L'Audit Dans Un Milieu Informatisé
L'Audit Dans Un Milieu Informatisé
L'Audit Dans Un Milieu Informatisé
Dédicaces
Je dédie ce mémoire :
1|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Remerciements
2|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Sommaire
Introduction générale ............................................................................................................... 8
PREMIERE PARTIE : Spécificités de la démarche d’audit dans un milieu informatisé
.................................................................................................................................................. 13
Introduction de la première partie ....................................................................................... 14
1er chapitre : Les technologies d’informations et leurs impacts sur la démarche d’audit
.................................................................................................................................................. 15
Section 1 : Les caractéristiques du système comptable dans un milieu informatisé .... 17
Section 2 : Les risques liés à l’informatique ..................................................................... 20
Section 3 : Impact de l’informatique sur la conduite d’une mission d’audit ................ 32
Conclusion ............................................................................................................................... 36
2ème chapitre : CobiT un référentiel d’audit des systèmes d’information ......................... 37
Section 1 : Présentation du référentiel .............................................................................. 37
Section 2 : Les processus du CobiT 5 ................................................................................ 40
Section 3 : CobiT pour l’audit .......................................................................................... 52
Section 4 : Les limites du référentiel CobiT ..................................................................... 55
Conclusion de la première partie .......................................................................................... 57
DEUXIEME PARTIE : Proposition d’une démarche d’audit dans un milieu informatisé
.................................................................................................................................................. 58
Introduction de la deuxième partie ....................................................................................... 59
1er chapitre : Etudes comparatives avec les normalisations internationales .................... 60
Section 1 : Les normes françaises ...................................................................................... 60
Section 2 : Les normes américaines .................................................................................. 64
Section 3 : Les normes IFAC ............................................................................................. 66
2ème chapitre : Proposition de la démarche d’audit dans un milieu informatisé .............. 68
Section 1 : Planification de la mission ............................................................................... 69
Section 2 : Evaluation des risques ..................................................................................... 80
Section 3 : Les tests de validation ...................................................................................... 94
Section 4 : Synthèse des travaux ..................................................................................... 105
Conclusion de la deuxième partie ....................................................................................... 107
TROISIEME PARTIE : L’application de la démarche proposée pour une mission
d’audit financier d’une polyclinique .................................................................................. 108
Introduction de la troisième partie ..................................................................................... 109
1er chapitre : Présentation générale de la polyclinique ..................................................... 111
Section 1 : Présentation du secteur d’activité ................................................................ 111
3|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
4|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
5|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
6|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
7|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Introduction générale
L’environnement actuel de l’entreprise est caractérisé par la globalisation des économies qui
est facilitée par le développement accéléré des systèmes d’information.
En effet, durant les vingt dernières années, ces systèmes ont connu des évolutions
exponentielles grâce au développement technologique. Ainsi, nous avons observé notamment,
l’explosion des micro-processeurs, le développement des réseaux, l’intégration des systèmes,
l’ouverture des systèmes sur les partenaires de l’entreprise…
L’irruption de l’internet a accéléré considérablement l’évolution des systèmes d’information,
puisque son coût réduit et sa relative simplicité d’utilisation ont favorisé sa pénétration,
notamment vers les petites entreprises et les consommateurs. L’économie moderne devient de
plus en plus immatérielle.
Cette évolution vers la société de l’information n’aurait été facilitée que par le développement
spectaculaire des technologies de l’information.
Aujourd’hui, les systèmes d’information revêtent un caractère stratégique dans le monde des
entreprises. En effet, les exigences de l’environnement (marchés financiers, clients,
concurrence... etc.) imposent à celles-ci la performance et la réactivité. Ceci implique que le
traitement de l’information soit rapide et pertinent.
Ainsi, il est primordial que les systèmes d’information permettent à l’entreprise d’une part,
d’adapter en permanence sa structure aux exigences de son marché et, d’autre part, d’être en
mesure, d’augmenter continuellement sa productivité.
Il s’en suit que les dirigeants des entreprises s’orientent, inévitablement, de plus en plus vers
des systèmes ouverts, modulaires, axés sur les besoins des clients et permettant la couverture
de l’ensemble des besoins de l’entreprise.
Cependant, l’ouverture et la complexité des systèmes peuvent engendrer des risques ayant des
conséquences néfastes sur le bon fonctionnement de l’entreprise.
Le développement et l’accélération du système d’information ont conduit les auditeurs
financiers, que leur mission soit contractuelle ou s’inscrive dans un cadre légal, à s’interroger
sur la validité de l’approche et les outils traditionnels de l’audit financier, à adapter
progressivement leur démarche et surtout à développer de nouveaux moyens de vérification.
Afin de répondre aux nouvelles exigences imposées par cet environnement, l’auditeur est
astreint à revoir sa méthodologie d’audit et compléter sa formation dans le domaine de l’audit
8|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
informatique de façon à prendre en considération les risques induits par les systèmes
informatiques et leur impact sur le dispositif du contrôle interne.
Pour faire face à ce nouveau contexte, certains cabinets d’audit ont adopté de nouvelles
démarches d’audit qui reposent largement sur l’évaluation des risques et des contrôles
informatiques. Ces nouvelles approches imposent aux auditeurs de comprendre, évaluer et
tester le contrôle interne relatif à l’environnement de la fonction informatique et aux systèmes
gérant les principaux processus des activités de l’entreprise.
Dans ce cadre, le référentiel CobiT (Control Objectives for Information and related
Technology) se positionne comme un référentiel de contrôle. Il décline sur le domaine IT les
principes du référentiel COSO (Committee of Sponsoring Organizations of the Treadway
Commission), publiés pour la première fois en 1992 et dont l’objectif est d’aider les entreprises
à évaluer et à améliorer leur système de contrôle interne.
La mise en chantier du référentiel CobiT résultait de la volonté des auditeurs de répondre aux
exigences du COSO et de partager les mêmes plans d’audit. La plupart des grands cabinets
d’audit internationaux (les big 6 à l’époque) y ont participé. Il est ainsi devenu un standard de
fait. On y trouvait l’essentiel de la structuration actuelle en domaines, processus et objectifs de
contrôle détaillés1.
CobiT permet l’alignement stratégique de l’entité en définissant un ensemble de principes à
suivre. La démarche est structurée sur la généralisation de l’audit à l’ensemble des activités
gérées et/ou générées par le système d’information pour maitriser les risques et assurer une
amélioration continue.
La version 5 de CobiT est disponible depuis avril 2012. CobiT 5 est, à ce jour, le seul référentiel
qui est orienté business pour la gouvernance et la gestion des systèmes d’information de
l’entreprise. Il représente une évolution majeure dans les référentiels de contrôle. CobiT 5 peut
être adapté pour tous les types de modèles business, d’environnements technologiques, toutes
les industries, les lieux géographiques et les cultures d’entreprise. Il peut s’appliquer à :
La sécurité de l’information ;
La gestion des risques ;
La gouvernance et la gestion du Système d’Information de l’entreprise ;
Les activités d’audit ;
La conformité avec la législation et la règlementation ;
1
MOISAND DOMINIQUE, GARNIER DE LABAEYRE « CobiT - Pour une meilleure gouvernance des systèmes
d'information », 2010, p.3
9|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
2
Norme d’audit ISA 200, point 7, p 5
10 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
11 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Quels sont les processus du CobiT 5 que l’auditeur utilise pour évaluer le système
d’information de l’entité auditée ?
En conséquence, cette étude s’articule autour de trois parties. Une première partie dans laquelle
nous essayons de montrer les spécificités de la démarche d’audit dans un milieu informatisé à
travers de l’exposition des impacts de la technologie d’information sur la démarche d’audit et
la présentation du référentiel CobiT 5.
La deuxième partie traite la démarche d’audit financier dans un milieu informatisé en
commençant par une étude comparative avec les normalisations internationales (la
normalisation française, la normalisation américaine et la normalisation internationale IFAC).
Nous essayons, ensuite, de proposer une démarche d’audit dans un milieu informatisé qui traite
notamment : la planification de la mission d’audit, l’évaluation des risques et les tests de
validation en se basant sur le référentiel CobiT 5 et ce dans le cas d’une polyclinique.
Au niveau de la troisième partie nous essayons d’adopter la démarche proposée à l’audit d’une
polyclinique privée.
Enfin, cette recherche n’a pas pour prétention de fournir un programme d’audit exhaustif, mais
elle vise plutôt à contribuer à l’adaptation de la démarche d’audit aux particularités de la mission
d’audit dans un milieu informatisé d’une polyclinique.
12 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
13 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
3
Monique Garsoux « CobiT-une expérience pratique » la revue n°78- Mars 2005, p.1
14 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Requêtes
Client
Réponses Serveur
Client
Requêtes
4
https://fr.wikipedia.org/wiki/Client-serveur
5
https://www.choisirmonerp.com/erp/definition-d-un-erp
15 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Stocks Comptabilité
générale
Production Paie
Comptabilité de
Ventes
gestion
Base de
données
GRH entreprise Gestion
financière
Approvisionnements Immobilisations,
investissements
Consolidation
Trésorerie Reporting
Partage des Chacun accède aux informations dès - Définition d’autorisations d’accès
informations leur saisie, en temps réel
- Nécessite une bonne réactivité des
acteurs
Cohérence des - Accès plus facile aux différentes - Lourdeur de mise en place du PGI
données (base applications (ergonomie uniforme)
- Formation du personnel
unique), des
- Pas d’interfaçages
applications - La sécurisation des données est
- Extractions à la demande (SQL) vitale
6
Tableau extrait de l’ouvrage « Assistant de manager » - DUNOD
16 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
selon un format standardisé, entre ordinateurs connectés par liaisons spécialisées ou par un
réseau7.
La structure d’une organisation est l’ensemble des « moyens employés pour diviser le travail
en tâches distinctes et pour assurer la coordination nécessaire entre ces tâches »8. La répartition
des tâches et des responsabilités, les mécanismes de coordination, les règles et les procédures
permettent de caractériser la structure d’une entreprise.
La mise en place des nouvelles technologies de l’information et de la communication produit
des changements importants rattachés au flux des informations et à l’accès aux données.
Désormais, les centres de décision deviennent moins centralisés, les utilisateurs finaux plus
concernés par les nouvelles évolutions. En effet, l’informatisation peut engendrer une
redéfinition des responsabilités des employés.
Toutefois, il y a lieu de signaler que la complexité des nouvelles technologies de l’information
et de la communication exige à la direction de préserver une place importante dans sa structure
globale pour la fonction du service informatique.
La séparation des tâches incompatibles devient de plus en plus difficile en raison des facteurs
suivants :
- La gestion des accès : le stockage des informations comptables et de gestion et les
programmes d’application de l’entreprise sur des mémoires électroniques permet à
beaucoup de personnes d’accéder au moyen de terminaux.
- La réduction du nombre de personnes intervenantes : l’automatisation des traitements
comptables impliquent la réduction du nombre de personnes.
Il est à préciser que la séparation classique des tâches dans un environnement non informatisé,
n’est pas totalement efficace dans un système informatisé, mais le contrôle peut être renforcé
7
Institut National de la Statistique et des études économiques : définition de l’EDI, publication du 13/10/2016
8
HENRY MINTZBERG (1982)
17 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
par différents types de logiciels destinés à limiter l’accès aux applications et aux fichiers. Il est
donc nécessaire d’apprécier les contrôles portant sur l’accès aux informations afin de savoir si
la séparation des tâches incompatibles a été correctement renforcée.
Dans un environnement informatisé, il existe trois types d’utilisateurs9 :
1. Les utilisateurs non autorisés : il s’agit des intrus externes. Des contrôles préventifs,
particulièrement des contrôles d’authentification des utilisateurs, répondent à ce type de
risque.
2. Les utilisateurs enregistrés : l’accès de ces utilisateurs devrait être limité aux
applications et aux données rattachées à leurs fonctions. Des contrôles préventifs pour
ce type d’utilisateurs se présentent sous forme de contrôle d’authentification des
utilisateurs et d’allocations de droits limités aux applications nécessaires à l’exécution
de leurs tâches.
3. Les utilisateurs privilégiés : il s’agit de l’administrateur système, les développeurs, les
responsables de l’exploitation. Ces utilisateurs nécessitent des privilèges de système ou
de sécurité pour la réalisation de leurs travaux.
Pour le département informatique, si les fonctions incompatibles ne sont pas correctement
séparées, des erreurs ou irrégularités peuvent se produire et ne pas être découvertes dans le
cours normal de l’activité. Des changements non autorisés dans des programmes d’application
ou dans des fichiers peuvent être difficiles à détecter dans un environnement informatique. C’est
pourquoi, des mesures préventives touchant en particulier le respect de la séparation des
fonctions principales de programmation et d’exploitation deviennent indispensables pour
assurer la fiabilité de l’information financière.
Les traitements peuvent être effectués en temps réel ou en temps différé. Ce dernier mode de
traitement est souvent appelé traitement « batch » ou traitement par lot. Le plus souvent les
traitements sont mixtes et font alternativement appel au temps réel et au temps différé, selon les
besoins.
Traitement en temps réel (real time processing) : le traitement en temps réel est un mode de
traitement qui permet l’admission des données à un instant quelconque et l’obtention immédiate
des résultats.
9
Mohamed Lassâad Borgi, mémoire d’expertise : « L’évolution des technologies de l’information et de la
communication : impact sur l’audit financier », p.12
18 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Un des avantages de ce mode de traitement est de permettre une validation immédiate des
données de saisie par confrontation, pour contrôle et cohérence, avec les informations de
fichiers en ligne. Néanmoins, ce traitement présente des inconvénients suivants :
- Possibilité de mise à jour des fichiers ou des bases de données sans autorisation en
l’absence de procédures appropriées de sécurité ;
- Possibilité de dégradation de l’intégrité du système d’information et plus
particulièrement des bases de données, si les procédures d’accès, de validation et
contrôle a posteriori ne sont pas appropriées ;
- Pas de chemin de révision en l’absence de procédures de « journalisation » spécifiques.
En temps réel, la mise à jour entraîne, sauf option ou programmation appropriée, la
disparition de la donnée périmée par la mise à jour ;
- Complexité des procédures de sauvegarde, de restauration et de reprise.
Traitement par lot (batch processing) : le traitement par lot est défini comme le traitement
suivant lequel les programmes à exécuter ou les données à traiter sont groupés par lot. La
caractéristique essentielle des traitements par lots est que la mise à jour des fichiers n’est pas
immédiate. Pour mettre à jour un ou des fichiers, il faut procéder successivement à la réalisation
des phases de saisie, de validation, de recyclage des anomalies et finalement de mise à jour.
En raison du caractère séquentiel de ce mode de traitement, le chemin de révision est
généralement facile à suivre.
Traitement en temps réel différé (memo update) : ce mode de traitement se caractérise par une
validation de la saisie en temps réel et une mise à jour différée en traitement par lots.
Lorsque le besoin d’informations immédiates est important pour les utilisateurs, une
programmation appropriée permet, lorsque l’utilisateur interroge les fichiers, de recevoir une
information à jour même si les fichiers ne sont pas encore réellement mis à jour.
Dans la pratique, le traitement en temps réel différé est très répandu. Il faut également noter
qu’il facilite les procédures de sauvegarde, de restauration et de reprise.
19 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Le système d’information comprend les informations qui sont collectées, gardées, traitées,
recherchées ou transmises par une infrastructure informatique composée de matériels
20 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
10
Fabrice OMANCEY « La gestion du risque informatique à l’hôpital : protection de la confidentialité et sécurité
des données au centre hospitalier de Dreux », 2003, p10
21 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
11 La chaine de valeur est un modèle développé par M. Porter dans L’avantage concurrentiel (1986), qui vise à décomposer l’activité de l’entreprise en différentes étapes, pour
identifier où se trouvent les sources d’avantages concurrentiels, autrement dit, de création de valeur
22 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Ressources humaines
Systèmes de planification de la main-d’œuvre
Technologies
Systèmes de conception assistée par ordinateur
Approvisionnement
Systèmes de commande informatisés
Fournisseur
Fournisseurs Entreprise Clients Distributeurs
des fournisseurs
12
Arseg « La protection de l’information en entreprise », avril 2015.
23 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
13
Cigref « les risques numériques pour l’entreprise », Mars 2011
24 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
14
Cigref « les risques numériques pour l’entreprise », Mars 2011
25 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Internationalisation : des informations sur l’entreprise peuvent circuler à l’étranger via le jeu
des réglementations internationales ou être soumises à des réglementations locales. Plus
généralement, la législation concernant l'échange de données est différente selon les pays, le
cryptage peut être autorisé, interdit, soumis à autorisation… Pour l'entreprise, cela se traduit
concrètement par des pertes en cas de non-respect de la loi locale, ou des problèmes de
productivité et d'homogénéisation des processus dans le cadre d'une activité internationale.
Authenticité des documents : l'authenticité des documents numériques est plus difficile à
prouver que celle des documents papier ; leur production et leur conservation entrainent donc
plus de contraintes (et de risques). Ces contraintes sont essentiellement liées à l'administration,
par exemple pour les documents comptables qui doivent répondre à certaines normes techniques
(présentation de la pièce justificative).
2.1.6- Les risques liés au patrimoine informatique
Dans cette famille de risques, nous avons englobé les risques liés à la conservation des données
(vieillissement des supports, évolution des formats), à la difficile valorisation financière du
patrimoine informatique ainsi que ceux liés à la garantie des produits informatiques.
Conservation : on a vu précédemment que la conservation de données exposait l'entreprise à
des risques. Une mauvaise conservation de telles données peut aussi entraîner des pertes pour
l'entreprise : la durabilité des supports et des formats n'est pas facile à assurer dans le cadre du
stockage numérique. Par ailleurs, les entreprises sous- traitent souvent cet hébergement des
données numériques, le contrôle sur les mesures de protection et conservation ne peut être
facilement assuré, de même que l'accès à ces données peut être temporairement coupé.
Valorisation financière : les méthodes pour calculer la valeur d'une entreprise sont mal
adaptées au calcul de la valeur d'une entreprise 100% informatique. En effet, celle-ci ne dispose
pas d'actifs réels mais immatériels, dont la valorisation est difficile. La valeur de l'entreprise
informatique peut donc être mal évaluée par les institutions financières, ce qui a des
conséquences au niveau de ses actionnaires et investisseurs. Par ailleurs, la sous- évaluation de
l'entreprise peut entraîner des difficultés vis-à-vis des institutions bancaires, qui peuvent refuser
de la financer, ce qui peut provoquer un risque important pour la poursuite des activités ou le
développement de l'entreprise.
26 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
15
Cigref « les risques numériques pour l’entreprise », Mars 2011
16
IEM est une émission d'ondes électromagnétiques brève et de très forte amplitude qui peut détruire de nombreux
appareils électriques et électroniques et brouiller les télécommunications.
27 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Après avoir identifié les risques généraux et les risques spécifiques liés à l’utilisation de
l’informatique, nous identifierons les moyens qui devraient être mis en place par la société pour
pallier ces risques.
28 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
- Une définition des concepts de propriété des systèmes et des données, ainsi que de
l’habilitation nécessaire pour créer, modifier ou supprimer les données. Il peut s’agir
d’une politique générale qui définit dans quelles mesures les utilisateurs peuvent créer
leurs propres applications.
- Des politiques de ressources humaines qui définissent les conditions de travail dans les
domaines sensibles et en vérifient la bonne application. Il peut s’agir d’examiner en
détail les informations concernant des candidats à l’embauche avant de les accueillir
dans l’organisation, et de faire signer aux employés des accords par lesquels ils
acceptent la responsabilité pour le niveau de contrôle, de sécurité et de confidentialité
requis. Typiquement, cette politique peut également détailler les procédures
disciplinaires correspondantes.
- La définition des exigences en matière de plans de continuité d’activité, en veillant à
ce que tous les aspects de l’activité, soient pris en compte dans l’éventualité d’une panne
ou d’un sinistre
Il est donc important pour chaque entreprise :
- De créer une véritable fonction informatique rattachée à la direction générale, de façon
à intégrer l’informatique dans la réflexion stratégique de l’entreprise ;
- De créer une structure de concertation entre la direction générale, la direction
informatique et les utilisateurs, qui soit chargée de déterminer la stratégie de
l’information, la configuration du système, les priorités, qui se traduisent par un
véritable « plan informatique » ;
- que la fonction informatique définisse l’ensemble des procédures qui assurent la fiabilité
de l’ensemble du système.
2.2.2- L’organisation et management
L’organisation et le management jouent un rôle clé dans l’ensemble du système de contrôle des
systèmes d’information, comme dans tous les aspects de la vie d’une organisation. Une
structure adéquate permet la définition de rattachements hiérarchiques et de responsabilité ainsi
que la mise en place de systèmes de contrôle efficaces. Les principaux contrôles clés qui sont
habituellement mis en place sont la séparation des tâches incompatibles, les contrôles financiers
et la gestion du changement17.
17
GTAG 1 « Les contrôles et le risque des systèmes d’information », 2ème édition, p.26
29 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Séparation des tâches : la séparation des tâches est un élément crucial de nombreux contrôles.
Une organisation doit être structurée de sorte que tous les aspects du traitement des données ne
reposent jamais sur une seule personne. Les fonctions d’émission, d’autorisation, de saisie, de
traitement et de vérification des données doivent être séparées afin qu’aucun individu ne puisse
être à l’origine d’une erreur ou d’une omission ou de toute autre irrégularité et l’autoriser et/ou
en masquer les preuves. Les contrôles de séparation des tâches concernant les applications sont
mises en place par l’octroi d’accès privilégiés en fonction des exigences du poste en termes de
traitement et d’accès aux données. Ce contrôle prévoit des restrictions qui empêchent les
exploitants d’accéder aux programmes, systèmes ou données de production ou de les modifier.
De même, les développeurs doivent avoir peu de contacts avec les systèmes de production. On
obtiendra une séparation des tâches adéquate en assignant des rôles différents lors des processus
de mise en production et de changement. Dans les grandes organisations, il faut procéder de la
même manière pour de nombreuses fonctions si l’on veut que la séparation des tâches soit
adéquate.
Contrôles financiers : étant donné que les organisations réalisent des investissements
considérables dans les systèmes d’information, des contrôles d’ordre budgétaire et financier
sont nécessaires pour s’assurer qu’ils aboutissent au retour sur investissement ou aux économies
annoncés. Il convient de mettre en place des procédures de gestion permettant de recueillir,
d’analyser et de rendre compte de ces aspects.
Gestion du changement18 : les procédures de gestion du changement s’assurent que les
modifications apportées à l’environnement, aux logiciels, aux applications et aux données
doivent permettre de respecter une bonne séparation des tâches, d’assurer le bon
fonctionnement des changements, d’empêcher l’exploitation de ces changements à des fins
frauduleuses. Une faiblesse dans la gestion du changement pourrait sérieusement impacter le
système et le service disponibles.
18
GTAG 2 « Contrôles de la gestion du changement et des patchs : un facteur clé de la réussite pour toute
organisation », 2ème édition.
30 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
l’organisation, le coût et la vulnérabilité des applications qui font fonctionner les processus de
l’organisation peuvent être significatifs.
2.2.4- Les contrôles des logiciels systèmes
Les logiciels système permettent aux applications et aux utilisateurs d’exploiter l’équipement
informatique. Il s’agit de systèmes d’exploitation de logiciels de gestion de réseau et de
transmission, de pare-feu, d’antivirus ou encore de système de gestion de bases de données
(SGBD).
Les systèmes de logiciels peuvent s’avérer extrêmement complexes et s’appliquer à différents
éléments et à des appareils au sein des systèmes et de l’environnement réseau. Bien que les
systèmes de certaines applications possèdent leur propre système de contrôle des accès et
pourraient alors fournir un accès à des utilisateurs non autorisés pour rentrer dans le système,
les paramétrages techniques permettent un contrôle des accès logiques aux applications. Ils
permettent également de renforcer la séparation des tâches et s’appliquer aux contrôles
d’intégrité des données à travers les listes de contrôles d’accès, des filtres et des connexions19.
2.2.5- Le contrôle de l’acquisition et de développement des systèmes.
Les organisations adoptent rarement une méthodologie unique pour tous les projets de
développement de systèmes. La méthodologie retenue doit correspondre au contexte particulier
à chaque projet. Certains points de contrôle de base doivent être traités dans toutes les activités
d’acquisition et de développement de systèmes. Par exemple :
- Les besoins des utilisateurs doivent être formalisés, et leur satisfaction mesurée.
- La conception des systèmes doit suivre une procédure formelle qui permet de s’assurer
que les besoins des utilisateurs et les contrôles sont bien intégrés dans le système.
- Le développement des systèmes doit être mené de manière structurée, afin que les
besoins et les spécifications requis soient bien pris en compte dans le produit final.
- Les tests doivent vérifier que les différentes composantes du système opèrent de la façon
requise, que les interfaces fonctionnent comme prévu, que les utilisateurs participent au
processus de test et que les fonctionnalités attendues sont bien présentes.
- Les procédures de maintenance des applications doivent permettre de s’assurer que tous
les changements apportés aux applications répondent à un schéma de contrôle
homogène. La gestion des changements doit faire l’objet de procédures structurées de
validation de l’assurance.
19
GTAG 6 « Gérer et auditer les vulnérabilités des technologies de l’information ».
31 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Afin de répondre aux nouvelles exigences imposées par cet environnement, l’auditeur est
astreint à revoir sa méthodologie d’audit et compléter sa formation dans le domaine de l’audit
informatique de façon à prendre en considération les risques induits par les systèmes
informatiques et leur impact sur le dispositif du contrôle interne.
En effet, la nature des compétences requises au sein du cabinet dépendra de plusieurs éléments :
En fonctions de ces critères, différentes solutions peuvent être retenues pour développer les
compétences nécessaires à l’audit en milieu informatisé.
32 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
L’auditeur financier doit veiller à avoir un niveau minimum de formation pour qu’ils soient en
mesure d’intégrer un environnement informatisé.
La perception des choses et les questions posées par chacun des membres sont généralement
très profitables à l’équipe. De même la revue macroscopie des domaines couverts par
l’informatique sera plus bénéfique si elle est réalisée en commun par cette équipe mixte, plutôt
que par l’un ou l’autre des intervenants.
Dans ce cas, l’auditeur doit prendre en compte à certaines règles détaillées ci-après :
20
La norme internationale d’audit N°620 : « Utilisation des travaux d’un expert désigné par l’auditeur », IFAC.
33 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
En règle générale, il vaut mieux faire appel à un spécialiste indépendant de l’entité auditée et
par conséquent plus objectif mais, si les circonstances l’exigent, on peut envisager d’utiliser le
travail d’un membre du personnel de la société auditée, à condition que celui-ci possède la
compétence requise. Dans ce dernier cas, il est plus judicieux de mettre en œuvre des procédures
plus approfondies pour vérifier les hypothèses, les méthodes ou les conclusions du spécialiste
employé par la société.
Ceci englobe l’assurance que les travaux du spécialiste constituent des éléments probants
appropriés au regard de l’information financière et ce, en examinant l’adéquation de la
démarche suivie et la suffisance, la pertinence et la fiabilité des données utilisées pour aboutir
aux conclusions formulés.
Référence à l’expert désigné par l’auditeur dans le rapport d’audit : lorsque l’auditeur émet
une opinion pure et simple, il doit éviter de faire allusion dans son rapport de l’intervention du
spécialiste car elle peut être interprétée comme une réserve ou comme un partage de
34 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Les travaux consistent à évaluer les risques en tenant compte de l’identification des risques
potentiels et du système de contrôle interne mis en place par l’entreprise, et à en compléter la
35 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
nature et l’étendue des contrôles à mener, afin de maintenir le risque d’audit à un niveau faible
acceptable.
Incidence de l’environnement informatique sur le risque lié au contrôle : elle est appréciée à
travers l’étude des processus et des applications nécessaires pour l’établissement des comptes
de l’entreprise.
La fiabilité des contrôles mis en place par l’entreprise permet d’alléger les contrôles sur les
comptes en apportant une assurance suffisante sur la fiabilité des données.
Conclusion
Il existe un nombre important de risques dont les conséquences s’appliquent à des domaines
très différents dans l’entreprise : les métiers et les relations avec les parties prenantes.
Les risques liés à l’informatique sont ceux qui surviennent lors du passage à l’informatique
ainsi que ceux à gérer tout au long de la vie de l’entreprise. Ils ne sont pas circonscrits au seul
périmètre des systèmes d’information et sont transversaux puisque l’informatique est au cœur
de la chaine de valeur de l’entreprise.
Pour faire face aux risques liés à l’informatique, l’entreprise est tenue de mettre en œuvre des
procédures de contrôle adéquates afin de remédier ces risques. Le référentiel CobiT se
positionne parmi les référentiels de la gouvernance des systèmes d’informations.
36 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Les dirigeants ont de plus en plus conscience de l'impact significatif de l'information sur le
succès de l'entreprise. Ils s'attendent à ce que l'on comprenne de mieux en mieux comment sont
utilisées les technologies de l'information et la probabilité qu'elles contribuent avec succès à
donner un avantage concurrentiel à l'entreprise.
Les Objectifs de Contrôle de l’Information et des Technologies Associées (CobiT) aident à faire
face aux multiples besoins du management en établissant des liens entre les risques métiers, les
besoins de contrôle et les questions techniques.
Le CobiT est un outil puissant qui a été conçu pour œuvrer dans ce sens. Dans cette section,
nous mettons l’accent sur l’historique de l’apparence du référentiel CobiT, ainsi que son apport
en matière de la gouvernance des IT dans sa nouvelle version cinq.
Dans ses premières versions, publiées à partir de 1996, CobiT se positionne comme un
référentiel de contrôle dont l’objectif est d’aider les entreprises à évaluer et à améliorer leur
système de contrôle interne22.
21
Monique Garsoux « CobiT-une expérience pratique » la revue n°78- Mars 2005, p.1
22
MOISAND DOMINIQUE, GARNIER DE LABAEYRE « CobiT - Pour une meilleure gouvernance des
systèmes d'information », 2ème édition, p.3
37 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
En 1998, l’ITGI a été créé sur l’initiative de l’ISACA, en réponse à la place de plus en plus
importante occupée par les technologies de l’information. En effet, dans la plupart des
organisations ou des entreprises, l’un des principaux facteurs de succès réside dans la capacité
des systèmes d’information à apporter à la fois la différenciation stratégique et le support des
activités. Dans un tel contexte, la « gouvernance » des systèmes d’information devient aussi
critique que la gouvernance d’entreprise.
Depuis une dizaine d’années, l’ITGI a mené de nombreuses recherches au travers de groupes
de travail répartis dans le monde entier. Le résultat de ces recherches a notamment donné lieu
en 2000 à la publication de la version trois du référentiel CobiT proposant, parallèlement à un
« guide d’audit », un « guide de management » préfigurant les versions ultérieures.
23
ISACA : « CobiT 5 », p.17
38 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Ainsi, CobiT 5 couvre l’entreprise dans son ensemble et fournit une base pour intégrer d’autres
référentiels, normes et pratiques dans un référentiel unique.
CobiT prend en compte les besoins des métiers, et plus généralement des parties prenantes.
Le référentiel CobiT est une proposition qui pourra être revue pour s’adapter à la cartographie
propre de l’organisation considérée. Il s’attache aux cinq axes :
- L’alignement stratégique ;
24
AFAI : « CobiT 4.1 », p.5
39 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
- L’apport de valeur ;
- La gestion des ressources ;
- La gestion des risques ;
- La mesure de la performance.
L’apport de valeur : l’informatique doit également pouvoir apporter un gain identifiable dans
la bonne exécution des processus. L’apport de valeur se concrétise par la maîtrise des processus
de fonctionnement en termes d’efficacité et d’efficience.
La gestion des ressources : les ressources pour mesurer l’activité informatique doivent être
optimales pour répondre aux exigences.
Les ressources technologiques font partie du périmètre et donneront lieu à un plan
d’infrastructure. Celui-ci traitera des orientations technologiques, des acquisitions, des
standards et des migrations. Dans ce cas, la responsabilité du métier consiste à exprimer ses
besoins.
La gestion des risques : l’activité cœur de métier de l’entreprise peut être mise en péril en cas
d’arrêt ou de dysfonctionnement de ses systèmes informatiques, car la dépendance des
processus métier envers l’informatique est totale. La gestion des risques informatiques ou des
systèmes d’information correspond à un référentiel qui comprend une analyse de risque et un
plan de traitement des risques associé. Ce plan de traitement des risques doit être établi selon
des critères de tolérance par rapport au préjudice financier lié à la réalisation des risques.
La mesure de la performance : la mesure de la performance répond aux exigences de
transparence et de compréhension des coûts, des bénéfices, des stratégies, des politiques et des
niveaux de services informatiques offerts conformément aux attentes de la gouvernance des
systèmes d’information. CobiT tente de faire le lien entre les objectifs de la gouvernance et les
objectifs à décliner sur les processus ou les activités. Ce faisant, on crée du lien et on donne du
sens aux objectifs de performance des SI comme support aux métiers.
40 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
gestionnaires des opérations des IT et des lignes d’affaires. Le modèle de processus proposé en
est un global et complet, mais il ne s’agit pas du seul modèle de processus possible. Chaque
entreprise doit définir son propre ensemble de processus en tenant compte de sa situation
particulière.
L’intégration d’un modèle opérationnel et d’un langage commun pour toutes les parties de
l’entreprise participant aux activités des IT est l’une des étapes les plus importantes et critiques
menant à une bonne gouvernance. Elle fournit également un référentiel pour évaluer et
surveiller la performance des IT, auditer les IT, communiquer avec les fournisseurs de services
et intégrer des meilleures pratiques de gestion.
CobiT 5 préconise que les organisations mettent en œuvre des processus de gouvernance et de
management de façon à couvrir les domaines clés comme indiqué.
Besoins d’affaires
Gouvernance Evaluer
Gestion
But : fournir une approche cohérente intégrée et alignée avec l’approche de gouvernance de
l’entreprise. Assurer que les décisions concernant l'informatique sont prises en lien avec les
stratégies et les objectifs de l’entreprise
But : Garantir une production de valeur optimale par les initiatives, services et actifs
informatiques, une fourniture de solutions et de services rentables, une présentation fiable et
précise des coûts et gains probables de sorte que les besoins métiers soient pris en charge de
manière efficace.
25
CobiT 5, figure 16
42 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Description : assurer que l'appétence et la tolérance aux risques de l'entreprise est compris,
cohérent et communiqué et que ces risques associés à l'informatique impactant la production de
valeur sont identifiés et gérés.
But : s’assurer que les risques d’entreprise liés à l'informatique ne dépassent pas l’appétence et
la tolérance au risque, que l’impact des risques liés à l'informatique sur la valeur de l’entreprise
est connu et géré, et que les risques de non-conformité sont minimisés.
But : veiller à ce que les besoins en ressources de l’entreprise soient satisfaits de manière
optimale, que les coûts informatiques soient optimisés et qu’il y ait une augmentation de la
probabilité de réalisation de bénéfices ainsi qu’une plus grande aptitude au changement.
But : s’assurer que la communication aux parties prenantes est efficace et faite au moment
opportun, que la structure est établie pour accroître la performance, pour identifier les axes
d'amélioration et pour confirmer que les objectifs et les stratégies liées à l'informatique sont en
ligne avec la stratégie d’entreprise.
43 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
But : fournir une approche de gestion cohérente pour permettre l’atteinte des exigences de
gouvernance de l’entreprise, couvrant les processus de gestion, les structures
organisationnelles, les rôles et les responsabilités, les activités fiables et reproductibles, ainsi
que les compétences et les aptitudes.
But : aligner les plans stratégiques informatiques aux objectifs métiers. Communiquer
clairement les objectifs et les responsabilités associées afin qu’elles soient comprises par tous,
en identifiant les options informatiques stratégiques, en les structurant et en les intégrant aux
plans métiers.
But : représenter les différentes entités constitutives de l'architecture de l’entreprise ainsi que
leurs interrelations, les principes directeurs de leur conception, de leur évolution au fil du temps,
44 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
et de ce qui permet une réponse standard, adaptée et efficace des objectifs opérationnels et
stratégiques.
45 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
But : favoriser le partenariat entre les parties prenantes de l'informatique et de l’entreprise afin
de permettre une utilisation efficace des ressources informatiques et d’assurer la transparence
et la responsabilisation en matière de coûts et de valeur des solutions et des services. Permettre
à l’entreprise de prendre des décisions éclairées quant à l’utilisation de solutions et de services
informatiques.
But : optimiser les capacités des ressources humaines pour atteindre les objectifs d’entreprise.
But : générer des résultats attendus améliorés et une confiance accrue en l'informatique, rendre
plus efficace l'utilisation de ses ressources.
But : s’assurer que les services et les niveaux de services répondent aux besoins actuels et futurs
de l’entreprise.
46 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
But : minimiser les risques liés aux fournisseurs non productifs et assurer des prix
concurrentiels.
But : assurer une livraison appropriée des solutions et des services pour répondre aux exigences
de qualité de l’entreprise et satisfaire les besoins des parties prenantes.
But : intégrer la gestion des risques informatiques dans la gestion globale des risques de
l’entreprise, puis équilibrer les coûts et gains de cette gestion de risques.
But : maintenir l’impact et l’occurrence des incidents de sécurité de l’information dans les
limites de l’appétit de l’entreprise pour le risque
47 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
But : réaliser des gains métiers et réduire les risques (de retards, de surcoûts et de dépréciation
inattendus) par l’amélioration de la communication, de l'implication des métiers et des
utilisateurs, par la garantie de la valeur et de la qualité des livrables du projet et par
l'optimisation de leur contribution au portefeuille d’investissement et de services.
But : créer des solutions optimales réalistes qui répondent aux besoins de l’entreprise tout en
minimisant les risques.
But : mettre en place des solutions en temps et en heure permettant de soutenir les objectifs
stratégiques et opérationnels de l’entreprise.
But : maintenir la disponibilité de service, une gestion efficace des ressources et l’optimisation
de la performance du système par la prévision des futurs besoins en capacité et en performance.
48 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
But : préparer et engager les parties prenantes dans les changements métiers et réduire le risque
d'échec.
But : mettre en œuvre des solutions de façon sécuritaire et en lien avec les attentes partagées et
résultats attendus.
But : fournir les connaissances requises pour soutenir le personnel dans ses activités courantes,
pour faciliter ses prises de décisions et pour augmenter sa productivité.
49 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
souscrit, que leur utilisation ou stock est conforme à l'usage métier et que les licences installées
le sont en conformité avec les contrats.
But : considérer tous les actifs informatiques et optimiser la valeur générée par ces actifs.
But : fournir suffisamment d'information sur les actifs de service pour permettre une gestion
efficace du service, pour permettre d'évaluer les impacts des changements et faire face aux
incidents liés au service.
But : améliorer la productivité et réduire les interruptions de service par un traitement rapide
des demandes et déclarations d'incident faites par les utilisateurs.
50 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
But : améliorer la disponibilité et les niveaux de service, réduire les coûts et améliorer la
satisfaction des clients en réduisant le nombre de problèmes opérationnels.
But : minimiser l'impact sur les activités métiers des vulnérabilités et des incidents liés à la
sécurité de l'information opérationnelle.
But : maintenir l'intégrité de l'information et la sécurité des actifs informationnels traités dans
le cadre des processus métiers internes ou externes.
51 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
But : garantir la transparence du système de contrôle interne pour les parties prenantes clés,
assurant ainsi la confiance quant à sa pertinence et dans les opérations et la réalisation des
objectifs de l'entreprise, et une compréhension adéquate du risque résiduel.
But : s'assurer que l'entreprise est en conformité avec toutes les exigences externes applicables.
Le référentiel CobiT apporte deux éléments importants : d’une part, une structure partagée
entre les intervenants, d’autre part, un quadrillage, parfois trop systématique.
Cette structure permet à l’auditeur des états financiers dans un milieu informatisé de tester
le système d’information et de l’exploiter comme une check-list afin de préparer leurs
propres outils.
L’auditeur doit construire un référentiel d’audit qui établira une transparence totale entre
la mission confiée et les investigations à mener.
CobiT est utilisé comme une base solide de points de contrôle, il permet de sélectionner
les processus critiques et de les évaluer.
Les objectifs de contrôle de CobiT constituent une excellente base pour préparer un
52 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
référentiel d’audit. Il suffit ensuite, au cas par cas, de les étoffer de tests détaillés en
fonction de la spécificité du périmètre à auditer.
La notion de valeur liée à un objectif de contrôle est tout à fait intéressante puisqu’elle
étend le périmètre du contrôle, en incluant non seulement la maîtrise des risques, mais aussi
la création de valeur.
Ce référentiel peut être enrichi pour prendre en compte des aspects techniques pointus.
Les entreprises ont l’obligation de rendre compte des procédures de contrôle interne et, à
ce titre, le système d’information est concerné à trois niveaux :
CobiT reprend les éléments du contrôle interne de COSO en les intégrant dans les processus
conformément à l'esprit d'intégration du contrôle interne.
La maîtrise des systèmes d'information dans les organisations n'a de sens que si les
organisations sont maîtrisées. C'est précisément le but du contrôle interne mis en œuvre
par la direction générale, la hiérarchie, le personnel d'une entreprise et destiné à fournir une
assurance raisonnable quant à la réalisation d'objectifs concernant :
53 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Les entreprises qui cherchent à optimiser leur démarche de progrès vers une bonne
gouvernance de leur SI peuvent utiliser CobiT, qui répond à cette problématique en
utilisant une méthodologie visant à linéariser la trajectoire d’amélioration et à générer des
gains rapides en matière de gouvernance.
3.4- la sécurité
Jusqu’à un passé récent, la sécurité s’est limitée à la protection des systèmes informatiques
concernés par le stockage et le traitement des informations plutôt que de la protection de
l’information elle-même. Avec CobiT, la sécurité devient l’une des composantes de la
gouvernance en proposant des bonnes pratiques de gouvernance de la sécurité de
l’information. Cette dernière rejoint ainsi l’univers de la gestion des risques.
26
Systèmes de management de la qualité
54 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
- la mesure pour s’assurer que les objectifs de sécurité sont bien atteints ;
Même si CobiT est à l’origine un référentiel issu du monde du contrôle interne, il n’a pas
pour vocation de servir de référentiel de certification selon une approche de conformité à
des exigences réglementaires ou contractuelles.
CobiT ne propose pas de modèle de maturité étagé pour une évaluation de la direction des
systèmes d’information. Ainsi, aucun ordre de priorité de mise en œuvre des processus
n’est proposé.
CobiT ne propose pas non plus un enchaînement des activités propres à modéliser les
processus de maîtrise des SI de l’entreprise.
CobiT ne va pas régler la question de la bonne communication entre la DSI et les parties
prenantes.
Enfin, CobiT n’est pas un outil de conduite du changement miraculeux qui diffuserait une
55 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
En revanche, son déploiement peut aider le management à mener une action de changement
simultanément.
56 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Dans ce contexte, nous avons essayé de présenter les impacts de la nouvelle technologie
d’information sur la fiabilité de l’information financière ainsi que sur la démarche d’audit
adaptée par l’auditeur financier lors de la vérification des états financiers.
Nous avons présenté le référentiel CobiT version 5 comme étant un outil qui peut utiliser
l’auditeur pour dégager les risques potentiels engendrés par le système d’information.
57 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
58 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
59 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
L’absence des normes tunisiennes qui traitent cette problématique, nous amène à présenter une
étude comparative des normalisations internationales.
En second chapitre, nous présenterons la démarche d’audit dans un milieu informatisé dès la
phase de prise de connaissance jusqu’à la clôture des travaux de la mission.
L’auditeur financier doit tenir compte, dans son approche d’audit des états financiers, des
risques particuliers qu’entraîne l’informatisation des traitements. Les organismes
internationaux de tutelle de la profession comptable ont émis des normes en ce sens.
Nous examinerons successivement :
- les normes françaises ;
- les normes américaines ;
- les normes préconisées par l’IFAC.
27
Arrêté du 27/04/82 modifié par l’arrêté du 9/12/86
60 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
- des états périodiques numérotés et datés récapitulant dans un ordre chronologique toutes
les données qui y sont entrées, sous une forme interdisant toute insertion intercalaire
ainsi que toute suppression ou addition ultérieure.
Le décret du 29 novembre 1983 relatif au code du commerce contient des dispositions visant
les systèmes informatisés.
La loi du 3 juillet 1985 relative aux protections des logiciels sert à la protection du droit
d’auteur.
La loi du 5 janvier 1988 relative à la fraude informatique interdit :
- l’accès ou le maintien non autorisé dans tout ou partie d’un système d’information ;
- d’entraver ou de fausser le fonctionnement d’un système d’information ;
- d’introduire ou de modifier des données ou leur code de traitement ou de transmission ;
- de falsifier des documents informatisés ;
- de faire usage de documents informatisés falsifiés.
Le code général des impôts prévoit que si la comptabilité est établie au moyen de systèmes
informatisés, le contrôle s’étend à la documentation relative aux analyses, à la programmation
et à l’exécution des traitements afin de s’assurer de la fiabilité des procédures de traitement
automatisé de la comptabilité.
28
Ordre des experts comptables France
61 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
62 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
29
CNCC : « prise en compte de l’environnement informatique et incidence sur la démarche d’audit », édition avril
2003.
63 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Un paragraphe spécifique des commentaires de cette première norme est consacré aux risques
généraux résultant de l’insuffisance ou de l’absence de sensibilisation de la direction de
l’entreprise pour les questions financières, comptables et administratives.
Enfin, en ce qui concerne l’identification des systèmes comptables significatifs, il est clairement
indiqué dans les commentaires que le commissaire aux comptes devra déterminer s’il lui paraît
souhaitable de faire appel à un spécialiste, dans le cas où les traitements sont informatisés, pour
procéder à la revue spécifique de certaines applications.
Appréciation du contrôle interne : dans cette seconde étape, le commissaire aux comptes
procède à une revue et à une évaluation qualitative des procédures de traitement et de contrôle
interne de l’entreprise pour établir un programme de révision des comptes annuels approprié.
Les commentaires de cette norme accordent une large place à la revue des systèmes de
traitement informatisés de l’information puisqu’un paragraphe spécifique lui est entièrement
consacré.
64 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
davantage sur des problèmes techniques spécifiques que sur des principes généraux ou
théoriques30.
En 1959, le CAP été remplacé par l’Accounting Principles Board (APB) qui est aussi une
émanation de l’AICPA mais avec une représentation plus large : les membres de l’APB
provenaient non seulement de la profession comptable mais aussi de l’industrie, de la
communauté financière, des universités et du gouvernement. L’APB publie 31 opinions et
quatre statements. Les premières constituent de véritables normes ayant force obligatoire, alors
que les secondes ne sont que des recommandations.
Créé en 1973, le FASB est un organisme privé chargé de l’élaboration des principes comptables
généralement admis connus sous l’appellation de l’US GAAP (Generally Accepted Accounting
Principles). Le FASB succède à l’Accounting Principles Board (1959-1973).
Le pouvoir de réglementation appartient légalement à la SEC. Elle élabore parfois une norme
sous la forme d’un Accounting Series Release. Toutefois, ses interventions sont rares, la SEC
déléguant généralement au FASB le pouvoir de définir les principes comptables généralement
admis. Le FASB est aujourd’hui l’organisme de normalisation comptable aux Etats-Unis ; il a
émis plus de 100 normes et a créé un cadre conceptuel.
Le FASB émet deux catégories de textes :
- les Statements of Financial Accounting Concepts (SFAC) qui énoncent les concepts
fondamentaux sur lesquels reposent les normes d’établissement et de présentation des
comptes.
- les Statements of Financial Accounting Standards (SFAS) qui définissent les principes
et règles comptables applicables à la préparation et à la présentation des comptes, et qui
sont considérés comme des GAAP.
30
AHMED RIAHI-BELKAOUI « Eléments de théorie comptable »
65 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Ce SAS a été remplacé en 1984 par le SAS 4831 qui traite des effets des traitements informatisés
sur l’examen des états financiers. Ce « statements » reprend pour les intégrer dans les autres «
statements », les mêmes obligations que celles qui s’imposent à un auditeur financier français.
Il est indiqué que lors de la phase de planification de son intervention, l’auditeur doit prêter
attention à :
- l’étendue de l’utilisation de l’informatique pour chaque application comptable
significative ;
- à la complexité des travaux informatisés, y compris ceux pouvant être effectués par un
centre de traitement extérieur ;
- à l’organisation générale des activités informatiques ;
- à la disponibilité des données ;
- à l’utilisation possible de techniques de contrôles assistées par ordinateur.
- il est également précisé qu’il peut utiliser les compétences d’un spécialiste extérieur,
mais que la responsabilité qu’il a vis-à-vis des travaux de ce dernier est la même que
pour ceux effectués par ses propres collaborateurs.
En ce qui concerne l’étude et l’évaluation du contrôle interne, le « statement » rappelle tout
d’abord quelles sont les caractéristiques propres à l’informatique qui sont susceptibles d’avoir
un effet sur le système de contrôle interne comptable de l’entreprise, puis précise que l’objectif
d’un système de contrôle interne comptable reste inchangé en cas de traitement .
Le « statement » rappelle également l’importance de la séparation des tâches dans un
environnement informatisé et indique qu’il semble plus efficace de procéder à une revue des
contrôles informatiques généraux avant une revue des contrôles d’applications. Il décrit ensuite
la nature des tests qu’il est envisageable d’effectuer dans un environnement informatisé par
recoupements et utilisation de techniques d’audit assistées par ordinateur.
En ce qui concerne la séparation des tâches incompatibles, le « statement » précise que celle-ci
doit s’apprécier non seulement au niveau du département informatique, mais aussi entre ce
département et les services utilisateurs chargés des autres travaux de contrôle, et qu’il doit
exister par ailleurs, des procédures de restrictions d’accès aux programmes et aux données.
31
AICPA, SAS n°48, New York, 1983.
66 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
L’utilisation de systèmes informatiques a une incidence sur la manière dont les activités de
contrôle sont mises en application. L’auditeur détermine si l’entité a répondu de manière
32
CNCC : « Focus IFRS », historique de l’IASB
33
IFAC, ISA 315 « Compréhension de l’entité et de son environnement aux fins de l’identification et de
l’évaluation des risques d’anomalies significatives ».
67 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
adéquate aux risques résultant du système informatique en mettant en place des contrôles
généraux efficaces relatifs à ce système et aux applications.
L’analyse comparée des textes des différentes structures fait apparaître des lignes directrices
générales et des points essentiels dans la conduite de la révision. Quatre points nous semblent
devoir être soulignés :
Outre les spécificités et les particularités du système comptable, les procédures de contrôle
interne dans un milieu informatisé deviennent de plus en plus compliquées. Pour cela, l’auditeur
financier doit évaluer et identifier les risques liés aux systèmes d’informations à partir de :
C’est à l’aide du référentiel CobiT version 5 que l’auditeur financier peut mettre en place des
diligences adéquates lui permettant d’identifier et évaluer les risques liés au système
d’information d’une entité.
Nous essayerons de proposer une démarche d’audit dans un milieu informatisé qui traite
notamment : la planification de la mission d’audit, l’évaluation des risques et les tests de
validation en se basant sur le référentiel CobiT 5.
68 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Les questions que l’auditeur prend en compte pour élaborer un plan d’audit concernent :
Pour avoir une connaissance assez suffisante de l’entité, l’auditeur doit prendre en considération
l’environnement informatique de l’entité.
Les sources d’information qui peuvent utiliser l’auditeur afin d’évaluer les risques relatives à
l’environnement de l’entité sont notamment :
34
CNCC : « prise en compte de l’environnement informatique et incidence sur la démarche d’audit », édition avril
2003.
35
AJECT : « Manuel d’audit », édition 2015, p.5
69 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
L’auditeur doit s’assurer que les collaborateurs assignés à une mission d’audit connaissent
suffisamment les activités de l’entité pour accomplir correctement le travail qui leur est confié.
Le manque d’expérience dans un secteur d’activité particulier peut rendre l’exécution de la
mission très difficile. L’auditeur s’assure que ses propres compétences, ou celles de ses
collaborateurs ou associés, sont suffisantes pour exécuter la mission avec tout le soin nécessaire
ou envisage le cas échéant le recrutement ou l’aide d’un spécialiste.
Au niveau de cette phase, l’auditeur peut utiliser les processus de la gouvernance des IT du
référentiel CobiT 5.
70 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Les vigilances que l’auditeur peut conclure au niveau de ce processus sont les suivantes :
36
IFAC, ISA 500 : « Eléments probants »
71 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Un privilège est, en particulier, donné à l’application des procédures analytiques pour mettre
en évidence les zones de risques critiques qui demandent à être soigneusement considérées et
requièrent des jugements motivés.
C’est une technique qui permet, lors de la prise de connaissance, d’identifier les flux financiers
significatifs, les variations anormales et les tendances, éléments essentiels pour orienter la
mission.
L’examen analytique peut aider l’auditeur à mieux connaître l’entreprise et à identifier les
domaines de risque potentiel, contribuant ainsi à une meilleure planification de la mission.
- Les types de transactions qui ont ou peuvent avoir un impact significatif sur les comptes
en raison de leur poids relatif et/ou de leur nature. C’est en fonction de cette analyse
préalable que l’auditeur pourra planifier sa mission et déterminer la nature et l’étendue
de ses travaux pour chacun des éléments ainsi identifiés ;
- Les événements propres à chaque exercice qui nécessitent une mise à jour de sa
planification et une modification de son programme de travail.
L’examen analytique des derniers comptes annuels disponibles, des budgets ou comptes
intermédiaires établis par l’entreprise, permet à l’auditeur de38 :
- Comprendre les inter- relations qui existent entre les différents éléments constitutifs des
comptes annuels et de déceler les variations qui peuvent être révélatrices de
modifications de structures, d’événements ponctuels spécifiques à chaque exercice,….
- Définir les ratios qui semblent les plus révélateurs de l’évolution de l’entreprise et de
s’assurer que les éléments nécessaires à l’explication de leur variations seront
disponibles. L’auditeur peut à ce stade utilement s’appuyer sur les statistiques du secteur
économique auquel appartient l’entreprise : cela lui permet de mieux comprendre les
éléments qui servent de mesure dans ce secteur et de situer l’entreprise considérée par
rapport à ses concurrents.
37
IFAC, ISA 520 : « Procédures analytiques »
38
AJECT : « Manuel d’audit », édition 2015, p.8
72 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
L’auditeur doit avoir une vue globale de la circulation des données tout au long de la chaîne des
traitements, allant de la saisie initiale des données jusqu'à leur archivage final, en passant par
leurs modifications et leurs mises à jour, leurs stockages, leurs éditions.
Cette vue globale a pour objectif d'identifier l'ensemble des bases de données mises en œuvre,
et les opérations qui sont faites pour transférer les données d'une base à l'autre.
Afin d’avoir une vue globale sur le système d’information, l’auditeur doit identifier :
1.3.1- Identification des processus métiers et des flux de traitement des données
Les états financiers d’une entreprise sont le résultat de la consolidation de plusieurs activités
que l’on peut regrouper en processus et qui peuvent être très différents les uns des autres.
Potentiellement, certaines faiblesses de ces processus peuvent remettre en cause la fiabilité des
états financiers. C’est pourquoi une identification minutieuse des processus métiers et des flux
de traitement des données est indispensable pour pouvoir évaluer les risques au sein de chaque
processus.
39
CHAI : « Guide d’audit des systèmes d’information », Version 1.0, Juin 2014
73 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
L’objectif de cette étape est d’identifier les processus métiers significatifs qui ont une influence
directe sur le flux de traitement comptable. Il s’agit du processus de comptabilité en tant que
tel, de processus métiers complexes tels que la facturation et les processus de support.
L’auditeur doit identifier les processus qui influent les transactions comptables. Les processus
peuvent judicieusement être représentés sous forme de cartographie de processus.
L’auditeur peut s’appuyer sur la documentation des processus existants auprès de l’entreprise.
La documentation se concentre généralement sur les activités et précise, pour chaque étape de
processus, les entrées, les traitements et résultats ainsi que les rôles des différents acteurs.
Toutefois, ce type de documentation contient rarement les risques de processus ou les contrôles
clés, ceux-ci doivent donc être identifiés et documentés par l’auditeur dans une phase ultérieure
des travaux liés aux contrôles des applications.
L’auditeur doit acquérir une connaissance approfondie des processus sélectionnés. Il convient,
à cet égard, de distinguer les processus métier (par ex. processus de vente) et les processus
financiers parfois très ponctuels (par ex. consolidation des chiffres trimestriels d’une succursale
ou calcul de l’amortissement annuel d’une immobilisation). Ces deux catégories de processus
comportent des risques susceptibles de se matérialiser dans les états financiers.
Une description trop générale rend difficile l’identification des risques. Il est parfois utile de
subdiviser le processus en plusieurs sous-processus selon leur complexité.
74 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
L’auditeur ne doit pas s’arrêter uniquement sur les données électroniques mais il doit prendre
également en compte les flux de documents (par ex. rapport sur l’évaluation des stocks) et les
interfaces manuelles.
De nombreux contrôles sont automatisés et intégrés dans les applications IT. De plus,
l’automatisation des étapes de processus présente des risques supplémentaires. Il peut s’agir par
exemple de la difficulté de mettre en œuvre une séparation adéquate des fonctions, mais
également d’une impossibilité de contrôle humain compte tenu du niveau élevé d’intégration et
40
ISACA, AFAI : « Guide d’audit des applications informatiques », Novembre 2008
75 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Il est donc utile d’identifier à temps les applications impliquées, leurs caractéristiques et leurs
interfaces.
Une représentation des applications impliquées n’est pas toujours adéquate avec le flux des
données. En particulier avec les applications fortement intégrées (par ex. Enterprise Resource
Planning Systems : ERP), plusieurs processus métiers sont pris en charge par une seule et même
application.
Les différents types d’applications et leurs caractéristiques ont un impact sur la planification et
la réalisation de l’audit compte tenu de leurs profils de risque très différents. On trouve trois
types d’applications :
- application standard ;
- application standard fortement adaptée ;
- développement interne
a. Applications standard
Les applications standard au bénéfice d’une certaine maturité présentent généralement une
multitude de contrôles intégrés pertinents. Le tableau ci-après montre quelques contrôles de
base destinés à assurer l’intégrité des transactions traitées :
76 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Une application standard peut disposer Ces fonctionnalités offrent (ou impliquent) les contrôles
les fonctionnalités suivantes suivants
Datation automatique des opérations et Protection de l’accès aux paramètres de la date système
des transactions par le système
Cryptage du mot de passe
Les applications standard fortement adaptées sont des progiciels dont le but principal est de
mettre à disposition des fonctionnalités de base et des outils de création de processus et de
workflows, et dont la paramétrisation permet la mise en place de solutions spécifiques qui
répondent aux besoins de l’entreprise41. L’auditeur est ici confronté à un grand défi dans la
mesure où, même s’il dispose d’informations sur la fiabilité des composants des applications et
systèmes éprouvés, il n’en a pas sur l’interaction de ces composants avec les éventuelles
configurations et programmations supplémentaires dans l’environnement spécifique du client.
41
ISACA, AFAI : « Guide d’audit des applications informatiques », Novembre 2008
77 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
En pareilles situations, l’auditeur devra prévoir davantage de temps pour l’identification des
risques et l’évaluation des contrôles pertinents. Plus une application standard a été adaptée aux
exigences spécifiques d’une entreprise, plus l’analyse des paramètres, de la gestion du
workflow et des adaptations techniques des programmes est importante.
c. Développements internes
Dans le cas de développements internes, l’auditeur n’est pas en mesure de s’appuyer sur les
informations et les expériences généralement connues et doit adapter sa procédure d’audit à
l’application concernée. Les applications développées en interne exigent généralement un
travail de vérification plus important. En pareilles situations, la collaboration entre l’auditeur,
le responsable de l’application et, le cas échéant, le développeur de l’application revêt une
grande importance.
L’évaluation des risques est une étape qui a pour objet d’appréhender au mieux les incertitudes
qui concernent une activité qui peuvent provenir des facteurs internes ou externes alors que
l’impact peut être financier ou matériel.
L’évaluation des risques n’est pas seulement influencée par les seules applications
informatiques. En effet, l’incidence de l’environnement informatique sur le risque inhérent et
le risque lié au contrôle ne peut être appréciée sans prendre en compte la notion de flux
d’information ou processus.
La nature des risques dans un environnement informatique est liée aux spécificités suivantes :
- l'utilisation d’un SI entraîne généralement des risques inhérents élevés qui peuvent
provenir de la multiplicité des systèmes en intégration ou de la multiplicité des
utilisateurs.
- Le manque de trace matérielle justifiant les opérations qui entraine un risque important
du non détection des erreurs contenues dans les programmes d’application ou les
logiciels d’applications.
- La séparation insuffisante des tâches qui résulte souvent de la centralisation des
contrôles
- Le risque d'erreur et d'irrégularité qui peut provenir d'erreurs humaines dans la
conception, la maintenance et la mise en œuvre plus importante que dans un système
78 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
manuel, aussi il peut provenir d'utilisateurs non autorisés qui acceptent, modifient,
suppriment des données sans trace visible.
Après avoir une connaissance de l’activité de l’entité et de son système d’information,
l’auditeur doit recourir à son jugement professionnel pour évaluer le risque d’audit et définir
des procédures d’audit visant à le réduire à un niveau acceptable faible.
Le risque d’audit est que l’auditeur exprime une opinion incorrecte du fait d’erreurs
significatives contenues dans les états financiers. La détermination de ce risque dépend
essentiellement du risque inhérent et le risque lié au contrôle42.
Pour évaluer le risque inhérent, l’auditeur se fie à son jugement professionnel pour évaluer de
nombreux facteurs tel que :
- Les caractéristiques de la direction,
- La nature des activités de l’entité,
- Les facteurs influençant le secteur d’activité,
- La complexité des transactions sous-jacentes et d’autres événements qui nécessitent
l’intervention d’un expert,
- Le degré de jugement intervenant dans la détermination des soldes des comptes,
- Des opérations non soumises au traitement habituel.
L’auditeur doit procéder à une évaluation préliminaire du risque lié au contrôle, au niveau des
assertions sous-tendant chaque solde de compte ou catégorie de transaction significative et ce
après avoir pris une connaissance sommaire du système comptable et de contrôle interne,
Une évaluation définitive de ce risque doit avoir lieu après l’intervention intérimaire après avoir
évalué de façon définitive le système comptable et de contrôle interne.
Cette appréciation des risques guide l’auditeur dans le choix de l’approche d’audit à suivre et
dans la fixation de l’étendue de ses travaux.
42
SMPC : « Guide pour l’utilisation des Normes Internationales d’Audit dans l’Audit des Petites et Moyennes
Entreprises », février 2008.
79 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
80 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
L’auditeur doit identifier le risque inhérent et le risque lié au contrôle afin d’évaluer les risques
et mettre en œuvre les réponses nécessaires à ces risques.
Lors de l’évaluation de ce risque, l’auditeur doit identifier le risque à l’affaire ainsi que le risque
lié à l’environnement informatique.
2.1.1- Les risques inhérents liés aux affaires du client
43
CNCC : « prise en compte de l’environnement informatique et incidence sur la démarche d’audit », édition avril
2003.
81 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
44
CNCC : « prise en compte de l’environnement informatique et incidence sur la démarche d’audit », édition avril
2003.
82 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
L’auditeur doit :
- Identifier les besoins des parties prenantes, les problématiques informatiques (par
exemple : la dépendance envers l'informatique), appréhender les connaissances et les
capacités de l'entreprise en matière de technologie vis à vis de l’importance réelle et
potentielle de l'informatique pour la stratégie de l’entreprise.
- Identifier les éléments clés de gouvernance nécessaires pour optimiser la valeur ajoutée
de l’utilisation des services informatiques, existants ou nouveaux, des actifs et des
ressources de manière fiable, sécurisée et rentable.
- Évaluer l’efficacité avec laquelle la stratégie de l’entreprise et celle de l'informatique
sont intégrées et alignés sur l’entreprise et sur ses objectifs pour la création de valeur.
- Évaluer dans quelle mesure les rôles, les responsabilités et les instances décisionnelles
actuels font preuve d’efficacité pour garantir la création de valeur à partir des
investissements, des services et des actifs informatiques.
- Examiner dans quelle mesure la gestion des investissements, des services et des actifs
informatiques s’aligne avec la gestion de la valeur de l’entreprise et les pratiques de
gestion financière.
- Évaluer le portefeuille des investissements, des services et des actifs afin de déterminer
le rapport de ces investissements avec les objectifs stratégiques de l’entreprise, la valeur
de l’entreprise (tant financière que non financière), les risques, la cohérence avec les
processus métiers, l’utilité en matière de convivialité, de disponibilité et de réactivité,
l’efficacité en matière de coût et de fiabilité technique.
83 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
L’objectif de ce processus est d’examiner et évaluer les besoins actuels et futurs des parties
prenantes en matière de communication et de reporting, incluant les exigences obligatoires de
reporting et la communication avec les autres parties prenantes.
L’objectif est d’évaluer les mécanismes destinés à assurer l’exactitude, la fiabilité et l’efficacité,
et vérifier que les exigences des différentes parties prenantes sont satisfaites.
84 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
L’incidence de l’environnement informatique sur le risque lié au contrôle est appréciée à travers
l’étude des processus et des applications jouant un rôle significatif direct ou indirect dans la
production des comptes de l’entreprise.
Compte tenu de la complexité des processus et des applications, il est important de se concentrer
sur l’essentiel lors des travaux d’audit. L’identification des risques et des contrôles clés attendus
constitue la base pour un audit efficace.
Les contrôles clés attendus par l’auditeur sont ensuite comparés aux contrôles effectivement
implémentés et la couverture des risques est évaluée.
Au sein des principaux processus et des systèmes impliqués, les risques qui peuvent entraîner
une inexactitude importante dans les états financiers sont identifiés. Le résultat obtenu est un
aperçu des risques susceptibles d’empêcher la réalisation des objectifs du processus. Cette
analyse des risques permet également de définir l’étendue des procédures d’audit.
Les objectifs de contrôle découlent des risques. Un objectif de contrôle est défini comme une
assertion relative au résultat souhaité (but) devant être atteint grâce à l’implémentation du
contrôle46. Les objectifs de contrôle sont donc souvent des risques «inversés», autrement dit, ils
visent la diminution d’un risque donné.
Par la suite, l’auditeur définit les attentes relatives aux contrôles typiques et attendus pour les
risques identifiés. Il convient de subdiviser ces contrôles en «contrôles clés» et autres contrôles.
45
SMPC : « Guide pour l’utilisation des Normes Internationales d’Audit dans l’Audit des Petites et Moyennes
Entreprises », février 2008.
46
ISACA, AFAI : « Guide d’audit des applications informatiques », Novembre 2008
85 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Les contrôles clés, individuels ou combinés entre eux, sont indispensables à une réduction
acceptable des risques. Ils sont donc garants de la fiabilité des résultats du processus et des
données financières. Les contrôles clés constituent «la colonne vertébrale» du système de
contrôle et sont donc des objets de vérification essentiels. Les autres contrôles ont une
pertinence moindre pour l’auditeur.
Les contrôles clés attendus par l’auditeur sont comparés aux contrôles effectivement mis en
place et la couverture des risques est évaluée dans le cadre des contrôles clés existants dans le
processus concerné.
Les questions suivantes sont pertinentes pour le déroulement de l’audit et doivent donc être
documentées :
- le but d’un contrôle clé est-il d’empêcher la survenance d’une erreur ou de la détecter ?
- un contrôle est-il réalisé manuellement ou est-il automatisé dans une application ?
Droits et obligations
Conception
Qu’est- ment des Efficacité
Opérationnelle
Séparation des
des contôles
Exhaustivité
Exactitude
Survenance
contôles
Existence
périodes
Détectif
La partie gauche présente les risques identifiés et leur couverture par les contrôles.
Le centre de cette matrice des risques et des contrôles permet d’indiquer l’assertion des états
financiers concernés par le contrôle clé. Cela garantit la couverture de toutes les exigences par
les contrôles identifiés.
L’identification des contrôles au sein des transactions n’est pas suffisante en soi, il convient
également de considérer les risques et les contrôles inhérents aux paramètres et aux données de
base. Les contrôles typiques sont les contrôles d’accès et les autorisations.
47
GTAG 8 : « Audit des contrôles applicatifs », juillet 2007.
86 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Tous les contrôles importants liés aux applications doivent être pris en compte, autrement dit,
tous les contrôles manuels ou automatiques qui ont une influence directe sur le résultat du
processus. La qualité des contrôles ayant une influence doit être évaluée dans le cadre de
l’appréciation globale de l’audit mais ne fait pas l’objet d’explications plus détaillées.
Si l’auditeur n’a pas l’intention de s’appuyer sur l’efficacité des contrôles, il se contentera d’un
test de cheminement moins détaillé. Il doit garantir que l’auditeur comprend tous les risques
principaux (financiers) pouvant résulter du processus.
Une transaction est sélectionnée par classe de transaction. Son traitement est analysé via le
processus global, en commençant par l’initiation de la transaction et son autorisation, son
enregistrement, son traitement, jusqu’à sa comptabilisation.
87 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Le processus de transaction doit être suivi à partir du fait générateur, puis au travers des
différentes étapes de traitement dans l’application. Lors du déroulement du processus, les
contrôles existants sont vérifiés et la sélection de contrôles clés analysée.
Dans le cadre du test de cheminement, le personnel doit être interrogé sur sa compréhension
des descriptions de fonction et des consignes de contrôle, en particulier en ce qui concerne le
traitement des exceptions dans le processus ou les traitements des erreurs.
a. Diagrammes de flux
Les diagrammes de flux constituent l’une des techniques les plus efficaces utilisées pour
présenter la circulation des transactions, et les applications qui leur sont associées, ainsi que les
contrôles manuels effectués dans un processus de bout- en-bout. Cependant, les diagrammes de
flux ne sont pas toujours pratiques, et une description narrative des processus se révèle parfois
plus adaptée. C’est notamment le cas lorsqu’un auditeur consigne par écrit les domaines, ou un
travail effectué dans l’environnement informatique.
La description narrative constitue une autre technique permettant d’établir la documentation sur
les flux des transactions induits par les processus d’entreprise, ainsi que sur les applications qui
y sont associées. Le mieux est de se servir de ces descriptions comme d’un outil de
documentation pour des processus et des environnements informatiques relativement peu
48
GTAG 8 : « Audit des contrôles applicatifs », juillet 2007.
88 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
complexes. En effet, plus le processus est complexe, plus il est difficile de rédiger une
description narrative qui en reflète correctement et fidèlement la vraie nature. Dans le cas des
processus relativement complexes, l’auditeur doit élaborer un diagramme de flux accompagné
d’une description narrative correspondante dans lesquels les contrôles sont numérotés.
Seule une compréhension approfondie de la conception des contrôles permet de définir une
stratégie d’audit appropriée pour l’évaluation du fonctionnement des contrôles.
Le système de contrôle interne est présumé effectif lorsque les contrôles sont respectés et
donnent une assurance raisonnable que les erreurs ou les abus n’affectent pas de manière
significative les états financiers. Certaines procédures d’audit orientées processus sont conçues
pour attester que la conception des contrôles permet d’identifier, d’éviter et de corriger des
erreurs importantes.
89 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Les procédures d’audit d’évaluation de la conception des contrôles comportent des questions,
des observations, des tests de cheminement, la revue de la documentation principale et
l’évaluation de l’adéquation de contrôles spécifiques.
L’auditeur doit évaluer les contrôles en termes de niveau d’automatisation (manuels, semi-
automatiques, automatiques), d’impact (préventifs, détectifs), de fréquence de contrôle et de
couverture de risque.
Concernant le niveau d’automatisation, les contrôles automatiques sont plus efficaces que les
contrôles manuels car ils ont un fonctionnement continu dans le temps et un coût
d’implémentation unique. De plus, leur efficacité est plus stable tant qu’aucune modification
significative n’est effectuée dans l’application.
Il est communément admis que les contrôles préventifs permettent plus facilement d’atteindre
les objectifs de contrôle que les contrôles détectifs qui visent l’identification d’erreurs en aval
des traitements.
Les contrôles en amont, c’est-à-dire les contrôles préventifs, mais également les contrôles
automatiques représentent un potentiel d’économie considérable ainsi qu’une assurance élevée
au niveau de leur appréciation.
Outre les faiblesses déjà connues, l’analyse des contrôles au niveau de l’entreprise offre un
potentiel considérable d’amélioration de la conception des contrôles. Compte tenu de son
influence globale sur l’ensemble des processus, ce potentiel optimise les différents contrôles du
processus, les complète ou même les remplace. Souvent, en raison des courts délais impartis
pour la mise en place de systèmes de contrôle interne, les objectifs de contrôles sont réalisés de
manière redondante dans le cadre de contrôles de processus et de contrôles au niveau de
l’entreprise. Il y a toutefois lieu de vérifier si les contrôles assurent une réaction immédiate ou
s’ils ne sont en mesure d’apporter une réponse adéquate qu’à moyen terme. D’autres
90 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Dans le cadre de son appréciation de la conception des contrôles, lorsque l’auditeur identifie
des contrôles clés qu’il considère comme inopérants, le système de contrôle à évaluer présente
alors une lacune. Pour la combler, il doit identifier d’autres contrôles clés ou des contrôles
compensatoires et évaluer leur efficacité. Dans ce cas, l’auditeur doit toujours garder à l’esprit
la sélection complète de contrôles clés pour éviter de créer des redondances coûteuses.
Une adaptation de la sélection des contrôles clés s’impose également lorsqu’il apparaît, lors du
test de cheminement ou de l’évaluation de la conception des contrôles, que l’effort pour tester
un contrôle clé est disproportionné.
L’auditeur obtient des éléments probants pour l’évaluation des contrôles par le biais de
procédures d’audit.
Les types des tests que l’auditeur peut les utiliser dans le cadre de l’évaluation des contrôles
sont49 :
49
GTAG 11 : « Elaboration d’un plan d’audit des systèmes d’information », juillet 2008.
91 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Test unique : un contrôle programmé doit en principe être testé une seule fois. Lors du test,
l’auditeur doit vérifier que le contrôle testé fonctionne comme prévu dans l’ensemble des
situations pertinentes possibles.
Test direct : le fonctionnement du contrôle est vérifié sur la base d’un échantillonnage ou par
analyse des données de transactions.
Analyse des données : l’efficacité d’un contrôle est vérifiée au moyen d’une analyse des
données assistée par ordinateur. Dans le cas idéal l’analyse porte sur l’ensemble des données
pertinentes.
Les facteurs suivants peuvent influencer la procédure de contrôle ainsi que le niveau
d’assurance obtenu par l’auditeur :
L’auditeur qualifie le risque d’audit comme élevé lorsque les contrôles ne peuvent éviter,
identifier et corriger une anomalie importante.
92 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
93 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
51
CNCC : « prise en compte de l’environnement informatique et incidence sur la démarche d’audit », guide
d’application, avril 2003, p.191.
52
IFAC, ISA 705 « Expression d’une opinion modifiée dans le rapport de l’auditeur indépendant ».
94 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
L’application de ce principe doit permettre de donner une image la plus objective possible de
cette réalité, en évitant les déformations intentionnelles, les manipulations ou les omissions de
faits significatifs de par l’application des autres critères.
L’objectif est de s’assurer que les montants inscrits aux postes d’immobilisations reflètent
l’intégralité des biens dont l’entreprise est propriétaire et qu’elle utilise et des coûts encourus
pour l’acquisition ou la création de ces biens.
95 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Si des immobilisations importantes sont détenues par des tiers, appliquer la procédure de
confirmation directe.
Vérifier l’existence physique des actifs importants.
Vérifier les titres de propriété de la société en ce qui concerne les terrains et les immeubles et
s’assurer auprès du conservateur des hypothèques ou au moyen d’autres procédures s’ils sont
ou non hypothéqués, ou s’ils ont subi une autre aliénation possible.
Rapprocher les soldes d’ouverture (valeur brute et amortissement) avec les comptes de
l’exercice précédent.
S’assurer que les soldes au fichier des immobilisations correspondent aux totaux inscrits sur
le compte du grand livre.
Vérifier les principales acquisitions de l’exercice physiquement et avec des contrats, procès-
verbaux du Conseil d'administration, des budgets d’investissements et des justificatifs
(commandes, factures, paiements).
S’assurer, concernant les acquisitions, que les frais de transport, droits de douane, frais
d’installation et de montage ainsi que la T.V.A. sur véhicules de tourisme et des logements,
sont immobilisés.
S’assurer, concernant les acquisitions, que les droits d’enregistrement et les commissions ou
la T.V.A sur les équipements autres que les véhicules de tourisme et des logements, ne sont
pas immobilisés.
Vérifier que les acquisitions des immobilisations ont bien été soumises aux droits de mutation
correspondant à leur nature (vérification du domaine respectif de la T.V.A. immobilière et des
droits d’enregistrement).
Vérifier que l’entreprise n’a pas passé en charges des éléments constitutifs du prix de revient
96 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Vérifier l’existence et la propriété des titres par confirmation de l’inscription en compte auprès
de la société émettrice ou de l’intermédiaire habilité.
En faisant ce contrôle s’assurer que les titres sont au nom de la société et ne portent aucune
mention d’aliénation.
97 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
normale de l’entreprise et que toutes les charges et tous les profits relatifs à ces comptes ont
été correctement comptabilisés.
Les listes des contrôles possibles sont :
- Comparer les soldes figurant au bilan avec les montants de l’exercice précédent : lorsque
les postes concernés sont un peu importants, l’explication des variations peut être
suffisante pour atteindre l’objectif recherché.
- Lorsqu’il existe des balances nominatives, les pointer avec les comptes individuels et
vérifier le solde avec le compte collectif.
- Vérifier que les dépôts de garantie et cautionnements correspondent toujours à un
service rendu.
3.1.5- Stocks
L’objectif est de s’assurer que les montants inscrits dans les comptes annuels représentent tous
les produits physiquement identifiables qui appartiennent à l’entreprise, que ces produits sont
évalués au plus bas du prix de revient ou de la valeur réalisable et que les différences constatées
entre l’inventaire permanent d’une part et l’inventaire physique d’autre part, ont été
expliquées.
Les listes des contrôles possibles sont :
Assister à l’inventaire physique périodique et vérifier que les procédures sont correctement
appliquées.
Rapprocher les informations relevées lors de l’inventaire de l’état final des stocks (sondages
ponctuels, exhaustivité de la récapitulation…).
Pour les stocks détenus par des tiers ou pour des tiers : appliquer la procédure de confirmation
directe ou assister aux prises d’inventaire physique.
Pour les travaux en cours, vérifier le stade d’avancement avec les documents permettant de
suivre la production (l’existence physique de ces travaux doit être vérifiée en même temps que
le reste des stocks).
En liaison avec le contrôle des postes clients et fournisseurs, ventes et achats vérifier que :
- les dernières réceptions de l’exercice (achats et retours clients) ;
98 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
c. Valorisation :
Pour les matières et marchandise vérifier les factures avec les coûts d’acquisition utilisés.
Pour les produits semi-ouvrés, en cours ou finis :
- Vérifier que les coûts imputés à la production de l’année correspondent aux charges
comptabilisées (hors effet de sous-activité).
- Si les produits sont valorisés au coût de production réel par produit, vérifier les clefs
de répartition utilisées et refaire le calcul de certains coûts.
- Si les produits sont valorisés à partir de coûts standard, analyser les écarts constatés et
leur réincorporation. S’assurer que la méthode utilisée aboutit à une évaluation des
stocks au coût réel de production.
S’il y a eu changement, calculer l’effet de ce changement sur :
- les résultats de l’exercice
- le montant des stocks inscrits au bilan.
Comparer les stocks aux coûts des marchandises vendues pour les principales catégories de
stocks (déterminer le nombre de jours de vente en stock). Expliquer les variations par rapport
aux périodes précédentes et par rapport à la politique de la société.
Comparer les coûts d’acquisition ou de production des principales catégories de stocks avec
ceux de l’exercice précédent.
Se renseigner pour savoir s’il y a des nantissements ou d’autres engagements sur les stocks.
S’assurer que la couverture d’assurance sur les stocks est suffisante.
S’assurer que les stocks en provenance des sociétés de groupe n’ont pas été achetés et valorisés
à des coûts différents de ceux en vigueur sur le marché.
3.1.6- Ventes-clients
L’objectif est de s’assurer que les produits et charges inscrits au compte de résultat et
provenant des opérations de ventes résultent uniquement de l’enregistrement intégral des
99 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
transactions réalisées dans l’exercice comptable considéré et que les comptes de tiers inscrits
au bilan et provenant des opérations de ventes sont correctement évaluées et bien classés.
Les listes des contrôles possibles sont :
Procéder à une analyse des ratios significatifs et des variations par rapport à l’exercice
précédent.
Passer en revue les balances et analyses de comptes de la société pour :
- Identifier les comptes dont les libellés sont imprécis (ou inexistants) ou toute autre
anomalie apparente ;
- Obtenir les explications nécessaires. Pointer l’ensemble des comptes concernés avec le
grand livre.
Examiner la ventilation du chiffre d’affaires par mois et identifier les variations anormales.
Vérifier que les dernières livraisons de l’exercice sont sorties des stocks et facturées.
Vérifier que les premières livraisons de l’exercice suivant n’ont fait l’objet ni de sorties de
stocks, ni de facturation anticipée.
Vérifier que les premières factures de l’exercice suivant correspondent à des sorties de stocks
sur l’exercice.
Procéder de même avec les avoirs. Passer systématiquement en revue les avoirs émis après la
clôture et obtenir des explications pour les éléments significatifs.
Vérifier que les autres charges calculées en fonction du chiffre d’affaires (ex. : commissions…)
ont été comptabilisées.
Vérifier que les créances exprimées en devises ont été correctement comptabilisées.
Vérifier l’annulation des provisions antérieurement constituées à raison des créances
douteuses encaissées.
Vérifier le bien-fondé de la déductibilité fiscale (ou non) de la provision pour créances
douteuses.
3.1.7- Trésorerie
L’objectif est de s’assurer que la situation de la trésorerie de l’entreprise à la clôture de
l’exercice est reflétée de façon exacte par les montants inscrits au bilan et que les frais et
produits financiers concernant les opérations de trésorerie inscrits au compte de résultat
100 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
3.1.9- Achats-fournisseurs
L’objectif est de s’assurer que les charges et produits inscrits au compte de résultat et
provenant des opérations d’achats résultent uniquement de l’enregistrement intégral des
transactions réalisées dans l’exercice comptable considéré et que les comptes de tiers inscrits
au bilan et provenant des opérations d’achats sont correctement évaluées et bien classifiés.
Les listes des contrôles possibles sont :
Procéder à une analyse des ratios significatifs et des variations par rapport à l’exercice
précédent afin d’identifier les anomalies apparentes.
101 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Vérifier que :
- Les derniers bons de réception de l’exercice ont donné lieu à l’enregistrement de
factures ou de provisions.
- Les derniers bons de retour de l’exercice ont donné lieu à l’enregistrement d’avoir ou
de provisions pour avoirs à recevoir ;
- Les dernières factures et les derniers avoirs comptabilisés correspondant à des
mouvements de l’exercice.
Comparer les montants passés en charges avec les budgets et expliquer les écarts significatifs.
Vérifier la ventilation des fournisseurs entre fournisseurs d’exploitation et fournisseurs
d’immobilisations.
L’objectif est de s’assurer que le capital, les réserves, les subventions et les provisions
réglementées, ainsi que l’affectation des résultats, conformément aux règles et principes
généralement admis et que la loi sur les sociétés et les statuts de la société ont été respectés.
Les listes des contrôles possibles sont :
Vérifier la répartition du capital par catégories d’actions avec les statuts et la réglementation.
Contrôler que les minima légaux ont été respectés en ce qui concerne :
- le montant total du capital,
- le nombre des actionnaires ou des associés.
S’assurer que l’égalité entre les actionnaires a été respectée.
S’assurer de la conformité de l’affectation des résultats avec les règles légales et les obligations
statutaires.
S’assurer que l’affectation des résultats a été approuvée par les actionnaires réunis en
assemblée générale.
Vérifier les subventions reçues avec les décisions d’attributions et titres de paiement.
S’assurer du respect des obligations mises à la charge des entreprises en contrepartie.
102 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
103 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
3.1.14- Paie-personnel
L’objectif est de s’assurer que les charges et produits inscrits au compte de résultat et ayant
pour origine les droits et les obligations de l’entreprise vis-à-vis de son personnel, résultent
uniquement de l’enregistrement intégral des transactions réalisées dans l’exercice comptable
considéré et que les comptes de tiers inscrits au bilan et provenant des transactions avec le
personnel sont correctement évalués et bien classifiés.
Les listes des contrôles possibles sont :
Etudier l’évolution des montants mois par mois, ainsi que les écarts par rapport aux prévisions,
et en expliquer les causes.
Pour les calculs des primes de fin d’année, des primes de bilan, les congés payés, la
participation, etc… :
- S’assurer que les bases n’ont pas changé depuis le dernier audit, les congés payés,
etc… ;
- Vérifier les données variables avec les documents de base (catégorie professionnelle,
niveau hiérarchique, heures de présence, etc…) ;
- Vérifier les calculs.
Contrôler l’assiette des commissions représentants, l’application correcte des taux et des
calculs.
Vérifier la conformité des rémunérations des gérants, administrateurs, P.D.G., avec les
décisions du conseil ou de l’assemblée.
104 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
105 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
106 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
107 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
108 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
53
Pr. Noureddine ACHOUR « le système de santé Tunisien : état des lieux et défis », septembre 2011.
54
Jean-Pierre Claveranne et David Piovesan « La clinique privée, un objet de gestion non identifié »,
édition Lavoisier 2003
109 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
L’adoption d’un système d’information assez sophistiqué pour les polycliniques rend le milieu
d’audit pour les auditeurs assez difficile.
Dans ce cadre nous allons essayer de présenter le cadre général des établissements sanitaires
privés en Tunisie ainsi que le régime juridique et fiscal de ces derniers.
Le deuxième chapitre sera consacré à l’application de la démarche d’audit proposée au niveau
de la deuxième partie dans le cadre d’un audit financier de polyclinique.
110 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Une connaissance globale de l'entité doit être acquise afin d'orienter la mission et
d'appréhender les domaines et systèmes significatifs. En effet, l'audit financier, dans ses
principes et ses modalités, est gouverné par un recueils de normes de référence, l’auditeur
adapte sa mission aux besoins et à l'environnement des entités dont il certifie les comptes.
La mission d’audit débute par une phase de prise de connaissance générale de l'entité et
d'identification des risques d'anomalies significatives dans les comptes. Pour cela, il prend
connaissance du secteur d'activité, et apprécie les risques juridiques et fiscaux.
55
Comités du Dialogue Sociétal : « santé en Tunisie : état des lieux », mars 2017.
Banque Mondiale « Etude du secteur de la santé en Tunisie », département du développement humain, région
56
111 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Malaisie) avec 176.000 visiteurs en 2010 (sachant que les patients sont souvent accompagnés).
La Tunisie a consacré près de 6,3% de la richesse nationale aux dépenses de santé en 2010.
Sur la période 1980-2010, les dépenses de santé sont passées de 143 à 4019 MDT ; ce qui
correspond à une augmentation de 164,1 à 382,8 DT par habitant. Entre 2000 et 2010, les
dépenses totales de santé en pourcentage des dépenses générales du gouvernement ont
augmenté (8,1% en 2000, 9,8% en 2005 et 10,7% en 2010) ainsi que la part des dépenses
générales de santé couvertes par la sécurité sociale (32,2% en 2000, 45,7% en 2005 et 47,7%
en 2010)57.
Cependant, les dépenses privées des ménages restent élevées (estimées à 45% des dépenses
totales en santé) et, eut égard à la transition épidémiologique et démographique (augmentation
des maladies chroniques et vieillissement de la population) et face à la capacité limitée de lever
des fonds additionnels, la pérennité financière de la Caisse Nationale d’Assurance Maladie
(CNAM) est en danger.
En effet, le taux de financement au régime de l’assurance maladie a été fixé à 6,75% de la
masse salariale dont 4% à la charge de l’employeur et 2,75% à la charge du salarié.
Ce taux est considéré comme faible mais au vu du contexte socio-économique actuel, il parait
difficilement acceptable de l’augmenter. En outre, vu l’ampleur du secteur informel, la non-
déclaration ou sous-déclaration de l’emploi et/ou du salaire, engendre un manque à gagner
important pour la caisse d’assurance.
Ainsi, la Tunisie se trouve face à des problèmes et à des choix difficiles relatifs au financement
de son système de santé. Les tendances sociales (augmentation des attentes), démographiques
(vieillissement de la population) et épidémiologiques (prépondérance des maladies
chroniques) se traduisent par une demande accrue aboutissant à une augmentation des coûts
de soins, ce qui pose d’importants défis. Parallèlement, des contraintes macroéconomiques et
budgétaires limitent l’intervention des pouvoirs publics à affecter des sommes plus
importantes.
Les ménages continuent à consacrer aux soins de santé une part importante de leur revenu.
Dans ce contexte, la pérennisation du financement de la santé qui oblige souvent à réformer la
façon dont on finance le système de santé, est un enjeu majeur.
57
Comités du Dialogue Sociétal : « santé en Tunisie : état des lieux », mars 2017.
112 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
16,7% à la fin du mois de décembre 2012 58 , chiffre en recul par rapport à celui de l’année
2011, qui clôturait avec un taux de chômage de 18,9%. Ce chiffre reste malgré tout en hausse
par rapport à l’année 2010 pour laquelle les données officielles faisaient état d’un taux de
chômage de 13%.
La Tunisie a connu une réduction significative de l’incidence de la pauvreté à l’échelle
nationale au cours des dix dernières années 59. En effet, le taux de pauvreté est tombé de 32,4%
en 2000 à 23,3% en 2005 et 15,5% en 2010, selon la nouvelle méthodologie de mesure de la
pauvreté en termes monétaires introduite par l’INS. Selon la même source, le taux de pauvreté
extrême s’est fortement réduit, tombant de 12,0% en 2000 à 7,6% en 2005 et 4,6% en 2010.
Cependant, cette tendance ne s’est pas traduite par une réduction de la disparité entre zones
communales et zones non communales (où le taux de pauvreté est 2 fois plus élevé et 7 fois
plus élevé si l’on utilise le seuil de pauvreté extrême), ni par une réduction de la disparité entre
les régions du littoral et les régions de l’intérieur.
Au contraire, l’écart entre les régions du Centre-Ouest et du Sud-Ouest par rapport au reste du
pays s’est accentué au cours de la même période. La région du Centre-Ouest (Kairouan, Sidi
Bouzid et Kasserine) est relativement la plus pauvre avec un taux de pauvreté extrême de
12,8% (29,4% en taux de vulnérabilité), soit plus du triple de la moyenne nationale évaluée à
3,8%.
a. Le secteur public :
Il est le principal prestataire de soins de santé préventifs et curatifs. Il est organisé en plusieurs
niveaux de recours complémentaires pour la prise en charge de la population.
En 2011, ce secteur comprend, 2 091 centres de santé de base et 174 structures hospitalières.
58
INS, mai 2013
59
UN 2013
113 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Il compte une capacité de 19 632 lits répartis sur l’ensemble du territoire de la République
avec une moyenne de 1,84 lit pour 1000 Habitant.
Il couvre plus de 84 % de la capacité totale existante qui se repartie entre :
- Les hôpitaux de circonscription (14,7 %) ;
- les hôpitaux régionaux (35,6 %) ;
- les CHU et les centres spécialisés (48,5) % ;
- Auquel il faut ajouter les structures relevant du Ministère de la Défense Nationale (3)
et du Ministère de l’Intérieur (1) dont les prestations s’adressent essentiellement à leurs
agents et leurs ayants droits60.
b. Le secteur privé :
c. Le secteur parapublic
60
Tunisia Health Expo : « Dossier de presse », mars 2016.
61
Comités du Dialogue Sociétal : « santé en Tunisie : état des lieux », mars 2017.
62
Tunisia Health Expo : « Dossier de presse », mars 2016.
114 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Le ratio lits/ 1000 habitants, qui se stabilise à 2,2 depuis quelques années pour les deux secteurs
confondus, semble satisfaisant, comparé à celui des pays du Maghreb : 1,7 pour l’Algérie, 1,1
pour le Maroc et 0, 4 pour la Mauritanie ou à ceux de la région d’Afrique (0,9) et de la région
MENA (1,2) ; la moyenne mondiale est de l’ordre de 3 lits et celle des pays à revenu moyen
supérieur est de 3,9 lits pour 1 000 habitants.
63
Comités du Dialogue Sociétal : « santé en Tunisie : état des lieux », mars 2017.
115 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
64
Tunisia Health Expo : « Dossier de presse », mars 2016.
116 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Forces Faiblesses
• La formation médicale en Tunisie est • Manque des ressources de financement vu
satisfaisante : des personnels assez qualifié par les investissements lourds du secteur.
rapport les autres pays. • L’augmentation massive des coûts fiscaux
• L’investissement de l’Etat Tunisien pour les suite à la déstabilisation des textes fiscaux
infrastructures du secteur public est mineur régissant le secteur (imposition des revenus
par rapport aux attentes de la population. provenant des patients non-résidents,
• Manque de confiance des citoyens au secteur imposition des médicaments à la TVA,….).
de santé publique. • L’augmentation de la masse salariale :
• L’instabilité sociale du pays : de grèves plusieurs augmentations des salaires durant
sociales fréquente dans le secteur de santé les dernières années.
publique. • L’inflation de prix.
• Les difficultés financières du système de
sécurité sociale en Tunisie CNAM.
Opportunités Menaces
• Un rapport qualité-coût compétitif par rapport • L’insolvabilité de certains pays envers ces
les autres pays. dettes (la Libye principalement).
• Une excellente perception de la qualité des • La déviation du dinar Tunisien : le coût
services de santé fournis aux patients d’importation des matériels nécessaires
étrangers. devient très cher.
• La disponibilité de médecins de compétence • La concurrence de certains pays voisins
reconnue à l’échelle africaine et sur la rive (Maroc, Algérie,…).
nord du bassin méditerranéen. • Infrastructures épuisées pour accueillir un
nombre important des patients étrangers.
117 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
L’étude préliminaire du secteur d’activité est une phase primordiale pour l’auditeur lui
permettant d’acquérir une connaissance satisfaisante afin d’identifier les risques inhérents liés
au secteur d’activité. Cette étude doit être complétée par une connaissance du régime juridique
et fiscal du secteur.
118 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
65
Article 31 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté
du 24 décembre 2007.
119 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
66
Article 1er de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté
du 24 décembre 2007.
67
Article 3 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du
24 décembre 2007.
68
Article 11 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté
du 24 décembre 2007.
69
Article 16 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté
du 24 décembre 2007.
70
Article 18 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté
du 24 décembre 2007.
120 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
71
Article 66 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté
du 24 décembre 2007.
72
Article 67 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté
du 24 décembre 2007.
73
Article 106 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté
du 24 décembre 2007.
74
Article 107 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté
du 24 décembre 2007.
75
Article 108 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté
du 24 décembre 2007.
76
Article 109 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté
du 24 décembre 2007.
121 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
l’investissement qui désigne tout emploi durable de capitaux effectué par l’investisseur
(personne physique ou morale, résidente ou non résidente) pour la réalisation d’un projet
permettant de contribuer au développement de l’économie tunisienne tout en assumant ses
risques et ce, sous forme de :
- Opération d’investissement direct : toute création d’un projet nouveau et autonome en
vue de produire des biens ou de fournir des services ou toute opération d’extension ou
de renouvellement réalisée par une entreprise existante dans le cadre du même projet
permettant d’augmenter sa capacité productive, technologique ou sa compétitivité.
- Opération d’investissement par participation : la participation en numéraire ou en
nature dans le capital de sociétés établies en Tunisie, et ce, lors de leur constitution ou
de l’augmentation de leurs capitaux sociaux ou de l’acquisition d’une participation à
leurs capitaux.
La nouvelle législation a exigé un minimum de fonds propres fixé à 30% du coût
d’investissement pour bénéficier des primes et des avantages fiscaux. Ce taux est ramené à
10% pour les investissements de la catégorie « A » dans le secteur de l’agriculture, de la pêche
et de l’aquaculture.
Désormais, les établissements sanitaires privés peuvent bénéficier des avantages accordés aux
zones de développement régionales.
Les établissements sanitaires privés peuvent profiter des primes d’investissement suivantes :
Phase
Nature de prime Type de prime Montant
d’obtention
Investissements A la création Pour la maitrise des 50% du coût d’investissement
matériels 77 uniquement nouvelles technologies avec plafond de 500.000 dinars
Création,
Investissements Pour l’amélioration de la 50% du coût d’investissement
extension ou
de productivité productivité avec plafond de 500.000 dinars
renouvellement
50% du coût d’investissement
Investissements A la création avec plafond de 500.000 dinars
immatériels uniquement dont 20.000 dinars pour les
dépenses d’études
77
La liste des équipements et des logiciels a été fixée en décret gouvernementale n° 201-389 du 9 mars 2017
(annexe n°1).
122 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
soumises à l’impôt sur les sociétés et d’une déduction des 2/3 de l’assiette imposable pour les
personnes physiques78.
Les conditions de bénéfice de ce régime sont :
- Le dépôt d’une déclaration d’investissement auprès des services concernés.
- La réalisation d’un schéma de financement de l’investissement comportant un
minimum de fonds propres conformément à la réglementation en vigueur. Ce minimum
est fixé à 30% du coût de l’investissement.
- Joindre à la déclaration annuelle d’impôt une attestation d’entrée en activité effective
délivrée par les services concernés.
- Le bénéfice des avantages fiscaux est subordonné à la tenue d’une comptabilité
conforme à la législation en vigueur.
- La situation de l’entreprise vis-à-vis des caisses de sécurité sociale doit être en règle.
Le taux de la retenue à la source de 1,5% est réduit à 0,5% pour les montants dont les revenus
y relatifs bénéficient de la déduction des deux tiers ou dont les bénéfices en provenant sont
soumis à l’impôt sur les sociétés au taux de 10%.
Aussi, l’avance d’impôt de 25% due par les sociétés fiscalement transparentes et groupements
est réduite à 10% pour les bénéfices soumis à l’impôt sur les sociétés au taux de 10% au niveau
des associés et des membres, ainsi que pour les bénéfices revenant aux associés et aux
membres personnes physiques bénéficiant de la déduction des deux tiers des revenus .
78
Article 70 du code de l’IRPP et IS.
79
Prise de position n° 374 du 22 mars 2000 de la DGELF.
123 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
TVA, sont exonérés de la taxe sur la valeur ajoutée certains médicaments importés
n’ayant pas similaires en Tunisie
- Prestations soumises à la TVA au taux de 7% : Conformément au tableau B annexé
au code de la TVA, l'hébergement, la restauration et les services effectués dans le cadre
de leur activité par les cliniques et polycliniques médicales ainsi que la vente de
médicaments et de produits pharmaceutiques sont soumis à la TVA au taux de 7%.
La Note commune n° 19 (Telle que rectifiée par l'additif du 2 juin 1996), définit les
médicaments et produits pharmaceutiques comme suit :
- Médicaments : On entend par médicament conformément aux dispositions de l’article
21 de la loi n° 73-55 du 3 août 1973 relative à l’organisation des professions
pharmaceutiques toute substance ou composition présentée comme possédant des
propriétés curatives ou préventives à l’égard des maladies humaines ou animales, ainsi
que tout produit pouvant être administré à l’homme ou à l’animal en vue d’établir un
diagnostic médical ou de restaurer, corriger ou modifier leurs fonctions organiques.
- Produits pharmaceutiques : Selon la définition communiquée par le ministère de la
santé publique, on entend par produit pharmaceutique « tout médicament ou tout
produit similaire notamment les accessoires, pansements, insecticides et acaricides
destinés à être appliqués sur l'homme, les produits pour l'entretien de tout accessoire
et matériel médical susceptible de présenter des dangers pour le patient ou
l'utilisateur ».
En revanche, les compléments alimentaires demeurent soumis à la TVA au taux de 19%.
- Loyers perçus par une clinique : les loyers de cabinets médicaux, laboratoires et
autres locaux (lorsque de telles locations sont permises par la loi) donnés en location
par une clinique sont passibles de la TVA au taux de 19%.
- Conventions de prise en charge conclues avec des organismes non-résidents en
Tunisie : les prestations fournies aux malades étrangers dans le cadre des conventions
de prise en charge conclues avec des organismes non-résidents pour des prestations
rendues en Tunisie constituent des services rendus et utilisés en Tunisie et sont par
conséquent soumises à la TVA en Tunisie.
- Prestations facturées en suspension de TVA : les cliniques peuvent être autorisées
dans le cadre de leurs activités à facturer des prestations en suspension de TVA. Tel
est le cas des prestations facturées à une ambassade ou à tout autre organisme muni
d’une attestation d’achat en suspension de TVA.
124 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
80
Article 9 du code de la TVA.
125 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
81
Note commune n° 10 de l’année 2014.
126 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Les cliniques doivent procéder aux retenues à la source au titre des honoraires des médecins
facturés aux clients par la clinique et reversés ensuite aux médecins au taux de 5% ou de 15%
selon que le bénéficiaire (médecin) soit soumis au régime réel ou non.
Les jetons de présence versés aux administrateurs d’une clinique privée société anonyme sont
passibles de la retenue à la source au taux de 20%.
La polyclinique instruite en juin 2006 est une société anonyme, partiellement assujettie à la
TVA à un capital social de 7 400 000 dinars réparti pour le profit d’une pluralité d’actionnaires.
Située à quelques minutes du centre-ville de Sfax, la polyclinique « X » est l’une des cliniques
pluridisciplinaires les plus réputée de Tunisie. Dotée d'une structure de haut niveau technique
et technologique répondant aux normes médicales internationales, et d'une qualité hôtelière
répondant aux attentes en matière de confort et de respect de la personne.
La polyclinique est implantée sur un terrain de 3300 m² de superficie avec une surface couverte
d'environ 10 000 m².
Avec une capacité de 61 lits, la polyclinique dispose d'un ensemble de services spécialisés qui
vous offrent une expertise d'avant-garde dans le domaine de la santé :
- Chirurgie esthétique ;
- Service d'hospitalisation ;
- Service de chirurgie ;
- Service de médecine ;
- Service de maternité – gynécologie obstétrique ;
- Service de réanimation polyvalente ;
- Service de radiologie ;
- Urgence ;
127 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
- Cathétérisme ;
- Centre de procréation médicalement assisté.e
La polyclinique « X » compte de réaliser une extension en vue d’élargir sa capacité et rendre
un meilleur séjour pour ses patients.
Ce projet d’extension réalisé permettra principalement :
- L'exploitation de 17 nouvelles chambres.
- L'exploitation d'un nouveau centre de lithotripsie.
- L'exploitation de deux nouvelles salles d'opération.
- L'exploitation d'une nouvelle salle de réveil.
- Le transfert des services administratifs de la clinique.
- Le transfert de la cuisine.
Au niveau de ce chapitre, nous essayerons d’appliquer la démarche d’audit proposée à notre
cas d’espèce selon la méthodologie suivante :
- La planification de la mission
- L’évaluation des risques
- Les tests de validation
128 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
129 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Les diligences qui nous pouvant suivre pour ce processus sont comme suit :
Les obligations légales des établissements sanitaires privés selon le cahier de charges exigent
de garder un dossier médical pour le patient. Cette obligation permet à la direction de déléguer
au département informatique de développer des applications lui permettant d’identifier chaque
résident et de garder un dossier complet.
130 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Conseil
d’administration
Directeur technique
Directeur général (médecin)
Département
informatique
- Déterminer les niveaux appropriés de délégation des pouvoirs pour les décisions en
matière d'informatique :
Les contrôles que l’auditeur peut être mis en place sont les suivants :
131 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Le département informatique se réunit mensuellement afin d’évaluer les actions déjà mises en
place et de communiquer aux autres départements les résultats.
132 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Les revenus réalisés par la polyclinique se sont chiffrés au 31/12/2017 à 16.753.226 dinars
contre 15.259.409 dinars 31/12/2016, enregistrant une augmentation de 1.493.817 dinars soit
9,79%.
Le chiffre d'affaires provenant de l'exploitation courante a enregistré une augmentation de
9,82%, malgré la nette régression du chiffre d'affaires réalisée avec les clients libyens.
En présence d’une crise qui continue à frapper le secteur de la santé en Tunisie, à cause
principalement de la perte du marché libyen, la polyclinique marque a enregistré une
augmentation, ceci peut être expliquée par les investissements réalisés des deux nouveaux
centres : l'IRM et le KT.
a. Résultat :
Le résultat net d'impôt dégagé par la polyclinique au 31/12/2017 se chiffre à 2.251.466 dinars
contre 2.694.922 dinars au 31/12/2016 enregistrant une baisse de 443.456 dinars soit -16,46%.
Le résultat de l'exercice a enregistré cette baisse malgré l’augmentation constatée sur le chiffre
d'affaires s'expliquant principalement par l'augmentation des facteurs suivants :
133 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Le rendement du chiffre d'affaires relatif à l'exercice 2017 se chiffre à 13,44% contre 17,66%
en 2016 enregistrant une baisse de 4,22%.
1.2.3- Investissements :
Désignation 2017 2016 Variation % Variation
Immobilisations Incorporelles 135 288 122 679 12 609 10,28%
Immobilisations corporelles 25 176 235 22 431 566 2 744 669 12,24%
Immobilisations financières 31 306 28 388 2 918 10,28%
Total 25 342 831 22 582 635 2 760 196 12,22%
La valeur brute des investissements incorporels se chiffre au 31/12/2017 à 135.288 dinars contre
122.679 au 31/12/2017 enregistrant une augmentation de 12.609 dinars soit 10,28%.
La valeur brute des immobilisations corporelles se chiffre au 31/12/2017 à 25.176.235 dinars
contre 22.431.566 au 31/12/2016 enregistrant une augmentation de 2.744.667 s'expliquant par
les acquisitions suivantes :
Désignation Montant
Construction 33 335
Matériel et Outillages 1 465 021
Agencement et Aménagement 125 336
Equipement et matériel de bureaux 51 921
Constructions en cours 1 069 054
Total 2 744 667
Les valeurs disponibles au 31/12/2017 se chiffrent à 1.800.739 dinars contre 3.249.849 dinars
au 31/12/2016 enregistrant une nette régression de 1.449.110 dinars soit -44,59% s'expliquant
134 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
par le déblocage du montant de 2.500.000 dinars, en placement en 2017, pour faire face aux
dépenses d'investissements.
1.2.5- Les conclusions de l’examen analytique :
L’examen analytique préliminaire que nous avons réalisé nous a conduit à identifier les risques
potentiels suivants :
- Le délai de recouvrement des créances est assez long par rapport au délai de paiement
des dettes : la polyclinique peut rencontrer un problème de trésorerie suite à non
recouvrement de créances libyennes.
- Les nouveaux investissements réalisés par la polyclinique peuvent être non rentable vue
la perte du marché libyen.
- L’augmentation de la masse salariale peut affecter la rentabilité de la polyclinique.
- Les flux de trésorerie disponibles ne peuvent pas couvrir les engagements de la
polyclinique envers ses fournisseurs.
1. Processus achats
1.1. Achats médicaments et produits pharmaceutiques.
1.2. Achats stockés autres que pharmaceutiques.
2. Achats prestations médicales
3. Processus magasin (stock)
3.1.1. Processus des entrées magasin
3.1.2. Processus traitement des non-conformités.
3.1.3. Processus des sorties magasin
4. Processus investissements
5. Processus maintenance et gestion du matériel
6. Processus planification
7. Processus des inventaires (tournant et général)
8. Processus finance et gestion de la trésorerie
8.1. Processus recouvrement
8.2. Processus juridique
8.3. Processus ressources humaines
8.3.1. Processus recrutement
8.4. Processus finances et comptabilité
8.5. Processus comptabilité analytique
9. Processus admission des patients
9.1. Prise en charge médicale et soins
9.2. Les consultations et soins externes
9.3. Processus logistique et transport
9.4. Processus de gestion des unités médicotechniques (Radiologie, imagerie,
endoscopie…)
10. Processus hôtellerie
11. Processus cuisine
12. Processus buanderie
136 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Au niveau de cette phase, l’auditeur doit identifier les flux de traitement des données qui
peuvent influencer les transactions comptable ainsi que les états financiers. Il doit sélectionner
les processus importants.
L’objectif de ces tests est d’avoir une connaissance globale sur le système d’information de la
polyclinique et de sélectionner les processus risqués.
Pour la polyclinique le processus sélectionné et qui peut avoir un risque sur le traitement de
l’information comptable est le processus achats.
- Processus achats :
Vu la complexité de ce processus, il est utile de le subdiviser en deux sous-processus à savoir
le sous-processus achats médicaments et produits pharmaceutiques et le sous-processus achats
stockés autres que pharmaceutiques.
A. Achats médicaments et produits pharmaceutiques
i. Identification du besoin ;
ii. Lancement de la commande ;
iii. Réceptionner les produits pharmaceutiques ;
iv. Traitement des factures d’achat ;
v. Paiement des factures d’achat ;
vi. Stocker les produits pharmaceutiques
B. Achats stockés autres que pharmaceutiques.
La polyclinique réalise plusieurs types des achats autres que les achats médicaments et produits
pharmaceutiques. Ces achats sont essentiellement : les achats d’articles stockables, des pièces
de rechanges, des services et les achats des articles non stockables.
i. Identification du besoin ;
ii. Consultation des fournisseurs ;
iii. Lancement de la commande ;
iv. Réceptionner des articles commandés ;
v. Traitement des factures d’achat ;
vi. Paiement des factures d’achat ;
vii. Stockage des produits réceptionnés.
137 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Cette fonctionnalité permet de gérer l’emploi du temps des personnels soignants en temps réel.
Les principaux modules sont :
- Gestion des emplois du temps ;
- Gestion du pointage intégré avec la paie ;
- Recrutement ;
- Vêtements du travail ;
- Médecine du travail ;
- Gestion de la restauration du personnel ;
138 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Le module bloc intègre des fonctionnalités de planification des salles de bloc, le circuit des
médicaments, la gestion des stocks et les paniers, la feuille d’anesthésie avec la possibilité de
connexion avec la facturation des actes.
La fonctionnalité stérilisation est intégrée avec le planning bloc et couvre tous les cycles de
stérilisation de la sortie des boites depuis stocks, lavage, mise en conditionnement et retours
des boites vérifiées.
d. Gestion documentaires :
- Tous les documents produits en interne (par CliniSys) sont automatiquement archivé ;
- Tous documents externes ramenés par le patient sont scannés et archivés dans le dossier
du patient.
Avant l’établissement du plan de la mission, nous avons identifiés les risques liés à l’activité de
la polyclinique. Ces risques doivent être pris en compte pour que le plan de la mission mis en
place soit cohérent et complet pour couvrir tous les risques.
Les risques potentiels que nous avons identifiés lors de la prise en compte du secteur d’activité
de la polyclinique et de son environnement informatique sont :
139 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Notre mission s’inscrit dans le cadre d’audit des états financiers arrêtés au 31 décembre 2017
afin d’exprimer une opinion sur la sincérité et fidélité de ces derniers et ceux conformément
aux normes de révision et conformément aux normes comptables généralement admises en
Tunisie, promulguées par la loi 96-112 du 30 décembre 1996 relative au système comptable des
entreprises.
La polyclinique est une société anonyme du capital social s’élève à 7.400.000 dinars tunisiens.
Elle est dirigée par un conseil d’administration composé de 4 membres. Le nombre des
actionnaires est à l’ordre de 48.
La polyclinique a créé une filiale dont le pourcentage de détention du capital est à l’ordre de
99.99%. L’objet social de cette filiale est la prospection des nouveaux marchés pour les
polycliniques.
140 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Après avoir pris une connaissance complète sur l’activité de la polyclinique et son système
d’information, nous accorderons une attention particulière aux aspects les plus significatifs à
savoir :
- Une attention particulière pour les dispositions de la loi n° 2015-26 du 7 août 2015,
relative à la lutte contre le terrorisme et la répression du blanchiment d’argent ;
- Une description détaillée des flux de traitement des données pour les processus
identifiés ;
- Vérification du processus achats et les contrôles applicatifs mis en place ;
- Vérification du processus finance et gestion de la trésorerie ;
- Vérification des nouveaux investissements en cours de réalisation (les appels d’offres,
les avancements des travaux,…) ;
141 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
La check-list suivant peut nous aider à identifier les risques liés à l’activité de la polyclinique :
Risques
Les risques Commentaires
inhérents (O/N)*
La polyclinique est une société anonyme de
Taille de l'entreprise N
moyenne taille.
La polyclinique est sise à Sfax. Absence
Implantation
d’infrastructure pour accueillir les patients O
géographique
étrangers provenant des pays d’Afrique.
Les sources d’approvisionnement de la
Sources polyclinique pour les médicaments sont les
O
d'approvisionnement grossistes (une difficulté d’approvisionnement
pour les médicaments importés).
La structure du capital est dispersée (48
Structure du capital O
actionnaires).
Les organes de décision sont composés du conseil
d’administration (dirigé par un président du
Organes de décision O
conseil) qui a confié à un directeur général la
gestion quotidienne.
Changements opérés Durant ces dernières années la direction générale de
au sein de l'équipe de la polyclinique a connu des changements de O
direction l’équipe de direction.
Les principales opérations en monnaies étrangères
Opérations en
réalisées par la polyclinique sont l’importation des O
monnaies étrangères
équipements médicaux.
Fluctuation de L’activité a connu une fluctuation majeure durant
O
l'activité ces années (perte du marché libyen).
Risques de non- Ce risque existe pour les clients libyens et la partie
recouvrement des de prise en charges par la CNAM. O
créances
Risque de non- Le taux de ce risque est faible pour la polyclinique.
déductibilité des N
charges
Risque de Ce risque est très élevé.
manipulation du O
résultat
Les capitaux propres de la polyclinique sont assez
Insuffisance de
suffisant pour couvrir l’activité à condition de ne O
capitaux propres
pas distribuer des bénéfices.
La polyclinique peut rencontrer des problèmes de
Problèmes de gestion trésorerie (le délai du recouvrement des créances
est assez long par rapport le délai de paiement des O
de trésorerie
dettes fournisseurs).
* Oui/Non
142 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
- Certains postes du bilan représentent plus de 10% du total bilan, il s’agit essentiellement
des immobilisations corporelles, des créances clients et les autres passifs. Une attention
particulière pour ces rubriques en mettant des tests substantifs adéquats qui répondent à
ces risques.
- Des estimations faites chaque année pour les honoraires de médecin de radiologie non
encore facturées à la date de clôture et des primes de rendement des salariés ainsi que
les patients résidents à la date d’arrêt des états financiers.
Les parties prenantes sont les personnes auxquelles la responsabilité et l’autorité ont été
déléguées pour la gouvernance informatique de la polyclinique.
Le comité de pilotage du département informatique de la polyclinique est d’un conseiller
comptable et fiscal externe, des techniciens informatiques et du directeur général. Ce
département est rattaché au conseil d’administration. Ses rôles sont d’assurer la pérennité du
système d’information au sein de l’établissement et de déceler les lacunes relevées au
fournisseur du prologiciel.
Les mécanismes de gouvernance informatique qui ont été acceptés (structures, principes,
processus, etc.) sont correctement en place et ils fonctionnent efficacement.
143 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
L’objectif de ce test est d’évaluer le portefeuille d’investissements, les services et les actifs liés
à l'informatique afin de déterminer le niveau de certitude d’atteindre les objectifs de l’entreprise
et de créer de la valeur à un coût raisonnable.
Durant cette dernière décennie le secteur de santé a connu une grande évolution en matière de
technologie. Parmi les facteurs clés succès d’un établissement sanitaire est ces investissements
engagés en matière de technologie que ce soit médical ou bien au niveau du système
d’information.
La stratégie de la polyclinique est de développer sa part du marché par la mise en place des
investissements technologique lui permettant de différencier par rapport les autres concurrents
sur le marché.
On peut considérer le succès des affaires d’un établissement sanitaire privé est étroitement lié
à la qualité du service présenté à ses clients.
Le respect de la politique qualité dépend essentiellement de la qualité du personnel soignant
ainsi que les investissements technologiques mis en place.
La création de valeur pour la polyclinique passe essentiellement par les investissements engagés
en matière de technologie.
L’objectif de ce test est d’examiner les ressources disponibles en matière informatique afin de
créer de la valeur et atténuer les risques.
144 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Parmi les outils de mesures des performances de certaines activités sont les reporting financiers.
Ces outils permettent aux parties prenantes de corriger les erreurs détectées et de planifier les
actions à prendre.
La matrice des risques nous permettons d’identifier les risques et les principes contrôles mis en
place.
Les assertions sont : Sur. : Survenance, Exa. : Exactitude, Exh. : Exhaustivité, Sép. : Séparation
des exercices et Imp. : Imputation comptable.
145 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Assertions
Risques Contrôles
Sur. Exh. Exa. Sép. Imp.
Chaque patient est identifié par un numéro du dossier :
la génération du n° dossier se fait automatiquement.
Minoration du Le responsable étage vérifie avec l'agent de facturation
chiffre la facture. X X X X
d'affaires L'agent comptable vérifie mensuellement le chiffre
d'affaire avec les dossiers patients traités durant le
mois.
La demande d'achat doit être exprimée par un service
concerné avec une approbation du responsable de
service.
Les demandes d'achat sont prénumérotées.
Des charges Aucune demande d'achat ne peut pas être effacée.
d'approvisionne L'annulation de la demande est faite seulement par le X X X
ments responsable avec explication.
excessives Le lancement du bon de commande se fait
automatiquement après approbation du département
achats.
Le classement du bon de commande se fait
automatiquement après la réception des marchandises.
Rupture des Présence de l'option du stock de sécurité.
stocks de Calcul du délai d'approvisionnement se fait par le X
médicament système
Chaque immobilisation corporelle est identifiée par un
code à barre généré par le système.
L'imputation comptable de la facture fournisseur est
faite que si l'immobilisation est déjà identifiée par un
Perte des code barre. X X X X
immobilisations
Un inventaire physique annuel des immobilisations
avec le code à barre.
Le transfert des immobilisations en réforme est géré
par le GMAO.
La gestion des stocks par code à barre n'est pas
fonctionnelle.
Le calcul de la quantité optimale à commander géré par
le système ne fonctionne pas convenablement.
Les bons de commande gérés automatiquement par le
système.
Petre des stocks La gestion des stocks est faite à temps réel par le X X X X
système.
L'attribution des codes d'articles se fait
automatiquement par le système.
Edition par le système d'un état des bons de de
commandes non réceptionnés.
146 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Assertions
Risques Contrôles
Sur. Exh. Exa. Sép. Imp.
Le tableau de suivi des échéanciers créances clients est
Recouvrement géré par le système.
X X
des créances Edition des tableaux de bord pour le suivi des créances
(soldes clients par ancienneté).
Le règlement des dettes fournisseurs se fait après
approbation des factures par les personnes concernées.
L'édition des certificats de la retenue à la source est
automatique.
Paiement La gestion des délais de paiement des dettes est
dettes automatique. X X X X X
fournisseurs Edition par le système d'un état des bons de réceptions
non encore facturées.
Le tableau du suivi des échéances dettes fournisseurs est
géré par le système.
Chaque fiche fournisseur contient l'identité bancaire du
concerné.
Gestion des Une fiche d'immobilisation est gérée par le système.
immobilisatio La gestion des stocks de pièce de rechange est faite par X X X
ns le système.
Les outillages et vaisselleries sont gérés sur le système.
Gestion de la Les demandes de repas aux patients et à leurs
accompagnants sont gérées sur ClinSys. X X X
cuisine
La demande de l'approvisionnement de la cuisine auprès
de l'économat est gérée par ClinSys.
La gestion de l'emploi du temps des personnels soignant
Gestion des est faite par le système.
ressources Le pointage des personnels est intégré avec le module X X X X X
humaines paie.
Les dossiers des personnels sont gérés par le système.
147 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
a. Le processus achats :
148 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
149 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
150 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
151 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
152 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
153 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
154 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
155 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Pour ce processus, nous évaluons la conception des contrôles applicatifs mis en place au niveau
du système d’information. Cette évaluation nous permet de conclure si le système de contrôle
interne est adéquat.
156 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
- Département demandeur ;
- Articles demandés ;
- Quantités demandées ;
Le responsable vérifie ensuite si cette demande est correcte, complète et précise. Il s’attache
notamment, sans que cette demande soit exhaustive, aux mentions des articles, de la quantité et
du code du compte. S’il ne constate aucune erreur, il valide la demande d’achat. Si le
responsable achats rejette la demande pour quelque raison que ce soit, le service demandeur
157 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
sera informé. Enfin, si les problèmes posés par la demande d’achat initiale sont résolus,
l’acheteur valide la demande (Contrôle C2).
Après la réception de la demande d’achat, le responsable achat doit vérifier les fiches des stocks
relatives aux articles demandés. En fait, il ne peut pas déclencher la commande si les quantités
stockées sont largement suffisantes pour répondre à la demande (Contrôle C3). Dans ce cas, le
responsable achat édite un bon de sortie au magasinier afin de livrer les articles demandés
(Contrôle C4).
158 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Une planification de la date de réception doit être établie entre le responsable achat et le
magasinier. Lors de la réception de commande, le magasinier doit vérifier la conformité du bon
de commande avec le bon de livraison ainsi que la qualité des produits réceptionnés. Une fiche
du stock des articles réceptionnés doit être remplie soigneusement par le magasinier (Contrôle
C1).
159 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
facture au responsable d’achat. Ce dernier doit vérifier la conformité de la facture avec le bon
de la commande, bon de livraison et bon de réception, ensuite il saisit la facture (Contrôle C2).
d. Processus facturation :
160 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Après la clôture de la facture, le service facturation doit vérifier s’il existe une prise en charge
de la facture. En cas de prise en charge de la facture par un tiers, il la transmettre au responsable
recouvrement (Contrôle C4) si non au responsable de la caisse (Contrôle C5).
161 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
162 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
163 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
S'assurer que les Possibilité d'avoir des remises Remise non autorisée
remises exceptionnelles sur des factures de vente
C2 sans passer par le responsable concerné X
exceptionnelles
sont autorisées
S'assurer que les les honoraires médecins qui sont pris en Le fait de l’incorporer
factures sont charge par la CNAM sont affichés sur la au niveau du total de
conformes aux facture de vente et pris en compte dans le la facture faussera les
exigences fiscales total facture. enregistrements X
C3 comptables des
créances clients et des
dettes autrui
Possibilité de modifier le taux de la TVA Risque fiscal
X
sur la cotation.
S'assurer que les Rien à signaler Rien à signaler
factures prises en
C4
charge par tiers
sont recouvrées
Les factures sont Possibilité de modifier la facture par le Des factures erronées.
transmises au caissier
C5 X
responsable de la
caisse
164 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
vu que le secteur d’activité est contrôlé par l’Etat. Nous devons prendre une attention
particulière pour les créances libyennes.
Pour les risques liés au contrôle, vu le milieu informatisé dans lequel la polyclinique opère
nous considérons que les risques liés au contrôle sont élevés. Nous devons mettre en place des
tests substantifs pour collecter des éléments probants appropriés répondant aux risques
détectés.
Le tableau des matrices du risque d’audit nous indiquant l’étendue des travaux d’audit à
appliquer.
Risque Niveau du
Risques Assertions Implication sur les procédures d‘audit
(O/N) risque (E, F, M)
1- Cycle immobilisations
Exhaustivité
Risque inhérent
N
Existence N
Exactitude N
Des tests substantifs pour les équipements
Valorisation O F
importés
Exhaustivité N
Risque lié au
Existence O F
physiques des immobilisations
Exactitude N
Valorisation N
2- Cycle clients/ventes
Exhaustivité N
inhérent
Risque
Existence N
Exactitude N
Valorisation O E Vérification des créances libyennes
Exhaustivité N
Risque lié au
O F
Exactitude N
Vérification de la recouvrable des créances
Valorisation O E
libyennes et CNAM
3- Cycle achats /fournisseurs
Exhaustivité
Risque inhérent
N
Existence N
Vérification de l'exactitude des achats aux
Exactitude O F
exigences légales
Valorisation N
Exhaustivité
Risque lié au
O E
Nous devons élargir les étendues de nos travaux
contrôle
Existence O E
d'audit pour ce cycle vu la défaillance du système
Exactitude O E
contrôle.
Valorisation O E
165 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Risque Niveau du
Risques Assertions Implication sur les procédures d‘audit
(O/N) risque (E, F, M)
4- Cycle stocks
Exhaustivité N
inhérent
Risque
Existence
contrôle
O M
physiques des stocks
Exactitude N
Vérification de la méthode de valorisation des
Valorisation O M
stocks
5- Cycle personnel
Exhaustivité
Risque inhérent
O M
contrôle
autorisées
Existence O M
Exactitude N
Valorisation O M S'assurer du respect de la convention sectorielle
6- Cycle impôts et taxes
Exhaustivité O F
inhérent
Risque
Existence O F
S'assurer du respect des obligations fiscales
Exactitude O F
Valorisation O F
Exhaustivité
Risque lié au
O F
contrôle
Existence O F
S'assurer du respect des obligations fiscales
Exactitude O F
Valorisation O F
166 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
3.1.1- Achats-fournisseurs
L’objectif est de s’assurer les charges et produits inscrits au compte de résultat et provenant
des opérations d’achats, résultent uniquement de l’enregistrement intégral des transactions
réalisées dans l’exercice comptable considéré et que les comptes de tiers inscrits au bilan et
provenant des opérations d’achats sont correctement évaluées et bien classifiés.
Nous avons procédé aux vérifications suivantes :
Les conclusions que nous avons tiré que la totalité des achats sont correctement comptabilisées
et évaluées.
3.1.2 Ventes-clients
L’objectif est de s’assurer que les produits et charges inscrits au compte de résultat et
provenant des opérations de ventes résultent uniquement de l’enregistrement intégral des
transactions réalisées dans l’exercice comptable considéré et que les comptes de tiers inscrits
au bilan et provenant des opérations de ventes sont correctement évaluées et bien classés.
Nous avons procédé aux vérifications suivantes :
Cycle Liste des contrôles Conclusion Commentaires
1- Identifier les comptes dont les libellés sont imprécis (ou
Ventes- RAS
inexistants) ou toute autre anomalie apparente.
clients
Ventes- 2- Pointer l’ensemble des comptes concernés avec le grand livre. RAS
clients
3- Examiner la ventilation du chiffre d’affaires par mois et identifier
Ventes- RAS
les variations anormales.
clients
167 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
168 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
169 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
82
GTAG 8 : « Audit des contrôles applicatifs », juillet 2007.
170 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Conclusion générale
Aujourd’hui, le monde économique est caractérisé par la libéralisation et la globalisation.
Cette culture nouvelle s’est rapidement concrétisée par l’utilisation des réseaux informatiques
qui permettent la transmission et la réception des informations d’une manière instantanée.
Comme tout changement, cette évolution entraîne la modification des modèles de
fonctionnement des entreprises.
Pour être compétitives dans l’environnement économique actuel, les entreprises tunisiennes
sont appelées à opérer de profondes mutations tant au niveau de leurs stratégies qu’au niveau
de la mise à niveau de leurs modes de gestion. Le processus de changement qui est enclenché
par suite de ce nouveau contexte, incite les entreprises à mieux maîtriser leurs systèmes
d’information afin de gagner en performance.
En effet, les systèmes d’information sont devenus des leviers stratégiques qui accompagnent
les entreprises dans la phase de leur mise à niveau en leur permettant d’être plus performantes
et réactives. Ceci implique une rapidité et une efficacité dans le traitement de l’information,
ce qui conduit, le plus souvent, à une refonte totale du système d’information et une
redistribution des activités et des tâches entre les différentes structures de l’organisation.
La dépendance des entreprises envers l’information et envers les systèmes qui la véhiculent
s’accroit avec le développement des technologies.
Il est évident que les systèmes d’information permettent à l’entreprise d’être performante et
réactive, mais la mise en place de ces systèmes s’accompagne, le plus souvent, par une refonte
des processus de l’organisation, ce qui pourrait se traduire par la suppression de certains
contrôles clés dans la gestion des risques de l’entité.
La forte intégration des systèmes d’information engendre de nouveaux risques.
Il y a lieu de noter que les risques inhérents aux systèmes d’information augmentent avec
l’ouverture de ces derniers aussi bien en externe avec l’internet qu’en interne à travers les
outils d’intranet.
Les entreprises doivent être conscientes des risques liés aux systèmes d’information. Elles sont
tenues, par conséquent, de mettre en place les outils et les procédures de contrôle adéquats
permettant d’empêcher la survenance de ces risques ou de limiter leur impact.
Face à ces risques induits par les systèmes d’information (intégration, ouverture,
automatisation des contrôles, …etc.), les organismes professionnels de l’audit comptable et
financier ont dû réviser leurs normes et méthodologies d’audit de façon à prendre en compte
171 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
C’est à l’aide du référentiel CobiT version 5 que l’auditeur financier peut mettre en place des
diligences adéquates lui permettant d’identifier et évaluer les risques liés au système
d’information d’une entité.
La démarche d’audit que nous avons proposé met principalement l’accent sur :
- La prise de connaissance de l’environnement informatique de l’entité : c’est une étape
nécessaire pour la planification. Nous avons utilisé les processus de la gouvernance du
référentiel CobiT afin de comprendre le style du management de la direction du
département informatique et le rôle qui joue ce dernier au niveau de la stratégie générale
de l’entité ;
- La description du système d’information de l’entité : nous avons identifié les processus
métiers et les flux de traitement des données ainsi que les applications de base et les
principales interfaces IT qui génèrent les données financières et comptables ;
- L’identification des risques inhérents relatifs à l’environnement informatique de
l’entité : cette étape consiste à identifier les principales exigences réglementaires et
concurrentielles qui produisent des risques à l’entité. L’auditeur peut utiliser les
processus du référentiel CobiT 5 pour cerner les risques inhérents ;
172 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Après avoir identifié les risques inhérents et les risques liés au contrôle, l’auditeur est tenu de
mettre en œuvre des procédures adéquates pour répondre aux risques significatifs détectés et
ramener les risques à un niveau acceptable.
A ce stade, l’expert-comptable est appelé à s’allier, de plus en plus, avec les exigences
d’entreprises afin d’améliorer le service clients, la flexibilité et la qualité et de gagner de
nouveaux parts de marché.
Ainsi, la profession qui a toujours été le conseiller des chefs d’entreprise doit s’orienter de plus
en plus vers l’accompagnement des entreprises pour la maîtrise de l’implémentation des
Nouvelles Technologies d’Information impactant les procédures de travail des entreprises.
Pour affronter ce nouveau défi, la profession doit agir en amont lors de la formation de l’expert-
comptable et en aval lors de l’exécution de son métier, à travers notamment une certification
accordée par l’Ordre des Experts Comptable en Tunisie (OECT) aux professionnels habilités
à exercer ce genre de missions.
En amont, ne serait-il pas opportun d’augmenter le nombre de modules et d’heures alloués aux
NTIC et aux référentiels internationaux de bonnes pratiques ainsi qu’au SI dans la formation
des étudiants en expertise comptable ?
En aval, face à ce vide de normalisation (absence de normes professionnelles en la matière),
n’est-il pas nécessaire que l’OECT œuvre pour que ce segment de métier ne nous échappe
techniquement et commercialement ?
173 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Bibliographie
OUVRAGES
YVON HOULE (2012), « Les contrôles comptables et la vérification en milieu
informatisé », Edition les presses de l’université Laval.
FAHD M.S ALDUAIS (2013), « Le système d’information comptable automatisé »,
Les éditions du net.
JEAN PAUL LAMY (1996), « Audit et certification des comptes en milieu
informatisé », les éditions d'organisation.
HUGUES ANGOT- CHRISTIAN FISCHER- BAUDOUIN THEUNISSEN (2004),
« Audit comptable, audit informatique », Edition de Boeck.
DIDIER HALLEPEE (2013), « Conduite et maîtrise de l’audit informatique (qualité,
sécurité informatique) », Edition carrefour du net.
MOISAND DOMINIQUE, GARNIER DE LABAEYRE (2010), « CobiT - Pour une
meilleure gouvernance des systèmes d'information », Edition EYROLLES.
Compagnie Nationale des Commissaires aux Comptes, « prise en compte de
l’environnement informatique et incidence sur la démarche d’audit », CNCC 2003.
VINCENT LACOLARE (2010), « Pratiquer l’audit à la valeur d’ajoutée », Edition
AFNOR.
MARIE BIA-FIGUEIREDO, YVES GILLETTE, CHANTAL MORLEY (2011),
« Processus métiers et S.I. - Gouvernance, management, modélisation », Edition
DUNOD.
ISACA (2012), « COBIT 5 : Un référentiel orienté affaires pour la gouvernance et la
gestion des TI de l’entreprise ».
Claude GRENIER et Camille MOINE « Construire le système d’information de
l’entreprises », Edition FOUCHER 2003.
THESES ET MEMOIRES
Mohamed Lassâad BORGI (2001), « l’évolution des technologies de l’information et
de la communication : impact sur l’audit financier », Mémoire d’expertise comptable.
Jihed BESGHAIER EPOUSE LEHBAIEL (2006), « Incidences de l’évolution des
technologies de l’information sur les risques d’audit et proposition d’une démarche
adaptée de la sécurité informatique », Mémoire d’expertise comptable.
174 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
175 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
NORMES ET REFERENTIELS
Aject : « manuel d’audit », décembre 2015.
Hechmi ABDELWAHED : « guide pour l’utilisation des normes internationales d’audit
dans l’audit des petites et moyennes entreprises », décembre 2007.
ISACA et AFAI : « guide d’audit des applications informatiques », novembre 2008.
La norme ISA 315 « connaissances de l’entité et de son environnement aux fins de
l’identification et de l’évaluation du risque d’anomalies significatives ».
La norme ISA 330 « réponse de l’auditeur à l’évaluation des risques ».
La norme ISA 500 « éléments probants ».
La norme ISA 520 « procédures analytiques ».
LOIS ET REGLEMENTS
Loi n° 91-63 du 29 juillet 1991, relative à l'organisation sanitaire.
176 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Loi n° 2001-94 du 7 août 2001, relative aux établissements de santé prêtant la totalité
de leurs services au profit des non-résidents.
Décret n° 2002-545 du 5 mars 2002, fixant les conditions des prestations de services
pouvant être fournies aux résidents par les établissements de santé prêtant la totalité de
leurs services au profit des non-résidents.
Décret n° 92-1208 du 22 juin 1992, fixant les attributions, la composition et les
modalités de fonctionnement du comité national des établissements sanitaires privés, tel
que modifié par le décret n° 98-740 du 30 mars 1998 et le décret n° 2001-1080 du 14
mai 2001.
Décret n° 93-1156 du 17 mai 1993, fixant les conditions de désignation et les obligations
des directeurs des établissements sanitaires privés.
Décret n° 93-1915 du 31 août 1993, fixant les structures et les spécialités ainsi que les
normes en capacité locaux, équipements et personnels des établissements sanitaires
privés, tel que complété et modifié par le décret n° 99-2833 du 21 décembre 1999 et
le décret n° 2001-1082 du 14 mai 2001 et le décret n°2010-2200 du 6 septembre 2010.
Décret n° 98-793 du 4 avril 1998, relatif aux établissements sanitaires privés tel que
modifié et complété par le décret n°2009-1926 du 15 juin 2009.
Arrêté du Ministre de la santé publique du 28 mai 2001, portant approbation de cahier
des charges relatif aux établissements sanitaires privés, tel que modifié et complété par
l’arrêté du 24 décembre 2007.
177 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
178 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
179 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
180 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
181 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
183 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
LES ANNEXES
184 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
185 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Objectif ISA
L’objectif est de déterminer le seuil de signification de manière appropriée dans le cadre de la 320
planification et l’exécution de l‘audit. Déterminer le seuil de signification implique un jugement
professionnel et peut se faire sur la base de critères quantitatifs ou qualitatifs.
L’auditeur doit déterminer un seuil de signification pour la réalisation des travaux, c’est-à-dire
un seuil de signification plus faible (que le seuil de signification global) afin de tenir en compte
la probabilité que le total des anomalies qui prises individuellement sont non significatives (en
fonction du seuil de signification global) fasse que les comptes annuels soient manifestement
erronés.
Utilisateurs Commentaires
a)
b)
c)
d)
e)
186 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Autres critères
Seuil de signification
antérieur
Sur la base de ce qui est mentionné ci-dessus, le seuil de signification global préalable est
de ___________ TND. Expliquer les raisons ci-dessous :
187 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Existe-t-il des informations additionnelles portées à votre connaissance qui diffèrent significativement
des informations sur lesquelles le seuil de signification global initial et le programme d’audit ont été
basés ? OUI NON
Si oui, expliquer les raisons :
Lorsque le seuil de signification global a été modifié, expliquer l’impact sur la nature, l’étendue et le
calendrier des procédures d’audit prévues (p. ex., rubrique significative des comptes annuels, taille des
échantillons, etc.).
188 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Objectif ISA
L’objectif est de documenter les discussions qui ont eu lieu au sein de l’équipe d’audit. 315
Les membres de l’équipe d’audit affectée à la mission doivent discuter entre eux de la 240
possibilité que les comptes annuels contiennent des anomalies significatives. La
communication entre les membres de l’équipe d’audit est nécessaire dans toutes les phases de
la mission afin de s’assurer que tous les problèmes ont été pris en considération de manière
appropriée. L’objectif est d’échanger les connaissances en fonction de l’expérience des
membres de l’équipe d’audit au sujet de la connaissance de l’entité, l’identification des risques,
leur évaluation, les réponses à ces risques.
189 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Objectif ISA
L’objectif est d’obtenir (ou de mettre à jour) et de documenter la connaissance de l’entité et de son 315
environnement afin de fournir une base pour l’identification et l’évaluation des risques d’anomalies 540
significatives au niveau des comptes annuels et au niveau des assertions. Cette connaissance peut
constituer une base pour la conception et la mise en œuvre des réponses aux risques évalués
d’anomalies significatives. La connaissance de l’entité et de son environnement (y compris de son
contrôle interne) peut se faire via :
a) des demandes d'informations auprès de la direction et d’autres personnels au sein de l’entité ;
b) des procédures analytiques ; et
c) l'observation physique et l'inspection.
En cas d’utilisation d’informations recueillies à partir d’expériences passées de l'entité ou de
procédures d’audit réalisées au cours d’audits précédents, il est important de vérifier si des
changements sont intervenus depuis le dernier audit et si ceux-ci peuvent avoir un impact sur la
pertinence des informations utilisées dans le cadre de l'audit en cours.
Historique du client
date de constitution ;
changement dans les activités ;
propriété et structure de gouvernance ;
autres évènements significatifs.
Aperçu du secteur
conjoncture économique générale,
nationale et locale ;
changement technologique ;
changements légaux ou
règlementaires ;
facteurs concurrentiels ;
secteur d’activité.
Stratégie du client
objectifs et stratégies actuels ;
stratégie pour atteindre les objectifs ;
190 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Structure du groupe
191 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
192 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Prendre connaissance
193 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
194 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
195 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Objectif ISA
L’objectif est d’acquérir une compréhension détaillée des mesures générales de gestion et les
315
applications informatiques utilisées, qui sont importantes en vue de garantir la fiabilité du
traitement automatisé des données.
Les mesures concernent notamment la continuité, la sécurité, la gestion des capacités et des 330
performances, la gestion du changement et l’assistance.
Risque
adapté tableurs ou
Cycles applications
« sur mesure » l’application entre les banques de
logicielles
par des tiers ou logicielle différentes données
utilisées ?
développé en applications importants
interne ? logicielles
Vente
Achat
Stock
Personnel
Trésorerie
196 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Initiales
W/P
Commentaires
Ref.
197 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Initiales
W/P
Commentaires
Ref.
198 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Initiales
W/P
Commentaires
Ref.
199 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
200 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Objectif ISA
L’objectif est de documenter l’évaluation des risques combinés d’anomalies significatives dans
les comptes annuels. Cette évaluation servira de base pour déterminer la nature, l’étendue et le 315
calendrier des procédures d’audit complémentaires à mettre en œuvre, et qui répondent aux risques
identifiés.
1. Risques inhérents
1.1. Organisation-direction
OUI
Commentaires sur les risques d'anomalies
Question NON
significatives
N/A
La direction a-t-elle les connaissances
appropriées et une bonne expérience
pour un établissement correct des
comptes annuels de l’entité ?
La qualité de l’information financière
produite les années antérieures par la
direction est-elle satisfaisante ?
L'organisation et la gestion de
l'entreprise permettent-elles d'éviter les
litiges importants ?
201 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
OUI
Commentaires sur les risques d'anomalies
Question NON
significatives
N/A
Les contrôles précédents ont-ils fait
apparaître peu d'anomalies dans
l'information comptable et financière ?
202 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
203 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
204 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Environnement de contrôle
Moyens d’identification des risques
liés à l’activité
Système d’information
205 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Objectif ISA
L’objectif est de décrire les étapes nécessaires à l’élaboration de la stratégie globale d’audit.
L’auditeur doit, en effet, planifier son audit en faisant preuve d’esprit critique et en étant conscient
200
que certaines situations peuvent exister et conduire à ce que les comptes annuels contiennent des
anomalies significatives.
La planification est essentielle pour s’assurer que la mission est effectuée de manière efficace et
efficiente, et que le risque d’audit a été réduit à un niveau faible acceptable. Il s’agit donc d’un 300
processus continu.
Au fur et à mesure que les travaux d’audit avancent, des modifications des plans globaux et
détaillés peuvent être nécessaires pour répondre aux nouvelles circonstances, aux conclusions
d’audit et aux autres informations obtenues.
I- Etendue de la mission
Données N N-1
Forme juridique de l'entité
Total du bilan
Total des produits
Nombre d'effectifs
Résultat après impôt
Fonds propres
Total bilan des états financiers consolidés
Engagements auprès des établissements de crédit
Nature de la mission
Date de nomination
Nombre des mandats
Risque
Mise à
Commentaires et stratégie d’audit significatif Initiales Date
jour
O/N
Données de l’audit précédent (nature de l’entité, contrôle interne, type d’opinion d’audit, risques
significatifs, problèmes particuliers, etc.)
206 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Identification des procédures de contrôle interne clés permettant de réduire le risque d’anomalies
significatives
Conséquences éventuelles sur les travaux d’audit de la présence d’un propriétaire dirigeant fortement
impliqué dans le processus de contrôle interne
Impacts des systèmes informatiques de l’entité sur l’audit (disponibilité de traces écrites)
Raisons du
niveau de
Risques Niveau
Risques risques +
liés au Risques de
Rubriques Assertion inhérents implications
contrôle combinés risque
O/N sur les
O/N E-M-F
procédures
d’audit
comptes annuels
Au niveau des
Toutes
Sur.
Au niveau des assertions
Exa
Personnel Exh.
Sép.
Imp.
Sur.
Clients/Ventes Exa
Exh.
207 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Sép.
Imp.
Sur.
Autres Exa
dettes/Autres Exh.
créances Sép.
Imp.
Sur.
Exa
Trésorerie /
Exh.
Financement
Sép.
Imp.
Capitaux Sur.
propres/ Exa
Exh.
Provisions Sép.
pour risques
et charges Imp.
Achats/ Sur.
Exa
Exh.
Fournisseurs Sép.
Imp.
Sur.
Exa
Impôts/Taxes Exh.
Sép.
Imp.
Sur.
Exa
Stocks Exh.
Sép.
Imp.
208 | P a g e