Comment l’audit informatique transforme-t-il l’audit financier en Tunisie ?

L’impact de l’audit informatique est crucial dans un monde où les technologies de l’information redéfinissent les pratiques d’audit financier. Cette recherche révèle comment l’intégration de l’audit informatique peut transformer les contrôles internes et renforcer la fiabilité des états financiers en Tunisie.

Section 2 : Les rôles dévolus à l’audit informatique dans une mission d’audit financier

L’audit informatique vient supporter la mission de l’audit financier dans la mesure où il permet de :

• mettre en évidence des faiblesses de contrôle interne ayant un impact sur les états financiers et non détectables par une approche classique ;
• limiter les travaux substantifs pour les entreprises pour lesquelles l’auditeur peut s’appuyer sur les systèmes ;
• apporter une plus value à l’entreprise auditée par la mise en œuvre de travaux d’audit-conseil.

Ces objectifs sont atteints à travers la description et l’examen des contrôles généraux informatiques et des contrôles d’application.

Sous section 1 : Les tests sur les contrôles généraux informatiques

Les contrôles généraux informatiques sont les contrôles qui contribuent de manière significative à l’efficacité des contrôles directs individuels. Ils ne visent pas directement les objectifs de contrôle et ne

⁶¹ Pour la définition de système complexe, se référer à la partie I, Chapitre II, Section 2, Sous-section 2

servent donc pas par eux même à fonder la conviction de l’auditeur, mais permettent à ce dernier de savoir si les faiblesses éventuelles dégagées ne réduisent pas l’efficacité et la fiabilité des contrôles directs.

Aussi, les contrôles généraux informatiques ne s’exercent pas au niveau d’un cycle particulier et peuvent avoir, par conséquent, une incidence diffuse sur les divers traitements réalisés par le système.

En effet, « si ces contrôles ne sont pas efficaces, des erreurs peuvent se produire et passer inaperçues dans les diverses applications. C’est pourquoi des défaillances dans les contrôles informatiques généraux peuvent empêcher de vérifier efficacement les contrôles prévus pour certaines applications »⁶².

Cet aspect de l’audit informatique ne s’agit pas d’examiner les contrôles généraux de façon isolée mais lors de l’évaluation de la qualité des contrôles directs. En effet, si l’auditeur estime qu’un contrôle direct constitue un contrôle clef potentiel, il doit déterminer s’il peut aussi s’appuyer sur les contrôles généraux s’y rapportant. Ainsi, il est généralement plus efficace d’examiner les contrôles généraux une fois les contrôles directs clefs identifiés.

Faire le lien entre les risques identifiés au niveau de la fonction informatique et les risques en découlant sur les applications est une tâche assez difficile qui demande de la compétence, de l’expérience et du jugement. Exemple : En cas de contrôles insuffisants des modifications de programmes, le risque d’erreurs sur le calcul des paies est relativement faible du fait que la plupart des salariés vérifient leur bulletin de paie. Par contre le risque d’irrégularités sur les bulletins de paie est théoriquement possible.

Dans le cadre de l’audit financier, l’examen des contrôles généraux informatiques englobe, notamment, l’examen des aspects suivants :

1. Organisation générale de la fonction informatique :

Le contrôle de l’organisation générale de la fonction informatique permet, notamment, d’apprécier :

• le degré de sensibilisation au contrôle interne de la fonction,
• le degré de séparation des tâches incompatibles,
• la division des obligations et des responsabilités entre le service informatique et les différents utilisateurs.

Le contrôle de l’organisation générale de la fonction informatique ne peut donner que des indices ou des présomptions qui doivent être complétés par l’audit des différentes activités de la fonction informatique.

2. Développement, mise en place, modification et intégrité de système :

L’audit de cet aspect permet à l’auditeur de s’assurer que les systèmes sont développés en limitant au minimum les risques d’erreurs (objectif de fiabilité des traitements) et qu’ils ne peuvent être modifiés à l’insu des utilisateurs (objectif de fiabilité des traitements et de protection du patrimoine)

Les contrôles destinés à couvrir les risques liés aux modifications des programmes sont particulièrement importants du fait qu’ils affectent l’efficacité d’un bon nombre de contrôles clefs dépendants. L’existence de contrôles efficaces se rapportant aux modifications des programmes représente un moyen privilégié pour s’assurer que ces deniers restent fiables et complets.

Si ce contrôle n’est pas satisfaisant, il n’y a souvent qu’un autre moyen de savoir si les programmes qui ont été utilisés au cours de la période sont correctement approuvés et testés, c’est de les répéter à partir d’un échantillon représentatif.

3. Accès aux ressources logiques :

L’objectif de l’audit de cet aspect est de permettre à l’auditeur de porter une appréciation sur les procédures d’autorisation d’accès et de protection de l’intégrité des données.

⁶² IFAC : Directive Internationale d’Audit N°1008 : « Evaluation du risque et contrôle interne : caractéristiques et considérations sur l’informatique ».

Dans la pratique, l’auditeur est confronté à de nombreux environnements où les procédures en ce domaine sont inadéquates ou insuffisantes. Dans ces environnements, l’auditeur doit apprécier, cas par cas, l’impact de ces risques sur les applications.

La nature des risques et l’existence ou non de contrôles compensatoires guident l’auditeur dans la conception, la période et l’étendue des tests sur les applications. Par exemple, pour une application imprimant des lettres chèques, un contrôle rigoureux des utilisateurs sur les séquences et le montant des lettres chèques est un contrôle compensatoire nécessaire en cas d’absence de procédures d’accès suffisamment rigoureuses évitant toute modification non contrôlée des fichiers et des programmes.

4. Sécurité physique et procédures de sauvegarde et d’urgence :

L’examen des procédures de contrôle relatives à la sécurité physique et aux procédures de sauvegarde et d’urgence permet à l’auditeur d’apprécier si la protection du patrimoine informatique, la sécurité et la continuité des travaux sont correctement assurées eu égard à la spécificité de l’entreprise.

5. Exploitation :

L’auditeur examine l’exploitation pour apprécier la façon dont cette activité satisfait aux objectifs d’autorisation, d’exhaustivité et d’exactitude.

________________________

⁶¹ Pour la définition de système complexe, se référer à la partie I, Chapitre II, Section 2, Sous-section 2. ↑

⁶² IFAC : Directive Internationale d’Audit N°1008 : « Evaluation du risque et contrôle interne : caractéristiques et considérations sur l’informatique ». ↑

Questions Fréquemment Posées

Comment l’audit informatique soutient-il l’audit financier?

L’audit informatique vient supporter la mission de l’audit financier en mettant en évidence des faiblesses de contrôle interne, en limitant les travaux substantifs et en apportant une plus-value à l’entreprise auditée.

Quels sont les contrôles généraux informatiques dans l’audit?

Les contrôles généraux informatiques sont des contrôles qui contribuent à l’efficacité des contrôles directs individuels et permettent de déterminer si les faiblesses éventuelles réduisent l’efficacité et la fiabilité des contrôles directs.

Pourquoi est-il important d’examiner les contrôles généraux informatiques?

Il est important d’examiner les contrôles généraux informatiques car des défaillances dans ces contrôles peuvent empêcher de vérifier efficacement les contrôles prévus pour certaines applications, ce qui peut entraîner des erreurs non détectées.