ÉDITORIAL
DILIGENCES DU COMMISSAIRE AUX
L
es systèmes d’informations
des entreprises structurées
ont connu courant les
dernières années une
évolution vers la dématérialisation
des données, le traitement des flux
importants des opérations, la gestion
des bases de données aussi bien
que l’automatisation du circuit de
traitement de l’information.
Cette évolution a poussé les décideurs
à l’appréciation de leurs systèmes
d’information et à la centralisation
des données gérées sur plusieurs
interfaces informatiques et ce, à travers
l’implantation des Progiciels de Gestion
Intégrée PGI, connus sous l’acronyme
ERP « Entreprise Ressource Planning ».
Ce progiciel permet l’administration de
l’ensemble des processus de gestion
DILIGENCES DU COMMISSAIRE AUX COMPTES DANS UN ENVIRONNEMENT
1 GÉRÉ PAR UN SYSTÈME D’INFORMATION COMPLEXE CAS D’UN (ERP)
COMPTES DANS UN ENVIRONNEMENT
GÉRÉ PAR UN SYSTÈME
D’INFORMATION COMPLEXE :
CAS D’UN (ERP)
Mme Siham ALAMI SOUNNI
Senior Manager en Audit
d’une entreprise (la gestion commerciale cadre d’un environnement géré par un
des commandes, la gestion des stocks, système d’information complexe tel que
la gestion de la facturation, la gestion l’ERP.
comptable, la gestion du recouvrement…) Toutefois, la norme d’audit international
dans une seule plateforme basée sur « ISA 315 » relative à l’identification et
l’alimentation d’une seule base de à l’évaluation des risques d’anomalies
données. significatives par la connaissance de
Face à cette évolution, le commissaire l’entité et de son environnement », a fait
aux comptes est contraint d’adapter son référence à l’appréciation du système
plan de mission et sa démarche d’audit d’information de la structure auditée.
classique pour satisfaire ses diligences
par assertion d’audit et d’apprécier
l’impact et le risque de ce nouveau
modèle de gestion sur le circuit de la
production de l’information financière
jusqu’ à l’élaboration des états de
synthèse.
Une activité normée tel que l’audit
légal n’a pas appréhendé d’une manière
détaillée les diligences à suivre dans le
Selon la norme :
« L’auditeur est tenu de prendre connaissance du système d’information et des processus opérationnels y
afférents, pertinents pour l’élaboration de l’information financière notamment :

(a) Les flux d’opérations qui, dans les activités de l’entité, sont importants pour l’alimentation des états
financiers.
(b) Les procédures, à l’intérieur du système informatique et des systèmes manuels, par lesquelles les
opérations sont initiées, enregistrées, traitées, corrigées si nécessaire, reportées au grand livre et présentées
dans les états financiers ;
(c) Les enregistrements comptables concernés, les informations les sous-tendant et les postes spécifiques
des états financiers qui sont utilisés pour initier, enregistrer, traiter et présenter les opérations ; ceci
inclut la correction des informations erronées et la façon dont l’information est reportée au grand livre. La
comptabilisation peut être faite soit sous forme manuelle, soit sous forme électronique ;
(d) La façon dont le système d’information appréhende des événements et des circonstances, autres que des
flux d’opérations, qui sont importants au regard des états financiers ;
(e) Le processus d’élaboration de l’information financière appliqué pour préparer les états financiers
de l’entité, y compris les estimations comptables et les informations importantes fournies dans les états
financiers ;
(f) Les contrôles exercés sur les écritures de journal, y compris les écritures non standard utilisées pour
comptabiliser des opérations non récurrentes ou inhabituelles, ou des ajustements. »

Pour une meilleure compréhension du processus
d’élaboration de l’information financière alimentant
les états financiers de l’entreprise, la prise de
connaissance du système d’information s’avère
nécessaire par l’auditeur.
Cette compréhension devrait cerner dans un
premier temps le schéma de fonctionnement global
de cet outil, à savoir les fonctionnalités suivantes :
9 Les processus d’alimentation ou de saisie des
données et son circuit d’enchainement jusqu’à
l’aboutissement final aux états financiers.
9 L’identité des utilisateurs et leurs fonctions au
sein de l’entité auditée ;
9 Les habilitations accordées à l’ensemble
du personnel et les contrôles mis en œuvre
pour la limitation des droits d’accès à ce
progiciel, les droits de validation, les droits
de modification et les droits de consultation ;
9 Les états d’entrée et de sortie de chaque
processus ;
9 Les modalités de gestion des bases de
données ;
9 La fréquence des tests systèmes réalisés sur
cet ERP ;
9 La politique de sauvegarde des données ;
9 La traçabilité des données dans le système
d’information.
Dans un environnement géré par un Progiciel de
Gestion Intégrée, la gestion des données comptables
et financières demeure complexe et diffère de la
notion de la comptabilité classique connue par
l’ensemble des auditeurs, où le comptable est le seul
responsable sur la production des états financiers.
Le principe de rattachement des charges et
des produits est lié à la date de l’intégration de
l’opération dans le progiciel où les différentes
sections des états financiers sont alimentées
directement à travers l’automatisation des modules
du progiciel.
La notion du contrôle interne peut alors disparaitre
dans les modules de ce Progiciel et amplifie le
risque d’anomalies ou de fraude non maitrisé par
l’entité ni par l’auditeur.
Pour y faire face, l’auditeur est tenu de prendre
en considération deux principaux risques pouvant
avoir un impact sur le contrôle interne et sur les
états financiers en dernier lieu.
Premièrement, la dépendance à l’égard de ce
système d’information notamment le traitement des
données erronées ou le traitement incorrect de ses
données ou les deux à la fois ;
Pour pallier à ce risque, l’auditeur est tenu de
vérifier le schéma des contrôles instaurés pour la
validation du circuit de traitement de l’information
depuis son intégration dans le progiciel jusqu’à sa
comptabilisation dans les comptes de l’entité.

DILIGENCES DU COMMISSAIRE AUX COMPTES DANS UN ENVIRONNEMENT

2 GÉRÉ PAR UN SYSTÈME D’INFORMATION COMPLEXE CAS D’UN (ERP)
Si le processus de traitement est automatisé, les utilisateurs, l’identification des risques
l’auditeur est tenu de vérifier la fréquence des tests préalables, leurs mesures d’atténuation et
réalisés par la société pour limiter la survenance de leurs modalités de gestion dans le temps ;
ces erreurs, d’apprécier les rapports de ces tests et
• Le traitement des opérations récurrente au
le nombre d’anomalies constatées.
quotidien : l’auditeur est tenu d’apprécier les
Deuxièmement, la séparation des tâches en matière modalités de traitement de l’information, la
de la gestion des autorisations, et plus précisément fréquence de son traitement, les tests opérés
les habilitations accordées à des utilisateurs non sur le système et les mesures de détection
autorisés à la gestion des bases de données, ou des des erreurs d’exploitation ;
habilitations accordées aux gestionnaires de base
• L’accès aux programmes et aux données : cet
des données leur donnant le droit d’apporter des
aspect cerne notamment la sécurisation des
modifications et ou de supprimer des données ;
accès du système d’information, la politique
Dans ce cas-là, l’auditeur est tenu d’analyser la de sécurité adoptée par la société en matière
matrice des habilitations communiquée par la de gestion des comptes et des profils des
société ou de reconstituer sa propre matrice selon utilisateurs ;
sa compréhension initiale des processus et la
• Le développement et les modifications des
confirmer par des tests alternatifs.
programmes : l’auditeur est tenu de statuer
De même, il est tenu de vérifier la fréquence de sur les changements significatifs opérés sur
renouvellement des mots de passe et leur complexité. le système d’information et si la gestion de ce
Et en dernier lieu, d’apprécier le système de sécurité progiciel est faite en interne ou en externe de
et de traçabilité de l’information dans ce progiciel. l’entité. Il doit vérifier aussi l’existence d’un
système de maintenance permanent et d’un
De nos jours, les décideurs font appel à ce genre
système de contrôle qualité opérationnel ;
de progiciel pour renforcer leur capacité de suivre
de plus près, les performances et la rentabilité de • Surveillance des opérations informatiques :
leur entreprise, mais ils sont obligés de garantir une L’entité auditée est tenue de formaliser
fiabilité permanente du contrôle interne. des règles et des procédures de travail lui
permettant de garder un droit de regard et
Pour répondre à cette contrainte, la notion d’audit
de contrôle sur les modalités de traitement
des systèmes d’information ou notamment celui
de l’information dans cet environnement.
des progiciels de gestion intégrée a vu le jour pour
renforcer les systèmes de sécurité de ces progiciels, Les travaux de recherches menés sur cet aspect
garantir un contrôle interne performant et assurer restent très limités, face au développement
une meilleure gestion des risques. croissant des systèmes d’informations complexes
des structures où l’auditeur est obligé d’orienter sa
Cet audit demeure ainsi une bonne pratique à suivre
mission et ses diligences vers un audit d’un système
par la société pour mettre à jour sa cartographie
d’information complexe.
des risques.
La profession est tenue alors d’appréhender ces
Dans le cadre de ses diligences, le commissaire
aspects dans la démarche d’audit et de normer les
aux comptes pourra se référer à cette cartographie
diligences à suivre pour faire face à ce changement
pour planifier et mener sa mission à terme, comme
imminent dans les systèmes de gestion des sociétés.
il pourra faire appel à l’expertise d’un ingénieur
en informatique pour s’assurer de la conformité
des processus gérés par le progiciel ou à la limite
d’apprécier le niveau de risque décelé et son impact
sur l’élaboration de l’information financière.
En conclusion, le plan de mission du commissaire
aux comptes dans un environnement géré par un
système d’information doit prendre en considération
les cinq aspects suivants :
• L’environnement de contrôle informatique :
l’auditeur est amené à vérifier le niveau
de structuration des contrôles instaurés
par l’entité, la gestion des habilitations,
la répartition des taches adéquate entre

DILIGENCES DU COMMISSAIRE AUX COMPTES DANS UN ENVIRONNEMENT

3 GÉRÉ PAR UN SYSTÈME D’INFORMATION COMPLEXE CAS D’UN (ERP)