Généralement, les risques liés au fonctionnement courant du système d’information sont cernés par le commissaire aux comptes et intégrés dans son approche de la mission. Mais tout système comprend des exceptions qui dérogent aux règles de contrôle interne. Le système d’information n’échape pas à cet état de fait. Ces exceptions sont nécessaires au bon fonctionnement de l’entreprise, elle lui confère une meilleure réactivité. Il est crucial pour le commissaire aux comptes de déceler ces exceptions et d’évaluer leur nuisance potentielle, car mal maîtrisées en interne, elles peuvent s’avérer très préjudiciables à la pérennité de l’entreprise.
Exemples de points particuliers que le commissaire aux comptes aura à cœur d’analyser :
- Dévelopement et maintenance des systèmes : la mise à jour des systèmes s’accompagne de temps d’indisponibilité des systèmes, de modifications dans la structure des tables de données. Les parties de logiciel mises à jour peuvent comprendre des erreurs de programmation (bogues) plus ou moins visibles. Pour contrer ces erreurs et éviter de compromettre les données informatiques de l’entreprise, des tests doivent être réalisés sur des jeux d’essai. Par ailleurs, il est judicieux de s’assurer que les développements informatiques sont au moins supervisés en interne et qu’ils font l’objet d’un cahier des charges précis (surtout s’ils sont externalisés).
- Traitements particuliers : certains traitements sont effectués occasionnellement (une fois par an) sur des applications non maîtrisées par la DSI voire par la DG (feuilles de calcul EXCEL par exemple). Ces traitements ne sont généralement pas sécurisés, échapent aux règles de contrôle interne paramétrés dans les systèmes informatiques centralisés et sont susceptibles de se révéler destructeurs de valeurs. Pourtant ces traitements concernent des postes entiers des états financiers (calcul des primes et congés payés, des RFA, des dépréciations de créances, valorisation des stocks) ou des pans importants des données du systèmes (mise à jour en masse de données ou de grilles tarifaires… ). Le commissaire aux comptes doit sensibiliser la direction sur les conséquences potentielles qu’une erreur sur un calcul ou une mise à jour de données peut avoir sur l’entreprise et intégrer ce risque dans son approche.
- Utilisateurs à droits d’accès élargis (superprivilèges) : l’identification et la traçabilité de ces utilisateurs doivent être mises en place (point déjà évoqué dans un précédent post).
Derniers articles parBenoît RIVIERE (voir tous)
- Nouveautés de l’interpréteur de formules de calcul (v1.1) - dimanche 3 novembre 2024
- Dématérialisation de la facturation : nouvelles mentions obligatoires - lundi 28 octobre 2024
- Interpréteur de formules de calcul en Python - dimanche 13 octobre 2024
- Les données de la facturation électronique - mercredi 9 octobre 2024
- VBA/SQL vs Power Query : deux solutions complémentaires - mercredi 2 octobre 2024
Pingback: Audit des systèmes d’information : les points d’attention particuliers | Audit & Systèmes d'Information | Gouvernance des systèmes d'information | Scoop.it