Contrôle Et Audit: Encg Agadir 2013

CONTRLE ET AUDIT
Par
Abdelhaq Elbekkali, Ph.D, Expert-comptable,

commissaire aux comptes
Professeur titulaire
ENCG AGADIR 2013

Thmes abords
Thme 1. Contrle interne et gouvernance
Thme 2. Contrles comptables
Thme 3. Contrles informatiques et gouvernance des TI
Thme 4. Processus d'audit comptable
ENCG Agadir 2013 2

Thme 1
Contrle interne et gouvernance
A. Les fondamentaux du contrle interne

B. Les fondamentaux de la gouvernance corporative.
ENCG Agadir 2013 3

A. Les fondamentaux du contrle interne
Le contrle interne, cest quoi?
un processus mis en uvre par le conseil dadministration,

les dirigeants et le personnel dune organisation, destin
fournir une assurance raisonnable quant la ralisation des
objectifs suivants : la ralisation et loptimisation des
oprations, la fiabilit des informations financires et la
conformit aux lois et aux rglements en vigueur .
(COSO I Report)
Committee of Sponsoring Organizations of the Tradway
Commission (tats-Unis).
ENCG Agadir 2013 4

Les objectifs du contrle interne
Lefficacit, lefficience et lconomie du fonctionnement (les 3 E)
Lefficacit : fait rfrence la ralisation des objectifs dans un

dlai dtermin
Lefficience : sintresse la relation intrants / extrants (le chemin

le plus court)
Lconomie : se rapporte au cot dacquisition des ressources (le

moyen le plus conomique).
La fiabilit de linformation
La conformit aux lois, aux rglements et aux politiques internes.
ENCG Agadir 2013 5

Les composantes du contrle interne: lapproche du COSO
Le cube du Coso1 Processus visant

dterminer si le contrle
interne est correctement
Processus qui assure conu et mis en oeuvre et
que linformation sil est efficace et
pertinente est adaptable.
dtermine et
communique de faon Politiques et procdures qui
opportune. contribuent assurer que
les mesures dsignes pour
grer les risques sont
valuation des facteurs
appliques et quelles sont
internes et externes qui
opportunes.
ont une incidence sur le
rendement de
lentreprise. La conscience du contrle
de lentreprise. Le ton est
donn au sommet .
ENCG Agadir 2013 6
1. Lenvironnement de contrle
Deux types de facteurs :
Contrles intangibles : Intgrit, thique, engagement envers la

comptence, attribution de lautorit et de la responsabilit et
style de gestion..
Contrles tangibles : structure organisationnelle, politique en

matire de ressources humaines
ENCG Agadir 2013 7

2. Lvaluation des risques
Cette valuation implique la dtermination du type dobjectif qui

serait affect: oprationnel, communication de linformation
financire, conformit
Les lments cls de lvaluation des risques:
La dfinition pralable des objectifs;

Lidentification des risques associs latteinte des
objectifs;
La dtermination des risques qui sont cruciaux;
La dtermination de la probabilit de ralisation et des
consquences
La dtermination des mesures de rduction des risques.
ENCG Agadir 2013 8

3. Les activits de contrle
Ces activits rpondent au besoin de politiques, procdures et

actions spcifiques pour grer les risques lis la ralisation
d'objectifs de contrle spcifiques
Exemples: procdures crites, autorisations, tenue de dossiers,

sparation de tches pour sassurer de la fiabilit de linformation
financire.
ENCG Agadir 2013 9

Les contrles prventifs
Contrle utilis pour dtecter et rendre compte lorsque des erreurs,

omissions et des utilisations non autorises surviennent
Exemples:
utiliser un logiciel de scurit pour le contrle des accs

nemployer que du personnel qualifi
sparer les tches incompatibles
utiliser une bonne documentation pour prvenir les erreurs
utiliser des procdures convenables pour lautorisation des transactions
processus dassurance qualit.
ENCG Agadir 2013 10

Les contrles de dtection
Ces contrles ont pour objectif de dtecter les erreurs qui pourraient se
produire malgr lexistence des contrles de prvention. Exemples:
imprimer une liste des journalisations pour le suivi des violations ou des
enregistrements non autoriss
double audit des calculs
suivre les rapports sur les comptes payer
Les contrles correctifs
Contrles utiliss pour dtecter et faire rapport lorsque des erreurs,

omissions et des utilisations non autorises ont eu lieu. Exemples
Processus automatis pour valider la date sur la facture

Mise jour dun outil informatique
Procdures de prise de copies de scurit et conservation des copies
lextrieur du site.
ENCG Agadir 2013 11

4. Linformation et communication
Identification et communication des mesures cls dvaluation de la

performance;
Comprhension par le personnel de ses responsabilits lgard du

contrle;
Mcanismes de traitement, en temps opportun, des proccupations et

plaintes des clients, fournisseurs ou employs et des litiges
5. Le pilotage (surveillance)
Supervision des contrles par la direction ou dautres parties extrieures au

processus
ENCG Agadir 2013 12

Les limites du contrle interne
les progrs technologiques peuvent accrotre le risque daccs non

autoriss aux systmes et aux donnes
le fait que la direction exige habituellement que le CI soit rentable
le fait que la plupart des contrles sont conus surtout en fonction

doprations de nature rptitive et non doprations inhabituelles
le risque derreurs humaines
la variation de lefficacit du CI en fonction du volume des oprations

ou des mouvements du personnel
le risque de collusions visant rendre inoprant des contrles axs

sur la sparation des tches
le risque dabus de pouvoir de la part des responsables de

lapplication du CI.
ENCG Agadir 2013 13

B. Les fondamentaux de la gouvernance corporative
Lensemble des activits utilises pour diriger et contrler les

affaires de lorganisation dans le but datteindre ses objectifs. Les
activits de gouvernement dentreprise comprennent les mcanismes
et la structure mis en place permettant aux propritaires dexercer
leur autorit sur les gestionnaires qui sont dlgus
ladministration de lorganisation, les responsabilits du conseil
dadministration relatives au contrle ainsi que les
mcanismes de reddition des comptes mis en place pour assurer une
bonne imputabilit
Source : Gouvernement dentreprise et contrle, Jean Bdard et Hlne Racine.
ENCG Agadir 2013 14

La gouvernance dentreprise comprend la gouvernance
institutionnelle, dactivit et des Technologies de linformation. Elle vise un
quilibre entre la conformit et la performance
(ITGI, 2005)
La gouvernance institutionnelle est le systme par lequel les

entreprises sont diriges et contrles(Cadbury Report, 1992);
La gouvernance dactivit comprend les processus de performance

permettant la cration de valeur (IT Governance, 2005);
La gouvernance des TI intgre et institutionnalise les meilleures

pratiques pour sassurer que les TI supportent les objectifs daffaires
de lorganisation.
ENCG Agadir 2013 15

Dfinition et dimensions de la gouvernance (suite)
Quelle diffrence entre Gouvernance et Gestion ?
La gouverne:
La gestion:
Autre diffrence
La Gouvernance sinscrit, avant tout, dans une perspective

dite exogne du systme et ne peut tre assimile aux bonnes
pratiques de gestion interne qui sinscrivent plus dans une
perspective dite endogne , nintressant pas forcment les
actionnaires ou les citoyens.
ENCG Agadir 2013 16

La gouvernance suppose donc pour lorganisation la mise en place
de mcanismes lui permettant datteindre ses objectifs et de se
conformer aux contraintes de son environnement interne et externe
Concrtement, il y a un besoin dun contrle efficace :
des ressources
des systmes
de la structure
des tches
de la culture.
ENCG Agadir 2013 17

Les nouvelles rgles de gouvernance (la loi Sox)
La loi Sarbanes-Oxley (en rfrence ses commanditaires, le snateur Paul S.

Sarbanes et le dput Michael G. Oxley) a t promulgue aux tats-Unis, en
juillet 2002, suite laffaire Enron
Lobjectif de la loi SOX est de restaurer la confiance des investisseurs et de

renforcer la gouvernance dentreprise, largement entame par les scandales
financiers
La loi SOX impose aux entreprises de nouvelles obligations en faveur

de la transparence et de lexactitude de linformation financire travers trois
grands principes :
La responsabilit de la direction
Lintgrit et accessibilit de linformation financire
Lindpendance de lauditeur externe des tats financiers.
ENCG Agadir 2013 18

La loi SOX exige des dirigeants des entreprises et notamment du PDG(CEO)
et du directeur des finances (CFO), la certification personnelle des rapports
financiers et des contrles internes
Section 404 (a): les dirigeants des entreprises doivent produire un rapport
spcifique, dans lequel ils reconnaissent leur responsabilit quant :
limpact du contrle interne sur la prparation de linformation

financire;
la nature et larchitecture du contrle interne retenue;
lvaluation de lefficacit de ce contrle
Section 404 (b), impose lauditeur des tats financiers de certifier, dans un
rapport spcifique, lapprciation des dirigeants quant lefficacit
du contrle interne.
ENCG Agadir 2013 19

Les intervenants et leurs responsabilits
Le conseil dadministration
La direction
Le comit daudit
Lauditeur interne
Lauditeur financier externe.
ENCG Agadir 2013 20

Thme 2
Contrles comptables
ENCG Agadir 2013 21

Le systme comptable
Le systme comptable est constitu des mthodes et des registres

tablis pour identifier, rassembler, analyser, classifier, enregistrer et
rapporter les oprations dune entit, tout en sauvegardant
lobligation de rendre compte des actifs et des dettes qui leur sont
relies.
ENCG Agadir 2013 22

Un systme comptable efficace prvoit
des mthodes et des registres qui permettent:
didentifier et enregistrer toutes les oprations valides
de dcrire les oprations lintrieur des limites de temps et de

faon suffisamment dtaille pour permettre la classification
approprie pour prparer les E/F
de mesurer la valeur des oprations de manire approprie

pour permettre lenregistrement adquat dans les E/F
de dterminer la date des oprations (exercice comptable

appropri)
de prsenter correctement, dans les E/F, les oprations et

informations connexes.
ENCG Agadir 2013 23

Le systme comptable a trait aux cycles doprations et
comprennent:
Le cycle des achats et des dcaissements
Le cycle des ventes et des encaissements
Le cycle de la paie et du personnel
Le cycle des stocks et de la production
Le cycle du financement et des capitaux propres.
ENCG Agadir 2013 24

Les procdures de contrle comptables
Politiques et procdures mises en uvre par les dirigeants pour

sassurer que leurs directives sont suivies
Les procdures de contrle permettent aussi de sassurer que

des mesures adquates sont prises lgard des risques et en
vue de la ralisation des objectifs de lentit.
ENCG Agadir 2013 25

Objectifs dtaills des contrles comptables
Le contrle interne doit fournir un degr raisonnable de certitude que les

six objectifs suivants sont atteints:
1. la validit /autorisation
2. lexhaustivit
3. Lexactitude
4. le classement
5. le temps opportun
6. report et synthse.
ENCG Agadir 2013 26

Modlisation dun cycle comptable:
Ventes et encaissements
ENCG Agadir 2013 27

Catgories doprations et soldes des comptes relis au cycle Ventes-
Encaissements
tat des
Bilan rsultats
Dbiteurs Ventes
Provisions pour M/C Rendus et rabais sur
Encaisse ventes
Crances douteuses
Escomptes sur ventes
ENCG Agadir 2013 28

Objectif du cycle
valuer la fidlit de la prsentation des soldes des comptes touchs

par ce cycle.
Ce cycle comprend les comptes suivants:
Ventes
Rabais, remises
Crances douteuses
Escomptes de caisse
Clients
Provision
Encaisse.
ENCG Agadir 2013 29

Le but du systme de ce cycle:
Lenregistrement de lintgralit des ventes;
Ventes aux montants adquats (bon prix);
Lexactitude des comptes clients et le bon recouvrement des

crances;
La protection de lactif.
ENCG Agadir 2013 30

Les risques relis aux comptes du cycle.
On peut mentionner les exemples de risques suivants:
bris ou vol de m/s
vol dargent
insolvables de clients
sur ou sous-stockage
facturation au mauvais montant.
ENCG Agadir 2013 31

La documentation utilise dans le cadre de ce cycle.
Le bon de commande
La facture de vente
Le bon dexpdition
Ltat de compte du client
Le chque du client
La liste des recettes
Le bordereau de dpt
Le relev de banque.
ENCG Agadir 2013 32

Les tches relies au cycle
Peuvent tre divises en deux catgories
Les tches destines livrer la m/s au client:
Autorisation de crdit
Autorisation de la vente
Autorisation de livraison
Facturation aux clients et enregistrement de la vente.
ENCG Agadir 2013 33

Les tches destines enregistrer les encaissements et
valuer les comptes clients
Traitement et inscription des encaissements (dpt rapide pour la

mise jour du fichier matre des C/c)
Traitement des rendus et rabais et mission dune note de crdit
tablissement de la provision pour crances douteuses et

radiation des crances irrcouvrables.
ENCG Agadir 2013 34

Assertions importantes
L exhaustivit et la ralit des ventes
Lexhaustivit de lencaisse
Lexistence des C/c
La valeur des C/c
La mesure des ventes.
ENCG Agadir 2013 35

Thme 3.
Contrles informatiques et gouvernance des TI
A. Limpact des TI sur les processus daffaires : les opportunits et

les risques
B. Les contrles informatiques : les contrles gnraux et les

contrles des applications
C. lments de gouvernance des TI.
ENCG Agadir 2013 36

A. Impact des technologies de linformation sur les processus
daffaires
Sources de limportance des TI:
Les menaces qui psent sur les TI (vulnrabilit);
La capacit des TI de changer radicalement les pratiques daffaires;
Les processus des organisations dpendent de plus en plus des TI;
Les opportunits offertes par les TI en matire de rduction des

cots oprationnels;
Les cots relis aux TI.
ENCG Agadir 2013 37

Les principaux risques relis aux TI
Laccs non autoris au systme
La perte et/ou la modification de donnes et programmes
Les fraudes informatiques
Les virus informatiques
Les pannes du systme.
ENCG Agadir 2013 38

Ces risques ont un impact sur les objectifs du systme
Objectifs du systme
Intgrit
Disponibilit Confidentialit Maintenabilit
Exhaustivit Exactitude Autorisation
ENCG Agadir 2013 39

B. Les contrles informatiques:
les contrles gnraux et les contrles des
applications
NB. Les contrles gnraux seront abords dans le cadre de la gouvernance

des TI.
ENCG Agadir 2013 40

Contrles des applications informatises
Ces contrles se rapportent aux tches particulires excutes par le

systme informatique
Ils visent fournir un degr raisonnable de certitude que

lenregistrement, le traitement et la communication des donnes sont
excuts correctement
Ces contrles, qui touchent les processus dexploitation, se

prsentent gnralement sous forme dune combinaison de
contrles manuels et automatiss
ENCG Agadir 2013 41

ENCG Agadir 2013 42
Pour les contrles des applications, on distingue entre :
1. Les contrles sur lentre des donnes
2. Les contrles portant sur le traitement des donnes
3. Les contrles portant sur les donnes de sortie.
ENCG Agadir 2013 43

1. Contrles portant sur lentre des donnes
Ces contrles visent aussi fournir une assurance raisonnable que les
donnes transmises par les voies de communication ont t correctement
enregistres dans le systme et sont intgres.
2. Contrles portant sur le traitement
Lobjectif de ces contrles est de sassurer que le traitement des oprations

a t effectu comme prvu, cest--dire que:
toutes les oprations autorises ont t traites
que les oprations traites ont t toutes autorises
et que le traitement est exact.
ENCG Agadir 2013 44

Quelques exemples de contrles de traitement:
Le contrle de squence. contrle qui assure que les donnes suivent

un ordre numrique, alphabtique, chronologique ou autre. Ex. Dans le
cas dune paie, le programme pourrait inclure une ou des instructions
qui demandent au systme de sassurer que les cartes de temps des
employs sont entres, traites et classes, dans lordre des numros
de ces derniers
Le contrle de limite. contrle portant sur le respect de bornes

prtablies. Ex. Marge de crdit; gestion de stocks, etc.
Le contrle dexhaustivit: Contrle qui assure que les renseignements

enregistres, renferment tous les lments dinformations requis. Ex.
Pour lmission du chque de paie, un contrle (programm ou manuel)
assurera que toutes les informations relatives aux bnficiaires et
requises pour le paiement, sont fournies
ENCG Agadir 2013 45

Quelques exemples de contrles de traitement (suite)
Le contrle logique. Contrle permettant de sassurer que les

informations traites ne contiennent pas des lments incompatibles.
Ex. Incompatibilit due au sexe, ge, ou tout autres caractristiques
dune personne
Le chiffre dautocontrle. Permet de vrifier lauthenticit des numros

identifiant des personnes ou des choses. Ex. no dassurance sociale.
ENCG Agadir 2013 46

3. Contrles portant sur les donnes de sortie (ou sur les
rsultats)
Ces contrles visent procurer lassurance que:
les rsultats du traitement sont exacts
que seul le personnel autoris a accs aux donnes de sorties
Ces contrles ont donc pour objectif lexamen des rsultats en vue
d'en tablir lintgrit.
ENCG Agadir 2013 47

C. lments de la gouvernance des TI
La gouvernance des TI (GTI) intgre et institutionnalise les bonnes

pratiques pour sassurer que les TI supportent les objectifs daffaires
de lorganisation. La GTI permet lorganisation de tirer avantage de
son systme dinformation, en maximisant les bnfices, en profitant
des opportunits et en obtenant un avantage concurrentiels
(Cobit 4.1)
La gouvernance des TI vise rduire les risques relis lutilisation

des TI, par le biais du contrle et de laudit pour atteindre les
objectifs du systme: lintgrit, la disponibilit, la
confidentialit et la maintenabilit.
La GTI, comme tout autre sujet de gouvernance, relve de la

responsabilit directe du Conseil dAdministration.
ENCG Agadir 2013 48

La GTI permet donc de sassurer que:
Les TI sont gouvernes en fonction des meilleures pratiques

assurant que linformation et les TI supportent les objectifs
daffaires;
Les ressources TI sont utilises de faon responsable;
et que les niveaux des risques TI sont grs de faon

approprie
Bref, la GTI permet dassurer lalignement entre la stratgie TI

sur la stratgie daffaires de lorganisation.
ENCG Agadir 2013 49

ENCG Agadir 2013 50
Cobit : le rfrentiel des meilleures pratiques
de gouvernance des TI
Un rfrentiel, cest quoi?
Ensemble de rgles et dusages que les professionnels reconnaissent comme

vrais et qui devraient tre appliques. On parle aussi de modle ou de
cadre (framework)
Les meilleures pratiques, cest quoi?
Une bonne pratique, est une pratique conforme ltat de lart dun
domaine donn. Fruit de lexprience et de la recherche, son efficacit et
sa fiabilit sont avres, ont t prouves et sont reconnues par tous.
Dans le domaine des TI, il existe de nombreuses bonnes pratiques dont

lapplication permet la performance du systme et par consquent, celle de
lorganisation.
ENCG Agadir 2013 51

Une bonne pratique peut se dfinir comme tant une rgle
possdant trois proprits:
conformit ltat de lart

performance et fiabilit prouves
reconnaissance par tous.
Un rfrentiel est un recueil de bonnes pratiques
ENCG Agadir 2013 52

Quelle est lutilit du recours un rfrentiel de gouvernance des TI?
Adopter les meilleures pratiques dans le domaine
Adopter une dmarche ordonne, rigoureuse et systmatise
Amliorer la gestion de processus en mettant laccent sur les

lments prioritaires et en suggrant des solutions pertinentes
Se conformer une rglementation ou une norme
Se positionner en terme de conformit ou de performance par

rapport aux tiers (quel est notre niveau de maturit?)
Pour effectuer un audit il est ncessaire de disposer dun rfrentiel.
ENCG Agadir 2013 53

De nombreux rfrentiels ont t conus pour aider les organisations
encadrer leur GTI et la rendre effective, dont les plus reconnus et
utiliss sont:
Cobit (Control Objectives for Information and Related Technology),

ITIL (The IT Infrastructure Library),
ISO 27000
PMBOK (Project Management Body of Knowledge)
CMMi (Capability Maturity Model Integration).
ENCG Agadir 2013 54

Cobit
(Control Objectives for Information and Related Technology)
Le rfrentiel Cobit de lIT Governance Institute[1] et de lISACA[2] se

prsente aujourdhui comme le standard de facto en matire de GTI
Cobit est un rfrentiel qui permet dorganiser, par le contrle,

lalignement entre les objectifs tablis par la direction, les besoins
des utilisateurs et les ressources disponibles
Cobit sappuie sur le principe que les systmes dinformation doivent

tre conus et mis en place pour fournir une information fiable.
[1] www.itgi.org/
[2] www.isaca.org
ENCG Agadir 2013 55

Cobit, qui en est sa 5me version, est la synthse des meilleures
pratiques, auxquelles les organisations peuvent se rfrer pour contrler
et surveiller les risques relis lutilisation de leurs TI
Plus spcifiquement, Cobit permet lorganisation:
de structurer ses activits TI sur la base dun modle reconnu;
de faire en sorte que ses TI rpondent adquatement ses

exigences daffaires (alignement stratgique);
de dterminer les ressources TI contrler (les applications, les

informations, les infrastructures et les personnes);
de mieux identifier les objectifs de contrles prendre en

considration.
ENCG Agadir 2013 56

CobiT sadresse aux trois intervenants principaux de lorganisation:
La direction
Les utilisateurs des TI
Les auditeurs (internes et externes).
ENCG Agadir 2013 57

La direction (le management)
Cobit permet la direction:
de disposer dun modle structur pour matriser les risques

(financiers, organisationnels et technologiques), relis
lalignement des TI sur les objectifs de lentit
de mieux dfinir les besoins en matire de contrle TI et dintgrit

de linformation
de sensibiliser tous les intervenants limportance des contrles TI
de raliser efficacement des diagnostics des contrles TI (listes

dtaille des contrles).
ENCG Agadir 2013 58

Les utilisateurs (des TI)
Cobit permet de fournir des garanties quant la scurit et aux

contrles des services informatiques fournis linterne ou par des tiers
Les auditeurs
Cobit offre aux auditeurs, internes et externes, la possibilit:
de mieux comprendre les contrles TI
de mieux formuler leurs recommandations sur les contrles TI
de mieux raliser les tests defficacit des contrles TI
de mieux justifier leurs valuations des contrles TI.
ENCG Agadir 2013 59

Cadre de Rfrence (Framework)
Pierre angulaire de Cobit. Ce cadre sarticule autour:
des besoins dinformation de lorganisation
des ressources TI dont elle dispose
du processus de gestion TI (domaines dans lesquels peuvent

tre dfinis les objectifs de contrle).
ENCG Agadir 2013 60

Besoins de lorganisation en information
Pour atteindre ses objectifs (stratgiques, financiers, oprationnels),

lorganisation doit disposer dinformation pertinente
Cette pertinence est dtermine dans Cobit partir de sept critres,

regroups dans deux catgories dimpratifs:
des impratifs conomiques et fiduciaires

des impratifs de scurit.
ENCG Agadir 2013 61

Impratifs conomiques et fiduciaires:
Efficacit des oprations: information significative et pertinente

pour le processus de gestion: distribue de manire ponctuelle,
correcte, cohrente et utilisable
Efficience: Information mise disposition grce l'utilisation

optimale (la plus productive et la plus conomique) des ressources
fiabilit de linformation: fourniture d'informations pertinentes pour

le fonctionnement de l'entit et l'exercice des responsabilits
conformit aux lois et la rglementation.
ENCG Agadir 2013 62

Impratifs de scurit
Intgrit: Information exacte, exhaustive et autorise
Confidentialit: linformation sensible est protge contre toute

divulgation non autorise
Disponibilit: l'information doit tre disponible et le rester

lorsqu'un processus de gestion en a besoin. Concerne aussi la
sauvegarde des ressources.
ENCG Agadir 2013 63

Les ressources TI
Cobit rpartit les ressources TI en quatre segments, afin den attnuer

la complexit:
Les informations: les donnes relatives une activit, insres ou

fournies par le systme dinformation
Les applications : ensemble des procdures manuelles et programmes

de traitement des donnes
Les infrastructures : quipement, systme dexploitation, bases de

donnes, rseau,
Le personnel : Les personnes ( linterne et lexterne) en charge de la

gestion du systme dinformation.
ENCG Agadir 2013 64

Le processus TI
Traite dobjectifs de contrle vis--vis de domaines spcifiques

comme, lorganisation, la mise en uvre, le support et la surveillance
Chacun des 34 processus du Cobit est destin fournir une

information devant rpondre aux besoins daffaires selon les critres
defficacit, defficience, de confidentialit, dintgrit, de
disponibilit, de conformit et de fiabilit.
ENCG Agadir 2013 65

Cobit dtermine dans le processus TI:
4 domaines: regroupement naturel de processus correspondant

souvent un domaine de responsabilit organisationnel
34 processus: srie dactivits et de tches groupes et qui

constituent les objectifs de contrle gnral
220 activits: tches ncessaires lobtention dun rsultat

mesurable et qui forment les objectifs des contrles dtaills.
ENCG Agadir 2013 66

Cube Cobit
ENCG Agadir 2013 67

Le concept de domaine est important dans larchitecture Cobit,
car il dfinit une rpartition logique vis--vis des systmes
dinformation
Les domaines se dfinissent comme suit:
1. Planification et Organisation (PO)

2. Acquisition et Implmentation (AI)
3. Distribution et Support (DS)
4. Monitoring et valuation (ME).
ENCG Agadir 2013 68

1. Planification et Organisation (PO)
Que recouvre ce domaine?
La stratgie et la vision TI permettant de faire en sorte que les TI contribuent

la ralisation des objectifs de lorganisation. Cette stratgie doit tre planifie,
communique et gre adquatement.
Ce domaine interpelle lorganisation au niveau des points suivants:
Lalignement entre la stratgie organisationnelle et la stratgie TI

Lutilisation optimale des ressources TI
La comprhension par lensemble des employs des objectifs et des
risques TI
La gestion approprie des risques TI
Ladquation entre les TI et les besoins des diffrentes units daffaires.
ENCG Agadir 2013 69

Planification et Organisation (PO) (suite)
Le domaine PO, regroupe les 10 processus suivants:
PO1: dfinir un plan stratgique TI

PO2: dfinir larchitecture de linformation
PO3: dterminer lorientation technologique
PO4: dfinir lorganisation et les relations TI
PO5: grer linvestissement informatique
PO6: communiquer les objectifs de la direction (management)
PO7: grer les ressources humaines
PO8: grer la qualit
PO9: valuer les risques
PO10: grer les projets.
ENCG Agadir 2013 70

Application
PO1.6 Communication des plans informatiques
Objectif de contrle
La direction doit s'assurer que les plans informatiques court et

long terme sont communiqus aux propritaires de processus de
gestion et aux autres personnes concernes dans l'entreprise.
ENCG Agadir 2013 71

2. Acquisition et Implmentation (AI)
La stratgie TI doit identifier, dvelopper ou acqurir les solutions TI et les

intgrer adquatement aux diffrents processus daffaires. La stratgie TI doit
aussi sassurer que les changements et la maintenance des systmes sont
oprs en concordance avec les objectifs des diffrents processus daffaires.
Le dveloppement ou lacquisition de nouvelles solutions TI rpondent

adquatement aux besoins des processus daffaires
Les nouveaux systmes acquis ou dvelopps fonctionnent

correctement;
Les changements raliss ne remettent pas en cause le fonctionnement

gnral du systme.
ENCG Agadir 2013 72

Acquisition et Implmentation (AI) (suite)
Le domaine AI, regroupe les 7 processus suivants:
AI1: trouver des solutions automatisables

AI2: acqurir des applications et en assurer la maintenance
AI3: acqurir une infrastructure technologique et en assurer la
maintenance
AI4: dvelopper les procdures et en assurer lutilisation
AI5: acqurir les ressources TI
AI6: grer les changements
AI7: Installer et valider les systmes.
ENCG Agadir 2013 73

3. Distribution et support (DS)
La fourniture des services informatiques, la scurit et la continuit,

le support aux utilisateurs
Loptimisation des cots informatiques;
La rentabilit dans lutilisation des systmes;
La scurit de linformation (intgrit, confidentialit et

disponibilit).
ENCG Agadir 2013 74

Distribution et support (DS) (suite)
Le domaine DS, regroupe les 13 processus suivants:
DS1: dfinir et grer des niveaux de service

DS2: grer des services tiers
DS3: grer la performance et la capacit
DS4: assurer la continuit de service
DS5: assurer la scurit des systmes
DS6: identifier et imputer les cots
DS7: sensibiliser et former les utilisateurs
DS8: grer le service support et les incidents
DS9: grer la configuration
DS10: grer les problmes
DS11: grer les donnes
DS12: grer les installations
DS13: grer les oprations.
ENCG Agadir 2013 75

4. Monitoring et valuation (ME)
Lvaluation et la surveillance de la qualit et de la conformit des

processus informatiques par rapport des critres prtablies
La surveillance continue de la performance de linformatique et de la

correspondance de cette performance aux objectifs des diffrents
processus daffaires;
Lefficacit et lefficience des contrles;
Le suivi et la production de rapports sur les contrles, les risques et la

performance.
ENCG Agadir 2013 76

Monitoring et valuation (ME) (suite)
Le domaine ME, regroupe les 4 processus suivants:
ME1: valuer la performance TI

ME2: surveiller le contrle interne
ME3: sassurer de la conformit rglementaire
ME4: fournir de la gouvernance TI.
ENCG Agadir 2013 77

Objectifs de lentreprise
Gouvernance des Technologies de lInformation
ME1 Monitor and evaluate IT performance. PO1 Define a strategic IT plan.
ME2 Monitor and evaluate internal control. PO2 Define the information architecture.
ME3 Ensure regulatory compliance. PO3 Determine technological direction.
ME4 Provide IT governance. PO4 Define the IT processes, organisation and
relationships.
PO5 Manage the IT investment.
PO6 Communicate management aims and direction.
PO7 Manage IT human resources.
INFORMATION PO8 Manage quality.
PO9 Assess and manage IT risks.
Effectiveness
PO10 Manage projects.
Efficiency
Confidentiality
Integrity
Availability
COBIT 4.1
Compliance
Reliability
MONITOR AND PLAN AND
EVALUATE ORGANISE
IT RESSOURCES
Applications
Information
Infrastructure
People
ACQUIRE AND
DS1 Define and manage service levels. DELIVER AND
DS2 Manage third-party services.
IMPLEMENT
DS3 Manage performance and capacity. SUPPORT
DS4 Ensure continuous service.
DS5 Ensure systems security. AI1 Identify automated solutions.
DS6 Identify and allocate costs. AI2 Acquire and maintain application software.
DS7 Educate and train users. AI3 Acquire and maintain technology infrastructure.
DS8 Manage service desk and incidents. AI4 Enable operation and use.
DS9 Manage the configuration. AI5 Procure IT resources.
DS10 Manage problems. AI6 Manage changes.
DS11 Manage data. AI7 Install and accredit solutions and changes.
DS12 Manage the physical environment.
DS13 Manage operations.
ENCG Agadir 2013 78
Thme 4
Processus daudit comptable
ENCG Agadir 2013 79

A. Introduction
a. Dfinition de laudit
processus mthodique men par un auditeur indpendant et

comptent, qui consiste vrifier la conformit de lobjet de
laudit des critres ou des normes dfinis pralablement et
rendre compte dans un rapport. Celui-ci, peut comprendre
des constats et recommandations ou une opinion destine
aux tiers utilisateurs de ce rapport .
ENCG Agadir 2013 80

b. Utilit de laudit
Lintrt ou la valeur ajoute de laudit rside dans le fait

quil est men par une personne comptence et qui dispose
surtout, de lindpendance ncessaire par rapport aux
diffrentes parties intresses par le rsultat de cet audit, lui
permettant de mener ses travaux avec objectivit et dmettre
un rapport sans parti pris. Ce qui confre une crdibilit ce
dernier .
Source: Elbekkali. A. Gouvernance, audit et scurit des TI , Montral 2008.
ENCG Agadir 2013 81

B. Laudit comptable
a. Concepts fondamentaux
1. Dfinition
Laudit ou la vrification des tats financiers, est un service de certification,

dont lobjectif est [] de permettre au vrificateur d'exprimer une
opinion sur la question de savoir si les tats financiers donnent, tous les
gards importants, une image fidle de la situation financire, des
rsultats d'exploitation et des flux de trsorerie de l'entit selon les
principes comptables gnralement reconnus [] .
ENCG Agadir 2013 82

Autre dfinition
un processus par lequel une personne comptente et indpendante

runit et value les lments probants relatifs des informations
quantifiables provenant dune entit particulire en vue de dterminer
le degr de concordance entre linformation quantifiable et des
critres tablis et de le prsenter dans un rapport .
(Auditing: An integrated approch, Arens et Loebbecke, 2003)
ENCG Agadir 2013 83

Personne comptente et indpendante
lments probants
Critres tablis
Le rapport.
Le concept de certitude en audit
obtenir un degr raisonnable de certitude quant labsence

danomalies importantes dans les E/F
pas de certitude absolue, mais plutt que tout est conforme selon
des rgles appropries (IFRS, ).
ENCG Agadir 2013 84

2. Raison dtre de laudit comptable
Asymtrie de linformation au profit des producteurs des E/F.

Conflits dintrts potentiels
Les utilisateurs des E/F nayant pas accs toute linformation

dont les entits disposent, font face au risque de fonder leurs
dcisions daffaires sur des informations financires
comportant des anomalies.
ENCG Agadir 2013 85

Le recours un audit externe des E/F par un auditeur indpendant
contribue :
rduire les consquences de lasymtrie de linformation
augmenter la crdibilit des E/F pour les utilisateurs externes
donner une certaine assurance quant la qualit de linformation,

puisque celle-ci a t examine de faon objective
Autres raisons:
obligations lgales
perspective dmission dun prospectus
exigences dun utilisateur.
ENCG Agadir 2013 86

3. Les dimensions conomiques de laudit des tats financiers
Cots relis lexpression dune opinion: le cadre dcisionnel
Deux scnarios possibles:
Scnario 1: les E/F dresss par la direction sont fidles (les assertions sont
vraies tous gards importants);
Scnario 2: les E/F dresss par la direction ne sont pas fidles (les assertions
contiennent des anomalies importantes).
Lauditeur peut mettre lune ou lautre des deux opinions suivantes:
une opinion sans rserve (SR)

une opinion avec rserve (AR).
ENCG Agadir 2013 87

Si opinion avec rserve alors que les E/F sont fidles : Erreur de
TYPE 1 (ou erreur de type alpha)
Cot de cette erreur:
Travail supplmentaire non rtribu
Poursuite en dommage et intrts par le client
Perte du client
Perte de rputation
Les cots des sondages.
ENCG Agadir 2013 88

Si opinion sans rserve alors que les E/F ne sont pas fidles:
Erreur de TYPE 2 (ou erreur de type bta)
Cot de cette erreur:
Dbourss dcoulant de poursuites par les tiers
Sanction professionnelle
Perte rputation
Les cots des sondages.
ENCG Agadir 2013 89

4. Rle de laudit dans le contexte daujourdhui
Scandales financiers
Nouvelles exigences en matire dinformation financire
Responsabilit des dirigeants
Besoin de services daudit.
ENCG Agadir 2013 90

5. Principaux types daudit
Distinction entre:
Audit interne
Audit du secteur public
Audit externe
ENCG Agadir 2013 91

Audit interne
LInstitut des auditeurs internes, dfinit laudit interne en ces termes :
Laudit interne est une fonction indpendante et objective

dassurance et de conseils dont la raison dtre est dapporter une
valeur ajoute aux activits dune organisation et de les amliorer.
Elle aide lorganisation atteindre ses objectifs par une approche
systmatique et discipline dvaluation et damlioration des
procds de gestion des risques, de contrle et de
gouvernance.
ENCG Agadir 2013 92

La fonction daudit interne a pour mission de soutenir la
direction de lorganisation en lui apportant une assurance
quant la fiabilit et du respect des politiques et procdures
quelle a mises en place pour le fonctionnement de
lorganisation
ce titre, lauditeur interne, sintresse lensemble des

processus et activits de lorganisation et par consquent,
la validit et lefficacit des contrles mis en place pour
grer les risques relis ces processus et activits et
recommander les amliorations de ces contrles.
ENCG Agadir 2013 93

Les missions daudit interne
Laudit de la conformit aux autorisations

Laudit financier interne
Laudit oprationnel
Laudit des technologies de linformation
Laudit environnemental.
ENCG Agadir 2013 94

Laudit de la conformit aux autorisations: Tche traditionnelle et
primaire de laudit interne. Fonction relie essentiellement au contrle
interne : Audit de son bon fonctionnement; Audit de la conformit aux lois
et aux rglements, aux politiques, aux directives et aux procds de
lorganisation;
Laudit financier interne: sintresse au systme comptable et

ses rsultats
Laudit oprationnel
valuation de lefficacit, de lefficience et de lconomie des

activits
Communication des rsultats de lvaluation et de recommandation

aux personnes appropries
valuation et optimisation de la performance de lorganisation par la

recommandation damliorations
ENCG Agadir 2013 95

Laudit intgr, appel aussi audit de loptimisation des
ressources (A.O.R): audit utilis par les organisations
gouvernementales et les socits dtat
Il sagit de :
Laudit financier
Laudit de la conformit aux autorisations
Laudit oprationnel (audit de loptimisation des ressources).
ENCG Agadir 2013 96

Laudit des technologies de linformation
Ce type daudit sest dvelopp suite linformatisation des

organisations. Souvent assur par des auditeurs spcialiss en TI
Laudit environnemental
Audit de la conformit des organisations aux lois et rglements

relatifs lenvironnement.
ENCG Agadir 2013 97

b. Mthodologie de laudit
Quelque soit son type ou son objet, une mission daudit est ralise sur la
base dune mthodologie ou dun processus construit autour de trois tapes
standards:
La premire tape, la planification de laudit, permet lauditeur de

cerner avec prcision lobjet de laudit, dapprcier les risques et de
concevoir un programme daudit qui prcise, la nature, ltendue et le
calendrier des procdures daudit;
La deuxime tape, la rponse de lauditeur son apprciation des

risques. Au cours de cette phase, lauditeur excute les procdures
daudit quil aurait planifies ltape prcdente;
Enfin, la troisime tape, lachvement de la mission, est celle o

lauditeur exprime ses conclusions ou son opinion et formule ses
recommandations dans un rapport.
ENCG Agadir 2013 98

Lapproche mthodologique dans le contexte de laudit comptable
1. Objectif de laudit, assertions de la direction et lments probants
2. Planification de laudit: les procdures dapprciation des risques
3. La rponse de lauditeur son apprciation des risques
4. Lachvement de la mission et rapport de lauditeur.
ENCG Agadir 2013 99

1. Objectif de laudit, assertions de la direction et lments
probants
mission dune opinion indpendante sur la fidlit des tats

financiers
Ncessit de recueillir des lments probants suffisants et

appropris (adquats)
Cadre gnral : les assertions de la direction et objectifs de

laudit.
ENCG Agadir 2013 100

Les assertions de la direction
dclarations de la direction au sujet des composantes des E/F
ces assertions sont relies aux IFRS ou autres rfrentiels

comptables
Les catgories dassertions
Les assertions sur des catgories doprations et dvnements
Les assertions sur les soldes des comptes la fin de la priode
Les assertions relatives la prsentation et aux informations

fournies.

Les assertions sur des catgories doprations et dvnements
Ralit: les oprations et les vnements comptabiliss ont eu lieu et

concernent lentit
Exhaustivit: toutes les oprations et tous les vnements qui devaient

tre comptabiliss lont t
Exactitude: les montants et autres donnes qui se rapportent aux

oprations et aux vnements comptabiliss ont t comptabiliss de
faon approprie
Rattachement: les oprations et les vnements ont t comptabiliss

dans la bonne priode
Classement: les oprations et les vnements ont t comptabiliss

dans les bons comptes.

Les assertions sur les soldes des comptes la fin de la priode
Existence: les actifs, les passifs et les lments des capitaux propres
existent
Droits et obligations: lentit dtient ou contrle les droits sur les actifs,
et les passifs reprsentent les obligations de lentit
Exhaustivit: tous les actifs, tous les passifs et tous les lments de
capitaux propres qui devaient tre comptabiliss lont t
Valeur et rpartition: les actifs, les passifs et tous les lments de

capitaux propres sont comptabiliss pour des montants appropris
dans les tats financiers et tout ajustements de valeur ou de rpartition
qui simpose est comptabilis adquatement.

Les assertions relatives la prsentation et aux informations
fournies
Ralit, droits et obligations: les vnements, oprations et

autres lments ont eu lieu et concernent lentit
Exhaustivit: toutes les informations qui devaient tre fournies

dans les tats financiers lont t
Classement et comprhensibilit: les informations financires

sont prsentes et dcrites de faon approprie et les
informations fournies sont communiques clairement
Exactitude et valeur: les informations financires et autres sont

communiques fidlement et pour des montants appropris.

Les lments probants
Lauditeur doit collecter des lments probants (preuves) suffisants

et appropris (adquats) pour pouvoir tayer son opinion
Le caractre suffisant : la quantit
Le caractre appropri (adquat ou fiable) : Llment probant est-il

digne de foi?
Ex. un inventaire fait par lauditeur vs un inventaire fourni par la

direction.

Les facteurs influant sur le choix de linformation runir :
le caractre significatif (Importance relative)
le risque
la prsence danomalies
lexprience passe
les cots.

La cueillette des lments probants peut emprunter trois voies:
Un audit intgral
Lchantillonnage
Lexamen analytique.

Nature des lments probants
Documentaire
Orale
Visuelle
Sources dinformation: la fiabilit de la preuve.
Lauditeur
Les tiers
Laudit.

Comment obtenir linformation probante?
Linspection
Lobservation
La prise de renseignement
La confirmation
Le recalcul
La rexcution
Les procds analytiques.

Linspection
de livres, documents et actifs corporels
Cette procdure est souvent utilise dans le cadre de laudit:
des stocks
de lencaisse
de lactif immobilis
des titres
des effets recevoir
Linspection est considre comme un lment probant trs fiable

pour prouver lassertion de lexistence

Lobservation
Examen visuel du droulement dun processus ou de lexcution
dune procdure
Utilisation des sens pour valuer certaines activits. Ex. visite de

lusine pour:
obtenir une impression gnrale des installations du client
observer si le matriel est rouill et donc dsuet
surveiller lexcution des tches par le personnel
Etc.

Demande dinformation
Interrogation de personnes faisant partie de lentit audite ou

externes lentit, pouvant dtenir et transmettre linformation
recherche
La confirmation
Vrification de la validit dune information auprs des tiers
Processus de rception dune rponse verbale ou crite provenant

dun tiers indpendant permettant lauditeur de sassurer de
lexactitude de linformation demande
La confirmation est une des procdures des plus fiables.

Le recalcul
Vrification de lexactitude arithmtique des calculs du client
Ex. vrification des montants de taxes; vrification des calculs de la

dotation aux amortissements et des frais pays davance.
La rexcution
Reprise par lauditeur de procdures ou de contrles existants.
Les procdures analytiques
Mise en relations de donnes pour en vrifier la plausibilit.

Pour atteindre les objectifs de laudit
Accumulation dlments probants suivant un

processus.

Phase1. Planification et Acceptation du mandat ;
laboration de la stratgie Comprhension de lenvironnement de
daudit. Phase de lapprciation lentit;
des risques valuation de seuil de signification, du
Risque daudit (RA) et du Risque Inhrent
(RI);
Comprhension du contrle interne et
valuation prliminaire du Risque de Non
Contrle (RLC);
laboration de la stratgie et du programme
daudit.
Phase2. La rponse de lauditeur Audit intrimaire: valuation de lefficacit
son apprciation des risques des contrles internes (tests de conformit
ou des contrles);
Audit de fin dexercice: tests de
corroboration.
Phase 3. Achvement de laudit Collecte des derniers lments probants;

Rapport de lauditeur et recommandations.
2. Planification de laudit: les procdures dapprciation des risques
Acceptation du mandat
Avant dentreprendre les activits de planification proprement dite,

lauditeur doit sinterroger sur lacceptabilit du mandat daudit
Il doit sassurer que rien ne lempche de mener sa mission

selon les normes daudit et que toutes les conditions sont
runies pour lui permettre de raliser un audit de
qualit. Concrtement, lauditeur doit :
sassurer de sa capacit de conserver son indpendance par

rapport lentit audite;
comprendre les raisons qui motivent la demande du service

daudit. Pourquoi?

Acceptation du mandat (suite)
connatre les activits de lentit audite
sinformer, dans le cas dun nouveau mandat, au sujet de la

rputation de lentit audite et la nature de ses relations, le cas
chant, avec ses anciens auditeurs
Lacceptation de la mission se traduit par une lettre de mission qui

dfinit la nature de la mission (audit financier ou autre service de
certification) et ses conditions.
Cette lettre souligne aussi la responsabilit de la direction lgard
des E/F ainsi que les travaux devant tre effectus par lentit
audite.

Comprhension de lenvironnement de lentit
Lauditeur doit comprendre les affaires et lenvironnement de lentit

afin den cerner les risques et de pouvoir planifier les procdures
daudit en fonction de ces risques
Pour acqurir une connaissance de lentit, lauditeur sintresse

des informations relies tant lenvironnement interne quexterne de
lentit
Par exemple :

Le secteur dactivit de lentit et son cadre lgal :
Quel est ltat de la concurrence dans ledit secteur?

Quelle est la nature des relations de lentit avec ses partenaires (dbiteurs,
crditeurs)?
Les objectifs de lentit, ses stratgies et ses risques :
Quels sont les objectifs, court, moyen et long terme, fixs par lentit et selon
quelle stratgie pour les atteindre?
La mesure et l'analyse de la performance financire de l'entit :
Quels sont les indicateurs utiliss par lentit pour mesurer la performance et quels
sont ceux auxquels elle accorde le plus dimportance?
Le contrle interne:
Quels sont les contrles mis en place par lentit pour rpondre aux risques qui
peuvent avoir un impact sur les E/F?
Ces contrles sont-ils conus en fonction de ces risques?

Par quels moyens lauditeur des E/F obtient-il sa comprhension de
lenvironnement de lentit?
travers des procdures daudit. Celles-ci sont aussi qualifies de

procdures
d'apprciation des risques , en ce sens que les informations obtenues,
permettent aussi lauditeur dvaluer les risques danomalies significatives
Trois types de procdures dapprciation des risques doivent tre mis en

uvre pour comprendre lentit et son environnement :
La demande dinformation
les procdures analytiques
lobservation et linspection.

La demande dinformation (prise de renseignements) :
Auprs de la direction, du personnel et du dpartement de laudit

interne; de toutes personnes et organismes que lauditeur aurait
identifis comme sources pertinentes, par exemple, les institutions
bancaires, les conseils juridiques, les publications conomiques et
rglementaires, etc
Les procdures analytiques: Techniques telles que lanalyse par les

ratios ou la rgression linaire, qui permettent lauditeur de se faire
une ide gnrale sur lentit et didentifier les segments des E/F qui
sont susceptibles de contenir des anomalies significatives et qui
devront retenir son attention lors de lexcution de sa mission
Lobservation et linspection: consistent en lobservation du

droulement des oprations et autres procdures de lentit,
linspection de sa documentation (livres comptables, manuels de
contrle interne, diffrents rapports et procs-verbaux) et suivi du
cheminement des oprations.

valuation de seuil de signification, du Risque dAudit et du
Risque Inhrent
ltape de la planification de la mission, lauditeur est appel

prendre deux dcisions des plus importantes pour la suite de la
mission, savoir, la fixation du seuil de signification et du niveau
du risque daudit.
De ces deux dcisions dpendront, ltendue, le calendrier et la

nature des procdures daudit, dune part, et lapprciation des
rsultats de la mise en uvre de ces procdures, dautre part.

Le seuil de signification (limportance relative)
Dfinition
Une inexactitude ou ensemble dinexactitudes qui aurait
comme consquence dinfluencer ou modifier la dcision
dun utilisateur raisonnable des tats financiers
Concrtement, lauditeur doit se demander ltape de la

planification, quel serait le montant danomalies que les
utilisateurs, actuels et potentiels des E/F de lentit audite,
pourraient considrer comme significatif (important) au point
dinfluer sur leurs dcisions daffaires.

Cet exercice permet lauditeur de dcider du montant des
anomalies dans les E/F qui lamnerait mettre une opinion avec
restriction ou une opinion dfavorable quant la fidlit de ces tats
Ne pas tenir compte du caractre significatif dune anomalie,

reviendrait rejeter des E/F contenant la moindre petite erreur
montaire.

Comment appliquer le concept de Seuil de Signification (SS)?
Effectuer une valuation prliminaire du SS
Estimer lanomalie totale contenue dans une section
Estimer le total des anomalies
Comparer lestimation du total des anomalies avec

lestimation prliminaire ou rvise du SS
Les tapes 3 et 4 sont effectues la fin de laudit

durant la phase dachvement de la mission.

tape 1. valuation prliminaire du SS
valuation est faite au dbut de la mission selon le jugement de

lauditeur bas sur des critres quantitatifs et qualitatifs
Les critres quantitatifs. Mthode suggre par lICCA
0.5 10% du bnfice aprs impts
5% de la marge bnficiaire brute
5% du total de lactif
5% des capitaux propres
1% des produits.

Les critres qualitatifs
Contexte conomique
Attentes des lecteurs des E/F
Situation financire de lentreprise
Caractristiques des postes.

tape 2. Estimation du total des anomalies contenues dans une
section
partir des anomalies trouves (AR) dans un chantillon, lauditeur

estime ou extrapole le total des anomalies dans une section. Ces
anomalies sont qualifies de probables (AP)
tape 3. Estimation du total des anomalies
Addition du total des anomalies probables (AP) pour chaque compte
tape 4. Comparer lestimation du total des anomalies avec

lestimation prliminaire ou avec lestimation rvise du
seuil de signification

Nous avons donc:
Les anomalies releves (AR): anomalies constates par lauditeur

au cours de son audit et que la direction na pas corriges
Les anomalies probables (AP): anomalies qui existent

probablement dans la population si lon se fie aux rsultats tirs
de lchantillon
Les autres anomalies possibles (AAP): anomalies en sus du total

des AP qui pourraient peut-tre exister en raison dun risque
dchantillonnage
Ces autres anomalies possibles , sont calcules pour tenir compte

de limprcision du processus dchantillonnage (risque alatoire
ou risque discrtionnaire)
Le total des anomalies probables plus les autres anomalies possibles

est appel le maximum des anomalies possibles (MAP)

Dmonstration: audit du compte Stocks et du compte Clients
Compte Stocks
Population: 450 000$ (montant dclar)

chantillon: 50 000$
Anomalies releves (AR): survaluation de 3 500$.
Compte Clients
Population: 385 000$ (montant dclar)

chantillon: 42 500$
Anomalies releves (AR): survaluation de 1 325$

Anomalies probables (AP)
Erreurs nettes trouves dans lchantillon / la taille de

lchantillon x la valeur totale de la population
Pour les stocks:
AP = 3 500$ x 450 000 = 31 500$

50 000$
Pour les comptes clients:
AP = 1 325$ x 385 000$ = 12 000$

42 500$

Les autres anomalies possibles (AAP)
(erreurs dchantillonnage)
On posera ici lhypothse que lestimation de lerreur

dchantillonnage slve 50% du montant des anomalies
probables (AP) pour chacun des deux comptes
Pour les stocks:
Autres anomalies = AP x 50%

= 31 500$ x 50% = 15 750$
Pour les clients:
Autres anomalies = AP x 50%

= 12 000$ x 50% = 6 000$

Donc:
Le maximum des anomalies possibles (MAP) pour les stocks:
AP + AAP
31 500$ + 15 750$ = 47 250$
Total des anomalies possibles pour les comptes clients:
AP + AAP
12 000$ + 6 000$ = 18 000$

Anomalies Erreur Maximum
probables (AP) dchantillonnage danomalies
(alatoire) possibles
AAP MAP
Comptes
Stocks 31 500$ 15 750$ 47 250$
Clients 12 000$ 6 000$ 18 000$
Montant total 43 500$ 21 750$ 65 250$

de lerreur
estimative
valuation 50 000$
prliminaire du
SS

Le risque daudit
Risque associ lexpression dune opinion sur les E/F
Le risque daudit indique que lauditeur accepte un certain

degr dincertitude dans la mise en uvre des procds
daudit
Le modle du risque
RA= RI x RLC x RND

RA (Risque daudit)
Cest le risque que lauditeur ne formule pas de restrictions dans son

rapport sur les E/F comportant des anomalies importantes
Le RA est omniprsent dans tout audit, car le travail de lauditeur est

bas sur des sondages et que lauditeur peut commettre des erreurs
Le RA est par consquent, le risque que lauditeur est prt accepter

pour son audit. Ce risque devrait se situer, selon lICCA, entre
0,01 0,05 (1 5%)
RI (Risque Inhrent)
Risque que le systme dinformation cre des anomalies

importantes, et ce, sans tenir compte du contrle interne.

RNC (Risque Li au Contrle)
Le RLC est li aux contrles appliqus sur le systme dinformation
Risque que les CI ne dtectent pas les anomalies importantes

produites par le systme dinformation
Le RI et le RLC sont indpendants de laudit
Lauditeur doit estimer ces deux risques pour obtenir le RND.

RND (Risque de Non Dtection)
Risque que les procdures de dtection (procdures analytiques et

procdures de dtails), ne dtectent pas les anomalies importantes
contenues dans les E/F
La quantit dlments probants rassembler pour la corroboration

est inversement proportionnelle au RND
Lanalyse du risque seffectue deux niveaux:
celui de lensemble des E/F, dune part
celui, plus dtaill, du solde de chaque compte et de chaque type

dopration, dautre part.

Comment utiliser le modle du risque dans un audit?
Fixation du niveau pour RA
Fixation du seuil de RI
Fixation du seuil de RLC
Rsolution de lquation pour dterminer RND.

Choisir la valeur du RA
Le RA doit gnralement se situer entre 1% et 5% (ICCA)
Un RA faible quivaut un besoin dune plus grande

certitude que les E/F ne sont pas substantiellement
errons
Relation entre le RA et le RND
Si le RA est fix un niveau bas, cela donnerait un RND un

niveau bas aussi. Ceci implique plus dlments probants
rassembler et inversement.

Exemples de facteurs dont lauditeur tient compte pour fixer le seuil
du RA
Audit initial ou non?
exprience avec ce genre de clients? Lauditeur a-t-il dj vrifi

des clients similaires? A-t-il une comptence dans le secteur
dactivit?
Le secteur dactivit (secteur plus ou moins dangereux; haute

technologie avec changements rapides, )
conomie gnrale
Client cot ou non
Rputation du client.

valuer la valeur du RI, mais sans tenir compte du contrle
interne
Lauditeur doit dcider du niveau du RI appropri chaque cycle,

chaque compte et souvent, chaque objectif de laudit
En gnral, les auditeurs fixent le niveau du RI plus de 50%

et mme 100% sil y a prsomption dexistence dirrgularits
importantes.

valuer la valeur du RI, mais sans tenir compte du contrle interne
(suite)
Facteurs influant sur la dtermination du niveau du RI
La nature des activits de lentreprise du client

La nature des systmes informatiques
Lintgrit de la direction
La motivation du client
Les rsultats des missions daudit prcdentes
Mission initiale ou non
Les oprations conclues entre apparentes
Les oprations non routinires
Le jugements requis pour enregistrer correctement le
solde des comptes et les oprations
Les biens susceptibles dtre dtourns

valuer la valeur du RLC
Ce risque correspond au risque que le systme de contrle interne

ne puisse pas dtecter une anomalie contenue dans les E/F
Rsoudre lquation pour trouver le RND
Risque quune anomalie importante que les CI nont pas permis de

corriger, ne soit pas dtecte par lauditeur.

Comprhension du contrle interne et valuation prliminaire du
Risque Li au Contrle
la phase de la planification de laudit:

La comprhension du CI est une tche
Pourquoi lauditeur des E/F doit-il obligatoire et cruciale dans le
comprendre le contrle interne processus daudit des E/F car elle
(CI) de lentit audite? permet lauditeur:
dapprcier les risques
danomalies
Doit-il se pencher sur le CI pris
dans sa globalit ou doit-il se de planifier adquatement sa
limiter certains contrles ? mission
et de dterminer la stratgie
approprie pour la raliser
quoi sintresse-t-il exactement
au niveau de ces contrles? lissue de cette comprhension,
lauditeur est en mesure de dcider sil
entend sappuyer ou non sur les
Comment acquire-t-il cette
contrles existants pour excuter sa
comprhension?
mission
Cette dcision aura un impact majeur
Quel est limpact de cette sur la nature, le calendrier et ltendue
comprhension sur la des procdures daudit.
planification et lexcution de la
mission daudit?

Pourquoi un auditeur des E/F Lauditeur des E/F ne sintresse pas
doit-il comprendre le contrle tous les contrles existants. Sil se
interne (CI) de lentit audite? penche sur les diffrentes composantes
du CI, il ne porte son attention que sur
Doit-il se pencher sur le CI pris les lments de ce contrle qui sont
dans sa globalit ou doit-il se relis l'objectif de l'entit d'tablir,
limiter certains contrles ? l'intention des tiers, des tats financiers
qui donnent, dans tous leurs aspects
significatifs, une image fidle selon les
quoi sintresse-t-il exactement PCGR. Cest ce que lon dsigne par
au niveau de ces contrles? contrles comptables.
Comment acquire-t-il cette Donc, lauditeur est tenu dacqurir

comprhension? une comprhension des contrles
pertinents par rapport aux E/F.
Quel est limpact de cette
comprhension sur la
mission daudit?
Pourquoi un auditeur des E/F
doit-il comprendre le contrle ltape de la planification, la
interne (CI) de lentit audite? comprhension du CI consiste
pour lauditeur apprcier la
Doit-il se pencher sur le CI pris conception des contrles et leur
dans sa globalit ou doit-il se
limiter certains contrles ? mise en uvre.
quoi sintresse-t-il exactement Lvaluation de lefficacit de ces

au niveau de ces contrles? contrles sera entreprise,
ventuellement, lors de la
comprhension? seconde phase de laudit qui est
consacre aux tests des
Quel est limpact de cette contrles.
comprhension sur la
mission daudit?
Pourquoi lauditeur se penche-t-il sur la conception et la mise
en uvre des contrles comptables?
Savoir si un contrle donn, pris individuellement ou en association

avec dautres contrles, permet de prvenir ou de dtecter et corriger
des anomalies significatives dans les catgories d'oprations, dans
les soldes de comptes ou dans les informations fournies dans
les E/F.
En examinant la conception dun contrle comptable, lauditeur

cherche apprcier la pertinence de ce contrle par rapport son
objectif. Une mauvaise conception dun contrle par rapport son
objectif, est une source de lacunes importantes du CI.

Exemple:
Dans le cadre de la comprhension des contrles relatifs au

cycle comptable des acquisitions/ dpenses, lauditeur
cherche savoir si les contrles existants, rencontrent chacun des
six objectifs du CI
Par exemple, lauditeur qui cherche savoir si les acquisitions

effectues par lentit ont t toutes autorises, sinformera,
par divers moyens, sur les procdures et politiques conues
par la direction pour sassurer que ces acquisitions ont t bel et
bien approuves avant dtre dclenches
Lexamen de ces contrles et de la faon dont ils ont t conus,

permet lauditeur de tirer des conclusions sur ladquation entre les
procdures prvues par ces contrles et lobjectif de ces derniers.

Lauditeur est-il tenu de comprendre le CI en toutes
circonstances?
Lauditeur est tenu dvaluer la conception des contrles

internes et de dterminer si ces contrles ont t appliqus,
peu importe quil compte sappuyer ou non sur lefficacit du
fonctionnement des contrles.

Pourquoi un auditeur des E/F La demande dinformation;
doit-il comprendre le contrle
interne (CI) de lentit audite?
L'observation;
limiter certains contrles ?
L'inspection;
au niveau de ces contrles? Le suivi du cheminement
d'oprations travers le systme
d'information pertinent pour
Comment acquire-t-il cette l'information financire.
comprhension?

comprhension sur la
mission daudit?
Lors de son processus de comprhension du CI, lauditeur peut
sappuyer sur:
La description narrative du CI
Le graphique dacheminement
Le questionnaire
Ceci permet lauditeur:
de dtecter les lacunes du CI

de vrifier si ce contrle satisfait aux 6 objectifs du CI,
de fixer le niveau prliminaire du RLC.

Pourquoi un auditeur des E/F
doit-il comprendre le contrle
interne (CI) de lentit audite?
Lauditeur fixe le seuil du RNC au

maximum
limiter certains contrles ?
Impact sur la stratgie daudit:
au niveau de ces contrles? Lauditeur fixe le seuil du RNC un
niveau infrieur au maximum
comprhension? Impact sur la stratgie daudit:

comprhension sur la
mission daudit?
Stratgie et programme daudit
Listes de toutes les procdures daudit qui seront mises en uvre

pour la cueillette dlments probants suffisants et adquats.
De faon gnrale, le programme daudit est conu en trois parties:
Les tests des contrles

Les tests de corroboration (validation).

3. La rponse de lauditeur son apprciation des risques
Les tests des contrles
Les tests de corroboration

Les tests de contrle (ou de conformit)
Objectifs
Procdures daudit permettant de vrifier lefficacit des

contrles pour rduire le niveau du RLC
Ltendue de ces tests dpend du niveau du RLC prliminaire
Le nombre et le type dlments probants sur lesquels

lauditeur sappuiera pour lapprciation du niveau du RLC est
une question de jugement professionnel
Lauditeur est tenu de raliser des tests de contrles dans le cas o

son apprciation des risques par lauditeur, repose sur l'hypothse
d'un fonctionnement efficace des contrles. Dans ce cas, il doit
mettre en uvre des tests de conformit pour runir les lments
probants suffisants et appropris pour sassurer du
fonctionnement efficace des contrles.

Nature des tests des contrles
Combinaison de la prise de renseignements, de l'inspection

de lobservation ou de la rexcution dun contrle
Calendrier d'application des tests des contrles
Quand appliquer les tests? Cela dpend de lauditeur et de

la priode vise
Les lments probants obtenus indiquent seulement que les

contrles tests fonctionnaient efficacement une date donne.
tendue des tests des contrles
Plus lauditeur entend sappuyer sur lefficacit des contrles,

plus il sera appel augmenter ltendue des tests.

Les tests de corroboration
Lauditeur met en uvre des tests de corroboration afin de

dtecter des anomalies significatives au niveau des assertions
des tests de dtail portant sur les catgories

d'oprations, les soldes de comptes et les informations
fournies dans les E/F
ainsi que des procdures de corroboration analytiques.

Lauditeur planifie et met en uvre des tests de corroboration en
rponse son apprciation du risque danomalies significatives
Les tests de corroboration comprennent les procdures daudit

suivantes :
la comparaison ou le rapprochement des E/F avec les

documents comptables sous-jacents
l'examen des critures de journal importantes et des autres

ajustements apports lors de l'tablissement des E/F.

Les tests de corroboration doivent rpondre aux risques
identifis par lauditeur
Par exemple, sil existe un risque de manipulation des rsultats par la

direction (survaluation des produits, du bnfice), lauditeur doit
faire des demandes de confirmation externe pour vrifier les
montants dus et des conditions des contrats de vente (date et
conditions de livraison).

tendue de la mise en uvre des tests de corroboration
Plus le risque danomalies significatives est lev, plus

l'tendue des tests de corroboration est grande
Relation entre les rsultats des tests des contrles et

ltendue des tests de corroboration.

Lauditeur peut recourir :
un sondage d'lments reprsentatifs, par exemple,

sondage en units montaires (MUS)
ou la slection d'lments importants ou inhabituels

dans une population.

Exemple de procdure de corroboration : la confirmation des
C/c
Pour le cycle des ventes et encaissements, la confirmation

des C/c est la procdure la plus importante
Les objectifs principaux de cette procdure
Validit
Valeur
Dmarcation

Lefficacit de la procdure de confirmation des C/c
Cette procdure est plus efficace pour dtecter:
Les comptes non valides
Les comptes dont le montant est litigieux
Les comptes irrcouvrables
Cette procdure est moins efficace pour laudit de lexhaustivit des

C/c Pourquoi?
Cette procdure est plus efficace pour la dtection des

survaluations que des sous-valuations.

Lauditeur doit prendre une dcision concernant notamment:
le type de confirmation utiliser
les comptes confirmer

Le type de confirmation
La confirmation expresse
Envoye directement au client, linvitant confirmer ou infirmer le

solde indiqu
Gnralement ce type de confirmation est utilise pour:
les C/c dont le solde est relativement lev

les C/c dont le nombre est peu lev
les C/c risque (possibilit dinexactitudes intentionnelles)
Ce procd est plus fiable que la confirmation tacite, mais il est plus
onreux.

La confirmation tacite
Demander aux personnes contactes de rpondre uniquement

dans le cas o il y aurait une divergence entre le solde indiqu
par le vrificateur et le solde indiqu dans leurs propres livres
Procd utilis surtout dans les cas o les rsultats relatifs aux
CI sont jugs satisfaisants
Procd moins onreux que la confirmation expresse, mais il est

moins fiable
Lauditeur peut utiliser les deux types de confirmations dans le

cadre dun mme audit.

Les comptes confirmer
Combien?
Lesquels?
Important: Lauditeur doit demeurer indpendant au niveau

des C/c confirmer.
Dans le cas des confirmations expresses, si lauditeur ne

reoit pas de rponses, il doit recourir des procds de rechanges
afin de sassurer de la validit et de la valeur des soldes
Quels procds de rechanges?

Analyse des carts relevs
Des carts peuvent sexpliquer par:
Un paiement effectu avant la date de la confirmation mais

non enregistr dans les livres de lentreprise vrifie
Non rception de la m/s commande par le client
M/s retourne par le client
Erreurs denregistrement
Crance litigieuse.

Contrôle Et Audit: Encg Agadir 2013

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Contrôle Et Audit: Encg Agadir 2013

Transféré par

Droits d'auteur :

Formats disponibles

CONTRLE ET AUDIT

Abdelhaq Elbekkali, Ph.D, Expert-comptable,

ENCG AGADIR 2013

Thme 1. Contrle interne et gouvernance

Thme 2. Contrles comptables

Thme 3. Contrles informatiques et gouvernance des TI

Thme 4. Processus d'audit comptable

ENCG Agadir 2013 2

Contrle interne et gouvernance

A. Les fondamentaux du contrle interne

ENCG Agadir 2013 3

Le contrle interne, cest quoi?

un processus mis en uvre par le conseil dadministration,

ENCG Agadir 2013 4

Lefficacit, lefficience et lconomie du fonctionnement (les 3 E)

Lefficacit : fait rfrence la ralisation des objectifs dans un

Lefficience : sintresse la relation intrants / extrants (le chemin

Lconomie : se rapporte au cot dacquisition des ressources (le

La conformit aux lois, aux rglements et aux politiques internes.

ENCG Agadir 2013 5

Le cube du Coso1 Processus visant

Deux types de facteurs :

Contrles intangibles : Intgrit, thique, engagement envers la

Contrles tangibles : structure organisationnelle, politique en

ENCG Agadir 2013 7

Cette valuation implique la dtermination du type dobjectif qui

Les lments cls de lvaluation des risques:

La dfinition pralable des objectifs;

ENCG Agadir 2013 8

Ces activits rpondent au besoin de politiques, procdures et

Exemples: procdures crites, autorisations, tenue de dossiers,

ENCG Agadir 2013 9

Contrle utilis pour dtecter et rendre compte lorsque des erreurs,

utiliser un logiciel de scurit pour le contrle des accs

ENCG Agadir 2013 10

Les contrles correctifs

Contrles utiliss pour dtecter et faire rapport lorsque des erreurs,

Processus automatis pour valider la date sur la facture

ENCG Agadir 2013 11

Identification et communication des mesures cls dvaluation de la

Comprhension par le personnel de ses responsabilits lgard du

Mcanismes de traitement, en temps opportun, des proccupations et

Supervision des contrles par la direction ou dautres parties extrieures au

ENCG Agadir 2013 12

les progrs technologiques peuvent accrotre le risque daccs non

le fait que la direction exige habituellement que le CI soit rentable

le fait que la plupart des contrles sont conus surtout en fonction

le risque derreurs humaines

la variation de lefficacit du CI en fonction du volume des oprations

le risque de collusions visant rendre inoprant des contrles axs

le risque dabus de pouvoir de la part des responsables de

ENCG Agadir 2013 13

Lensemble des activits utilises pour diriger et contrler les

Source : Gouvernement dentreprise et contrle, Jean Bdard et Hlne Racine.

ENCG Agadir 2013 14

La gouvernance institutionnelle est le systme par lequel les

La gouvernance dactivit comprend les processus de performance

La gouvernance des TI intgre et institutionnalise les meilleures

ENCG Agadir 2013 15

Quelle diffrence entre Gouvernance et Gestion ?

La Gouvernance sinscrit, avant tout, dans une perspective

ENCG Agadir 2013 16

Concrtement, il y a un besoin dun contrle efficace :