L a Compagnie Régionale des Commissaires aux Comptes de Paris a publié deux nouveaux guides, sur l’audit informatique des processus et sur les tests d’audit des données. face à l’explosion des volumes de données que les entreprises collectent, gèrent, analysent et stockent, pour continuer de mener à bien leur activité de certification des comptes.
Il est indispensable pour les commissaires aux comptes d’adapter leur activité en intégrant les systèmes d’information dans leurs contrôles. De plus, les exigences réglementaires, qui augmentent en corrélation avec le développement de la numérisation, poussent également les métiers de l’audit à innover pour se transformer. « L’omniprésence des nouvelles technologies crée un bouleversement des entités auditées, qui impacte, de fait, l’activité des commissaires aux comptes », estime Frédéric Burband, vice-président de la CRCC de Paris et co-président de la Commission Audit Informatique.
Le nouveau guide des processus porte sur les contrôles applicatifs (Information Technology Application Controls) qui visent à contrôler la qualité et la sécurité des données générées ou supportées par les applications informatiques métier. Le commissaire aux comptes est amené à intervenir dans deux cadres sur ces contrôles : d’une part, celui de sa mission légale. Ainsi, « le commissaire aux comptes doit s’assurer que les applications garantissent l’intégrité des données entrées tout en se fondant sur l’exhaustivité et l’exactitude des données reçues. Le CAC évalue ainsi le contrôle interne, teste les procédures et s’assure de la qualité du fonctionnement du système d’information. En fonction des points forts et points faibles relevés, il ajuste son risque d’audit. Le CAC, dans sa démarche d’audit, doit s’assurer de la qualité de la donnée depuis son « input » dans le système d’information jusqu’à sa transformation, son extraction et son déversement dans les logiciels avals. »
D’autre part, le commissaire aux comptes peut intervenir dans le cadre de prestations annexes, par exemple pour fournir un diagnostic approfondi sur l’efficacité d’un processus informatisé. Le guide d’audit des processus s’articule autour d’un ensemble de fiches thématiques, selon les grandes fonctions de l’entreprise (comptabilité, ventes, achats, notes de frais, clients-SAV, évolution de l’offre et paie) qui ont pour objectif d’accompagner étape par étape le commissaire aux comptes dans son activité d’audit des processus. Un processus est un terme générique « globalisant un ensemble de tâches corrélées ou en interaction qui utilise des éléments d’entrée pour produire un résultat escompté », expliquent les auteurs. On identifie ainsi plusieurs ensembles de processus : les macro-processus (comptabilité, finance, paie…), eux-mêmes incluant des processus. Ceux-ci se décomposent en activités, qui elles-mêmes regroupent un certain nombre de tâches.
Les fiches pratiques proposent :
- Une schématisation des macro-processus et des applicatifs concernés.
- Un rappel de certains contrôles généraux et des diligences entrepris par le commissaire aux comptes.
- Une liste de contrôles clés qui doivent être embarqués par les applications (sur les données entrées, les traitements de données et les sorties de données).
- Les principaux objectifs d’audit qui portent sur la qualité des données (exhaustivité, exactitude, pertinence ou caractère approprié) et la sécurité (disponibilité, intégralité, confidentialité, piste d’audit, traçabilité).
- Un exemple de démarche à appliquer par le commissaire aux comptes.
Le recueil de tests porte sur les techniques d’audit assistées par ordinateur (Computer-Aided Audit Tools). L’objectif est de fournir aux commissaires aux comptes des tests d’audit des données qu’ils peuvent réaliser.
Ce guide regroupe :
- Une proposition de démarche d’audit des données.
- Un glossaire des termes usuels en audit des données.
- Les fichiers et informations généralement nécessaires pour réaliser ces travaux.
- Des propositions de tests à mettre en œuvre.
- Des exemples de fichiers disponibles en Open Data (bases des unités légales, des établissements, des codes postaux…), ainsi qu’une matrice Excel.
Ces deux guides sont téléchargeables sur le site crcc-paris.fr
Recueil de tests d’audit de données, Chambre Régionale des Commissaires aux Comptes de Paris, 2020, 40 pages.
Guide d’audit des processus, Chambre Régionale des Commissaires aux Comptes de Paris, 2020, 149 pages.