Votre entreprise a-t-elle mis en place des procédures particulières en vue de sensibiliser, prévenir et maîtriser le risque de fraude ? (comité d’audit, formation, procédures…). Pour les auditeurs, vos clients ont-ils mis en application de tels principes ?
Chargement ...Les derniers sujets abordés traitent de la fraude à des degrés divers. Il ne faut penser pour autant que je résume l’audit des SI à ce thème précis.
Mais ce sujet occupe tellement l’actualité que je ne pouvais y couper. D’autant que paradoxalement, beaucoup d’entreprises n’ont pas développé de stratégie pour s’en prémunir efficacement.
La fraude est comparable à un iceberg. Nous n’en voyons qu’une infime partie, celle révélée au grand jour par les hasards… rarement à l’initiative de la victime. Mais la face immergée, celle que l’entreprise choisit de ne pas dévoiler pour des questions d’image… ou pire celle qui n’a pas encore été décelée…
Continue reading ‘A&SI, un blog dédié à la fraude ?’ »
L’information financière publiée par l’entreprise émane de son système d’information (SI). La qualité de l’information financière divulguée dépend de la fiabilité du système de gestion de l’information. Une des composantes du système est l’utilisateur. L’activité de l’utilisateur du SI, quelle que soit sa position dans l’organigramme, impacte le SI : il apporte des informations, les consulte, les extrait, les divulgue. Malheureusement, le facteur humain a toujours été une source de risque. L’avènement des nouvelles technologies et le chevauchement vie privée / vie professionnelle (ordinateurs portables professionnels utilisés à domicile par exemple) contribuent un peu plus à fragiliser la sécurité des SI : perte ou vol de matériel (et des données), utilisation de moyens de stockage nomades (clefs USB ou disques durs), virus, chevaux de Troye, keylogging…sont autant de risques de voire divulguées des informations confidentielles voire des corruptions de données. Les connexions à distance sur le SI de l’entreprise par intranet, FTP, VPN, webmail sont autant de fenêtres ouvertes.
La sensibilisation et la formation des utilisateurs est dans un premier temps incontournable. Dans un second temps, la mise en place de chartes de l’utilisateur et de moyens de protection est inévitable. Les directions des entreprises et les commissaires aux comptes se doivent d’intégrer ce risque dans leur démarche de prévention pour les premiers et d’audit pour les seconds.
Je vous souhaite à tous de joyeuses fêtes de fin d’année.
Les fins d’année sont propices aux bêtisiers et autres rétrospectives. L’année 2008 a été riche en événements. Certains événements ont eu des répercussions sur l’économie, le monde de la finance… et la vie des entreprises et des citoyens que nous sommes : les scandales financiers, dont les plus retentissants auront été initiés par Kerviel début 2008 et Bernard Madoff il y a quelques jours. Ces scandales, personne ne les a prédits. Leur survenue démontre que les meilleurs systèmes de contrôle interne ne pourront jamais déjouer les fraudes les plus audacieuses. Le législateur pourra toujours réglementer un peu plus le système bancaire ; de tous les secteurs économiques, celui-ci est déjà le plus réglementé. Les lois Sarbanes Oxley aux Etats-Unis et LSF en France ont été appliquées en 2003 suite à de précédents scandales financiers. Ces lois se sont traduites par un alourdissement des obligations à la charge des entreprises et des auditeurs. Mais concrètement, il n’est pas évident que les nouvelles pratiques d’audit aient permis de garantir une meilleure sécurité de l’information financière produite par les entreprises. Un retour aux fondamentaux (et notamment au bon sens) est nécessaire afin de rétablir la confiance qui rappelons-le est la notion primordiale sans laquelle les agents économiques ne remplissent plus leurs rôles respectifs.
Continue reading ‘Bonnes fêtes de fin d’année… et bon contrôle interne !’ »
La NEP-240 intitulée « Prise en considération de la possibilité de fraude lors de l’audit des comptes » stipule que le commissaire aux comptes doit mettre en œuvre une dose d’imprévisibilité dans ses contrôles. Il est vrai qu’une certaine routine peut au fil du temps s’instaurer dans l’exercice de sa mission et organiser sa mission autour des mêmes contrôles, effectuer ses sondages sur les mêmes critères… Etant donné la large palette de contrôles offerte par les extractions de données, leur mise en œuvre est un moyen d’assurer l’imprévisibilité des contrôles prévue par la NEP-330 (intitulée “Procédures d’audit mises en oeuvre”).
