 |
||||||||||||
 |
 |
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
||||||||||||
|
Date de parution: 07/2003 L'appréciation du contrôle interne : les apports de la norme CNCC 2-302 Parmi les normes relatives à la mission d'audit qui traitent de l'appréciation du contrôle interne figure la norme 2-302 portant sur l'audit réalisé dans un environnement informatique. Le guide que vient de publier la CNCC a notamment pour objet de préciser les apports de cette norme dont nous rappelons les points forts. Les principes fondamentaux L'existence d'un environnement informatique ne modifie pas l'objectif et l'étendue de la mission du commissaire aux comptes. Néanmoins, l'utilisation d'un ordinateur modifie la saisie et le processus de traitement, la conservation des données et la communication des informations financières et peut avoir une incidence sur les systèmes comptable et de contrôle interne de l'entreprise. En conséquence, un environnement informatique peut avoir une influence sur : - la démarche suivie par le commissaire aux comptes pour acquérir une connaissance suffisante des systèmes comptable et de contrôle interne ; - la prise en compte du risque inhérent et du risque lié au contrôle permettant d'évaluer le risque d'audit ; - la conception et l'exécution de tests de procédures et de contrôles substantifs nécessaires en la circonstance pour atteindre l'objectif d'audit. Les risques à prendre en compte La nature des risques dans un environnement informatique est liée aux spécificités suivantes : - le manque de trace justifiant les opérations qui entraîne un risque plus important de non-détection des erreurs contenues dans les programmes d'application ou les logiciels d'exploitation ; - l'uniformité du traitement des opérations qui permet d'éliminer quasiment toutes les erreurs humaines ; en revanche, les erreurs de programmation peuvent entraîner un traitement incorrect de toutes les opérations ; - la séparation insuffisante des tâches qui résulte souvent de la centralisation des contrôles ; - le risque d'erreurs et d'irrégularités qui peut provenir soit d'erreurs humaines dans la conception, la maintenance et la mise en œuvre plus importantes que dans un système manuel, soit d'utilisateurs non autorisés qui accèdent, modifient ou suppriment des données sans trace visible. Par ailleurs, la possibilité de détection de ces erreurs et irrégularités est affectée par le fait qu'elles sont souvent intégrées lors de la conception ou de la modification des programmes d'application ou de logiciels d'exploitation et sont aussi difficilement identifiables dans le temps. Les spécificités à prendre en considération par le commissaire aux comptes La norme 2-302 met l'accent sur certaines spécificités à prendre en considération par le commissaire aux comptes pour atteindre l'objectif de l'audit. Ces spécificités concernent essentiellement : - les compétences du commissaire aux comptes et de son équipe au regard de la complexité de l'environnement informatique de l'entité ; - la planification des aspects de l'audit susceptibles d'être influencés par l'environnement informatique de l'entité, en particulier l'importance des différentes assertions sous-tendant l'établissement des comptes affectés par le traitement informatisé d'une application comptable complexe ; - l'appréciation du risque inhérent et du risque lié au contrôle dans un environnement informatique utilisant des systèmes importants et complexes ; - l'utilisation par le commissaire aux comptes de techniques d'audit assistées par ordinateur. Présentation du guide d'application L'audit réalisé dans un environnement informatique peut poser au commissaire aux comptes des difficultés de mise en œuvre en termes d'approche, de nature des contrôles à réaliser et d'exploitation des résultats obtenus à l'issue de ces contrôles. L'émergence des nouvelles technologies de l'information ainsi que la complexité croissante des systèmes d'information automatisés ont conduit la CNCC à élaborer un guide destiné essentiellement à remplacer la précédente « Note d'information » 25 de 1995 et à privilégier les aspects opérationnels. Le guide comprend trois chapitres (la méthodologie, les dossiers thématiques et les techniques d'audit assistées par ordinateur) et des annexes. La méthodologie Les spécificités de l'environnement informatique sont prises en compte dans les principales étapes de la démarche d'audit. * Orientation et planification de la mission L'appréciation de l'incidence de l'environnement informatique nécessite notamment : - la prise de connaissance de l'informatique dans l'entreprise et de son incidence sur la production de l'information comptable et financière ; - l'identification des principales composantes du système d'information et de son niveau de complexité. * Évaluation des risques - Cette phase a pour objectif la prise en compte de l'environnement informatique sur le risque inhérent et sur le risque lié au contrôle. Elle intervient pour préparer et alléger les contrôles menés à la clôture des comptes et représente la phase la plus conséquente de la mission. * Obtention d'éléments probants - Le commissaire aux comptes, à partir des éléments vérifiés lors de l'évaluation des risques, se concentre sur les risques de niveau modéré ou élevé afin de déterminer : - la nature et l'étendue des contrôles substantifs à mener, - et la pertinence du recours aux techniques d'audit assistées par ordinateur. Après avoir effectué les contrôles substantifs nécessaires et disposant des éléments probants suffisants et appropriés recherchés, le commissaire aux comptes peut émettre une opinion sur les comptes de l'entreprise. Cette opinion est fonction notamment des anomalies éventuellement relevées. Les dossiers thématiques Cette partie du guide d'application consacrée aux dossiers thématiques développe des éléments théoriques et des concepts liés à des situations particulières. Les sujets suivants sont abordés : - l'organisation de la fonction informatique dans l'entreprise ; - les obligations réglementaires (voir notamment ci-après certaines illustrations de ces obligations réglementaires) ; - les particularités en environnement progiciel de gestion intégré (PGI) ; - les particularités en environnement internet ; - les risques liés à l'existence d'un projet informatique. Les techniques d'audit assistées par ordinateur Les techniques d'audit assistées par ordinateur peuvent être utilisées dans l'évaluation des risques et dans l'obtention des éléments probants. Elles utilisent des programmes d'interrogation des fichiers pour mettre en œuvre des contrôles substantifs comme par exemple : - la vérification des calculs et additions - les comparaisons de fichiers et extractions d'anomalies (comparaison des fichiers des prix de revient et de vente de stocks pour identifier les dépréciations à effectuer, extractions des stocks ou immobilisations dont la valeur est négative...), - les extractions d'échantillons, - le tri des fichiers selon des critères prédéfinis (ordre croissant des valeurs, écritures passées sur une certaine période...). Le respect des obligations réglementaires Nature des obligations de l'entreprise Les entreprises sont soumises pour leurs systèmes d'information à des obligations réglementaires spécifiques, notamment en matière : - d'archivage fiscal et de contrôle des comptabilités informatisées (voir RF Comptable 264, juillet-août 2000 « Comptabilités informatisées : la pratique des contrôles », dossier préparé par Michel Richard et Georges Boilletot, Ernst & Young) ; - de protection des données personnelles ; - de protection des logiciels. À cet égard, les situations suivantes peuvent être rencontrées par le commissaire aux comptes. * Archivage fiscal : - l'entreprise a défini l'ensemble des fichiers à archiver, la durée de conservation et procède régulièrement à des tests de reprise des données. Toutes les archives sont correctement documentées ; - l'entreprise archive des données, mais le logiciel utilisé dans les exercices précédents n'est plus disponible. Il existe donc un risque que les données archivées ne soient pas récupérables ; - aucune réflexion sur l'archivage des données n'a été menée dans l'entreprise. Il existe donc un risque que les données nécessaires n'aient pas été conservées. * CNIL : - l'entreprise détient des données personnelles, mais ne les communique pas à l'extérieur, et a effectué une déclaration à la CNIL pour leur ensemble. Elle procède à des contrôles réguliers concernant les éventuelles modifications intervenant dans la collecte ou le traitement des données ; - l'entreprise détient des données personnelles qui ne sont pas déclarées à la CNIL, mais les utilise en interne et les conserve dans des fichiers sécurisés. Il y a risque de plaintes de la part des personnes répertoriées dans la liste et de sanctions pénales ; - l'entreprise détient des données personnelles qui ne sont pas déclarées à la CNIL et les communique à l'extérieur, d'où un risque de plaintes de la part des personnes répertoriées sur la liste et de sanctions pénales. * Propriété intellectuelle : - l'entreprise détient des licences de toutes les applications qu'elle utilise ; - l'entreprise utilise librement des images et textes soumis à des droits d'auteur dans des documents communiqués à l'extérieur. Il existe un risque de pénalités financières ; - l'entreprise ne détient pas les licences de tous les logiciels installés sur les postes de travail, ce qui génère un risque de pénalités financières. Conséquences de leur non-respect pour le commissaire aux comptes Les situations de non-respect identifiées, le cas échéant, par le commissaire aux comptes le conduiront à apprécier leurs incidences potentielles sur les comptes. Le non-respect d'une réglementation peut, en effet, impliquer des conséquences financières et parfois pénales pour l'entreprise et ses dirigeants. Dans ce dernier cas, le commissaire établira un lien éventuel avec son obligation de révélation des faits délictueux. Les cas de non-respect relevés, constituant des irrégularités, conduisent également le commissaire aux comptes à faire un lien approprié avec ses obligations de communication avec des personnes constituant le gouvernement d'entreprise et de communication à l'assemblée générale annuelle. | ||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|