L'audit informatique - publié le 28/10/2011

Extraits

[...] Article 410-5- le caractère définitif des enregistrements du livre-journal et du livre d'inventaire est assuré : pour les comptabilités tenues au moyen de systèmes informatisés, par une procédure de validation, qui interdit toute modification ou suppression de l'enregistrement ; pour les autres comptabilités, par l'absence de tout blanc ou altération. Untitled-2.JPG www.themegallery.com la norme ISA 401 de l'international Federation Of Accounts (IFAC), “auditing in computer information systems environment” L'auditeur doit posséder une connaissance suffisante de l'environnement informatique pour planifier, diriger, superviser et revoir le travail effectué ; Il doit acquérir une connaissance suffisante des systèmes comptables et de contrôle interne pour planifier l'audit et concevoir une approche d'audit efficace ; Il doit évaluer les risques inhérents et les risques liés au contrôle pour chacune des assertions importantes sous- tendant l'établissement des états financiers ; Il doit prendre en compte l'environnement informatique dans la définition de procédures d'audit visant à réduire le risque d'audit à un niveau acceptable faible ; Untitled-2.JPG www.themegallery.com 3-1-3-Les recommandations de la compagnie des commissaires aux comptes : Untitled-2.JPG www.themegallery.com L'évaluation du contrôle interne d'un système de traitement informatisé de l'information financière est effectuée selon une démarche en deux parties telle que décrite ci-dessous : La réglementation marocaine Norme 2102 du manuel marocain des normes d'audit légal et contractuel: Untitled-2.JPGUntitled-2.JPG www.themegallery.com Circulaire n° 6/G/2001 de Bank Al Maghreb relative au contrôle interne des Etablissements de crédit : • La circulaire n° 6 a imposé aux établissements de crédit la mise en place d'un système de contrôle interne visant à maîtriser les risques qu'ils encourent • Elle a précisé, les modalités et les règles minimales que ces derniers doivent observer dans ce domaine • En ce qui concerne, la gestion des risques informatiques, elle a prévu dans son article 63 que le dispositif de contrôle du risque informatique doit assurer un niveau de sécurité conformément aux normes technologiques et aux exigences du métier Circulaire n° 6/G/2001 de Bank Al Maghreb relative au contrôle interne des Etablissements de crédit : • Documentation Les supports de l'information et de la documentation relatifs à l'analyse et à l'exécution des programmes doivent être conservés dans des conditions présentant le maximum de sécurité contre les risques de détérioration, de manipulation ou de vol (art 63) •Niveau de sécurité et contrôles Les systèmes informatiques doivent faire l'objet de contrôles périodiques portant sur : o Le niveau de sécurité qu'ils offrent (art.65) ; o L'existence de procédures de secours informatique (permettant d'assurer la continuité de l'exploitation en cas de difficultés graves de fonctionnement (art 64). [...]

[...] Untitled-2.JPG www.themegallery.com audit SI.jpg PARTIE II : LA DEMARCHE DE L'AUDIT INFORMATIQUE Untitled-2.JPG Evaluation du contrôle interne et estimation du risque CHAPITRE I Untitled-2.JPG Analyse du résultat global L'appréciation de la fonction informatique Contrôles d'applications informatisées Evaluation du contrôle interne et estimation du risque Les techniques d'audit Untitled-2.JPG www.themegallery.com Section 1 : Analyse du résultat global : l'auditeur va évaluer le risque d'audit qu'il compte assumer. Pour ce qui concerne les contrôles de systèmes informatisés, le risque d'audit s'analyse en fonction des contrôles généraux du système informatique d'une part et des contrôles des applications informatisées, d'autre part. Type de contrôle Contrôle général Fort Fort Faible Faible Contrôle de l'application Fort Faible Fort Faible Untitled-2.JPG 1 Les deux types de contrôle interne sont satisfaisants. [...]

[...] Ces réintroductions doivent elles-mêmes faire l'objet de soigneuses vérifications. Il faut, en effet, veiller à ce qu'elles ne soient pas l'occasion de nouvelles erreurs. Section 2 : Les contrôles internes effectués par le système informatique : Untitled-2.JPG www.themegallery.com Section 3 : Le contrôle des comptes des entreprises informatisées : Si les objectifs du contrôle des comptes et de la liaison entre l'évaluation du contrôle interne et le programme de contrôle ne sont évidement pas modifiés lorsque la société utilise des moyens informatiques. [...]

[...] Les règles à observer en matière de gestion du risque informatique, sont stipulées dans les articles 63,64 et 65 de la circulaire n° 6/G/2001 et se résument comme suit : Untitled-2.JPG Risques d'audit et contrôles effectués par le système informatique CHAPITRE II Untitled-2.JPG www.themegallery.com Section 1 :Risques généraux de l'informatique et risques d'audit : Différences essentielles entre systèmes manuels et systèmes informatisés Différences Incidences sur l'audit la trace de l'opération n'existe que pendant une courte période de temps. Les auditeurs doivent être capables d'examiner d'autres documents prouvant l'information. les erreurs dans un système informatisé se reproduisent sur toutes les opérations. Les auditeurs peuvent restreindre leurs tests à une seule opération pour dégager une erreur potentielle. dans un système informatisé, l'information n'est entrée qu'une seule fois. [...]

[...] Untitled-2.JPG www.themegallery.com QUESTIONS OUI NON COMMENTAIRES ET RENVOI AUX FEUILLES DE TRAVAIL III- Matériel -Prise de connaissance -Analyse des risques Les capacités sont-elles suffisantes ? IV. Logiciels Prise de connaissance Analyse des risques la séparation des fonctions est-elle adaptée au système ? les mises à jour sont-elles prévues? V. [...]