Maîtrise Universitaire en Comptabilité, Contrôle et Finance Audit des systèmes d'information Partie 3: ANNNEXES Emanuel Campos - version 2015 Exemple - 1 MCCF 2015 - E. Campos – partie 3 2 Exemple - 1(suite) MCCF 2015 - E. Campos – partie 3 3 Exemple - 1(suite) De quel type de risque d’agit il ? Qui est responsable ? Quel est l’impact pour l’auditeur d’une des banques concernées ? MCCF 2015 - E. Campos – partie 3 4 Les bases légales du SCI Exigence pour le SCI (ou de la gestion des risques) SA 728a CO MCCF 2015 - E. Campos – partie 3 5 Tous les modèles de SCI intègrent l’informatique Exemple: Ici avec le modèle de l'administration fédérale suisse qui est inspiré du modèle IT Control Objectives for SOX et suit une modélisation « processus métier » MCCF 2015 - E. Campos – partie 3 6 NAS 890 Norme d’audit sur le vérification du SCI Points principaux • • • • • La responsabilité d’un SCI et d’une gestion des risques appropriés incombe au Conseil d’administration La responsabilité de la mise en place incombe à la Direction Le SCI est désormais explicitement désigné dans la loi comme objet de vérification Le SCI se rapporte au «rapport financier» L'étendue et la conception du SCI dépendent de la taille et de la complexité de l’activité de l’entreprise MCCF 2015 - E. Campos – partie 3 7 NAS 890 Norme d’audit sur le vérification du SCI Terme: système de contrôle interne (SCI) • Le SCI comprend tous les processus et les mesures qui garantissent une tenue régulière de la comptabilité et un rapport financier adéquat. • Le SCI peut être structuré comme suit: contrôles au niveau de l’entreprise (ELC), contrôles des processus (PC) et contrôles informatiques généraux (ITGC) • Une structuration selon le référentiel COSO (voir www.coso.org) est également possible. MCCF 2015 - E. Campos – partie 3 8 NAS 890 Norme d’audit sur le vérification du SCI Termes: Conseil d’administration (CA) et Direction • Le CA fixe les principes de la comptabilité, du contrôle financier ainsi que du plan financier, nomme et révoque la Direction, a la haute surveillance sur celle-ci, établit le rapport de gestion (rapport annuel et états financiers) et informe le juge en cas de surendettement (art. 716a CO). • Lorsqu’il est fait référence aux deux organes, la norme 890 parle de «Direction de l’entreprise». MCCF 2015 - E. Campos – partie 3 9 9 NAS 890 Norme d’audit sur le vérification du SCI Terme: risque Par risque au sens de la norme 890 on entend le risque d’anomalies significatives dans les comptes annuels. • Ce risque représente une partie des risques d’entreprise.. • MCCF 2015 - E. Campos – partie 3 10 10 NAS 890 Norme d’audit sur le vérification du SCI Terme: contrôles au niveau de l’entreprise (ELC) • Les ELC sont des contrôles de niveau supérieur, ce qui signifie qu’ils couvrent simultanément plusieurs processus ou domaines. • La NAS 890 fait la distinction entre les «ELC directs» et les «ELC indirects». Les ELC directs sont effectués par la Direction ellemême ou ordonnés par elle. MCCF 2015 - E. Campos – partie 3 11 11 NAS 890 Norme d’audit sur le vérification du SCI Terme: contrôles au niveau des processus (PC) • Les PC sont des contrôles intégrés dans des processus. • Ils peuvent être manuels ou automatisés. • Un processus peut comporter les étapes suivantes: initialisation, traitement et comptabilisation. MCCF 2015 - E. Campos – partie 3 12 12 NAS 890 Norme d’audit sur le vérification du SCI Terme: contrôles informatiques généraux (ITGC) • Les ITGC constituent la base pour le fonctionnement correcte des contrôles d’applications automatisés. • Ils couvrent l’accès physique, les droits d’accès logiques, les modifications des données et des systèmes (matériel et logiciel) ainsi que la sécurité des données (continuité et intégrité). MCCF 2015 - E. Campos – partie 3 13 13 NAS 890 Norme d’audit sur le vérification du SCI Terme: «tests de cheminement» (walk-through tests) • Un test de cheminement est une procédure de contrôle qui permet de retracer une opération spécifique du début à la fin. • Les documents et les contrôles correspondants sont entièrement remis en question et réévalués. • Un test de cheminement suffit à évaluer la conception et la mise en place du SCI à une date donnée, mais pas à vérifier l’efficacité du SCI sur une période donnée. MCCF 2015 - E. Campos – partie 3 14 14 NAS 890 Norme d’audit sur le vérification du SCI Terme: contrôles-clés (KC) • Les contrôles-clés sont destinés à prévenir ou à déceler des anomalies significatives du point de vue de l’ensemble de l’entreprise dans le rapport financier. • La norme 890 ne prévoit pas de vérification systématique de tous les contrôles mais se limite à celle des contrôles-clés («Key Controls (KC)»). MCCF 2015 - E. Campos – partie 3 15 15 NAS 890 Norme d’audit sur le vérification du SCI Termes: déficit de contrôle et faiblesse • Il y a déficit de contrôle («deficiency in design and/or operation») lorsque des carences existent dans la définition des principes ou la mise en application d’un contrôle, qui conduisent à ce que le contrôle ne puisse pas remplir son objectif ou ne soit pas exécuté conformément aux prescriptions. • Il y a faiblesse («material weakness») lorsqu’un ou plusieurs déficits de contrôle conduisent à ne pas pouvoir prévenir ou déceler une erreur significative dans les comptes annuels (en raison d’erreurs ou de fraudes). MCCF 2015 - E. Campos – partie 3 16 16
© Copyright 2024 Paperzz