Bienvenue à la Compagnie régionale des Commissaires aux comptes de Paris

Vite Lu n°27 Audit informatique : tous concernés !

L’audit va disparaître... Nous parlons bien entendu de l’audit traditionnel, le papier crayon, qui subsiste encore chez certains de nos confrères mais dont les centaines de milliers de données manipulées par les entreprises leurs mènent la vie dure.

Notre profession se doit d’évoluer pour continuer à accompagner les entreprises de plus en plus informatisées et conserver le contrôle des données financières analysées dans un contexte de cas de fraude en croissance permanente. Après une série de conférences et formations sur le rôle du commissaire aux comptes dans la lutte anti-fraude organisées entre 2015 et 2016, la CRCC de Paris, sous l’impulsion de Frédéric Burband, vice-président, a décidé de créer le groupe de travail « Audit informatique », en partenariat avec l’AFAI, qui rassemble des spécialistes du contrôle interne informatique et de l’analyse de données informatiques.

Pourquoi un groupe de travail sur l’audit informatique ?

Notre objectif est d’expliquer, de sensibiliser et de convaincre nos confrères que l’utilisation d’outils de data mining (ou analyses de données) dans le cadre de leur mission est un gage d’excellence pour notre profession, de sécurisation de leur mission et une réponse efficace aux besoins des entreprises que nous accompagnons. Par ailleurs, il est également nécessaire de les sensibiliser au fait que la digitalisation des processus de l’entreprise est source de risques de perte de continuité d’activité ou encore de perte d’intégrité des données si celles-ci ne sont pas suffisamment sécurisées : soit parce que les accès aux systèmes sont trop étendus, soit parce que les programmes informatiques peuvent être modifiés sans contrôle en amont. La révolution actuelle lancée par les pouvoirs publics (FEC, DSN, facture électronique,…) n’est donc pas un obstacle, mais bien l’opportunité pour les professionnels que nous sommes, de donner du poids à nos contrôles. 

Comment sensibiliser les professionnels ?

Data mining, Data processing, sécurité informatique, FEC, contrôle informatisé… Un jargon de plus en plus courant dans nos échanges, sans pour autant être toujours maitrisé. Le groupe de travail est donc là pour réfléchir à de nouvelles manières de présenter ces concepts et de les rendre accessibles de tous.

Notre groupe travaille donc à l’élaboration de fiches pratiques qui auront pour objectif :

  • d’expliquer clairement et simplement les techniques regroupées sous le terme de data mining
  • de sensibiliser nos confrères à l’utilisation de ces techniques lors de leurs missions
  • de détailler les enjeux réglementaires liés
  • d’apporter des réponses et une méthodologie applicable directement en mission

L’audit informatique, ce n’est donc pas que pour les ETI et les grands comptes ?

Et bien non. Si nous prenons l’exemple du FEC, le Fichier des Ecritures Comptables, demandé désormais par l’administration fiscale et qui contient l’ensemble des écritures d’une entreprise, il concerne toutes les entreprises françaises qui tiennent leur comptabilité de manière informatisée. Il soulève d’ailleurs souvent des questions de la part des entreprises, malheureusement trop tard lorsque le vérificateur s’y intéresse...

Quels sujets seront donc abordés par le groupe de travail ?

Tous les sujets qui concernent l’audit informatique. En résumé :

  • Gouvernance du système d’infor-mation (SI) : Pour être capable d’établir une cartographie applicative claire, d’identifier les flux de données à maitriser (classification des données, gestion de l’externalisation, etc.) et de comprendre qui est responsable de quoi.
  • Conduite de projet : Mieux appréhender les impacts et les risques liés à un changement de logiciel ou d’ERP et expliquer les étapes clés de la revue de ce type de projets
  • Contrôle des accès : Car l’adminis-tration des droits utilisateurs doit être soumise à contrôle pour vérifier la cohérence avec les processus en place dans une entreprise
  • Exploitation des systèmes et continuité de l’activité : Pour expliquer à nos clients l’importance des sauvegardes et de la prévention/gestion des incidents pour assurer la continuité de l’activité
  • Législation fiscale et SI : Le FEC, la facturation électronique, les logiciels de caisse. La législation évolue rapidement, ce n’est pas sans impact sur les missions.
  • Cyber-sécurité et réseau : Pour mieux appréhender ce type de risques, il faut d’abord être correctement informé sur les méthodes et les pistes de détection sur ce genre d’attaques.
  • Ouverture sur la transformation numérique : Car les modèles de business de nos clients se transforment du fait de la révolution numérique et que nous devons appréhender les évolutions et les impacts sur nos approches. Ce ne sont plus que des comptables qui saisissent, mais également des robots et des algorithmes. Le contrôle doit donc évoluer pour détecter les bugs ou erreurs de paramétrage sur ces automatismes.
  • Utilisation de l’informatique par l’auditeur : Car l’utilisation de l’informatique dans les missions devient inévitable et qu’il est important d’analyser les données de nos clients avec des outils informatiques. 
  • Respect des données personnelles : un nouveau règlement européen et des sanctions aggravées.

Que faut-il retenir de nos travaux ?

Le monde change, les entreprises évoluent, nos méthodes de travail aussi. Notre groupe de travail est là pour apporter des réponses simples aux interrogations que suscite l’introduction des nouvelles technologies dans nos missions traditionnelles.

Rendez-vous le 4 juillet à la Maison de la chimie pour une formation dédiée à ces sujets.

Article rédigé par Mathieu Barret, Serge Yablonsky et Stéphanie Benzaquine membres du groupe de travail «Audit informatique»