Cas & Annexes

Maîtrise Universitaire en Comptabilité, Contrôle
et Finance
Audit des systèmes d'information
Partie 3: ANNNEXES
Emanuel Campos - version 2015
Exemple - 1
MCCF 2015 - E. Campos – partie 3
2
Exemple - 1(suite)
MCCF 2015 - E. Campos – partie 3
3
Exemple - 1(suite)
De quel type de risque d’agit il ?
Qui est responsable ?
Quel est l’impact pour l’auditeur d’une des banques concernées ?
MCCF 2015 - E. Campos – partie 3
4
Les bases légales du SCI
Exigence pour le SCI (ou de la gestion des risques)
SA 728a CO
MCCF 2015 - E. Campos – partie 3
5
Tous les modèles de SCI intègrent l’informatique
Exemple:
Ici avec le modèle de l'administration fédérale suisse qui est inspiré du
modèle IT Control Objectives for SOX et suit une modélisation « processus
métier »
MCCF 2015 - E. Campos – partie 3
6
NAS 890
Norme d’audit sur le vérification du SCI
Points principaux
•
•
•
•
•
La responsabilité d’un SCI et d’une gestion des risques
appropriés incombe au Conseil d’administration
La responsabilité de la mise en place incombe à la Direction
Le SCI est désormais explicitement désigné dans la loi
comme objet de vérification
Le SCI se rapporte au «rapport financier»
L'étendue et la conception du SCI dépendent de la taille et
de la complexité de l’activité de l’entreprise
MCCF 2015 - E. Campos – partie 3
7
NAS 890
Norme d’audit sur le vérification du SCI
Terme: système de contrôle interne (SCI)
• Le SCI comprend tous les processus et les mesures qui
garantissent une tenue régulière de la comptabilité et un
rapport financier adéquat.
• Le SCI peut être structuré comme suit: contrôles au niveau
de l’entreprise (ELC), contrôles des processus (PC) et
contrôles informatiques généraux (ITGC)
• Une structuration selon le référentiel COSO (voir
www.coso.org) est également possible.
MCCF 2015 - E. Campos – partie 3
8
NAS 890
Norme d’audit sur le vérification du SCI
Termes: Conseil d’administration (CA) et Direction
•
Le CA fixe les principes de la comptabilité, du contrôle financier
ainsi que du plan financier, nomme et révoque la Direction, a la
haute surveillance sur celle-ci, établit le rapport de gestion (rapport
annuel et états financiers) et informe le juge en cas de
surendettement (art. 716a CO).
• Lorsqu’il est fait référence aux deux organes, la norme 890 parle de
«Direction de l’entreprise».
MCCF 2015 - E. Campos – partie 3
9
9
NAS 890
Norme d’audit sur le vérification du SCI
Terme: risque
Par risque au sens de la norme 890 on entend le risque d’anomalies
significatives dans les comptes annuels.
• Ce risque représente une partie des risques d’entreprise..
•
MCCF 2015 - E. Campos – partie 3
10
10
NAS 890
Norme d’audit sur le vérification du SCI
Terme: contrôles au niveau de l’entreprise (ELC)
•
Les ELC sont des contrôles de niveau supérieur, ce qui signifie
qu’ils couvrent simultanément plusieurs processus ou domaines.
• La NAS 890 fait la distinction entre les «ELC directs» et les «ELC
indirects». Les ELC directs sont effectués par la Direction ellemême ou ordonnés par elle.
MCCF 2015 - E. Campos – partie 3
11
11
NAS 890
Norme d’audit sur le vérification du SCI
Terme: contrôles au niveau des processus (PC)
•
Les PC sont des contrôles intégrés dans des processus.
• Ils peuvent être manuels ou automatisés.
• Un processus peut comporter les étapes suivantes: initialisation,
traitement et comptabilisation.
MCCF 2015 - E. Campos – partie 3
12
12
NAS 890
Norme d’audit sur le vérification du SCI
Terme: contrôles informatiques généraux (ITGC)
•
Les ITGC constituent la base pour le fonctionnement correcte des
contrôles d’applications automatisés.
• Ils couvrent l’accès physique, les droits d’accès logiques, les
modifications des données et des systèmes (matériel et logiciel)
ainsi que la sécurité des données (continuité et intégrité).
MCCF 2015 - E. Campos – partie 3
13
13
NAS 890
Norme d’audit sur le vérification du SCI
Terme: «tests de cheminement» (walk-through tests)
•
Un test de cheminement est une procédure de contrôle qui permet
de retracer une opération spécifique du début à la fin.
• Les documents et les contrôles correspondants sont entièrement
remis en question et réévalués.
• Un test de cheminement suffit à évaluer la conception et la mise en
place du SCI à une date donnée, mais pas à vérifier l’efficacité du
SCI sur une période donnée.
MCCF 2015 - E. Campos – partie 3
14
14
NAS 890
Norme d’audit sur le vérification du SCI
Terme: contrôles-clés (KC)
•
Les contrôles-clés sont destinés à prévenir ou à déceler des
anomalies significatives du point de vue de l’ensemble de
l’entreprise dans le rapport financier.
• La norme 890 ne prévoit pas de vérification systématique de tous
les contrôles mais se limite à celle des contrôles-clés («Key
Controls (KC)»).
MCCF 2015 - E. Campos – partie 3
15
15
NAS 890
Norme d’audit sur le vérification du SCI
Termes: déficit de contrôle et faiblesse
•
Il y a déficit de contrôle («deficiency in design and/or operation»)
lorsque des carences existent dans la définition des principes ou la
mise en application d’un contrôle, qui conduisent à ce que le
contrôle ne puisse pas remplir son objectif ou ne soit pas exécuté
conformément aux prescriptions.
•
Il y a faiblesse («material weakness») lorsqu’un ou plusieurs déficits
de contrôle conduisent à ne pas pouvoir prévenir ou déceler une
erreur significative dans les comptes annuels (en raison d’erreurs
ou de fraudes).
MCCF 2015 - E. Campos – partie 3
16
16