Quelles évolutions des pratiques d’audit financier en Tunisie ?

Technologies de l'Information et de la Communication
Pour citer ce mémoire et accéder à toutes ses pages
L'évolution des technologies de l'information et de la communication : Impact sur l'audit financier
🏫 Université de la Manouba - Institut Supérieur de Comptabilité et d'Administration des Entreprises (I.S.C.A.E) - Commission d'Expertise Comptable
📅 Mémoire de fin de cycle en vue de l'obtention du diplôme de diplôme d'expertise comptable - 2000/2001
🎓 Auteur·trice·s
Mohamed Lassâad
Mohamed Lassâad

L’évolution des pratiques d’audit en Tunisie révèle des transformations majeures face aux nouvelles technologies de l’information. Comment ces innovations redéfinissent-elles les compétences des auditeurs et les systèmes de contrôle interne ? Une analyse incontournable pour comprendre les enjeux futurs de l’audit financier.

Chapitre 3 : Les Principales Evolutions Prévisibles des Pratiques en la Matière en Tunisie

Introduction

Au niveau des chapitres précédents, nous avons identifié les principaux impacts des nouvelles technologies de l’information et de la communication sur le système comptable et les contrôles internes de l’entreprise ainsi que sur l’audit financier. Nous avons montré la nécessité de faire impliquer davantage l’audit informatique dans le processus d’audit financier.

Aussi, nous avons passé en revue la réglementation comptable, juridique et fiscale aussi bien en Tunisie qu’à l’étranger et les réactions des organismes professionnels destinées à réglementer et à contrôler certains aspects des systèmes informatisés.

A travers ces études, nous avons noté certains domaines d’évolutions nécessaires en Tunisie que nous allons détailler dans ce chapitre. Nous devons, toutefois, préciser que notre analyse sera focalisée uniquement sur les aspects se rattachant à la mission d’audit financier.

Nous couvrirons :

Évolution des pratiques d'audit en Tunisie : Analyse essentielle

    • L’évolution du cadre juridique et technique
    • L’évolution de l’approche et des procédures d’audit
    • La mise à niveau de la formation des auditeurs

Section 1 :

L’évolution du cadre juridique et technique

En raison de la nature dynamique des technologies de l’information et de la communication, les cadres juridique et technique devraient être en état de mise à niveau continue.

En Tunisie, il y a un effort certain de réglementation de ces nouvelles technologies. Toutefois, il reste encore beaucoup à faire pour adapter le cadre juridique à toute nouvelle technologie.

«C’est une impérative obligation pour que le droit des affaires réponde aux besoins du commerce. L’informatique, c’est la mort du papier, et se trouve en conflit avec les traditions juridiques rigoureuses»71.

Ainsi, certaines dispositions comptables, juridiques et fiscales devraient être actualisées ou prévues. Nous citons à titre d’exemple :

    • Comptable : Faut-il abroger l’obligation de la tenue d’un livre journal et d’un livre d’inventaire coté et paraphé malgré que le procédé de la cote et du paraphe n’apporte pas de garantie réelle contre la falsification et ne s’adapte pas à la progression des technologies de l’information ?
    • Juridique : Faut-il prévoir une réglementation plus spécifique de la fraude informatique ?
    • Fiscale : L’administration fiscale tunisienne doit-elle autoriser, comme c’est le cas en France, la dématérialisation des factures et leur transmission par voie télématique ?

Par ailleurs, étant donné que les garanties de régularité de la comptabilité pourront s’appuyer sur le contrôle interne et des moyens informatiques appropriés72, faut-il alors prévoir des dispositions légales préventives sur ces domaines ?

71 Michel LESOURD, « Communication informatique : administration / entreprise », Revue Française de Comptabilité N°199, Mars 1989.

Exemple 1 : Exiger des entreprises informatisées, sous peine de sanctions financières importantes, d’avoir un programme effectif de prévention et de détection des violations de la loi (comme c’est le cas aux Etats Unis).

Exemple 2 : Imposer pour les entreprises appartenant à certains secteurs sensibles (exemple : le secteur bancaire et le secteur des assurances) un contrôle périodique de la sécurité de leur système d’information par un organe indépendant.

Parallèlement, il est certain que les nouveaux textes juridiques sur l’informatique créent pour l’entreprise des obligations nouvelles, dont le non-respect peut entraîner des sanctions pénales et/ou fiscales. L’auditeur, et plus particulièrement le commissaire aux comptes, doit tenir compte de ces dispositions dans le cadre de ses contrôles.

En effet, selon l’article 270 du nouveau code des sociétés commerciales, les commissaires aux comptes doivent signaler à l’assemblée générale les irrégularités et les inexactitudes relevées par eux au cours de l’accomplissement de leur mission. En outre, ils sont tenus de révéler au procureur de la république les faits délictueux dont ils ont eu connaissance.

Toutefois, certains aspects juridiques, tels que l’audit des contrats relatifs à l’informatique (achat de progiciel, contrat de travail avec les informaticiens, traitements à façon, etc.) n’entrent pas dans le champ de l’audit financier et peuvent être retenus dans le cadre d’un audit opérationnel réalisé par un auditeur interne ou externe.

Quant au cadre technique, la majorité des organismes professionnels ont procédé à la révision de leurs normes d’audit pour tenir compte des nouveaux aspects engendrés par les nouvelles technologies. En outre, une panoplie de réflexions a été publiée représentant des aides aussi bien pour le chef d’entreprise que par l’auditeur, dont par exemple : le référentiel COBIT (Control Objectives for Information and related Technology) mis en place par l’ISACA et qui répond à l’impératif de contrôle et de maîtrise de l’informatique.

Par ailleurs, de nouvelles normes comptables ont été élaborées par certains organismes professionnels pour définir les nouvelles règles de prise en compte et d’évaluation des opérations affectées par les nouvelles technologies de l’information et de la communication.

Par conséquent, il est nécessaire pour l’expert comptable tunisien de se familiariser davantage avec ces normes, réflexions et outils techniques. L’Ordre des Experts Comptable de Tunisie a un rôle important à jouer.

A l’instar des autres organismes professionnels, il doit mener régulièrement des réflexions sur les nouvelles technologies et ce, en :

    • Formulant des avis, en diffusant des guides spécifiques de contrôle dans les entreprises informatisées (complémentaires à ceux de l’IFAC) et en apportant des réponses aux questions techniques posées par les professionnels ;
    • Contribuant à la mise en place des actions de formation nécessaires et en organisant des manifestations sur le thème de l’informatique.

Sous section 1 : Les obligations et les responsabilités de l’entreprise

Les obligations et les responsabilités de l’entreprise les plus essentielles, actuelles et futures au vu de l’évolution prévisible du cadre juridique et technique, peuvent se résumer comme suit :

  1. Le respect de la réglementation en vigueur :

Il est évident que l’entreprise doit veiller au respect de la réglementation en vigueur73. En effet, les sanctions peuvent parfois être lourdes et peuvent, même, engager la responsabilité pénale des dirigeants (surtout en cas de faillite).

En pratique, nous constatons, souvent, les faits suivants :

72 En l’absence de preuve écrite préconstituée, ce sont des indices qui permettront d’emporter la conviction du juge. Exemple : Une bonne sécurité informatique

73 Pour de plus amples détails sur la réglementation comptable, juridique et fiscale, se référer au chapitre III de la première partie.

    • Le livre journal et le livre d’inventaire ne sont pas tenus ou ne sont pas à jour ;
    • Absence d’une documentation à jour et absence de traçabilité de l’exploitation, des développements et des maintenances : Le chef d’entreprise et le responsable informatique doivent prendre au sérieux cette obligation ;
    • Piratage de logiciels : Le parc informatique n’est pas vérifié régulièrement par les dirigeants des entreprises. Chaque utilisateur devrait être responsabilisé que l’installation de copies pirates est constitutive de faute grave.
    • L’application ou le module comptable utilisé n’offre pas toutes les exigences de sécurité et/ou ne respecte pas les dispositions légales. Exemple : l’application ou le module comptable :
      1. Ne permet pas l’attribution de mots de passe à chaque utilisateur les limitant à certains travaux,
      2. Ne laisse pas une trace des annulations et des suppressions des écritures,
      3. N’interdit pas la suppression d’un compte mouvementé sur l’exercice (même soldé),
      4. Après clôture, n’interdit pas la passation d’écritures sur l’exercice clôturé ou la réouverture d’un exercice clos.
  1. La mise en place et le maintien d’un système de contrôle interne adéquat :

La Direction Générale d’une entreprise est chargée de mettre en place et de maintenir un système comptable et un système de contrôle interne assurant la fiabilité des états financiers et la prévention et la détection de la fraude.

Il est de la responsabilité des dirigeants des entreprises de mettre en place et d’assurer le suivi de certaines règles dont les principales sont :

    • Des responsabilités clairement définies et une séparation convenable des tâches : Ceci touche aussi bien le personnel informatique que les différents utilisateurs. Les sécurités d’accès logiques devraient être paramètrées en conséquence.
    • Des contrôles généraux informatiques suffisants et appropriés : sécurité physique, sauvegarde, gestion du changement, etc.
    • Des contrôles directs (contrôles de direction, contrôles manuels et contrôles programmés) appropriés : Ces contrôles devraient être convenablement documentés et coordonnés pour assurer les objectifs de contrôle.

En outre, la définition des responsabilités de chacun des intervenants, concernés par le fonctionnement des applications (la Direction Générale, les utilisateurs et les informaticiens), est essentielle. A titre indicatif :

    • Les utilisateurs, qui ne s’impliquent pas lors des modifications de programmes en définissant les fonctions et les contrôles nécessaires et en exécutant les tests nécessaires et appropriés avant la mise en production de ces modifications, engagent leur responsabilité en cas d’anomalie de fonctionnement.
    • Les informaticiens qui ne documentent pas leur système ou ne forment pas les utilisateurs sont responsables de la mauvaise utilisation d’une application.
    • La Direction générale qui n’anime pas les relations entre les utilisateurs et les informaticiens et délègue toutes les décisions est responsable des dépassements de budget et de temps, voire des échecs liés à des orientations inappropriées.

La mise en place des directives efficaces et des contrôles adéquats s’intègre dans une approche globale de gestion des risques. Pour cela, la Direction Générale a besoin d’avoir une appréciation et une compréhension de base des risques et contraintes liés aux technologies de l’information et de la communication. Elle doit procéder à des arbitrages constants entre le coût de la mise en œuvre d’une décision et les avantages attendus ou le risque qu’elle est disposée à accepter.

Pour réduire les risques à un niveau acceptable, la Direction peut s’appuyer sur des outils techniques reconnus et éprouvés. Parmi ces outils, nous citons le référentiel COBIT (Control Objectives for Information and related Technology)

Quelle est la situation dans la pratique ?

Beaucoup d’entreprises présentent des insuffisances importantes au niveau de la sécurité informatique et ce, malgré la conscience des chefs d’entreprise de son importance en tant que moyen permettant de garantir la protection des personnes et du patrimoine sans nuire au bon fonctionnement de l’entreprise. En effet, la sécurité informatique est encore fragmentée et vécue comme une contrainte technique, au lieu d’être intégrée dans la stratégie de l’entreprise.

C’est aux chefs d’entreprise de veiller à ce que les principes généraux de sécurité soient respectés et mis en œuvre quels que soient les environnements, les implantations géographiques, la taille des équipements informatiques, les applications, les types de matériels, etc. Tout le personnel de l’entreprise, utilisateurs, administrateurs ou dirigeants, doit être concerné par la sécurité, car une seule personne qui n’applique pas les mesures de protection peut fragiliser tout le système, d’où l’importance d’instaurer une culture de sécurité au sein de l’entreprise.

En outre, la sécurité doit être liée de façon étroite et permanente à la dynamique d’évolution de l’architecture de l’entreprise et de son système d’information, car la nature et l’importance des risques évoluent sans cesse, notamment du fait du développement des nouvelles technologies et de la révolution Internet.

Exemple : Dans un environnement d’E-commerce, toute personne cherchera à obtenir l’assurance que l’entreprise, avec laquelle elle compte réaliser une transaction quelconque, a mis en place des contrôles efficaces pour assurer l’intégrité des opérations.

Quatre piliers sont nécessaires à l’élaboration et à la mise en place réussies d’un programme de sécurisation de l’entreprise :

    • Une stratégie et une vision de la sécurité (l’état d’esprit) : La direction générale se doit d’avoir une démarche proactive en matière de stratégie sécuritaire intégrée dans la stratégie globale de l’entreprise.
    • Un engagement de la Direction Générale (la volonté) : Passer d’une sécurité vécue comme une contrainte à une sécurité pleinement intégrée à la stratégie de l’entreprise ne demande qu’une volonté de la direction. Mais, la mise en œuvre de cette volonté dans une architecture opérationnelle nécessite un engagement constant et durable de la part des dirigeants et un investissement en temps, compétences et moyens financiers à la hauteur de cette vision.
    • Une structure de la direction sécurité de l’information (l’organisation) : Le rôle de cette direction consiste non seulement à développer, mettre en place et maintenir la sécurité de l’information, mais aussi à accompagner les objectifs économiques de l’entreprise tout en gérant les risques.
    • Une formation et une veille technologique permanentes (le savoir) : Les employés sont des éléments clés dans un programme global de sécurité de l’information. Il faut donc régulièrement les tenir informés des évolutions de la politique de sécurité. Le message essentiel à leur faire passer est que la Direction se préoccupe de la sécurité et par conséquent, tous les employés de la société sont concernés.
  1. Faire recours à l’audit informatique (interne ou externe) :

La pratique de l’audit informatique est encore très insuffisamment développée dans nos entreprises tunisiennes. Il doit être intégré, principalement, dans les moyennes et les grandes entreprises, dans un schéma directeur de la sécurité informatique.

L’audit informatique peut être réalisé par le service d’audit interne de l’entreprise. Auquel cas, le personnel dudit service doit avoir les compétences et les connaissances nécessaires en la matière et doit être indépendant du volet audité. L’audit informatique peut aussi être réalisé en faisant recours à des cabinets externes spécialisés.

________________________

71 Michel LESOURD, « Communication informatique : administration / entreprise », Revue Française de Comptabilité N°199, Mars 1989.

72 En l’absence de preuve écrite préconstituée, ce sont des indices qui permettront d’emporter la conviction du juge. Exemple : Une bonne sécurité informatique

73 Pour de plus amples détails sur la réglementation comptable, juridique et fiscale, se référer au chapitre III de la première partie.

Questions Fréquemment Posées

Quelles sont les évolutions prévues du cadre juridique en matière d’audit financier en Tunisie ?

En raison de la nature dynamique des technologies de l’information et de la communication, les cadres juridique et technique devraient être en état de mise à niveau continue.

Comment les nouvelles technologies impactent-elles l’audit financier en Tunisie ?

Les nouvelles technologies de l’information et de la communication ont un impact sur le système comptable, les contrôles internes et nécessitent une implication accrue de l’audit informatique dans le processus d’audit financier.

Pourquoi est-il nécessaire de mettre à niveau la formation des auditeurs en Tunisie ?

Il est nécessaire de mettre à niveau la formation des auditeurs pour qu’ils puissent s’adapter aux évolutions des pratiques d’audit et aux nouveaux risques technologiques.

Rechercher
Télécharger ce mémoire en ligne PDF (gratuit)
Lire aussi :
  1. Comment définir une stratégie d'audit informatique efficace en 2024 ?
  2. Comment les technologies transforment-elles l'audit financier en Tunisie ?
  3. Comment l'analyse comparative transforme les contrôles internes en audit financier ?
  4. Quelles sont les meilleures pratiques d'audit financier en 2024 ?
  5. Comment les contrôles d'application révolutionnent l'audit financier ?
  6. Comment le cadre théorique redéfinit-il l'audit financier en Tunisie ?

Si le bouton de téléchargement ne répond pas, vous pouvez télécharger ce mémoire en PDF à partir cette formule ici.

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Scroll to Top