Présentation partie 3

Maîtrise Universitaire en Comptabilité, Contrôle
et Finance
Audit des systèmes d'information
Partie 3: la dimension informatique de l’audit du Système
de Contrôle Interne
Emanuel Campos - version 2014
Sommaire de la partie 3
t  Qu'est-ce que le SCI ?
t  Qu'est-ce que la dimension IT d'un SCI ?
t  Quelles sont les composantes d'un SCI ?
t  Différences entre les différents types de contrôle ?
t  Quelles sont les bonnes pratiques en matière de
séparation des fonctions ?
MCCF 2014 - E. Campos – partie 3
2
Connaissances de ce module
Savoir
t classer le SCI (informatique) en bon, moyen, mauvais
t décider, et étayer, le besoin de faire un audit informatique
t énumérer et différencier les types de contrôles IT
MCCF 2014 - E. Campos – partie 3
3
Littérature
Ouvrages de référence pour cette séance
t  MSA tome I pages 88ss et tome II page 123ss
t  COSO
MCCF 2014 - E. Campos – partie 3
4
Les présentations personnelles (suite)
Un sujet est traité pendant 15 minutes par un groupe de 4 personnes
La note obtenue compte pour 1/3 de la note finale
25 mars 2014
Audit du Système de contrôle interne
Votre client est une société suisse dans le domaine de la distribution
de produits de parfumerie, elle a décidé de faire une fusion avec un
concurrent de la même taille.
1.  Expliquez votre démarche pour maitriser le SCI.
2.  A quels nouveaux risques s’expose votre client ?
MCCF 2014 - E. Campos – partie 3
5
Définition et objectifs du contrôle interne
COSO (Committee of Sponsoring Organizations of the Treadway Commission)
Le contrôle interne est un processus exercé par le conseil
d'administration, le management et par d'autres collaborateurs de
l'entreprise, propre à apporter une assurance raisonnable que les
objectifs suivants sont atteints:
Rentabilité et
efficience de
l'exploitation
Fiabilité
des états
financiers
Respect des
normes et
prescriptions
MCCF 2014 - E. Campos – partie 3
6
SCI: Divers facteurs a prendre en compte
Contraintes
Opérationnelles
et praticité
Besoins
Comptables
Loi
et Ordonances
et Normes
Le but de
l’entreprise
Culture
d’entreprise
Les acteurs
employees, etc.
Les contrôles :
manuels,
automatiques,
séparation de
tache, etc.
La methode de
mise en oeuvre
et sa gestion
Archivage,
reproduction
MCCF 2014 - E. Campos – partie 3
7
Définition du SCI selon la NAS 400
Evaluation du risque et contrôle interne
Le “système de contrôle interne” est l'ensemble des politiques et
procédures("contrôles internes") mis en œuvre par la direction d'une
entreprise en vue d'assurer ce qui suit (dans la mesure où cela est
réalisable): gestion régulière et efficace (y compris respect des
politiques de gestion), sauvegarde des actifs, prévention et détection
des fraudes ou des erreurs, exactitude et exhaustivité des
enregistrements comptables et établissement en temps voulu
d'informations financières fiables.
Le SCI comporte:
(a) le « système d'organisation du contrôle interne »
(b) les « procédures de contrôle »
MCCF 2014 - E. Campos – partie 3
8
SCI selon la NAS 400
Le « système d'organisation du contrôle interne »
L'ensemble des comportements, les degrés de sensibilisation et
l’action de la direction concernant le système de contrôle interne et son
importance dans l'entreprise (par exemple, un système d'organisation
du contrôle interne fort avec des contrôles budgétaires stricts et une
fonction d'audit interne efficiente).
Les facteurs déterminants:
t  la fonction des organes dirigeants;
t  la philosophie et le style de direction;
t  la structure de l'entreprise et les méthodes de délégation de pouvoir et de responsabilité;
t  le système de contrôle de la direction comprenant la fonction d'audit interne,
t  les politiques et les procédures relatives au personnel ainsi que la répartition des tâches.
MCCF 2014 - E. Campos – partie 3
9
SCI selon la NAS 400
Les « procédures de contrôle »
Quelques possibilités:
t 
t 
t 
t 
t 
t 
t 
t 
t 
établissement, revue et approbation des rapprochements;
vérification de l'exactitude arithmétique des documents;
contrôle des applications et de l'environnement de la technologie de l'information et
de la communication, par exemple en établissant des contrôles sur:
q  les modifications des logiciels,
q  l'accès aux fichiers de données;
la tenue et la revue des comptes de contrôle particuliers et des balances auxiliaires;
l'approbation et le contrôle des documents;
la comparaison des données internes avec des sources externes d'information;
la comparaison des résultats des comptes de trésorerie, des comptes titres et des
comptes de stock avec les documents comptables;
la restriction de l'accès physique direct aux actifs et aux documents;
la comparaison et l'analyse des résultats financiers avec les montants budgétés.
MCCF 2014 - E. Campos – partie 3
10
SCI selon la NAS 890
s’applique depuis le 1er janvier 2008
q  Le conseil d’administration est responsable de la définition des
principes , de la mise en place et du maintien d’un SCI adéquat
q  Par rapport aux risques déterminés, mise en évidence de ceux qui ont
un impact financier
q  Définition des risques financiers clés par secteur d’activité. A chaque
risque déterminé doit correspondre un contrôle permettant de couvrir
ce risque
q  L’entreprise doit disposer du processus suivant:
§  Identification des risques importants relatifs aux comptes annuels
§  Appréciation de l’importance de ces risques
§  Évaluation de la probabilité de survenance
§  Décision sur les mesures destinées à corriger ces risques
MCCF 2014 - E. Campos – partie 3
11
SCI selon la NAS 890
s’applique depuis le 1er janvier 2008
q  Le système de contrôle interne doit être en place à la fin de l’exercice
sous révision (d’où l’importance de faire un contrôle intermédiaire)
q  La vérification des contrôles au niveau de l’entité et des contrôles
informatiques doit être effectuée chaque année
q  La vérification sur les contrôles des processus peut être effectuée par
rotation sur trois ans
q  Les moyens de vérification sont par exemple, la revue de procédures
écrites, les tests de cheminement, les observations ou les auditions
q  Les contrôles généraux au niveau de l’entreprise doivent être mis en
place (charte, politique générale, revue des budgets,…)
q  Les contrôles généraux IT doivent être mis en place
MCCF 2014 - E. Campos – partie 3
12
SCI: Avoir un cadre de référence
Le modèle COSO
(ici version de 2004)
Objectifs de risque COSO
(n’hésitez pas a
étendre au besoin)
Différents secteurs
de l'organisation
Composants
(ils sont tous
interconnectés)
MCCF 2014 - E. Campos – partie 3
13
Le modèle COSO
(ici version de 2004)
Les composants clefs
Composants
(ils sont tous
interconnectés)
Environnement de Contrôle
L'environnement interne englobe le ton et met les bases par lesquelles le risque est perçu et abordé,
y compris la gestion et la notion d'appétit au risque, de l'intégrité, les valeurs éthiques, etc.
Objectifs
Les objectifs doivent être définis. La gestion des risques s'assure de l’existence d’un processus visant
à fixer des objectifs. Que les objectifs choisis sont en relation avec la mission d’entreprise et qu’ils
restent conformes à son appétit pour le risque.
Identification des risques
Les événements internes et externes affectant la réalisation des objectifs doivent être identifiés, tout en distinguant entre risques et
opportunités. Les opportunités sont transmises au processus de stratégie ou de définition des objectifs.
Evaluation du risque
Les risques sont analysés, compte tenu de la probabilité et de leur impact. Cela afin de déterminer la façon dont ils doivent être gérés.
Les risques sont évalués sur une base inhérente et résiduelle.
Mesures
Les mesures pour répondre aux risques - éviter, accepter, réduire, ou partager - doivent s'intégrer a la tolérance au risque de l'entité et a
son appétit au risque.
Activités de contrôle
L'intégralité de la gestion du risque est bâti et surveillée de manière a garantir l’application des mesures de réduction des risques.
Information et communication
La collecte d’information utile est définie, ces informations sont enregistres et transmises en temps pour permettre aux gens d'exercer leurs
responsabilités. Une communication plus large se produit aussi de manière transversale a l'organisation.
Surveillance
L'intégralité de la gestion du risque d'entreprise est surveillée et les modifications apportées au besoin. Le suivi est réalisé au moyen
d'activités opérationnelles, d’évaluations ponctuelles, ou les deux.
MCCF 2014 - E. Campos – partie 3
14
SCI: Avoir un cadre de référence
Le modèle COSO repris par le MSA
MCCF 2014 - E. Campos – partie 3
(Tome II page 127)
15
Les différents types de contrôles du SCI
Les connaitre et apprécier l’intégration informatique
( ) Contrôles qui peuvent être automatises avec l’informatique
x Contrôles typiquement informatiques
q  Contrôle à l'échelon de
l'entreprise
q  Contrôle applicatif
X
Xq  Contrôle général IT
q  Contrôle manuel
(q ) Contrôle ponctuel
Xq  Contrôle continu
(q ) Contrôle « high level »
(q ) Contrôle de routine
(q ) Contrôle compensatoire
q  Contrôle hybride
X
(ou semi-automatique)
Xq  Contrôle automatique
(q ) Contrôle préventif
(q ) Contrôle détectif
MCCF 2014 - E. Campos – partie 3
(q ) Contrôle-clé
( q ) Contrôle d'accès physique
q  Contrôle d’accès logique
X
Xq  Contrôle à la saisie
16
Les bases légales du SCI
Exigence pour le SCI (ou de la gestion des risques)
Exigences directement formulées
t  Ordonnance sur les banques (art. 9) et circulaire FINMA 2008/24
t  Ordonnance sur les bourses (art. 20)
t  Loi sur la surveillance des assurances (art. 27)
Exigences indirectement formulées
(via la définition du mandat de l'organe de révision)
t  SA (663b et 728a CO)
Critères uniformes au
t  SàRL (818 CO)
contrôle ordinaire d‘un
t  Fondations (83b CC)
organe de révision:
•  Somme de bilan > 10mios
t  Associations (69b CC)
•  Chiffre d'affaire > 20 mios
t  Sociétés coopératives (906 CO)
•  Effectif > 50 personnes
(2 conditions 2 ans de suite)
MCCF 2014 - E. Campos – partie 3
17
Les bases légales du SCI
Exigences de fiabilité des états financiers
L’informatique est directement concerné
t  CO „comptabilité (957ss.)
t  OLICO
Il faut pouvoir répondre a cela
lorsque l’informatique est utilisé
Ordonnance concernant la tenue et la conservation des livres de comptes
Art. 3 Intégrité (authenticité et infalsifiabilité)
Le mode de tenue, de saisie et de conservation doit garantir que les livres, les
pièces comptables et la correspondance ne puissent être modifiés sans que la
modification ne soit apparente.
t  OelDI
Ordonnance du DFF concernant les données et les informations qui sont
transmises par voie électronique
Art. 8 Traçabilité des opérations commerciales
Chaque opération commerciale doit pouvoir être contrôlée individuellement sans
retard déraisonnable et sans occasionner de frais importants, depuis les pièces
justificatives en passant par les livres comptables jusqu'au décompte de la TVA, et
inversement.
MCCF 2014 - E. Campos – partie 3
18
SCI: qui fait quoi?
Conseil d'administration
t 
t 
Il est responsable de la mise place et de la maintenance du SCI (716a/1 CO);
Il rapporte dans l'annexe au bilan sur la gestion des risques (663b CO)
Management
t 
Mise en oeuvre des décisions du conseil d'administration
Organe de révision
t 
Audite le SCI. Au sens strict il ne fait pas partie du SCI
Audit interne
t 
De manière ponctuelle, il audite le SCI. Au sens strict il ne fait pas partie du SCI
Responsable des finances (CFO)
t 
Le vrai chef d'orchestre du « SCI financier »
Contrôle interne (Compliance)
t 
S’assurer du respect et de l’efficacité du SCI. Participe a sa définition.
MCCF 2014 - E. Campos – partie 3
19
Le CFO est l'acteur principal
Est-il conscient de son rôle?
Le CFO (doit en principe)
t  émettre des recommandations pour le SCI dans les
processus amont
t  recevoir toutes les informations relatives à la gestion
des risques
t  etre l’interlocuteur incontournable dans les projets
informatiques
t  maîtriser les paramètres d'intégration des données
métiers dans l'application comptable
MCCF 2014 - E. Campos – partie 3
20
L’audit interne et la gestion des risques
Son rôle est limité
Une vision de rôle de l’audit interne
MCCF 2014 - E. Campos – partie 3
21
SCI: Les étapes pour sa mise en place
Exemple:
Selon l'administration fédérale suisse
1. Modélisation
des processus
1
3. Evaluation
des risques
2
3
4
SCI
2. Définition
des objectifs
4. Activités
de contrôle
Information et communication
Environnement de contrôle
Surveillance et pilotage
MCCF 2014 - E. Campos – partie 3
22
SCI: Les outils qui assistent sa gestion
Exemples :
t  Outil dédiés tels que SAP GRC, Bwise, etc.
Eviter la constellation de solutions
t  Tableau de bord
Quelque soit sa forme, pur autant qu’il soit fiable
t  Auditeur externe
Ou un cabinet de de conseil
t  Outil de workflow
note: l’email n’est pas un workflow
t  Autres...
MCCF 2014 - E. Campos – partie 3
23
Séparations des fonctions usuelles
Selon document PwC / SCI, décembre 2006
Ventes
o 
traitement de données de base & données de
transactions
o 
traitement des opérations commerciales &
enregistrement
o 
traitement des opérations commerciales & sortie des
marchandises
o 
enregistrement & paiement (y compris avoirs)
Achats
o 
traitement de données statiques et de données de
transactions
o 
traitement des opérations commerciales &
enregistrement
o 
traitement des opérations commerciales & entrée des
marchandises
o 
enregistrement et paiement
Stocks
o 
enregistrement des marchandises et mouvements
physiques des marchandises
o 
corrections de l'évaluation d'enregistrement de
marchandises, inventaire de l'enregistrement et
mouvements de marchandises.
MCCF 2014 - E. Campos – partie 3
Immobilisations corporelles
o 
commande d'immobilisations et enregistrement en
comptabilité
o 
vente d'immobilisations et enregistrement en
comptabilité
o 
corrections d'évaluation et approvisionnement/vente
o 
inventaire et enregistrement en comptabilité
Salaires
o 
saisie du temps et décompte de salaire
o 
collaboration pour l'introduction dans le système des
types de salaire et des collaborateurs
o 
traitement des données fixes du traitement des salaires
et paiement des salaires (par voie électronique et en
espèces)
Finances
o 
tenue de la caisse et comptabilité
o 
traitement de données de base (adresse banque) et les
paiements
Technologie de l'information
o 
développement/adaptation de programmes et affaires
opérationnelles
o 
développement/adaptation de programmes et transfert
dans la production
o 
accès direct au système d'exploitation / bases de
données
24
Séparations des fonctions avec l’informatique
Exemples génériques
Processus A
Conflit
Processus B
Processus C
Conflit
Help-desk
Informatique
“end-user”
Exploitation
(la production)
Developement
Gestion
des données
Conflit
Conflit
Key User
ou Spécialistes métier
ou Antenne informatique
Conflit
MCCF 2014 - E. Campos – partie 3
Conflit
25
Séparations des fonctions
La réalité de la séparation des fonctions est un équilibre
risque
cout d’incident
conformité
...
MCCF 2014 - E. Campos – partie 3
ressources
alternatives
capacité a
exécuter
26
Tous les modèles de SCI intègrent l’informatique
Exemple:
Ici avec le modèle de l'administration fédérale suisse qui est inspiré du
modèle IT Control Objectives for SOX et suit une modélisation « processus
métier »
MCCF 2014 - E. Campos – partie 3
27
SCI: rester pragmatique
MCCF 2014 - E. Campos – partie 3
28
SCI: rester pragmatique
MCCF 2014 - E. Campos – partie 3
29
Connaissances de ce module
Savoir
t classer le SCI (informatique) en bon, moyen, mauvais
t décider, et étayer, le besoin de faire un audit informatique
t énumérer et différencier les types de contrôles IT
MCCF 2014 - E. Campos – partie 3
30

Download Report