Vous êtes sur la page 1sur 134

ECF Système d’information et contrôle interne 1/134

SYSTÈME D’INFORMATION ET CONTROLE INTERNE


CONNAISSANCE et DOCUMENTATION

ECF Formations ©
ECF Système d’information et contrôle interne 2/134

1 L’EVALUATION DU CONTRÔLE INTERNE.........................................................5


1.1 INTRODUCTION........................................................................................5
1.1.1 Objectifs de la séquence......................................................................................5
1.1.2 Norme relative à l'identification et à l'appréciation des risques...........................7

1.2 Risques INHERENTS.................................................................................8


1.2.1 Activités,.............................................................................................................. 9
1.2.2 Nature.................................................................................................................. 9
1.2.3 Objectifs, stratégie et risques inhérents..............................................................9
1.2.3.1 Objectifs..................................................................................................... 11
1.2.3.2 Règles........................................................................................................ 11
1.2.3.3 Modalités d’applications et autres informations.........................................12
1.2.3.4 Moyens....................................................................................................... 12
1.2.3.5 Conditions et évènements.........................................................................13
1.2.4 Mesure de la performance.................................................................................14

1.3 Risques liés AUX CONTROLES.................................................................17


1.3.1 Introduction....................................................................................................... 17
1.3.2 Définition du contrôle interne............................................................................17
1.3.3 Les éléments du contrôle interne.......................................................................18
1.3.3.1 Considérations générales...........................................................................18
1.3.3.2 Environnement de contrôle interne............................................................24
1.3.3.3 Le processus d'évaluation des risques par l'entité....................................27
1.3.3.4 Le système d’information...........................................................................31
1.3.3.4.1 Les flux d’opérations significatifs............................................................35
1.3.3.4.2 Les procédures, y compris les technologies de l'information, les systèmes
manuels 37
1.3.3.4.3 Cartographie.......................................................................................... 38
1.3.3.4.4 Croisement des flux d’opérations avec les applications informatiques...42
1.3.3.4.5 Les référentiels.......................................................................................42
1.3.3.4.6 Caractéristique des progiciels de gestion intégrés (PGI).........................45
1.3.3.4.7 Stratégie informatique de l’entreprise....................................................45
1.3.3.4.8 Cas particulier des PGI évènementiels...................................................46
1.3.3.4.9 Les besoins habituels de paramétrage (selon le type de secteur
d'activité).............................................................................................................. 46
1.3.3.4.10Revue d’application du point de vue métier.........................................48
1.3.3.4.11Les enregistrements comptables concernés, électroniques ou manuels53
1.3.3.5 Activités de contrôle...................................................................................53
1.3.3.5.1 Evaluation des performances.................................................................54
1.3.3.5.2 Traitement de l'information....................................................................54
1.3.3.5.3 Contrôles physiques...............................................................................55
1.3.3.5.4 Séparation des fonctions........................................................................55
1.3.3.5.5 Application aux petites entités...............................................................55

1.4 LES ASSERTIONS et LE TABLEAU DES RISQUES.........................................57


1.4.1 Les assertions.................................................................................................... 57
1.4.2 Les risques significatifs......................................................................................60
1.4.3 Comment évaluer un risque ?............................................................................60
1.4.4 Conclusion : le tableau des risques....................................................................63

2 PROCEDURES D’AUDIT....................................................................................69
2.1 INTRODUCTION......................................................................................69
2.1.1 Objectifs généraux du système d’information (tant manuel qu’informatisé).....71

ECF Formations ©
ECF Système d’information et contrôle interne 3/134

2.1.2 Communications................................................................................................ 72
2.1.2.1 Objectif...................................................................................................... 72
2.1.2.2 Moyens....................................................................................................... 72
2.1.2.3 Supports..................................................................................................... 72
2.1.3 Norme relative aux procédures d’audit..............................................................73

2.2 Moyens mis en œuvre............................................................................73


2.2.1 L’infrastructure.................................................................................................. 73
2.2.2 Les logiciels....................................................................................................... 73
2.2.3 Les acteurs........................................................................................................ 74
2.2.4 Les procédures et les données...........................................................................74

2.3 Les tests de procedure...........................................................................74


2.3.1 Entretien............................................................................................................ 76
2.3.2 Observation ou inspection.................................................................................77
2.3.3 Consultation de la documentation.....................................................................77
2.3.4 Refaire un contrôle :.......................................................................................... 77
2.3.5 Utilisation des techniques d’audit assistées par ordinateur...............................78
2.3.6 Caractère combinatoire des assertions et des procédures mises en œuvre :. . . .78

2.4 ELEMENTS DETAILLES DU CONTROLE INTERNE COMPOSANT ou UTILISANT


LE SYSTEME D’INFORMATION........................................................................82
2.4.1 Le système d’information..................................................................................82
2.4.2 Les procédures de contrôle interne mises en place...........................................82

2.5 PROCEDURES DETAILLEES......................................................................83


2.5.1 DECLENCHER, INITIER........................................................................................ 84
2.5.2 ENREGISTRER.................................................................................................... 86
2.5.3 TRAITER............................................................................................................. 89
2.5.4 RENDRE COMPTE............................................................................................... 93

2.6 CONTROLES GENERAUX RENFORCANT LES PROCEDURES DETAILLEES.......97

2.7 ACTIVITES DE CONTROLE........................................................................99


2.7.1 Analyse de la performance................................................................................99
2.7.2 Traitement de l’information................................................................................99
2.7.3 Contrôles physiques........................................................................................102
2.7.4 Séparation des taches.....................................................................................102

2.8 TABLEAU DE SYNTHESE........................................................................103

2.9 CONCLUSION........................................................................................105

3 ELEMENTS PROBANTS..................................................................................106
3.1 AUDIT des DONNEES............................................................................107
3.1.1 CHAPITRE 1 : QU’EST-CE QUE L’ANALYSE DE DONNEES ?................................107
3.1.1.1 1. INTRODUCTION....................................................................................107
3.1.2 3. LA PRATIQUE DES CABINETS D’AUDIT..........................................................108
3.1.2.1 3.1. Introduction.......................................................................................108
3.1.2.2 3.2. Contexte réglementé dans le cadre d’un audit légal.........................108
3.1.2.3 Contexte Missions spéciales.....................................................................109
3.1.3 CHAPITRE 2 : COMMENT DEMARRER UNE CELLULE D’ANALYSE DE DONNEES
DANS UNE PETITE STRUCTURE ?.................................................................................109
3.1.3.1 1. LES CRITERES DE CHOIX......................................................................109
3.1.3.1.1 Objectif ambitieux................................................................................110
3.1.3.1.2 Objectif prudent...................................................................................111
3.1.3.1.3 Règles et risques communs..................................................................112
3.1.3.2 QUEL OUTIL CHOISIR ?.............................................................................112
3.1.3.2.1 Identification des besoins clés..............................................................113

ECF Formations ©
ECF Système d’information et contrôle interne 4/134

3.1.3.2.2 COMPARAISON DES OUTILS..................................................................113


3.1.3.2.3 Synthèse.............................................................................................. 115
3.1.4 LA METHODOLOGIE DE L’ANALYSE DE DONNEES.............................................116
3.1.4.1 LE DEROULEMENT D’UNE MISSION D’ANALYSE DE DONNEES...................116
3.1.4.1.1 Récupération des fichiers informatiques...............................................116
3.1.4.1.2 Validation des fichiers...........................................................................117
3.1.4.1.3 Réalisation des tests.............................................................................117
3.1.4.1.4 Analyse et synthèse.............................................................................117
3.1.4.2 L’EVOLUTION DE LA METHODOLOGIE : STANDARD OU SPECIFIQUE..........117
3.1.4.2.1 La solution Standard :...........................................................................117
3.1.4.2.2 La solution Spécifique ou Sur-mesure :.................................................118
3.1.4.2.3 La solution intermédiaire :....................................................................118
3.1.4.3 LE CAS DES PGI........................................................................................119
3.1.4.4 RECURRENCE / FREQUENCE DES TESTS...................................................119
3.1.5 Exemples de programmes...............................................................................119
3.1.5.1 Conception, réalisation, anomalies, facteurs clés.....................................119
3.1.5.1.1 Ventes : flux physiques et flux comptables...........................................119
3.1.5.1.2 Ventes : balance agée..........................................................................120
3.1.5.1.3 Achats : fournisseurs payés en double.................................................121
3.1.5.1.4 Achats : factures à recevoir..................................................................122
3.1.5.1.5 Stock : Revue analytique......................................................................124
3.1.5.1.6 Personnel : rapprochement haut de bulletins et balance des comptes. 125
3.1.5.1.7 Personnel : rémunérations anormales..................................................126
3.1.5.1.8 Assurances : analyse des sinistres.......................................................126
3.1.5.2 Pistes de tests par FLUX d’opérations......................................................128
3.1.5.2.1 Ventes.................................................................................................. 128
3.1.5.2.2 Achats.................................................................................................. 128
3.1.5.2.3 Stocks................................................................................................... 128
3.1.5.2.4 Personnel.............................................................................................. 128

3.2 Autres techniques de contrôle détaillées :.............................................129


3.2.1 Demande d’information (entretien).................................................................129
3.2.2 Procédures analytiques....................................................................................129
3.2.3 Observation physique......................................................................................130
3.2.4 Inspection........................................................................................................ 130
3.2.5 Ré-exécution de certains contrôles..................................................................131

4 CONCLUSION...................................................................................................133

ECF Formations ©
ECF Système d’information et contrôle interne 5/134

1 L’EVALUATION DU CONTRÔLE INTERNE


1.1 INTRODUCTION

1.1.1 Objectifs de la séquence

Présenter le système d’information comme le composant principal du contrôle interne dans


une actualité relative à l’audit en pleine réforme dans le contexte européen en prenant
connaissance des dernières obligations, à un moment où la loi de Sécurité Financière prend
définitivement sa mesure.

Un des moyens pédagogiques principaux utilisé aujourd'hui consiste donc à présenter la


démarche d'audit en insistant notamment sur toutes les nouveautés figurant explicitement
dans cette traduction, tout en étant conscient des deux penchants antinomiques que cette
attitude peut engendrer :
1 - Une trop grande rigueur technique de nature à décourager l'exercice de cette profession,
notamment dans le cadre des PME.
2 - Un souci juridique trop prononcé dans la traduction des "doit" et des "peut", qui pourrait
conduire les lecteurs à un excès de rigueur non compatible avec l'exercice d'une profession où
le praticien parvient seulement à une assurance raisonnable.

ECF Formations ©
ECF Système d’information et contrôle interne 6/134

En clair, le texte des normes internationales dites "relatives à l'identification et à


l'appréciation des risques" dont l'apprentissage est proposé aujourd'hui sont divisées de
la façon suivante :
Une partie destinée au grand public, comportant clairement des obligations dans le
cadre de l'exercice professionnel des commissaires aux comptes (très comparable au
contenu des NEP), et
Une partie technique comportant des exemples, des situations et de nombreux
développements.

ECF Formations ©
ECF Système d’information et contrôle interne 7/134

1.1.2 Norme relative à l'identification et à l'appréciation des risques

Les normes internationales dites du « modèle de risque d’audit » sont au nombre de trois :
- ISA 315 : Connaissance générale de l'entité et de son environnement et évaluation du risque
que les comptes contiennent des anomalies significatives,
- ISA 330 : Les procédures d'audit mises en œuvre par le commissaire aux comptes en
fonction de son évaluation du risque,
- ISA 500 : Eléments probants

Pour simplifier la présentation, il est proposé d'appeler ces trois textes :


- ISA 315 : Compréhension de l'entité
- ISA 330 : Conduite de la mission
- ISA 500 : Constatations d'audit

Le schéma ci-dessus symbolise ces trois phases fondamentales de la démarche d'audit.

La "tour penchée" symbolise le "contrôle interne" mis en place :


- La phase de compréhension est la maîtrise d'ouvrage,

ECF Formations ©
ECF Système d’information et contrôle interne 8/134

- La phase de conduite est la maîtrise d'œuvre,


- La phase de constatations est constituée par les matériaux employés par l’auditeur.

Ces 3 phases contribuant à l'élaboration de "l'édifice" : l'expression de l'opinion du


commissaire aux comptes.

1.2 RISQUES INHERENTS

Le risque inhérent correspond à la possibilité que, sans tenir compte du contrôle interne qui
pourrait exister dans l’entité, une anomalie significative se produise dans les comptes.

Ce chapitre comprend quatre parties :

1 - Activités

2 - Nature

3 - Objectifs, stratégie et risques inhérents

4 - Mesure de la performance

Après exposé, dans le texte d'origine, du cadre et de recommandations générales, une longue
partie est consacrée à l'évaluation des risques et sources d'informations qui constitue en fait
l'introduction de l'ensemble de la norme internationale qui comprend :
- la compréhension de l'entité,
- le contrôle interne,
- l'évaluation des risques que les comptes contiennent des anomalies significatives.

Rien de bien nouveau dans cette première phase de la norme internationale d'audit ISA 315,
ces points étant actuellement développés dans la NEP 315. Découvrons par contre ensemble la
façon dont cela est rédigé dans les normes internationales d’audit.
Ce support comporte les renvois au texte original en anglais, ainsi qu'à la traduction française
proposée sous la forme des numéros de paragraphes selon la codification ci-dessous:
- 315-22 ou
- 315-26 ou encore
Dispositions combinées 315-12 et 315-32

ECF Formations ©
ECF Système d’information et contrôle interne 9/134

Ici un renvoi à une autre norme internationale d'audit externe peut être assimilé à un renvoi
vers la norme française d'audit relative aux parties liées. Cette remarque pourra être faite de
nombreuses fois, sans que le caractère utile des observations ("Modalités d’applications") soit
altéré de façon significative.

1.2.1 Activités,
Il s’agit là de la ou des activités exercées par l’entreprise, mais aussi des conditions de
concurrence, les relations avec les fournisseurs et les clients, et les développements
technologiques, l'environnement légal et réglementaire.

Les choix en matière d'application des pratiques comptables (IFRS,…) en découlent


directement.

1.2.2 Nature

La direction, les types d'investissements qu'elle fait et projette de faire, la manière dont l'entité
est structurée et comment elle est financée.
Le système d’information de l’entreprise peut être partiellement lié à une autre entreprise. Par
exemple, un concessionnaire automobile verra son stock suivi en permanence par le
constructeur automobile, de façon à améliorer la disponibilité et le service client, tout en
réduisant les coûts de possession. Un autre exemple consiste à maintenir la liste des
disponibilités en temps réel dans un hôtel affilié à une centrale de réservation collective…

1.2.3 Objectifs, stratégie et risques inhérents

Ces éléments, dont la prise de connaissance est consignée dans un dossier permanent,
permettent à l'auditeur d'identifier des risques inhérents à la situation de l'entreprise.
Ces risques sont développés dans la norme internationale d’audit.

Lors du recensement des risques inhérents qui permettront en fin de série d’établir un
« tableau des risques », l’auditeur peut être amené à rencontrer des « circonstances
aggravantes » eu égard à la qualité de l’information financière.

Bien que ces circonstances ne fassent pas partie du cadre de cet enseignement, le contenu du
« système d’information » de l’entreprise conduit à évoquer un type de risque particulier qui
demandent des procédures d’audit spéciales :

ECF Formations ©
ECF Système d’information et contrôle interne
10/134

Il s'agit ici de la notion de risque significatif.


Sont notamment considérés comme risques significatifs :
• si le risque est un risque de fraude.
• si le risque est lié à un évènement économique significatif récent, la comptabilité ou d'autres
développements et exige, en conséquence, une attention spécifique.
• la complexité des transactions.
• si le risque est la conséquence de transactions significatives avec des parties liées.
• le degré de subjectivité dans la mesure de l'information financière est à prendre en compte
dans l'appréciation du risque, particulièrement ceux comportant une incertitude de mesure très
large.
• si le risque implique des transactions significatives qui sont en dehors des affaires courantes
dans le cadre de l'entité, ou qui semblent ponctuelles.

Origine des risques inhérents


Impact sur les comptes

Industrie ou secteur

Risques inhérents
Anomalies
significatives
dans les comptes

ECF Formations ©
ECF Système d’information et contrôle interne
11/134

Afin de donner au lecteur, la possibilité d'apprécier la démarche "Clarity" et la séparation


entre la partie purement normative (destinée au grand public) et la partie "Modalités
d’applications", il est proposé d'analyser ici la norme 315 . Pour ce faire les paragraphes ont
été ordonnés différemment avec des titres OBJECTIFS, REGLES, puis des EXEMPLES et
SITUATIONS ainsi qu'un commentaire complémentaire ont été fournis.

1.2.3.1 OBJECTIFS
L'auditeur doit obtenir une compréhension des objectifs et stratégies de l'entité, et des risques
inhérents [1] qui peuvent avoir comme conséquence une déclaration matérielle erronée dans
les états financiers. L'entité conduit ses affaires dans un contexte de facteurs d'industrie, de
normalisation et autres internes et externes. Pour répondre à ces facteurs, les gestionnaires de
l'entité ou la direction définissent les objectifs, qui sont les plans globaux pour l'entité. Les
stratégies sont les approches opérationnelles par lesquelles la gestion a l'intention d'atteindre
ses objectifs.
1.2.3.2 RÈGLES
De plus petites entités ne formalisent pas souvent leurs objectifs et stratégies, ou ne contrôlent
pas les risques inhérents par des plans ou des processus formels. Dans beaucoup de cas, il
peut n'y avoir aucune documentation sur de tels sujets. Dans ce cas, la compréhension de
l'auditeur est d'habitude obtenue par des entretiens avec les gestionnaires et l'observation des
précautions prises par l'entité à cet égard.
La plupart des risques inhérents [2] auront par la suite des conséquences financières et, en
conséquence, un effet sur les états financiers. Cependant, tous les risques inhérents
ne provoquent pas des risques de déclaration matérielle erronée. Un risque inhérent peut avoir
une conséquence immédiate sur le risque de déclaration erronée en ce qui concerne le
classement des opérations, la balance des comptes, et des anomalies au niveau des assertions
d'audit ou dans les états financiers en général.
1.2.3.3 MODALITÉS D’APPLICATIONS ET AUTRES INFORMATIONS
Par exemple, le risque inhérent résultant d'un poste client en diminution due à une récession
industrielle peut augmenter le risque de déclaration erronée lié à l'évaluation des sommes à
recevoir.
Cependant, le même risque, en particulier en combinaison avec un contexte économique de
récession, peut également avoir une conséquence à plus long terme, que l'auditeur considère
en évaluant l'adéquation des affaires en portefeuille. La considération par l'auditeur qu'un
risque inhérent peut avoir comme conséquence une déclaration matérielle erronée est donc
faite à la lumière des circonstances entourant l'entité.

[1] Les risques inhérents résultent des conditions, des événements, des circonstances, des
actions ou des inactions significatives qui pourraient compromettre la capacité de l'entité
d'atteindre ses objectifs et d'exécuter ses stratégies, ou par la mise en place d'objectifs et de
stratégies inadéquats. Quand l'environnement externe change, la conduite des affaires de
l'entité est également dynamique et les stratégies et les objectifs de l'entité changent dans le
temps.
[2] Le risque inhérent est plus large que le risque de déclaration matérielle erronée dans les
états financiers, bien qu'il inclue le dernier. Le risque inhérent en particulier peut provenir du
changement ou de la complexité, bien que l'absence d'identification d'un changement
nécessaire puisse également provoquer le risque. Le changement peut résulter, par exemple,

ECF Formations ©
ECF Système d’information et contrôle interne
12/134

du développement de nouveaux produits qui peuvent échouer ; d'un marché fermé, même
avec un développement satisfaisant ; ou d'anomalies qui peuvent avoir comme conséquence
la mise en responsabilité et la perte de crédibilité.
Une compréhension des risques inhérents augmente la probabilité d'identifier des risques de
déclaration matérielle erronée. Cependant, l'auditeur n'a pas la responsabilité d'identifier ou
évaluer tous les risques inhérents.

1.2.3.4 MOYENS
habituellement utilisés par l’auditeur en vue de collecter de tels risques :

Entretiens
Visite de l’entité
Informations fournies par le client
Rapports et PV divers
Courriers et pub, plaquettes et web
Informations média
Presse
Analyses du secteur, notes de conjoncture
Informations web du secteur

1.2.3.5 CONDITIONS ET ÉVÈNEMENTS


qui peuvent indiquer l'existence de risques d'anomalies significatives dans les comptes.
Les exemples fournis couvrent une large gamme de conditions et d'évènements; cependant,
toutes les conditions et événements ne sont pas appropriés à chaque situation d'audit et la liste
des exemples n'est pas nécessairement complète.
•Opérations dans des régions qui sont économiquement instables, par exemple, des pays où la
dévaluation de la monnaie est significative ou les économies sont fortement inflationnistes.
•Opérations exposées aux marchés volatils, par exemple, commerce à terme.
•Réglementation complexe.
•Continuité de l'exploitation compromise et perspectives de liquidation incluant la perte de
clients significatifs.
•Contraintes pesant sur la disponibilité du capital et du crédit.
•Changements dans l'industrie dans laquelle l'entité fonctionne.
•Changements de la chaîne d'approvisionnements.
•Développement ou offres de nouveaux produits ou services, ou création de nouvelles
branches d'activité.
•Création de nouveaux emplacements.

ECF Formations ©
ECF Système d’information et contrôle interne
13/134

•Changements dans l'entité, tels que de grandes acquisitions ou réorganisations ou d'autres


événements exceptionnels.
•Entités ou secteurs d'activité probablement à vendre.
•Alliances complexes et joint-ventures.
•Utilisation des finances sans rapport avec la performance des entités pour un but particulier,
et d'autres arrangements complexes de financement.
•Transactions significatives avec les parties liées.
•Manque de personnel avec qualification comptable et dans l'établissement des états
financiers appropriée.
•Changement des personnels de base y compris départ des cadres principaux.
•Faiblesses de contrôle interne, spécialement dans les points non contrôlés par la gestion.
•Contradictions entre la stratégie relative aux technologies de l'information de l'entité et ses
stratégies commerciales.
•Changements de l'environnement relatif aux technologies de l'information.
•Installation d'un nouveau système d'information incluant la comptabilité
•Contrôle fiscal ou des douanes...
•Après des déclarations erronées, l'historique des erreurs ou une quantité significative
d'ajustements en fin de période.
•Quantité significative d'opérations ponctuelles ou exceptionnelles comprenant des opérations
inter sociétés et de transactions importantes en fin de période.
•Transactions qui sont enregistrées à la demande de la gestion, par exemple, refinancement de
la dette, actifs à vendre et classification des titres négociables.
•Application de nouvelles dispositions comptables.
•Opérations comptables qui impliquent des processus complexes.
•Les événements ou les transactions qui comportent une incertitude significative de mesure, y
compris une estimation comptable.
•Litiges en attente et obligations éventuelles, par exemple, obligations liées aux ventes,
garanties financières et obligations liées à l'environnement. (Annexe 3 de la norme
internationale d'audit ISA 315)
De la responsabilité de l'auditeur sur ce chapitre :
Sur la responsabilité de l’auditeur limitée par le cadre normatif international ("l'auditeur n'a
pas la responsabilité d'identifier ou évaluer tous les risques inhérents"), à titre de
commentaire, l’affaire du groupe RODHIA appelle plusieurs observations :
- Ce grand groupe chimique industriel, qui a « hérité » de RHONE POULENC d’une
quarantaine d’usines désaffectées à travers le monde, était chargé de dépolluer les sites.
- La connaissance des passifs qui en découle constituait un risque inhérent que les auditeurs
ont étudiés.
Et pourtant l’évaluation des conséquences de ce risque, entre-temps aggravées par la
conscience collective de la nécessité de préserver la santé et l’environnement dans un monde
toujours plus industrialisé, a été si sous-estimée que les comptes de RODHIA laissent les

ECF Formations ©
ECF Système d’information et contrôle interne
14/134

investisseurs perplexes au point que le cours de l’action a été divisé par 20 depuis son
introduction en bourse.

Le système d’information de l’entreprise est ici évoqué directement ou indirectement à de


nombreuses reprises.

Signalons tout particulièrement la situation où l’entreprise est en train de mettre en place ou


de faire évoluer son système :
Il s’agit là d’une situation particulièrement critique pour l’auditeur où la refonte du dossier
permanent sera probablement un objectif raisonnable, bien loin de « l’assurance raisonnable »
qui est habituellement sa préoccupation. Il devra utiliser tout autre moyen pour collecter des
éléments probants.

1.2.4 Mesure de la performance

Mesures internes :
Ces mesures sont produites par le système d'information de l'entité.
Il s’agit de reporting, contrôle budgétaire ou plus généralement d’éléments du tableau de bord
de l’entreprise.
L’évolution des techniques rapides donne à ces indicateurs toujours plus de précision, malgré
le peu d'intégration de l'ensemble.

Dans les petites entreprises, ces techniques ne sont pas souvent formalisées

Il ne faut pas confondre la mesure de la performance avec un des composants du contrôle


interne traité dans la partie suivante: surveillance des contrôles, il s'agit simplement là
d'acquérir la compréhension de l'entité.

L'ensemble de ces informations est, comme toutes celles de cette partie, consignées dans un
dossier permanent.

Dans le texte de la norme, on voit apparaître des paragraphes spécifiques aux petites
entreprises. S'il s'agit dans ces deux cas de formuler des recommandations complémentaires
pour l'auditeur (par exemple "Les gestionnaires comptent néanmoins souvent sur certains
indicateurs principaux que la connaissance et l'expérience des affaires suggèrent et qui
constituent une base fiable pour évaluer la performance financière et la mesurer"), il pourra
s'agir par la suite de situations visant à simplifier la tâche de l'auditeur.

ECF Formations ©
ECF Système d’information et contrôle interne
15/134

La petite entreprise comportant un propriétaire exploitant unique en un seul lieu est la


situation la plus simple.

ECF Formations ©
ECF Système d’information et contrôle interne
16/134

En conclusion de cette partie de la séquence, notons la confusion apparue en fin de partie dès
que les exemples de risques inhérents ont été énumérés.
Les risques inhérents, autrement appelés risques d’activité sont en principe indépendants de
l’organisation de l’entreprise, ils devraient être les mêmes dans deux entreprises exerçant dans
le même secteur d’activité.
Mais ce propos simpliste montre la limite des raisonnements. On parle de risques inhérents
« exogènes » et « endogènes », mais l’intérêt de la classification par l’auditeur n’a qu’un
intérêt intellectuel. La documentation fournie concernant les risques inhérents de l’entreprise
sert d’élément probant ou plutôt de « présomption ».

En matière de système d’information, l’auditeur a pris l’habitude de considérer également de


nouveaux risques inhérents qui constituent en quelque sorte les menaces qui pèsent sur
l’entreprise qui en est doté.
Les responsables d’entreprise choisissent bien entendu un système d’information pour ses
opportunités et ses bienfaits, mais l’auditeur a toujours une vision critique.

ECF Formations ©
ECF Système d’information et contrôle interne
17/134

1.3 RISQUES LIÉS AUX CONTROLES

Le risque lié au contrôle correspond au risque qu’une anomalie significative ne soit ni prévenue ni
détectée par le contrôle interne de l’entité et donc non corrigée en temps voulu .

Abordons maintenant le contrôle interne :

1.3.1 Introduction

Le contrôle interne couvre les opérations répétitives dans l'entreprise.


Mis en place par la direction, ses objectifs sont souvent dictés par un souci opérationnel :
L'approche "contrôle interne" de l'auditeur n'a pas le même objectif.
Par contre, les moyens sont communs, notamment en raison de l'efficacité que procure
dorénavant les systèmes intégrés d'information et les premiers effets de la dématérialisation,
de sorte que l'étude du "contrôle interne" est un moyen naturel d'audit, de plus fort apprécié
par la direction, qui découvre, s'il en est usé avec circonspection, un intérêt prononcé de
l'auditeur pour la marche des affaires, au-delà de la vision purement comptable.

1.3.2 Définition du contrôle interne

Le contrôle interne est un processus conçu et mis en application par la direction, par
les gestionnaires, et par toute autre personne pour fournir l'assurance raisonnable de
l'accomplissement des objectifs de l'entité en ce qui concerne :
- la fiabilité des états financiers
- l'exécution et l'efficacité des opérations
- la conformité aux lois et règlements applicables

Auditeur

Dirigeant Administrations

ECF Formations ©
ECF Système d’information et contrôle interne
18/134

Ainsi le contrôle interne est conçu et mis en application pour limiter les risques inhérents
identifiés qui menacent l'accomplissement de n'importe lequel de ces objectifs (315-42 suite).
Ces objectifs sont bien entendu énumérés dans un ordre perçu différemment selon les acteurs
concernés :
-L'auditeur
-Le dirigeant
-Les administrations (fiscale, sociales et administration des douanes)
Observons le caractère financier de ces trois objectifs, encore que "l'exécution et l'efficacité
des opérations" puissent aussi être considéré aussi comme un objectif de "gestionnaire"
n’ayant qu’une incidence indirecte à caractère financier.

Mais nous reviendrons ci-dessous sur le périmètre d'intervention de l'auditeur.

1.3.3 Les éléments du contrôle interne


1.3.3.1 CONSIDÉRATIONS GÉNÉRALES

Cinq éléments du contrôle interne sont recensés

a) L'environnement de contrôle.
b) Le processus d'évaluation des risques par l'entité.
c) Le système d'information, y compris les flux d’opérations et leurs conséquences dans les
états financiers, et la communication.
d) Activités de contrôle.
e) Surveillance des contrôles.

Au nombre de cinq, ces éléments n'ont pas à être considérés de la même manière. Selon les
situations, le poids de certains sera réduit, alors qu'un ou deux autres pourront être
hypertrophiés.
Ainsi, la démarche de l'auditeur, qui consiste à utiliser la qualité "attendue" des éléments pour
conduire sa mission, est ponctuée par la recherche des composants présumés les plus fiables :
Dans la PME, l'organisation du système d'information est un point central (renforcé encore,
bien souvent, par l'unité de lieu).
Les activités de contrôle externes et la surveillance permanente de l'équipe dirigeante (voire
du propriétaire-exploitant) peuvent souvent être relevées.

ECF Formations ©
ECF Système d’information et contrôle interne
19/134

Situation des petites entreprises

L’absence de séparation suffisante des fonctions fait courir des risques.

La proximité de l'équipe de direction est un point fort qui limite les risques.

Le propriétaire-exploitant de l'entreprise conduit l'auditeur à plus de vigilance concernant la


nécessaire séparation des patrimoines (principe de l’égalité entre les actionnaires).
L'apport de la norme internationale d'audit et de son annexe 3 est très important:

La menace que constitue l'absence de séparation des taches dans la petite entreprise sera
commentée à l'occasion de chaque composant du contrôle interne.

Si la démarche d'audit est indivisible et s'applique à toutes les entreprises, quelque soit leur
taille, il faut noter une adaptation motivée de l'utilisation des différents composants dans le
cas de petites entreprises :
" … Pour quelques entités, en particulier les entités très petites, le dirigeant de l'entité (cette
ISA utilise le terme de "dirigeants" pour désigner les propriétaires d'entités qui participent
quotidiennement à son fonctionnement) peut exécuter les fonctions qui dans une plus grande
entité seraient considérées comme appartenant à plusieurs des composants du
contrôle interne. Par conséquent, les composants du contrôle interne ne peuvent pas être
clairement distingués dans de plus petites entités, mais leurs buts fondamentaux sont
également valides."
Il s'agit là d'un cumul naturel de fonctions que l'auditeur caractérisera par la description des
outils employés par le dirigeant, leur fréquence d'utilisation…

Le champ d'action de l'auditeur

En vue de limiter le champ d’investigation de l’auditeur, considérons maintenant la partie du


contrôle interne à caractère financier.
Le schéma ci-dessous distingue le contrôle interne en gestion qui englobe celui-ci, de façon à
limiter le champ d’action de l’auditeur.
C’est en fait une question de niveau de détail. Tous les contrôles internes ont une incidence
probable sur les états financiers, mais il s’agit de distinguer ceux qui ont une incidence
directe.
Ainsi la norme ISA 315 donne l’exemple d’un système de réservation aérien qui ne participe
pas directement à la préparation des états financiers.
Un autre exemple pourrait être un changement pratiqué dans le montant du « franco de port
pratiqué par une entreprise de vente par correspondance et/ou par internet.

ECF Formations ©
ECF Système d’information et contrôle interne
20/134

Ces informations n’ont pas d’incidence directe sur la qualité de l’information financière
produite.

Contrôles internes en gestion

Contrôles internes financiers

Contrôles de substance

Opérations ponctuelles et exceptionnelles

La loi de sécurité financière prévoyait la production d'un rapport de contrôle interne par le
Président traitant :
"… des procédures de contrôle interne mises en place par la société relatives à l'élaboration
et au traitement de l'information comptable et financière."
Il ne s'agissait donc pas de l'ensemble des procédures mises en place dans l'entreprise.
La définition du contrôle interne ci-dessus éclaire l'auditeur, par les trois objectifs
poursuivis, sur les trois "acteurs" exerçant des contraintes directes à caractère financier : 1
l'auditeur, 2 le dirigeant, 3 les diverses administrations.
Les contrôles internes à caractère financier font partie de l'ensemble des contrôles internes.
Pour plus d'efficacité, l'auditeur doit les rechercher exclusivement.
L'approche qui a longtemps été utilisée par les auditeurs consistait à considérer séparément le
"système comptable" de l'entreprise.
Cette situation a été remise en cause explicitement par la loi de sécurité financière.
Elle l'est encore plus avec l'arrivée des normes internationales d'audit.

ECF Formations ©
ECF Système d’information et contrôle interne
21/134

Il convient maintenant de considérer aussi la "gestion" de l'entreprise lorsqu'elle produit


directement des informations à caractère financier.

NDLR : les opérations ponctuelles et exceptionnelles ont été présentées ici en raison du
niveau de risque élevé accompagnant généralement ces opérations, d'une part, et d'autre part
de la difficulté pour l'auditeur de les isoler des opérations comptables répétitives.

Contrôles internes concernant l'audit


Ceux-ci sont déterminés selon :
Le jugement de l'auditeur à propos de l'existence (il s’agit d’une assertion. Celles-ci seront
étudiées de façon détaillée à la fin de la série).
La taille de l'entité.
La nature des affaires de l'entité, y compris ses caractéristiques d'organisation et de propriété.
La diversité et la complexité des opérations de l'entité.
Les conditions légales et réglementaires applicables.
La nature et la complexité des systèmes de contrôle interne de l'entité, y compris l'utilisation
de travaux des tiers.

D'habitude, les contrôles qui sont appropriés à un audit concernent l'objectif de l'entité visant
à préparer des états financiers destinés aux tiers et sont ceux qui consistent à donner une
image fidèle (ou sont présentés correctement, dans de bonnes conditions matérielles) selon le
cadre applicable et la gestion du risque qui pourrait provoquer une erreur matérielle dans
les états financiers (315-47).
Dans ce transparent apparaît pour la première fois "l'existence" : il s'agit d'une assertion
(315-48).
Ce terme, défini dans le lexique actuel des commissaires aux comptes français sera présenté
au dernier chapitre de cette série concernant " l'évaluation du risque que les comptes
contiennent de anomalies significatives".
L'existence (autrefois appelée "réalité" indique que les opérations enregistrées dans les états
financiers doivent être réelles : en clair, dans ce contexte, il est conseillé à l'auditeur, s'il a un
doute concernant le caractère réel des opérations, de recenser les contrôles internes qui
seraient en rapport avec cette "assertion".
Un exemple est d'ailleurs donné au paragraphe 315-52 :
"… l'utilisation des contrôles d'accès, tels que les mots de passe, qui limitent l'accès aux
données et aux programmes qui concernent le processus de manipulation de valeurs en
espèces peuvent être appropriées à un audit des états financiers ".

Nous retrouverons fréquemment dans les trois normes internationales d'audit les assertions
citées avec des exemples et situations d'applications, que nous étudierons de façon à faciliter
le lien entre les contrôles déployés et les assertions visées par l'auditeur.

ECF Formations ©
ECF Système d’information et contrôle interne
22/134

Eléments manuels et automatisés

L'uniformité inhérente aux technologies de l'information est un point fort incontournable.

La plupart des entités se servent des technologies de l'information pour la production des états
financiers et les besoins de gestion.

Les programmes peuvent inclure des contrôles pour lancer, enregistrer, traiter ou
rapporter des transactions
Concernant le niveau ou la profondeur des contrôles internes à utiliser :
"… les technologies de l'information permettent à une entité de traiter de grands volumes de
données uniformément et augmente la capacité de l'entité à surveiller l'exécution des activités
de contrôle et de réaliser une séparation efficace des fonctions en mettant en application des
contrôles de sécurité dans les applications, les bases de données, et les logiciels
d'exploitation."

D'une façon générale, les technologies de l'information fournissent les avantages potentiels de
l'efficacité et de l'application dans le cadre du contrôle interne parce qu'il permet à une entité:
• d'appliquer uniformément des principes économiques prédéfinis et exécutent des calculs
complexes en traitant de grands volumes de transactions ou de données;
• d'augmenter l'opportunité, la disponibilité, et l'exactitude de l'information;
• de faciliter l'analyse complémentaire de l'information;
• d'augmenter la capacité de surveillance de l'exécution des activités de l'entité et de ses
politiques et procédures;
• de réduire le risque que des contrôles soient évités;
• d'augmenter la capacité de réaliser la séparation efficace des fonctions en mettant en
application des contrôles de sécurité dans les applications, les bases de données, et les
logiciels d'exploitation.

Nouveaux risques et limites du contrôle interne


Les technologies de l'information créent de nouveaux risques : il s'agit de préserver l'actif
technologique.
La complicité de deux personnes ou plus ou l'inapplication des règles de contrôle interne par
les gestionnaires constituent des limites qui peuvent être franchies (collusion, fraude…).
Cependant, pour les flux d’opérations significatifs, même dans une entreprise très petite, il
peut être envisagé de mettre en application un certain degré de séparation des fonctions ou
toute autre forme de contrôles peu sophistiqués mais efficaces.
Les technologies de l'information créent également des risques spécifiques au contrôle interne
d'une entité, y compris ce qui suit:

ECF Formations ©
ECF Système d’information et contrôle interne
23/134

• confiance dans les systèmes ou les programmes qui traitent des données inexactes,
imprécises, ou les deux.
• accès non autorisé aux données qui peuvent avoir comme conséquence la destruction des
données ou des changements inexacts aux données, y compris l'enregistrement des
transactions non autorisées ou inexistantes, ou enregistrement imprécis des transactions. Les
risques particuliers peuvent surgir où les utilisateurs multiples accèdent à une base de données
commune.
• la possibilité d'accéder par le personnel à un niveau d'autorisation au delà de celui nécessaire
pour exécuter leurs fonctions assignées détruisant de ce fait la séparation des fonctions.
• changements non autorisés aux données dans les fichiers principaux.
• changements non autorisés aux systèmes ou aux programmes.
• défaut de changements nécessaires aux systèmes ou aux programmes.
• interposition manuelle inadéquate.
• perte potentielle de données ou incapacité d'accéder à des données comme prévu.

Très souvent, ces nouveaux risques sont pris en compte dans l'organisation de la PME sous la
rubrique dite :
"Activités de contrôle" ou la norme internationale d'audit détaille la manière dont l'auditeur
appréhende ces éléments.

1.3.3.2 ENVIRONNEMENT DE CONTRÔLE INTERNE

Il s’agit de :
-Communication et application d'intégrité et de valeurs morales.
-Engagement de compétence : qualifications et niveaux de connaissances requises.
-La participation des dirigeants : l'indépendance de la gestion, son expérience et le dialogue
avec les auditeurs internes et externes.
-Comportement et style opérationnel des gestionnaires : prise de risques, préparation des
états financiers, traitement de l'information et considération de la fonction comptable et du
personnel.
-Structure d'organisation : le cadre dans lequel les activités d'une entité pour atteindre ses
objectifs sont planifiés, exécutés, contrôlés et supervisés.
-Délégation et transfert de responsabilité : comment les résultats sont transmis et les
habilitations sont effectuées.
-Politique de ressources humaines et pratiques : recrutement, orientation, formation,
évaluation, conseil, promotion, remplacement et autres décisions.

C'est un composant global. Il est lui-même porteur de menaces (risques inhérents) ou au


contraire d'opportunités.

ECF Formations ©
ECF Système d’information et contrôle interne
24/134

« Les petites entités peuvent mettre en application les éléments d'environnement de contrôle
dans des conditions différentes des plus grandes entités. Par exemple, les petites entreprises
peuvent ne pas avoir un code écrit de conduite mais, au lieu de cela, développent une culture
qui souligne l'importance de l'intégrité et du comportement moral par la communication orale
et par l'exemple. De même, la direction des petites entités peut ne pas comporter un membre
indépendant ou extérieur. »

NDLR : une implication du cabinet d'expertise comptable en qualité de membre indépendant


extérieur renforce naturellement la qualité de l'environnement. Ce choix fait par le ou les
dirigeants est une marque de volonté indéniable de transparence. Les points que peut utiliser
l'auditeur sont portés dans la lettre de mission ou résultent des pratiques d'intervention avérées
du cabinet.
Cette intervention est évoquée de façon plus détaillée dans le composant «activités de
contrôle ».

ECF Formations ©
ECF Système d’information et contrôle interne
25/134

ECF Formations ©
ECF Système d’information et contrôle interne
26/134

1.3.3.3 LE PROCESSUS D'ÉVALUATION DES RISQUES PAR L'ENTITÉ

Peu ou pas formalisé dans les petites entreprises.

ECF Formations ©
ECF Système d’information et contrôle interne
27/134

Caractère implicite lié à certaines procédures de contrôles et paramétrages mis en place pour
les détecter
Exemple :
La signature bancaire et les accès aux codes intranet ou extranet bancaires
La séparation de certaines fonctions critiques
(réception des marchandises et accord de paiements des fournisseurs)

Ce composant est très peu utilisé dans les petites entreprises.


« Toutes les entités devraient avoir établi des objectifs concernant les états financiers, mais ils
peuvent être identifiés implicitement plutôt qu'explicitement dans de petites entités. La
gestion peut se rendre compte des risques liés à ces objectifs sans utilisation d'un processus
formel mais par la participation personnelle directe avec des employés et des tiers
extérieurs. »

NDLR : la présence d'un budget dans l'entreprise (voire avec plusieurs hypothèses) peut être
considérée comme un objectif concernant les états financiers. Les indicateurs utilisés par les
gestionnaires constituent le tableau de bord de l'entreprise que l'auditeur pourrait documenter
succintement.

Rappelons à ce stade de la série la définition du système d’information, selon les normes


internationales d’audit :

Le système d'information qui concourre à la réalisation des objectifs d'établissement des états
financiers,
inclut le système comptable,
comprend les procédures,
les enregistrements pour lancer, enregistrer, traiter, et rendre compte des opérations de
l'entreprise (ainsi que les événements et les conditions)
et fournit à tout moment les valeurs actives, passives, et les capitaux propres.

Le système d'information est présenté ici comme un tout.


La notion d'intégration n'est pas ici évoquée. Il convient de rapprocher celle-ci du paragraphe
relatifs aux éléments manuels et informatisés précédemment évoqué.

Sur le plan du vocabulaire, on est tenté de remplacer "procédures" par "programmes" et


"enregistrements" par "données" ou "data". Cette évolution naturelle du langage est à

ECF Formations ©
ECF Système d’information et contrôle interne
28/134

rapprocher de l’évolution du métier d’auditeur dont la compréhension du système


d’information des entreprises est rapidement croissante.

Précisions concernant le système d’information.


A 56. Un système informatique crée aussi des risques spécifiques au regard du contrôle
interne d'une entité, par exemple :
- l'utilisation de systèmes d'exploitation ou de programmes traitant de manière
incorrecte des données, ou traitant des données incorrectes, voire les deux à la
fois ;
- l'accès non autorisé aux données pouvant entrainer la destruction des données ou
leur modification inappropriée, y compris l'enregistrement d'opérations non
autorisées, voire inexistantes, ou encore l'enregistrement incorrect des opérations.
Des risques particuliers peuvent survenir lorsque des utilisateurs multiples
accèdent à une base de donnée commune ;

­ la possibilité pour le personnel du service informatique d'obtenir des accès privilégiés au­
delà de ceux nécessaires à l'exercice de leur fonction, annihilant ainsi la séparation des taches;

­ des changements non autorisés de données dans des fichiers maitres ; 

­ des changements non autorisés apportés aux systèmes ou aux programmes ; 

­ le fait de ne pas procéder aux changements nécessaires dans les systèmes ou les 
programmes; 
­ des interventions manuelles inappropriées ; 
­ la perte potentielle de données ou l'incapacité à accéder à certaines données tel qu'exigé. 

Application aux petites entités


A85 –   Les systèmes d'information et le processus opérationnel touchant à l'élaboration de
l'information  financière  dans les  petites  entités  sont probablement  moins  sophistiqués  que
dans les grandes, mais leur rôle est tout aussi important. Les petites entités dans lesquelles la
direction a une participation active à la gestion peuvent ne pas avoir besoin de description
détaillée   des   procédures   comptables,   du   système   comptable   ou   de   politiques   écrites.   La
connaissance du système et des procédures de l'entité peut en conséquence être facilitée dans
un audit de petites entités et être plus fondée sur des demandes d'informations que sur la revue
de la documentation. Le besoin d'acquérir cette connaissance reste cependant importante.  

ECF Formations ©
ECF Système d’information et contrôle interne
29/134

A87. La communication peut être moins structurée et plus facile dans une petite entité que
dans une grande du fait de beaucoup moins de niveaux de responsabilités et d'une plus grande
visibilité et disponibilité de la direction. 

En conclusion de ce chapitre de cette série, le système d’information est un outil mis en place
par les dirigeants de l’entreprise. Le degré d’implication des dirigeants et/ ou des informations
qu’ils doivent produire pour les tiers est un facteur déterminant dans le choix du système.
L’auditeur trouve dans celui-ci les moyens de parvenir à une assurance raisonnable pour
forger son opinion.

Mais voyons cela dans le détail.

ECF Formations ©
ECF Système d’information et contrôle interne
30/134

1.3.3.4 LE SYSTÈME D’INFORMATION

Préambule :

Nous sommes là dans une phase de compréhension, à ne pas confondre avec la « conduite de
la mission » qui sera étudiée dans la série suivante.
Il ne faut pas non plus confondre cette phase avec les « constations », qui comprend aussi la
phase communément appelée « audit des données ». Cette dernière phase sera étudiée dans la
série 4.
Certaines des techniques utilisées en audit de données sont également utilisées lors de la
« conduite de la mission ».

Cette phase a pour objectif l’évaluation des risques par l’auditeur que les comptes contiennent
des anomalies significatives.

Tant la loi de sécurité financière (LSF) que les normes internationales d’audit donnent, dans
cette phase, une place prépondérante au contrôle interne.
Le système d’information de l’entité contrôlée est le composant central du contrôle interne.
Avant de dresser le plan détaillé de cette partie de la série, il convient de limiter le champ
d’investigation de l’auditeur à ses obligations.

La compréhension de l’auditeur inclut la façon dont les flux d’opérations sont initiés…
Les opérations d’une entité sont les activités pour développer, acheter, produire, vendre et
distribuer les produits et les services, assurer la conformité aux lois et aux règlements et
l’enregistrement des informations, y compris la comptabilité et l’information fournie dans les
états financiers.

ECF Formations ©
ECF Système d’information et contrôle interne
31/134

Ce schéma très complet montre l’étendue du sujet.


Il ne s’agit ici que de rappeler l’activité et la nature de l’entité en vue de déceler des risques
inhérents dits « exogènes » (voir première partie de la série 3 ci-dessus).

Il ne s’agit en aucun cas, pour l’auditeur, d’avoir une connaissance détaillée du


fonctionnement de l’entreprise contrôlée sous toutes ses facettes.
Ses obligations sont limitées à « la compréhension du système d’information, y compris les
processus, concernant les états financiers, incluant notamment :
-les flux d’opérations de l’entité qui sont importants au regard des états financiers (315-18-a).

Tant le seuil de signification que les flux significatifs sont des notions fondamentales :
-le seuil de signification, est l’erreur maximale que l’auditeur pourra admettre dans les
comptes présentés, sans demander une correction de ceux-ci.
Un élément qualitatif est aussitôt ajouté :
En vue d’acquérir une « assurance raisonnable », l’auditeur portera, conformément aux
indications portées sur ces points dans le « plan de mission » une attention particulière sur les
principaux flux d’opérations de l’entité contrôlée.
-le seuil de planification concernant un flux d’opérations sera plus particulièrement étudié au
cours de cette journée.

La norme ISA 315 complète ce point en indiquant :

ECF Formations ©
ECF Système d’information et contrôle interne
32/134

« A8l. Le système d'information relatif aux objectifs d'élaboration de l'information financière,


qui comprend le système comptable, est constitué des procédures et des documents définis et
destinés à :
- initier, enregistrer, traiter et présenter les opérations de l'entité (de même que
des évènements et des situations) et à suivre les actifs, les passifs et les fonds
propres qui leur sont liés;
- résoudre les traitements incorrects d'opérations, par exemple les fichiers en
suspens automatisés et les procédures suivies pour éclaircir les écritures en suspens
en temps voulu ;
- suivre le processus et justifier les cas où le système a été contourné ou des
contrôles ont été outrepassés ;
-à transférer l'information partir du système de traitement des opérations au grand
livre ;
- saisir l'information pour les besoins de l'élaboration de l'information financière
concernant des faits ou des situations autres que des opérations, tels que les
provisions et l'amortissement des actifs, et les changements dans le caractère
recouvrable des comptes à recevoir ; et
- s'assurer que l'information devant être fournie selon le référentiel comptable
applicable est saisie, enregistrée, traitée et récapitulée et présentée de manière
appropriée dans les états financiers.

Ecritures de journal
A82. Le système d'information d'une entité inclut typiquement l'utilisation d'écritures de
journal standard utilisées de façon récurrente pour enregistrer les opérations. Des exemples de
ces écritures concernent les écritures de centralisation au grand livre des ventes, des achats et
des dépenses, ainsi que celles relatives aux estimations comptables qui sont périodiquement
faites par la direction, telles que les modifications dans l'estimation des créances
irrécouvrables.
A83. Le processus d'élaboration de l'information financi8re d'une entité inclut également
l'utilisation d'écritures de journal non standard pour enregistrer des opérations ou des
ajustements non récurrents ou inhabituels. Des exemples de telles écritures comprennent les
retraitements de consolidation, celles relatives à un regroupement d'entreprises, à une cession,
ou à des estimations non récurrentes telles qu'une dépréciation d'actif. Dans des systèmes
comptables où le grand livre est tenu manuellement, les écritures non standard peuvent être

ECF Formations ©
ECF Système d’information et contrôle interne
33/134

identifiées par la revue de ce grand livre, des journaux auxiliaires ou de la documentation


afférente. Cependant, quand des traitements informatisés sont utilisés pour tenir le grand livre
et préparer les états financiers, de telles écritures sont susceptibles d'exister uniquement sous
forme électronique et peuvent donc être plus facilement identifiées par l'utilisation des
techniques d'audit assistées par ordinateur.

Processus opérationnel
A84. Le processus opérationnel d'une entité sont les mesures destinées à :
- développer, acheter, produire, vendre et distribuer les produits ou les services de
l'entité ;
- assurer la conformité des opérations avec les textes législatifs et réglementaires ;
- enregistrer l'information, y compris celle relative à la tenue de la comptabilité et à
l'élaboration de l'information financi8re.
Le processus opérationnel résulte des opérations qui sont enregistrées, traitées et présentées
par le système d'information. Acquérir la connaissance du processus opérationnel de l'entité,
qui comprend la façon dont les opérations sont initiées, aide l'auditeur dans sa prise de
connaissance du système d'information de l'entité relatif à l'élaboration de l'information
financière en le recadrant dans le contexte de l'entité. »

Les définitions du contrôle interne et du système d’information données plus haut sont
précises, de plus la démarche de l’auditeur concernant la compréhension du système
d’information y est décrite précisément, d’où notre plan pour cette partie de la série :

• les flux d’opérations de l'entité qui sont significatifs en vue de la préparation des états
financiers.
• les procédures, y compris les technologies de l'information et les systèmes manuels, par
lesquels ces transactions sont lancées, enregistrées, traitées et restituées dans les états
financiers.
• les enregistrements comptables concernés, électroniques ou manuels, le suivi de
l'information, et le détail des comptes dans les états financiers, en ce qui concerne le
lancement, l'enregistrement, le traitement et la restitution des transactions.
• comment le système d'information enregistre les évènements et conditions, autres que des
flux d’opérations, qui sont significatifs dans les états financiers.
• le processus de préparation des états financiers de l'entité, y compris les évaluations
comptables significatives et leurs conséquences.
NB : les deux derniers points de cette énumération ne seront pas traités dans cette série, en
raison de leur caractère ponctuel ou exceptionnel. Nous les retrouverons dans la série suivante

ECF Formations ©
ECF Système d’information et contrôle interne
34/134

intitulée « conduite de la mission » où les moyens proposés sont de nature à observer des
évènements et conditions ponctuelles et exceptionnelles ainsi que les évaluations comptables
significatives.

1.3.3.4.1 Les flux d’opérations significatifs.

Les flux d’opérations, la balance des comptes et les états financiers sont trois étapes à
considérer par l’auditeur. Dans ce premier point, une fois les flux d’opérations recensés, il
convient de déterminer ceux qui sont significatifs.

Les flux d’opérations par type de secteur d'activité en PME

Dans la méthode rapide proposée, l'approche par la trésorerie permet de dialoguer avec le
Responsable administratif et financier qui est l'interlocuteur habituel de l'auditeur en PME.
Bien entendu, le risque de détournement est ici élevé, notamment en PME où les acteurs sont
polyvalents et en nombre réduits par définition.

Le flux suivant proposé à l'étude est "Ventes-Clients-Encaissements". Celui-ci, dont


l'entreprise à la maîtrise sur le plan administratif et comptable, mais pas commercial, présente

ECF Formations ©
ECF Système d’information et contrôle interne
35/134

notamment des possibilités de manipulation provisoire (rattachement), voire définitive


(détournements, omission de facturation, absence d'existence ou réalité).

Mais restons sur le plan de l'organisation des diligences de l'auditeur.

ECF Formations ©
ECF Système d’information et contrôle interne
36/134

La démarche est ici structurée de la façon suivante :


1 - En cas de ventes au comptant, le renforcement du questionnaire est pratiquement
impératif.
1-A En négoce, la liaison avec le flux stock est fortement recommandée.
1-B En services, la liaison avec le flux personnel l'est également.
2 - En cas de ventes à crédit, l'aspect administratif a déjà été passé en revue lors de l'étude
du flux trésorerie.

Cette étape est consignée dans le plan de mission conformément au décret du 12 août 1969
modifié le 27 mai 2005, et dans la norme homologuée par décret du mois d’octobre 2006.

L’auditeur ayant ainsi déterminé les flux d’opérations significatifs de l’entreprise contrôlée, il
peut maintenant aborder la compréhension de la phase suivante.

1.3.3.4.2 Les procédures, y compris les technologies de l'information, les systèmes


manuels
par lesquelles ces transactions sont initiées, enregistrées, traitées et restituées dans les états
financiers.

La décomposition des flux d’opérations en quatre phases distinctes est un élément nouveau
qu’il convient de détailler maintenant.

L’annexe 2 paragraphe 9 de ISA 315 définit les 4 types de procédures


-Des flux d’opérations peuvent être initiées manuellement ou automatiquement par des
procédures programmées.
-L'enregistrement consiste à identifier et à saisir l'information appropriée concernant
transactions ou des événements.
-Le traitement inclut des fonctions comme l'édition et la validation, le calcul, la mesure,
l'évaluation, l'addition, et le rapprochement, exécutés soit manuellement soit
automatiquement.
-La préparation de rapports qui comprend la préparation des états financiers et d'autres
informations, en format électronique ou imprimé, que l'entité emploie en mesurant et en
passant en revue la performance financière de l'entité et ou d'autres fonctions. La qualité de
l'information générée par le système est en relation avec la capacité de la gestion à prendre
des décisions appropriées en dirigeant et en contrôlant les activités de l'entité en vue de la
préparation d’états financiers fiables.

Le niveau de détail de ces procédures est important.

ECF Formations ©
ECF Système d’information et contrôle interne
37/134

Ces points seront repris et analysés de façon détaillée dans la séquence suivante intitulée :
Procédures d’audit : les tests de procédures.

Il convient maintenant d’établir le lien entre les flux d’opérations significatives


et les procédures (y compris les technologies de l’information et les systèmes
manuels).

Cette diligence nous conduit à évoquer la notion de périmètre ou cartographie.

1.3.3.4.3 Cartographie

La cartographie est un outil permettant d'avoir une vue générale du système d'information de I'en -
treprise, afin d'en comprendre le fonctionnement et d'organiser les contrôles à effectuer dans le cadre
de la mission d'audit.
Il est pertinent d'identifier le périmetre des fonctionnalités installées et paramétrées par I'entreprise :
• une premiere approche consiste ä prendre connaissance de la documentation fournie par I'editeur et ä
identifier avec I'entreprise les modules qui ont ete parametres. Certains progiciels peuvent offrir ces
informations au niveau du module d'administration,
• une seconde approche consiste ä rechercher le contrat de licence, qui généralement détaille les
modules qui ont été acquis et peut également donner des informations sur les profils utilisateurs
(paramétrage, utilisation, consultation). Certains PGI sont installés en standard avec tous les modules,
même si I'entreprise n'en utilise qu'une partie.
Les informations recueillies permettent d'identifier les éléments sensibles qui pourront faire I'objet
d’un contrôle détaillé, par exemple les points d'intégration entre les différents modules (appelés
interfaces internes, par opposition aux interfaces externes qui permettent au PGI de communiquer avec
d'autres systèmes).

ECF Formations ©
ECF Système d’information et contrôle interne
38/134

et aspect dynamique de la cartographie permet de comprendre la vitesse de propagation des


informations de l’entreprise. Ce point est utile pour interpréter l’ampleur et la qualité des
contrôles mis en place. Ainsi, par exemple, si la planification des traitements informatique
n’est pas optimale, les facturations peuvent ne pas être intégrées à temps en comptabilité.

Ce travail est conduit par l’auditeur, avec l’objectif d’établir ensuite le croisement de la
cartographie et des processus (ancienne norme 2-302 de la CNCC)

Un processus est défini de la façon suivante :


Il s’agit d’une « suite d’évènements non maîtrisés ». Ce mot trouve son origine dans la langue
grecque où il signifiait « progrès ».

ECF Formations ©
ECF Système d’information et contrôle interne
39/134

Dans le monde de l’audit, il convient d’évoquer à ce stade, en parallèle l’utilisation du mot


« procédure » qui lui, concerne des évènements maîtrisés ou pré-établis.

L’intérêt du rapprochement de ces deux mots n’est pas effectué uniquement dans un souci de
clarification par des définitions qui permettent d’éviter l’emploi confus de l’un pour l’autre
dans le langage courant en général dans le langage courant et dans le langage employé par
l’auditeur au cas particulier.

Il convient, aussi, en recherchant les causes de cette confusion, d’évoquer les objectifs
poursuivis par l’auditeur lorsqu’il les emploie :
-Recherchant notamment les éléments informatisés, de façon à utiliser les caractéristiques
inhérentes des technologies de l’information, et principalement leurs caractéristiques
répétitives, un « processus » désigne un ensemble d’éléments non maîtrisés qui permettent de
constater une transaction, un évènement ou un engagement et sa transcription dans le système
d’information de l’entité.
Il s’agit en fait d’un élément détaillé du système d’information visant à l’accomplissement des
opérations d’une entité.

-Jusque là, pas de problème, mais en considérant dorénavant la division des transactions
répétitives en :
initialisation,
enregistrement,
traitement ou interface
restitution, compte-rendu ou constat de celle-ci,
la problématique est étendue, qui conduit à analyser chacune de ces procédures.
-En effet, l’assurance raisonnable recherchée par l’auditeur comporte une analyse du dispositif
à chaque étape, avec notamment la possibilité d’intervention manuelle rendant le
« processus » (en principe automatisé) peu fiable ou nécessitant un contrôle postérieur.

L’apport essentiel de la norme ISA 315 est ici de distinguer systématiquement quatre
« phases » dans la réalisation d’un flux d’opérations. Ce qui peut passer pour un surcroît de
complexité non fondé apportera au contraire à l’auditeur une meilleure vision des risques
encourus en raison d’un point de vue transversal qui donne de nouvelles perspectives,
notamment sur les plans des systèmes manuels et des activités de contrôle étudiées à la fin de
ce chapitre (l’environnement de contrôle, le système d’information et les activités de contrôle
constituant les trois composants principaux du contrôle interne dans les PME).

Une fois établie la cartographie applicative, il convient d’effectuer le « croisement de la


cartographie et des processus, tel que défini dans l’ancienne norme 2-302 de la CNCC :

ECF Formations ©
ECF Système d’information et contrôle interne
40/134

le tableau ci-dessous comporte en colonnes les applications utilisées dans l’entité et en


ligne les « processus ».

Le rapprochement des flux d’opérations significatifs, dans cet exemple de petite entreprise,
devient ici pratiquement évident.
Ce « croisement » permettra, en outre, d’identifier les systèmes manuels nécessaires au bon
fonctionnement d’un flux d’opérations significative.
Bien que le vocabulaire ne soit pas encore stabilisé, notons que la norme française
homologuée NEP 315 a retenu le mot procédure et que la norme internationale d’audit ISA
315 a retenu « procedure » et « transaction » (en anglais dans le texte), alors que « process »
(traduit souvent en français par processus) est utilisé systématiquement dans le cadre
d’automatismes employés dans les différentes procédures.

ECF Formations ©
ECF Système d’information et contrôle interne
41/134

1.3.3.4.4 Croisement des flux d’opérations avec les applications informatiques

En clair, l’auditeur devrait évoquer plus généralement les flux d’opérations au niveau majeur
et les procédures applicatives au niveau détail, en faisant le croisement avec les applications
informatiques utilisées.
A la lecture de ce développement, l’emploi dans l’ancienne norme 2-302 du terme
« processus » peut paraître impropre au sens étymologique. La complexité du sujet en est la
cause : les rédacteurs de ladite norme ont voulu limité le vocabulaire employé pour en faciliter
l’utilisation, d’autant plus que cette norme venait en complément de la norme 2-301
« contrôle interne » écrite de nombreuses années avant la généralisation des systèmes
d’information automatisés.

Une illustration de la problématique liée à l’évolution technologique rapide et aux


difficultés d’utiliser un vocabulaire stable est également perceptible dans la séquence
suivante…

Un des apports importants des « systèmes d’information» vient de l’automatisation de


nombreuses taches qui auparavant nécessitaient la manipulation de nombreux documents.

La dématérialisation progressive ainsi que la mise en place de « paramètres » ont permis de


réaliser d’importants gains de productivité.

Dans la séquence suivante, cet aspect « capitalisation de l’information » est abordé.

1.3.3.4.5 Les référentiels

tels que définis dans l’ancienne norme 2-302 et notamment utilisés dans la partie « mise en
œuvre de l’appréciation du risque lié aux contrôles applicatifs », sont définis comme une des
composantes statiques applicatives (également appelés dans les petites applications
informatiques fichiers permanents ou fichiers maitres).

L’aspect statique de la cartographie consiste à localiser les applications et les données de


l’entreprise et donc d’identifier les éléments de référence permettant tout contrôle.

ECF Formations ©
ECF Système d’information et contrôle interne
42/134

La norme ISA 315 ramène cette définition dans la phase de compréhension :


« le système d’information …. comprend … les enregistrements établis pour initier,
enregistrer, traiter et restituer les opérations… »

Notons ici le caractère dynamique de cette définition, notamment en cas de séparation des
taches importantes, conduisant à étendre encore le périmètre de cette définition, dans la
mesure où les habilitations permettent de contrôler en amont la validité et la qualité des
informations transmises à chaque phase.
Notons également le caractère interne ou externe des référentiels utilisés dans les différentes
procédures applicatives.
Par exemple, le plan comptable utilisé est un référentiel externe, alors que la liste des familles
d’articles vendus constitue un référentiel interne.

L’étude des principaux référentiels d’une application peut constituer un axe de prise de
connaissance souvent pertinent.
La liaison avec les flux d’opérations significatives conduit, par exemple, cette démarche dans
le schéma ci-dessous :

ECF Formations ©
ECF Système d’information et contrôle interne
43/134

Développons maintenant la notion de progiciel et de niveau d’intégration.

Problématique :
L'existence d'un progiciel de gestion intégré (PGI) dans une entité, en exploitation ou à I'état
de projet, peut nécessiter des contrôles specifiques de l’auditeur. II est en effet généralement
difficile d'appréhender certains progiciels, en raison de l’existence de nombreux paramètres et
d'habilitations.
Le svstème d'information apparait fermé en première approche, rendant difficiles les travaux
de contrôle interne. La connaissance du système par les salariés de I'entreprise est parfois
limitée car ils n'ont pas toujours été impliqués dans la mise en place du progiciel ou bien ont
été insuffisament formés. Aussi, ils ne comprennent pas nécessairement toutes les
conséquences et les incidences multiples que peuvent avoir leurs actions sur le système
d'information, ainsi que sur les données comptables et financières.

ECF Formations ©
ECF Système d’information et contrôle interne
44/134

1.3.3.4.6 Caractéristique des progiciels de gestion intégrés (PGI)

II est utile de recueillir des informations concernant les caractéristiques du progiciel de


gestion intégré utilisé par I'entreprise, tant l'offre des éditeurs est hétérogène. Le systeme a pu
être conçu initialement de manière globale et integrée ou avoir été développé autour de
fonctionnalités spécifiques comme par exemple la comptabilité.
On distingue généralement trois grandes catégories de systèmes :
• les PGI destinés aux grandes entreprises, dont les fonctionnalités sont très développées en
matière de gestion des devises, d'adaptation à I'organisation de I'entreprise et couvrant
I'ensemble des activités,
• les PGI destinés aux entreprises de taille moyenne, dont les fonctionnalités peuvent se
limiter au périmetre comptable et aux domaines directement liés, comme les achats et dans
lequel il est possible de gérer plusieurs entites juridiques,
• les PGI destinés aux petites entreprises, dont les fonctionnalités réduites ne permettent
généralement pas une prise en compte des particularités de l'entreprise.

Parallèlement à l’installation des PGI, les entreprises de toutes tailles mettent en place des
mécanismes de circulation des documents électroniques (workflow) qui suppriment la
circulation des documents papier. Il en résulte un allègement de la paperasserie des
formulaires et autres navettes qui s’accompagne d’une meilleure traçabilité des transactions.
Le même phénomène se produit vis-à-vis de l’extérieur de l’entreprise. En effet les EDI avec
les tiers (clients, fournisseurs, banques, organismes sociaux, trésor public, etc).
Notons également que la conservation des documents en format électronique (notamment des
factures de vente) se généralise.

1.3.3.4.7 Stratégie informatique de l’entreprise

La stratégie informatique de I'entreprise et les modalités de mise en place du PGI sont des
informations importantes pour apprécier les risques informatiques.
Deux stratégies opposées peuvent être adoptées par I'entreprise quant à la mise en place du
PGI.
• refonte complète des procédures de I'entreprise pour s'adapter à la structure et aux
fonctionnalités du PGI,
• adaptation du PGI ä I'organisation et aux particularités de I'entreprise.
Un élément important de la stratégie de mise en place concerne le choix fait par
I'entreprise de faire appel ou non à une société de services externe et ses conséquences
sur :
• Les modalités de paramétrage du progiciel,
• Le niveau de maitrise du progiciel par I'entreprise et son niveau de dépendance vis-ä-vis du
tiers.

ECF Formations ©
ECF Système d’information et contrôle interne
45/134

1.3.3.4.8 Cas particulier des PGI évènementiels


Particularités des PGI anglo-saxons :
 La gestion comptable anglo-saxonne relève du traitement des
événements :
 Commande d'achat, réception marchandise, réception
facture, rapprochement, règlement fournisseur,
rapprochement bancaire, sont autant d'événements qui
ont leur "transaction" propre.
 La comptabilisation de ces événements est faite par le
système :
 Les transactions générées sont "traduites" par des tables
de correspondances entre les événements et les
transactions comptables.

Ces tables constituent une première série de "paramètres":


On parle aussi de schémas d'écritures, le nombre de lignes d'écritures
étant, à la fois variable et quelquefois important (jusqu'à une quinzaine),
les risques d'erreurs par omission des cas à traiter sont importants, sans
pour autant pouvoir être systématiquement analysés avant la mise en
exploitation.

1.3.3.4.9 Les besoins habituels de paramétrage (selon le type de secteur d'activité)


A) les règles de gestion peuvent être classées en plusieurs catégories distinctes :
 Les règles de gestion à caractère législatif et réglementaire : par exemple la fiscalité
applicable à un métier, les règles sociales et notamment celles concernant la durée du travail.
 Les règles de gestion liées à l'importance des opérations : par exemple le minimum de
facturation lié ou non à l'expédition franco de port, ou encore le minimum de commande à
passer à un fournisseur, et la tarification de façon générale. Citons encore ici la notion d'ordre
de fabrication qui rassemble une série d'articles en cours d'élaboration selon des contraintes
fixées au passage à chaque poste de fabrication, ou l'organisation d'une tournée de transport
ou de démarchage.
 Les règles de gestion liées à la nature des opérations : répétitive ou ponctuelle, notion
d'obsolescence ou de péremption, notion de conditionnement, de miscibilité, protection de
l'environnement.
 Les règles de gestion liées à la dépendance des acteurs : contraintes géographiques,
situation de monopole, organisations collectives.
Reprenons les trois principaux types de secteurs d'activité (négoce, services, fabrication) à la
lumière des différentes catégories de règles de gestion :
 Les règles de gestion à caractère législatif et réglementaire s'appliquent à l'ensemble des
trois.

ECF Formations ©
ECF Système d’information et contrôle interne
46/134

 Les règles de gestion liées à la dépendance des acteurs ou des activités concernent tous les
types de secteur et sont souvent liées à l'importance des flux ainsi qu'à des considérations
géographiques ou de logistique.
 Le négoce est plutôt concerné initialement par l'importance des opérations. Dans un
deuxième temps, la nature des opérations et la dépendance des acteurs deviennent
prépondérantes.
Le service est concerné par l'importance combinée à la nature des opérations.
La fabrication est concernée au premier chef par la nature des opérations.

En fait, le développement de chaque point est fait en fonction de l'activité précise, voire du ou
des métiers de l’entité contrôlée.
Aucune règle générale ne semble pouvoir être tirée de ce type d'analyse.

Créons un tableau pour illustrer cette situation :


Liées à la
Liées à dépendance des
A caractère Liées à la nature
Règles de l'importance acteurs ou des
législatif et des opérations
gestion des opérations activités
réglementaire COMMENT ?
COMBIEN ? AVEC QUI ou
QUOI?

Coup par coup,


Règlement Fournisseur
Franco de port, Comptant ou unique, SAV
Négoce Taux TVA
tarif Différé et/ou
Préparation , maintenance
Expédition

Forfait
Régie ou forfait
Service Taux TVA déplacement,
Réception ?
Régie ou forfait

Programme ou
Protection
Fabrication Série minimum lancement sur
environnement
commande
Toute règle de gestion peut trouver une formulation positive concernant un secteur voire un
métier... Il convient de lui accorder un poids relatif selon son efficacité dans un contexte
d'analyse donné.
L'objectif étant ici de ne plus imposer celles-ci aux acteurs dès lors que le fait de l'enfreindre
ne crée pas une situation de crise.
Tout ceci reste très théorique, d'autant plus que les trois types de secteur d'activité sont
schématiques et le premier type d'entreprise venu comportera plusieurs activités
complémentaires, elles-mêmes rattachées par exemple au service et au négoce.
Les règles de gestion sont donc recensées statiquement dans le système d'information de
l'entreprise, mais également doivent pouvoir être formulées à la volée et analysées aussitôt les
unes par rapport aux autres.

ECF Formations ©
ECF Système d’information et contrôle interne
47/134

B) les règles de gestion peuvent aussi être classées selon qu'elles sont à
respecter en amont ou en aval d'une décision.
B1) règles de gestion à respecter en amont:
Règles de gestion métier comme la préparation d'un bon de réparation chez un
concessionnaire automobile
Règles de gestion financière par exemple attribution d'un escompte pour paiement
comptant
B2) règles de gestion à respecter en aval
Etats comptables comme le choix d'un plan comptable spécifique
Etats de gestion : méthode de gestion des stocks
Etats financiers : axe analytique choisi pour la ventilation des ventes, achats et frais de
personnel

Etats spécifiques : prévisions de trésorerie liées à un retard dans le délai de règlement


des clients

1.3.3.4.10 Revue d’application du point de vue métier

Lors de la phase d’orientation et de planification de la mission, le commissaire aux comptes a


été amené à croiser la cartographie du système d’information avec les flux d’opérations
significatives de l’entité. Ce croisement a permis de déterminer quelles étaient les procédures
devant faire l’objet de travaux approfondis (revue d’application métier).
Rappel des objectifs de la revue d’application et modalités pratiques

La revue d’application permet :


D’éviter l’effet « boite noire » consistant à ne voir l’application auditée que comme un point
d’entrée et de sortie de données sans savoir quels traitements ont été opérés sur celles-ci au
cours de leur passage dans l’application. Elle doit être menée dans l’objectif d’acquérir une
compréhension au niveau détail.

Cette compréhension résulte du croisement : à l’intersection de chaque flux d’opérations


significatif et de chaque application, il est possible de recenser une ou plusieurs transactions
qui peut être documentée par l’auditeur sous forme d’un schéma.
Ces schémas peuvent être établis avec le traitement de texte habituel (Word) ou avec un outil
spécialisé (Visio).
La différence est surtout visible au niveau de la structure de la documentation qui peut alors
être retravaillée simplement avec l’outil élaboré Visio, qui de plus documente aussi
automatiquement les enchaînements, comme dans l’exemple ci-dessous.

ECF Formations ©
ECF Système d’information et contrôle interne
48/134

Ce schéma illustre une organisation comptable décentralisée dans le cadre de la gestion de la


restauration en environnement universitaire.
Le niveau de détail très faible intègre seulement les services et acteurs extérieurs en indiquant
les flux échangés.

L’exemple ci-dessous illustre la prise de commande, l’utilisation des données entrées


(référentiels), et la préparation de la livraison en fonction de la disponibilité des articles.

ECF Formations ©
ECF Système d’information et contrôle interne
49/134

Le niveau de détail est ici plus grand, avec les contrôles opérés à chaque étape.

Il n’est pas prévu dans ce support de faire de la méthodologie, le niveau de compréhension


requis par l’auditeur étant souvent bien documenté par les éditeurs des progiciels, mais les
paramétrages possibles sont autant de risques supplémentaires ou au contraire d’opportunités
de contrôle qu’il devra rechercher.
Ainsi, pendant de nombreuses années, les progiciels d’entrée de gamme en matière de gestion
commerciale n’ont pas conservé les bons de livraison après transformation en facture.
Cette perte de la piste d’audit constituait un risque essentiel.
D’autres ne verrouillaient pas les informations saisies (bons de livraison ou factures) après
leur validation.
Notamment en période de mise en place d’un nouveau progiciel, certains de ces documents
étaient complétés ou corrigés à tort après.

ECF Formations ©
ECF Système d’information et contrôle interne
50/134

Dans certains cas, encore, un bon de livraison pouvait être saisi, puis transformé en facture,
alors qu’une facture pouvait également être établie directement, créant une ambiguité tant à
propos de la sortie de l’inventaire permanent des produits vendus que du suivi de la piste
d’audit.
Le schéma ci-dessus reflète bien le niveau de compréhension requis de l’auditeur dans le
détail (commande, livraison, facturation)
Selon la méthode MERISE, le modèle conceptuel des traitements (MCT) lui permet de
préparer l’étape suivante appelée « vérification du fonctionnement », qui sera étudiée dans la
série suivante.

Sur le plan pratique, l’expérience de l’auditeur s’enrichira à chaque nouveau progiciel étudié,
tant sur le plan de la documentation que sur le plan des paramétrages possibles.

Niveau de profondeur
La norme ISA 315 précise :
« L'obtention de la compréhension des contrôles d'une entité n'est pas suffisante pour tester
l'efficacité de fonctionnement de ces contrôles, à moins qu'un automatisme prévoit
l'application systématique de l'opération du contrôle (les éléments manuels et automatisés du
contrôle interne concernant l'audit sont décrits ci-dessous).
Par exemple, l'obtention de l'évidence d'audit au sujet de l'exécution d'un contrôle manuel à
un moment donné ne fournit pas l'évidence d'audit au sujet de l'efficacité de fonctionnement
du contrôle dans d'autres circonstances que pendant la période à auditer.
Cependant, les technologies de l'information permettent à une entité de traiter de grands
volumes de données uniformément et augmente la capacité de l'entité à surveiller l'exécution
des activités de contrôle et de réaliser une séparation efficace des fonctions en mettant en
application des contrôles de sécurité dans les applications, les bases de données, et les
logiciels d'exploitation.
Par conséquent, en raison de l'uniformité inhérente aux technologies de l'information,
l'exécution de procédures d'audit pour déterminer si un contrôle automatisé a été mis en
application peut servir de test de l'efficacité de fonctionnement de ce contrôle, selon
l'évaluation faite par l'auditeur et le test des contrôles tels que ceux effectués en cas de
changement de programme. »

On parle alors de tests de détail,

La connaissance des contrôles implémentés permettra au commissaire aux comptes de limiter


ses travaux si les contrôles définis sont efficaces. Le commissaire aux comptes n’aura pas
besoin d’effectuer des tests complémentaires si les contrôles permettent d’avoir une assurance
raisonnable sur la fiabilité des données présentes dans le système d’information.

Comprendre ce qui se passe au sein de l’application et s’assurer que les traitements


automatiques sont fiables permet un degré d’assurance fort sur les données produites par
l’application et a pour conséquence d’alléger les contrôles sur pièces et tests de détail. Cette

ECF Formations ©
ECF Système d’information et contrôle interne
51/134

approche permet un gain de temps important lorsque l’analyse des contrôles s’avère
concluante.

En cas d’anomalie décelée au sein de l’application, des tests pourront être réalisés afin de
déterminer l’impact de ces anomalies sur les comptes.
Les résultats obtenus lors de cette phase permettront de planifier les travaux de la phase
suivante « procédures d’audit».

1.3.3.4.11 Les enregistrements comptables concernés, électroniques ou manuels

Le suivi de l’information et le détail des comptes dans les états financiers, en ce qui concerne le
lancement, l'enregistrement, le traitement et la restitution des transactions.

Ce point, qui concerne les enregistrements comptables concernés, semble avoir la même portée que le
point précédant, à savoir « le lancement, l’enregistrement, le traitement et la restitution des
transactions ».

Le point précédant comporte une vision dynamique et concerne l’étude des méthodes ou procédures,
alors que ce point concerne la façon dont l’information est stockée (il s’agit d’enregistrements ou
documents).

Cette vision comptable présente l’avantage de pouvoir être effectuée à partir des journaux comptables
de saisie, s’ils sont facilement accessibles et du grand livre des comptes qui est, en principe, établi à
partir des journaux, mais en utilisant une présentation selon les numéros de comptes utilisés.

1.3.3.5 ACTIVITÉS DE CONTRÔLE

Les activités de contrôles sont les politiques et les procédures qui aident à s'assurer que les
directives de gestion sont suivies, par exemple, que des actions nécessaires sont lancées en
réponse aux risques qui menacent l'accomplissement des objectifs de l'entité. Le contrôle des
activités, dans les techniques de l'information ou les systèmes manuels, comporte des objectifs
variés et est appliqué à divers niveaux d'organisation et de fonctions.

ECF Formations ©
ECF Système d’information et contrôle interne
52/134

D'une façon générale, les activités de contrôle qui peuvent être appropriées à un audit peuvent
être classées par catégorie (politiques et procédures) comme suit:

1.3.3.5.1 Evaluation des performances

Ces activités de contrôle incluent des revues et des comparaison des données réelles et
budgétaires, des prévisions, et de comparaison aux périodes antérieures; en utilisant
différentes sources de données - de gestion ou financières - l'une et l'autre, ensemble afin
d'effectuer des analyses, des rapports et des actions correctives; en comparant des données
internes aux sources extérieures d'information; et en examinant la performance par fonction
ou par activité, telle que l'examen du taux directeur de crédit à la consommation d'une banque,
des rapports par branche, région, et par type de prêt pour des attributions et des recouvrements
de prêts.

1.3.3.5.2 Traitement de l'information


De nombreux contrôles sont exécutés pour vérifier l'exactitude, l'exhaustivité, et l'autorisation
des transactions.
Les deux principaux types de contrôles des systèmes d'information sont des contrôles
d'application et des contrôles généraux relatifs aux technologies de l'information. Les
contrôles d'application s'appliquent au traitement des différentes applications.
Ces contrôles aident à s'assurer que les transactions se sont produites, sont autorisées, et sont
enregistrées et traitées de façon exhaustive et exacte.
Les exemples des contrôles d'application incluent de vérifier l'exactitude arithmétique des
enregistrements, la mise à jour en passant en revue les comptes et les balances
intermédiaires, les contrôles automatisés comme les éditions pour contrôler les données
entrées et les contrôles de séquence, et le suivi manuel des rapports d'anomalies.
Les contrôles généraux relatifs aux technologies de l'information sont constitués des
politiques et des procédures communes à plusieurs applications et soutiennent le
fonctionnement efficace des contrôles d'application en permettant le fonctionnement continu
des systèmes d'information. Les contrôles généraux comportent généralement des contrôles
des opérations des serveurs et des réseaux; acquisition, changement et entretien de logiciel
système; contrôles d'accès; et acquisition des applications de gestion, développement, et
maintenance. Ces contrôles s'appliquent aux postes de travail, aux serveurs, et aux
environnements des utilisateurs. Les exemples de tels contrôles sont des contrôles de
changement de programme, les contrôles qui limitent l'accès aux programmes ou aux
données, aux contrôles d'installation de nouvelles versions d'applications, et aux contrôles du
logiciel système qui limitent l'accès ou surveillent l'utilisation des utilitaires qui pourraient
changer des données ou des enregistrements financiers sans permettre une vérification
rétrospective.

1.3.3.5.3 Contrôles physiques

ECF Formations ©
ECF Système d’information et contrôle interne
53/134

Ces activités entourent la sécurité physique des actifs, y compris les sauvegardes en rapport
avec les équipements évoqués ci-dessus permettant l'accès aux matériels et aux
enregistrements; autorisation pour l'accès aux fichiers des programmes informatiques et
des données; et mise en place de rapprochements périodiques avec les montants calculés dans
les états de gestion (par exemple, comparaison avec les sommes d'argent comptant, contrôle
des habilitations et rapprochement physique avec les enregistrements d'un inventaire
permanent). Le point selon lequel les contrôles physiques prévus pour empêcher le vol des
actifs sont appropriés ou non à la fiabilité de la comptabilité, et donc de l'audit, dépend des
circonstances, par exemple lorsque les capitaux sont fortement susceptibles de détournement.
Par exemple, ces contrôles ne seraient pas appropriés si les écarts d'inventaire sont détectés
conformément à l'inspection physique périodique et enregistrés dans le système comptable.
Cependant, si pour les états financiers, la gestion utilise seulement l'inventaire permanent, les
contrôles physiques de sécurité seraient appropriés à l'audit.

1.3.3.5.4 Séparation des fonctions


L'assignation à des personnes différentes de responsabilités d'autorisation des transactions,
d'enregistrement des transactions, et de préserver les actifs est prévue pour réduire les
occasions de permettre à toute personne d'être en position de commettre et de dissimuler des
erreurs ou fraudes dans le cours normal de l'exercice de ses fonctions. Les exemples de la
séparation des fonctions incluent la préparation des états, la revue et l'approbation des
rapprochements, l'approbation et le contrôle des documents (workflow).

Certaines activités de contrôles peuvent dépendre de l'existence des politiques appropriées de


niveau plus élevé établies par la gestion ou la direction. Par exemple, des contrôles
d'autorisation peuvent être délégués selon des directives établies, telles que des critères
d'investissement établis par la direction; alternativement, les transactions exceptionnelles
telles que des acquisitions principales ou les désinvestissements peuvent exiger l'approbation
spécifique de niveau élevé, incluant dans certains cas celle des actionnaires.

1.3.3.5.5 Application aux petites entités

Les activités fondamentales de contrôle des activités dans de petites entités sont susceptibles
d'être semblables à celles dans de plus grandes entités, mais la formalisation avec laquelle
elles sont effectuées est différente. De plus, les petites entités peuvent constater que certains
types d'activités de contrôle ne sont pas appropriés en raison des contrôles effectués par la
direction.

Par exemple, la conservation par la direction de l'approbation des conditions de crédit


accordées aux clients, des achats significatifs, et de l'abaissement du niveau des lignes de
crédit peut fournir le contrôle fort de ces activités, diminuant ou enlevant le besoin d'activités
plus détaillées de contrôle.

ECF Formations ©
ECF Système d’information et contrôle interne
54/134

Une séparation appropriée des fonctions semble souvent présenter des difficultés dans de
petites entités.

Même les entités ayant seulement quelques employés, peuvent pouvoir assigner les
responsabilités en vue de réaliser la séparation appropriée ou, si ce n'est pas possible,
d'employer la séparation des taches incompatibles pour atteindre des objectifs de contrôle.

Un exemple habituel de taches incompatibles est :


- opération d’approbation (validation d’une facture fournisseur par la gestion en vue de sa
comptabilisation)
- opération de paiement (mise en paiement d’une facture fournisseur comptabilisée)
Ces deux taches ne peuvent en principe être effectuées par la même personne.

ECF Formations ©
ECF Système d’information et contrôle interne
55/134

1.4 LES ASSERTIONS ET LE TABLEAU DES RISQUES

Cette dernière séquence de la série comporte 3 parties :


1) Les assertions
2) Les risques significatifs
3) Les risques pour lesquels les seules procédures substantives ne suffisent pas

Elle est conclue par le tableau des risques.

Après la séquence "contrôle interne", riche en nouveautés, cette séquence apporte également
ses innovations.
Observons que cette séquence représente la phase de conclusion de la "compréhension"
(appellation simplifiée de la première norme internationale d'audit ISA 315).
L'esprit critique de l'auditeur doit maintenant s'exercer et être formalisé.
Mais préalablement découvrons « les assertions sous tendant la production des comptes ».

1.4.1 Les assertions.


Définition : Les assertions sous-tendant la production des comptes sont des « critères » de
qualité visant les « flux d’opérations et les évènements, la balance des comptes à la fin de
l'exercice, ou la présentation des états financiers ».

Trois niveaux ou catégories d'assertions sont donc poursuivies explicitement par l'auditeur :

1 - Celles portant sur l'ensemble de la période contrôlée au niveau des flux d’opérations,

2 - Celles portant sur la balance des comptes à la clôture de l'exercice,

3 - Celles portant sur la présentation des états financiers.

Les assertions détaillées seront étudiées tout au long de ce support :


Elles sont typiquement une composante essentielle de la démarche d'audit prise dans son
ensemble.
Elles sont indissociables des risques que les comptes contiennent des anomalies significatives.

Leur étude est ici synthétique dans cette séquence, elles sont évoquées dans leur ensemble.

ECF Formations ©
ECF Système d’information et contrôle interne
56/134

Dans la séquence "procédures d’audit", les assertions seront abordées pratiquement en


corollaire avec les tests de procédure (ces derniers constituant en quelque sorte une réponse à
une ou plusieurs d’entre elles).

Dans la séquence "éléments probants", les assertions sont abordées en parallèle aux procédés
utilisés par l'auditeur (caractère combinatoire des réponses apportées par l’auditeur).

Mais soyons plus précis :

L'évaluation des risques au niveau des assertions ne constitue pas une tache unique à
effectuer, mais de travaux d'accommodation du regard de l'auditeur selon le contexte où il se
situe :
- au niveau de "l'évaluation des risques" , l'auditeur porte un regard individuel sur les risques,
mais global sur les assertions : la profondeur de champ est ici maximale, mais le souci du
détail n'apparaît pas encore.
- au niveau des "procédures d’audit", l'auditeur établi un lien entre risques et assertions : il
prépare la correction de sa vision (établie à la phase précédente) pour l'adapter en fonction de
sa propre vue du contrôle interne et des risques significatifs.
- au niveau des "éléments probants", l'auditeur réalise des "zooms" à l'aide d'outils qui lui
permettront d’établir un faisceau de présomption, alors que les risques sont individualisés et
documentés.

ECF Formations ©
ECF Système d’information et contrôle interne
57/134

Nous reviendrons de façon détaillée sur le contenu de chaque assertion dans la série suivante
"procédures d’audit" (ISA 330) avec des moyens mis en œuvre permettant de rechercher
systématiquement certaines d'entre elles.
Dans la partie "éléments probants", les assertions seront systématiquement étudiées avec les
procédures d'audit utilisées pour les rechercher.
L'apprentissage de celles-ci peut être effectué de la façon suivante :
- Présentation et informations données, autrement appelée "au bon compte et au bon poste" est
la première à apprendre.
- Les assertions qui y sont rattachées peuvent être assimilées par les assistants confirmés en
audit dans l'ordre suivant :
Rattachement
Evaluation
Droits et obligations
Mesure (à distinguer de l'évaluation qui concerne les postes de bilan)
- Les assertions isolées dépendent du jugement du chef de mission ou du commissaire aux
comptes :
Exhaustivité
Existence

ECF Formations ©
ECF Système d’information et contrôle interne
58/134

1.4.2 Les risques significatifs


Définition :
Risque significatif : la probabilité de l'occurrence du risque est telle qu'il exige une
considération spéciale en audit.

La routine, les opérations de base qui sont sujettes au traitement systématique provoquent
moins de risques significatifs parce qu'elles comportent des risques inhérents inférieurs : on
parle alors de flux d’opérations significatives.

Sont notamment considérés comme risques significatifs :


• si le risque est un risque de fraude.
• si le risque est lié à un évènement économique significatif récent, la comptabilité ou d'autres
développements et exige, en conséquence, une attention spécifique.
• la complexité des transactions.
• si le risque est la conséquence de transactions significatives avec des parties liées.
• le degré de subjectivité dans la mesure de l'information financière est à prendre en compte
dans l'appréciation du risque, particulièrement ceux comportant une incertitude de mesure très
large.
• si le risque implique des transactions significatives qui sont en dehors des affaires courantes
dans le cadre de l'entité, ou qui semblent ponctuelles. (315-109).

De façon générale, sauf peut-être en cas de complexité des opérations, notamment au niveau
de l’enregistrement (deuxième phase), ces risques significatifs ne font pas partie inhérente dus
système d’information de l’entité, lequel est en général conçu pour traiter les affaires
courantes.

Au niveau des flux d’opérations significatifs, il faut mentionner l'attitude de scepticisme


particulière requise de l'auditeur concernant le flux d’opérations ventes ou recettes… (norme
ISA 240 : fraudes et erreurs). Cette « méfiance » est demandée par le fait que l’entreprise
maîtrise l’ensemble des procédures et des enregistrements concernant ce flux d’opérations
dans sa phase initiale (notamment en cas de dématérialisation des commandes et livraisons),
seul le dénouement de ce type de transaction (l’encaissement du prix, étant un élément
externe).

1.4.3 Comment évaluer un risque ?

Dans un système d’information automatisé, un flux d’opération pourrait comporter des


risques faibles « à priori » si :

ECF Formations ©
ECF Système d’information et contrôle interne
59/134

-Les interfaces sont celles du constructeur informatique ou contrôlées par tout moyen, les
habilitations sont en place.

Dans le cadre de l'organisation de traitements basés sur des référentiels dont la qualité
supposée semble bonne, il est possible de suivre la «piste d'audit » prévue, de sorte que, dans
les petites entités où l'absence de séparation des fonctions est un handicap pour l'auditeur,
l'horodatage des opérations successives constitue une sécurité permettant de conserver ces
risques au niveau faible.
Signalons à cet égard la publication par l’administration fiscale de l’instruction DGI 13
L_1_06 du 24 Janvier 2006 relative au contrôle des comptabilités informatisées qui précise la
portée des instructions antérieures et fixe de nouvelles obligations.

Les habilitations permettent de respecter « la séparation des fonctions ».

En ce sens, il faut considérer ce point comme le principal apport du nouveau « modèle de


risque d'audit », notamment dans les « petites entreprises » où l'implication de la direction est
un gage complémentaire de fiabilité, sous réserve de la non-confusion des patrimoines dans le
cadre de la gestion par un « propriétaire exploitant ».

La présentation de cette démarche, à titre d’exemple, peut être effectuée de la façon suivante :

ECF Formations ©
ECF Système d’information et contrôle interne
60/134

Ici, la première colonne de ce tableau extrait du guide d’application de l’ancienne norme 2-


302 édité par la Compagnie des commissaires aux comptes, indique les assertions visées ou
plutôt leur contraire (mesure incorrecte = non exactitude, absence d’existence).
La deuxième colonne indique le risque inhérent relevé par l’auditeur. Notons que celle-ci est
utilisée comme la suite logique des schémas d’analyse des « sous-processus », tels qu’ils sont
présentés dans la partie précédente de cette série « analyse par flux d’opérations » dans le
cadre de l’introduction à la revue d’application.

Après avoir relevé un risque, il s’agit de le quantifier :


Trois possibilités (Elevé, Modéré ou Faible) sont offertes. En cas de risque inhérent élevé ou
modéré, la démarche contrôle interne peut éventuellement permettre dans les colonnes
suivantes de ce tableau de rendre compte du ou des dispositifs combinés mis en place pour
réduire ce risque à un niveau acceptable pour l’auditeur (Faible).

Les deux colonnes suivantes (Identification des contrôles internes) recense les contrôles
manuels et informatisés susceptibles de réduire le risque inhérent. Ces contrôles seront
désormais classés de façon plus élaborée que les contrôles préventifs (détection) et les
contrôles a postériori (supervision). Ils sont désormais classés en outre selon les quatre phases
de chaque procédure :
initier,
enregistrer,
traiter,

ECF Formations ©
ECF Système d’information et contrôle interne
61/134

rendre compte.
Rappelons ici l’intérêt de cette distinction :

d’une part, selon les flux d’opérations significatifs, le niveau d’intégration du système
d’information peut permettre une analyse flux d’opérations par flux d’opérations avec la
subdivision selon ces 4 phases de chaque procédure,
d’autre part, une analyse globale d’une phase, telle que le traitement ou interface, ou la
restitution (par exemple dans les états financiers) peut permettre d’accroître l’efficacité de
l’auditeur. Ce dernier point est notamment à considérer du point de vue de la distinction des
éléments manuels et informatisés, d’une part, et de la profondeur des « habilitations » mises
en place dans l’entité contrôlée d’autre part.

NB : Les risques pour lesquels les seules procédures de substance (procédures analytiques et
tests de détail) ne suffisent pas.
Une des grandes nouveautés apportées par la mondialisation réside dans la généralisation de
la démarche contrôle interne en cas de système d’information automatisé.
La piste d’audit, dans d’autres circonstances, appelée aussi « chemin de révision » est donc au
cœur de l’activité de l’auditeur du système d’information.

Préambule : Si la dématérialisation est maintenant omni-présente, le suivi de la piste d’audit


semble difficile, notamment dans les cas où le système d’information ne conserve pas les
données intermédiaires utilisées lors de la réalisation des transactions dans leur état original.
C’est l’une des raisons principales pour laquelle la démarche contrôle interne est dorénavant
obligatoire.
(voir aussi l’ISA 330 appartenant à la norme étudiée dans la partie suivante intitulée
« procédures d’audit »)

1.4.4 Conclusion : le tableau des risques

Ce tableau est le point d’articulation central de la mission d’audit.


De façon générale, le recensement des risques inhérents dont l’auditeur a connaissance est
effectué avec le degré de risque faible, moyen ou élevé.
Cette notation prend en considération deux facteurs :
- le degré de risque
- la probabilité qu’il se produise (occurrence)

Le schéma suivant illustre cette situation

ECF Formations ©
ECF Système d’information et contrôle interne
62/134

Il constitue un élément de documentation dorénavant dynamique, puisque, établi


à la fin de cette phase de compréhension de l’entité contrôlée, il pourra être

Le tableau des risques établi peut être amendé (retouché) lors de la phase de conduite de la
mission (voir séquence suivante).

La formalisation de cette étape est à peu près établie, chaque progiciel d’assistance à l’audit
(à ne pas confondre avec les techniques d’audit assistées par ordinateur autrement appelées
analyse des données) le présentant à peu près de la même façon :

Le tableau comporte, soit en lignes, soit en colonnes, les flux d’opérations, et dans l’autre
dimension les assertions.

Certains documentent dans chaque élément du tableau le risque inhérent + le risque lié aux
contrôles, voir le risque de non détection, alors que d’autres, par souci de simplification, ne
porte que deux, voire un seul de ces risques (non détection).

ECF Formations ©
ECF Système d’information et contrôle interne
63/134

Mais laissons aux utilisateurs d’Audit-soft, de MCC, de Revisaudit, des carnets de contrôles
de CEGID, de REVAO, d’EIC, CAC Assistant, Rev-CAC et autres progiciels d’assistance à
l’audit leur façon de présenter ce tableau.

En raison des nombreux automatismes inhérents aux technologies de l’information, on


s’aperçoit que certaines assertions prennent moins d’importance :

Il s’agit d’assertions portant tant sur la balance des comptes à la clôture de l’exercice et sur
l'ensemble de la période contrôlée au niveau des flux d’opérations :

« l’évaluation» est en effet respectée quasiment systématiquement par l’utilisation des


« référentiels » et/ou des habilitations qui y sont attachées alors que la mesure est souvent
traquée au travers de la correcte imputation et de toute forme de contrôle budgétaire (balance
intercalaires, analyse d’écarts…)
De plus, l’exhaustivité, l’existence et la réalité des transactions saisies est assurée par des
contrôles combinatoires donnant à l’auditeur, sur celles-ci, un point de vue global. On dit
qu’un ensemble d’assertions visées peuvent résulter (sans les détailler) d’un ou plusieurs
éléments de contrôle interne.

Cette situation peut être résumée par les éléments du schéma suivant :

ECF Formations ©
ECF Système d’information et contrôle interne
64/134

L’auditeur peut dorénavant organiser sa documentation sur ce point central de deux façons :
-soit par les éléments
-soit par les assertions

En fait, il est difficile d‘adopter une démarche organisée uniquement selon les assertions
comme méthode de classement. C’est pourquoi il convient d’en relativiser l’importance,
comme cela a été ébauché à la page précédente, et de préférence repérer directement les
contrôles mis en place, selon la connaissance que l’auditeur a du type de secteur d’activité en
général, du secteur particulier et du système d’information utilisé, ainsi que de
l’environnement de contrôle mis en place.

Ici, ce schéma simplifié, utilisable en PME en négoce met l’accent sur les contrôles mis en
place :
-le manuel opérateur du système d’information (ou la liste des nouveautés de chaque progiciel
utilisé) souvent composé d’une chaîne commerciale et d’un programme de comptabilité.
-les transactions d’achats et de ventes et leur impact sur le stock (inventaire permanent)
-la séparation des fonctions (habilitations) résultant de la présence du responsable du service
commercial, d’un responsable du magasin où sont stockés les articles vendus, d’un
responsable administratif et financier, qui valident souvent deux par deux les informations
contenues dans les référentiels clients (commercial et finance) et articles (commercial et
magasin)
-la présence d’un expert-comptable qui établit mensuellement les déclarations de TVA.

Cette phase de prise de connaissance, dans une entreprise de négoce informatisée avec des
progiciels de qualité et fonctionnant dans de bonnes conditions pourrait permettre d’établir un
tableau synthétique des risques qui ressemblerait à cela :

ECF Formations ©
ECF Système d’information et contrôle interne
65/134

Par souci de simplification, seuls les risques de non détection, résultant de l’addition des
risques inhérents à chaque étape et des risques liés aux contrôles, tels qu’ils ont pu être perçus
par l’auditeur à ce stade de compréhension, sont documentés.

Commentaires sur l’exemple ci-dessus :

Les trois assertions exhaustivité, réalité et évaluation correcte ont été regroupées sous
l’appellation « système intégré ».
Le flux d’opérations le plus significatif Système intégré des ventes regroupe toutes les
opérations relatives à la trésorerie recettes et les ventes, du fait de la clientèle de l’entreprise
essentiellement composée de particuliers (surface de vente au détail).
La mesure aurait pu être également traitée avec les trois précédentes, encore que le flux
d’opérations très significatif « stocks » étayé par le suivi d’un inventaire permanent
informatisé réduit à néant le risque sur cette assertion (du fait de la présence d’historiques
détaillés des mouvements d’entrée et sorties conservés dans la chaîne commerciale).
La notation Moyen concernant le rattachement relatif au flux d’opérations Achats fournisseurs
paiements vient de la comptabilisation des factures d’achats postérieures aux réceptions des
articles en magasin.
La notation Moyen concernant les Droits et obligations relatif au flux d’opérations Système
intégré des ventes vient de la prudence dont l’auditeur fait preuve concernant les conditions
formelles de facturation et de livraison aux clients d’articles variés, eux même conditionnés
différemment, et avec une durée de vie très différente (péremption, remises promotionnelles
programmées et remises quantitatives).

Un autre exemple de tableau de synthèse des risques est présenté ci-dessous.

ECF Formations ©
ECF Système d’information et contrôle interne
66/134

Il s’agit d’une entreprise de services nomades dont l’informatisation en intervention a été


développée par la direction :

-comme dans le tableau précédant, le niveau d’informatisation a permis de regrouper trois


assertions sous l’appellation « système intégré ».
- Le système intégré des ventes n’a pu être conservé, en raison du différé existant entre le fait
générateur (fourniture de la prestation) et la comptabilisation de celle-ci
- Le suivi informatisé des interventions accessible historiquement au niveau détail par
l’auditeur confère au flux d’opérations frais de personnel une relative sécurité.
- L’assertion Mesure comporte un risque moyen sur le flux d’opérations facturation clients en
raison de la difficulté à imputer les fournitures utilisées en intervention à chaque client
(miscibilité des petites fournitures) et de l’absence de contrôle des temps passés sur place à un
niveau suffisamment détaillé (le principe de l’horodatage à la fin de chaque intervention a été
retenu).
- L’assertion Séparation des exercices comporte un risque moyen au niveau du flux
d’opérations clients encaissements, l’auditeur ayant trouvé que l’entreprise recevait
essentiellement des chèques en paiement.
- L’assertion Mesure comporte un risque moyen au niveau du flux d’opérations Personnel car
l’auditeur n’a pu rencontrer les chefs d’équipe, ni s’assurer du respect du temps de travail
maximum imposé par la loi, l’expert-comptable de l’entreprise ne faisant qu’établir les paies
qui comportent quelquefois des primes, ainsi que le registre d’entrées et sorties du personnel.
- Enfin les deux assertions Droits et obligations et Présentation comportent un risque moyen
concernant les immobilisations en raison de la flotte de véhicules utilisés et de l’outillage
portable qui devra faire l’objet de contrôles particuliers.

ECF Formations ©
ECF Système d’information et contrôle interne
67/134

Ces deux exemples, en fin de conclusion de cette séquence, montrent la démarche contrôle
interne dans la phase de « connaissance ».
Celle-ci serait bien entendu plus conséquente dans des entités présentant des caractéristiques
plus complexes (multi activité, multi établissement, fabrication…), mais le caractère itératif
de la démarche est désormais autorisé, de sorte que tout excès de pessimisme de l’auditeur
dans cette phase pourra être corrigé dans la phase de conduite de la mission, alors que toute
anomalie significative découverte dans cette phase (étudiée dans la série suivante) serait
susceptible de remettre en cause l’évaluation initiale des risques.

La grande nouveauté de cette séquence est le caractère obligatoire des travaux de contrôle
interne en cas de système d’information présentant un niveau d’automatisation élevé. Il n’est
plus question de considérer les différentes étapes des transactions à l’intérieur d’une boite
noire, pour se contenter de contrôler certains documents imprimés. Il faut désormais suivre la
piste d’audit, au travers des enregistrements, qui doivent être le reflet fidèle de toutes les
opérations et rien que des opérations existantes.

2 PROCEDURES D’AUDIT
2.1 INTRODUCTION

Préambule : la connaissance du contenu de la séquence précédente est nécessaire avant


l’étude de celle-ci.

L’auditeur doit acquérir une compréhension du système d'information (y compris les


processus connexes) pertinent pour l'information financière, en ce qui concerne
notamment :
a) les flux d'opérations conclues dans le cadre des activités de l'entité qui sont
significatives par rapport aux états financiers;
b) les procédures, tant dans les systèmes de TI que dans les systèmes manuels, de
déclenchement, d'enregistrement, de traitement et de communication de ces opérations
dans les états financiers;
c) les documents comptables connexes, sur support électronique ou papier, qui sous-
tendent les informations, et les comptes particuliers contenus dans les états financiers,
pour ce qui concerne le déclenchement, l'enregistrement, le traitement et la
communication des opérations;
d) la manière dont le système d'information capte les événements et les situations,
autres que les flux d'opérations, qui sont significatifs par rapport aux états financiers;
e) le processus d'information financière utilisé pour établir les états financiers de
l'entité, y compris les estimations comptables significatives et les informations fournies.

ECF Formations ©
ECF Système d’information et contrôle interne
68/134

Connaissance générale :
Pour acquérir cette connaissance, l’auditeur examine les procédures de transfert des
informations entre les systèmes de traitement des opérations et le grand livre général ou
les systèmes d'information financière. L’auditeur cherche également à comprendre les
procédures auxquelles l'entité a recours pour saisir les renseignements pertinents pour
l'information financière qui ont trait aux événements et situations autres que des
opérations répétitives, par exemple l'amortissement des actifs et les changements quant
à la recouvrabilité des créances.

L’audit des éléments constitutifs du système d’information peut être fait à plusieurs
fins :
- en vue de son implantation dans une entité.
Il s’agit là d’une démarche dynamique visant à mettre en place un système
d’information dans une entité qui se crée ou dans une entité manifestant le désir d’en
changer complètement ou partiellement de façon significative.
- en vue de l’analyse de l’existant de façon à rechercher les risques liés à son
fonctionnement.
Il s’agit là d’une deuxième démarche statique, conduisant à faire un état des lieux.
Celle-ci peut être suivie d’avis, de recommandations ou conseils, et peut conduire à
exprimer une opinion (rapport de contrôle interne) ou encore à compléter ou corriger
telle ou telle insuffisance, sur chacun des plans développés ci-dessous dans cette série.
C’est dans cette deuxième optique qu’est développée cette série.
Si un lecteur s’intéresse à la première optique, l’auteur recommande l’ouvrage intitulé
CIME, Conduite de l’Informatisation en Moyenne Entreprise édité par l’AFAI.
Le plan de cette séquence propose une étude progressive du niveau le plus général vers
le niveau de détail.
Ce niveau de détail est notamment développé dans la partie « procédures détaillées »,
avant que cette séquence s’achève sur les « procédures transverses », remontant à un
niveau de détail moins grand, mais tout aussi important compte tenu de l’unicité et de
l’homogénéité de certaines règles lors de l’usage des «technologies de l’information »
(TI).
Cette approche en deux temps est due au caractère itératif de toute étude de ce type : la
possibilité de rencontre permanente au niveau détail d’une difficulté imprévue ou au
contraire d’une grande satisfaction fonctionnelle peut amener l’auditeur à reconsidérer
l’évaluation des risques qu’il a effectuée à la fin de la séquence précédente, le
conduisant à effectuer des démarches complémentaires, ou au contraire à alléger ses
diligences.

ECF Formations ©
ECF Système d’information et contrôle interne
69/134

Rappelons ici que l’évaluation des risques, faite en connaissance de l’entité, et


notamment de son contrôle interne avec son principal élément le système
d’information, est effectuée selon les principes de fonctionnement collectés, alors que
dans cette séquence, l’étude du fonctionnement détaillée est de rigueur.
Il s’agit principalement de réaliser ici des tests de procédures, par opposition à la
description de celles-ci réalisées dans la séquence précédente.
En ce sens, toute référence à la norme ISA 330 des normes internationales d’audit
(visée explicitement dans le cœur de cette série) pourra être complétée par une ou
plusieurs références à la norme ISA 315 (visée explicitement dans la série 2) pour des
raisons pédagogiques. Il convient d’être rigoureux dans cette démarche, d’autant plus
que les TAAO (Techniques d’Audit Assistées par Ordinateur traitées dans la séquence
suivante) pourraient ajouter encore à la confusion.
En effet, lors de l’utilisation de ces techniques, visant à explorer les données produites
par le système d’information de l’entité, l’attitude qui consiste à tirer uniquement des
conséquences de l’exploitation de ces données conduit souvent à des omissions, voire
à des contre-sens :

L’auditeur tire de sa connaissance de l’entité des zones de risques qu’il va tester


dans cette série
Et l’auditeur ne doit pas …
analyser des données de façon rapide afin de réunir des éléments probants sans
connaître préalablement les personnes mettant en œuvre les procédures permettant
d’obtenir ces données.

2.1.1 Objectifs généraux du système d’information (tant manuel


qu’informatisé)

Un système d’information est constitué d’une infrastructure (composantes matérielles), de


logiciels, de personnes, de procédures et de données. L’infrastructure et les logiciels sont
absents, ou moins importants, dans les systèmes exclusivement ou principalement manuels.
De nombreux systèmes d’information reposent dans une large mesure sur les technologies de
l’information (TI) ;

La qualité de l'information générée par le système influe sur la capacité de la direction de


prendre des décisions appropriées concernant la gestion et le contrôle des activités de
l'entité et d'établir des rapports financiers fiables.

ECF Formations ©
ECF Système d’information et contrôle interne
70/134

Par conséquent, le système d'information d'une entité englobe les méthodes et les
documents qui permettent :

a) d'identifier et d'enregistrer toutes les opérations valides;

b) de décrire en temps voulu les opérations de façon suffisamment détaillée pour qu'elles
puissent être classées adéquatement pour le s besoins de l'information financière;

c) de mesurer la valeur des opérations de manière à pouvoir traduire leur véritable valeur
monétaire dans les états financiers;

d) de déterminer le moment où les opérations ont eu lieu de façon à pouvoir les


comptabiliser dans la bonne période;

e) de présenter correctement les opérations et les informations connexes dans les états
financiers

2.1.2 Communications
2.1.2.1 OBJECTIF

Il importe que les communications permettent notamment de comprendre les rôles et les
responsabilités individuels à l’égard du contrôle interne sur l’information financière. Les
renseignements communiqués déterminent la mesure dans laquelle les membres du
personnel comprennent la manière dont leurs interventions dans le système d’information
s’intègrent avec le travail d’autres personnes, ainsi que les moyens pris pour signaler les
anomalies au niveau supérieur approprié au sein de l’entité. Le maintien des voies de
communications ouvertes contribue à faire en sorte que les anomalies soient signalées et
corrigées.

2.1.2.2 MOYENS
Les communications peuvent prendre la forme de manuels de procédures, de manuels de
comptabilité ou d’informations financières, et de notes.
2.1.2.3 SUPPORTS
Elles peuvent se faire électroniquement ou verbalement, et via les actions de la direction.

Application aux petites entités


Dans les petites entités, les systèmes d'information et les processus connexes pertinents
pour l'information financière seront vraisemblablement moins structurés que dans les

ECF Formations ©
ECF Système d’information et contrôle interne
71/134

grandes entités, mais leur rôle y est tout aussi important. Les petites entités dont les
dirigeants participent activement à l'exploitation n'ont peut-être pas besoin de descriptions
détaillées des procédés comptables, de comptes complexes ou de politiques écrites. Les
communications sont souvent plus faciles et plus simples dans une petite entité que dans
une grande entité, en raison de la taille de l'entité et du moins grand nombre de niveaux
hiérarchiques, ainsi que de la meilleure visibilité et de la meilleure disponibilité de la
direction.

2.1.3 Norme relative aux procédures d’audit


La norme récemment homologuée par le garde des sceaux par voie d’arrêté nous éclaire.
Elle comporte une seule définition :
Procédures d’audit : ensemble des travaux réalisés au cours de l’audit afin de collecter les
éléments permettant d’aboutir à des conclusions à partir desquelles le commissaire aux
comptes fonde son opinion.

An niveau des assertions, les procédures d’audit comprennent des tests de procédures, des
contrôles de substance, ou une approche mixte utilisant à la fois des tests de procédures et des
contrôles de substance.

Dans le cadre de l’étude du contrôle interne, comme cela a été étudié dans la séquence
précédente, nous nous proposons de poursuivre cette séquence en étudiant notamment
l’élément central du contrôle interne.

2.2 MOYENS MIS EN ŒUVRE


(notamment en cas de recours aux technologies de l’information)

Un système d’information est constitué d’une infrastructure (composantes matérielles),


de logiciels, de personnes, de procédures et de données.
Il s’agit là des éléments constitutifs du système d’information.

2.2.1 L’infrastructure
Il s’agit des composantes matérielles nécessaires et suffisantes à mettre en œuvre les logiciels
utilisés dans l’entité, en fonction des personnes qui doivent les utiliser.

2.2.2 Les logiciels


Après la « connaissance de l’entité acquise en série 2 », le choix par la direction des logiciels
à utiliser est le premier élément du contrôle interne. Il s’agit en quelque sorte de la volonté de
la direction de transparence et de communication qui est exprimée là.

ECF Formations ©
ECF Système d’information et contrôle interne
72/134

2.2.3 Les acteurs


Il s’agit des acteurs qui permettent quotidiennement au système d’information de remplir son
rôle dans l’entité. La notion de « service » indique aussi l’appartenance de plusieurs
personnes à une subdivision dans l’entité ayant un rôle prédéfini (fonctionnel ou
hiérarchique).

2.2.4 Les procédures et les données


Il s’agit ici, après le « croisement de la cartographie et des procédures» développé dans la
série 2 de recenser les procédures qui concourent à la réalisation des flux d’opérations.
Les procédures et données sont ici présentées ensemble du fait de l’interaction étroite
entre elles. Un exemple illustre bien cette situation : les référentiels ou fichiers
permanents sont des données particulières, dans la mesure ou ils sont utilisés dans de
nombreuses procédures, permettant à l’utilisateur de la procédure, soit de façon implicite,
soit de façon explicite, de valider des données qu’il ne connaît pas de façon détaillée,
mais seulement en principe.
Le principe ici utilisé est celui de la base de données : l’exemple le plus simple est celui
du fichier ou de la table des codes postaux et noms de communes. Un deuxième exemple
est celui du code TVA applicable (si le client est dans le champ d’application de la TVA)
à un article en vente proposé dans un progiciel de chaîne commerciale. Un troisième
exemple est celui du paramétrage prévu pour transférer automatiquement un bon de
livraison ou plusieurs en facture (dans la fiche de chaque client figure son choix préalable
utilisé pour ce traitement).

Pour ceux qui auraient étudié la méthodologie relative aux systèmes d’information, cette
décomposition des éléments constitutifs du système d’information est proche de la
méthode UML (Unified Modeling Langage).

Une fois les définitions posées, évoquons maintenant la problématique détaillée.


Il convient pour cela de définir un nouveau terme utilisé en audit financier :

2.3 LES TESTS DE PROCEDURE


La NEP 330 indique :

Parmi les procédures d’audit, les tests de procédures permettent de collecter des éléments en
vue d’apprécier l’efficacité des contrôles conçus et mis en oeuvre par l’entité pour
prévenir, détecter ou corriger les anomalies significatives au niveau des assertions.
10. L’auditeur réalise des tests de procédures pour collecter des éléments suffisants et
appropriés montrant que les contrôles de l’entité ont fonctionné efficacement au cours de la
période contrôlée dans les cas suivants :
- lorsqu’il a retenu, dans son évaluation du risque d’anomalies significatives au niveau des
assertions, l’hypothèse selon laquelle les contrôles de l’entité fonctionnent efficacement ;

ECF Formations ©
ECF Système d’information et contrôle interne
73/134

- lorsqu’il considère que les seuls contrôles de substance ne permettent pas de réduire le
risque d’audit à un niveau suffisamment faible pour obtenir l’assurance recherchée.

La norme ISA 330 précise :


Ainsi, comme il est expliqué dans la norme ISA 315, l’auditeur peut juger qu'il est
impossible de concevoir des « contrôles de substance » efficaces permettant à eux seuls
de réunir des éléments probants suffisants et appropriés au niveau des assertions
lorsqu'une entité exerce ses activités en se servant des TI et qu'aucune documentation
des opérations n'est produite ou conservée, si ce n'est dans le système informatique.

Puis la norme homologuée poursuit :

Pour être en mesure de conclure quant à l’efficacité ou non du contrôle mis en oeuvre par
l’entité, l’auditeur, en plus des demandes d’information, utilise une ou plusieurs autres
techniques de contrôle comme, par exemple, les procédures analytiques, l’observation
physique, l’inspection, la ré-exécution de certains contrôles réalisés par l’entité. Les tests de
procédures ne se limitent pas à des demandes d’information.
12. Plus l’auditeur s’appuie sur l’efficacité du contrôle interne dans l’évaluation du risque
d’anomalies significatives, plus il étend les tests de procédures.
13. Lorsque l’auditeur collecte des éléments sur l’efficacité des contrôles de l’entité durant
une période intermédiaire, il détermine les éléments complémentaires à collecter pour la
période restant à couvrir jusqu’à la fin de l’exercice.
14. Lorsque l’auditeur a l’intention d’utiliser des éléments collectés au cours des exercices
précédents sur l’efficacité de certains contrôles de l’entité, il met en oeuvre des procédures
d’audit visant à détecter si des changements susceptibles d’affecter la pertinence de ces
éléments sont survenus depuis. Il recourt pour ce faire à des demandes d’information en
association avec des observations physiques ou des inspections pour confirmer sa
connaissance des contrôles existants.
15. Lorsqu’il détecte des changements affectant ces contrôles, il teste leur efficacité au titre
de l’exercice sur lequel porte sa mission.
16. Lorsque aucun changement n’a affecté ces contrôles, il teste leur efficacité au moins
une fois tous les trois exercices. Cette possibilité ne doit cependant pas l’amener à tester
tous les contrôles sur un seul exercice sans effectuer de tests de procédures sur chacun des
deux exercices suivants.
17. Lorsque, lors de son évaluation du risque d’anomalies significatives, l’auditeur a
identifié un risque inhérent élevé qui requiert une démarche d’audit particulière et qu’il
prévoit de s’appuyer sur les contrôles de l’entité destinés à réduire ce risque, il teste
l’efficacité de ces contrôles au titre de l’exercice sur lequel porte sa mission, même si ces
contrôles n’ont pas fait l’objet de changements susceptibles d’affecter leur efficacité depuis
l’audit précédent.

ECF Formations ©
ECF Système d’information et contrôle interne
74/134

2.3.1 Entretien

• Rechercher l'information financière ou non financière.

• A l'intérieur de l'entreprise ou à l'extérieur.

• L'évaluation des réponses est importante (esprit critique).

• Corroborer l'évidence d'audit.

• L'auditeur obtient la déclaration écrite de la direction pour confirmer des réponses


aux entretiens oraux.

ECF Formations ©
ECF Système d’information et contrôle interne
75/134

2.3.2 Observation ou inspection

• L'exécution des activités de contrôle interne.

• La portée et le niveau de la participation de la direction aux activités de la PME.

• Elle est limitée au moment où elle a lieu et par le fait que l'observation peut affecter la
procédure.

Il s'agit d'une procédure d'audit destinée à découvrir, qui est très souvent corroborée par
une autre procédure d'audit.

Sur le plan de la terminologie, le contrôle physique des actifs est une forme
d'observation dont le caractère probant est fort en raison des assertions visées
(existence) et de la période (à la clôture de l'exercice).

2.3.3 Consultation de la documentation


La consultation de la documentation et notamment des manuels utilisateurs des
progiciels utilisés a déjà été évoquée dans la série 2. L’utilisation de celle-ci dans cette
phase d’audit permet notamment d’affiner tel ou tel point de détail laissé au stade de la
description dans la phase précédente. Ainsi, la recherche dans la documentation des
différentes possibilités de gestion des « reliquats » et de ses options de traitement
concernant l’organisation des livraisons des clients en est un exemple. On peut aussi
citer également la consultation de la documentation concernant l’organisation des
habilitations ou mot de passe.

Observons à travers ces deux exemples que ces tests de procédures n’auront pas à eux
seuls un caractère probant suffisant. Ils devront être corroborés par d’autres tests,
comme indiqué ci-dessous.

2.3.4 Refaire un contrôle :

ECF Formations ©
ECF Système d’information et contrôle interne
76/134

Bien que ce type de test soit très consommateur de temps, il peut s’avérer utile,
notamment lorsque des éléments manuels et informatisés sont utilisés dans une
procédure de façon combinatoire. Ainsi les approbations manuelles ou visuelles suivies
d’une décision (enregistrer ou traiter) ne peuvent être contrôlées autrement.

2.3.5 Utilisation des techniques d’audit assistées par ordinateur


Ces techniques seront étudiées de façon détaillée dans la séquence suivante en raison
d’une part de l’importance prépondérante en tant qu’éléments probant, d’une part, et
d’autre part en raison de la polyvalence de ces techniques, tant dans les tests de
procédures que pour leur utilisation combinatoire avec les contrôles de substance.

2.3.6 Caractère combinatoire des assertions et des procédures mises en


œuvre :
Déjà évoqué, la combinaison des assertions visées et des procédures d’audit mises en
œuvre dans cette phase (tests de procédures) peut faire intervenir des contrôles de
substance (procédures analytiques et tests de détail).
En ce sens :
« … l'auditeur peut déterminer que l'exécution des seules procédures analytiques de
substance permet de limiter le risque évalué d'erreur matérielle pour un type
de transactions où l'évaluation du risque par l'auditeur est corroborée en obtenant
l'évidence d'audit par l'exécution des tests de procédures … » (norme ISA 330).
Mais comment obtenir ces « ratios » concernant les éléments du compte de résultat ?

- A titre d'exemple complémentaire, dans une entreprise contrôlée par un expert-


comptable où la «chaîne commerciale» produit mensuellement un journal de ventes
utilisé par celui-ci pour établir la déclaration de TVA, le fiabilité du poste des « ventes
» sera celle du contrôle interne.

- Alors que dans une entreprise sans expert-comptable, pour obtenir une fiabilité
équivalente, à chaîne commerciale et fiabilité du contrôle interne équivalente,
l'auditeur devra exécuter une procédure analytique substantive complémentaire, à
savoir, par exemple, apprécier la variation mensuelle des ventes, compte tenu de sa
connaissance de l'entité.

ECF Formations ©
ECF Système d’information et contrôle interne
77/134

Dans la norme ISA 330, il est précisé le contrôle de substance détaillé à effectuer en vue
de tester l'exhaustivité, l'existence et la mesure. Il s'agit de parcourir la piste d'audit d'un
élément détail vers l'agrégat des états financier correspondant et à contrario du bien
fondé de la présence d'un élément détail dans un agrégat.

Ce petit développement illustre la différence entre contrôles de substance et tests de


procédures :
- La portée (ampleur) des contrôles de substance est structurellement moindre que celle
des tests de procédures.
- Une contrôle de substance est un test unitaire, étayé souvent par un raisonnement
d'extrapolation en utilisant « une procédure analytique de substance » ou ratio dont la où
les variations ne font pas apparaître d'anomalie significative.

Concernant la profondeur des contrôles, la norme internationale d'audit donne les


paramètres suivants :
. la fréquence de l'exécution du contrôle par l'entité pendant la période.
. la durée pendant la période d'audit que l'auditeur compte sur l'efficacité opérationnelle
du contrôle.
. la pertinence et la fiabilité de l'évidence d'audit à obtenir selon ce que le
contrôle prévient, ou détecte et corrige, des erreurs matérielles au niveau des assertions.
. le point jusqu'où l'évidence d'audit est obtenue à partir d’autres contrôles en
relation avec l'assertion.

ECF Formations ©
ECF Système d’information et contrôle interne
78/134

. le point jusqu'où l'auditeur projette de compter sur l'efficacité opérationnelle du


contrôle dans l'évaluation du risque (et réduire de ce fait les procédures de substance
basées sur la confiance d'un tel contrôle).
. les anomalies attendues lors du contrôle (ISA 330).

La norme ISA 330 développe longuement les effets bénéfiques de l'utilisation par
l'entreprise des technologies de l'information, et notamment l'utilisation d'un système
d'information fortement automatisé (PGI).
NDLR : lors de la mise à jour de tels outils dans l'entreprise par l'éditeur de progiciels,
la consultation des nouveautés fonctionnelles installées à cette occasion vont
probablement lui permettre d'alléger les contrôles postérieurs.
La mise à jour du dossier permanent sur la partie contrôle interne est alors systématique,
alors que les tests de procédure sont nécessaires sur les points nouveaux, mais
capitalisés pour les deux années suivantes.

Exemple de modification apportée récemment dans le système d’affirmation de l’entité :

ECF Formations ©
ECF Système d’information et contrôle interne
79/134

Ce schéma présente dans cette série les choix de l'auditeur dans l'entreprise de
distribution ayant fait l'objet du premier exemple de tableau des risques dans la
séquence précédente.

Notons qu’en cas d’ancienneté des travaux de contrôle interne réalisés concernant le
système intégré des ventes, l'auditeur devra vérifier le fonctionnement des contrôles
dans l'année N, probablement par des techniques d'audit assistées par ordinateur (tests
conçus et réalisés en N-2).

La centralisation des ventes étant maintenant intégrée, alors qu’auparavant celle-ci était
traitée par l’import d’un fichier « ascii » dans le système comptable, l’auditeur doit
tester cette nouvelle procédure.

ECF Formations ©
ECF Système d’information et contrôle interne
80/134

2.4 ELEMENTS DETAILLES DU CONTROLE INTERNE COMPOSANT OU


UTILISANT LE SYSTEME D’INFORMATION
Après la définition et les généralités relatives aux « tests de procédures », découvrons
leur champ d’application.
En reprenant les éléments du contrôle interne tels que décrits dans la série précédente, il
en est deux qui concernent principalement cette séquence :

2.4.1 Le système d’information

2.4.2 Les procédures de contrôle interne mises en place

Lors de l’homologation de la norme internationale d’audit ISA 315 par le ministère de la


justice français intervenue le 1er Août 2006, ces deux éléments ont été explicités,
inversés pour les besoins de la simplification, sans pour autant que cela nuise à la
lisibilité.

La norme internationale précisant que ces éléments peuvent être utilisés par l’auditeur
dans n’importe quel ordre, pourvu que les objectifs poursuivis soient atteints, et que les
assertions (voir série précédente) soient couvertes, il est proposé de poursuivre l’étude
de ces deux éléments de la façon suivante :

- l’élément « système d’information » est porteur en lui-même de nombreuses


« procédures de contrôle interne mises en place ».

- l’élément «procédures de contrôle interne mises en place » utilise souvent le système


d’information
Cette redondance est dangereuse : un outil (le système d’information) qui est en même
temps la source de procédures de contrôle concernant son fonctionnement doit être
parfaitement rodé pour remplir son rôle.
Sans entrer dans ces considérations complexes dans un premier temps, observons qu’il
s’agit plutôt d’une démarche de « contrôle de qualité » :

- les questions posées ne le sont pas de façon positive, par exemple : les personnes
réalisent-elles les procédures à l’aide et en créant des données fiables à l’aide des
logiciels utilisés ?

- mais plutôt, comment peut-on prévenir ou détecter et corriger une anomalie ?


Considérons donc les deux éléments en question du contrôle interne successivement,
l’utilisation du second n’intervenant qu’en regard du contrôle qualité désiré et
comportant des coûts supplémentaires indéniables.

ECF Formations ©
ECF Système d’information et contrôle interne
81/134

2.5 PROCEDURES DETAILLEES

Le système d’information pertinent pour les objectifs de l’information financière qui


comprend le système d’information financière, est constitué des procédures et des
documents établis pour déclencher, enregistrer, traiter et rendre compte des opérations de
l’entité (ainsi que des évènements et situations) et pour rendre compte des actifs, des passifs
et des capitaux propres connexes.

Les opérations peuvent être initiées manuellement ou automatiquement au moyen de


procédures programmées.
L'enregistrement comprend l'identification et la saisie des informations afférentes aux
opérations et aux évènements.
Le traitement comprend des fonctions telles que l'édition, la validation, le calcul, la
mesure, l'évaluation, la récapitulation et le rapprochement, que ces fonctions soient
exécutées au moyen de procédures manuelles ou automatisées.
L'activité d'information (c'est à dire la présentation ou communication d'informations) a
trait à la préparation de rapports financiers et d'autres informations, sur support électronique
ou papier, que l'entité utilise afin de mesurer et d'analyser sa performance financière et à
d'autres fins.

Le classement des procédures a été développé principalement dans la série précédente


à l’intérieur de chaque flux d’opérations.

L’apport essentiel de la norme internationale d’audit ISA 315 est de distinguer


systématiquement quatre « phases » dans la réalisation d’une opération. Ce qui peut
passer pour un surcroît de complexité non fondé apporte au contraire à l’auditeur une
meilleure vision des risques encourus en raison d’un point de vue transversal qui donne
de nouvelles perspectives, notamment sur les plans des systèmes manuels et des activités
de contrôle étudiées à la fin de la série précédente (l’environnement de contrôle, le
système d’information et les activités de contrôle constituant les trois composants
principaux du contrôle interne dans les PME).

Pour chacune de ces phases, il est proposé d’étudier, après définitions et commentaires
annexes, selon la méthode suivante :
L’auditeur :
a) fait des constats
b) évalue des risques en raison de ces constats
c) détermine des points à creuser
Des exemples sont fournis ensuite.

ECF Formations ©
ECF Système d’information et contrôle interne
82/134

2.5.1 DECLENCHER, INITIER

Définition :
Les opérations peuvent être déclenchées manuellement ou automatiquement au moyen de
procédures programmées.

Connaissance détaillée:
Les déficiences de certains contrôles informatiques généraux peuvent avoir des
incidences à la fois sur le fonctionnement adéquat des procédures programmées et sur
l'efficacité de certains contrôles manuels.
Le cas échéant, l'organisme de services révèle l'existence de telles déficiences et décrit
leur effet sur les principales procédures programmées et les principaux contrôles
manuels mis en oeuvre par l'organisme de services, ou sur les contrôles manuels que les
entités clientes sont censées mettre en oeuvre.
Constats :
1 Les opérations de vente avec livraison différée sont déclenchées à tout moment, sans
organisation préalable concernant les heures d’ouverture.
2 Le magasinier commande par téléphone aux fournisseurs en consultant à l’écran
chaque fiche article.
Risques :
1 L’absence d’exhaustivité des ventes à enregistrer est possible
2 Rupture de stock, absence de commandes groupées
2 Engagement vis-à-vis des fournisseurs non chiffrable
Points à creuser :
1 Validation d’un support intermédiaire avant enregistrement

2 Etat de réapprovisionnement

2 Archivage des confirmations de commande envoyées par les fournisseurs

Exemples de tests:

1 Recherche d’éléments de livraison aux clients non comptabilisées par tout moyen

ECF Formations ©
ECF Système d’information et contrôle interne
83/134

2 Contrôle des factures du début d’une période comportant un bon de réception de la


période antérieure.

Observons ici que ces deux exemples ne sont pas des tests de procédure, mais des
contrôles de substance. En effet, ce sont des situations où l’auditeur ne peut pas
s’appuyer sur une procédure existante suffisamment fiable. Il cherche donc directement
par tout moyen ou des contrôles sur pièces par sondage à déceler des anomalies, alors
que des tests de procédures visent à s’appuyer sur des résultats utilisables afin d’en
déterminer le degré de fiabilité.

De façon plus générale, les procédures visant à déclencher ou initier des opérations
concernant souvent l’exhaustivité ou la mesure sont plutôt analysées par des contrôles
de substance dans un environnement manuel.
Il est moins fréquent de retrouver sous ce type de procédure des éléments automatisés.
Notons cependant, par les contrôles qu’elles permettent :

- les commandes clients reçues par fax (par la possibilité d’éditer un journal de
réception)

- les passages en caisse en grande surface, par le comptage des chariots passant sous le
portique de détection

- le suivi par GPS de la tournée d’un véhicule de dépannage

Ces procédures visant à déclencher ou initier des opérations sont contrôlées par des
moyens de détection dont l’utilisation combinée avec les moyens de prévention peut
apporter la fiabilité requise.

ECF Formations ©
ECF Système d’information et contrôle interne
84/134

2.5.2 ENREGISTRER

Définition :
L'enregistrement comprend l'identification et la saisie des informations afférentes aux
opérations et aux événements.

Connaissance détaillée :
Le système d'information d'une entité comporte normalement l'enregistrement
d'écritures de journal courantes qui sont requises sur une base récurrente pour constater
dans le grand livre général les opérations telles que les ventes, les achats et les
décaissements, ou pour enregistrer les estimations comptables qui sont faites
périodiquement par la direction, par exemple les révisions de l'estimation des créances
irrécouvrables.

Le processus d'information financière d'une entité comprend également l'enregistrement


d'écritures de journal non courantes pour constater des opérations ou ajustements non
récurrents ou inhabituels. Ces écritures comprennent notamment les ajustements de
consolidation et les écritures relatives à un regroupement d'entreprises ou à une cession
d'entreprise, ou encore à des estimations non récurrentes, telles que le montant de la
dépréciation d'un actif. Dans les systèmes manuels de grand livre sur support papier, ces
écritures de journal peuvent être repérées par l'inspection des livres, des journaux et des
documents justificatifs. Cependant, lorsqu'on a recours à des procédures automatisées
pour tenir le grand livre et établir les états financiers, il se peut que ces écritures
n'existent que sous forme électronique et qu'elles soient plus facilement repérables par
l'application de techniques de vérification informatisées.
Constats :
1 l’enregistrement des ventes est effectué par des personnes distinctes utilisant un
masque de saisie des commandes sans contrôle de la disponibilité en stock.
2 les bons de réparations chez un concessionnaire automobile sont facturés au client
sans le visa du chef d’atelier.
Risques :
1 la livraison des commandes peut être retardée.
2 des pièces détachées, voire de la main d’œuvre peut être omise.
Points à creuser :
1 faut-il faire des livraisons partielles, et comment informer le client le plus tôt
possible ?
2 obtenir un visa manuel ou informatisé (workflow) du chef d’atelier
Exemples de tests de procédures :

ECF Formations ©
ECF Système d’information et contrôle interne
85/134

1 rapprochement des bons de livraisons et des bons de commandes des clients


2 contrôle des pièces détachées sorties du stock par le suivi de l’inventaire
permanent
Dans cette phase « d’enregistrement », il faut considérer également de façon
détaillée la nature, le calendrier et l’ampleur des tests de procédures. La norme
internationale d’audit nous renseigne par de nombreux exemples qu’il faut lire en
considérant également la phase suivante « de traitement » des opérations :
La nature ou choix par l'auditeur des procédures qu'il va effectuer est ici assortie
d'exemples en rapport avec les assertions visées :
« … en matière de ventes, les tests de procédures peuvent être plus pertinents au
risque de déclaration erronée concernant l'assertion d'exhaustivité, tandis que les
contrôles de substance peuvent être plus pertinents au risque de déclaration
erronée concernant l'assertion d'existence » (ISA 330).
« des tests de procédures … sont réalisés … dans le cas de la caisse, par
exemple, pour un flux d’opérations comportant des caractéristiques
raisonnablement uniformes et non complexes qui sont par habitude traitées et
contrôlées par le système d'information de l'entité. »

Calendrier
En considérant les dates d'exécution des procédures d'audit, l'auditeur considère
également les questions suivantes :
• l'environnement de contrôle interne.
• la date de disponibilité de l'information appropriée (par exemple, les fichiers
informatiques peuvent plus tard être effacés ou mis à jour, ou des procédures à
observer peuvent se produire seulement à certaines heures).
• la nature du risque (par exemple, s'il y a un risque de surévaluation des
ventes pour atteindre les profits escomptés par la création corrélative de
faux contrats de ventes, l'auditeur peut souhaiter examiner des contrats disponibles
à la date de clôture de l'exercice) (ISA 330).
• la période ou la date à laquelle l'évidence d'audit se rapporte ou est obtenue.
S'il y a un risque que l'entité ait pu enregistré des contrats ou transactions relatives
aux ventes inexactes qui n'auraient pas été menés à bien à la clôture de l'exercice,
l'auditeur exécute des procédures pour répondre à ce risque spécifique. Par
exemple, quand les transactions sont matérialisées individuellement ou qu'une
erreur de rattachement peut mener à une déclaration matérielle erronée, l'auditeur
inspecte d'habitude les transactions proches de la clôture de l'exercice (ISA 330).

Ampleur
L'utilisation des techniques assistées par ordinateur d'audit peut permettre un test
plus étendu des transactions et des fichiers d'écritures. De telles techniques
peuvent être employées pour sélectionner un échantillon de transactions à partir
des fichiers électroniques visés, pour trier des transactions avec des
caractéristiques spécifiques, ou pour examiner la population entière au lieu d'un
échantillon (ISA 330).

ECF Formations ©
ECF Système d’information et contrôle interne
86/134

Combinaison de la nature des tests de procédure utilisés


« Par exemple, un auditeur peut s'entretenir et observer les procédures de l'entité
pour ouvrir le courrier et traiter des reçus en espèces pour examiner l'efficacité
opérationnelle des contrôles des reçus en espèces » (ISA 330).

L’ouverture du courrier est dans la phase « d’initiation » ou de « déclenchement », alors


que le traitement des reçus en espèces appartient à la phase « d’enregistrement».

ECF Formations ©
ECF Système d’information et contrôle interne
87/134

2.5.3 TRAITER
Définition :
Le traitement comprend des fonctions telles que l'édition, la validation, le calcul, la mesure,
l'évaluation, la récapitulation et le rapprochement, que ces fonctions soient exécutées au
moyen de procédures manuelles ou automatisées.

Connaissance générale :
L’auditeur acquiert aussi une compréhension de la manière dont est corrigé, au besoin,
le traitement des opérations. Par exemple, y a-t-il un fichier d'attente automatisé, et
comment l'entité s'en sert-elle pour que les éléments en attente soient traités en temps
voulu? Comment les dérogations aux contrôles ou les contournements sont-ils traités et
expliqués?
Un exemple bien connu des comptables est la saisie d’écritures dans la phase
« d’enregistrement » qui restent à l’état de brouillard ou d’écritures à valider dans la
phase « de traitement ».
Un autre traitement est le rapprochement automatique ou manuel des écritures de base
figurant dans chaque compte de tiers :
A titre d’exemple, les pages suivantes présentent la procédure manuelle de lettrage telle
qu’elle peut être utilisée dans le logiciel comptable COMPTANOO :
Soit un achat de marchandises et les pièces qui s'y rapportent :

Facture du fournisseur LANGLOIS Numéro 875 du 29/11/2002

Marchandises 1000
Tva à 19,6 % 196
Net à payer 1196

Tiers Mode de règlement Objet Montant Date


Langloischèque bancaire F. 875 1190 30/11/2002

Nous considérerons que la différence de règlement a été saisie.


La manière de procéder est la suivante :

L'écran de lettrage est destiné au lettrage des écritures liées à différents comptes, qui
apparaissent dans la zone de navigation. On y accède en cliquant sur l'icône Lettrage :

ECF Formations ©
ECF Système d’information et contrôle interne
88/134

Avant de pouvoir traiter un compte dans cette feuille, il faut auparavant avoir
sélectionné l'option "à lettrer" pour le compte en question dans la feuille Plan
comptable.
Le compte auquel est rattaché le fournisseur LANGLOIS est le compte 401000 :

La zone de navigation propose les éléments à traiter classés suivant le compte qui
leur est associé. On sélectionne l'élément à traiter : LANGLOIS, les écritures
correspondantes apparaissent dans la grille.

Il faut ensuite sélectionner des lignes dans la grille de manière à former un groupe
d'écritures équilibré. Pour vérifier cet équilibre, il suffit de contrôler le montant qui
est affiché sous la grille : sa valeur doit être égale à zéro.

ECF Formations ©
ECF Système d’information et contrôle interne
89/134

Cliquez, ensuite sur le bouton Lettrer pour lettrer ces écritures.

Mais généralisons cet exemple de traitement comptable à d’autres constations qui


peuvent être faites en PME.
Constats :
1 Les factures clients, éditées quotidiennement, sont reportées au grand livre à l’aide de
deux modèles d’écritures comptables (France et communauté économique européenne),
mais aucun avoir client ne figure dans le journal imprimé lors de ce report.
2 Les bons d’intervention saisis sur des terminaux portables par les techniciens d’une
entreprise de dépannage informatique ne sont pas valorisés quand il s’agit d’une
intervention chez un client ayant un compte ouvert dans les livres de l’entreprise.
Risques :
1 Défaut de comptabilisation des avoirs
2 Le traitement des interventions sur matériels hors garantie risque de ne pas être facturé

Points à creuser :
1 Report manuel des avoirs
2 Individualisation des matériels réparés par le numéro de série

Exemples de tests de procédures :


1 Contrôle par incrémentation, horodatage et observation du journal des ventes de 3
périodes non contigües et choisies de façon non prévisible.

2 Contrôle par date d’expiration de la garantie à partir des numéros de série des
matériels et de leur date d’achat par les clients.

ECF Formations ©
ECF Système d’information et contrôle interne
90/134

2.5.4 RENDRE COMPTE


Définition :
L'activité d'information (c'est -à-dire la présentation ou communication d'informations) a
trait à la préparation de rapports financiers et d'autres informations, sur support électronique
ou papier, que l'entité utilise afin de mesurer et d'analyser sa performance financière et à
d'autres fins.

Connaissance générales :
La préparation des états financiers de l'entité comporte des procédures qui sont conçues
pour assurer que les informations à fournir selon le cadre applicable en matière
d'information financière sont cumulées, enregistrées, traitées, condensées et
adéquatement présentées dans les états financiers.
Dans cette phase, la première étape est l’établissement de la balance des comptes à
partir du grand livre des comptes. Seul le détail des données de base est condensé pour
ne présenter que la totalisation, compte par compte.
La préparation des états financiers est également une étape bien connue des comptables
qui peut être présentée, à titre d’exemple, dans les pages suivantes telle qu’elle est
réalisée avec le logiciel EBP ETAFI:
A chaque champ des feuillets de la liasse fiscale est associé une variable, celle-ci peut
être de type « vide », il faut saisir manuellement la valeur de cette variable, ou de type
calculée, c'est le logiciel qui calcule automatiquement la valeur du champ à partir de la
formule associée à la variable.
Le plan de regroupement contient la liste des variables des feuillets et leur définition
(formule de calcul).
Le plan de regroupement commun est le plan qui a été défini comme plan de référence
pour tous les dossiers. Pour le consulter, lancez la commande Voir plan de regroupement
commun du menu Liasses + Plan de regroupement.
Cette fenêtre affiche sur sa partie gauche la liste des feuillets sous forme de plan.

ECF Formations ©
ECF Système d’information et contrôle interne
91/134

Utilisez la touche « + » du clavier numérique sur un feuillet pour consulter les rubriques
qu'il contient. Vous pouvez alors consulter et modifier la définition d'une rubrique.
Une rubrique à saisir est représentée par .
Une rubrique calculée est représentée par .

Saisie des liasses


Utilisez la commande Saisie du menu Liasses.
Cette commande permet de saisir et de vérifier le contenu des feuillets. La liste des
feuillets obtenus dépend des choix effectués dans les Préférences du dossier du menu
Dossier + Propriétés.
Choisissez le feuillet à visualiser et modifiez-le si nécessaire. Lorsque vous entrez en
saisie des feuillets, le menu Feuillet s'active et vous propose les principales fonctions
utilisables.
Ce menu vous permet de :
§Visualiser les feuillets suivants et précédents,
§Connaître les comptes affectés à un champ particulier,

ECF Formations ©
ECF Système d’information et contrôle interne
92/134

§Visualiser les variables associées à chaque champ,


§Recalculer le champ en cours d'après la formule de calcul d'origine,
§Imprimer le feuillet en cours,
§Visualiser les propriétés du champ en cours.

Ce menu est accessible également en cliquant sur le bouton droit de la souris (=menu
contextuel).

En cliquant sur Propriétés, on accède à l'écran suivant :

La commande Comptes, nous indique les comptes affectés à un champ particulier :

ECF Formations ©
ECF Système d’information et contrôle interne
93/134

La saisie dans un feuillet s'effectue comme dans un tableur à quelques différences près
(différence de largeur de champ, zones non accessibles par l'utilisateur). Pour vous
déplacer d'un champ à un autre, utilisez les flèches de direction (Haut, bas, gauche et
droite).
Les variables
Comme nous l'avons vu précédemment à chaque champ est associée une variable dont
le nom peut être connu en cliquant sur l'icône . La valeur et / ou la formule des
variables de chacun des champs proposés dans le feuillet est modifiable. Toutefois, leur
modification n'est autorisée que si vous avez coché Autoriser la modification des
champs non protégés dans les Préférences du menu Dossier + Propriétés. Les valeurs
proposées dans le feuillet dépendent de la formule paramétrée. Cette formule est une
somme ou une soustraction d'éléments.
Vous pouvez également à tout moment revenir à la formule d'origine de la rubrique en
cliquant sur le bouton Restaurer la formule standard dans les Propriétés que vous
obtenez soit par le menu Feuillet soit par le clic avec le bouton droit de la souris.
Cette séquence avait pour but de montrer la problématique d’agrégation souvent
complexe des données de bases figurant dans la balance des comptes, bien que tant
celle-ci (en raison du plan comptable utilisé), que la trame des états financiers soient
fortement « encadrés ».
Mais généralisons, à partir de cet exemple comptable, à des constations portant sur des
informations utilisées dans l’entité à des fins de gestion.

Constats :
1 les statistiques de vente sont éditées à la demande et les commissions des
représentants sont versées avec un trimestre de retard.
2 les prestations fournies par l’entité sont comptabilisées par type de services fournis
aux clients dans une entreprise frontalière.
Risques :
1 défaut d’édition régulière des statistiques de vente
2 la ventilation fiscale France, communauté, export est-elle respectée ?
Points à creuser :
1 mise en place d’un « reporting » édité automatiquement à intervalle régulier en plus
de l’établissement des déclarations de TVA mensuelles.
2 rechercher, soit dans les référentiels ou fichiers permanents, soit dans chaque facture,
l’information permettant d’établir cette ventilation à caractère fiscal et son exploitation
lors de l’établissement des états financiers.

ECF Formations ©
ECF Système d’information et contrôle interne
94/134

Tests de procédures :
1 édition des statistiques de vente du dernier trimestre et rapprochement avec les ventes
globales après totalisation.
2 Contrôler si les comptes de ventes utilisés figurent dans les bonnes fourchettes en vue
du report dans le ou les comptes de résultats financiers.

2.6 CONTROLES GENERAUX RENFORCANT LES PROCEDURES


DETAILLEES

Le système d'information d'une entité englobe les procédures et les documents qui lui
permettent :
a) d'identifier et d'enregistrer toutes les opérations valides;
Il s’agit là de l’objectif général concernant les phases d’initiation et d’enregistrement
des opérations.

b) de décrire en temps voulu les opérations de façon suffisamment détaillée pour


qu'elles puissent être classées adéquatement pour les besoins de l'information financière;
Il s’agit là, par exemple d’une arborescence de menus très développés permettant la
saisie d’opérations variées sans possibilité de confusion.

c) de mesurer la valeur des opérations de manière à pouvoir traduire leur véritable


valeur monétaire dans les états financiers;
Il s’agit là d’utiliser, dans la mesure du possible au maximum la sécurité fournie par
l’utilisation de référentiels ou fichiers permanents.

d) de déterminer le moment où les opérations ont eu lieu de façon à pouvoir les


comptabiliser dans la bonne période;
Il s’agit là, par exemple, d’utiliser la date système du serveur, de façon à ne pas
pouvoir intervenir de façon non contrôlée sur ce plan à partir d’un des postes.

e) de présenter correctement les opérations et les informations connexes dans les états
financiers.
Il s’agit là, par exemple, d’utiliser un progiciel de production des états financiers
automatisé sans possibilité d’intervention manuelle.

Ces points découlent en quelque sorte de l’environnement de contrôle interne mis en


place par la direction, et sont ensuite confortés par les activités de contrôle développées
ci’dessous.

ECF Formations ©
ECF Système d’information et contrôle interne
95/134

ECF Formations ©
ECF Système d’information et contrôle interne
96/134

2.7 ACTIVITES DE CONTROLE


Après l’analyse détaillée des 4 phases à distinguer dans la réalisation d’une opération, et
des objectifs généraux du traitement de l’information, découvrons maintenant les
activités de contrôle, qui dans de nombreux cas sont inhérentes au système
d’information mis en place.
Quatre activités sont recensées :
-Analyse de la performance
-Traitement de l’information
-Contrôles physiques
-Séparation des taches

2.7.1 Analyse de la performance

Ces activités de contrôle comprennent :

i) les examens et les analyses de la performance réelle par rapport aux budgets, aux
prévisions et à la performance de la période précédente;

ii) la détermination des relations qui existent entre les différents ensembles de données
d'exploitation ou financières, ainsi que l'analyse de ces relations et la mise en oeuvre de
mesures d'investigation et de mesures correctives;

iii) la comparaison des données d'origine interne avec des informations de sources
externes;

iv) l'analyse de la performance fonctionnelle et opérationnelle, comme celle à laquelle


procède le directeur des prêts à la consommation dans une banque lorsqu'il analyse les
rapports par succursale, par région et par type de prêts en ce qui concerne les
approbations et les recouvrements de prêts.

2.7.2 Traitement de l’information


Définition :
Les contrôles des applications sont des procédures manuelles ou automatisées qui sont
habituellement mises en oeuvre à l'échelle des procédures. Ces contrôles, qui peuvent
être de prévention ou de détection, sont conçus pour assurer l'intégrité des documents
comptables. Ils ont donc trait aux procédures utilisées pour initier, enregistrer, traiter et
rendre compte des opérations ou d'autres données financières. Ils contribuent à assurer
que les opérations ont eu lieu, sont autorisées, et sont enregistrées et traitées avec

ECF Formations ©
ECF Système d’information et contrôle interne
97/134

exhaustivité et exactitude. À titre d'exemples, citons les contrôles de validation des


données d'entrée et les contrôles séquentiels numériques avec suivi manuel des listes
d'anomalies ou correction au point de saisie des données.

Connaissances détaillées :
Différents contrôles sont effectués pour vérifier l'exactitude et l'exhaustivité des
opérations et déterminer si elles ont été autorisées. Les deux grands groupes d'activités
de contrôle exercées sur les systèmes d'information sont les contrôles des applications et
les contrôles TI généraux. Les con trôles des applications sont effectués sur les
traitements exécutés au moyen d'applications individuelles. Ils contribuent à assurer que
les opérations ont eu lieu, sont autorisées, et sont enregistrées et traitées de manière
exhaustive et avec exactitude. Voici des exemples de contrôles des applications :

i) la vérification de l'exactitude arithmétique des comptes;

ii) la tenue à jour et l'examen des comptes et l'établissement de balances de vérification;

iii) les contrôles automatisés tels que les contrôles d'édition des données d'entrée et les
contrôles de séquence numérique;

iv) le suivi manuel des états des anomalies.

Les contrôles TI généraux correspondent aux politiques et aux procédures qui portent
sur de nombreuses applications et qui contribuent à l'efficacité des contrôles des
applications en contribuant à assurer le fonctionnement adéquat et en continu des
systèmes d'information. Ils comprennent habituellement les contrôles sur :

i) l'exploitation du centre de données et du réseau;

ii) l'acquisition, la modification et la maintenance des logiciels de base;

iii) la sécurité des accès ;

iv) l'acquisition, le développement et la maintenance des systèmes d'applications.

Ces contrôles s'appliquent dans un environnement de gros ordinateurs, de mini-


ordinateurs ou d'informatique individuelle. En voici quelques exemples :

i) les contrôles sur les modifications de programme;

ECF Formations ©
ECF Système d’information et contrôle interne
98/134

ii) les contrôles d'accès aux programmes ou aux données;

iii) les contrôles sur la mise en place de nouvelles versions de logiciels d’applications
prêts à l'emploi;

iv) les contrôles sur les logiciels de base qui limitent l'accès aux utilitaires susceptibles
de modifier les données ou documents financiers sans laisser de piste de vérification, ou
qui surveillent l'utilisation des utilitaires.

Pour acquérir une compréhension du système d'information, l’auditeur tient compte des
risques d'inexactitudes importantes liés au contournement inopportun des contrôles sur
les écritures de journal et des contrôles afférents aux écritures non courantes. Par
exemple, les processus et les contrôles automatisés peuvent réduire le risque d'erreurs
accidentelles, mais ils n'éliminent pas le risque que des personnes contournent ces
processus automatisés, par exemple en modifiant les montants qui sont
automatiquement transmis au système de grand livre ou d'information financière. En
outre, l’auditeur garde à l'esprit que lorsque les TI sont utilisées pour le transfert
automatique d'informations, il se peut qu'il y ait peu ou point de traces visibles d'une
telle intervention dans les systèmes d'information.

Exemples de tests de procédures :


Sur la combinaison des assertions visées et des procédures mises en œuvre, la
norme donne l'exemple suivant :
« … l'auditeur peut identifier l'examen par un utilisateur d'un rapport d'anomalies
des ventes à crédit au-delà de l'autorisation de découvert autorisée à un client lors
d'un contrôle direct d'une assertion. Dans ces cas-ci, l'auditeur considère l'efficacité
de l'examen par l'utilisateur du rapport et également des contrôles liés à
l'exactitude des informations dans le rapport (par exemple, des contrôles liés aux
technologies de l'information en général) »… (ISA 330).
NDLR : dans cet exemple, l'auditeur peut amender son opinion des conséquences
(positives ou négatives) sur la qualité de l'environnement général de contrôle
interne (avec ses conséquences éventuelles sur le tableau d'évaluation des
risques).
C'est un deuxième aspect du caractère itératif de la démarche.

Lors de la matérialisation des contrôles effectués, la difficulté est de documenter


les assertions poursuivies par l'auditeur dans le contexte.

Poursuivant la démarche développée lors de l'établissement du tableau des


risques, en cas d'informatisation conséquente du système d'information de
l'entreprise contrôlée, l'auditeur s'attacher plus à utiliser la qualité des interfaces,
de la numérotation chronologique et des habilitations dans ces comptes-rendus
plutôt que de rechercher systématiquement l'exhaustivité, la réalité et l'évaluation.

ECF Formations ©
ECF Système d’information et contrôle interne
99/134

En cas d'absence de séparation des tâches, notamment dans les petites


entreprises (faiblesse chronique des habilitations), il insistera sur le caractère
successif des opérations réalisées et horodatées dans le système qui donne aux
informations produites un aspect d'édifice et non pas de « boite noire ».

2.7.3 Contrôles physiques

Ces contrôles portent sur :


i) la sécurité physique des actifs, notamment le recours à des mesures de sécurité
adéquates telles que des installations à accès contrôlé pour protéger les actifs et les
documents;

ii) l'autorisation des accès aux programmes informatiques et aux fichiers de données;

iii) le dénombrement périodique des biens et leur comparaison avec les montants
figurant dans les comptes (par exemple, comparer les résultats des dénombrements des
liquidités, des valeurs mobilières et des stocks avec les comptes).
La mesure dans laquelle les contrôles physiques visant à prévenir les vols d'actifs sont
pertinents pour l'établissement d'états financiers fiables, et donc pour la vérification,
dépend notamment de la question de savoir si les actifs sont très susceptibles de faire
l'objet de détournements. Par exemple, ces contrôles ne sont habituellement pas
pertinents lorsque les pertes de stocks peuvent être détectées dans le cadre d'un
dénombrement périodique, et comptabilisées dans les états financiers.

Cependant, lorsque la direction s'appuie uniquement sur les données de l'inventaire


permanent pour la préparation de l'information financière, les contrôles exercés sur la
sécurité physique des actifs sont pertinents pour la vérification.

2.7.4 Séparation des taches


L'attribution des responsabilités relatives à l'autorisation des opérations, à
l'enregistrement des opérations et à la garde des actifs à des personnes différentes vise à
réduire les possibilités qu'une même personne puisse commettre et dissimuler des
erreurs ou des fraudes dans le cadre normal de l'exercice de ses fonctions.
À titre d'exemples de séparation des tâches, citons la préparation, la révision et
l'approbation des rapprochements, ainsi que l'approbation et le contrôle des documents.

Certaines activités de contrôle peuvent résulter de l'établissement, par la direction ou les


responsables de la gouvernance, d'une politique appropriée d'autorisation par les
échelons supérieurs.
Ainsi, certains contrôles des autorisations pourraient être délégués dans le cadre de
lignes directrices définies, par exemple les critères du choix des investissements établis

ECF Formations ©
ECF Système d’information et contrôle interne
100/134

par les responsables de la gouvernance; par contre, les opérations inhabituelles telles
que les acquisitions et les cessions importantes pourraient nécessiter une approbation
particulière à un échelon supérieur, et même, dans certains cas, l'approbation des
actionnaires.
2.8 TABLEAU DE SYNTHESE
PHASES Initier Enregistrer Traiter Rendre compte
D’ANALYSE
D’UNE
OPERATION
permettant de
classer les
procédures
utilisées

ELEMENTS DU
CONTROLE
INTERNE
UTILISES

1 - Système Manuel ou Identification Edition, validation Préparation de


d'information rapports
automatisé Saisie calcul, mesure pour analyser la
performance
évaluation, financière et à
récapitulation d'autres fins
rapprochement
2 - Activités de
contrôle

2-1 Analyse de la Contrôle Mesures Sources externes Analyse


performance fonctionnelle
budgétaire correctives

2-2 Traitement de Contrôles auto. Tenue à jour Suivi des états


l'information d'anomalies
Numérotation Examen des comptes
croissante Balances
Datation Rapprochement,
lettrage

2-3 Contrôles Préservation Accès au Dénombrement et Inventaire


physiques permanent
des documents système comparaison Valeurs
financières
Préparation

ECF Formations ©
ECF Système d’information et contrôle interne
101/134

2-4 Séparation Prévention Prévention Détection …/…


des taches détection
Intranet Workflow Audit externe
bancaires

ECF Formations ©
ECF Système d’information et contrôle interne
102/134

2.9 CONCLUSION

Il ne faut pas confondre les tests de l'efficacité du fonctionnement des contrôles et


l'obtention d'éléments probants indiquant que les contrôles ont été mis en oeuvre.

Lorsqu'il réunit des éléments probants concernant la mise en oeuvre des contrôles en
appliquant des procédés d'appréciation des risques, l’auditeur cherche à déterminer que
les contrôles pertinents existent et que l'entité les utilise. Lorsqu'il teste l'efficacité du
fonctionnement des contrôles, l’auditeur obtient des éléments probants indiquant que les
contrôles fonctionnent efficacement. À cette fin, l’auditeur réunit des éléments probants
sur la façon dont les contrôles ont été appliqués à des moments pertinents au cours de la
période visée par l’audit, l'uniformité de leur application ainsi que les personnes qui les
ont appliqués ou les moyens par lesquels ils l'ont été. Lorsque des contrôles
essentiellement différents ont été appliqués à divers moments au cours de la période
visée par l’audit, l’auditeur les examine séparément.

Il se peut que l’auditeur détermine qu'il est efficient de tester l'efficacité du


fonctionnement des contrôles au même moment où il évalue leur conception et réunit
des éléments probants concernant leur mise en oeuvre.
(ISA 330)

Mais voyons cela de façon plus détaillée dans la séquence suivante intitulée
ELEMENTS PROBANTS qui comprend notamment « l’audit des données »

ECF Formations ©
ECF Système d’information et contrôle interne
103/134

3 ELEMENTS PROBANTS
La norme française homologuée précise, concernant « les procédures d’audit », les techniques
de contrôle à utiliser :
NEP 330-11. Pour être en mesure de conclure quant à l’efficacité ou non du contrôle mis en
oeuvre par l’entité, le commissaire aux comptes, en plus des demandes d’information, utilise une
ou plusieurs autres techniques de contrôle comme, par exemple, les procédures analytiques,
l’observation physique, l’inspection, la ré-exécution de certains contrôles réalisés par l’entité. Les
tests de procédures ne se limitent pas à des demandes d’information.

La norme internationale d’audit précise ensuite :

ISA 330 En raison de l'uniformité inhérente du traitement informatique, les éléments probants
concernant la mise en oeuvre d'un contrôle automatisé des applications, lorsque considérés
conjointement avec les éléments probants de l'efficacité du fonctionnement des contrôles généraux de
l'entité (et, en particulier, des contrôles sur les changements), peuvent fournir des éléments probants
substantiels quant à l'efficacité du fonctionnement du contrôle au cours de la période pertinente.

En clair, un contrôle automatisé peut, dès sa mise en place, s’avérer efficace pour l’ensemble
de la période contrôlée en raison de l’uniformité du traitement informatique.

La norme française homologuée concernant les « éléments probants » complète par


l’ensemble des techniques de contrôle utilisables par l’auditeur :
NEP 500. Pour collecter les éléments nécessaires dans le cadre de l’audit des comptes, le
commissaire aux comptes choisit parmi les techniques suivantes :
- l’inspection des enregistrements ou des documents, qui consiste à examiner des enregistrements
ou des documents, soit internes soit externes, sous forme papier, sous forme électronique ou autres
supports ;
- l’inspection des actifs corporels, qui correspond à un contrôle physique des actifs corporels ;
- l’observation physique, qui consiste à examiner la façon dont une procédure est exécutée au sein
de l’entité ;
- la demande d’information, qui peut être adressée à des personnes internes ou externes à l’entité ;
- la demande de confirmation des tiers, qui consiste à obtenir de la part d’un tiers une déclaration
directement adressée au commissaire aux comptes concernant une ou plusieurs informations ;
- la vérification d’un calcul ;
- la ré-exécution de contrôles, qui porte sur des contrôles réalisés à l’origine par l’entité ;
- les procédures analytiques, qui consistent à apprécier des informations financières à partir :
- de leurs corrélations avec d’autres informations, issues ou non des comptes, ou avec des données
antérieures, postérieures ou prévisionnelles de l’entité ou d’entités similaires ; et
- de l’analyse des variations significatives ou des tendances inattendues.

NEP 500. Ces techniques de contrôle peuvent s’utiliser seules ou en combinaison à tous les stades
de l’audit des comptes.

Ces textes suggèrent dans une large mesure le recours quasi-systématique aux techniques d’audit
assistées par ordinateur, il convient de limiter volontairement ceux-ci aux « tests de procédure »

ECF Formations ©
ECF Système d’information et contrôle interne
104/134

pour ne pas développer l’emploi de ces techniques dans le cadre des « contrôles de substance »
qui se décomposent en deux parties : les « tests de détail » et les « procédures analytiques ».

Ainsi le développement suivant concerne, dans le cadre strict du « contrôle interne », les
informations fournies par les normes françaises homologuées NEP-330 et NEP-500, assorties de
développements inclus dans les normes ISA-330 et ISA-500.

Rappelons la distinction entre les « tests de procédure » visant à vérifier l’efficacité des contrôles
et les « éléments probants » indiquant que les contrôles ont été mis en œuvre au cours de la
période contrôlée.

En raison du caractère combinatoire des techniques utilisées, il est proposé la structure d’étude
suivante :
- Méthodologie de l’analyse de données
- Exemples de tests de procédures par flux d’opérations, comprenant, outre les techniques
d’analyse de données proprement dites, les autres moyens combinatoires utilisés.

3.1 AUDIT DES DONNEES

3.1.1 CHAPITRE 1 : QU’EST-CE QUE L’ANALYSE DE DONNEES ?


3.1.1.1 1. INTRODUCTION
L’analyse de données est apparue dans les années 60 dans une économie marquée par trois facteurs
principaux : l’extension et la mutation des marchés, la naissance de l’informatique et le
développement de la gestion d’entreprise. En effet, à la suite de la seconde guerre mondiale, nous
passons d’une économie nationale à une économie mondiale fondée sur des règles nouvelles.
Face à l’extension et à la mutation des marchés et de la concurrence, le gestionnaire a eu besoin de
plus d’informations chiffrées afin de gérer sa structure commerciale dans un contexte flou et mouvant.
L’analyse de données est née de la rencontre « d’un besoin, avec un outil et avec une école » (Jean De
Lagarde).
L’ordinateur a permis de traiter des masses de données à très faible coût, en obtenant des résultats
exhaustifs.
Aujourd’hui, l’information et son retraitement sont considérés comme un facteur clé de réussite d’une
entreprise. On parle de plus en plus de datamining ou de transformation des données en information
intelligente, de mesure d’audience, etc.
2. DEFINITION
L’objectif de ce guide est de promouvoir l’analyse de données auprès des petites structures de
commissariat aux comptes et répondre à leurs interrogations : pourquoi, quand et comment.
Dans ce guide, nous étudierons le concept de l’analyse de données informatiques à des fins d’audit et
d’analyse comptable. Nous nous intéresserons au système d’information de l’entreprise, à partir
duquel nous extrairons les données sur lesquelles nous allons effectuer des analyses à base de requêtes.
Nous exclurons de notre réflexion les outils utilisés pour établir les comptes.
L’analyse de données telle que nous l’entendons est à distinguer des notions suivantes :

L’automatisation des dossiers de travail (Auditor Work Station) c’est-à-dire un lieu de stockage de
données (base Notes ™, base knowledge, etc.),
L’informatisation du processus d’élaboration des comptes,
Des requêtes effectuées par le biais de moteur de recherche car leur résultat ne fait pas l’objet d’une
analyse.
2.1. Différence avec l’automatisation des dossiers de travail

ECF Formations ©
ECF Système d’information et contrôle interne
105/134

L’automatisation des dossiers est une méthode de travail utilisée par certains cabinets d’audit pour
structurer et organiser les travaux d’audit. La forme la plus simple d’automatisation est un dossier
électronique classé par activité/processus/contrôle/assertion /fichier.
Cette méthode possède plusieurs avantages :
Faciliter le travail en groupe et la répartition des travaux en permettant aux membres de l’équipe de
travailler simultanément sur le même dossier (mais sur des fichiers distincts pour éviter les conflits),
d’où un partage de l’information en temps réel ;
Structurer les travaux d’audit car elle est bâtie sur le même modèle que la méthodologie du cabinet
d’audit, ce qui facilite à l’auditeur la documentation de ses travaux et l’évaluation des risques ;
Capitaliser le savoir d’une année sur l’autre.
En revanche, l’automatisation des dossiers de travail ne permet pas ni d’apprécier le contrôle interne ni
de contrôler les comptes car il ne s’agit pas de traiter les données clients mais uniquement les
documents de travail des auditeurs.
2.2. Différence avec l’élaboration des comptes
Dans le cadre de l’élaboration des comptes, les logiciels comptables ont développé de large possibilité
d’import et d’export. En import, il est possible de recevoir des écritures comptables. En export, il est
possible de transférer les éléments permettant d’élaborer la liasse fiscale et les annexes.
Des outils bureautiques comme les tableurs sont utilisés pour effectuer des calculs et obtenir des
chiffres qui permettent ensuite de passer les écritures correspondantes.

Dans le cadre de l’analyse de données, les travaux permettent d’effectuer effectivement des calculs
pour vérifier ceux effectués par l’entreprise, mais les travaux s’orientent en général vers des opérations
de gestion des données qui ne sont pas uniquement calculatoire :
Rapprochement ligne par ligne entre différents fichiers,
Recherche de doublons,
Extraction d’anomalies du fichier.

3.1.2 3. LA PRATIQUE DES CABINETS D’AUDIT


3.1.2.1 3.1. INTRODUCTION
Le traitement de données informatisé n’est plus réservé aux seules entreprises capables d’investir dans
des systèmes coûteux. En effet, les systèmes de traitement sont désormais à la portée de toutes les
PME et même du grand public. Les commissaires aux comptes doivent accompagner l’évolution de
leurs clients en utilisant des techniques de traitement automatisé de l’information.
Face au volume de données considérable et à la complexité de plus en plus accrue des systèmes
d’information rencontrés chez les clients, l’auditeur devra répondre essentiellement aux trois objectifs
suivants :
Transformer des masses de données en informations :
Ceci passe par l’utilisation des données disponibles sur l’ensemble du système d’information pour
contrôler les comptes (Cf. chapitre 3.1).
Automatiser les travaux d’audit classiques habituellement effectués manuellement :
La récupération des chiffres et leur mise en forme étant entièrement automatisée dans ses systèmes, le
client attendra du cabinet des analyses accrues et des recommandations pertinentes.
Effectuer les tests répondant aux objectifs d’audit.
3.1.2.2 3.2. CONTEXTE RÉGLEMENTÉ DANS LE CADRE D’UN AUDIT LÉGAL
Les incidences de l’informatique sur la méthodologie de l’auditeur sont exposées dans ce support de
façon détaillée dans les parties 1 et 2.
Ces points sont les suivants :
Description du contrôle interne incluant l’élément système d’information,
Evaluation des risques inhérent et liés au contrôle d’un système ou d’une application,
La qualité de la documentation,
Les modifications intervenues d’un exercice à l’autre.

ECF Formations ©
ECF Système d’information et contrôle interne
106/134

La méthode consiste à mettre en évidence les points forts sur lesquels l’auditeur pourra s’appuyer afin
d’orienter les contrôles sur les risques non couverts.
3.1.2.3 CONTEXTE MISSIONS SPÉCIALES
(diligence directement liée, recherche de fraude, identification des divergences du système
d’information, analyse de populations pour les besoins marketing)
Dans le cadre des missions spéciales, le commissaire aux comptes continue d’appliquer les règles
déontologiques et les normes de sa profession. Cependant, les missions n’ont plus la même finalité à
savoir la certification des comptes.
L’objectif de l’analyse de données est déterminé contractuellement, par exemple :
Réaliser une analyse statistique des populations de clients sur des critères marketing,
Rapprocher les données émises par une application des données reçues dans une autre pour vérifier
une interface.
Lors des missions spéciales, le professionnel continue d’utiliser les mêmes méthodes audit, notamment
:
Contrôle de cohérence des données fournies,
Traçabilité des traitements effectués,
Documentation des travaux,
Elaboration d’un rapport de fin de mission.

La norme 9080 permet dorénavant explicitement de réaliser des consultations relatives au contrôle
interne concourant à l’élaboration de l’information financière.

3.1.3 CHAPITRE 2 : COMMENT DEMARRER UNE CELLULE D’ANALYSE


DE DONNEES DANS UNE PETITE STRUCTURE ?
3.1.3.1 1. LES CRITERES DE CHOIX
Lorsqu’un cabinet d’audit prend la décision de démarrer une activité d’analyse de données au sein de
ses missions de certification de comptes, il est confronté à un certain nombre de questions d’ordre
pratique :
Doit-on recruter des personnes ayant des compétences techniques spécifiques ou peut-on recourir
à des compétences internes ?
Quel est l’effectif requis et comment structurer son organisation autour de cette cellule ?
La capacité des ordinateurs dont on dispose est-elle suffisante ou faut-il investir dans un matériel
plus puissant ?
Quels sont les logiciels informatiques requis pour ce type de travaux et lequel choisir ?
Quel est le coût engendré par la mise en place d’une telle activité et quel retour sur investissement
peut-on espérer ?
D’une manière générale, quels sont les écueils à éviter pour réussir l’implantation d’une cellule
d’analyse de données ?
Le premier constat qui s’impose est l’interdépendance des questions entre elles, la réponse à l’une
ayant une incidence sur les autres. En effet, et à titre d’exemple, le choix d’un outil informatique
d’audit comme
ACL, ACCESS ou IDEA va exiger un matériel et des compétences techniques spécifiques. Cette
configuration, si on la compare avec celle consistant à préférer un logiciel standard comme EXCEL,
demandera un investissement financier plus important.
La seconde remarque est que toutes ces questions ont pour point commun d’être liées aux moyens de
mise en oeuvre pour démarrer cette activité d’analyse de données. On parle de moyens humains
(qui ?), matériels (comment?) et financiers (combien ?).
La réponse à toutes ces questions demande une réflexion préliminaire sur l’objectif de cette cellule
d’analyse de données. Par objectif, nous entendons son rôle au sein de l’activité de commissariat aux
comptes. Nous avons choisi de présenter les principaux facteurs communs à toutes les structures : le
type de clientèle, la complexité des activités du client et la couverture des dossiers.

ECF Formations ©
ECF Système d’information et contrôle interne
107/134

Le type de clientèle a une influence dans le choix des moyens humains et matériels de la cellule. Pour
illustrer notre propos, prenons l’exemple d’une clientèle majoritairement composée d’entreprises ayant
un nombre de transactions commerciales conséquent (achats, ventes, téléphonie, courtiers d’assurance,
banques, etc.). Par essence, le nombre de transactions observé fait que le travail d’audit ne peut plus
être manuel et doit nécessairement recourir à l’utilisation d’outils informatiques. Ces contraintes
pèsent sur la structure de la cellule qui devra être dotée de moyens suffisants pour répondre à des
demandes de travaux beaucoup plus complexes que s’il s’agissait d’un petit client.
Ceci est d’autant plus vrai si certains processus font l’objet de complexités particulières (tarification
avec plusieurs niveaux de remise, processus de provisionnement des stocks s’appuyant sur plusieurs
critères, etc.) L’utilisation d’un logiciel d’audit est plus appropriée. Les commandes particulières de ce
type de logiciel facilitent les rapprochements, les exécutent plus rapidement et limitent les risques
d’erreur. De plus, la capacité de traitement de ces logiciels est quasi illimitée.
Autre critère déterminant les moyens à mettre en oeuvre, la stratégie du Cabinet. Selon les moyens qui
lui sont alloués et la confiance témoignée dans l’implantation de cette cellule, on pourra envisager de
créer une véritable cellule d’expertise grâce au recrutement d’une personne expérimentée et à l’achat
de matériels adéquats. Cette approche est recommandée si l’on envisage de faire de l’analyse de
données sur toutes les missions, l’automatisation de certains traitements courants étant source d’un
meilleur ratio temps/qualité.
Après avoir confronté tous ces facteurs, la vision du rôle de cette cellule d’analyse de données doit être
claire. De là, découleront les moyens à mettre en oeuvre pour réussir l’implantation de cette cellule
conformément à ce qu’on en attend.
Dans ce chapitre, nous avons décidé de présenter davantage les moyens à mettre en oeuvre, que le rôle
de la cellule, car ce dernier est souvent lié aux possibilités et au libre arbitre du Cabinet. Pour en
faciliter la compréhension, nous avons distingué et qualifié deux types d’objectif :
Objectif « ambitieux » pour les structures étant prêtes à s’investir dans cette activité et développer
une véritable expertise en analyse de données,
Objectif « prudent », pour un Cabinet souhaitant faire de l’analyse de données tout en limitant les
investissements.

3.1.3.1.1 Objectif ambitieux


Lorsqu’on projette de développer une expertise en analyse de données, il faut se doter des moyens
appropriés. Nous allons maintenant traiter des moyens à mettre en place, de leur coût et de leur retour
sur investissement.

3.1.3.1.1.1 Outil
Comme nous l’avons vu précédemment, la mise en place d’une structure d’analyse de données, le
contexte
et la nature des missions qui lui sont confiées posent un certain nombre d’exigences au niveau
informatique. En effet, il faut pouvoir compter sur une capacité de traitement importante, des
fonctionnalités facilitant les travaux, la possibilité d’automatiser certaines tâches, etc. En considérant
ces contraintes, l’utilisation d’un logiciel spécifique est tout indiquée car il est adapté à ce type de
travaux et permet un meilleur retour sur investissement à moyen terme.
En premier lieu, ACL (Audit Command Language) ou IDEA sont des logiciels d’audit et à ce titre
disposent de fonctionnalités particulièrement adaptées à cette activité, comme par exemple :
- La traçabilité :
Le système garde en mémoire toutes les manipulations effectuées sur le fichier. Ceci permet
d’expliquer la méthode de traitement ou de revoir ce qui a été fait.
- L’intangibilité des données :
Une fois entrées dans le logiciel, les données ne peuvent absolument pas être modifiées.
- La reprise et la conversion de fichier sont simplifiées car ces logiciels ont la particularité d’intégrer
un grand nombre de format de fichier.
- Le travail sur les fichiers est facilité grâce à l’existence de six ou sept commandes permettant à elles
seules d’exécuter tous les types de travaux.
- Le traitement automatique de travaux récurrents au moyen de programmes.

ECF Formations ©
ECF Système d’information et contrôle interne
108/134

Ces fonctionnalités permettent d’obtenir une meilleure qualité et une meilleure productivité que les
outils bureautiques standards. L’effacement des données initiales est impossible du fait de
l’intangibilité des données. Le contrôle des travaux effectués est effectué au moyen du système de
journalisation. La mise en place de programmes standardisés permet de gagner en productivité.

3.1.3.1.1.2 Profil
L’utilisation d’un logiciel d’audit ne peut être effectuée que par un collaborateur ayant une
connaissance approfondie de l’audit alliée à des compétences informatiques. Or, cette double
compétence (par exemple, un cursus d’ingénieur couplé d’une spécialisation ou d’un master d’audit)
est une ressource rare sur le marché et très convoitée. Fort heureusement, il existe d’autres profils
convenant à ce type de travaux, mais il faudra choisir entre une dominante technique ou audit.
Si l’on opte pour un technicien, les aspects techniques des travaux d’analyse de données seront
rapidement et plus aisément maîtrisés. La période de formation sera davantage consacrée à acquérir les
bases de l’audit financier nécessaires pour identifier les données utiles et produire un livrable
pertinent. Il est impératif pour la réussite de l’implantation d’une telle cellule que les rapports produits
répondent aux attentes de l’auditeur financier et du client.
Pour augmenter les chances de réussite ou si le Cabinet n’a pas la possibilité de recruter, l’expérience
montre qu’il est préférable d’avoir recours à un auditeur. L’intérêt de former un auditeur financier
réside dans le fait qu’il connaît le contexte dans lequel ces travaux vont s’insérer et qu’il est mieux à
même de les orienter pour répondre aux besoins de la mission. Il aura moins de difficulté, par rapport à
un technicien, pour définir les données dont il a besoin et pour écrire un rapport pertinent et
directement utilisable. Cependant, il faut avoir conscience que la phase d’apprentissage de l’outil et
des compétences informatiques afférentes sera fastidieuse et plus au moins longue en fonction des
aptitudes du collaborateur. Elle demande un réel investissement en temps, c’est pourquoi il convient de
choisir un collaborateur particulièrement motivé. D’ailleurs, nous insistons sur le fait qu’il faut choisir
des tests simples à réaliser lors des premières missions puis augmenter la complexité au fur et à
mesure de la maîtrise de l’outil.
Suite à cette phase d’apprentissage, l’auditeur s’attachera plus à l’analyse qu’à la programmation.
Ainsi, on évite au collaborateur de se trouver face à des difficultés techniques qui risquent de le
décourager très rapidement et on limite les risques d’erreur dans les traitements. Si l’auditeur a de
réelles difficultés pour utiliser l’outil, cela signifie que son profil n’est pas adapté.

3.1.3.1.1.3 Matériel
Pour effectuer de l’analyse de données, il est indispensable de disposer d’un ordinateur de type PC car
c’est désormais le standard utilisé par les entreprises.
La capacité de disque doit être suffisante pour permettre de stocker les données des clients sur au
moins deux ou trois ans afin de pouvoir capitaliser les travaux d’une année sur l’autre. Une capacité de
10 Go est un minimum.
Un graveur de CD-ROM permettra d’effectuer des sauvegardes inaltérables et de lire les données que
les clients transmettent sous forme de CD-ROM.
Certains clients fournissent leurs données sur d’autres supports. Il peut être intéressant dans ce cas de
disposer de lecteurs de cartouches (cf chapitre 3.1.1)

3.1.3.1.1.4 Conclusion
L’objectif ambitieux nécessite un investissement important sur le court terme mais s’avère rentable à
long terme. Les moyens humains et matériels sont utilisables pour toutes les missions d’analyse de
données et leur productivité s’améliorera de mission en mission.
Avec des équipes spécialisées, il est possible de vendre des missions d’analyse de données en dehors
des missions de commissariat aux comptes traditionnelles. De plus, l’existence d’une équipe
spécialisée apporte une valeur ajoutée et permet au cabinet de renforcer son positionnement auprès du
client.

3.1.3.1.2 Objectif prudent

ECF Formations ©
ECF Système d’information et contrôle interne
109/134

Si la structure d’audit ne dispose pas des moyens suffisants pour investir dans du matériel spécifique et
ne traite que des clients de taille réduite, il est possible d’utiliser EXCEL pour faire de l’analyse de
données.
Cette possibilité peut être utilisée dans une phase transitoire avant de projeter des investissements plus
importants.

3.1.3.1.2.1 Force
L’hypothèse prudente présente l’avantage d’utiliser les moyens déjà en oeuvre au sein du cabinet :
- Le matériel est un PC standard du cabinet. Le logiciel utilisé est le tableur Excel qui est en général
installé sur tous les postes avec la suite Office. Son utilisation est connue des collaborateurs.
- Un collaborateur expérimenté du cabinet pour effectuer les opérations de tests sous Excel. Il devra
posséder une bonne connaissance des techniques d’audit.
Cette configuration permet de débuter des analyses de données en se familiarisant avec les difficultés
que l’on peut rencontrer. L’investissement pour le cabinet se résume au temps consacré par le
collaborateur pour se familiariser avec l’outil et les problématiques des missions.

3.1.3.1.3 Règles et risques communs


Dans le cas d’une hypothèse, prudente nous considérons que le recrutement externe n’est pas
envisageable. Nous conseillons de ne former qu’une seule ressource plutôt que de répartir cette
fonction à temps partiel sur plusieurs, car l’acquisition des compétences est longue et doit être
concentrée. Le collaborateur ne peut pleinement s’investir dans une activité que s’il l’exerce à plein
temps.
Deux risques émergent de cette concentration d’expertise. D’une part, en cas de départ ou d’absence
prolongée de l’unique collaborateur compétent, les travaux d’analyse de données, et peut-être même
certaines missions seront paralysés du fait de l’impossibilité de le remplacer. D’autre part, des comptes
peuvent être certifiés sur la base de travaux d’analyse de données erronés.
Détecter des anomalies qui n’en sont pas n’est pas dangereux pour le cabinet parce qu’en menant des
travaux complémentaires, on détecte l’erreur. Le collaborateur devra analyser les raisons de la
défaillance pour éviter qu’elles ne se reproduisent sous peine de discréditer ses travaux auprès de son
client interne.
En revanche, il est plus préoccupant de ne pas détecter des anomalies qui, si elles avaient été
identifiées, auraient conduit à émettre des réserves sur les comptes. Ces deux cas de figure surviennent
lorsque les tests réalisés ne sont pas pertinents ou en cas d’erreurs de programmation. Le collaborateur
doit bien prendre conscience de l’importance de ses travaux et des risques qu’ils peuvent générer pour
le Cabinet. Il devra faire preuve d’une grande rigueur et prendre soin de se contrôler attentivement. Il
doit être capable d’expliquer les traitements pour justifier ses résultats en cas de litige. De plus, il est
important d’instaurer une revue indépendante permettant de contrôler au moins une fois par an que les
dossiers sont à jour et complets. Ceci permet de vérifier la rigueur du collaborateur dans la
documentation de ses travaux.
3.1.3.2 QUEL OUTIL CHOISIR ?
Dans ce chapitre nous avons décidé de présenter quatre outils d’analyse de données disponibles sur le
marché et utilisés dans les cabinets d’audit. Pour chacun des outils, nous illustrerons les principales
commandes par des exemples concrets.
L’objectif de ce chapitre n’est pas de reproduire un guide technique de chaque outil mais de mettre à
disposition du lecteur un mode d’emploi pratique des principales fonctionnalités en relation avec ses
besoins clés et de le guider dans le choix de l’outil adéquat pour démarrer une activité d’analyse de
données.
Dans ce sens, nous avons pré-sélectionné les outils EXCEL, ACCESS, ACL et IDEA, les deux
derniers étant des logiciels spécifiquement dédiés à l’audit.
Ainsi, notre démarche consistera d’abord à identifier les besoins clés tels que nous les ressentons dans
la pratique de l’analyse de données pour l’audit, de la récupération des données à la présentation des
résultats en passant par la manipulation des données et par l’analyse.
Ensuite, nous illustrerons les réponses apportées par chacun des logiciels pré-sélectionnés à ces
besoins clés :

ECF Formations ©
ECF Système d’information et contrôle interne
110/134

Quelles commandes doit-on utiliser ?


Quelles sont les limites ?
Quels sont les écueils à éviter ?
Enfin, une comparaison synthétique des outils selon différents critères (fonctionnalités, adéquation,
coût, etc.) permettra au lecteur d’avoir une idée globale des différences entre les logiciels et facilitera
ainsi son choix de l’outil adéquat.

3.1.3.2.1 Identification des besoins clés


Protéger les données initiales et garder la piste d’audit,
Mettre en forme et manipuler les données :
−Agréger une population selon des critères tant en valeur discrète qu’en valeur numérique ou
monétaire. Cette manipulation s’avère particulièrement utile pour obtenir par exemple une
reconstitution de la balance auxiliaire clients à partir du détail des écritures ou encore pour obtenir le
total des ventes par produit en volume et en montant à partir du détail du fichier des ventes,
−Trier une population selon un critère numérique ou caractère,
−Créer un fichier à partir d’un autre en reprenant certains enregistrements et certains champs clés,
−Mettre plusieurs fichiers les uns à la suite des autres dans un nouveau fichier.
Analyser et investiguer
−Disposer de statistiques (moyenne, somme et nombre de valeurs positives et négatives, extrémités
des valeurs, etc.) sur un champ donné,
−Insérer un champ calculé dans le fichier,
−Sélectionner statistiquement des données dans le fichier,
−Rapprocher deux fichiers disposant d’une même clé. Par exemple, rapprocher le fichier des factures
clients du fichier des adresses clients pour disposer de toutes les informations nécessaires à la
circularisation des factures (montant des factures et adresses).
Présenter les résultats :
−Editer les résultats,
−Exporter les champs utiles dans un nouveau fichier.

Le traitement des besoins clés par les logiciels


Après une présentation de chaque outil et des conditions préalables d’installation, nous présenterons
les principales commandes qui répondent aux besoins clés définis plus haut.

3.1.3.2.2 COMPARAISON DES OUTILS


Tableau récapitulatif des traitements des besoins clés par chaque outil

ECF Formations ©
ECF Système d’information et contrôle interne
111/134

ECF Formations ©
ECF Système d’information et contrôle interne
112/134

Besoin Manipulation

3.1.3.2.3 Synthèse
La description ci-dessus des fonctionnalités pour chacun des logiciels n’est certainement pas
exhaustive et tel n’est pas l’objectif de ce document. Elle donne cependant une idée précise de la

ECF Formations ©
ECF Système d’information et contrôle interne
113/134

richesse en fonctionnalités de chaque outil, de l’adéquation de ces fonctionnalités avec l’audit et enfin
du degré de technicité exigé pour pouvoir les exploiter pleinement.

3.1.4 LA METHODOLOGIE DE L’ANALYSE DE DONNEES


3.1.4.1 LE DEROULEMENT D’UNE MISSION D’ANALYSE DE DONNEES

3.1.4.1.1 Récupération des fichiers informatiques


Le travail débute systématiquement par la spécification des tests à réaliser d’après un cahier des
charges défini conjointement avec le client et les auditeurs. L’objectif étant de réunir les compétences
informatiques et comptables des auditeurs avec la connaissance métier du client pour :
􀂃identifier les risques,
􀂃définir les données nécessaires aux tests,
􀂃récupérer les fichiers des clients nécessaires à la réalisation des tests informatiques d’audit, soit sur
une clé USB ou une carte mémoire, soit sur bande magnétique, soit sur cartouche ou CD-ROM.
Une première difficulté réside dans le fait que les clients utilisent des systèmes variés et des progiciels
de différente origine qui ne gèrent pas le même type de données. L’objectif premier est de récupérer
les fichiers de données brutes exploitables facilement par l’outil d’analyse sélectionné. La sélection
des tests ne doit pas être dictée par la nature des données récupérées mais par la nature des risques
identifiés. C’est pour cette raison qu’il est nécessaire d’avoir une idée précise des tests à effectuer
avant d’aborder la phase de récupération des fichiers. Cependant, la récupération des fichiers clients au
bon format et sur le bon support peut s’avérer complexe compte tenu de la diversité des systèmes
informatiques des clients. Les systèmes informatiques vont du micro aux gros systèmes, les plus
classiques étant : IBM AS400, IBM ES 9000, IBM 3090, VAX, BULL, UNISYS, AMDAHL,
systèmes UNIX, Windows serveur, mais aussi des micros (PC et Macintosh). Les progiciels utilisés
sont tout aussi divers. La phase stratégique de récupération et de spécification des tests et fichiers à
traiter s’avère stratégique.
Les formats des supports de données reçus sont très variés. A titre d’exemple voici quelques supports :

ECF Formations ©
ECF Système d’information et contrôle interne
114/134

Clés USB ou cartes mémoires


Disquettes 3 ‘’1/2 (pour les fichiers de faible taille),
Bandes magnétiques 1600 BPI qui peuvent contenir près de 40 Mo de données,
Cartouches 3480 qui peuvent contenir plus de 200 Mo,
Cartouches DAT 4 mm et 8 mm qui peuvent contenir respectivement 5 et 7 Go.
Il n’est pas rare de récupérer pour une même mission plus d’un giga de données (par exemple :
l’ensemble des comptes-rendus d’appel d’un opérateur téléphonique).

3.1.4.1.2 Validation des fichiers


L’étape suivante constitue la validation des fichiers. Cette validation s’effectue par exemple par
rapprochement des fichiers reçus avec la comptabilité. L’auditeur doit s’assurer avant d’effectuer ses
tests que les données qu’il a reçues sont exhaustives et qu’elles n’ont subi aucune modification lors de
l’extraction.

3.1.4.1.3 Réalisation des tests


Le passage à la phase de codage, le contrôle des programmes réalisés et le lancement des tests peut
alors démarrer. Cette phase ne constitue généralement pas une difficulté majeure sinon une difficulté
technique liée au logiciel d’audit sélectionné. Il est important que les tests réalisés soient
reproductibles et que toutes les étapes intermédiaires pour arriver au résultat final soient sauvegardées.
De ce fait, l’existence d’un log dans le logiciel d’audit sélectionné peut s’avérer utile pour la
documentation des tests. Cette phase se conclue par la constitution d’un dossier contenant les
différentes étapes du cycle de réalisation et de validation.

3.1.4.1.4 Analyse et synthèse


La dernière phase consiste en l’analyse et l’interprétation des résultats, qui se concluent par un rapport
de synthèse, décrivant les différents tests réalisés et les recommandations inspirées par ces contrôles.
3.1.4.2 L’EVOLUTION DE LA METHODOLOGIE : STANDARD OU SPECIFIQUE
L’analyse de données fait partie des contrôles substantifs souvent nécessaires à l’obtention d’éléments
probants. Elle s’effectue sur la base des risques liés au contrôle ayant un impact significatif pour la
certification des comptes.
Les risques liés au contrôle peuvent provenir :
De la revue générale, lorsque l’environnement et l’activité du client sont caractérisés par
l’existence d’un nombre de transactions important et d’une politique tarifaire complexe dans l’activité
de distribution.
De la revue d’application ou de processus opérationnel qui met en évidence la non fiabilité
d’interfaces de saisie manuelle, faisant intervenir un chargement des données d’un système à un autre
sans état de contrôle, etc.
Dans ce sens, l’auditeur doit choisir entre mettre en place une série de tests standards qu’il a pu
expérimenter sur d’autres clients ayant des problématiques analogues ou concevoir de nouveaux tests
qui répondent exactement aux risques identifiés chez le client. Cette dernière solution reste
évidemment plus coûteuse en temps et en ressources. C’est l’évolution de la méthodologie du standard
vers le spécifique.
Le recours à la solution de méthodes standards se justifie essentiellement par des raisons
économiques : l’automatisation des tests entraîne un gain considérable de temps et donc un gain
d’argent. Quels sont donc les moyens d’automatisation des tests informatiques ?
Plusieurs réponses à cette problématique ont vu le jour ces dernières années. Malgré les différences
dans le choix des technologies appliquées, elles ont toutes pour objectif commun de mettre à
disposition de l’auditeur un outil « presse bouton ». Nous pouvons les classer en trois catégories :

3.1.4.2.1 La solution Standard :


Cette solution consiste à développer une série de tests applicables pour tous les clients tels quels sans
aucune modification. Bien entendu, ceci entraîne des contraintes importantes sur les données en entrée

ECF Formations ©
ECF Système d’information et contrôle interne
115/134

qui doivent toujours être sous le même format utilisé par les programmes. Cela signifie qu’il faut avoir
les mêmes champs, avec la même longueur, le même nom, le même ordre et le même type.
Or, dans la pratique, les données issues des systèmes d’information des clients sont différentes. Les
champs de type « date » par exemple peuvent être stockés sous des formats différents : jj/mm/aaaa,
aaaa/mm/jj, jj/mm/aaaa, etc. Il est donc nécessaire d’adapter les données clients à la structure des
programmes. Cette étape préliminaire est indispensable et peut s’avérer dans certains cas fastidieuse
en fonction du nombre de modifications à apporter aux données. Mais surtout, elle contrecarre le
principal atout de cette solution puisqu’elle rend l’automatisation des tests moins évidente. Cependant,
d’une année à l’autre la mise en forme des fichiers en entrée pour un client donné peut être également
automatisée permettant ainsi un précieux gain de temps. La mise en forme des fichiers est différente
d’un client à l’autre, il est donc indispensable, afin d’exploiter pleinement les possibilités de cette
solution, d’évaluer la capacité des clients à fournir, d’une année à l’autre, des fichiers de même
structure.
En pratique cette solution s’est plutôt orientée vers des tests d’audit simples tels que la sélection
statistique d’un nombre déterminé de factures, le calcul des indemnités de départ à la retraite, etc.

3.1.4.2.2 La solution Spécifique ou Sur-mesure :


Cette solution consiste à développer pour chaque client une série de tests adaptés à la structure de ses
données. Plusieurs technologies ont été envisagées dans ce sens, dont la technologie ETL : Extract,
Transform and Load.
L’idée est de développer, du côté client, une application qui récupère les données des systèmes amont
(paie, stocks, comptabilité, etc.), puis les transforme pour les adapter à la structure des programmes
d’audit et enfin les charge dans des bases de données réservées aux tests. L’auditeur peut ainsi dérouler
ses tests à tout moment sans solliciter les ressources du client à chaque intervention pour l’extraction
des fichiers par exemple.
Les avantages de cette solution sont d’une part une grande souplesse dans l’intervention et un suivi
régulier des postes clés sensibles tels que les stocks puisque les données sont présentes en ligne dans
les bases de données réservées à l’audit, et d’autre part un gain de temps important puisque les tests ne
sont développés qu’une seule fois et exécutés de multiples fois.
En revanche, cette solution exige un investissement initial important afin de développer tous les
programmes, de mettre en place le système de récupération des données et de les sauvegarder. Elle ne
peut donc pas être appliquée à tous les clients mais uniquement aux entreprises de taille importante.

3.1.4.2.3 La solution intermédiaire :


Cette solution consiste à développer des squelettes de programmes par thème (ventes, achats, stocks,
paie, etc.) sans tenir compte dans un premier temps du format des données clients. Ces squelettes
seront ensuite adaptés à la problématique du client d’une part, et à la nature des données en entrée
d’autre part.
Pour illustrer ce point, prenons l’exemple de l’analyse de la paie. Voici une liste non exhaustive de
tests standards à la disposition de l’auditeur :
􀂃Recherche de doublons sur les noms des employés,
􀂃Recherche de doublons sur les matricules des employés,
􀂃Recherche de doublons sur le numéro d'identification (numéro de sécurité sociale),
􀂃Recherche de doublons sur les numéros de compte bancaire,
􀂃Rapprochement entre les employés ayant une fiche de paie et ceux présents sur le listing des
ressources humaines,
􀂃Liste des employés sans numéro d'identification (sécurité sociale),
􀂃Rapprochement entre les employés qui apparaissent dans le fichier des paiements et ceux qui
n'apparaissent pas dans la paie,
􀂃Liste des enregistrements pour lesquels le montant net sur les fiches de paie diffère du montant
payé par la banque de plus de X,
􀂃Sélection aléatoire de X employés.
Cette panoplie de tests permet à l’auditeur de couvrir les points à risque et d’écarter les tests qu’il juge
peu pertinents au regard des procédures appliquées dans la société auditée.

ECF Formations ©
ECF Système d’information et contrôle interne
116/134

Cette solution peut ainsi être appliquée aussi bien aux entreprises de petite taille qu’aux grandes
entreprises.
3.1.4.3 LE CAS DES PGI
Les ERP (Entreprise Ressource Planning) ou PGI (Progiciel de Gestion Intégré) sont des produits qui
assurent la gestion des processus de l’entreprise. Ces progiciels traitent des données qui sont
nécessaires à l’établissement des comptes.
SAP est le PGI le plus répandu à travers le monde et le plus connu. Nous sommes en droit de nous
interroger sur l’utilité de tester SAP. Sa notoriété et sa large utilisation n’en font-ils pas un gage de
garantie ?
Ne dit-on pas non plus qu’il y a autant de SAP que d’entreprises utilisatrices. En effet, ce PGI n’est
pas figé et s’adapte à l’organisation en place. Beaucoup de contrôles sont optionnels, or les contrôles
limitent les risques.
Lors de leur implémentation, les PGI sont adaptés à l’entreprise en utilisant des tables de paramétrage
et des développements spécifiques. Cependant, les données sont en général stockées dans les mêmes
tables.
Il est alors possible d’effectuer les mêmes demandes de données sur différentes entreprises utilisant le
même PGI. Ces tests permettent de s’assurer que les processus « classiques » sont correctement
contrôlés.
Les processus spécifiques à chaque entreprise feront l’objet d’une étude et d’une demande particulière.
3.1.4.4 RECURRENCE / FREQUENCE DES TESTS
Il est important dans le cas de tests récurrents d’un exercice à l’autre, tels que les circularisations des
factures clients ou les calculs des indemnités de départ à la retraite, de prévoir une procédure pour
automatiser les tests. Il est nécessaire pour cela d’assurer la reprise des fichiers et des programmes
d’une année à l’autre. Le choix d’un outil d’audit adapté à cette problématique paraît ainsi primordial.

3.1.5 Exemples de programmes


3.1.5.1 CONCEPTION, RÉALISATION, ANOMALIES, FACTEURS CLÉS

3.1.5.1.1 Ventes : flux physiques et flux comptables


1.4.1. Objectif
Rapprocher les flux physiques et les flux comptables.
1.4.2. Test
A partir du fichier des mouvements de stocks et du fichier de facturation, identifier les expéditions qui
n’ont pas été facturées.
1.4.3. Réalisation

ECF Formations ©
ECF Système d’information et contrôle interne
117/134

1.4.4. Anomalies fréquentes


En cas de problème de procédure de facturation, des livraisons peuvent ne pas être facturées.
Ce test permet d’effectuer des tests de cut-off sur les ventes en identifiant les livraisons non facturées
au
cours de l’année. D a te + n um é ro d e ré fé re n ce

1.4.5. Facteurs clés de succès


•Identifier la périodicité de facturation par rapport aux mouvements de stocks,
•Disposer d’un fichier de détail de la facturation pouvant être rapproché avec les sorties de stock..

3.1.5.1.2 Ventes : balance agée


1.5.1. Objectif
Valider la balance âgée.
1.5.2. Test
A partir du fichier du grand livre auxiliaire des clients, reconstituer une balance âgée à date afin de
valider

ECF Formations ©
ECF Système d’information et contrôle interne
118/134

la balance âgée fournie par le client.


1.5.3. Réalisation du test

1.5.4. Anomalies fréquentes


Certains systèmes informatiques ne prévoient pas l’édition de balance âgée.
1.5.5. Facteurs clés de succès
•Utiliser les dates de lettrage des opérations si nous intervenons a posteriori ou extraire les données à
la
date de clôture.

3.1.5.1.3 Achats : fournisseurs payés en double


1.1.1. Objectif
Rechercher les fournisseurs qui ont été payés en double.
1.1.2. Test
Sur les aspects informatiques, nous pouvons identifier deux tests informatiques :
•Les factures enregistrées en double,
•Les règlements passés en double non rapprochés.

ECF Formations ©
ECF Système d’information et contrôle interne
119/134

1.1.3. Réalisation

1.1.4.
Anomalies fréquentes
Dans certaines sociétés, le paiement est effectué avec retard. Par défaut de contrôle, la facture est
payée
ainsi que la relance envoyée par le fournisseur.
1.1.5. Facteur clés de succès
•Disposer d’un numéro de pièce du fournisseur pour effectuer les recherches de doublons,
•Travailler sur des comptabilités dans lesquelles les factures sont réglées séparément et dont les
montants des règlements sont différents.
En cas de règlements groupés, les doubles paiements ne peuvent pas être identifiés informatiquement
facilement et les contrôles manuels seront très importants.

3.1.5.1.4 Achats : factures à recevoir


1.2.1. Objectif
Valider les factures à recevoir.
1.2.2. Tests

ECF Formations ©
ECF Système d’information et contrôle interne
120/134

Les progiciels évaluent les factures à recevoir à partir des réceptions non facturées. A partir du fichier
des
mouvements de stocks, nous pouvons contrôler l’approvisionnement du fichier des factures à recevoir
en
terme de quantité. Si nous disposons des éléments de prix, nous pouvons également vérifier sa
valorisation.
1.2.3. Réalisation
1.2.4. Anomalies fréquentes
Suite à des problèmes d’exploitation informatique, le traitement peut ne pas fonctionner correctement.
Par
exemple, pour certains types d’entrées, les factures à recevoir ne sont pas créées.

1.2.5.
Facteurs clés de succès
•Identifier les mouvements de stocks à prendre en compte,
•Comprendre le fonctionnement des différents lieux de stockage (prise en compte ou non des stocks
en
contrôle qualité) et des règles de propriétés (franco, sortie usine, etc.).

ECF Formations ©
ECF Système d’information et contrôle interne
121/134

3.1.5.1.5 Stock : Revue analytique


1.3.1. Objectif
Réaliser une revue analytique des stocks.
1.3.2. Test
A partir des états de stocks, effectuer des rapprochements par rapport aux inventaires antérieurs.
1.3.3. Réalisation

1.3.4. Anomalies fréquentes


Cette revue analytique des stocks permet de détecter des anomalies de variation de stocks comme par
exemple l’oubli d’un stock situé chez le transporteur.
De plus, il est possible de détecter des problèmes liés à l’activité ou d’identifier des opérations
spéculatives liées aux matières premières (achat de plastique en grande quantité avant une montée des
prix
du pétrole).
1.3.5. Facteurs clés de succès
•Disposer d’un fichier permettant une analyse par famille, soit dans un champ spécifique, soit par
l’analyse de caractères de la référence,
•Disposer d’inventaires fréquents pour effectuer des analyses sur des périodes inférieures à un an.

ECF Formations ©
ECF Système d’information et contrôle interne
122/134

3.1.5.1.6 Personnel : rapprochement haut de bulletins et balance des comptes


1.9.1. Objectif
Effectuer un rapprochement entre les données de l’application paie et celles de l’application
comptable.
1.9.2. Test
A partir des données de calcul de paie et des fichiers d’écriture comptable, effectuer un rapprochement
entre les montants calculés en paie et leur imputation comptable.
1.9.3. Réalisation

1.9.4. Anomalies fréquentes


En cas d’erreur de paramétrage, certaines rubriques de paie peuvent se déverser dans les mauvais
comptes.
1.9.5. Facteurs clés de succès
•Disposer d’une information précise concernant la répartition des rubriques de paie dans les comptes
comptables,
•Effectuer des rapprochements sur les rubriques les plus significatives

ECF Formations ©
ECF Système d’information et contrôle interne
123/134

3.1.5.1.7 Personnel : rémunérations anormales


1.8.1. Objectif
Identifier des niveaux de rémunération anormaux.
1.8.2. Test
A partir des fichiers de paie, comparer les salaires des collaborateurs occupant les mêmes niveaux de
fonctions.
1.8.3. Réalisation

1.8.4. Anomalies constatées


Lorsque la gestion des salaires est répartie entre plusieurs sites, le responsable accorde plus ou moins
d’augmentation, ce qui peut mener à un déséquilibre entre les différents sites de la société.
1.8.5. Facteurs clés de succès
•Effectuer ce contrôle régulièrement pour que le client puisse corriger, niveler les écarts,

3.1.5.1.8 Assurances : analyse des sinistres


1.12.1. Objectif
Analyse des dates de souscription par rapport aux dates de sinistre.

ECF Formations ©
ECF Système d’information et contrôle interne
124/134

1.12.2. Test
A partir du fichier des dossiers des sinistres et du fichier des contrats, rapprocher les dates de sinistre
et de
souscription.
1.12.3. Réalisation
1.12.4. Anomalies fréquentes
Des contrôles peuvent être diligentés par la compagnie d’assurance pour vérifier que le contrat a été
souscrit préalablement au sinistre.
Cette recherche permet de rechercher une fraude classique aux assurances : l’agent ou le courtier ne
déclare le contrat à l’assureur qu’au premier sinistre et conserve les primes antérieures.

1.12.5.
Facteurs clés de succès
•Analyser les sinistres en effectuant des regroupements par zone géographique ou par responsable de
commercialisation,
•Effectuer des contrôles des pièces des dossiers de sinistre.

3.1.5.2 PISTES DE TESTS PAR FLUX D’OPÉRATIONS

3.1.5.2.1 Ventes

ECF Formations ©
ECF Système d’information et contrôle interne
125/134

- Contrôler l’interface de l’application Ventes/comptabilité,


- Circulariser des comptes clients,
- Contrôler la balance par antériorité,
- Rechercher les factures clients sans expédition,
- Rechercher des factures à établir.

3.1.5.2.2 Achats
- Contrôler l’interface de l’application achats/comptabilité,
- Circulariser des comptes fournisseurs,
- Rechercher des factures fournisseurs sans livraison,
- Rechercher les doubles paiements,
- Contrôler les factures à recevoir.

3.1.5.2.3 Stocks
- Sondage sur la population en stock,
- Contrôler la provision pour dépréciation,
- Stratifier la population,
- Roll-forward sur les stocks,
- Contrôler la valorisation.

3.1.5.2.4 Personnel
- Réconcilier des rubriques de paie avec la comptabilité,
- Contrôler le calcul des rubriques de paie (rémunération brute, charges patronales, prime
d’ancienneté),
- Contrôler le calcul des droits à congés payés,
- Evaluer la provision pour congés payés,
- Roll-forward sur le compteur des congés payés,
- Contrôler les provisions de fin d’année,
- Rechercher des augmentations anormales,
- Calculer des indemnités de départ en retraite.

ECF Formations ©
ECF Système d’information et contrôle interne
126/134

3.2 AUTRES TECHNIQUES DE CONTRÔLE DÉTAILLÉES :

3.2.1 Demande d’information (entretien)


 Rechercher l'information financière ou non financière.
 A l'intérieur de l'entreprise ou à l'extérieur.
 L'évaluation des réponses est importante (esprit critique).
 Corroborer l'évidence d'audit.
 L'auditeur obtient la déclaration écrite de la direction pour confirmer des réponses aux
entretiens oraux.
Cette procédure d'audit est très utilisée dans les trois phases de la mission. Elle revêt un
caractère moins probant lorsque l'interlocuteur fait partie de la direction, car l'esprit critique
de l'auditeur doit être "aiguisé". (ISA 500)
L'utilisation de la lettre d'affirmation ou déclaration de la direction peut alors être le seul
recours pour étayer la faiblesse, voire l'absence de procédures d'audit concernant un risque
significatif ou une assertion considérée comme fondamentale par l'auditeur.
La documentation professionnelle présente de façon détaillée, selon l’ancienne norme, les
déclarations de la direction que l'auditeur est susceptible de recueillir.

3.2.2 Procédures analytiques


 Cette procédure d'audit est automatique dans les états financiers (N, N-1…), les
comptabilités, en gestion…
 L'examen par l'auditeur de tout élément comptable analysant l'activité en rapport avec la
balance des comptes est utile (interne ou externe).
 Recherche des fluctuations qui ne seraient pas en rapport avec d'autres informations ou
dévient de manière significative des montants prévus.
L'exploitation des résultats d'une procédure analytique doit être considérée par l'auditeur de
deux façons :
- Un élément clignotant indiquant que la profondeur de ses travaux à un stade est
insuffisante.
- Une procédure qui vient corroborer au niveau des états financiers pris dans leur
ensemble l'opinion qu'il est en train de forger.

ECF Formations ©
ECF Système d’information et contrôle interne
127/134

Une procédure analytique qui peut être systématisée en PME : le rapport de tableau croisé
dynamique sur les écritures avec ajout de la dimension "mois", qui permet à l'auditeur :
• De rechercher les opérations ponctuelles et exceptionnelles dans les journaux dont il
n'aurait pas été informé
• D'apprécier les variations mensuelles de chaque compte, et notamment des principaux
postes du compte de résultat, leur rapport entre eux, conformément à l'esprit de la
LSF…

3.2.3 Observation physique


 L'exécution des activités de contrôle interne.
 La portée et le niveau de la participation de la direction aux activités de la PME.
 Elle est limitée au moment où elle a lieu et par le fait que l'observation peut affecter la
procédure.

Il s'agit d'une procédure d'audit destinée à découvrir, qui est très souvent corroborée par une
autre procédure d'audit.

Sur le plan de la terminologie, le contrôle physique des actifs est une forme d'observation dont
le caractère probant est fort en raison des assertions visées (existence) et de la période (à la
clôture de l'exercice).

3.2.4 Inspection
 Forme papier, électronique ou sur tout autre médias.

 Utilisation des techniques d'audit assistées par ordinateur.


 Force probante selon qu'ils sont internes ou externes.

ECF Formations ©
ECF Système d’information et contrôle interne
128/134

 Corroborer ceux qui sont internes par d'autres procédures d'audit.


La dématérialisation apporte ici un nouveau vocabulaire, une nouvelle façon de voir pour
l'auditeur:
Si la force probante reste liée à la provenance, il faut aussi considéré, dans un premier temps
(pendant la période de familiarisation) la qualité des supports qui pourrait altérer celle-ci.

Des documents source, tels que des ordres d'achat, connaissements, factures, et contrôles,
peuvent être remplacés en cas d'utilisation de messageries électroniques. Par exemple, les
entités peuvent employer les systèmes de commerce électroniques ou de traitement de
l'image. Dans le commerce électronique, l'entité et ses clients ou fournisseurs utilisent des
ordinateurs connectés au réseau public, tel que l'Internet, pour traiter leurs affaires
électroniquement. L'achat, l'expédition, la facturation, le reçu de valeurs, et les paiements des
transactions de dépenses sont souvent exécutés entièrement par l'échange des messages
électroniques entre les parties. Dans des systèmes de traitement d'image, des documents sont
balayés et convertis en images électroniques pour faciliter le stockage et le référencement, et
les documents source ne peuvent être maintenus après conversion. (ISA 500)

Utilisation combinatoire
Un exemple d'inspection utilisé comme test de contrôle interne est l'inspection
des enregistrements ou des documents pour constater s'ils sont autorisés. (ISA 500)

3.2.5 Ré-exécution de certains contrôles


 Les techniques d'audit assistées par ordinateur facilitent les recalculs dans de très
nombreuses situations.
 Les contrôles internes ou concernant les opérations ponctuelles ou exceptionnelles
peuvent être refaits.
 Les travaux d'un tiers (expert-comptable) ont un caractère probant.

Exemple : refaire le contrôle de la balance âgée des clients (ISA 500)

ECF Formations ©
ECF Système d’information et contrôle interne
129/134

L'utilisation des travaux d'un tiers permet à l'auditeur de gagner un temps important dès
l'instant que celui-ci est investi d'une mission par l'entreprise.
Les enregistrements ou documents fournis par celui-ci suffisent généralement comme
procédure d'audit pour parvenir à de nombreuses assertions.
Complétés par des procédures analytiques ceux-ci ont un caractère probant indiscutable.

ECF Formations ©
ECF Système d’information et contrôle interne
130/134

4 CONCLUSION
SYNTHESE et COMMUNICATION avec les DIRIGEANTS
• Note de synthèse.
• Rapports et justification de l'opinion.

Le rapport de contrôle interne n’est dorénavant plus obligatoire dans les entreprises ne faisant
pas appel public à l’épargne.
Dorénavant, la NEP 265 précise explicitement les conditions de « communications des
faiblesses de contrôle interne ».
En petite entité, celle-ci permet notamment au commissaire de valoriser sa mission, en
complément de la mission de l’expert-comptable.

Les normes homologuées et les normes internationales d’audit font la part belle au contrôle
interne, notamment sur le plan de l’organisation de la mission de contrôle légal des comptes,
précisant notamment l’utilisation pluri-annuelle des tests de procédures.

ECF Formations ©
ECF Système d’information et contrôle interne
131/134

Les limites juridiques dans la mission de commissaire aux comptes : étude d'une
décision de la chambre régionale de discipline (17/11/2004)

Mme X est citée à comparaître devant la Chambre régionale de discipline sur plainte de la société B, société dont
elle est le commissaire aux comptes depuis le mois d'août 2000.
Cette société a saisi la Chambre de discipline d'une plainte à l'encontre du commissaire aux comptes par lettre du
23 avril 2003.
Les faits évoqués dans cette plainte et leur contexte sont les suivants :
- transmission d'informations confidentielles à des tiers extérieurs à l'entreprise : ces faits se sont déroulés le 10
avril 2003 à l'issue de l'assemblée générale autorisant Mme X. à faire expertiser le système informatique par une
personne qu'elle aurait présentée comme son collaborateur, M. Y ; cette personne ne serait pas un collaborateur
de Mme X., mais le salarié d'une entreprise d'informatique ; au cours de son intervention, il a transféré des
fichiers commerciaux vers son poste dans son entreprise depuis la saisine de la commission, Mme X. a obtenu un
arrêt de la Cour d'appel de V. en date du 9 septembre 2002, déboutant la société B d'une demande tendant à la
voir relever de ses fonctions de commissaire aux comptes.
- le ministère public, considérant que les faits relevés constituent une négligence grave et une violation des
dispositions de l'article L. 225-236 du Code du commerce requiert l'application de l'avertissement assorti d'une
mesure d'inéligibilité aux organismes professionnels.
Le syndic de la Chambre régionale de discipline conclut à ce que les faits reprochés ne donnent lieu à aucune
sanction.
Mme X. a déposé oralement des moyens tendant aux mêmes fins.
La société B n'a pas comparu.
Le grief principal formulé par la plainte est celui concernant les travaux effectués par M. Y., informaticien qui a
expertisé le système informatique de la société B sur la demande de Mme X.
Les faits s'inscrivent dans les dispositions de l'article L. 225-236 du Code du commerce, suivant lesquelles « le
commissaire aux comptes, pour l'acomplissement de ses contrôles peut se faire assister de tout expert ou collabora teur de leur choix,
qu'ils font connaître nommément à la société ».

II résulte des termes de la plainte elle-même que Mme X. a présenté nommément M Y. dans le cadre de l'assemblée générale du 10 avril 2003.

II n'importe aucunement que Mme X. ait indiqué que M. Y. était son colla borateur, alors qu'il était salarié d'une société d'informatique, dès lors qu'il
intervenait à raison de ses compétences, non critiquées, et sous le contrôle effectif du commissaire aux comptes, ce qui est admis par tous.

En ce qui concerne la transmission de données commerciales, il y a lieu de relever que le technicien M. Y. qui ne pouvait procéder à ses travaux sur place
durant la nuit, devait nécessairement transférer les fichiers de données soit sur un ordinateur portable soit par transmission électronique. Le choix de
ce second mode de transmission n'est pas critiquable, les problèmes de sécurité étant équivalents.

L'expertise de construction exécutée à la demande de Mme X. ne paraît pas plus critiquable : dès lors que Mme X. était saisie d'informations données par un
ancien dirigeant portant sur les conditions de passation des marchés de construction d'un important bâtiment, il était bien de son devoir de procéder aux
vérifications nécessaires. II n'est résulté aucun préjudice de l'action critiquée.

Dans ces conditions, il n'apparaît pas que Mme X. ait commis quelque faute sanctionnable que ce soit. II n'y a pas lieu à prononcer sanction.

PAR CES MOTIFS

La Commission,

Dit n'y avoir lieu à prononcer une sanction disciplinaire à l'encontre de Mme X

ECF Formations ©
ECF Système d’information et contrôle interne
132/134

ECF Formations ©
ECF Système d’information et contrôle interne
133/134

ECF Formations ©
ECF Système d’information et contrôle interne
134/134

ECF Formations ©