Académique Documents
Professionnel Documents
Culture Documents
Plan du cours
Introduction
communication.
par ordinateur .
Certes, les entreprises surveillent déjà leurs activités et leurs actifs et les
commissaires aux comptes exercent leur contrôle sur les opérations
financières. Mais cela n'a pas toujours suffi à protéger les actionnaires.
3
communication entre les différents acteurs du monde des affaires.
Notamment entre l'entreprise et ses clients, le fonctionnement interne de
l'entreprise et la relation de l'entreprise avec ses différents partenaires et
fournisseurs.
Par ailleurs, l'approche d'audit adoptée par les auditeurs doit prendre en
compte ce nouveau contexte et les nouveaux risques qui peuvent
prendre naissance.
4
Ainsi la question qui se pose est de savoir qu'elles sont les
principales technologies d'information et de communication
utilisées par les entreprises et d'analyser leurs impacts sur la
démarche d'audit financier ?
5
basés sur des systèmes informatiques dans l'exercice de leurs missions
légales, contractuelles ou internes. Or, ces systèmes informatiques
subissent une évolution de plus en plus rapide. S'ils estiment, au départ,
qu'il faut traiter l'informatique à part, les auditeurs sont convaincus,
aujourd'hui, que l'informatique doit être intégrée dans leur démarche
professionnelle et dans chacune de leurs préoccupations.
Ainsi, l'approche d'audit, usuellement adoptée dans les entreprises,
doit répondre à ce nouveau contexte et aux risques nouveau-nés.
6
Chapitre 1: Système et Technologie
d’InformatIon et de communication.
Avant d’examiner la certification et la vérification des comptes dans un
milieu informatisé, il convient, tout d’abord de définir les notions de base sur
les quelles est fondé ce cours à savoir les systèmes d’information des
entreprises, les différentes technologies de l’information et de communication
utilisées dans les entreprises.
§ 1 : Définition
En informatique et en télécommunications, et plus généralement dans le
monde de l’entreprise, le terme système d’information possède les
significations suivantes : « un ensemble organisé de ressources ( personnel,
données, procédures, matériel, logiciel…) permettant d’acquérir, de
stocker, de structure et de communiquer des informations sous forme de
textes, images, sons, ou de données codées dans des organisations ».
§ 2 : Catégories de systèmes
On distingue généralement trois grandes catégories de systèmes selon les types
d’applications informatique :
7
Section2 : Catégorie et Composition d’un Système
d’Information.
2 – 1 : L'architecture Client / Serveur
Tout utilisateur dans l'entreprise doit pouvoir accéder à toute information utile à sa
tâche dès lors que cet accès est autorisé par les règles de confidentialité et de
sécurité en vigueur. L'accès doit être instantané et doit pouvoir être fait à partir de
n'importe quel poste de travail.
L'accès à l'information doit avoir lieu par une interface, aussi simple que possible,
choisie par l'utilisateur.
8
2 - 2 : L'Echange de Données Informatisé (EDI)
Selon un article de Pierre SOURIS l'EDI peut être définit comme étant « Un
concept d'échange de données informatisé visant à transférer d'application à
application, à l'aide d'ordinateur, connecté sur un ou plusieurs réseau des
données structurées selon un langage normalisé ».
Son but principal n'est pas d'éliminer le papier, mais plutôt d'éliminer les saisies
multiples et les temps de transmission.
L'EDI peut être utilisé dans plusieurs domaines, comme par exemple la
transmission des commandes, des avis de réception, des factures, des informations
financières, des paiements, des déclarations fiscales, etc.
L'EDI peut présenter des avantages tout à fait substantiels : au minimum une
amélioration d'efficacité et une diminution des coûts.
Mais il peut également avoir, sur une entreprise, un impact beaucoup plus
significatif. Quand on le considère, et quand on l'utilise, comme une nouvelle
manière de travailler, les bénéfices à en tirer peuvent être conséquents.
9
A leur nombre, on peut citer :
Selon Baglin, G. et al, (2005), les systèmes d'information (SI) étaient constitués
d'applications spécifiques séparées (comptabilité, gestion de production, gestion
commerciale, etc.).
LLAIN, F.A, (2006) prévoit que « les ERP sont principalement destinés aux
grandes entreprises ou multinationales du fait du coût important. Cependant, le
marché des ERP tend à se démocratiser vers les PME/PMI. Certains éditeurs
conçoivent un ERP uniquement pour ce type de structure. Enfin, il existe des ERP
open source ce qui revient moins cher, puisqu'il n'y a pas de coût de licence (ils sont
gratuits). En revanche, il faut inclure dans le calcul du coût d'acquisition total, les
frais de maintenance et l'assistance technique».
10
Les ERP présentent les caractéristiques essentielles suivantes :
Selon un article de Wikipédia: Les principaux avantages de l'ERP sont les suivants
Ce dernier point est essentiel et la mise en oeuvre d'un ERP/PGI dans une
entreprise est fréquemment associée à une révision en profondeur de l'organisation
des tâches et à une optimisation et standardisation des processus, en s'appuyant
sur le « cadre normatif » de l'ERP/PGI.
Price Water house Coopers a prévu que « Le langage XBRL est un langage
Internet qui nous offre des bénéfices-clés en combinant technologie et expertise en
matière de Reporting. Il permet une préparation plus rapide, meilleure et à moindres
coûts et l'utilisation de l'information requise par la direction et les parties prenantes.
XBRL améliore considérablement la fiabilité et la vitesse d'accès aux informations
financières ».
Le langage XBRL est absent en Tunisie, mais son utilisation s'accroît de plus en
plus dans les autres régions du monde, en particulier grâce aux efforts déployés par
les organismes de réglementation.
11
XBRL permet la lecture électronique des données et leur regroupement dans des
documents appelés instances qui peuvent être lus par d'autres systèmes
informatiques. Bien que le langage XBRL puisse servir à préparer des états et des
rapports financiers en texte clair, il convient de noter que son plus grand avantage
réside dans le fait qu'il permet aux systèmes informatiques d'extraire des données
directement des instances pour ensuite les présenter sous une forme qui répond
aux besoins d'un type particulier d'utilisateurs, par exemple les analystes financiers
ou les autorités de réglementation.
Comme l'explique l'étude de Price Water house Cooper, XBRL constitue une
méthode standard d'étiquetage de données dans un format interprétable par la
plupart des logiciels.
12
Selon NIMMONS, A., (2005), le langage XBRL comporte des avantages par
rapport à la façon dont les rapports sont assemblés et distribués aujourd'hui, du fait
que XBRL permet :
Il est certain qu'Internet a permis l'ouverture sur le monde à un prix réduit, et est
en train de créer très rapidement un nouveau circuit de distribution, et plus encore,
un nouveau modèle économique qui bouleverseront durablement la façon dont les
entreprises produisent et entretiennent leurs relations avec leurs principaux
partenaires économiques (clients, fournisseurs, etc.).
Ainsi, l'E-Business consiste à connecter les chaînes de valeur entre les différentes
entités, divisions et localités afin de vendre davantage, de se rapprocher des clients,
de réduire les coûts et d'ouvrir de nouvelles voies.
En l'an 2000, l'ISACA a limité cette définition aux transactions conduites sur
Internet
13
Chapitre 2 : l’Impact des technologie
d’InformatIon et de communication sur
l’audIt fInancIer.
Section 1 : Définition de l’Audit.
Définition générale de l’audit :
Par définition,« l’audit est l’examen par un professionnel compétent et
indépendant, en vue de l’expression d’une opinion motivée sur la régularité, la
sincérité et l’efficacité d’une série d’opérations (juridiques,
sociales,comptables, informatiques…) d’une entreprise par rapport à des
critères de qualité. Il consiste à des référentiels internes ( politique de
l’entreprise ) ou externes ( réglementation ) de manière à mettre en
évidence des écarts ou des disfonctionnements, en rechercher les causes
et les conséquences en termes de risques et de couts, permettant ainsi
à l’auditeur de présenter dans un rapport des avis et des
recommandations à court et moyen termes » ( RAVALEC J-P , 1991, p 12 ).
15
La prise de connaissance consiste à réaliser, en association étroite, avec
l’évaluation du risque inhérent, une évaluation du risque lié au contrôle Interne en
vue de déterminer le risque d’anomalies significatives dans les comptes.
Chaque auditeur peut définir comme il l’entend les différents cycles de contrôle sur
lesquels il souhaite intervenir.
• Achats / fournisseurs ;
• Ventes / clients ;
• Trésorerie ;
• Immobilisations financières ;
• Fonds propres ;
• Personnel ;
• Impôts et taxes …. ;
Le fil conducteur des travaux par cycle est constitué par les assertions
d’audit, dont la validation constitue l’objectif des travaux par cycle.
17
Section 3 : Spécificité de l’Audit Informatique .
3 - 1 : Déroulement de l’Audit en milieu Informatique.
18
Cette prise de connaissance est limitée aux systèmes ayant une
incidence significative sur les assertions sous-tendant l'établissement des
états financiers.
Selon l'ISA 400 de l'IFAC, le risque inhérent est défini comme étant
« la possibilité, en l'absence des contrôles internes liés, que le solde
d'un compte ou qu'une catégorie d'opérations comporte des
anomalies significatives isolées ou cumulées avec des anomalies
dans d'autres soldes ou catégories d'opérations ».
Cette même norme définie ainsi le risque lié au contrôle comme étant
« le risque qu'une anomalie dans un solde de compte ou dans une
catégorie d'opération, prise isolément ou cumulée avec des anomalies
dans d'autres soldes de comptes ou d'autres catégories d'opérations,
soit significative et ne soit ni prévenue, ni détectée par les systèmes
comptables et de contrôle interne et donc non corrigée en temps
voulu ».
20
- D'utilisateurs non autorisés qui acceptent, modifient, suppriment des
données sans trace visible.
21
En cas de l'externalisation de la fonction informatique, l'entreprise se
trouve susceptible d'une éventuelle perte ou détournement des actifs
contrôlés par le système.
Selon l'ISA 402 portant sur les facteurs à considérer lorsque l'entité fait
appel à un service bureau : l'expert comptable détermine l'importance des
prestations fournies par le service bureau et leur incidence sur sa mission
d'audit. Pour ce faire, il prend en compte les éléments suivants :
Si l'expert comptable conclut que les activités du service bureau ont une
incidence significative sur le fonctionnement de l'entité et peuvent en
conséquence affecter la démarche d'audit, il rassemble des informations
suffisantes pour comprendre les systèmes comptables et de contrôle
interne du service bureau et évalue le risque lié au contrôle à un niveau
élevé, ou à un niveau inférieur (moyen ou faible) selon que des tests de
procédures seront ou non réalisés.
22
D - Synthèse de l’évaluation des risques :
23
La norme CNCC 2-301 « Evaluation du risque et contrôle interne »
précise dans le paragraphe 47 que « plus le risque inhérent et le
risque lié au contrôle sont évalués à un niveau élevé, plus le
commissaire aux comptes réunit d’élément probants provenant de
contrôles substantifs. Lorsque ces risques sont évalués à un
niveau élevé, le commissaire aux comptes détermine si les
contrôles substantifs fournissent des éléments probants suffisants
pour réduire le risque de non détection, et donc le risque d’audit
à un niveau acceptable faible. L’orsqu’il constate que le risque
de non détection concernant une assertion sous-tendant
l’évaluation d’un solde de compte ou d’une catégorie d’opérations
significatif ne peut être réduit à un niveau acceptable faible, le
commissaire aux comptes exprime dans son rapport une opinion
avec réserve ou un refus de certifier pour limitation ».
Avec l'évolution des TIC, l'approche basée sur les systèmes semble être,
dans la plupart des cas, la plus adaptée et la plus efficace et ce, en raison
notamment de :
24
3 – 2 : Les effets des TIC sur la planification de la
mission d’Audit Financier :
L'évaluation des contrôles par l'auditeur se fait généralement par
références aux objectifs du contrôle. Nous allons étudier, dans ce qui suit,
l'évolution de ces objectifs dans le cadre d'un milieu informatisé.
25
2. L'exhaustivité des inputs :
26
taux de remise, etc.) ou des données de référence (exemple : numéro du
compte, date de l'opération, les indicateurs du type de la transaction, etc.).
Ce type de contrôle est mis en place pour les éléments de données qu'il
est souvent difficile ou non pratique de contrôler autrement.
Les contrôles d'intégrité sont requis aussi bien pour les données des
transactions que pour les fichiers de données permanentes et semi
permanentes. Ils sont désignés pour assurer que :
Les techniques les plus utilisées pour contrôler et maintenir l'intégrité des
données sont les suivantes :
27
Exemple : cette technique peut être utilisée pour contrôler l'exactitude des
fichiers des prix de valorisation des stocks en produisant périodiquement les
rapports d'exception suivants :
- Les prix n'ayant pas été modifiés pour une certaine période ;
- Les prix ayant des relations anormales avec les prix de vente ;
Les contrôles sur l'exhaustivité des inputs peuvent être applicables pour
contrôler l'exhaustivité des mises à jour.
Lorsque les fichiers informatiques sont mis à jour, des contrôles sont
nécessaires afin de s'assurer que la nouvelle entrée est correctement
traitée et a correctement mis à jour les bons fichiers.
Exemple : La modification du prix d'un article est saisie avec son ancienne
valeur. L'ordinateur rapproche la référence et l'ancien prix saisi avec le
fichier des données permanentes correspondant. La modification n'est
acceptée que si le rapprochement aboutisse.
28
• La limitation d'accès : Ce contrôle est destiné à éviter que des
personnes non autorisées puissent accéder aux fonctions de
traitement ou aux enregistrements, leur permettant de lire, modifier,
ajouter ou effacer des informations figurant dans les fichiers de
données ou de saisir des transactions non autorisées pour traitement.
29
3 – 3 : Les effets des TIC sur les éléments probants :
30
1. La dématérialisation des preuves d'audit :
Dans le cadre d'une société qui utilise l'ERP, touts les documents de
preuves sont stockés dans une base de donnée.
En effet, la défaillance des contrôles peut avoir des effets différents selon
la nature du contrôle.
31
+ Eléments probants liés aux contrôles généraux informatiques :
Les tests sur les contrôles des utilisateurs peuvent être suffisants dans les
systèmes informatiques où l'utilisateur vérifie toute la production du système
(output) et aucune confiance n'est placée sur les procédures programmées
ou sur les données tenues sur fichier informatique.
32
la dématérialisation de la preuve, de l'importance du volume des opérations
et de la complexité des traitements.
Par conséquent, le contrôle des utilisateurs ne peut être que très sommaire
et vise à identifier les éléments ayant un caractère inhabituel ou douteux.
33
Exemple : Les sociétés d'un secteur qui utilisent l'EDI ont créé chacune
une société fictive dans leurs systèmes. Les vérificateurs utilisent les
sociétés fictives pour transmettre des opérations, vérifier que les accusés
de réception sont envoyés et que des rapports d'anomalies faisant état des
opérations inhabituelles sont imprimés.
34
3 – 4 : Les effets des TIC sur la nature et le
calendrier des procédures d’audit :
L'environnement informatique peut avoir une incidence sur la conception
et l'exécution des tests sur les contrôles et des tests substantifs nécessaires
pour atteindre l'objectif d'audit.
Dans un milieu informatisé, les types de tests sur les contrôles sont les
mêmes que dans un milieu non informatisé.
36
d'exceptions qui mettent en cause des systèmes informatiques. En effet, si
les contrôles automatisés (et les contrôles manuels s'y rattachant) ou les
fonctions de traitement informatisées sont inefficaces à un moment donné, il
est probable qu'un certain nombre de transactions soient affectées. Par
exemple :
- Une erreur dans les prix de vente unitaires utilisés dans la préparation des
factures aura pour conséquence de fausser toutes les facturations
effectuées depuis l'apparition de l'erreur.
• Procédures analytiques ;
• Demande d'informations et de confirmations ;
• Examen des documents et des enregistrements.
37
3. Le recours aux techniques d'audit assistées par ordinateur (TAAO) :
Par ailleurs, l'utilisation des TAAO peut, dans certains cas, améliorer
l'efficacité et l'efficience des procédures d'audit. En effet, l'utilisation des
techniques informatisées offre l'accès à une quantité plus importante de
données conservées dans le système informatique.
Selon la CNCC, les principaux avantages des TAAO sont les suivantes :
38
4. Le calendrier des procédures d'audit :
39
3 – 5 : Les effets des TIC sur les aptitudes et les
compétences nécessaires de l’auditeur financier :
L'impact des technologies de l'information et de communication sur les
aptitudes et les compétences nécessaires de l'auditeur financier est devenu
de plus en plus important.
Avec les développements constants dans tous les domaines, il est difficile
que l'expert comptable soit spécialiste dans tous ces domaines. L'auditeur
doit, quand même, veiller à avoir un minimum de formation et de
compétence en matière de technologies de l'information et de la
communication.
40
• Diriger et superviser le déroulement des travaux du spécialiste ;
• Intégrer les conclusions des travaux du spécialiste avec celles de
l'audit.
Un système complexe est défini comme étant un système qui exige une
connaissance profonde des environnements informatiques et qui présente,
selon l'ISA 401, les caractéristiques suivantes:
• Le volume des opérations est tel qu'il est difficile aux utilisateurs
d'identifier et de corriger des erreurs de saisie, de traitement, de
restitution, de programmes, etc. ;
• L'ordinateur génère automatiquement des opérations ou des écritures
importantes intégrées directement dans une autre application ;
• L'ordinateur exécute des calculs complexes d'informations financières
et/ou génère automatiquement des opérations ou des écritures
importantes qui ne peuvent être (ou ne sont pas) validées en dehors
de l'application ;
• Des opérations font l'objet d'un échange électronique avec d'autres
entités (comme dans les systèmes d'échange des données
informatiques (EDI)) sans contrôle manuel de la pertinence du
caractère normal de ces échanges.
Le spécialiste peut être soit engagé par l'entité soit engagé par l'auditeur.
42
regard de l'information financière et ce, en examinant l'adéquation de la
démarche suivie et la suffisance, la pertinence et la fiabilité des données
utilisées pour aboutir aux conclusions formulées.
43