Universit ABDELMALEK ESSAADI Ecole Nationale de Commerce et de Gestion Tanger

Master de Recherche en Sciences de Gestion

Semestre 3 Option : Finance, comptabilit, Audit et Contrle de Gestion Elment de module :

Audit Comptable et Financier

Mission dA dit Com!ta"le et #inancier dans n nivers in$ormatis

Expos sous le thme :

Ralis par : JBIRA Amal Encadr par M.BOUJETTOU assan

Anne acadmi% e & '()*+'(),

!ommaire

Introduction :
Lvolution rapide des outils de linformatique et des nouvelles technologies de linformation continue toucher tous les domaines de lentreprise tout en lui apportant des solutions rapides et efficaces, une importante capacit de stockage de linformation et une intgration de la communication dans le matriel informatique. Etant donn que lobjectif de laudit est lexpression dune opinion sur la sincrit et la rgularit de linformation comptable et financi re, lauditeur doit de plus en plus sinterroger sur la validit de son approche et sur lutilisation des outils traditionnels daudit. La nature des s!st mes quil est appel contr"ler volue, les mo!ens mettre en #uvre doivent donc sadapter afin que lobjectif global daudit soit atteint. $l est vident que lexistence dun environnement informatique ne modifie pas lobjectif et ltendue de laudit. %achant que la dfinition dun environnement informatique est donne par la norme internationale daudit & audit ralis dans un environnement informatique '. ( Un environnement informatique existe lorsquun ordinateur, quels que soient son type et ses capacits, est utilis pour le traitement dinformations financires dimportance significative pour laudit, que cet ordinateur soit exploit par lentit ou par un tiers ). *ans ce contexte, il est ncessaire de se poser un certain nombre de questions afin de cerner les probl mes poss ou qui peuvent se poser aux professionnels + ,uels sont les risques encourus par lentreprise faisant appel aux nouvelles technologies de linformation pour le traitement de ses oprations financi res et dexploitation Et quelle est lincidence de ces risques sur la dmarche de lauditeur et sur ses travaux de planification et de mise en #uvre des procdures daudit Lobjectif de ce travail est de traiter ces problmatiques dans une premi re section et prsenter par la suite dans une deuxi me section les solutions correspondantes compte tenu des normes professionnelles en vigueur. En effet, lvolution des logiciels disponibles en mati re de comptabilits informatises et la forte prsence des ./$ au sein des entreprises ont rendu ncessaire de nouvelles dispositions rglementaires. *autre part, lanal!se des normes dexercice professionnel de lordre des experts comptables marocains montre comment la

profession int gre lenvironnement informatique et la complexit croissante des s!st mes dans la dmarche daudit.

Section 1 : Les facteurs de risques et les difficults spcifiques lies la dmarche de laudit comptable et financier dans un environnement informatique
Les s!st mes dinformation des entreprises ont connu, au cours de ces derni res annes, plusieurs vagues de changement+ mise en place darchitecture client1serveur, intranet1extranet, urbanisation et surtout implantation de progiciels de gestion intgrs 2./$3. Les dcideurs informatiques ont alors progressivement pris conscience de la ncessit d4homogniser leur s!st me d4information. 5ette dmarche s4est d4abord oriente vers une structuration par les donnes 2base de donnes centrale de ./$3, puis le s!st me d4information des entreprises s4est tendu fonctionnellement et s4articule dsormais de plus en plus autour de briques logicielles fournies par plusieurs diteurs + modules ./$, gestion de la relation client 2ou 5673, gestion de la cha8ne logistique 2ou %573. 9insi, les organisations ont intgr des ./$ dans le cadre de leur structure pour deux raisons + rsoudre les probl mes poss par des applications disparates au sein des domaines fonctionnels, et raliser des avantages concurrentiels.

En provoquant des changements radicaux dans les flux dinformation, lobjectif des ./$ est de fournir des solutions technologiques pour rpondre des besoins clairement identifis . Il convient par consquent de sinterroger si dans un tel environnement informatique, les auditeurs doivent adapter leur dmarche de contrle. L4ide sduisante de la base de donnes unique des ./$ n4a pas toujours tenu ses promesses et lauditeur financier constate souvent que lobjectif de structuration du s!st me d4information nest pas atteint. En effet, la complexit de limplantation des ./$ et de leur connexion au s!st me d4information existant, qui se pose alors en s!st me hrit, rv le au terme du projet, un cart sensible par rapport au schma simplifi mis en avant par les diteurs de ces produits. :n faible nombre de recherches a trait de la problmatique des nouvelles technologies dinformation et du processus daudit. 27e!ssonnier et .ourtier, ;<<0, ;<<= > /osselin et ?

7vellec, ;<<@3 ont tent dapporter un clairage sur l4impact des technologies de l4information sur le processus d4audit 2Aagranoff et BendrC!k, ;<<< > Aierstaker, Aurnab! et Dhibodeau, ;<<E3. Aierstaker, Aurnab! et Dhibodeau 2;<<E3 soulignent que les technologies de linformation ont une incidence sur chaque phase de ce processus. La littrature dans ce domaine montre que les auditeurs ont la difficile t che de mener un audit dans un environnement informatique de progiciels intgrs, dans lequel les systmes de contrle interne peuvent devenir inefficaces. Les travaux de Fhao, Gen et 5hang 2;<<03 ont mis en vidence quun s!st me informatique complexe de t!pe ./$ influence les pratiques en mati re de contr"le financier et peut reprsenter de graves menaces pour la viabilit conomique des audits. Les !"I sem#lent provoquer des changements profonds pour les auditeurs, qui ont alors #esoin da$uster leur dmarche, dans le cadre de leur mission. %i l4volution des technologies de l4information a affect la comptabilit et le processus daudit dans les organisations, rares sont pourtant les recherches qui tudient les impacts des ./$ sur la dmarche daudit et sur le travail des commissaires aux comptes en particulier. La littrature explore ainsi deux th mes de recherche qui mettent en exergue les liens existant entre processus daudit et les technologies dinformation.

1- Les problmes lies limplantation de systmes sur le processus daudit en termes de risques

!I et leurs risques

%utton 2;<<=3, Gang et de /uan 2;<<03, Aierstaker, Aurnab! et Dhibodeau 2;<<E3 soulignent que les auditeurs ont besoin de mthodes et de procdures diffrentes pour auditer dans un environnement informatis et notamment celui des ./$. *e mHme, Aae et 9shcroft 2;<<03 montrent que les risques dimplmentation dun !"I, peuvent potentiellement augmenter les risques connexes au processus daudit et compromettre par consquent les systmes de contrle internes. Les rsultats de ltude conduite par Aierstaker, Aurnab! et Dhibodeau 2;<<E3, mene au sein dun public de professionnels de trois grands cabinets comptables internationaux, montrent linfluence des technologies de linformation sur le processus daudit, notamment en termes de planification, de validation et de documentation. 5es travaux identifient les impacts des fonctions intrinsques aux technologies de linformation dans leur capacit % soutenir le processus daudit. .armi les lments dterminants, les auteurs soulignent les changements cruciaux de chaque phase du processus d4audit + =

Les environnements technologiques et informatiques offrent des outils qui amliorent la procdure daudit et les valuations de contr"le interne. Les modules de ./$, tels ceux de %9. tudis par les auteurs, contri"uent # crer une $arit de con%i&urations de contr'le. 5es nouvelles technologies de linformation comprennent des choix de notation, des outils de scurit > elles permettent de comparer les performances relles dans un secteur aux objectifs prtablis, et offrent la possibilit de tracer du dbut jusqu la fin les diffrentes transactions.

En outre, les lo&iciels d(audit sont censs s(int&rer au processus d(audit &lo"al. Les auditeurs auraient alors davantage de temps pour aborder les situations complexes auxquelles leurs clients font face dans leur activit. 5eci implique que les s!st mes E6. int grent des rapports prconfigurs, des fonctions danal!se capables de gnrer des informations dduites partir de faibles liaisons entre des donnes existantes. Enfin, les technologies de linformation permettraient aux auditeurs de prvenir des erreurs et des irrgularits dans le processus daudit.

Iright et Iright 2;<<;3 ont constat que le man)ue d(implication des utilisateurs dans l(usa&e du *+I expose l(entreprise # des ris)ues si&ni%icati%s d,erreurs et d,ine%%icacits in$olontaires. 5es auteurs notent galement qu4en raison des calendriers fixes dimplmentation des ./$, il en rsulte habituellement une inadquation avec le temps ncessaire pour former les utilisateurs. .ar consquent, ce dsquilibre aboutit des taux d4erreurs levs qui peuvent affecter les tats financiers. 5ette situation induit alors un reporting erron. Iright et Iright 2;<<;3 ont galement identifi des risques spcifiques selon les modules utiliss au sein du ./$. $ls ont constat que les modules de cha8ne logistique 2%573, les modules comptables et financiers 2J$'5K3 ont montr de plus grands risques en terme de contr"le.

La littrature montre galement une %ocalisation des auditeurs sur l(audit des processus au dtriment d(un audit sur les rsultats %inanciers 2Iright et Iright, ;<<;3. En effet, le procd d4implantation dun s!st me ./$ a un impact important sur la fiabilit de laudit. Les contr"les d4acc s et les protocoles de scurit sont ainsi corrls aux risques du ./$. .ar consquent, les erreurs de relevs de comptes financiers et les risques mtiers peuvent Htre L

accrus si les acc s ne sont pas reconsidrs lors de linstallation du progiciel de gestion intgr 2Iright et Iright, ;<<;3. 9insi, la conception des s!st mes ./$ implique une dtrioration des procdures de contr"le travers les reconfigurations des processus mtiers, et la personnalisation de larchitecture ./$ lentreprise, ce qui peut compromettre lvaluation de lauditeur.

5es travaux ont mis en vidence que le ris)ue de contr'le peut potentiellement au&menter a$ec la mise en place de s-stmes ER* et varie selon les fournisseurs. 5e rsultat est rapprocher avec ceux tablis par /irard et Jarmer 2EMMM3 qui ont not que limplantation de tels s!st mes au sein de nombreuses socits a augment le risque daudit en raison de linterdpendance automatise des processus mtiers, et des bases de donnes relationnelles intgres.

"- Les comportements des auditeurs financiers dans un environnement informatis

*e mani re complmentaire, un second th me merge de lensemble des recherches sur les ./$ et le processus daudit, celui de ltude des comportements des auditeurs. En effet, la littrature dans ce domaine sest particuli rement intresse aux comportements des auditeurs face des environnements ./$ lors de processus daudit. %i l4utilisation dun ./$ provoque des changements dans lapproche de laudit et quil augmente le risque 2Aae et 9shcroft, ;<<03, de rcents travaux sugg rent que les auditeurs doivent imprativement comprendre les systmes !"I afin de conduire de manire efficace une mission daudit. 5ette ide a t dveloppe par Ninne! 2;<<E3 qui a tudi le comportement des auditeurs face aux dveloppements technologiques lis aux ./$. $l a observ que les auditeurs se trouvent dans lobligation daccro8tre leurs connaissances et leurs qualifications dans les technologies de linformation afin de raliser leur mission de contr"le. *ans ce contexte spcifique, Aagranoff et BendrC!k 2;<<<3 proposent que la compta#ilit et le domaine des systmes dinformation fusionnent pour former des professionnels capa#les de relever les nouveaux dfis de laudit dans un environnement informatique de progiciels intgrs. *autre part, les tudes menes par Ounton, Iright et Iright 2;<<03 ont anal!s la capacit des auditeurs financiers identifier les risques crs par les s!st mes ./$. $ls ont examin la P

propension des professionnels du contr"le recourir un expert en technologie de linformation, pour la conduite dun audit dans des organisations utilisant un ./$, puis au sein dentreprises dotes de s!st me informatique sans ./$. Les rsultats de ces travaux montrent que les auditeurs financiers ne sont pas pleinement conscients des risques importants gnrs par la prsence de ./$ au sein des organisations. En effet, ils identifient clairement la faiblesse des contr"les de scurit des environnements informatiques non bass sur les ./$, mais ne rel vent pas de risques supplmentaires dans lusage des ./$. 5e constat est dmontr par la frquence des recours un expert en technologie de linformation 2D$3 par les auditeurs au cours de leurs missions. Ounton, Iright et Iright 2;<<03 montrent que les experts techniques identifient incontestablement des risques de scurit accrus associs aux infrastructures rseaux, aux bases de donnes et aux applications des ./$ par rapport des s!st mes dinformation ne comportant pas de progiciels intgrs. 5ette tude fait appara8tre un paradoxe + la prsence de ./$ au sein dune organisation modifie la reprsentation du risque daudit pour les experts, mais les auditeurs financiers gardent une reprsentation similaire du risque de contr"le quelque soit la technologie informatique prsente au sein de lorganisation. 5e constat sappuie notamment sur le fait que les auditeurs sont insensibles aux risques de scurit lis aux bases de donnes intgres du ./$. Les recherches de ces auteurs soulignent galement que les auditeurs financiers ne manifestent pas un fort besoin de consulter un expert lors daudit en environnement ./$. $ls expriment alors une forte assurance dans leur aptitude apprcier les risques quelque soit lenvironnement informatique utilis par lentreprise. 5es chercheurs voquent lexc s de confiance des auditeurs, lorsquils ralisent des missions au sein de s!st mes dinformation en environnement ./$. Doutefois, Ounton, Iright et Iright 2;<<03 rel vent que la reprsentation du risque en environnement ./$ par les auditeurs financiers, peut Htre influence par deux phnom nes. Dout dabord, ils sugg rent que la pression conomique exerce sur les coQts dun audit peut contribuer expliquer la faible motivation des auditeurs financiers recourir des experts en D$, notamment lors de contr"le de s!st mes ./$. *e plus, ils justifient les hsitations des auditeurs par leur faible capacit percevoir les liens qui existent entre les risques des s!st mes ./$ et les possibilits derreurs dans les tats financiers ou les ventuelles fraudes financi res. M

Section " : rsentation de la dmarche de laudit financier en milieu informatique

La dimension informatique devient une donne importante de lenvironnement daudit dune part au regard de lapprciation des risques et dautre part en ce quelle rend plus complexe lidentification du chemin daudit. Lauditeur doit alors valuer si des comptences informatiques particuli res sont ncessaires pour raliser la mission. Linformatique est aborde sous deux plans + .rise en compte lors de la prise de connaissance et lapprciation du s!st me de contr"le interne, .rise en compte lors de la recherche des lments probants 2utilisation de copie de fichiers, extraction de donnes par voie de requHteR3.

1-

rise de connaissance de lenvironnement informatique

.%inition et o"/ecti%s de la prise de connaissance Elle doit permettre dapprcier + ' La complexit du s!st me et notamment les donnes issues de celui'ci figurant dans les tats financiers + o Le volume des oprations concernes, o Les traitements effectus par le s!st me, o La part de lautomatisme dans la gnration des critures, o Le lien entre les diffrentes applications, o Les changes avec les tiers, E<

'

Le degr de centralisation du traitement informatique dans lentit, de dpendance envers un produit, un homme,

'

Le niveau de disponibilit des donnes et les phases de contr"le intgres dans la cha8ne de production de linformation.

La prise de connaissance des traitements informatiques aboutissant plus particuli rement aux donnes dordre financier, permet lauditeur de localiser les fichiers, traitements et contr"les cls sur lesquels il peut sappu!er lors de son audit. *orte de la prise de connaissance Elle comporte les tapes suivantes + ' *escription de lenvironnement informatique + organisation au sein de lentreprise 2en interne et en relation avec les tiers externes + fournisseurs logiciels, matriels, maintenance3, stratgie informatique 2place de linformatique dans le s!st me dinformation de lentit, schma directeur3, objectifs suivis dans linformation des tSches, capacit dvaluation, applications existantes et liens entre elles > ' *escription des procdures informatiques + sparation des fonctions, scurit ph!sique et logique, sauvegarde des donnes et applications, plans de secours, liens avec les autres s!st mes de lentreprise 2dont comptable3, gestion des fonctions dveloppement et exploitation, documentation 2schma directeur, supports diteur et utilisateur3 et documents 2compte'rendu historique des volutions et versions, journaux des traitements, des incidents3 > ' Dests des procdures + pour apprhender le chemin de linformation, sassurer de lexhaustivit, de la ralit et de la fiabilit des donnes, mesurer la comprhension et la ma8trise des utilisateurs. 0imites de la prise de connaissance Lauditeur peut se heurter asseC rapidement des difficults lors de cette phase prliminaire + ' *u fait de sa propre comptence > toutefois, une dmarche classique de description des existants et des procdures permet aisment dinventorier et de cerner le domaine informatique > EE

'

*u fait de s!st mes complexes dont la transparence ne repose que sur la qualit de la documentation labore par le prestataire > ce peut Htre le cas pour des outils de t!pe E6. 2Entreprise 6essource .lanning3 >

'

*u fait de s!st mes ( maison ) pour lesquels les objectifs de matrialit et de scurit ne sont pas pris en compte.

*marche de la prise de connaissance + La prise de connaissance suit un canal usuel comportant des phases de + ' ' ' 5ollecte documentaire 2documents s!st me, utilisateur, contrats3, Entretiens visant complter linformation de base, Totes descriptives de lorganisation, des intervenants 2internes et externes3, des fonctions 2dont identification de la sparation des tSches3, des comptences, des charges de travail, des quipements 2( soft ) et ( hard )3, des capacits, des projets, ' :n intrHt tout particulier devant Htre port aux fonctions externalises.

Elle comporte plus spcialement une phase ddie lidentification des informations et traitements constituant le chemin d4audit dans le cadre de la mission du rviseur + ' ' ' Tature des donnes ( input ) et ( output ) Tature des traitements 2automatiss ou non3, 7atrialisation des bases de donnes,

"-

lace de linformatique et valuation des risques

Les risques issus du s!st me informatique sont spcifiques > ils peuvent rsulter + ' *e dficiences des activits + o *e dveloppement et maintenance des programmes, o *e support logiciel,

E;

o *e scurit des quipements et des acc s, o *e traitement des oprations, ' *e la multiplicit des s!st mes utiliss et des interfaces les reliant, voire de dveloppement ( anarchiques ) greffs sur les applications. $ls peuvent exister aussi plus gnralement, par non respect de r gles propres des rglementations sectorielles ou des r gles sur la proprit intellectuelle 2des licences, des images3. Les risques peuvent se percevoir partir dindices tels que + ' ' ' ' ' 7a8trise dficiente du s!st me et des solutions informatiques, 5ouverture en terme de maintenance 2et donc de redmarrage3 insuffisante, %paration insuffisante des tSches ou acc s non ma8triss, Erreurs de programmation engendrant un traitement incorrect des oprations, 7anque de traUabilit des oprations dans le s!st me 2soit par absence de matrialisation soit par non conservation3, ' ' ' ' ' .ossibilit pour les utilisateurs daccder des donnes pour les modifier, Ton ma8trise du dclenchement de traitements automatiss, 7ultiplication des interfaces entre applications, 9bsence de procdures et1ou doutils permettant des contr"les de cohrence, 9bsence de protection ph!sique ou logicielle des donnes,

#- $btention des lments probants

Lenvironnement informatis ne doit pas Htre un frein aux investigations de lauditeur, bien au contraire. 5elui'ci doit toujours se trouver en situation de + E@

' ' '

6aliser des tests sur le s!st me 2en tant que composante du contr"le interne3, Draiter les donnes qui collaborent la production de linformation comptable, 9utomatiser les travaux de contr"le partir de donnes plus nombreuses et parfois plus diffuses.

*ans tous les cas, la dmarche englobera les phases suivantes + ' ' ' 5ontr"le de cohrence des informations produites, DraUabilit des donnes et des traitements, *ocumentation des travaux.

La contribution du s!st me informatique appara8t tr s nettement par les mo!ens dinvestigation quil offre lauditeur > en effet, les volumes ne sont plus un obstacle, les tris, requHtes et anal!ses deviennent aiss. 5ela suppose toutefois, lors la prise de connaissance, lintgration de dmarches visant trouver les termes qui remplacent la dmatrialisation > ainsi, par exemple + ' Lidentification des fichiers actifs la date de cl"ture de lexercice + fichier des ordres de fabrication ouverts, fichier des ordres de fabrication cl"turs et non facturs, fichier des bons de livraison non facturs, ' Lidentification des outils de requHte et les traitements reproductibles 2il importe en effet que les travaux mens dans le cadre de laudit ne viennent en aucun cas gnrer un risque de pollution des donnes de lentit3, ' Lutilisation des journaux de planification des tSches et des incidents en vue de localiser un risque de rupture dans un traitement, ' Lapprhension des volumes et des risques de saturation.

Lauditeur dispose pour obtenir les lments probants recherchs + ' *es outils de requHte propres au s!st me de lentit,

E0

'

*outils travaillant partir de donnes exportes du s!st me 2ce peut Htre tout simplement un tableur ou ce peut Htre un outil ddi

%onclusion
Jace la raret de la littrature existante sur la problmatique tudie, notre objectif tait de mettre en vidence linfluence de lenvironnement informatique des progiciels de gestion intgrs sur le processus daudit. 9vec deux principaux rsultats. Dout dabord, il existe des risques spcifiques de laudit en environnement ./$ + celui lis aux interfaces, le risque de perte de la piste daudit ainsi que les risques gnrs par les limites des logiciels daudit, ainsi que des stratgies dacteurs qui essa!ent de simplifier la complexit croissante de lenvironnement technologique.

Les objectifs daudit restent identiques, que les donnes comptables soient traites manuellement ou par informatique. Doutefois, les mthodes de mise en #uvre des procdures daudit pour runir des lments probants peuvent Htre influences par le mode de traitement utilis. Lexpert'comptable peut appliquer des procdures daudit manuelles, des techniques assistes par ordinateur, ou combiner les deux pour rassembler suffisamment dlments probants. $l peut galement utiliser des outils daudit informatiss gnraux ou spcialiss pour lexcution des contr"les daudit. *ans certains s!st mes comptables utilisant un ordinateur pour traiter des applications importantes, il peut Htre difficile, voire impossible, pour lexpert'comptable de se procurer certaines donnes des fins dinspection, de vrification ou de confirmation externe sans utiliser l4informatique.

&iblio'raphie :
/rald A6:TEDDK, Bronique 79%%KD, & 'uels sont les impacts des !"I sur le processus daudit ( Le cas de lauditeur lgal ), 7anuscrit auteur, publi dans VL9 5K7.D9A$L$DE, LE 5KTD6WLE ED L49:*$D ETD6E 5O9T/E7ETD ED %D9A$L$DE, Jrance 2;<<P3V

E?

( /:$*E .69D$,:E *9:*$D & mise en #uvre du rfrentiel de normes ) publi par lordre des experts comptables marocains, ;<<0.

E=