Audit des systèmes d’information : les points d’attention particuliers

Généralement, les risques liés au fonctionnement courant du système d’information sont cernés par le commissaire aux comptes et intégrés dans son approche de la mission. Mais tout système comprend des exceptions qui dérogent aux règles de contrôle interne. Le système d’information n’échape pas à cet état de fait. Ces exceptions sont nécessaires au bon fonctionnement de l’entreprise, elle lui confère une meilleure réactivité. Il est crucial pour le commissaire aux comptes de déceler ces exceptions et d’évaluer leur nuisance potentielle, car mal maîtrisées en interne, elles peuvent s’avérer très préjudiciables à la pérennité de l’entreprise.

Exemples de points particuliers que le commissaire aux comptes aura à cœur d’analyser :

  • Dévelopement et maintenance des systèmes : la mise à jour des systèmes s’accompagne de temps d’indisponibilité des systèmes, de modifications dans la structure des tables de données. Les parties de logiciel mises à jour peuvent comprendre des erreurs de programmation (bogues) plus ou moins visibles. Pour contrer ces erreurs et éviter de compromettre les données informatiques de l’entreprise, des tests doivent être réalisés sur des jeux d’essai. Par ailleurs, il est judicieux de s’assurer que les développements informatiques sont au moins supervisés en interne et qu’ils font l’objet d’un cahier des charges précis (surtout s’ils sont externalisés).
  • Traitements particuliers : certains traitements sont effectués occasionnellement (une fois par an) sur des applications non maîtrisées par la DSI voire par la DG (feuilles de calcul EXCEL par exemple). Ces traitements ne sont généralement pas sécurisés, échapent aux règles de contrôle interne paramétrés dans les systèmes informatiques centralisés et sont susceptibles de se révéler destructeurs de valeurs. Pourtant ces traitements concernent des postes entiers des états financiers (calcul des primes et congés payés, des RFA, des dépréciations de créances, valorisation des stocks) ou des pans importants des données du systèmes (mise à jour en masse de données ou de grilles tarifaires… ). Le commissaire aux comptes doit sensibiliser la direction sur les conséquences potentielles qu’une erreur sur un calcul ou une mise à jour de données peut avoir sur l’entreprise et intégrer ce risque dans son approche.
  • Utilisateurs à droits d’accès élargis (superprivilèges) : l’identification et la traçabilité de ces utilisateurs doivent être mises en place (point déjà évoqué dans un précédent post).
Share Button
The following two tabs change content below.
Après seize années passées en cabinet d’expertise-comptable et de commissariat aux comptes (où j’ai exercé comme expert-comptable et chef de mission audit), j’ai pris le poste de directeur comptable d’un groupe de distribution automobile en novembre 2014. Au cours de ma carrière, j’ai acquis une expérience significative en audit et en exploitation des systèmes d’information (analyse de données, automatisation des tâches, programmation informatique) au service de la production des comptes annuels et consolidés. C’est cette expérience personnelle et ma passion pour l’informatique que je partage sur ce blog. Mon CV / Réalisations personnelles et projets informatiques / Ma collection / Me contacter

Un commentaire

  1. Pingback: Audit des systèmes d’information : les points d’attention particuliers | Audit & Systèmes d'Information | Gouvernance des systèmes d'information | Scoop.it

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.