AUDIT Michel Huissoud Comment intégrer l’audit informatique? Le passage de ISA 401 à ISA 315, 330 et 500 sind selbst bei wichtigen Treasury-Auf-La Suisse a décidé de reprendre sans changement gaben noch immer das dominierende l’ensemble des normes ISA [1] de l’IFAC [2]. Une dé- Instrument.» cision quelque peu forcée par le contexte international, Même retenue chez le législateur: il mais certainement un pas dans la bonne direction. aura fallu attendre le 24 avril 2002 pour que l’Ordonnance concernant la tenuePour appliquer de manière appropriée les derniers et la conservation des livres de comptes standards ISA adoptés par l’IFAC en octobre 2003, (Olico) [4] vienne timidement complé- ter l’article 957 du Code des obliga-il faudra encore résoudre deux problèmes: pallier la tions. Ce texte a cependant été intro- quasi-absence de normes traitant de la tenue de la duit sous la pression de l’Administra- tion fédérale des contributions, ce quicomptabilité et des systèmes de contrôle interne et explique qu’il se focalise plus sur la améliorer la communication entre la branche finan- conservation que sur le tenue des livres de comptes [5].cière et la branche informatique de l’audit.* L’ancrage légal du contrôle interne est très récent et encore embryonnaire. Nous nous retrouvons aujourd’hui avec un Sarbanes-Oxley Act de 2002 qui née par la qualité des processus en exige la mise en place de «an adequate1. Normes: la présentation amont. Une omission qui pourrait en- internal ...
La Suisse a décidé de reprendre sans changement l’ensemble des normes ISA[1] de l’IFAC[2]. Une dé-cision quelque peu forcée par le contexte international, mais certainement un pas dans la bonne direction. Pour appliquer de manière appropriée les derniers standards ISA adoptés par l’IFAC en octobre 2003, il faudra encore résoudre deux problèmes: pallier la quasi-absence de normes traitant de la tenue de la comptabilité et des systèmes de contrôle interne et améliorer la communication entre la branche finan-cière et la branche informatique de l’audit.*
1. Normes: la présentation comptable a largement occulté la tenue régulière de la comptabilité
Souvent motivée par des considéra-tions fiscales ou par la défense des inté-rêts des actionnaires, la discussion sur les normes de présentation comptable occupe depuis des années le devant de la scène.US GAAP, SwissGAAP RPC, IAS/IFRS: toutes ces normes ignorent le thème de la tenue des comptes et des systèmes de contrôle interne pour se concentrer sur la présentation du bilan ou la détermination du résultat annuel des entreprises.
En d’autres termes, on se préoccupe beaucoup de la détermination du bilan de trésorerie des entreprises mais on omet de considérer que la fiabilité de ces données est directement condition-
*Die deutsche Übersetzung erscheint im ST 10/04.
née par la qualité des processus en amont. Une omission qui pourrait en-core réserver quelques surprises quand on lit dans une récente étude [3] que «Die Tabellenkalkulationsprogramme
Mich mem de la ISAC Contr
, ique ent
sind selbst bei wichtigen Treasury-Auf-gaben noch immer das dominierende Instrument.»
Même retenue chez le législateur: il aura fallu attendre le 24 avril 2002 pour que l’Ordonnance concernant la tenue et la conservation des livres de comptes (Olico) [4] vienne timidement complé-ter l’article 957 du Code des obliga-tions. Ce texte a cependant été intro-duit sous la pression de l’Administra-tion fédérale des contributions, ce qui explique qu’il se focalise plus sur la conservation que sur le tenue des livres de comptes [5].
L’ancrage légal du contrôle interne est très récent et encore embryonnaire. Nous nous retrouvons aujourd’hui avec un Sarbanes-Oxley Act de 2002 qui exige la mise en place de«an adequate internal control structure and proce-dures for financial reporting»[6], une loi de sécurité financière française adop-tée le 17 juillet 2003 qui parle de«pro-cédures de contrôle interne mises en place par la société»[7] et un projet de
i
Michel Huissoud, Comment intégrer l’audit informatique?
se substituer à un tel standard. Ils s’adressent en effet aux auditeurs et ne sauraient être imposés directement aux entreprises.
Cette lacune renvoie aux sempiter-nelles questions posées aux auditeurs: qui m’oblige à mettre en place un SCI? Quels sont les objectifs d’un SCI? Quel est le contenu d’un SCI? Pour y répondre, le Contrôle fédéral des fi-nances a récemment publié sur ce thème une brochure inspirée du mo-dèle COSO, destinée aux cadres de l’Administration fédérale [8].
2. Existe-t-il aujourd’hui des audits financiers qui ignorent la dimension informatique?
Malheureusement oui. Et même le do-maine bancaire, pourtant réputé pour le sérieux de ses auditeurs, n’est pas épargné. Dans son dernier rapport [9], la Commission fédérale des banques relève les malversations commises par deux dirigeants d’une banque de ges-tion de fortune. Celle-ci a perdu près de la moitié de ses fonds propres, notam-ment à la suite de malversations ren-dues possibles durant de nombreuses années par une«absence de séparation stricte des fonctions et des compétences excessives au niveau informatique». L’auditeur dela banqueaurait-il dû constater cette lacune? La norme ISA 315«Understanding the Entity and Its Environment and Assessing the Risks of Material Misstatement»permettra de répondre clairement à cette question. Elle prévoit en effet (chiffre 52) que «la gestion des contrôles d’accès – les mots de passe par exemple – permettant de limiter l’accès aux données et aux programmes gérant les paiements, peut être une question relevante pour une ré-vision des comptes annuels».
Qu’en est-il de l’audit des contrôles gé-néraux permettant la maîtrise de l’en-vironnement informatique? S’il est au-jourd’hui généralement reconnu que l’audit informatique doit couvrir l’exis-tence et l’efficacité des contrôles in-tégrés dans les applications informa-tiques financières, la question de l’audit des contrôles généraux est plus con-troversée. Les nouvelles normes de l’IFAC apportent là également une ré-
AUDIT
Tableau 1 Le problème de l’absence de normes réglant la tenue des comptes
Couvre les notions de:
Réglées par:
Le principe de la régularité comptable
Tenue des livres et des comptes, système de contrôle interne, traitement électronique de l’information, etc. …
Absence de normesreconnues
Présentation comptable du compte de résultat, du bilan et de ses annexes
CO, Normes Swiss GAAP RPC, IFRS, IPSAS, etc. …
,
AUDIT
Michel Huissoud, Comment intégrer l’audit informatique?
centrale qui préoccupe beaucoup les auditeurs.
Un premier constat: les auditeurs fi-nanciers et les auditeurs informatiques doivent apprendre à mieux communi-quer ensemble. On observe en effet au sein de l’audit des problèmes de com-munication comparables à ceux que les entreprises rencontrent. Les informati-ciens (maîtres d’œuvre / MOE pour nos collègues français ou fournisseurs de prestations informatiques) ont beau-coup de difficulté à trouver un parte-naire responsable et qualifié auprès des services utilisateurs (maîtres d’ou-vrage / MOA, sponsors pour nos col-lègues anglo-saxons ou bénéficiaires de prestations). Pour une entreprise audi-tée, il existe un risque réel que les pro-blèmes résultant de cette mauvaise communication ne soient pas identifiés car une situation identique se répète dans l’équipe d’audit. L’auditeur infor-matique traite avec le responsable in-formatique, l’auditeur financier avec les responsables financiers sans que les uns et les autres échangent réellement
Pour ce faire, la branche a besoin de procédures et d’outils incitant les audi-teurs financiers et auditeurs informa-tiques au dialogue. Un exemple est l’établissement de la cartographie des applications informatiques d’une en-treprise.
Il s’agit en pratique de trouver le juste milieu entre le descriptif verbal d’une procédure et (à l’extrême) un schéma de câblage de bâtiment. LaCompa-gnie(française)des commissaires aux comptes(CNCC) a fait œuvre de pion-nier avec son excellent Guide d’appli-cation«Prise en compte de l’environne-ment informatique et incidence sur la démarche d’audit»(qui peut être com-mandé sur www.cncc.fr). On y trouve notamment des exemples réalistes de présentation du paysage applicatif d’une entreprise qui devraient permettre aux auditeurs de partager une perception identique des problèmes.
Pour réaliser un tel schéma(cf. ta-bleau 2), il est nécessaire dans une ap-proche pluridisciplinaire d’identifier -
faces. Le recensement peut ensuite être complété:
• pourchaque application par les prin-cipales fonctionnalités, une estima-tion des volumes traités, l’environne-ment technique, le type de contrôle d’accès et la personne responsable de l’application;
• pourchaque interface par le type d’interface (automatique, manuel), les applications en amont / en aval, la fréquence (quotidienne, mensuelle, annuelle) et les contrôles mis en place pour détecter les anomalies.
Un tel recensement constitue une base de travail indispensable permettant aux auditeurs informatiques et financiers de mettre en commun leurs analyses des risques et d’identifier les flux de données et les vérifications à effectuer. Il devrait également permettre de re-monter jusqu’au rapport de révision les faiblesses constatées dans l’audit infor-matique. D’autres instruments devront encore être développés pour stimuler
Tableau 2 Exemple de cartographie des applications, tiré du Guide de la CNCC Cumul des Gestion des RessourcesFichier du Gestion de la PaieheuresGestion de la production Humainespersonnel travaillées /J /M – Gestion du personnelGestion des articlesProcessus budgétaire Gestion de la paie – Gestion de la formation – Gestion des temps deSuivi de la production et de Comptabilité industrielle travailla productivité – Gestion des compétences Gestion des stocksPointage MO Gestion des méthodes de Coûts réels Fichier de virementsproduction /M des salaires et notes de frais Gestion de la TrésorerieGestion Comptable Livraison et Fichier de réception Réception virements – Gestion de la trésoreriedes produits Comptabilité GénéraleComptabilité Analytique/J – Virements /J – AppointementsInterfaçage des mouvements de trésorerie client Etats des Immos et Gestion Commerciale amortissements Etats de bilan /M et RésultatCentralisation Suivi des clientsBudget Achat du CA Immos 1/M /J Statistiques de ventesStock commercial Ecart marge brute et coûts réels Gestion des Immos Commande/Liv./Facture Gestiondes prospects Consolidation1/M Factures – Gestion des /J – Consolidation immobilisationsComptabilité ClientAssurance Crédit Client – Reporting – Amortissements Factures Commandes LEGENDE Fournisseurs Interface automatiquePC /M: Mensuel EDI Interface semiautomatiqueServeur NT/J : Journalier Interface manuelleAlpha – VMS/T : Trimestriel
4. Quelques questions non résolues posées par l’audit du SCI
4.1 Comment traiter les logiciels standards?
Michel Huissoud, Comment intégrer l’audit informatique?
Comment s’assurer de la fiabilité d’un logiciel standard, certifié ou non? La Chambre fiduciaire a informé il y a quelque temps que les Communica-tions professionnelles n’étaient plus en o vigueur. La Communication n9 «Cer-tification du logiciel» disparaît ainsi en laissant un vide qu’il s’agira un jour de combler. Si l’on écarte la probléma-tique de l’entreprise qui certifie les lo-giciels, il demeure le problème quoti-dien de l’auditeur confronté à un lo-giciel standard. Que doit-il faire? Se renseigner sur une éventuelle certifica-tion, les réserves apportées à cette cer-tification, les paramètres divergeant de la version certifiée? Se renseigner sur les «bugs» de ce logiciel? Prendre con-naissance des tests effectués lors de la mise en place de ce logiciel standard? Effectuer lui-même les tests qui n’ont pas été effectués? L’expérience montre que les logiciels standards contiennent des erreurs qui peuvent se révéler ma-térielles dans le cadre de la révision, mais comment convaincre un client de financer de tels tests?
4.2 Comment impliquer les fournisseurs et autres partenaires dans l’audit des interfaces?
La norme ISA 402 pose les bases de l’audit de l’outsourcing et prévoit en particulier que l’auditeur tient compte de«l’interaction entre les systèmes comp-tables et de contrôle interne du client et ceux du partenaire extérieur».Il n’existe en revanche que peu de recomman-dations sur l’audit des interfaces, que celles-ci soient internes ou externes à l’entreprise. Une collaboration avec l’organe de révision d’un fournisseur, d’un client ou d’une caisse de pension est-elle également prescrite? A quelles conditions? Un domaine ou tout ou presque est à définir.
4.3 Que faire en l’absence de SCI?
Il est intéressant de lire dans le Mes-sage du Conseil fédéral que«Si l’or-
gane de révision constate que le système de contrôle interne est défaillant, il doit s’y substituer en procédant lui-même à des contrôles».La pratique montrera dans quelle mesure les entreprises clientes seront prêtes à rémunérer ces travaux supplémentaires. En cas de
La CNCC offre en France depuis 2004 un programme de formation «Visa pour l’audit en environnement infor matisé». Il s’agit d’une formation de perfectionnement professionnel de 100 heures se décomposant en 5 jours de séminaire (essentiellement fondés sur le Guide d’application mentionné plus haut), 5 jours de tutorat durant lesquels les participants sont guidés tout au long d’une de leurs missions réelles et 20 heures d’autoformation. L’organisation d’un cycle de formation à Genève est à l’étude au sein du comité informa tique de la Chambre fiduciaire.
AUDIT
contre rémunération – conseiller, assis-ter voire effectuer certains travaux sur mandat pour ces petits cabinets d’audit. Un projet dans ce sens, qui implique la création d’une société privée, est à l’étude en France auprès de la Compa-gnie nationale des commissaires aux comptes.
, un effort doit être les réviseurs aux tégrer les questions rs programmes. Ils riel facilitant la re-yse et finalement s métiers, de mé-des applications, œuvre des outils de perfectionne-de l’offre actuelle. tifieraient une pro-rtielle de l’actuel e de la Chambre fi-
tes rd on Auditing. tion of Accountants, les arées par l’International nce Standards Board
in Deutschland», Price-octobre 2003.
l’influence des ques-donnance du 30 janvier t fédéral des finances es et les informations lectronique, OeIDI, RS es exigences en matière ajoutée.
of 2002, Sec. 404 Mana-f internal controls.
’article 225–37 du Code
e 2.1.2. automated application he inherent consistency it evidence about the im-control, when considered audit evidence obtained ing effectiveness of the ols (and in particular, y provide substantial its operating effective-ant period.» ccasion la directive IAPS du passage à l’an 2000