Audit des systèmes d’information : les points d’attention particuliers

Généralement, les risques liés au fonctionnement courant du système d’information sont cernés par le commissaire aux comptes et intégrés dans son approche de la mission. Mais tout système comprend des exceptions qui dérogent aux règles de contrôle interne. Le système d’information n’échape pas à cet état de fait. Ces exceptions sont nécessaires au bon fonctionnement de l’entreprise, elle lui confère une meilleure réactivité. Il est crucial pour le commissaire aux comptes de déceler ces exceptions et d’évaluer leur nuisance potentielle, car mal maîtrisées en interne, elles peuvent s’avérer très préjudiciables à la pérennité de l’entreprise.

Exemples de points particuliers que le commissaire aux comptes aura à cœur d’analyser :

  • Dévelopement et maintenance des systèmes : la mise à jour des systèmes s’accompagne de temps d’indisponibilité des systèmes, de modifications dans la structure des tables de données. Les parties de logiciel mises à jour peuvent comprendre des erreurs de programmation (bogues) plus ou moins visibles. Pour contrer ces erreurs et éviter de compromettre les données informatiques de l’entreprise, des tests doivent être réalisés sur des jeux d’essai. Par ailleurs, il est judicieux de s’assurer que les développements informatiques sont au moins supervisés en interne et qu’ils font l’objet d’un cahier des charges précis (surtout s’ils sont externalisés).
  • Traitements particuliers : certains traitements sont effectués occasionnellement (une fois par an) sur des applications non maîtrisées par la DSI voire par la DG (feuilles de calcul EXCEL par exemple). Ces traitements ne sont généralement pas sécurisés, échapent aux règles de contrôle interne paramétrés dans les systèmes informatiques centralisés et sont susceptibles de se révéler destructeurs de valeurs. Pourtant ces traitements concernent des postes entiers des états financiers (calcul des primes et congés payés, des RFA, des dépréciations de créances, valorisation des stocks) ou des pans importants des données du systèmes (mise à jour en masse de données ou de grilles tarifaires… ). Le commissaire aux comptes doit sensibiliser la direction sur les conséquences potentielles qu’une erreur sur un calcul ou une mise à jour de données peut avoir sur l’entreprise et intégrer ce risque dans son approche.
  • Utilisateurs à droits d’accès élargis (superprivilèges) : l’identification et la traçabilité de ces utilisateurs doivent être mises en place (point déjà évoqué dans un précédent post).
Share Button
Benoît-René RIVIERE, expert-comptable à Caen

A propos de Benoît-René RIVIERE, expert-comptable à Caen

Expert-comptable, chef de mission audit, passionné par l’informatique, je partage sur mon blog www.auditsi.eu les particularités de la démarche d’audit en environnement informatisé par le biais d’articles pratiques. Tous les thèmes abordés sont liés à mon expérience professionnelle. Je traite également des sujets périphériques mais ô combien essentiels : sensibilisation à la sécurité informatique, automatisation des tâches, programmation informatique… J'utilise quotidiennement les outils et techniques informatiques : EXCEL (langage VBA...) et ACCESS (requêtes SQL). J'ai conçu différentes applications : analyse de données comptables, programme d’audit légal AppliAUDIT (gestion de l’information, revue analytique, générateur automatisé de synthèses...)...
Cette entrée est postée dans Brèves, Contrôle interne, Intégrité des données, Mission du commissaire aux comptes, Protection des données, Sécurité informatique, Système d'information, Système informatique avec les mots-clefs , , , , , , , , , , , , , , . Créer un marque-page à partir du permalien.

Une réponse pour Audit des systèmes d’information : les points d’attention particuliers

  1. Signal : Audit des systèmes d’information : les points d’attention particuliers | Audit & Systèmes d'Information | Gouvernance des systèmes d'information | Scoop.it

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>