OBJECTIF DU CONTROLE INTERNE : Définition: est un dispositif de la sté,défini et mis en oeuvre sous sa responsabilité. Il comprend un ensemble de moyens de comportement,de procédures et d'actions adaptés aux caractéristiques propres de chaque sté qui :
-Contribue à la maitrise de ses activités à l'éfficacité de ses opérations et à l'éfficiente de ses ressources
- et doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu'ils soient opérationnels,financiers ou conformité.
Le dispositif vise plus particulièrement à assurer :
la conformité aux lois et règlement
l'application des instructions et des orientations fixées par la direction générale ou le directoire
- le bon fonctionnement des processus internes de la sté, notamment ceux concourant à la sauvegarde des actifs
la fiabilité des info. financiers
Le controle interne ne recouvre pas les initiatives prises par les organes dirigeants ou le management comme la définition de la stratégie de la sté,
la détermination des objectifs
la decision de gestion
le traitement des risques
le suivi des performances
OBJECTIF DU CONTROLE INTERNE: =définition retenu par le CNCC (Cie Nat. des CAC) =ens des politiques et procédures de contrôle mis en oeuvre par la direction d'une entité en vue d'assurer,dans la mesure du possible,la gestion rigoureuse et efficace de ses activités. Ces procédures impliquent :
1- le respect des politiques de gestion
2- la sauvegarde des actifs
3- la prévention et la détection des fraudes et erreurs.
4 - l'exactitude et l'exhaustivité des enreg. cptables
5 - L'établissement en tps voulu d'info cptables et financières fiables;
1 - SAUVEGARDE DES ACTIFS =l'ens. des processus opérationnels, industriels, commerciaux et financiers sont concernés.
le bon fonctionnement des processus exige que les normes ou ppes de fonctionnement aient été établis et que les indicateurs de performance et de rentabilité aient été mis en place;
TTe les dispo. prises dans la gestion courante des affaires doivent permettre de sauvegarder au mieux "les actifs" confiés à chacun dans le cadre des responsabilités qui lui sont assignées.
Ce terme "actifs" doit être compris seulement les différents postes du bilan, mais les hommes et l'image de l'organisation tte entière.
2- OPTIMISATION DES RESSOURCES: le controle interne ne doit pas se mettre en place dans la seule perspective du respect d'un norme. Il doit aller au delà de la norme et chacun doit viser l'efficacité pour ce faire, on fixe comme objectif l'ambition d'une gestion optimale.
3- RESPECT DES DIRECTIVES: = on entend par la loile respect des règles aussi bien internes qu'externes. Cet objectif est le rappel de cette règle essentielle que le contrôle interne ne peut être un moyen de contourner la loi la loi ou règlements.
les lois et règlements en vigueur fixent des normes de comportement que la société intègre à ses objectifs de conformité.
4- FIABILITE DES INFORMATIONS: Chacun doit veiller à mediter que les infos sont fiables, donc vérifiables. Mais le précepte est plus général puisque il englobe aussi bien les infos externes qu'internes. la fiabilité d'une info financière ne peut s'obtenir que grâce à la mise en place de procédure de contrôle interne susceotibles de saisir fidèlement tte les opérations que l'organisation réalise.
La qualité de ce dispositif peut être recherché au moyen:
+ d'une séparation des taches qui permet de bien distinguer les taches d'enregistrement,les taches opérationnelles et les taches de conservation;
+ d'une description des fonctions devant permettre d'identifier les origines des infos produites et leurs destinataires;
+d'un système de contrôle interne cptable permettant de s'assurer que les opérations sont effectués conformément aux intructions général et spécifiques, et qu'elles sont comptabilisées de manière à,produire une info financière conforme aux ppes cptables généralement admis.
Il est necessaire que l' organisation cptable puisse assurer la fiabilité des enreg et cptes qui en découlent. Ces enreg sont le plus souvent effectués à, l'intérieur d'un certains nbre de cycles: - Achats - ventes - Ventes-clients - Stocks - Paie-personnel - immobilisations -Trésorerie
Pour une sécurité du fonctionnement des systèmes, il est souhaitable qu'un certain nbre de conditions soient respectées pour chacun de ces cycles
ACHATS - FOURNISSEURS: =le syst du contrôle interne de la fonction ACHATS FOURNISSEURS doit permettre de s'assurer que :
*Tous les achats (matières et services) de l'E sont correctement autorisés et comptabilisés
*les achats comptabilisés correspondent à des dépenses réelles de l'E
*Ces dépenses sont faites dans l'intérêt de l'E et conformément à son objet.
*Tous les avoirs à obtenir sont enregistrés
*Toutes les dettes concernant mes mses et services reçus sont enreg dans la bonne période.
*les engagements pris par l'E et devant figurer dans l'annexe sont correctement repris.
VENTES CLIENTS: le système de contrôle interne de la fonction VENTES CLIENTS doit permettre de s'assurer que :
*tous les produits expédiés et services rendus sont facturés et enregistrées sur la bonne période.
*les prix pratiqués (brut,remises,ristournes...) sont dûment autorisés
*les créances sont recouvrées avec célérité.
*Tous les risques de pertes sur ventes sont provisionnés.
STOCKS: le syst de contrôle interne des stocks doit permettre de s'assurer que :
Tous les stocks de l'E st cptabilisé
Ces stocks sont correctement évalués (valeur brute et valeur nette)
Ces stocks sont correctement protégés
les engagements hors bilan concernant les stocks sont correctement saisis
PAIE - PERSONNEL: Le système de contrôle interne de la fonction PAIE PERSONNEL doit permettre de s'assurer que :
*les pers. figurant sur le livre de paie ont bien droit à leur rénumération.
*les rénumérations sont correctement calculées
*le paiement des rénumérations se fait avec une sécurité suffisante
*Toutes les ch. relatives au personnel sont correctement comptabilisées
*les dispositions légales en matière de personnel sont respectées.
IMMOBILISATIONS: = le système de contrôle interne des immo doit permettre de s'assurer que :
*tte les immo sont correctement autorisées et comptabilisées
*Ttes les immo sont correctement évaluées (valeur brute et valeur nette)
*la protection des actifs est assurées
*les engagements hors bilan concernent les immo sont correctement saisis
CADRES CONCEPTUELS DE CONTROLE INTERNE: I- PRINCIPE GENERAUX DU CONTROLE INTERNE: = le contrôle interne repose sur certaine règles de conduite dont le respect lui conferera une qualité satisfaisante: les ppes sur lequels s'appuie le contrôle sont : -l'organisation -l'intégration -la permanence -l'universalité -l'indépendance -l'information -l'harmonie
1- l'organisation doit être : -préalable -adaptée et adaptable -vérifiable -formalisée et doit comporter une séparation convenable des fonctions. le cumul favorise les erreurs,les négligences, les fraudes et leur dissimulation.
2- L INTEGRATION: =les procédures mises en place doivent permettre le fonctionnement d'un système d'autocontrôle mis en oeuvre par des recoupements, des contrôles réciproques ou des moyens techniques appropriés.
3- le PPE DE LA PERMANENCE:
=la mise place de l'org de l'E et son système de régulation. le contrôle interne suppose une certaine pérénnité de ces systèmes.
4- LE PPE D UNIVERSALITE: = le contrôle interne concerne ttes les personnes dans l'E en tout temps et en tout lieu.
5- LE PPE D'INDEPENDANCE: implique que les objectif du contrôle interne sont à attendre indépendament des méthodes,procédés et moyens de l'E
6- PPE de l'information = l'info doit répondre à certain critères tels que la pertinence,l'utilité,l'objectivité, la communicabilité et la vérifiabilité
7- LE PPE D HARAMONIE: c'est l'adéquation du contrôle interne aux caractéristiques de l'E et de son environnement.
II- ENVIRONNEMENT GENERAL ET PROCEDURES DE CONTROLE INTERNE: l'évaluation du contrôle interne d'une entité ne doit donc pas se limiter à l'examen des procédures de contrôle, il doit prendre en compte l'environnement gal de l'organisation. 2.1 l'environnement général du contrôle interne: l'environnement gal du controle interne est l'ensemble des comportements,degré de sensibilisation et action de la direction concernant le système de contrôle interne de l'entité
cet environnement a une incidence sur l'efficacité des procédures de contrôle interne spécifiques
2.2 les procédures de contrôle interne: = désignent les politiques et procédures définies par la direction afin d'atteindre les objectifs spécifique de l'entité. Ces procédures comprennent les élts suivants :
la mise en oeuvre du ppe de séparation des fonctions
l'ETS la revue et l'approbation des rapprochements de comptes;
le contrôle des applications et l'environnement informatique
la tenue régulière d'une comptabilité etc....
III-PERIMETRE DU CONTROLE INTERNE: = il appartient à chq société de mettre en place un dispositif de controle interne adapté à sa situation
IV-COMPOSANTES DU DISPOSITIF DU CONTROLE INTERNE: le dispositif de controle interne comprend 5 composantes étroitement liées: 1- l'org comportant une définition claire des responsabilités,disposant des ressources et des compétences adéquates et s'appuyant sur des systèmes d'info,sur des procédures ou modes opératoires, des outils et des pratiques appropriés.
2- la diffusion en interne d'info pertinentes,fiables,dont la connaissance permet à chacun d'exerçer ses responsabilités
3- un système visant à recenser,analyser les principaux risques identifiables au regard des objectifs de la sté et à s'assurer l'existance de procédure de gestion de ces risques
4- Des activités de contrôle proportionnées aux enjeux propres à chq processus, et conçus pour s'assurer que les mesures necessaires sont prise en vue de maitriser les risques susceptible d'affecter la réalisation des objectifs
5- Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu'un examen régulier de son fonctionnement
V- ACTEURS DU CONTROLE INTERNE: 1- le CA ou de surveillance : = il appartient à la DG ou le directoire de rendre compte au conseil (ou à son comité d'audit lorsqu'il existe),des caractéristiques essentielles du dispostif de contrôle interne.
2-la direction générale / le directoire: = sont chargés de définir,d'impulser et de surveiller le dispositif le mieux adapté à la situation et à l'activité de la société.
Dans ce cadre,ils se tiennent régulièrement informés de ses dysfonctionnements,de ses insuffisances et de ces difficultés d'application et veillent à l'engagement des actions correctives necessaires
3- l'audit interne: = a la responsabilité d'évaluer le fonctionnement du dispositif de contrôle interne et de faire tte préconisation pour l'améliorer dans le champ couvert par les missions.
4- le personnel de la société:
Chq collaborateur concerné devrait avoir la connaissance et l'info. necessaires pour établir, faire fonctionner et surveiller le dispositif de contrôle interne au regard des obj qui lui ont été assignés.
C'est le cas des responsables opérationnels en prise direct avec le dispositif de contrôle interne mais aussi des contrôleurs interne et des cadres financiers qui doivent jouer un rôle important de pilotage et de contrôle.
VI- OBSTABLES ET LIMITES DU CONTROLE INTERNE: il existe des limites inhérentes à tout système de contrôle interne. Ces limites résultent des : + Incertitudes des mondes extérieur, +Défaillance humaine +ou simple erreur.
Lors de la mise en place des contrôles, il est necessaire de tenir cpte du rapport coût/bénéfice et de pas développer des systèmes de contrôle interne inutilement couteux quitte à accepter un certain niveau de risque.
*COUT DU CONTROLE: il est reproché au contrôle interne d'augmenter les ch de l'E par l'embauche du personnel nouveau et la réalisation d'investissement supplémentaires. Il faut cependant observer :
+le contrôle est l'elt de sécurité dans l'E dont le coût peut s'analyser comme celui de l'assurance.
+ le contrôle interne doit être à la mesure du risque qu'il doit couvrir.
*PROBLEME HUMAINS: la mise en place d'un système de contrôle interne peut être interprété comme une remise en cause de la direction dans le personnel.
>>> le personnel doit être clairement informé des objectifs réels du contrôle interne.
>>> le contrôle interne joue en faveur du personnel,car il interdit qu'il soit suspecté.
VII- REFERENTIEL SPECIFIQUE DE CONTROLE INTERNE: LE "COSO REPORT":
Le COSO qui regroupe au EU les associations et instituts dans les domaines de la comptabilité et de l'audit interne définit le contrôle interne comme suit: "le contrôle interne est un processus mis en oeuvre par la direction générale,la hierarchie,le personnel d'une E,et destiné à fournir une assurance raisonnable Quant à la réalisation d'objectif entrant dans les catégories suivantes: + réalisation et optimisation des opération +Fiabilité des info fin +Conformité au lois et réglementation en vigueur
le référentiel du COSO est composé de 5 éléments interdépendants qui découlent de la façon dont l'entité est géré et qui sont intégrés aux processus de gestion.
>> Ces 5 elts sont representés symboliquement par le COSO par une pyramide.
Cette représentation signifie que ces 5 elts doivent impérativement se retrouver dans tte org. pour une maitrise raisonnable de ces activités, à tous les échelons de sa hiérarchie. On peut distinguer : -l'environnement de contrôle -l'évaluation des risques -les activités de contrôle -l'info et la communication -le pilotage.
8- QUESTIONNAIRES DE CONTROLE INTERNE:
De nbreux questionnaires ont été établis pour aider les entités à analyser leur contrôle interne; Deux guides ont été ainsi élaborés dans un guide d'application sous l'égide de l'autorité des marchés financiers : - Un cadre relatif au contrôle interne comprenant : + un questionnaire (général) relatif au contrôle interne cptable et fiancier + un questionnaire relatif à l'analyse et à la maitrise des risques.
-Un cadre de référence applicable aux petites et moyennes E. comprend également les 2 même questionnaires.
Ces 2 questionnaires,qui ne représentent pas un caractère obligatoire ou normatif visant à permettre aux émetteurs qui le souhaiteraient de procéder par comparaison à une analyse interne de leur procédures dans ce domaine.
CONTROLE INTERNE,SYSTEME D'INFORMATION ET CONTROLE DE QUALITE DE L'ENTREPRISE: 1- CONTROLE INTERNE ET SYSTEME D'INFO: 1.1 différences essentielles entre systèmes manuels et systèmes informatisés: =la différence essentielle entre un système et un système informatisé est l'élimination de certaine étapes du système manuel dans un système informatisé. Ainsi dans un système en temps réel,le personnel rentre directement les données (par exemple d'un commande) dans le système info. sans établir le document source utilisé habituellement.
Des différences de cette nature modifient l'appréhension du contrôle interne ainsi que la procédure d'examen de l'auditeur qui devra pouvoir analuser tte autre source d'info.
les différences essentielles entre système de traitement informatisés et systèmes de traitement manuels conduisant aux incidences essentielles suivantes en matières d'audit :
DIFFERENCES ENTRE TRAITEMENT AUTOMATISES ET TRAITEMENTS MANUELS: 1- DIFFERENCES : la trace de l'opération n'existe pendant une courte période de temps: INCIDENCES SUR L'AUDIT:
les auditeurs doivent ê capables d'examiner d'autres docs prouvant l'info.
2- DIFFERENCES: les erreurs dans un système info se reproduisent sur toute les op.
INCIDENCES SUR L'AUDIT/ les auditeurs peuvent restreindre leurs tests à une seul opération pour dégager un erreur potentielle
3- DIFFERENCES: dans un syst info,l'info n'est entrée qu'une seul fois. INCIDENCES SUR AUDIT: les auditeurs doivent tester les moyens de contrôle utilisés pour prévenir et détecter les erreurs d'entrées.
4- DIFFERENCES: les op sont centralisées par le département info dans un syst informatisé
INCIDENCES SUR AUDIT
les auditeurs doivent pouvoir analyser l'organisation du département info pour verifier notament le necessaire séparation des fonctions.
5- DIFFERENCES: Dans un environnement info,les info permanentes pvent rester longtemps altérées sans ê détectées.
INCIDENCES SUR AUDIT:
les auditeurs doivent pouvoir vérifier périodiquement l'exactitude des info permanentes dans l'environnement informatisé.
1.2 risques généraux de l'info l'existance de l'info modifie le risque gal de l'audit du fait :
*De la puissance et la fragilité qu'elle génère en facilitant la concentration des info (Bq de données centerales par ex.) et leur circulation.
*De l'évolution technologiq permanente des syst qui necessite ine formation importante des "informaticiens" mais aussi et surtout des utilisateurs dont elle bouscule svt les habitudes
*de l'automatisation du traitement de l'info
*de la capacité de certains systèmes à générer des info sans intervention humaine.
*de la prise de conscience parfois insuffisante, sans le E, des risques spécifiq lié à l'info, notament en matière de continuité de l'exploitation, de confidentialité des données, de sécurité...
1.3 analyse des risques d'audit : l'existence de syst informatisés influe de plsrs façons sur l'audit :
+ la qualité de l'environnement info influe sur la fiabilité d'ensemble du processus d'info et des syst qui en émanent
*la qualité des application influe directement sur la qualité du contrôle interne des fonction correspondantes;
*l'utilisation de l'info permet de réaliser des contrôles difficilement envisageables à la main.
2-contrôle interne et controle qualité la qualité peut être définie comme "l'ensemble des caractérisques d'une entité qui confèrent l'aptitude à satisfaire des besoins exprimés et implicites" (normes ISO 8402) le controle interne est la base des contrôles de qualité que l'E peut effectuer; la famille des normes ISO 9000 represente un consensus international sur de bonnes pratiques de management.
Elle permet à une E ou à une organisation d'être certifiée" selon un des normes ISO 9001,9002,9003.
Même si la certification n'a pasà être recherchée systématiquement en matière de syst d'info; la recherche des critères correspondant à une assurance qualité ISO peut être recherché par l'E
le vocable "ISO 9000" désigne en fait un ensemble de normes portant sur la qualité et les moyens de l'améliorer.
APPRECIATION DU CONTROLE INTERNE: 1-DEMARCHE DE L AUDITEUR DANS SON APPRECIATION DU CONTROLE INTERNE: A partir des orientations données par son programme de travail,l'auditeur doit effectuer un analyse du systeme de contrôle interne de l'E afin d'apprécier les ponts forts et point faibles et de determiner la nature,l'étendue et le calendrier de ses travaux de contrôle des comptes.
la démarche utilisé par l'auditeur (expert cptable;CAC ou auditeur interne) dans son appreciation du contrôle interne relatif aux ppaux cycles d'op et elts d'actif ou passif qui en résultent comporte 2 étapes:
*l'appreciation de l'existence du contrôle interne.
L'appréciation de la permanence du contrôle interne.
1.1 place du contrôle interne dans la mission de l'auditeur: A défaut de pvr étudier chq transaction contenue dans les cptes annuels (cela impliquerait de refaire en totalité la cptabilité),l
l'auditeur va analyser l'organisation en vue de rechercher si celle ci inclut les moyens suffisants destinés à détecter tte erreur,anomalie,fraude,etc....
s'il conclut positivement,il accordera 1 meilleur degré de confiance aux info. traitées que s'il conclut négativement.
1.2 Appreciation de l'existance du contrôle interne: = la 1ere étape consiste à comprendre les procédures de traitement des données et les contrôles internes manuels et informatisés mis en pl. dans l'E Elle se déroule comme suit: *Prise de connaissance détaillé du système de traitement des données et contrôles en place par l'E.
*Vérification par tests que les procédures telles que décrites et que les contrôles indiqués sont appliqués;
*Evalution des risques d'erreurs qui peuvent se produire dans le traitement des données en fonction des obj. que doivent atteindre les contrôle internes.
*Evaluation des contrôles internes devant assurer la protection des actifs lorsqu'ils existent des risques de perte de substance.
*Identification des contrôles internes (point forts) sur lesquels le reviseur pourra s'appuyer et qui lui permettront de militer ses travaux de vérification.
1.3 Appreciation de la permanence du contrôle interne: =la 2nd étape consiste à vérifier le fonctionnement des contrôles internes sur lesquels le reviseur a decidé de s'appuyer afin de s'assurer qu'ils produisent bien les résultats escomptés tout au long de la période examinée. Elle se déroule comme suit:
-Vérification par des test de l'application des procédures (tests de permanence);
-Formalisation definitive du jugement à patir de l'évalution de ccl des précédentes phases.
2- Prise de connaissance du dispositif de contrôle interne: la prise de connaissance du dispositif de contrôle peut s'effectuer selon 5 techniques :
1- la prise de connaissance de docs existants
2- la conversation d'approche
3- l'analyse des circuits par diagramme
4- les questionnaires et guides opératoires
5- les grilles d'analyse du contrôle interne.
les résultats de cette évaluation doivent permettre : -d'identifier les points forts - d'indentifier les points faibles;
et ainsi, après avoir établi un doc de synthèse,de passer à la vérification du fonctionnement du système.
1- Prise connaissance des docs existants:
Cette prise de connaissance consiste à recenser tout ce qui peut aider l'auditeur à apprecier les systèmes procédures et méthodes de l'E
DOCS INTERNES A L E: -organigrammes,diagrammes - circuits de document -description de postes -manuels de procédures -rapports des auditeurs
DOCS EXTERNES A L E: -dossier constitué par l'expert cptable ou CAC lors d'une précédente intervetion; -rapports rédigés par d'autres professionnels.
2-Conversation d'approche: il s'agit de la tech la plus informelle.le professionnel va au cours d'un ou plsrs entretiens,demander de décrire les syst en place.
la ppal difficulté de cette tech se situe au niveau de la synthèse à faire à la suite des entretiens.
Si l'E étudiée est relativement petite ce travail reste simple. Si au contraire,elle est importante et les activités variées et complexes, la masse des infos recueillies oralement est difficile à exploiter.
3- Analyse de circuits par diagrammes: un diagramme est une representation graphique d'une suite d'op dans laquelle les différents documents : poste de travail, de decisions, de responsabilités, d'opération sont représentés par des symboles réunis les un au autres suivant l'organisation adm de l'E. Les objectifs des diagrammes de circulation sont : + de donner un enreg des procédures et systèmes de l'E et mettre en relief les aspects importants du contrôle interne. + d'être une base pour les tests de conformité qui servent à vérifier que les procédures sont bien appliquées.
-Présentation du diagramme de circulation: =la présentation peut varier selon les auteurs,mais dans l'ensemble on retient deux modèles de présentation bien définis: +Le diagramme vertical + Le diagramme horizontal .
DIAGRAMME VERTICAL: =représente verticalement le circuit des docs. les services sont placés les uns au dessous des autres et séparés par un trait horizontal. la présentation du circuit de doc est faite selon l'odre chronologique, c'est à dire depuis sa création jusqu'à son archivage ou destruction.
LE DIAGRAMME HORIZONTAL: la représentation du circuit de documents est fait selon l'ordre chronologique,mais la circuilation entre les services se fait horizontalement.
4-Questionnaires et guides opératoires: les questionnaires permettent à l'auditeur grâce à un grand nbre d'interrogation précises, de déceler les forces et faiblesses du contrôle interne. les questionnaires se présentent habituellement sous 2 formes:
-l'une simplifiée qui ne motive pas d'autre réponse que oui ou non appelé questionnaires fermés.
-l'autre plus complète qui entraine ncessairement des observation détaillées dénommés questionnaires ouverts.
5-Grilles d'analyse du contrôle interne: les grilles d'analyse de contrôle interne ou grilles d'analyse faisant ressortir les fonctios assumées par les postes de travail sont les tableaux à double entrée effectuant l'inventaire des différents opérations réalisées et permettant en particulier de repérer les cululs de fonction.
III-EVALUATION DE L EXISTANCE DU CONTROLE INTERNE : Cette évalution peut se faire soit par:
-un rapport de synthèse
-Soit par un tableau d'évalution du syst précisant l'impact des faiblesses sur les états financiers,les incidences sur la révision ou les recommandations à faire pour améliorer le système.
1-Rapport d'évaluation du contrôle interne: l'auditeur peut pour orienter sa mission,rédiger une note qui résume pour chq poste significatif -le ou les syst cptables qui l'alimentent -le processus de jugement qui l'affecte
-les contrôles internes sur lesquels il a décidé de s'appuyer et les csq sur l'étendue des ctrl,si les rt des tests sur ces ctrl interne sont satisfaisants.
-la nature,l'étendue et le calendrier des autres vérifications à effectuer,lorsque'il n'y a pas de contrôle interne sur lesquels il puisse s'appuyer pour qu'il ait la possibilité de s'assirer qu'il n'ya pas d'erreurs significatives;
2- Tableau d'évaluation du système: Ce tableau qui peut ê intégré au questionnaire,voire au diagramme de circulation, comprend les analyses suivante: -forces du syst de contrôle - faiblesses du syst. -Effets possibles de ces faiblesses
-l'incidence des faiblesses sur les états financiers;
-l'incidence des faiblesses sur le programme d'uadit des cptes
-les recommandations à faire à l'E
IV-CONTROLE DE L APPLICATION PERMANENTE DES PROCEDURES: Après avoir évalué le dispositif de contrôle interne,l'auditeur testera si le dispositif est appliqué de manière permanente. 4.1-Vérification de l'existence du système:
=a/ l'auditeur a pris connaissance du syst et des procédures de l'E Il a dégagé les forces et faiblesses Il va s'assurer que le syst qui lui a été décrit existe réellement.
Il ne s'agit pas ici de rechercher les erreurs dans le fonctionnement du système mais seulement que le système décrit est bien en palce tel qu'il a été décrit. l'auditeur examinera si les contrôles prévus sont éffectués. le nbre de tests à effectuer peut être réduit.
B/ exploitation des tests: les tests effectués donnent une assurance quant à la correcte description du système Si cela n'était pas le cas,la description devrait ê corrigé.
4.2 Vérification du fonctionnement du système/ les ccl de l'étape précédente ont permis d'identifier les points forts et points faibles du syst. Souvent un cplt d'info. est necessaire avant de conclure à une faiblesse peut ê compensée par une procédure de remplacement.
Si une faiblesse est effectivement constatée et qu'aucune procédure de conpensation n'a été décelée,il convient que l'auditeur examine les csq de cette faiblesse:
Par ailleurs,il est essentiel de savoir si les points forts recensés et sur lesquels on s'appuie ont bien foctionné comme cela étéait prévu et sur l'ens de la période étudiée.
-l'auditeur utilisera pour effectuer ses tests la tech des sondages.
il selectionnera son échantillon sur lequel il appliquera ses procédés de vérification selon la technique la mieux adapté aux circonstances.
5-INCIDENCE DE L ENVIRONNEMENT INFORMATIQUE DANS LA DEMARCHE DE L AUDITEUR: la norme 2-302 de la CNCC dictait 4 obligation pour le CAC:
1- Il doit posséder ou acquerir une connaissance suffisante de l'environnement info. de l'entité pour planifier,diriger,superviser et recevoir les travaux de contrôle effectués. Il peut se faire assister d'un expert.
2- Il doit prendre en compte l'environnement info dans la définition de procédures d'audit visant à réduire le risque d'audit à un niveau acceptable faible;
3- Il doit acquerir une connaissance suffisante des syst cptable et de contrôle interne pour planifier la mission et concevoir une approche d'audit efficace.
4- Il doit ,enfin,évaluer le risque inhérent et le risque lié au contrôle pour chacune des assertions importantes sous tendants l'ets des comptes.
1-Prise de connaissance de la fonction info de l'E: il faut tenir cpte de l'org de la fonction info., des cptences info. du personnel et de l'importance de l'info dans l'E. a) Organisation de la Fonct info. les elts utiles à l'étude de l'org de fonction info sont les suivants : -les caractéristiq de l'org info. -la séparation des tâches -le recours aux prestataires.
b) Compétences info. du personnel: les elts à prendre en cpte dans l'étude des cptences info du personnel sont les suivants: +Niveau de compétence +Charge de travail par rapport aux ressources humaines disponibles +Niveau motivation du personnel.
C) Importance de l'info dans l'E les elts à prendre en cpte pour apprécier l'importance de l'info sont les suivants: +Degré d'incidence de l'info sur la production des info cptables et financières +degré d'automatisation +caractéristique du syst info +utilisation et sensibilité de l'info. + temps d'indisponibilité maximale tolérable.
2-description du système d'info.: la description du syst d'info de l'E consiste à
-formaliser la cartographie des applications
-Apprécier le degré de complexité du SI
-Identifier le processus à analyser ,utiles aux objectifs de l'audit
3-Incidence de l'environnement info sur le risque inhérent: l'incidence de l'environnement info sur le risq inhérent s'apprecie au regard des elts suivants:
a) Conception et acquisition des solutions info
b)distribution et support info
c) gestion de la sécurité
d) gestion des projets info.
4-Incidence de l'info sur le risq lié au contrôle: est appréciée à travers l'étude des processus et des applications jouant un rôle significatif direct ou indirect dans la production des cptes de l'E a) Types de contrôles applicatifs il existe 2 types de contrôle :
+LES CONTROLES PROGRAMMES: contrôles effectués automatiquement par une application
+LES CONTROLES MANUELS: contrôles effectués par l'adm pour compléter les contrôles programmés.
Ces 2 types de contrôle peuvent ê préventifs ou de detection:
-les contrôles préventifs sont des contrôles qui sont effectué a priori,c'est à dire avant d'effectuer toute action dans le système.
-Alors que les contrôles de detection sont des contrôles effectués à postériori et qui permettent de déterminer si une anomalie s'est produite.
b)CONTROLES PROGRAMMES: On distingue 4 types de contrôles programmés:
*contrôle d'application
*contrôles à la saisie de données
*contrôle des traitements
*contrôles des sorties.
c) Mise en oeuvre de l'appréciation du risque lié aux contrôles applicatifs: l'appréciation du risque lié aux contrôles applicatifs: l'appréciation du risque lié aix contrôle applicatifs suit les étapes suivantes :
*la formalisation des processus sous la forme d'un diagramme de flux ou diagramme d'enchainement de taches/étapes
*L'identification des risques théoriques sur les bases des assertions sous tendant de l'ets des cptes et l'évaluation de leur probabilitéde survenance.
*L'indentification et appréciation des contrôles internes (programmes et utilisateurs) mis en oeuvres par l'E pour couvrir les risques correspondants,
*l'incidence sur le risque lié au contrôle.
5.5 PARTICULARITES DE L AUDIT EN ENVIRONNEMENT DE PROGICIEL DE GESTION INTEGRE OU EN ENVIRONNEMENT INTERNE: a)Particularités de l'audit en environnement de progiciel de gestion intégré: =sont les logiciels qui permettent de gérer l'ens des processus d'un E ,en intégrant l'ens. des fonction de cette dernière comme la gestion des RH,la gestion cptable et financière,l'aide à la decision mais aussi la vente,la distribution,l'approvisionnement et le commerce éléctronique.
-l'existence d'un progiciel de gestion intégré dans une E peut necessiter des contrôler spécifiques par l'auditeur
-la gestion des droits d'accès est un domaine qui doit ê étudié systématiquement
Il convient de prendre connaissance également: -de la manière dont la gestion des habilitations a été réalisée. -de la documentation communiqué par l'éditeur.
Il est également necessaire de vérifier les paramètres généraux de sécurité leur absence étant considérée comme une faiblesse gal di SI
b) Particularité de l'audit dans l'environnement internet : On peut distinguer les risques juridiques et risques techniques:
*RISQUES JURIDIQUES: -protections des données personnelles -pratiques commerciales -fiscalité commerce electroniq -publication internet oeuvre protégé.
6-CCL DE L EVALUATION DU CONTROLE INTERNE: l'obj que poursuit l'auditeur en appréciant le contrôle interne est de déterminer dans quelle mesure il pourra s'appuyer sur ce contrôle interne pour définir la nature l'étendue et le calendrier de ses travaux.
Tout au long des travaux qu'il réalisera dans le cadre de l'appréciation de contrôle interne,l'auditeur ne devra pas perdre de vue cet aspect decisionnel. Il pourra cependant formuler des recommandation.