2-302. AUDIT RÉALISÉ DANS UN ENVIRONNEMENT INFORMATIQUE
[adsenseyu1]
La norme d’exercice professionnel « Procédures d’audit mises en Å“uvre par le commissaire aux comptes à l’issue de son évaluation des risques » (NEP 330) homologuée par le Garde des Sceaux a été publiée au JO du 1er août 2006 (voir Lettre DQEPP n° 32). Elle se substitue aux normes 2-301 et 2-302 du référentiel normatif de juillet 2003 figurant ci-après.
Introduction
.01 – La présente norme a pour objet de définir des principes fondamentaux et de préciser leurs modalités d’application concernant la démarche à suivre lorsque l’audit est réalisé dans un environnement informatique. Dans le cadre des normes d’audit, un environnement informatique existe lorsqu’un ordinateur, quels que soient son type et ses capacités, est utilisé pour le traitement d’informations financières d’importance significative pour l’audit, que cet ordinateur soit exploité par l’entité ou par un tiers.
.02 – Le commissaire aux comptes prend en compte l’environnement informatique et son incidence sur la démarche d’audit.
.03 – L’existence d’un environnement informatique ne modifie pas l’objectif et l’étendue de la mission. Néanmoins, l’utilisation d’un ordinateur modifie la saisie et le processus de traitement, la conservation des données et la communication des informations financières et peut avoir une incidence sur les systèmes comptable et de contrôle interne de l’entité. En conséquence, un environnement informatique peut avoir une influence sur :
– la démarche suivie par le commissaire aux comptes pour acquérir une connaissance suffisante des systèmes comptable et de contrôle interne ;
– la prise en compte du risque inhérent et du risque lié au contrôle permettant d’évaluer le risque d’audit ;
– La conception et l’exécution de tests de procédures et de contrôles substantifs nécessaires en la circonstance pour atteindre l’objectif de l’audit.
Compétences
.04 – Le commissaire aux comptes possède ou acquiert une connaissance suffisante de l’environnement informatique de l’entité pour planifier, diriger, superviser et revoir les travaux de contrôle effectués. Il détermine si des compétences informatiques particulières sont nécessaires pour réaliser la mission. Celles-ci peuvent être utiles pour :
– obtenir une compréhension suffisante des systèmes comptable et de contrôle interne influencés par l’environnement informatique ;
– déterminer l’incidence de l’environnement informatique sur l’évaluation générale du risque et sur l’évaluation du risque au niveau du solde des comptes et des catégories d’opérations ;
– concevoir et mettre en oeuvre des tests de procédures et des contrôles substantifs appropriés.
Si des compétences particulières sont requises, le commissaire aux comptes se fait assister par un professionnel possédant ces compétences ; il peut s’agir d’un collaborateur ou d’un spécialiste externe. Si le recours à un tel professionnel est envisagé, le commissaire aux comptes rassemble suffisamment d’éléments probants montrant que le travail effectué permet de répondre à l’objectif de l’audit, selon la norme 2-503. » Utilisation des travaux d’un expert « .
Planification
.05 – Conformément à la norme 2-301. » Évaluation du risque et contrôle interne « , le commissaire aux comptes acquiert une connaissance suffisante des systèmes comptable et de contrôle interne pour planifier la mission et concevoir une approche d’audit efficace.
.06 – Dans la planification des aspects de l’audit susceptibles d’être influencés par l’environnement informatique de l’entité, le commissaire aux comptes tient compte de l’importance et de la complexité des systèmes informatiques ainsi que de la disponibilité des données pouvant être utilisées pour l’audit, en particulier :
– de l’importance des différentes assertions sous-tendant l’établissement des comptes affectées par le traitement informatisé d’une application comptable complexe. Une application comptable peut être considérée comme complexe si, par exemple :
– le volume des opérations est tel qu’il est difficile aux utilisateurs d’identifier et de corriger des erreurs de saisie, de traitement, de restitution, de programmes, etc.
– l’ordinateur génère automatiquement des opérations ou des écritures importantes intégrées directement dans une autre application,
– l’ordinateur exécute des calculs complexes d’informations financières et/ou génère automatiquement des opérations ou des écritures importantes qui ne peuvent être (ou ne sont pas) validées en dehors de l’application,
– des opérations font l’objet d’un échange électronique avec d’autres entités (comme dans les systèmes d’échange de données informatiques (EDI)) sans contrôle manuel de la pertinence ou du caractère normal de ces échanges ;
– de l’organisation des activités informatiques de l’entité et du degré de concentration ou de décentralisation du traitement informatique, notamment lorsqu’ils ont une influence sur la séparation des tâches ;
– de la disponibilité des données. Des documents source, certains fichiers informatiques, ou d’autres éléments probants nécessaires au commissaire aux comptes, existent parfois pendant une courte période seulement ou uniquement sur un support lisible par une machine. Le système informatique de l’entité peut générer des rapports internes utiles pour les contrôles substantifs (en particulier les procédures analytiques). Le potentiel d’utilisation de techniques d’audit assistées par ordinateur peut également accroître l’efficacité des procédures d’audit, ou permettre au commissaire aux comptes d’appliquer certaines procédures à une population entière de comptes ou d’opérations à un moindre coût.
.07 – Dans un environnement informatique utilisant des systèmes importants et complexes, le commissaire aux comptes acquiert également la connaissance de cet environnement et détermine si celui-ci peut influencer l’évaluation du risque inhérent et l’évaluation du risque lié au contrôle. La nature des risques et les caractéristiques du contrôle interne dans un environnement informatique comprennent :
– le manque de trace matérielle justifiant les opérations. Dans certains systèmes informatiques, il est possible que des traces matérielles complètes nécessaires pour l’audit n’existent que pendant une courte période ou uniquement sur un support lisible par la machine. Dans le cas où un programme d’application complexe exécute un grand nombre de tâches dans le processus de traitement, l’existence de traces matérielles exhaustives n’est pas évidente. C’est pourquoi des erreurs contenues dans le programme d’application peuvent être difficiles à détecter par l’utilisateur en temps voulu par des procédures manuelles ;
– l’uniformité du traitement des opérations. L’ordinateur applique le même traitement à toutes les opérations similaires en utilisant les mêmes instructions. Ceci permet d’éliminer quasiment toutes les erreurs humaines qui se produisent lors d’un traitement manuel. En revanche, les erreurs de programmation (ou les autres erreurs systématiques dans les logiciels d’exploitation ou dans les programmes d’application) entraînent en général un traitement incorrect de toutes les opérations ;
– la séparation insuffisante des tâches. De nombreuses procédures de contrôle exécutées en général par des personnes différentes dans un système manuel peuvent être centralisées dans un système informatique. Ainsi, une personne ayant accès à des programmes, à des traitements ou à des données informatiques est en mesure d’exécuter des opérations non autorisées ;
– le risque d’erreurs et d’irrégularités. Le risque d’erreur humaine dans la conception, la maintenance et la mise en oeuvre d’un système informatique est plus important que dans un système manuel, à cause du niveau de détail inhérent à ces systèmes. De même, le risque que des utilisateurs non autorisés accèdent à des données ou les modifient sans trace visible est plus grand dans un système informatique.
En outre, la diminution de l’intervention humaine dans le traitement informatisé d’opérations et son contrôle contribue à réduire les possibilités de détection d’erreurs ou d’irrégularités. Celles-ci se produisant lors de la conception ou de la modification de programmes d’application ou de logiciels d’exploitation risquent de passer longtemps inaperçues.
– le lancement ou l’exécution des opérations. Le système informatique peut lancer ou exécuter automatiquement certains types d’opérations. L’autorisation de ces opérations ou procédures n’est pas toujours aussi bien documentée que dans un système manuel. L’autorisation par la direction peut n’être qu’implicite et résulter de son acceptation de la conception du système informatique et de ses modifications ultérieures ;
– la dépendance vis-à -vis d’autres contrôles du traitement informatisé. Le traitement informatisé peut générer des rapports ou d’autres documents utilisés pour des procédures de contrôle manuel. L’efficience de ces procédures manuelles peut dépendre de l’efficacité des contrôles d’exhaustivité et d’exactitude du traitement informatisé. Ainsi, l’efficacité et la cohérence des contrôles du traitement d’opérations dans les applications informatisées sont souvent elle-mêmes tributaires de l’efficacité des contrôles informatiques généraux ;
– le renforcement potentiel de la supervision de la direction. Un système informatique peut offrir à la direction une palette d’outils analytiques permettant d’examiner et de superviser les activités de l’entité. S’ils sont disponibles et utilisés, ces outils peuvent améliorer la structure globale de contrôle interne ;
– l’utilisation potentielle de techniques d’audit assistées par ordinateur. Le traitement et l’analyse de grandes quantités de données par l’informatique peuvent permettre au commissaire aux comptes d’appliquer des techniques ou d’utiliser des outils d’audit informatisés généraux ou spécifiques pour l’exécution de ses contrôles.
Les risques, ainsi que les contrôles mis en oeuvre, liés aux caractéristiques du système informatique, ont une incidence potentielle sur l’évaluation du risque d’audit par le commissaire aux comptes, et sur la nature, le calendrier et l’étendue des procédures d’audit.
Evaluation du risque
.08 – Conformément à la norme 2-301. » Evaluation du risque et contrôle interne « , le commissaire aux comptes évalue le risque inhérent et le risque lié au contrôle pour chacune des assertions importantes sous-tendant l’établissement des comptes.
.09 – Le risque inhérent et le risque lié au contrôle dans un environnement informatique peuvent avoir à la fois des effets diffus, et des effets spécifiques par type de postes sur la probabilité d’anomalies significatives dans les circonstances suivantes :
– les risques peuvent résulter de déficiences dans les activités informatiques générales telles que : développement et maintenance de programmes, maintenance des logiciels d’exploitation, traitements, sécurité physique du système informatique, contrôle d’accès à des utilisateurs privilégiés. Ces déficiences sont de nature à avoir un effet diffus sur toutes les applications traitées par l’ordinateur ;
– les risques peuvent accroître la possibilité d’erreurs ou de fraudes dans des applications spécifiques, des bases de données, des fichiers maîtres ou des traitements spécifiques. Ainsi, les erreurs sont relativement fréquentes dans des systèmes exécutant des opérations logiques ou des calculs complexes, ou qui gèrent un nombre élevé de situations d’exception. De même, les systèmes qui contrôlent les sorties de fonds ou d’autres liquidités peuvent faire l’objet de fraudes de la part des utilisateurs ou du personnel informatique.
.10 – Les grandes entreprises recourent fréquemment à des nouvelles technologies pour développer des systèmes informatiques de plus en plus complexes qui peuvent comporter des liaisons micro-gros systèmes, des bases de données distribuées, des traitements par l’utilisateur final ou des systèmes de gestion des données qui transfèrent directement des informations dans les systèmes comptables. Ces systèmes augmentent le degré de sophistication globale du système informatique et la complexité des applications concernées. En conséquence, ils peuvent accroître le risque et nécessitent une attention particulière.
Procédures d’audit
.11 – Conformément à la norme 2-301. » Évaluation du risque et contrôle interne « , le commissaire aux comptes prend en compte l’environnement informatique dans la définition de procédures d’audit visant à réduire le risque d’audit à un niveau acceptable faible.
.12 – Les objectifs d’audit restent identiques, que les données comptables soient traitées manuellement ou par informatique. Toutefois, les méthodes de mise en oeuvre des procédures d’audit pour réunir des éléments probants peuvent être influencées par le mode de traitement utilisé. Le commissaire aux comptes peut appliquer des procédures d’audit manuelles, des techniques assistées par ordinateur, ou combiner les deux pour rassembler suffisamment d’éléments probants. Toutefois, dans certains systèmes comptables utilisant un ordinateur pour traiter des applications importantes, il peut être difficile, voire impossible, pour le commissaire aux comptes de se procurer certaines données à des fins d’inspection, de vérification ou de confirmation externe sans utiliser l’informatique.