Académique Documents
Professionnel Documents
Culture Documents
ECF Formations ©
ECF Système d’information et contrôle interne 2/134
2 PROCEDURES D’AUDIT....................................................................................69
2.1 INTRODUCTION......................................................................................69
2.1.1 Objectifs généraux du système d’information (tant manuel qu’informatisé).....71
ECF Formations ©
ECF Système d’information et contrôle interne 3/134
2.1.2 Communications................................................................................................ 72
2.1.2.1 Objectif...................................................................................................... 72
2.1.2.2 Moyens....................................................................................................... 72
2.1.2.3 Supports..................................................................................................... 72
2.1.3 Norme relative aux procédures d’audit..............................................................73
2.9 CONCLUSION........................................................................................105
3 ELEMENTS PROBANTS..................................................................................106
3.1 AUDIT des DONNEES............................................................................107
3.1.1 CHAPITRE 1 : QU’EST-CE QUE L’ANALYSE DE DONNEES ?................................107
3.1.1.1 1. INTRODUCTION....................................................................................107
3.1.2 3. LA PRATIQUE DES CABINETS D’AUDIT..........................................................108
3.1.2.1 3.1. Introduction.......................................................................................108
3.1.2.2 3.2. Contexte réglementé dans le cadre d’un audit légal.........................108
3.1.2.3 Contexte Missions spéciales.....................................................................109
3.1.3 CHAPITRE 2 : COMMENT DEMARRER UNE CELLULE D’ANALYSE DE DONNEES
DANS UNE PETITE STRUCTURE ?.................................................................................109
3.1.3.1 1. LES CRITERES DE CHOIX......................................................................109
3.1.3.1.1 Objectif ambitieux................................................................................110
3.1.3.1.2 Objectif prudent...................................................................................111
3.1.3.1.3 Règles et risques communs..................................................................112
3.1.3.2 QUEL OUTIL CHOISIR ?.............................................................................112
3.1.3.2.1 Identification des besoins clés..............................................................113
ECF Formations ©
ECF Système d’information et contrôle interne 4/134
4 CONCLUSION...................................................................................................133
ECF Formations ©
ECF Système d’information et contrôle interne 5/134
ECF Formations ©
ECF Système d’information et contrôle interne 6/134
ECF Formations ©
ECF Système d’information et contrôle interne 7/134
Les normes internationales dites du « modèle de risque d’audit » sont au nombre de trois :
- ISA 315 : Connaissance générale de l'entité et de son environnement et évaluation du risque
que les comptes contiennent des anomalies significatives,
- ISA 330 : Les procédures d'audit mises en œuvre par le commissaire aux comptes en
fonction de son évaluation du risque,
- ISA 500 : Eléments probants
ECF Formations ©
ECF Système d’information et contrôle interne 8/134
Le risque inhérent correspond à la possibilité que, sans tenir compte du contrôle interne qui
pourrait exister dans l’entité, une anomalie significative se produise dans les comptes.
1 - Activités
2 - Nature
4 - Mesure de la performance
Après exposé, dans le texte d'origine, du cadre et de recommandations générales, une longue
partie est consacrée à l'évaluation des risques et sources d'informations qui constitue en fait
l'introduction de l'ensemble de la norme internationale qui comprend :
- la compréhension de l'entité,
- le contrôle interne,
- l'évaluation des risques que les comptes contiennent des anomalies significatives.
Rien de bien nouveau dans cette première phase de la norme internationale d'audit ISA 315,
ces points étant actuellement développés dans la NEP 315. Découvrons par contre ensemble la
façon dont cela est rédigé dans les normes internationales d’audit.
Ce support comporte les renvois au texte original en anglais, ainsi qu'à la traduction française
proposée sous la forme des numéros de paragraphes selon la codification ci-dessous:
- 315-22 ou
- 315-26 ou encore
Dispositions combinées 315-12 et 315-32
ECF Formations ©
ECF Système d’information et contrôle interne 9/134
Ici un renvoi à une autre norme internationale d'audit externe peut être assimilé à un renvoi
vers la norme française d'audit relative aux parties liées. Cette remarque pourra être faite de
nombreuses fois, sans que le caractère utile des observations ("Modalités d’applications") soit
altéré de façon significative.
1.2.1 Activités,
Il s’agit là de la ou des activités exercées par l’entreprise, mais aussi des conditions de
concurrence, les relations avec les fournisseurs et les clients, et les développements
technologiques, l'environnement légal et réglementaire.
1.2.2 Nature
La direction, les types d'investissements qu'elle fait et projette de faire, la manière dont l'entité
est structurée et comment elle est financée.
Le système d’information de l’entreprise peut être partiellement lié à une autre entreprise. Par
exemple, un concessionnaire automobile verra son stock suivi en permanence par le
constructeur automobile, de façon à améliorer la disponibilité et le service client, tout en
réduisant les coûts de possession. Un autre exemple consiste à maintenir la liste des
disponibilités en temps réel dans un hôtel affilié à une centrale de réservation collective…
Ces éléments, dont la prise de connaissance est consignée dans un dossier permanent,
permettent à l'auditeur d'identifier des risques inhérents à la situation de l'entreprise.
Ces risques sont développés dans la norme internationale d’audit.
Lors du recensement des risques inhérents qui permettront en fin de série d’établir un
« tableau des risques », l’auditeur peut être amené à rencontrer des « circonstances
aggravantes » eu égard à la qualité de l’information financière.
Bien que ces circonstances ne fassent pas partie du cadre de cet enseignement, le contenu du
« système d’information » de l’entreprise conduit à évoquer un type de risque particulier qui
demandent des procédures d’audit spéciales :
ECF Formations ©
ECF Système d’information et contrôle interne
10/134
Industrie ou secteur
Risques inhérents
Anomalies
significatives
dans les comptes
ECF Formations ©
ECF Système d’information et contrôle interne
11/134
1.2.3.1 OBJECTIFS
L'auditeur doit obtenir une compréhension des objectifs et stratégies de l'entité, et des risques
inhérents [1] qui peuvent avoir comme conséquence une déclaration matérielle erronée dans
les états financiers. L'entité conduit ses affaires dans un contexte de facteurs d'industrie, de
normalisation et autres internes et externes. Pour répondre à ces facteurs, les gestionnaires de
l'entité ou la direction définissent les objectifs, qui sont les plans globaux pour l'entité. Les
stratégies sont les approches opérationnelles par lesquelles la gestion a l'intention d'atteindre
ses objectifs.
1.2.3.2 RÈGLES
De plus petites entités ne formalisent pas souvent leurs objectifs et stratégies, ou ne contrôlent
pas les risques inhérents par des plans ou des processus formels. Dans beaucoup de cas, il
peut n'y avoir aucune documentation sur de tels sujets. Dans ce cas, la compréhension de
l'auditeur est d'habitude obtenue par des entretiens avec les gestionnaires et l'observation des
précautions prises par l'entité à cet égard.
La plupart des risques inhérents [2] auront par la suite des conséquences financières et, en
conséquence, un effet sur les états financiers. Cependant, tous les risques inhérents
ne provoquent pas des risques de déclaration matérielle erronée. Un risque inhérent peut avoir
une conséquence immédiate sur le risque de déclaration erronée en ce qui concerne le
classement des opérations, la balance des comptes, et des anomalies au niveau des assertions
d'audit ou dans les états financiers en général.
1.2.3.3 MODALITÉS D’APPLICATIONS ET AUTRES INFORMATIONS
Par exemple, le risque inhérent résultant d'un poste client en diminution due à une récession
industrielle peut augmenter le risque de déclaration erronée lié à l'évaluation des sommes à
recevoir.
Cependant, le même risque, en particulier en combinaison avec un contexte économique de
récession, peut également avoir une conséquence à plus long terme, que l'auditeur considère
en évaluant l'adéquation des affaires en portefeuille. La considération par l'auditeur qu'un
risque inhérent peut avoir comme conséquence une déclaration matérielle erronée est donc
faite à la lumière des circonstances entourant l'entité.
[1] Les risques inhérents résultent des conditions, des événements, des circonstances, des
actions ou des inactions significatives qui pourraient compromettre la capacité de l'entité
d'atteindre ses objectifs et d'exécuter ses stratégies, ou par la mise en place d'objectifs et de
stratégies inadéquats. Quand l'environnement externe change, la conduite des affaires de
l'entité est également dynamique et les stratégies et les objectifs de l'entité changent dans le
temps.
[2] Le risque inhérent est plus large que le risque de déclaration matérielle erronée dans les
états financiers, bien qu'il inclue le dernier. Le risque inhérent en particulier peut provenir du
changement ou de la complexité, bien que l'absence d'identification d'un changement
nécessaire puisse également provoquer le risque. Le changement peut résulter, par exemple,
ECF Formations ©
ECF Système d’information et contrôle interne
12/134
du développement de nouveaux produits qui peuvent échouer ; d'un marché fermé, même
avec un développement satisfaisant ; ou d'anomalies qui peuvent avoir comme conséquence
la mise en responsabilité et la perte de crédibilité.
Une compréhension des risques inhérents augmente la probabilité d'identifier des risques de
déclaration matérielle erronée. Cependant, l'auditeur n'a pas la responsabilité d'identifier ou
évaluer tous les risques inhérents.
1.2.3.4 MOYENS
habituellement utilisés par l’auditeur en vue de collecter de tels risques :
Entretiens
Visite de l’entité
Informations fournies par le client
Rapports et PV divers
Courriers et pub, plaquettes et web
Informations média
Presse
Analyses du secteur, notes de conjoncture
Informations web du secteur
ECF Formations ©
ECF Système d’information et contrôle interne
13/134
ECF Formations ©
ECF Système d’information et contrôle interne
14/134
investisseurs perplexes au point que le cours de l’action a été divisé par 20 depuis son
introduction en bourse.
Mesures internes :
Ces mesures sont produites par le système d'information de l'entité.
Il s’agit de reporting, contrôle budgétaire ou plus généralement d’éléments du tableau de bord
de l’entreprise.
L’évolution des techniques rapides donne à ces indicateurs toujours plus de précision, malgré
le peu d'intégration de l'ensemble.
Dans les petites entreprises, ces techniques ne sont pas souvent formalisées
L'ensemble de ces informations est, comme toutes celles de cette partie, consignées dans un
dossier permanent.
Dans le texte de la norme, on voit apparaître des paragraphes spécifiques aux petites
entreprises. S'il s'agit dans ces deux cas de formuler des recommandations complémentaires
pour l'auditeur (par exemple "Les gestionnaires comptent néanmoins souvent sur certains
indicateurs principaux que la connaissance et l'expérience des affaires suggèrent et qui
constituent une base fiable pour évaluer la performance financière et la mesurer"), il pourra
s'agir par la suite de situations visant à simplifier la tâche de l'auditeur.
ECF Formations ©
ECF Système d’information et contrôle interne
15/134
ECF Formations ©
ECF Système d’information et contrôle interne
16/134
En conclusion de cette partie de la séquence, notons la confusion apparue en fin de partie dès
que les exemples de risques inhérents ont été énumérés.
Les risques inhérents, autrement appelés risques d’activité sont en principe indépendants de
l’organisation de l’entreprise, ils devraient être les mêmes dans deux entreprises exerçant dans
le même secteur d’activité.
Mais ce propos simpliste montre la limite des raisonnements. On parle de risques inhérents
« exogènes » et « endogènes », mais l’intérêt de la classification par l’auditeur n’a qu’un
intérêt intellectuel. La documentation fournie concernant les risques inhérents de l’entreprise
sert d’élément probant ou plutôt de « présomption ».
ECF Formations ©
ECF Système d’information et contrôle interne
17/134
Le risque lié au contrôle correspond au risque qu’une anomalie significative ne soit ni prévenue ni
détectée par le contrôle interne de l’entité et donc non corrigée en temps voulu .
1.3.1 Introduction
Le contrôle interne est un processus conçu et mis en application par la direction, par
les gestionnaires, et par toute autre personne pour fournir l'assurance raisonnable de
l'accomplissement des objectifs de l'entité en ce qui concerne :
- la fiabilité des états financiers
- l'exécution et l'efficacité des opérations
- la conformité aux lois et règlements applicables
Auditeur
Dirigeant Administrations
ECF Formations ©
ECF Système d’information et contrôle interne
18/134
Ainsi le contrôle interne est conçu et mis en application pour limiter les risques inhérents
identifiés qui menacent l'accomplissement de n'importe lequel de ces objectifs (315-42 suite).
Ces objectifs sont bien entendu énumérés dans un ordre perçu différemment selon les acteurs
concernés :
-L'auditeur
-Le dirigeant
-Les administrations (fiscale, sociales et administration des douanes)
Observons le caractère financier de ces trois objectifs, encore que "l'exécution et l'efficacité
des opérations" puissent aussi être considéré aussi comme un objectif de "gestionnaire"
n’ayant qu’une incidence indirecte à caractère financier.
a) L'environnement de contrôle.
b) Le processus d'évaluation des risques par l'entité.
c) Le système d'information, y compris les flux d’opérations et leurs conséquences dans les
états financiers, et la communication.
d) Activités de contrôle.
e) Surveillance des contrôles.
Au nombre de cinq, ces éléments n'ont pas à être considérés de la même manière. Selon les
situations, le poids de certains sera réduit, alors qu'un ou deux autres pourront être
hypertrophiés.
Ainsi, la démarche de l'auditeur, qui consiste à utiliser la qualité "attendue" des éléments pour
conduire sa mission, est ponctuée par la recherche des composants présumés les plus fiables :
Dans la PME, l'organisation du système d'information est un point central (renforcé encore,
bien souvent, par l'unité de lieu).
Les activités de contrôle externes et la surveillance permanente de l'équipe dirigeante (voire
du propriétaire-exploitant) peuvent souvent être relevées.
ECF Formations ©
ECF Système d’information et contrôle interne
19/134
La proximité de l'équipe de direction est un point fort qui limite les risques.
La menace que constitue l'absence de séparation des taches dans la petite entreprise sera
commentée à l'occasion de chaque composant du contrôle interne.
Si la démarche d'audit est indivisible et s'applique à toutes les entreprises, quelque soit leur
taille, il faut noter une adaptation motivée de l'utilisation des différents composants dans le
cas de petites entreprises :
" … Pour quelques entités, en particulier les entités très petites, le dirigeant de l'entité (cette
ISA utilise le terme de "dirigeants" pour désigner les propriétaires d'entités qui participent
quotidiennement à son fonctionnement) peut exécuter les fonctions qui dans une plus grande
entité seraient considérées comme appartenant à plusieurs des composants du
contrôle interne. Par conséquent, les composants du contrôle interne ne peuvent pas être
clairement distingués dans de plus petites entités, mais leurs buts fondamentaux sont
également valides."
Il s'agit là d'un cumul naturel de fonctions que l'auditeur caractérisera par la description des
outils employés par le dirigeant, leur fréquence d'utilisation…
ECF Formations ©
ECF Système d’information et contrôle interne
20/134
Ces informations n’ont pas d’incidence directe sur la qualité de l’information financière
produite.
Contrôles de substance
La loi de sécurité financière prévoyait la production d'un rapport de contrôle interne par le
Président traitant :
"… des procédures de contrôle interne mises en place par la société relatives à l'élaboration
et au traitement de l'information comptable et financière."
Il ne s'agissait donc pas de l'ensemble des procédures mises en place dans l'entreprise.
La définition du contrôle interne ci-dessus éclaire l'auditeur, par les trois objectifs
poursuivis, sur les trois "acteurs" exerçant des contraintes directes à caractère financier : 1
l'auditeur, 2 le dirigeant, 3 les diverses administrations.
Les contrôles internes à caractère financier font partie de l'ensemble des contrôles internes.
Pour plus d'efficacité, l'auditeur doit les rechercher exclusivement.
L'approche qui a longtemps été utilisée par les auditeurs consistait à considérer séparément le
"système comptable" de l'entreprise.
Cette situation a été remise en cause explicitement par la loi de sécurité financière.
Elle l'est encore plus avec l'arrivée des normes internationales d'audit.
ECF Formations ©
ECF Système d’information et contrôle interne
21/134
NDLR : les opérations ponctuelles et exceptionnelles ont été présentées ici en raison du
niveau de risque élevé accompagnant généralement ces opérations, d'une part, et d'autre part
de la difficulté pour l'auditeur de les isoler des opérations comptables répétitives.
D'habitude, les contrôles qui sont appropriés à un audit concernent l'objectif de l'entité visant
à préparer des états financiers destinés aux tiers et sont ceux qui consistent à donner une
image fidèle (ou sont présentés correctement, dans de bonnes conditions matérielles) selon le
cadre applicable et la gestion du risque qui pourrait provoquer une erreur matérielle dans
les états financiers (315-47).
Dans ce transparent apparaît pour la première fois "l'existence" : il s'agit d'une assertion
(315-48).
Ce terme, défini dans le lexique actuel des commissaires aux comptes français sera présenté
au dernier chapitre de cette série concernant " l'évaluation du risque que les comptes
contiennent de anomalies significatives".
L'existence (autrefois appelée "réalité" indique que les opérations enregistrées dans les états
financiers doivent être réelles : en clair, dans ce contexte, il est conseillé à l'auditeur, s'il a un
doute concernant le caractère réel des opérations, de recenser les contrôles internes qui
seraient en rapport avec cette "assertion".
Un exemple est d'ailleurs donné au paragraphe 315-52 :
"… l'utilisation des contrôles d'accès, tels que les mots de passe, qui limitent l'accès aux
données et aux programmes qui concernent le processus de manipulation de valeurs en
espèces peuvent être appropriées à un audit des états financiers ".
Nous retrouverons fréquemment dans les trois normes internationales d'audit les assertions
citées avec des exemples et situations d'applications, que nous étudierons de façon à faciliter
le lien entre les contrôles déployés et les assertions visées par l'auditeur.
ECF Formations ©
ECF Système d’information et contrôle interne
22/134
La plupart des entités se servent des technologies de l'information pour la production des états
financiers et les besoins de gestion.
Les programmes peuvent inclure des contrôles pour lancer, enregistrer, traiter ou
rapporter des transactions
Concernant le niveau ou la profondeur des contrôles internes à utiliser :
"… les technologies de l'information permettent à une entité de traiter de grands volumes de
données uniformément et augmente la capacité de l'entité à surveiller l'exécution des activités
de contrôle et de réaliser une séparation efficace des fonctions en mettant en application des
contrôles de sécurité dans les applications, les bases de données, et les logiciels
d'exploitation."
D'une façon générale, les technologies de l'information fournissent les avantages potentiels de
l'efficacité et de l'application dans le cadre du contrôle interne parce qu'il permet à une entité:
• d'appliquer uniformément des principes économiques prédéfinis et exécutent des calculs
complexes en traitant de grands volumes de transactions ou de données;
• d'augmenter l'opportunité, la disponibilité, et l'exactitude de l'information;
• de faciliter l'analyse complémentaire de l'information;
• d'augmenter la capacité de surveillance de l'exécution des activités de l'entité et de ses
politiques et procédures;
• de réduire le risque que des contrôles soient évités;
• d'augmenter la capacité de réaliser la séparation efficace des fonctions en mettant en
application des contrôles de sécurité dans les applications, les bases de données, et les
logiciels d'exploitation.
ECF Formations ©
ECF Système d’information et contrôle interne
23/134
• confiance dans les systèmes ou les programmes qui traitent des données inexactes,
imprécises, ou les deux.
• accès non autorisé aux données qui peuvent avoir comme conséquence la destruction des
données ou des changements inexacts aux données, y compris l'enregistrement des
transactions non autorisées ou inexistantes, ou enregistrement imprécis des transactions. Les
risques particuliers peuvent surgir où les utilisateurs multiples accèdent à une base de données
commune.
• la possibilité d'accéder par le personnel à un niveau d'autorisation au delà de celui nécessaire
pour exécuter leurs fonctions assignées détruisant de ce fait la séparation des fonctions.
• changements non autorisés aux données dans les fichiers principaux.
• changements non autorisés aux systèmes ou aux programmes.
• défaut de changements nécessaires aux systèmes ou aux programmes.
• interposition manuelle inadéquate.
• perte potentielle de données ou incapacité d'accéder à des données comme prévu.
Très souvent, ces nouveaux risques sont pris en compte dans l'organisation de la PME sous la
rubrique dite :
"Activités de contrôle" ou la norme internationale d'audit détaille la manière dont l'auditeur
appréhende ces éléments.
Il s’agit de :
-Communication et application d'intégrité et de valeurs morales.
-Engagement de compétence : qualifications et niveaux de connaissances requises.
-La participation des dirigeants : l'indépendance de la gestion, son expérience et le dialogue
avec les auditeurs internes et externes.
-Comportement et style opérationnel des gestionnaires : prise de risques, préparation des
états financiers, traitement de l'information et considération de la fonction comptable et du
personnel.
-Structure d'organisation : le cadre dans lequel les activités d'une entité pour atteindre ses
objectifs sont planifiés, exécutés, contrôlés et supervisés.
-Délégation et transfert de responsabilité : comment les résultats sont transmis et les
habilitations sont effectuées.
-Politique de ressources humaines et pratiques : recrutement, orientation, formation,
évaluation, conseil, promotion, remplacement et autres décisions.
ECF Formations ©
ECF Système d’information et contrôle interne
24/134
« Les petites entités peuvent mettre en application les éléments d'environnement de contrôle
dans des conditions différentes des plus grandes entités. Par exemple, les petites entreprises
peuvent ne pas avoir un code écrit de conduite mais, au lieu de cela, développent une culture
qui souligne l'importance de l'intégrité et du comportement moral par la communication orale
et par l'exemple. De même, la direction des petites entités peut ne pas comporter un membre
indépendant ou extérieur. »
ECF Formations ©
ECF Système d’information et contrôle interne
25/134
ECF Formations ©
ECF Système d’information et contrôle interne
26/134
ECF Formations ©
ECF Système d’information et contrôle interne
27/134
Caractère implicite lié à certaines procédures de contrôles et paramétrages mis en place pour
les détecter
Exemple :
La signature bancaire et les accès aux codes intranet ou extranet bancaires
La séparation de certaines fonctions critiques
(réception des marchandises et accord de paiements des fournisseurs)
NDLR : la présence d'un budget dans l'entreprise (voire avec plusieurs hypothèses) peut être
considérée comme un objectif concernant les états financiers. Les indicateurs utilisés par les
gestionnaires constituent le tableau de bord de l'entreprise que l'auditeur pourrait documenter
succintement.
Le système d'information qui concourre à la réalisation des objectifs d'établissement des états
financiers,
inclut le système comptable,
comprend les procédures,
les enregistrements pour lancer, enregistrer, traiter, et rendre compte des opérations de
l'entreprise (ainsi que les événements et les conditions)
et fournit à tout moment les valeurs actives, passives, et les capitaux propres.
ECF Formations ©
ECF Système d’information et contrôle interne
28/134
la possibilité pour le personnel du service informatique d'obtenir des accès privilégiés au
delà de ceux nécessaires à l'exercice de leur fonction, annihilant ainsi la séparation des taches;
des changements non autorisés de données dans des fichiers maitres ;
des changements non autorisés apportés aux systèmes ou aux programmes ;
le fait de ne pas procéder aux changements nécessaires dans les systèmes ou les
programmes;
des interventions manuelles inappropriées ;
la perte potentielle de données ou l'incapacité à accéder à certaines données tel qu'exigé.
ECF Formations ©
ECF Système d’information et contrôle interne
29/134
A87. La communication peut être moins structurée et plus facile dans une petite entité que
dans une grande du fait de beaucoup moins de niveaux de responsabilités et d'une plus grande
visibilité et disponibilité de la direction.
En conclusion de ce chapitre de cette série, le système d’information est un outil mis en place
par les dirigeants de l’entreprise. Le degré d’implication des dirigeants et/ ou des informations
qu’ils doivent produire pour les tiers est un facteur déterminant dans le choix du système.
L’auditeur trouve dans celui-ci les moyens de parvenir à une assurance raisonnable pour
forger son opinion.
ECF Formations ©
ECF Système d’information et contrôle interne
30/134
Préambule :
Nous sommes là dans une phase de compréhension, à ne pas confondre avec la « conduite de
la mission » qui sera étudiée dans la série suivante.
Il ne faut pas non plus confondre cette phase avec les « constations », qui comprend aussi la
phase communément appelée « audit des données ». Cette dernière phase sera étudiée dans la
série 4.
Certaines des techniques utilisées en audit de données sont également utilisées lors de la
« conduite de la mission ».
Cette phase a pour objectif l’évaluation des risques par l’auditeur que les comptes contiennent
des anomalies significatives.
Tant la loi de sécurité financière (LSF) que les normes internationales d’audit donnent, dans
cette phase, une place prépondérante au contrôle interne.
Le système d’information de l’entité contrôlée est le composant central du contrôle interne.
Avant de dresser le plan détaillé de cette partie de la série, il convient de limiter le champ
d’investigation de l’auditeur à ses obligations.
La compréhension de l’auditeur inclut la façon dont les flux d’opérations sont initiés…
Les opérations d’une entité sont les activités pour développer, acheter, produire, vendre et
distribuer les produits et les services, assurer la conformité aux lois et aux règlements et
l’enregistrement des informations, y compris la comptabilité et l’information fournie dans les
états financiers.
ECF Formations ©
ECF Système d’information et contrôle interne
31/134
Tant le seuil de signification que les flux significatifs sont des notions fondamentales :
-le seuil de signification, est l’erreur maximale que l’auditeur pourra admettre dans les
comptes présentés, sans demander une correction de ceux-ci.
Un élément qualitatif est aussitôt ajouté :
En vue d’acquérir une « assurance raisonnable », l’auditeur portera, conformément aux
indications portées sur ces points dans le « plan de mission » une attention particulière sur les
principaux flux d’opérations de l’entité contrôlée.
-le seuil de planification concernant un flux d’opérations sera plus particulièrement étudié au
cours de cette journée.
ECF Formations ©
ECF Système d’information et contrôle interne
32/134
Ecritures de journal
A82. Le système d'information d'une entité inclut typiquement l'utilisation d'écritures de
journal standard utilisées de façon récurrente pour enregistrer les opérations. Des exemples de
ces écritures concernent les écritures de centralisation au grand livre des ventes, des achats et
des dépenses, ainsi que celles relatives aux estimations comptables qui sont périodiquement
faites par la direction, telles que les modifications dans l'estimation des créances
irrécouvrables.
A83. Le processus d'élaboration de l'information financi8re d'une entité inclut également
l'utilisation d'écritures de journal non standard pour enregistrer des opérations ou des
ajustements non récurrents ou inhabituels. Des exemples de telles écritures comprennent les
retraitements de consolidation, celles relatives à un regroupement d'entreprises, à une cession,
ou à des estimations non récurrentes telles qu'une dépréciation d'actif. Dans des systèmes
comptables où le grand livre est tenu manuellement, les écritures non standard peuvent être
ECF Formations ©
ECF Système d’information et contrôle interne
33/134
Processus opérationnel
A84. Le processus opérationnel d'une entité sont les mesures destinées à :
- développer, acheter, produire, vendre et distribuer les produits ou les services de
l'entité ;
- assurer la conformité des opérations avec les textes législatifs et réglementaires ;
- enregistrer l'information, y compris celle relative à la tenue de la comptabilité et à
l'élaboration de l'information financi8re.
Le processus opérationnel résulte des opérations qui sont enregistrées, traitées et présentées
par le système d'information. Acquérir la connaissance du processus opérationnel de l'entité,
qui comprend la façon dont les opérations sont initiées, aide l'auditeur dans sa prise de
connaissance du système d'information de l'entité relatif à l'élaboration de l'information
financière en le recadrant dans le contexte de l'entité. »
Les définitions du contrôle interne et du système d’information données plus haut sont
précises, de plus la démarche de l’auditeur concernant la compréhension du système
d’information y est décrite précisément, d’où notre plan pour cette partie de la série :
• les flux d’opérations de l'entité qui sont significatifs en vue de la préparation des états
financiers.
• les procédures, y compris les technologies de l'information et les systèmes manuels, par
lesquels ces transactions sont lancées, enregistrées, traitées et restituées dans les états
financiers.
• les enregistrements comptables concernés, électroniques ou manuels, le suivi de
l'information, et le détail des comptes dans les états financiers, en ce qui concerne le
lancement, l'enregistrement, le traitement et la restitution des transactions.
• comment le système d'information enregistre les évènements et conditions, autres que des
flux d’opérations, qui sont significatifs dans les états financiers.
• le processus de préparation des états financiers de l'entité, y compris les évaluations
comptables significatives et leurs conséquences.
NB : les deux derniers points de cette énumération ne seront pas traités dans cette série, en
raison de leur caractère ponctuel ou exceptionnel. Nous les retrouverons dans la série suivante
ECF Formations ©
ECF Système d’information et contrôle interne
34/134
intitulée « conduite de la mission » où les moyens proposés sont de nature à observer des
évènements et conditions ponctuelles et exceptionnelles ainsi que les évaluations comptables
significatives.
Les flux d’opérations, la balance des comptes et les états financiers sont trois étapes à
considérer par l’auditeur. Dans ce premier point, une fois les flux d’opérations recensés, il
convient de déterminer ceux qui sont significatifs.
Dans la méthode rapide proposée, l'approche par la trésorerie permet de dialoguer avec le
Responsable administratif et financier qui est l'interlocuteur habituel de l'auditeur en PME.
Bien entendu, le risque de détournement est ici élevé, notamment en PME où les acteurs sont
polyvalents et en nombre réduits par définition.
ECF Formations ©
ECF Système d’information et contrôle interne
35/134
ECF Formations ©
ECF Système d’information et contrôle interne
36/134
Cette étape est consignée dans le plan de mission conformément au décret du 12 août 1969
modifié le 27 mai 2005, et dans la norme homologuée par décret du mois d’octobre 2006.
L’auditeur ayant ainsi déterminé les flux d’opérations significatifs de l’entreprise contrôlée, il
peut maintenant aborder la compréhension de la phase suivante.
La décomposition des flux d’opérations en quatre phases distinctes est un élément nouveau
qu’il convient de détailler maintenant.
ECF Formations ©
ECF Système d’information et contrôle interne
37/134
Ces points seront repris et analysés de façon détaillée dans la séquence suivante intitulée :
Procédures d’audit : les tests de procédures.
1.3.3.4.3 Cartographie
La cartographie est un outil permettant d'avoir une vue générale du système d'information de I'en -
treprise, afin d'en comprendre le fonctionnement et d'organiser les contrôles à effectuer dans le cadre
de la mission d'audit.
Il est pertinent d'identifier le périmetre des fonctionnalités installées et paramétrées par I'entreprise :
• une premiere approche consiste ä prendre connaissance de la documentation fournie par I'editeur et ä
identifier avec I'entreprise les modules qui ont ete parametres. Certains progiciels peuvent offrir ces
informations au niveau du module d'administration,
• une seconde approche consiste ä rechercher le contrat de licence, qui généralement détaille les
modules qui ont été acquis et peut également donner des informations sur les profils utilisateurs
(paramétrage, utilisation, consultation). Certains PGI sont installés en standard avec tous les modules,
même si I'entreprise n'en utilise qu'une partie.
Les informations recueillies permettent d'identifier les éléments sensibles qui pourront faire I'objet
d’un contrôle détaillé, par exemple les points d'intégration entre les différents modules (appelés
interfaces internes, par opposition aux interfaces externes qui permettent au PGI de communiquer avec
d'autres systèmes).
ECF Formations ©
ECF Système d’information et contrôle interne
38/134
Ce travail est conduit par l’auditeur, avec l’objectif d’établir ensuite le croisement de la
cartographie et des processus (ancienne norme 2-302 de la CNCC)
ECF Formations ©
ECF Système d’information et contrôle interne
39/134
L’intérêt du rapprochement de ces deux mots n’est pas effectué uniquement dans un souci de
clarification par des définitions qui permettent d’éviter l’emploi confus de l’un pour l’autre
dans le langage courant en général dans le langage courant et dans le langage employé par
l’auditeur au cas particulier.
Il convient, aussi, en recherchant les causes de cette confusion, d’évoquer les objectifs
poursuivis par l’auditeur lorsqu’il les emploie :
-Recherchant notamment les éléments informatisés, de façon à utiliser les caractéristiques
inhérentes des technologies de l’information, et principalement leurs caractéristiques
répétitives, un « processus » désigne un ensemble d’éléments non maîtrisés qui permettent de
constater une transaction, un évènement ou un engagement et sa transcription dans le système
d’information de l’entité.
Il s’agit en fait d’un élément détaillé du système d’information visant à l’accomplissement des
opérations d’une entité.
-Jusque là, pas de problème, mais en considérant dorénavant la division des transactions
répétitives en :
initialisation,
enregistrement,
traitement ou interface
restitution, compte-rendu ou constat de celle-ci,
la problématique est étendue, qui conduit à analyser chacune de ces procédures.
-En effet, l’assurance raisonnable recherchée par l’auditeur comporte une analyse du dispositif
à chaque étape, avec notamment la possibilité d’intervention manuelle rendant le
« processus » (en principe automatisé) peu fiable ou nécessitant un contrôle postérieur.
L’apport essentiel de la norme ISA 315 est ici de distinguer systématiquement quatre
« phases » dans la réalisation d’un flux d’opérations. Ce qui peut passer pour un surcroît de
complexité non fondé apportera au contraire à l’auditeur une meilleure vision des risques
encourus en raison d’un point de vue transversal qui donne de nouvelles perspectives,
notamment sur les plans des systèmes manuels et des activités de contrôle étudiées à la fin de
ce chapitre (l’environnement de contrôle, le système d’information et les activités de contrôle
constituant les trois composants principaux du contrôle interne dans les PME).
ECF Formations ©
ECF Système d’information et contrôle interne
40/134
Le rapprochement des flux d’opérations significatifs, dans cet exemple de petite entreprise,
devient ici pratiquement évident.
Ce « croisement » permettra, en outre, d’identifier les systèmes manuels nécessaires au bon
fonctionnement d’un flux d’opérations significative.
Bien que le vocabulaire ne soit pas encore stabilisé, notons que la norme française
homologuée NEP 315 a retenu le mot procédure et que la norme internationale d’audit ISA
315 a retenu « procedure » et « transaction » (en anglais dans le texte), alors que « process »
(traduit souvent en français par processus) est utilisé systématiquement dans le cadre
d’automatismes employés dans les différentes procédures.
ECF Formations ©
ECF Système d’information et contrôle interne
41/134
En clair, l’auditeur devrait évoquer plus généralement les flux d’opérations au niveau majeur
et les procédures applicatives au niveau détail, en faisant le croisement avec les applications
informatiques utilisées.
A la lecture de ce développement, l’emploi dans l’ancienne norme 2-302 du terme
« processus » peut paraître impropre au sens étymologique. La complexité du sujet en est la
cause : les rédacteurs de ladite norme ont voulu limité le vocabulaire employé pour en faciliter
l’utilisation, d’autant plus que cette norme venait en complément de la norme 2-301
« contrôle interne » écrite de nombreuses années avant la généralisation des systèmes
d’information automatisés.
tels que définis dans l’ancienne norme 2-302 et notamment utilisés dans la partie « mise en
œuvre de l’appréciation du risque lié aux contrôles applicatifs », sont définis comme une des
composantes statiques applicatives (également appelés dans les petites applications
informatiques fichiers permanents ou fichiers maitres).
ECF Formations ©
ECF Système d’information et contrôle interne
42/134
Notons ici le caractère dynamique de cette définition, notamment en cas de séparation des
taches importantes, conduisant à étendre encore le périmètre de cette définition, dans la
mesure où les habilitations permettent de contrôler en amont la validité et la qualité des
informations transmises à chaque phase.
Notons également le caractère interne ou externe des référentiels utilisés dans les différentes
procédures applicatives.
Par exemple, le plan comptable utilisé est un référentiel externe, alors que la liste des familles
d’articles vendus constitue un référentiel interne.
L’étude des principaux référentiels d’une application peut constituer un axe de prise de
connaissance souvent pertinent.
La liaison avec les flux d’opérations significatives conduit, par exemple, cette démarche dans
le schéma ci-dessous :
ECF Formations ©
ECF Système d’information et contrôle interne
43/134
Problématique :
L'existence d'un progiciel de gestion intégré (PGI) dans une entité, en exploitation ou à I'état
de projet, peut nécessiter des contrôles specifiques de l’auditeur. II est en effet généralement
difficile d'appréhender certains progiciels, en raison de l’existence de nombreux paramètres et
d'habilitations.
Le svstème d'information apparait fermé en première approche, rendant difficiles les travaux
de contrôle interne. La connaissance du système par les salariés de I'entreprise est parfois
limitée car ils n'ont pas toujours été impliqués dans la mise en place du progiciel ou bien ont
été insuffisament formés. Aussi, ils ne comprennent pas nécessairement toutes les
conséquences et les incidences multiples que peuvent avoir leurs actions sur le système
d'information, ainsi que sur les données comptables et financières.
ECF Formations ©
ECF Système d’information et contrôle interne
44/134
Parallèlement à l’installation des PGI, les entreprises de toutes tailles mettent en place des
mécanismes de circulation des documents électroniques (workflow) qui suppriment la
circulation des documents papier. Il en résulte un allègement de la paperasserie des
formulaires et autres navettes qui s’accompagne d’une meilleure traçabilité des transactions.
Le même phénomène se produit vis-à-vis de l’extérieur de l’entreprise. En effet les EDI avec
les tiers (clients, fournisseurs, banques, organismes sociaux, trésor public, etc).
Notons également que la conservation des documents en format électronique (notamment des
factures de vente) se généralise.
La stratégie informatique de I'entreprise et les modalités de mise en place du PGI sont des
informations importantes pour apprécier les risques informatiques.
Deux stratégies opposées peuvent être adoptées par I'entreprise quant à la mise en place du
PGI.
• refonte complète des procédures de I'entreprise pour s'adapter à la structure et aux
fonctionnalités du PGI,
• adaptation du PGI ä I'organisation et aux particularités de I'entreprise.
Un élément important de la stratégie de mise en place concerne le choix fait par
I'entreprise de faire appel ou non à une société de services externe et ses conséquences
sur :
• Les modalités de paramétrage du progiciel,
• Le niveau de maitrise du progiciel par I'entreprise et son niveau de dépendance vis-ä-vis du
tiers.
ECF Formations ©
ECF Système d’information et contrôle interne
45/134
ECF Formations ©
ECF Système d’information et contrôle interne
46/134
Les règles de gestion liées à la dépendance des acteurs ou des activités concernent tous les
types de secteur et sont souvent liées à l'importance des flux ainsi qu'à des considérations
géographiques ou de logistique.
Le négoce est plutôt concerné initialement par l'importance des opérations. Dans un
deuxième temps, la nature des opérations et la dépendance des acteurs deviennent
prépondérantes.
Le service est concerné par l'importance combinée à la nature des opérations.
La fabrication est concernée au premier chef par la nature des opérations.
En fait, le développement de chaque point est fait en fonction de l'activité précise, voire du ou
des métiers de l’entité contrôlée.
Aucune règle générale ne semble pouvoir être tirée de ce type d'analyse.
Forfait
Régie ou forfait
Service Taux TVA déplacement,
Réception ?
Régie ou forfait
Programme ou
Protection
Fabrication Série minimum lancement sur
environnement
commande
Toute règle de gestion peut trouver une formulation positive concernant un secteur voire un
métier... Il convient de lui accorder un poids relatif selon son efficacité dans un contexte
d'analyse donné.
L'objectif étant ici de ne plus imposer celles-ci aux acteurs dès lors que le fait de l'enfreindre
ne crée pas une situation de crise.
Tout ceci reste très théorique, d'autant plus que les trois types de secteur d'activité sont
schématiques et le premier type d'entreprise venu comportera plusieurs activités
complémentaires, elles-mêmes rattachées par exemple au service et au négoce.
Les règles de gestion sont donc recensées statiquement dans le système d'information de
l'entreprise, mais également doivent pouvoir être formulées à la volée et analysées aussitôt les
unes par rapport aux autres.
ECF Formations ©
ECF Système d’information et contrôle interne
47/134
B) les règles de gestion peuvent aussi être classées selon qu'elles sont à
respecter en amont ou en aval d'une décision.
B1) règles de gestion à respecter en amont:
Règles de gestion métier comme la préparation d'un bon de réparation chez un
concessionnaire automobile
Règles de gestion financière par exemple attribution d'un escompte pour paiement
comptant
B2) règles de gestion à respecter en aval
Etats comptables comme le choix d'un plan comptable spécifique
Etats de gestion : méthode de gestion des stocks
Etats financiers : axe analytique choisi pour la ventilation des ventes, achats et frais de
personnel
ECF Formations ©
ECF Système d’information et contrôle interne
48/134
ECF Formations ©
ECF Système d’information et contrôle interne
49/134
Le niveau de détail est ici plus grand, avec les contrôles opérés à chaque étape.
ECF Formations ©
ECF Système d’information et contrôle interne
50/134
Dans certains cas, encore, un bon de livraison pouvait être saisi, puis transformé en facture,
alors qu’une facture pouvait également être établie directement, créant une ambiguité tant à
propos de la sortie de l’inventaire permanent des produits vendus que du suivi de la piste
d’audit.
Le schéma ci-dessus reflète bien le niveau de compréhension requis de l’auditeur dans le
détail (commande, livraison, facturation)
Selon la méthode MERISE, le modèle conceptuel des traitements (MCT) lui permet de
préparer l’étape suivante appelée « vérification du fonctionnement », qui sera étudiée dans la
série suivante.
Sur le plan pratique, l’expérience de l’auditeur s’enrichira à chaque nouveau progiciel étudié,
tant sur le plan de la documentation que sur le plan des paramétrages possibles.
Niveau de profondeur
La norme ISA 315 précise :
« L'obtention de la compréhension des contrôles d'une entité n'est pas suffisante pour tester
l'efficacité de fonctionnement de ces contrôles, à moins qu'un automatisme prévoit
l'application systématique de l'opération du contrôle (les éléments manuels et automatisés du
contrôle interne concernant l'audit sont décrits ci-dessous).
Par exemple, l'obtention de l'évidence d'audit au sujet de l'exécution d'un contrôle manuel à
un moment donné ne fournit pas l'évidence d'audit au sujet de l'efficacité de fonctionnement
du contrôle dans d'autres circonstances que pendant la période à auditer.
Cependant, les technologies de l'information permettent à une entité de traiter de grands
volumes de données uniformément et augmente la capacité de l'entité à surveiller l'exécution
des activités de contrôle et de réaliser une séparation efficace des fonctions en mettant en
application des contrôles de sécurité dans les applications, les bases de données, et les
logiciels d'exploitation.
Par conséquent, en raison de l'uniformité inhérente aux technologies de l'information,
l'exécution de procédures d'audit pour déterminer si un contrôle automatisé a été mis en
application peut servir de test de l'efficacité de fonctionnement de ce contrôle, selon
l'évaluation faite par l'auditeur et le test des contrôles tels que ceux effectués en cas de
changement de programme. »
ECF Formations ©
ECF Système d’information et contrôle interne
51/134
approche permet un gain de temps important lorsque l’analyse des contrôles s’avère
concluante.
En cas d’anomalie décelée au sein de l’application, des tests pourront être réalisés afin de
déterminer l’impact de ces anomalies sur les comptes.
Les résultats obtenus lors de cette phase permettront de planifier les travaux de la phase
suivante « procédures d’audit».
Le suivi de l’information et le détail des comptes dans les états financiers, en ce qui concerne le
lancement, l'enregistrement, le traitement et la restitution des transactions.
Ce point, qui concerne les enregistrements comptables concernés, semble avoir la même portée que le
point précédant, à savoir « le lancement, l’enregistrement, le traitement et la restitution des
transactions ».
Le point précédant comporte une vision dynamique et concerne l’étude des méthodes ou procédures,
alors que ce point concerne la façon dont l’information est stockée (il s’agit d’enregistrements ou
documents).
Cette vision comptable présente l’avantage de pouvoir être effectuée à partir des journaux comptables
de saisie, s’ils sont facilement accessibles et du grand livre des comptes qui est, en principe, établi à
partir des journaux, mais en utilisant une présentation selon les numéros de comptes utilisés.
Les activités de contrôles sont les politiques et les procédures qui aident à s'assurer que les
directives de gestion sont suivies, par exemple, que des actions nécessaires sont lancées en
réponse aux risques qui menacent l'accomplissement des objectifs de l'entité. Le contrôle des
activités, dans les techniques de l'information ou les systèmes manuels, comporte des objectifs
variés et est appliqué à divers niveaux d'organisation et de fonctions.
ECF Formations ©
ECF Système d’information et contrôle interne
52/134
D'une façon générale, les activités de contrôle qui peuvent être appropriées à un audit peuvent
être classées par catégorie (politiques et procédures) comme suit:
Ces activités de contrôle incluent des revues et des comparaison des données réelles et
budgétaires, des prévisions, et de comparaison aux périodes antérieures; en utilisant
différentes sources de données - de gestion ou financières - l'une et l'autre, ensemble afin
d'effectuer des analyses, des rapports et des actions correctives; en comparant des données
internes aux sources extérieures d'information; et en examinant la performance par fonction
ou par activité, telle que l'examen du taux directeur de crédit à la consommation d'une banque,
des rapports par branche, région, et par type de prêt pour des attributions et des recouvrements
de prêts.
ECF Formations ©
ECF Système d’information et contrôle interne
53/134
Ces activités entourent la sécurité physique des actifs, y compris les sauvegardes en rapport
avec les équipements évoqués ci-dessus permettant l'accès aux matériels et aux
enregistrements; autorisation pour l'accès aux fichiers des programmes informatiques et
des données; et mise en place de rapprochements périodiques avec les montants calculés dans
les états de gestion (par exemple, comparaison avec les sommes d'argent comptant, contrôle
des habilitations et rapprochement physique avec les enregistrements d'un inventaire
permanent). Le point selon lequel les contrôles physiques prévus pour empêcher le vol des
actifs sont appropriés ou non à la fiabilité de la comptabilité, et donc de l'audit, dépend des
circonstances, par exemple lorsque les capitaux sont fortement susceptibles de détournement.
Par exemple, ces contrôles ne seraient pas appropriés si les écarts d'inventaire sont détectés
conformément à l'inspection physique périodique et enregistrés dans le système comptable.
Cependant, si pour les états financiers, la gestion utilise seulement l'inventaire permanent, les
contrôles physiques de sécurité seraient appropriés à l'audit.
Les activités fondamentales de contrôle des activités dans de petites entités sont susceptibles
d'être semblables à celles dans de plus grandes entités, mais la formalisation avec laquelle
elles sont effectuées est différente. De plus, les petites entités peuvent constater que certains
types d'activités de contrôle ne sont pas appropriés en raison des contrôles effectués par la
direction.
ECF Formations ©
ECF Système d’information et contrôle interne
54/134
Une séparation appropriée des fonctions semble souvent présenter des difficultés dans de
petites entités.
Même les entités ayant seulement quelques employés, peuvent pouvoir assigner les
responsabilités en vue de réaliser la séparation appropriée ou, si ce n'est pas possible,
d'employer la séparation des taches incompatibles pour atteindre des objectifs de contrôle.
ECF Formations ©
ECF Système d’information et contrôle interne
55/134
Après la séquence "contrôle interne", riche en nouveautés, cette séquence apporte également
ses innovations.
Observons que cette séquence représente la phase de conclusion de la "compréhension"
(appellation simplifiée de la première norme internationale d'audit ISA 315).
L'esprit critique de l'auditeur doit maintenant s'exercer et être formalisé.
Mais préalablement découvrons « les assertions sous tendant la production des comptes ».
Trois niveaux ou catégories d'assertions sont donc poursuivies explicitement par l'auditeur :
1 - Celles portant sur l'ensemble de la période contrôlée au niveau des flux d’opérations,
Leur étude est ici synthétique dans cette séquence, elles sont évoquées dans leur ensemble.
ECF Formations ©
ECF Système d’information et contrôle interne
56/134
Dans la séquence "éléments probants", les assertions sont abordées en parallèle aux procédés
utilisés par l'auditeur (caractère combinatoire des réponses apportées par l’auditeur).
L'évaluation des risques au niveau des assertions ne constitue pas une tache unique à
effectuer, mais de travaux d'accommodation du regard de l'auditeur selon le contexte où il se
situe :
- au niveau de "l'évaluation des risques" , l'auditeur porte un regard individuel sur les risques,
mais global sur les assertions : la profondeur de champ est ici maximale, mais le souci du
détail n'apparaît pas encore.
- au niveau des "procédures d’audit", l'auditeur établi un lien entre risques et assertions : il
prépare la correction de sa vision (établie à la phase précédente) pour l'adapter en fonction de
sa propre vue du contrôle interne et des risques significatifs.
- au niveau des "éléments probants", l'auditeur réalise des "zooms" à l'aide d'outils qui lui
permettront d’établir un faisceau de présomption, alors que les risques sont individualisés et
documentés.
ECF Formations ©
ECF Système d’information et contrôle interne
57/134
Nous reviendrons de façon détaillée sur le contenu de chaque assertion dans la série suivante
"procédures d’audit" (ISA 330) avec des moyens mis en œuvre permettant de rechercher
systématiquement certaines d'entre elles.
Dans la partie "éléments probants", les assertions seront systématiquement étudiées avec les
procédures d'audit utilisées pour les rechercher.
L'apprentissage de celles-ci peut être effectué de la façon suivante :
- Présentation et informations données, autrement appelée "au bon compte et au bon poste" est
la première à apprendre.
- Les assertions qui y sont rattachées peuvent être assimilées par les assistants confirmés en
audit dans l'ordre suivant :
Rattachement
Evaluation
Droits et obligations
Mesure (à distinguer de l'évaluation qui concerne les postes de bilan)
- Les assertions isolées dépendent du jugement du chef de mission ou du commissaire aux
comptes :
Exhaustivité
Existence
ECF Formations ©
ECF Système d’information et contrôle interne
58/134
La routine, les opérations de base qui sont sujettes au traitement systématique provoquent
moins de risques significatifs parce qu'elles comportent des risques inhérents inférieurs : on
parle alors de flux d’opérations significatives.
De façon générale, sauf peut-être en cas de complexité des opérations, notamment au niveau
de l’enregistrement (deuxième phase), ces risques significatifs ne font pas partie inhérente dus
système d’information de l’entité, lequel est en général conçu pour traiter les affaires
courantes.
ECF Formations ©
ECF Système d’information et contrôle interne
59/134
-Les interfaces sont celles du constructeur informatique ou contrôlées par tout moyen, les
habilitations sont en place.
Dans le cadre de l'organisation de traitements basés sur des référentiels dont la qualité
supposée semble bonne, il est possible de suivre la «piste d'audit » prévue, de sorte que, dans
les petites entités où l'absence de séparation des fonctions est un handicap pour l'auditeur,
l'horodatage des opérations successives constitue une sécurité permettant de conserver ces
risques au niveau faible.
Signalons à cet égard la publication par l’administration fiscale de l’instruction DGI 13
L_1_06 du 24 Janvier 2006 relative au contrôle des comptabilités informatisées qui précise la
portée des instructions antérieures et fixe de nouvelles obligations.
La présentation de cette démarche, à titre d’exemple, peut être effectuée de la façon suivante :
ECF Formations ©
ECF Système d’information et contrôle interne
60/134
Les deux colonnes suivantes (Identification des contrôles internes) recense les contrôles
manuels et informatisés susceptibles de réduire le risque inhérent. Ces contrôles seront
désormais classés de façon plus élaborée que les contrôles préventifs (détection) et les
contrôles a postériori (supervision). Ils sont désormais classés en outre selon les quatre phases
de chaque procédure :
initier,
enregistrer,
traiter,
ECF Formations ©
ECF Système d’information et contrôle interne
61/134
rendre compte.
Rappelons ici l’intérêt de cette distinction :
d’une part, selon les flux d’opérations significatifs, le niveau d’intégration du système
d’information peut permettre une analyse flux d’opérations par flux d’opérations avec la
subdivision selon ces 4 phases de chaque procédure,
d’autre part, une analyse globale d’une phase, telle que le traitement ou interface, ou la
restitution (par exemple dans les états financiers) peut permettre d’accroître l’efficacité de
l’auditeur. Ce dernier point est notamment à considérer du point de vue de la distinction des
éléments manuels et informatisés, d’une part, et de la profondeur des « habilitations » mises
en place dans l’entité contrôlée d’autre part.
NB : Les risques pour lesquels les seules procédures de substance (procédures analytiques et
tests de détail) ne suffisent pas.
Une des grandes nouveautés apportées par la mondialisation réside dans la généralisation de
la démarche contrôle interne en cas de système d’information automatisé.
La piste d’audit, dans d’autres circonstances, appelée aussi « chemin de révision » est donc au
cœur de l’activité de l’auditeur du système d’information.
ECF Formations ©
ECF Système d’information et contrôle interne
62/134
Le tableau des risques établi peut être amendé (retouché) lors de la phase de conduite de la
mission (voir séquence suivante).
La formalisation de cette étape est à peu près établie, chaque progiciel d’assistance à l’audit
(à ne pas confondre avec les techniques d’audit assistées par ordinateur autrement appelées
analyse des données) le présentant à peu près de la même façon :
Le tableau comporte, soit en lignes, soit en colonnes, les flux d’opérations, et dans l’autre
dimension les assertions.
Certains documentent dans chaque élément du tableau le risque inhérent + le risque lié aux
contrôles, voir le risque de non détection, alors que d’autres, par souci de simplification, ne
porte que deux, voire un seul de ces risques (non détection).
ECF Formations ©
ECF Système d’information et contrôle interne
63/134
Mais laissons aux utilisateurs d’Audit-soft, de MCC, de Revisaudit, des carnets de contrôles
de CEGID, de REVAO, d’EIC, CAC Assistant, Rev-CAC et autres progiciels d’assistance à
l’audit leur façon de présenter ce tableau.
Il s’agit d’assertions portant tant sur la balance des comptes à la clôture de l’exercice et sur
l'ensemble de la période contrôlée au niveau des flux d’opérations :
Cette situation peut être résumée par les éléments du schéma suivant :
ECF Formations ©
ECF Système d’information et contrôle interne
64/134
L’auditeur peut dorénavant organiser sa documentation sur ce point central de deux façons :
-soit par les éléments
-soit par les assertions
En fait, il est difficile d‘adopter une démarche organisée uniquement selon les assertions
comme méthode de classement. C’est pourquoi il convient d’en relativiser l’importance,
comme cela a été ébauché à la page précédente, et de préférence repérer directement les
contrôles mis en place, selon la connaissance que l’auditeur a du type de secteur d’activité en
général, du secteur particulier et du système d’information utilisé, ainsi que de
l’environnement de contrôle mis en place.
Ici, ce schéma simplifié, utilisable en PME en négoce met l’accent sur les contrôles mis en
place :
-le manuel opérateur du système d’information (ou la liste des nouveautés de chaque progiciel
utilisé) souvent composé d’une chaîne commerciale et d’un programme de comptabilité.
-les transactions d’achats et de ventes et leur impact sur le stock (inventaire permanent)
-la séparation des fonctions (habilitations) résultant de la présence du responsable du service
commercial, d’un responsable du magasin où sont stockés les articles vendus, d’un
responsable administratif et financier, qui valident souvent deux par deux les informations
contenues dans les référentiels clients (commercial et finance) et articles (commercial et
magasin)
-la présence d’un expert-comptable qui établit mensuellement les déclarations de TVA.
Cette phase de prise de connaissance, dans une entreprise de négoce informatisée avec des
progiciels de qualité et fonctionnant dans de bonnes conditions pourrait permettre d’établir un
tableau synthétique des risques qui ressemblerait à cela :
ECF Formations ©
ECF Système d’information et contrôle interne
65/134
Par souci de simplification, seuls les risques de non détection, résultant de l’addition des
risques inhérents à chaque étape et des risques liés aux contrôles, tels qu’ils ont pu être perçus
par l’auditeur à ce stade de compréhension, sont documentés.
Les trois assertions exhaustivité, réalité et évaluation correcte ont été regroupées sous
l’appellation « système intégré ».
Le flux d’opérations le plus significatif Système intégré des ventes regroupe toutes les
opérations relatives à la trésorerie recettes et les ventes, du fait de la clientèle de l’entreprise
essentiellement composée de particuliers (surface de vente au détail).
La mesure aurait pu être également traitée avec les trois précédentes, encore que le flux
d’opérations très significatif « stocks » étayé par le suivi d’un inventaire permanent
informatisé réduit à néant le risque sur cette assertion (du fait de la présence d’historiques
détaillés des mouvements d’entrée et sorties conservés dans la chaîne commerciale).
La notation Moyen concernant le rattachement relatif au flux d’opérations Achats fournisseurs
paiements vient de la comptabilisation des factures d’achats postérieures aux réceptions des
articles en magasin.
La notation Moyen concernant les Droits et obligations relatif au flux d’opérations Système
intégré des ventes vient de la prudence dont l’auditeur fait preuve concernant les conditions
formelles de facturation et de livraison aux clients d’articles variés, eux même conditionnés
différemment, et avec une durée de vie très différente (péremption, remises promotionnelles
programmées et remises quantitatives).
ECF Formations ©
ECF Système d’information et contrôle interne
66/134
ECF Formations ©
ECF Système d’information et contrôle interne
67/134
Ces deux exemples, en fin de conclusion de cette séquence, montrent la démarche contrôle
interne dans la phase de « connaissance ».
Celle-ci serait bien entendu plus conséquente dans des entités présentant des caractéristiques
plus complexes (multi activité, multi établissement, fabrication…), mais le caractère itératif
de la démarche est désormais autorisé, de sorte que tout excès de pessimisme de l’auditeur
dans cette phase pourra être corrigé dans la phase de conduite de la mission, alors que toute
anomalie significative découverte dans cette phase (étudiée dans la série suivante) serait
susceptible de remettre en cause l’évaluation initiale des risques.
La grande nouveauté de cette séquence est le caractère obligatoire des travaux de contrôle
interne en cas de système d’information présentant un niveau d’automatisation élevé. Il n’est
plus question de considérer les différentes étapes des transactions à l’intérieur d’une boite
noire, pour se contenter de contrôler certains documents imprimés. Il faut désormais suivre la
piste d’audit, au travers des enregistrements, qui doivent être le reflet fidèle de toutes les
opérations et rien que des opérations existantes.
2 PROCEDURES D’AUDIT
2.1 INTRODUCTION
ECF Formations ©
ECF Système d’information et contrôle interne
68/134
Connaissance générale :
Pour acquérir cette connaissance, l’auditeur examine les procédures de transfert des
informations entre les systèmes de traitement des opérations et le grand livre général ou
les systèmes d'information financière. L’auditeur cherche également à comprendre les
procédures auxquelles l'entité a recours pour saisir les renseignements pertinents pour
l'information financière qui ont trait aux événements et situations autres que des
opérations répétitives, par exemple l'amortissement des actifs et les changements quant
à la recouvrabilité des créances.
L’audit des éléments constitutifs du système d’information peut être fait à plusieurs
fins :
- en vue de son implantation dans une entité.
Il s’agit là d’une démarche dynamique visant à mettre en place un système
d’information dans une entité qui se crée ou dans une entité manifestant le désir d’en
changer complètement ou partiellement de façon significative.
- en vue de l’analyse de l’existant de façon à rechercher les risques liés à son
fonctionnement.
Il s’agit là d’une deuxième démarche statique, conduisant à faire un état des lieux.
Celle-ci peut être suivie d’avis, de recommandations ou conseils, et peut conduire à
exprimer une opinion (rapport de contrôle interne) ou encore à compléter ou corriger
telle ou telle insuffisance, sur chacun des plans développés ci-dessous dans cette série.
C’est dans cette deuxième optique qu’est développée cette série.
Si un lecteur s’intéresse à la première optique, l’auteur recommande l’ouvrage intitulé
CIME, Conduite de l’Informatisation en Moyenne Entreprise édité par l’AFAI.
Le plan de cette séquence propose une étude progressive du niveau le plus général vers
le niveau de détail.
Ce niveau de détail est notamment développé dans la partie « procédures détaillées »,
avant que cette séquence s’achève sur les « procédures transverses », remontant à un
niveau de détail moins grand, mais tout aussi important compte tenu de l’unicité et de
l’homogénéité de certaines règles lors de l’usage des «technologies de l’information »
(TI).
Cette approche en deux temps est due au caractère itératif de toute étude de ce type : la
possibilité de rencontre permanente au niveau détail d’une difficulté imprévue ou au
contraire d’une grande satisfaction fonctionnelle peut amener l’auditeur à reconsidérer
l’évaluation des risques qu’il a effectuée à la fin de la séquence précédente, le
conduisant à effectuer des démarches complémentaires, ou au contraire à alléger ses
diligences.
ECF Formations ©
ECF Système d’information et contrôle interne
69/134
ECF Formations ©
ECF Système d’information et contrôle interne
70/134
Par conséquent, le système d'information d'une entité englobe les méthodes et les
documents qui permettent :
b) de décrire en temps voulu les opérations de façon suffisamment détaillée pour qu'elles
puissent être classées adéquatement pour le s besoins de l'information financière;
c) de mesurer la valeur des opérations de manière à pouvoir traduire leur véritable valeur
monétaire dans les états financiers;
e) de présenter correctement les opérations et les informations connexes dans les états
financiers
2.1.2 Communications
2.1.2.1 OBJECTIF
Il importe que les communications permettent notamment de comprendre les rôles et les
responsabilités individuels à l’égard du contrôle interne sur l’information financière. Les
renseignements communiqués déterminent la mesure dans laquelle les membres du
personnel comprennent la manière dont leurs interventions dans le système d’information
s’intègrent avec le travail d’autres personnes, ainsi que les moyens pris pour signaler les
anomalies au niveau supérieur approprié au sein de l’entité. Le maintien des voies de
communications ouvertes contribue à faire en sorte que les anomalies soient signalées et
corrigées.
2.1.2.2 MOYENS
Les communications peuvent prendre la forme de manuels de procédures, de manuels de
comptabilité ou d’informations financières, et de notes.
2.1.2.3 SUPPORTS
Elles peuvent se faire électroniquement ou verbalement, et via les actions de la direction.
ECF Formations ©
ECF Système d’information et contrôle interne
71/134
grandes entités, mais leur rôle y est tout aussi important. Les petites entités dont les
dirigeants participent activement à l'exploitation n'ont peut-être pas besoin de descriptions
détaillées des procédés comptables, de comptes complexes ou de politiques écrites. Les
communications sont souvent plus faciles et plus simples dans une petite entité que dans
une grande entité, en raison de la taille de l'entité et du moins grand nombre de niveaux
hiérarchiques, ainsi que de la meilleure visibilité et de la meilleure disponibilité de la
direction.
An niveau des assertions, les procédures d’audit comprennent des tests de procédures, des
contrôles de substance, ou une approche mixte utilisant à la fois des tests de procédures et des
contrôles de substance.
Dans le cadre de l’étude du contrôle interne, comme cela a été étudié dans la séquence
précédente, nous nous proposons de poursuivre cette séquence en étudiant notamment
l’élément central du contrôle interne.
2.2.1 L’infrastructure
Il s’agit des composantes matérielles nécessaires et suffisantes à mettre en œuvre les logiciels
utilisés dans l’entité, en fonction des personnes qui doivent les utiliser.
ECF Formations ©
ECF Système d’information et contrôle interne
72/134
Pour ceux qui auraient étudié la méthodologie relative aux systèmes d’information, cette
décomposition des éléments constitutifs du système d’information est proche de la
méthode UML (Unified Modeling Langage).
Parmi les procédures d’audit, les tests de procédures permettent de collecter des éléments en
vue d’apprécier l’efficacité des contrôles conçus et mis en oeuvre par l’entité pour
prévenir, détecter ou corriger les anomalies significatives au niveau des assertions.
10. L’auditeur réalise des tests de procédures pour collecter des éléments suffisants et
appropriés montrant que les contrôles de l’entité ont fonctionné efficacement au cours de la
période contrôlée dans les cas suivants :
- lorsqu’il a retenu, dans son évaluation du risque d’anomalies significatives au niveau des
assertions, l’hypothèse selon laquelle les contrôles de l’entité fonctionnent efficacement ;
ECF Formations ©
ECF Système d’information et contrôle interne
73/134
- lorsqu’il considère que les seuls contrôles de substance ne permettent pas de réduire le
risque d’audit à un niveau suffisamment faible pour obtenir l’assurance recherchée.
Pour être en mesure de conclure quant à l’efficacité ou non du contrôle mis en oeuvre par
l’entité, l’auditeur, en plus des demandes d’information, utilise une ou plusieurs autres
techniques de contrôle comme, par exemple, les procédures analytiques, l’observation
physique, l’inspection, la ré-exécution de certains contrôles réalisés par l’entité. Les tests de
procédures ne se limitent pas à des demandes d’information.
12. Plus l’auditeur s’appuie sur l’efficacité du contrôle interne dans l’évaluation du risque
d’anomalies significatives, plus il étend les tests de procédures.
13. Lorsque l’auditeur collecte des éléments sur l’efficacité des contrôles de l’entité durant
une période intermédiaire, il détermine les éléments complémentaires à collecter pour la
période restant à couvrir jusqu’à la fin de l’exercice.
14. Lorsque l’auditeur a l’intention d’utiliser des éléments collectés au cours des exercices
précédents sur l’efficacité de certains contrôles de l’entité, il met en oeuvre des procédures
d’audit visant à détecter si des changements susceptibles d’affecter la pertinence de ces
éléments sont survenus depuis. Il recourt pour ce faire à des demandes d’information en
association avec des observations physiques ou des inspections pour confirmer sa
connaissance des contrôles existants.
15. Lorsqu’il détecte des changements affectant ces contrôles, il teste leur efficacité au titre
de l’exercice sur lequel porte sa mission.
16. Lorsque aucun changement n’a affecté ces contrôles, il teste leur efficacité au moins
une fois tous les trois exercices. Cette possibilité ne doit cependant pas l’amener à tester
tous les contrôles sur un seul exercice sans effectuer de tests de procédures sur chacun des
deux exercices suivants.
17. Lorsque, lors de son évaluation du risque d’anomalies significatives, l’auditeur a
identifié un risque inhérent élevé qui requiert une démarche d’audit particulière et qu’il
prévoit de s’appuyer sur les contrôles de l’entité destinés à réduire ce risque, il teste
l’efficacité de ces contrôles au titre de l’exercice sur lequel porte sa mission, même si ces
contrôles n’ont pas fait l’objet de changements susceptibles d’affecter leur efficacité depuis
l’audit précédent.
ECF Formations ©
ECF Système d’information et contrôle interne
74/134
2.3.1 Entretien
ECF Formations ©
ECF Système d’information et contrôle interne
75/134
• Elle est limitée au moment où elle a lieu et par le fait que l'observation peut affecter la
procédure.
Il s'agit d'une procédure d'audit destinée à découvrir, qui est très souvent corroborée par
une autre procédure d'audit.
Sur le plan de la terminologie, le contrôle physique des actifs est une forme
d'observation dont le caractère probant est fort en raison des assertions visées
(existence) et de la période (à la clôture de l'exercice).
Observons à travers ces deux exemples que ces tests de procédures n’auront pas à eux
seuls un caractère probant suffisant. Ils devront être corroborés par d’autres tests,
comme indiqué ci-dessous.
ECF Formations ©
ECF Système d’information et contrôle interne
76/134
Bien que ce type de test soit très consommateur de temps, il peut s’avérer utile,
notamment lorsque des éléments manuels et informatisés sont utilisés dans une
procédure de façon combinatoire. Ainsi les approbations manuelles ou visuelles suivies
d’une décision (enregistrer ou traiter) ne peuvent être contrôlées autrement.
- Alors que dans une entreprise sans expert-comptable, pour obtenir une fiabilité
équivalente, à chaîne commerciale et fiabilité du contrôle interne équivalente,
l'auditeur devra exécuter une procédure analytique substantive complémentaire, à
savoir, par exemple, apprécier la variation mensuelle des ventes, compte tenu de sa
connaissance de l'entité.
ECF Formations ©
ECF Système d’information et contrôle interne
77/134
Dans la norme ISA 330, il est précisé le contrôle de substance détaillé à effectuer en vue
de tester l'exhaustivité, l'existence et la mesure. Il s'agit de parcourir la piste d'audit d'un
élément détail vers l'agrégat des états financier correspondant et à contrario du bien
fondé de la présence d'un élément détail dans un agrégat.
ECF Formations ©
ECF Système d’information et contrôle interne
78/134
La norme ISA 330 développe longuement les effets bénéfiques de l'utilisation par
l'entreprise des technologies de l'information, et notamment l'utilisation d'un système
d'information fortement automatisé (PGI).
NDLR : lors de la mise à jour de tels outils dans l'entreprise par l'éditeur de progiciels,
la consultation des nouveautés fonctionnelles installées à cette occasion vont
probablement lui permettre d'alléger les contrôles postérieurs.
La mise à jour du dossier permanent sur la partie contrôle interne est alors systématique,
alors que les tests de procédure sont nécessaires sur les points nouveaux, mais
capitalisés pour les deux années suivantes.
ECF Formations ©
ECF Système d’information et contrôle interne
79/134
Ce schéma présente dans cette série les choix de l'auditeur dans l'entreprise de
distribution ayant fait l'objet du premier exemple de tableau des risques dans la
séquence précédente.
Notons qu’en cas d’ancienneté des travaux de contrôle interne réalisés concernant le
système intégré des ventes, l'auditeur devra vérifier le fonctionnement des contrôles
dans l'année N, probablement par des techniques d'audit assistées par ordinateur (tests
conçus et réalisés en N-2).
La centralisation des ventes étant maintenant intégrée, alors qu’auparavant celle-ci était
traitée par l’import d’un fichier « ascii » dans le système comptable, l’auditeur doit
tester cette nouvelle procédure.
ECF Formations ©
ECF Système d’information et contrôle interne
80/134
La norme internationale précisant que ces éléments peuvent être utilisés par l’auditeur
dans n’importe quel ordre, pourvu que les objectifs poursuivis soient atteints, et que les
assertions (voir série précédente) soient couvertes, il est proposé de poursuivre l’étude
de ces deux éléments de la façon suivante :
- les questions posées ne le sont pas de façon positive, par exemple : les personnes
réalisent-elles les procédures à l’aide et en créant des données fiables à l’aide des
logiciels utilisés ?
ECF Formations ©
ECF Système d’information et contrôle interne
81/134
Pour chacune de ces phases, il est proposé d’étudier, après définitions et commentaires
annexes, selon la méthode suivante :
L’auditeur :
a) fait des constats
b) évalue des risques en raison de ces constats
c) détermine des points à creuser
Des exemples sont fournis ensuite.
ECF Formations ©
ECF Système d’information et contrôle interne
82/134
Définition :
Les opérations peuvent être déclenchées manuellement ou automatiquement au moyen de
procédures programmées.
Connaissance détaillée:
Les déficiences de certains contrôles informatiques généraux peuvent avoir des
incidences à la fois sur le fonctionnement adéquat des procédures programmées et sur
l'efficacité de certains contrôles manuels.
Le cas échéant, l'organisme de services révèle l'existence de telles déficiences et décrit
leur effet sur les principales procédures programmées et les principaux contrôles
manuels mis en oeuvre par l'organisme de services, ou sur les contrôles manuels que les
entités clientes sont censées mettre en oeuvre.
Constats :
1 Les opérations de vente avec livraison différée sont déclenchées à tout moment, sans
organisation préalable concernant les heures d’ouverture.
2 Le magasinier commande par téléphone aux fournisseurs en consultant à l’écran
chaque fiche article.
Risques :
1 L’absence d’exhaustivité des ventes à enregistrer est possible
2 Rupture de stock, absence de commandes groupées
2 Engagement vis-à-vis des fournisseurs non chiffrable
Points à creuser :
1 Validation d’un support intermédiaire avant enregistrement
2 Etat de réapprovisionnement
Exemples de tests:
1 Recherche d’éléments de livraison aux clients non comptabilisées par tout moyen
ECF Formations ©
ECF Système d’information et contrôle interne
83/134
Observons ici que ces deux exemples ne sont pas des tests de procédure, mais des
contrôles de substance. En effet, ce sont des situations où l’auditeur ne peut pas
s’appuyer sur une procédure existante suffisamment fiable. Il cherche donc directement
par tout moyen ou des contrôles sur pièces par sondage à déceler des anomalies, alors
que des tests de procédures visent à s’appuyer sur des résultats utilisables afin d’en
déterminer le degré de fiabilité.
De façon plus générale, les procédures visant à déclencher ou initier des opérations
concernant souvent l’exhaustivité ou la mesure sont plutôt analysées par des contrôles
de substance dans un environnement manuel.
Il est moins fréquent de retrouver sous ce type de procédure des éléments automatisés.
Notons cependant, par les contrôles qu’elles permettent :
- les commandes clients reçues par fax (par la possibilité d’éditer un journal de
réception)
- les passages en caisse en grande surface, par le comptage des chariots passant sous le
portique de détection
Ces procédures visant à déclencher ou initier des opérations sont contrôlées par des
moyens de détection dont l’utilisation combinée avec les moyens de prévention peut
apporter la fiabilité requise.
ECF Formations ©
ECF Système d’information et contrôle interne
84/134
2.5.2 ENREGISTRER
Définition :
L'enregistrement comprend l'identification et la saisie des informations afférentes aux
opérations et aux événements.
Connaissance détaillée :
Le système d'information d'une entité comporte normalement l'enregistrement
d'écritures de journal courantes qui sont requises sur une base récurrente pour constater
dans le grand livre général les opérations telles que les ventes, les achats et les
décaissements, ou pour enregistrer les estimations comptables qui sont faites
périodiquement par la direction, par exemple les révisions de l'estimation des créances
irrécouvrables.
ECF Formations ©
ECF Système d’information et contrôle interne
85/134
Calendrier
En considérant les dates d'exécution des procédures d'audit, l'auditeur considère
également les questions suivantes :
• l'environnement de contrôle interne.
• la date de disponibilité de l'information appropriée (par exemple, les fichiers
informatiques peuvent plus tard être effacés ou mis à jour, ou des procédures à
observer peuvent se produire seulement à certaines heures).
• la nature du risque (par exemple, s'il y a un risque de surévaluation des
ventes pour atteindre les profits escomptés par la création corrélative de
faux contrats de ventes, l'auditeur peut souhaiter examiner des contrats disponibles
à la date de clôture de l'exercice) (ISA 330).
• la période ou la date à laquelle l'évidence d'audit se rapporte ou est obtenue.
S'il y a un risque que l'entité ait pu enregistré des contrats ou transactions relatives
aux ventes inexactes qui n'auraient pas été menés à bien à la clôture de l'exercice,
l'auditeur exécute des procédures pour répondre à ce risque spécifique. Par
exemple, quand les transactions sont matérialisées individuellement ou qu'une
erreur de rattachement peut mener à une déclaration matérielle erronée, l'auditeur
inspecte d'habitude les transactions proches de la clôture de l'exercice (ISA 330).
Ampleur
L'utilisation des techniques assistées par ordinateur d'audit peut permettre un test
plus étendu des transactions et des fichiers d'écritures. De telles techniques
peuvent être employées pour sélectionner un échantillon de transactions à partir
des fichiers électroniques visés, pour trier des transactions avec des
caractéristiques spécifiques, ou pour examiner la population entière au lieu d'un
échantillon (ISA 330).
ECF Formations ©
ECF Système d’information et contrôle interne
86/134
ECF Formations ©
ECF Système d’information et contrôle interne
87/134
2.5.3 TRAITER
Définition :
Le traitement comprend des fonctions telles que l'édition, la validation, le calcul, la mesure,
l'évaluation, la récapitulation et le rapprochement, que ces fonctions soient exécutées au
moyen de procédures manuelles ou automatisées.
Connaissance générale :
L’auditeur acquiert aussi une compréhension de la manière dont est corrigé, au besoin,
le traitement des opérations. Par exemple, y a-t-il un fichier d'attente automatisé, et
comment l'entité s'en sert-elle pour que les éléments en attente soient traités en temps
voulu? Comment les dérogations aux contrôles ou les contournements sont-ils traités et
expliqués?
Un exemple bien connu des comptables est la saisie d’écritures dans la phase
« d’enregistrement » qui restent à l’état de brouillard ou d’écritures à valider dans la
phase « de traitement ».
Un autre traitement est le rapprochement automatique ou manuel des écritures de base
figurant dans chaque compte de tiers :
A titre d’exemple, les pages suivantes présentent la procédure manuelle de lettrage telle
qu’elle peut être utilisée dans le logiciel comptable COMPTANOO :
Soit un achat de marchandises et les pièces qui s'y rapportent :
Marchandises 1000
Tva à 19,6 % 196
Net à payer 1196
L'écran de lettrage est destiné au lettrage des écritures liées à différents comptes, qui
apparaissent dans la zone de navigation. On y accède en cliquant sur l'icône Lettrage :
ECF Formations ©
ECF Système d’information et contrôle interne
88/134
Avant de pouvoir traiter un compte dans cette feuille, il faut auparavant avoir
sélectionné l'option "à lettrer" pour le compte en question dans la feuille Plan
comptable.
Le compte auquel est rattaché le fournisseur LANGLOIS est le compte 401000 :
La zone de navigation propose les éléments à traiter classés suivant le compte qui
leur est associé. On sélectionne l'élément à traiter : LANGLOIS, les écritures
correspondantes apparaissent dans la grille.
Il faut ensuite sélectionner des lignes dans la grille de manière à former un groupe
d'écritures équilibré. Pour vérifier cet équilibre, il suffit de contrôler le montant qui
est affiché sous la grille : sa valeur doit être égale à zéro.
ECF Formations ©
ECF Système d’information et contrôle interne
89/134
Points à creuser :
1 Report manuel des avoirs
2 Individualisation des matériels réparés par le numéro de série
2 Contrôle par date d’expiration de la garantie à partir des numéros de série des
matériels et de leur date d’achat par les clients.
ECF Formations ©
ECF Système d’information et contrôle interne
90/134
Connaissance générales :
La préparation des états financiers de l'entité comporte des procédures qui sont conçues
pour assurer que les informations à fournir selon le cadre applicable en matière
d'information financière sont cumulées, enregistrées, traitées, condensées et
adéquatement présentées dans les états financiers.
Dans cette phase, la première étape est l’établissement de la balance des comptes à
partir du grand livre des comptes. Seul le détail des données de base est condensé pour
ne présenter que la totalisation, compte par compte.
La préparation des états financiers est également une étape bien connue des comptables
qui peut être présentée, à titre d’exemple, dans les pages suivantes telle qu’elle est
réalisée avec le logiciel EBP ETAFI:
A chaque champ des feuillets de la liasse fiscale est associé une variable, celle-ci peut
être de type « vide », il faut saisir manuellement la valeur de cette variable, ou de type
calculée, c'est le logiciel qui calcule automatiquement la valeur du champ à partir de la
formule associée à la variable.
Le plan de regroupement contient la liste des variables des feuillets et leur définition
(formule de calcul).
Le plan de regroupement commun est le plan qui a été défini comme plan de référence
pour tous les dossiers. Pour le consulter, lancez la commande Voir plan de regroupement
commun du menu Liasses + Plan de regroupement.
Cette fenêtre affiche sur sa partie gauche la liste des feuillets sous forme de plan.
ECF Formations ©
ECF Système d’information et contrôle interne
91/134
Utilisez la touche « + » du clavier numérique sur un feuillet pour consulter les rubriques
qu'il contient. Vous pouvez alors consulter et modifier la définition d'une rubrique.
Une rubrique à saisir est représentée par .
Une rubrique calculée est représentée par .
ECF Formations ©
ECF Système d’information et contrôle interne
92/134
Ce menu est accessible également en cliquant sur le bouton droit de la souris (=menu
contextuel).
ECF Formations ©
ECF Système d’information et contrôle interne
93/134
La saisie dans un feuillet s'effectue comme dans un tableur à quelques différences près
(différence de largeur de champ, zones non accessibles par l'utilisateur). Pour vous
déplacer d'un champ à un autre, utilisez les flèches de direction (Haut, bas, gauche et
droite).
Les variables
Comme nous l'avons vu précédemment à chaque champ est associée une variable dont
le nom peut être connu en cliquant sur l'icône . La valeur et / ou la formule des
variables de chacun des champs proposés dans le feuillet est modifiable. Toutefois, leur
modification n'est autorisée que si vous avez coché Autoriser la modification des
champs non protégés dans les Préférences du menu Dossier + Propriétés. Les valeurs
proposées dans le feuillet dépendent de la formule paramétrée. Cette formule est une
somme ou une soustraction d'éléments.
Vous pouvez également à tout moment revenir à la formule d'origine de la rubrique en
cliquant sur le bouton Restaurer la formule standard dans les Propriétés que vous
obtenez soit par le menu Feuillet soit par le clic avec le bouton droit de la souris.
Cette séquence avait pour but de montrer la problématique d’agrégation souvent
complexe des données de bases figurant dans la balance des comptes, bien que tant
celle-ci (en raison du plan comptable utilisé), que la trame des états financiers soient
fortement « encadrés ».
Mais généralisons, à partir de cet exemple comptable, à des constations portant sur des
informations utilisées dans l’entité à des fins de gestion.
Constats :
1 les statistiques de vente sont éditées à la demande et les commissions des
représentants sont versées avec un trimestre de retard.
2 les prestations fournies par l’entité sont comptabilisées par type de services fournis
aux clients dans une entreprise frontalière.
Risques :
1 défaut d’édition régulière des statistiques de vente
2 la ventilation fiscale France, communauté, export est-elle respectée ?
Points à creuser :
1 mise en place d’un « reporting » édité automatiquement à intervalle régulier en plus
de l’établissement des déclarations de TVA mensuelles.
2 rechercher, soit dans les référentiels ou fichiers permanents, soit dans chaque facture,
l’information permettant d’établir cette ventilation à caractère fiscal et son exploitation
lors de l’établissement des états financiers.
ECF Formations ©
ECF Système d’information et contrôle interne
94/134
Tests de procédures :
1 édition des statistiques de vente du dernier trimestre et rapprochement avec les ventes
globales après totalisation.
2 Contrôler si les comptes de ventes utilisés figurent dans les bonnes fourchettes en vue
du report dans le ou les comptes de résultats financiers.
Le système d'information d'une entité englobe les procédures et les documents qui lui
permettent :
a) d'identifier et d'enregistrer toutes les opérations valides;
Il s’agit là de l’objectif général concernant les phases d’initiation et d’enregistrement
des opérations.
e) de présenter correctement les opérations et les informations connexes dans les états
financiers.
Il s’agit là, par exemple, d’utiliser un progiciel de production des états financiers
automatisé sans possibilité d’intervention manuelle.
ECF Formations ©
ECF Système d’information et contrôle interne
95/134
ECF Formations ©
ECF Système d’information et contrôle interne
96/134
i) les examens et les analyses de la performance réelle par rapport aux budgets, aux
prévisions et à la performance de la période précédente;
ii) la détermination des relations qui existent entre les différents ensembles de données
d'exploitation ou financières, ainsi que l'analyse de ces relations et la mise en oeuvre de
mesures d'investigation et de mesures correctives;
iii) la comparaison des données d'origine interne avec des informations de sources
externes;
ECF Formations ©
ECF Système d’information et contrôle interne
97/134
Connaissances détaillées :
Différents contrôles sont effectués pour vérifier l'exactitude et l'exhaustivité des
opérations et déterminer si elles ont été autorisées. Les deux grands groupes d'activités
de contrôle exercées sur les systèmes d'information sont les contrôles des applications et
les contrôles TI généraux. Les con trôles des applications sont effectués sur les
traitements exécutés au moyen d'applications individuelles. Ils contribuent à assurer que
les opérations ont eu lieu, sont autorisées, et sont enregistrées et traitées de manière
exhaustive et avec exactitude. Voici des exemples de contrôles des applications :
iii) les contrôles automatisés tels que les contrôles d'édition des données d'entrée et les
contrôles de séquence numérique;
Les contrôles TI généraux correspondent aux politiques et aux procédures qui portent
sur de nombreuses applications et qui contribuent à l'efficacité des contrôles des
applications en contribuant à assurer le fonctionnement adéquat et en continu des
systèmes d'information. Ils comprennent habituellement les contrôles sur :
ECF Formations ©
ECF Système d’information et contrôle interne
98/134
iii) les contrôles sur la mise en place de nouvelles versions de logiciels d’applications
prêts à l'emploi;
iv) les contrôles sur les logiciels de base qui limitent l'accès aux utilitaires susceptibles
de modifier les données ou documents financiers sans laisser de piste de vérification, ou
qui surveillent l'utilisation des utilitaires.
Pour acquérir une compréhension du système d'information, l’auditeur tient compte des
risques d'inexactitudes importantes liés au contournement inopportun des contrôles sur
les écritures de journal et des contrôles afférents aux écritures non courantes. Par
exemple, les processus et les contrôles automatisés peuvent réduire le risque d'erreurs
accidentelles, mais ils n'éliminent pas le risque que des personnes contournent ces
processus automatisés, par exemple en modifiant les montants qui sont
automatiquement transmis au système de grand livre ou d'information financière. En
outre, l’auditeur garde à l'esprit que lorsque les TI sont utilisées pour le transfert
automatique d'informations, il se peut qu'il y ait peu ou point de traces visibles d'une
telle intervention dans les systèmes d'information.
ECF Formations ©
ECF Système d’information et contrôle interne
99/134
ii) l'autorisation des accès aux programmes informatiques et aux fichiers de données;
iii) le dénombrement périodique des biens et leur comparaison avec les montants
figurant dans les comptes (par exemple, comparer les résultats des dénombrements des
liquidités, des valeurs mobilières et des stocks avec les comptes).
La mesure dans laquelle les contrôles physiques visant à prévenir les vols d'actifs sont
pertinents pour l'établissement d'états financiers fiables, et donc pour la vérification,
dépend notamment de la question de savoir si les actifs sont très susceptibles de faire
l'objet de détournements. Par exemple, ces contrôles ne sont habituellement pas
pertinents lorsque les pertes de stocks peuvent être détectées dans le cadre d'un
dénombrement périodique, et comptabilisées dans les états financiers.
ECF Formations ©
ECF Système d’information et contrôle interne
100/134
par les responsables de la gouvernance; par contre, les opérations inhabituelles telles
que les acquisitions et les cessions importantes pourraient nécessiter une approbation
particulière à un échelon supérieur, et même, dans certains cas, l'approbation des
actionnaires.
2.8 TABLEAU DE SYNTHESE
PHASES Initier Enregistrer Traiter Rendre compte
D’ANALYSE
D’UNE
OPERATION
permettant de
classer les
procédures
utilisées
ELEMENTS DU
CONTROLE
INTERNE
UTILISES
ECF Formations ©
ECF Système d’information et contrôle interne
101/134
ECF Formations ©
ECF Système d’information et contrôle interne
102/134
2.9 CONCLUSION
Lorsqu'il réunit des éléments probants concernant la mise en oeuvre des contrôles en
appliquant des procédés d'appréciation des risques, l’auditeur cherche à déterminer que
les contrôles pertinents existent et que l'entité les utilise. Lorsqu'il teste l'efficacité du
fonctionnement des contrôles, l’auditeur obtient des éléments probants indiquant que les
contrôles fonctionnent efficacement. À cette fin, l’auditeur réunit des éléments probants
sur la façon dont les contrôles ont été appliqués à des moments pertinents au cours de la
période visée par l’audit, l'uniformité de leur application ainsi que les personnes qui les
ont appliqués ou les moyens par lesquels ils l'ont été. Lorsque des contrôles
essentiellement différents ont été appliqués à divers moments au cours de la période
visée par l’audit, l’auditeur les examine séparément.
Mais voyons cela de façon plus détaillée dans la séquence suivante intitulée
ELEMENTS PROBANTS qui comprend notamment « l’audit des données »
ECF Formations ©
ECF Système d’information et contrôle interne
103/134
3 ELEMENTS PROBANTS
La norme française homologuée précise, concernant « les procédures d’audit », les techniques
de contrôle à utiliser :
NEP 330-11. Pour être en mesure de conclure quant à l’efficacité ou non du contrôle mis en
oeuvre par l’entité, le commissaire aux comptes, en plus des demandes d’information, utilise une
ou plusieurs autres techniques de contrôle comme, par exemple, les procédures analytiques,
l’observation physique, l’inspection, la ré-exécution de certains contrôles réalisés par l’entité. Les
tests de procédures ne se limitent pas à des demandes d’information.
ISA 330 En raison de l'uniformité inhérente du traitement informatique, les éléments probants
concernant la mise en oeuvre d'un contrôle automatisé des applications, lorsque considérés
conjointement avec les éléments probants de l'efficacité du fonctionnement des contrôles généraux de
l'entité (et, en particulier, des contrôles sur les changements), peuvent fournir des éléments probants
substantiels quant à l'efficacité du fonctionnement du contrôle au cours de la période pertinente.
En clair, un contrôle automatisé peut, dès sa mise en place, s’avérer efficace pour l’ensemble
de la période contrôlée en raison de l’uniformité du traitement informatique.
NEP 500. Ces techniques de contrôle peuvent s’utiliser seules ou en combinaison à tous les stades
de l’audit des comptes.
Ces textes suggèrent dans une large mesure le recours quasi-systématique aux techniques d’audit
assistées par ordinateur, il convient de limiter volontairement ceux-ci aux « tests de procédure »
ECF Formations ©
ECF Système d’information et contrôle interne
104/134
pour ne pas développer l’emploi de ces techniques dans le cadre des « contrôles de substance »
qui se décomposent en deux parties : les « tests de détail » et les « procédures analytiques ».
Ainsi le développement suivant concerne, dans le cadre strict du « contrôle interne », les
informations fournies par les normes françaises homologuées NEP-330 et NEP-500, assorties de
développements inclus dans les normes ISA-330 et ISA-500.
Rappelons la distinction entre les « tests de procédure » visant à vérifier l’efficacité des contrôles
et les « éléments probants » indiquant que les contrôles ont été mis en œuvre au cours de la
période contrôlée.
En raison du caractère combinatoire des techniques utilisées, il est proposé la structure d’étude
suivante :
- Méthodologie de l’analyse de données
- Exemples de tests de procédures par flux d’opérations, comprenant, outre les techniques
d’analyse de données proprement dites, les autres moyens combinatoires utilisés.
L’automatisation des dossiers de travail (Auditor Work Station) c’est-à-dire un lieu de stockage de
données (base Notes ™, base knowledge, etc.),
L’informatisation du processus d’élaboration des comptes,
Des requêtes effectuées par le biais de moteur de recherche car leur résultat ne fait pas l’objet d’une
analyse.
2.1. Différence avec l’automatisation des dossiers de travail
ECF Formations ©
ECF Système d’information et contrôle interne
105/134
L’automatisation des dossiers est une méthode de travail utilisée par certains cabinets d’audit pour
structurer et organiser les travaux d’audit. La forme la plus simple d’automatisation est un dossier
électronique classé par activité/processus/contrôle/assertion /fichier.
Cette méthode possède plusieurs avantages :
Faciliter le travail en groupe et la répartition des travaux en permettant aux membres de l’équipe de
travailler simultanément sur le même dossier (mais sur des fichiers distincts pour éviter les conflits),
d’où un partage de l’information en temps réel ;
Structurer les travaux d’audit car elle est bâtie sur le même modèle que la méthodologie du cabinet
d’audit, ce qui facilite à l’auditeur la documentation de ses travaux et l’évaluation des risques ;
Capitaliser le savoir d’une année sur l’autre.
En revanche, l’automatisation des dossiers de travail ne permet pas ni d’apprécier le contrôle interne ni
de contrôler les comptes car il ne s’agit pas de traiter les données clients mais uniquement les
documents de travail des auditeurs.
2.2. Différence avec l’élaboration des comptes
Dans le cadre de l’élaboration des comptes, les logiciels comptables ont développé de large possibilité
d’import et d’export. En import, il est possible de recevoir des écritures comptables. En export, il est
possible de transférer les éléments permettant d’élaborer la liasse fiscale et les annexes.
Des outils bureautiques comme les tableurs sont utilisés pour effectuer des calculs et obtenir des
chiffres qui permettent ensuite de passer les écritures correspondantes.
Dans le cadre de l’analyse de données, les travaux permettent d’effectuer effectivement des calculs
pour vérifier ceux effectués par l’entreprise, mais les travaux s’orientent en général vers des opérations
de gestion des données qui ne sont pas uniquement calculatoire :
Rapprochement ligne par ligne entre différents fichiers,
Recherche de doublons,
Extraction d’anomalies du fichier.
ECF Formations ©
ECF Système d’information et contrôle interne
106/134
La méthode consiste à mettre en évidence les points forts sur lesquels l’auditeur pourra s’appuyer afin
d’orienter les contrôles sur les risques non couverts.
3.1.2.3 CONTEXTE MISSIONS SPÉCIALES
(diligence directement liée, recherche de fraude, identification des divergences du système
d’information, analyse de populations pour les besoins marketing)
Dans le cadre des missions spéciales, le commissaire aux comptes continue d’appliquer les règles
déontologiques et les normes de sa profession. Cependant, les missions n’ont plus la même finalité à
savoir la certification des comptes.
L’objectif de l’analyse de données est déterminé contractuellement, par exemple :
Réaliser une analyse statistique des populations de clients sur des critères marketing,
Rapprocher les données émises par une application des données reçues dans une autre pour vérifier
une interface.
Lors des missions spéciales, le professionnel continue d’utiliser les mêmes méthodes audit, notamment
:
Contrôle de cohérence des données fournies,
Traçabilité des traitements effectués,
Documentation des travaux,
Elaboration d’un rapport de fin de mission.
La norme 9080 permet dorénavant explicitement de réaliser des consultations relatives au contrôle
interne concourant à l’élaboration de l’information financière.
ECF Formations ©
ECF Système d’information et contrôle interne
107/134
Le type de clientèle a une influence dans le choix des moyens humains et matériels de la cellule. Pour
illustrer notre propos, prenons l’exemple d’une clientèle majoritairement composée d’entreprises ayant
un nombre de transactions commerciales conséquent (achats, ventes, téléphonie, courtiers d’assurance,
banques, etc.). Par essence, le nombre de transactions observé fait que le travail d’audit ne peut plus
être manuel et doit nécessairement recourir à l’utilisation d’outils informatiques. Ces contraintes
pèsent sur la structure de la cellule qui devra être dotée de moyens suffisants pour répondre à des
demandes de travaux beaucoup plus complexes que s’il s’agissait d’un petit client.
Ceci est d’autant plus vrai si certains processus font l’objet de complexités particulières (tarification
avec plusieurs niveaux de remise, processus de provisionnement des stocks s’appuyant sur plusieurs
critères, etc.) L’utilisation d’un logiciel d’audit est plus appropriée. Les commandes particulières de ce
type de logiciel facilitent les rapprochements, les exécutent plus rapidement et limitent les risques
d’erreur. De plus, la capacité de traitement de ces logiciels est quasi illimitée.
Autre critère déterminant les moyens à mettre en oeuvre, la stratégie du Cabinet. Selon les moyens qui
lui sont alloués et la confiance témoignée dans l’implantation de cette cellule, on pourra envisager de
créer une véritable cellule d’expertise grâce au recrutement d’une personne expérimentée et à l’achat
de matériels adéquats. Cette approche est recommandée si l’on envisage de faire de l’analyse de
données sur toutes les missions, l’automatisation de certains traitements courants étant source d’un
meilleur ratio temps/qualité.
Après avoir confronté tous ces facteurs, la vision du rôle de cette cellule d’analyse de données doit être
claire. De là, découleront les moyens à mettre en oeuvre pour réussir l’implantation de cette cellule
conformément à ce qu’on en attend.
Dans ce chapitre, nous avons décidé de présenter davantage les moyens à mettre en oeuvre, que le rôle
de la cellule, car ce dernier est souvent lié aux possibilités et au libre arbitre du Cabinet. Pour en
faciliter la compréhension, nous avons distingué et qualifié deux types d’objectif :
Objectif « ambitieux » pour les structures étant prêtes à s’investir dans cette activité et développer
une véritable expertise en analyse de données,
Objectif « prudent », pour un Cabinet souhaitant faire de l’analyse de données tout en limitant les
investissements.
3.1.3.1.1.1 Outil
Comme nous l’avons vu précédemment, la mise en place d’une structure d’analyse de données, le
contexte
et la nature des missions qui lui sont confiées posent un certain nombre d’exigences au niveau
informatique. En effet, il faut pouvoir compter sur une capacité de traitement importante, des
fonctionnalités facilitant les travaux, la possibilité d’automatiser certaines tâches, etc. En considérant
ces contraintes, l’utilisation d’un logiciel spécifique est tout indiquée car il est adapté à ce type de
travaux et permet un meilleur retour sur investissement à moyen terme.
En premier lieu, ACL (Audit Command Language) ou IDEA sont des logiciels d’audit et à ce titre
disposent de fonctionnalités particulièrement adaptées à cette activité, comme par exemple :
- La traçabilité :
Le système garde en mémoire toutes les manipulations effectuées sur le fichier. Ceci permet
d’expliquer la méthode de traitement ou de revoir ce qui a été fait.
- L’intangibilité des données :
Une fois entrées dans le logiciel, les données ne peuvent absolument pas être modifiées.
- La reprise et la conversion de fichier sont simplifiées car ces logiciels ont la particularité d’intégrer
un grand nombre de format de fichier.
- Le travail sur les fichiers est facilité grâce à l’existence de six ou sept commandes permettant à elles
seules d’exécuter tous les types de travaux.
- Le traitement automatique de travaux récurrents au moyen de programmes.
ECF Formations ©
ECF Système d’information et contrôle interne
108/134
Ces fonctionnalités permettent d’obtenir une meilleure qualité et une meilleure productivité que les
outils bureautiques standards. L’effacement des données initiales est impossible du fait de
l’intangibilité des données. Le contrôle des travaux effectués est effectué au moyen du système de
journalisation. La mise en place de programmes standardisés permet de gagner en productivité.
3.1.3.1.1.2 Profil
L’utilisation d’un logiciel d’audit ne peut être effectuée que par un collaborateur ayant une
connaissance approfondie de l’audit alliée à des compétences informatiques. Or, cette double
compétence (par exemple, un cursus d’ingénieur couplé d’une spécialisation ou d’un master d’audit)
est une ressource rare sur le marché et très convoitée. Fort heureusement, il existe d’autres profils
convenant à ce type de travaux, mais il faudra choisir entre une dominante technique ou audit.
Si l’on opte pour un technicien, les aspects techniques des travaux d’analyse de données seront
rapidement et plus aisément maîtrisés. La période de formation sera davantage consacrée à acquérir les
bases de l’audit financier nécessaires pour identifier les données utiles et produire un livrable
pertinent. Il est impératif pour la réussite de l’implantation d’une telle cellule que les rapports produits
répondent aux attentes de l’auditeur financier et du client.
Pour augmenter les chances de réussite ou si le Cabinet n’a pas la possibilité de recruter, l’expérience
montre qu’il est préférable d’avoir recours à un auditeur. L’intérêt de former un auditeur financier
réside dans le fait qu’il connaît le contexte dans lequel ces travaux vont s’insérer et qu’il est mieux à
même de les orienter pour répondre aux besoins de la mission. Il aura moins de difficulté, par rapport à
un technicien, pour définir les données dont il a besoin et pour écrire un rapport pertinent et
directement utilisable. Cependant, il faut avoir conscience que la phase d’apprentissage de l’outil et
des compétences informatiques afférentes sera fastidieuse et plus au moins longue en fonction des
aptitudes du collaborateur. Elle demande un réel investissement en temps, c’est pourquoi il convient de
choisir un collaborateur particulièrement motivé. D’ailleurs, nous insistons sur le fait qu’il faut choisir
des tests simples à réaliser lors des premières missions puis augmenter la complexité au fur et à
mesure de la maîtrise de l’outil.
Suite à cette phase d’apprentissage, l’auditeur s’attachera plus à l’analyse qu’à la programmation.
Ainsi, on évite au collaborateur de se trouver face à des difficultés techniques qui risquent de le
décourager très rapidement et on limite les risques d’erreur dans les traitements. Si l’auditeur a de
réelles difficultés pour utiliser l’outil, cela signifie que son profil n’est pas adapté.
3.1.3.1.1.3 Matériel
Pour effectuer de l’analyse de données, il est indispensable de disposer d’un ordinateur de type PC car
c’est désormais le standard utilisé par les entreprises.
La capacité de disque doit être suffisante pour permettre de stocker les données des clients sur au
moins deux ou trois ans afin de pouvoir capitaliser les travaux d’une année sur l’autre. Une capacité de
10 Go est un minimum.
Un graveur de CD-ROM permettra d’effectuer des sauvegardes inaltérables et de lire les données que
les clients transmettent sous forme de CD-ROM.
Certains clients fournissent leurs données sur d’autres supports. Il peut être intéressant dans ce cas de
disposer de lecteurs de cartouches (cf chapitre 3.1.1)
3.1.3.1.1.4 Conclusion
L’objectif ambitieux nécessite un investissement important sur le court terme mais s’avère rentable à
long terme. Les moyens humains et matériels sont utilisables pour toutes les missions d’analyse de
données et leur productivité s’améliorera de mission en mission.
Avec des équipes spécialisées, il est possible de vendre des missions d’analyse de données en dehors
des missions de commissariat aux comptes traditionnelles. De plus, l’existence d’une équipe
spécialisée apporte une valeur ajoutée et permet au cabinet de renforcer son positionnement auprès du
client.
ECF Formations ©
ECF Système d’information et contrôle interne
109/134
Si la structure d’audit ne dispose pas des moyens suffisants pour investir dans du matériel spécifique et
ne traite que des clients de taille réduite, il est possible d’utiliser EXCEL pour faire de l’analyse de
données.
Cette possibilité peut être utilisée dans une phase transitoire avant de projeter des investissements plus
importants.
3.1.3.1.2.1 Force
L’hypothèse prudente présente l’avantage d’utiliser les moyens déjà en oeuvre au sein du cabinet :
- Le matériel est un PC standard du cabinet. Le logiciel utilisé est le tableur Excel qui est en général
installé sur tous les postes avec la suite Office. Son utilisation est connue des collaborateurs.
- Un collaborateur expérimenté du cabinet pour effectuer les opérations de tests sous Excel. Il devra
posséder une bonne connaissance des techniques d’audit.
Cette configuration permet de débuter des analyses de données en se familiarisant avec les difficultés
que l’on peut rencontrer. L’investissement pour le cabinet se résume au temps consacré par le
collaborateur pour se familiariser avec l’outil et les problématiques des missions.
ECF Formations ©
ECF Système d’information et contrôle interne
110/134
ECF Formations ©
ECF Système d’information et contrôle interne
111/134
ECF Formations ©
ECF Système d’information et contrôle interne
112/134
Besoin Manipulation
3.1.3.2.3 Synthèse
La description ci-dessus des fonctionnalités pour chacun des logiciels n’est certainement pas
exhaustive et tel n’est pas l’objectif de ce document. Elle donne cependant une idée précise de la
ECF Formations ©
ECF Système d’information et contrôle interne
113/134
richesse en fonctionnalités de chaque outil, de l’adéquation de ces fonctionnalités avec l’audit et enfin
du degré de technicité exigé pour pouvoir les exploiter pleinement.
ECF Formations ©
ECF Système d’information et contrôle interne
114/134
ECF Formations ©
ECF Système d’information et contrôle interne
115/134
qui doivent toujours être sous le même format utilisé par les programmes. Cela signifie qu’il faut avoir
les mêmes champs, avec la même longueur, le même nom, le même ordre et le même type.
Or, dans la pratique, les données issues des systèmes d’information des clients sont différentes. Les
champs de type « date » par exemple peuvent être stockés sous des formats différents : jj/mm/aaaa,
aaaa/mm/jj, jj/mm/aaaa, etc. Il est donc nécessaire d’adapter les données clients à la structure des
programmes. Cette étape préliminaire est indispensable et peut s’avérer dans certains cas fastidieuse
en fonction du nombre de modifications à apporter aux données. Mais surtout, elle contrecarre le
principal atout de cette solution puisqu’elle rend l’automatisation des tests moins évidente. Cependant,
d’une année à l’autre la mise en forme des fichiers en entrée pour un client donné peut être également
automatisée permettant ainsi un précieux gain de temps. La mise en forme des fichiers est différente
d’un client à l’autre, il est donc indispensable, afin d’exploiter pleinement les possibilités de cette
solution, d’évaluer la capacité des clients à fournir, d’une année à l’autre, des fichiers de même
structure.
En pratique cette solution s’est plutôt orientée vers des tests d’audit simples tels que la sélection
statistique d’un nombre déterminé de factures, le calcul des indemnités de départ à la retraite, etc.
ECF Formations ©
ECF Système d’information et contrôle interne
116/134
Cette solution peut ainsi être appliquée aussi bien aux entreprises de petite taille qu’aux grandes
entreprises.
3.1.4.3 LE CAS DES PGI
Les ERP (Entreprise Ressource Planning) ou PGI (Progiciel de Gestion Intégré) sont des produits qui
assurent la gestion des processus de l’entreprise. Ces progiciels traitent des données qui sont
nécessaires à l’établissement des comptes.
SAP est le PGI le plus répandu à travers le monde et le plus connu. Nous sommes en droit de nous
interroger sur l’utilité de tester SAP. Sa notoriété et sa large utilisation n’en font-ils pas un gage de
garantie ?
Ne dit-on pas non plus qu’il y a autant de SAP que d’entreprises utilisatrices. En effet, ce PGI n’est
pas figé et s’adapte à l’organisation en place. Beaucoup de contrôles sont optionnels, or les contrôles
limitent les risques.
Lors de leur implémentation, les PGI sont adaptés à l’entreprise en utilisant des tables de paramétrage
et des développements spécifiques. Cependant, les données sont en général stockées dans les mêmes
tables.
Il est alors possible d’effectuer les mêmes demandes de données sur différentes entreprises utilisant le
même PGI. Ces tests permettent de s’assurer que les processus « classiques » sont correctement
contrôlés.
Les processus spécifiques à chaque entreprise feront l’objet d’une étude et d’une demande particulière.
3.1.4.4 RECURRENCE / FREQUENCE DES TESTS
Il est important dans le cas de tests récurrents d’un exercice à l’autre, tels que les circularisations des
factures clients ou les calculs des indemnités de départ à la retraite, de prévoir une procédure pour
automatiser les tests. Il est nécessaire pour cela d’assurer la reprise des fichiers et des programmes
d’une année à l’autre. Le choix d’un outil d’audit adapté à cette problématique paraît ainsi primordial.
ECF Formations ©
ECF Système d’information et contrôle interne
117/134
ECF Formations ©
ECF Système d’information et contrôle interne
118/134
ECF Formations ©
ECF Système d’information et contrôle interne
119/134
1.1.3. Réalisation
1.1.4.
Anomalies fréquentes
Dans certaines sociétés, le paiement est effectué avec retard. Par défaut de contrôle, la facture est
payée
ainsi que la relance envoyée par le fournisseur.
1.1.5. Facteur clés de succès
•Disposer d’un numéro de pièce du fournisseur pour effectuer les recherches de doublons,
•Travailler sur des comptabilités dans lesquelles les factures sont réglées séparément et dont les
montants des règlements sont différents.
En cas de règlements groupés, les doubles paiements ne peuvent pas être identifiés informatiquement
facilement et les contrôles manuels seront très importants.
ECF Formations ©
ECF Système d’information et contrôle interne
120/134
Les progiciels évaluent les factures à recevoir à partir des réceptions non facturées. A partir du fichier
des
mouvements de stocks, nous pouvons contrôler l’approvisionnement du fichier des factures à recevoir
en
terme de quantité. Si nous disposons des éléments de prix, nous pouvons également vérifier sa
valorisation.
1.2.3. Réalisation
1.2.4. Anomalies fréquentes
Suite à des problèmes d’exploitation informatique, le traitement peut ne pas fonctionner correctement.
Par
exemple, pour certains types d’entrées, les factures à recevoir ne sont pas créées.
1.2.5.
Facteurs clés de succès
•Identifier les mouvements de stocks à prendre en compte,
•Comprendre le fonctionnement des différents lieux de stockage (prise en compte ou non des stocks
en
contrôle qualité) et des règles de propriétés (franco, sortie usine, etc.).
ECF Formations ©
ECF Système d’information et contrôle interne
121/134
ECF Formations ©
ECF Système d’information et contrôle interne
122/134
ECF Formations ©
ECF Système d’information et contrôle interne
123/134
ECF Formations ©
ECF Système d’information et contrôle interne
124/134
1.12.2. Test
A partir du fichier des dossiers des sinistres et du fichier des contrats, rapprocher les dates de sinistre
et de
souscription.
1.12.3. Réalisation
1.12.4. Anomalies fréquentes
Des contrôles peuvent être diligentés par la compagnie d’assurance pour vérifier que le contrat a été
souscrit préalablement au sinistre.
Cette recherche permet de rechercher une fraude classique aux assurances : l’agent ou le courtier ne
déclare le contrat à l’assureur qu’au premier sinistre et conserve les primes antérieures.
1.12.5.
Facteurs clés de succès
•Analyser les sinistres en effectuant des regroupements par zone géographique ou par responsable de
commercialisation,
•Effectuer des contrôles des pièces des dossiers de sinistre.
3.1.5.2.1 Ventes
ECF Formations ©
ECF Système d’information et contrôle interne
125/134
3.1.5.2.2 Achats
- Contrôler l’interface de l’application achats/comptabilité,
- Circulariser des comptes fournisseurs,
- Rechercher des factures fournisseurs sans livraison,
- Rechercher les doubles paiements,
- Contrôler les factures à recevoir.
3.1.5.2.3 Stocks
- Sondage sur la population en stock,
- Contrôler la provision pour dépréciation,
- Stratifier la population,
- Roll-forward sur les stocks,
- Contrôler la valorisation.
3.1.5.2.4 Personnel
- Réconcilier des rubriques de paie avec la comptabilité,
- Contrôler le calcul des rubriques de paie (rémunération brute, charges patronales, prime
d’ancienneté),
- Contrôler le calcul des droits à congés payés,
- Evaluer la provision pour congés payés,
- Roll-forward sur le compteur des congés payés,
- Contrôler les provisions de fin d’année,
- Rechercher des augmentations anormales,
- Calculer des indemnités de départ en retraite.
ECF Formations ©
ECF Système d’information et contrôle interne
126/134
ECF Formations ©
ECF Système d’information et contrôle interne
127/134
Une procédure analytique qui peut être systématisée en PME : le rapport de tableau croisé
dynamique sur les écritures avec ajout de la dimension "mois", qui permet à l'auditeur :
• De rechercher les opérations ponctuelles et exceptionnelles dans les journaux dont il
n'aurait pas été informé
• D'apprécier les variations mensuelles de chaque compte, et notamment des principaux
postes du compte de résultat, leur rapport entre eux, conformément à l'esprit de la
LSF…
Il s'agit d'une procédure d'audit destinée à découvrir, qui est très souvent corroborée par une
autre procédure d'audit.
Sur le plan de la terminologie, le contrôle physique des actifs est une forme d'observation dont
le caractère probant est fort en raison des assertions visées (existence) et de la période (à la
clôture de l'exercice).
3.2.4 Inspection
Forme papier, électronique ou sur tout autre médias.
ECF Formations ©
ECF Système d’information et contrôle interne
128/134
Des documents source, tels que des ordres d'achat, connaissements, factures, et contrôles,
peuvent être remplacés en cas d'utilisation de messageries électroniques. Par exemple, les
entités peuvent employer les systèmes de commerce électroniques ou de traitement de
l'image. Dans le commerce électronique, l'entité et ses clients ou fournisseurs utilisent des
ordinateurs connectés au réseau public, tel que l'Internet, pour traiter leurs affaires
électroniquement. L'achat, l'expédition, la facturation, le reçu de valeurs, et les paiements des
transactions de dépenses sont souvent exécutés entièrement par l'échange des messages
électroniques entre les parties. Dans des systèmes de traitement d'image, des documents sont
balayés et convertis en images électroniques pour faciliter le stockage et le référencement, et
les documents source ne peuvent être maintenus après conversion. (ISA 500)
Utilisation combinatoire
Un exemple d'inspection utilisé comme test de contrôle interne est l'inspection
des enregistrements ou des documents pour constater s'ils sont autorisés. (ISA 500)
ECF Formations ©
ECF Système d’information et contrôle interne
129/134
L'utilisation des travaux d'un tiers permet à l'auditeur de gagner un temps important dès
l'instant que celui-ci est investi d'une mission par l'entreprise.
Les enregistrements ou documents fournis par celui-ci suffisent généralement comme
procédure d'audit pour parvenir à de nombreuses assertions.
Complétés par des procédures analytiques ceux-ci ont un caractère probant indiscutable.
ECF Formations ©
ECF Système d’information et contrôle interne
130/134
4 CONCLUSION
SYNTHESE et COMMUNICATION avec les DIRIGEANTS
• Note de synthèse.
• Rapports et justification de l'opinion.
Le rapport de contrôle interne n’est dorénavant plus obligatoire dans les entreprises ne faisant
pas appel public à l’épargne.
Dorénavant, la NEP 265 précise explicitement les conditions de « communications des
faiblesses de contrôle interne ».
En petite entité, celle-ci permet notamment au commissaire de valoriser sa mission, en
complément de la mission de l’expert-comptable.
Les normes homologuées et les normes internationales d’audit font la part belle au contrôle
interne, notamment sur le plan de l’organisation de la mission de contrôle légal des comptes,
précisant notamment l’utilisation pluri-annuelle des tests de procédures.
ECF Formations ©
ECF Système d’information et contrôle interne
131/134
Les limites juridiques dans la mission de commissaire aux comptes : étude d'une
décision de la chambre régionale de discipline (17/11/2004)
Mme X est citée à comparaître devant la Chambre régionale de discipline sur plainte de la société B, société dont
elle est le commissaire aux comptes depuis le mois d'août 2000.
Cette société a saisi la Chambre de discipline d'une plainte à l'encontre du commissaire aux comptes par lettre du
23 avril 2003.
Les faits évoqués dans cette plainte et leur contexte sont les suivants :
- transmission d'informations confidentielles à des tiers extérieurs à l'entreprise : ces faits se sont déroulés le 10
avril 2003 à l'issue de l'assemblée générale autorisant Mme X. à faire expertiser le système informatique par une
personne qu'elle aurait présentée comme son collaborateur, M. Y ; cette personne ne serait pas un collaborateur
de Mme X., mais le salarié d'une entreprise d'informatique ; au cours de son intervention, il a transféré des
fichiers commerciaux vers son poste dans son entreprise depuis la saisine de la commission, Mme X. a obtenu un
arrêt de la Cour d'appel de V. en date du 9 septembre 2002, déboutant la société B d'une demande tendant à la
voir relever de ses fonctions de commissaire aux comptes.
- le ministère public, considérant que les faits relevés constituent une négligence grave et une violation des
dispositions de l'article L. 225-236 du Code du commerce requiert l'application de l'avertissement assorti d'une
mesure d'inéligibilité aux organismes professionnels.
Le syndic de la Chambre régionale de discipline conclut à ce que les faits reprochés ne donnent lieu à aucune
sanction.
Mme X. a déposé oralement des moyens tendant aux mêmes fins.
La société B n'a pas comparu.
Le grief principal formulé par la plainte est celui concernant les travaux effectués par M. Y., informaticien qui a
expertisé le système informatique de la société B sur la demande de Mme X.
Les faits s'inscrivent dans les dispositions de l'article L. 225-236 du Code du commerce, suivant lesquelles « le
commissaire aux comptes, pour l'acomplissement de ses contrôles peut se faire assister de tout expert ou collabora teur de leur choix,
qu'ils font connaître nommément à la société ».
II résulte des termes de la plainte elle-même que Mme X. a présenté nommément M Y. dans le cadre de l'assemblée générale du 10 avril 2003.
II n'importe aucunement que Mme X. ait indiqué que M. Y. était son colla borateur, alors qu'il était salarié d'une société d'informatique, dès lors qu'il
intervenait à raison de ses compétences, non critiquées, et sous le contrôle effectif du commissaire aux comptes, ce qui est admis par tous.
En ce qui concerne la transmission de données commerciales, il y a lieu de relever que le technicien M. Y. qui ne pouvait procéder à ses travaux sur place
durant la nuit, devait nécessairement transférer les fichiers de données soit sur un ordinateur portable soit par transmission électronique. Le choix de
ce second mode de transmission n'est pas critiquable, les problèmes de sécurité étant équivalents.
L'expertise de construction exécutée à la demande de Mme X. ne paraît pas plus critiquable : dès lors que Mme X. était saisie d'informations données par un
ancien dirigeant portant sur les conditions de passation des marchés de construction d'un important bâtiment, il était bien de son devoir de procéder aux
vérifications nécessaires. II n'est résulté aucun préjudice de l'action critiquée.
Dans ces conditions, il n'apparaît pas que Mme X. ait commis quelque faute sanctionnable que ce soit. II n'y a pas lieu à prononcer sanction.
La Commission,
Dit n'y avoir lieu à prononcer une sanction disciplinaire à l'encontre de Mme X
ECF Formations ©
ECF Système d’information et contrôle interne
132/134
ECF Formations ©
ECF Système d’information et contrôle interne
133/134
ECF Formations ©
ECF Système d’information et contrôle interne
134/134
ECF Formations ©