Audit II Audit et contrôle en milieu informatisé

Séance 1 :Présentation du cours

Capsule N°1
Professeur : Abdelhaq El Bekkali, Ph.D,
CPA (Expert-comptable)

e.isiam.ma
Objectifs du cours

2
 Objectif général

Ce cours a pour objectif de permettre à l’étudiant d’une

part, de saisir les particularités de l’environnement
informatisé et ses impacts sur le contrôle et sur l’audit
comptable, et d’autre part, de s’initier au domaine de la
gouvernance des technologies de l’information.

3
 Objectifs spécifiques

Plus spécifiquement, ce cours permettra aux étudiants :

• de maîtriser les spécificités des contrôles en milieu informatisé, les techniques d’évaluations et
de mise place des contrôles ;
• de maîtriser la gouvernance des technologies de l’information et les référentiels de
gouvernance ;
• de maîtriser les spécificités de l’audit en milieu informatisé ;
• de s’initier aux Techniques d’Audit Assistées par Ordinateur (TAAO).

4
 Approche pédagogique

Ce cours est offert, simultanément, en présentiel et à distance. Concrètement, le cours est dispensé en présentiel est
suivi, en même temps, par les étudiants à distance. Ces derniers peuvent au cours de la séance, de poser des
questions ou faire des commentaires.

L’approche pédagogique retenue peut être qualifiée de « classe inversée partielle ». Elle consiste à mettre à la
disposition de l’étudiant, outre le « direct » (pour le présentiel) et le « semi-direct » (pour le distantiel) :

 Les notes de cours

 Les capsules vidéos pour chaque séance
 Des Lives hebdomadaires pour:
•Synthétiser le contenu de chaque séance
•Répondre aux questionnements de l’étudiant
•Solutionner les exercices remis à l’étudiant
 Un forum de discussion, où l’étudiant pourra échanger avec ses collègues et avec l’enseignant

L’étudiant est appelé:

• À lire les notes de cours fournies avant chaque séance

• Et à compléter son apprentissage par des recherches et des lectures supplémentaires.
5
 Plan du cours

Partie I. Le contrôle en milieu informatisé

Partie II. La Gouvernance des Technologies de l’information

Partie III. L’audit comptable en milieu informatisé.

6
 Evaluation

• Travaux individuels à rendre 25%

• Travail de session 25%
• Examen final 40 %
• Participation 5%
• Assiduité 5%

7
 Partie I.

Le contrôle en milieu informatisé

A. Les opportunités et risques reliés aux Technologies de l’Information

B. Les contrôles généraux et les contrôles des applications.

8
A. Les opportunités et risques reliés aux Technologies de l’Information

a. Les principaux risques et opportunités reliés aux TI

 Pourquoi les TI, sont si importantes à l’heure actuelle?

 Les opportunités offertes par les TI en matière de réduction des coûts opérationnels;

 Les processus des organisations dépendent de plus en plus des TI;

 La capacité des TI de changer radicalement les pratiques d’affaires;

 Les menaces qui pèsent sur les TI ;

 Les coûts reliés aux TI.

9
Les principaux risques technologiques

 Les virus informatiques

 Les fraudes informatiques

 L’accès non autorisé au système

 La perte et/ou la modification de données et programmes

 Les pannes du système.

Ces risques ont un impact sur les objectifs du système

10
 Les objectifs du système

Disponibilité

Confidentialité
Exhaustivité

Autorisation
Intégrité
Exactitude

Maintenabilité

11
 Les fraudes informatiques

Trois catégories de fraudes informatiques

 Le vol d’information

 Le vol d’éléments d’actif à la suite de manipulations de données

 La destruction volontaire d’informations ou de programmes.

12
Les applications comptables figurent parmi les systèmes privilégiés par les fraudeurs :

 Bordereau de paie

 Les comptes clients

 Les comptes d’avantages sociaux

 Les comptes des notes de frais.

13
 Exemple de manipulations de données :

 Addition ou suppression de noms de la liste des fournisseurs autorisés;

 Altération de la cote de crédit des clients au fichier maître;

 Insertion de code d’identification spécial aux inscriptions frauduleuses de

manière à ce que ces dernières ne figurent pas dans les rapports sur les
exceptions;

 Etc….

14
 Comment protéger l’entité contre les fraudes informatiques?
Des procédures de contrôle interne telles que:

 La séparation des fonctions incompatibles

 Un contrôle logique et physique stricts pour l’accès au système

 Le chiffrement (encryptage) des fichiers contenant des informations critiques afin

d’empêcher qu’ils soient copiés sans autorisation.

15
 La vérification des antécédents personnels des employés (au moment du
recrutement et périodiquement)

 La rotation du personnel (notamment du personnel assumant des fonctions clés)

 L’examen de toutes les plaintes des clients. Comme minimum, on devrait

consigner toutes les erreurs du système et leur correction et les faire revoir par
une personne indépendante, pour expliquer le pourquoi et le comment de ces
erreurs.

16
 Quelques pistes pour détecter les fraudes potentielles commises par les employés

 Changement dans les habitudes de vie des employés : train de vie trop grand
par rapport au salaire!

 Acharnement au travail. L’employé ne quittant jamais le bureau avant les

autres ou qui ne prend jamais de vacances!

 Absence de délégation.
17
b. L’impact des TI sur le contrôle interne

Cet impact se manifeste au niveau:

1.de la structure organisationnelle

2.de la nature du traitement de l’information

3.de la conception des procédures de contrôle.

1. Impact des TI sur la structure organisationnelle
Exemple:

 Le manque de compétence de la haute direction en matière de TI nuit à sa capacité de

bien comprendre et contrôler les TI;

 Le traitement de l’information dans un système informatisé, fait intervenir un nombre

restreint de personnes, comparativement à un système manuel. Il y a par conséquent un
risque de concentration de la connaissance du système et donc, de limitation de la
séparation des tâches

19
2. Impact des TI sur la nature du traitement

Possibilité d’absence de documents appuyant les données introduites dans le

système. Les données peuvent être entrées en ligne (les autorisations sont
automatisées).

20
3. Impact des TI sur la conception des procédures de contrôle

Quelques exemples

• Automatisation des procédures des contrôles (plus fiables);

• L’enregistrement d’une opération erronée comporte le risque de se répercuter sur

d’autres enregistrements;

21
• Dans un environnement manuel, il est généralement possible d’identifier la ou les
personnes ayant accordé l’autorisation d’une opération. Dans un environnement
informatique, cette autorisation peut être automatisée;

• Dans un système manuel, une erreur humaine peut se produire et ce, même si les
contrôles sont efficaces (ex. passer outre les contrôles), ce qui n’est pas le cas dans un
système informatique (traces).

22