Audit dans un environnement informatique

Pertinent pour les documents de qualification FAU et ACCA F8 et P7

Aspects spécifiques de l’audit dans un environnement informatique

Les technologies de l’information (TI) font partie intégrante des systèmes d’information comptables et de gestion modernes. Il est donc impératif que les auditeurs soient pleinement conscients de l’impact des TI sur l’audit des états financiers d’un client, à la fois dans le contexte de la façon dont ils sont utilisés par un client pour recueillir, traiter et rendre compte de l’information financière dans ses états financiers, et de la façon dont l’auditeur peut L’utiliser dans le processus d’audit des états financiers.
Le but de cet article est de fournir des conseils sur les aspects suivants de l’audit dans un environnement comptable informatisé:

  • Contrôles d’application, comprenant des contrôles d’entrée, de traitement, de sortie et de fichier maître établis par un client d’audit, sur son système comptable informatisé et
  • Techniques d’audit assisté par ordinateur (TCA) qui peuvent être utilisées par les auditeurs pour tester et conclure sur l’intégrité du système comptable informatisé d’un client.

Les questions d’examen sur chacun des aspects identifiés ci–dessus sont souvent répondues à une norme inadéquate par un nombre important d’étudiants – d’où la raison de cet article.
Gestion des contrôles d’application et des CAAT à leur tour :
CONTRÔLES D’APPLICATION
Les contrôles d’application sont les contrôles (manuels et informatisés) qui se rapportent à la transaction et aux données permanentes relatives à un système comptable informatisé. Ils sont spécifiques à une application donnée et leurs objectifs sont d’assurer l’exhaustivité et l’exactitude des registres comptables et la validité des écritures effectuées dans ces registres. Un système informatique efficace garantira qu’il existe des contrôles adéquats aux étapes d’entrée, de traitement et de sortie du cycle de traitement informatique et sur les données permanentes contenues dans les fichiers maîtres. Les contrôles d’application doivent être vérifiés, enregistrés et évalués par l’auditeur dans le cadre du processus de détermination du risque d’anomalies significatives dans les états financiers du client d’audit.
Contrôles d’entrée
Les activités de contrôle conçues pour s’assurer que l’entrée est autorisée, complète, précise et opportune sont appelées contrôles d’entrée. Selon la complexité du programme d’application en question, ces contrôles varieront en termes de quantité et de sophistication. Les facteurs à prendre en compte pour déterminer ces variables comprennent les considérations de coût et les exigences de confidentialité en ce qui concerne la saisie des données. Les contrôles d’entrée communs à la plupart des programmes d’application efficaces comprennent des fonctions d’invite à l’écran (par exemple, une demande de ” connexion ” pour un utilisateur autorisé) et une fonction de production d’une piste d’audit permettant à un utilisateur de suivre une transaction depuis son origine jusqu’à sa disposition dans le système.
Les contrôles de validation d’entrée spécifiques peuvent inclure:
Les contrôles de format
Ceux-ci garantissent que les informations sont saisies sous la forme correcte. Par exemple, l’exigence que la date d’une vente en voix soit saisie au format numérique uniquement – et non numérique et alphanumérique.
Contrôles de la plage
Ils garantissent que la saisie des informations est raisonnable et conforme aux attentes. Par exemple, lorsqu’une entité effectue rarement, voire jamais, des achats groupés d’une valeur supérieure à 50 000 $, une facture d’achat d’une valeur d’entrée supérieure à 50 000 $ est rejetée pour examen et suivi.
Contrôles de compatibilité
Ceux-ci garantissent que les données saisies à partir de deux champs ou plus sont compatibles. Par exemple, la valeur d’une facture de vente doit être compatible avec le montant de la taxe de vente facturée sur la facture.
Contrôles de validité
Ceux-ci garantissent que l’entrée de données est valide. Par exemple, lorsqu’une entité exploite un système de calcul des coûts des tâches, les coûts entrant dans une tâche précédemment terminée doivent être rejetés comme invalides.
Contrôles d’exception
Ceux-ci garantissent qu’un rapport d’exception est produit mettant en évidence des situations inhabituelles survenues à la suite de la saisie d’un élément spécifique. Par exemple, le report d’une valeur négative pour les stocks détenus.
Contrôles de séquence
Ceux-ci facilitent l’exhaustivité du traitement en s’assurant que les documents traités hors séquence sont rejetés. Par exemple, lorsque des billets reçus de marchandises pré-numérotées sont émis à ac knowledge la réception de marchandises dans l’inventaire physique, toute entrée de billets hors séquence doit être rejetée.
Totaux de contrôle
Ceux-ci facilitent également l’exhaustivité du traitement en veillant à ce que les totaux de contrôle préparés manuellement avant entrée soient comparés aux totaux de contrôle saisis. Par exemple, les totaux non correspondants d’un “lot” de factures d’achat devraient entraîner une invite utilisateur à l’écran ou la production d’un rapport d’exception pour le suivi. L’utilisation des totaux de contrôle de cette manière est également communément appelée contrôles de sortie (voir ci-dessous).
Vérification des chiffres de contrôle
Ce processus utilise des algorithmes pour s’assurer que la saisie des données est exacte. Par exemple, les codes de référence numériques valides des fournisseurs générés en interne doivent être formatés de manière à ce que toute facture d’achat saisie avec un code incorrect soit automatiquement rejetée.
Contrôles de traitement
Des contrôles de traitement existent pour s’assurer que toutes les données saisies sont traitées correctement et que les fichiers de données sont mis à jour correctement et en temps opportun. Les contrôles de traitement d’un programme d’application spécifié doivent être conçus puis testés avant l’exécution “en direct” avec des données réelles. Ceux-ci peuvent généralement inclure l’utilisation de contrôles d’exécution à l’exécution, qui garantissent que l’intégrité des totaux cumulatifs contenus dans les registres comptables est maintenue d’un cycle de traitement des données à l’autre. Par exemple, le solde reporté sur le compte bancaire dans le grand livre général (nominal) d’une entreprise. D’autres contrôles de traitement devraient inclure le traitement ultérieur des données rejetées au point d’entrée, par exemple:

  • Un ordinateur a produit des impressions d’articles rejetés.
  • Instructions écrites formelles informant le personnel du traitement des données des procédures à suivre en ce qui concerne les articles rejetés.
  • Enquête/ suivi appropriés en ce qui concerne les articles rejetés.
  • Preuve que les erreurs rejetées ont été corrigées et saisies à nouveau.

Contrôles de sortie
Des contrôles de sortie existent pour s’assurer que toutes les données sont traitées et que la sortie est distribuée uniquement aux utilisateurs autorisés prescrits. Bien que le degré de contrôle des résultats varie d’une organisation à l’autre (en fonction de la confidentialité des informations et de la taille de l’organisation), les contrôles communs comprennent:

  • Utilisation des totaux de contrôle par lots, comme décrit ci-dessus (voir ” contrôles d’entrée “).
  • Examen et suivi appropriés des renseignements sur les rapports d’exception pour s’assurer qu’il n’y a pas d’éléments d’exception en suspens de façon permanente.
  • Planification minutieuse du traitement des données afin de faciliter la distribution de l’information aux utilisateurs finaux en temps opportun.
  • Instructions écrites formelles informant le personnel de traitement des données des procédures de distribution prescrites.
  • Surveillance continue par un fonctionnaire responsable de la distribution de la production, afin de s’assurer qu’elle est distribuée conformément à la politique autorisée.

Contrôles de fichiers maîtres
Le but des contrôles de fichiers maîtres est d’assurer l’intégrité continue des données permanentes contenues dans les fichiers maîtres. Il est d’une importance vitale que des contrôles de “sécurité” rigoureux soient exercés sur tous les fichiers maîtres.
Ceux-ci incluent:

  • utilisation appropriée des mots de passe, pour restreindre l’accès aux données du fichier principal
  • l’établissement de procédures adéquates pour la modification des données, comprenant une séparation appropriée des tâches, et le pouvoir de modification étant limité aux personnes responsables appropriées
  • vérification régulière des données du fichier principal aux données autorisées, par un fonctionnaire responsable indépendant
  • contrôle du traitement de la mise à jour des fichiers principaux, y compris l’utilisation de comptages d’enregistrements et de totaux de contrôle.

TECHNIQUES D’AUDIT ASSISTÉ PAR ORDINATEUR (TCA)
La nature des systèmes comptables informatisés est telle que les auditeurs peuvent utiliser l’ordinateur de l’entreprise cliente de l’audit, ou le leur, comme outil d’audit, pour les aider dans leurs procédures d’audit. La mesure dans laquelle un auditeur peut choisir entre utiliser des CAATS et des techniques manuelles pour une mission d’audit spécifique dépend des facteurs suivants:

  • l’aspect pratique de la réalisation d’essais manuels
  • la rentabilité de l’utilisation des CAAT
  • la disponibilité du temps d’audit
  • la disponibilité de l’installation informatique du client d’audit
  • le niveau d’expérience et d’expertise en matière d’audit dans l’utilisation d’un CAAT spécifié
  • le niveau des CAAT effectuées par la fonction d’audit interne du client d’audit et la mesure dans laquelle la fonction d’audit externe est l’auditeur peut compter sur ce travail.

Il existe trois classifications des CAAT – à savoir:

  • Logiciel d’audit
  • Données de test
  • Autres techniques

Traiter chacun des éléments ci-dessus à son tour:
Logiciel d’audit
Logiciel d’audit est un terme générique utilisé pour décrire des programmes informatiques conçus pour effectuer des tests de contrôle et / ou de procédures de fond. De tels programmes peuvent être classés comme suit :
Programmes emballés
Il s’agit de programmes généralisés pré-préparés utilisés par les auditeurs et ne sont pas ” spécifiques au client “. Ils peuvent être utilisés pour effectuer de nombreuses tâches d’audit, par exemple, pour sélectionner un échantillon, soit statistiquement, soit par jugement, lors de calculs arithmétiques et pour vérifier les lacunes dans le traitement des séquences.
Programmes écrits à des fins
Ces programmes sont habituellement ” spécifiques au client ” et peuvent être utilisés pour effectuer des tests de contrôle ou des procédures de fond. Un logiciel d’audit peut être acheté ou développé, mais dans tous les cas, le plan d’audit du cabinet d’audit doit veiller à ce que des dispositions soient prises pour s’assurer que les programmes spécifiés conviennent au système du client et aux besoins de l’audit. En règle générale, ils peuvent être utilisés pour effectuer à nouveau des procédures de contrôle informatisées (par exemple, des calculs du coût des ventes) ou peut-être pour effectuer une analyse vieillie des soldes des créances commerciales (débiteurs).
Programmes de demandes de renseignements
Ces programmes font partie intégrante du système comptable du client; cependant, ils peuvent être adaptés à des fins d’audit. Par exemple, lorsqu’un système prévoit la déclaration de routine sur une base “mensuelle” des employés titulaires et sortants, cette facilité peut être utilisée par l’auditeur lors de la vérification des traitements et salaires dans les états financiers du client. De même, un auditeur pourrait utiliser une facilité pour déclarer les soldes à long terme des créances commerciales (créanciers) lors de la vérification de la valeur déclarée des créanciers.
Données de test
Données de test d’audit
Les données de test d’audit sont utilisées pour tester l’existence et l’efficacité des contrôles intégrés dans un programme d’application utilisé par un client d’audit. À ce titre, les transactions fictives sont traitées via le système informatisé du client. Les résultats du traitement sont ensuite comparés aux résultats attendus de l’auditeur pour déterminer si les contrôles fonctionnent efficacement et si l’objectivité des systèmes est atteinte. Par exemple, deux opérations de paiement bancaires fictives (une à l’intérieur et une à l’extérieur des paramètres autorisés) peuvent être traitées en espérant que seule la transaction traitée dans les paramètres soit “acceptée” par le système. De toute évidence, si les opérations fictives traitées ne donnent pas les résultats escomptés, l’auditeur devra tenir compte de la nécessité d’accroître les procédures de fond dans le domaine examiné.
Installations de test intégrées
Pour éviter le risque de corrompre le système de compte d’un client, en traitant les données de test avec les autres données “en direct” du client, les auditeurs peuvent déclencher des opérations de traitement spéciales “données de test uniquement” pour les données de test d’audit. L’inconvénient majeur est que l’auditeur n’a pas l’assurance totale que les données de test sont traitées de la même manière que les données réelles du client. Pour résoudre ce problème, l’auditeur peut donc demander au client l’autorisation d’établir une installation d’essai intégrée dans le système comptable. Cela implique la création d’une unité fictive, par exemple un compte fournisseur fictif sur lequel les données de test de l’auditeur sont traitées pendant les cycles de traitement normaux.
Autres techniques
Cette section contient des informations de base utiles pour améliorer votre compréhension globale.
Les autres CAAT comprennent :
Installations d’audit intégrées (EAF)
Cette technique nécessite que le propre code de programme de l’auditeur soit intégré (incorporé) dans le logiciel d’application du client, de sorte que des procédures de vérification puissent être effectuées au besoin sur les données traitées. Par exemple, les tests de contrôle peuvent inclure le reperformance de contrôles de validation d’entrée spécifiques (voir contrôles d’entrée ci–dessus) – les transactions sélectionnées peuvent être “étiquetées” et suivies dans le système pour vérifier si des contrôles et des processus déclarés ont été appliqués à ces transactions par le système informatique. Les FEE devraient veiller à ce que les résultats des tests soient enregistrés dans un fichier sécurisé spécial pour examen ultérieur par l’auditeur, qui devrait être en mesure de conclure sur l’intégrité des contrôles de traitement en général, à partir des résultats des tests. Un autre EAF, sur dix négligés par les étudiants, est celui d’un programme d’examen analytique permettant l’exécution simultanée de procédures d’examen analytique sur les données des clients au fur et à mesure qu’elles sont traitées par le système automatisé.
Examen du programme d’application
Lorsqu’ils déterminent dans quelle mesure ils peuvent se fier aux contrôles d’application, les vérificateurs doivent tenir compte de la mesure dans laquelle les contrôles spécifiés ont été mis en œuvre correctement. Par exemple, lorsque des modifications au système ont eu lieu au cours d’une période comptable, l’auditeur aurait besoin de l’assurance de l’existence des contrôles nécessaires avant et après la modification. L’auditeur peut chercher à obtenir cette assurance en utilisant un logiciel pour comparer les contrôles en place avant et après la date de modification.
Résumé
Les principaux objectifs d’un audit ne changent pas, que la mission d’audit soit effectuée dans un environnement manuel ou informatisé. L’approche d’audit, les considérations de planification et les techniques utilisées pour obtenir suffisamment de preuves d’audit appropriées changent bien sûr. Les étudiants sont encouragés à lire davantage pour améliorer leurs connaissances de l’audit dans un environnement informatique et à pratiquer leur capacité à répondre aux questions d’examen sur le sujet en essayant des questions posées dans des épreuves d’examen ACCA précédentes.
Rédigé par un membre de l’équipe d’examen d’audit

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.