Académique Documents
Professionnel Documents
Culture Documents
AUDIT INFORMATIQUE
GUIDE
AUDIT DES
PROCESSUS
GUIDE AUDIT DES PROCESSUS
RCI
ME
REMERCIEMENTS
NOUS ADRESSONS NOS PLUS SINCÈRES REMERCIEMENTS AUX CO PRÉSIDENTS
DE LA COMMISSION AUDIT INFORMATIQUE DE LA CRCC DE PARIS :
RETROUVEZ LES MEMBRES DE LA COMISSION ET POSEZ LEUR TOUTES VOS QUESTIONS SUR LE GROUPE DE CONVERSATION
« AUDIT INFORMATIQUE, TOUS CONCERNÉS ! » SUR LINKEDIN
3
GUIDE AUDIT DES PROCESSUS
INTRODUCTION
RO
INT
PRÉSENTATION DES 3 GUIDES
Notre profession accompagne des entreprises de plus en plus in- >>AUDIT INFORMATIQUE, TOUS CONCERNÉS
formatisées, collectant et traitant des millions de données. Elle doit Ce guide édité en 2017 et complété en 2019 porte sur les contrôles géné-
intégrer les systèmes d’information dans son approche d’audit afin raux informatiques (ITGC Information Technology General Controls).
de maintenir une qualité et une pertinence de ses contrôles sur les Les contrôles généraux informatiques s’appliquent à tous les com-
informations financières soumises à sa certification. L’impulsion posants, processus et données des systèmes d’une organisation, ou
conjuguée des exigences réglementaires et de la normalisation d’un environnement de systèmes. Ils ont pour objectif de veiller au
technique (avec notamment le fichier des écritures comptables, développement et à la mise en œuvre appropriés des applications, à
bientôt la facture électronique) accroît actuellement les besoins et l’intégrité et sécurité des applications, opérations et données, ainsi que
exigences en la matière. C’est pourquoi la CRCC de Paris se mobilise des opérations informatiques.
pour apporter le soutien nécessaire à nos consœurs et confrères
visant à les sensibiliser sur les risques et enjeux de la digitalisation >>AUDIT INFORMATIQUES DES PROCESSUS : CONTRÔLES
des processus de l’entreprise. SPÉCIFIQUES DES APPLICATIONS ET PROCESSUS
Ce nouveau guide porte sur les contrôles applicatifs (ITAC : Information
La Commission Audit Informatique de la CRCC de Paris œuvre
Technology Application Controls). Ces contrôles visent à s’assurer du
maintenant depuis 3 ans afin d’acculturer la profession à l’audit
respect de la qualité et de la sécurité des données générées ou sup-
informatique. Elle propose dans ce cadre trois guides visant à rendre
portées par les applications informatiques métier, en particulier celles
accessibles à tous les professionnels la démarche d’audit des sys-
qui impactent les flux financiers. Ils sont par construction spécifiques
tèmes d’informations.
à chaque application.
4
GUIDE AUDIT DES PROCESSUS
INTRODUCTION
RO
INT
ITGC ITAC CAATs
Appréciation de Évaluation Tests et
l’environnement du CI des contrôles
général du processus-clés substantifs par
CI des SI de informatiques l’analyse des
l’entité de l’entité données
Guide Guide
Recueil
Audit Audit
de tests d’audit
Informatique, informatique
de données
tous concernés des processus
nouveau
(version 2019) nouveau
5
GUIDE AUDIT DES PROCESSUS
INTRODUCTION
RO
INT
POURQUOI LE CAC EST-IL AMENÉ À EXAMINER
LES CONTRÔLES APPLICATIFS ?
Dans le cadre de sa mission d’audit légal des comptes, le commissaire Le terme de processus est un terme générique globalisant un en-
aux comptes acquiert une connaissance suffisante de l’entité, notam- semble de tâches corrélées ou en interaction qui utilise des éléments
ment de son contrôle interne, afin d’identifier et d’évaluer le risque d’entrée pour produire un résultat escompté. On décompose ainsi un
d’anomalies significatives dans les comptes et afin de concevoir et processus en différents sous-ensembles :
de mettre en œuvre des procédures d’audit permettant de fonder son
>>Les Macro-processus pour définir les processus majeurs de l’en-
opinion sur les comptes (NEP 315).
tité tels que le Quote to Cash (de la cotation à l’encaissement),
Procure to pay (de l’approvisionnement au paiement), Compta-
Lors de la prise de connaissance de l’entité, notamment de son contrôle
bilité/finance, Paie, Etc
interne, effectuée en application de la norme d’exercice professionnel
relative à la connaissance de l’entité et de son environnement et à >>Les processus sont les unités qui composent les macro-pro-
l’évaluation du risque d’anomalies dans les comptes, et tout au long de cessus. Pour l’exemple du macro-processus Quote to cash, on
son audit, le commissaire aux comptes peut relever des faiblesses dudit identifiera notamment le processus prise de commande, Plani-
contrôle interne qui doivent être communiquées à l’entité (NEP 265). fication de production, fabrication, …
6
GUIDE AUDIT DES PROCESSUS
INTRODUCTION
RO
INT
CARTOGRAPHIE TYPE DES APPLICATIONS FONDÉE SUR LA CARTOGRAPHIE DES MACRO-PROCESSUS
Conception
ÉVOLUTION R&D marketing Business plan Développement Industrialisation
Mise sur
le marché
OFFRE stratégique
UE
Réparation
GE OM NCE
Q
Gestion retours clients & garanties
ST PTA
E
I
N
AT
I
PA
C NA
IO
RM
Gestionnaire d’enquêtes
FI
RH
FO
Comptabilité
IN
Paie
Les applications métiers qui opèrent ces processus permettent une saisie manuelle des écritures comptables. Les comptes annuels prennent
meilleure maîtrise des fonctions opérationnelles ainsi qu’une flui- ainsi en grande partie leur source dans les systèmes d’information.
dification de la circulation de l’information par leur capacité à com-
muniquer entre elles. Elles permettent ainsi la traduction de flux Quelle que soit l’application utilisée, les processus eux-mêmes pré-
opérationnels en flux comptables. sentent un risque inhérent. C’est pourquoi nombre d’organisations
associent des contrôles automatisés et manuels pour gérer ces risques
La gestion commerciale, la gestion des stocks, la gestion de la pro- dans les applications transactionnelles. Ces contrôles automatisés,
duction et bien d’autres modules du système d’information déversent généralement qualifiés de contrôles applicatifs sont spécifiques aux
continuellement des flux d’écritures comptables rendant marginale la processus concernés.
7
GUIDE AUDIT DES PROCESSUS
INTRODUCTION
RO
INT
QUAND LE CAC AUDITE-T-IL LES PROCESSUS ?
L’analyse des contrôles des applications par le commissaire aux
comptes peut intervenir dans deux cadres :
Dans le cadre de la certification des comptes, le commissaire aux En dehors de ses obligations légales, une entité peut avoir besoin de
comptes doit s’assurer que les applications garantissent l’intégrité des disposer d’un diagnostic approfondi sur l’efficacité d’un processus
données entrées tout en se fondant sur l’exhaustivité et l’exactitude informatisé. Ce processus peut être stratégique, complexe ou ancien-
des données reçues. Le CAC évalue ainsi le contrôle interne, teste les nement mis en place afin de garantir notamment la qualité et la
procédures et s’assure de la qualité du fonctionnement du système sécurité des données. La mission confiée au commissaire aux comptes
d’information. En fonction des points forts et points faibles relevés, permet de donner un avis ou de fournir des éléments d’information.
il ajuste son risque d’audit. Le CAC, dans sa démarche d’audit, doit Elle peut nécessiter la mise en œuvre de travaux non requis pour la
s’assurer de la qualité de la donnée depuis son « input » dans le sys- certification des comptes. Ces avis peuvent être assortis de recom-
tème d’information jusqu’à sa transformation, son extraction et son mandations contribuant à l’amélioration de la qualité et de la sécurité
déversement dans les logiciels avals. des données de l’entité. Ils sont destinés à l’usage propre de l’entité.
Cette évolution de l’informatisation a comme incidence une inter- Le présent guide peut être utilisé dans les deux contextes décrits
connexion entre les flux de données et une forte volumétrie. Les états ci-dessus.
financiers sont alimentés par ces flux d’information et conditionnent
leur fiabilité.
8
GUIDE AUDIT DES PROCESSUS
INTRODUCTION
RO
INT
COMMENT LE CAC ÉVALUE-T-IL LISTE DES FICHES
LES CONTRÔLES APPLICATIFS ?
La mise en œuvre de l’évaluation des contrôles applicatifs est l’objet FICHE 01 | Comptabilité 10
du présent guide qui se présente sous la forme d’un ensemble de
fiches couvrant les principaux processus d’une entité. Ces fiches ont
FICHE 02 | Ventes 29
pour objectif de guider le commissaire aux comptes dans sa démarche
d’audit en arborant une structure logique :
FICHE 03 | Achats 44
>>Une schématisation des macro-processus
et des applicatifs concernés ;
FICHE 04 | Notes de frais 60
>>Un rappel de certains contrôles généraux et des diligences en-
trepris par le commissaire aux comptes ;
FICHE 05 | Clients-SAV 76
>>Une liste des contrôles clés qui doivent être embarqués par les
applicatifs (sur les données entrées, les traitements de données, FICHE 06 | Évolution de l'offre 104
et les sorties de données) ;
>>Les principaux objectifs d’audit qui portent sur : FICHE 07 | Paie 129
••La qualité des données (exhaustivité, exactitude, pertinence ou
caractère approprié) ;
Glossaire 148
••La sécurité des données (disponibilité, intégrité, confidentialité,
piste d’audit traçabilité).
>>Un exemple de démarche à appliquer par le CAC.
Vous pouvez également revenir au sommaire en cliquant en haut de chaque page sur :
GUIDE AUDIT DES PROCESSUS
9
01 COMPTABILITÉ
Processus et IT
Une approche d’audit par le SI
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
PRÉAMBULE DÉFINITIONS
Les systèmes comptables doivent être le reflet de l’ensemble des MACRO-PROCESSUS (PROCESSUS MAJEUR)
opérations économiques de l’entreprise retraduite dans les bonnes
normes comptables. Les ERP permettent d’automatiser le traduction Comptabilité.
des événements de gestion en écritures comptables, laissant place à
des saisies manuelles d’écritures comptables plus réduites.
PROCESSUS (UNITÉ QUI COMPOSE UN MACRO-PROCESSUS)
Dans le cadre d’un Système d’Information plus simple avec une appli-
cation comptable et des applications métiers dédiées, la comptabilité Comptabilité générale, comptabilités auxiliaires fournisseurs et clients.
est plus manuelle.
Le CAC aura pour objectif de s’assurer que l’application comptable reflète ACTIVITÉ (UNITÉ QUI COMPOSE UN PROCESSUS)
les flux et opérations de l’entreprise retraduits en termes financiers.
Elle reflète ainsi le patrimoine et les performances de l’entreprise. Contrôle de l’intégration des écritures comptables, saisie manuelle.
11
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
PROCESSUS COMPTABLES
COMPTABILITÉ COMPTABILITÉ
COMPTABILITÉ
AUXILIAIRE AUXILIAIRE
GÉNÉRALE
CLIENTS FOURNISSEURS
COMPTABILITÉ GÉNÉRALE
COMPTABILITÉ COMPTABILITÉ
COMPTABILITÉ
AUXILIAIRE AUXILIAIRE
GÉNÉRALE
CLIENTS FOURNISSEURS
12
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
COMPTABILITÉ COMPTABILITÉ
COMPTABILITÉ
AUXILIAIRE AUXILIAIRE
GÉNÉRALE
CLIENTS FOURNISSEURS
GESTION DES GESTION DES GESTION DES GESTION DES FACTURES GESTION DES GESTION DES GESTION
GESTION DES
DONNÉES DONNÉES DE LIMITES DE (ÉMISSIONS AVOIRS/RABAIS/ CRÉANCES CLIENTS CRÉANCES DES STOCKS
ENCAISSEMENTS
CLIENTS TARIFICATION CRÉDITS REMISES/RISTOURNES) (DÉLAI DE PAIEMENTS) DOUTEUSES COMPTABLES
COMPTABILITÉ COMPTABILITÉ
COMPTABILITÉ
AUXILIAIRE AUXILIAIRE
GÉNÉRALE
CLIENTS FOURNISSEURS
13
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
14
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
15
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
16
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
Comptabilité Gestion des données Validité des modifications de données Des modifications inappropriées ou non valides apportées aux don-
Générale comptables comptables. nées comptables pourraient ne pas être détectées.
Comptabilité Gestion des données Définition d’un seuil de tolérance sur les Un taux de conversion incorrect pourrait être utilisé pour une saisie
Générale comptables cours de conversion entrés manuellement. comptable GL, impactant l’intégrité des états financiers.
17
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
18
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
Comptabilité Validation préalable des modifications Des modifications inappropriées ou non valides pourraient être ap-
Gestion des données
Auxiliaire apportées aux données de base clients portées à des données sensibles des fiches clients sans avoir été préala-
clients
Clients sensibles. blement approuvées par le management.
19
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
••Des factures clients pourraient ne pas être émises à l’issue des livrai-
Gestion des factures
Comptabilité sons des produits/services.
(émissions avoirs / Validité du blocage des documents de
Auxiliaire ••Des factures clients pourraient être émises sur une période comp-
rabais / remises / vente pour facturation.
Clients table différente des livraisons des produits/services et entraîner ainsi
ristournes)
un problème de cut-off.
Comptabilité
Gestion des Réception des paiements sur des Réception de paiement en doublons ou non valide pouvant entrainer un
Auxiliaire
encaissements comptes bancaires valides. écart entre les paiements réellement perçus et les balances clients.
Clients
20
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
Comptabilité Des paiements en attente depuis longtemps et non suivis peuvent dimi-
Gestion des
Auxiliaire Revue de la balance âgée client. nuer les revenus. L’absence de reclassification en perte en façon régulière
encaissements
Clients si nécessaire peut entrainer des ajustements importants non anticipés.
Comptabilité Validation préalable des modifications Des modifications inappropriées ou non valides pourraient être ap-
Gestion des données
Auxiliaire apportées aux données de base portées à des données sensibles des fiches fournisseurs sans avoir été
fournisseurs
Fournisseurs fournisseurs sensibles. préalablement approuvées par le management.
21
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
••Alerte automatique sur la saisie d'une Une même facture fournisseur pourrait être comptabilisée deux fois
Comptabilité Traitement des factures
facture fournisseur déjà enregistrée. (ou plus), entraînant alors une surévaluation du montant de l'encours
Auxiliaire /accord de rabais
••Identification des pièces fournisseurs fournisseurs. De plus, dans le cas d'une facture sans référence à une
Fournisseurs & ristournes/avoirs
comptabilisées plusieurs fois. commande d'achat, cela pourrait conduire à un double-paiement.
Comptabilité Traitement des factures Marges de tolérance pour le contrôle Des factures fournisseurs en référence à des commandes d'achat
Auxiliaire /accord de rabais factures en référence à des commandes pourraient être payées pour un prix supérieur au prix de commande
Fournisseurs & ristournes/avoirs d'achat. et/ou une quantité supérieure à la quantité réceptionnée.
22
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
OBJECTIF D’AUDIT :
LA QUALITÉ DES DONNÉES
La donnée est la « matière » principale ingérée, transformée et re-
transcrite au travers des applications informatiques.
23
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
Les exigences de qualité se construisent autour des quatre critères que sont l’exhaustivité, l’intégrité, l’exactitude et le sécurité des données :
L’exhaustivité des écritures La donnée en entrée doit être L’intégrité des données doit La sécurité des données et des
comptables doit se retrouver de qualité. L’application, au être garantie au travers de la transactions est contributive
au travers de : travers de contrôles à la saisie, fiabilité des traitements auto- de la qualité des données.
••L’exhaustivité des expéditions peut contribuer à cette mise matisés et des contrôles em-
Il est important de s’assurer
et des factures Clients en qualité (format, seuil, sché- barqués dans les applications.
••L’exhaustivité des réceptions
que seules les personnes ha-
mas pré-définis, etc…).
et des factures Fournisseurs bilitées peuvent passer des
Notamment pour assurer la La qualité des données de écritures comptables ou agir
piste d’audit fiable. base (clients / fournisseurs) sur les informations impac-
contribuent fortement à tant la comptabilité.
l’exactitude des process et des
écritures comptables.
24
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
DÉMARCHE DU CAC
Grille d’analyse
Risques
des tâches : Logigramme
et contrôles
comptabilité
25
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
FLUX CLIENTS
CONTRÔLE DE
DONNÉES DISPONIBILITÉ
PRÉLÈVEMENT
CLIENTS ET GÉNÉRATION
DES BESOINS
GESTION DES
ACTIVITÉS LIVRAISON SORTIES DE AVIS DE
PRISE DE
DONNÉES AVANT VENTE ET ORDRE DE MARCHANDISES RÉCEPTION
COMMANDE
ARTICLES (DEMANDES D’OFFRE, TRANSFERT ET EXPÉDITION CLIENT
OFFRES, CONTRATS)
COMPTABILISATION
DES MOUVEMENTS FACTURATION
CONDITIONS DE STOCK
TARIFAIRES
GESTION COMPTABILISATION
DU CRÉDIT DE LA VENTE
ENREGISTREMENT
LETTRAGE
LÉGENDE DU RÈGLEMENT
26
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
FLUX FOURNISSEURS
PLANIFICATION
DONNÉES ET CALCUL SÉLECTION DES
FOURNISSEURS DES BESOINS FOURNISSEURS
(MRP ET MANUEL)
GESTION DES
ACTIVITÉS ACHATS CRÉATION DES VALIDATION
CRÉATION DES
DONNÉES (OFFRES, CONTRATS, DEMANDES DES DEMANDES
COMMANDES
ARTICLES ÉVALUATION D’ACHAT D’ACHAT
DE FOURNISSEURS)
VALIDATION DES
FOURNISSEURS
CONDITIONS COMMANDES
TARIFAIRES
IMPUTATION OK
RECALCUL DU PRIX
COMPTABLE ET ENTRÉE DES
SI UTILISATION DE
MOUVEMENTS DES MARCHANDISES
LA MÉTHODE PUMP
STOCKS
KO
27
GUIDE AUDIT DES PROCESSUS
01
FICHE 01 - COMPTABILITÉ
SCÉNARIO EXEMPLE
PROCESSUS COMPTABILITÉ
NEP 315 : P
RISE DE CONNAISSANCE DE L’ENTITÉ ET SON La société CNCC vend du matériel électroménager. Pour rappel, cette
ENVIRONNEMENT : SOCIÉTÉ DE VENTE DE MATÉRIEL société utilise un PGI reconnu sur le marché.
ÉLECTROMÉNAGER
Le client DIG passe une commande d’acquisition de matériel électro-
NEP 265 : COMMUNICATION DES FAIBLESSES DU CONTRÔLE INTERNE nique via le site de la CNCC.
NEP 330 : TESTS DE PROCÉDURE Dans sa démarche d’audit du SI, le CAC de la société CNCC s’assure de la
NEP 240 : P
RISE EN CONSIDÉRATION DE LA POSSIBILITÉ fiabilité du process Ventes (gestion de la commande à l’encaissement).
DE FRAUDES LORS DE L'AUDIT DES COMPTES
Étape 1 | E
ntretien avec tous les services intervenant dans le processus Étape 3.2 | R
evue des accès des personnes qui peuvent passer des
(service commercial, achats et logistique, service approvision- écritures comptables
nement, service comptabilité client et fournisseurs, service
crédit management et service comptable) Étape 3.3 | R
evue des écritures manuelles passées au travers de la
revue automatisée du FEC
Étape 2 | S
ur la base des différents entretiens, illustrer le processus
par un logigramme (Cf. page 26) Étape 3.4 | Revue des procédures des clôtures et des écritures comp-
tables associées
Étape 3 | A
nalyse des tâches et des risques y compris le risque de fraude
Étape 4 | A
nalyse des données pour s’assurer de la qualité des données
Étape 3.1 | R
evue de l’intégration/transformation des événements de
gestion en écritures comptables Étape 5 | A
vis et recommandations sur la faiblesse du processus
ªªpoint d’intégration dans le cas d’un ERP
ªªinterface automatique dans le cas de deux systèmes distincts
(ventes et comptabilité)
ªªécritures manuelles dans le cas de systèmes non intégrés /
non interfacés
28
02 VENTES
Processus et IT
Une approche d’audit par le SI
GUIDE AUDIT DES PROCESSUS
02
FICHE 02 - VENTES
PRÉAMBULE DÉFINITIONS
Les procédures existantes dans une entreprise doivent être régulière- MACRO-PROCESSUS (PROCESSUS MAJEUR)
ment testées afin de juger de leur efficacité. Il s’agit d’un diagnostic
du système d’information. Ventes.
C’est dans ce cadre que la revue du process Ventes permettra de TÂCHE (UNITÉ QUI COMPOSE UNE ACTIVITÉ)
garantir la qualité des données y afférentes et d’écarter ainsi tout
éventuel risque. Ex pour le contrôle de l’exhaustivité et de l’efficacité des factures :
montant HT du CA.
Le CAC aura pour objectif d’audit de donner des avis et recomman-
dations sur la qualité et la sécurité de ces données.
30
GUIDE AUDIT DES PROCESSUS
02
FICHE 02 - VENTES
PROCESSUS VENTES
Vérification des
Création des Enregistrement
SERVICE ADV fiches clients
données client (nom,
de la commande
Facturation
adresse, n° siren…)
Vérification du déversement
Comptabilisation des Lettrage des
COMPTABILITÉ des ventes et comptabilisation
règlements clients créances clients
des ventes
SERVICE Vérification
Expédition
des éléments de
LOGISTIQUE la commande
de la commande
31
GUIDE AUDIT DES PROCESSUS
02
FICHE 02 - VENTES
APPLICATIF
EXPÉDITION DE
FACTURATION COMPTABILISATION ENCAISSEMENT
LA COMMANDE
32
GUIDE AUDIT DES PROCESSUS
02
FICHE 02 - VENTES
33
GUIDE AUDIT DES PROCESSUS
02
FICHE 02 - VENTES
Les informations traitées par les applications sont des données. Les exigences de qualité se construisent autour des trois critères que
sont l’exhaustivité, l’exactitude et le caractère approprié des données :
Les applications pour la gestion des ventes doivent garantir la qualité
des données, c’est l'essentiel.
EXHAUSTIVITÉ
Certaines applications peuvent être entachées d’anomalies. Ces ano-
malies peuvent remettre en cause la qualité des données. Les bases de données alimentées par les commandes clients
(nom, adresse, volume, prix, date de livraison…) doivent fournir
Le CAC, dans sa démarche d’audit, doit s’ assurer de la qualité de la une information exhaustive à l’entreprise.
donnée depuis son « input » dans le système d’informations jusqu’à sa
transformation, son extraction et son déversement dans les logiciels.
Pour les données permanentes, le CAC doit s’assurer qu’elles sont à EXACTITUDE
jour et que leur accès en création et mise à jour est limité assurant
la séparation des tâches. Les données traitées par l’application ne doivent pas être enta-
chées d’erreur, de faute, d’omission ou de fraude. On attend un
degré de confiance dans la donnée.
PERTINENCE/APPROPRIÉ
La pertinence des données est relative à leurs fins, à savoir les
facturations à faire et/ou à émettre, les relances à faire.
34
GUIDE AUDIT DES PROCESSUS
02
FICHE 02 - VENTES
35
GUIDE AUDIT DES PROCESSUS
02
FICHE 02 - VENTES
DÉMARCHE DU CAC
Grille d’analyse
des tâches : Logigramme Risques
processus Ventes
36
GUIDE AUDIT DES PROCESSUS
02
FICHE 02 - VENTES
Commande client
Enregistrement de
la commande
Préparation de la
commande
Expédition de la
commande
Facturation
Comptabilisation
Encaissement
37
GUIDE AUDIT DES PROCESSUS
02
FICHE 02 - VENTES
SCÉNARIO LOGIGRAMME :
PROCESSUS VENTES
PROCESSUS VENTES
DÉBUT
Préparation Vérification
d’un contrat ou de l’existence
BC/Réponse du client dans
à AO le système
Client existant
I
OU
Client
existant ?
NO
N
Vérification
Création client solvabilité client
Saisie de la Saisie :
fiche création • Nom
client • Raison sociale
• Activité APE
• Code SIREN
Vérification • Code SIRET
des données • RIB
saisies
Validation des
Enregistrement
éléments de la
de la commande
commande
38
GUIDE AUDIT DES PROCESSUS
02
FICHE 02 - VENTES
SCÉNARIO LOGIGRAMME :
PROCESSUS VENTES
PROCESSUS VENTES
Expédition de
la commande
Saisie des
Émission facture données de
facturation
Saisie
Batch automatique
Édition facture dans le système
Contrôle du
déversement
des écritures de
ventes (contrôle
du batch) Encaissement
(virement/
Envoi facture Règlement client chèque)
Lettrage des
créances clients
Édition de Transmission
la balance à la banque
âgée client
Provision pour
dépréciation
LÉGENDE des créances
P
remière et dernière étape Document lié à une étape clients
39
GUIDE AUDIT DES PROCESSUS
02
FICHE 02 - VENTES
Comptabilisation Mauvais déversement Risque d'enregistrement Problématique Mauvaise imputation Problématique de TVA
des données (bug erroné des opérations de cut-off ventes et/ou affectation suite mauvaise reprise
informatique par dans les journaux et les comptable des données du client
exemple) comptes (client étranger, client
intracommunautaire…)
Encaissement Erreur de saisie du RIB Erreur sur le montant Mauvaise imputation Risque de vendre à des
du client encaissé par rapport à du règlement client / clients non solvables /
la facture mauvais lettrage Mauvaise analyse de la
solvabilité du client
40
GUIDE AUDIT DES PROCESSUS
02
FICHE 02 - VENTES
41
GUIDE AUDIT DES PROCESSUS
02
FICHE 02 - VENTES
RGPD Non respect de l’objectif poursuivi Utilisation non Utilisation interdite Durée de Modification
par le traitement. autorisée de la des données à conservation des non désirée suite
donnée. caractère personnel données dépassée. malveillance,
(n° client, n° hacking (faux RIB
téléphone…). pour le règlement
client, usurpation
d’identité…).
42
GUIDE AUDIT DES PROCESSUS
02
FICHE 02 - VENTES
SCÉNARIO EXEMPLE
PROCESSUS VENTES
NEP 315 : P
RISE DE CONNAISSANCE DE L’ENTITÉ ET SON La société CNCC vend du matériel électroménager. Pour rappel, cette
ENVIRONNEMENT : SOCIÉTÉ DE VENTE DE MATÉRIEL société utilise un PGI reconnu sur le marché.
ÉLECTROMÉNAGER
Le client DIG passe une commande d’acquisition de matériel électro-
NEP 265 : COMMUNICATION DES FAIBLESSES DU CONTRÔLE INTERNE nique via le site de la CNCC.
NEP 330 : TESTS DE PROCÉDURE Dans sa démarche d’audit du SI, le CAC de la société CNCC s’assure de la
NEP 240 : P
RISE EN CONSIDÉRATION DE LA POSSIBILITÉ fiabilité du process Ventes (gestion de la commande à l’encaissement).
DE FRAUDES LORS DE L'AUDIT DES COMPTES
Étape 1 | E
ntretien avec tous les services intervenant dans le pro-
cessus (service commercial, ADV, service logistique, service
comptabilité et trésorerie)
Étape 2 | S
ur la base des différents entretiens, illustrer le processus
par un logigramme (Cf. page 39)
Étape 3 | A
nalyse des tâches et des risques y compris le risque de
fraude (Cf. page 40)
Étape 4 | A
nalyse des données pour s’assurer de la qualité des données
Étape 5 | A
vis et recommandations sur la faiblesse du processus
43
03 ACHATS
Processus et IT
Une approche d’audit par le SI
GUIDE AUDIT DES PROCESSUS
03
FICHE 03 - ACHATS
FICHES
Cde Ventes Cde Achat FOURNISSEURS
Comptabilité
APPLICATIONS
Gestion commerciale ACHATS
Comptabilité
45
GUIDE AUDIT DES PROCESSUS
03
FICHE 03 - ACHATS
Gestion commerciale
FICHIERS DES COMMANDES
RÉCEPTION
CONTRÔLE FACTURE
INTÉGRATION COMPTABLE
Comptabilité
RÈGLEMENT
46
GUIDE AUDIT DES PROCESSUS
03
FICHE 03 - ACHATS
GESTION
COMMERCIALE-ACHATS
TRAITEMENT DES DONNÉES
>>Validation des commandes >>Saisie directe des factures
>>Gestion des fiches >>Contrôle facture selon le profil, le montant, limitée aux abonnements
fournisseurs et des double signatures, … ou autorisation spécifique
>>Règlement des achats
catalogues produit >>Réception obligatoire des pro- >>Pour le contrôle des paie-
>>Intégration des données
>>Commandes achats duits et services commandés ments, voir processus
>>Statistiques Achats
>>Contrôle facture obligatoire : comptables
>>Réception des achats
facture = réception = com-
mande (±% écart accepté)
47
GUIDE AUDIT DES PROCESSUS
03
FICHE 03 - ACHATS
APPLICATIF
CONTRÔLE SUR LES FICHIERS MAÎTRE DONNÉES TRANSACTIONNELLES -
(FICHIER TIERS, PORTEFEUILLE GESTION COMMERCIALE-ACHATS
DE COMMANDES, PARAMÈTRES, …)
>>Gestion des achats (nature, prix, quantité, référence, taux, lieu
>>Journalisation de toutes les modifications approvisionnement, référent…)
>>Approbation des modifications avec trace (qui, quand) notam- >>Gestion des approvisionnement (nature des stocks, taux de rota-
ment création des fournisseurs et changement de RIB tion, lieu de stockage, date, retour, rupture…)
>>Antériorité des commandes >>Gestion des réceptions (élément réceptionné, numéro de bon de
réception, transporteur, clients, adresse de réception, référence…)
>>Réceptions partielles
>>Gestion de la facturation (date, lieu, numéro, montant…
>>Factures sans commande
>>Gestion des règlements (date, montant, type de règlement…)
48
GUIDE AUDIT DES PROCESSUS
03
FICHE 03 - ACHATS
Les informations traitées par les applications sont des données. Les exigences de qualité se construisent autour des trois critères que
sont l’exhaustivité, l’exactitude et le caractère approprié des données :
Les applications pour la gestion complète de l’entité doivent garantir
la qualité des données, c’est l'essentiel.
EXHAUSTIVITÉ
Certaines applications peuvent être entachées d’anomalies. Ces ano- Les bases de données alimentées par les commandes achats,
malies peuvent remettre en cause la qualité des données. type d’achat… doivent fournir une information exhaustive à
l’entreprise.
Le CAC, dans sa démarche d’audit, doit s’ assurer de la qualité de la
donnée depuis son « input » dans le système d’informations jusqu’à sa
transformation, son extraction et son déversement dans les logiciels.
EXACTITUDE
Pour les données permanentes, le CAC doit s’assurer qu’elles sont à Les données traitées par l’application ne doivent pas être enta-
jour et que leur accès en création et mise à jour est limité assurant chées d’erreur, de faute, d’omission ou de fraude. On attend un
la séparation des tâches. degré de confiance dans la donnée.
PERTINENCE/APPROPRIÉ
La pertinence des données est relative à leurs fins, à savoir la
gestion commerciale des achats et comptabilité tiers.
49
GUIDE AUDIT DES PROCESSUS
03
FICHE 03 - ACHATS
L’accès aux données est pos- Ex : si un paramétrage est en Ex : gestion des mots de passe Un descriptif de la sécurité
sible pour les acteurs de l’en- modification sur un poste et personnalisés par l’adminis- (journal des actions).
treprise (acheteurs, services, qu’un deuxième poste veut trateur.
réceptions, …) par une simple l’utiliser, l’application enverra
Ex : gestion des délégations
connexion internet. la fiche en visualisation sur
de signature.
le deuxième poste et lui in-
Les fournisseurs reçoivent
diquera que le paramétrage
directement les commandes
est en cours de modification.
ou via leur plateforme.
50
GUIDE AUDIT DES PROCESSUS
03
FICHE 03 - ACHATS
DÉMARCHE DU CAC
>>Exhaustivité
>>Cut off
>>Comptabilisation conforme
51
GUIDE AUDIT DES PROCESSUS
03
FICHE 03 - ACHATS
Préparation de l’entretien :
Conduire l’entretien :
>>Définir les objectifs
>>Examiner les objectifs Questionnaire
de l’entretien : processus
de l’entretien >>Grille d’analyse des tâches :
et applications
>>Préparer les questions processus achats
>>Identifier les interlocuteurs
>>Lister les documents
>>Collecter les informations
Grille d’analyse
Dictionnaire
des tâches : Logigramme Risques
des données
processus achats
52
GUIDE AUDIT DES PROCESSUS
03
FICHE 03 - ACHATS
SCÉNARIO
PROCESSUS
Réception
Qualité d’un responsable
du processus achats
Contrôle
facture Connaissance
des produits et services
Règlement
Documenter
Statistique
Coordonner
53
GUIDE AUDIT DES PROCESSUS
03
FICHE 03 - ACHATS
Si non existants,
Questions
Étape OUI NON actions correctrices
à se poser
à mettre en place
54
GUIDE AUDIT DES PROCESSUS
03
FICHE 03 - ACHATS
55
GUIDE AUDIT DES PROCESSUS
03
FICHE 03 - ACHATS
NON
Est-ce que la
Réception
SERVICE Passation Validation réception est
DÉBUT biens et
MÉTIER commandes commandes conforme à la
services
commande ?
OUI
SERVICE Contrôle
Règlement FIN
COMPTABILITÉ facture
LÉGENDE
P
remière et dernière étape Une action
56
GUIDE AUDIT DES PROCESSUS
03
FICHE 03 - ACHATS
Étape Questions à se poser OUI NON Si non existants, actions correctrices à mettre en place
Est-ce que la réception est systématique ? Améliorer le processus en détectant les failles.
57
GUIDE AUDIT DES PROCESSUS
03
FICHE 03 - ACHATS
58
GUIDE AUDIT DES PROCESSUS
03
FICHE 03 - ACHATS
59
04 NOTES DE FRAIS
Processus et IT
Une approche d’audit par le SI
GUIDE AUDIT DES PROCESSUS
04
FICHE 04 - NOTES DE FRAIS
PRÉAMBULE DÉFINITIONS
Le CAC aura pour objectif d’audit de donner des avis et recomman- Ex pour Note de frais : comptabilité, trésorerie, paie.
dations sur la qualité et la sécurité de ces données.
61
GUIDE AUDIT DES PROCESSUS
04
FICHE 04 - NOTES DE FRAIS
PROCESSUS
NOTES DE FRAIS
62
GUIDE AUDIT DES PROCESSUS
04
FICHE 04 - NOTES DE FRAIS
>>OCR >>OCR
>>Saisie >>SCAN
63
GUIDE AUDIT DES PROCESSUS
04
FICHE 04 - NOTES DE FRAIS
64
GUIDE AUDIT DES PROCESSUS
04
FICHE 04 - NOTES DE FRAIS
Les informations traitées par les applications sont des données. Les exigences de qualité se construisent autour des trois critères que
sont l’exhaustivité, l’exactitude et le caractère approprié des données :
Les applications pour les notes de frais doivent garantir la qualité
des données, c’est l'essentiel.
EXHAUSTIVITÉ
Certaines applications peuvent être entachées d’anomalies. Ces ano-
malies peuvent remettre en cause la qualité des données. Les bases de données alimentées par les frais, taux URSSAF…
doivent fournir une information exhaustive à l’entreprise.
Le CAC, dans sa démarche d’audit, doit s’ assurer de la qualité de la
donnée depuis son « input » dans le système d’informations jusqu’à sa
transformation, son extraction et son déversement dans les logiciels.
EXACTITUDE
Pour les données permanentes, le CAC doit s’assurer qu’elles sont à
Les données traitées par l’application ne doivent pas être enta-
jour et que leur accès en création et mise à jour est limité assurant
chées d’erreur, de faute, d’omission ou de fraude. On attend un
la séparation des tâches.
degré de confiance dans la donnée.
PERTINENCE/APPROPRIÉ
La pertinence des données est relative à leurs fins, à savoir la dé-
termination du montant des frais à comptabiliser et à rembourser.
65
GUIDE AUDIT DES PROCESSUS
04
FICHE 04 - NOTES DE FRAIS
Les utilisateurs de l’application Le système de sécurité de Aucune personne non auto- Un descriptif de la sécurité
doivent avoir accès aux infor- l’application doit permettre risée ne doit avoir accès aux (journal des actions) .
mations dont ils ont besoin au d'empêcher toute personne informations sensibles sur
moment opportun. Il faut donc de modifier des informations la gestion des notes de frais
veiller à ce que le système n'ait stockées ou transmises par (nombre d’étoiles d’un hôte, All
aucune défaillance. le système ou d'effectuer des inclusive, montant d’un repas,
détournements frauduleux. etc…). L’application devra per-
Ex : bug informatique, problème
mettre de restreindre l'accès
de connexion, système bloqué,
aux seules personnes autorisées.
suppression de fichier, etc…
66
GUIDE AUDIT DES PROCESSUS
04
FICHE 04 - NOTES DE FRAIS
Audit des notes de frais d’une société prestataire de service et de vente de biens.
La société auditée est implantée dans tout l’hexagone. Le traitement comptable est réalisé par le service administratif et financier du siège social.
La société doit faire face depuis quelques mois à des dysfonctionnement de la gestion de ses notes de frais.
La société fait appel à un cabinet d'audit pour auditer ses notes de frais.
Grille d’analyse
des tâches : Dictionnaire
Logigramme Risques
processus des données
Notes de frais
67
GUIDE AUDIT DES PROCESSUS
04
FICHE 04 - NOTES DE FRAIS
SCÉNARIO
PROCESSUS NOTES DE FRAIS
Vérification
Connaissance de l’activité
Contrôler
Documenter
Comptabilisation
Coordonner
Remboursement
des notes de frais
68
GUIDE AUDIT DES PROCESSUS
04
FICHE 04 - NOTES DE FRAIS
SCÉNARIO LOGIGRAMME :
PROCESSUS NOTE DE FRAIS
PROCESSUS NOTES DE FRAIS
SERVICE SERVICE
SALARIÉ SERVICE RH
ADMINISTRATIF COMPTABILITÉ
DÉBUT
Dépenses
effectuées
Utilisation de
l’application
Mener
une action
FIN
Refus
FIN
LÉGENDE
P
remière et dernière étape Une action
69
GUIDE AUDIT DES PROCESSUS
04
FICHE 04 - NOTES DE FRAIS
SCÉNARIO
PROCESSUS NOTES DE FRAIS
70
GUIDE AUDIT DES PROCESSUS
04
FICHE 04 - NOTES DE FRAIS
Risques/Points
Données Risque 1 Risque 2 Risque 3
d'audit
Barèmes
Plafond
71
GUIDE AUDIT DES PROCESSUS
04
FICHE 04 - NOTES DE FRAIS
Risques/Points
Données Risque 1 Risque 2 Risque 3
d'audit
Risque identifié Erreur sur le RIB du bénéficiaire Erreur sur la date de paiement
Remboursement
des frais
Points d'audit Exhaustivité, fiabilité, intégrité des données
72
GUIDE AUDIT DES PROCESSUS
04
FICHE 04 - NOTES DE FRAIS
73
GUIDE AUDIT DES PROCESSUS
04
FICHE 04 - NOTES DE FRAIS
Risques/
Données Fraude 1 Fraude 2 Fraude 3 Fraude 4 Fraude 5
Points d'audit
Utilisation non
Risque
autorisée de la RIB d’origine Usurpation d’identité Adresse
identifié
donnée
Données Exhaustivité, fiabilité,
administratives intégrité des données
Non conformité
Points d'audit Communication Non conformité de la réglementation
de la réglementation
absente/inefficace/
erronée
Utilisation interdite
Risque
des données à Revenu Nature des dépenses Etat de santé Nombre d’enfant
Données identifié
caractère personnel
à caractère
personnel
Points d'audit Non conformité de la réglementation
74
GUIDE AUDIT DES PROCESSUS
04
FICHE 04 - NOTES DE FRAIS
SCÉNARIO EXEMPLE
PROCESSUS NOTES DE FRAIS
NEP 315 : P
RISE DE CONNAISSANCE DE L’ENTITÉ ET SON La société CNCC emploie 100 salariés.
ENVIRONNEMENT : SOCIÉTÉ DE VENTE DE MATÉRIEL La responsable paie demande des avis et recommandations sur le
ÉLECTROMÉNAGER
process des notes de frais.
NEP 265 : COMMUNICATION DES FAIBLESSES DU CONTRÔLE INTERNE Le CAC fait une analyse des risques : le processus mis en place a-t-il
NEP 330 : TESTS DE PROCÉDURE des faiblesses ?
NEP 240 : P
RISE EN CONSIDÉRATION DE LA POSSIBILITÉ
DE FRAUDES LORS DE L'AUDIT DES COMPTES
Étape 1 | E
ntretien avec le service RH et tous les services intervenant ••Qualification
dans le processus ªªDéfinir les critères pertinents permettant
de qualifier les données en fonction des contraintes
••Cartographie
ªªConstruire un répertoire unique des données
pour identifier la source
75
05 CLIENTS - SAV
RÉCLAMATION
ET SATISFACTION CLIENT
Processus et IT
Une approche d’audit par le SI
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
PRÉAMBULE
La concurrence est mondiale, les produits et services sont de plus Le réclamation client est un des risques du SAV.
en plus nombreux et innovants, les clients hyper informés, hyper
La réclamation d’un client se manifeste par une insatisfaction, un
connectés et encore plus exigeants.
mécontentement, une déception de sa part ou encore un décalage
Toute entreprise voulant assurer la continuité de son activité a conscience entre la qualité attendue d’un produit ou d’un service et la présence
que la fidélisation et la satisfaction des clients est un impératif. d’une non-conformité. Cet indicateur de qualité est un risque majeur.
Dans ce contexte, l’absence ou l’insuffisance de processus permettant La principale conséquence de ce risque est bien entendu la perte d’un
de garantir la qualité dans la relation avec les clients, donc le Service client. Ce même client qui est hyper connecté risque de faire perdre
Après Vente (SAV) est un risque que l’entreprise doit écarter. à l’entreprise des milliers voir des millions de clients.
Ce risque peut par exemple correspondre à la non-conformité d’un Pour répondre à cette exigence, le service clients-SAV doit avoir des
produit ou un défaut ou encore à un produit endommagé lors de données de qualités sur la satisfaction, les réclamations du client et
la livraison. ses attentes en terme de qualité du service et du produit pour être
Face à cet enjeu, toutes les entreprises doivent savoir comprendre et satisfait.
mesurer la satisfaction client. Le CAC aura pour objectif d’audit de donner des avis et recomman-
La satisfaction client est un jugement de valeur, une opinion, un avis dations sur la qualité et la sécurité de ces données.
qui résulte de la confrontation entre le service perçu et le service
attendu (ou le produit).
77
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
APPLICATIF - CRM
La nécessité d’utiliser un outil CRM (Customer Relationship manage-
ment) (Gestion de la relation client) est renforcée par la transformation
numérique. Cet outil permet une connaissance client et son parcours
mais aussi s’il est satisfait ou pas par le service et le produit.
78
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
APPLICATIF - CRM
SATISFACTION >>Les critères qui ont motivé le choix >>Qualité de la prestation ou du service
DU CLIENT du service ou de la prestation (prix, (Excellent, Bon, Moyen, Mauvais…)
lieu, rapport qualité prix,produit…) >>Envisagez-vous de recommander la
>>Comment le client a connu la société service ou la prestation ?
(Internet, réseaux sociaux, recom- >>Envisagez-vous de passer une nou-
mandation…) velle commande ?
79
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
80
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
Les informations traitées par les applications sont des données. Les exigences de qualité se construisent autour des trois critères que
sont l’exhaustivité, l’exactitude et le caractère approprié des données :
Les applications pour la gestion du SAV doivent garantir la qualité
des données, c’est l'essentiel.
EXHAUSTIVITÉ
Certaines applications peuvent être entachées d’anomalies. Ces ano- Les bases de données alimentées par les type d’incidence, taux de
malies peuvent remettre en cause la qualité des données. satisfaction, montant des avoirs, refus, type de clients… doivent
fournir une information exhaustive à l’entreprise.
Le CAC, dans sa démarche d’audit, doit s’ assurer de la qualité de la
donnée depuis son « input » dans le système d’informations jusqu’à sa
transformation, son extraction et son déversement dans les logiciels.
EXACTITUDE
Pour les données permanentes, le CAC doit s’assurer qu’elles sont à
Les données traitées par l’application ne doivent pas être enta-
jour et que leur accès en création et mise à jour est limité assurant
chées d’erreur, de faute, d’omission ou de fraude. On attend un
la séparation des tâches.
degré de confiance dans la donnée.
PERTINENCE/APPROPRIÉ
La pertinence des données est relative à leurs fins, à savoir les
réclamations qui sont acceptées, celles qui sont rejetées et celles
qui feront l’objet d’un avoir.
Les données doivent être adaptées aux besoins.
81
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
L’accès aux données est pos- Ex : si une fiche est en modi- Ex : gestion des mots de passe Un descriptif de la sécurité
sible pour les acteurs de fication sur un poste et qu’un personnalisés par l’adminis- (journal des actions).
l’entreprise (commerciaux, deuxième poste veut l’utiliser, trateur.
techniciens, …) par une simple l’application enverra la fiche
connexion internet. en visualisation sur le deu-
xième poste et lui indiquera
Les clients peuvent se connec-
que la fiche est en cours de
ter aux données pour faire
modification.
une demande d’intervention.
82
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
Audit du service après vente (SAV) d’une société prestataire de services et de vente de biens.
La société auditée est implantée dans tout l’hexagone. Le traitement comptable est réalisé par le service administratif et financier du siège social.
La société doit faire face depuis quelques mois à des réclamations de clients mécontents du SAV.
La société fait appel à un cabinet audit spécialisé dans l’audit des SAV.
Grille d’analyse
des tâches :
Dictionnaire
processus Logigramme Risques
des données
clients-SAV-
Réclamation
83
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
SCÉNARIO RÉCLAMATION
ET SATISFACTION DU CLIENT
PROCESSUS CLIENTS - SAV QUALITÉ D'UN PROCESSUS
La mise en place du processus permet de détecter les dysfonctionnements du SAV-Réclamation et satisfaction client.
On raisonne par flux entrants, traités et sortants.
Le pilotage du processus est associé à la mesure de sa performance de l’entreprise.
Pour qu'un processus soit performant, il est impératif qu'il soit supervisé et managé.
Connaissance
des produits et services
Documenter
Coordonner
84
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
DÉFINITIONS - SAV
MACRO-PROCESSUS (PROCESSUS MAJEUR) ACTIVITÉ (UNITÉ QUI COMPOSE UN PROCESSUS)
PROCESSUS - SAV
Information
Comptabilisation
COMMERCIAL complémentaire COMPTABILITÉ des avoirs
sur le client
85
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
SCÉNARIO LOGIGRAMME :
PROCESSUS CLIENTS - SAV
PROCESSUS CLIENTS - SAV
SERVICE Informations
COMMERCIAL sur le client
Refus
Réceptionner Analyser la Traiter la Mener Mettre à
SERVICE SAV DÉBUT une action FIN
la réclamation réclamation réclamation jour le CRM
Échanger
le produit
LÉGENDE
P
remière et dernière étape Une action
86
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
87
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
SCÉNARIO
PROCESSUS CLIENTS - SAV
SATISFACTION CLIENT
Comptabilisation
COMPTABILITÉ des avoirs
88
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
SCÉNARIO LOGIGRAMME :
PROCESSUS CLIENTS-SAV
PROCESSUS CLIENTS - SAV MESURE DE LA SATISFACTION
SATISFACTION CLIENT CLIENT
Désigner Identifier
SERVICE Définir les Analyser Communication
DÉBUT le responsable les attentes FIN
QUALITÉ objectifs les données des résultats
de l’enquête des clients
LÉGENDE
P
remière et dernière étape Lien entre 2 activités
Étapes
89
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
SCÉNARIO
PROCESSUS CLIENTS - SAV
SATISFACTION CLIENT
QUESTIONNAIRE
GRILLE D’ANALYSE DES TÂCHES : GRILLE D’ANALYSE DES TÂCHES :
PROCESSUS CLIENTS-SAV RISQUES SUR LA QUALITÉ DES DONNÉES
90
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
Nombre
Nombre
de plaintes Taux de Nombre de
Évolution du d’incidents
Risque identifié enregistrées satisfaction questionnaire Fidélité du client
chiffre d’affaires enregistré par
Gestion concernant un client envoyés
le personnel
des plaintes prestataire
Exhaustivité,
Exhaustivité, fiabilité, intégrité Continuité
Points d'audit Continuité d’exploitation fiabilité, intégrité
des données d’exploitation
des données
91
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
Risques/
Données Fraude 1 Fraude 2 Fraude 3 Fraude 4 Fraude 5
Points d'audit
Données Exhaustivité,
administratives fiabilité, intégrité des
Non conformité Exhaustivité, fiabilité, intégrité des données. Non conformité données.
Points d'audit
de la réglementation Communication absente/inefficace/erronée de la réglementation Communication
absente/inefficace/
erronée
Changement du lieu
Risque Rectifications Faux RIB pour le de livraison du bien
identifié frauduleuses remboursement ou de la prestation de
Données SAV service
92
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
SCÉNARIO EXEMPLE
PROCESSUS CLIENTS - SAV
SATISFACTION CLIENT
NEP 315 : P
RISE DE CONNAISSANCE DE L’ENTITÉ ET SON La société Air CSOE est une compagnie aérienne.
ENVIRONNEMENT : SOCIÉTÉ DE VENTE DE MATÉRIEL Le client DIG reçoit un questionnaire de satisfaction client par e-mail.
ÉLECTROMÉNAGER
Le CAC fait une analyse des risques : le processus mis en place a-t-il
NEP 265 : COMMUNICATION DES FAIBLESSES DU CONTRÔLE INTERNE des faiblesses ?
NEP 330 : TESTS DE PROCÉDURE
Étape 1 | E
ntretien avec le SAV-Service qualité et tous les services ••Qualification
intervenant dans le processus ªªDéfinir les critères pertinents permettant
de qualifier les données en fonction des contraintes
93
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
DÉFINITIONS - RÉCLAMATION DU CLIENT
MACRO-PROCESSUS (PROCESSUS MAJEUR) ACTIVITÉ (UNITÉ QUI COMPOSE UN PROCESSUS)
PROCESSUS - CLIENTS-SAV : RÉCLAMATION
94
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
Audit du service après vente (SAV) d’une société prestataire de service et de vente de biens.
La société auditée est implantée dans tout l’hexagone. Le traitement comptable est réalisé par le service administratif et financier du siège social.
La société doit faire face depuis quelques mois à des réclamations de clients mécontents du SAV.
La société fait appel à un cabinet audit spécialisé dans l’audit des SAV.
Grille d’analyse
des tâches :
Dictionnaire
processus Logigramme Risques
des données
clients-SAV-
Réclamation
95
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
SCÉNARIO RÉCLAMATION
ET SATISFACTION DU CLIENT
PROCESSUS CLIENTS - SAV QUALITÉ D'UN PROCESSUS
Connaissance
On raisonne par flux entrants, traités et sortants.
des produits et services
Pour qu'un processus soit performant, il est impératif qu'il soit su- Coordonner
pervisé et managé.
Mesurer les performances
96
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
SCÉNARIO LOGIGRAMME :
PROCESSUS CLIENTS - SAV
PROCESSUS CLIENT - SAV RÉCLAMATION
RÉCLAMATION CLIENT
SERVICE Informations
COMMERCIAL sur le client
Analyser et Transmettre la La
Réceptionner traitement réclamation réclamation
SERVICE SAV DÉBUT est–elle
la réclamation de la au service
réclamation Qualité fondée ?
Service
SERVICE comptabilité FIN
COMPTABILITÉ (gestion des
NON OUI avoirs)
Refus Analyse et
SERVICE Vérification
traitement Mettre à
QUALITÉ de la mise
de la jour le CRM
en œuvre
réclamation
LÉGENDE
P
remière et dernière étape Une action
97
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
SCÉNARIO
PROCESSUS CLIENTS - SAV
RÉCLAMATION
QUESTIONNAIRE
GRILLE D’ANALYSE DES TÂCHES : GRILLE D’ANALYSE DES TÂCHES :
PROCESSUS CLIENTS-SAV RISQUES SUR LA QUALITÉ DES DONNÉES
Améliorer
Le RGPD a-t-il été
le processus en
respecté ?
détectant les failles
98
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
Risques/
Données Points Risque 1 Risque 2 Risque 3 Risque 4 Risque 5 Risque 6 Risque 7 Risque 8
d'audit
Délai de
Date de Indemnité
Risque Numéro de rétablissement Préjudice subi Poursuite Dommages et Non respect
Demande l’interruption reçue non
identifié contrat du service par le client judiciaire intérêts du RGPD
indemnité du service conforme
trop long
suite à une
interruption Non
de service Points conformité
Exhaustivité, fiabilité, intégrité des données Continuité d'exploitation
d'audit de la
réglementation
Procédure Politique de
Risque Numéro de Date de la Type de vice alternative : Lieu de retour qualité et Dommages et Non respect
Retour identifié facture panne de fabrication remplacement du bien satisfaction intérêts du RGPD
sous ou réparation du client
garantie Non
d’un bien Points conformité
Exhaustivité, fiabilité, intégrité des données Continuité d'exploitation
d'audit de la
réglementation
99
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
Risques/
Données Points Risque 1 Risque 2 Risque 3 Risque 4 Risque 5 Risque 6 Risque 7 Risque 8
d'audit
Dépassement Plainte
Risque Numéro de Montant Dépassement Surfacturation Poursuite Non respect
du budget sans auprès des
identifié facture erroné du devis injustifiée judiciaire du RGPD
accord organismes
Facturation
excessive Non
Points Continuité conformité
Exhaustivité, fiabilité, intégrité des données
d'audit d'exploitation de la
réglementation
Absence
Indemnité Délai
Risque Numéro de Délai non Les troubles d’engagement Non respect
reçue non d’indemnisation
Service identifié contrat respecté provoqués écrit ou du RGPD
conforme respecté
respecté électronique
partielle- Non
ment Points conformité
Exhaustivité, fiabilité, intégrité des données
d'audit de la
réglementation
100
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
Pour faire une analyse des risques, le CAC peut utiliser un logiciel L’outil d’analyse de données utilisé permettra par exemple :
d’analyse des données.
>>D’avoir une piste d’audit sous la forme d’un journal détaillant
toutes les opérations effectuées en rapport avec chaque fichier
Cela permet l’extraction, l’échantillonnage et la manipulation de
(base de données), depuis son importation jusqu’aux diverses
données dans le but d’identifier des erreurs, des problèmes, des points
opérations de vérification qui s’ensuivent
particuliers et des tendances.
>>D’importer et d’exporter des données dans une multitude de for-
mats, incluant des fichiers provenant de logiciels de comptabilité
101
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
Risques/
Données Fraude 1 Fraude 2 Fraude 3 Fraude 4 Fraude 5
Points d'audit
Changement du lieu
Risque Rectifications Faux RIB pour le de livraison du bien
identifié frauduleuses remboursement ou de la prestation
Données SAV de service
102
GUIDE AUDIT DES PROCESSUS
05
FICHE 05 - CLIENTS-SAV
SCÉNARIO EXEMPLE
PROCESSUS CLIENTS - SAV
SATISFACTION CLIENT
NEP 315 : P
RISE DE CONNAISSANCE DE L’ENTITÉ ET SON La société CNCC vend du matériel électroménager.
ENVIRONNEMENT : SOCIÉTÉ DE VENTE DE MATÉRIEL Le client DIG envoi un courrier de réclamation : vice caché du matériel
ÉLECTROMÉNAGER
électroménager.
NEP 265 : COMMUNICATION DES FAIBLESSES DU CONTRÔLE INTERNE Le CAC fait une analyse des risques : le processus mis en place a-t-il
NEP 330 : TESTS DE PROCÉDURE des faiblesses ?
NEP 240 : P
RISE EN CONSIDÉRATION DE LA POSSIBILITÉ
DE FRAUDES LORS DE L'AUDIT DES COMPTES
Étape 1 | E
ntretien avec le SAV-Réclamation et tous les services in- ••Qualification
tervenant dans le processus ªªDéfinir les critères pertinents permettant
de qualifier les données en fonction des contraintes
103
06
ÉVOLUTION DE L’OFFRE
Processus et IT
Une approche d’audit par le SI
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
Les produits ou services au sein d’une même gamme, occupent des >>Part de marché : développement de ses parts de mar-
rôles différents. En ce sens, on identifie assez facilement dans une ché sur les principaux segments visés
entreprise, le « produit d’appel » qui fait partie intégrante de la stra- >>Nouveaux clients : l'entreprise a développé avec succès la
tégie globale. Un produit d’entrée de gamme, fonctionnel et à bon conquête clients
rapport qualité-prix, sera vecteur d’opportunités pour la marque, et >>Satisfaction : amélioration du taux de satisfaction des clients et
ce à des périodes distinctes de la vie d’une entreprise : maitrise de son micro environnement (clients, association de
>>Émergence sur un marché nouveau : que l’entreprise soit nouvelle consommateur, partenaires, fournisseurs etc.)
ou non, se lancer dans une nouvelle gammes de produit néces- >>Qualité : optimisation de la performance par rapport aux concurrents ;
site un suivi méthodique et minutieux de sa nouvelle activité >>Coût de distribution : amélioration des coûts de distributions.
>>Confirmer sa position de leader d’idée : proposer des produits et >>Force de vente : optimisation des taux d'efficacité de la force
services innovants, créer constamment le besoin constitue un de vente
avantage compétitif dont l’entreprise ne pourrait se passer
>>Délais de livraison : optimisation des délais de livraison et amé-
>>Construction de l’image de la marque : une marque soucieuse de pro- lioration de la qualité de ses produits ou services
poser un produit novateur à ses clients est une entreprise qui séduit
>>Réclamation : l’entreprise a diminué le nombre de litiges
et donc fidélise, ceci lui permet, par analogie aux réseaux sociaux,
concernant les produits et a mis en place des outils de mesure
de se doter « d’abonnés », des clients qui ne sont plus à convaincre
de la satisfaction clients
Les opportunités de la création d’une offre nouvelle sont nombreuses, Dans ce contexte, l’absence ou l’insuffisance de processus permettant
seulement les leviers à activer pour réussir au mieux sa gestion de de garantir la qualité des donnée dans la relation entre la marque
projet sont multiples et interdépendants. et ses parties-prenantes est un risque que l’entreprise doit écarter.
Ainsi, pour permettre aux acteurs de l’entreprise d’être compétitifs et Ce risque peut par exemple correspondre au non-respect aux obligations
donc d’atteindre des objectifs de performance et de qualité, un sys- légales et normatives (Risque lié à l’environnement de l’entreprise), à
tème d’information dédié aux processus relatifs à l’offre de produits l’échec du lancement d’un produit (Risque marché et produit), risques
ou services est indispensable : financiers, risque de détérioration de l’image de la marque (relation
client et communication) etc.
105
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
DÉFINITIONS
106
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
PROCESSUS
ÉVOLUTION DE L'OFFRE
Connaissance
Conception/ Business Développement Mise sur
STRATÉGIE client (création/
Innovation plan produit/service
Industrialisation
le marché
évolution de l’offre)
Service juridique
Service Service Service commercial
MÉTIER Marketing étude
et financier, approvisionnement
et communication
(achat) et fabrication
107
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
APPLICATIF
L’applicatif CRM permet d’optimiser la connaissance client/prospect Ex : La donnée collectée « Activité sportive en club » + « Date de naissance »
en synchronisant les informations le concernant avec notamment les + « Profession » permettrait à un tailleur, de développer une collection
éléments issus de l’outil de gestion commerciale. Les données d’origine sport haut de gamme pour les professionnels souhaitant exercer une
intégrées dans l’outil CRM peuvent provenir des éléments du big data activité sportive dans les locaux de leurs entreprises. L’analyse des dates
(réseaux sociaux, site internet de l’entreprise au travers d’un formulaire de naissance des professionnels sportifs de sa base de données permettra
de collecte des informations, opendata, associations, institutions ban- de déterminer la tranche d'âge et donc la cible pour ce nouveau projet.
caires, autres applicatifs etc.).
108
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
APPLICATIF
L’utilisation d’un outil de gestion de projet dans le cadre de la R&D s’est >>L’entreprise sous-traite des activités d’études à des universités et
avéré indispensable pour permettre à l’entreprise, dans le cas où les des sociétés de recherche
progiciels sont méthodiquement interfacés entre eux, de générer un >>L’entreprise a formé un club d’études avec certaines grosses en-
avantage compétitif indéniable. treprises de la région et des fournisseurs
Ex : Après une étude approfondie, permis grâce à l’analyse d’un important >>Des locaux et une base de donnée spécifique, dédiée aux travaux
volume de donnée et les travaux du service marketing (diagnostique d’expérimentation. (Synergie des données entre Direction com-
stratégique et étude de marché), le tailleur souhaite se lancer dans son merciale, Marketing et Production afin de satisfaire au mieux
projet de vêtement haut de gamme de sport à usage régulier. Pour éla- aux attentes clients.)
borer au mieux ses produits, le tailleur a crée il y a 3 ans, un processus
spécifique approprié à la R&D :
109
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
APPLICATIF
COMPTABILITÉ ANALYTIQUE
ET PILOTAGE DES COÛTS
110
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
111
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
112
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
113
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
Pour les données permanentes, le CAC doit s’assurer qu’elles sont à jour et
que leur accès en création et mise à jour est limité assurant la séparation
des tâches.
114
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
AVIS ET RECOMMANDATIONS
SUR LA QUALITÉ DES DONNÉES
EXHAUSTIVITÉ
Contrôle de l’exhaustivité et de la validité du contenu, la date et
l’heure, la taille des données, le volume des enregistrements et
l’authentification de la source.
Ex : Vérification des fichiers de rejets lors de l’import dans l’outil CRM
du formulaire de contact du site internet de l’entreprise.
EXACTITUDE
Les données traitées par l’application ne doivent pas être entachées
d’erreur, de fautes, d’omissions ou de fraudes. On attend un degré
de confiance dans la donnée.
Ex : Contrôle des droits utilisateurs en terme de mise à jour des
données métiers tel que le nouveau TJM d’un prestataire externe
en laboratoire en renouvellement de contrat.
PERTINENCE/APPROPRIÉ
La pertinence des données est relative à leurs fins.
Les données doivent être adaptées aux besoins.
La qualité et la sécurité des données éviteront : des erreurs dans les orien-
Ex : Lors d’une enquête de satisfaction client, comparer les résultats
tations prises pour la conception du produit, des écarts entre le besoin réel
prévus avec les résultats obtenus permet de vérifier que des questions
du client cible et la fiche produit, erreurs de chiffrage, mauvaise gestion
n’ont pas été écartées.
du calendrier projet et notamment du chemin critique etc.
115
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
116
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
DÉMARCHE DU CAC
Votre client, PME spécialisée dans la conception, fabrication et commer-
Préparation de l’entretien :
cialisation de mobilier haut de gamme en BtoB (Business to Business) et
BtoC (Business to Consumer) vous sollicite pour un audit qualité sur le >>Définir les objectifs de l’entretien :
processus évolution de l’offre. Il souhaiterait lancer une nouvelle gamme processus « Évolution de l'offre »
de produit,plus accessible, pour élargir son offre. Les points à risque fort >>Identifier les interlocuteurs
identifiés concernent l’image de marque, respecter un rapport qualité/prix >>Collecter les informations
très satisfaisant et la gestion du projet qui nécessitera de relever de nouveaux
défis, puisque le carnet de commandes exceptionnellement volumineux
au nom d’une enseigne de la grande distribution, vient d’être validé. Conduire l’entretien :
>>Examiner les objectifs de l’entretien
La conduite d’un tel audit, vous amènera au travers de l’analyse des
sous processus en question, à procéder au contrôle des métiers suivants :
>>Préparer les questions
117
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
SCÉNARIO QUESTIONNAIRE
GRILLE D’ANALYSE DES TÂCHES :
ÉVOLUTION DE L'OFFRE RISQUES SUR LA QUALITÉ
DES DONNÉES
Processus
Phase Objectifs Si non existants, actions correctrices à mettre en place
préétablis
Dans le cadre d’un changement de cible, une revue du dispositif de gestion des
Equilibre de compte Non
recouvrements et un suivi du risque clients s’imposent.
Lancement de produits nouveaux Non Actualiser régulièrement ses données d’analyse et industrialiser ce processus.
118
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
SCÉNARIO QUESTIONNAIRE
GRILLE D’ANALYSE DES TÂCHES :
ÉVOLUTION DE L'OFFRE RISQUES SUR LA QUALITÉ
DES DONNÉES
Processus
Phase Objectifs Si non existants, actions correctrices à mettre en place
préétablis
Rapports Oui
Simulation des coûts
et étude de rentabilité
Stratégie de prix Oui
119
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
SCÉNARIO QUESTIONNAIRE
GRILLE D’ANALYSE DES TÂCHES :
ÉVOLUTION DE L'OFFRE RISQUES SUR LA QUALITÉ
DES DONNÉES
menaces la différenciation.
Génération d’idées et
veille concurrentielle.
Forces Comptabilité Matrice SWOT pour la définition de la stra- Surestimation des compétences clés en Diagnostic interne et business
et faiblesses et SIRH tégie marketing. interne. plan erroné.
CRM, SIRH,
Avantages Qualité du réseau fournisseur et savoir Changement d’offre. Effort sur
Gestion co., Exploiter des avantages concurrentiels.
concurrentiels faire de fabrication. les coûts indispensable.
Compta.
CRM, SIRH, Tenir compte des capacités de production, Définition du produit similaire aux Impact image de marque. Man-
Plan de
Gestion co., des ressources humaines et financières de gammes existantes. Prévisions finan- quer le changement impacte la
marketing
Compta. l’entreprise. cières erronées. confiance client.
CRM
(Site internet, Maîtrise des besoins ou attentes, du poten- Erreurs de nettoyage du jeu de
Besoins Données d’entrées de qualité (site inter-
réseaux so- tiel d'achat, des caractéristiques et comporte- données. Rapprochement de
et profils net, réseaux sociaux …).
ciaux, fiche ments de ses clients. données non complémentaires.
client …)
Connaissance client
120
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
SCÉNARIO QUESTIONNAIRE
GRILLE D’ANALYSE DES TÂCHES :
ÉVOLUTION DE L'OFFRE RISQUES SUR LA QUALITÉ
DES DONNÉES
121
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
SCÉNARIO QUESTIONNAIRE
GRILLE D’ANALYSE DES TÂCHES :
ÉVOLUTION DE L'OFFRE RISQUES SUR LA QUALITÉ
DES DONNÉES
Seuil de budget, produit afin d’élaborer la stratégie de Valeur perçue du fabricant en forte ina-
risque d’absence de récurrence
rentabilité prévision, pricing, de développement ou de renouvel- déquation avec celle perçue par le client.
du process de calcul du SR.
planification lement de gamme.
Comptabilité,
Actualisation récurrente du pricing des
budget, Valeur perçue du fabricant en forte ina- Conserver son utilisation initiale
Soumissions produits et vérifications de la plus-value
prévision, déquation avec celle perçue par le client. de la donnée.
apportée par les produits aux clients.
planification
ERP
des réceptions automatisés (scanners).
Approvi-
Exactitude
ERP Autorisation des accès à l’ERP, contrôles
des écritures
comptable automatiques des erreurs de saisie.
comptables
122
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
SCÉNARIO QUESTIONNAIRE
GRILLE D’ANALYSE DES TÂCHES :
ÉVOLUTION DE L'OFFRE RISQUES SUR LA QUALITÉ
DES DONNÉES
123
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
Actualisation
des données
Mener
DÉBUT une action
Stratégie FIN
Equilibre de de prix
compte
Seuil de
rentabilité
Soumissions
124
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
Sprint 5
CYCLE DE VIE Sprint 4
DU PROJET
PROJET MVP Fabrication/ MVP
Achats
Développement
Sprint 6 Sprint 7
MISE EN
Mise MVP Derniers MVP
PRODUCTION
en service ajustements
Sprint 8 Sprint 9
MISE SUR
Promotion MVP Distribution MVP
LE MARCHÉ
du produit
LÉGENDE MVP Minimum Viable Product (Produit fini d’un sprint) Sprint Période projet de 2-4 semaines
125
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
Nature Risques
Risque 1 Risque 2 Risque 3 Risque 4
de risque appliqués au cas
126
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
Nature Risques
Risque 1 Risque 2 Risque 3 Risque 4
de risque appliqués au cas
127
GUIDE AUDIT DES PROCESSUS
06
FICHE 06 -ÉVOLUTION DE L'OFFRE
SCÉNARIO EXEMPLE
ÉVOLUTION DE L'OFFRE
NEP 315 : P
RISE DE CONNAISSANCE DE L’ENTITÉ ET SON COBIT 5 : RÉFÉRENTIEL DE BONNES PRATIQUES D’AUDIT INFORMATIQUE
ENVIRONNEMENT : PME SPÉCIALISÉE DANS LA ET DE GOUVERNANCE DES SYSTÈMES D’INFORMATIONS
CONCEPTION, FABRICATION ET COMMERCIALISATION DE
ISO27000 : NORMES DE SÉCURITÉ DE L’INFORMATION
MOBILIER HAUT DE GAMME EN BTOB ET BTOC
PMBOK/PRINCE2/ISO21500 : RÉFÉRENTIELS DE GESTION DE PROJET
NEP 265 : COMMUNICATION DES FAIBLESSES DU CONTRÔLE INTERNE
PAR LES PROCESSUS
NEP 330 : TESTS DE PROCÉDURE
NEP 240 : P
RISE EN CONSIDÉRATION DE LA POSSIBILITÉ
DE FRAUDES LORS DE L'AUDIT DES COMPTES
Étape 1 | E
ntretien avec toutes les parties prenantes du projet concerné Étape 5 | Avis et recommandations sur la faiblesse du processus
et projets en adhérence.
Actions correctrices à mettre en place
Étape 2 | Illustrer le processus par un logigramme (Cf. page 124) ••Clarification de la gouvernance
••Revue du périmètre produit
Étape 3 | A
nalyse des risques et fraudes (Cf. page 126)
••Revue du sous processus connaissance client par la sécurisation
des données collectées (RGPD)
Étape 4 | Analyse des données pour s’assurer de la qualité des données
••Reprioriser la charge de travail des équipes métiers
••Valider les hypothèses/arbitrages pris par le métier (validation
par un expert externe à la société le cas échéant)
128
07 PAIE
Processus et IT
Une approche d’audit par le SI
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
PRÉAMBULE
La gestion de la paie est l'organisation de la rémunération des em- La présente fiche de processus se focalise sur le seul processus paie.
ployés et du calcul des cotisations salariales et patronales relatives Toutefois, elle comprend quelques interactions avec d’autres fonc-
à cette rémunération. Dans l'entreprise, la gestion de la paie est tions du SIRH.
généralement de la coresponsabilité du service comptable et de la
direction des ressources humaines. Ce processus est historiquement Dans ce contexte, la qualité et la sécurité des données de paie sont
fortement informatisé en raison tout particulièrement de l’évolution un enjeu crucial pour l’entreprise comme pour son commissaire
incessante de la réglementation du travail (modifications des droits, aux comptes :
changements d’assiette ou de taux de cotisations, nouvelles obliga-
>>Le poste des charges de personnel est très significatif dans la
tions déclaratives, etc.) et de l’accroissement du rôle administratif de
structure des coûts de l’entreprise : toute erreur dans le proces-
l’employeur vis-à-vis de ses salariés et de l’État.
sus de paie a donc des répercussions significatives
En outre, aujourd’hui, les employés peuvent être géographiquement >>La qualité du processus paie est une composante structurante du
très dispersés. Ils sont également très informés sur leurs droits et hyper climat social de l’entreprise : la multiplication des réclamations
connectés et par voie de conséquences plus exigeants sur la qualité et/ou l’instauration d’un climat de méfiance sont mortifères
des données concernant la gestion de leur paie, congés payés, droits…
Dans ce contexte, il est important pour une entité d’avoir une ges-
tion de la paie moderne et connectée. Cette exigence, conjuguée à
l’accroissement continuel du coût et de la complexité de la gestion
RH, conduit de nombreuses entreprises à se doter d’un outil de SIRH
(Système d’Information des Ressource humaines) qui intègre la paie,
l’organisation du travail (planning, allocation des ressources, gestion
des temps), la gestion juridique et sociale des RH (contrats de travail,
accords d’entreprise, IRP, prévention) et enfin la gestion des ressources
proprement dites (carrières, compétences, recrutements, etc.).
130
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
APPLICATIF - PAIE
L’applicatif de paie doit disposer d’un certain nombre d’informations
sur le salarié qui sont dites « permanentes » dans la mesure où elles re-
présentent des données référentielles sur le salarié par opposition aux
« variables de paie ». Ces données permanentes doivent être mises à jour
au fil de l’eau en mode continu..
Les variables de paie sont les données qui sont susceptibles de varier
d’un mois sur l’autre en fonction des évènements, mais principalement
de l’activité des salariés.
131
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
DONNÉES PERMANENTES
SOCIALES
132
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
CONTRÔLES CLÉS
DE L’APPLICATION : QUALITÉ
ET SÉCURITÉ DES DONNÉES
133
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
Les informations traitées par les applications sont des données. Les exigences de qualité se construisent autour des trois critères que
sont l’exhaustivité, l’exactitude et le caractère approprié des données :
Les applications pour les Ressources Humaines doivent garantir la
qualité des données, c’est l'essentiel. EXHAUSTIVITÉ
Certaines applications peuvent être entachées d’anomalies. Ces ano- Base de données des salariés Variables de paie
malies peuvent remettre en cause la qualité des données.
134
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
L’accès aux données est pos- Mécanisme d’habilitation et Contrôle d’accès au SIRH. Un descriptif de la sécurité
sible pour les membres du d’approbation des saisies et (journal des actions).
RGPD : respect des dispositions
service RH en fonction de leur modifications.
relatives à la responsabilité Traçabilité des télétransmis-
degré d’habilitation, y compris
Séparation des tâches. du traitement de la paie et sions.
en télétravail.
à la protection des données
Respect du RGPD.
Les salariés peuvent avoir ac- personnelles.
cès à leurs documents élec-
troniques.
135
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
Audit du service des Ressources Humaines (RH) d’une société prestataire de service.
La société auditée est implantée dans tout l’hexagone. Le traitement comptable de la paie est réalisé par le service administratif et financier
du siège social.
La société doit faire face depuis quelques mois à des réclamations des salariés sur des erreurs sur leurs net à payer, leur PAS (prélèvement à la
source) et le solde de leur congés payés entre autre.
La société fait appel à un cabinet d'audit spécialisé dans l’audit des ressources humaines (RH) plus particulièrement de la paie.
Grille d’analyse
Dictionnaire
des tâches : Logigramme Risques
des données
processus paie
136
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
SCÉNARIO
PROCESSUS PAIE
Pour qu'un processus soit performant, il est impératif qu'il soit su-
Vérification du bon déroulement
pervisé et managé. des opérations de paie
137
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
DÉFINITIONS - PAIE
Paie. Ex :
Ex :
138
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
PROCESSUS - PAIE
139
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
SCÉNARIO LOGIGRAMME :
PROCESSUS PAIE
PROCESSUS PAIE
Service métier :
SERVICE transmission des variables de Est-ce que
MÉTIER paie (heures supplémentaires, le service métier
primes, augmentations…) valide ?
NON OUI
Intégrer
SERVICE
les OD FIN
COMPTABILITÉ
de paie
LÉGENDE Première et dernière étape Étapes Une action Lien entre 2 activités
140
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
SCÉNARIO LOGIGRAMME :
PROCESSUS PAIE
PROCESSUS PAIE AVEC LITIGE
Est-ce que
SERVICE Traitement les conditions du NON
protocole ont été Refus
JURIDIQUE juridique
respectées ?
Transmission
SERVICE Litige avec
DÉBUT des variables OUI
MÉTIER le salarié
de paie
Intégrer
SERVICE
les OD FIN
COMPTABILITÉ
de paie
LÉGENDE Première et dernière étape Étapes Une action Lien entre 2 activités
141
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
SCÉNARIO
PROCESSUS PAIE
Analyse et traitement
de la paie
Validation de la paie
Mise en paiement
142
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
SCÉNARIO
PROCESSUS PAIE
QUESTIONNAIRE
GRILLE D’ANALYSE DES TÂCHES :
RISQUES SUR LA QUALITÉ DES DONNÉES
143
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
Risques/Points
Tâches Risque 1 Risque 2 Risque 3 Risque 4 Risque 5 Risque 6
d'audit
144
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
145
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
Risques/Points
Données Fraude 1 Fraude 2 Fraude 3 Fraude 4 Fraude 5
d'audit
Utilisation non
Adresse d’envoi des Usurpation Historique des bulletins
Risque identifié autorisée de la RIB d’origine
bulletins de paie d’identité de paie
donnée
Traitement
de la paie Exhaustivité, fiabilité,
Non conformité de Exhaustivité, fiabilité, intégrité des données Non conformité de intégrité des données
Points d'audit
la réglementation Communication absente/inefficace/erronée la réglementation Communication absente/
inefficace/erronée
Utilisation interdite
des données à Masse salariale Données dont la
Situation
Risque identifié caractère personnel annuelle collecte est interdite
Données d’handicap
(nom, adresse, (divulgation) par la loi
à caractère
origine…)
personnel
146
GUIDE AUDIT DES PROCESSUS
07
FICHE 07 - PAIE
SCÉNARIO EXEMPLE
PROCESSUS PAIE
NEP 315 : P
RISE DE CONNAISSANCE DE L’ENTITÉ ET SON La société ABG est une société de publicité.
ENVIRONNEMENT : SOCIÉTÉ DE PUBLICITÉ Le salarié DIG reçoit son bulletin de paie et les caisses de cotisations la DSN.
NEP 265 : COMMUNICATION DES FAIBLESSES DU CONTRÔLE INTERNE Le CAC fait une analyse des risques : le processus mis en place a-t-il
NEP 330 : TESTS DE PROCÉDURE des faiblesses ?
NEP 240 : P
RISE EN CONSIDÉRATION DE LA POSSIBILITÉ
DE FRAUDES LORS DE L'AUDIT DES COMPTES
Étape 1 | E
ntretien avec le PAIE et tous les services intervenant dans ••Qualification
le processus ªªDéfinir les critères pertinents permettant
de qualifier les données en fonction des contraintes
147
GUIDE AUDIT DES PROCESSUS
GLOSSAIRE
GLOSSAIRE
148
Notre profession accompagne des entreprises de plus en plus informatisées, collectant et traitant des
millions de données. Elle se doit donc d’évoluer pour conserver le contrôle des données financières ana-
lysées dans un contexte de cas de fraude en croissance permanente. Après une série de conférences sur
le rôle du commissaire aux comptes dans la lutte anti-fraude organisées dès 2015, la CRCC de Paris, sous
l’impulsion de Frédéric Burband, vice-président, a décidé de créer la commission “ Audit informatique ”,
en partenariat avec l’AFAI, qui rassemble des spécialistes du contrôle interne informatique et de l’analyse
de données informatique.