils t assigns ? Quelles procdures garantissent que les chefs de projet disposent du niveau de comptence ncessaire ? Les utilisateurs sont-ils suffisamment impliqus dans la gestion du projet ? Existe-t-il un ple indpendant d'assurance qualit sur le projet ? Quelles procdures ont ts mises en place pour matriser les alas du projet (drapages dans les dates de livraison,...) ?

http://www.procomptable.com/

96

2. Les spcifications du projet :


Les spcifications doivent inclure de faon suffisamment dtaille et pertinente la description des fonctionnalits, les performances, les scurits et les dispositifs de contrle interne. Lauditeur doit considrer par exemple les indicateurs suivants : Comment s'assure-t-on que les spcifications des besoins et des contrles applicatifs sont correctement dfinies ? Comment les diffrentes demandes, y compris les demandes conflictuelles, sont-elles hirarchises ? La direction, les utilisateurs et les quipes informatiques sont-ils suffisamment impliqus dans la phase de spcification ? Comment les modifications apportes aux spcifications en cours de projet sont elles valides et contrles ?

3. La conception de projet en interne/ mise en place de progiciel externe :


Les dveloppements internes et les logiciels externes doivent rpondre aux besoins de l'entreprise. Lauditeur doit considrer, par exemple, les indicateurs suivants : Pour les dveloppements internes, les membres de direction concerns, les utilisateurs et les informaticiens ont-ils t impliqus dans la dfinition des spcifications dtailles ou dans le prototypage du systme ? Pour les progiciels externes, quel a t le processus de slection du produit ? Le produit est-il largement rpandu et reconnu sur le march ? Quel est le processus de contrle et de validation des modifications introduites en phase de conception dtaille ? Quelles procdures garantissent l'adquation de l'application la configuration des matriels et au systme d'exploitation actuels ou envisags ? Quelles procdures garantissent la prise en compte des contrles applicatifs dfinis lors de la phase de conception (par exemple : les rapports d'exception)? Pour les progiciels, le paramtrage est-il contrl de manire approprie ? La Direction effectue-t-elle des revues d'avancement du projet ?

4. Les tests unitaires, les tests d'intgration et les tests utilisateurs :


Les tests doivent permettre de vrifier que le systme qui a t livr est conforme aux spcifications fonctionnelles et aux exigences de contrle interne. Lauditeur doit observer, par exemple, les indicateurs suivants : Pour les dveloppements internes, des tests appropris ont-ils t mens par les quipes de dveloppement et les utilisateurs de faon dtecter les erreurs de programmation ? Pour les progiciels externes, comment s'assure-t-on que les options d'installation retenues et les paramtres dfinis rpondent aux besoins de l'activit et garantissent un niveau de contrle suffisant ? Existe-t-il des procdures de tests par les quipes informatiques et par les utilisateurs permettant d'assurer le bon fonctionnement du nouveau systme ? Comment s'assure-t-on que les modifications apportes aprs la priode de tests sont ellesmmes soumises aux procdures de tests ? Comment s'assure-t-on qu'aucun changement non autoris n'est effectu entre la fin de la phase de tests et la mise en exploitation ?

5. La migration des donnes :


La migration des donnes doit garantir l'exactitude et l'exhaustivit du transfert des donnes issues de l'ancien systme dans la nouvelle application et empcher les changements non autoriss. Ainsi, et titre dexemple, les indicateurs suivants doivent tre considrs :

http://www.procomptable.com/

97

Quelles sont les procdures de contrle sur la migration des donnes relatives aux transactions, des donnes permanentes et des nouvelles donnes qui n'existaient pas dans l'ancienne application ? Existe-t-il des procdures pour s'assurer que les donnes sont correctement vrifies par les utilisateurs et les quipes informatiques ?

6. La mise en exploitation :
La dcision de mise en exploitation doit tre prise par la direction sur la base dinformations appropries. Lauditeur doit examiner, par exemple, les points suivants : Qui dcide de la mise en exploitation ? Sur la base de quelles informations la dcision de mise en exploitation est-elle prise ? Un planning de dploiement a-t-il t dfini ? Existe-t-il des procdures permettant de s'assurer que seuls les programmes dment tests, revus et approuvs sont transfrs en environnement d'exploitation ? Lorsque les applications sont installes sur plusieurs sites, quelles procdures permettent d'assurer la correcte mise en place des nouveaux systmes sur les diffrents sites ? Une revue post mise en exploitation est-elle prvue ?

7. La documentation et la formation :
Les utilisateurs doivent possder les comptences ncessaires une bonne utilisation du nouveau systme. La documentation doit permettre de sous-tendre les oprations quotidiennes, la rduction des problmes et la maintenance du systme. Ainsi, les lments suivants devraient tre examins : Les utilisateurs sont-ils suffisamment et correctement forms ? La documentation utilisateur est-elle adapte ? La documentation utilisateur est-elle disponible ds la mise en exploitation de l'application ? La documentation technique permet-elle de fournir un support adquat aux quipes charges de la maintenance de l'application ?

http://www.procomptable.com/

98

Section 3 : Lexamen des contrles dapplication

Cartographie

La cartographie est tablie durant la phase de planification. Elle dcrit la relation entre les activits de chaque cycle et les comptes correspondants.

La vue densemble prsente les activits de chaque cycle, les transactions clefs ainsi que les bases de donnes.

Documentation

Vue densemble

Description dtaille

La description dtaille prsente les transactions et les contrles au niveau de chaque activit.

Aprs la documentation des systmes, un ensemble de contrles clefs peut tre slectionn. Ces contrles, convenablement documents, devraient tre tests.

Slection des contrles clefs

Tester les contrles clefs

Laudit informatique nest pas cens examiner tous les contrles dapplication. Son champ daction est dtermin en commun accord avec lquipe daudit financier. Toutefois, dans la majorit des cas, lquipe daudit informatique sera charge de laudit des contrles dapplications programms et des suivis manuels rattachs. Lexamen des contrles dapplication se divise en trois tapes dtailles dans le schma qui suit : La documentation des transactions et des process Lidentification des contrles clefs dapplication Les tests portant sur les contrles dapplication clefs

Sous section 1 : La documentation des transactions et des process


La documentation des transactions et des process constitue une tape pralable pour lexamen des contrles dapplication (et aussi des contrles de direction). Elle doit permettre aux lecteurs de comprendre de manire claire et sans ambigut le processus revu et aux auditeurs d'identifier les contrles cls ainsi que les zones de risques. Pour raliser cette documentation, et en plus des interviews avec les diffrents responsables de lentreprise, lauditeur peut examiner les dossiers de correspondance, les statistiques clefs, lorganigramme, les rapports daudit interne, les rapports de consultant, les manuels de procdures et les anciens rapports daudit externes y compris les anciens commentaires de la direction.

http://www.procomptable.com/

99

La documentation doit indiquer : Les entres, leur forme (papier, cran, support magntique...), leur origine (utilisateur ou autre application en amont), les modes d'autorisation, les contrles de validit faits par les utilisateurs et les contrles automatiss ; Les fichiers : il s'agit des fichiers qui sont utiliss ou mis jour par l'application. En gnral, il nest pas tenu compte des fichiers intermdiaires mais seulement des fichiers principaux. Pour chacun, il y a lieu de connatre son contenu, son utilisation et les contrles qui assurent son intgrit. Les traitements : il s'agit de recenser les principales fonctions et leur frquence et d'identifier les procdures de contrles informatises et manuels Les sorties, leur forme (tats, fichiers magntiques...), leur contenu, les contrles exercs notamment sur le chemin de rvision.

La nature et ltendue de la documentation propre chaque cas dpendent de nombreux facteurs parmi lesquels : Le degr de fiabilit que lauditeur pense accorder aux contrles et aux fonctions de traitement informatises Le risque propre chaque composant et son importance relative Lexistence ou non de documentations prpares par lentreprise sur les systmes La complexit des systmes : sils sont particulirement compliqus, une documentation dtaille, comprenant galement des organigrammes, sera de circonstance Le degr dutilisation et de sophistication du systme informatique La nature de lactivit : dans certains industries spcialises, les contrles utiliss sont souvent spcifiques et les questionnaires gnraux peuvent tre mal adapts. Les organigrammes ou diagrammes de flux (Flowchart) Des descriptions sous forme narrative Des questionnaires spcialement adapts

Par ailleurs, la documentation peut revtir de nombreuses formes dont les plus communes sont :

Aujourdhui, la technique de documentation la plus utilise est le flowcharting du fait que les auditeurs la trouvent de plus en plus efficace de part sa simplicit. Plusieurs logiciels informatiques se sont dvelopps aidant non seulement llaboration de flowcharts mais aussi lidentification des contrles cls potentiels. Le flowcharting est une technique de description de procdures qui se base essentiellement sur des formes gomtriques gnralement standardises (accompagns le plus souvent par des notes crites). Il existe plusieurs techniques de flowcharting, dont les principales sont : 1. La technique horizontale : Dans ce cas, le flux des transactions est prsent de gauche droite sur chaque page. 2. La technique horizontale par organisation : Le flux des informations est, dans ce cas, prsent de gauche droite par sous units organisationnelles. Pour chaque sous unit organisationnelle, les procdures ou les oprations sy rattachant sont prsentes verticalement. Le flowchart serait prsent du ct haut gauche au ct bas droit de la page. 3. La technique de prsentation verticale : Dans ce cas, le flux des transactions est prsent de haut en bas selon une simple ligne, prsentant les oprations squentielles affectant chaque transaction avec les documents et les fichiers ncessaires chaque opration. Cest cette dernire technique qui semble la plus utilise par les auditeurs. En outre, et lors de la prparation des flowcharts, il conviendrait de suivre les rgles suivantes : Prsenter le flux principal des activits et des contrles sur une ligne verticale au milieu du diagramme Du ct gauche du flowchart, il convient dajouter les principales entres (input) : documents, fichiers informatiques, etc.

http://www.procomptable.com/

100

Du ct droit du flowchart, il convient dajouter les principales sorties (output) : documents, fichiers informatiques, etc. La squence des activits devrait courir du haut en bas Chacun des flowcharts devrait tre prsent sur une seule page. Si la prsentation excde la page, alors il serait pertinent de regrouper les activits en processus plus levs, pour pouvoir les dtailler par la suite. Vue densemble : Elle permet davoir une vue globale de chaque cycle montrant les activits principales, les transactions les plus importantes, les bases de donnes utilises et mises jour et les principales entres et sorties des diffrentes activits. La vue densemble devrait contenir les lments suivants : Tous les documents saisis dans le systme Les principales tapes de traitement et les principales activits Les documents et les fichiers informatiques utiliss par plus que dun process Les comptes mouvements suite lenregistrement des oprations Eventuellement, la taille et le volume des transactions ainsi que les soldes des comptes correspondants (Cette information est utile pour lvaluation de limpact des faiblesses de contrle interne souleves) Un sommaire des rapports produits par le systme informatique. Ces rapports sont de deux types : les rapports de routine68 et les rapports dexception69.

En outre, le flowchart doit pouvoir tre lu plusieurs niveaux :

Vue dtaille : Une fois le flowchart dcrivant la vue densemble a t achev, la prochaine tape consisterait fournir de plus amples dtails et ce, en prparant des flowcharts pour chacune des activits principales.

68 69

Les rapports de routine sont affrents aux transactions normales Les rapports dexception (Audit log) concernent les transactions ou les oprations ne correspondant pas une opration ou une situation courante (exemple : stock ngatif, marge inhabituelle etc.)

http://www.procomptable.com/

101

Exemple de flowcharts70 du cycle revenus/clients dune entreprise htelire : Vue densemble : Vue dtaille (prvisions de rservation) :

Rservations Profil utilisateur Tours1Oprateurs

Saisie des prvisions de rservations


Ngociations commerciales
x 17

Black & cash list


Contrats d'allotement des Tours Oprateurs

T.O.

Contrle automatique de la validit des rservations CA c 18 code Cration arrangement


x 4

x 3

Contrats d'allotement des Rservations Tours Oprateurs.


2

Codes arrangements
5

Validation des prvisions des rservations


Rservations T.O.
9

Rservation Rservation 6 Liste des arrives prvues


8

Prvisions de rservation
x 7

x 19

Codes arrangements Rservation

Edition de la liste des prvisions des arrives x 20 Prestations rendues


x 11

Clients Liste des arrives 10 prvus Chambres


12

Bon voucher
14

revenus front office Rapport d'exception (annulation et modification)


13

Tarifs extras
15

Dbit : Clients en cours Revenus front office Comptabilisation


x

Crdit : TVA collecte Crdit : Revenus

Dbit : Clients Crdit : clients en cours Recettes journalires des points de ventes Rglement
x

Crdit : clients Dbit : Liquidits & quivalents de liquidits

Avis de crdit bancaire

70

Ces flowcharts ont t raliss laide dun software daide la documentation propre au cabinet international PricewaterhouseCoopers.

http://www.procomptable.com/

102

La signification de chaque symbole utilis est : Explications Activits : (Les activits peuvent tre manuelles, automatises ou mixtes). Contrle Fichier lectronique Documents Papier Rapport de contrle Comptes comptables Elments de donnes N.B : Les chiffres lintrieur des symboles font rfrence des annotations explicatives et des informations utiles au lecteur (volume des oprations, leurs montants, etc.). Gnralement, aprs la prparation ou la mise jour de la documentation des systmes, lauditeur doit confirmer sa comprhension des procdures travers la ralisation de tests de cheminement. Cependant, il peut tre plus efficace de raliser ces tests et de prparer la documentation correspondante en mme temps. Les tests de cheminement doivent porter aussi bien sur les procdures manuelles que sur les procdures automatises. Dans la pratique, concernant les procdures automatises, les problmes suivants peuvent tre rencontrs : Les transactions sont parfois groupes en batchs avant leur traitement par lordinateur. Habituellement, un rsum des procdures appliques au groupe est rapport sans que des vidences du traitement de chaque transaction individuelle ne soient documentes. Les procdures programmes peuvent consister en un ou plusieurs programmes complexes et englober une multitude de fichiers informatiques. La rptition des procdures automatises : Cette mthode nest possible que dans les systmes informatiques simples o toutes les informations ncessaires pour la rptition du traitement sont disponibles. La revue de la documentation des programmes : Si la documentation est suffisante et correspond la version de lapplication utilise, lauditeur peut la revoir afin de confirmer sa comprhension des procdures automatises La revue limite du code source : Ceci peut tre applique si la documentation existante ne dcrit pas convenablement les procdures automatises, si elle est incomplte ou non jour et si elle ne peut tre utilise dans la confirmation de la comprhension des procdures. Symboles

Parmi les types de tests de cheminement concernant les procdures automatises, nous citons :

Sous section 2 : Lidentification des contrles dapplication clefs


Un contrle cl est un contrle qui permet de couvrir un ou plusieurs objectifs de contrles et qui peut en mme temps tre test dune faon efficiente. Pour chaque cycle donn, les contrles cls sont toutes combinaisons de contrles de direction et de contrles dapplication. Pour des raisons defficacit, leur identification se fait en collaboration avec lquipe daudit financier. Lidentification des contrles cls se fait gnralement en utilisant linformation obtenue durant la documentation de chaque cycle ou processus. En effet, durant cette phase plusieurs contrles

http://www.procomptable.com/

103

auraient t dcouverts. Le travail le plus difficile serait de procder lvaluation de chaque contrle pour tre en mesure didentifier uniquement les contrles cls. Ceci fait appel au jugement de lauditeur, qui examine : Quels sont les contrles qui seuls ou combins permettent de couvrir les risques inhrents au composant et donc, de fonder la conviction de lauditeur au sujet des assertions de base ; Limpact de lenvironnement dans lequel sexerce le contrle interne ; Limpact des contrles gnraux informatiques ; Lavantage retir de lutilisation du contrle comme source de conviction.

Exemples de contrles dapplication automatiss clefs : Parmi les contrles dapplication automatiss se rapportant au cycle revenu et pouvant tre jugs clefs, nous citons titre indicatif : Le systme refuse au moment de la validation ou pendant lexcution des traitements, les donnes ayant des numros redondants. Lapplication permet ldition de rapports dexception, qui font lobjet dun suivi manuel appropri, tels que : Etat des avoirs et des annulations de revenus Etat des bons de livraison annuls Etat des modifications apportes aux fichiers des donnes permanentes (prix, remise, plafond de crdit, rgime fiscal, etc.) Etat des marchandises livres et non factures Etat des factures dites dont les marchandises correspondantes nont pas encore t livres Etat des marchandises retournes nayant pas encore fait lobjet dun avoir.

Contrles par rapprochement avec dautres donnes stockes sur fichiers : Exemple : lenregistrement comptable dune facture nest possible qu la condition pralable de lexistence dun bon de livraison correspondant dans le fichier des livraisons ; Lannulation des bons de livraison est protge par un mot de passe et limit un seul responsable. Contrle par encodage/dcodage permettant de protger la ralit du transfert des donnes par tlcommunication

Sous section 3 : Les tests portant sur les contrles dapplication clefs
La mission daudit informatique est gnralement charge de la ralisation des tests portant sur les contrles clefs dapplication automatiss et les suivis manuels correspondants. Les tests ont pour objet de sassurer que les contrles fonctionnent rellement et dune faon permanente. Plusieurs techniques sont plus spcifiques linformatique. Nous citons, titre dexemple : Les techniques des jeux dessai : Lauditeur saisie des donnes dans le systme et vrifie le fonctionnement des procdures de contrle. Ce test suppose laccord pralable de lentreprise et, pour tre efficace, doit tre rpt priodiquement tout au long de lexercice comptable. Examen posteriori des listes danomalies produites par le systme : La mise en uvre de ce type de tests permet de sassurer que les contrles programms fonctionnent comme dcrits dans la documentation et sont priodiquement analyss. La fiabilit de cet examen dpend largement de lapprciation des contrles gnraux informatiques.

http://www.procomptable.com/

104

Examen des programmes sources o sont cods les contrles : La mise en uvre de ce type de test rencontre plusieurs difficults dont par exemple la ncessit pour lauditeur davoir une expertise trs approfondie des techniques de programmation.

Signalons ce niveau que lexamen des contrles dapplication automatiss exige, gnralement, de la part de lauditeur lutilisation des techniques daudit assistes par ordinateur (TAAO) non seulement pour des besoins defficience mais aussi pour des besoins defficacit. Si une faiblesse a t releve lors de lexamen des contrles dapplication, les tapes suivantes devraient tre observes : Dterminer sil existe une autre combinaison de contrles (de direction et dapplication) qui constitue des contrles compensatoires Dterminer sil y a lieu de tester ces nouveaux contrles Dterminer si les faiblesses de contrle devraient tre communiques la direction de lentreprise

Tout objectif de contrle non observ et touchant un cycle significatif aura un impact potentiel sur lexistence derreurs significatives au niveau des tats financiers. En outre, lauditeur doit vrifier que le logiciel ou le module comptable (en cas dERP) : Permet lattribution de mots de passe chaque utilisateur les limitant certains travaux ; Effectue certains contrles tels que, par exemple, lexistence des numros de comptes saisis, lgalit des mouvements dbit et crdit, la vraisemblance des dates saisies ; Autorise la validation des critures seulement en labsence danomalies ; Laisse la trace des annulations et des suppressions des critures ; Interdit la suppression dun compte mouvement sur lexercice (mme sold) ; Ne permet pas la modification dun numro de compte, Nautorise aucune cration de comptes ayant des numros identiques ; Lors du traitement de clture, dite les tats financiers et les tats spcifiques (balance de clture, etc.), archive les critures cltures, sauvegarde les fichiers, remet des comptes de produits et charges zro et inscrit le rsultat dans le compte appropri ; Aprs clture, interdit la passation dcritures sur lexercice cltur ou la rouverture dun exercice clos.

Section 4 : La phase de finalisation


Cette phase reprsente lanalyse des rsultats des tests sur les contrles dapplication et des tests sur les contrles gnraux informatiques clefs. Si des faiblesses ont t notes, lauditeur doit considrer : Les types d'erreurs qui pourraient se produire dues chacune des faiblesses Si lerreur pourrait avoir un effet significatif sur la fiabilit des tats financiers Si la faiblesse est en rapport avec les contrles gnraux informatiques, sil existe des contrles dapplication compensatoires

Par ailleurs, sil est tablit que les contrles et les fonctions de traitement informatises sont inefficaces un moment donn, il est probable quun certain nombre de transactions seraient affectes. En outre, concernant les contrles clefs manuels (y compris ceux associs aux contrles dapplication automatiss), lauditeur ne doit pas sattendre ce quils soient toujours efficaces. Lauditeur doit valuer les dviations dtectes au cours des tests de conformit et dterminer si le taux effectif de dviation et infrieur au taux de dviation admissible dtermin durant la phase de planification. Suite lanalyse des rsultats, lauditeur doit considrer si les procdures daudit planifies donneront une assurance suffisante pour dterminer si la faiblesse dgage pourrait rsulter, ou a rsult, en une erreur significative dans les tats financiers. Dans certains cas, il peut juger ncessaire de concevoir une procdure daudit spcifique. Si par suite de ce processus, lauditeur dtermine que les objectifs de contrle demeurent assurs, il doit considrer dinformer lentreprise de la faiblesse concerne.

http://www.procomptable.com/

105

Dans ce qui suit, nous prsentons des exemples de faiblesses pouvant tre releves ainsi que les risques correspondants : 1/ Organisation : Faiblesses Absence de sparation des tches entre les dpartements des tudes informatiques et de l'exploitation. Absence de responsable de la scurit informatique (physique, logique, plan de secours) Risques Accs direct des dveloppeurs l'environnement de production et modification des donnes avec des outils de dveloppement Stratgie de scurit de l'entreprise non adapte aux besoins de la socit et entranant des failles importantes dans le dispositif de scurit

2/ Dveloppement et maintenance des systmes : Faiblesses Risques Absence de mthodologie de conception ou Prise en compte incorrecte des besoins des d'acquisition de systmes utilisateurs, lenteur des dveloppements, qualit insuffisante de la documentation rendant difficile la prennit des systmes Absence de procdures de demande de Des changements de programmes non autoriss changement peuvent causer des erreurs au niveau des tats financiers Absence de mthodologie de tests Tests insuffisants entranant des anomalies en production. Test dans l'environnement de production Des donnes de test peuvent tre prises en compte dans les tats financiers 3/ Exploitation : Faiblesses Absence de revue des travaux d'exploitation Risques Anomalies d'exploitation non dtectes et donc non corriges et pouvant porter atteinte l'intgrit des donnes de l'entreprise Absence de Plan de Continuit d'Exploitation Arrt des activits critiques de l'entreprise en cas de sinistre informatique important Des procdures de sauvegarde et de Risque de pertes de donnes et incapacit de restauration inadquates restaurer les systmes et/ou leurs donnes. Le cot de restaurer les donnes peut tre lev. 4/ La scurit physique et logique : Faiblesses Scurit insuffisante : Absence de contrles logiques et physiques sur les accs (Exemple : absence de Firewall contrlant laccs des tierces personnes via Internet) Absence de revue rgulire des utilisateurs et de leurs habilitations Documentation inadquate Risques Des mises jour non autorises des bases de donnes, une mauvaise utilisation ou une destruction des donnes, la perte de la confidentialit, etc. Intrusion de personnes trangres (surtout dans le cas dEDI, dE-commerce, E-business, etc.) profils Utilisation de profils "dormants" pour entreprendre des oprations frauduleuses (saisie de donnes, diffusion d'informations confidentielles, etc.) Dpendance sur une personne clef. Les changements du systme peuvent tre difficiles, chers ou impossibles.

5/ Interfaces : Faiblesses Risques Scurit absente ou insuffisante des interfaces Altration des donnes Vrification insuffisante des donnes reues par Les donnes financires peuvent tre perdues ou rapport aux donnes envoyes (exemple : entre altres lors du transfert. le site Web et le back-office)

http://www.procomptable.com/

106

6/ Sparation des tches : Faiblesses Le personnel informatique peut avoir accs des transactions utilisateurs Des utilisateurs peuvent avoir accs des fonctions leves d'administration du systme Les utilisateurs et le personnel informatique ont des tches incompatibles avec leurs fonctions.

Risques Les utilisateurs et le personnel de support informatique peuvent crer des fournisseurs et des clients, crer des bons de commande, recevoir des biens, entrer des donnes en comptabilit gnrale, effectuer des paiements, etc. (risque de fraude, de divulgation d'informations confidentielles, etc.) De telles possibilits affectent la crdibilit des donnes financires. Des droits tendus ou inappropris peuvent tre Certains profils peuvent tre utiliss pour valider donns des personnes non autorises des transactions non autorises. Un manque de standard dans la dnomination Certains profils peuvent permettre d'effectuer la des profils quasi-intgralit des fonctions, sans ncessairement respecter la sparation des tches.

7/ Contrles dapplication : Faiblesses Risques Les personnes charges de la validation Les employs ayant les autorisations pour peuvent avoir accs la maintenance des maintenir les tables peuvent outrepasser les tables. limites d'approbation. Insuffisance des contrles programms lors de Erreurs sur les montants saisis, enregistrement la saisie de donnes dans une mauvaise priode, imputation incorrecte Absence de procdures automatiques de Enregistrement de facture non relle, double rconciliation entre une facture fournisseur et un enregistrement de facture bon de commande Le systme est configur pour n'afficher qu'un Les factures peuvent tre payes plusieurs fois si message d'alerte quand un paiement est saisi le contrle n'est pas bloquant. deux fois dans le systme. Absence de procdure de revue du listing des Enregistrement d'oprations de rglements non rglements autorises Les factures, chques et journaux peuvent tre Les critures sont saisies sur les mauvaises entres dans le systme pour toutes les priodes comptables gnrant des problmes de priodes ouvertes. cut-off. Ces faiblesses et leurs impacts sur la stratgie daudit font lobjet dun compte rendu lattention de lquipe daudit financier. En outre, un rapport de contrle interne peut aussi tre adress lattention de la Direction Gnrale.

Sous section 1 : Le compte rendu lattention de lquipe daudit


Aprs lachvement de ses travaux, l'auditeur informatique doit laborer un compte rendu lattention de lquipe daudit financier. Ce compte rendu doit indiquer clairement :

1. Les objectifs et les limites de l'intervention :


Le compte rendu rappelle les objectifs et les limites de la mission daudit informatique engage dans le cadre de laudit financier ainsi que les conditions dexcution.

2. Les travaux effectus :


Il sagit de dcrire les tapes, ltendue (systme dinformation, applications, etc.), les cycles et les comptes comptables couverts par laudit informatique. Il y a lieu de rappeler que les cycles et les comptes comptables auditer sont dtermins lors de la phase de la collecte dinformations sur les systmes et lenvironnement informatique en commun accord avec lquipe daudit financier. En outre, lauditeur doit indiquer, ventuellement, les limitations de ltendue de ses travaux imposes par lentreprise audite.

http://www.procomptable.com/

107

3. Les principaux points et les conclusions :


Il sagit de dcrire les points susceptibles de modifier la stratgie d'audit, les faiblesses de contrle, le niveau de risque, et les points reporter la Direction de lentreprise. Il convient de signaler que lobtention des commentaires de la direction sur les points dgags peut tre utile lquipe de laudit financier. Par ailleurs, sur la base des travaux entrepris, lauditeur doit valuer les assertions sous-jacentes chaque cycle et chaque compte comptable. Lauditeur doit aussi indiquer, ce niveau, les cas relevs de non-respect par lentreprise des dispositions informatiques prvues par la rglementation comptable, juridique et fiscale. Ceci est dautant plus important en cas dune mission de commissariat aux comptes o lobligation de rvlation des faits dlictueux est entire.

4. L'impact sur laudit :


Sur la base des faiblesses releves et des risques induits, lauditeur informatique recommande, lquipe daudit financier, les tests de dtails ncessaires entreprendre, lors de laudit final des comptes, pour valider les assertions non couvertes.

Sous section 2 : Le rapport sur les faiblesses de contrle interne


Lauditeur informatique peut prsenter la Direction Gnrale de lentreprise audite un rapport de contrle interne indiquant les insuffisances des procdures et des contrles releves au cours de laudit. Ce rapport peut, aussi, indiquer les grandes lignes des moyens mettre en uvre avec lordre de priorit selon lequel chaque lment devrait tre pris en considration et ce, pour ramener le risque un niveau acceptable compte tenu des contraintes spcifiques lentreprise. La structure du rapport de contrle interne est critique pour une communication effective des rsultats de laudit. A titre indicatif, le rapport doit inclure les lments suivants : Ltendue des travaux daudit Les domaines ou les comptes examins Une description sommaire de la mthodologie suivie Lopinion sur les systmes objets de la revue Un sommaire des faits constats La prsentation dtaille des faits constats Une prsentation des recommandations, des actions mener et lordre de priorit correspondant chacune des recommandations et actions

Par ailleurs, lauditeur informatique doit prciser que les situations dcrites dans son rapport sont celles observes dans le cadre des travaux daudit financier et, par consquent, les commentaires ne comportent pas ncessairement une description de toutes les situations qui mriteraient une amlioration et qui auraient t mises en vidence par une tude plus spcifique et dtaille.

Sous section 3 : Le dossier de synthse


Le dossier de synthse affrent lintervention de laudit informatique dans le cadre de laudit financier peut contenir, essentiellement, les lments suivants : La synthse de fin de mission Les rapports et les comptes rendus mis Le plan stratgique et le programme de travail Les procs verbaux des runions internes de lquipe daudit informatique Les procs verbaux des runions avec lquipe daudit financier

http://www.procomptable.com/

108

Les procs verbaux des runions avec les diffrents responsables de lentreprise audite Lquipe intervenante, le budget, les temps consomms La cartographie La documentation des systmes

Conclusion :
Lvolution croissante des technologies de linformation et de la communication largit de plus en plus le champ et les domaines dintervention de laudit informatique en support laudit financier. Par ailleurs, la dmarche prsente, tout au long de ce chapitre, peut tre applique dans le cadre dune mission daudit informatique indpendante non rattache une mission daudit financier ou dans le cadre dune mission daudit interne informatique. Dans ces cas, le champ daction est gnralement plus largi et la responsabilit et l'autorit de la mission doivent tre dfinies de faon approprie dans une lettre de mission ou une charte d'audit. Aussi, est-il ncessaire de rappeler que lauditeur informatique est tenu de respecter les rgles dthique dindpendance, dintgrit, dobjectivit, de comptence professionnelle, de confidentialit, de professionnalisme et de respect des normes techniques et professionnelles. L'auditeur informatique doit tre indpendant de l'entit audite en attitude et en apparence. Il doit aussi tre suffisamment indpendant du domaine audit pour permettre une ralisation objective de l'audit.

http://www.procomptable.com/

109

Chapitre 3 : Les Principales Evolutions Prvisibles des Pratiques en la Matire en Tunisie


Introduction
Au niveau des chapitres prcdents, nous avons identifi les principaux impacts des nouvelles technologies de linformation et de la communication sur le systme comptable et les contrles internes de lentreprise ainsi que sur laudit financier. Nous avons montr la ncessit de faire impliquer davantage laudit informatique dans le processus daudit financier. Aussi, nous avons pass en revue la rglementation comptable, juridique et fiscale aussi bien en Tunisie qu ltranger et les ractions des organismes professionnels destines rglementer et contrler certains aspects des systmes informatiss. A travers ces tudes, nous avons not certains domaines dvolutions ncessaires en Tunisie que nous allons dtailler dans ce chapitre. Nous devons, toutefois, prciser que notre analyse sera focalise uniquement sur les aspects se rattachant la mission daudit financier. Nous couvrirons : Lvolution du cadre juridique et technique Lvolution de lapproche et des procdures daudit La mise niveau de la formation des auditeurs

Section 1 : Lvolution du cadre juridique et technique


En raison de la nature dynamique des technologies de linformation et de la communication, les cadres juridique et technique devraient tre en tat de mise niveau continue. En Tunisie, il y a un effort certain de rglementation de ces nouvelles technologies. Toutefois, il reste encore beaucoup faire pour adapter le cadre juridique toute nouvelle technologie. Cest une imprative obligation pour que le droit des affaires rponde aux besoins du commerce. Linformatique, cest la mort du papier, et se trouve en conflit avec les traditions juridiques rigoureuses71. Ainsi, certaines dispositions comptables, juridiques et fiscales devraient tre actualises ou prvues. Nous citons titre dexemple : Comptable : Faut-il abroger lobligation de la tenue dun livre journal et dun livre dinventaire cot et paraph malgr que le procd de la cote et du paraphe napporte pas de garantie relle contre la falsification et ne sadapte pas la progression des technologies de linformation ? Juridique : Faut-il prvoir une rglementation plus spcifique de la fraude informatique ? Fiscale : Ladministration fiscale tunisienne doit-elle autoriser, comme cest le cas en France, la dmatrialisation des factures et leur transmission par voie tlmatique ?

Par ailleurs, tant donn que les garanties de rgularit de la comptabilit pourront sappuyer sur le contrle interne et des moyens informatiques appropris72, faut-il alors prvoir des dispositions lgales prventives sur ces domaines ?
71

Michel LESOURD, Communication informatique : administration / entreprise , Revue Franaise de Comptabilit N199, Mars 1989.

http://www.procomptable.com/

110

Exemple 1 : Exiger des entreprises informatises, sous peine de sanctions financires importantes, davoir un programme effectif de prvention et de dtection des violations de la loi (comme cest le cas aux Etats Unis). Exemple 2 : Imposer pour les entreprises appartenant certains secteurs sensibles (exemple : le secteur bancaire et le secteur des assurances) un contrle priodique de la scurit de leur systme dinformation par un organe indpendant. Paralllement, il est certain que les nouveaux textes juridiques sur linformatique crent pour l'entreprise des obligations nouvelles, dont le non-respect peut entraner des sanctions pnales et/ou fiscales. L'auditeur, et plus particulirement le commissaire aux comptes, doit tenir compte de ces dispositions dans le cadre de ses contrles. En effet, selon l'article 270 du nouveau code des socits commerciales, les commissaires aux comptes doivent signaler lassemble gnrale les irrgularits et les inexactitudes releves par eux au cours de l'accomplissement de leur mission. En outre, ils sont tenus de rvler au procureur de la rpublique les faits dlictueux dont ils ont eu connaissance. Toutefois, certains aspects juridiques, tels que l'audit des contrats relatifs l'informatique (achat de progiciel, contrat de travail avec les informaticiens, traitements faon, etc.) n'entrent pas dans le champ de l'audit financier et peuvent tre retenus dans le cadre d'un audit oprationnel ralis par un auditeur interne ou externe. Quant au cadre technique, la majorit des organismes professionnels ont procd la rvision de leurs normes daudit pour tenir compte des nouveaux aspects engendrs par les nouvelles technologies. En outre, une panoplie de rflexions a t publie reprsentant des aides aussi bien pour le chef dentreprise que par lauditeur, dont par exemple : le rfrentiel COBIT (Control Objectives for Information and related Technology) mis en place par lISACA et qui rpond limpratif de contrle et de matrise de linformatique. Par ailleurs, de nouvelles normes comptables ont t labores par certains organismes professionnels pour dfinir les nouvelles rgles de prise en compte et dvaluation des oprations affectes par les nouvelles technologies de linformation et de la communication. Par consquent, il est ncessaire pour lexpert comptable tunisien de se familiariser davantage avec ces normes, rflexions et outils techniques. LOrdre des Experts Comptable de Tunisie a un rle important jouer. A linstar des autres organismes professionnels, il doit mener rgulirement des rflexions sur les nouvelles technologies et ce, en : Formulant des avis, en diffusant des guides spcifiques de contrle dans les entreprises informatises (complmentaires ceux de lIFAC) et en apportant des rponses aux questions techniques poses par les professionnels ; Contribuant la mise en place des actions de formation ncessaires et en organisant des manifestations sur le thme de linformatique.

Sous section 1 : Les obligations et les responsabilits de lentreprise


Les obligations et les responsabilits de lentreprise les plus essentielles, actuelles et futures au vu de lvolution prvisible du cadre juridique et technique, peuvent se rsumer comme suit :

1. Le respect de la rglementation en vigueur :


Il est vident que lentreprise doit veiller au respect de la rglementation en vigueur73. En effet, les sanctions peuvent parfois tre lourdes et peuvent, mme, engager la responsabilit pnale des dirigeants (surtout en cas de faillite). En pratique, nous constatons, souvent, les faits suivants :
En labsence de preuve crite prconstitue, ce sont des indices qui permettront demporter la conviction du juge. Exemple : Une bonne scurit informatique
73 72

Pour de plus amples dtails sur la rglementation comptable, juridique et fiscale, se rfrer au chapitre III de la premire partie.

http://www.procomptable.com/

111

Le livre journal et le livre dinventaire ne sont pas tenus ou ne sont pas jour ; Absence dune documentation jour et absence de traabilit de lexploitation, des dveloppements et des maintenances : Le chef d'entreprise et le responsable informatique doivent prendre au srieux cette obligation ; Piratage de logiciels : Le parc informatique nest pas vrifi rgulirement par les dirigeants des entreprises. Chaque utilisateur devrait tre responsabilis que linstallation de copies pirates est constitutive de faute grave. Lapplication ou le module comptable utilis noffre pas toutes les exigences de scurit et/ou ne respecte pas les dispositions lgales. Exemple : lapplication ou le module comptable : 1. Ne permet pas l'attribution de mots de passe chaque utilisateur les limitant certains travaux, 2. Ne laisse pas une trace des annulations et des suppressions des critures, 3. Ninterdit pas la suppression d'un compte mouvement sur l'exercice (mme sold), 4. Aprs clture, ninterdit pas la passation d'critures sur l'exercice cltur ou la rouverture d'un exercice clos.

2. La mise en place et le maintien dun systme de contrle interne adquat :


La Direction Gnrale dune entreprise est charge de mettre en place et de maintenir un systme comptable et un systme de contrle interne assurant la fiabilit des tats financiers et la prvention et la dtection de la fraude. Il est de la responsabilit des dirigeants des entreprises de mettre en place et dassurer le suivi de certaines rgles dont les principales sont : Des responsabilits clairement dfinies et une sparation convenable des tches : Ceci touche aussi bien le personnel informatique que les diffrents utilisateurs. Les scurits daccs logiques devraient tre paramtres en consquence. Des contrles gnraux informatiques suffisants et appropris : scurit physique, sauvegarde, gestion du changement, etc. Des contrles directs (contrles de direction, contrles manuels et contrles programms) appropris : Ces contrles devraient tre convenablement documents et coordonns pour assurer les objectifs de contrle.

En outre, la dfinition des responsabilits de chacun des intervenants, concerns par le fonctionnement des applications (la Direction Gnrale, les utilisateurs et les informaticiens), est essentielle. A titre indicatif : Les utilisateurs, qui ne simpliquent pas lors des modifications de programmes en dfinissant les fonctions et les contrles ncessaires et en excutant les tests ncessaires et appropris avant la mise en production de ces modifications, engagent leur responsabilit en cas danomalie de fonctionnement. Les informaticiens qui ne documentent pas leur systme ou ne forment pas les utilisateurs sont responsables de la mauvaise utilisation dune application. La Direction gnrale qui nanime pas les relations entre les utilisateurs et les informaticiens et dlgue toutes les dcisions est responsable des dpassements de budget et de temps, voire des checs lis des orientations inappropries.

La mise en place des directives efficaces et des contrles adquats sintgre dans une approche globale de gestion des risques. Pour cela, la Direction Gnrale a besoin davoir une apprciation et une comprhension de base des risques et contraintes lis aux technologies de linformation et de la communication. Elle doit procder des arbitrages constants entre le cot de la mise en uvre d'une dcision et les avantages attendus ou le risque quelle est dispose accepter. Pour rduire les risques un niveau acceptable, la Direction peut sappuyer sur des outils techniques reconnus et prouvs. Parmi ces outils, nous citons le rfrentiel COBIT (Control Objectives for Information and related Technology)

http://www.procomptable.com/

112

Quelle est la situation dans la pratique ? Beaucoup dentreprises prsentent des insuffisances importantes au niveau de la scurit informatique et ce, malgr la conscience des chefs dentreprise de son importance en tant que moyen permettant de garantir la protection des personnes et du patrimoine sans nuire au bon fonctionnement de lentreprise. En effet, la scurit informatique est encore fragmente et vcue comme une contrainte technique, au lieu d'tre intgre dans la stratgie de l'entreprise. Cest aux chefs dentreprise de veiller ce que les principes gnraux de scurit soient respects et mis en uvre quels que soient les environnements, les implantations gographiques, la taille des quipements informatiques, les applications, les types de matriels, etc. Tout le personnel de l'entreprise, utilisateurs, administrateurs ou dirigeants, doit tre concern par la scurit, car une seule personne qui n'applique pas les mesures de protection peut fragiliser tout le systme, d'o l'importance d'instaurer une culture de scurit au sein de l'entreprise. En outre, la scurit doit tre lie de faon troite et permanente la dynamique dvolution de l'architecture de l'entreprise et de son systme dinformation, car la nature et l'importance des risques voluent sans cesse, notamment du fait du dveloppement des nouvelles technologies et de la rvolution Internet. Exemple : Dans un environnement dE-commerce, toute personne cherchera obtenir lassurance que lentreprise, avec laquelle elle compte raliser une transaction quelconque, a mis en place des contrles efficaces pour assurer lintgrit des oprations. Quatre piliers sont ncessaires l'laboration et la mise en place russies d'un programme de scurisation de l'entreprise : Une stratgie et une vision de la scurit (ltat desprit) : La direction gnrale se doit d'avoir une dmarche proactive en matire de stratgie scuritaire intgre dans la stratgie globale de l'entreprise. Un engagement de la Direction Gnrale (la volont) : Passer dune scurit vcue comme une contrainte une scurit pleinement intgre la stratgie de lentreprise ne demande quune volont de la direction. Mais, la mise en uvre de cette volont dans une architecture oprationnelle ncessite un engagement constant et durable de la part des dirigeants et un investissement en temps, comptences et moyens financiers la hauteur de cette vision. Une structure de la direction scurit de l'information (lorganisation) : Le rle de cette direction consiste non seulement dvelopper, mettre en place et maintenir la scurit de l'information, mais aussi accompagner les objectifs conomiques de l'entreprise tout en grant les risques. Une formation et une veille technologique permanentes (le savoir) : Les employs sont des lments cls dans un programme global de scurit de l'information. Il faut donc rgulirement les tenir informs des volutions de la politique de scurit. Le message essentiel leur faire passer est que la Direction se proccupe de la scurit et par consquent, tous les employs de la socit sont concerns.

3. Faire recours laudit informatique (interne ou externe) :


La pratique de laudit informatique est encore trs insuffisamment dveloppe dans nos entreprises tunisiennes. Il doit tre intgr, principalement, dans les moyennes et les grandes entreprises, dans un schma directeur de la scurit informatique. Laudit informatique peut tre ralis par le service daudit interne de lentreprise. Auquel cas, le personnel dudit service doit avoir les comptences et les connaissances ncessaires en la matire et doit tre indpendant du volet audit. Laudit informatique peut aussi tre ralis en faisant recours des cabinets externes spcialiss.

Sous section 2 : Les diligences et les responsabilits de lauditeur


Nous avons dj tudi les nouvelles diligences de lauditeur financier dans un environnement de nouvelles technologies de linformation et de la communication. Il en dcoule que lauditeur doit faire voluer son approche et ses procdures daudit pour couvrir les nouveaux aspects. Il lui est aussi

http://www.procomptable.com/

113

ncessaire davoir une formation informatique approprie. Ces deux aspects font lobjet dune tude plus dtaille dans les sections qui suivent. En outre, dans un milieu de nouvelles technologies, les obligations incombant lauditeur mettent en jeu sa responsabilit professionnelle dans un cadre diffrent de celui des autres missions traditionnelles. La responsabilit de lauditeur peut tre mise en cause pour les raisons suivantes : La non mise en uvre des diligences minimales daudit : lauditeur na vis--vis de son client quune obligation de moyens. Il doit justifier quil a mis en uvre les connaissances suffisantes en informatique et les principes gnraux dorganisation et de contrle interne. Lanalyse des diligences appliques mettrait en vidence linsuffisance des travaux et justifierait la poursuite du professionnel au titre de son obligation de moyens. Lincomptence de lauditeur : Dans ce cas, lobligation de moyens ne sera pas remplie, tant donn que la comptence du professionnel des aspects de la mission fait partie des moyens quun professionnel diligent met en uvre avant lacceptation de la mission. Linexprience de lauditeur : lauditeur peut tre tenu pour responsable au cas o il na pas fait recours des spcialistes. Toutefois, ses connaissances en informatique doivent tre telles quil puisse comprendre et contrler les travaux du spcialiste. En effet, il ne sagit pas dune dlgation de responsabilit. Non rvlation des faits dlictueux informatiques : Dans le cadre dune mission de commissariat aux comptes, lauditeur est tenu de rvler au procureur les faits dlictueux informatiques dont il a eu connaissance.

En France, lOECCA oblige les auditeurs financiers de souscrire une assurance spcifique qui couvre les missions ou les aspects informatiques74.

1. La rvision de lindpendance de lauditeur :


Lauditeur ainsi que ses collaborateurs doivent respecter les rgles dindpendance vis--vis de lentit audite. Pour les auditeurs informatiques, lindpendance doit stendre : aux membres du service informatique de lentit audite aux membres de lquipe du projet de dveloppement, dacquisition, de mise en place ou de maintenance de logiciels (mme ceux externes lentit) aux dirigeants du service bureau (en cas dexternalisation)

Au cas o lauditeur a t impliqu avec la socit, avant sa nomination en tant quauditeur, dans une revue de dveloppement, dacquisition, de mise en place ou de maintenance dune application, son indpendance nest pas mise en cause une fois le projet est mis en exploitation75. En outre, lauditeur peut tre amen assister lentreprise lors de la mise en place de son nouveau systme dinformation afin de sassurer que les procdures et les contrles ncessaires ont bien t prvus ds le dpart. Toutefois, cette assistance ne devrait pas tre rmunre.

2. Les diligences particulires en cas de prsentation lectronique du rapport daudit :


Avec le dveloppement des nouvelles technologies de la communication, beaucoup dentreprises veulent publier leur rapport dactivit ainsi que leurs tats financiers audits accompagns du rapport daudit sur leur propre site Web et ce, afin dassurer un accs plus largi du public. Ce nouvel aspect na pas t encore totalement rglement. Certains organismes professionnels, dont l Australian Accounting Research Foundation 76 ont trait ce volet77. Ce point sera trs prochainement dactualit en Tunisie.

CNCC, Le diagnostic des systmes informatiss : Guide dapplication des recommandations , Conseil suprieur de lOECCA, page 22. Position de lISACA (Information System Audit and Control Association) dans sa directive daudit des systmes dinformation Organisational relationship and indpendance , septembre 2000. 76 LAustralian Accounting Research Foundation a t fond par lAustralian Society of Certified Practicing Accountants et l Institute of Chartered Accountants in Australia . 77 AGS (Auditing Guidance Statement) N1050, Audit issues relating to the electronic presentation of financial reports , er publi le 1 dcembre 1999.
75

74

http://www.procomptable.com/

114

En attendant, nous recommandons lauditeur financier de suivre ce qui suit78 : La responsabilit incombe la direction de lentreprise pour veiller la scurit et lintgrit des informations publies. Lexamen des contrles associs la prsentation lectronique des tats financiers audits dpasse ltendue de la mission daudit financier. Toutefois, lauditeur doit veiller au respect par lentreprise de rgles appropries assurant que le rapport daudit ne soit pas associ des informations non audites. Lauditeur doit mentionner cette responsabilit de lentreprise dans la lettre de mission. Il doit aussi y inclure que lexamen des contrles associs la prsentation lectronique dpasse ltendue de sa mission. Lauditeur doit estimer si les mesures de scurits et dintgrit mises en place par lentreprise sont satisfaisantes. Sil juge ces mesures non satisfaisantes, il doit refuser la publication de son rapport sur le site Web et de faire rfrence linformation financire publie comme tant une information audite. Le recours la justice doit tre rendu possible si lentreprise nobserve pas la dcision de lauditeur. Lauditeur doit veiller lobtention dune lettre daffirmation dans laquelle la Direction affirme que les versions lectroniques prsentes sont identiques la version originale, quelle a mis en place les dispositions ncessaires pour diffrencier les informations audites des informations non audites et quelle a mis en place les moyens de scurit et les contrles ncessaires pour assurer la scurit et lintgrit des informations publies. Lauditeur peut juger ncessaire dlaborer un rapport daudit spcial pour la prsentation lectronique mentionnant, entre autres, que cest le rapport sur papier qui fait foi.

Enfin, il y a lieu de noter que ces recommandations sont loin dtre exhaustives. Nous avons, juste, voulu faire rfrence dans le prsent mmoire mais le sujet est grand ouvert pour le dbat et la recherche.

Section 2 : Lvolution de lapproche et des procdures daudit


Laudit financier est appel voluer afin de sadapter aux besoins des entreprises et de leurs actionnaires. Cette volution devrait tre au rythme des technologies. Dans un contexte caractris essentiellement par la dmatrialisation des informations et lautomatisation des contrles, lauditeur aura de plus en plus de difficults forger son opinion sur les tats financiers sans une approche approfondie du systme informatique. Do la ncessit dapplication de laudit informatique comme support laudit financier. En outre, ce nouveau contexte contraint lauditeur dvelopper et mettre en application de nouveaux outils de rvision dont, essentiellement, les techniques daudit assistes par ordinateur.

Sous section 1 : Lapplication de laudit informatique comme support laudit financier


Rappelons que les nouvelles technologies de linformation et de la communication entranent une modification de lorganisation du contrle interne. Cette organisation est base sur des contrles gnraux informatiques et sur de plus en plus de contrles programms que de contrles manuels. Ainsi, laudit informatique revt, dsormais, une place importante dans une mission daudit financier79. En effet, lapplication de laudit informatique comme support une mission daudit financier est une sorte dintgration de linformatique dans la dmarche de laudit financier.

Recommandations inspires de lAGS 1050 prcit. Cest lapproche base sur les contrles qui est la plus adapte et la plus efficace dans un environnement de nouvelles technologies. Laudit informatique comprend dune part, lexamen de la fonction informatique et dautre part, lexamen des contrles dapplications automatiss et les contrles manuels rattachs.
79

78

http://www.procomptable.com/

115

Toutefois, une sensibilisation des dirigeants, des cadres dentreprises et des auditeurs sur les avantages supplmentaires procurs par laudit informatique dans le processus de laudit financier est ncessaire. Lattention peut tre focalise sur les avantages suivants : Une meilleure matrise du cot de laudit Mme approche pour des systmes similaires Une plus grande pertinence dans lapprciation des risques de lentreprise Davantage de recommandations ayant un impact oprationnel Produire une relle valeur ajoute reconnue de lentreprise par lidentification des risques induits par les technologies de linformation

Chaque cabinet daudit doit sorganiser comme il lentend et doit dfinir les moyens quil juge ncessaires mettre en place. Chacun doit tre convaincu que lapplication de laudit informatique dans le processus de laudit financier nest ni un choix, ni un luxe mais une obligation. Ainsi, chaque cabinet lui appartient de savoir sil doit disposer dquipes informatiques en interne ou sil est prfrable de faire appel des quipes informatiques externes. Avec le dveloppement constant des technologies de linformation et de la communication, la mise en place dun service interne est recommande. Le recours des ressources externes peut tre ncessaire si le sujet trait ncessite une expertise technique assez pointue. Enfin, il convient de signaler quactuellement, certains cabinets recommandent lapplication de laudit informatique dans toute mission daudit financier se rapportant des socits oprant dans certains secteurs sensibles tels que les banques, les compagnies d'assurance, etc.

Sous section 2 : Le dveloppement et la mise en application de nouveaux outils de rvision


Dans un environnement de nouvelles technologies, la dmatrialisation des informations et lautomatisation des contrles ncessitent le dveloppement et la mise en application de nouveaux outils de rvision. Ces outils sont gnralement des techniques daudit assistes par ordinateur (TAAO).

1. Description des techniques daudit assistes par ordinateur :


Les deux techniques daudit assistes par ordinateur les plus rpandues sont les logiciels daudit et les jeux dessai (ou donnes fictives de sondages).

1.1. Les logiciels daudit :


Cest un programme spcial ou un ensemble de programmes dsign pour auditer des donnes conserves dans des fichiers informatiques. Il sagit, essentiellement, des progiciels, des programmes spcifiques et des programmes utilitaires : Les progiciels : Ce sont des programmes dapplication gnrale destins excuter certaines fonctions de traitement des donnes Les programmes spcifiques : Ce sont des programmes prpars par lauditeur, lentit ou par un spcialiste informatique extrieur auquel lauditeur a fait appel et spcifiques lentreprise concerne. Les programmes utilitaires : Ils permettent un traitement dordre gnral tel que lextraction des donnes, le tri etc. Les rsultats des tests sont plus concluants tant donn que toutes les donnes dans le fichier sont examines et non uniquement un chantillon La rptition peut tre plus tendue, plus simple et efficace tant donn que tous les calculs et les autres procdures seront raliss par lapplication

Les principaux avantages de lutilisation des logiciels daudit sont les suivants :

http://www.procomptable.com/

116

La capacit didentifier les donnes rpondant une ou plusieurs conditions particulires est amliore La ralisation des procdures dchantillonnage, que ce soit statistiques ou non statistiques, est plus rentable Le budget temps de la mission peut tre affect lexamen des lments identifis comme ncessitants une attention particulire Une fois le logiciel daudit est mis en place, les cots dexcution subsquents sont raisonnables et les gains de temps sont souvent considrables. En effet, le mme programme peut tre utilis pour chaque audit sauf changement majeur dans le systme. Des logiciels qui analysent les programmes dexploitation de lentreprise et les comparent avec des copies conserves. Ces logiciels permettront lauditeur de sassurer que les modifications autorises ont t correctement effectues et quaucune modification non autorise nest intervenue. Des logiciels qui interrogent les bibliothques contenant les programmes excutables et ditent des informations qui permettent lauditeur didentifier les modifications apportes.

Exemples de logiciels daudit pour tester des contrles dintgrit :

1.2. Les jeux dessai :


Les jeux dessai consistent introduire des donnes dans le systme informatique et de comparer les rsultats obtenus avec les rsultats attendus. On peut citer titre dexemple les jeux dessai destin contrler les droits daccs. Lutilisation des jeux dessai implique que : Le contrle est ralis sur une application un moment donn dans le temps et que dans le cas o les programmes auraient t modifis, les jeux dessai peuvent ne plus correspondre aux ncessits du contrle Le contrle porte sur la procdure de traitement et non sur les donnes entres. Ainsi, des contrles supplmentaires devraient tre prvus pour ces dernires.

2. Domaines dapplication des TAAO :


Les Techniques daudit assistes par ordinateur peuvent tre utilises pour la ralisation de multiples procdures daudit. Nous citons, titre dexemple : Tests sur les contrles gnraux informatiques : Exemple : Tester les procdures daccs ; Tests sur les contrles dapplication automatiss : Exemple : Tester le fonctionnement dune procdure programme ; Procdures dexamen analytique : identification des variations anormales inhabituels, analyse de rgression, etc. et des lments

Tests de dtails sur les transactions et les soldes : exemple : recalcul des intrts, techniques dchantillonnage, etc. Stratification des soldes ou des transactions par ge (servant, par exemple, la dtermination de la provision pour dprciation des comptes clients) Identification des soldes clients dpassant la limite du crdit et dtermination du montant rel des dpassements Identification des comptes avec des limites de crdit inhabituelles ou sans limites de crdit Identification des transactions inhabituelles (Exemple : des ventes importantes vers la fin de lexercice, des transferts inter-comptes) Identification des transactions non rapproches (exemple : recouvrement sans facture) Identification des donnes permanentes inhabituelles (exemple : Taux de remise importants)

Exemple de TAAO relatives aux comptes clients :

http://www.procomptable.com/

117

3. Elments prendre en compte lors de lutilisation des TAAO :


Le recours aux techniques daudit assistes par ordinateur implique la prise en compte dun certain nombre dlments savoir : Les connaissances, lexprience et la matrise par lauditeur des instruments informatiques ; La disponibilit des techniques daudit assistes par ordinateur et dinstallations informatiques adaptes et satisfaisantes ; Limpossibilit dexcuter manuellement certains contrles (inexistence de traces matrielles visibles, etc.) ; La recherche de lefficacit et de lefficience : lutilisation des techniques daudit assistes par ordinateur peut amliorer lefficacit des procdures daudit et rduire le temps consacr lobtention et lvaluation des lments probants.

Toutefois, il convient de signaler que linexistence de contrles gnraux informatiques appropris peut mettre en cause lintgrit des techniques daudit assistes par ordinateur. Dans ce cas, et selon lampleur des faiblesses, lauditeur doit chercher des procdures alternatives telles que lenregistrement des donnes et la ralisation des tests sur un autre environnement.

Section 3 : La mise niveau de la formation des auditeurs


Lvolution des technologies de linformation et de la communication et les changements consquents ont cr un nombre important de dfies que toute la profession comptable doit y faire face. Cette dernire doit sassurer que : les nouveaux candidats qui rejoignent la profession possdent les comptences et les connaissances ncessaires en la matire aprs leur diplme universitaire, ses membres sont jour des nouveaux dveloppements et outils correspondants.

Ainsi, limpact se situe deux niveaux : la formation universitaire et la formation post universitaire ou professionnelle. La qualification universitaire et ladmission un organisme professionnel est une reconnaissance au candidat davoir satisfait aux exigences de leur environnement une date donne. Toutefois, dans un environnement caractris par des mutations rapides et constantes, les experts comptables doivent admettre que la formation continue est une ncessit et une exigence de la profession. En effet, il y a une diffrence majeure entre la comptence dune personne qui se suffit de la formation dispense luniversit et la comptence dune personne qui se prend en charge. Le constat est dautant plus vident que luniversit nest relativement quun passage de courte dure alors que la ncessit de formation est vie 80. En Tunisie, les ractions universitaires et professionnelles face ces changements importants sont ce jour trs timides. A notre avis, lOrdre des Experts Comptables de Tunisie en association avec les enseignants universitaires est appel grer ces changements en imposant la couverture universitaire de certains concepts des technologies de linformation et de la communication et en imposant aux professionnels une formation professionnelle continue en la matire. Alors, quelles sont les dispositions et quels sont les moyens mettre en uvre ? Pour pouvoir rpondre cette question, nous nous sommes inspirs des guides internationaux dducation de lIFAC (IEG81) et essentiellement IEG 11 intitul Information Technology in the accounting curriculum . LIEG 11 a t dvelopp par lIFAC pour servir de guide ses membres (dont lOrdre des Experts Comptables de Tunisie) dans le dveloppement de programmes de renforcement des comptences de leurs membres actuels et futurs en matire de technologies de linformation. Ce guide est rvisable tous les deux annes pour tenir compte des changements constants en la matire.
80

Abderraouf YAICH, La profession comptable et les Nouvelles Technologies de lInformation et de la Communication, Revue Comptable et Financire N53, Troisime trimestre 2001. 81 IEG : International Education Guideline , Guides dducation de lIFAC.

http://www.procomptable.com/

118

Selon lIEG 11, la formation des experts comptables doit englober cinq axes : 1. Les gnralits sur les technologies de linformation 2. Lexpert comptable en tant quutilisateur des technologies de linformation 3. Lexpert comptable en tant que gestionnaire des technologies de linformation 4. Lexpert comptable en tant que concepteur des technologies de linformation 5. Lexpert comptable en tant quauditeur des technologies de linformation Lattention sera focalise, essentiellement, sur la formation de lexpert comptable en tant quauditeur des technologies de linformation. Toutefois, nous avons jug utile de dcrire brivement les autres axes parce quils compltent la formation de lauditeur en lui fournissant les outils et les notions fondamentales. Cest comme si on ne peut tre auditeur financier sans avoir une connaissance des normes comptables, sans pouvoir dfinir les politiques et les choix comptables et sans matriser les oprations dinventaire ncessaires larrt des comptes.

Sous section 1 : La mise niveau de lducation universitaire : Formation initiale


Il est vrai que des cours portant sur le systme dinformation et les nouvelles technologies sont dj prvus pour les tudiants en expertise comptable et que certaines universits ont introduit un diplme dtudes suprieures spcialises (DESS) en la matire. Toutefois, ceci demeure insuffisant. Dans ce qui suit, nous prsentons ce que les cours sur les technologies de l'information doivent fournir aux tudiants en termes de connaissances et de comptences. Ces cours devraient tre toujours rviss pour tenir compte des technologies mergentes. Lobjectif recherch est que ltudiant en expertise comptable ait des connaissances solides en informatique sans lui demander dtre un informaticien en plus dun expert en comptabilit. Lducation universitaire doit porter sur :

1. Des gnralits relatives aux technologies de linformation :


LIEG 11 a prvu dans son paragraphe 40 que les tudiants en expertise comptable doivent acqurir des connaissances gnrales portant sur les aspects suivants : 1. Les concepts des technologies de linformation (hardware, software, gestion des donnes, rseau, transfert lectronique de donnes, etc.) 2. Le contrle interne dans un milieu informatis82 3. Les normes de dveloppement 4. La gestion des mises en place et de lutilisation des technologies de linformation 5. Evaluation des systmes informatiss : Evaluation des objectifs, des mthodes et des techniques, etc.

2. Le rle dutilisateur :
Comme utilisateur des technologies de linformation, les experts comptables sexposent une varit trs large darchitectures de systmes dinformation, de hardware, de software et des mthodes de gestion des donnes. Il nest pas question de devenir un expert dans chaque type de systme mais lducation universitaire doit permettre, uniquement, davoir les connaissances et les comptences de base ncessaires, dont titre dexemple : Mesures de scurit mettre en place pour prvenir les systmes contre tout risque de perte, de fraude, daccs non autoris, etc. Aptitude lutilisation dun progiciel de traitement et de gestion des donnes, dun progiciel comptable, etc. Aptitude utiliser la messagerie lectronique, accder et charger des informations des bases de donnes locales ou en ligne.
Ce point mrite une connaissance plus approfondie. Il reprsente le contre dintrt des auditeurs.

82

http://www.procomptable.com/

119

3. Le rle de gestionnaire :
Lexpert comptable peut tre amen, par exemple, : Participer dans une planification stratgique associe lutilisation des systmes dinformation pour supporter les objectifs de lentit Evaluer les investissements potentiels en technologie de linformation Exercer un contrle sur la productivit des systmes dinformation

Ainsi, lducation universitaire doit permettre lexpert comptable davoir une comprhension conceptuelle des technologies de linformation et particulirement sur les points suivants : Considrations stratgiques dans le dveloppement des technologies de linformation Aspects administratifs (organigramme, fiches de fonction, procdures de recrutement, etc.) Contrle financier sur les technologies de linformation (budget informatique et contrle des cots) Aspects oprationnels (architecture, moyens de communication, etc.) Gestion de lacquisition, du dveloppement et de limplmentation des systmes Gestion de la maintenance et des changements de systme La gestion des utilisateurs finaux (scurit, assistance, etc.)

4. Le rle de concepteur :
Lexpert comptable est toujours sollicit pour la conception de systme comptable et financier. De nos jours, cette conception est raliser dans un contexte de nouvelles technologies de linformation. Lducation universitaire doit permettre ltudiant en expertise comptable davoir des connaissances sur les tapes basiques suivantes : Le rle de linformation dans lorganisation Les techniques de conception de systme Les diffrentes phases et les diffrentes tches de dveloppement des systmes (exemple : introduction des contrles dans les systmes, maintenir le contrle sur les diffrentes tapes de dveloppement)

5. Le rle dauditeur :
Le rle dauditeur englobe, aussi bien, les fonctions dauditeur interne quexterne. Dans ce cadre, lducation universitaire doit permettre ltudiant en expertise comptable de prendre connaissance des normes dthique, des normes daudit traitant des technologies de linformation, de la rglementation correspondante en vigueur, etc. En outre, ltudiant doit pouvoir distinguer entre les objectifs dvaluation des systmes dinformation, dont titre dexemple : Evaluation de lefficacit, de lefficience et de lconomie associe lutilisation des technologies de linformation Evaluation de la conformit avec la politique de la direction, la rglementation en vigueur, etc. Evaluation du contrle interne dans un milieu informatis Evaluation de la fiabilit des tats financiers et de lexactitude et de lexhaustivit des enregistrements comptables.

Par ailleurs, et tant donn que les procdures dvaluation dans le contexte des technologies de linformation peuvent ncessiter le recours aux techniques et outils assists par ordinateur, ltudiant en expertise comptable doit avoir une ide sur les diffrentes techniques et outils disponibles, leurs forces, leurs limites, comment les excuter et contrler leurs rsultats. Enfin, nous pouvons conclure qu linstar des autres organismes professionnels, tels que linstitut canadien CGA (Certified General Accountants association) et lAICPA (American Institute of Certified Public Accountants), lOECT devrait prendre les mesures ncessaires la mise en place de lIEG 11 Information technology in the accounting curriculum et ce, en collaboration avec les enseignants

http://www.procomptable.com/

120

universitaires, les diffrentes gouvernementales, etc.

commissions

et

associations

nationales,

les

instances

Aux Etats Unis dAmrique, lexamen du diplme dexpertise comptable de 2003 sera totalement informatis. La comptence technologique du candidat sera indispensable au droulement de lpreuve. Lobjectif de lexamen sera revu en consquence : On nattend plus du candidat quil ait la rponse toutes les questions mais quil ait la comptence pour trouver les rponses pertinentes sur Internet. Lexamen testera la capacit du candidat grer une grande quantit dinformations et dnouer la complexit et labondance de la littrature professionnelle pour rsoudre un problme pratique. 83

Sous section 2 : La formation post-universitaire ou professionnelle : Formation continue


Selon le code dthique de lIFAC84, les professionnels de la comptabilit ont une tche continue pour le maintien de leur connaissance et de leur comptence un niveau leur permettant dassurer leurs clients ou employeurs lavantage du service dun professionnel comptent et jour des nouveaux dveloppements. Dans le contexte des nouvelles technologies de linformation et de la communication, luniversit nest plus quun outil de soutien ou un portail vers le savoir. La formation est luvre de la personne ellemme qui, afin de maintenir ses comptences, doit satisfaire une formation professionnelle continue. Ceci peut tre assure par lauto-ducation, les lectures, les publications, les participations dans les ateliers de travail, les sminaires et les confrences, les associations professionnelles, les programmes de formation interne des socits et des cabinets dexpertise comptable, etc. LIFAC recommande que la formation professionnelle continue dans chaque pays membre soit pilote par lorganisme professionnel comptable local soit, en Tunisie, lOrdre des Experts Comptables de Tunisie (OECT). Lobjectif de cette formation continue est de sassurer que tous les professionnels gardent un minimum de connaissances et de comptences en tant quutilisateur des technologies de linformation et cherchent dvelopper un ou plusieurs des rles de gestionnaire, de concepteur et dauditeur. Il est utile dvoquer ce niveau le concept de spcialisation. En effet, vu les nouveauts continues dans le domaine des technologies de linformation et de la communication, comme par ailleurs dans dautres domaines, lexpert comptable ne peut pas dvelopper une expertise dans nimporte quel domaine sans une vraie spcialisation. Cette spcialisation est la rsultante de la combinaison dune ducation thorique, dun dveloppement de la comptence pratique et de lexprience spcifique dans un domaine de travail spcialis. LOrdre des Experts Comptables de Tunisie peut prvoir une sorte de reconnaissance des experts comptables ayant acquis une spcialisation dans les technologies de linformation et de la communication en leur dlivrant des certificats de spcialiste85 ou tout autre moyen de reconnaissance. Dans un cadre plus gnral, le guide international dducation (IEG) N2 Continuing Professional Education de lIFAC oblige ses associations membres, dont lOECT, tablir et mettre disponible des programmes dducation professionnelle continue qui : Maintiennent et amliorent les connaissances techniques et les comptences professionnelles de leurs membres ; Assistent leurs membres lapplication de nouvelles techniques, la comprhension des nouveaux dveloppements conomiques ainsi qu la matrise des nouvelles responsabilits ; Assurent les utilisateurs du service de leurs membres que ces derniers possdent les connaissances et les comptences requises.

83

Abderraouf YAICH, Actualits tunisiennes et internationales : Le diplme dexpertise comptable US version 2003 , Revue Comptable et Financire N53, Troisime trimestre 2001, Extrait de Journal Of Accountancy N3, Mars 2001. Paragraphe 16 du Code dEthique, IFAC. 85 LAICPA vient de mettre en place le CITP (Certified Information Technology Professional) comme reconnaissance de lexpert comptable spcialiste dans les technologies de linformation.
84

http://www.procomptable.com/

121

Les nouvelles technologies de linformation et de la communication doivent faire partie des programmes de formation continue. En outre, le mme guide admet que lexpert comptable doit y participer avec un minimum de 30 heures par an ou 90 heures par 3 ans. Cette participation peut tre ralise travers des programmes courts tout au long de la priode. Encore, les associations membres de lIFAC, dont lOrdre des Experts Comptables de Tunisie, doivent exiger de leur membre la ralisation dun minimum dducation professionnelle continue comme condition dadhsion lassociation et/ou du droit dexercer. De ce fait, un systme de suivi des participations par individu ainsi quun systme de sanction doivent tre mis en place. Ainsi, il ressort de cette disposition que lIFAC qualifie dobligatoire lducation professionnelle continue et non de volontaire et ce, pour : Rsoudre le problme dimplication irrgulire et indiscipline de certains experts comptables ; Convaincre la socit en gnrale de lengagement de toute la profession lducation professionnelle continue et la comptence professionnelle ; Renforcer le dveloppement et la coordination mondiale de la profession comptable avec des normes harmonises.

Enfin, notons que le respect de ce guide par lOrdre des Experts Comptables de Tunisie ncessite un effort considrable en moyens humains et matriels.

Sous section 3 : Le recours la certification CISA


La certification CISA (Certified Information Systems Auditor)86 est un titre professionnel introduit en 1978 et gr par lISACA. Elle est de plus en plus reconnue comme un standard international de connaissance en matire daudit, de gestion, de gouvernement et de scurit des systmes dinformation. La certification CISA continue de gagner le respect et la reconnaissance des associations comptables, des gouvernements et des universits travers le monde entier. Actuellement, 10 000 auditeurs sont certifis CISA travers le monde. Les exigences pour ce titre sont la russite de lexamen CISA, cinq annes dexprience, ladhsion au code dthique ainsi que la formation continue.

1. Lexamen CISA :
Lexamen CISA est administr annuellement dans neuf langues et offerts dans plus de 120 villes autour du monde. L'examen couvre tous les domaines de l'Audit des Systmes d'Information, des aspects les plus techniques aux aspects les plus organisationnels. Ces domaines sont les suivants : Normes daudit des systmes dinformation et pratiques en matire de contrle et de scurit des systmes dinformation : lobjectif de ce domaine est de sassurer que lauditeur en systmes dinformation adhre aux normes gnralement appliques en matire d'audit des Systmes dinformation, ainsi qu'aux rgles de l'art et pratiques en matire de contrle et de scurit des Systmes dinformation. Audit du management et de l'organisation du systme d'information : lobjectif de ce domaine est danalyser et dvaluer la stratgie, les politiques et les procdures, les pratiques de management ainsi que lorganisation du Systme dInformation. Audit des ressources du systme d'information : lobjectif de ce domaine est lanalyse et lvaluation des diffrents processus associs aux systmes dinformation. Audit de la disponibilit, de lintgrit et de la confidentialit des systmes dinformation : lobjectif de ce domaine est lanalyse et lvaluation des contrles logiques, physiques, d'environnement, de validation, de traitement et de rconciliation de donnes et du plan de secours.

86

Traduction franaise : certificat d'Audit des Systmes d'Information

http://www.procomptable.com/

122

Audit de la continuit des oprations : lobjectif de ce domaine est lanalyse et lvaluation des rgles et des procdures concernant le plan de secours afin de s'assurer de la capacit de l'organisation rpondre efficacement aux dsastres et autres situations d'urgence. Audit du dveloppement, de l'acquisition et de la maintenance des systmes d'information : lobjectif de ce domaine est lanalyse et lvaluation des rgles et des procdures concernant la scurit et le contrle du dveloppement, de l'acquisition et de la maintenance des systmes d'information. Audit des systmes d'application : lobjectif de ce domaine est lidentification, lanalyse et lvaluation des forces et des faiblesses ainsi que l'efficience et l'efficacit des systmes d'application existants.

2. La formation continue :
La politique de formation continue des diplms CISA consiste en la ralisation dun minimum d'heures de formation continue par an et par une priode de 3 ans comme suit : Atteindre un minimum annuel de vingt (20) heures de formation continue Atteindre un minimum de cent vingt (120) heures de formation continue pour une priode de trois annes

La non observation de ces dispositions rsultera en la rvocation du membre concern. Par ailleurs, pour contrler le respect par ses membres des exigences de la formation continue, un chantillon des diplms CISA est slectionn chaque anne pour audit. Ces diplms choisis doivent fournir des vidences crites des activits de formation prcdemment rapportes. Le comit daudit dterminera l'acceptation ou non des heures.

Conclusion
Les nouvelles technologies sont des cibles en mouvement. Cest ainsi que lenjeu est important pour lexpert comptable, pour la profession comptable en gnral sous lgide de lOrdre des Experts Comptables de Tunisie et pour le lgislateur. Chacun a un rle jouer. Mais laction devrait tre rapide et continue.

http://www.procomptable.com/

123

Conclusion Partie II
Il apparat clairement que dans un contexte de nouvelles technologies, il est de plus en plus difficile pour lauditeur financier de forger son opinion sans une approche approfondie du systme informatique. En outre, l'utilisation des travaux daudit informatique dans le cadre dune mission d'audit financier permet de : mettre en vidence des faiblesses de contrle interne ayant un impact sur les tats financiers audits non dtectables par une approche classique limiter les travaux substantifs pour les entreprises pour lesquelles lauditeur peut s'appuyer sur les systmes apporter une plus value lentreprise par la mise en uvre de travaux d'audit - conseil. une rpartition convenable des tches et une coordination continue entre les membres de lquipe daudit informatique et ceux de lquipe daudit financier. Ceci constitue une des conditions essentielles du succs de laudit ; une comptence et une exprience la hauteur des difficults rencontres et de lefficacit ncessaire ; la formation permanente en sminaires et sur le terrain doit constituer un investissement important ; le recours des spcialistes en cas de domaine informatique pointu ou complexe. une recherche permanente des mthodes et techniques nouvelles et mieux adaptes.

La mise en uvre de laudit informatique exige :

Par ailleurs, face lvolution continue et complexe des nouvelles technologies, lauditeur ne peut dvelopper une vrai expertise sans une vraie spcialisation. Une question se pose : Faut-il former un auditeur linformatique ou un informaticien laudit ? Chaque possibilit a ses partisans. Linformaticien, ou lauditeur, qui sapprte accepter ce genre de spcialisation doit pralablement prendre en compte leffort que demande le maintien dune double comptence. Vu llargissement des domaines dintervention de lexpert comptable, doit-on aussi commencer rflchir sur le concept dexpert comptable spcialis ?

http://www.procomptable.com/

124

Conclusion Gnrale
Les technologies de linformation et de la communication ne touchent pas uniquement les grandes entreprises mais aussi les petites et moyennes entreprises. En effet, le degr dinformatisation nest plus fonction de la taille de lentreprise. Exemple : Le commerce lectronique a permis de nombreuses petites socits un rayonnement mondial. Face la complexit croissante des systmes (intgration, dcentralisation, dmatrialisation des informations, automatisation des contrles, etc.), les grandes socits de dveloppement informatique ont dpens des sommes considrables pour prvoir les scurits ncessaires au niveau des applications. En outre, les entreprises sont de plus en plus conscientes de la ncessit dune gestion approprie des risques. Ainsi, conduire un audit informatique dans le cadre dune mission daudit financier na plus rien dexceptionnel. A terme, nous parlerons peut tre non plus des auditeurs financiers et des auditeurs informatiques mais des auditeurs tout simplement, chacun ayant une comprhension globale de lentreprise87. Ce nest pas un changement de mtier, mais une volution des mthodes et des outils de travail que doit se prparer lauditeur. En outre, les nouvelles technologies sont en train de rendre disponible une quantit de plus en plus importante dinformations un nombre croissant dutilisateurs et ce, selon une priodicit beaucoup plus frquente. Ces utilisateurs, pour pouvoir prendre leur dcision, ont de plus en plus besoin dune information audite. Ainsi, lauditeur doit sattendre tre contraint dexercer un contrle de plus en plus permanent. Dans ce cadre dide, des recherches sont en train dtre entreprises par la CICA (Canadian Istitute of Chartered Accountants) et lAICPA88 (American Institute of Certified Public Accountants) sur ce quon appelle laudit continu 89 et aussi laudit en ligne continu 90. Un audit continu est une mthodologie qui permet aux auditeurs indpendants de fournir l'assurance sur un sujet particulier dune faon simultane ou peu de temps aprs sa ralisation. Laudit continu peut aussi tre appel laudit instantan . Laudit en ligne continue est un audit continu avec une connexion en ligne permanente entre laudit et lauditeur. Parmi les conditions pralables de faisabilit de laudit continu, nous citons : L'usage par lentit audite de systmes hautement automatiss Des outils daudit intgrs diffrents niveaux du systme de lentreprise Un haut niveau de comptence de lauditeur sur les diffrents aspects des technologies de l'information

Michel LEGER, Didier KING, Pierre COLL et Patrick DE CAMBOURG, Audit financier : Faire face aux risques me congrs de lAFAI ; Revue Audit et conseil informatique N54 ; Janvier Mars 1998. informatiques ; 15 88 Un premier rapport a t publi en 1999 qui a dfini le cadre conceptuel de laudit continue et qui a dgag les difficults potentielles possibles 89 En anglais : Continuous auditing 90 En anglais : Continuous On-line auditing.

87

http://www.procomptable.com/

125

En outre, des recherches supplmentaires sont en train dtre menes pour savoir si laudit continue affecte la dtermination des aspects fondamentaux de laudit tels que la matrialit, les risques d'audit, la dtermination de la nature, le calendrier et ltendue des procdures substantives, etc. Outre cette nouveaut et dans un contexte plus gnral, il y a lieu de prciser que les nouvelles technologies de linformation viennent liminer de la profession comptable certains domaines dintervention dont, titre indicatif, la tenue de la comptabilit, llaboration des dclarations fiscales et sociales, etc. Toutefois, ils viennent de crer pour les experts comptables de nouvelles opportunits professionnelles, dont titre dexemple : La gestion des systmes dinformation : Elaboration dun schma directeur informatique, analyse des investissements informatiques, gestion des risques informatiques, assistance la dfinition des procdures de migration des donnes, etc. Mise en place de nouveaux systmes : Ceci comprend la revue du systme avant le dmarrage, la dfinition de la scurit et des contrles et la revue du systme aprs dmarrage. Scurit informatique : Mise en place dune politique et de procdures de scurit informatique, dfinition et mise en uvre du paramtrage de la scurit, diagnostic de la scurit informatique, scurit Internet et tests de pntration, etc. Plan de continuit dactivit : analyse dimpact sur lactivit, dtection dune stratgie approprie, dveloppement dun plan de continuit, maintenance et tests, valuation du plan.

En matire daudit, nous citons, titre dexemple, les nouvelles opportunits professionnelles suivantes : Revue de ladquation de la conception et de lefficacit du fonctionnement des contrles : Cette revue est entreprise sur les contrles propres au service bureau en vue dtre utilise par les auditeurs de ses entreprises clientes. Ce genre de revue est de plus en plus ncessaire avec le Ecommerce et lE-business. SysTrust : Cest une initiative parraine par lAICPA et le CICA. Il sagit de rapporter sur la fiabilit des systmes (hardware, software, staff, donnes, etc.) par rfrence aux quatre principes essentiels de fiabilit dfinis par lAICPA savoir la disponibilit, la scurit, lintgrit et la maintenabilit91. WebTrust : Cest aussi une initiative parraine par l'AICPA et le CICA. Le service est bas sur des attestations standards, mais dsign spcifiquement autour des contrles en rapport avec un environnement interconnect. La certification WebTrust peut tre exerce par le commissaire aux comptes. Il sagit alors dune intervention dite conventionnelle, connexe sa mission gnrale. En effet, les procdures de lentit lies aux ventes font partie du champ des investigations du commissaire aux comptes, que ces ventes soient ralises via le commerce lectronique ou des circuits plus traditionnels. Une analyse de ces procdures en fonction des risques qui y sont attachs fait partie du droulement classique de la mthodologie daudit et constitue le point de dpart dinvestigations spcifiques plus approfondies exiges par lintervention WebTrust. Ce faisant, cette dernire est de nature renforcer lefficience et la valeur ajoute de la mission gnrale. Lintervention WebTrust se fonde sur une information dclarative de lentit affirmant quelle respecte bien les principes WebTrust (transparence des pratiques en matire de commerce et de confidentialit de linformation, intgrit des transactions, protection de linformation). Lintervention du commissaire aux comptes dune entit, en vue de lobtention par celle-ci du sceau " WebtTrust " sur son site de commerce lectronique, a pour objectif dapprcier la sincrit de cette dclaration. Enfin, il y a lieu de signaler que pour la conqute de ces nouvelles opportunits, les experts comptables doivent avoir les moyens pour rsister une forte concurrence laquelle ils peuvent tre confronts (consultant en nouvelles technologies, banques, etc.). Cela va de leur survie.
91

Traduction anglaise : Maintainability

http://www.procomptable.com/

126

Les experts comptables qui se cantonneront la comptabilit seront progressivement ravals un rle secondaire et risquent de voir restreindre leurs interventions quelques oprations de haute technicit comme le bouclage dun bilan, ou la prparation des dclarations fiscales ou sociales spcifiques92. La profession comptable en Tunisie est consciente des opportunits mais aussi des menaces. Elle doit arrter un plan daction afin de jouer un rle majeur dans tous ces nouveaux domaines, et rehausser encore plus son rang dans la socit toute entire.

92

inspir des Propos de William Nahum, prsident du Conseil rgional des experts comptables de lIle-de-France, recueillis par Anne-Chantal De Divonne, Les Echos, Dossier management, Mardi 21 mars 2000.

http://www.procomptable.com/

127

Bibliographies
I - Textes lgislatifs et rglementaires :
1 - En Tunisie : Code de commerce Nouveau code des socits commerciales (Promulgu par la loi N 2000-93 du 3 novembre 2000) Loi 96-112 du 30 dcembre 1996, relative au systme comptable des entreprises Dcret N96-2459 du 30 dcembre 1996, portant approbation du cadre conceptuel de la comptabilit Le code de la Taxe sur la Valeur Ajoute Le code de limpt sur les revenus des personnes physiques et de limpt sur les socits (IRPP & IS) Le code pnal Loi 94-36 du 24 fvrier 1994 relative la proprit littraire et artistique Loi 2000-57 du 13 juin 2000 (portant modification de certains articles du code des obligations et des contrats) Loi N 2000-82 du 09 aot 2000 portant promulgation du code des droits et des procdures fiscaux Loi N 2000-83 du 09 aot 2000 relative aux changes et au commerce lectronique Loi N 2000-84 du 24 aot 2000 relative au brevet dinvention Loi N 2001-1 du 15 janvier 2001 portant promulgation du code des tlcommunications Note commune N 98/19 portant commentaire des dispositions des articles 75 78 du 29 dcembre 1997 portant loi de finances pour lanne 1998.

2- En France : Code de commerce (modifi par la loi du 30 avril 1983) Code Gnral des Impts Nouveau Plan Comptable Gnral : rglement N 99.03 du 29 avril 1999 du comit de la rglementation comptable homologu par larrt du 22 juin 1999. Loi Informatiques et liberts du 06 Janvier 1978 dcrivant les rgles relatives linformatique, aux fichiers et aux liberts Dcret N 83-1020 du 29 Novembre 1983 portant obligations comptables des commerants et de certaines socits Loi sur la protection des logiciels et progiciels du 3 Juillet 1985 Loi N 88-19 du 5 janvier 1988 sur la fraude informatique (loi GODFRAIN) Loi du 10 Juillet 1991 relative la protection des tlcommunications

http://www.procomptable.com/

128

Loi MADELIN du 11 Fvrier 1994 Directive 95/46/CE du parlement europen et du conseil, du 24 octobre 1995 relative la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation de ces donnes Le nouveau Code pnal Loi N 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative la signature lectronique Dcret N 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif la signature lectronique

II - Normes et Directives :
1/ I.F.A.C : International Federation of accountants : A/ Normes internationales d'audit (ISA : International Standards on Auditing) ISA 300 : Planification des travaux ISA 400 : Evaluation du risque et contrle interne ISA 401* : Audit ralis dans un environnement informatique (Auditing in a computer information system environment) (*) En cours de rvision ISA 402 : Facteurs considrer pour laudit dentits faisant appel aux services bureaux (Audit consideration relating to entities using service organizations) ISA 500 : Elments probants ISA 620 : Utilisation des travaux dun expert IAPS 1001* : Environnement informatique : Micro-ordinateurs autonomes (CIS environments Standalone microcomputers) IAPS 1002* : Environnement informatique : Systmes dordinateurs interconnects (CIS environments On line computer systems) IAPS 1003* : Environnement informatique : Systmes de bases de donnes (CIS environments Database systems) IAPS 1005 : Remarques particulires relatives laudit des petites entreprises (Particular consideration in the audit of small businesses) IAPS 1008* : Evaluation du risque de contrle interne Caractristiques et considrations sur linformatique (Risk assessment and Internal control : EDP characteristics and consideration ) IAPS 1009* : Techniques daudit assistes par ordinateur (Computer Assisted Audit Techniques CAAT's) (*) En cours de rvision C/ International Information Technology Guideline : N1 : Managing Security of Information, Janvier 1998 N2 : Managing Information Technology planning for business impact, janvier 1999 N3 : Acquisition of Information Technology, juillet 2000

B/ Directives Internationales dAudit (IAPS : International Auditing Practice Statements) :

http://www.procomptable.com/

129

N4 : The Implementation of Information Technology Solutions, juillet 2000 N5 : IT service delivery and support, juillet 2000 N2 : Continuing Professional Education (projet) N 9 : Pre-qualification, Education, assessment of professional competence and experience requirements of professional accountants. N 10 : Professional Ethics for accountants : The education challenge and practical application N 11 : Information Technology in the accounting curriculum. Recommandation N22.07 : La rvision en milieu informatise . Recommandation N23.03 : Diagnostic des systmes informatiss . Recommandation 5.16 : Contrle des entreprises informatises ; dlibration du 7 Juillet 1983. SAS N 22 (Statement on Auditing Standards) : Planning and supervision . SAS N 31 : Evidential Matter . SAS N 47 : Audit risk and materiality in conducting an Audit . SAS N 48 : The effects of Computer Processing on the Examination of Financial Statements . SAS N 94 : The Effect of Information Technology On the Auditor's Consideration of Internal Control in a Financial Statement Audit modifiant le SAS N 55 : Consideration of the Internal Control Structure in a Financial Statement Audit . Auditing guideline 407 : Auditing in a computer environment , 20 juin 1984.

D/ International Education Guideline (IEG) :

2/ O.E.C.C.A. : LOrdre des Experts Comptables et des Comptables Agrs :

3/ C.N.C.C : Conseil National des Commissaires aux Comptes : 4/ A.I.C.P.A : American Institute of Certified Public Accountants :

5/ I.C.A.E.W : Institute of Chartered Accountants of England and Wales : 6/ Information System Audit and Control Association : A/ Code of Professional Ethics for Information System auditors (Code dthique professionnelle des auditeurs des systmes dinformation) B/ Normes gnrales pour laudit des systmes dinformation : 010 Charte d'audit 020 Indpendance 030 Ethique et normes professionnelles 040 Comptence 050 Planification 060 Ralisation du travail d'audit 070 Rapport 080 Activits de suivi audit charter , Septembre 1999 Audit Documentation , Mars 2000 Audit Consideration for Irregularities , Septembre 1999 Audit evidence requirement , Dcembre 1998

C/ Directives daudit des systmes dinformation :

http://www.procomptable.com/

130

Audit sampling , Mars 2000 Corporate Governance of Information Systems , Juin 1998 Due professional care , Septembre 1999 Effect of Involvement in the Development, Acquisition, Implementation or Maintenance Process on the IS Auditors Independance , Mars 2000 Effect of pervasive IS Controls , Mars 2000 Materiality Concepts for Auditing Information Systems , Septembre 1999 Organisational Relationship and Independance , Septembre 2000 Outsourcing of IS Activities to other Organisations , Septembre 1999 Planning the IS Audit , Juin 1998 Report Content and Form , Dcembre 1998 Use of Computer Assisted Audit Techniques , Dcembre 1998 Use of Risk Assessment in Audit Planning , 1 Septembre 2000 Using the work of other auditors and experts , Juin 1998

III - Ouvrages :
AICPA, Audit and accounting guide , American Institute of Certified Public Accountants. Armand ST-PIERRE, De la comptabilit manuelle la comptabilit informatise", Editions agence d'ARC; Collection Micro-informatique, Tlmatique, Robotique et Bureautique, 1994. Befec PricewaterhouseCoopers, Mmento Comptable 2000 , Edition Francis Lefebvre. Conseil suprieur de lordre des experts comptables et des comptables agres, Le diagnostic des systmes informatiss : Guide dapplication des recommandations , O.E.C.C.A. Commission bancaire, Le livre Blanc sur la scurit des systmes dinformation , 2me Edition, 1996. CLUSIF : Club de la scurit informatique franais, Evaluation des consquences conomiques des incidents et sinistres relatifs aux systmes informatiques, France 1996 , Fvrier 1997. Coopers & Lybrand , Handbook of Information Technology Auditing , dition interne Coopers & Lybrand, 1997. Grard PETIT, Daniel JOLY, Jocelyn MICHEL, Guide pour laudit financier des entreprises informatises , ATH : Association Technique dHarmonisation des cabinets daudit et conseil, dition CLET , 1985. I.S.A.C.A. (Information Systems audit and control association), The Certified Information Systems Auditor : Continuing Professional Education , 1999. ISACA, CISA : Certified Information Systems Auditor , review manual, 2000. I.S.A.C.F. (Information systems audit and control foundation), COBIT : Control Objectives for Information and Related Technology , Avril 1998. Price Waterhouse, Audit Guidance Series : Computerised Information systems , dition interne de Price Waterhouse, 1988. Price Waterhouse World Firm, System Management Methodology : Information System Risk Management , version 1.0, Edition interne 1994. PricewaterhouseCoopers, The PricewaterhouseCoopers, 1999. PricewaterhouseCoopers audit , dition interne de

PricewaterhouseCoopers world firm technology center, Technology Forecast 2000 , Edition interne PwC, 2000.

http://www.procomptable.com/

131

Ulric J.Gelinas, Jr. et Allan E.Oram, Accounting Information Systems , International Thomson Publishing,1996. Mmento Fiscal 2001 , Edition Francis Lefebvre.

IV - ARTICLES :
Incidences du milieu informatique sur lvaluation du systme de contrle interne , Bulletin des commissaires aux comptes N 61, mars 1986. Mohamed BENLAHSEN TLEMCANI et Sofiane TAHI, GRECOS, universit de Perpignan, De lEnterprise Resource Planning au Supply Chain Management , Institut Suprieur de Gestion : for a renewal of a management education, CPU Press 1999. Alain BOUSQUET, Les risques lors de linstallation dun systme ERP , Revue Franaise de Comptabilit N316, Novembre 1999. Dominique CHESNEAU, associ chez PricewaterhouseCoopers, Vers une nouvelle approche des risques , Les Echos, Lart de la gestion des risques, 13 dcembre 2000. Denis CORMIER, Lvaluation du risque dans les missions daudit externe : Lapproche nord amricaine , Revue Franaise de Comptabilit N221, Mars 1991. Franois-Xavier DEBROSSE et Josselin DU PLESSIS, Laudit des mesures prises pour assurer la continuit du systme dinformation , Revue Franaise de Comptabilit N316, Novembre 1999. Sylvain FAURIE : directeur de mission KPMG, Laudit informatique : une ncessit tant pour lentreprise que pour lauditeur financier , Revue Economie et comptabilit N176 ; Septembre 1991. Valrie FLAMENT-CHABBERT et Tuyen VU, Dune scurit virtuelle une scurit relle , PricewaterhouseCoopers, Les Echos, Lart de la gestion des risques, 22 novembre 2000. Daniel JOLY, Les progiciels intgrs et les nouveaux outils informatiques vont-ils changer lapproche daudit ? , Revue Franaise de Comptabilit N 316, Novembre 1999. Michel KARMA, Ecole centrale de Paris, Une nouvelle approche de conception des systmes dinformation , Revue Franaise de Comptabilit N234, Mai 1992. Jacqueline KIPFER, Expert comptable diplm, conseil en systme dinformation, La mutation des systmes dinformation comptable : Une perspective de renouvellement pour la profession comptable ? , Revue Franaise de Comptabilit N222, Avril 1991. Hlne LAPORTE et Philippe PRUDHOMME, Audit informatique dans les entreprises : valuation du contrle interne et contrle des comptes , Revue Franaise de Comptabilit N 316, Novembre 1999. Michel LEGER (Barbier FINAULT et Associs), Didier KLING (CNCC), Pierre COLL (Befec-Price waterhouse) et Patrick DE CAMBOURG (Mazars et Gurard), Audit Financier : Faire face aux risques informatiques , XVme Congrs de lAFAI, Revue Franaise de laudit et du conseil informatique N54 ; janvier- Mars 1998. Stphane LIPSKI, Le commissariat aux comptes et lvolution de linformatique , Revue Franaise de Comptabilit N 316, Novembre 1999. Judith MERRYWEATHER, consultant de linstitut des experts comptables australiens sur le chapitre affrent aux technologies de linformation, Ethics in a Cyber World : Ethical considerations and Electronic Commerce , mai 2000. William NAHUM, prsident du conseil rgional des experts comptables dIle de France, Les experts comptables lheure de la spcialisation et du travail en rseau , Les chos, mardi 21 Mars 2000. Adil OUAZZANI, Audit informatique : Le cas dune entreprise du secteur public au Maroc , Revue Franaise de Comptabilit N 316, Novembre 1999. Duc PHAM-HI et Valrie FLAMENT-CHABBERT, Les E-catastrophes , les Echos (supplment 18.270), jeudi 2 novembre 2000.

http://www.procomptable.com/

132

Julian RANDALL & Bridget TREACY, Les risques juridiques pour les aventuriers de la toile , les Echos (supplment 18.270), jeudi 2 novembre 2000. Philippe TROUCHAUD, Apprciation du contrle interne informatique des grandes entreprises et impact sur le contrle des comptes , Revue Franaise de Comptabilit N 316, Novembre 1999. Leslie WOLLCOCKS & Chris SAUER, Externaliser les technologies de linformation , les Echos (supplment 18.270), jeudi 2 novembre 2000. Abderraouf YAICH, Actualits Tunisiennes et internationales : Le diplme dexpertise comptable US version 2003 , Revue Comptable et Financire N53, Troisime trimestre 2001, extrait du Journal of Accountancy , (N3, Mars 2001). Abderraouf YAICH, La profession comptable et les NTIC , Revue Comptable et Financire N53, Troisime trimestre 2001. Muttiah YOGANANTHAN, Les projets en cours de lIAPC , Revue Franaise de Comptabilit, N316, Novembre 1999.

V - MEMOIRES :
Yves BEGON, Les professionnels des comptes et l'informatique : Risques et principes de scurits , Mai 1997. Atef BEN SALAH, La scurit de linformation face aux risques informatiques : approche mthodologique de diagnostic , Novembre 1995. Michel FINANCE, La rvision en milieu informatis, ncessit dune approche intgre : exemple comparatif de trois nouvelles missions , 1987. Mohamed Hichem RAIES, Les aspects juridiques et techniques des recours aux spcialistes dans les missions daudit , Avril 1987. Raja ISMAIL, Laudit des systmes informatiques et de leur scurit , Dcembre 1997. Nadia JEDDI, La responsabilit civile et pnale du commissaire aux comptes , 1991. Pierre MEUNE, La responsabilit du commissaire aux comptes et de l'expert comptable en matire de diagnostic des systmes informatiss et ses limites , 1989. Philippe SARRET, Le rviseur comptable face aux systmes informatiss : Evaluation des risques et approche d'audit , 1986. Luc THEROND, Proposition dune mthodologie daudit dans le cadre de lvaluation du contrle interne des entreprises informatises , 1994.

VI - SEMINAIRES & ATELIERS DE TRAVAIL :


ERP & E-Business : Les systmes dInformation et la Gestion du changement , Sminaire organis par PricewaterhouseCoopers Tunis et la Socit Tunisienne de lElectricit et du Gaz, le 13 et le 14 dcembre 1999. Laudit de la scurit informatique , sminaire organis par SOGENOR (Socit Gnrale dOrganisation Scientifique, le 18 et le 19 Octobre 1999, anim par monsieur Jean-Marc BOST. Royal Dutch Shell Group : Client service Workshop , Miami du 5 au 9 Juillet 1999, organis par PricewaterhouseCoopers. Evolution technologique : ERP, E-business & E-government , sminaire organis par Franois MAUBOUCHER, Snior Partner Afrique Francophone, PricewaterhouseCoopers, Octobre 1999.

VII - FORMATION :
Rle du CIS (Computer information systemn) dans la gestion de la mission daudit , Formation interne 1994, Befec Price Waterhouse. Introduction to Information System Security , Computer Information System Audit Self Training, Price Waterhouse World Firm.

http://www.procomptable.com/

133

Computer Assurance Service Joiners course : Initiation lassurance des systmes , PricewaterhouseCoopers, Prague, Novembre 1998. Utilisation de linformatique dans la rvision des comptes , Universit de Tunis, Formation anime par Ernest & Young, Avril 1995. Global Risk Management Solutions Joiners course , Initiation la gestion du risque management, PricewaterhouseCoopers, Marburg-Allemagne 2000.

VIII - SITES INTERNET :


International Federation of Accountants (IFAC) : www.ifac.org ISACA (INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION) : WWW.ISACA.ORG INSTITUTE OF INTERNAL AUDITORS : WWW.ITAUDIT.ORG / WWW.THEIIA.ORG LINSTITUT FRANAIS DES AUDITEURS CONSULTANTS INTERNES : WWW.IFACI.COM ASSOCIATION FRANAISE DE LAUDIT ET DU CONSEIL EN INFORMATIQUE : WWW.AFAI.ASSO.FR AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS : WWW.AICPA.ORG CONSEIL NATIONAL DES COMMISSAIRES AUX COMPTES (FRANCE) : WWW.CNCC.FR PRICEWATERHOUSECOOPERS : WWW.PWCGLOBAL.COM / WWW.EBUSINESSISBUSINESS.COM ERNST & YOUNG : WWW.EY.COM ARTHUR ANDERSON : WWW.ARTHURANDERSON.COM COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION) :
WWW.COSO.ORG

CLUSIF : WWW.CLUSIF.ASSO.FR COMMISSION NATIONALE DE LINFORMATIQUE ET DES LIBERTES (CNIL FRANCE) : WWW.CNIL.FR
WWW.JURISCOM.NET WWW.LEGALIS.NET WWW.TELECOM.GOUV.FR

http://www.procomptable.com/

134

Vous aimerez peut-être aussi