Académique Documents
Professionnel Documents
Culture Documents
GTAG 8 - Audit Des Contrôles Applicatifs111111111111111111 PDF
GTAG 8 - Audit Des Contrôles Applicatifs111111111111111111 PDF
Audit des
contrôles
applicatifs
Guide pratique d’audit des technologies de l’information
(GTAG) 8:
Audit des contrôles applicatifs
Auteurs
Juillet 2007
Copyright © 2007 par l’Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, États-Unis.
Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, stockée dans un système de consultation ou
transmise sous quelque forme que ce soit, ni par aucun moyen (électronique, mécanique, reprographie, enregistrement ou autre), sans
autorisation préalable de l’éditeur.
L’IIA publie ce document à titre informatif et pédagogique. Cette publication entend donner des informations, mais ne se
substitue en aucun cas à un conseil juridique ou comptable. L’IIA ne fournit pas ce type de service et ne garantit, par la publication
de ce document, aucuns résultats juridiques ou comptables. En cas de problèmes juridiques ou comptables, il convient de recourir à
l’assistance de professionnels.
GTAG – Table des matières
1. Résumé.................................................................................................................................................................................... 1
2. Introduction............................................................................................................................................................................. 2
Contrôles d’accès............................................................................................................................................................. 9
Planification................................................................................................................................................................... 10
Techniques de documentation...................................................................................................................................... 12
Tests.............................................................................................................................................................................. 13
6. Annexes.................................................................................................................................................................................. 18
7. Glossaire................................................................................................................................................................................. 26
8. Bibliographie.......................................................................................................................................................................... 27
9. Les auteurs............................................................................................................................................................................. 28
GTAG – Résumé – 1
Ces dernières années, les organisations du monde entier • L’ appétence pour le risque ou la tolérance au risque de
ont dépensé des milliards pour moderniser leurs systèmes l’organisation.
d’applications ou en installer de nouveaux, et ce pour différentes • La rigueur de l’évaluation du risque lié à l’application.
raisons : objectifs tactiques (mise en conformité « an 2000 », • Les processus concernés.
par exemple) ou activités stratégiques (utilisation de la • L’efficacité des contrôles généraux informatiques
technologie comme facteur de différenciation de l’entreprise (CGTI).
sur le marché). Une application ou un système d’applications • La conception et l’étendue actuelle de l’efficacité
est un logiciel qui permet d’exécuter des tâches en recourant opérationnelle des activités de contrôle.
directement aux capacités de l’ordinateur. Selon le GTAG 4
publié par l’IIA ( The Institute of Internal Auditors ), ces L’une des approches les plus efficientes et présentant le
systèmes peuvent se classer en deux catégories : applications meilleur rapport coût-efficacité utilisées par les organisations
transactionnelles et applications de support. pour gérer ces risques consiste à recourir à des contrôles
Les applications transactionnelles traitent les données à intrinsèques ou intégrés (par exemple, une triple concordance
l’échelle de l’organisation : des factures fournisseurs) dans les applications transactionnelles
• Elles enregistrent la valeur des transactions de ou de support ainsi qu’à des contrôles configurables (par
l’entreprise en termes de débits et de crédits. exemple, les tolérances relatives aux factures fournisseurs).
• Elles servent à archiver les données financières, Ces contrôles, généralement qualifiés de contrôles applicatifs,
opérationnelles et réglementaires. concernent l’étendue des différents processus ou systèmes
• Elles permettent diverses formes de communication d’applications, dont l’édition des données, la séparation des
financière et managériale, notamment le traitement fonctions, la balance des totaux de contrôle, la journalisation
des commandes, des factures clients, des factures des transactions et les rapports d’erreurs.2
fournisseurs et des écritures de journaux. Les responsables de l’audit interne et leurs équipes doivent
par ailleurs impérativement comprendre la différence entre les
SAP R/3, PeopleSoft et Oracle Financials, qu’on qualifie contrôles applicatifs et les contrôles généraux informatiques
souvent de progiciels de gestion intégrés (ERP – enterprise (CGTI). Ces derniers s’appliquent à l’ensemble des composants,
resource planning), ainsi que d’innombrables logiciels non-ERP, processus et données des systèmes de l’organisation,3
sont des exemples de systèmes de traitement des transactions. tandis que les contrôles applicatifs sont spécifiques à un
Ils fonctionnent sur la base d’une logique programmée et, dans programme ou à un ensemble de programmes (système) qui
de nombreux cas, en complément des tables configurables qui soutient un processus d’entreprise donné. La section de ce
stockent les règles uniques de l’organisation pour l’exploitation chapitre consacrée aux contrôles applicatifs et aux contrôles
et le traitement. généraux informatiques reviendra plus en détail sur ces deux
Les applications de support sont, quant à elles, des logiciels types de contrôles.
spécialisés qui facilitent les activités de l’organisation : En raison de l’importance des contrôles applicatifs pour les
programmes de messagerie électronique, logiciels de télécopie, stratégies de gestion des risques, les responsables de l’audit interne
d’imagerie documentaire et de conception. Cependant, ces et leurs équipes doivent élaborer et réaliser périodiquement des
applications ne gèrent généralement pas les transactions.1 audits de ces contrôles afin de vérifier qu’ils sont bien conçus
Tout comme n’importe quelle technologie supportant les et fonctionnent correctement. Le présent guide a donc pour
processus d’entreprise, les applications transactionnelles et objectif de donner aux responsables de l’audit interne des
de support peuvent engendrer des risques pour l’organisation. informations sur les aspects suivants :
Ceux-ci proviennent de la nature même de la technologie et 1. Définition et avantages des contrôles applicatifs.
des équipements, de la gestion et de l’utilisation du système. 2. Rôle des auditeurs internes.
Avec les systèmes de traitement transactionnel, les risques qui 3. Exécution d’une évaluation des risques.
ne font pas l’objet de mesures de correction appropriées peuvent 4. Délimitation de l’étendue de la revue des contrôles
compromettre l’intégrité, l’exhaustivité, la rapidité d’exécution applicatifs.
et la disponibilité des données financières ou opérationnelles. 5. Approches de la revue des applications et autres
De plus, quelle que soit l’application utilisée, les processus eux- considérations.
mêmes présentent un risque inhérent. C’est pourquoi nombre
d’organisations associent des contrôles automatisés et manuels Nous présentons en outre dans ce guide une liste des
pour gérer ces risques dans les applications transactionnelles et contrôles applicatifs courants et un exemple de plan d’audit.
de support. L’efficacité de la gestion du risque dépend toutefois
directement des éléments suivants :
1
GTAG – Introduction – 2
Définition des contrôles applicatifs préviennent, comme leur nom l’indique, la survenue d’une
Les contrôles applicatifs portent sur l’étendue des différents erreur au sein d’une application. C’est par exemple le rôle d’une
systèmes d’applications ou processus d’entreprise, dont les routine de validation des données en entrée, qui vérifie que les
éditions de données, la séparation des fonctions, la balance données entrées sont cohérentes avec la logique du programme
des totaux de contrôle, la journalisation des transactions et les qui leur est associé et n’autorise la sauvegarde que des données
rapports d’erreurs. Leur objectif est de veiller à ce que : correctes. Les données incorrectes ou invalides sont quant à
• Les données d’entrée soient exactes, complètes, elles rejetées au moment de la saisie.
autorisées et correctes. Les contrôles de détection détectent, comme leur nom
• Les données soient traitées conformément aux l’indique également, les erreurs sur la base d’une logique
objectifs et dans un délai acceptable. de programme prédéfinie. Ainsi, un contrôle de détection
• Les données stockées soient exactes et complètes. peut mettre au jour un écart favorable ou défavorable entre
• Les données de sortie soient exactes et complètes. le prix figurant sur la facture du fournisseur et celui du bon
• Un enregistrement du processus soit conservé ; il de commande.
permet de suivre la progression des données depuis leur Les contrôles applicatifs, en particulier ceux de détection,
entrée jusqu’à leur stockage et à leur sortie éventuelle.4 servent également à faciliter les contrôles manuels. Les données
ou les résultats d’un contrôle de détection peuvent permettre
Plusieurs types de contrôles applicatifs existent : d’alimenter un contrôle de surveillance. Ainsi, le contrôle
• Les contrôles des données en entrée – Ces contrôles de détection décrit au paragraphe précédent peut mettre en
servent principalement à vérifier l’intégrité des données évidence toute variation du prix d’achat grâce à un programme
entrées dans une application, que les données aient été qui énumère ces exceptions dans un rapport. L’examen par la
entrées directement par le personnel de direction de ces exceptions peut alors être considéré comme un
l’entreprise, à distance par un partenaire commercial ou contrôle de surveillance.
via une application ou interface Web. La vérification
de la saisie des données intègre la vérification que les
limites spécifiées ne sont pas dépassées. Contrôles applicatifs et contrôles généraux
• Les contrôles sur le traitement – Ces contrôles informatiques
constituent un moyen automatisé de faire en sorte que Il est important que les responsables de l’audit interne et leurs
le traitement soit complet, exact et autorisé. équipes comprennent les relations et les différences entre les
• Les contrôles des données en sortie – Ces contrôles contrôles applicatifs et les contrôles généraux informatiques
portent sur ce qu’il advient des données et doivent (CGTI). À défaut, la revue des contrôles applicatifs risque de
rapprocher les résultats en sortie avec le résultat ne pas être correctement délimitée, ce qui aura une incidence
escompté, en confrontant les données de sortie aux sur la qualité et l’étendue de l’audit.
données entrées. Les contrôles généraux informatiques s’appliquent à tous
• Les contrôles d’intégrité – Ces contrôles surveillent les composants, processus et données des systèmes d’une
les données en cours de traitement et les données organisation, ou d’un environnement de systèmes.6 Ils ont
stockées afin de veiller à ce qu’elles restent cohérentes pour objectif de veiller au développement et à la mise en
et correctes. œuvre appropriés des applications, à l’intégrité des fichiers
• La piste de contrôle de gestion – La trace des de programmes et de données, ainsi que des opérations
opérations réalisées, souvent appelée piste d’audit, informatiques.7 Les CGTI les plus courants sont les suivants :
permet à l’encadrement d’identifier les transactions et • Contrôles d’accès logique à l’infrastructure, aux
les événements enregistrés en suivant les transactions applications et aux données.
depuis leur entrée jusqu’à leur sortie et en sens inverse. • Contrôles du cycle de développement des système
Ces contrôles permettent également de vérifier d’applications informatisées.
l’efficacité des autres contrôles et de repérer les erreurs • Contrôles sur la gestion des changements dans les
au plus près possible de leur source.5 programmes.
• Contrôles de sécurité physique sur le centre de
Les contrôles applicatifs se répartissent en contrôles préventifs traitement informatique.
et contrôles de détection. Même si ces deux catégories se • Contrôles de sauvegarde et de restauration des
retrouvent dans une même application reposant sur une systèmes et des données.
logique programmée ou configurable, les contrôles préventifs • Contrôles de l’exploitation.
2
GTAG – Introduction – 2
Étant donné que les contrôles applicatifs concernent les • Elles adaptent les progiciels de série à leurs besoins.
transactions et les données relatives à chaque système • Elles déployent en production des applications
d’applications informatisées, ils sont spécifiques à chaque pré-packagées, des changements et des programmes.9
application. Leur objectif est de veiller à l’exhaustivité
et à l’exactitude des données enregistrées, ainsi qu’à la Les organisations dont l’environnement informatique est
validité de chaque entrée enregistrée après traitement par le peu complexe présentent, elles, les caractéristiques suivantes :
programme.8 Autrement dit, ces contrôles sont spécifiques à • Elles modifient peu l’environnement informatique
une application donnée, contrairement aux CGTI. Ils servent existant.
généralement à : • Elles peuvent mettre en place, en cours d’exercice, une
• Déterminer si le traitement des bons de commande application financière pré-packagée sans apporter de
tient compte des plafonds de crédit des clients. changements significatifs.
• Veiller à ce que les biens et les services soient toujours • Elles n’utilisent que des options configurables par les
achetés sur la base d’un bon de commande validé. utilisateurs qui ne modifient pas significativement le
• Veiller à la séparation des fonctions en regard des fonctionnement de l’application.
responsabilités définies. • Elles n’ont pas de projets de développement
• Vérifier que les marchandises reçues sont informatique.10
comptabilisées à la réception.
• Veiller à ce que l’amortissement des immobilisations Comme le soulignent ces différences, il existe une
corporelles soit rigoureusement enregistré dans corrélation directe entre la complexité des applications
l’exercice approprié. transactionnelles et de gestion, et la disponibilité, l’utilisation
• Déterminer s’il existe un triple rapprochement entre et la confiance accordée aux contrôles applicatifs intrinsèques
le bon de commande, le bordereau de réception et la et configurables. En d’autres termes, une infrastructure
facture fournisseur. informatique peu complexe ne présentera certainement pas
autant de contrôles applicatifs intrinsèques ou configurables
En outre, il importe que les responsables de l’audit pour la gestion des risques. Le degré de complexité des
interne examinent à quel point la direction peut se applications transactionnelles et de gestion conditionnera
fier aux contrôles applicatifs pour gérer les risques. donc la délimitation, la mise en œuvre, le degré d’effort et
Ce niveau de confiance dépend directement de la conception les connaissances nécessaires pour réaliser un examen des
et de l’efficacité des CGTI. En d’autres termes, si ces contrôles applicatifs, ainsi que le niveau de l’activité de conseil
contrôles ne sont pas mis en œuvre, ou ne fonctionnent que pourront apporter les auditeurs internes.
pas correctement, l’organisation ne pourra pas s’y fier pour
gérer les risques. Ainsi, si les CGTI qui portent sur les
changements dans les programmes ne sont pas efficaces, Avantages des contrôles applicatifs
des modifications non autorisées, non approuvées et non Le recours aux contrôles applicatifs peut être utile sur plusieurs
testées peuvent être introduites dans l’environnement de plans. Nous allons en décrire les principaux.
production, ce qui risque de compromettre l’intégrité globale
des contrôles applicatifs. Fiabilité
Les contrôles applicatifs sont plus fiables que les contrôles
manuels si l’on évalue le potentiel d’erreurs de contrôle dues à
Environnements TI complexes et non complexes l’intervention humaine. Une fois qu’un contrôle applicatif est
La sophistication (ou la complexité) de l’environnement mis en place, et que les changements apportés à l’application,
informatique d’une organisation exerce une incidence à la base de données ou à la technologie sont minimes,
directe sur l‘exposition globale aux risques et les stratégies l’organisation peut s’appuyer sur ce contrôle jusqu’à ce qu’un
de gestion afférentes. Les organisations qui sont dotées changement soit introduit.
d’une infrastructure informatique complexe présentent les En outre, un contrôle applicatif continuera d’être
caractéristiques suivantes : efficace si les CGTI qui ont un impact direct sur sa
• Les applications, bases de données et systèmes nature programmatique, fonctionnent également avec
existants subissent des changements fréquents. efficacité. Cela se vérifie en particulier pour les contrôles
• Elles développent en interne le code source des relatifs aux changements apportés aux programmes et à la
logiciels critiques. séparation des fonctions des administrateurs informatiques.
3
GTAG – Introduction – 2
En conséquence, l’auditeur pourra se contenter de tester le Enfin, les changements de paramètres et de configuration
contrôle une seule fois, et non plusieurs, pendant la période exercent un impact significatif sur la plupart des contrôles
de tests. applicatifs. Ainsi, il est facile de manipuler les niveaux de
tolérance pour désactiver les contrôles concernés, tandis que les
Analyse comparative (benchmarking) contrôles sur les autorisations d’achats peuvent être manipulés
Selon l’annexe B de la norme n° 5 du Public Company lorsque leur stratégie d’autorisation est modifiée, et là encore,
Accounting Oversight Board (PCAOB) des États-Unis, sans qu’il soit nécessaire de changer le code.
portant sur l’audit du contrôle interne de la communication Les organisations doivent évaluer chaque contrôle applicatif
financière intégré à un audit des états financiers, on peut afin de déterminer jusqu’où l’analyse comparative peut être
utiliser l’analyse comparative des contrôles applicatifs, car ces efficace. Une fois que la référence n’est plus efficace, il importe
contrôles ne subissent généralement pas de défaillances dues de rétablir la base de comparaison en testant à nouveau
à l’erreur humaine. Si les contrôles généraux qui servent à le contrôle. Les auditeurs doivent se poser les questions
encadrer les changements apportés aux programmes, l’accès aux suivantes lorsqu’ils déterminent si un contrôle applicatif donné
programmes et la réalisation des opérations informatiques sont fonctionne toujours efficacement et tel qu’il a été étalonné
efficaces et régulièrement testés, l’auditeur peut en conclure que à l’origine :
le contrôle de l’application est efficace sans avoir à réitérer le • Le niveau de risques associé au processus de gestion
test du contrôle de l’année précédente. C’est particulièrement et le contrôle applicatif ont-ils été modifiés depuis
vrai si l’auditeur vérifie que les contrôles applicatifs n’ont pas l’origine ? (i.e. le processus de gestion engendre-t-il des
changé depuis le dernier test qu’il a effectué.11 risques substantiellement plus importants qu’au départ,
En outre, la nature et la quantité des preuves que l’auditeur en termes de conformité aux règles de communication
doit obtenir pour vérifier que le contrôle n’a pas changé financière, de paramètres opérationnels et de respect de
peuvent varier en fonction des circonstances, telle que la la réglementation ?)
solidité des contrôles des changements dans les programmes de • Les contrôles généraux informatiques sont-ils efficaces,
l’organisation.12 En conséquence, lorsqu’il recourt à l’analyse notamment les contrôles portant sur l’accès logique,
comparative pour un contrôle donné, l’auditeur doit tenir la gestion des changements, le développement ou
compte de l’action des fichiers, tables, données et paramètres l’acquisition de systèmes et les opérations machine ?
connexes sur la fonctionnalité des contrôles applicatifs. Ainsi, • L’auditeur peut-il comprendre pleinement les effets
une application qui calcule les intérêts créditeurs peut tout à éventuels des changements sur les applications, les
fait être tributaire du maintien de l’intégrité de la grille de taux bases de données ou la technologie qui contiennent les
utilisée par le calcul automatisé.13 contrôles applicatifs ?
L’auditeur doit considérer le bien-fondé de l’utilisation de • Des changements ont-ils été introduits dans le
l’analyse comparative pour un contrôle automatisé, en tenant processus de gestion tributaire du contrôle applicatif,
compte de la fréquence à laquelle l’application est modifiée. qui pourraient avoir une incidence sur la conception
Par conséquent, plus les changements de programmes sont ou l’efficacité du contrôle ?
fréquents, moins cette stratégie est pertinente. En outre,
l’auditeur doit évaluer la fiabilité de l’information relative Économies de temps et réduction de coûts
aux changements apportés au système. Ainsi, s’il y a peu ou Les contrôles applicatifs prennent généralement moins de
pas d’informations ou de rapports vérifiables concernant les temps à être réalisés que les contrôles manuels. En effet, la taille
changements apportés à l’application, à la base de données ou des échantillons de ces derniers dépend de la fréquence des
à la technologie sous-jacente, l’analyse comparative se justifie contrôles (journalière, hebdomadaire, mensuelle, trimestrielle,
moins pour le contrôle de l’application. annuelle), contrairement à celle des contrôles applicatifs (ces
Cependant, l’analyse comparative est particulièrement derniers fonctionnent efficacement ou non). En outre, les
efficace lorsque les entreprises utilisent des progiciels de série contrôles applicatifs sont généralement testés une seule fois,
qui n’autorisent pas de développement ou de modification des tant que les contrôles généraux informatiques sont efficaces.
codes sources. Dans ces cas, l’organisation ne doit pas s’arrêter En conséquence, tous ensemble, ces facteurs peuvent réduire
au seul changement de code. En effet, dans une application considérablement le nombre d’heures nécessaires pour évaluer
complexe, comme un logiciel SAP ou Oracle Financials, il est le contrôle d’une application, par rapport à un contrôle manuel.
possible de modifier, de désactiver ou d’activer un contrôle
facilement et sans changement de code.
11, 12 PCAOB, Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That is Integrated with An Audit of Financial Statements, paragraphe B29.
13 PCAOB, Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That is Integrated with An Audit of Financial Statements, paragraphes B29 - 30.
4
GTAG – Introduction – 2
Rôle des auditeurs internes Qu’elle qu’en soit la raison, le responsable de l’audit interne
Savoir doit veiller à ce que les auditeurs internes soient informés de
Aujourd’hui, les organisations utilisent davantage les ces activités, et mettre en avant les qualités, les connaissances
contrôles applicatifs que par le passé pour gérer les risques, et le savoir-faire des auditeurs internes lorsqu’il s’agit de
en raison de l’efficience naturelle, du bon rapport coût- procurer à l’organisation des services de gestion des risques.
efficacité et de la fiabilité de ces contrôles. Par tradition, tous Il importe par ailleurs que les auditeurs internes participent
les contrôles informatiques étaient testés par un auditeur au développement des systèmes, afin qu’ils contribuent
informaticien expérimenté, tandis que les contrôles liés à la gestion du risque que présente l’application, et qu’ils
aux données financières, aux paramètres opérationnels ou s’assurent que des contrôles intrinsèques et configurables
au respect de la réglementation l’étaient par un auditeur fonctionnent efficacement, avant la mise en service de
non spécialisé dans les systèmes d’information. Même si la l’application en question. À défaut, il reviendra nettement
demande d’auditeurs spécialisés dans l’informatique s’est plus cher a posteriori, de mener un examen,, de déceler
substantiellement accrue ces dernières années, et si cette les faiblesses et d’installer des contrôles. Les paragraphes
tendance devrait se poursuivre, tous les auditeurs internes ci-dessous présentent des exemples de la façon dont les
doivent être capables d’évaluer, de manière exhaustive, tous auditeurs internes peuvent créer de la valeur lors des activités
les contrôles de processus d’entreprise. de développement de systèmes, en donnant des conseils sur
De plus, selon l’ouvrage Normes internationales pour la pratique les contrôles applicatifs.
de l’audit interne (Normes), publié par l’IIA, et en particulier
les Normes 1220 et 1210.A3, « les auditeurs internes doivent Évaluation indépendante des risques
apporter à leur travail la diligence et le savoir-faire que l’on À chaque fois qu’une application transactionnelle ou de
peut attendre d’un auditeur interne raisonnablement averti support, nouvelle ou considérablement améliorée, est mise
et compétent »,14 et « posséder une bonne connaissance en œuvre, deux choses peuvent se produire. Premièrement,
des principaux risques et contrôles liés aux technologies nombre des contrôles automatisés ou manuels qui étaient en
de l’information et des techniques d’audit informatisées place pour gérer les risques dans l’ancien environnement,
susceptibles d’être mises en œuvre dans le cadre des travaux qui devront être remplacés par de nouveaux contrôles.
leur sont confiés. Toutefois, chaque auditeur interne n’est pas Deuxièmement, le profil de risque de l’application peut
censé posséder l’expertise d’un auditeur dont la responsabilité changer ; autrement dit, la nouvelle application comportera
première est l’audit informatique ».15 Autrement dit, chaque de nouveaux risques intrinsèques (par exemple, du fait de sa
auditeur interne doit connaître les risques et les contrôles configuration) et les risques ne peuvent pas être atténués au
liés à l’informatique, et être à même de déterminer si les sein de l’application elle-même, ce qui nécessite d’utiliser
contrôles applicatifs mis en œuvre sont conçus et fonctionnent des contrôles manuels. Par conséquent, s’ils n’en sont pas à
correctement pour gérer les risques financiers, opérationnels et l’origine, les auditeurs internes peuvent au moins contribuer
liés au respect de la réglementation. aux efforts de l’organisation pour comprendre comment les
risques vont évoluer avec l’arrivée de la nouvelle application.
Conseils ou assurance Les auditeurs internes sont en effet compétents pour fournir
Parallèlement aux services d’assurance traditionnels, la ce niveau de service et se trouvent dans une position unique
fonction d’audit interne peut, par ses missions de conseil, en raison de leur indépendance par rapport à la direction.
apporter de la valeur à une organisation. Ces missions Pour que les auditeurs puissent procurer ce service, ainsi
peuvent revêtir diverses formes et porter sur n’importe quel que les autres énumérés ci-dessous, ils doivent posséder
domaine ou fonction. Ainsi, il peut s’agir d’aider le personnel une connaissance suffisante de l’application en cours de
de l’organisation à concevoir des contrôles pendant la développement. Le nombre et la catégorie d’auditeurs qui ont
mise en œuvre, ou la modernisation, des applications besoin de ce type de connaissances dépend de l’application
transactionnelles ou de support. en cours de développement, de l’ampleur de son impact sur
Malheureusement, nombre d’auditeurs internes n’aident les processus de l’entreprise, de la taille de l’organisation
pas la direction à comprendre l’évolution des risques et du nombre d’entités ou de domaines vérifiables, une fois
lorsque l’organisation introduit une nouvelle application que l’application aura été pleinement déployée dans toute
transactionnelle ou de support, ou procède à une mise à l’organisation. Les responsables de l’audit interne ont à leur
niveau majeure. Dans la grande majorité des cas, cette attitude disposition plusieurs stratégies différentes pour faire en sorte
n’est pas due à un manque de volonté ou d’attention, mais que leur niveau de connaissance soit suffisant, et notamment
au fait que les auditeurs internes ne sont pas au courant des recourir à des manuels, des cours en ligne, des séances de
activités de développement des systèmes, ou que la direction formation et des consultants extérieurs.
ne souhaite pas les y associer.
5
GTAG – Introduction – 2
Formation
Les auditeurs internes ne se contentent pas de contrôler les
applications, ils peuvent aussi sensibiliser l’encadrement aux
aspects suivants :
• Évolution de l’exposition aux risques ésultant de
l’introduction de la nouvelle application.
• Faiblesses connues des contrôles intrinsèques des
applications en cours de développement.
• Solutions envisageables pour réduire les faiblesses
identifiées.
• Différents services que les auditeurs peuvent apporter
à la direction lors du développement de systèmes.
Évaluer les risques sachant qu’il faut aussi tenir compte de l’opinion de
Lorsqu’il élabore le plan d’évaluation des risques, l’auditeur la direction ?
doit utiliser des techniques spécifiques pour identifier les 2. Quels sont les processus de l’entreprise qui sont
vulnérabilités critiques liées à la communication financière exposés à ces risques ?
de l’entreprise, ainsi que les impératifs opérationnels et de 3. Quels sont les systèmes utilisés pour mettre en œuvre
conformité aux règles. Ces techniques portent sur : ces processus ?
• La nature, le calendrier et l’étendue de la revue. 4. Où sont mis en œuvre les processus ?
• Les fonctions critiques de l’entreprise tributaires des
contrôles applicatifs. Lors de l’identification des risques, les auditeurs peuvent
• Le temps et les ressources qui seront consacrés à cet juger utile de recourir à une approche descendante
examen. (top-down) afin de déterminer les applications à inclure
dans l’examen des contrôles, ainsi que les tests à effectuer.
De plus, les auditeurs doivent se poser quatre questions Par exemple, la figure 1 présente une méthode efficace pour
essentielles lorsqu’ils déterminent la portée requise par identifier les risques liés à la communication financière et
la revue : déterminer l’étendue de la revue. Veuillez noter que cette
1. Quels sont les principaux risques qui doivent être illustration ne constitue pas l’unique manière d’effectuer
évalués et gérés pour l’organisation, en fonction toutes les évaluations des risques.
des principales préoccupations du comité d’audit,et
Formulaire 10-K
États
financiers
CA et Achats et Management et
communication Paie et
créances créances financière/ avantages Trésorerie Juridique Déontologie Fabrication
clients fournisseurs comptabilité sociaux
*EFOUJöDBUJPOFUBOBMZTFEFTSJTRVFT
Figure 1. Analyse des risques liés à la communication financière. Voir Approche de l’évaluation des risques à la section suivante.
7
GTAG – Évaluation des risques – 3
Figure 2. Exemple d’une évaluation des risques liés aux contrôles applicatifs.
8
GTAG – Étendue des revues au titre des contrôles applicatifs – 4
Voici deux méthodes permettant de déterminer l’étendue qu’il puisse paraître relativement facile d’isoler le module d’un
de la revue de contrôles applicatifs. Les auditeurs internes ne système ERP ou d’un système transactionnel intégré, cette tâche
doivent pas oublier que l’étendue, la profondeur, l’approche et peut en réalité se révéler assez difficile. En effet, il peut arriver
la fréquence de la revue dépendent des résultats de l’évaluation que de multiples données entrent et sortent d’un module, et il
des risques et de la disponibilité des ressources d’audit interne. serait vain de s’efforcer de les identifier. L’emploi de l’approche
Quelle que soit la méthode choisie pour déterminer l’étendue par module risque donc d’aboutir à un examen inadéquat, tandis
de la revue, cette dernière doit englober une évaluation des que la méthode du processus d’entreprise se prête davantage à
contrôles sur les entrées, le traitement et les sorties de données. un tel environnement.
Une fois que l’étendue de la revue est définie, il s’agit de preuves. Des discussions doivent permettre de confirmer que
déterminer comment cet examen sera exécuté. Outre la la direction est d’accord avec tous les risques identifiés et les
méthodologie standard d’audit retenue, voici quelques contrôles corespondants. L’équipe sera alors en mesure de la
recommandations qui peuvent aider l’auditeur à exécuter un convaincre de décider immédiatement d’actions correctives et
examen des contrôles applicatifs correctement délimité. d’inciter toute l’entreprise à adopter un comportement tenant
compte des risques. À cette fin, les auditeurs peuvent envoyer
aux dirigeants un courrier leur annonçant la revue. Ce courrier
Planification doit mentionner :
Après avoir évalué les risques et déterminé l’étendue de la • la date prévue pour le début de la revue.
revue des contrôles applicatifs, les auditeurs doivent élaborer • le calendrier de la revue.
un plan d’examen détaillé et le communiquer. La première • les principales activités examinées.
étape consiste à définir un plan de travail énumérant les
composantes suivantes :
• Toutes les procédures d’examen à mettre en œuvre. Besoin de ressources d’audit spécialisées
• Tous les outils et les techniques informatiques utilisés L’auditeur interne doit évaluer l’étendue de la revue et
et leur mode d’utilisation. déterminer si la présence d’un auditeur informaticien est
• La taille des échantillons, le cas échéant. requise pour une partie des travaux. Le fait d’adjoindre à
• La sélection des points à examiner. l’équipe un auditeur spécialisé dans les technologies de
• Le calendrier de la revue. l’information ne dispense toutefois pas l’auditeur d’évaluer la
qualité des contrôles informatiques. L’auditeur informaticien
Lors de l’élaboration de ce plan de travail, il convient sera simplement chargé d’évaluer le recours aux technologies de
d’inclure toutes les ressources d’audit interne nécessaires dès l’information dans l’organisation, afin de vérifier l’intégrité des
la planification. C’est également le moment d’identifier les données, ainsi que l’exactitude, l’exhaustivité et l’autorisation
spécialistes des technologies de l’information, et de les associer des transactions. Les auditeurs informaticiens peuvent aussi
au processus de planification. s’intéresser au nombre de transactions traitées par l’application.
Une fois le plan de travail achevé, l’auditeur interne doit Des outils spéciaux peuvent se révéler nécessaires pour évaluer
élaborer un programme d’examen détaillé (cf. annexe B l’efficacité des contrôles applicatifs, et établir un rapport.
page 21, pour un exemple de plan d’audit.) Lors de l’élaboration Les informations recueillies par les auditeurs informaticiens,
du programme d’examen, il convient d’organiser une réunion associées au savoir de l’auditeur interne, permettront de
avec la direction afin d’évoquer les points suivants : déterminer si des ressources spécialisées sont nécessaires.
• Les préoccupations de la direction concernant les Il convient par exemple de disposer de ressources spécialisées
risques. lors de l’examen de la séparation des fonctions incompatibles
• Les problèmes déjà mentionnés. pendant l’installation d’une application Oracle eBusiness Suite
• L’évaluation des risques et des contrôles par les dans une grande entreprise industrielle. La complexité des rôles
auditeurs internes. et des fonctions contenus au sein de l’application et des bases
• Un résumé de la méthodologie d’examen, de données, nécessite de recourir à un personnel connaissant
• L’étendue de la revue. bien les possibilités de configuration de l’application Oracle.
• La façon dont les problèmes seront communiqués, Du personnel supplémentaire sachant comment explorer des
• Les dirigeants/cadres qui feront partie de l’équipe données depuis les bases de données et l’application Oracle
d’examen. peut aussi se révéler nécessaire. De plus, il se peut que l’équipe
• Toute information nécessaire au préalable (rapports, en charge de la revue ait besoin d’un spécialiste connaissant
par ex.). parfaitement un outil d’audit informatique précis, afin de
• La durée de la revue. faciliter l’extraction et l’analyse des données.
10
GTAG – Approches de la revue des contrôles applicatifs et
autres considérations – 5
les transactions qui créent, modifient, ou effacent des données Méga-processus (niveau 1) : de la demande
au sein d’un processus et, au minimum, de vérifier les contrôles d’achat au paiement
applicatifs d’entrée, de traitement et de sortie). Le mieux est Processus majeur Sous-processus Activité (niveau 4)
de décomposer le processus à l’aide du modèle à quatre niveaux (niveau 2) (niveau 3)
présenté à la figure 3 :
Achat Traitement de la Créer, modifier et
• Méga processus (niveau 1) : ce niveau correspond à demande supprimer
l’intégralité du processus, de bout en bout, par exemple
Traitement du bon de Créer, modifier,
de la demande d’achat au paiement. commande supprimer, valider et
• Processus majeur (niveau 2) : ce niveau correspond émettre
aux principaux composants du processus de
Réception Traitement de Créer, modifier et
bout-en-bout, tels que l’achat, la réception et le la réception des supprimer
paiement des marchandises. marchandises
• Processus mineur, ou sous-processus (niveau 3) : ce Traitement du retour Créer, modifier et
niveau correspond aux composants mineurs, ou des marchandises supprimer
sous-processus, de chacun des processus majeurs, tels
Créances Gestion des Créer, modifier et
que la demande et l’élaboration du bon de commande. fournisseurs fournisseurs supprimer
• Activité (niveau 4) : ce dernier niveau correspond aux
Traitement des Créer, modifier et
transactions du système qui aboutissent à la création, factures supprimer
à la modification ou à l’effacement de données pour
chacun des composants mineurs ou sous-processus. Traitement des notes Créer, modifier et
de crédit supprimer
Il est essentiel d’adopter un point de vue centré sur Règlements en cours Créer, modifier et
supprimer
l’entreprise si l’on veut que la revue soit exhaustive et utile à
l’organisation. À partir de là, la revue peut être menée à bien Règlements annulés Créer, modifier et
dans le cadre d’une simple mission ou d’un examen intégré. supprimer
DÉBUT
Service demandeur
C1 Résolution des
problèmes
1. Saisie des détails de la DA
de la demande
d’achat (DA)
C3
Non, notifié
Achat
C4 C5
Notifié 4. Conversion de
Acheteur
6. Réception des
Réception
marchandises et
C7 comparaison C8
avec le BC
fournisseurs
Les triangles représentent chaque contrôle dans le processus. Le numéro de chaque contrôle le relie aux activités représentées dans la Matrice
des risques et des contrôles.
Figure 4. Diagramme de flux d’un processus de la demande d’achat au paiement.
11
GTAG – Approches de la revue des contrôles applicatifs et
autres considérations – 5
12
GTAG – Approches de la revue des contrôles applicatifs et
autres considérations – 5
et les prix mentionnés sur la facture et ceux indiqués sur • Une nouvelle exécution des activités de contrôle
le bon de commande et le bordereau de réception, puis dans un environnement de test (à l’aide des mêmes
saisit la facture dans l’application créances fournisseurs procédures programmées que pour la production), avec
(Contrôles C9 et C14). des scripts de test solides.
b) L’application créances fournisseurs génère
automatiquement les demandes de règlement sur la base Un test de configuration peut par exemple consister à
des modalités de paiement définies par le fournisseur, examiner les paramètres de triple concordance du système
et tous les mercredis, des chèques sont établis pour le testé, en retraçant une transaction. Il peut aussi consister à
règlement des créances fournisseurs (Contrôles C10, consulter le code de programmation du processus de production
C12 et C13). des rapports de l’application, afin de vérifier que la logique
c) En fin de mois, le responsable des créances fournisseurs est appropriée. De plus, l’auditeur doit répéter l’éxecution
compare le total du poste créances fournisseurs du grand de la requête afin de comparer le nouveau rapport à celui
livre auxiliaire, au total de contrôle du grand livre produit initialement.
général. Toutes les différences sont ensuite consignées L’auditeur peut vérifier les contrôles d’édition pour les
puis corrigées (Contrôle C11). principaux champs, en stratifiant ou en classant les transactions
en fonction des valeurs de champs. En outre, si l’on recourt
Les matrices de risques et de contrôles doivent contenir à un logiciel d’audit, il est facile de recalculer et de vérifier
toutes les informations pertinentes relatives à un processus les calculs effectués par le système. Par exemple, si le système
d’entreprise donné. De plus, chacune des activités de contrôle utilise les champs de la quantité et du prix unitaire pour calculer
doit être numérotée ; c’est ce numéro qui sera reporté dans les le coût total, l’auditeur peut recourir à un logiciel d’audit afin
diagrammes de flux ou les descriptions narratives. Voici les de procéder au même calcul et identifier toute transaction
informations importantes qui doivent figurer dans la matrice : pour laquelle ses calculs donnent des résultats différents de
• Les risques identifiés. ceux de l’application.
• Les objectifs de contrôle. Enfin, les auditeurs peuvent procéder à des contrôles de
• Les activités de contrôle. vraisemblance afin d’examiner les fourchettes de valeurs
• Les attributs des contrôles tels que le type de contrôle possibles pour les principaux champs. Par exemple, en
(par ex., automatisé ou manuel) et la fréquence calculant l’âge actuel en fonction de la date inscrite dans le
(quotidienne, hebdomadaire, mensuelle, trimestrielle, champ date de naissance, les auditeurs peuvent déterminer
annuelle, etc.). les âges, et prendre note des valeurs négatives et des valeurs
• Les informations relatives aux tests. supérieures à 100 qui sortent des fourchettes attendues.
13
GTAG – Approches de la revue des contrôles applicatifs et
autres considérations – 5
Prév./détect.
Objectifs de
Activités de
probabilité
Fréquence
Man/Auto
Enregistré
Résultats
Efficacité
op. (O/N)
des tests
contrôle
Numéro
Classifié
contrôle
Impact/
Risques
C (O/N)
Diffusé
Rapide
Evalué
Notes
Réel
II/C
AC
EC
ER
S
Majeur : Achats
Sous-processus : Traitement des demandes d’achat
Activité : Créer
C1 Les contrôles En raison d’une Les contrôles
donnent une séparation insuffisante sont conçus de
assurance des fonctions, un telle manière
raisonnable que utilisateur peut créer, que l’accès n’est
les demandes valider (c-à-d émettre), accordé qu’aux
Permanent
d’achat sont établies assigner et transformer individus qui sont
complètement et une demande d’achat, E fondés à établir X A P X X X X X
exactement, par du ce qui se traduit par des demandes
personnel habilité. l’attribution indue d’achat du fait de
de commandes à leur activité.
des fournisseurs, des
trop-perçus et des
niveaux de stocks
excessifs.
C2 Les contrôles En raison d’une Les demandes
donnent une séparation insuffisante d’achat sont
assurance des fonctions, un examinées sur une
raisonnable que utilisateur peut créer, base mensuelle,
les demandes valider (c-à-d émettre), ce qui permet de
d’achat sont établies assigner et transformer détecter toute
Mensuel
complètement et une demande d’achat, demande non
exactement, par du ce qui se traduit par E autorisée. X X X M D X X X X X
personnel habilité. l’attribution indue
de commandes à
des fournisseurs, des
trop-perçus et des
niveaux de stocks
excessifs.
C1 Les contrôles donnent Les demandes d’achats Les contrôles
une assurance non autorisées ou sont conçus de
raisonnable que les mentionnant des telle manière
demandes d’achat sont volumes excessifs que l’accès n’est
Permanent
Figure 6. Matrice des risques et des contrôles pour un processus « de la demande d’achat au paiement »
14
GTAG – Approches de la revue des contrôles applicatifs et
autres considérations – 5
Prév./détect.
Objectifs de
Activités de
probabilité
Fréquence
Man/Auto
Enregistré
Résultats
Efficacité
op. (O/N)
des tests
contrôle
Numéro
Classifié
contrôle
Impact/
Risques
C (O/N)
Diffusé
Rapide
Evalué
Notes
Réel
II/C
AC
EC
ER
S
Majeur : Achats
Sous-processus : Traitement des demandes d’achat
Activité : Créer
Permanent
complètement et assigner et transformer individus qui sont
exactement, par du un bon de commande, E fondés à établir X A P X X X X X
personnel habilité. ce qui se traduit par des bons de
des commandes indues commande du fait
à des fournisseurs, de leur activité.
des trop-perçus et
des niveaux de stocks
excessifs.
Mensuel
bons de commande créer, valider (c-à-d ce qui permet de
sont établis émettre), assigner et E détecter tout bon X X X M D X X X X X
complètement et transformer un bon de commande
exactement, par du de commande, ce non autorisé.
personnel habilité. qui se traduit par des
commandes indues
aux fournisseurs, des
trop-perçus et des
niveaux de stocks
excessifs.
GTAG8_Fig6_Pp15_b.ai
Liste des acronymes utilisés dans ce
: tableau Attributs du contrôle
Éléments du COSO 3. AC : activités de contrôle 6. C : contrôle clé
1. EC : environnement de contrôle 4. I/C : information et communication 7. Man/aut : manuel ou automatique
2. ER : évaluation des risques 5. S : surveillance 8. Prév/détec. : prévention ou détection
Figure 6. Suite.
15
GTAG – Approches de la revue des contrôles applicatifs et
autres considérations – 5
Prév./détect.
Objectifs de
Activités de
probabilité
Fréquence
Man/Auto
Enregistré
Résultats
Efficacité
op. (O/N)
des tests
contrôle
Numéro
Classifié
contrôle
Impact/
Risques
C (O/N)
Diffusé
Rapide
Evalué
Notes
Réel
II/C
AC
EC
ER
S
Majeur : Achats
Sous-processus : Traitement des demandes d’achat
Activité : Créer
C7 Les contrôles donnent Associer une réception Le rapprochement
une assurance de marchandises à un du compte
raisonnable que les bon de commande marchandises
réceptions de incorrect ou à un poste reçues/non
Mensuel
marchandises sont incorrect fausse E facturées est X X X M D X X X X X
traitées complètement, l’évaluation du stock et effectué sur une
exactement et du compte base mensuelle.
rapidement, par du marchandises
personnel habilité. reçues/non facturées,
ce qui retarde le
traitement des factures
et le paiement.
C8 Les contrôles donnent Les marchandises Les rapports
une assurance reçues ne sont pas signalant des
raisonnable que les enregistrées bons de
réceptions de correctement. commande
Mensuel
marchandises sont M problématiques X X X M D X X X X
traitées complètement, sont examinés sur
exactement et une base
rapidement, par du mensuelle.
personnel habilité.
Majeur : Achats
Sous-processus : Traitement des demandes d’achat
Activité : Créer
C9 Les contrôles donnent
Une facture qui devrait La sécurité des
une assurance être payée après applications est
raisonnable que les
rapprochement avec un telle que l’accès
factures sont établies
bon de commande est aux transactions
Permanent
Figure 6. Suite.
16
GTAG – Approches de la revue des contrôles applicatifs et
autres considérations – 5
Prév./détect.
Objectifs de
Activités de
probabilité
Fréquence
Man/Auto
Enregistré
Résultats
Efficacité
op. (O/N)
des tests
contrôle
Numéro
Classifié
contrôle
Impact/
Risques
C (O/N)
Diffusé
Rapide
Evalué
Notes
Réel
II/C
AC
EC
ER
S
Majeur : Achats
Sous-processus : Traitement des demandes d’achat
Activité : Créer
C12 Les contrôles Les décaissements L’application
donnent une enregistrés diffèrent créances
assurance des montants payés. fournisseurs
raisonnable que établit les chèques
le règlement ou procède
Permanent
des fournisseurs aux paiements
est effectué F électroniques X A P X X X X X X
complètement, automatiquement,
exactement, par du sur la base de la
personnel habilité. valeur des factures
validées, en fonction
des modalités de
règlement des
fournisseurs et du
système.
C13 Les contrôles donnent Les décaissements L’accès est réservé
une assurance effectués ne sont pas au personnel
Permanent
raisonnable que enregistrés. autorisé à établir
le règlement des E des chèques. X A P X X X X
fournisseurs est
effectué complètement,
exactement, par du
personnel habilité.
C14 Les contrôles Des décaissements L’application
donnent une fictifs sont enregistrés. créances
assurance fournisseurs
raisonnable que procède à une
Permanent
Figure 6. Suite.
17
GTAG – Annexes – 6
Annexe A: Contrôles applicatifs courants et pas perdues, supprimées, ajoutées, dupliquées ou indûment
propositions de tests modifiées. Les contrôles des entrées informatisés comprennent
Les paragraphes qui suivent décrivent les contrôles applicatifs des procédures de vérification et de validation des données
communs avec les tests proposés pour chaque contrôle. Le telles que les chiffres clés, le nombre d’enregistrements, les
tableau a été communiqué par le groupe AXA.17 totaux de contrôle et les totaux financiers de contrôle, tandis
que les routines d’édition informatisées, conçues pour détecter
Contrôles des entrées les erreurs de données, regroupent des contrôles de la validité
Ces contrôles sont conçus pour apporter une assurance des caractères, des contrôles des données manquantes, des tests
raisonnable que les données reçues pour un traitement de séquence et des contrôles de vraisemblance. Le tableau
informatique sont dûment autorisées et converties dans une ci-après présente les contrôles des entrées et les tests préconisés.
forme assimilable par une machine, et que des données ne sont
Contrôles du traitement
Ces contrôles sont conçus pour apporter une assurance pendant les phases de traitement. Ces contrôles sont les
raisonnable que le traitement des données s’est déroulé totaux intermédiaires, les rapports des totaux de contrôle,
comme prévu, sans omission ni double décompte. Les les contrôles des fichiers et des opérateurs, tels que les labels
contrôles du traitement sont en grande partie les mêmes que externes et internes, les journaux système des opérations
les contrôles des entrées, particulièrement pour les systèmes informatiques et les tests de vraisemblance.
de traitement en ligne, ou en temps réel, mais sont appliqués
Contrôles du traitement
Ces contrôles permettent de vérifier que les données d’entrée valides ont été traitées exactement et complètement
19
GTAG – Annexes – 6
20
GTAG – Annexes – 6
Annexe B: Exemple de plan d’audit Voici les étapes permettant d’atteindre les objectifs ci-dessus :
Les auditeurs internes doivent élaborer et archiver un plan • Étape 1. Réaliser une évaluation des risques (cf. page 7 du
pour chaque mission d’audit. Ce plan doit mentionner présent guide).
les objectifs, l’étendue, les ressources et le programme de • Étape 2. Définir l’étendue de la revue (cf. page 9 du présent
travail. Les objectifs permettent à l’auditeur de déterminer guide).
si les contrôles applicatifs sont bien conçus et fonctionnent • Étape 3. Élaborer et communiquer le plan détaillé de la
efficacement, afin de gérer les risques afférant à la revue (cf. page 10 du présent guide).
communication financière, au respect de la réglementation • Étape 4. Déterminer quelles sont les ressources spécialisées
et aux paramètres opérationnels. Les contrôles applicatifs ont nécessaires (cf. page 10 du présent guide).
pour objectifs de vérifier que (cf. page 2 du présent guide) : • Étape 5. Déterminer si des techniques d’audit informatique
• Les données d’entrée sont exactes, complètes, autorisées et seront nécessaires (cf. page 13 du présent guide).
correctes. • Étape 6. Conduire l’audit (cf. l’exemple de programme
• Les données sont traitées conformément aux objectifs et d’audit ci-dessous). Veuillez noter que cet exemple n’a pas
dans un délai acceptable. pour intention de couvrir tous les tests applicables à votre
• Les données stockées sont exactes et complètes. organisation.
• Les données de sortie sont exactes et complètes.
• Les processus d’entrée, de stockage et de sortie des données
sont archivés.
21
GTAG – Annexes – 6
Les contrôles portant sur les données Se procurer les procédures de saisie des données et vérifier
d’entrée sont conçus et fonctionnent que les individus responsables de la saisie des données ont été
efficacement de manière à veiller à formés à l’élaboration, à la saisie et au contrôle des données
ce que toutes les transactions saisies d’entrée.
seront traitées correctement et
intégralement. Déterminer si les routines d’édition sont intégrées dans
l’application qui vérifie puis rejette les informations entrées
qui ne satisfont pas à certains critères : dates incorrectes,
caractères incorrects, longueurs de champ non valides,
données manquantes et entrées/numéros de transactions en
double (la liste n’est pas exhaustive).
Les contrôles portant sur les données Se procurer les procédures de saisie des données pour le
d’entrée sont conçus et fonctionnent traitement des transactions rejetées et la correction ultérieure
efficacement pour veiller à ce que des erreurs et vérifier que le personnel responsable de la
toutes les transactions rejetées correction des erreurs et de la ressaisie des données a reçu la
aient été identifiées et retraitées formation adéquate.
correctement et intégralement.
Vérifier qu’un mécanisme est en place permettant d’avertir le
propriétaire du processus que des transactions ont été rejetées
ou que des erreurs se sont produites.
22
GTAG – Annexes – 6
Vérifier que tous les fichiers et toutes les données créés pour
être utilisés par d’autres applications ou qui sont transférés à
d’autres applications sont protégés contre toute modification
non autorisée pendant tout le processus de transfert.
Les contrôles sont conçus et Confirmer que les données et programmes d’essais sont
fonctionnent efficacement pour faire en séparés de la production.
sorte que les bons fichiers de données et
bases de données soient utilisés lors du
traitement.
Objectif 2 : Les données sont traitées conformément aux objectifs et dans un délai acceptable.
Les contrôles sur le traitement sont Vérifier que les données de sorties sont examinées ou
conçus et fonctionnent efficacement rapprochées avec les documents source pour en confirmer
pour que toutes les transactions soient l’exhaustivité et l’exactitude, notamment par la vérification
traitées rapidement et durant la des totaux de contrôle.
période comptable correspondante.
Déterminer si l’application contient les routines, qui assurent
que toutes les opérations correctement saisies sont bien traitées
et enregistrées comme prévu pour la période comptable
correspondante.
Les contrôles sur le traitement sont Se procurer les procédures de traitement des transactions
conçus et fonctionnent efficacement rejetées et de correction des erreurs et déterminer si le
pour que toutes les transactions personnel chargé de la correction des erreurs et de la ressaisie
rejetées soient identifiées et des données a reçu la formation adéquate.
rapidement retraitées.
Vérifier qu’un mécanisme avertit le propriétaire du processus
lorsque des transactions ont été rejetées ou que des erreurs
sont survenues.
23
GTAG – Annexes – 6
Les contrôles d’accès logique sont Se procurer la configuration et les procédures d’utilisation des
conçus et fonctionnent efficacement mots de passe et vérifier la présence de critères obligatoires
pour prévenir l’accès, la modification concernant les mots de passe, le renouvellement des mots de
ou la divulgation non autorisés de passe, le verrouillage du compte et la réutilisation des mots
données système. de passe.
Les contrôles sont conçus et Vérifier que la création et la modification des comptes
fonctionnent efficacement pour utilisateurs sont dûment autorisées avant d’accorder ou
veiller à ce que la sauvegarde des de modifier l’accès. (Les utilisateurs sont les utilisateurs
données soit rigoureuse, complète privilégiés, les salariés, les sous-traitants, les fournisseurs
et rapide. et les intérimaires.)
24
GTAG – Annexes – 6
Les contrôles sur les sorties sont Se procurer les procédures de sortie des données, comprendre
conçus et fonctionnent efficacement le processus d’examen et vérifier que les individus responsables
pour veiller à ce que tous les résultats de la saisie sont formés à l’analyse et à la vérification des sorties
issus des transactions soient complets de données.
et précis.
S’assurer que les données de sortie sont examinées ou
rapprochées avec les documents source pour en vérifier
l’exhaustivité et l’exactitude, y compris en vérifiant les totaux
de contrôle.
Les contrôles sur les sorties sont Examiner les procédures existantes sur les sorties de données
conçus et fonctionnent efficacement et déterminer si elles précisent quel personnel les reçoit et
pour veiller à ce que tous résultats comment ces données sont protégées lors de leur diffusion.
issus des transactions soient
diffusés au personnel approprié et
que les informations sensibles et
confidentielles soie nt protégées
durant leur diffusion.
Les contrôles sur les sorties de Vérifier qu’un rapport de sortie a été créé et que la date et
données sont conçus et fonctionnent l’heure du rapport correspondent bien au moment indiqué.
efficacement pour veiller à ce
qu’un rapport de sortie soit créé Vérifier que le rapport couvre la période indiquée par un
au moment indiqué et couvre la rapprochement avec les documents source pour cette période.
période indiquée.
Objectif 5 : Les processus d’entrée, de stockage et de sortie des données sont archivés.
Les contrôles sont conçus et Vérifier l’existence de pistes et journaux d’audit qui confirment
fonctionnent efficacement pour veiller que tous les dossiers ont été traités et permettent de suivre
à ce qu’une piste d’audit soit générée la transaction de la saisie des données à leur stockage et à
et actualisée pour toutes les données leur sortie.
relatives aux transactions.
Vérifier l’existence de rapports d’audit qui retracent
l’identification et le retraitement des transactions rejetées.
Ces rapports doivent contenir une description claire de la
transaction rejetée, de la date et de l’heure indiquées.
25
GTAG – Glossaire – 7
Glossaire
Contrôles applicatifs : Chaque application a ses propres Risque : possibilité que se produise un événement qui aura un
contrôles, qui portent sur les transactions et les données impact sur la réalisation des objectifs. Le risque se mesure en
relatives à chaque système d’applications informatisées. Les termes de conséquences et de probabilité.18
contrôles ont pour objectif de veiller à l’exhaustivité et à
l’exactitude des données enregistrées, ainsi qu’à la validité des Séparation des fonctions : contrôles qui préviennent le risque
entrées effectuées dans le cadre des traitements automatisés. d’erreurs et d’irrégularités en assignant à des individus distincts
Exemples de contrôles applicatifs : validation des données la responsabilité d’engager des transactions, de les enregistrer
d’entrée, concordance des totaux de contrôle et chiffrement et de superviser les actifs. La séparation des fonctions est
des données transmises. couramment utilisée dans les organisations dont le personnel
est nombreux, afin qu’aucun individu ne soit en mesure de
Contrôles des données d’entrée : le contrôle des données en commettre une fraude sans que cela soit détecté.
entrée portent sur l’exactitude, l’exhaustivité et l’actualisation
des données, pendant leur conversion, après leur saisie sur un Systèmes ou progiciels de gestion intégré (ERP) : L’ERP
ordinateur, ou dans une application. La saisie des données dans recouvre la planification et la gestion des ressources dans une
une application informatique peut être manuelle et en ligne, entreprise, ainsi que l’utilisation d’un logiciel qui gère l’ensemble
ou automatisée et par lots. des processus de l’entreprise. Il intègre à ce titre les achats,
les stocks, les effectifs, le service après-vente, l’expédition, la
Contrôles des données de sortie : les contrôles des données gestion financière et d’autres aspects de l’activité. Ce système
en sortie portent sur l’intégrité des informations de sortie, ainsi s’appuie généralement sur une base de données commune, des
qu’à la diffusion conforme et rapide des données produites. modules intégrés et des outils d’analyse de l’activité.19
Celles-ci peuvent se présenter sur un support physique, comme
les fichiers servant de données d’entrée dans d’autres systèmes,
ou être consultées en ligne.
26
GTAG – Bibliographie – 8
Bibliographie
• GTAG 4 : Management de l’audit des systèmes
d’information.
• GTAG 1 : Les contrôles des technologies de
l’information.
• ISACA, IS Auditing Guideline — Application
Systems Review, Document G14.
• COSO’s Internal Control over Financial Reporting —
Guidance for Smaller Public Companies.
• PCAOB, Auditing Standard No. 5, An Audit of
Internal Control Over Financial Reporting That is
Integrated with An Audit of Financial Statements,
paragraphes B29 - 30.
• Norme 1220 de l’IIA : Conscience professionnelle.
• Norme 1210.A3 de l’IIA.
• Norme 1130.C1 de l’IIA
• Groupe AXA, Common Application Controls
and Suggested Testing.
•• ISACA: Certified Information Systems Auditor
Glossary.
•• Professional Practices Framework de l’IIA.
27
GTAG – Les auteurs – 9
28
Audit des contrôles applicatifs
Les contrôles applicatifs portent sur les processus d’entreprise ou les systèmes d’applications (édition de don-
nées, séparation des fonctions d’entreprise, balance des totaux de contrôle, journalisation des transactions ou
rapports d’erreurs). L’efficacité des contrôles applicatifs garantira à votre organisation l’intégrité, l’exactitude,
la confidentialité et l’exhaustivité de ses données et systèmes. Le présent guide renseigne les responsables de
l’audit interne sur ce qu’est un contrôle applicatif, ses relations avec les contrôles généraux, l’étendue d’une re-
vue des contrôles applicatifs fondé sur les risques, les étapes d’une telle revue, énumère les principaux contrôles
d’application, et enfin propose un exemple de plan d’audit.
Pour attribuer une note à ce guide ou formuler des commentaires, veuillez vous rendre sur
www.theiia.org/GTAG.
ISBN 978-0-89413-613-9
www.theiia.org