Vous êtes sur la page 1sur 198

Les moyens de paiement dans le secteur du e-commerce :

proposition d'une méthodologie d'audit pour le réviseur

HAAS, Sébastien

Mai 2015
Bibliotique : la richesse documentaire de la profession !

Depuis 1986, Bibliotique, Centre de documentation des experts-comptables et des


commissaires aux comptes, est le seul centre de documentation privé en France spécialisé
en comptabilité et audit.

Bibliotique offre à la profession des services et des produits utiles aux confrères : base de
données en ligne, service de veille, recherches bibliographiques, accès aux documents,…

Depuis mars 2007, Bibliotique permet aux professionnels


comptables d’accéder à sa base de données sur le site
Bibliobaseonline.com, sur les thèmes de la comptabilité, de l’audit, des pratiques
professionnelles, du droit social, du droit fiscal, du management et de l’économie et des
finances.

Avec Bibliovigie.com, le premier service quotidien d’actualité


comptable et juridique en ligne, Bibliotique, en partenariat avec
Legalnews, réponds aux besoins des professionnels, face à une information de plus en plus
dense et complexe.

Connectez vous sur www.bibliotique.com pour découvrir nos produits et services.

Nous contacter :
 accueil@bibliotique.com
 19, rue Cognacq-Jay – 75741 Paris Cedex 07
 Tél.: 01 42 12 85 55
 Fax : 01 47 66 20 95

www.bibliotique.com
Remerciements

Bibliotique tient à remercier l’auteur pour avoir autorisé la diffusion de son mémoire
d’expertise comptable. Il permet ainsi à la profession d’accéder à un fonds
documentaire inestimable par sa richesse et son caractère unique.

Avertissements

L'utilisation de ce document est réservée à un usage strictement personnel. Toute


reproduction ou représentation, en tout ou partie, à d'autres fins sur un quelconque
support est interdite. Le non-respect de cette interdiction constitue une contrefaçon
pouvant engager la responsabilité civile et pénale du contrefacteur.

Remarques

Dans la mesure du possible, Bibliotique communique une version numérique identique


en tout point à l’exemplaire déposé par le candidat au diplôme d'expertise comptable.
Toutefois, si à la lecture de ce mémoire des éléments étaient amenés à manquer, nous
vous invitons à les demander à l'équipe de Bibliotique (accueil@bibliotique.com) qui
vous les communiquera dans la mesure du possible.
Note à l’attention du Jury

Conformément aux remarques formulées par le jury d’agrément, la rédaction du


mémoire appelle les commentaires suivants :

 le mémoire présente une méthodologie pour le commissaire aux comptes

mais qui pourrait être intéressante pour l’expert-comptable dans le cadre d’un
audit contractuel ;

 le titre a été modifié afin d’apporter des précisions sur la problématique ;

 la répartition des pages entre les parties a été légèrement modifiée dans le but

de privilégier la seconde partie qui constitue l’apport du mémoire ;

 le plan de ce mémoire est identique à celui de la notice agréée.

Page | 1
Sommaire

NOTE DE SYNTHESE ........................................................................................... 7


INTRODUCTION ................................................................................................... 9
PARTIE 1 : DEVELOPPEMENT DU E-COMMERCE ET ANALYSE DES
RISQUES ASSOCIES AUX MOYENS DE PAIEMENT UTILISES PAR LES
ACTEURS DU SECTEUR .....................................................................................12
CHAPITRE 1 : LE SECTEUR DU E-COMMERCE..........................................................12
Section 1 : Un secteur économique en plein développement.............................12
1. Présentation du e-commerce ................................................................12
1.1 Définition du e-commerce ................................................................12
1.2 Echange électronique entre entreprises, appelé B2B (acronyme
anglais de Business to Business) ..............................................................13
1.3 Commerce électronique à destination des particuliers, appelé B2C
(Business to Consumer). ..........................................................................14
1.4 Commerce électronique entre particuliers, appelé C2C (Consumer to
Consumer) ...............................................................................................15
1.5 Echange électronique entre les entreprises privées et le gouvernement,
appelé B2G (Business to Government) ou B2A (Business to
Administration). ......................................................................................16
1.6 Le phénomène des places de marché ou « market place ».................16
2. Les principaux acteurs .........................................................................17
2.1 Top 15 des sites de e-commerce en France (Nov. 2013) ...................17
2.2 Distributeurs traditionnels ou « click and mortar » ...........................17
2.3 Pure Players ou « click and order » ..................................................18
2.4 Véadiste ...........................................................................................19
3. Un marché en pleine expansion............................................................19
3.1 Les ventes sur internet franchissent la barre des 50 milliards d’euros
en 2013....................................................................................................19
3.2 Les perspectives d’avenir .................................................................21
Section 2 : Un environnement juridique de plus en plus réglementé.................23
1. Principaux textes et dispositions applicables ........................................23
2. Principales conséquences de cette législation .......................................26

Page | 2
2.1 Le contrat entre le vendeur et le consommateur................................26
2.2 Le consommateur ............................................................................27
CHAPITRE 2 : LES DIFFERENTS MOYENS DE PAIEMENT ...........................................29
Section 1 : Un environnement réglementé........................................................29
1. Principaux textes et dispositions applicables ........................................29
1.1 Dispositions européennes .................................................................29
1.2 En droit français, deux lois concernent spécifiquement ce sujet ........30
2. Principales conséquence de cette législation.........................................31
2.1 L’Espace unique de paiement en euros (SEPA) ................................31
2.2 La monnaie électronique ..................................................................31
2.3 M-Paiement .....................................................................................32
3. Dénonciation de la Directive Services de paiement par la communauté
bancaire française ........................................................................................32
Section 2 : Description des différentes familles................................................32
1. Acteurs spécialisés dans les services de paiement sur Internet ..............33
1.1 Définition du Porte-monnaie électronique ou wallet .........................33
1.2 Dispositif sécurisé installé sur des appareils électroniques portables :
exemple de PayPal...................................................................................33
1.3 Carte bancaire prépayée : exemple de Kwixo ...................................34
2. Acteurs traditionnels : carte virtuelle dynamique..................................34
3. Opérateurs téléphoniques .....................................................................35
3.1 Buyster ............................................................................................35
3.2 Smartphone et e-Wallet ....................................................................35
4. Systèmes de paiement par carte............................................................36
4.1 American Express ............................................................................36
4.2 Cartes Bancaires (dites « CB »)........................................................37
4.3 Visa Europe France..........................................................................37
5. Autres moyens .....................................................................................37
5.1 Chèque ............................................................................................37
5.2 Facilités de paiement .......................................................................38
5.3 Carte/Chèque Cadeau.......................................................................38
5.4 Prélèvement/Virement bancaire .......................................................38
6. Les monnaies virtuelles .......................................................................39
6.1 Bitcoin .............................................................................................39

Page | 3
6.2 Amazon Coin ...................................................................................39
Section 3 : Panorama des moyens utilisés dans le secteur du e-commerce .......40
1. Situation de l’utilisation des moyens de paiement des sites de e-
commerce ....................................................................................................41
2. Situation de l’utilisation des moyens de paiement des sites de e-
commerce ....................................................................................................42
CHAPITRE 3 : LA FRAUDE DANS LE SECTEUR DU E-COMMERCE ..............................43
Section 1: Etat des lieux de la sécurisation des moyens de paiement................43
1. Evolution de la fraude dans le secteur du e-commerce .........................43
1.1 Evolution de la fraude ......................................................................43
1.2 Etat des lieux aujourd’hui ................................................................44
2. Le mécanisme de la fraude aux moyens de paiement ...........................46
2.1 Les méthodes de fraude aux moyens de paiement ............................46
2.2 Analyse du risque sur les produits ....................................................47
2.3 Deux catégories des fraudeurs (cf. annexe 4)....................................49
3. Risques associés, enjeux et réponses du secteur ...................................50
3.1 Risque financier : Chargeback .........................................................50
3.2 Risque de détérioration de l’image ...................................................51
3.3 Réponses du secteur pour diminuer la fraude ...................................51
3.4 Les enjeux à venir ............................................................................54
Section 2 : Environnement légal et réglementaire ............................................56
4. Environnement légal ............................................................................56
4.1 Lutte contre la fraude .......................................................................56
4.2 Lutte contre le blanchiment ..............................................................56
5. Conformité aux normes de sécurité PCI DSS .......................................57
PARTIE 2 : METHODOLOGIE D’AUDIT DES MOYENS DE PAIEMENT DANS
LE E-COMMERCE ET COUVERTURE DES RISQUES ASSOCIES ...................59
CHAPITRE 1 : DEMARCHE D’AUDIT DU COMMISSAIRE AUX COMPTES ......................60
Section 1: Environnement réglementaire du commissaire aux comptes ............60
1. Normes d’Exercices Professionnelles encadrant l’objet du mémoire ....61
2. Lutte contre le blanchiment des capitaux et financement du terrorisme 63
Section 2: Méthodologie d’audit par les risques ..............................................64
1. Approche par les risques ......................................................................64
2. Stratégie d’audit ..................................................................................65

Page | 4
3. Audit informatique ..............................................................................66
3.1 Méthodologie d’audit des systèmes d’information ...........................66
3.2 Analyse de données dans le cadre de la mission d’audit ...................67
3.3 Mise en œuvre de l’audit informatique .............................................67
CHAPITRE 2: PROPOSITION D’UNE METHODOLOGIE POUR L’AUDITEUR ...................69
Section 1 : Première phase : prise de connaissances de l’environnement.........69
1. Cadre de contrôle interne .....................................................................69
1.1 Contrôle du risque de fraude du site .................................................69
1.2 Pression concurrentielle sur le Chiffre d’Affaires .............................70
1.3 Conformité du site marchand à la réglementation .............................71
1.4 Reconnaissance du Chiffre d’Affaires publicité................................71
2. Prise de connaissance de l’environnement informatique .......................72
2.1 Prise de connaissance de l’environnement informatique ...................72
2.2 Cartographie des systèmes et applications ........................................72
3. Identification des flux intervenant dans le processus ............................73
3.1 Identification des flux liés aux moyens de paiement .........................74
3.2 Test de cheminement et cartographie spécifique...............................75
4. Appréhension du risque de fraude ........................................................77
4.1 Risque d’une information financière frauduleuse .............................78
4.2 Risque de détournements d’actifs .....................................................79
4.3 Risque de blanchiment d’argent et d’utilisation frauduleuse de
moyens de paiement ................................................................................80
Section 2 : L’évaluation du contrôle interne, outil indispensable .....................81
1. Contrôle généraux informatiques .........................................................81
1.1 Revue des contrôles généraux informatiques ....................................81
1.2 Revue du cadre réglementaire : Protocole PCI DSS .........................83
1.3 Revue des Contrôle Généraux Informatiques dans le cadre de la revue
des moyens de paiement ..........................................................................84
1.4 Conclusion de ces tests et conséquence sur les contrôles applicatifs .87
2. Contrôles applicatifs des processus clés ...............................................87
2.1 Stratégie de test................................................................................88
2.2 Revue des contrôles applicatifs des processus clés des moyens de
paiement ..................................................................................................92
2.3 Conclusion de ces tests et conséquence sur la stratégie d’audit .........92

Page | 5
Section 3 : Détermination des procédures substantives....................................93
1. Stratégie d’audit permettant de déterminer un programme de travail ....93
1.1 Seuil de signification .......................................................................93
1.2 Profil de risque ................................................................................95
1.3 Adaptation des procédures/niveau de risque .....................................95
2. Mise en œuvre des procédures substantives .........................................96
2.1 Les procédures substantives .............................................................96
2.2 Revue des procédures substantives des processus clés des moyens de
paiement ..................................................................................................97
Section 4 : Présentation des recommandations .............................................. 103
1. Nature des anomalies identifiées ........................................................ 103
2. Communication avec le gouvernement d’entreprise ........................... 104
Section 5 : Synthèse de la méthodologie ........................................................ 105
1. Particularités de la méthodologie ....................................................... 105
2. Intérêt de la méthodologie.................................................................. 106
CONCLUSION .................................................................................................... 108
GLOSSAIRE ........................................................................................................ 110
ANNEXES ........................................................................................................... 118
BIBLIOGRAPHIE ................................................................................................ 191

Page | 6
Note de synthèse

Le secteur du e-commerce en France est un des secteurs économiques les plus


prospères. La croissance du secteur est cinq fois supérieure à celle du commerce
traditionnel. En 2014, son chiffre d’affaires s'est élevé à 57 milliards d’euros, soit
une augmentation de 11 % en un an. Cette augmentation est due en partie à un effet
volume avec des clients de plus en plus nombreux d’année en année. En 2013, le
nombre d’internautes et le nombre d’e-acheteurs ont une croissance de 5 % chacun,
pour atteindre respectivement 43,2 et 33,7 millions de personnes en France.

La croissance du nombre de commerçants est supérieure à celle du marché : 17% en


2013 avec 20 000 nouveaux sites lancés, portant le total à 157 300 sites actifs. En
dépit de cette hausse du nombre de sites marchands actifs, la grande majorité de ces
acteurs restent de petite taille : 66% réalisent un chiffre d'affaires annuel inférieur à
30 000 euros. Seuls 4% des commerçants franchissent le million d'euros de revenus.
Les leaders, un millier de sites réalisant plus de 10 millions d'euros de chiffre
d'affaires par an, représentent ainsi 67% des ventes du secteur en France en 2014. Ce
secteur très porteur offre un marché important pour notre profession. Le dynamisme
du marché et l’absence de support physique de la carte bancaire au moment du
paiement exposent le secteur du e-commerce à un risque de fraude inévitable. Celle-
ci s’est organisée et structurée, induisant ainsi d’importants préjudices financiers
pour les e-commerçants.

Ce mémoire s’adresse à l’ensemble des commissaires aux comptes, mais également


des experts-comptables, ayant une mission de révision d’une société opérant dans le
secteur du e-commerce qui souhaiteraient répondre aux interrogations suivantes :
 Quels sont les différents moyens de paiement utilisés par les marchands ?
 Quels sont les risques associés à ces moyens de paiement pour la société ?
Par ailleurs, s’ils ne sont pas intégrés dans sa démarche d’audit, quels sont les
risques pour le commissaire aux comptes ?
 Comment est appréhendé le risque de fraude chez mon client ?
 Du fait de la multiplicité des transactions bancaires, comment utiliser les
travaux sur les moyens de paiement pour auditer le chiffre d’affaires de mon
client ?

Page | 7
La présentation des caractéristiques des sociétés du secteur dans la première partie du
mémoire met en évidence quatre enjeux majeurs pour le professionnel ; à savoir :
 Importance significative des systèmes d’information : du fait de
l’impossibilité de revoir l’exhaustivité des flux, la compréhension de leur
fonctionnement et l’appréciation de leur intégration globale sont un enjeu
majeur de la mission de l’auditeur.
 Protection de la société contre la fraude client : les pertes latentes peuvent
être significatives en cas d’absence de protection de la société avec des
impayés et des pertes de stocks, du blanchiment d’argent ou le vol des
comptes clients.
 Difficulté d’identifier les transactions du fait de la multiplicité des flux avec
comme conséquence l’absence de traçabilité de ces flux et comme
problématique pour l’auditeur :
 La gestion du rapprochement des divers moyens de paiement ;

 La gestion des écarts d’affectation.

 Respect de la réglementation liée aux moyens de paiement.

Ces situations nécessitent la mise en place d’une démarche d’audit et des outils
appropriés pour que l’auditeur puisse appréhender les risques associés à ces
opérations, les procédures classiques de revue du chiffre d’affaires et des comptes
clients n’étant pas applicables aux sociétés de e-commerce. La seconde partie de ce
mémoire propose une méthodologie innovante adaptée à ces caractéristiques reposant
sur :
 Une approche d’audit basée sur l’appréciation du contrôle interne de son
client : les outils présentés permettent au professionnel de s’assurer qu’il peut
se reposer sur ce contrôle interne.
 Une revue de l’environnement informatique, de la fiabilité et de la qualité des
contrôles mis en place notamment afin de couvrir le risque de fraude lui
permettant d’apprécier la qualité comptable de son client.
 Des procédures substantives adaptées aux clients du secteur.
Chaque phase de la mission est illustrée par des outils pratiques (questionnaires
d’audit, matrices de risques, etc.) aboutissant à la constitution d’un dossier de travail
type et répondant à un certain nombre de Normes d’Exercices Professionnelles de la
profession.

Page | 8
Introduction

En France, les origines du commerce électronique remontent aux années 1980 au


moment des premières transactions par minitel. Les débuts du e-commerce ont
commencé au cours des années 19901 et se sont développés au début des années
2000 avec la création des premiers sites « vitrine » par les entreprises américaines et
européennes, où les produits et les prestations de services y sont présentés. Au cours
des années 2000, les sites lancent les premiers sites marchands et des achats se
multiplient principalement via les cartes bancaires, les internautes se sentant de plus
en plus rassurés. Parallèlement les sites de paiements en ligne comme PayPal,
rendant les transactions plus faciles et sécurisées, se développent.
Malgré l’effondrement de la « bulle internet », la progression du secteur se maintient
avec la création de nombreuses enseignes commerciales sur internet, s’inspirant des
deux grands pionniers du secteur : Ebay et Amazon. Les articles les plus rencontrés
sur les sites de vente en ligne étaient il y a quelques années les livres, les supports
audio et vidéo, les jeux vidéo, les effets vestimentaires, les produits cosmétiques.
Mais, avec le développement des sites Business to Business, le marché s’est étendu à
de nombreux secteurs d’activités comme le voyage, l’immobilier, l’assurance,
l’automobile, l’informatique, la santé, le bien-être, la décoration, le mobilier, la
quincaillerie…
D’après les chiffres communiqués par la FEVAD2 début 2015, les ventes sur internet
ont continué de progresser fortement en 2014, malgré le contexte économique.
Globalement ce secteur a représenté 57 milliards d’euros, soit une hausse de 11% sur
un an. Le nombre de transactions augmente quant à lui de 15%. Le marché du e-
commerce en France représente en 2014 9% du commerce de détail hors produits
alimentaires. Le dynamisme du marché et l’absence de présence physique de la carte
bancaire au moment du paiement (plus de 80 % des clients ont recours au paiement

1
http://le-ecommerce.e-monsite.com/pages/histoire.html
2
La Fédération du e-commerce et de la vente à distance, créée en 1957, fédère aujourd'hui 590
entreprises et 800 sites internet. Elle est l’organisation représentative du secteur du commerce
électronique et de la vente à distance. La Fevad a notamment pour mission de recueillir et diffuser
l’information permettant l’amélioration de la connaissance du secteur et d'agir en faveur du
développement durable et éthique de la vente à distance et du commerce électronique en France.

Page | 9
par carte bancaire pour payer en ligne) exposent le secteur du e-commerce à un
risque de fraude inévitable.
Depuis 2010, celle-ci a connu de profondes mutations. Elle s’est organisée et
structurée, induisant ainsi d’importants préjudices financiers pour les e-commerçants.
En 2012, le taux de fraude constaté par la Banque de France pour les paiements en
ligne, par carte bancaire, était de 0,29 %. En projetant le taux de la Banque de France
sur le marché global, cette fraude représenterait près de 150 millions d’euros3. En
effet ce sont les e-commerçants, et non les établissements bancaires qui prennent en
charge cette fraude.

Les experts comptables et commissaires aux comptes sont donc amenés à intervenir
de plus en plus sur des sociétés du secteur. Les sociétés n’ayant pas ou peu de
créances clients (majeur parti des encaissements se fait lors de la commande), l’audit
de ce secteur d’activité ne répond pas aux procédures classiques de révision,
notamment celle des encaissements. Par ailleurs les a priori en matière d’audit des
encaissements par les sociétés de e-commerce peuvent être multiples :
 Les risques financiers éventuels liés à la fraude sont pris en charge par le
partenaire bancaire ;
 Seules les sociétés majeures nécessitent la revue de l’environnement
informatique ;
 Lors des travaux d’audit, la seule validation du rapprochement entre les flux
liés aux différents moyens de paiement issus du site et ceux du partenaire
ainsi que la vérification des écritures liées à la séparation des exercices
suffisent à s’assurer de la correcte comptabilisation du chiffre d’affaires.

Ce mémoire démontrera les limites de ces idées reçues et sera décliné en deux
parties :
 La première partie consistera en la présentation du e-commerce et l’analyse
des risques associés aux moyens de paiement utilisés par les acteurs du
secteur, et notamment :
 Ce que couvrent le secteur du e-commerce et l’expansion du nombre

d’acteurs ;

3
Selon une étude réalisée par FiaNet

Page | 10
 Les intérêts qui incitent les acteurs à utiliser chaque famille de moyens de

paiement ;
 La typologie des différentes fraudes rencontrées et leurs enjeux pour une

société de e-commerce ;
 Les risques qui en découlent sur la responsabilité du professionnel s’il ne

les intègre pas dans sa stratégie d’audit.


 La seconde partie présente une mise en œuvre pratique de la démarche
d’audit du professionnel lorsqu’il a à contrôler une société du e-commerce.
Elle précise, pour chacune des phases de la mission de l’auditeur la démarche
qu’il convient d’adopter.
Pour ce faire, les cinq étapes suivantes seront successivement abordées :
 La prise de connaissance générale de l’organisation et de la stratégie de

l’entité et plus particulièrement la cartographie des flux ;


 L’évaluation des contrôles généraux informatiques ;

 L’évaluation du contrôle interne ;

 Le contrôle des comptes ;

 La présentation des conclusions.

Page | 11
Partie 1 : Développement du e-commerce et analyse des
risques associés aux moyens de paiement utilisés par les
acteurs du secteur

L’objet de cette partie est de dresser l’état des lieux du secteur du e-commerce, de
son environnement, des spécificités des moyens de paiement ainsi que le risque de
fraude lié à ceux-ci. Il a pour but de présenter les enjeux et les risques auxquels le
professionnel devra répondre dans la méthodologie présentée en seconde partie.

Chapitre 1 : Le secteur du e-commerce

Section 1 : Un secteur économique en plein développement

1. Présentation du e-commerce

1.1 Définition du e-commerce

On appelle « Commerce électronique » (ou e-commerce ou encore vente en ligne)


l'utilisation d'un média électronique pour la réalisation de transactions commerciales.
Selon la définition retenue par l'OCDE, le e-commerce est « la vente ou l'achat de
biens ou de services, effectué par une entreprise, un particulier, une administration ou
toute autre entité publique ou privée, et réalisé au moyen d'un réseau électronique ».
L’OCDE précise la distinction suivante afin de faciliter la compréhension de cette
définition par les Etats membres :
 La livraison et le paiement des biens commandés ne sont pas obligatoirement
effectués en ligne alors que la commande de ces derniers doit être réalisée par
l’intermédiaire d’un « réseau électronique » ;
 Cette notion de « réseau électronique » est limitée à Internet.

La loi pour la confiance dans l'économie numérique (LCEN), n° 2004-575 du 21 juin


2004 donne une définition du secteur dans son article 14 : « Le commerce
électronique est l’activité économique par laquelle une personne propose ou assure à
distance et par voie électronique la fourniture de biens ou de services ».

Page | 12
Les personnes qui fournissent des « informations en ligne, des communications
commerciales ou des outils de recherche, d’accès ou de récupérations de données,
d’accès à un réseau de communication ou d’hébergement d’informations » sont
également concernées par les articles relatifs au commerce électronique.

1.2 Echange électronique entre entreprises, appelé B2B


(acronyme anglais de Business to Business)

Le B2B est le nom donné à l'ensemble des architectures techniques et des logiciels
informatiques permettant de mettre en relation des entreprises, dans un cadre de
relations clients/fournisseurs. Cet échange se traduit notamment à travers le site web
de l'entreprise, son extranet (intranet de l'entreprise connecté aux intranets des
fournisseurs, des sous-traitants, des clients, des distributeurs et des partenaires).
L'objectif du B2B est la collaboration entre entreprises :
 en reliant en direct l'entreprise sur son environnement économique ;
 en traçant les produits et en supervisant les opérations sur la totalité de la
chaîne ;
 en accédant à des communautés globales pour acheter ou vendre.
Les produits et services proposés par les sociétés du marché sont principalement les
fournitures de bureau, les produits de haute technologie et les services liés aux
solutions informatiques (espace cloud, stockage et partage de données…).

Le B2B est apparu en France dès la fin des années quatre-vingt dans les grandes
entreprises avec la mise en place d’échanges de données informatisées (EDI) entre
fournisseurs et acheteurs. Il a pris son essor au milieu des années 1990 parallèlement
au développement des technologies Internet qui ont permis la généralisation des
transactions en ligne.

Alors que l’e-commerce grand public connaît une forte croissance, la pénétration de
l’e-commerce dans les entreprises semble encore en deçà du potentiel réel de ce
marché (80% des professionnels interrogés par la FEVAD préparent largement leurs
achats à partir des catalogues). Néanmoins Internet est le seul canal de commandes
professionnelles dont l’utilisation augmente (55% des professionnels déclarent
l’utiliser de plus en plus souvent d’après la FEVAD). Bien que ce marché représente
71 milliards d’euros en 2012 (contre 40 milliards en 2007), il ne progresse que de

Page | 13
10% par an depuis 2010 (7% en 2013).
La France est en retard par rapport aux autres pays européens concernant la part des
sociétés achetant en ligne (20% en 2013, contre 37% en moyenne en 2013 dans les
autres pays européens selon la FEVAD).
L’analyse comparative des marchés grand public et interentreprises en France fait
ressortir 5 différences structurelles majeures :
 Un marché hétérogène avec des attentes sectorielles différentes ;
 Un spectre large de produits parfois complexes ;
 La complexité de gestion inhérente à l’activité B2B ;
 Le poids des canaux de distribution existants ;
 Une décision d’achat plus impliquante.

1.3 Commerce électronique à destination des particuliers,


appelé B2C (Business to Consumer).

Le B2C concerne l'utilisation de supports électroniques pour tout ou partie des


relations commerciales entre une entreprise et les particuliers :
 Publicité ;
 Présentation de catalogue ;
 Service d'information interactif ;
 Commande en ligne ;
 Paiement électronique ;
 Distribution de produits grand public (électronique, commerce de produits
culturels, habillement…) ;
 Services en ligne (service après-vente, voyages, téléchargement…).
Le développement d’internet dans les années 2000 a engendré une croissance
significative de l’offre proposée par les marchands en ligne passant d’une offre très
spécialisée (notamment électronique) à une offre beaucoup plus diversifiée intégrant
de nombreux services.
Souvent plus médiatisée que le B2B, l’activité B2C représente cependant moins de
20% des échanges commerciaux. Pour autant ce marché est en pleine croissance avec
plus de 600 millions de transactions en 2013 (+17.5% par rapport à 2012). Le chiffre
d’affaires du e-commerce B2C en France a été multiplié par deux depuis 2009
passant de 25 à 51 milliards d’euros en 2013 (+13.5% par rapport à 2012).

Page | 14
1.4 Commerce électronique entre particuliers, appelé C2C
(Consumer to Consumer)

Les échanges C2C désignent l'ensemble des échanges de biens et de services entre
plusieurs consommateurs sans passer par un intermédiaire (immobilier, bourses,
annonces, échanges...).
Tandis que les marchés traditionnels requièrent des relations B2C, où le particulier
fait appel à une entreprise, les marchés C2C mettent en place un environnement où
les particuliers peuvent s'échanger des biens ou des services entre eux (ce qui
s’apparente au troc).

Le développement d’Internet a joué un rôle majeur dans le C2C. Il permet de


dépasser les barrières géographiques ou les barrières économiques fixées par le
marché. Le C2C se porte bien en 2013, et trouve un nouveau souffle avec la
« sharing economy », économie du partage ou économie collaborative, qui croît très
rapidement.

D'après une étude Opinion Way publiée en 2013 en collaboration avec Price Minister
et La Poste :
 89% des internautes considèrent Internet comme un des deux moyens les plus
efficaces pour vendre et acheter entre particuliers. Loin derrière, on trouve les
brocantes et vide greniers avec 47%.
 79% des internautes ayant vendu au moins un produit au cours des 12
derniers mois, l’ont fait sur Internet (78% en 2012) ;
 75% ont réalisé l’achat d’au moins un produit sur les 12 derniers mois (77%
en 2012).

Les grandes plateformes de C2C sont généralistes (comme eBay) ou bien


spécialisées (Price Minister, Chapitre, etc.). Il peut également s'agir d'un service
dédié qui s'ajoute à une activité de commerce de produits neufs (Amazon, Alapage).
La plateforme majeure reste eBay. Le Bon coin est le leader des sites français de
C2C, avec 17.5 millions de visiteurs uniques par mois, 22 millions d'annonces
disponibles et 92 millions d'euros de chiffre d’affaires (chiffres 2012).

Page | 15
1.5 Echange électronique entre les entreprises privées et le
gouvernement, appelé B2G (Business to Government) ou
B2A (Business to Administration).

Le B2G, variante du B2B, définit les activités commerciales entre entreprises privées
et organisations gouvernementales.
Dans l'e-économie, le B2G concerne les sites Internet développant une activité
commerciale entre une ou des entreprises privées et une ou des organisations
gouvernementales.
Les réseaux B2G font des propositions présentées comme des sollicitations sous la
forme d'appels d'offres qui se font d'une manière d'enchères inversées.

1.6 Le phénomène des places de marché ou « market place »

La croissance du secteur du e-commerce (cf. paragraphe suivant) ne laisse pas


indifférent. Certains acteurs de la vente traditionnelle font le choix de partenariats
avec les sites marchands via les places de marché. Les places de marché ou « market
place » en anglais, consistent pour un marchand dont l'activité propre draine un fort
trafic à accueillir d'autres sites de marque, ou même de distributeurs profitant de son
audience, voire des particuliers. Ces marchands se rémunèrent en touchant des
royalties sur les ventes. Ce sont les revenus de ces places de marché qui assurent la
rentabilité des sites Amazon, Cdiscount, Fnac et eBay.

Selon la FEVAD, le volume d'activité de ces places de marché a progressé de 60 %


au quatrième trimestre 2012 et représentent désormais « environ 10 % du chiffre
d'affaires annuel » des sites qui les exploitent.

Le secteur du e-commerce, qui ne représente encore que 8% du commerce de détail


non alimentaire français, n'est plus l’activité des seuls « pure players », mais est
concurrencé par les enseignes traditionnelles devenues multicanales et par d'autres
acteurs moins importants se positionnant sur une « market place ».

Page | 16
2. Les principaux acteurs

2.1 Top 15 des sites de e-commerce en France (Nov. 2013)

Amazon reste leader avec 17,5 millions de visiteurs par mois (au 4ème trimestre
2014), les enseignes physiques ont décidé de remonter la pente avec la Fnac à la 3ème
place (10,7 millions de visiteurs) ou encore Carrefour à la 5ème place (7,6 millions de
visiteurs).
Le tableau en annexe 1 recense le classement des 15 principaux sites de e-commerce
les plus visités en France en octobre-novembre 2014.

Selon le baromètre Médiamétrie//NetRating4, en octobre-novembre 2013, près de


deux internautes sur trois (64.6%) ont consulté chaque mois au moins un des sites du
Top 15 e-commerce. Au total, ce sont en moyenne 30,1 millions d’internautes qui
ont consulté au moins un des sites du Top 15 au cours de cette période, soit 2.7% de
plus qu’un an auparavant.

2.2 Distributeurs traditionnels ou « click and mortar »

Depuis quelques années les distributeurs traditionnels s’activent pour rattraper leur
retard sur internet, avec des capacités d'investissement significatives. Une des
stratégies pour accélérer est le rachat d'acteurs en place : Auchan avec le site
Grosbill, Casino avec CDiscount, l'enseigne Mr Bricolage avec Le Jardin de
Catherine ou le groupe Adeo (Leroy Merlin) avec Delamaison.fr.

La plupart des autres enseignes classiques de la distribution ont créé leur site e-
commerce. On considère qu’elles correspondent à un modèle « click & mortar ».
L'expression bricks and clicks (« des briques et des clics »), ou encore click and
mortar (« des clics et du mortier ») fait référence à des entreprises de commerce
électronique qui proposent des processus complémentaires de ventes combinées
telles la vente par Internet et la distribution classique (vente en magasin ou en point
de vente physique).

4
La FEVAD et Médiamétrie/NetRatings réalisent depuis 2004 le baromètre multicanal sur "Les
habitudes de consommation des internautes". Cette étude réalisée à partir d'une étude en ligne auprès
de 3200 Internautes de l’Access panel de Médiamétrie/NetRatings présente de très riches
enseignements notamment sur les comportements multicanaux des internautes.

Page | 17
La Fnac et la SNCF sont des exemples français connus de bricks and clicks. Certains
acteurs ont développé des modèles « click & mortar » plus complexes dans d'autres
secteurs moins évidents : Aramisauto dans le secteur automobile, mais également
M&M's avec la création de son site Internet de commandes de M&M's personnalisés.

2.3 Pure Players ou « click and order »

Pure player (faux anglicisme signifiant mot pour mot « pur joueur », déformation de
l'anglais américain « pure play » qui peut se traduire ici par « pur artifice ») désigne
une entreprise ayant démarré et exerçant dans un secteur d'activité unique.
L'expression est popularisée pour désigner les entreprises œuvrant uniquement sur
Internet et est souvent définie comme telle. La Commission générale de terminologie
et de néologie a publié, le 23 mars 2014 au Journal officiel de la République
française, la traduction en français « tout en ligne », dont l'utilisation est préconisée
au détriment de pure player.
Concernant le e-commerce, le modèle de distribution « tout virtuel » (également
appelé pure player) propose seulement aux clients le commerce en ligne.

Certains opérateurs « pure player » semblent réorienter une partie de leur stratégie de
distribution vers du bricks and clicks. En effet dans le classement d'audience
Médiamétrie-NetRatings des 15 premiers sites de e-commerce opérant en France
présenté ci-dessus, on ne trouvait plus, en dehors des américains Amazon (numéro
un du palmarès), et eBay, qu'un seul « pure player » d'origine française non addossé
à un groupe : Vente-Privée.
Tous les autres pionniers du secteur présents au palmarès ont perdu leur
indépendance en s'adossant à de grands groupes : distributeurs, avec Casino pour
Cdiscount ou Mutares pour Pixmania ; géants de l'Internet, avec le japonais Rakuten
pour PriceMinister ; foncière avec Altarea pour Rue du Commerce.
La concentration du secteur est à l'oeuvre, sous l'effet de la faible rentabilité de ces
sites. Les meilleurs, comme Cdiscount, n'assurent la dernière ligne de leur compte
d'exploitation que grâce aux revenus issus de leur place de marché.

Page | 18
2.4 Véadiste

Il s’agit des entreprises dont l'activité principale reposait sur la vente à distance avant
l’arrivée d’internet.
La vente à distance (VAD) est une technique de vente qui permet au consommateur,
en dehors des lieux habituels de réception de la clientèle, de commander un produit
ou de demander la réalisation d'un service. Cette activité historique était liée à la
vente par catalogue, ou Vente Par Correspondance (La Redoute, 3Suisses, Yves
Rocher…).

Depuis la montée en puissance du secteur du e-commerce, les véadistes ont dû faire


évoluer leur modèle en intégrant ce canal complémentaire et/ou en ouvrant des
magasins physiques. La complémentarité a été facile à mettre en place : internet n’a
pas entraîné de changement dans le mode de distribution ni dans la gestion de la
relation client. Depuis 2010, la part internet du chiffre d’affaires des véadistes
traditionnels est supérieure à 50%.

3. Un marché en pleine expansion

3.1 Les ventes sur internet franchissent la barre des 50 milliards


d’euros en 2013

Selon une étude réalisée par eMarketer.com5, 1 000 milliards de dollars ont été
dépensés dans le monde en 2012 sur le marché du e-commerce (B2C uniquement),
soit une croissance de 21,1% par rapport à 2011. En France, la croissance reste
significative malgré le ralentissement économique avec un chiffre d’affaires de 51,1
milliards d'euros, soit un gain de 13,5%, selon les derniers chiffres de la FEVAD.
Entre 2005 et 2013, le secteur a vu son chiffre d'affaires multiplié par 6 (schéma
suivant montre l’évolution de 2005 à 2013).

5
Estimation globale de l’agence eMarketer publiée le 5 février 2013

Page | 19
Graphique n°1 : Chiffres d’Affaires du secteur du e-commerce en France
Unité : milliards d’euros
60 51 57
45
37
40 31
25
20
20 11,6 15,6

0
2006 2007 2008 2009 2010 2011 2012 2013 2014
Source : Rapport annuel FEVAD

En 2014, le marché français du e-commerce a atteint 57 milliards d'euros grâce à une


croissance de 11,5% par rapport à 2013, pour un total de plus de 600 millions de
transactions. Les ventes de Noël ont à elles seules permis aux sites de dégager 11,4
milliards d'euros, « malgré la dégradation du contexte économique » selon la
FEVAD.

La croissance est toujours soutenue par l’offre et la demande mais ralentie par
la baisse du panier moyen. En effet la demande est tirée par l’arrivée de nouveaux
acheteurs en ligne, +5% sur un an (source : Médiamétrie), et par l’augmentation de la
fréquence d’achats, en moyenne 20 transactions par an et par acheteur (18 en 2013).
Le graphique suivant met en évidence les dépenses moyennes par acheteurs depuis
2007.

Graphique n°2 : Dépenses moyennes par acheteurs par an


Unité : euros
1700 1625
1521
1400 1400
1230
1100 1025 1115
800 900
500
2008 2009 2010 2011 2012 2013 2014
Source : iCE FEVAD et Médiamétrie

Néanmoins, la baisse du panier moyen déjà enregistrée en 2013, s’est poursuivie en


2014. Sur un an le montant moyen de la transaction recule à nouveau de 4 %. Il
atteint en 2014 le niveau le plus bas jamais constaté. Sur l’année 2014, le panier
moyen est de 81 euros (84,5 euros en 2013).

Page | 20
Enfin l’offre de produits et services en ligne continue de progresser
significativement. La croissance du nombre de commerçants est supérieure à celle du
marché, 14% en 2014 avec 20 000 nouveaux sites lancés, portant le total à 157 300
sites actifs. Ainsi, entre 2005 et 2014, le secteur recense plus de 10 fois plus de sites
marchands comme le montre le graphique ci-dessous sur l’évolution du nombre de
sites depuis 2006.

Graphique n°3 : Nombre de sites marchands actifs en France


Unité : nombre de sites actifs en fin d’année
200 000 157 300
138 000
150 000 117 500
91 900 100 400
100 000 64 100
47 300
50 000 22 900 35 500
-
2006 2007 2008 2009 2010 2011 2012 2013 2014
Source : Rapport annuel FEVAD

En dépit de cette hausse du nombre de sites marchands actifs, la grande majorité de


ces acteurs reste de petite taille : 66% réalisent un chiffre d'affaires annuel inférieur à
30 000 euros par an. Seuls 4% des commerçants franchissent le million d'euros de
revenus. Les leaders, un millier de sites réalisant plus de 10 millions d'euros de
chiffre d'affaires par an, représentent ainsi 67% des ventes du secteur en France en
2014. Cette concentration se résume ainsi : 4% de sites pèsent 67% des revenus
du secteur.

3.2 Les perspectives d’avenir

La croissance du secteur d’activité continue malgré la baisse du panier moyen du fait


d’une conjoncture économique morose. La FEVAD prévoit un chiffre d’affaires de
60 milliards en 2015. Afin de répondre à cet objectif, il a été mis en évidence les
quatre enjeux majeurs suivants pour le secteur :

i. La forte concurrence entraîne des concentrations dans le secteur


La hausse de la concurrence sur le secteur est marquée par ces deux tendances : 157
300 sites marchands en concurrence en 2014 et une hausse de 14% par rapport à
2013. Olivier de Clergerie, PDG de LDLC, annonçait « Les généralistes connaissent
des regroupements, car la concurrence est féroce et les acteurs sont internationaux.

Page | 21
Les moyens financiers pour faire face à un Amazon sont colossaux. LDLC est un
spécialiste. Il est toujours indépendant, car il arrive à générer de la différence. »6.

ii. Le développement spectaculaire du m-commerce (mobile)


Depuis 4 ans, les ventes du m-commerce (Smartphones et tablettes, sites mobiles et
applications hors téléchargements d’application et hors ventes sur les places de
marchés) ont été multipliées par 5,5. Nathalie Touzain, directrice de la
communication institutionnelle d'eBay France, annonçait début 2013 : « En 2012, on
attendait des ventes à hauteur de 10 milliards de dollars via les applis mobiles sur
notre site. On a finalement atteint 13 milliards de dollars. On voit que la bascule est
en train de se faire en faveur du mobile. Pour 2013, c'est la barre des 20 milliards de
dollars que nous attendons. » 7. Au dernier trimestre 2013, le chiffre d’affaires du
secteur confirme cette tendance avec +97% par rapport à la même période en 2012.

En 2014, les sociétés du secteur ont réalisé 16% de leur chiffre d’affaires sur ces
supports (10% en 2013).
Le graphique ci-dessous issue d’une étude américaine conforte ce développement à
venir puisque le nombre d’utilisateurs attendus devrait doubler d’ici 2016.

Graphique n°4 : Développement à venir du nombre d’utilisateurs


Unité : millions d’utilisateurs
500 384 448
254,4 323,6
160,5 212,2
70 112,5
0
2009 2010 2011 2012 2013 2014 2015 2016
Source : Etude de l’institut Gartner

iii. Croissance du multicanal


Selon un sondage réalise en 2014 par IPSOS, 91% des Français souhaitent une
enseigne avec site, 74% la réciproque. Bertrand Gstalder, DG de fnac.com, confirme
« Le multicanal existe depuis 2004 à la Fnac, mais a réellement explosé ces dernières
années. Fin 2013, un produit technique sur trois acheté sur fnac.com a été retiré en
magasin. L'expérience internet a été intégrée dans les points de vente. Les vendeurs
peuvent utiliser notre site pour commander les produits qui ne sont pas disponibles ».

6
« L'e-commerce sous pression » publié le 03 février 2013 par LSA
7
« L'e-commerce sous pression » publié le 03 février 2013 par LSA

Page | 22
iv. Les places de marché toujours en forte hausse
Il est intéressant de noter la présence de 7 places de marché dans le top 15 des sites
e-commerce les plus visités en France. Jean-Michel Noir, PDG de Redcats (détenant
Redoute jusqu’en 2014), annonçait « Le développement des market places est en
plein dans l'évolution du marché et les grandes tendances. C'est une guerre de
mouvement. Le secteur se transforme. Il faut réinventer en permanence nos modèles
économiques. » Le volume d’affaires réalisé sur les places de marché a doublé en
deux ans et demi.
Afin de mettre en valeur cette évolution, l’indice iPM8 a progressé de 53% en 2014.
Ces ventes représentent 21% des revenus réalisés par les sociétés participant à l’iPM
(15% en 2013).
Concernant le m-commerce, la gestion des flux financiers reste sensiblement la
même que celle du e-commerce. La seule différence concerne le support utilisé par le
client. Les problématiques et la méthodologie utilisée pour y répondre dans ce
mémoire s’appliquent également à ces transactions.

Section 2 : Un environnement juridique de plus en plus réglementé

1. Principaux textes et dispositions applicables

Depuis la montée en puissance du e-commerce des dispositions ont été prises tant au
niveau international qu’au niveau communautaire afin de créer un cadre
réglementaire au secteur. Dans la deuxième partie de ce paragraphe, la transposition
des directives communautaires dans le droit français sera présentée.

i. Dispositions internationales :
 ONU
Au niveau de l’ONU, la première initiative dans ce domaine est marquée par la
Recommandation de la CNUDCI (Commission des Nations Unies pour le Droit
Commercial International) relative à la valeur juridique des enregistrements
informatiques du 11 novembre 1985, visant à favoriser la prise en compte des
nouveaux documents informatisés dans les transactions internationales.

8
Indice iPM : destiné à mesurer le volume des ventes réalisées sur les places de marché (ventes
réalisées par les 40 principaux sites selon la FEVAD)

Page | 23
La CNUDCI a ensuite adopté deux textes types :
 la loi type sur le commerce électronique, le 16 décembre 1996, sans caractère

contraignant, mais qui exerce une forte influence et nombre d’Etats et


d’institutions la considèrent comme une norme de fait ;
 la loi type sur les signatures électroniques, adoptée le 5 juillet 2001, dont le

principal apport est de définir une règle de bonne conduite informatique en vertu
de laquelle toute personne qui omet d’effectuer une vérification de la fiabilité
d’un système informatique avant de s’engager subit directement les
inconvénients de sa négligence.

 Conseil de l'Europe
Les règles matérielles concernant le commerce électronique ont commencé à se
mettre en place avec la Recommandation du Conseil de l’Europe du 11 décembre
1981, qui visait à engager les Etats membres à rapprocher leurs législations,
notamment dans le sens des enregistrements et de la preuve informatique.
Puis le Conseil a adopté, le 23 novembre 2001, la Convention sur la cybercriminalité,
l’un des principaux risques rencontrés par le commerce électronique. Elle concerne
non seulement les Etats-membres mais également le Japon et les Etats-Unis qui l’ont
signée.

 Union européenne
Les cinq directives fondamentales de l’Union Européenne concernant le commerce
électronique sont :
 la directive 1999/93 sur la signature électronique du 13 décembre 1999. Celle-ci

met en place un cadre juridique harmonisé en matière de signature électronique


qui s'articule autour de 2 objectifs : la reconnaissance juridique des signatures
électroniques et l'établissement d'un cadre juridique pour l'activité des
prestataires de services de certification ;
 la directive 2000/31/CE sur le commerce électronique du 8 juin 2000. Elle

institue au sein du marché intérieur un cadre pour le commerce électronique


garantissant la sécurité juridique pour les entreprises et pour les consommateurs.
Elle établit des règles harmonisées sur des questions comme les exigences en
matière de transparence et d’information imposées aux fournisseurs de services
en ligne, les communications commerciales, les contrats par voie électronique ou
les limites de la responsabilité des prestataires intermédiaires ;

Page | 24
 la directive 2001/29/CE du 22 mai 2001 sur l’harmonisation de certains aspects

du droit d’auteur et des droits voisins dans la société de l’information ne


concerne pas directement la question du commerce électronique, mais entraîne de
nombreuses conséquences pour ce dernier ;
 la directive Européenne 2005/29/CE du 11 mai 2005 relative aux pratiques

commerciales déloyales des entreprises vis-à-vis des consommateurs dans le


marché intérieur ;
 la directive 2011/83/UE du 25 octobre 2011 relative aux droits des
consommateurs, avec pour objectif d’encourager les ventes à distance au sein du
marché intérieur, en permettant aux consommateurs européens de bénéficier
d’une protection accrue, et en offrant aux professionnels un cadre juridique
commun.

ii. En droit français, sic lois concernent spécifiquement le commerce


électronique :
 la loi 2000-230 du 13 mars 2000 portant sur l’adaptation du droit de la preuve

aux technologies de l’information et relative à la signature électronique ;


 la loi pour la confiance dans l’économie numérique (LCEN) 2004-575 du 21 juin

2004 qui est la transposition de la directive européenne du 8 juin 2000 ;


 la loi sur la protection des personnes physiques à l’égard des traitements de

données à caractère personnel du 6 août 2004 modifiant la loi n° 78-17 du 6


janvier 1978, relative à l’informatique, aux fichiers et aux libertés ;
 la loi du 5 mars 2007 relative à la prévention de la délinquance (cyber-

délinquance) ;
 la loi n° 2008-3 du 3 janvier 2008 pour le développement de la concurrence au

service des consommateurs est la transposition de la directive 2005/29 ;


 la loi 2014-344 du 17 mars 2014 relative à la consommation et transposant la

directive 2011/83 : prenant acte de la croissance du commerce en ligne dans le


paysage français, le gouvernement entend réguler ce secteur et imposer un certain
nombre de pratiques et de mises en garde aux entreprises.

Concernant l’objet de ce mémoire, seules les dispositions relatives à la


cybercriminalité seront à retenir.

Page | 25
2. Principales conséquences de cette législation

2.1 Le contrat entre le vendeur et le consommateur

i. Conclusion du contrat et exécution du contrat (LCEN)


 Le mécanisme du « double clic »
Le processus de contractualisation du contrat électronique prévu au nouvel article
1369-2 du code civil s’effectue en deux étapes permettant ainsi d’éviter dans une
large mesure les conséquences de mauvaises manipulations des internautes.
 Le vendeur doit offrir la possibilité au consommateur de vérifier le détail de sa

commande ainsi que son prix total et de corriger d’éventuelles erreurs.


 Le client doit confirmer sa commande pour exprimer son acceptation et valider

par conséquent sa transaction.


En vertu du nouvel article 1369-3 du code civil, ce processus de contractualisation
par « double clic » ne s’applique pas pour les contrats conclus exclusivement par
échange de courriers électroniques.

 Validité des contrats conclus sous la forme électronique (art. 25 de la LCEN)


Le nouvel article 1108-1 du code civil précise que « lorsqu’un écrit est exigé pour la
validité d’un acte juridique, celui-ci peut être établi et conservé sous forme
électronique ».

 Obligation de l’accusé réception (art. 25-II de la LCEN) 9


Le vendeur a l’obligation d’accuser réception de la commande par voie électronique,
sans délai injustifié. En effet, n’étant pas toujours à même de s’assurer que sa
commande avait bien été prise en compte, le consommateur pouvait être amené à
effectuer une nouvelle commande, s’engageant alors dans une nouvelle relation
contractuelle sans en avoir conscience.

 Le vendeur a l’obligation de conserver l’écrit constatant le contrat (article 27


de la LCEN)10
Le consommateur conservant rarement la preuve de ces échanges, d’éventuels
problèmes de preuve auraient pu survenir en cas de litige avec le commerçant.
Cet article prévoit une obligation à la charge du vendeur de conservation de l’écrit
constatant le contrat.

s9 Cette disposition est insérée à l’article 1369-2 du code civil


10
Nouvel article L. 134-2 du code de la consommation

Page | 26
ii. Délai de rétractation (uniquement entre professionnel et consommateur).
Les Etats de l’Union Européenne ont prévu un délai de rétractation de 7 jours francs,
à l’exception de l’Allemagne et de la France (loi Hamon) qui a prévu 14 jours.
Conformément à l’article L. 121-20 du code de la consommation, le délai court à
compter de :
 La réception du bien ;
 L’acceptation de l’offre pour les services, c’est-à-dire lorsque le
consommateur a exprimé son consentement.
Le délai est porté à trois mois lorsque la confirmation des informations à caractère
obligatoire n’a pas eu lieu.
L’article L. 121-20-1 précise également que « lorsque le droit de rétractation est
exercé, le professionnel est tenu de rembourser sans délai le consommateur et au plus
tard dans les trente jours suivant la date à laquelle ce droit a été exercé. Au-delà, la
somme due est, de plein droit, productive d’intérêts au taux légal en vigueur ».

2.2 Le consommateur

Les principales dispositions ont pour objectif la protection du consommateur

i. Le renforcement du devoir d’information


Le code de la consommation impose aux sites d’e-commerce de communiquer un
grand nombre d’informations aux consommateurs « en temps utile et au plus tard au
moment de la livraison ». La dernière réforme accentue les obligations existantes et
ajoute de nouvelles informations à porter à la connaissance des consommateurs :
- le prix du bien ou du service comprenant toutes les taxes et les frais liés au
transport, à la livraison et à l’affranchissement ;
- le coût de l’utilisation de la technique de communication à distance pour la
conclusion du contrat ;
- les conditions, le délai et les modalités d’exercice du droit de rétractation
ainsi que les frais exigibles en cas de rétractation ;
- le cas échéant, l’existence d’une assistance après-vente au consommateur,
d’un service après-vente et de garanties commerciales ;
- l’existence de codes de conduite applicables ;
- l’information sur le prix : le consommateur devra disposer « avant toute
commande », d’une information précise sur le prix total des produits ou

Page | 27
services et notamment les frais de livraison et ceux liés aux garanties
incluses.
Ainsi, le prix total devra figurer dès la page de présentation de chaque produit et
service.

L’article L. 121-18 et suivant du code de la consommation permettait aux sites de


scinder la fourniture de ces informations aux consommateurs soit avant la conclusion
du contrat, soit au plus tard au moment de la livraison. L’ensemble des informations
devra maintenant être porté à connaissance avant la conclusion du contrat au risque
pour le professionnel de ne pas pouvoir valablement facturer son client de l’ensemble
des coûts à devoir éventuellement à supporter.

ii. Les conditions de paiement et de remboursement


Les vendeurs seront tenus de respecter un délai de livraison de 30 jours maximum,
au-delà duquel le consommateur pourra résilier son contrat et obtenir le
remboursement intégral de sa commande après avoir adressé une mise en demeure de
procéder à la livraison du bien.

iii. La fraude aux moyens de paiement


Le délai de contestation d’un paiement est de 70 jours. Ce délai court à partir de la
date à laquelle le paiement a été enregistré. La responsabilité du consommateur est
dégagée en cas de contestation.

Le délai de remboursement dans le cadre d’une transaction frauduleuse est d’un


mois, selon l’article L. 132-4 du Code monétaire et financier.

Concernant l’objet de ce mémoire, seules les dispositions relatives à la fraude


seront développées.

Page | 28
Chapitre 2 : Les différents moyens de paiement

La carte bancaire est le premier moyen de paiement en France depuis 2002. En 2010,
on dénombrait 60 millions de cartes « CB » auxquels il faut ajouter les cartes
bancaires non marquées "CB" (environ 4 millions de cartes). Entre 2002 et 2010, le
nombre de cartes bancaires et le nombre de paiements en France ont respectivement
augmenté de 30 % et de 20,7 %.
Selon la FEVAD, 80 % des acheteurs déclarent utiliser la carte bancaire pour leurs
achats en ligne.
Ce chapitre présente les différents moyens de paiement à la disposition des sociétés
du secteur avec l’analyse de ceux effectivement utilisés permettant de définir le
programme de travail de l’auditeur.
Une analyse comparative des avantages et inconvénients de ces différents moyens de
paiement permettra de mettre en évidence les plus risqués.

Section 1 : Un environnement réglementé

1. Principaux textes et dispositions applicables

Du fait des avancées technologiques perpétuelles, le législateur européen se doit de


toujours s’adapter à ces évolutions.
Concernant l’objet de cette partie, la problématique est simple : le consommateur
veut un moyen de paiement simple et sécurisé.
Afin de faire face à ce besoin de sécurité, certaines dispositions ont été mises en
place au niveau communautaire afin de créer un cadre réglementaire. Dans la
deuxième partie de ce paragraphe, nous présentons la transposition des directives
communautaires dans le droit français.

1.1 Dispositions européennes

Au niveau de l’Union européenne, les trois instruments fondamentaux concernant les


moyens de paiement sont :
 la directive n°2007/64/CE du 13 novembre 2007 appelée « La Directive sur les

services de paiement (DSP 1) ». La Directive a pour objet de fournir la base

Page | 29
juridique nécessaire à la création d'un espace unique de paiement en euros
(SEPA) avec une harmonisation de certains moyens de paiement ;
 la directive n°2009/110/CE du 16 septembre 2009 (dite « DME2 »), concernant

l’accès à l’activité des établissements de monnaie électronique qui abroge la


première directive « monnaie électronique » n° 2000/46/CE du 18 septembre
2000 ;
 la nouvelle directive dite « DSP 2 » adoptée le 24 juillet 2013 par la commission

européenne mais non publiée au journal officiel visant à abroger la première


directive sur les services de paiement DSP 1 (2007/64/CE). Cette directive
révisée facilitera l’utilisation des services de paiement électronique sur internet
en les rendant moins onéreux et plus sûrs grâce à la prise en compte des services
dits d’initiation de paiement, intervenant entre le commerçant et la banque de
l’acheteur.

Avant ces directives, deux règlements encadraient les moyens de paiement :


 la recommandation 97/489/CE de la Commission du 30 juillet 1997 concernant

les opérations effectuées au moyen d'instruments de paiement électronique, en


particulier la relation entre émetteur et titulaire ;
 le règlement européen n°2560/2001 du 19 décembre 2001 concernant les

paiements transfrontaliers en euros.

1.2 En droit français, deux lois concernent spécifiquement ce


sujet

 la directive 2007/64/CE est transposée en droit français par :

 l’ordonnance n° 2009-866 du 15 juillet 2009 régissant la fourniture de


services de paiement et portant création des établissements de paiement
 le décret n° 2009-934 du 29 juillet 2009
 et, pour ce qui concerne plus spécialement les relations entre les clients et
leur prestataire de services de paiement (PSP) en matière d’information,
par deux arrêtés du 29 juillet 2009.
 La directive 2009/110/CE a été transposée en droit français par la loi n° 2013-

100 du 28 janvier 2013 portant diverses dispositions d'adaptation de la législation


au droit de l'Union européenne en matière économique et financière. Le décret
d'application et l'arrêté conjoint sont parus au Journal officiel le 4 mai 2013.

Page | 30
2. Principales conséquence de cette législation

2.1 L’Espace unique de paiement en euros (SEPA)

La DSP 1 vise à garantir un accès équitable et ouvert aux marchés des paiements et à
renforcer la protection des consommateurs pour ainsi permettre de réaliser les
paiements électroniques effectués en euros ou au niveau national dans un délai
maximal d'un jour après l'envoi de l'ordre de paiement.
Les opérations de paiement concernées par la DSP sont les suivantes :
 versement ou retrait d’espèces,
 virement, prélèvement,
 TIP (titre interbancaire de paiement) et télérèglement,
 paiement et retrait par carte.

2.2 La monnaie électronique

La DSP 1 permet l’ouverture du marché avec la création du statut d'établissement de


paiement, qui permettra à des acteurs non bancaires d’offrir ce type de services, tels
que les opérateurs de téléphonie mobile ou les grandes surfaces.
Cette directive instaure donc un cadre réglementaire puisqu’elle précise que la
monnaie électronique est une valeur monétaire qui est stockée sous une forme
électronique, y compris magnétique, représentant une créance sur l’émetteur. Celle-ci
est émise contre la remise de fonds aux fins d’opérations de paiement et est acceptée
par une personne physique ou morale autre que l’émetteur de monnaie électronique.
Le « porte-monnaie électronique » est un exemple courant de ce type de moyen de
paiement.

L’utilisateur stocke une petite somme d’argent sur sa carte bancaire ou sur une autre
carte à puce, lui permettant d’effectuer des paiements de faible montant. La monnaie
électronique peut également être stockée (et utilisée) sur les téléphones portables ou
sur un compte de paiement en ligne.11
La directive DME 2 a renforcé la monnaie électronique en réformant le statut
d’établissement de monnaie électronique en le rendant attractif.12

11
Définition à l’article 4, point 5), de la directive 2007⁄64⁄CE
12
Article L 521-1 du Code monétaire et financier : « Les prestataires de services de paiement sont les
établissements de paiement, les établissements de monnaie électronique et les établissements de crédit.
»

Page | 31
2.3 M-Paiement

Le M-Paiement n’étant pas spécifiquement visé par la loi et n'ayant pas encore de
régime propre, il fait partie d’un corpus de règles communes à tous les « autres
moyens de paiement » qui, conformément à l'article L 311-3 du Code monétaire et
financier, se définissent comme « tous les instruments qui permettent à toute
personne de transférer des fonds, quel que soit le support ou le procédé technique
utilisé ». Le projet de révision, publié par la Commission le 24 juillet 2013, a comme
objectif l'encadrement de ces nouveaux services de paiement mobile dans son cadre
règlementaire. Ce projet vise également à lever les obstacles à l'entrée sur le marché
pour les nouveaux fournisseurs de services de paiement, tels que les opérateurs de
télécommunication afin de soutenir, notamment, la croissance du commerce
électronique.

3. Dénonciation de la Directive Services de paiement par la communauté


bancaire française

La Fédération Bancaire Française a répondu à la consultation de la communauté


européenne le 25 novembre 2013 sur les points suivants :
 équilibre des systèmes de cartes fragilisé, au détriment des services rendus
aux consommateurs et aux commerçants ;
 interférence de manière disproportionnée dans le fonctionnement même de ce
marché, remettant en question les règles et processus actuels de ce moyen de
paiement.

Section 2 : Description des différentes familles

Le rapport annuel 2011 de l’Observatoire de la sécurité des cartes de paiement établit


une typologie de 4 familles de solutions de paiement, en fonction des acteurs qui les
proposent :
 des acteurs spécialisés dans les services de paiement sur Internet
 des acteurs traditionnels ;
 des opérateurs téléphoniques ;
 des systèmes de paiement par carte tels que Cartes Bancaires, Visa,
American Express ou MasterCard.

Page | 32
Nous ajouterons à cette analyse les monnaies virtuelles et autres moyens suivants :
 Chèque ;
 Facilité de paiement : Paiement en plusieurs fois sans frais / Carte
Cofinoga / Carte Sites ;
 Carte/Chèque Cadeau ;
 Prélèvement bancaire.

1. Acteurs spécialisés dans les services de paiement sur Internet

1.1 Définition du Porte-monnaie électronique ou wallet

Les projets de « wallet » qui se développent à l’initiative d’acteurs non bancaires


spécialisés dans les services de paiement sur Internet proposent des solutions de
paiement aux consommateurs hors circuits bancaires traditionnels.
Il s’agit en général d’un porte-monnaie électronique se présentant sous la forme
d’une application pour téléphones équipés d’une puce sans contact où le
consommateur pourra stocker les informations sur ses cartes bancaires destinées à
être activées au moment du règlement et également disposer d’une carte virtuelle
prépayée se rechargeant avec n’importe quelle carte bancaire.
Le porte-monnaie électronique couvre deux réalités différentes présentées ci-dessous.

1.2 Dispositif sécurisé installé sur des appareils électroniques


portables : exemple de PayPal

PayPal est le premier moyen de paiement dédié au Web. C’est un dispositif sécurisé
installé sur des appareils électroniques portables (téléphones mobiles principalement)
permettant d'initier un virement de son compte vers celui d'un fournisseur, via un
terminal de paiement installé en magasin.
Dans ce cas il s'agit d'un substitut à la carte bancaire traditionnelle et le mot de
portefeuille électronique peut être contesté, l'appareil ne contenant pas de monnaie
mais permettant simplement d’accéder à son compte bancaire de façon sûre.

PayPal a été créé en 2000 par la fusion de deux start-ups nommées Confinity et
X.com. Confinity était spécialisée dans les paiements et la cryptographie via
PalmPilot. X.com proposait des services de banque en ligne.

Page | 33
PayPal a été rachetée en 2002 par la société eBay, notamment parce qu’environ la
moitié des transactions du site d’enchères utilisaient PayPal et que le système interne
à eBay n’était pas aussi populaire.

1.3 Carte bancaire prépayée : exemple de Kwixo

La carte bancaire prépayée est un dispositif qui peut stocker de la monnaie sans avoir
besoin d'un compte bancaire et d'effectuer directement des paiements sur des
terminaux de paiement. Il se présente actuellement sous forme de carte bancaire
prépayée avec ou sans puce.
Kwixo est une solution de paiement sécurisée lancée le 19 mai 2011 et développée
par FIA-NET Europe, filiale du Crédit agricole. Cette banque, ainsi que sa filiale
LCL, utilisent ce service qui permet de régler ses achats sur Internet et de transférer
de l’argent entre particuliers.

2. Acteurs traditionnels : carte virtuelle dynamique

La carte virtuelle dynamique ou e-carte bleue permet au client d'effectuer ses achats
en ligne sur tous les sites marchands en France et à l’étranger, sans avoir à
communiquer son numéro de carte physique. Néanmoins, l'utilisation de la carte
virtuelle dynamique nécessite l'installation préalable par le consommateur d'une
application sur son ordinateur. Plusieurs marchands interviewés par la FEVAD
s'étonnent de la faible promotion de ce moyen de paiement par les banques.

Afin de répondre à cette nouvelle offre, MasterCard et Visa ont lancé leur « e-
wallet :
 Mastercard : tout partenaire pourra bénéficier du portefeuille digital de

MasterCard, le PayPass Wallet Services, ou bien y connecter son propre « e-


wallet » afin de bénéficier de son réseau international d'acceptation.
 V.me by Visa : ce « portefeuille » permettra aux clients de regrouper plusieurs

cartes de paiement dans un seul portefeuille numérique, afin de procéder à des


paiements sécurisés en ligne sans avoir à saisir toutes les données de la carte.
V.me by Visa dispense le commerçant du contrôle des informations de paiement
au cours du processus de commande.

Page | 34
3. Opérateurs téléphoniques

Depuis 2011, les opérateurs téléphoniques ont lancé des moyens de paiement sur
Internet fixe et mobile sécurisés par téléphone mobile : association de la carte
bancaire avec son numéro de mobile.

3.1 Buyster

En France le plus connu était Buyster. Cette société proposait une solution de
paiement via ordinateur ou téléphone mobile sans communiquer son numéro de carte
bancaire. Le principe consistait à associer son numéro de carte bancaire à un numéro
de téléphone mobile et un code confidentiel :
 Soit le paiement est effectué à partir du téléphone dont le numéro est celui
associé au compte Buyster, et l'utilisateur ne doit que renseigner son code
confidentiel ;
 soit l'utilisateur effectue un paiement via un ordinateur, auquel cas il doit
également renseigner son numéro de téléphone.
Un SMS contenant un code de validation est ensuite envoyé à l'utilisateur.
Le paiement au marchand était garanti en cas de répudiation du paiement par le
possesseur de la carte (délai de 90 jours en France).

Buyster a fermé son service de paiement le 30 juin 2014. En 2 ans et demi d'activité,
ce portefeuille électronique a finalement intéressé moins de 300 000 utilisateurs avec
40 000 paiements par mois.

3.2 Smartphone et e-Wallet

Il s’agit d’un wallet intégré aux Smartphones. Ce moyen de paiement est encours de
sécurisation par l’intégration d’un lecteur d’empreintes digitales dans certains
Smartphones13. Aujourd’hui il existe deux systèmes opérationnels (hors France) :

i. Google Wallet
Google Wallet est un système de paiement par téléphone mobile proposé par Google
qui permet à ses utilisateurs de stocker des cartes de débit, des cartes de crédit, des
cartes de fidélité et des cartes-cadeaux entre autres.

13
Apple s'empare d'AuthenTec pour 356 millions de dollars mi 2012

Page | 35
Le logiciel a été lancé le 11 septembre 2011 aux Etats-Unis uniquement.

ii. Service Osaifu-Keitai


La société Osaifu-Keitai a signé un contrat de partenariat avec MasterCard au Japon
qui recense 17 millions d’utilisateurs.
Ce marché est prometteur car les dépenses mobiles devraient atteindre selon le
cabinet IDC 1 000 milliards de dollars en 201714.

4. Systèmes de paiement par carte

Une carte de paiement est un moyen de paiement se présentant sous la forme d’une
carte physique équipée d’une bande magnétique et/ou d’une puce électronique, et qui
permet le paiement auprès de commerces physiques possédant un terminal de
paiement électronique ou auprès de commerces virtuels via Internet ainsi que les
retraits d’espèces aux distributeurs de billets.
Ce moyen de paiement a été institué pour les commerces physiques et s’est adapté au
secteur du e-commerce.
Selon la FEVAD, 80 % des acheteurs déclarent utiliser la carte bancaire pour leurs
achats en ligne.

Les cartes de paiement autorisées en France sont associées à un réseau de paiement,


tels que les groupes Carte Bleue, VISA, MasterCard, American Express.

4.1 American Express

American Express Company est un groupe international présent dans le voyage et les
services financiers. Fondé en 1850, il occupe des positions de premier plan dans les
cartes de paiement et de crédit, les chèques de voyage, le voyage et les produits
d’assurance. American Express est à la fois un réseau d’acceptation et la première
société non bancaire émettrice de cartes de paiement au monde, en termes de nombre
de cartes (plus de 102 millions de cartes en circulation et acceptées dans plus de 200
pays) et de montant de dépenses (888 milliards de dollars / chiffres à fin 2012).

14
Article des échos Business du 19 novembre 2012 sur « La guerre des « e-wallets » bat son plein en
France »

Page | 36
4.2 Cartes Bancaires (dites « CB »)

CB est un système de paiement et de retrait par carte, interbancaire et universel avec


près de 10 milliards de transactions par an. Le système CB est géré par un
Groupement d’Intérêt Economique qui assure quatre missions principales : la
vérification de la conformité, la gouvernance et la promotion du système CB, ainsi
que le développement de produits et services.
Pour l’année 2012, les paiements CB sur internet ont représenté 390 millions de
transactions pour un chiffre d’affaires de 34 milliards d'euros. Les paiements e-
commerce et m-commerce représentent 9 % de l’ensemble des paiements CB.

4.3 Visa Europe France

Visa est le système de paiement leader en Europe. Le groupement Carte Bleue


s'associe avec la société américaine Bank of America dont la division "coûts"
deviendra Visa en 1976. En 2010, Carte Bleue a été rachetée par Visa Europe afin de
fusionner les deux activités pour donner naissance à l’association Visa Europe
France.
En France en 2013, avec 39 millions de cartes en circulation, plus de 1€ sur 5 soit
22% des dépenses, sont réalisées par carte Visa.

5. Autres moyens

5.1 Chèque

Le paiement par chèque permet des transferts d'argent commodes entre 2 personnes,
sans transport d'espèces et sans passage par un système électronique.
Ce moyen de paiement assez lourd en termes de traitement par les sites de e-
commerce est encore utilisé lors du règlement de litiges avec les clients (rejets de CB
principalement).
Ce moyen de paiement est également encore accepté par les véadistes lors de la
récupération de leur colis en relais.

Page | 37
5.2 Facilités de paiement

Les sites de e-commerce offrent des facilités de paiement aux consommateurs. Cela
s’apparente principalement à des crédits gratuits.

i. Le paiement en plusieurs fois sans frais ou sans intérêt


Le consommateur dispose directement de sa commande sans avoir à régler
directement le prix total. Contrairement au paiement à crédit classique où le
consommateur paye des frais ou intérêts en échange de pouvoir bénéficier
immédiatement du produit, le paiement en plusieurs fois sans frais est un service
gratuit, mis à la disposition de l’acheteur. La plupart du temps c’est un paiement en 3
fois sans frais qui est proposé.

ii. Carte d’achat à crédit


Les cartes d’achat à crédit peuvent être acceptées par les sites de e-commerce sous
deux formes :
 carte de paiement privative du site ;
 carte d’un établissement bancaire (exemple Cofinoga, Cetelem).
Ces cartes permettent aux consommateurs de payer à crédit moyennant une
rémunération de l’intermédiaire.

5.3 Carte/Chèque Cadeau

Il s’agit d’un bon d'échange d'une certaine valeur offert en cadeau pour l'achat d'un
bien ou d'un service dans le magasin ou l'entreprise désignée.
Ce bon peut être mono ou multi-enseigne.

5.4 Prélèvement/Virement bancaire

L’utilisation de ce moyen de paiement était principalement réservée pour la


résolution de blocage de commande (paiement très sécurisé).
Le virement est de plus en plus usité aujourd’hui lors du règlement de commandes
significatives (B2B).

Page | 38
6. Les monnaies virtuelles

Les monnaies virtuelles sont des valeurs monétaires dématérialisées stockées sur des
supports numériques.

6.1 Bitcoin

Le terme bitcoin (de l'anglais « coin » : pièce de monnaie et « bit » : unité


d'information binaire) a une double définition :
 système de paiement Internet (employé comme un nom propre) ;
 unité de compte utilisée par ce système de paiement.
Il est possible de payer des biens ou des prestations de service avec des bitcoins sur
des sites de commerce en ligne ou dans certains magasins physiques.
Pour procéder à un paiement avec des bitcoins, le client doit disposer d'un porte-
monnaie électronique via l'un des supports suivants :
 un logiciel installé sur un ordinateur,
 une application installée sur un Smartphone,
 un site Internet qui permet de créer et de gérer un porte-monnaie en ligne.

Le vendeur envoie sur le porte-monnaie électronique du client une adresse


(succession de lettres et de chiffres) à laquelle le client doit transférer le montant de
bitcoins dû pour le bien ou le service acheté.

Des membres du réseau Bitcoin appelés « miners » vérifient la régularité de la


transaction (authenticité du payeur, disponibilité des fonds) et reçoivent en échange
des bitcoins. Très proche du paiement espèce dans le retail, il permet l’anonymat de
l’acheteur qui n’est plus obligé de s’identifier sur le site.
Depuis octobre 2014, Showromprivé est le premier acteur sur internet à proposer le
bitcoin sur son site. Néanmoins, de par son protocole particulier de « vente privée »
le site dispose d’un nom et d’une adresse pour chaque achat. EBay, Expedia et
Monoprix accepteront sur leurs sites cette monnaie d’ici la fin de l’année 2015.

6.2 Amazon Coin

Le 13 mai 2014, Amazon a lancé sa monnaie virtuelle en France : ce jour-là, sur le


site d’Amazon, les utilisateurs pouvaient lire « Les clients des Kindle Fire (tablettes
Amazon pour enfants, ndlr) et Android Appstore bénéficient d'une réduction de 10%

Page | 39
sur les applications, les jeux et les in-app (service supplémentaire dans une
application existante, ndlr) en achetant des Amazon coins. Plus vous en achetez, plus
la remise sera grande. Achetez des Amazon Coins. ».
Cette monnaie virtuelle n’est pas utilisable à ce jour sur les autres plateformes.

La fraude aux moyens de paiement s'est professionnalisée et devient de plus en


plus technique et, pour partie, le fait de réseaux de fraudeurs experts en la
matière. Elle est par ailleurs très « dynamique »; les fraudeurs testent en
permanence, cherchant à détecter les failles des systèmes de protection en visant
une fraude la plus « efficace possible » avec les meilleurs rendements.
La seconde partie du mémoire présentera les risques de fraude, ses
conséquences pour les sociétés et comment l’auditeur peut les appréhender lors
de sa mission d’audit.

Section 3 : Panorama des moyens de paiement utilisés dans le secteur du e-


commerce

En 2012, près de la moitié des transactions en Europe sont effectuées par carte (42%)
: les pratiques sont cependant contrastées. Les paiements par carte sont suivis des
virements (27,2% des paiements) et des prélèvements (24 %).

i. Carte bancaire
D’après la Fédération Bancaire Française la France compte parmi les pays européens
les plus avancés en matière de moyens de paiement. Le premier moyen de paiement
utilisé en France est la carte bancaire (45% des paiements).
La carte bancaire est également le moyen de paiement principal sur les sites de e-
commerce (cf. graphique n°6).

ii. Utilisation du Chèque


L'utilisation du chèque diminue en Europe, puisque les statistiques de la FBF
indiquent que seulement 4,5 % des opérations réalisées en Europe en 2013 le sont par
chèques, soit 4,3 milliards de chèques émis (moins 300 millions par rapport à 2012).
Les Français sont les principaux « consommateurs » avec 66 % des paiements par
chèque émis en Europe.

Page | 40
1. Situation de l’utilisation des moyens de paiement des sites de e-commerce

Les commerçants interviewés par la FEVAD dans son étude annuelle confirment le
constat européen avec une prédominance de la Carte Bancaire (80%) :
 Vente-privee.com (en France) : 100 % des transactions réalisées au moyen
d'une carte bancaire,
 Rueducommerce.com : environ 90 % des transactions effectuées,
 85% chez Delamaison.fr,
 70% chez Mistergooddeal.com,
 55% pour Laredoute.com

Graphique n°5 : Les principaux services de paiement utilisés sur les sites de e-
commerce
Unité : % des acheteurs en ligne

Paiement par chèque 6%


8%
Paiement en plusieurs fois sans frais 9%
10%
Carte bleue virtuelle 11%
26%
Carte bancaire 80%
0% 20% 40% 60% 80% 100%
Source : baromètre Fevad Médiamétrie / NetRatings - juin 2013

Une étude réalisée sur certains principaux sites du secteur indique que les sites
offrent une large possibilité aux consommateurs. Les commerçants, n’étant pas
d’origine française, n’offrent pas les possibilités spécifiquement françaises
(notamment paiement en plusieurs fois sans frais). Néanmoins cette situation pourrait
évoluer car l’analyse des avantages et inconvénients (graphique 6) issue de
l’interview de professionnels du secteur montre leur appétence pour un champ plus
restreint.
Il faut noter que les véadistes avaient historiquement développé des solutions de
paiement alternatives d’où un fort poids des cartes de paiement privatives dans leurs
transactions (1/3 des transactions).

Page | 41
2. Situation de l’utilisation des moyens de paiement des sites de e-commerce

Le tableau comparatif ci-dessous (graphique n°6) issu de l’étude réalisée auprès de


professionnels15 du secteur met en évidence que les souhaits des professionnels ne
sont pas forcément en adéquation avec les habitudes des consommateurs.

Graphique n°6 : Tableau comparatif des principaux moyens de paiement

Moyens de
Avantages Inconvénients
paiement
- Fort taux d’utilisation - Nombreux cas de fraude
- Adapté à Internet - Peu fonctionnel pour le m-commerce à
Carte bancaire (hors cause du grand nombre d’information à
Amex) saisir
- Facilement répudiable lorsqu’il n’est
pas à « authentification forte 3DS »
American Express - Cible : CSP ++ - Commission significative
- Fort taux d’utilisation - Commission significative
Portefeuille en ligne - Rassurant pour le client - Déporte une partie de la relation client
(PayPal…) et de la gestion des litiges vers Paypal
- CA incrémental
- Fluidité du parcours client - Faible utilisation
Carte bleue virtuelle
- Ciblage de la clientèle
- Peu de risque de fraude -Nécessité d’implémenter des systèmes
Chèque cadeau de paiement sécable pour gérer les
compléments
Paiement en x fois - Permet sur les gros paniers de passer - Peu rentable pour les sites de e-
sans frais outre les plafonds de carte commerce
- Règlement très sécurisé
Virement bancaire
- Non répudiable
- Implication importante du partenaire - Faible utilisation sur un nouveau
Opérateurs - Sécurisation potentielle : empreinte moyen de paiement utilisé par les
téléphoniques digitale consommateurs
- Evite aux clients de communiquer leurs - Peu utilisé par les consommateurs
Wallet coordonnées bancaires à chaque achat
-Très fonctionnel pour le m-commerce
Carte d’achat à - Augmentation du panier moyen
crédit d’un étab. - CA incrémental
bancaire
- Mise en place d’une carte identitaire - Positionnement trompeur pour le client
avec la possibilité de s’associer à un par rapport aux Carte d’achat à crédit
Carte de paiement programme de Fidélité permettant de la d’un établissement bancaire
privative du site légitimer - Nécessaire pour espérer une meilleure
- Paiement rentable mise en avant et utilisation de ce moyen
de paiement

15
Etude réalisée par le mémorialiste

Page | 42
Alors que la Vente à Distance, « ancêtre » du e-commerce, avait comme principal
moyen de paiement le chèque, aujourd’hui quasiment disparu, la carte bancaire est
historiquement le moyen de paiement le plus utilisé dans le secteur. Cette dernière
n’était pas destinée à être un moyen « web » car elle nécessitait un support pour
effectuer les règlements. Les e-marchands se sont adaptés en essayant de sécuriser au
maximum les transactions.
Les années à venir devraient connaître une modification importante dans l’utilisation
des moyens de paiement ; les marchands voudront pousser les consommateurs vers
des outils plus orientés « web » et plus sécurisés comme Paypal ou les wallet.
L’analyse des forces et faiblesses de chaque moyen de paiement à la disposition des
consommateurs conforte cette orientation.

Chapitre 3 : La Fraude dans le secteur du e-commerce

Section 1: Etat des lieux de la sécurisation des moyens de paiement

1. Evolution de la fraude dans le secteur du e-commerce

1.1 Evolution de la fraude

Les professionnels du secteur mettent en évidence 4 phases concernant l’évolution du


taux de tentatives de fraude et du taux d’impayés lié :

i. Avant 2007 : croissance du secteur :


Le développement opérationnel significatif du secteur est accompagné d’une fraude
massive. Cette fraude bien qu’encore au stade artisanal n’est pas complètement
endiguée par les commerçants car le back office n’est pas la priorité.

ii. 2007 à 2009 : consolidation du secteur


Les principaux acteurs, parallèlement à leur croissance, commencent à mettre en
place un système de contrôle interne afin de juguler cette fraude.
La typologie de la fraude évolue peu, même si certaines branches, comme le
tourisme, sont déjà fortement ciblées par des fraudeurs professionnels.

Page | 43
iii. 2010 à 2011 : professionnalisation des fraudeurs
La poursuite de la croissance du secteur du e-commerce crée de nouvelles
opportunités pour les fraudeurs, tant en volume qu’en valeur. La fraude
professionnelle se généralise et touche toutes les branches du e-commerce.
Le journal Le Monde titrait un de ses articles « Deux arnaques à la minute pour les
achats par carte bancaire sur Internet » (édition du 17 février 2012).
Les paniers significatifs sont la cible d’une fraude importante, et par conséquence des
impayés élevés.

iv. Depuis 2012 : Maîtrise du risque par les principaux commerçants


Le risque de fraude est mieux maîtrisé par les commerçants grâce au renforcement du
profilage des fraudeurs. Les fraudeurs ont moins tendance à réitérer une fraude
réussie.

Cette évolution est confirmée par l’analyse ci-dessous16 :


Graphique n°7 : Évolution du taux de tentatives et du taux d’impayés fructueux

Unité : pourcentage du nombre de transactions


5,00% 0,25%
4,00% 0,20%
0,15%
3,00%
0,10%
2,00% 0,05%
1,00% 0,00%
2005 2007 2009 2011 2013 2005 2007 2009 2011 2013
Source : Fia-Net

1.2 Etat des lieux aujourd’hui

Les deux dernières années été marquées par une amélioration globale sensible de la
sécurisation des paiements par carte dans le secteur du e-commerce, puisque le taux
de fraude a subi une diminution de 21 % entre 2012 et 2013 pour atteindre 0,229 %17
du montant des transactions (soit un montant significatif pour l’ensemble du
marché). Il faut noter que les e-marchands et les spécialistes bancaires ne semblent
pas calculer le taux de fraude de la même manière.

16
Chiffres issus d’une étude réalisée par la société FIA-NET sur 1 700 sites marchands en juin 2014
17
Rapport annuel de l’Observatoire de la sécurité des cartes de paiement

Page | 44
A la différence de l’Observatoire, le marchand exclut généralement du taux de fraude
les tentatives de fraude qui sont détectées avant la livraison effective du produit et
qui n'engendrent dès lors aucun préjudice.

Le pic de 2011 (graphe ci-dessus) a été enrayé par les actions menées par les
principaux acteurs du secteur. En effet les nouveaux contrôles mis en place par ces
acteurs ont notamment permis de limiter les tentatives de fraude portant sur les
paniers élevés.
En 2012, le GIE CB a déterminé 3 catégories de sites marchands 18:
 44% de la fraude concerne les 45 principaux sites (CA supérieur à 140
millions d’euros par an) détenant 49% de part de marché.
Ce sont les sites les plus « outillés » pour se prémunir contre la fraude. Leur
taux de fraude est de 0,24%.
 44% de la fraude concerne les 600 sites dits « intermédiaires » (CA supérieur
à 12 millions d’euros par an) détenant 16% de part de marché. Le taux de
fraude pour ce segment est de 0,65%. Il s’agit aujourd’hui des sites les plus
concernés.
 12% de la fraude concerne les autres sites détenant 12% de part de marché.
Ces sites ne sont pas encore la cible prioritaire des fraudeurs à ce stade, avec
0,16% de taux de fraude.

Même si les taux sont en amélioration, les enjeux financiers sont significatifs : la
projection des analyses de FiaNet sur l’ensemble du secteur e-commerce (51
milliards d’euros de chiffre d’affaires) indique que l’ensemble des tentatives de
fraude se chiffrerait à 1,9 milliard d’euros en 2013.
Les marchands intermédiaires, moins pourvus que les principaux acteurs concernant
le contrôle interne, sont très sensibles à la fraude aux moyens de paiement. C’est par
conséquent un enjeu majeur à appréhender pour l’auditeur légal ou contractuel dans
le cadre de sa mission.

18
GIE Cartes bancaires 2011

Page | 45
2. Le mécanisme de la fraude aux moyens de paiement

2.1 Les méthodes de fraude aux moyens de paiement

i. Principe de base : vol des numéros de la carte bleue


Lors d’une commande en ligne, le marchand propose au client d’entrer les références
de sa carte bancaire afin de la finaliser. Le processus de base est simple : le
consommateur doit indiquer les 16 chiffres du recto de sa carte, renseigner la date de
validité de celle-ci, et pour plus de sécurité entrer les 3 chiffres correspondant au
cryptogramme.

La détention physique de la carte n’étant pas nécessaire pour finaliser la commande,


le fraudeur a seulement besoin de détenir les données nécessaires au paiement.
En effet, lors de ce processus, rien ne garantit au marchand que le consommateur est
bien le détenteur de la carte.
Le fraudeur professionnel, afin de se procurer des données de carte bleue, peuvent
par exemple forcer les systèmes de sécurité informatique d’un marchand afin de
récupérer ses données.
Les mules (passeurs) ou money mules sont des personnes qui servent
d’intermédiaires à des organisations criminelles ou des malfaiteurs. Ils renvoient,
généralement sans le savoir (mais pas toujours), des fonds ou des marchandises
acquis frauduleusement vers les fraudeurs. Le détour par des tiers rend plus difficile
l’identification du fraudeur

ii. Phishing (hameçonnage)


Le phishing (contraction des mots anglais « fishing », en français pêche, et «
phreaking », désignant le piratage de lignes téléphoniques), traduit parfois en «
hameçonnage », est une technique frauduleuse utilisée par les pirates informatiques
pour récupérer des informations (généralement bancaires) auprès d'internautes.
C'est une forme d'attaque informatique reposant sur l'ingénierie sociale. Le fraudeur
demande par envoi d’un message électronique les données de base des moyens de
paiement, en se faisant passer par un organisme de confiance (banque, organisme
social…).

En 2013, dans son étude, la FiaNet indique une « croissance des usurpations de
comptes clients » grâce aux informations recueillies en utilisant cette méthode.
Cela n’empêche pas les fraudeurs d’améliorer leur savoir-faire. La FiaNet indique

Page | 46
que « les auteurs de phishing ne se contentent plus d’essayer de récupérer des
coordonnées bancaires ».
Selon les spécialistes, ils cherchent à récolter tous types de données personnelles :
état civil, coordonnées (postales, bancaires, téléphoniques), mots de passe, réponses
aux questions secrètes, etc… En combinant l’ensemble des informations dérobées et
des réseaux sociaux, les fraudeurs parviennent à prendre possession de comptes
clients de consommateurs identifiés comme « bons » par les marchands. Ce
phénomène est facilité par la faiblesse des mots de passe choisis par certains usagers.

iii. Fausse carte bancaire


Cette catégorie est moins utilisée que les précédentes. La fabrication de cartes
bancaires comportant des numéros fictifs peuvent servir de moyens de paiement chez
les marchands, même si les techniques informatiques de sécurisation permettent
aujourd’hui de limiter ce type de fraude (pratique du moulinage).

iv. Divers
Les derniers mécanismes de fraude directe sont l’annulation de carte bancaire après
réception de la marchandise et la réalisation de chèques sans provision

v. La fraude indirecte
La fraude indirecte est la manipulation d’une personne dans le but de masquer une
opération frauduleuse pour le compte du fraudeur. Le but recherché par le fraudeur
est la livraison d’une commande à l’étranger, sans que l’intermédiaire sache qu’elle
provient de commandes frauduleuses.
La victime devient ce qui est communément appelé « une mule ». Ces cas de fraude
ne seront pas traités dans le mémoire car ils ne sont pas relatifs aux moyens de
paiement.

2.2 Analyse du risque sur les produits

Toute marchandise vendue par le secteur est susceptible d’être la cible d’une
tentative d’achat frauduleux car potentiellement revendue sur un marché parallèle.

i. Analyse de la présence d’un marché


Les motivations ne sont pas les mêmes pour les fraudeurs (cf. 2.3). Le prix d’un
produit est longtemps resté l’indicateur principal du risque de fraude, le second
indicateur étant la catégorie de produit ou la marque à la mode.

Page | 47
Désormais, les fraudeurs professionnels choisissent les cibles de leurs fraudes en
fonction du mix : demande, revenu potentiel et facilité de revente.
Les acteurs du secteur distinguent
trois indicateurs permettant
d’identifier l’existence d’un marché
potentiel et par conséquent un risque
de fraude : valeur vénale, valeur
sociale et valeur vitale. Ces trois
indicateurs sont présentés sur le
schéma suivant (graphique n°8).

 Valeur vénale : motivation pécuniaire


Le consommateur en bout de chaîne cherche à faire des économies en acquérant un
bien d’une gamme supérieure à celle qu’il a la capacité financière de s’acheter
légalement.

 Valeur sociale : motivation « effet de mode »


Le consommateur souhaite posséder un type de produits plutôt qu’un autre, sans
avoir à y investir le prix magasin. La notoriété des marques ciblées est pratiquement
toujours un facteur de choix.

 Valeur vitale : motivation de nécessité


Le consommateur est soumis à des contraintes budgétaires, ce qui l’amène à chercher
les prix les plus bas possibles (notamment un débouché pour la fraude alimentaire).

ii. Les produits fraudés


La demande en produits fraudés est guidée par leur réutilisation potentielle et
l’optimisation de leur usage quotidien. Le top des produits fraudés en 2013 est
présenté en annexe 3.
Les branches du e-commerce traditionnellement cibles des fraudeurs
(électroménager, informatique et parfumerie) sont toujours d’actualité. Néanmoins la
crise que traverse la France depuis 2008 a créé des opportunités sur de nouvelles
branches (produits alimentaires) car les opportunités de revente sont élevées. Par
ailleurs, les pièces détachées et composants informatiques constituent un marché de
niche en plein essor.
La fraude s’adapte également aux nouveautés du marché (particulièrement pour la
téléphonie), car la demande est toujours plus forte lors des lancements de produits,

Page | 48
ou à la saisonnalité de certains produits.
En conséquence, pour chaque marchand, une analyse spécifique doit être menée pour
identifier ses zones de vulnérabilité.

2.3 Deux catégories des fraudeurs (cf. annexe 4)

i. Fraudeur « opportuniste »
Le fraudeur dit « opportuniste » réalise des fraudes individuelles, non planifiées pour
de faibles montants. Son but est principalement de réaliser des économies et non de
générer un revenu.
Il s’agit d’une fraude occasionnelle faite par des individus effectuant des achats
frauduleux tant pour leur propre compte que celui de leur entourage.

ii. Fraudeur « professionnel »


L’objectif du fraudeur professionnel est de générer des revenus. Ces individus ont
souvent fait de la revente de biens fraudés leur principale source de revenus. Ces
fraudeurs ont généralement recours à divers réseaux criminels pour alimenter leur
activité frauduleuse.
Ces fraudeurs peuvent être distingués en deux sous-catégories avec des conséquences
différentes :
 Le fraudeur semi-professionnel opère sur un marché précis qui peut générer
facilement des reventes en petites quantités (exemple : revente régulière
d’une faible quantité de petits produits en ligne).
Il s’agissait avant de la vente de produits « tombés du camion ». Ce fraudeur
ne cherche ni à se diversifier ni à industrialiser son processus.
 Le fraudeur professionnel a pour unique objectif de maximiser ses profits.
Ces fraudeurs achètent et revendent frauduleusement autant de produits que
possible, de l’alimentaire à l’électroménager.
Les fraudeurs professionnels suivent un processus testé avant d’effectuer une
fraude industrielle : analyse, test et mise en œuvre.
À chaque étape, des tentatives de fraude sont commises mais leurs objectifs
divergent. La finalité de l’analyse et du test n’est pas d’acquérir des biens
mais d’identifier les marchands n’ayant pas de systèmes anti-fraude ou de
contourner ses systèmes par des techniques et des comportements d’achat
frauduleux. Cela leur permet d’élaborer des hypothèses de contournement.

Page | 49
A la différence du fraudeur professionnel, le degré de risque est contenu pour les
fraudeurs opportunistes et semi-professionnels. La notion de réitération étant ce qui
différencie un fraudeur opportuniste d’un fraudeur professionnel, le premier ne
répète pas sa tentative lorsqu’elle est réussie alors que le second cherche à renouveler
autant que possible une fraude aboutie, avec comme objectif pour le professionnel de
maximiser les gains matériels et financiers résultant de ces fraudes. Les fraudeurs
professionnels sont à l’origine de l’augmentation du risque observée en 2011.

3. Risques associés, enjeux et réponses du secteur

3.1 Risque financier : Chargeback

Le chargeback, aussi appelé rejet de débit ou opposition au paiement, est le


remboursement d'une transaction par carte bancaire pour un achat en ligne. Le
consommateur qui utilise sa carte bancaire pour régler un achat dispose d’un droit
d’opposition (la loi du 15 juillet 2009 a étendu les délais permettant de faire
opposition jusqu'à 13 mois après la vente) auprès de sa banque et ceci principalement
pour deux motifs :
 soit parce qu'il s'agit d'une transaction frauduleuse
 soit parce qu'il n'a jamais réceptionné le produit

i. Transaction frauduleuse
La société de consommateurs UFC-Que Choisir indique que « le coût de la fraude
n’est pas seulement supporté par les banques, mais aussi par les commerçants »19.
Lors de la finalisation d’une commande, trois acteurs sont présents : le marchand,
une banque et le consommateur. Si le consommateur conteste cette transaction en
faisant valoir qu’il n’est pas à l’origine de l’ordre de paiement et cela pour
différentes raisons (perte, vol, etc..), sa banque doit en principe lui rembourser les
sommes prélevées indûment (article 133-6 du Code monétaire et financier ci-après).

La législation indique que c’est à la banque d’authentifier l’utilisateur de la carte


bancaire et que par conséquent le marchand qui est victime d’une fraude n’aura pas à
en supporter les conséquences.
La jurisprudence considère de ce point de vue qu’en présence d’un paiement
intervenu à distance sans utilisation physique de la carte, ni saisie du code

19
Le Monde du 17 février 2012

Page | 50
confidentiel, la contestation de ce débit par le titulaire du compte oblige la banque à
la restitution des sommes débitées (Chambre commerciale de la Cour de cassation,
23 juin 2004 n°02-15.547).

Afin de contourner cette législation, la banque cherche à obtenir de ses clients


cybermarchands la souscription de contrats de vente à distance dans lesquels sont
énumérées toutes les obligations auxquelles s’engage la banque en cas de
réclamation du consommateur qui a été frauduleusement débité sur son compte.

Ainsi les clauses par lesquelles une banque met à la charge du cybermarchand les
risques de fraude n’ont pas été considérées comme potestatives ni abusives par les
tribunaux. Notamment, la clause par laquelle la banque débite le compte du
commerçant du montant du paiement qui était contesté par le client titulaire de la
carte, a été jugée comme valable (Cour d’appel de Pau 8 janvier 2007, 2eme
Chambre, 1ère section).

ii. Non réception du produit


Certaines oppositions concernent des consommateurs profitant de ce système pour
obtenir le remboursement de produits qu'ils ont bien commandés et réceptionnés.
Il s’agit dans ce cas d’une opposition non fondée entraînant une double perte pour le
marchand : marchandise envoyée et remboursement.

3.2 Risque de détérioration de l’image

Les risques d’image et de mauvaise réputation sont significatifs et ce auprès de tous


les tiers du e-marchand : banques, assureurs, actionnaires, clients. Ainsi, un
consommateur victime d’usurpation d’identité ou de détournement de données
bancaires deviendra hésitant quant à une prochaine commande en ligne. Il propagera
cette mésaventure auprès de son entourage et cela aura comme conséquence un
engrenage négatif sur son image.

3.3 Réponses du secteur pour diminuer la fraude

Les efforts conjugués des marchands, présentés ci-dessous, et des banques (mise en
place de la règle de « 3D Secure » par exemple), ont permis de restaurer un certain
climat de confiance dans le paiement en ligne.

Page | 51
i. « Méthode d'évaluation du risque »
Les principaux marchands ont développé des méthodes d’évaluation du risque, qui
sont appelées « scoring ». En matière de lutte contre la fraude aux moyens de
paiement, il ne s'agit pas d'attribuer aux clients une note de solvabilité mais de
qualifier un comportement ou une commande à risque.

A la différence du « scoring bancaire », l’évaluation du risque de fraude ne vise pas à


empêcher un consommateur de commander mais à permettre au marchand d'adapter
ses moyens de protection au risque de fraude.
L'analyse de risque de la transaction porte couramment sur des éléments comme :
 typologie des articles achetés,
 heure de la commande,
 encours de commandes,
 commandes passées dans les 24 heures précédentes,
 pays de la banque émettrice de la carte...

ii. Outils d'évaluation du risque


Des outils anti-fraude ont été principalement développés en interne par les
marchands. Le livre blanc de la FEVAD fait apparaître une évolution en cours avec
une externalisation partielle (modules additionnels du marché aux dispositifs déjà en
place) ou totale des systèmes anti-fraude.

Les outils développés semblent aujourd’hui notamment limités avec la


professionnalisation de la fraude mais les raisons d’externaliser ce contrôle sont les
suivantes :
 Nécessité de mettre en place des outils automatisés pour gagner en productivité
suite au développement rapide du secteur et du nombre de transactions à traiter.
 Nécessité des marchands à enrichir leur analyse du risque par des données
externes dont ils ne disposent pas. Face à une fraude professionnelle, les
marchands ne peuvent plus se contenter de l'analyse de leurs propres données sur
leurs transactions et se limiter à estimer un risque en les rapprochant des
informations qu'ils possèdent sur leurs propres clients.
 Développement de l’offre de solutions anti-fraude : de nouveaux acteurs ouvrent
des ponts vers des outils ou pratiques déjà en œuvre à l'étranger.
L'externalisation de ces dispositifs reste partielle pour les raisons suivantes :
 La lutte contre la fraude est un atout concurrentiel à préserver et, considérant

Page | 52
cette lutte comme un élément « core business », ils ne sont pas prêts à
l'externaliser.
 L'externalisation totale amènerait un marchand à transmette tout ou partie de sa
connaissance de ses clients à un tiers susceptible de travailler pour l'un de ses
concurrents.
 Des investissements significatifs ont déjà été consentis pour développer leurs
propres solutions en interne.
 L’outil anti-fraude doit tenir compte des spécificités du marchand, de son offre de
produits ou de services et de la typologie de ses clients.

iii. Mise en place de « 3D secure »


Comme le rappelle Atos Wordline, 3D Secure est né au début des années 2000 du
constat fait par Visa et Mastercard sur l'évolution de la fraude sur les moyens de
paiement à distance, la sécurisation des moyens de paiement à distance étant devenue
cruciale pour Visa et MasterCard, notamment en raison du développement du e-
commerce et d'autres moyens de paiement à distance concurrents tels PayPal.

Les grandes étapes de « 3D Secure » sont les suivantes :


 Interrogation par le prestataire de services de paiement (ci-après « PSP ») du
marchand des serveurs de Visa et MasterCard.
 Grâce au BIN20 de la carte, les serveurs de Visa et MasterCard sont à même
d'identifier la banque émettrice de la carte et redirigent la requête vers son
Access Control Server.
 Si la transaction doit faire l'objet d'une authentification« 3D Secure »,
décision reposant sur la seule évaluation du risque par l’ACS par l'application
d'un certain nombre de règles, l'ACS de la banque émettrice renvoie au PSP
l’adresse internet sur laquelle le porteur devra s'authentifier. Lors de cette
authentification, la banque émettrice assume le risque lié au transfert de
responsabilité en cas de transaction frauduleuse.
Le marchand n’a aucun levier sur les règles de déclenchement du mode
d'authentification.

Il faut noter que le principe du transfert de responsabilité est acquis même si

20
La carte bancaire se caractérise par un Primary Account Number de 16 ou 19 chiffres dont les 6
premiers appelés BIN (Bank Identification Number) permettent d'identifier l’établissement émetteur
de la carte.

Page | 53
l’émetteur a fait le choix de ne pas déclencher une authentification lors d’un
paiement 3DSecure. Néanmoins ce transfert pose certains problèmes d’application
pour les banques émettrices étrangères.
La FEVAD a recueilli l’avis des principaux acteurs du marché sur ce système. La
synthèse de leurs avis est présentée ci-dessous :

Bénéfices perçus à la mise en place de


Freins à l'adoption de 3D Secure
3D Secure
- Niveau actuel du taux d'échec - Réduction de la fraude
d'authentification - Amélioration du taux de facturation
- Information des clients jugée encore très - Réduction des coûts de lutte contre la
nettement insuffisante fraude et gains de productivité
- Non éligibilité au transfert de - Amélioration du taux d'acceptation
responsabilité de certaines cartes des autorisations
étrangères - Amélioration de la satisfaction client
- Gestion opérationnelle du transfert de - Baisse des commissions bancaires
responsabilité - Des contrôles plus qualitatifs
- Uniformisation très (voire trop) tardive des
moyens d’authentification
Risques à ne pas mettre en place 3D
Limites de la solution
Secure
- Inadaptation de 3D Secure au Mcommerce - Risque de déport de la fraude sur
- Durée de garantie de 3D Secure les sites qui n'auront pas mis en
- Contrainte par la durée de garantie de place 3D Secure
l'autorisation - Risques de détérioration de l'image
- Paiements fractionnés: transfert de
responsabilité limité au premier versement
- Effet dissuasif limité sur les fraudeurs
- Pas d'allègement des dispositifs anti-fraude
existant grâce à 3D Secure
- Faillibilité de 3D Secure
Source : FEVAD

Il existe de nombreux freins au déploiement massif de « 3D Secure » car l’objectif


des marchands est le « one-click » et ce système engendre de nombreuses
manipulations.

3.4 Les enjeux à venir

Face aux fraudeurs professionnels, il ne s’agit plus uniquement de détecter


l’utilisation d’une carte volée mais d’assimiler les évolutions des comportements
frauduleux afin de minimiser le risque de perte financière. Le marchand doit
également se servir de cette lutte pour améliorer son image auprès de ses clients.

Page | 54
i. Assimiler les évolutions de la fraude identitaire
La lutte contre la fraude n’est plus uniquement liée au risque d’usurpation d’identité
bancaire mais les acteurs du secteur se doivent d’identifier les mécanismes de la
fraude identitaire, conséquence de la professionnalisation des fraudeurs et de leurs
méthodes.
Ces dernières consistent à assembler les composantes de plusieurs identités afin d’en
créer une nouvelle plus difficilement détectable. Une identité est composée de quatre
informations nécessaires à un achat en ligne : bancaire, personnelle, postale et
technique (dispositif technique à travers lequel une commande est passée).

L’enjeu est d’avoir une vision globale de cette méthode de fraude et des risques liés
afin de mutualiser les expertises et détecter la fraude.

ii. Placer la lutte contre la fraude au cœur de la relation client


Pour les marchands, l’objectif principal de la lutte contre la fraude est d’identifier les
fraudeurs afin de minimiser les pertes financières et maximiser les ventes. La lutte
contre la fraude ne doit pas se faire au détriment de la relation client, il est donc
indispensable pour les acteurs de trouver le point d’équilibre.
L’ensemble des contrôles anti-fraude mis en place par les principaux acteurs du
secteur peut entrer en conflit avec la volonté des consommateurs de pouvoir
commander rapidement (« one clic »). Il en découle que l’évaluation de la
performance d’un dispositif anti-fraude se mesure quant à la capacité du marchand à
préserver sa relation avec la clientèle.

Sa stratégie doit être pilotée conjointement par l’ensemble des services clés de
l’entreprise (directions financière, marketing, commerciale et client) afin de trouver
le bon équilibre entre croissance du chiffre d’affaires et maîtrise du risque de fraude.
Afin de préserver la relation client, les marchands pourront choisir les types de
contrôles à effectuer et les échelonner tout au long du workflow d’achat plutôt que
d’appliquer plusieurs contrôles au stade du règlement.

Parallèlement à ce changement, les marchands doivent se servir de leurs contrôles


pour communiquer aux consommateurs leur utilité pour eux et ainsi renforcer cette
relation client.

Page | 55
Section 2 : Environnement légal et réglementaire

1. Environnement légal

1.1 Lutte contre la fraude

i. Directives européennes
Les directives encadrant la lutte contre la fraude sont identiques à celles présentées
(principalement DSP 1 et DSP2) en Partie 1 – Chapitre 2 – section 1.

ii. Législation française


En sus des lois présentées en Partie 1 – Chapitre 2 – section 1, deux articles sont à
mettre en évidence :
 Article 133-6 du Code monétaire et financier (transposition de la directive CE
13 novembre 2007 par l’ordonnance du 15 juillet 2009) relatif à la protection
dont bénéficie le consommateur : une opération de paiement n’est autorisée
que si le consommateur a donné son consentement à son exécution. Le texte
indique qu’il revient à la banque de supporter les risques de la demande de
paiement qui n’émane pas du client.
 Loi n° 2013-1117 du 6 décembre 2013 relative à la lutte contre la fraude
fiscale et la grande délinquance économique et financière. Le principal
changement est le renversement de la charge de la preuve en matière de
blanchiment (article 324-1-1 du Code pénal): dès lors que les conditions de
réalisation d’une opération ne peuvent s’expliquer autrement que par la
volonté de dissimuler l’origine des biens ou des revenus, lesdits biens ou
revenus sont alors présumés être le produit d’un crime ou d’un délit.

1.2 Lutte contre le blanchiment

Créé en 1990, à la suite du sommet du G7, Tracfin a pour mission de lutter contre les
circuits financiers clandestins, le blanchiment d’argent et le financement du
terrorisme. Il reçoit de la part de professions définies à l’article L.561-2 du code
monétaire et financier des informations signalant des opérations financières
atypiques.
Les établissements financiers et les professionnels concernés sont tenus de déclarer à
Tracfin les sommes ou opérations portant sur des sommes dont elles savent ou
soupçonnent qu’elle proviennent d’une infraction passible d’une peine privative de

Page | 56
liberté supérieure à un an ou participent au financement du terrorisme ou d’une
fraude fiscale lorsqu’il y a présence d’au moins un critère défini par décret (article L
561-15 du Code Monétaire et Financier), notamment :
 des opérations dont l’identité du donneur d’ordre est douteuse,
 des opérations effectuées à partir de capitaux dont les bénéficiaires ne sont
pas connus,
 des opérations liées à des techniques d’organisation d’opacité : utilisation de
sociétés-écran, organisation de l’insolvabilité
 des opérations atypiques au regard de l’activité de la société : changements
statutaires fréquents et injustifiés, opérations financières incohérentes
 des opérations peu habituelles et non justifiées : transaction immobilière à un
prix manifestement sous-évalué, dépôt de fonds par un particulier sans
rapport avec sa situation patrimoniale connue, difficulté d’identifier les
bénéficiaires effectifs, refus / impossibilité du client de produire des pièces
justificatives quant à l’origine des fonds ou les motifs des paiements.
En cas de non-déclaration, l'établissement financier ou le professionnel peuvent être
condamnés par la justice.

2. Conformité aux normes de sécurité PCI DSS

PCI DSS est l’acronyme anglais de Payment Card Industry Data Security Standard.
Une traduction française serait « standard de sécurité des données pour l’industrie
des cartes de paiement ».
Le programme PCI DSS vise à améliorer la sécurité physique et logique des
systèmes d’information en demandant aux acteurs du secteur de respecter les bonnes
pratiques de sécurité. Il s’applique à l’ensemble des acteurs de la chaîne
d’acceptation et d’acquisition, c’est-à-dire aux commerçants, aux banques acquéreurs
et aux prestataires de service des uns et des autres.

La conformité à PCI DSS permet de vérifier que les points de contrôles sont bien mis
en œuvre et qu’ils sont efficaces pour la protection des données de cartes bancaires.
Cette conformité passe, selon la taille du commerçant, par un audit effectué par un
auditeur agréé ou par un questionnaire d’auto-évaluation à remplir par l’acteur
concerné et sa transmission à ses organismes financiers. La conformité doit être
vérifiée annuellement.

Page | 57
Le non-respect de la conformité peut entraîner de sévères pénalités (obligation de
payer des amendes, hausse des frais de transaction ou encore perte du droit d'accès
aux ressources d'un réseau de cartes de paiement).

Des tests techniques sont mis en œuvre pour valider la protection du site de l’acteur.
Ces tests varient en fonction des seuils suivants :

Niveau Type d’activité Actions requises pour la conformité


- Tout commerçant traitant
plus de 6 millions de
transactions Visa ou - Audit de sécurité sur site
1
MasterCard par an - Scan de vulnérabilité trimestriel
- Tout commerçant ayant subi
une compromission
- Tout commerçant traitant de - Scan de vulnérabilité trimestriel
2 1 à 6 millions de transactions - Questionnaire d’auto-évaluation
par an annuel
- Tout commerçant traitant de - Questionnaire d’auto-évaluation
3 20.000 à 1 million de annuel
transactions par an - Scan de vulnérabilité trimestriel
- Tout commerçant traitant - Quest d’auto-évaluation annuel
4 moins de 20.000 transactions - Scan de vulnérabilité trimestriel
par an recommandé

Page | 58
Partie 2 : Méthodologie d’audit des moyens de paiement
dans le e-commerce et couverture des risques associés

Les principaux risques liés aux moyens de paiement d’une société de e–commerce
identifiés dans la première partie de ce mémoire peuvent s’établir ainsi :
 Importance significative des systèmes d’information : par essence, l’activité
repose sur ces derniers. La compréhension de leur fonctionnement et
l’appréciation de leur intégration globale sont l’enjeu majeur de la mission de
l’auditeur du fait de l’impossibilité de vérifier l’exhaustivité des flux.
 Protection de la société contre la fraude: les pertes latentes peuvent être
significatives en cas d’absence de protection de la société avec :
 des impayés et des pertes de stocks ;

 le vol des données clients.

 Reconnaissance du revenu : difficulté d’identifier les transactions du fait de la


multiplicité des transactions bancaires avec comme conséquence l’absence de
traçabilité de ces flux et comme problématique pour l’auditeur:
 la gestion du rapprochement des divers moyens de paiement ;

 la gestion des écarts d’affectation.

 Respect de la réglementation liée aux moyens de paiement.

Les moyens de paiement et la reconnaissance du chiffre d’affaires associée, ne


peuvent donc pas être audités en ne faisant que des contrôles de substances
classiques du fait des spécificités évoquées ci-dessus et dans la première partie du
mémoire. L’opinion du professionnel et les tests lui permettant de la qualifier seront
dépendants de la revue du contrôle interne mise en place dans la structure auditée.

En premier lieu, les principales normes de la profession encadrant cette


méthodologie seront présentées avec un focus sur l’audit d’applications
informatiques, élément essentiel de la démarche d’audit.
Afin d’accompagner l’auditeur dans la détermination de sa stratégie d’audit, la
seconde partie s’attachera tout d’abord à présenter la revue (indispensable) du cadre
de contrôle interne qui pourra lui permettre de s’appuyer ou non sur le contrôle
interne de son client.

Page | 59
Nous présenterons donc la revue du contrôle interne pour une société de e-commerce
puis en troisième chapitre, les conséquences sur ses tests de substance.

Pour faciliter la compréhension du lecteur et lui permettre de mettre en pratique les


techniques d’audit présentées, des outils pratiques sont proposés à chaque étape de la
mission.

Chapitre 1 : Démarche d’audit du commissaire aux comptes

Section 1: Environnement réglementaire du commissaire aux comptes

La mission légale de certification des comptes est encadrée légalement par l’article
L. 823-9 du Code de Commerce et règlementairement par le Code de Déontologie de
la Profession, des Normes d’Exercices Professionnels (cf. point ci-après) et des
anciennes normes de la profession non encore transposées.
Les étapes de travail de la méthodologie dite d’audit par les risques, présentés ci-
dessous (graphique n°9), mettent en évidence l’évaluation des risques et leur
réduction par la mise en œuvre notamment de tests de procédures et de contrôles de
substance.

Les étapes de la mission de certification des comptes annuels

Prise de connaissance globale


Acceptation de la mission Lettre de mission

Evaluation du risque Prise de connaissance de l'entité et de son environnement, du


d'anomalies significatives contrôle interne…
Evaluation du risque d'anomalies significatives
et Planification Plan de mission et détermination du seuil de signification

Réponses à l'évaluation des Adaptation de la démarche générale


risques d’anomalies Appréciation du contrôle interne par des tests de procédure
Contrôle de substance: tests de détail et procédure analytique
significatives
Evénements postérieurs
Travaux de fin de mission Lettre d'affirmation
Revue de la documentation des travaux d'audit

Rapport sur les comptes annuels et autres rapports


Rapports et communications Vérifications spécifiques

La méthodologie présentée dans le second chapitre traitera des étapes 2 et 3.

Page | 60
1. Normes d’Exercices Professionnelles encadrant l’objet du mémoire

Les Normes d’Exercices Professionnelles (ci-après « NEP ») sont homologuées par


arrêté du garde des Sceaux, ministre de la Justice, après avis du Haut Conseil du
commissariat aux comptes.21 Constituant le référentiel normatif de la profession,
conforme aux pratiques internationales d’audit de l’I.F.A.C., elles répondent aux
exigences de la réglementation française.

En annexe 5, est présenté le tableau de la CNCC sur les normes au cœur de la


démarche d’audit.

Les normes étant le plus directement liées à la prise en compte du contrôle interne et
des systèmes d’information comme objet ou comme moyen d’audit sont présentées
ci-dessous.

i. NEP 315 - Connaissance de son environnement et évaluation du risque


d’anomalies significatives dans les comptes
Cette norme met l’accent d’une part, sur la nécessité de prendre connaissance
l’environnement de la société et donc des systèmes d’information en place par le
client, d’autre part, d’apprécier le niveau de contrôle interne que l’on peut en
attendre.
Sa mise en œuvre peut se décliner en cinq étapes :
 Prise de connaissance de l’entité afin de déterminer :
 le niveau de risque d’anomalies significatives ;

 les procédures d’audit à mettre en œuvre ;

 Prise de connaissance du secteur d’activité de l’entité, des caractéristiques de


l’entité, des objectifs de l’entité, et des indicateurs de performance financière
utilisés par l’entité.
 Prise de connaissance des éléments du contrôle interne par l’évaluation des
critères suivants par l’auditeur :
 environnement de contrôle (direction…) ;

 procédures de contrôle interne en place (risque du à l’utilisation de

traitements informatisés) ;

21
Article L. 821-1 du Code de Commerce, Code de commerce 2011, Editions Litec, août 2010

Page | 61
 moyens mis en œuvre pour s’assurer du bon fonctionnement du

contrôle interne ;
 système d’information relatif à l’élaboration de l’information
financière ;
 moyens de communication entre la direction et le personnel.

 Evaluation du risque d’anomalies significatives au niveau des comptes (pris


dans leur ensemble) et au niveau des assertions.
 Communication avec le personnel constituant la gouvernance d’entreprise des
déficiences majeures du contrôle interne.

ii. NEP 330 - Procédures d’audit mises en œuvre par le commissaire aux
comptes à l’issue de son évaluation des risques
Conformément à l’évaluation du risque d'anomalies significatives au niveau des
comptes pris dans leur ensemble, l’auditeur adapte son approche générale de la
mission.
Comme nous le verrons dans la seconde section, il peut notamment faire appel à des
collaborateurs plus expérimentés ou possédant des compétences particulières
(experts en systèmes d’information par exemple).

Dans le cas où un cadre de contrôle interne non satisfaisant serait identifié, l’auditeur
peut décider d’adopter une stratégie d’audit basée sur les contrôles de substance
plutôt que des tests de procédures. Dans un environnement fortement informatisé (le
cas du secteur du e-commerce), cette option serait de mettre en œuvre des travaux
d’analyse de données.

iii. NEP 240 - Prise en considération de la possibilité de fraudes lors de l’audit


des comptes
La possibilité de fraude aux moyens de paiement doit s’appuyer en grande partie sur
les systèmes d’information. Il est donc nécessaire d’envisager la revue des moyens
de sécurité.

iv. NEP 570 - Continuité d’exploitation


En cas d’identification d’éléments susceptibles de mettre en cause la continuité
d’exploitation, l’auditeur doit prendre connaissance de l’évaluation faite par la
direction de la capacité à poursuivre son exploitation.

Page | 62
La capacité du client à assurer une continuité de fonctionnement de ses systèmes
d’information a généralement un impact direct sur le bon fonctionnement de
l’entreprise.
Il est donc important de s’assurer que l’entreprise a mis en œuvre les moyens
nécessaires permettant de garantir cette continuité de service dans des délais
acceptables du point de vue de son exploitation pérenne.
L’ancienne norme 2-302 « Audit réalisé dans un environnement informatique » n’a
pas été retranscrite dans les NEP précitées mais intégrée, la revue de l’environnement
informatique et la revue des systèmes mis en place étant fondamentales dans la
démarche d’audit des sociétés de e-commerce.

2. Lutte contre le blanchiment des capitaux et financement du terrorisme

L’obligation du commissaire aux comptes a été définie dans la NEP 9605 qui a pour
objet de définir les principes relatifs à la mise en œuvre des obligations suivantes :

i. Vigilance à l'égard de l'identification de l'entité et du bénéficiaire effectif


La vigilance à l'égard de l'identification de l'entité et du bénéficiaire effectif est de
maitriser sa connaissance de l’entité tout au long de la mission. Elle se traduit par les
actions suivantes :
 Identification de l’entité
 Vigilance complémentaire lorsque le commissaire aux comptes ne peut pas
rencontrer le représentant de l’entité22
 Identification du bénéficiaire effectif
 Conservation de la documentation permettant de justifier l’adéquation des
mesures de vigilance.

ii. Vigilance à l'égard des opérations réalisées par l'entité


L’auditeur procède à un examen attentif des opérations qui font l’objet de ses
contrôles, en veillant à ce qu’elles soient cohérentes avec sa connaissance de l’entité.
Lorsqu’il s’agit d’opérations particulièrement complexes ou d’un montant
inhabituellement élevé ou ne paraissant pas avoir de justification économique ou
d’objet licite, l’auditeur effectue un examen renforcé qui consiste à se renseigner

22
Mesures prévues à l’art R.561-20 du Code monétaires et Financier.

Page | 63
auprès de l’entité sur l’origine et la destination des fonds ainsi que sur l’objet de
l’opération et l’identité.

iii. Déclaration à Tracfin23


La déclaration, effectuée par le ou les signataires du rapport sur les comptes, doit être
réalisée lorsque :
 les opérations portant sur des sommes dont il sait, soupçonne ou a de bonnes
raisons de soupçonner qu’elles proviennent d’une infraction, hors fraude
fiscale, passible d’une peine privative de liberté supérieure à un an ou
participent au financement du terrorisme ;
 les sommes ou opérations dont il sait, soupçonne ou a de bonnes raisons de
soupçonner qu’elles proviennent d’une fraude fiscale ;
 lorsqu’il est en présence d’au moins un critère défini par le décret n°2009-874
du 16 juillet 2009.

Section 2: Méthodologie d’audit par les risques

1. Approche par les risques

L’approche par les risques et le jugement professionnel sont les clés de voûte de la
mission du commissaire aux comptes.
L’approche par les risques est cohérente avec l’objectif même d’une mission d’audit
qui vise à obtenir une assurance raisonnable que les comptes d’une entreprise pris
dans leur ensemble ne comportent pas d’anomalies significatives.

Dans le cadre de son approche par les risques, le commissaire aux comptes doit
connaître les risques théoriques afin d’identifier les risques potentiels et leurs
conséquences (information financière erronée par exemple ou, dans un cas extrême,
défaillance de l’entreprise) et faire porter en priorité ses travaux sur ces zones de
risques.

23
La déclaration comporte les indications prévues au I de l’art. R. 561-31 du Code monétaires et
Financier.

Page | 64
Il est donc indispensable à l’auditeur de comprendre l’activité et l’environnement du
client afin :
 d’appréhender les risques spécifiques du client et les zones à risques ou
sensibles ;
 de se poser les bonnes questions ;
 de développer une approche business qui rassurera et confortera son client ;
 d’être pertinent ;
 de comprendre le système comptable.

Cette compréhension doit lui permettre d’identifier les catégories de transactions


significatives pour :
 savoir si le système constitue une base adéquate à la préparation des états

financiers ;
 identifier les faiblesses qui pourraient entraîner des erreurs significatives ;

 connaître l’information utilisée par la direction pour gérer et contrôler la

société.

2. Stratégie d’audit

Cette approche « Top-Down », recommandée par l’Audit Standard N°5 du


PCAOB24, permet à l’auditeur de définir les domaines où les contrôles seront
approfondis et de mettre en place sa stratégie selon les étapes suivantes :
 Compréhension des risques impactant les états financiers ;
 Identification des comptes significatifs et des assertions associées ;
Les assertions associées sont celles qui peuvent raisonnablement déboucher à une
erreur qui conduirait à une présentation erronée des états financiers.
 Identification et évaluation du cadre de contrôle interne de la société ;
 Identification des risques inhérents aux processus (y compris les risques de
fraude) pouvant seuls ou combinés avec d’autres risques être matériels ;
 Identification des contrôles mis en place par le management afin de prévenir
ou détecter des risques d’erreurs dans les états financiers ;
 Déterminer le seuil de signification, appréciation, par le commissaire aux
comptes, du montant à partir duquel une anomalie peut affecter la régularité,

24
“An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of
Financial Statements”, 12 juin 2007

Page | 65
la sincérité et l’image fidèle des comptes et donc induire le lecteur de ces
comptes en erreur ;
 Réaliser une revue analytique préliminaire ;
 Déterminer le profil de risque ;
 Déterminer la nature et l’étendue des travaux en fonction de ce profil.

Cette stratégie peut être résumée par le schéma suivant (graphique n°10) :
Risque Environnement
inhérent de contrôle

Profil de risque

Contrôle interne Procédures de validation

Tests Tests de
analytiques validation

A l’issue de la mise en place de sa stratégie, l’auditeur pourra émettre une opinion


sur les comptes de son client.

3. Audit informatique

3.1 Méthodologie d’audit des systèmes d’information

La méthodologie d’audit des systèmes d’information consiste en une revue des


risques associés aux processus significatifs supportés par le système d’information et
de la qualité technique de ce dernier. Elle est présentée ci-dessous (graphique n°11) :

Page | 66
Comme indiqué dans le schéma ci-dessus, cette méthodologie se déroule en trois
phases :
 Prise de connaissance de l’environnement informatique avec cartographie ;
 Examen détaillé des contrôles généraux informatiques ;
 Si les contrôles généraux informatiques sont satisfaisants, identification et
test des contrôles applicatifs.

3.2 Analyse de données dans le cadre de la mission d’audit

L’analyse de données, procédure d’audit complémentaire en réponse à une


évaluation du risque d’anomalies significatives, peut également être un apport
complémentaire.
Cette technique d’audit permet d’effectuer une analyse de la qualité comptable en
vue de s’assurer de la qualité de l’information comptable et financière.
L’analyse de données a également pour objectif d’identifier et d’évaluer les
dysfonctionnements de l’entreprise, les erreurs et les fraudes.

L’analyse de la nature et de la qualité des flux comptables apporte à l’auditeur une


assurance sur la correcte traduction dans la comptabilité des informations issues des
différents processus de l’entreprise.

3.3 Mise en œuvre de l’audit informatique

La NEP 620 « Intervention d’un expert » prévoit que lorsque l’auditeur n’a pas les
outils/compétences pour réaliser un audit informatique, il doit confier cette partie de
la mission à des collaborateurs expérimentés dans le domaine ou possédant des
compétences particulières comme l’audit des systèmes d’information ou l’analyse de
données. Cet expert peut être choisi en externe.
Par ailleurs l’auditeur devra évaluer et justifier l’indépendance et la compétence de
son expert.

L’auditeur doit juger de la complexité de l’environnement informatique pour former


son équipe.

Page | 67
i. Complexité de l’environnement
Selon la norme ISA- 40, un environnement informatique peut être jugé complexe en
présence de :
 volume significatif de transactions, rendant impossible l’identification et la
correction des erreurs de traitement, de restitution… par les utilisateurs ;
 transactions générées automatiquement par l’environnement informatique ;
 déversements de transactions entre applications ;
 contrôles informatiques complexes ;
 environnement exécutant des calculs complexes d’informations financières
qui ne peuvent être validées indépendamment.

ii. Equipe d’audit


Si le système est qualifié de simple, l’auditeur peut ne recourir qu’à un auditeur
financier expérimenté en audit informatique. Il pourra également intégrer un auditeur
informatique spécialisé (interne ou externe).
Si cet environnement est complexe, un auditeur informatique spécialisé devra être
intégré.

iii. Intervention de l’expert dès le début de la mission


La NEP 620 prévoit que l’auditeur peut estimer nécessaire de collecter des éléments
à partir des travaux réalisés par un expert dès la prise de connaissance de l’entité et
de son environnement.
Suite à son identification des risques, il peut également mettre en œuvre des
procédures d’audit complémentaires. C’est le cas des procédures liées à la
conformité aux normes sectorielles pour les sociétés de e-commerce.

Page | 68
Chapitre 2: Proposition d’une méthodologie pour l’auditeur

Cette partie sera documentée par une application pratique sur un cas concret d’une
société de e-commerce de vente de produits finis.
Cette société a plus de 100 flux par jour.

Section 1 : Première phase : prise de connaissances de l’environnement

1. Cadre de contrôle interne

Comme indiqué dans le chapitre 1, l’évaluation du cadre de contrôle interne (ou


environnement de contrôle) est une étape clé de la NEP 315.
La première étape de la « Connaissance de l’entité et de son environnement et
évaluation du risque d’anomalies significatives dans les comptes » par l’évaluation
des composantes suivantes du cadre de contrôle interne :
 Systèmes d’information ;
 Procédures de supervision ;
 Stratégie de l’entreprise ;
 Politique de personnel.
L’annexe 6 propose un questionnaire type permettant de mener des entretiens avec
les principales directions afin d’apprécier l’appétence globale de la société dans le
contrôle interne. Cette appréciation a un impact fort dans la détermination de la
stratégie d’audit de l’auditeur :
 Fort  risque d’erreur réduit
 Neutre  pas d’effet sur le risque d’erreur

Par ailleurs, certains sujets propres au métier devront être appréciés par l’auditeur.

1.1 Contrôle du risque de fraude du site

L’appréciation du risque de fraude sur ces produits par les fraudeurs est un risque du
métier. L’auditeur devra donc s’assurer que ce risque est globalement couvert.
Associer un produit à une valeur vénale, sociale ou vitale fait uniquement ressortir la
valeur dominante permettant d’orienter l’analyse, le suivi et la prévention du risque.

Page | 69
Pour les e-commerçants, évaluer le risque de fraude sur un produit à travers sa valeur
consiste à déterminer un niveau en deçà duquel le produit perd tout attrait pour la
revente en circuit parallèle. L’auditeur doit donc s’assurer que son client procède à
une analyse de son appréhension de la fraude (questionnaire en annexe 8).

1.2 Pression concurrentielle sur le Chiffre d’Affaires

Le marché du e-commerce est en pleine croissance. La hausse de la concurrence se


traduit souvent par une guerre des prix et des services comme le soulignaient les
principaux acteurs du e-commerce en France : « On parle beaucoup des taux de
croissance fantastiques de l’e-commerce. Cette façade cache souvent une course à la
taille et à la part de marché qui coûte très cher aux sites marchands », selon David
Larramendy, DG délégué de Ventadis, filiale du groupe M6 qui opère
Mistergooddeal ou selon Pierre Kosciusko-Morizet, fondateur de PriceMinister.com,
« cette phase de croissance forte et de transfert des clients vers le Web oblige tout le
monde à être positionné fortement sur le prix ». 25

L'intensité de la concurrence a comme effet sur les sociétés une incitation à


entreprendre une innovation de procédé ou de produit. La conséquence d'une
innovation de procédé est la réduction des coûts de production. Si la pente du profit
dégagé par rapport à son niveau de coût est plus raide, le marchand pourrait être
incité à réduire ses coûts de production/coûts d’achats.
Ce risque sera d'autant plus grand que la progression du profit dégagé, par rapport à
son niveau de coût, est raide.
La conséquence de cette pression est un risque significatif sur la marge brute que ce
soit pour les nouveaux acteurs cherchant à gagner des parts de marché, ou des acteurs
historiques réagissant et ayant tendance non seulement à baisser leurs tarifs mais a
également à développer de nouveaux services.

L’auditeur devra donc prendre connaissance de la stratégie de fidélisation du client


avec un accent sur les domaines suivants : nouveaux investissements sur la qualité
des services, mise en place d’un outil de CRM, acquisition de fichier client.

25
E-commerce : Les 5 forces de Porter, Régis Vansnick, Etude du 16 mai 2010

Page | 70
L’auditeur devra lors de son approche du contrôle interne porter une attention
particulière sur le cut-off sur les ventes de fin d’année, la revue de la marge et la
revue des investissements.

1.3 Conformité du site marchand à la réglementation

Si le site n’est pas conforme à la législation en vigueur et/ou que les informations
obligatoires ne sont pas présentes, le site s’expose à un vice de consentement sur les
ventes.
En cas de vice de consentement, le client peut bénéficier d’un délai de rétractation de
12 mois. Cette rétraction impliquerait l’annulation de la vente.

Nous recommandons à l’auditeur de vérifier la conformité des conditions générales


de vente.

1.4 Reconnaissance du Chiffre d’Affaires publicité

En 2013, 36% des grands sites marchands n’étaient pas rentables26. Les sites de e-
commerce, afin de se diversifier, ont développé de nouvelles ressources : la vente
d'espaces publicitaires et les bases de données clients.
Ce nouvel axe est expliqué par Stéphane Loire 27: « Afficher des bannières
publicitaires sur le site permet de valoriser les 98 % d’audience qui n’achètent pas »
(taux de conversion moyen d’un site de commerce de 2 % en moyenne). Aujourd’hui
cet apport de revenu peut constituer jusqu’à 10 % du chiffre d’affaires.
Il faut pour l’auditeur s’assurer du bon suivi des programmes d’affiliation et de
« deal online » et de la bonne facturation des prestations réalisées (exhaustivité et
séparation des exercices).

Nous recommandons d’analyser le processus de reconnaissance du chiffre d’affaires


liés à la publicité.

26
Selon étude « Rentabilité du e-commerce » CCM Benchmark pour Webloyalty, effectuée auprès de
65 sites de e-commerce, 2013
27
Les sites marchands cherchent de nouvelles voies pour améliorer leur rentabilité. –
www.shutterstock.com

Page | 71
2. Prise de connaissance de l’environnement informatique

Comme nous l’avons observé lors de la première partie, les systèmes d’information
utilisés par les sociétés de e-commerce participent de façon significative à
l’environnement de contrôle interne. Le bon fonctionnement, la stabilité, la fiabilité
des systèmes ainsi que l’efficacité des contrôles qu’il présente (ségrégation des
tâches, états d’anomalie…) constituent une part importante de l’environnement de
contrôle interne de ces sociétés.
De plus, l’appréciation du risque de fraude aux moyens de paiement est liée à la
revue des contrôles généraux informatiques (sécurité logique)

2.1 Prise de connaissance de l’environnement informatique

La prise de connaissance de l’environnement informatique doit être systématique et


peut se décliner ainsi :
 la prise de connaissance à l’aide d’un questionnaire et sollicitation
éventuelle des équipes d’audit informatique ;
 la prise de connaissance générale des outils informatiques utilisés,
principalement concernant le processus de constitution du chiffre
d’affaires ;
 l’analyse ou l’établissement d’une cartographie du système d’information.
Nous proposons en annexe 7 un exemple de questionnaire de prise de connaissance
de l’environnement informatique dans le secteur du e-commerce.

2.2 Cartographie des systèmes et applications

Dans un premier temps, il convient de définir les systèmes d’information utilisés


pour chaque processus et les relations fonctionnelles existant entre eux.
Cette description peut exister sous la forme d’une cartographie des applications. Si
tel n’est pas le cas, l’établissement de la cartographie doit être réalisé par le
professionnel, notamment dans le cas des sociétés de e-commerce car ces structures
utilisent de nombreuses applications.

Page | 72
Graphique n°12 : Exemple de cartographie détaillée28

3. Identification des flux intervenant dans le processus

La deuxième phase de cette prise de connaissance consiste en l’identification et la


compréhension des flux intervenant liés aux moyens de paiement dans le e-
commerce. L’ensemble des sociétés du secteur, du fait de sa non maturité, peut avoir
des environnements de contrôles différents.

La prise de connaissance s’effectue par des entretiens, des analyses de documents


auprès des personnes ayant un rôle dans le déroulement des opérations. S’il existe, le
professionnel doit également prendre connaissance du manuel de procédures
concernant les opérations liées au processus. Selon la taille de la société ou
l’appétence des dirigeants dans la formalisation de ces procédures, le professionnel
obtiendra, ou non, la formalisation de ces procédures.

La phase d’identification permettra au reviseur d’analyser les flux de transactions sur


chacun des sous-processus et d’évaluer la qualité et la fiabilité des procédures de
contrôle mises en place. Le caractère significatif des risques et des contrôles sera
apprécié au regard du risque d’erreur intentionnelle ou non.

28
« Guide d’audit des applications informatiques », I.S.A.C.A. / A.F.A.I., novembre 2008

Page | 73
3.1 Identification des flux liés aux moyens de paiement

Les flux de transaction liés aux moyens de paiement sont particuliers au secteur du e-
commerce du fait que la reconnaissance du chiffre d’affaires est principalement liée
au flux d’encaissement.
L’identification des flux de transactions liés aux moyens de paiement est donc
majeure dans le cadre de l’audit des sociétés de e-commerce.
Il est ainsi important que l’auditeur distingue les processus-clés suivants :
- encaissements clients par moyens de paiement ;
- gestion des impayés (fraude ou règlement en plusieurs fois sans frais) ;
- gestion des remboursements client (retour suite à rétractation ou mise en jeu
de la garantie).

Dans le cadre de cette prise de connaissance, doivent se tenir des entretiens avec les
directions suivantes : Trésorerie / Informatique / Administration des Ventes /
Comptabilité.
En ce qui concerne les petites structures juridiques et celles en développement
n’ayant pas de back office très structuré, l’auditeur devra porter une attention
particulière sur la séparation des fonctions dans ce processus.
Afin de structurer les entretiens, l’auditeur réalise un test de cheminement sur une
transaction donnée depuis le premier clic jusqu’à l’émission de la facture.

Les objectifs de la réalisation, par la collecte d’éléments probants, de ce test de


cheminement sont les suivants :
 confirmer la compréhension du cheminement des opérations liées à un
processus ;
 déterminer si tous les points ou les inexactitudes susceptibles de se produire
ont été identifiés ;
 évaluer l’efficacité de la conception des contrôles ;
 vérifier la mise en œuvre des contrôles identifiés.29

Il s’agit donc de suivre le cheminement d’opérations réelles en se servant des mêmes


documents et des mêmes technologies de l’information que ceux qui ont été utilisés à

29
“An Audit of Internal Control over Financial Reporting That is integrated to an Audit of Financial
Statements”, Auditing Standard No. 5, PCAOB, novembre 2007

Page | 74
l’origine et en s’entretenant avec les personnes chargées des aspects significatifs des
activités ou des contrôles. Ces échanges sont utiles à l’appréhension de la fiabilité
des contrôles.
Ce test donnera lieu à la rédaction d’un narratif où seront identifiés les points de
contrôle interne.

L’auditeur sera alors en capacité de juger la pertinence et la conception de ces


contrôles ou pourra recommander la mise en place de contrôles pertinents.
Si l’auditeur estime que la conception des contrôles mise en place couvre le risque
d’anomalies significatives pour chaque assertion d’audit et que l’efficacité théorique
de ces contrôles n’est pas remise en cause, il déterminera son programme de travail
(plan de test) pour les tests d’efficacité sur ces contrôles.

Pour chacun des processus-clés présentés ci-dessous, l’auditeur devra faire attention
aux aspects suivants :
- lien avec sa prise de connaissance informatique et ainsi déterminer
l’interfaçage (et les déversements) avec les systèmes comptables ;
- Identification des flux dans la chaîne de paiement ou remboursement
permettant une intervention manuelle directe sur la console du PSP ;
- assurance qu'une analyse risque est effectuée au préalable et qu'une cotation
risque est affectée au client (contrôle système).
Nous proposons dans la section suivante une méthodologie dédiée pour un paiement
en carte bleu.

3.2 Test de cheminement et cartographie spécifique

i. Acceptation client

L’étape clé de la sécurisation du chiffre d’affaires est la connaissance du client et de


son « scoring ».

Les questions à poser sont les suivantes :


 Source de l'analyse préalable du client et son acceptation : externe par un
outil du marché ou interne, effectuée par le service fraude ?
 A quelle(s) étape(s) est (sont) réalisée(s) ce « scoring » lors de la commande ?

Page | 75
 Le « scoring » prend-il en compte l’analyse de la valeur dans le marché de la
revente ?

ii. Evaluation des pratiques comptables


Le professionnel peut, en tant que test complémentaire, réaliser la collecte des
données comptables (clients particuliers) sur un périmètre de 3 mois dans le but
d’effectuer une évaluation des règles et pratiques comptables relatives à la trésorerie
(cycles ventes).

iii. Cas pratique du mémoire : exemple d’un test de cheminement et cartographie


d’une commande acceptée par carte bancaire
Dans le cadre de l’audit des moyens de paiement, la formalisation d’une cartographie
détaillée des différents systèmes et applications informatiques utilisés dans le
processus de constitution du chiffre d’affaires doit être réalisée.

Nous proposons ci-dessous un exemple de cartographie avec le recensement des


principaux points de contrôles informatiques recensés et évalués (la cartographie
type est présentée en annexe 11).

Graphique n°13 : Cartographie d’une commande acceptée par Carte bancaire

Le test de cheminement associé à cette cartographie est présenté en annexe 12. La


réalisation de ce test permettra de tester la fiabilité des contrôles généraux
informatiques sur les applications identifiées.

Page | 76
Les tests de conception des contrôles identifiés ressortiraient dans ce cas précis à
2.4/3.
La conclusion suivante peut être ainsi formulée : la majorité des étapes du processus
présente des contrôles automatisés ou manuels qui sont systématiques.
Cependant, il n’existe pas de contrôle lors de l’intégration de la commande dans le
back office du site après prise d’empreinte sur le portail ATOS.

4. Appréhension du risque de fraude

La fraude aux moyens de paiement n’entre pas dans le champ de la N.E.P. 240
« Prise en considération de la possibilité de fraudes lors de l’audit des comptes ».
Néanmoins le cadre de ce contrôle contribue à prévenir et détecter les risques de
fraude. L’auditeur doit apprécier les principales actions conduisant de manière
directe ou indirecte à la prévention et la détection des risques de fraude.

Les risques de fraude possibles sont de manière théorique :


 les risques d’une information financière frauduleuse (notamment sur la
reconnaissance de profits, la majoration de la valeur des actifs ou la
minoration de la valeur des dettes) ;
 les risques de détournement des actifs ;
 les risques de blanchiment d’argent, utilisation frauduleuse de moyens de
paiement ;
 les risques d’acquisitions frauduleuses d’actifs ou de dépenses surestimées
frauduleusement (surcoût d’un fournisseur de biens ou services…) ;
 les risques de fraude liée au non-paiement de certaines charges (notamment
charges fiscales).

L’approche d'audit pour couvrir le risque de fraude est la suivante :


 Une discussion entre les membres de l'équipe d'audit afin d’augmenter la
sensibilité et l'esprit critique des membres de l'équipe vis-à-vis du risque de
fraude,
 Des entretiens avec la direction de la société, sur leur évaluation du risque de
fraude, leur connaissance de fraudes ou d'actes illégaux (avérés ou non),

Page | 77
 Les réponses aux questions liées à la fraude dans le cadre de l’appréciation du
cadre de contrôle interne (cf. questionnaire en annexe 6) ainsi que celles du
questionnaire sur l’appréhension de la fraude (cf. questionnaire en annexe 8).
 La mise en œuvre des procédures d'audit substantives suivantes:
 Revue des estimations comptables significatives,

 Compréhension et évaluation de la justification opérationnelle des

transactions inhabituelles significatives.


 La communication de ces observations au niveau approprié de management
de l'entreprise,
 Une revue de processus de clôture des états financiers.

4.1 Risque d’une information financière frauduleuse

Le risque de fraude sur l’information financière consiste à communiquer aux


investisseurs des informations financières ne reflétant pas une image fidèle de la
situation de l’entreprise avec une intention frauduleuse de la part des personnes :
 qui définissent les principes à suivre dans le cadre de la production de
l’information financière,
 qui élaborent ou communiquent des informations altérant la qualité des
données financières publiées.

Nous recommandons à l’auditeur de s’appuyer sur plusieurs éléments


d’environnement de contrôle (questionnaires) complétés de certains contrôles clés
qui peuvent conduire à prévenir et détecter les risques d’une information financière
frauduleuse :
 L’organisation mise en place par les sociétés de e-commerce peut créer un
environnement favorisant la réduction de ce risque de fraude :
 La direction financière a un rôle de premier niveau de prévention et de

détection des risques d’information financière frauduleuse au sein de


l‘organisation par la mise en place de procédures, d’activités de
contrôles et d’une supervision que ces activités sont efficacement
menées.
 La direction financière a une action centralisatrice dans son rôle de

définition des règles d’élaboration de l’information financière publiée.

Page | 78
 A chaque clôture, les options de clôture comptables (éléments à

comptabiliser mettant en œuvre une part de jugement de la


responsabilité du management) font l’objet d’un suivi rapproché.
 La direction financière maintient une structure de reporting financier

parallèle pour la société.


 Le contexte dans lequel les sociétés e-commerce exercent leurs activités peut
accentuer les risques d’élaboration d’une information financière frauduleuse
en vue d’un enrichissement personnel de ses collaborateurs et de ses
dirigeants. L’auditeur doit être attentif aux formes de rémunération.
 Les activités de contrôles individuels sur l’élaboration des états financiers
(contrôles préventifs et détectifs) contribuent à la fois à réduire le risque
d’erreur et le risque d’information financière frauduleuse, tout
particulièrement ceux impliquant la formalisation et la justification d’options
de clôture basées sur le jugement des dirigeants. La revue du processus de
clôture des états financiers permet de limiter ce risque.

4.2 Risque de détournements d’actifs

L’auditeur doit s’assurer que son client a mis en place une grande diversité d’actions
ou de moyens de contrôles contribuant à limiter ce risque de fraude, à différents
niveaux de l’organisation.
Les risques principaux de détournements des actifs susceptibles d’affecter de
manière significative l’information financière sont :
 les risques de détournements de produits ou d’actifs physiques ;
 les risques de détournements d’actifs financiers ;
 les risques liés à la sûreté des systèmes d’informations et de leurs données.

i. Risques de détournements de produits, d’actifs physiques ou d’actifs


financiers
La démarche première de prévention de ce risque est celle de la ségrégation des
tâches, réduisant le risque qu’une personne engageant la demande d’achat / le
paiement de flux financiers puisse également l’ordonnancer et effectuer le règlement.
Cette séparation des tâches se reflète à la fois dans les délégations de pouvoirs
internes et externes.

Page | 79
ii. Risques liés à la sûreté des systèmes d’informations et de leurs données
Ce risque doit être couvert grâce aux audits informatiques, en particulier les tests sur
les contrôles généraux informatiques.
Il s’agit d’un risque majeur pour les sociétés de e-commerce (sûreté des bases
clients).

iii. Risque d’acquisitions frauduleuses d’actifs ou de dépenses surestimées


frauduleusement
L’auditeur doit s’assurer que la société de e-commerce possède une démarche
d’autorisation des investissements basée sur une validation hiérarchique obligatoire à
partir de seuils d’investissements.
Toute découverte de fraude avérée à l’occasion des différents contrôles effectués doit
engendrer le cas échéant des sanctions disciplinaires à l’encontre des personnes
concernées, en accord avec les procédures applicables.

4.3 Risque de blanchiment d’argent et d’utilisation frauduleuse


de moyens de paiement

Du fait de leur activité, les sociétés de e-commerce doivent assurer à la fois la


sécurité des transactions ainsi que la transparence et la prévention des risques
d’exploitation frauduleuse et de lutte contre le blanchiment d’argent

Les réponses qui peuvent y être apportées sont les suivantes :


 équipe fraude dédiée ;
 présence d’un correspondant TRACFIN qui communique à TRACFIN
toutes les suspicions de fraude.
Nous proposons en annexe 10 un questionnaire relatif à la lutte contre le blanchiment
dans le cadre d’une société de e-commerce.

Nous considérons pour la suite du mémoire que l’environnement de contrôle est fort
dans la société et qu’il n’y a pas de risque de fraude.

Page | 80
Section 2 : L’évaluation du contrôle interne, outil indispensable

L’appréciation du cadre de contrôle interne par l’auditeur (satisfaisant ou non) peut


l’amener (cf. chapitre 2 – Section 1 – point 1) à adopter une approche basée sur les
contrôles en s’appuyant sur le contrôle interne.
Dès lors que l’auditeur envisage de s’appuyer sur le contrôle interne, il doit effectuer
dans un premier temps l’examen des contrôles généraux informatiques puis dans un
second temps tester les processus qu’il a désignés comme clefs.

1. Contrôle généraux informatiques

Le choix de structure de l’équipe d’audit a été évoqué précédemment. A ce stade, il


convient d’affecter les contrôles généraux informatiques à un membre spécialisé. La
décision doit être prise au regard de la sensibilisation et de l’expérience des membres
de l’équipe d’audit à ces sujets ainsi que de la complexité du système informatique.
Les systèmes informatiques dans les entreprises du secteur du e-commerce sont
complexes, l’auditeur devra donc faire appel à un spécialiste informatique.

1.1 Revue des contrôles généraux informatiques

Les contrôles généraux informatiques sont l’ensemble des activités automatisées. Ils
permettent de donner une assurance raisonnable que les objectifs globaux du contrôle
interne sont atteints dans cet environnement informatisé.

i. Démarche d’audit des contrôles généraux informatiques


L’audit du contrôle interne par les contrôles généraux informatiques s’articule autour
des quatre axes de revue encadrant les deux grandes catégories de contrôles (gestion
des accès et du changement) suivants :

 Gestion des utilisateurs informatiques :


Les contrôles liés à la gestion et à l’organisation de la fonction
informatique. Il s’agit notamment d’évaluer :
 l’existence, la composition, le rôle, les responsabilités et le
fonctionnement du service informatique ;
 le degré de sensibilisation au contrôle interne de la fonction ;

 les relations entre les utilisateurs finaux et le service informatique.

Page | 81
 Mise en place de nouveaux systèmes :
Les contrôles d’implantation et de maintenance des applications
permettent d’identifier la méthode de développement des applications
informatiques développées, acquises ou les contrats de maintenance
associés. Ils permettent notamment de s’assurer :
 que les développements sont effectués en limitant les risques d’erreurs

et qu’ils contribuent à la fiabilité des traitements ;


 que les procédures de modifications sont de nature à préserver

l’intégrité du système d’information.

 Continuité d’activité (Gestion de l’exploitation) :


Les contrôles d’exploitation permettent de s’assurer que les traitements
automatisés se déroulent de manière fiable et mettent l’entité en mesure
de réagir aux incidents d’exploitation éventuels.

 Analyse des procédures de sécurité physique et logique et traçabilité des


erreurs répartie en deux catégories de contrôles :
 Les contrôles d’accès logique permettent à l’auditeur d’apprécier les
procédures d’autorisation d’accès et de protection de l’intégrité des
données.
Des procédures de détection doivent être mises en œuvre pour garantir
le fonctionnement du système de sécurité et permettre, le cas échéant,
de signaler et de suivre les tentatives de violations.
 Les contrôles liés à la sécurité physique et au plan de secours sur les

mesures de prévention et de détection sont prises pour protéger les


systèmes d’information.

ii. Mise en œuvre de la démarche d’audit des contrôles généraux informatiques


Un certain nombre d’informations nécessaires à la réalisation de ces contrôles
peuvent déjà avoir été collectées lors de la prise de connaissance de l’environnement
informatique, si l’auditeur a jugé pertinent d’obtenir de les obtenir.
L’auditeur s’appuie également sur les tests de cheminement (et les contrôles
identifiés) réalisés sur les applications clefs lors de cette prise de connaissance
informatique. Un questionnaire d’identification des contrôles généraux informatiques
est présenté en annexe 13.

Page | 82
Dans une grande partie des sociétés de e-commerce, du fait du développement récent
ou de la structure de l’entreprise et/ou de l’appétence de la direction informatique
dans le contrôle interne, l’auditeur peut avoir à faire face à des procédures
inadéquates ou insuffisantes. Il doit, dans ce cas, en apprécier l’impact sur les
applications.
Les contrôles opérationnels répondant aux cinq axes détaillés ci-dessus (analyse des
procédures de sécurité physique et logique, gestion des utilisateurs informatiques,
gestion du changement, gestion de l’exploitation et mise en place de nouveaux
systèmes) sont détaillés en annexe 14. Cette annexe propose des exemples de tests à
effectuer lors de la revue de l’efficacité des contrôles généraux informatiques.

Cette étape doit répondre à deux objectifs :


 Appréciation de l’efficience des contrôles informatiques généraux ou de
l’existence de contrôles compensatoires par la prise en compte de la
nature des risques ;
 Evaluation de l’effet de ces contrôles sur les applications lorsqu’elles
fournissent une information qui présente une importance pour l’audit des
états financiers.

1.2 Revue du cadre réglementaire : Protocole PCI DSS30

Les sociétés de e-commerce doivent répondre aux exigences du protocole PCI DSS
(comme évoqué en première partie du mémoire) si elles veulent pouvoir continuer
d’utiliser les cartes de crédit (visa, MasterCard, réseau CB).
Nous recommandons à l’auditeur de tester les 12 mesures réglementaires, réparties
en 6 thèmes suivants :
 Création et gestion d’un réseau sécurisé :
 Gestion de la configuration de pare-feu pour protéger les données des

titulaires de cartes
 Non utilisation des mots de passe système et autres paramètres de sécurité

par défaut définis par le fournisseur


 Protection des données des titulaires de cartes
 Protection des données de cartes stockées

30
Payement Card Industry Data Security Standard

Page | 83
 Cryptage de la transmission des données des titulaires de cartes sur les

réseaux publics
 Gestion d’un programme d’analyse des vulnérabilités
 Utilisation de progiciels antivirus et mise à jour régulière

 Développement et gestion des systèmes et des applications sécurisés

 Mise en œuvre de mesures de contrôle d’accès strictes :


 Restriction de l’accès aux données des titulaires de cartes aux seules

personnes qui doivent les connaître


 Affectation d’un identifiant unique à chaque utilisateur d’ordinateur

 Restriction de l’accès physique aux données des titulaires de cartes

 Surveillance et test réguliers des réseaux


 Suivi et surveillance de tous les accès aux données des titulaires de cartes

 Test des processus et des systèmes de sécurité

 Gestion de la politique de sécurité des informations


Ces contrôles entrent dans le champ de la protection contre les fraudeurs.

1.3 Revue des Contrôle Généraux Informatiques dans le cadre


de la revue des moyens de paiement

Suite à la formalisation d’une cartographie détaillée des différents systèmes et


applications informatiques utilisés dans le processus, nous recommandons de
s’assurer de l’adéquation des contrôles mis en place, de la sécurité logique et
physique, de la traçabilité des erreurs et de la continuité d’activité.

i. Méthode :
 Description des systèmes/plateformes/applications impliqués, les données, les
utilisateurs, le stockage et l’archivage, le plan de sauvegarde
 Revue de l’historique de rejets et vérification que ces derniers sont suivis
régulièrement et systématiquement appliqués.

ii. Exemple de revue sur le cas présenté dans le cadre du mémoire des Contrôles
Généraux Informatiques présenté en annexe 15

Page | 84
iii. Résultat des tests des contrôles généraux informatiques sur le cas présenté
dans le cadre du mémoire

Tests d’efficacité

Tests de la Traçabilité
Etape du processus
Conception Sécurité des Continuité
logique erreurs d’activité

1 Passage de commande 3 3 NA 2

Prise d'empreinte des


2 informations de Prestataire externe. Pas d’informations.
paiement par ATOS
Si la prise d'emprunte
est OK, importation de 1 3 NA 2
3
la commande dans le
backoffice
Pas de transmission
4 Score du client 3 2
d’informations

Paiement de la
5 Prestataire externe. Pas d’informations.
commande

Traitement de la
6 3 2 2 2
commande

Lecture des fichiers


d'opération et transférés
7 par ATOS pour 3 2 2 1
rapprochement avec les
données du back
Exportation en
8 2 2 2 1
comptabilité

Niveau d’assurance faible Niveau d’assurance moyen Niveau d’assurance fort

Page | 85
iv. Conclusions détaillées par thèmes sur le cas présenté dans le cadre du
mémoire:

Note
Thèmes Constats Recommandation
(/3)

Les droits d’accès sont associés à chaque


utilisateur en fonction de son poste.
Toute donnée transférée depuis ou vers une
Niveau de Déficience de
plateforme Web est cryptée. Ainsi les
la sécurité 2,3 formalisation des
échanges entre site et Atos ou entre le site
logique contrôles
web et le backoffice passent par une clé de
cryptage puis décryptage pour éviter toute
interception à usage frauduleux.

Niveau Le niveau de traçabilité des erreurs est faible, Historisation des mails
de il s’agit d’alertes mails traitées puis d’alertes et des
traçabilité 2 supprimées. Le service des fraudes ne fait solutions apportées
des aucune remontée à l’informatique en cas de permettant une
erreurs blocage/déblocage d’une commande. meilleure traçabilité.

Note
Thèmes Constats Recommandation
(/3)

Toutes les applications sont intégrées au plan Il conviendrait


de sauvegarde. d’effectuer des points
Toutes les applications sont traitées en miroir de sauvegarde
Niveau de (2 serveurs de manière distincte pour prise de incrémentaux mensuels
continuité 1,6 relais). Les serveurs de la comptabilité sont en La mise en place d’un
d’activité cours d’alignement sur cette technologie. plan de secours
Des tests de restauration quotidiens sont faits formalisé permettrait de
à la demande des utilisateurs. renforcer le niveau de
Il n’existe pas de plan de secours. continuité d’activité.

A la lecture de ces conclusions, nous estimons que nous pouvons nous appuyer sur
les systèmes d’information.

Page | 86
1.4 Conclusion de ces tests et conséquence sur les contrôles
applicatifs

A l’issue de cette phase de tests, l’auditeur devra utiliser son jugement professionnel
afin d’évaluer s’il peut ou non s’appuyer sur les systèmes d’informations.
La démarche à suivre sur le contrôle interne de l’entreprise est présentée en annexe
16.
Lorsque les contrôles généraux informatiques d’une application sont efficaces,
l’auditeur procède à l’examen des contrôles applicatifs. Dans le cas contraire, il met
en œuvre des procédures alternatives.
Comme nous l’avons indiqué précédemment, cette phase est indispensable dans le
cadre de l’audit de sociétés du e-commerce. Il s’agit d’une étape fondamentale car
toute déficience majeure des contrôles généraux informatiques interdirait de
s’appuyer sur les éléments issus des systèmes et, en conséquence, de développer des
contrôles de substance étendus.
La mise en œuvre de ces contrôles peut se révéler très compliquée dans une société
du secteur du e-commerce car fortement informatisée. Dans un environnement
fortement informatisé, s'il existe des faiblesses de contrôle, la mise en œuvre des
contrôles de substance revient à mettre en place des travaux d’analyse de données, ce
qui nécessite de faire appel à des spécialistes de ce domaine.

2. Contrôles applicatifs des processus clés

Le choix des contrôles à tester est la dernière phase de la méthodologie de revue du


contrôle interne.
L’ISA 330 énonce :
 § 23 : Lorsque, dans le cadre de son évaluation du risque d’anomalies
significatives au niveau des assertions, l’auditeur présume que les contrôles
fonctionnent efficacement, il doit mettre en œuvre des tests de procédures
pour recueillir des éléments probants suffisants et appropriés montrant que les
contrôles fonctionnaient efficacement aux moments pertinents au cours de la
période auditée.
 § 25 : Si, en application du paragraphe 115 de la Norme ISA 315, l’auditeur
conclut qu’il n’est pas possible ou réalisable de réduire le risque d’anomalies
significatives au niveau des assertions, à un niveau faible acceptable au

Page | 87
moyen d’éléments probants recueillis à partir de contrôles de substance
uniquement, il doit réaliser des tests sur les contrôles concernés pour
recueillir des éléments probants quant à l’efficacité de leur fonctionnement.
 § 44 : Lorsque, conformément au paragraphe 108 de la Norme ISA 315,
l’auditeur a estimé qu’un risque identifié d’anomalies significatives au niveau
d’une assertion est majeur et qu’il prévoit de s’appuyer sur l’efficacité du
fonctionnement des contrôles destinés à réduire ce risque significatif, il doit
recueillir des éléments probants portant sur l’efficacité du fonctionnement de
ces contrôles à partir de tests de procédures mis en œuvre durant la période en
cours.
Il ressort de ces textes que l’auditeur est tenu de mettre en œuvre des tests de
procédures lorsque, dans son évaluation du risque, il présume que les contrôles
fonctionnent efficacement ou lorsque des contrôles de substance seuls ne fournissent
pas d’éléments probants suffisants et appropriés au niveau des assertions.

Cette étape se décline en trois phases :


1) Définition de la stratégie de tests ;
2) Réalisation des tests d’efficacité opérationnelle des contrôles informatiques et
des contrôles manuels ;
3) Réalisation des procédures de « Roll Forward ».

2.1 Stratégie de test

i. Définition de la stratégie de tests


Après identification des contrôles à tester sur les processus clés, l’auditeur doit
déterminer le nombre et la méthodologie de tests selon la méthode suivante :
 Définir l'élément de l'échantillon

 Définir ce qui constitue une erreur

 Déterminer la taille de l'échantillon

 Sélectionner les éléments de l'échantillon

 Evaluer les résultats

 Taille de l’échantillon
L’étendue doit être définie sur :
 la fréquence des contrôles ;

Page | 88
 le risque de défaillance inclus dans l’environnement de contrôle de l’entité.

Nous devons considérer un échantillon statistique lorsque la population est


supérieure ou égale à 100.
La taille de l’échantillon est définie dans les tables suivantes. Il est intéressant de
noter que la qualification de l’environnement de contrôle affecte le nombre d’items à
sélectionner afin d’effectuer nos tests :
Niveau de risque associé à
l’environnement de contrôle
Fréquence du contrôle sur un exercice Fort Neutre
Annuelle 1 1
Trimestrielle (incl. dernier trimestre) 1+1 1+1
Mensuelle (incl. dernier mois) 1+1 3+1
Hebdomadaire 5 10
Quotidienne 10 25
Routinière 30 60
Cf. tableau Cf. tableau
Autres
suivant suivant

Niveau de risque associé à


l’environnement de contrôle
Fréquence du contrôle sur un exercice Fort Neutre
1–2 1 1
3 - 10 2 2
11 - 25 2 4
26 - 56 5 ou 10 % (*) 10 ou 20 % (*)
57 - 364 10 ou 15 % (*) 20 ou 25 % (*)
> 365 30 60
(*) Il faut retenir la plus haute des deux valeurs

 Le choix de la méthode de test peut être défini selon le schéma en annexe 17.

ii. Réalisation des tests d’efficacité opérationnelle des contrôles informatiques et


des contrôles manuels
L'ISA 330 énonce dans son paragraphe 29 que l’auditeur doit mettre en œuvre
d’autres procédures d’audit en association avec des demandes d’informations afin de
tester l’efficacité du fonctionnement des contrôles.
Le choix des contrôles que nous devons tester doit s’effectuer sur la base de sa
connaissance de l’entité et doit tenir compte des facteurs suivants :

Page | 89
 Le niveau de matérialité ou le risque d’erreur couvert par le contrôle ;
 Le degré de jugement nécessaire pour se prononcer sur l’efficacité d’un
contrôle ;
 Le caractère probant du contrôle ;
 Le degré de jugement ou d’estimation associé au compte comptable ;
 La possibilité que le management passe outre le contrôle.
L’auditeur, lors de l’identification des flux liés aux moyens de paiement (point 3.1),
a distingué les processus-clés suivants :
 Encaissements clients par moyens de paiement ;
 Gestion des impayés (fraude ou règlement en plusieurs fois sans frais) ;
 Gestion des remboursements client (retour suite à rétractation ou mise en jeu
de la garantie).
Cette dernière étape de revue du contrôle interne doit être réalisée sur les processus
sélectionnés. L’auditeur doit tester les contrôles identifiés lors des tests de
cheminement (cf. point 3.1).
Les tests de contrôle peuvent fournir une preuve de l’efficacité d’une opération :

 à un moment particulier, comme par exemple la prise d’inventaire physique,


ou
 pendant une période donnée, comme par exemple la période auditée.

iii. Identification des risques non couverts


Un contrôle couvre généralement plusieurs risques. Toutefois, il est possible de
conclure qu’un contrôle est «inefficace » sans pour autant que tous les risques qui y
sont attachés ne soient pas couverts également.
Il convient de bien préciser les risques réellement non couverts à la suite de cet
échec.
Avant de conclure définitivement qu’un risque ou qu’une assertion n’est pas couvert
suite à l’échec d’un ou plusieurs tests, il faut s’assurer qu’il n’existe pas :
 De contrôles compensatoires qui permettent de couvrir les risques et
assertions du contrôle primaire testé, a minima les risques et assertions qui ne
sont plus couverts suite à l’échec du test sur le contrôle primaire.
 De contrôles partiellement compensatoires qui permettent de limiter les
conséquences sur les états financiers de la non couverture des risques et
assertions par un contrôle primaire avéré inefficace.

Page | 90
En cas d’échec d’un contrôle, c’est à la société auditée qu’il revient la charge
d’identifier les contrôles compensatoires et partiellement compensatoires.
En revanche, c’est à l’auditeur qu’il revient de valider par des tests que :
 Il s’agit réellement de contrôles compensatoires ou partiellement
compensatoires ;
 Ces contrôles fonctionnent effectivement, en appliquant la même
méthodologie que pour les autres tests que nous effectuons nous-mêmes.
Si aucun contrôle compensatoire ou partiellement compensatoire n’a pu être
identifié, il devient alors possible de conclure définitivement qu’un risque ou qu’une
assertion n’est pas couvert suite à l’échec d’un ou plusieurs tests.
L’ensemble des points relevés doit faire l’objet d’un suivi pour s’assurer qu’ils seront
résolus au plus tard pour la clôture. Résolution qui doit être testée et validée à
l’occasion d’une deuxième vague de tests d’efficacité.
Dans les cas où la correction d’un point relevé intervient tardivement (i.e. juste avant
la clôture), il convient de vérifier s’il est possible de vérifier cette correction sur au
moins un exemple :
 Si aucun exemple n’est disponible, nous devons considérer que le point
relevé n’est pas clos ;
 Si le nombre d’items testables après correction est suffisant par rapport à la
méthodologie présentée, il convient de tester le contrôle remédié suivant cette
même méthodologie ;
 Si au moins un item est testable, mais que le nombre d’items testables après
correction est insuffisant par rapport à la méthodologie, il convient de tester
tout l’échantillon disponible après correction. Si aucune anomalie n’est
relevée, il sera possible de conclure sur le point relevé. Toutefois, ce contrôle
devra faire l’objet d’une attention toute particulière à l’occasion de l’exercice
suivant.

iv. Réalisation des procédures de « Roll Forward »


Quand les tests de contrôle sont effectués avant la date de clôture de la période
auditée, l’auditeur doit considérer quelle preuve additionnelle pourrait être requise
pour couvrir la période restante. Cette preuve pourrait être soit obtenue en étendant
les tests sur la période restante, soit en sélectionnant la dernière occurrence pour les
contrôles peu fréquents (cf. tableau page précédente).

Page | 91
2.2 Revue des contrôles applicatifs des processus clés des
moyens de paiement

i. Méthodologie globale
Dans la partie d’identification des risques, nous avons défini les processus suivants :
 Encaissements clients par moyens de paiement ;
 Gestion des impayés (fraude ou règlement en plusieurs fois sans frais) ;
 Gestion des remboursements client (retour suite à rétractation ou mise en jeu
de la garantie).
Pour chacun de ces processus, l’auditeur devra adopter, dès qu’il le peut, une
approche d’audit par les contrôles. A cet effet, l’annexe 17 recense l’ensemble des
différents tests de contrôle lui permettant de s’assurer de la fiabilité du contrôle
interne de son client.

ii. Résultat du test des contrôles sur le cas présenté dans le cadre du mémoire
Nous avons vu lors des précédentes étapes la fiabilité des systèmes
d’informations (cf. Chapitre 2 - Section 2 : Point 1.3). Considérant être dans
un environnement de contrôle interne fort (cf. Chapitre 2 - Section 1 : Point
1), le détail des tests des contrôles sur le processus revu dans le cadre du
mémoire est présenté en annexe 19.

Notre exemple met en évidence qu’il est pertinent d’adopter une procédure de
contrôle sur ce processus.

2.3 Conclusion de ces tests et conséquence sur la stratégie


d’audit

A l’issue de cette phase de tests, l’auditeur devra utiliser son jugement professionnel
afin d’évaluer s’il peut adopter une stratégie de contrôle en s’appuyant sur le contrôle
interne de la société (cf. démarche de l’auditeur sur le contrôle interne de l’entreprise
en annexe 16).
L’évaluation, faite par assertion et par poste significatif, en fonction des résultats des
tests d’efficacité opérationnelle, est la suivante:

Page | 92
Etendue des tests de contrôle Niveau de risque du contrôle interne
Etendue satisfaisante Faible
Aucun Elevé

Comme nous l’avons évoqué précédemment, cette phase est indispensable dans le
cadre de l’audit de sociétés du secteur du e-commerce. En effet avoir une stratégie
substantive sur l’ensemble des processus clés, est impossible du fait du volume de
transactions.

Section 3 : Détermination des procédures substantives

1. Stratégie d’audit permettant de déterminer un programme de travail

Nous avons vu précédemment lors du chapitre 1 - Section 2 - Stratégie d’audit, les


neuf étapes du déploiement de la stratégie d’audit.
Nous nous intéresserons, lors de cette section, à trois des dernières étapes listées ci-
dessous. Nous excluons la réalisation de la revue analytique préliminaire car ne
pouvant pas faire l’objet d’un programme particulier.
1) Déterminer le seuil de signification
2) Réaliser une revue analytique préliminaire
3) Déterminer le profil de risque
4) Déterminer la nature et l’étendue des travaux en fonction de ce profil.

1.1 Seuil de signification

Le seuil de signification (également appelé seuil de matérialité) est le niveau au-


dessous duquel les erreurs ou risques d’erreurs relevés ne sont pas de nature à
remettre en cause la régularité et la sincérité des états financiers sur lesquels
l’auditeur est amené à porter une opinion. Si le seuil est un chiffre calculé (critères et
méthode), le terme signification quant à lui renvoie à un jugement ; d’où la notion de
« caractère significatif » définie par l’IFAC comme suit : "Une information est
significative si son omission ou son inexactitude est susceptible d'influencer les
décisions économiques prises par les utilisateurs se fondant sur les états financiers".

Page | 93
Selon la NEP 320, le commissaire aux comptes détermine un seuil de signification au
niveau des comptes pris dans leur ensemble lors de la phase de planification de
l'audit. Notons que cette phase intervient après la prise de connaissance de
l’environnement (cf. section 1 de ce chapitre), comme vu dans la démarche d’audit
de la Compagnie Nationale des Commissaires aux Comptes en annexe 5.

Sur la base de son jugement professionnel, le commissaire aux comptes identifie des
critères pertinents à partir desquels, par application de taux ou d'autres modalités de
calcul, il détermine le seuil ou les seuils de signification. Ces critères peuvent être,
par exemples :
Taux
Critères pertinents (NEP 320.09)
indicatifs
Résultat courant 3à7%
Résultat net 3à7%
Chiffre d'affaires 1à3%
Capitaux propres 3à5%
Endettement net 1à2%
Marge Brute 0.5 à 1%

Le choix de ces critères dépend notamment :


 de la structure des comptes de l'entité ;

 de la présence dans les comptes d'éléments auxquels certains des

utilisateurs se fondant sur les comptes sont susceptibles d'être


particulièrement attentifs ;
 du secteur d'activité de l'entité ;

 de la structure de l'actionnariat de l'entité ou de son financement ;

 de leur variabilité dans le temps.

Concernant les sociétés du secteur, compte tenu de nos observations dans la première
partie du rapport, il s’agit de sociétés récentes qui connaissent un développement
important (résultat souvent négatifs). Le résultat courant pour ces sociétés ne pourra
être retenu.

Nous recommandons de s’appuyer sur la marge brute car dans un contexte de forte
expansion, les ventes ne sont pas encore représentatives de la réalité de l’activité et
ne sont pas comparables d’une année sur l’autre.

Page | 94
L’auditeur devra choisir dans la fourchette en fonction de sa connaissance historique
et du contexte opérationnel de l’activité fortement évolutif. Il devra également
prendre en compte la découverte ou non d'ajustements ou de zones de risques
significatifs lors des précédents audits.

1.2 Profil de risque

A l’issue d’évaluation du contrôle interne, l’auditeur pourra déterminer le profil de


risque (Evaluation du risque inhérent + Evaluation du contrôle interne) selon la
matrice suivante :
Matrice de profil de risque
Risque lié à l’Environnement Risque Inhérent
de Contrôle FAIBLE ELEVE
FAIBLE Minimal Moyen
ELEVE Moyen Fort

Sur base de la matrice de profil de risques et de la conclusion des tests de contrôle


interne, un programme de travail doit être préparé pour chacune des sections.
Il est impératif de tenir compte des conclusions de la revue du contrôle interne
pour la détermination de l’étendue des travaux.

1.3 Adaptation des procédures/niveau de risque

i. Nature des tests substantifs


 Risque Minimal Détection
 Risque Moyen Extensif
 Risque Fort Estimation

ii. Etendue des tests substantifs


 Détection : Nous n’attendons pas d’erreurs. Cependant, nos tests substantifs
ont été établis de manière à ce qu’on ait une chance raisonnable de détecter
les éventuelles erreurs importantes pour l’audit (revue analytique, analyse de
données).

Page | 95
 Extensif : Bien que nous n’attendions que peu d’erreurs, nos tests substantifs
sont suffisamment extensifs pour déterminer si des erreurs importantes pour
l’audit sont survenues, si ces erreurs sont détectées et pour en estimer
l’impact financier (combinaison de procédures analytiques et de tests de
détail).
 Estimation : Puisque nous attendons des erreurs qui pourraient être
significatives, nos tests substantifs ont été établis de manière à estimer
l’impact financier potentiel (procédures analytiques et/ou tests de détail et/ou
sondages d'estimation).
Après avoir rappelé le détail des procédures substantives, nous présentons celles
devant être utilisées par l’auditeur dans le cadre de sa revue.

2. Mise en œuvre des procédures substantives

2.1 Les procédures substantives

L’ISA 330 (reprise par la NEP330) énonce dans ses paragraphes 49 et 50 :


« Indépendamment de l’évaluation du risque d’anomalies significatives, l’auditeur
doit concevoir et mettre en œuvre des contrôles de substance pour chaque flux
d’opérations, solde de compte et information fournie dans les états financiers, dès
lors qu’ils sont significatifs ».
Cette exigence reflète le fait que l’évaluation du risque par l’auditeur repose sur une
appréciation et peut ne pas être suffisamment précise pour identifier tous les risques
d’anomalies significatives.
Il existe des limites inhérentes au contrôle interne, y compris le fait qu’il puisse être
contourné par la direction. Par conséquent, même si l’auditeur estime que le risque
d’anomalies significatives peut être réduit à un niveau faible acceptable en réalisant
uniquement des tests de procédures pour une assertion particulière relative à un flux
d’opérations, à un solde de compte ou à une information fournie dans les états
financiers, il réalise toujours des contrôles de substance pour chaque flux
d’opérations, solde de compte et information fournie dans les états financiers, dès
lors qu’ils sont significatifs.

Page | 96
Les contrôles de substance réalisés par l’auditeur doivent inclure les procédures
d’audit suivantes relatives au processus d’établissement des états financiers :
 un rapprochement des états financiers avec la comptabilité sous-jacente ;
 l’examen des écritures comptables significatives et des autres ajustements
enregistrés lors de l’établissement des états financiers.
Il existe deux types de tests de substance :
 Tests de détail : procédures conçues pour collecter des preuves qui pourraient
valider un montant dans les états financiers.
Ils sont utilisés pour obtenir des preuves d’audit concernant certaines
assertions comme l’existence, l’exactitude et l’évaluation.
 Procédures analytiques substantives : procédures conçues pour valider les
corrélations prévisibles entre des données financières et non financières. Elles
sont appliquées principalement pour les grands volumes de transaction qui
ont tendance à être prévisibles.
Dans certaines situations, l’auditeur peut juger que la mise en œuvre de procédures
analytiques de substance seules peut suffire à réduire le risque d’anomalies
significatives à un niveau faible acceptable. Dans d’autres situations, l’auditeur peut
juger que seules des vérifications de détail sont appropriées ou qu’une association de
procédures analytiques de substance et de vérifications de détail répond mieux à
l’évaluation des risques.

2.2 Revue des procédures substantives des processus clés des


moyens de paiement

i. Méthodologie globale
Lors de la partie d’identification des risques, nous avons défini les processus
suivants :
 Encaissements clients par moyens de paiement ;
 Gestion des impayés (fraude ou règlement en plusieurs fois sans frais) ;
 Gestion des remboursements client (retour suite à rétractation ou mise en jeu
de la garantie).
Nous avons vu précédemment que, pour chacun de ces processus, l’auditeur devra
adopter, dès qu’il le peut, une approche d’audit par les contrôles. A cet effet l’annexe
18 recense l’ensemble des différents tests de contrôle sur ces différents processus lui

Page | 97
permettant de s’assurer de la fiabilité du contrôle interne de son client. Cette
méthodologie est placée dans le cas où l’on peut s’appuyer sur les tests de contrôles
présentés dans la partie précédente.
Ainsi que nous l’avons précédemment souligné, du fait notamment du nombre
important de transactions individuelles, il n’est pas possible pour l’auditeur de
recourir aux procédures substantives classiques de validation du cycle Chiffre
d’Affaires-Clients.

Par conséquent les principales procédures substantives sur le processus revu dans le
cadre du mémoire et notamment celles spécifiques au secteur du e-commerce sont
présentées.

ii. Présentation des principales procédures substantives sur le processus revu


dans le cadre du mémoire
Dans un premier temps, afin de s’assurer de l’efficacité du contrôle interne et afin de
valider la stratégie, l’auditeur doit effectuer des procédures dites de « Roll forward »
sur les contrôles identifiés, précédemment, les tests d’efficacité devant généralement
porter sur l’ensemble de l’exercice dans le cadre d’un audit intégré. L’étendue de ces
procédures doit être déterminée contrôle par contrôle en fonction des facteurs
suivants :
 Le degré de risque lié au contrôle ;

 Le caractère probant des preuves obtenues dans le cadre du test ;

 La durée de la période non couverte par les tests (notamment les tests

annuels);
 La possibilité d’avoir des changements significatifs dans le contrôle

interne / le système d’information entre la date des tests et la clôture


des comptes audités.
Nous présentons en annexe 20 des exemples de cas de figure.

Encaissements clients par moyens de paiement


L’élément clé de ce mémoire est de proposer une méthodologie de validation du
chiffre d’affaires par l’analyse des différents moyens de paiement, les sociétés de e-
commerce n’ayant pas ou peu de créance client (cas du paiement en plusieurs fois
chez certains marchands).

Page | 98
La partie précédente est essentielle puisqu’elle permet à l’auditeur de s’assurer de la
viabilité des systèmes et l’exhaustivité des flux issus de ces systèmes.

 Rapprochement du Chiffre d’Affaires annuel


Comme nous l’avons démontré tout au long de ce mémoire, les données issues des
différents moyens de paiement sont essentielles pour les sociétés de e-commerce.
L’objectif des deux tests ci-après est de valider l’exhaustivité du chiffre d’affaires.
Ces rapprochements permettent d’une part de corroborer les tests de procédures
effectués lors de la partie précédente mais également de valider l’état permettant la
revue analytique du chiffre d’affaires (présentée en annexe 20 dans le détail des
procédures substantives).
 Rapprochement du chiffre d’affaires issu de la gestion commerciale

avec les données issues des différents moyens de paiement.


L’auditeur devra investiguer les éventuelles écritures en rapprochement et ainsi
s’assurer de l’exhaustivité du chiffre d’affaires.
Ce rapprochement lui permettra d’identifier les impayés de l’année.
 Rapprochement du chiffre d’affaires comptable avec le chiffre

d’affaire issu du logiciel de gestion commerciale.

 Revue des écritures de « cut-off » significatives – manuelles et automatiques.


La problématique de la séparation des exercices (revenu reconnu alors que le
transfert de propriété n’a pas eu lieu) doit être traitée lors des revues de procédures.
Néanmoins le test précédent doit être complété d’une revue des écritures de « cut-off
» significatives.
L’objectif de ce test est d’une part de vérifier la séparation des exercices en
examinant les retraitements significatifs entre le chiffre d’affaires issu des différents
moyens de paiements et celui issu de la comptabilité.
L’auditeur doit faire le rapprochement des factures, bons d'expédition, et autres
documents justificatifs le jour et le lendemain de la date de clôture, et vérifier que les
opérations ont été comptabilisées sur le bon exercice.
Le second objectif de cette revue est l’analyse des écritures manuelles afin de couvrir
le risque de fraude interne à l’entité. L’auditeur devra demander le détail de ces
écritures et investiguer les montants significatifs.

Page | 99
 Revue analytique des comptes clients significatifs
Les sociétés de e-commerce n’ont pas/peu de comptes clients car elles sont
principalement payées lors de la commande. Un des principaux tests est la revue
analytique des comptes clients significatifs.
L’objectif de ce test est de s'assurer que les comptes clients significatifs ne sont pas
surévalués et ne présentent pas d'antériorité significative à la clôture de l’exercice
comptable.
Les grandes catégories de comptes clients que le professionnel peut s’attendre à
identifier lors de ses travaux et les explications de la variation par rapport à
l’exercice précédent sont les présentées en annexe 21.

Gestion des impayés (fraude ou règlement en plusieurs fois sans frais)


Les sites de e-commerce ayant de nombreux clients individuels (principalement des
particuliers), il n’est pas possible d’auxiliariser ces clients. Les procédures
substantives classiques de validation des créances douteuses ne sont donc pas
applicables.

Il existe deux risques de non recouvrement des ventes :


1) Echec lors de la présentation des échéances lors du paiement en plusieurs fois
Par principe, le client paie tout ou partie de son achat dès la commande. S’il choisit
de bénéficier du règlement en plusieurs fois, voici l’échéancier des règlements :
 1ère échéance à la commande

 2ème échéance à xx jours

 3ème échéance à xx jours

Cet échec est principalement la conséquence d’une mauvaise santé financière du


client.
2) Rejet d’un paiement comptant lors de la commande
Cet échec est principalement la conséquence de rejet suite à des fraudes à la carte
bancaire. Nous avons vu lors de ce mémoire que les sociétés de e-commerce devaient
se prémunir contre ce risque.

La société utilisera ses statistiques historiques de recouvrement des ventes afin


d’identifier le taux de dépréciation appropriée, on parle donc de « provision
statistique ».

Page | 100
 Dépréciation des comptes clients
L’objectif de ce test est d’analyser la réalité de la dépréciation des clients.
En se basant sur les spécificités des clients particuliers et après une analyse
historique du caractère recouvrable des catégories de ventes (comptant ou en
plusieurs fois), l’auditeur doit analyser l’approche statistique adopter par son client
afin de déprécier les créances douteuses sur les clients particuliers.
L’auditeur doit alors recalculer la provision statistique.

 Revue du Taux Bilatéral des Transactions Bloquées


Les banques facturent aux sociétés de e-commerce une commission sur leurs
transactions assise sur le Taux Bilatéral des Transactions Bloquées (TBTB). Ce taux
est le rapport entre le montant des transactions frauduleuses et le montant total des
transactions réalisées sur le réseau. Ce taux est calculé de manière statistique en
fonction des données du dernier trimestre. En cours de trimestre, le montant à payer
est calculé sur la base du taux déterminé au début du trimestre.
L’objectif de la revue de ce taux est de vérifier l’exhaustivité des commissions
bancaires liées à la fraude.
L’auditeur devra donc revoir le calcul réalisé en fin d’année afin de s’assurer de
l’exactitude de la provision du montant à payer/à recevoir.

Gestion des remboursements client (retour suite à rétractation ou mise en jeu de


la garantie).
Les sociétés de e-commerce doivent constituer une provision pour retour suite à
rétractation ou mise en jeu de la garantie afin de respecter le principe de séparation
des exercices.
Il n’est pas possible à la date de clôture de déterminer le montant des retours de
marchandises. L’évaluation de cette provision est faite par voie statistique sur les
données historiques de la société.
L’auditeur doit déterminer la pertinence des provisions pour retours de marchandises,
garanties, et autres éléments similaires en étudiant et évaluant les processus du client
pour établir ces provisions.

Page | 101
Les principaux tests à réaliser sont les suivants :
 Déterminer les conditions de retour de marchandises accordées aux clients
dans le cadre des conditions générales de vente ou en fonction des usages
commerciaux.
L’auditeur doit d’une part interroger la direction à propos des conditions de vente et
de garantie et d’autre part corroborer cette interview en analysant les états qui
mentionnent ces conditions (par exemple : les CGV ou les CGU du site, les
catalogues de vente et les dossiers de correspondance) afin de déterminer la base
d’analyse.

 Examiner les mouvements des provisions pour retours, garanties et éléments


similaires intervenus au cours de l'exercice.
L’auditeur doit obtenir l'historique des retours sur une période relativement longue
afin de calculer le taux statistique de retour.
Néanmoins il doit utiliser son jugement professionnel afin de prendre en compte les
éléments qui pourraient modifier la base d’analyse :
 en examinant l'activité postérieure à la date de clôture des comptes ;

 en se renseignant sur les nouveaux produits et les changements

significatifs dans les produits existant sur la période concernée ;


 en se renseignant sur les problèmes de production ou de contrôle

qualité significatifs intervenus pendant l'année.

 Evaluer le caractère adéquat des provisions pour ristournes, retours, garanties,


et éléments similaires à la date de clôture.
Le montant de la provision doit être égal à la marge réalisée par la société sur les
produits retournés et le cas échéant sur les coûts de remise en état du produit pour la
remise en stock éventuelle.
Une fois la marge déterminée par catégorie de produits éligible à un retour, l’auditeur
doit appliquer le taux utilisé.
Une application pratique est présentée en annexe 22 et 23.

Page | 102
Section 4 : Présentation des recommandations

La méthodologie présentée repose sur une stratégie sur l’évaluation des contrôles mis
en place par la société afin de couvrir les risques identifiés, complétée par des
procédures substantives permettant de confirmer les résultats obtenus lors des tests
sur les contrôles.
L’objectif des travaux mis en œuvre dans cette méthodologie est d’obtenir des
éléments probants appropriés afin de réduire le risque d’anomalies significatives des
états financiers à un niveau acceptable pour le professionnel.
La nature des anomalies identifiées est encadrée par la NEP 450 (transposition de la
norme internationale ISA 450) relative à « l’évaluation des anomalies relevées au
cours de l’audit ».
La finalité de la NEP 450 est d’expliquer comment la notion de caractère significatif
est appliquée lors de la prise en compte de l’incidence sur l’audit des anomalies
relevées et lors de l’évaluation de l’incidence des éventuelles anomalies non
corrigées. En outre, elle aborde également la communication avec la direction des
anomalies relevées. Enfin, elle précise que le commissaire aux comptes doit
déterminer si son approche générale et la conception de ses procédures d’audit
doivent être révisées. Cela peut être le cas d’une part, si la nature des anomalies
relevées et les circonstances de leur survenance indiquent que d’autres anomalies
peuvent exister qui pourraient être significatives et d’autre part quand le cumul des
anomalies relevées s’approche du seuil de planification.

1. Nature des anomalies identifiées

Selon les normes, on peut distinguer trois catégories d’anomalies :


 les anomalies factuelles sont des anomalies sur lesquelles il n’y a pas de
doute : par exemple un écart lors de la réconciliation de deux états consécutifs
à un mauvais report informatique ou manuel ;
 les anomalies liées au jugement sont des écarts résultant de positions de la
direction qui concernent des estimations comptables que l’auditeur considère
comme déraisonnables, ou le choix ou l’application de méthodes comptables
que l’auditeur considère comme inappropriés : par exemple un désaccord sur
le taux de retour retenu par la société ;

Page | 103
 les anomalies extrapolées sont la meilleure estimation des anomalies dans les
populations que l’auditeur fait en extrapolant les anomalies détectées dans les
échantillons aux populations entières dont sont tirés les échantillons : par
exemple une erreur identifiée lors des tests sur la séparation des exercices.
Chaque anomalie détectée doit être évaluée individuellement mais également en
cumul au regard du seuil de signification déterminé par l’auditeur.
Une anomalie détectée peut sous-tendre d’autres anomalies. Cela peut être le cas, par
exemple, lorsque l’auditeur identifie une anomalie dont la conséquence est une
défaillance du contrôle interne ou du recours généralisé à des hypothèses ou
méthodes d’évaluation inappropriées dans chez son client. Si le cumul des anomalies
relevées au cours de l’audit est proche du seuil de signification, le risque que le total
des éventuelles anomalies non détectées et du cumul des anomalies détectées au
cours de l’audit excède le seuil de signification est important.

2. Communication avec le gouvernement d’entreprise

Les anomalies identifiées lors des procédures d’audit doivent être discutées avec le
gouvernement d’entreprise, tout en invitant celui-ci à procéder aux corrections
nécessaires. Néanmoins si le professionnel n’obtient pas les ajustements demandés,
celui-ci devra en tirer les conséquences au niveau de son audit puis au niveau de son
rapport sur les comptes annuels.
La NEP 700 « Rapport du commissaire aux comptes sur les comptes annuels et
consolidés » précise que le commissaire aux comptes formule une certification avec
réserve pour désaccord lorsqu’il a identifié au cours de son audit des comptes des
anomalies significatives et que celles-ci n’ont pas été corrigées, que les incidences
sur les comptes des anomalies significatives sont clairement circonscrites et que la
formulation de la réserve est suffisante pour permettre à l’utilisateur des comptes de
fonder son jugement en connaissance de cause.

Dans le cas où l’auditeur confluerait que les anomalies identifiées remettent en cause
sa stratégie et qu’il estime que les procédures substantives mises en œuvre ne lui
permettraient pas de collecter des éléments assez probants pour limiter le risque
d’anomalie, il formule une certification avec réserve pour limitation. Cette
formulation peut être utilisée lorsqu’il n’a pas pu mettre en œuvre toutes les

Page | 104
procédures d’audit nécessaires pour fonder son opinion sur les comptes, que les
incidences sur les comptes des limitations à ses travaux sont clairement circonscrites
et que la formulation de la réserve est suffisante pour permettre à l’utilisateur des
comptes de fonder son jugement en connaissance de cause.
Si ces conditions ne sont pas respectées, il doit en tirer les conséquences et formuler
un refus de certifier.

Enfin en application de la NEP 265 « Communication des faiblesses du contrôle


interne », au moment qu’il juge approprié, le commissaire aux comptes communique
à la direction, les faiblesses du contrôle interne identifiées au cours de l’audit qu’il
estime d’une importance suffisante pour mériter son attention. Il effectue cette
communication par écrit lorsqu’elle porte sur des faiblesses qu’il estime
significatives. Cette démarche peut être source de valeur ajoutée pour le client dans
le cadre de cette méthodologie puisqu’elle lui permettra de faire progresser son
contrôle interne. Nous proposons un exemple de communication en annexe 24.

Section 5 : Synthèse de la méthodologie

1. Particularités de la méthodologie

Les procédures classiques de revue du chiffre d’affaires et des comptes clients ne


sont pas applicables aux sociétés de e-commerce :
 Rapprochement balances auxiliaires et générales

 Revue des clients douteux

 Revue de la Balance Agée

 Revue des clients créditeurs / effets à recevoir

 Revue des Avoirs post-clôture

 Tests étendus sur la séparation des exercices

 Revue des Factures à Etablir

 Revue des demandes de confirmation clients

Comme nous l’avons évoqué, les enjeux pour le commissaire aux comptes dans une
société de e-commerce sont les suivants :
 Importance significative des systèmes d’information : par essence, l’activité

Page | 105
repose sur ces derniers. La compréhension de leur fonctionnement et
l’appréciation de leur intégration globale est l’enjeu majeur de la mission de
l’auditeur du fait de l’impossibilité de revoir l’exhaustivité des flux.

 Protection de la société contre la fraude client : les pertes latentes peuvent


être significatives en cas d’absence de protection de la société avec :
 des impayés et des pertes de stocks ;

 du blanchiment d’argent ;

 du vol des comptes clients.

 Reconnaissance du revenu : difficulté d’identifier les transactions du fait de la


multiplicité des transactions bancaires avec comme conséquence l’absence de
traçabilité de ces flux et comme problématique pour l’auditeur :
 gestion du rapprochement des divers moyens de paiement ;

 gestion des écarts d’affectation.

 Respect de la réglementation liée aux moyens de paiement.


Ces situations nécessitent la mise en place d’une démarche d’audit basée sur les
contrôles car les procédures substantives seules ne permettraient pas d’obtenir les
éléments probants suffisants afin d’obtenir une assurance sur la qualité des états
financiers présentés.
Enfin la revue et le contrôle de l’environnement informatique sont des éléments
majeurs du fait de l’importance significative des systèmes d’informations.

2. Intérêt de la méthodologie

Les particularités de cette méthodologie présentent par conséquents des intérêts


majeurs pour le commissaire aux comptes :

i. Connaissance des métiers et du contexte du client


L’auditeur doit constituer une équipe composée des différentes expertises nécessaires
à la réalisation d’un audit efficace et à valeur ajoutée.
Cette méthodologie doit amener l’auditeur à maitriser les problématiques du secteur
du e-commerce, et en particulier les spécificités du suivi et du contrôle des différents
moyens de paiement et de la prévention de la fraude.

Page | 106
ii. Elle démontre la capacité de l’auditeur à optimiser ses travaux par une
approche d’audit innovante : volonté d’assurer un regard critique et source de
valeur ajoutée.
Cette méthodologie démontre l’importance de la prise en compte de l’environnement
de contrôle interne et de gestion des risques, et des attentes potentielles de son client
en matière d’identification de leviers de renforcement de ce dispositif.
L’approche d’audit, centrée sur la qualité des processus, doit également permettre à
l’auditeur de valider la qualité de l’organisation. Elle intègre une compréhension
approfondie des systèmes lui permettant d’apprécier la qualité comptable de son
client.
Cette méthodologie doit amener le professionnel à proposer des recommandations
sur l’ensemble des sujets clés outre les sujets comptables/IFRS : contrôle interne et
gestion des risques, performance des systèmes d’information.

iii. Elle intègre une étroite implication de professionnels dédiés à l’audit des
systèmes et à l’analyse des données comptables dans les travaux d’audit.
L’environnement Systèmes d’Information est central dans la gestion de l’activité des
sociétés du secteur. L’appréciation de l’environnement informatique et de son impact
sur les processus de production de l’information comptable, de gestion et financière
constituent un temps fort des travaux de l’auditeur. Les travaux d’audit des systèmes
ont donc une place importante dans cette méthodologie.

iv. Elle démontre la capacité de l’auditeur à anticiper les impacts des évolutions
normatives et réglementaires, et donc d’avoir un engagement d’information.
Du fait de son devoir de maitrise de l’environnement de son client, cette
méthodologie doit amener le professionnel à échanger avec son client en temps réel
sur toute évolution normative et réglementaire identifiée, afin d’en analyser et valider
avec lui les impacts et ainsi lui permettre une prise de décision éclairée, tout en
restant dans son rôle.

Page | 107
Conclusion

Le secteur du e-commerce demeure un secteur économique prospère, avec une


croissance cinq fois supérieure à celle du commerce traditionnel. En 2014, son
chiffre d’affaires s'est élevé à 57 milliards d’euros, soit plus de 9% du commerce de
détail hors produits alimentaires. Cette croissance devrait continuer à se développer
au cours des années à venir avec l’entrée de nouvelles sociétés sur ce secteur (plus de
20 000 sociétés supplémentaires par an).
Ce jeune secteur reste en construction et doit se structurer car il fait face à de
nombreuses tentatives de fraude, du fait de son dynamisme et de l’absence de
présence physique de la carte bancaire au moment du paiement.
Nous avons constaté dans la première partie de ce mémoire que la fraude a connu de
profondes mutations, induisant ainsi d’importants préjudices financiers pour les e-
commerçants. Les tentatives de fraude se sont élevées à près de 2 milliards d’euros
en 2013 contre 1,7 milliards d’euros en 2012.

Ce nombre croissant de nouvelles sociétés offre de nombreuses opportunités de


missions aux experts-comptables et commissaires aux comptes. A travers des
échanges avec des professionnels du secteur, il a été mis en évidence que ce secteur
possède de nombreuses particularités ayant trait notamment à son contrôle interne.
Nous avons cherché au-cours de ce mémoire à analyser les spécificités et les risques
de ce secteur pour la profession et ainsi à proposer un outil méthodologique de revue
du cycle chiffres d’affaires – créances clients, à destination des commissaires aux
comptes réalisant un audit légal de ces sociétés et des experts-comptables réalisant
un audit contractuel, permettant d’y répondre.

La première partie de ce mémoire met en évidence les enjeux suivants pour le


commissaire aux comptes dans une société de e-commerce afin de s’assurer de la
correcte reconnaissance du revenu :
 Importance significative des systèmes d’information

 Protection de la société contre la fraude client avec comme risque des pertes

latentes significatives en cas d’absence de protection de la société

Page | 108
 Multiplicité des transactions bancaires avec comme conséquence l’absence de

traçabilité de ces flux et d’auxiliarisation client


 Respect de la réglementation liée aux moyens de paiement.

Cette analyse des enjeux met en exergue une impossibilité pour le professionnel
d’utiliser un programme de travail classique de revue de ce cycle afin d’obtenir une
assurance nécessaire à la certification des comptes. Ces enjeux mettent également en
évidence une insuffisance des procédures substantives seules pour satisfaire son
opinion.

La méthodologie proposée lors de la seconde partie de ce mémoire est basée sur une
approche dite « par les contrôles » reposant sur la qualité du contrôle interne mis en
place par le client et décomposée en cinq phases. Afin de documenter chaque phase,
des outils ont été présentés en annexe et des exemples pratiques permettent d’illustrer
l’utilisation de ces outils.
1. L’appréciation du cadre de contrôle au cours de la prise de connaissance générale
de l’organisation, de la stratégie de l’entité et plus particulièrement la
compréhension du fonctionnement des systèmes d’information doit permettre au
professionnel d’identifier les contrôles transverses au sein de l’entreprise. A ce
stade le professionnel devra s’assurer de la bonne appréhension de son client
concernant le risque de fraude et de blanchiment.
2. L’évaluation des contrôles généraux informatiques identifiés sur les systèmes
d’information intervenant au cours de ce processus, l’appréciation de leur
intégration globale et la mise en place de système de prévention de la fraude sont
des enjeux majeurs afin de pouvoir s’appuyer sur ces systèmes.
3. L’évaluation du contrôle interne avec l’identification et le test des contrôles mis
en place par la société doivent permettre de réduire la survenance d’anomalies
significatives. Le professionnel doit pouvoir s’appuyer sur les contrôles.
4. Le contrôle des comptes avec la mise en place de procédures substantives
complémentaires doivent permettre à l’auditeur de présenter ces conclusions.
5. La présentation des conclusions de l’auditeur peut mettre en évidence sa capacité
à optimiser ses travaux par une approche d’audit innovante et sa volonté
d’assurer un regard critique source de valeur ajoutée pour son client avec la
proposition d’amélioration du contrôle interne.

Page | 109
Glossaire

 A.N.R.
L’Authentification Non Rejouable est un dispositif de sécurisation des paiements en
ligne. Dans le cadre d’un paiement à distance, il permet de s’assurer que l’auteur du
paiement et le détenteur de la carte bancaire correspondent. La méthode la plus
courante est la saisie d’un code à usage unique envoyé par SMS sur téléphone
mobile, par l’établissement bancaire du détenteur de la carte.

 ASP Application Service Provider (Location d'applications)


L’ASP ou location d'applications consiste à fournir à une entreprise un service
permettant d’utiliser à distance une application hébergée chez un prestataire (par
exemple, un service de messagerie, de comptabilité ou d’achat). Les prestataires qui
font de la location d'applications sont appelés ASP.

 Assertions
Caractéristiques relatives aux données financières présentées. Les 5 assertions
définies par le COSO sont : existence, exhaustivité, exactitude/évaluation, droits et
obligations, présentation.

 Carding
Terme désignant les différentes méthodes de piratage des cartes bancaires.

 Code BIN
Un fichier des BIN est géré directement par les banques acquéreurs, sur la base de
classifications de produits fournis par les systèmes cartes. Il est principalement utilisé
par les banques acquéreurs pour vérifier l'acceptabilité de la carte et le système carte,
voire le type de programme auquel elle appartient pour permettre son traitement dans
les systèmes monétiques.
Un fichier des BIN comporte une centaine de colonnes et plusieurs centaines de
milliers de lignes. Il recense des plages de numéro de carte. Il comporte notamment
les informations suivantes :
- le type de produit auquel correspond la carte (Business, Electron, Infinite...) ;
- le pays d'origine de la carte ;
- l'identité de la banque émettrice ;

Page | 110
- le système de la carte (CB, Visa, MasterCard, etc.).
L'exploitation de ce fichier est relativement limitée dans le cadre de la fraude. Il
apporte des éléments d'information parmi d'autres.
A noter, les cartes virtuelles dynamiques ne sont pas identifiables dans le fichier
BIN.

 Compte Significatif
Tout compte pour lequel des erreurs considérées individuellement ou en cumul
auraient un impact significatif sur les états financiers.

 Contrôles clés
Contrôles permettant de couvrir les assertions et les risques majeurs liés à un compte
ou à un ensemble de comptes significatifs.

 Contrôle compensatoire
Un contrôle compensatoire est un contrôle couvrant partiellement ou totalement un
objectif de contrôle (ou risque) non couvert par un contrôle déficient. L’existence
d’un contrôle compensatoire ne remet pas en cause l’existence d’une déficience mais
permet de réduire le risque d’erreur attaché à un contrôle déficient et ainsi de
prévenir l’existence d’une déficience significative ou d’une faiblesse matérielle.

 Contrôle déficient
Un contrôle est qualifié de déficient lorsque sa conception ou son exécution ne
permettent pas au management ou aux employés réalisant de façon courante cette
activité de contrôle de prévenir ou de détecter une erreur dans les temps.
Une déficience de conception est constatée lorsqu’il manque un contrôle pour couvrir
un risque ou lorsque le contrôle, tel que conçu, ne permet pas de couvrir son objectif
de contrôle (quand bien même il serait exécuté correctement).
Une déficience opérationnelle est constatée lorsque le contrôle n’est pas réalisé tel
qu’il a été conçu ou que l’employé n’a pas les compétences ou l’indépendance
nécessaire pour réaliser ce contrôle.

 Contrôle interne
Procédures mises en œuvre par le conseil d'administration et le management pour
fournir une assurance raisonnable sur la réalisation des objectifs suivants :
- efficacité opérationnelle,
- fiabilité du reporting financier,

Page | 111
- respect des lois et règlements.

 Contrôles Généraux (Entity Level Controls)


Les contrôles généraux regroupent l’ensemble des règles et procédures de contrôle
définies au niveau d’une société qui influence directement ou indirectement la qualité
du contrôle interne relatif à l’élaboration de l’information financière. Ces règles et
procédures constituent le cadre de contrôle interne de la société et s’articulent autour
des cinq composantes du COSO :
- l’environnement de contrôle,
- l’évaluation des risques,
- le pilotage,
- l’information et la communication,
- les activités de contrôles.

 Contrôles Généraux Informatiques (ITGC)


Les principes et procédures relatives aux différentes applications informatiques qui
sous-tendent l’information financière intègrent les contrôles généraux informatiques.
Ces contrôles permettent de s’assurer du fonctionnement effectif des contrôles
applicatifs et des contrôles manuels incluant une composante informatique (tels que
des rapports d’anomalies générés par le système d’information).
Les points de contrôle couvrent :
- le management de l’activité informatique,
- la gestion des évolutions et des anomalies,
- l’exploitation,
- la sécurité logique et physique.
 C.N.I.L.
Créée en 1978, la Commission Nationale de l’Informatique et des Libertés est une
autorité administrative indépendante chargée de veiller à ce que l’informatique ne
porte pas atteinte aux libertés, aux droits, à l’identité humaine ou à la vie privée.

 CRM Customer Relation Management (Gestion de la Relation Client,


GRC)
Le CRM recouvre l'ensemble des fonctions de l'entreprise visant à conquérir et à
conserver sa clientèle (fidélisation). Ce terme, regroupe la gestion des opérations de
marketing, l'aide à la vente, le service client, le centre d'appel et le help desk. Les
progiciels de CRM du marché assurent une ou plusieurs de ces fonctions.

Page | 112
 Déficience Significative
Une déficience significative est une déficience d’un ou d’un ensemble de contrôles
qui affecte la capacité de la société à initier, autoriser, enregistrer, établir ou
communiquer des données financières externes fiables et en conformité avec les
principes comptables. La déficience significative se définit par rapport à la faiblesse
majeure, mais suffisamment importante pour mériter l’attention des responsables du
correct établissement des états financiers.

 Dématérialisation
Remplacement d'un document sous forme papier par son équivalent électronique.

 Données personnelles
Attributs propres à une personne permettant de l’identifier directement ou
indirectement (nom, prénom, adresse e-mail, numéro de téléphone, date de naissance,
etc.).

 e-business
Rationalisation des processus d'une entreprise en y intégrant les technologies Internet
et leurs différents apports en matière de relation-client ou de flux logistique.

 e-commerce
Recouvre tout ce qui concerne la vente et l'achat de biens et services via Internet
(catalogues en ligne, boutiques virtuelles, prise de commande, facturation, service
clients, gestion des transactions et règlements).

 e-marketplace (ou place de marché électronique)


Site portail destiné au commerce interentreprises, généralement consacré à un secteur
d'activité particulier, qui permet de faire des affaires directement entre acheteurs et
fournisseurs.
La place de marché électronique constitue l'un des rouages du commerce
électronique interentreprises. Elle suppose trois types d'acteurs : l'acheteur, le
vendeur et le créateur de la place (qui met en relation acheteurs et vendeurs et
prélève un pourcentage sur les transactions).

 e-payment
Recouvre l'ensemble des outils et fonctionnalités permettant le paiement d'un bien ou
d'un service dans un contexte de e-procurement.

 e-procurement

Page | 113
Ensemble de solutions permettant l’automatisation et la formalisation de la gestion
des achats et des approvisionnements d'une entreprise par le biais d’échanges
informatisés via Internet la plupart du temps (gestion des catalogues négociés par les
acheteurs, des informations nécessaires à l'exécution de la commande, émission de
factures électroniques et paiement en ligne).

 EDI : Electronic Data Interchange (ou Echange de Données


Informatisées)
Echange entre différentes organisations de données structurées, d'ordinateur à
ordinateur (ou d'application à application), et dont l'efficacité repose sur l'utilisation
de messages préétablis et de procédures normalisées. L'EDI a pour objectif de
rationaliser les échanges commerciaux entre les entreprises. Il apporte des avantages
importants notamment en ce qui concerne la diminution des coûts de traitement et la
réduction des délais postaux et de distribution. Techniquement, il rend nécessaire
l'interconnexion de réseaux hétérogènes et donc le développement et la normalisation
des interfaces et des protocoles via des Réseaux à Valeur Ajoutée entre partenaires.
Les messages de toutes sortes (commerciaux, logistiques, financiers...) qui y
transitent sont rédigés dans une syntaxe spécifique appelée "langage". Un logiciel
d'interface permet ensuite à chaque partie de traduire ces messages et d'intégrer
directement les données à leurs applicatifs, évitant ainsi toute ressaisie et tout risque
d'erreur. Le langage EANCOM® est conseillé par Gencod EAN France. C'est en
effet le seul qui permette aux entreprises du commerce et à leurs partenaires de
communiquer partout dans le monde. Il s'appuie sur une structure et une liste de
codes établie pour le langage des Nations-Unies : EDIFACT, mais également sur les
codes EAN qui doivent être parfaitement en place dans les entreprises.
Toutefois, la lourdeur des procédures mises en jeu (codage rigoureux, établissements
de liaisons spécialisées), a relégué l'EDI au second plan, au profit de techniques de
communication plus légères issues du modèle Internet. De plus, L'EDI est restreint à
une relation bilatérale, et n'inclut ni l'acte d'achat ni la transaction financière.

 ERP : Enterprise Resources Planning ou PGI (Progiciel de Gestion


Intégré)
Ensemble de logiciels intégrant les principales fonctions nécessaires à la gestion des
flux et des procédures de l'entreprise (comptabilité et finances, logistique, paie et
ressources humaines, etc.)

Page | 114
Tous ces logiciels accèdent à des ressources communes, généralement sous forme de
bases de données.

 Etats Financiers
Comptes publiés (comptes + annexes)

 Faiblesse Majeure
Une faiblesse majeure est une déficience significative ou une combinaison de
déficiences significatives qui conduisent à ce qu’il y ait une possibilité raisonnable
que les états financiers de la société présentent une erreur matérielle sans que celle-ci
soit prévenue ou détectée par le contrôle interne en place.

 FEVAD
La Fédération du e-commerce et de la vente à distance, créée en 1957, fédère
aujourd'hui 590 entreprises et 800 sites internet. Elle est l’organisation représentative
du secteur du commerce électronique et de la vente à distance. La Fevad a
notamment pour mission de recueillir et diffuser l’information permettant
l’amélioration de la connaissance du secteur et d'agir en faveur du développement
durable et éthique de la vente à distance et du commerce électronique en France.

 Fraude
Acte réalisé en utilisant des moyens déloyaux destinés à obtenir un avantage matériel
ou moral indu ou réalisé, en contravention avec la loi.

 Impayé
Facture non honorée à l’échéance par l’acheteur.

 Impayé frauduleux
Facture non honorée à la suite du signalement, par l’utilisateur du service de
paiement à son prestataire de services de paiement, d’une opération de paiement non
autorisée.

 Phishing
Technique de fraude consistant à imiter les e-mails de tiers de confiance –
institutions officielles, entreprises – dans le but d’obtenir des renseignements
personnels, des informations d’accès à des comptes clients ou des coordonnées
bancaires.

 Piratage informatique (ou Hacking)

Page | 115
Utilisation de compétences informatiques pour exploiter les failles et vulnérabilités
d’un système informatique, de façon à en tirer un bénéfice financier ou pour nuire à
des individus ou organisations.

 Place de marché
Site portail exclusivement réservé au commerce interentreprises et dont l'objectif est
de faciliter la mise en relation entre acheteurs et vendeurs. On peut toutefois
distinguer les places de marché transactionnelles qui autorisent la commande en ligne
(e-procurement) et la facturation ou le paiement en ligne, de celles qui sont plutôt des
"infomédiaires". Les services proposés par ces dernières sont surtout axés autour de
l'émission d'appels d'offre ou d'enchères. On peut également distinguer les places de
marché verticales (spécialisées dans un secteur donné) des places de marché
généralistes (souvent à destination des PME).

 Point de compromission
Endroit où des données bancaires ont été volées, identifié par les autorités par
recoupement entre les fichiers d’utilisation des cartes bancaires et les recoupements
de plaintes de plusieurs victimes de vol.

 Processus de Clôture des états financiers


Ensemble des activités et contrôles liés à l’élaboration des comptes lors des clôtures
annuelles et intermédiaires.

 Roll Forward
Quand les tests de contrôle sont effectués avant la date de clôture de la période
auditée, l’auditeur doit considérer quelle preuve additionnelle pourrait être requise
pour couvrir la période restante.

 Scoring
Les principaux marchands ont développé des méthodes d’évaluation du risque, qui
appelé « scoring ». En matière de lutte contre la fraude aux moyens de paiement, il
ne s'agit pas d'attribuer aux clients une note de solvabilité mais de qualifier un
comportement ou une commande à risque

 Skimming
Activité frauduleuse consistant à pirater des cartes bancaires, notamment depuis les
distributeurs automatiques de billets. Les cartes sont ensuite dupliquées ou «
clonées ».

Page | 116
 Spoofing
Technique d’usurpation d’identité utilisée par des fraudeurs pour maquiller leurs
coordonnées (e-mail ou téléphonique) réelles.

 Tests de Cheminement (Walkthrough)


Un test de cheminement consiste à tracer, pour une transaction donnée, chaque étape
de son traitement de l’initiation à la comptabilisation en menant des entretiens avec
les opérationnels responsables des différentes activités décrites dans les processus.

 Transaction électronique
Echange entre un acheteur et un fournisseur, matérialisé sur un support papier ou
électronique, constatant le paiement d'un achat par le détenteur d'une carte de
paiement.

 Workflow
Un workflow, anglicisme pour flux de travaux, est la représentation d'une suite de
tâches ou opérations effectuées par une personne, un groupe de personnes, un
organisme, etc. Le terme flow (flux) renvoie au passage du produit, du document, de
l'information, etc., d'une étape à l'autre.

Page | 117
Annexes

ANNEXE 1 : CLASSEMENT DES 15 PRINCIPAUX SITES EN FRANCE DE E-


COMMERCE LES PLUS VISITES AU QUATRIEME TRIMESTRE 2014......... 119
ANNEXE 2 : LES PRINCIPAUX SERVICES DE PAIEMENT UTILISES SUR
CERTAINS SITES DE E-COMMERCE............................................................... 120
ANNEXE 3 : TOP DES PRODUITS FRAUDES EN 2013 ................................... 121
ANNEXE 4 : DEUX CATEGORIES DES FRAUDEURS .................................... 122
ANNEXE 5 : NORMES D’EXERCICE PROFESSIONEL ................................... 123
ANNEXE 6 : QUESTIONNAIRE DE REVUE DU CADRE DE CONTROLE
INTERNE ............................................................................................................. 124
ANNEXE 7 : QUESTIONNAIRE DE REVUE DE PRISE DE CONNAISSANCE
DE L’ENVIRONNEMENT INFORMATIQUE .................................................... 131
ANNEXE 8 : APPREHENSION DE LA FRAUDE .............................................. 133
ANNEXE 9 : QUESTIONNAIRE FRAUDE ........................................................ 135
ANNEXE 10 : QUESTIONNAIRE BLANCHIMENT .......................................... 137
ANNEXE 11 : EXEMPLE D’UN TEST DE CHEMINEMENT ............................ 138
ANNEXE 12 : EXEMPLE D’UN TEST DE CHEMINEMENT ............................ 139
ANNEXE 13 : QUESTIONNAIRE D’IDENTIFICATION DES CONTROLES
GENERAUX INFORMATIQUES ........................................................................ 140
ANNEXE 14 : CONTROLES GENERAUX INFORMATIQUES ........................ 150
ANNEXE 15 : EXEMPLE DE REVUE DES CONTROLES GENERAUX
INFORMATIQUES .............................................................................................. 155
ANNEXE 16 : DEMARCHE DE L’AUDITEUR SUR LE CONTROLE INTERNE
DE L’ENTREPRISE............................................................................................. 157
ANNEXE 17 : METHODOLOGIE DE TESTS .................................................... 158
ANNEXE 18 : CONTROLES APPLICATIFS ...................................................... 159
ANNEXE 19 : EXEMPLE DE CONTROLES APPLICATIFS ............................. 170
ANNEXE 20 : PROCEDURES SUBSTANTIVES ............................................... 173
ANNEXE 21 : REVUE ANALYTIQUE DES COMPTES CLIENTS ................... 179
ANNEXE 22 : PROVISION RETOURS............................................................... 180
ANNEXE 23 : PROVISION GARANTIES CLIENTS.......................................... 187
ANNEXE 24 : RECOMMANDATION SUR LE CONTROLE INTERNE ........... 189

Page | 118
Annexe 1 : Classement des 15 principaux sites en France de
e-commerce les plus visités au quatrième trimestre 2014

Visiteurs Couverture
uniques moyenne
Market
Rang Enseigne moyens (% de la Catégorie
place
par mois population
(milliers) internaute)
1 Amazon 17 516 38% X Pure Player
2 Cdiscount 10 732 23% X Pure Player
3 Fnac 10 684 23% X Distributeur trad.
4 eBay 7 947 17% X Pure Player
5 Carrefour 7 587 16% Distributeur trad
6 Price Minister 7 540 16% X Pure Player
7 Voyages-sncf.com 6 860 15% . Pure Player
8 La Redoute 6 839 15% X Véadiste
9 Vente-privee.com 5 963 13% Pure Player
E Leclerc 5 553 12% Distributeur trad
11 Darty 5 424 12% Distributeur trad
12 Leroy Merlin 5 005 11% Distributeur trad
13 Auchan 4 890 11% Distributeur trad.
14 Rue du commerce 4 665 10% X Pure Player
15 Groupon 4 361 9% Pure Player
Source : Médiamétrie//NetRating

Page | 119
Annexe 2 : Les principaux services de paiement utilisés sur
certains sites de e-commerce

Moyens de La Price
Rueducommerce Amazon Cdiscount
paiement Redoute Minister
Carte bancaire
X X X X X
(hors Amex)
Amex X X X X
Portefeuille en
ligne (PayPal…)
X X X X
Carte bleue
X X X X
virtuelle
Chèque cadeau X X X X X
Paiement en
plusieurs fois X X X
sans frais
Virement
X X X
bancaire
Opérateurs
X X
téléphoniques
Chèque X X X X
Carte d’achat à
crédit d’un
X X
établissement X
bancaire
Carte de
paiement X X
privative du site
Source : Analyse de 4 sites marchands

Page | 120
Annexe 3 : Top des produits fraudés en 2013

source : FiaNet

Page | 121
Annexe 4 : Deux catégories des fraudeurs

Page | 122
Annexe 5 : Normes d’Exercice Professionel

Page | 123
Annexe 6 : Questionnaire de revue du cadre de Contrôle Interne

Fraude
Niveau

COSO Question Niveau Exemples Rep
réponse

0. Non Applicable
Exemples d'éléments de formalisation des responsabilités :
Votre entité a-t-elle défini son schéma A. Il n'existe pas d'organigramme
Structure de l'entité - Administration générale

- organigramme à jour de l'entité,


d'organisation via un organigramme et B. Il existe des organigrammes et des notes d'organisation mais ils ne
Oui

1 - notes d'organisation par entité,


Organisation / Pouvoirs / Procédures

une (des) note(s) d'organisation sont pas mis à jour régulièrement


- fiches de fonction de départements
1 - Environnement de contrôle

actualisée(s) ? C. Les organigrammes et les notes d'organisation existent et sont


- notes de nomination
régulièrement mis à jour
0. Non applicable
A. Il n'existe pas ou peu de descriptions de poste au sein de l'entité
Descriptions de postes formalisées
Existe-t-il des fiches de description de B. Les descriptions de poste existent pour la plus grande part des
Non

2
poste? collaborateurs mais ne sont pas mises à jour régulièrement
Tableaux de suivi des fiches de poste
C. Les descriptions de poste existent pour la plus grande part des
collaborateurs et sont mises à jour régulièrement
0. Non applicable - Délégations d'autorité internes à l'entité documentées
A. Les délégations de pouvoirs internes ne sont pas formalisées et / ou
Les délégations de pouvoirs internes ne sont pas à jour - Existence d'un département, groupe ou filiale en charge de cette fonction
Oui

3 (description de poste, organigramme....)


sont-elles formalisées et à jour ? B. Les délégations de pouvoirs internes sont formalisées mais
partiellement à jour - Existence d'une base de données dédiée à la gestion/publication des
C. Les délégations de pouvoirs internes sont formalisées et toutes à jour délégations
0. Non applicable
A. Les documents de Cadre de Contrôle Interne ne sont pas accessibles
aux dirigeants et collaborateurs de l'entité - Brochure de cadre de contrôle interne Groupe ; documents de référence de
B. Les documents de Cadre de Contrôle Interne Groupe et/ou de cadre la sur le cadre de contrôle interne (Manuel de Gouvernance, ....)
Le personnel est-il sensibilisé au
Oui

4
contrôle interne ?
de contrôle interne sont accessibles par et/ou connus des dirigeants et - Diffusions sur l'Intranet
collaborateurs de l'entité - Stages dispensés
C. Tous les dirigeants sont sensibilisés ou formés au contrôle interne et - Présentations spécifiques sur le thème du contrôle interne
l'entité réalise des actions de communication / formation au contrôle
1 - Environnement de contrôle

interne auprès de certains de ses collaborateurs


Gouvernance / Intégrité

Gouvernance / Intégrité

- Code de Conduite et Charte Ethique Groupe traduits dans la langue locale ;


0. Non applicable
- Diffusion du Guide pratique de l'Intégrité Groupe (thèmes abordés : conflits
A. Le Code de conduite et la Charte éthique ne sont pas connus / ne sont
d'intérêts, corruption, fraude et respect des engagements)
pas accessibles
Le Code de conduite et la Charte - Preuves documentées de la diffusion
B. Le Code de conduite et la Charte éthique sont accessibles, connus et
Oui

5 éthique sont-ils connus, diffusés et - Compte rendu des audits externes sur l'éthique
appliqués par les membres du comité de direction de l'entité
appliqués dans l’entité ? - Possibilité de commenter l'activité annuelle des collaborateurs au regard des
C. Le Code de conduite et la Charte éthique sont distribués aux
principes du Code de Conduite
collaborateurs de l'entité, qui les respectent. L'entité met en œuvre des
- Documents relatifs aux contrats pouvant porter conflits d'intérêt (étude
actions de communication/formation sur l'éthique.
préalable, autorisation, suivi)
Existe-t-il un dispositif propre à l'entité - Règles et actions de l'entité permettant de réduire les risques de détournements
permettant de prévenir ou détecter les 0. Non applicable d'actifs et de fraude dans l'élaboration de l'information financière ;
risques de fraude (information A. Il n'existe pas de dispositif de prévention et détection des fraudes - Documents ou notes présentant le dispositif de prévention de la fraude ;
financière frauduleuse, détournements B. Il existe des règles et actions permettant de prévenir et de détecter la - Exemple de dispositif de prévention de la fraude : Comité Anti-Fraude,
Oui

6
d'actifs, dépenses surestimées majeure partie des risques de fraudes Stratégie de Prévention de la Fraude, Règles élaborées au sein de l'entité afin de
frauduleusement, corruption), de les C. L'entité a un dispositif complet de prévention et de détection de la réduire les risques de détournements d'actifs et de fraude ;
analyser ou d'y remédier en cas fraude (Cf. définition dispositif complet en colonne "Exemples») Dispositif complet anti-fraude : comprend les actions en place en matière de
d'occurrence ? sensibilisation, prévention, détection, investigation, sanction, reporting

Page | 124
Frau
Niveau

de
COSO Question Niveau Exemples Rép
réponse
0. Non applicable
Existe-t-il des règles en matière de A. Il n'existe pas de règles RH locales dans l'entité Règles en matière de recrutement

Non
7 recrutement et de promotion du B. Il existe des règles locales dans l'entité mais ne sont pas connues ou
personnel ? en partie appliquées Règles génériques sur les critères de promotion des salariés de l'entité
C. Des règles locales existent. Elles sont appliquées et mises à jour.
0. Non applicable
A. Il n'existe pas de gestion prévisionnelle (sur les 12 prochains mois) ni
Calcul de besoins
de suivi des effectifs
Existe-t-il un suivi et une gestion
Non

8 B. Il existe une gestion prévisionnelle et un suivi des effectifs partiels


1 - Environnement de contrôle

prévisionnelle des effectifs ? Suivi formalisé du nombre et principales classifications des personnes employées
qui sont appliqués seulement à certaines fonctions
Ressources Humaines

par l'entité et de l'évolution de ces nombres au moins sur les 12 prochains mois
Ressources humaines

C. Le suivi et la gestion prévisionnelle des effectifs sont réalisés dans


toutes les fonctions de l'entité
0. Non applicable
A. Il n'existe pas de politique locale documentée des rémunérations de la
Existe-t-il une politique documentée plus grande part des collaborateurs (y compris membres du Comité de Documents de référence sur les rémunérations
concernant les salaires, les éléments de Direction)
rémunération variables et les avantages B. Il existe une politique locale documentée des rémunérations de la plus Règles RH de rémunération locales
Oui

9
en nature pour l'ensemble du personnel, grande part des collaborateurs (y compris membres du Comité de
y compris pour les membres du Comité Direction), mais n’est pas connue et appliquée Règles spécifiques éventuelles de l'entité sur les éléments de rémunération, y
de Direction ? C. Il existe une politique locale documentée des rémunérations compris les dirigeants
concernant la plus grande part des collaborateurs de l'entité (y compris
membres du Comité de Direction)
La politique de formation de tous les 0. Non applicable - Document de politique de formation, précisant le mode de suivi du niveau
collaborateurs de l’entité (notamment A. Il n'y a pas de politique de formation dans l'entité de compétence des collaborateurs (notamment lors de l'entretien individuel
pour le personnel financier et B. Une analyse des besoins de formation des collaborateurs de l'entité en annuel), et des besoins de formation
Non

10
informatique) est-elle en adéquation fonction des objectifs de l'entité est réalisée régulièrement et documenté) - Formations internes et externes suivies par les collaborateurs de l'entité.
avec les besoins de l’entité et du C. De plus, les formations internes et externes sont dispensées aux - Etat de suivi des besoins couverts / à couvrir en formation
Groupe ? collaborateurs en respectant les besoins identifiés - Synthèse d'évaluations de formations
0. Non applicable
A. Les services comptables et financiers n'ont pas mis en place de
Existence d'une personne ou structure en charge de la veille
Les responsables et collaborateurs structure de veille de l'état de la réglementation comptable ni sur
financiers et comptables de l’entité l'évolution des accords comptables
Documentation disponible dans l'entité sur les règles comptables statutaires
s’assurent-ils de la compréhension et B. Les services comptables et financiers ont mis en place une structure
Oui

11 applicables aux comptes sociaux de l'entité


1 - Environnement de contrôle

de la bonne application dans l’entité de de veille des évolutions de la réglementation comptable/des accords
la réglementation comptable (comptes comptables. Une documentation adéquate est disponible.
Finance / Comptabilité

Diffusion interne de cette documentation aux collaborateurs financiers,


sociaux) ? C. De plus, les services comptables et financiers s'assurent d'un bon
Compta / Finance

formations dispensées auprès des collaborateurs


niveau de compréhension de ces évolutions par les équipes comptables
et financières

Les responsables et collaborateurs 0. Non applicable


Documentation disponible dans l'entité sur les règles comptables et leur
financiers et comptables de l’entité A. Les règles comptables ne sont pas accessibles / ne sont pas connues
(éventuelle) déclinaison dans des règles comptables sectorielles (manuel de
s’assurent-ils de la compréhension et par les responsables et collaborateurs comptables de l'entité
reporting financier, règles comptables sectorielles, notes spécifiques…)
Oui

12 de la bonne application dans l’entité B. Les règles comptables sont diffusées par les responsables financiers
des règles comptables de consolidation auprès de leurs collaborateurs et les collaborateurs comptables
Diffusion effective par les responsables financiers et comptables de cette
et des (éventuelles) règles comptables C. De plus, les notes d'application sont diffusées et analysées par les
documentation à leurs collaborateurs
sectorielles ? collaborateurs comptables de l'entité

Page | 125
Fraude
Niveau


COSO Question Niveau Exemples Rép
réponse
0. Non applicable
A. Il n'existe pas de calendrier de clôture formalisé précisant les dates
Existe-t-il un calendrier de clôture auxquelles les contrôles doivent être effectués et la répartition des tâches
(aussi bien pour les comptes consolidés entre les personnes chargées de ces contrôles n'est pas formalisée
Non que pour les comptes sociaux) B. Il existe un calendrier de clôture global mais la répartition des tâches Calendrier(s) de clôture(s) comptable(s) indiquant les tâches à accomplir, les
13
documenté précisant les contrôles à entre les collaborateurs n'est pas formalisée personnes responsable et les dates de fin à respecter
effectuer et les personnes responsables C. Il existe un calendrier de clôture précisant les dates de fin de chaque
1 - Environnement de contrôle

de ces contrôles? étape du processus de clôture, aussi bien pour les comptes consolidés
Finance / Comptabilité

que pour les comptes sociaux, et les personnes responsables de leur


Compta / Finance

réalisation
0. Non applicable
Personne(s) en charge de la veille fiscale
A. Les services financiers n'ont pas mis en place de structure de veille de
Les obligations fiscales sont-elles
l'état de la règlementation fiscale et de ses évolutions
Oui

14 connues et veille-t-on à leur application Documentation disponible concernant les règles fiscales applicables à l'entité
B. Cette structure de veille existe et la documentation est disponible
?
C. Les responsables financiers et fiscaux s'assurent de la bonne
Preuves de communication dans l'entité sur les évolutions
communication de ces évolutions et veillent à leur application
Brochure de règles de trésorerie disponible auprès des personnes en charge des
Les règles de Trésorerie du Groupe 0. Non applicable
fonctions de trésorerie
sont-elles connues et diffusées aux A. Les règles de trésorerie diffusées (par voie papier ou par le site
personnes concernées dans l’entité et intranet) ne sont pas connues et communiquées au sein de l'entité
Participation des collaborateurs aux séminaires et formations
Oui

15 respectées (notamment choix du B. Le responsable financier / trésorier diffuse les règles de trésorerie
partenaire financier, politique de auprès des personnes concernées dans l'entité
Prévisions de trésorerie
gestion des excédents et du risque de C. De plus, le responsable financier / trésorerier s'assure que les règles
Gestion du change
change, …) ? appliquées localement sont conformes aux instructions
Choix des banques
1 - Environnement de

0. Non applicable
A. Il n'existe pas d'organigramme (et/ou de descriptions de fonctions)
d'information

Principes de Gouvernance IT
Les rôles et responsabilités de pour les principales fonctions
Systèmes
contrôle

l'organisation informatique sont-ils B. Il existe un organigramme et des descriptions de fonctions notamment


Oui
IT

16 Note interne d'organisation


définis, documentés, communiqués et pour la fonction sécurité mais ils ne sont pas mis à jour régulièrement
en ligne avec les besoins du métier ? C. L'organigramme et les descriptions de fonctions sont régulièrement
Organigramme
mis à jour notamment sur les notions de sécurité et de contrôle interne IT
et diffusés aux différentes fonctions métier
0. Non applicable
A. Les objectifs opérationnels et financiers et les moyens de l'entité ne
Document(s) à jour décrivant les objectifs opérationnels de l'entité, les moyens
Les objectifs opérationnels et financiers sont pas définis, formalisés ni communiqués au sein de l'entité
Objectifs généraux et suivis de gestion

mis ou à mettre en œuvre pour y parvenir


assignés à l’entité au travers de la B. Les objectifs opérationnels et financiers sont connus, mais les moyens
Non

17 procédure budgétaire et les moyens disponibles ou/et budgétés n'ont pas été précisément déclinés au niveau
Objectifs / Suivi de gestion
2 - Evaluation des risques

Procédure budgétaire - Notification du budget aux filiales


pour y parvenir sont-ils définis et de l'entité
formalisés ? C. Les objectifs sont définis et formalisés au sein de l'entité. Les moyens
Objectifs de productions, coût par unité d'œuvre, ventes, etc...
ont été déclinés et budgétés à un niveau correspondant aux délégations
d'autorité
0. Non applicable
A. L'entité ne se réfère pas aux directives et instructions, et ne met pas à
Document(s) de référence,
L'élaboration du budget intègre-t-elle jour ses objectifs en tenant compte d'une analyse de l'environnement de
aussi bien les instructions du Groupe, marché
Non

18 Revue interne d'activité prise en compte pour l'élaboration des budgets


que les éléments d'environnement de B. Le Budget intègre les hypothèses de calcul ainsi que certaines
(par exemple : analyse de la position concurrentielle, points forts/faibles de son
marché de l'entité ? hypothèses de marché local
activité, environnement légal/fiscal changeant…)
C. Le Budget intègre les hypothèses de calcul et tient compte
systématiquement des hypothèses de marché local récentes

Page | 126
Fraude
Niveau


COSO Question Niveau Exemples Rép
réponse
Management des
0. Non applicable Processus et/ou document(s) précisant les risques internes et externes de l'entité
Existe-t-il un processus d’identification A. Il n'existe aucun processus d'identification périodique des risques et leur évolution (veille environnement, concurrentielle, réglementaire et
risques

Non
19 périodique des risques internes et B. L'entité procède à une évaluation partielle de ses risques génériques technologique, sûreté, financiers, approvisionnement, ...)
2 - Evaluation des risques

Identification des risques

externes de l’entité ? C. L'entité procède ave à une identification globale, régulière et


formalisée de ses risques Cartographies de risques réalisées et les dates des dernières revues
0. Non applicable
A. L'identification des évènements postérieurs à la clôture n'est pas
Compta / Finance

Les événements postérieurs à la clôture


incluse dans le processus de clôture Mode de communication prévu (voire appliqué) sur les événements significatifs
des comptes Groupe sont-ils
B. L'identification des évènements postérieurs à la clôture est incluse pouvant modifier de manière importante la situation financière de l'entité
correctement appréhendés par le
Oui

20 dans le processus de clôture, mais les critères permettant de sélectionner


management (communication du
l'information significative ne sont pas définis Sensibilisation des opérationnels au sujet (notes de clôture, réunions avec le
management aux personnes concernées
C. Le processus d'identification et de communication des informations management)
sur les impacts potentiels) ?
significatives existe et l'entité décide de leur prise en compte sur la base
de critères objectifs
0. Non applicable
Management des risques

A. Il n'existe pas de fonction analysant les risques juridiques (risque de


Procédure permettant de clarifier les règles opérationnelles aboutissant à éviter
mauvaise application de l'environnement réglementaire ou contentieux
Existe-t-il une politique de prévention des risques juridiques
privé) issus des procédures et pratiques de l'entité
des risques juridiques (qui intègre une
2 - Evaluation des risques

B. Il existe un suivi des évolutions de l'environnement réglementaire


Oui

21 sensibilisation au droit de la Documents sur le droit de la concurrence : engagements des managers à respecter
Analyse des risques

C. Chaque Direction de l'entité assure le suivi des évolutions


concurrence) formalisée et adaptée aux les règles de concurrence, formation d'une population ciblée
réglementaires et contractuelles propres à son activité, y compris en
principales opérations ?
matière de prévention en droit de la concurrence, et assure des
Documents sur la sécurité industrielle, la lutte contre la corruption, etc...
formations/communications régulières auprès des collaborateurs, en
relation avec la fonction juridique si elle existe
0. Non applicable - Plan d’actions (y compris actions préventives) pour la couverture des
A. Les risques identifiés ne sont pas contrôlés ou ne sont contrôlés que risques identifiés
Les actions pour maîtriser les risques par des actions ponctuelles - Procédures de gestion permettant la mise en place des contrôles
Oui
IT

22 liés aux systèmes d'information sont- B. Des contrôles ou plans d'action existent pour maîtriser les risques - Plans d’Assurance Sécurité, décrivant les analyses de risques de
elles documentées et mises en œuvre ? identifiés confidentialité, d’intégrité et de disponibilité, les contrôles et les actions de
C. De plus, l'entité vérifie régulièrement l'efficacité des contrôles mis en suivi associés
place. - Suivi de la conformité des contrôles permettant de couvrir les risques
0. Non applicable Listes de diffusion, dates de diffusion des procédures
Organisation /

Procédures

L'entité s'assure-t-elle de A. Les procédures ne sont pas connues par la majeure partie des
Pouvoirs /

l'appropriation et de la mise en œuvre collaborateurs de l'entité Moyens de contrôles mis en œuvre


Oui

23
Procédures générales

par les collaborateurs des procédures B. Les procédures sont connues et appropriées par la majeure partie des
applicables à l'entité ? collaborateurs de l'entité Réunions d'information, séminaires
3 - Activités de contrôle

C. Des contrôles sur la mise en œuvre de ces procédures sont effectués Sites intranet
0. Non applicable
Gouvernance /

A. Il n'existe pas de dispositif propre à l'entité permettant de recenser les


Existe-t-il un dispositif propre à l'entité Procédure, mode de diffusion et organisation en charge pour le recensement des
Intégrité

cas de fraudes et tentatives de fraudes


permettant de recenser les cas de fraudes et tentatives de fraudes (détection, investigation, reporting)
Oui

24 B. Il existe un dispositif formalisé permettant de recenser les fraudes et


fraudes et tentatives de fraudes et de les
tentatives de fraudes et celles-ci peuvent faire l'objet d'analyses
analyser ? Réunions d'analyse et plans d'action mis en œuvre (retours d'expérience)
C. Les fraudes et tentatives de fraudes font l'objet d'une analyse
systématique et d'actions de prévention
0. Non applicable
Ressources

Existe-t-il un dispositif d'évaluation de


humaines

A. Des entretiens sont conduits vis-à-vis d'une partie des employés Etats de suivi des Entretiens individuels
la performance des collaborateurs et de
Non

25 B. Des entretiens sont conduits vis-à-vis de la majeure partie


fixation de leurs objectifs au sein de
C. Des entretiens sont systématiquement conduits et documentés pour la Plans de formation
l'entité ?
majeure partie des collaborateurs

Page | 127
Fraude
Niveau


COSO Question Niveau Exemples Rép
réponse
0. Non applicable
A. Il existe un travail de rapprochement documenté global entre les
Rapprochement formalisé entre les données comptables et les données issues des
Existe-t-il un rapprochement données de gestion et les données comptables
reportings de gestion
documenté entre les données du B. Il existe un travail de rapprochement documenté et détaillé à tous les
Oui
26
contrôle de gestion et de la niveaux des soldes intermédiaires entre les données de gestion et les
Document, mails, ou notes indiquant les actions correctives issues de ce
comptabilité ? données comptables tous les trimestres
rapprochement et leur suivi
C. De plus, les écarts issus de ce rapprochement font l'objet
d'investigations, voire de régularisations
0. Non applicable
A. Il n'existe pas de rapprochement formalisé entre les comptes
statutaires et les comptes établis pour les comptes consolidés
Existe-t-il un rapprochement entre les
B. Il existe des tableaux de passage entre les deux états financiers mais Document de passage entre les comptes statutaires et les comptes établis pour les
Oui

27 comptes statutaires et les comptes


la justification détaillée des éléments de calculs n'est pas comptes consolidés, précisant la démarche appliquée
établis pour les comptes consolidés?
systématiquement disponible
C. Il existe des tableaux de passage avec justification détaillée entre les
deux états financiers
0. Non applicable
Le rapprochement entre les comptes A. Le rapprochement n'est pas réalisé
Document précisant les éventuelles différences entre les données issues du
publiés (comptes statutaires, …..) et les B. Le rapprochement est réalisé systématiquement mais pas de manière
Oui

28 système comptable et celles publiées officiellement par l'entité (déclarations


données de comptabilité générale dans documentée
externes et reporting comptable interne)
3 - Activités de contrôle

Finance / Comptabilité

les SI est-il réalisé et formalisé ? C. Le rapprochement est réalisé systématiquement et de manière


Compta / Finance

documentée
0. Non applicable
A. Les obligations légales sont difficilement respectées Dates de déclarations officielles des comptes statutaires, dates des autres
Les obligations légales de déclaration
Non

29 B. Les obligations légales sont généralement respectées mais pas obligations déclaratives remplies localement en comparaison avec les règles
et de publication sont-elles respectées ?
toujours dans les délais officielles
C. Les obligations légales sont toujours respectées dans les délais
0. Non applicable
A. La majorité des entités contactées ne répond pas
La réconciliation des soldes inter- Preuve documentée de l'envoi des soldes interco et des réponses obtenues
B. La majorité des entités contactées répond mais la réconciliation n'est
Oui

30 compagnies (transactions commerciales Preuves de la bonne prise en compte des informations issues de cette
pas finalisée
et financières) est-elle réalisée ? réconciliation dans les comptes de l'entité
C. Les entités contactées répondent et l'analyse des écarts permet de
s'accorder sur les soldes

Documentation sur le niveau de suivi et de contrôle des engagements hors bilan


permettant de répondre de manière satisfaisante à l'objectif d'exhaustivité et
0. Non applicable
d'exactitude des montants comptabilisés et reportés pour les comptes consolidés
A. Les engagements donnés et reçus et les obligations contractuelles
Groupe et les comptes sociaux de l'entité.
sont répertoriés périodiquement pour les besoins de publication des
Existe-t-il une procédure formalisée de
comptes sociaux et consolidés
recensement, d'évaluation et Analyse des contrats permettant d'identifier les engagements et obligations
B. Les engagements donnés et reçus et les obligations contractuelles sont
Non

31 d'actualisation des obligations contractuelles


répertoriés et une démarche d'analyse et de vérification plus détaillée est
contractuelles et engagements hors
réalisée occasionnellement afin d'améliorer l'exhaustivité et l'exactitude
bilan ? Suivi centralisé formalisé
des données publiées
C. De plus, ces engagements et obligations contractuelles sont réévalués
Actualisation des engagements en fonction de l'évolution des activités (travaux,
systématiquement en fonction de l'évolution des risques liés.
livraisons, etc...), suivi des échéances, revue de solidité des organismes ayant
délivré des garanties (évolution du rating des banques)

Page | 128
Fraude
Niveau


COSO Question Niveau Exemples Rép
réponse
Méthodologie projet et justificatifs de son application, par exemple :
La méthodologie de projet 0. Non applicable
- Critère d'évaluation et de validation des projets
informatique de l'entité visant la prise A. Il n'existe pas de méthodologie de projet au sein de l'entité
3 - Activités de contrôle

Systèmes d'information

- Plan Assurance Qualité définissant les rôles et responsabilités des intervenants

Non
32 en compte correcte des besoins B. L'entité a une méthodologie de projet mais elle n'est pas toujours
du projet
utilisateurs respecte-t-elle les appliquée
- Comptes-rendus de Comité projet
instructions du Groupe/? C. L'entité a une méthodologie de projet systématiquement appliquée
- Planning projet à compléter par IT
IT

0. Non applicable
Description de processus
Les procédures opérationnelles des A. Il n'existe pas de procédures opérationnelles formalisées au sein de
Procédures de gestion: des accès, des incidents, des batchs, des sauvegardes et
systèmes d'information de l'entité l'entité
Non

33 restaurations, des changements fonctionnels, des changements techniques


existent-elles et sont-elles mises en B. Les procédures sont à jour et sont partiellement appliquées
Livrables propres aux procédures
œuvre ? C. Les procédures sont appliquées sur l'ensemble des processus (voir
Compte-rendu de revue périodique
liste des processus dans colonne documents justificatifs)
0. Non applicable
A. L'entité n'a pas en place de procédures ou de contrôles visant à
sécuriser la paie
B. L'entité (ou son prestataire en cas de paie externalisée) a en place des
Existe-t-il des règles de sécurité de la Procédure de paie, document formalisant l'organisation du processus de paie.
procédures ou des contrôles préventifs pour sécuriser la paie (séparation
Oui
3 - Activités de contrôle

34 paie ? Sont-elles connues et appliquées


Ressources Humaines

Ressources humaines

des tâches, formalisation de tous changements dans la paie, contrôle des


? Documents formalisant les contrôles effectués sur la paie.
données source...)
C. L'entité (ou son prestataire en cas de paie externalisée) a de plus en
place des contrôles détectifs pendant le processus d'élaboration de la
paie
0. Non applicable
Les notes de frais de tous les A. Les autorisations et les justifications ne sont pas systématiques
collaborateurs de l’entité (y inclus B. Les autorisations sont systématiquement réalisées par une tierce
modalités d'autorisations et de justification des notes de frais de l'ensemble des
Oui

35 direction) sont-elles autorisées par une personne mais les justifications ne sont pas toujours jointes
C. Les autorisations par une tierce personne et les justifications sont collaborateurs de l'entité
personne différente du bénéficiaire
avant paiement ? systématiques

0. Non applicable
A. Le management de la filiale communique annuellement et
verbalement sur les objectifs opérationnels et financiers de la filiale
Les objectifs opérationnels et financiers Présentation annuelle de la Direction Générale
4 - Information et communication

B. Les objectifs opérationnels et financiers sont déclinés par grand


Non

36 sont-ils communiqués de façon claire


centre de profit de l'entité. Ces objectifs sont diffusés de manière
Objectifs / Suivi de gestion

au personnel ? Réunion d'objectifs


formelle auprès des managers
C. De plus, les objectifs opérationnels et financiers sont déclinés en
Communication

indicateurs de performance faisant l'objet d'un reporting régulier


0. Non applicable
A. Le reporting de gestion mensuel de l'entité est réalisé, mais avec des
La procédure de reporting de gestion difficultés en terme de respect des délais et, en pratique, une faible mise
Démonstration qu'un tableau de bord est élaboré et diffusé dans le cadre du
est-elle conforme aux et une à jour des informations.
calendrier prévu
Oui

37 communication mensuelle des analyses B. Le reporting de gestion mensuel de l'entité est réalisé en respectant
à la Direction Générale sous forme de les délais et avec une mise à jour de la plus grande part des informations
Calendrier d'établissement des reportings propres à l'entité
tableau de bord est-elle réalisée ? sur une base mensuelle
C. Les informations reportées sont systématiquement mises à jour et
analysées mensuellement par l'entité

Page | 129
Fraude
Niveau


COSO Question Niveau Exemples Rep
réponse

0. Non applicable
Compta / Finance

Existe-t-il un échange systématique A. Il n'existe pas d'échanges systématiques entre les opérationnels et les
4 - Information et communication

Mode de communication, entre le management et les équipes financières, des


entre opérationnels et financiers financiers de l'entité
informations opérationnelles utiles pour l'établissement des états financiers et des
Oui permettant de s'assurer que toute B. Des échanges trimestriels systématiques ont été mis en place entre les
38 annexes
information nécessaire à l'établissement opérationnels et les financiers de l'entité
Communication

des états financiers a bien été prise en C. Il existe un échange régulier entre opérationnels et financiers pour
Notes écrites, comptes rendus de réunions
compte ? communiquer et préciser les informations opérationnelles impactant ou
pouvant impacter les états financiers de l'entité
Management des

0. Non applicable
A. Les risques de l'entité ne sont communiqués ni aux différents
L'analyse des risques de l'entité est-elle
risques

responsables de l'entité Présentations faites à l'ensemble des responsables métiers de l'entité (au centre de
Non

39 communiquée auprès des différents


B. Les risques de l'entité sont communiqués et partagés au sein du profit) sur les risques significatifs pour l'entité
métiers ?
Comité de Direction de l'entité
C. De plus, ils sont communiqués aux métiers concernés
0. Non applicable
A. La détection des faiblesses de contrôle interne n'est pas organisée et Formalisation de plans d'actions en lien avec les faiblesses constatées par les
l'entité se limite à prendre connaissance des remarques des auditeurs auditeurs externes à l'entité
Existe-t-il des mécanismes internes à internes et externes sur la qualité de son contrôle interne
l’entité permettant de détecter les B. Les managers de l'entité identifient des faiblesses de contrôle interne Note ou document identifiant une fonction centralisant les faiblesses, et preuves
Oui

40
faiblesses de contrôle interne et de les dans le cadre de leurs fonctions et communiquent ces informations au de communication dans l'entité
faire connaître ? niveau du management de l'entité
Gouvernance / Intégrité

C. Une des fonctions de l'entité centralise régulièrement les informations Documentation des dysfonctionnements ayant un impact réel ou potentiel sur les
sur les faiblesses de contrôle interne, issues d'analyses internes ou états financiers et plans d'actions associés
5 - Pilotage

Pilotage

externes, et en communique les conclusions au management de l'entité


0. Non applicable/ pas d'intervention de la Direction de l'Audit depuis
plus de 5 ans
A. Le suivi des plans d'actions issus des recommandations de la DA est
réalisé par l'entité ou la lorsque la DAG revient dans l'entité ou lorsque
Si la Direction de a effectué des
la DAG le demande Mode de suivi des recommandations de l'audit interne DA acceptées par l'entité
interventions dans l'entité, le suivi des
Oui

41 B. Le suivi des plans d'actions issus des recommandations de la DA est


plans d'actions identifiés suite à ces
réalisé régulièrement et formalisé en interne au sein de l'entité et/ou au Rapports au management sur l'avancement des plans d'action
audits est-il réalisé et matérialisé ?
niveau de la
C. L'entité a une démarche active de suivi de l'avancement des plans
d'actions issus des recommandations de la DA et elle en matérialise la
progression.

Page | 130
Annexe 7 : questionnaire de revue de prise de connaissance de l’environnement informatique
COSO

Niveau
N° Question Niveau Exemples Réponse
réponse

0. Non applicable
Plan SI validé, schéma directeur détaillant les
A. Il n'existe pas de plan SI
Le plan SI de l'entité s’inscrit-il dans la ligne de la projets et leur échéance
B. Le plan SI a recensé ses projets, les a présentés aux instances informatiques avec des
1 stratégie globale et contribue-t-il à la réalisation des
objectifs chiffrés
objectifs fixés par les métiers ? compte-rendu de présentation aux différentes
C. Le plan SI en ligne avec la stratégie globale a été présenté au comité de direction et il
instances
est suivi régulièrement
0. Non applicable
A. Il n'existe pas d'organigramme (et/ou de descriptions de fonctions) pour les principales
Principes de Gouvernance IT
fonctions
Les rôles et responsabilités de l'organisation
B. Il existe un organigramme et des descriptions de fonctions notamment pour la fonction
1 - Environnement de contrôle

2 informatique sont-ils définis, documentés, communiqués Note interne d'organisation


sécurité mais ils ne sont pas mis à jour régulièrement
et en ligne avec les besoins du métier ?
Systèmes d'information

C. L'organigramme et les descriptions de fonctions sont régulièrement mis à jour


Organigramme
notamment sur les notions de sécurité et de contrôle interne IT et diffusés aux différentes
fonctions métier
Politique Sûreté
0. Non applicable Référentiel Sûreté
La Politique de Sûreté de l'information du et le A. L'entité ne connait pas, n'a pas ou n'applique pas la Politique de Sûreté de l'information Documents permettant de respecter la
Référentiel de Sûreté de l'information (qui détaillent les B. La Politique de Sûreté du est connue et partiellement appliquée (a minima sur la politique de sureté. et notamment sur la
3 règles à appliquer, notamment sur la gestion des accès, gestion des accès et le référentiel de sûreté sur les connexions aux réseaux externes et la gestion des accès et le référentiel de sûreté sur
les connexions aux réseaux externes, la protection protection antivirale) les connexions aux réseaux externes et de
antivirale) sont-ils connus et appliqués ? C. La Politique de Sûreté est appliquée avec des dérogations ayant fait l'objet d'une protection antivirale.
validation avec présentation de plans d'actions de mise en conformité
0. Non applicable Les Service level agreements signés, les
A. Il n'existe pas de définition des rôles et responsabilités des différents acteurs pour la Conventions de service/Offres de service
Les responsabilités des différents acteurs dans la gestion gestion des services produit détaillant les rôles et responsabilités
des systèmes d'information sont-elles formalisées dans B. Il existe des principes applicables à l'ensemble des services décrivant les processus de des différents intervenants
4
un contrat de service entre l'entité et le fournisseur de gestion des accès, des demandes fonctionnelles/ exploitation
services informatiques C. Les principes de gestion des services sont validés par les représentants des utilisateurs, Les Plans d'Assurance Qualité validés,
et pour les principales applications, les responsabilités des différents acteurs sont détaillant les rôles et responsabilités des
formalisées / à jour et signées par les différentes parties différents intervenants.
Evaluation des risques liés à la sécurité pour
2 - Evaluation des risques

Identification des risques

la mise en œuvre de la politique et des


dispositifs de sécurité
Evaluation des risques pour les projets en
L'entité évalue-t-elle régulièrement les risques liés à ses 0. Non applicable
cours
systèmes d'Information, notamment sur la base de son A. L'entité ne procède pas à une évaluation de ses risques informatiques
5 Cartographies des risques et plans d'audit
cadre de contrôle interne IT et du référentiel de sureté de B. Le management a évalué les risques informatiques de l'entité
Plan d’actions pour la couverture des risques
l'information ? C. De plus, les risques informatiques sont revus périodiquement
identifiés
Plans d’Assurance Sécurité, décrivant les
analyses de risques de confidentialité,
d’intégrité et de disponibilité

Page | 131
Niveau
COSO N° Question Niveau Exemples Réponse
réponse
Plan d’actions pour la couverture des risques
Analyse des risques

identifiés
2 - Evaluation des

0. Non applicable Procédures de gestion permettant la mise en


Les actions pour maîtriser les risques liés aux systèmes A. Les risques identifiés ne sont pas contrôlés ou ne sont contrôlés que par des actions place des contrôles
risques

6 d'information sont-elles documentées et mises en œuvre ponctuelles Plans d’Assurance Sécurité, décrivant les
? B. Des contrôles ou plans d'action existent pour maîtriser les risques identifiés analyses de risques de confidentialité,
C. De plus, l'entité vérifie régulièrement l'efficacité des contrôles mis en place. d’intégrité et de disponibilité, les contrôles
Suivi de la conformité des contrôles
permettant de couvrir les risques
Méthodologie projet et justificatifs de son
0. Non applicable application, par exemple :
A. Il n'existe pas de méthodologie de projet conforme aux instructions au sein de l'entité - Critère d'évaluation et de validation des
La méthodologie de projet informatique de l'entité visant
B. L'entité a une méthodologie de projet conforme aux instructions mais elle n'est pas projets
3 - Activités de contrôle

Systèmes d'information

la prise en compte correcte des besoins utilisateurs


toujours appliquée - Plan Assurance Qualité définissant les rôles
respecte-t-elle les instructions ?
C. L'entité a une méthodologie de projet conforme aux instructions et systématiquement et responsabilités des intervenants du projet
appliquée - Compte-rendu de Comité projet
- Planning projet à compléter par IT
Description de processus
Procédures de gestion: des accès, des
0. Non applicable
Les procédures opérationnelles des systèmes incidents, des batchs, des sauvegardes et
A. Il n'existe pas de procédures opérationnelles formalisées au sein de l'entité
7 d'information de l'entité existent-elles et sont-elles mises restaurations, des changements fonctionnels,
B. Les procédures sont à jour et sont partiellement appliquées
en œuvre ? des changements techniques
C. Les procédures sont appliquées sur l'ensemble des processus
Livrables propres aux procédures
Compte-rendu de revue périodique
Supports et actions de formation dans le cadre
0. Non applicable
des projets
A. Il n’existe pas d'actions spécifiques de sensibilisation / formation
Existe-t-il des actions de formation et d'information des Actions de formation et sensibilisation à la
8 B. Des dispositifs de sensibilisation existent mais ne sont pas mis en œuvre de manière
4 - Information et communication

utilisateurs, à la sécurité du système d’information ? sécurité (note de rappel, stage formation,


systématique
notes de communication) pour tout utilisateur
Systèmes d'information

C. La sensibilisation/formation est systématique pour tout utilisateur du SI


de SI
Tableaux de bord et indicateurs de suivi de la
performance tels que:
- Taux de disponibilités des services
0. Non applicable - Nombre d’appels et taux de réponse en ligne
A. Il n'existe pas ou peu d'indicateurs de suivi de l'activité des services informatiques du help desk
Existe-t-il des indicateurs mesurant la performance des - Délai de résolution des demandes (services,
9 B. Les indicateurs de suivi de l'activité des services informatiques sont formalisés, mais
services informatiques ? habilitations,…) et des incidents
pas systématiquement analysés.
C. Les indicateurs font l'objet d'un suivi qui donne lieu à des plans d'actions le cas échéant - Taux de respect des délais et budget des
projets
Rapports de revues périodiques
Mode de reporting pour le suivi des actions
0. non applicable
A. Il existe quelques actions de contrôle du respect de la politique de sûreté de
5 - Pilotage

Plans et rapports d'audit


Pilotage

Un processus permettant de s'assurer du respect du cadre l'information et du contrôle interne ciblées


Plans d'action de mise en conformité
10 de contrôle interne informatique et de la politique de B. L'entité a défini des contrôles en ligne avec les risques identifiés
Matrices risques et contrôles
sûreté est-il mis en œuvre ? C. Une analyse d'écart avec les référentiels de sûreté et de contrôle interne est réalisée et
Révision des référentiels
des plans d'actions sont mis en œuvre pour s'assurer de la mise en conformité et sont
régulièrement suivis

Page | 132
Annexe 8 : Appréhension de la fraude

1. MOYENS MIS EN ŒUVRE OUI NON


1.1 Avez-vous établi une typologie des fraudes dans les domaines
suivants ?
1.1.1 sincérité des opérations
1.1.1.1 atteinte à la sincérité
1.1.1.2 collusions
1.1.1.3 utilisations de robots
1.1.1.4 autres (à préciser)
1.1.2 Fonctionnement du compte client
1.1.2.1 moyens de paiements
1.1.2.2 usurpations d'identité
1.1.2.3 ouvertures de plusieurs comptes
1.1.2.4 autres (à préciser)
si oui, joindre le(s) document(s)
1.2 Existe-il une ou des procédures de détection des fraudes ?
Ces procédures sont-elles formalisées par écrit ?
1.3
si oui, joindre le(s) document(s)
1.4 Ces procédures sont-elles automatisées ?
Des outils de lutte contre la fraude ont-ils été mis en place :
1.5.1 en matière de lutte contre les robots?
si oui, joindre un document descriptif
1.5.2 en matière de lutte contre la fraude aux moyens de paiement ?
si oui, joindre un document descriptif
1.5
1.5.3- dans d'autres domaines ?
si oui, joindre un document descriptif
1.5.4- Les paiements effectués sur votre site s'appuient-ils sur un
protocole d'identification renforcé du titulaire de la carte ?
si oui, lequel ?
Utilisez-vous un outil automatisé de détection des opérations
inhabituelles
1.6
1.6.1 - en interne ?
1.6.2 - via un sous-traitant ? si oui lequel ?
Les moyens mis en œuvre:
1.8.1 -sont-ils limités aux joueurs inscrits sur votre site?
1.8.2 -s'étendent-ils, via une plate-forme commune, à des joueurs
1.7 inscrits chez d'autres opérateurs ?

dans le 2ème cas, préciser le nom du prestataire

Page | 133
2- ORGANISATION DU SERVICE DE LUTTE CONTRE LA
OUI NON
FRAUDE
Existe-t-il un service /une fonction dédiée à la lutte contre la fraude
2.1.1 -au sein de votre entreprise ?
2.1
2.1.2 -au sein du groupe auquel vous appartenez?
Joindre un organigramme
Un ou des correspondants chargé(s) de répondre aux sollicitations
2.2
des services d'enquêtes a-t-il (ont-ils) été désigné(s)?
Le nom de ces personnes (déclarant / correspondant), avec leurs
2.3
fonctions respectives, a-t-il été communiqué par écrit à TRACFIN
Tout changement concernant ces personnes est-il porté, sans délai,
2.4
à la connaissance de TRACFIN?
Le personnel est-il informé:
2.5.1 - de la désignation de ces personnes et de leurs fonctions ?
2.5
2.5.2 - des modifications successives concernant le nom du titulaire
de ces fonctions?
2.6 Existence périodique d’un reporting à la Direction Générale ?
3- EXISTENCE D' UN SYSTEME DE CONTROLE
OUI NON
INTERNE
Mise en place d’un dispositif de contrôle permettant de vérifier le
3.1 respect des procédures internes appliquées dans le cadre du
dispositif de lutte contre la fraude ?
3.2 Ce dispositif prévoit-il des inspections périodiques ?
Le dispositif préventif de lutte contre la fraude fait-il partie du
3.3
champ d'investigation du contrôle interne ?
Les personnes intervenant dans une activité visée par la lutte contre
3.4
la fraude font-elles l'objet de contrôles internes ?
Existe-t-il un document écrit décrivant les procédures internes
3.5
relatives à la lutte contre la fraude ?
Le document écrit décrivant les procédures internes relatives à la
3.6 lutte contre la fraude a-t-il été diffusé à l'ensemble du personnel
concerné ?
Le personnel concerné bénéficie-t-il systématiquement d'une
3.6
formation initiale relative à la lutte contre la fraude ?
Est-il prévu des formations d'actualisation des connaissances en cas
3.7
de modification de la réglementation ?
Existe-t-il une procédure d'évaluation des connaissances du
3.8
personnel relative à la lutte contre la fraude ?
en cas de recours à des sous-traitants, existe-il une procédure :

3.9 - du niveau de connaissances et de formation du personnel de


l'entreprise sous-traitante?
- du respect des procédures par ce personnel ?

Page | 134
Annexe 9 : questionnaire Fraude

CONCLUSION ELEVE MOYEN FAIBLE

Risque de fraude aux états financiers

Risque de détournement d’actifs


Observation du CAC :

Facteurs de risque de fraudes relatifs à la préparation de comptes ne donnant volontairement pas une
image fidèle
Direction et environnement de contrôle OUI NON OBSERVATIONS
Est-ce qu’une partie importante de la rémunération de la direction est
liée au résultat ?
Est-ce qu’une importance excessive est accordée à la valeur de
l'entité ou à son résultat ?
Existe-t-il un engagement vis à vis des tiers à tenir des prévisions
irréalistes (ventes, marges, résultats, …) ?
Existe-t-il une tendance à minorer les résultats publiés pour des
raisons fiscales ?
Est-ce que la direction met en œuvre des contrôles significatifs
(préciser en fonction des secteurs de risques propres à l’entreprise :
ventes, achats, trésorerie, personnel, …) ?
Est-ce qu’une correction en temps utile des faiblesses significatives
de contrôle interne a été mise en œuvre ?
A-t-on relevé la présence de personnel non motivé ou incompétent
dans des fonctions-clés de l'entreprise ?
A-t-on noté une participation excessive des dirigeants non financiers
aux choix comptables ?
Les relations entre la direction et le Commissaire aux comptes sont-
elles tendues ?

Secteur d'activité de l'entité OUI NON OBSERVATIONS

Est-on en présence d’une vive concurrence ou de marché susceptible


de conduire à une chute des marges commerciales ?
Est-ce que le secteur d'activité est en déclin ?
Existe-t-il des changements dans le secteur d'activité pouvant
entraîner vulnérabilité ou obsolescence ?

Page | 135
Opérations et structure financière OUI NON OBSERVATIONS
Existe-t-il une pression importante pour obtenir des financements
complémentaires ?
Existe-t-il des estimations significatives basées sur des jugements
subjectifs ou des incertitudes (préciser la nature) ?
A-t-on relevé des transactions significatives avec des parties liées
inhabituelles ou non auditées ?
Existe-t-il un système de rémunération variable des collaborateurs de
l’entreprise établi en fonction des résultats comptables de
l’entreprise ?
Est-ce que l’endettement est anormalement lourd et la capacité de
remboursement fragile ?
Est-ce que la situation financière est fragile alors que la direction a
personnellement garanti des dettes significatives de l'entité ?
Facteurs de risque de fraudes relatifs à des détournements d'actifs

Degré d'exposition des actifs aux risques de détournement OUI NON OBSERVATIONS
Présence d’importantes sommes en espèces en caisse et / ou
utilisées ?
Nature des stocks tels que des articles de petite taille associés à une
valeur importante et une forte demande ?
Existe-t-il des actifs fongibles ?
Les immobilisations sont-elles constituées de biens de petites tailles,
facilement négociables et sans identification du propriétaire ?
Fraudes liées aux contrôles OUI NON OBSERVATIONS

A-t-on relevé un manque de surveillance de la direction ?


Existe-t-il une sélection des candidats aux postes ayant accès aux
actifs sensibles ?
Existe-t-il un suivi comptable insuffisant des actifs susceptibles
d'être détournés ?
La séparation des tâches est-elle insuffisante ?
Existe-t-il un système d'autorisation préalable et d'approbation des
opérations ?
Existe-t-il un système de protection des espèces, titres, stocks ou
immobilisations ?
Présence d’une documentation appropriée des opérations réalisées
par la société ?
Est-ce que les employés qui remplissent des tâches de contrôle-clé
prennent normalement leurs congés ?

Page | 136
Annexe 10 : questionnaire Blanchiment

MISE A JOUR
COPIE AU DP
NECESSAIRE COMMENTAIRES
OUI NON OUI NON N/A
Identification de l'entité et du
bénéficiaire effectif de la prestation
Copie certifiée conforme des statuts
K-bis à jour/Déclaration en préfecture
Liste des actionnaires et répartition du
capital
Domaine d'activité
Mode de direction

OUI NON OUI NON N/A COMMENTAIRES


Vigilances complémentaires mises en
œuvre lorsque le représentant de
l'identité n'a pu être rencontré
Pièces justificatives permettant de
confirmer l'identité de l'entité
Obtention d'éléments sur l'identité de
l'entité auprès de tiers externes (Greffe,
Préfecture, Banque, Banque de France,
assurances, URSSAF…)
O N COMMENTAIRES (OBLIGATOIRES)
Transactions particulières avec l'étranger
COMMENTAIRES (Examen renforcé sur
l'origine et la destination des fonds, ainsi
O N
que sur l'objet de l'opération et sur
l'identité de la personne bénéficiaire)
Opérations complexes ou d'un montant
inhabituellement élevé ne paraissant pas
avoir de justification économique ou
d'objet licite

CONCLUSION FAIBLE NORMALE ELEVE

Risque

CONCLUSION ALLEGEE NORMALE RENFORCEE

Vigilance

Page | 137
Annexe 11 : Exemple d’un test de cheminement

Page | 138
Annexe 12 : Exemple d’un test de cheminement

Numéro de
1. 2. 3. 4. 5. 6. 7. 8.
l'étape
Si la prise
Prise d'empreinte est Traitement
Passage de d'empreint OK, de la
Etapes commande e des importation de Paiement de commande
Fiabilisation du Export en
Description par le client informatio la commande Scoring Client la par les
back office comptabilité
sur le site de ns de et du paiement commande marchands et
e-commerce paiement dans le la logistique
par ATOS backoffice e- e-commerce
commerce
Stockage des Application www e- serveur de back e- serveur de
fraude NA back e-commerce back compta
informations concernée commerce paiement commerce paiement

En charge du
Informatiq
traitement de Informatique Informatique Fraude Informatique Logistique Informatique Informatique
ue
Utilisateurs l'information

En charge de Informatiq
Informatique Informatique Fraude Informatique Logistique Informatique Comptabilité
la validation ue
Degré de Mineur X X X X X
sensibilité de
Sensible X X X
l'information
Y/N N Y N Y Y Y
Nature Auto Manuel Auto Auto Auto Manuel
Scoring des
Une comparaison
clients pour
entre les Réconciliation
savoir s’il s'agit
informations ATOS par la
de clients Contrôle par
et les informations comptabilité
sensibles par un e-commerce
e-commerce est entre les
outil e- du paiement
faite sur la base : relevés et les
commerce. de la
-d'une clé unique informations
Dans le cadre de commande
(numéro de transmises par
produits/clients, de la
transaction, numéro le site compte
sensibles envoi présence de
de marchand, date à compte
au service des Contrôle stock, envoi
origine), (Paypal, CB,
fraudes qui libère ATOS pour d'un ordre de
-de la nature de la Cofinoga, etc).
Contrôle la commande ou le paiement préparation à
transaction, Si des écarts
ATOS de demande des (carte la logistique
Description -du montant. sont constatés
l'empreint justificatifs au bancaire externe qui
du contrôle Si des il peut s'agir
e bancaire client pour valide, exécute. Puis
modifications sont d'un oubli dans
du client valider la solvabilité remontée de
Contrôles constatées du côté l'import, une
commande du client, l'information
du service client, nouvelle
Ce contrôle est etc...) de sa part
certains paiements descente est
traité par l'outil vers le
peuvent être faits effectuée.
de commandes et service des
par le service client Il est
par mails. commandes
sur la back office impossible de
A noter que afin de
ATOS. Les remonter ligne
ATOS transfert à valider
informations à ligne les
e-commerce un l'envoi
peuvent aussi commandes
fichier des avis correct.
remonter d’ATOS depuis la
d'impayés post
vers e-commerce comptabilité.
achat et poste
via ces fichiers.
paiement.
e-commerce
Acteur ATOS ATOS e-commerce e-commerce comptabilité
Service fraude
2 fois par jour à la
réception des
A chaque Entre 20 et 30% A chaque A chaque fichiers
Fréquence quotidien
commande des commandes paiement envoi d'opérations et de
transaction de la
part d'ATOS

Page | 139
Annexe 13 : Questionnaire d’identification des Contrôles
Généraux Informatiques

OBJECTIF
Documenter les procédures relatives aux contrôles généraux informatiques et
identifier, le cas échéant, les risques de contrôle généraux qui pourraient impacter la
stratégie d’audit.
Les facteurs suivants doivent être pris en compte pour la documentation du
questionnaire :
 Modification de système majeure
 Utilisation de systèmes intégrés
 Importance des flux automatisés (EDI, Internet)
 Existence de sites multiples
 Multiplicité de systèmes spécifiques ou d’adaptation des progiciels
 Sous-traitance informatique

La préparation d'une cartographie synthétique des systèmes en place constitue un


point de départ efficace pour la documentation de ce questionnaire (voir annexe).

CONCLUSION
 Compte tenu des risques identifiés, l’environnement informatique semble-t-il
globalement fiable ?

 Quelles sont les zones de risque ?

 Identifie-t-on des procédures de contrôle permettant de couvrir le(s) risque(s)


identifié(s) ?

 Quelle stratégie prévoit-on ?

Page | 140
Etape 1 : Gestion des utilisateurs informatiques
L’objectif des auditeurs est de s’assurer qu’une politique et des procédures
appropriées ont été mises en place afin de s’assurer que les contrôles généraux IT
sont correctement appliqués à l’ensemble des utilisateurs/administrateurs/
gestionnaires de systèmes d’information.

Risques : L’absence de procédure contrôlée favorise des dérapages et tend à la


dégradation du niveau de service et en conséquence de l’information financière
(entre autres).

1. Obtenir un organigramme détaillé du département informatique, et la liste des


profils sur les systèmes critiques, et valider la correcte séparation des tâches au
niveau informatique.
La séparation des tâches au niveau informatique, surtout sur les points concernant le
développement et l’exploitation reste un des thèmes fondamentaux. Il faut par
ailleurs veiller à la correcte séparation des tâches entre les quatre grands groupes
d’employés de la société : utilisateur final, programmeur, administrateur et
personnel de sécurité.
Une mauvaise séparation des tâches peut gravement nuire à la bonne marche de la
société.
Une seule personne en charge des responsabilités informatiques

2. Le personnel informatique et utilisateur est-il compétent et suit-il des formations


liées aux logiciels / matériel utilisés ?

3. Comment est contrôlée la partie informatique sous-traitée en infogérance ?

4. La société a-t-elle pris en compte la réglementation en vigueur en France d'un


point de vue légal et fiscal (obligations comptables légales, prise en compte des
contraintes réglementaires sectorielles, déclarations CNIL, archivage fiscal,
déclaration des licences de logiciels...) ?

Page | 141
Conclusion intermédiaire

Etape 2 : planifier l’environnement informatique


Risques :
 Le plan stratégique IT ne correspond pas aux objectifs de la société à long

terme.
 Les moyens donnés au département informatique pour assurer le niveau de

sécurité et de performance approprié pour la société sont insuffisants.


 Les fonctions ne sont pas correctement séparées au sein du département

informatique.
 Le personnel est insuffisamment formé (IT et utilisateurs de systèmes

complexes).

 Obtenir le schéma directeur informatique et/ou le plan stratégique informatique


de la société. Analyser le budget IT et son évolution

Les éléments ainsi collectés indiquent les modifications à venir. Identifier les risques
et les modifications éventuelles de la stratégie d’audit N, N+1...

Conclusion intermédiaire

Etape 3 : Gestion du changement


Risques :
 La société développe ou achète des progiciels qui ne sont pas adaptés à ses

objectifs ni à ses besoins.


 Les mises en place / modifications sont réalisées sans contrôle suffisant du

donneur d’ordre et de l’utilisateur.


 Les mises en place / modifications sont réalisées sans un niveau de contrôle

interne suffisant (dégradation par rapport à l’existant).

Page | 142
 Les mises en place / modifications ne répondent pas aux besoins légaux ou

fiscaux (documentation et justification des contrôles et de la piste d’audit).


 Les mises en place / modifications sont réalisées sur du matériel qui ne

correspond pas aux besoins.

L’ensemble de ces points peut induire des risques sur la fiabilité et la


comptabilisation des informations.

1. Quelles sont les procédures concernant le choix de nouveaux systèmes, la mise à


jour des logiciels, ou l’implémentation de nouveaux systèmes (définition, analyse,
choix de progiciel ou de développement interne) ?
 Les produits peuvent ne pas correspondre aux besoins. La mise à niveau
parallèle de différentes applications sans coordination peut générer des
dysfonctionnements. Un cahier des charges doit avoir été approuvé par
toutes les parties concernées. Il faut s’assurer que l’ensemble des
modifications a suivi une procédure préalablement approuvée par la
direction et que les modifications font l’objet d’une classification et d’un
niveau de priorité correspondant aux objectifs de la société et des
utilisateurs.
 Par ailleurs, lorsqu’on choisit une solution progicielle, il faut s’assurer de la
pérennité du prestataire, afin de permettre l’évolution de système et le dépôt
des sources des programmes auprès d’un organisme agréé (en cas de faillite
du prestataire).

2. Comment est suivi le contrôle interne lors des mises en place et modifications de
système ?
La traçabilité des informations informatiques et de la piste d’audit des données
comptables doit toujours être possible tout au long du changement, puis par la suite
en cas de contrôle (fiscal notamment).
Le niveau de contrôle interne doit être renforcé pendant cette période pour revenir à
un niveau au moins équivalent par la suite. Les nouveaux systèmes doivent faire
l’objet de documentation, notamment en termes de flux et de contrôle.

Page | 143
3. Comment sont gérés les tests et la mise en production des nouveaux programmes /
progiciels ?
Exemple de bonne pratique :
 Les développements sont réalisés sur du matériel informatique séparé de
l’environnement réel (dit de production) afin de ne pas engendrer de
différence de performance, de risque de dysfonctionnement ou d’erreur de
traitement. Une fois terminé, il est transféré dans un environnement de test
(qui peut être pour les petits projets le même environnement - la même
machine -).
 Une équipe projet informatique teste en premier les nouveaux programmes /
progiciels / version. Elle s’assure que les traitements décrits dans le cahier
des charges fonctionnent.
 D’un point de vue technique, elle s’assure que le nouveau module ne
supprime pas des fonctions précédemment existantes (tests de non
régression).
 Le produit devrait ensuite être testé par les utilisateurs d’un point de vue
fonctionne et les corrections effectuées. Les utilisateurs doivent s’assurer que
le niveau de contrôle interne à l’application est au moins identique à celui
existant précédemment. Dans le cas contraire, des contrôles compensatoires
doivent être réalisés. Une fois validé formellement, le programme va être
passé de l’environnement de test à l’environnement de production par
l’équipe d’exploitation.
 Dans le cas de changements significatifs ou de traitements complexes, il est
conseillé de réaliser des traitements parallèles entre l’ancien et le nouveau
système et de comparer les résultats.
 Les performances doivent aussi être analysées pour s’assurer que le matériel
utilisé pourra supporter la charge prévue.

Conclusion intermédiaire

Page | 144
Etape 4 : Gestion de l’exploitation
Risques :
 Défaillance de systèmes et absence de procédure de reprise fiable.

 Niveau de service insuffisant.

 Sécurités logique et physique insuffisantes.

1. Comment la performance et la qualité des activités informatiques sont-elles


contrôlées ?
La correcte exécution des prestations est appréciée par rapport à un cahier des
charges initial.

2. Décrire la procédure de suivi des pannes et incidents mise en place par le client.
Un système qui tomberait fréquemment en panne peut entraîner des risques en
termes d’intégrité et de fiabilité des données gérées. Il n’est peut-être pas opportun
de s’appuyer sur le système existant. Les dysfonctionnements doivent être résolus de
manière rapide et contrôlée.

3.1 Quelles sont les procédures de sauvegarde et d’archivage des données mises en
place ?
 Les données sont-elles sauvegardées sur place (dans une armoire ignifugée, ou
aussi hors-site...) ?

 Existe-t-il des procédures de reprise en cas de défaillance du système ?

3.2 Existe-t-il un plan de continuité en cas de désastre ?


Récupérer la liste des applications critiques, prendre connaissance de l’existence de
procédures rédigées et du dernier procès-verbal de test.

Page | 145
4. Sécurité
4.1 Quels sont les principes de contrôles d’accès mis en place chez le client ?
 Différencier les niveaux de sécurité d’accès au réseau, au poste de travail,
aux applications, à certains menus, et aux données.
 Une correcte séparation des tâches doit être établie entre la mise à jour des
référentiels (coordonnées bancaires fournisseurs...) et la mise à jour des
transactions.
 Les accès doivent être indiqués par le responsable hiérarchique de la
personne et supprimés en cas de départ ou modifiés en cas de mutation. Ils
doivent faire l’objet au moins d’une revue annuelle.
 Une revue des tentatives d’accès infructueuses doit être réalisée fréquemment
par un responsable.
 Les mots de passe doivent être changés fréquemment.
 Ce n’est pas parce qu’on ne permet pas à un utilisateur un accès à une
transaction, qu’il n’a pas la possibilité de modifier les données par un autre
moyen.
 Les utilisateurs ne doivent pas avoir accès aux outils permettant de modifier
les données en passant outre les contrôles applicatifs
 De même les mots de passe par défaut doivent avoir été changés.

4.2 La sécurité physique du système informatique est-elle appropriée au besoin de


sécurité informatique du client ?
 Les ordinateurs centraux sont-ils enfermés dans une pièce sécurisée contre
l’incendie, les risques d’inondation, de surchauffe du système et cette pièce est-
elle à accès restreint au moyen d’un badge spécifique etc... ?

 Le serveur est-il au centre du service comptable et peut-il faire facilement l’objet


de détérioration...) ?

Page | 146
4.3 Décrire les contrôles mis en place au niveau applicatif, en termes de paramétrage
et de sécurité logique pour chaque application sensible ou concernée par l’analyse
des business processus audité cette année.
Au niveau applicatif, il faut s’assurer du correct paramétrage et de la mise en place
de la sécurité logique applicative. Après le système et la sécurité logique au niveau
du système, dont nous avons évalué la mise en place auparavant, il faut aussi
s’intéresser à cette même sécurité au niveau des applications.

 Les utilisateurs ont-ils uniquement les droits d’accès dont ils ont besoin ?

 Les applications sensibles, telles que la paie, la comptabilité etc. sont-elles


correctement protégées et réservées à des utilisateurs définis ?

 Le paramétrage des applications sensibles est-il optimal ?

Conclusion intermédiaire

Liste indicative des documents pouvant être utiles pour la documentation des
questions ci-dessus :
 Organigramme détaillé du département informatique
 Profils pour revue des séparations de tâches au niveau du département
informatique
 Profils pour revue des séparations de tâches au niveau des utilisateurs du
système d’information
 Procédures de contrôle des activités sous-traitées et contrat de sous-traitance
 Schéma stratégique et/ou plan informatique
 Budget informatique détaillé
 Procédure de choix et de mise à jour des logiciels et applications utilisées
 Procédure de tests, fiches de validation des dernières modifications majeures
et des modifications d’urgence.

Page | 147
 Liste de licences d’utilisation des logiciels
 Tableaux de bord et mesure de performance (derniers)
 Mise à disposition du cahier des incidents. Prendre une copie de pages
significatives si applicable et nécessaire
 Procédures de sauvegarde et d’archivage
 Copie de plan de continuité en cas de désastre
 Copie des procès-verbaux de tests concernant le plan de continuité ; mesures
prises suite aux résultats
 Procédures de sécurité logique, document d’autorisation.

Annexe
Cette section est utilisée pour déterminer l’étendue des systèmes sur laquelle porte
notre attention pendant la phase de « Compréhension, évaluation et tests de
l’environnement informatique ».

Nom de Acceptation Site


l'application/plateforme/système Client commercial
Développement
et
implémentation Description fonctionnelle
synthétique (date d’achat…)
Base de données
Gestion des
utilisateurs Nombre d'utilisateurs
informatiques

Mise en place de Date de mise en production


nouveaux
systèmes Evolutions prévues ou à venir
Lieu de stockage
Document de référence
Exploitation Support pour archivage
(disquette, papiers, bande de
sauvegarde…)
Lieu d'archivage
Analyse des Les données font partie du plan de
procédures de sauvegarde site
sécurité
physique et
logique et Lieux de stockage des sauvegardes

Page | 148
traçabilité des Réplication
erreurs Support de sauvegardes

Archivage des sauvegardes

Tests de restauration

Document test de restauration

Les données font parties du plan


de secours
Durée maximum d'interruption
tolérée
Durée maximum d'interruption
constatée

Préparé par :
Date :

Revu par :
Date

Page | 149
Annexe 14 : Contrôles Généraux Informatiques

DESCRIPTION SYNTHETIQUE DU PROCESSUS


Objectifs du Processus :
L’objectif de ce processus est d’analyser les principaux points de contrôles existants sur les contrôles généraux informatiques permettant d’assurer
la qualité et la pérennité du système d’information.

Risques dans le processus et assertions relatives:


R1 : Niveau de traçabilité des erreurs : Exhaustivité et existence de procédures de contrôle interne informatisé
R2 Niveau de la sécurité logique: Sécurité : restriction des droits d’accès, ségrégation des tâches et sécurité physique
R3 Niveau de continuité d’activité : Continuité d’activité et donc d’exploitation en cas de sinistre informatique grave
R4 Contraintes légales locales : par exemple Contrôle fiscal informatisé, CNIL…
Description des fonctionnalités de l’outil : C3 Développement et implémentation
C4 Sécurité
Description des 6 principales étapes du processus de gestion des C5 Exploitation
contrôles généraux informatiques : C6 Continuité d’exploitation
C1 Management des applications et de l’infrastructure informatique
C2 Gestion du changement

Page | 150
DOCUMENTATION DES CONTROLES
Assertions
Réf Objectif du Contrôle Description du Contrôle M/ Resp E X V D P A

Risques
du (Intervenants, Modalités du contrôle, Périodicité, Matérialisation) S31 du 32 33 34 35 36 37

Crl Crl
C1 Les responsabilités sont clairement R5 Recherche de l’existence de : M X X
définies pour la gestion des  Un responsable applicatif pour l’application.

applications. Il existe des critères  Un organigramme.

d’analyse et de performance des  Des fiches de postes et un plan d’assurance qualité pour la tierce S
applications. maintenance applicative.
 Eléments de reporting pour :

o Le suivi des tickets d’incidents permet d’analyser les


problèmes éventuels.
o Indicateurs de performances quantitatifs de volumétrie ou
de reporting des anomalies.

31
M=Manuel ou S=Système ou MS=Manuel avec support Système
32
Existence
33
eXhaustivité
34
eValuation
35
Droits et obligations
36
Présentation
37
Autorisation

Page | 151
Réf Objectif du Contrôle Description du Contrôle M/ Resp E X V D P A

Risques
du (Intervenants, Modalités du contrôle, Périodicité, Matérialisation) S31 du 32 33 34 35 36 37

Crl Crl
C2 Il existe un processus de gestion et de R1 Recherche de l’existence de : M X X
validation des demandes d’évolution. / R2  Procédures mises en place garantissent le suivi et la prise en

Les modifications font l’objet de tests. compte des demandes d’évolution et des anomalies.
La documentation relative aux  Gestion de toutes les anomalies et demandes d’évolution.

évolutions et aux procédures  Un plan de test prévu avant toute mise en production d’évolutions

utilisateurs existe. avec des tests sur un environnement de test dédié.


C3 Existence de documentation relative au R2 Recherche de l’existence de : M X X
paramétrage ainsi que des  Une documentation du paramétrage et une documentation

caractéristiques des interfaces et de la utilisateur sont mises à disposition par l’éditeur de l’application ou
documentation utilisateurs interne
C4 Restriction des droits d’accès aux R2 Recherche de l’existence de : S X X
applications  Séparation des droits d’accès

Définition de la ségrégation des tâches  Restriction de l’accès aux données des titulaires de cartes aux
seules personnes qui doivent les connaître
Suivi et validation des identifiants
 Affectation d’un identifiant unique à chaque utilisateur
génériques
 Restriction de l’accès physique aux données des titulaires de cartes.
Accès restreint
 Accès aux comptes limité à un nombre restreint d’utilisateurs.

Page | 152
Réf Objectif du Contrôle Description du Contrôle M/ Resp E X V D P A

Risques
du (Intervenants, Modalités du contrôle, Périodicité, Matérialisation) S31 du 32 33 34 35 36 37

Crl Crl
C4 Existence de procédures de protection R2/ Recherche de l’existence de : S X X X
des données clients R3  Gestion de la configuration de pare-feu pour protéger les données

des titulaires de cartes


 Protection des données des titulaires de cartes

 Protection des données de cartes stockées

 Cryptage la transmission des données des titulaires de cartes sur les

réseaux publics
 Gestion d’un programme d’analyse des vulnérabilités

 Utilisation de progiciels antivirus et mise à jour régulière

 Suivi et surveillance de tous les accès aux ressources réseau et aux

données des titulaires de cartes


 Test des processus et des systèmes de sécurité

 Gestion de la politique de sécurité des informations

Page | 153
Réf Objectif du Contrôle Description du Contrôle M/ Resp E X V D P A

Risques
du (Intervenants, Modalités du contrôle, Périodicité, Matérialisation) S31 du 32 33 34 35 36 37

Crl Crl
C5 Existence de procédures d’exploitation, R2/ Recherche de l’existence de : S X X X
de sauvegarde et d’archivage des R3  Contrôle automatique entre les virements autorisés et la

données comptabilité, contrôle sur RIB uniquement.


Existence de contrôles d’intégration et  Déversement manuel/automatique des données

de contrôle interne applicatif  Serveur indépendant.

 Procédures de sauvegarde et archivage

 Procédure de stockage et sauvegarde des données clients

C6 Existence d’un plan de secours R4 Recherche de l’existence de : M X X X


 Plan de secours

 Plan de reprise d’activité n’est réalisé.

Page | 154
Annexe 15 : Exemple de revue des Contrôles Généraux Informatiques

Nom de
Plateforme Base de données Base de données Logiciel Logiciel
l'application/pla Module d'acceptation Client Site commercial
ATOS DISTRIBUTION Plateforme comptable comptable
teforme/système
Progiciel du marché adapté aux besoins
Développement et implémentation

de l’entité pour Analyse Risque client.


Alimentation via une interface web qui
Plateforme
passe par l’intranet.
de paiement
1) Notes de scoring : critère indépendant
en ligne
de la classe de risque. Note sur 10 ainsi Plateforme Ensemble de tables Ensemble de tables
d'un
que note qualitative, sur 10 également. commerciale appartenant à site. appartenant à site. Logiciel de Logiciel de
Description prestataire
2) L’avis de risque : permettant la Effectue un clonage Effectue un clonage comptabilité comptabilit
fonctionnelle externe. Le
-1 : Nul, faible ou quasi nul connexion des clients direct des informations direct des informations site pour le é site pour
synthétique client est
- 2 : Courant, normal, moyen particuliers et des contenues dans la table contenues dans la table B2B le B2C
redirigé sur
- 3 : Important Plateforme ATOS. ATOS.
ce site pour
- 4 : Avis suspendu
régler sa
3) Détermination d’une classe de risque
commande.
par client : H : hors risque / R : risque
4) Autorisation ou demande de
compléments d’informations
Base de données SQL Server FO SQL+MS SQL SQL Server MySQL SQL Server SQL Server
Gestion des Nombre env. 60 en interne + 500000/j (trafic env. 60 en interne +
150-200 env. 100 15 20-25
utilisateurs d'utilisateurs site) 500000/j (site)
Date de mise en
FY1 FY1 FY2 FY5 FY1 FY3
production
Mise en place Projet de rénovation Projet de rénovation du Projet de rénovation du
de nouveaux Evolutions du SI afin de fusionner SI afin de fusionner les SI afin de fusionner les
systèmes Projet de développement de la fonction
prévues ou à les bases de bases de distribution et bases de distribution et
en interne
venir distribution et les les bases de la les bases de la
bases de la Plateforme. Plateforme. Plateforme.

Page | 155
Nom de Plateforme Base de données Base de données Logiciel Logiciel
Module d'acceptation Client Site commercial
l'application/plateforme/système ATOS DISTRIBUTION Plateforme comptable comptable
Lieu de Prestataire Prestataire
Prestataire externe Prestataire externe Prestataire externe Prestataire externe
stockage externe externe
Document de
XREF XREF XREF XREF XREF XREF
référence
Exploitation 14 jours de 14 jours de
Support pour 14 jours de backup en 14 jours de backup en 3jours de backup en
14 jours de backup en ligne backup en backup en
archivage ligne ligne ligne
ligne ligne
Lieu
d'archivage
Les données
font partie du
X X X X X X
plan de
sauvegarde site
Lieux de En ligne
En ligne dans les En ligne dans
stockage des En ligne dans les locaux En ligne dans les locaux En ligne dans les locaux dans les
locaux les locaux
sauvegardes locaux
Cluster + Serveur en cours de en cours de
Réplication Cluster + Serveur miroir Serveur miroir Serveur miroir
miroir déploiement déploiement
Analyse des 14 jours de 14 jours de
procédures de Support de 14 jours de backup en 14 jours de backup en 3 jours de backup en
14 jours de backup en ligne backup en backup en
sécurité sauvegardes ligne ligne ligne
ligne ligne
physique et
Archivage des
logique et Non Non Non Non Non Non
sauvegardes
traçabilité des
mise en
erreurs Tests de mise en place rythme mise en place
Quotidiens Quotidiens Quotidiens place en
restauration quotidien en cours en cours
cours
Document test
Console en ligne Console en ligne Console en ligne
de restauration
Existence plan Pas de plan Pas de plan
Pas de plan de secours Pas de plan de secours Pas de plan de secours Pas de plan de secours
de secours de secours de secours
Interruption entre 15min entre 15min
15min 15min env. 4h env. 4h
tolérée et 4h et 4h
Durée constatée 0 0 0 0 0 0

Page | 156
Annexe 16 : Démarche de l’auditeur sur le contrôle interne
de l’entreprise

Page | 157
Annexe 17 : Méthodologie de tests

Exemple : s’assurer sur la base de questions orales ou


écrites que des réunions sont bien tenues par le
management, conformément au processus documenté.
 Ce test est utilisé lorsque le risque est faible ou lorsqu’il
Entretien n’est pas possible de procéder à d’autres types de tests.
 Compléter ces entretiens généralement par d’autres types
de tests et corroborer les informations auprès de plusieurs
personnes / sources si possible.
___________________________________________
Exemple : Assister à l’inventaire physique des stocks
 Compléter ce test le cas échéant par un autre test avec une
Observation force probante plus forte
_______________________________________________
Exemple : Vérifier que les rapprochements bancaires
sélectionnés sont correctement signés.
 Ce type de test constitue généralement l’ossature de la
Inspection /
phase de tests d’efficacité conduits par les auditeurs
Examen
indépendants.
___________________________________________
Exemple : Refaire le calcul d’amortissement
Force probante  Ce type de test est souvent utilisé dans les cas où la preuve
faible du contrôle n’est pas formalisée ou dans les cas où les
risques d’erreur / de fraude sont importants.
Réexécution  Nécessite une documentation suffisamment détaillée pour
pouvoir ré-exécuter le contrôle.
 Activité chronophage (type de test à utiliser par
conséquent avec discernement).

Page | 158
Annexe 18 : Contrôles Applicatifs

DESCRIPTION SYNTHETIQUE DU PROCESSUS


PROCESSUS Acceptation client
Comptes affectés: Comptes clients, Provisions pour dépréciation des créances clients, Dotations pour dépréciation des créances clients nettes des
reprises
Objectifs du Processus : S'assurer que le risque client est correctement évalué et appréhendé lors de l'acceptation du client
Intervenants sur le Processus : Administration des ventes (ADV), Commerces

Types de transaction : transaction routine –estimation


Risques et assertions relatives :
R1 : Réalité : il existe des relations commerciales avec un client à risque ;
R2 : Exhaustivité : risque de non exhaustivité des fiches clients ;
R3 : Evaluation : les risques clients ne sont pas correctement identifiés.
Description du processus :

DOCUMENTATION DES CONTROLES


Objectif Risque Description du contrôle M/S Résultat
test
S'assurer qu'une analyse R1/R3 Contrôle de l'empreinte bancaire du client S
risque est effectuée au
préalable

S'assurer qu'une analyse R1/R3 « Scoring » des clients pour savoir s’il s'agit de clients sensibles par un outil e- M/S
Page | 159
risque est effectuée au commerce ou en interne. Dans le cadre de produits/clients sensibles, envoi au service
préalable et qu'une cotation des fraudes qui libère la commande ou demande des justificatifs au client pour valider la
risque est affectée au client commande
S'assurer qu'une mise à R17 Une révision du risque doit être assurée au moins 1 fois par mois. S
jour du risque est effectuée

DESCRIPTION SYNTHETIQUE DU PROCESSUS


PROCESSUS Livraison/Facturation
Comptes affectés: Comptes de produits (chiffre d'affaires, Comptes clients, Provisions pour dépréciation des créances clients, Dotations pour
dépréciation des créances clients nettes des reprises
Objectifs du Processus : S'assurer que le risque client est correctement évalué et appréhendé lors de l'acceptation du client
Intervenants sur le Processus : Administration des ventes (ADV), Contrôle de gestions

Types de transaction : transaction routine –estimation


Risques et assertions relatives :
R1 Réalité : les créances clients ne représentent pas des actifs réels de l'entreprise / les factures émises ne correspondent pas à des
livraisons/prestations effectuées. Des ventes sont comptabilisées sans contrepartie de sortie de stock ;
R2 Exhaustivité : risque de non exhaustivité des créances clients comptabilisées à l'actif du bilan / toutes les ventes/avoirs ne sont pas incluses dans le
compte de résultat (cut off) ;
R3 Evaluation: risque que les créances clients ne soient pas comptabilisées à leur valeur de réalisation (provisions pour dépréciation non correctement
évaluée, solvabilité du débiteur, impayés) / les ventes ne sont pas comptabilisées pour le prix contractuellement prévu (y compris les remises, rabais et
ristournes), les ventes ne sont pas comptabilisées à la bonne date (cut off).
R4 Droits et Obligations : risque que les créances ne soient pas complètement libres de privilèges, engagements ;
R5 Présentation : risque de non correcte présentation ou imputation des créances clients au bilan. Risque d'information financière non correcte ou
insuffisante / les ventes ne sont pas correctement présentées dans le compte de résultat et l'information nécessaire n'est pas fournie en annexe ;

Page | 160
Description du processus :

DOCUMENTATION DES CONTROLES


Objectif Risque Description du contrôle M/S Résultat
test
S'assurer de la correcte R1 Le système édite quotidiennement des états d'anomalies lors des commandes. Les S
identification des anomalies doivent être résolues afin de valider la sortie de marchandise dans le système
anomalies de gestion commerciale et générer la facture. La gestion des anomalies est effectuée par
la logistique.
S'assurer du correct suivi R1/R2 Les sorties de stocks sont intégrés dans le système de gestion commerciale généralement S
des sorties dans les sites de par interface (en temps réel ou « one shot »). Pour les sites non-interfacés l’intégration
chargement est effectuée manuellement.
Une validation de la quantité livrée par client est nécessaire afin que la livraison puisse
être facturée.
Le rapprochement entre la livraison et la sortie de stock du dépôt est faite par
réconciliation : Lors du chargement, la quantité à livrer donne lieu à un mouvement. Le
prestataire fait les déclarations des quantités réellement livrées. Ces quantités sont
enregistrées manuellement et donnent lieu aux mouvements de sorties du dépôt.
Les opérations sont comptabilisées automatiquement dans le système. La date de la
facture correspond à la date du bon d’expédition, sauf si on reçoit un bon d’expédition
« en retard » et que la période comptable est déjà close, auquel cas la date comptable est
égale au premier jour de la nouvelle période comptable.
Une transaction permet aux utilisateurs autorisés de traiter les commandes livrées qui
n’ont pas donné lieu à une sortie de marchandise.
S’assurer de la correcte R1/R2 Réception et enregistrement de la part du partenaire en charge de la livraison de la listes M/S
livraison des bons de livraisons signés par le client lors de la réception afin d’éviter une
contestation de la livraison.
Chaque semaine les bons de livraisons sont rapprochés des bons d’expédition. Une
transaction permet aux utilisateurs autorisés de traiter les commandes non livrées.
Page | 161
S'assurer que chaque R1/R2 1. Après rapprochement entre la sortie de stock et livraison, si la commande n'est pas M/S
livraison clients est valide, le système de gestion commerciale ne génère pas de facturation. Deux raisons
correctement facturée et possibles :
comptabilisée sur la base - La commande est incomplète (anomalie de facturation)
d'une commande valide - La commande a été bloquée volontairement par le commerce (commande
bloquée)
Deux reportings – un reporting pour les anomalies de facturation et un deuxième
reporting pour les commandes bloquées -, sont édités par l'ADV afin de mettre en
évidence les livraisons non facturées ainsi que le retard correspondant. Ces deux
reportings sont envoyés aux commerces.
2. Dans les cas où la facture se génère normalement, mais ne se comptabilise pas, il y a
anomalie de comptabilisation. Les anomalies de comptabilisation sont identifiées par
le système et débloquées par l'ADV.
S'assurer que la facturation R3 1. Les prix sont contrôlés avant d'être intégrés dans le système ; S
est effectuée 2. Le prix est généré directement par le système;
conformément au prix et 3. Les quantités sont reprises par le système de gestion commerciale sur la base des
aux quantités contractuels livraisons correspondantes à la commande.
et à la bonne date 4. La date de la facture est la date de livraison (paramétrage du système) sauf pour les
factures émises dans la période comptable ne correspondant pas à la période de
livraison (dans ce cas la date de la facture est automatiquement celle du 1° jour du
M+1).
S’assurer du correct R1/R5 1. Rapprochement Chiffre d’affaires site / Chiffre d’affaires banque quotidien M
déversement en 2. Réconciliation par la comptabilité entre les relevés et les informations transmises par
comptabilité le site.
3. Rapprochement mensuel CA comptable / CA gestion
Contrôler les modifications Fraude Deux états mensuels permettent d'identifier la liste des commandes créées t ou modifiées S
manuelles de commandes manuellement par utilisateur.

Page | 162
DESCRIPTION SYNTHETIQUE DU PROCESSUS
PROCESSUS : Encaissements clients par moyens de paiement
Comptes affectés: Comptes de trésorerie, comptes clients
Objectifs du Processus : Encaisser et imputer des règlements reçus de la part des tiers
Intervenants sur le Processus : Trésorerie

Types de transaction : transaction routine –estimation


Risques et assertions relatives :
R1 Réalité: des débits des comptes 512 pourraient être comptabilisés sans contrepartie de règlement;
R2 Exhaustivité: non comptabilisation des règlements lors de leur réception;
R3 Réalité: risque de non correspondance entre le montant du règlement reçu et le montant comptabilisé, risque de double comptabilisation du
règlement reçu, risque de mauvaise affectation du règlement;
R4 Présentation: non-respect de la séparation des exercices;
R5 Evaluation: les règlements en devises ne sont pas comptabilisés au bon taux de conversion;
Description du processus :

DOCUMENTATION DES CONTROLES


Objectif Risque Description du contrôle M/S Résultat
test
Règlement de la R1 Contrôle du partenaire bancaire pour le paiement (carte bancaire valide, solvabilité du S
commande client....)

Page | 163
S'assurer de la correcte R1/R2/ 1. Le système comptable effectue un contrôle automatique de l'intégration des écritures M/S
intégration des flux R3/R4 bancaires dans la comptabilité à la bonne date comptable. Un état de contrôle est
bancaires dans les comptes édité par le système.
512 La trésorerie ne peut pas intervenir dans les comptes 512, ils ne peuvent être
mouvementés que par des écritures bancaires (le système permet également de
comptabiliser manuellement un relevé de compte bancaire, transaction spéciale pour
des personnes habilitées).
2. Par ailleurs, la correcte intégration des écritures bancaires est vérifiée par le
rapprochement entre le solde du compte 512 et le solde bancaire correspondant.

S'assurer que tous les R1/R2/ La réception des chèques est centralisée par l'utilisation d'une boîte postale (limitation M/S
chèques sont reçus et remis R3 du risque de perte des chèques) au département trésorerie.
en banque Le scanning du chèque implique une empreinte sur le dos du chèque. Dans le cas de
double passage, le système assure une alerte et n'effectue pas le scanning ;
Ce contrôle peut être effectué manuellement
S'assurer de la correcte R1/R2 Le système reconnaît automatiquement les règlements grâce à la lecture du code S
identification des bancaire et les affecte directement aux commandes
règlements et de leur Par ailleurs, les règlements clients sont regroupés sur une banque ce qui permet un
affectation meilleur suivi.
S'assurer de la correcte R2/R3 Le système comptable effectue un lettrage automatique si le n° de facture est renseigné S
affectation et lettrage des et si le montant de la facture correspond (selon un seuil de tolérance).
règlements. R3 Le système comptable propose une affectation dans un compte client, quand le nom de M/S
celui-ci est libellé dans le règlement reçu ou laisse le montant du règlement non identifié
en 4113.
S'assurer de la correcte R3 Le compte 4113 est remis à zéro tous les jours avec contrepartie un autre compte S/M
affectation des règlements d'attente.
reçus, de leur La traçabilité des écritures comptables, assure que le compte clients ne puisse pas être
comptabilisation et la soldé par des mouvements non générés par des écritures bancaires.
détection d'anomalies.

Page | 164
S'assurer que les virements R3/R5 Le paramétrage du système comptable assure: S
en devises sont convertis - la reconnaissance du montant en devise;
au bon taux. - la conversion au taux du jour (base de taux alimentée automatiquement ou
manuellement);
- lettrage de la facture en devise;
- calcul et comptabilisation de l'écart de change lié au lettrage.
S’assurer de l’exactitude R1 Le département Trésorerie contrôle quotidiennement la complète intégration des M
des écritures bancaires écritures bancaires et s’assure du rapprochement dans les comptes intermédiaires de
(rapprochement des banque.
comptes intermédiaires) Un éventuel écart entre les montants passés en banque et les montants comptabilisés est
mis en évidence par le non rapprochement de l’écriture bancaire.
A chaque arrêté mensuel, le département Trésorerie effectue un contrôle des écritures
non rapprochées de ces comptes.

DESCRIPTION SYNTHETIQUE DU PROCESSUS


PROCESSUS : Gestion des impayés (fraude ou règlement en plusieurs fois sans frais)
Comptes affectés: Comptes clients, Provision pour dépréciation des créances clients, dotation aux provisions pour dépréciation des comptes
clients
Objectifs du Processus : S'assurer de la correcte évaluation des créances clients et la correcte comptabilisation de la provision pour dépréciation
correspondante
Intervenants sur le Processus : Administration des Ventes, (ADV), Commerce Général, Direction Juridique, Trésorerie

Types de transaction : transaction routine –estimation

Page | 165
Risques et assertions relatives :
R1 Evaluation: risque que les créances clients ne soient pas comptabilisées à leur valeur de réalisation (provisions pour dépréciation non correctement
évaluée, insolvabilité du débiteur, impayés) ;
R2 Droits et Obligations : risque que les créances ne soient pas complètement libres de privilèges, engagements ;
R3 Présentation : risque de non correcte présentation ou imputation des créances clients au bilan. Risque d'information financière non correcte ou
insuffisante.
Description du processus :

DOCUMENTATION DES CONTROLES


Objectif Risque Description du contrôle M/S Résultat
test
S'assurer du respect des R1/R2 S’assurer de la mise en place du prélèvement des échéances S
délais de paiement clients
lors du règlement en En cas de rejet du règlement, sur la base des critères renseignés dans la fiche client, des M/S
plusieurs fois relances sont régulièrement effectuées par le système (édition automatique des lettres de
relance pour le client).
Le suivi des retards de paiement est effectué par l'ADV : analyse de la balance âgée,
suivi de l'échu, reporting du découvert clients. exploitant les données clients et est
envoyé mensuellement aux commerces.
Il existe 2 procédures de relance :
- la relance avant la date d’échéance, (il s’agit plutôt ici de rappel avant échéance)
dite relance pro-active : un outil interne qui permet de gérer la relance client
avant la date d’échéance.
- la relance après échéance. La gestion de la relance est effectuée en interne ou par
une société de recouvrement. Un paramétrage du type de relance est géré en
fonction de la classe de risque du client. Il y a au maximum 3 relances
automatiques avant mise en demeure.

Page | 166
L’ensemble des outils de gestion client doit être regroupés au sein du service
recouvrement qui permet des relances individuelles ciblées. L’agenda regroupe les
fonctions suivantes :
- Gestion des impayés
- Alert Management
- Mise en demeure
- Relance Téléphonique
- Calcul des intérêts de retard
- Passage au contentieux

S’assurer du règlement lors R1/R2 Le partenaire bancaire fournit quotidiennement l’état des impayés. M/S
d’un rejet de règlement En cas de rejet du règlement, présentation à nouveaux du montant pendant une semaine.
En cas de rejet définitif, sur la base des critères renseignés dans la fiche client, des
relances sont régulièrement effectuées par le système (édition automatique des lettres de
relance pour le client). Le processus est le même que celui du contrôle précédant.
S'assurer de la correcte R3 En cas d'impayé, lors du débit du montant de la part de la banque, le logiciel comptable
gestion des impayés clients le comptabilise dans un compte 413
La trésorerie reçoit le retour du chèque de la banque et le transmet à l'ADV.
S'assurer du calcul des R1/R3 Chaque clôture, la comptabilité calcule à partir d’une extraction de données clients une M
provisions pour clients provision statistique client ;
douteux Ce calcul et la comptabilisation de l’écriture associée sont contrôlés par le responsable
du service.
S'assurer de la correcte R3 ADV transmet à chaque clôture le tableau récapitulatif des provisions pour clients M
comptabilisation de la douteux à la comptabilité.
provision pour clients La comptabilité contrôle la comptabilisation du montant total des provisions.
douteux Ce contrôle est matérialisé par le visa du responsable du service.

Page | 167
DESCRIPTION SYNTHETIQUE DU PROCESSUS
PROCESSUS : Gestion des remboursements client (retour suite à rétractation ou mise en jeu de la garantie
Comptes affectés: Comptes clients, Provision pour Rétractation/retour/Garanties, dotation aux provisions pour Rétractation/Retour/Garanties
Objectifs du Processus : S'assurer de la correcte évaluation des créances clients et la correcte comptabilisation de la provision pour dépréciation
correspondante
Intervenants sur le Processus : Administration des Ventes, (ADV), Direction Juridique, Comptabilité

Types de transaction : estimation


Risques et assertions relatives :
R1 Réalité : Objet du risque couvert imprécis ; Appréciation erronée du fait générateur ;
R2 Exhaustivité : Inventaire des risques et litiges non exhaustif, comptabilisation partielle des risques identifiés, retranscription comptable des
opérations patrimoniales non exhaustive;
R3 Evaluation: Sous/surévaluation des risques;
R14 Présentations : Information financière (états financiers et annexes) insuffisante ou erronée, principes de comptabilisation non constants dans le
temps ;
R5 Droits et Obligations : Non-respect des lois et règlements applicables, absence ou erreur concernant les droits et obligations sur le droit
commercial;
Description du processus :

DOCUMENTATION DES CONTROLES


Objectif Risque Description du contrôle M/S Résultat
test
S'assurer que l’exhaustivité R1/R2/ Tout avoir émis doit être approuvé par une personne habilitée. L’émission d’avoir M
des avoirs pour retours sont R3/R4 manuel reste exceptionnelle (conditions précises).

Page | 168
identifiés, suivis et évalués R1/R2/ Tous les avoirs sont rapprochés, pour les quantités, des quantités retournées ou
par la direction comptable, R3/R4/ litigieuses, et pour le prix à celui figurant sur la facture initiale. Ils sont calculés
et correctement R5 automatiquement par le système de gestion commerciale à partir de la commande
documentés initiale.
La comptabilisation des avoirs est automatique (dès leur émission). Le contrôle de
gestion doit effectuer à chaque clôture une revue de la nature des retours
Chaque clôture, la comptabilité calcule à partir d’une extraction de données statistiques S
historiques « retours » une provision statistique pour retour pour les retours pouvant
concerner la période suivante ;
Ce calcul et la comptabilisation de l’écriture associée sont contrôlés par le responsable
du service.
S'assurer que l’exhaustivité R1/R2/ Chaque clôture, la comptabilité calcule à partir d’une extraction de données statistiques S
de la provision pour mise R3/R4 historiques « mise en jeu de la garantie » une provision statistique pour garantie pour les
en jeu de la garantie garanties pouvant concerner la période suivante ;
Ce calcul et la comptabilisation de l’écriture associée sont contrôlés par le responsable
du service.

S'assurer que l’exhaustivité R1/R2/ Chaque clôture, la comptabilité calcule à partir d’une extraction de données statistiques S
de la provision pour R3/R4 historiques « rétractation » une provision statistique pour rétractation pour les
rétractation rétractations pouvant concerner la période suivante ;
Ce calcul et la comptabilisation de l’écriture associée sont contrôlés par le responsable
du service.

Page | 169
Annexe 19 : Exemple de Contrôles Applicatifs

 Contrôle n°1 : Prise d'empreinte des informations de paiement par ATOS


 Description du contrôle : Contrôle ATOS de l'empreinte bancaire du

client
 Type de contrôles : automatique

 Fréquence : 30 tests

 Conclusion : satisfaisant

 Contrôle n°2 : « Scoring » Client


 Description du contrôle : « Scoring » des clients pour savoir s’il s'agit de

clients sensibles par un outil e-commerce. Dans le cadre de


produits/clients sensibles, envoi au service des fraudes qui libère la
commande ou demande des justificatifs au client pour valider la
commande
 Type de contrôles : automatique et manuel

 Fréquence : 30 tests

 Conclusion : satisfaisant

 Contrôle n°3 : Paiement de la commande


 Description du contrôle : Contrôle ATOS pour le paiement (carte bancaire

valide, solvabilité du client....)


 Type de contrôles : automatique

 Fréquence : 30 tests

 Conclusion : satisfaisant

 Contrôle n°4 : Traitement de la commande par les marchands et la logistique e-


commerce
 Description du contrôle : Contrôle par e-commerce du paiement de la

commande de la présence de stock, envoi d'un ordre de préparation à la


logistique externe qui exécute. Puis remontée de l'information de sa part
vers le service des commandes afin de valider l'envoi correct.
 Type de contrôles : automatique

 Fréquence : 30 tests

 Conclusion : satisfaisant

Page | 170
 Contrôle n°5 : Fiabilisation du back office
 Description du contrôle : Comparaison entre les informations ATOS et les

informations e-commerce faite sur la base : d'une clé unique (numéro de


transaction, numéro de marchand, date origine), de la nature de la
transaction et du montant.
 Type de contrôles : automatique

 Fréquence : 30 tests

 Conclusion : Nous avons identifié des modifications du côté du service

client avec des paiements faits par le service client sur le back office
ATOS. Contrôle compensatoire satisfaisant : informations ATOS vers e-
commerce via ces fichiers.

 Contrôle n°6 : Réconciliation Chiffre d’Affaires


 Description du contrôle : Rapprochement Chiffre d’affaires site (ATOS) /

Chiffre d’affaires banque quotidien


 Type de contrôles : manuel

 Fréquence : 10 tests

 Conclusion : Des écarts ont été observés. L’analyse des écarts résiduels

(0,02%) est inférieure à 1% du fait d’effets de bornes (date de


valeurs).Contrôle satisfaisant

 Contrôle n°7 : Export en comptabilité


 Description du contrôle : Réconciliation par la comptabilité entre les

relevés et les informations transmises par le site.


 Type de contrôles : manuel

 Fréquence : 2 tests (dont décembre)

 Conclusion : satisfaisant sous réserve de la procédure de « roll forward »

 Contrôle n°8 : Réconciliation Comptabilité / Gestion


 Description du contrôle : Rapprochement mensuel CA comptable / CA

gestion
 Type de contrôles : manuel

 Fréquence : 2 tests (dont décembre)

 Conclusion : satisfaisant sous réserve de la procédure de « roll forward »

Page | 171
 Contrôle n°9 : Séparation des tâches
 Description du contrôle : Revue des procédures de cut off

 Type de contrôles : manuel

 Fréquence : 2 tests (dont décembre)

 Conclusion : satisfaisant sous réserve de la procédure de « roll forward »

Page | 172
Annexe 20 : Procédures substantives

PROCESSUS Chiffre d’affaires


Comptes affectés: chiffre d'affaires
Intervenants sur le Processus : Contrôle de gestions
Objectif et assertions relatives :
R1 Réalité : Toutes les ventes incluses dans le compte de résultat correspondent à des livraisons de marchandises ou à des prestations de services à
titre onéreux, intervenues au cours de l'exercice. Tous les autres produits inclus dans le compte de résultat de l'exercice sont acquis par l'entreprise à la
date de clôture. Les produits correspondant aux exercices futurs ont été différés
R2 Exhaustivité : Toutes les ventes et tous les autres produits acquis par l'entreprise au cours de l'exercice sont inclus dans le compte de résultat;
R3 Evaluation: Les ventes et autres produits sont inclus dans le compte de résultat pour un montant approprié
R4 Droits et Obligations : risque que les créances ne soient pas complètement libres de privilèges, engagements ;
R5 Présentation : Les ventes et autres produits sont correctement présentés, imputés et décrits dans les comptes annuels, y compris dans l'annexe,
conformément aux principes comptables généralement admis, appliqués de façon constante;
DOCUMENTATION DES PROCEDURES
Procédure Assertion Description du test Résultat test
Revue analytique des R1/R2/R3  Comparer les ventes avec celles prévues au budget et avec celles des exercices
ventes précédents, par lignes de produit ou par zones géographiques.
 Comparer le volume des ventes avec les données du secteur, en total ou par zone
géographique (par exemple, exportations).
 Comparer les ratios de marge brute avec ceux des exercices précédents, par lignes de
produit ou par zones géographiques (par exemple, exportations) ; comparer d'autres ratios
relatifs à l'exploitation (par exemple, ventes et coût des ventes par rapport aux quantités
expédiées) avec ceux des exercices précédents.
 Comparer les ventes des quelques jours précédant et suivant la clôture avec la moyenne
Page | 173
des ventes journalières de l'année.
 Revoir les rapports entre ventes et coût des ventes, tels qu'analyses de marge brute,
comparaisons entre coûts standard et coûts réels, et rapprochements entre coût des ventes
et expéditions.
 Revoir les rapports entre certains types de charges et les ventes (par exemple, transports
sur ventes avec quantités facturées, bonus sur ventes avec ventes).
 Rapprocher le volume des ventes au comptant avec celui des exercices précédents.
Enquêter sur tout changement inattendu ou l'absence de changements attendus.
 Revoir la marge brute des ventes au comptant et la comparer avec celle des exercices
précédents.

DESCRIPTION SYNTHETIQUE DU PROCESSUS


PROCESSUS : Encaissements clients par moyens de paiement
Comptes affectés: Comptes de trésorerie, comptes clients
Intervenants sur le Processus : Comptabilité, Administration des ventes
Objectifs et assertions relatives :
R1 Réalité: des débits des comptes 512 pourraient être comptabilisés sans contrepartie de règlement;
R2 Exhaustivité: non comptabilisation des règlements lors de leur réception;
R3 Réalité: risque de non correspondance entre le montant du règlement reçu et le montant comptabilisé, risque de double comptabilisation du
règlement reçu, risque de mauvaise affectation du règlement;
R4 Présentation: non-respect de la séparation des exercices;
DOCUMENTATION DES PROCEDURES
Procédure Assertion Description du test Résultat test
Rapprochement du R1/R2/R3  Rapprochement du chiffre d’affaires issu de la gestion commerciale avec les données
Chiffre d’Affaires annuel issues des différents moyens de paiement.

Page | 174
Investiguer les éventuelles écritures en rapprochement

 Rapprochement du chiffre d’affaires comptable avec le chiffre d’affaire issu du logiciel


de gestion commerciale.
Revue des écritures de « R2/R4  Rapprochement des factures, bons d'expédition, et autres documents justificatifs le jour et
cut-off » significatives – le lendemain de la date de clôture, et vérifier que les opérations ont été comptabilisées sur
manuelles et le bon exercice.
automatiques  Investiguer les montants significatifs
Revue analytique des R2  Comparer par rapport aux exercices précédents les créances clients en pourcentage du
comptes clients chiffre d'affaires, et apprécier le caractère raisonnable du pourcentage de l'exercice en
fonction des conditions économiques actuelles, des politiques de crédit, du caractère
recouvrable, etc…
Revue analytique des R2  Procéder à une Revue analytique des comptes clients significatifs
comptes clients
significatifs

DESCRIPTION SYNTHETIQUE DU PROCESSUS


PROCESSUS : Gestion des impayés (fraude ou règlement en plusieurs fois sans frais)
Comptes affectés: Comptes clients, Provision pour dépréciation des créances clients, dotation aux provisions pour dépréciation des comptes clients
Intervenants sur le Processus : Comptabilité, Direction Juridique, Trésorerie
Objectifs et assertions relatives :
R1 Evaluation: risque que les créances clients ne soient pas comptabilisées à leur valeur de réalisation (provisions pour dépréciation non correctement
évaluée, insolvabilité du débiteur, impayés) ;
R2 Droits et Obligations : risque que les créances ne soient pas complètement libres de privilèges, engagements ;
R3 Présentation : risque de non correcte présentation ou imputation des créances clients au bilan. Risque d'information financière non correcte ou
insuffisante.

Page | 175
DOCUMENTATION DES PROCEDURES
Procédure Assertion Description du test Résultat test
Revue analytique des R1/R2  Comparer par rapport aux exercices précédents, en pourcentage des comptes clients et
créances douteuses des ventes, les comptes passés en pertes, la dotation à la provision pour dépréciation et la
provision pour dépréciation des créances clients. Apprécier la tendance en fonction des
conditions économiques actuelles.
Revue de la dépréciation R1/R2/R3  analyser historique du caractère recouvrable des catégories de ventes (comptant ou en
des comptes clients plusieurs fois),
 analyser l’approche statistique adoptée par son client afin de déprécier les créances
douteuses sur les clients particuliers.
 recalculer la provision statistique
Revue des pertes R1/R3  Valider la pertinence des principes retenus concernant les dotations aux provisions pour
irrécouvrables clients douteux et le passage en pertes des créances irrécouvrables.
Revue du Taux Bilatéral R1  revoir le calcul réalisé en fin d’année afin de s’assurer de l’exactitude de la provision du
des Transactions montant à payer/à recevoir
Bloquées

DESCRIPTION SYNTHETIQUE DU PROCESSUS


PROCESSUS : Gestion des remboursements client (Rétractation, Retour, Garanties)
Comptes affectés: Comptes clients, Provision pour Rétractation/retour/Garanties, dotation aux provisions pour Rétractation/Retour/Garanties
Intervenants sur le Processus : Administration des Ventes, (ADV), Direction Juridique, Comptabilité
Objectifs et assertions relatives :
R1 Réalité : Objet du risque couvert imprécis ; Appréciation erronée du fait générateur ;
R2 Exhaustivité : Inventaire des risques et litiges non exhaustif, comptabilisation partielle des risques identifiés, retranscription comptable des
opérations patrimoniales non exhaustive;
R3 Evaluation: Sous/surévaluation des risques;

Page | 176
DOCUMENTATION DES PROCEDURES
Procédure Assertion Description du test Résultat test
Revue analytique des R1/R2/R3  Comparer les retours sur ventes de l'exercice par catégories et les provisions pour retours
retours sur ventes sur ventes, en pourcentage des ventes par lignes de produit, avec ceux des exercices
(Rétractation/Retour/Gar précédents. Expliquer les variations significatives.
anties)  Comparer le nombre et les montants des avoirs par catégories émis avec ceux des
exercices précédents.
Revue de la provision R1/R2/R3  Déterminer les conditions de retour de marchandises accordées aux clients dans le cadre
pour retours sur ventes des conditions générales de vente ou en fonction des usages commerciaux.
 Examiner les mouvements des provisions pour retours intervenus au cours de l'exercice
 obtenir l'historique des retours sur une période relativement longue afin de calculer le
taux statistique de retour.
o Prise en compte les éléments qui pourraient modifier la base d’analyse :
 en examinant l'activité postérieure à la date de clôture des comptes ;
 en se renseignant sur les nouveaux produits et les changements
significatifs dans les produits existant sur la période concernée ;
 en se renseignant sur les problèmes de production ou de contrôle qualité
significatifs intervenus pendant l'année.
 Evaluer le caractère adéquat des provisions, pour retours à la date de clôture
o Le montant de la provision doit être égal à la marge réalisée par la société sur
les produits retournés et le cas échéant sur les coûts de remise en état du
produit pour la remise en stock éventuelle.
o Une fois la marge déterminée par catégorie de produits éligible à un retour,
l’auditeur doit appliquer le taux utilisé.
Revue de la provision R1/R2/R3  Déterminer les conditions de garanties accordées aux clients dans le cadre des conditions
pour garanties générales de vente ou en fonction des usages commerciaux.
 Examiner les mouvements des provisions pour garanties intervenus au cours de l'exercice
 obtenir l'historique des retours sur une période relativement longue afin de calculer le
taux statistique de retour pour garanties.
o Prise en compte les éléments qui pourraient modifier la base d’analyse :
Page | 177
 en examinant l'activité postérieure à la date de clôture des comptes ;
 en se renseignant sur les nouveaux produits et les changements
significatifs dans les produits existant sur la période concernée ;
 en se renseignant sur les problèmes de production ou de contrôle qualité
significatifs intervenus pendant l'année.
 Evaluer le caractère adéquat des provisions pour retour pour garanties à la date de clôture
o Le montant de la provision doit être égal à la marge réalisée par la société sur
les produits retournés et le cas échéant sur les coûts de remise en état du
produit pour la remise en stock éventuelle.
o Une fois la marge déterminée par catégorie de produits éligible à une garantie,
l’auditeur doit appliquer le taux utilisé.
Revue de la provision R1/R2/R3  Examiner les mouvements des provisions pour rétractations intervenus au cours de
pour rétractations l'exercice
 obtenir l'historique des rétractations sur une période relativement longue afin de calculer
le taux statistique de rétractations.
o Prise en compte les éléments qui pourraient modifier la base d’analyse :
 en examinant l'activité postérieure à la date de clôture des comptes ;
 en se renseignant sur les nouveaux produits et les changements
significatifs dans les produits existant sur la période concernée ;
 en se renseignant sur les problèmes de production ou de contrôle qualité
significatifs intervenus pendant l'année.
 Evaluer le caractère adéquat des provisions pour rétractations à la date de clôture
o Le montant de la provision doit être égal à la marge réalisée par la société sur
les produits retournés et le cas échéant sur les coûts de remise en état du
produit pour la remise en stock éventuelle.
o Une fois la marge déterminée par catégorie de produits éligible à une
rétractation, l’auditeur doit appliquer le taux utilisé.

Page | 178
Annexe 21 : Revue analytique des comptes clients

Explication de
l'évolution par
Libellé Descriptif du compte
rapport à l'exercice
N-1
La variation doit être
Contre en ligne avec
411 Règlements clients effectués au moment de la livraison.
remboursements l'évolution de
l’activité.
Encours départ fournisseurs : les cartes de paiement des
clients ne sont pas débitées tout de suite pour les articles
n’étant pas en stock, il y a un certain délai de livraison de
la part de fournisseur ; pendant cette période, la carte du
Clients cartes client n’est pas débitée.
411
paiement
Entrée en rétention : lorsque la société effectue elle-
même des tests de fraude sur les paiements par carte, les
analyses non effectuées à un instant « T » peuvent être en
rétention.
La variation peut
Compte PayPal ayant en moyenne 3/4 jours de créances. dépendre du jour de
411 Clients PAYPAL
Compte géré par PayPal, qui prend une commission. clôture (week-end ou
semaine)
Il s’agit des paiements à crédit avec un partenaire
financier. Ce dernier finance la société. Chaque jour, un La variation peut
Clients cartes bilan de l’ensemble des transactions affectant ce type de dépendre du jour de
411
« site » financement est effectué et permet donc de définir la clôture (week-end ou
« collecte » du jour. Ce montant est ensuite transmis au semaine).
partenaire pour règlement
La variation peut
Clients douteux Les créances clients sont provisionnées selon leur s'expliquer par un
416
/litigieux échéance. changement de
méthode.
416 douteux chèques
Il s'agit d'un compte de transfert des douteux vers une
416 Mandats douteux
société de recouvrement.
Paiements différés à savoir les paiements effectués à la
commande pour lesquels les colis ne sont pas disponibles
Rétention
419 (épuisement des stocks…), c’est un compte d’avances et
paiements clients
d’acomptes. Traditionnellement l’antériorité de ce dernier
ne peut excéder un certain délai.
Dettes de la société envers certains clients. Les
Réclamation
419 remboursements ne sont pas affectés tant que les
clients
montants ne sont pas réclamés par ces clients.
Ce compte correspond à l'ensemble des provisions
Provision
491 passées sur les créances clients ainsi que des provisions
comptes clients
statistiques lorsqu'elles sont appliquées.

Page | 179
Annexe 22 : Provision Retours

<Objectif>
S’assurer que la provision retour est correctement évaluée au 31 décembre N.

<Travaux réalisés>
1. Description de la provision retour
2. Réconciliation Provision avec détail
3. Calcul de la provision refusés / retournés / échangés
4. Calcul provision pour frais de liquidation
5. Calcul provision pour frais de traitements
6. Calcul provision pour frais de ports sur colis retournés
7. Estimation global de la provision retours

<Résultats>
1- Description de la provision retour
 Objectif de la provision retour
La provision statistique retour vise à annuler la marge dégagée sur des ventes
réalisées en fin de période, qui présentent un risque probable d’être retournées en
début de période suivante. Ainsi au 31 décembre N, la provision retour vise à annuler
la marge dégagée sur les ventes de décembre N qui feront l’objet d’un retour sur
janvier N+1 et après.

 La provision retour comprend :


 Provision pour articles refusés / retournés : articles mis à disposition du
client et non retirés ou articles reçus par les clients et retournés,
 Provision pour articles échangés : articles rendus par le client et ayant fait
l’objet d’une nouvelle commande sur un autre article d’une autre famille et
qui sera à nouveau rendu sans échange : représente 25% des retours échanges,
 Provision pour frais de liquidation : cf point 4
 Provision pour frais de traitements : correspond au frais sur le traitement des
retours,
 Provision sur transport retour

Page | 180
2- Réconciliation Provision Retour avec le détail
La provision pour retour est essentiellement composée de la provision pour perte de
marge : 2,85 m€ contre 3 m€ en N-1 soit un impact à la baisse de 0,15 M€.
m€ 31/12/N 31/12/N-1 Var % Notes
Provision pour perte de marge 2,85 3,0 (0,15) -6% 1
Provision pour frais de
liquidation 0,1 0,2 (0,1) -41%
Provision pour frais de
traitement 0,5 0,7 (0,2) -22%
Provision pour colis retournés 0,1 0,2 (0,0) -22%
Total frais de traitement 0,8 1,1 (0,3) -27%
Total 3,6 4,1 (0,5) -12%

1 La baisse s’explique essentiellement par 6 effets :


- l’augmentation du CA retourné sur la période, pour un impact sur la provision
de -0,4 M€
- la hausse du taux de marge sur marchandise passant de 40,7 % à 44,2 % pour
un impact de + 0,2 M€
- la baisse du taux d’échange passant de 5,8 % à 5,6 %, n’ayant pas d’impact
significatif sur la provision
- la variation du délai moyen sur la période ayant un impact de -0,1M€ au 31
décembre N (baisse de moins d’un jour).
- la variation du taux de retour sur la période ayant un impact de 0,1M€
- La variation des frais de dédommagement n’ayant pas d’impact sur la
provision.
On note que le délai moyen de retour reste stable à 20 jours au 31 décembre N contre
21 jours au 31 décembre N-1.

30,0 Evolution délai Retours - Janvier N-2/Décembre N

25,0
20,0
15,0
10,0
5,0
en Jours

-
janv.

nov.
janv.

nov.
janv.

nov.
sept.

sept.

sept.
mars

mars

mars
juil.

juil.

juil.
mai

mai

mai

Page | 181
La provision pour retour comprend la perte de marge engendrée sur les retours, refus,
et échanges sur des articles d’autres familles. De plus, elle inclut les frais de
traitements, de réclamations et de correspondance afférents à ces retours.
Les autres provisions n’appellent pas de commentaire particulier de notre part.

3- Calcul de la provision articles refusés / retournés / échangés


 Détermination des bases
Pour déterminer la provision pour article refusés, retournés et échangés les éléments
suivants sont calculés :
 Taux moyen de retour, refus

(Retours + refus + remboursement anticipé 1er semestre N) / CA 1er semestre N. Ce


taux s’établit sur le 1er semestre N à 19,31%

Evolution du taux de Retours - Janvier N-1/Décembre N


20,00%
19,55%
19,50% 19,31%

19,00%
18,84%
18,50%
18,19% 18,16%
18,00%

17,50%

17,00%
juil.

juil.
avr.

avr.
févr.

sept.

févr.

sept.
mars

mars
mai

mai
oct.
nov.

oct.
nov.
août

août
janv.

déc.
janv.

déc.
juin

juin

Taux relativement stable vs 31 décembre N-1 (+1.15 point).


 Assiette : CA soumis à taux moyen de retour.

Le calcul du délai est calculé sur 3 mois glissants. Ce délai moyen n’est pas pondéré
par la valeur du retour et prend également en compte les retours anticipés constatés
sur les ventes réalisées. Le délai pris en compte au 31 décembre N s’élève ainsi à
19,78 jours.
=> Nous avons réalisé une revue de la pondération, le délai est surévalué de 1,34
journée, nous avons tenu compte de ce délai dans le cadre de l’estimation de la
provision retours.

Page | 182
Délai x colis Nbre colis Délai Pondération
Refusés 4 520 271 186 803 24,20 4,36
Retours 1 621 394 56 534 28,68 1,57
Echangés 113 461 4 464 25,42 0,11
Rembt Anticipé 12 842 332 787 982 16,30 12,40
Total 19 097 458 1 035 783 18,44
Client 19,78
Ecart -1,34

 Part des échanges dans les retours / refus / échanges

Statistiquement, il est estimé que 5,6 % des échanges vont donner lieu à un échange.
Ce taux est cohérent avec le suivi communiqué par le client. En effet, les échanges de
N s’élèvent à 4 640 K€ contre un global retourné (Retours, Echanges, Refusés) de 85
250 K€, soit 6,1 % (écart 0,5% NS).
Ainsi au 31 décembre N, le client a ainsi estimé que :
 398 K€ de ventes feront l’objet d’un échange, sur la base d’un taux à 5,6 %

 6 716 K€ de ventes feront l’objet d’un retour ou d’un refus sec

 Détermination de la provision Retours et Refusés


Le montant des ventes faisant l’objet d’un retour ou d’un refus sont ramenés en HT,
soit au 31 décembre N : 6 716 K€ / 1,2 = 5 596 K€.
Le taux de marge estimé s’établit à 46,20 % (taux communiqué par le contrôle de
gestion) => Marge sur les ventes annulées (46,20 % x 5 596 K€) est de 2 585 K€ (1)

 Détermination de la provision pour Echange


Statistiquement, il est estimé que 25% des retours échangés sur décembre N vont
donner lieu à un retour sec sur janvier N+1. Ainsi, la marge sur uniquement 25% du
flux des échanges est à annuler.
Suite à entretien avec le contrôle de gestion, nous comprenons qu’aucune mise à jour
de ce taux n’est intervenue depuis 2 ans. Le taux de marge estimé s’établit à 46,20 %.
La provision pour échange est donc de : 46,20 % x 398 x 25% / 1,2 = 38 K€ (2)

 Provision dédommagements clients


La provision dédommagements clients correspond aux promotions non déduites des
factures clients et qui seront réclamées par la suite par les clients. Cette provision

Page | 183
s’établit au 31 décembre N à 226 K€ HT (3). Cette donnée est issue des données
réelles du mois de décembre N.

Synthèse Annulation de marge - ajustement


En K€
Provision pour Retour / Refus 2 585 1
Provision pour dédommagements
clients 226 3
Provisions pour échanges 38 2

Total 2 850

4) Calcul de la provision pour frais de liquidation : 124 K€ contre 219 K€ au


31/12/N-1
Il est estimé qu’une partie des retours / refus et échanges ne pourront plus faire
l’objet de nouvelles ventes à prix fort et seront vendus en Second Choix… Ainsi à
partir du CA des Retours / Refus / Echange le prix d’achat est déterminé.
Au 31 décembre N, il correspond à :
Retour Refusés :
6 716 K€ TTC, soit 5 596 K€ HT auquel on applique la part de CA du client (94,9
%) =>5 596 x 94,9 % x (1- 46,20 %) = 2 857 K€ (A)
Échange :
398 K€ TTC, soit 331 K€ HT auquel on applique la part de CA du client => 331 x
94,9 % x (1- 46,20 %) = 179 K€ (B)

Ainsi on obtient un total en prix d’achat de 3 036 K€ (A+B) auquel on va appliquer


le taux de perte statistique déterminé par le contrôle de gestion et qui s’élève à 4,1%
au 31 décembre N (contre 4.37 % au 31 décembre N-1) => 4,1 % x 3 037 K€ = 124
K€

5) Calcul de la provision pour frais de traitements 496 K€


Les frais de traitements des retours / refus et échanges sont également provisionnés.
Cette provision comprend :
 Une provision Service Retour : 356 K€ contre 485 K€ au 31/12/N-1

Coût de traitement, de saisie, de mise à jour des stocks, et de remboursements clients.


Elle est déterminée par la quantité de retours prévisionnel x coût de revient.

Page | 184
 Une provision de traitement Service Relation Clientèle : 140 K€ contre 158 K€
au 31/12/N-1

 Provision Appel Sans Commande pour 48 K€ : liée au traitement


téléphonique des réclamations: Quantités prévisionnelles * coût de revient

 Provision sur réclamations pour 192 K€: coût du traitement des réclamations
écrites des clients. Cette provision est déterminée par la quantité de
réclamations prévisionnelles (service marketing) * coût de revient.

6) Calcul de la provision sur les frais de ports sur colis retournés


Cette provision est déterminée comme suit : Budget frais de ports x nombre de jours
de retours / 31 Elle s’élève à 141 K€ au 31 décembre N contre 274 K€ au 31
décembre N-1 – Soit 222 K€ * 19,78 / 31 = 141 K€ vs 182 K€ au 31 décembre N-1.

7) Estimation global de la provision retour


Nous avons réalisé un calcul de la provision retour sur la base des éléments réels :

Estimé pour
HYPOTHESES Réel
prov.
CA 22 derniers jours 39 925 39 126
Délai moyen de retour (en jours) 19,78 18,44
Taux de retour et refus s/ ventes 19,31% 19,31%
Part des échanges (en %) 5,60% 6,10%
Part des retours avec nouvelle
commande 25,00% 21,59%
Taux de TVA appliqué 20,00% 20,00%
Part de CA Redoute 94,90% 94,90%
Taux de marge sur marchandises 46,20% 46,20%
Taux de perte 4,10% 4,10%
Ventes du 01/07/20xx à la clôture 526 685
Retours des 22 derniers jours 21 586
Refusés des 22 derniers jours -
Rembst anticipés 22 derniers jours 72 263

Estimation du CA retourné 22 derniers jours 7 114 6 972


dont échanges 398 425

Montant des Retours/Refusés/Rbst anticipés 6 716 6 547


Montant des retours avec nvles
commandes 100 92

Dédommagements clients ht 226 226

Page | 185
Provision pour perte de marge 2 850 2 782

Provision pour frais de liquidation 124 122

Service retours 356,02 356,02


Service relation clientèle 140,36 140,36
Coût de traitement des réclamations écrites des
clients
Provision pour coûts de traitement 496 496

Provision pour colis retournés 141 132


Port sur colis retournés le mois suivant 222 222

TOTAL PROVISION RETOUR 3 612 3 532

Nous obtenons les écarts suivants:


k€ 31/12/N
taux des échanges 27
taux de marge utilisé -144
taux de retour avec nvle cmde -8
délai en jours de CAHT : 193
Non prise en compte de la provision 0
Autres : 12
Total 80

La surévaluation estimée n’est pas significative et reste inférieure au seuil de


remontée des ajustements.

<Conclusion
Satisfaisant

Page | 186
Annexe 23 : Provision garanties Clients

<Objectif>
S’assurer que la provision garanties Clients est correctement évaluée au 31 décembre
N.

<Nature de la provision>
La provision résulte d’une méthode statistique non réactualisée en cours d’exercice.

Provision de coût de SAV sur tous les articles non textile (produits techniques,
meuble et ameublement).
Le service SAV communique une prévision d’articles à recevoir en SAV par type
c'est-à-dire :
 Réparation atelier
 Réparation STAR pour certains produits dédiés
 Pièces détachées
Pour chaque article, détermination de l’ancienneté du produit quand il revient
(exprimé en nombre de mois)
Application du coût unitaire de traitement.
L’estimation est faite en partant des ventes de produits concernés par la garantie au
31/12/N.
 I : Calcul du volume des ventes pour l’année précédente (N-1) des produits
pouvant recourir à la garantie Client
 II : Ce volume est ramené au nombre d’intervention ayant réellement eu lieu
au cours de l’année (N sur les ventes de N-5 à N-1) afin de calculer un taux
d’intervention du service SAV Client pour les produits concernés.
 III : Calcul du volume des ventes de l’exercice écoulé (N) des produits
pouvant recourir à la garantie Client
 IV Application du taux d’intervention calculé en II et obtention du nombre
d’intervention futur susceptible
 V Calcul de l’UO du service SAV en fonction du coût total des interventions
/ Nombre d’intervention
 VI Calcul de la provision

Page | 187
La provision s’élève à 256 K€ au 31 décembre N contre 448 K€ au 31 décembre N-1,
soit une baisse de 192 K€.
La baisse de la provision est expliquée par la baisse du volume des ventes des
produits bénéficiant d’une garantie Client et d’un affinement de la méthode sur
l’exercice N. En effet, une distinction est faite entre les garanties primaires et les
extensions de garanties.

<Conclusion>
Satisfaisant

Page | 188
Annexe 24 : Recommandation sur le contrôle interne

A l’attention du gouvernement d’entreprise,

Cette lettre présente nos recommandations pour l’amélioration des procédures


comptables et du contrôle interne de votre société. Ces recommandations résultent de
notre revue du contrôle interne et des états financiers, que nous avons effectuée dans
le cadre de notre mission de commissariat aux comptes.

Les faits évoqués dans cette lettre ont été pris en considération pour déterminer la
nature et l’étendue de nos travaux de révision effectués dans le cadre de la mission de
commissariat aux comptes et ne modifient en rien l’avis que nous exprimons dans
notre rapport sur les comptes annuels de votre société.

Les différentes situations décrites dans la présente lettre sont présentées pour votre
information, étant cependant précisé que l’étude à laquelle nous avons procédé ne
peut s’assimiler à une étude d’organisation, et par conséquent, nous ne pouvons vous
donner l’assurance que toutes les faiblesses de contrôle interne ont été relevées.

Nous restons à votre disposition pour toute question complémentaire.

Le commissaire aux comptes

Page | 189
Recommandation n°1 : Systèmes d‘Information - Niveau de traçabilité des
erreurs

 Constats : Le niveau de traçabilité des erreurs est faible, il s’agit d’alertes


mails traitées puis supprimées. Le service des fraudes ne fait aucune
remontée à l’informatique en cas de blocage/déblocage d’une commande
 Risque identifié : Intégrité des données
 Recommandation : Nous recommandons de mettre en œuvre notamment une
procédure d’historisation des mails d’alertes et des solutions apportées
permettant une meilleure traçabilité.
 Degré d’importance : Majeur

 Commentaires du client

Recommandation n°2 : Systèmes d‘Information - Niveau de continuité d’activité

 Constats : Des tests de restauration quotidiens sont faits à la demande des


utilisateurs.
Il n’existe pas de plan de secours.
 Risque identifié : Intégrité des données
 Recommandation : Nous recommandons d’effectuer des points de sauvegarde
incrémentaux mensuels.
La mise en place d’un plan de secours formalisé permettrait de renforcer le
niveau de continuité d’activité
 Degré d’importance : Majeur

 Commentaires du client

Page | 190
Bibliographie

PUBLICATIONS LEGALES & OFFICIELLES

 Décret n° 2013-183 du 28 février 2013 relatif aux obligations de vigilance en


matière de services de paiement en ligne pour la prévention de l'utilisation du
système financier aux fins de blanchiment de capitaux et de financement du
terrorisme
 Directive n°1999/93 sur la signature électronique du 13 décembre 1999
 Directive n°2000/31/CE sur le commerce électronique du 8 juin 2000
 Directive n°2001/29/CE du 22 mai 2001 sur l’harmonisation de certains
aspects du droit d’auteur et des droits voisins dans la société de l’information
 Directive n°2005/29/CE du 11 mai 2005 relative aux pratiques commerciales
déloyales des entreprises vis-à-vis des consommateurs dans le marché
intérieur
 Directive 2011/83/UE du 25 octobre 2011 relative aux droits des
consommateurs
 Directive n°2007/64/CE du 13 novembre 2007 appelée « La Directive sur les
services de paiement (DSP 1) »
 Directive n°2009/110/CE du 16 septembre 2009 (dite « DME2 »), concernant
l’accès à l’activité des établissements de monnaie électronique
 Directive n°2007/64/CE dite « DSP 2 » du 24 juillet 2013
 Loi n°2000-230 du 13 mars 2000 portant sur l’adaptation du droit de la
preuve aux technologies de l’information et relative à la signature
électronique
 Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie
numérique (LCEN)
 Loi du 5 mars 2007 relative à la prévention de la délinquance (cyber-
délinquance) ;
 Loi n° 2008-3 du 3 janvier 2008 pour le développement de la concurrence au
service des consommateurs
 Loi n°2014-344 du 17 mars 2014 relative à la consommation

Page | 191
 Ordonnance n° 2009-866 du 15 juillet 2009 régissant la fourniture de services
de paiement et portant création des établissements de paiement
 Loi n° 2013-100 du 28 janvier 2013 portant diverses dispositions d'adaptation
de la législation au droit de l'Union européenne en matière économique et
financière
 Loi n° 2013-1117 du 6 décembre 2013 relative à la lutte contre la fraude
fiscale et la grande délinquance économique et financière
 NEP-9605 - Norme d'exercice professionnel relative aux obligations du
commissaire aux comptes relatives à la lutte contre le blanchiment des
capitaux et le financement du terrorisme – 4 mai 2010

DOCUMENTATION PROFESSIONNELLE

 La profession comptable – La lutte contre le blanchiment et les contrôles de


qualité professionnels – Janvier 2010 - 2 pages
 Journal des sociétés - Lutte contre le blanchiment : les obligations du CAC
précisées – Juin 2010 – 1 page
 Revue française de la comptabilité - Mieux connaître et mieux lutter contre la
fraude : une perspective internationale – Mai 2011 – 5 pages
 Petites Affiches – Lutte contre le blanchiment des capitaux et le financement
du terrorisme : obligations et responsabilités des commissaires aux comptes
et experts-comptables – 28 mars 2012 – 13 pages
 Cahiers de Droit de l'Entreprise - La Fraude en entreprise – Janvier 2013 – 36
pages
 Actuel expert-comptable – Interview Patrick Berthier « On observe un regain
d'intérêt pour les formations sur la lutte contre le blanchiment » - 27 févier
2013 – 2 pages
 Revue Lamy droit des affaires – Le délit de blanchiment, un horizon pénal
qui ne cesse de s’élargir – Juin 2013 – 34 pages
 Le francilien des experts comptables – La norme anti-blanchiment application
et modalités de contrôles dans les cabinets – Décembre 2013 – 3 pages

Page | 192
MEMORE D’EXPERTISE COMPTABLE

 Stéphanie Braut - Les risques liés aux moyens de paiement dématérialisés :


mission de conseil de l’expert-comptable dans les PME industrielles et
commerciales - Mai 2010
 Xavier SINIGAGLIA - Guide méthodologique pour l’expert-comptable face
aux opportunités et aux risques liés au commerce électronique - Novembre
2012
 Sabine AUGOT - La révision du chiffre d'affaires et des comptes clients b to
c dans une société de e-commerce : risques spécifiques et proposition d'une
méthodologie pour l'expert-comptable et le commissaire aux comptes -
Novembre 2013

ETUDES

 Bulletin de de la Banque de France – La sécurité des moyens de paiement sur


internet – Février 2002 – 13 pages
 FBF - Règles de fonctionnement services de paiement – octobre 2009 – 16
pages
 OSCP - Rapport annuel de l’Observatoire de la sécurité des cartes de
paiement 2011 – 2012 – 82 pages
 Banque de France - L’avenir des moyens de paiement en France — Mars
2012 – 146 pages
 Comité consultatif du secteur financier - Rapport 2012 – Chapitre 4 : La
poursuite de la modernisation des moyens de paiement – 18 pages
 FBF - Moyens de paiement en Europe – Chiffres clés moyens de paiement
Europe - 18 février 2013 - 2 pages
 E-commerce Europe – Chiffres clés 2012 – 2013- 1 page
 FEVAD - Livre blanc sur Les moyens de paiement – octobre 2013 – 138
pages FEVAD – Chiffres Clés 2013 - 2014 - 4 pages
 OSCP - Rapport annuel de l’Observatoire de la sécurité des cartes de
paiement 2013 -2014 – 70 pages
 PWC - La fraude continue à être une vraie menace pour les entreprises –
2014 – 42 pages

Page | 193
 Ministère de l’Economie et des finances - Avenir des moyens de paiements :
20 propositions – 2014 – 2 pages
 FiaNet - Livre Blanc sur La fraude dans le e-commerce - Juin 2014 – 21
pages

OUVRAGES

 Contrôle interne - Frédéric Bernard, Rémi Gayraud, Laurent Rousseau – 2010


- 336 pages
 L'e-commerce pour les PME, Guide pratique - Djamshid Assadi, Yves Le
Dain - Juin 2013 – 205 pages

ARTICLE DE PRESSE

 Article des échos Business - La guerre des « e-wallets » bat son plein en
France - 19 novembre 2012
 ZDNet.fr - eBay accueillera bientôt le Bitcoin, mais partiellement – 21
janvier 2014
 Les échos - Nouveaux moyens de paiement : la bataille des données – 4
février 2014
 Eureka Presse - L’enseigne Monoprix prête à accepter les bitcoins fin 2014-
10 avril 2014
 E-commerce - La Poste lance une plate-forme de sécurisation pour les
acheteurs et les boutiques – Mai 2014
 ZDNet.fr - PayPal se fait une place dans le Google Play - 16 mai 2014
 Eureka Presse - Amazon lance sa solution concurrente à PayPal – 10 juin
2014
 Eureka Presse - Expedia acceptera les bitcoins pour les réservations d’hôtel -
12 juin 2014
 lefigaro.fr - La difficile lutte contre le blanchiment – 30 juin 2014

Page | 194
SITES INTERNET

 http//www.bibliotique.com : site du centre de documentation des experts


comptables et des commissaires aux comptes
 http///www.fevad.com : site de la fédération du e-commerce et de la vente à
distance
 http//www.redoute.fr : site de la société Redoute
 http//www.rueducommerce.com : site de la société Rue Du Commerce
 http//www.priceminister.fr : site de la société Price Minister
 http//www.amazon.fr : site de la société Amazon
 http//www.ecommercemag.fr : site d’informations sur le e-commerce
 http//www.journaldunet.com : site d’informations sur le e-commerce
 http//www ZDNet.fr : site proposant des services d’informations sur le e-
commerce
 http//www.legifrance.gouv.fr : site de publication du droit national
 http//www.ocde.org : site de l’OCDE

RAPPORTS FINANCIERS

 AMAZON.COM – « Annual Report 2013, Form 10-k » - Avril 2014, x pages


 Rueducommerce – « Document de référence 2011/2012 » - 27 juillet 2012,
226 pages

Page | 195

Vous aimerez peut-être aussi