Quelles stratégies de mise en œuvre pour l’audit financier en 2024 ?

Les stratégies de mise en œuvre des technologies de l’information révèlent des risques informatiques alarmants pour les entreprises. Comment ces défis transforment-ils l’audit financier en Tunisie ? Cette recherche offre des perspectives cruciales sur l’intégration de l’audit informatique face à ces menaces émergentes.

Section 2 :

Les différentes catégories des risques et des pertes informatiques dans un milieu informatisé :

L’évolution des technologies de l’information et de la communication engendre pour l’entreprise une panoplie de risques informatiques qu’elle est appelée à maîtriser.

Hormis les simples vols, les documents financiers peuvent être modifiés et des transactions illicites peuvent être engagées au nom de l’entreprise sans son consentement. L’interception et l’abus d’utilisation des cartes de crédit ou des informations bancaires compromettent les intérêts du client de l’entreprise. Des documents confidentiels peuvent être divulgués au public ou aux concurrents de l’entreprise. Les droits d’auteurs, les marques et les brevets peuvent être violés. Mais aussi, bien d’autres dommages peuvent toucher la réputation et la notoriété de l’entreprise.

Ces risques peuvent engendrer des pertes que l’on mesure, soit quantitativement par le montant des pertes, soit de façon qualitative.

Sous section 1 : Les catégories des risques informatiques

Les risques informatiques sont de plusieurs ordres. Nous citons :

• Les risques stratégiques : Le sous emploi ou l’incapacité de suivre le rythme de mise en place des nouvelles technologies de l’information et de la communication peut faire qu’une entreprise s’exclue d’elle-même du groupe de partenaires que constitue son milieu professionnel concurrentiel.
• Les risques techniques : Ces risques englobent les risques associés à la fonction informatique ainsi que ceux rattachés aux applications.
• Les risques juridiques : Ces risques se rapportent au non respect de la réglementation en vigueur (juridique, comptable et fiscale), tel que le piratage des logiciels.

En outre, il convient de préciser à ce niveau que la nouvelle technologie de l’Internet n’a pas encore ses propres lois ni de précédents juridiques à grande échelle. En fait, l’une des principales sources de risque est le trop grand nombre de lois régissant l’activité en ligne. Le danger pour tout site marchand est donc d’enfreindre par inadvertance la législation établie du pays où il vend ses produits ou services.

Pour l’audit financier, nous sommes intéressés, principalement, par les deux derniers risques à savoir les risques techniques et les risques juridiques. Nous traitons, dans ce qui suit, les risques techniques. Les risques juridiques feront l’objet d’une étude spécifique au niveau du chapitre 3 de la présente partie.

1. Les composants des risques techniques :

Les risques techniques se divisent en :

• 1. Risques associés à la fonction informatique :

Dans un milieu informatisé, les principaux risques associés à la fonction informatique sont :

1. L’organisation et les procédures d’exploitation du département informatique peuvent ne pas constituer un environnement de traitement favorable à la préparation d’informations financières fiables.
2. Les programmeurs peuvent modifier de façon erronée ou non autorisée les logiciels d’application, réduisant ainsi la fiabilité des informations financières traitées par le système.
3. Des personnes non autorisées (employés ou personnel extérieur) peuvent accéder directement aux fichiers ou programmes d’application utilisés pour le traitement des transactions et y apporter des modifications non autorisées.

En outre, avec les nouvelles technologies de l’information et de la communication, les systèmes informatiques constituent, de plus en plus, une fenêtre ouverte dans laquelle peuvent s’engouffrer des flux perturbateurs. L’entreprise qui ne maîtriserait pas ce nouveau contexte peut se rendre perméable aux intrusions et recevra, par conséquent, des flux indésirables dont le traitement correctif non anticipé reste manuel et coûteux.

En effet, au cours de la communication et la réalisation d’affaires sur Internet, les consommateurs et l’entreprise doivent envoyer et recevoir des informations réciproques. Les informations fournies sont susceptibles à des accès non autorisés lors de la transmission sur Internet et pendant qu’elles sont stockées sur le système informatique de la partie réceptionnaire.

Par ailleurs, les télétransmissions, sur lesquelles se basent les nouvelles technologies, présentent elles-mêmes des risques :

• le recours à des spécialistes hautement qualifiés sur lesquels un contrôle n’est pas aisé et qui ont parfois des autorisations d’accès étendues ;
• la complexité technique, une caractéristique des télécommunications, fragilise les systèmes qui en font un usage exclusif ;

Une étude portant sur les origines des risques les plus significatifs touchant la fonction informatique a été menée en se basant sur les résultats d’audit effectués auprès de 23 sociétés¹⁴.

Il y avait 256 constats générés de cet audit. Ces constats ont être groupés en sept catégories de risque, à savoir :

• Source électrique : Non fiabilité de la source électrique et absence de solutions en cas de sa rupture ou de son insuffisance ;
• Sécurité de l’entreprise : Sécurité physique et logique insuffisantes et absence de protection contre toute forme d’intervention humaine intentionnelle ou inattentive ;
• Architecture physique : Architecture inadéquate et non pratique du bâtiment abritant le matériel informatique : difficulté d’accès, absence de moyens de détection des incendies, etc. ;
• Documentation : Absence d’une documentation convenable et à jour et absence d’une procédure de mise à jour adéquate ;
• Architecture du système : Ceci englobe les insuffisances dues à l’âge, au type et à la configuration des ressources informatiques ;
• Sauvegarde et restauration des données : Ceci englobe toutes les insuffisances rattachées aux procédures de gestion de la sauvegarde et de la restauration des données ;
• Nature du business : Il s’agit des risques associés à la nature de l’activité de l’entreprise auditée qui se répercutent sur la fonction informatique ;

Les résultats de cette étude se présentent comme suit :

Nature du business

9%

3%

43%

7%

48%

6%

96%

27%

43%

12%

83%

35%

57%

10%

Sauvegarde et restauration

Architecture du système

Documentation

Architecture physique

Sécurité de l’entreprise

Source électrique

0% 20% 40% 60% 80% 100% 120%

Pourcentage des entreprises présentant le risque

Pourcentage de la réalisation globale du risque

Ainsi, il ressort de cette étude que le principal pourcentage de risque se situe au niveau de la sécurité de l’entreprise (35%). Un pourcentage important des entreprises présente ce risque (83%).

¹⁴ Extrait de l’ouvrage : « Handbook of Information Technology Auditing », D 6-08 ; Coopers & Lybrand 1997.

L’absence d’une documentation convenable et à jour et l’absence d’une procédure de mise à jour adéquate constituent aussi un risque important (27%). La quasi-totalité des entreprises présentent ce risque (96%).

• 1. Risques liés aux applications :

Les principaux risques liés aux applications peuvent se résumer comme suit :

1. Des personnes non autorisées peuvent avoir accès aux fonctions de traitement des programmes d’application et peuvent, ainsi, effectuer des opérations de lecture, d’altération, d’ajout ou de suppression d’informations des fichiers de données, ou de saisies de transactions non autorisées. Ceci peut conduire à des erreurs ou irrégularités pouvant fort bien demeurer cachées.

Ce risque est similaire à celui provenant d’une mauvaise séparation des tâches ou à l’exercice de tâches incompatibles. Il concerne la possibilité d’accès non autorisé aux fonctions de traitement des programmes d’application par des procédures normales de déclenchement d’autorisation et d’enregistrement de transactions et ce, contrairement au risque que des personnes non autorisées accèdent directement à des informations mémorisées ou à des programmes d’application utilisés au travers de logiciels système, par des moyens de télécommunication, programmes utilitaires ou autres sources informatisées. Ce dernier risque est évoqué dans le paragraphe « risques associés à la fonction informatique ».

1. Les transactions et données permanentes introduites pour traitement peuvent être inexactes, incomplètes ou saisies plusieurs fois.
2. Les données rejetées ou en suspens peuvent ne pas être identifiées, analysées et rectifiées.
3. Des transactions valides saisies pour traitement ou générées par le système peuvent se perdre, être incorrectement ou incomplètement traitées ou imputées, ou bien encore traitées ou imputées à une mauvaise période comptable.

Exemple, les transactions traitées par le commerce électronique sont susceptibles d’être perdues, traitées doublement ou d’une façon erronée. Ainsi, si une commande est envoyée par Internet d’une entreprise à une autre sans l’existence de contrôles d’intégrité appropriés, l’acheteur peut ne pas recevoir les marchandises commandées ou recevoir une quantité supérieure.

Ces risques sont d’autant plus importants avec l’intégration des systèmes où une seule donnée introduite dans le système peut mettre à jour automatiquement tous les renseignements correspondants. Ainsi, une erreur introduite peut engendrer une erreur dans différents fichiers et/ou bases de données.

1. Les types de risques :

Les risques peuvent être divisés en trois types : les accidents, les erreurs, et la malveillance¹⁵.

• 1. Les accidents :
• Accidents sur les locaux : Incendie, explosion, dégâts des eaux, bris de machine, etc.
• Accidents sur les matériels : pannes, destruction, etc.
• Accidents du fait des services : électricité, télécommunication, etc.
  1. Les erreurs :
• Erreurs de saisie, de transmission des données, et d’utilisation des informations (erreurs d’identification des documents informatiques, erreurs d’interprétation du contenu d’un document informatique, document insuffisamment contrôlé, etc.)
• Erreurs d’exploitation : exemple : destruction accidentelle d’un fichier
• Erreurs de conception et de réalisation de logiciels et procédures d’application.
  1. La malveillance :
• Vol de matériels principaux ou accessoires
• Fraude : Utilisation non autorisée des ressources du système d’information :

¹⁵ Selon l’ouvrage du CLUSIF (Club de la sécurité informatique français), « Evaluation des conséquences économiques des incidents et sinistres relatifs aux systèmes informatiques : France 1996 » ; Février 1997.

 détournement de fonds,

 détournement de biens ou services matériels ou immatériels,

 les attaques ciblées vers une entreprise pour récupérer des informations ou modifier des dispositifs en vue d’opérer ultérieurement une autre opération malveillante

• Sabotage : Attentat, vandalisme et toute action malveillante conduisant à un sinistre matériel
• Attaque logique : Utilisation non autorisée des ressources du système d’information se traduisant, essentiellement, par une perte d’intégrité et/ou de disponibilité. Ces attaques sont de deux catégories :

 les attaques non ciblées (les virus, etc.) qui représentent l’immense majorité des attaques en nombre, mais avec un impact modéré,

 les attaques ciblées vers une entreprise (bombe logique, manipulation de données ou de programmes, etc.) dans le but de la paralyser au moins momentanément. Ces attaques sont très peu nombreuses, mais peuvent avoir un impact très nuisible.

• Divulgation : Utilisation non autorisée des ressources du système d’information, entraînant la divulgation à des tiers d’informations confidentielles.
• Autres : Grèves, départs individuels ou collectifs de personnels informatiques (aggravés par l’absence ou l’insuffisance de la documentation et par l’absence de rotation du personnel informatique. Ceci implique, souvent, que certaines applications ne peuvent être maintenues que par un seul informaticien), etc.

Questions Fréquemment Posées

Quels sont les risques informatiques associés à l’audit financier ?

Les risques informatiques associés à l’audit financier incluent les risques techniques et juridiques, tels que les modifications non autorisées des logiciels d’application et le non-respect de la réglementation en vigueur.

Comment les nouvelles technologies affectent-elles l’audit financier ?

Les nouvelles technologies de l’information et de la communication engendrent des risques informatiques que l’entreprise doit maîtriser, affectant la fiabilité des informations financières et les contrôles internes.

Pourquoi est-il important de maîtriser les risques techniques dans un milieu informatisé ?

Il est important de maîtriser les risques techniques car une organisation informatique inadéquate peut compromettre la préparation d’informations financières fiables et exposer l’entreprise à des accès non autorisés.