|
|
|
Contenu des différentes étapes
d'un audit informatique
 |
La prise de connaissance de l'environnement informatique
(PCEI)
Le commissaire aux compte se doit au minimum
de connaître les principales composantes du système d'information de
ses clients., en vue d’alimenter le Dossier Permanent.
La PCEI propose un moyen rapide et peu
contraignant pour mettre à niveau la partie informatique du dossier
permanent. À la suite de la PCEI, le cabinet dispose d'un inventaire
des moyens humains et techniques mis en oeuvre par le client pour
traiter ses informations. Cet inventaire mérite une mise à jour
régulière. La PCEI n'est toutefois qu'un outil
d'inventaire. Aucune analyse précise des risques n'est effectuée au
moyen de la PCEI. Un rapport peut être remis au client, à des fins de
vérification, mais il ne comporte pas de recommandations.
|
|
La
revue générale informatique (RGI)
La RGI
répond à la volonté d’avoir une opinion sur la problématique d'ensemble
de l'informatique de l'entreprise. Il s'agit d'un audit de la fonction
informatique (stratégie, politique, management opérationnel,
organisation, méthodes, outils, procédures ...) et du système
d'informations (architecture technique, fonctionnelle et réseau,
principaux logiciels applicatifs, bases de données et interfaces,
mécanismes de contrôle et d'administration, moyens assurant la sécurité
...).
La RGI peut
répondre par ailleurs aux attentes spécifiques des clients qui
s'interrogent sur leur informatique (voir provoquer cette
interrogation). Elle permet de gagner la confiance du client et de
l'intéresser à des interventions sur des thèmes plus précis.
|
|
La revue détaillée d'une application (RDA)
Réalisée
traditionnellement à l'intérim, la RDA convient avant tout lorsque des
risques ont été détectés au cours de la revue préliminaire des
procédures et/ou
systèùes, par les auditeurs financiers ou les auditeurs informatiques.
Pour présenter l’intervention au client, on s’appuit surtout sur
l'importance d'une application pour les états financiers et donc pour
l'opinion.
La RDA
s'applique aussi au contexte de changement profond d'une partie limitée
mais néanmoins significative du système d'information du client (mise
en place d'un nouveau progiciel comptable, d'une gestion commerciale
informatisée ...).
Dans le
contexte particulier des groupes, la RDA permet de réaliser une étude
"transversale" dont les conclusions s'appliquent à l'ensemble des
entités qui utilisent la même application.
|
|
Les interrogations de fichiers (IF)
Moyennant
une préparation convenable et une exploitation pertinente des
résultats, les IF permettent de de gagner en productivité et en
pertinence.
|
PCEI et RGI s'intéressent, avec plus de
détail pour la seconde, à la fonction informatique de l'entreprise et à
l'ensemble des applications qui composent le système d'information.La
RGI ne dépend pas directement du calendrier d'intervention financier et
peut donc être réalisé à tout moment au titre d’un interim.
RDA et IF s'intéressent à une
application précise ou à un domaine / cycle fonctionnel particulier(les
ventes, les achats, la paie du personnel, ...).
Une démarche logique (matérialisée par la
flèche sur le schéma présenté en haut de page) enchaînerait
respectivement PCEI, RGI, puis des revues informatiques des divers
domaines / cycles dans l'ordre décroissant de leur importance
respective pour l'opinion sur les états financiers.
Les autres "points d'entrée" peuvent être
liés à des risques particuliers immédiats détectés lors de missions
d’audit financier. Néanmoins, ils nécessitent au préalable de réaliser
un minimum de prise de connaissance pour situer une application étudiée
dans son contexte organisationnel et architectural, ou le cadre
technique et fonctionnel pour apprécier la pertinence et la faisabilité
technique des tests prévus.
|
