Accueil / Technologies de l'Information et de la Communication / L'évolution des technologies de l'information et de la communication : Impact sur l'audit financier / Comment l’analyse comparative transforme-t-elle les contrôles informatiques en audit financier ?

Comment l’analyse comparative transforme-t-elle les contrôles informatiques en audit financier ?

Technologies de l'Information et de la Communication
Pour citer ce mémoire et accéder à toutes ses pages
L'évolution des technologies de l'information et de la communication : Impact sur l'audit financier
🏫 Université de la Manouba - Institut Supérieur de Comptabilité et d'Administration des Entreprises (I.S.C.A.E) - Commission d'Expertise Comptable
📅 Mémoire de fin de cycle en vue de l'obtention du diplôme de diplôme d'expertise comptable - 2000/2001
🎓 Auteur·trice·s
Mohamed Lassâad
Mohamed Lassâad

L’analyse comparative des contrôles informatiques révèle des lacunes surprenantes dans les systèmes d’audit financier en Tunisie. Ces découvertes critiques soulignent l’importance d’intégrer les nouvelles technologies pour renforcer la fiabilité des audits face aux risques émergents.

Section 2 :

L’examen des contrôles généraux informatiques

En se basant sur les informations documentées dans la cartographie durant la phase de planification, l’auditeur sélectionne les environnements et les systèmes informatiques significatifs. Il procède, ensuite, à la documentation de ces environnements et systèmes afin de dégager les contrôles généraux informatiques clefs. Ces derniers font l’objet de tests appropriés afin d’apporter la preuve qu’ils fonctionnent réellement et d’une façon permanente. Ces travaux se font, généralement, durant la phase intérimaire.

La documentation des contrôles peut être réalisée en utilisant les questionnaires standards en la matière. Elle peut être, aussi, sous forme narrative et/ou sous forme de diagrammes.

Par ailleurs, avant la sélection des contrôles clefs, l’auditeur doit assurer sa compréhension des contrôles documentés à travers, généralement, la réalisation de tests de cheminement ou la confirmation auprès des responsables de l’entreprise.

Les contrôles généraux informatiques clefs sont des contrôles qui :

Analyse comparative des contrôles informatiques en audit

    • fournissent l’assurance à l’auditeur de s’appuyer sur les contrôles automatisés sélectionnés comme des contrôles clefs d’un cycle ;
    • peuvent être testés le plus efficacement possible.

En cas d’absence de changements, les contrôles généraux informatiques clefs demeurent les mêmes d’une année à l’autre. Pour les années suivantes, l’auditeur aura toujours besoin de tester ces contrôles, mais l’étendue des tests peut être réduite sur la base de l’évaluation antérieure du risque et de l’implication des dirigeants dans le domaine de la maintenance, de la sécurité des systèmes et de la sécurité de l’exploitation.

Le mix des contrôles dépend de plusieurs facteurs :

    • La largeur de couverture qu’un contrôle fournit
    • L’étendue de l’assurance fournie par le contrôle sur un contrôle automatisé particulier
    • La compétence requise pour exécuter les tests
    • Le temps exigé pour la réalisation du test
    • La complexité du test
    • L’ampleur du risque et l’assurance requise.

Dans ce qui suit, nous examinons, avec plus de détails, les différentes catégories de contrôles généraux informatiques et les divers indicateurs qui peuvent être considérés par l’auditeur67.

Sous section 1 :

Les contrôles portant sur la sécurité des systèmes

L’efficacité de certains contrôles automatisés et l’intégrité des données peuvent être affectées par des contrôles insuffisants au niveau de la sécurité des systèmes. Par exemple, l’utilisation de mots de passe et de menus pour assurer la séparation des fonctions peut être rendue inefficace si la sécurité globale de l’environnement informatique s’avère peu fiable.

67 Cette section est une synthèses des différents ouvrages, articles, formations, ateliers, séminaires, etc. traitant du sujet et figurant au niveau de la bibliographie. Nous citons, essentiellement, « The PricewaterhouseCoopers Audit », Cabinet international PwC, 1999.

Ainsi, l’auditeur doit documenter, évaluer, sélectionner et tester les contrôles clefs afférents à l’administration d’ensemble et aux procédures détaillées de gestion de la sécurité de l’information.

  1. Documenter, évaluer et tester l’administration d’ensemble de la sécurité de l’information :

Il s’agit d’effectuer une description générale de l’administration d’ensemble de la sécurité de l’information. En outre, et pour l’évaluation des contrôles mis en place, il y a lieu de considérer, à titre indicatif, les éléments suivants :

    1. Administration d’ensemble de la sécurité :

La direction de l’entreprise doit établir des procédures de contrôle d’accès en fonction du niveau de risque résultant de l’accès aux programmes et aux données. Ainsi, l’auditeur doit considérer, à titre d’exemple, les indicateurs suivants :

  • Quelle est l’approche de la direction pour évaluer les risques liés à la confidentialité, à l’intégrité et à la disponibilité de l’environnement informatique ?
  • La direction a-t-elle clairement identifié les informations et les actifs informatiques qu’il convient de protéger ?
  • La direction a-t-elle pris en compte les obligations réglementaires et légales ?
  • La direction a-t-elle pris en compte le risque d’intrusion en provenance de l’extérieur y compris via des connections à des réseaux externes ?
  • La direction a-t-elle pris en compte le risque de fraude informatique, les éventuels actes de sabotage ou de vandalisme sur les installations informatiques ?
  • Quelle est l’attitude de la direction à l’égard de la sécurité ?
  • La politique de sécurité est-elle appropriée ?
  • Les descriptions de postes définissent-elles les rôles et les responsabilités en termes de sécurité informatique ?
  • Quelle est la procédure de sélection des candidats à des postes impliquant un accès à des systèmes informatiques gérant des informations sensibles ?
  • Les utilisateurs sont-ils soumis à une clause de confidentialité ?
    1. Définition des rôles, des responsabilités et des procédures :

La direction de l’entreprise doit définir les rôles et les responsabilités en termes de sécurité informatique et s’assurer que les responsables mettent en place des procédures adéquates. Ainsi, l’auditeur doit considérer, par exemple, les indicateurs suivants :

  • Les rôles et les responsabilités sont-ils clairement définis et compris et ce en matière de configuration des systèmes, de gestion de la sécurité, de propriété des données et de sécurité physique des installations informatiques ?
  • Si la taille de l’organisation est importante, comment les mesures en matière de sécurité informatique sont-elles coordonnées et communiquées ?
  • Les paramètres de configuration système sont-ils clairement documentés ?
  • Les procédures d’administration de la sécurité (par exemple pour la création de nouveaux utilisateurs, la modification ou la suppression d’utilisateurs existants) sont-elles définies et communiquées ?
    1. Sensibilisation et formation des utilisateurs à la sécurité :

La direction doit s’assurer que les utilisateurs sont suffisamment sensibilisés et formés dans le domaine de la sécurité informatique, et qu’ils comprennent les enjeux et les actions à mener. Ainsi, l’auditeur doit considérer, à titre d’exemple, les indicateurs suivants :

  • La direction a-t-elle mis en place une procédure pour s’assurer que les utilisateurs ont suivi une formation de sensibilisation aux enjeux de la sécurité informatique ?
  • Les formations utilisateurs sont-elles adaptées ?
    1. Moyens informatiques à la disposition des utilisateurs :

Les moyens informatiques mis à la disposition des utilisateurs finaux ainsi que leur utilisation doivent être contrôlés de manière à assurer la compatibilité des systèmes et à garantir l’intégrité des données. Ainsi, l’auditeur doit considérer, par exemple, les indicateurs suivants :

  • Comment identifie-t-on et contrôle-t-on l’utilisation des ordinateurs et des autres moyens informatiques laissés à la disposition des utilisateurs ?
  • Comment est contrôlée l’acquisition des matériels et des logiciels informatiques destinés aux utilisateurs ?
  • Les utilisateurs bénéficient-ils d’une formation adéquate et d’un support technique suffisant ?
  • Quels contrôles ont été mis en place par la direction pour prévenir le risque de virus informatiques (y compris celui provenant de l’usage d’Internet) ?
  • Quels contrôles ont été mis en place par la direction pour prévenir les risques de non-respect de la réglementation des droits sur les licences de progiciels ?
    1. Contrôle des incidents en matière de sécurité et du respect des procédures :

La direction doit contrôler les incidents liés à la sécurité ainsi que le respect des procédures de sécurité. L’auditeur doit considérer, par exemple, les indicateurs suivants :

  • Comment sont répertoriés les incidents ou les événements survenant dans le domaine de la sécurité ? Comment la direction en est-elle informée ? Ces événements et ces incidents font-ils l’objet d’un suivi ?
  • Combien d’incidents ou d’événements liés à la sécurité se sont-ils produits au cours de la période auditée ?
  • Quelles sont les vérifications régulières effectuées sur les paramètres de configuration du système, afin de s’assurer de leur conformité ?
  • Quel type de contrôle (ou procédure d’audit) garantit l’efficacité du processus d’administration de la sécurité ?
  • Des problèmes de non-respect des procédures de la sécurité se sont-ils produits ?

________________________

67 Cette section est une synthèses des différents ouvrages, articles, formations, ateliers, séminaires, etc. traitant du sujet et figurant au niveau de la bibliographie. Nous citons, essentiellement, « The PricewaterhouseCoopers Audit », Cabinet international PwC, 1999.

Questions Fréquemment Posées

Quels sont les contrôles généraux informatiques clés dans l’audit financier?

Les contrôles généraux informatiques clés sont des contrôles qui fournissent l’assurance à l’auditeur de s’appuyer sur les contrôles automatisés sélectionnés comme des contrôles clefs d’un cycle et qui peuvent être testés le plus efficacement possible.

Comment l’auditeur évalue les contrôles de sécurité des systèmes?

L’auditeur doit documenter, évaluer, sélectionner et tester les contrôles clefs afférents à l’administration d’ensemble et aux procédures détaillées de gestion de la sécurité de l’information.

Pourquoi est-il important de tester les contrôles généraux informatiques chaque année?

Pour les années suivantes, l’auditeur aura toujours besoin de tester ces contrôles, mais l’étendue des tests peut être réduite sur la base de l’évaluation antérieure du risque et de l’implication des dirigeants dans le domaine de la maintenance, de la sécurité des systèmes et de la sécurité de l’exploitation.

Rechercher
Télécharger ce mémoire en ligne PDF (gratuit)
Lire aussi :
  1. Comment définir une stratégie d'audit informatique efficace en 2024 ?
  2. Comment le cadre théorique redéfinit-il l'audit financier en Tunisie ?
  3. Quelles sont les meilleures pratiques d'audit financier en 2024 ?
  4. Quelles compétences clés pour l'auditeur financier en 2024 ?
  5. Comment la méthodologie d'audit informatique révolutionne l'audit financier en Tunisie ?
  6. Comment l'audit informatique transforme-t-il l'audit financier en Tunisie ?

Si le bouton de téléchargement ne répond pas, vous pouvez télécharger ce mémoire en PDF à partir cette formule ici.

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Scroll to Top