Bienvenue dans cet article détaillé qui met en lumière l’importance de prendre en compte le système d’information au sein d’une société française spécialisée dans les chaussures renforcées.
En tant que commissaire aux comptes signataire, vous avez été chargé d’auditer l’environnement de contrôle interne et l’organisation des flux de cette entreprise.
Ce rapport vise à examiner de près la démarche d’audit des systèmes d’information et les raisons pour lesquelles elle est cruciale dans le contexte français. Plongeons dans les détails sans plus tarder.
Lire Aussi: Le commissariat aux comptes
Table de matières
étude de cas : La prise en compte du système d’information
Vous venez d’être nomme commissaire aux comptes de la société française, société
spécialisée dans les chaussures renforcées. Elle a 2 gammes principales de produits : les chaussures de randonnée pour les particuliers, et les chaussures de protection pour les sociétés industrielles notamment.
La société a un seul site de production. Vous intervenez avec votre équipe pour comprendre l’environnement de contrôle interne et l’organisation des flux de la société, voici un compte rendu de votre entretien avec le directeur financier qui est aussi le directeur informatique de la société.
Notre organisation informatique repose sur une base ORACLE, que nous avons nommé ITLACE. Nous avions acheté la version standard qui comprend la comptabilité, la gestion des
stocks et la gestion commerciale. Les utilisateurs y ont accès à distance de n’importe quel ordinateur. Le logiciel est sur un serveur que nous avons acheté il y a 3 ans et qui est situé dans une partie de 1 usine non utilisée par la production.
Lire Aussi: Best Practices in Business Auditing
C’est moi qui me charge des mises à jour, meme si je ne suis pas informaticien de formation. Tous les mois, je lance une sauvegarde des données sur un disque dur que je conserve dans mon bureau.
Les 35 personnes qui ont une fonction administrative ont un ordinateur avec un accès à notre réseau interne. Elles ont la suite bureautique de Microsoft, y compris Outlook, et un accès à notre logiciel de Gestion ITLACE. J’ai décidé que les personnes étaient assez responsables pour avoir d’une part un mot de passe complexe et d’autre part, le changer régulièrement.
En outre, j’ai confiance en eux pour ne pas donner à leur collègue leur mot de passe pendant leur absence afin de regarder les mails arrivés et accéder à certains modules d’ITLACE.
Lire Aussi: Définitions, fondements et sources de normalisation de l’audit financier
Nous avons aussi un site internet marchand qui permet de présenter toute la gamme de nos produits et de permettre un achat facilité pour un certain nombre de nos fournisseurs. Nous avons nous-mêmes réalisé ce site en s’appuyant sur un modèle de site marchand disponible gratuitement sur internet. C’est un commercial qui a alors monté le site et qui reçoit les commandes reçues par Internet.
Nous n’avons jamais eu de pannes importantes informatiques ni eu connaissance d’intrusion de l’extérieur. Nous sommes satisfaits de la qualité de notre informatique et sommes certains de sa fiabilité ».
Suite à cet entretien, votre collaborateur semble très serein sur la qualité de l’informatique car elle repose sur des solutions éprouvées : Oracle, Microsoft et site marchand fonctionnant. Il
s’interroge sur la nécessité d’aller plus loin sur la connaissance du système d’information.
En tant que commissaire aux comptes signataire, vous considérez qu’il est absolument nécessaire d’auditer ce système d’information et d’approfondir certains points.
Vous rédigez alors une note sur les travaux à réaliser et les raisons pour lesquelles ils sont nécessaires
Corrigé : La prise en compte du système d’information
L’Évaluation du Contrôle Interne et les Travaux d’Audit Informatique
Le Contexte Légal et l’Importance du Contrôle Interne
Dans l’environnement légal français, le renforcement du contrôle interne au sein des entreprises est d’une importance capitale. Les travaux d’audit sur l’environnement informatique et les applications informatiques constituent une composante essentielle de toute approche d’audit. Ils permettent d’évaluer le risque d’anomalies significatives dans les comptes.
Cette démarche est consignée dans les normes professionnelles, notamment NEP-315, qui traite de la connaissance de l’entité et de son environnement, ainsi que de l’évaluation du risque d’anomalies significatives dans les comptes, et NEP-330, qui concerne les procédures d’audit mises en œuvre par le commissaire aux comptes à l’issue de son évaluation des risques.
L’Environnement de Contrôle Interne Informatique
Le fait que la société française ne dispose pas d’un informaticien permanent malgré son chiffre d’affaires de 200 millions d’euros et ses 200 employés représente un facteur de risque qu’il convient de prendre en considération. Pour évaluer l’environnement de contrôle interne informatique, plusieurs actions sont recommandées :
- Vérifier l’existence d’un manuel informatique détaillant les règles de sécurité à appliquer, l’organisation générale de l’informatique, ainsi que les procédures existantes de sauvegarde.
- Comprendre les règles de séparation des tâches mises en place dans la société en l’absence d’informations obtenues lors de l’entretien.
- S’informer sur les accès accordés pour modifier le logiciel ITLACE, notamment les codes d’accès ADMINISTRATEUR.
Les mots de passe utilisateur doivent respecter certaines normes de sécurité, incluant une longueur minimale de 6 à 8 caractères, avec des combinaisons de lettres minuscules, majuscules et de chiffres.
Gestion des Risques et Recommandations
Il est crucial de noter un risque important de pertes de données informatiques au sein de la société. Le serveur semble peu sécurisé physiquement, et les sauvegardes ne sont ni assez régulières ni automatisées.
Dans cette optique, des recommandations devraient être formulées pour améliorer la sécurité physique du serveur et des sauvegardes. Un plan de continuité de l’activité devrait être mis en place pour assurer le maintien des prestations de services essentielles de l’entreprise en cas de crises potentielles (grève, rupture de la chaîne logistique, inondation, sinistre informatique, etc.).
L’Évaluation de la Conformité Réglementaire et la Sécurité Informatique
Conformité Réglementaire d’ORACLE
Malgré l’indication du directeur financier et informatique selon laquelle la société utilise une solution standard d’ORACLE, il est essentiel de s’assurer que cette version est appropriée pour le marché français et qu’elle est régulièrement mise à jour.
La vérification de la clôture définitive des périodes comptables dès l’arrêt des comptes ainsi que la bonne conservation des données électroniques conformément aux règles fiscales et aux exigences de contrôle fiscal s’imposent.
Évaluation et Documentation des Contrôles
Il est nécessaire de s’assurer de la pertinence et de l’efficacité des contrôles intégrés dans le logiciel de gestion et comptable pour pouvoir s’appuyer sur eux. Les travaux à réaliser dans ce cadre incluent :
- Gestion et contrôle des droits d’accès : vérification qu’il n’y a pas plus d’accès que de personnes dans l’entreprise, que les accès sont individualisés et pertinents en fonction des responsabilités et des fonctions des individus.
- Analyse du paramétrage des droits d’accès de l’application Achats et des ventes en termes de séparation des tâches (acheteurs, comptables et payeurs différents, commercial, administration des ventes, comptables différents).
- Vérification des contrôles comptables de base, tels que le blocage effectif d’un règlement si la facture n’a pas été reçue et l’impossibilité pour un comptable de modifier une facture de vente.
- Contrôle de l’intégrité des données permanentes (prix de revient, tarifs, plan comptable).
Sécurité Informatique et Prévention des Intrusions
Des recommandations concernant la sécurité informatique sont indispensables, en mettant l’accent sur la confidentialité et l’intégrité des données du système d’information. Il est primordial de comprendre les « firewalls » en place pour prévenir toute intrusion informatique de tiers.
Le site internet marchand, basé sur un modèle gratuit trouvé sur internet, peut représenter une vulnérabilité potentielle et permettre à des tiers malveillants de récupérer des données sensibles de l’entreprise, telles que des brevets, des fichiers clients et des informations sur le personnel.
Conclusion
En conclusion, la prise en compte du système d’information est un facteur clé de réussite pour la société française. Seuls des travaux approfondis d’audit permettront de conclure sur la qualité, la fiabilité et l’efficacité de ce système. L’utilisation de produits standards n’est pas une garantie absolue de sécurité informatique ni de pertinence de l’organisation. Les recommandations fournies suite à l’audit contribueront à renforcer la sécurité et l’intégrité des données, assurant ainsi une meilleure protection pour l’entreprise et ses activités.