45 4 4MB
UNIVERSITE DE SFAX FACULTE DES SCIENCES ECONOMIQUES ET DE GESTION DE SFAX
COMMISSION D’EXPERTISE COMPTABLE
MEMOIRE D’EXPERTISE COMPTABLE EN VUE DE L’OBTENTION DU DILPOME NATIONAL D’EXPERT COMPTABLE
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Elaboré par :
Directeur de recherche :
Ibrahim BOUAZIZ
M. Bacem DAMAK
Année universitaire 2017-2018
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Dédicaces Je dédie ce mémoire : A ma mère en témoignage de ma reconnaissance infinie pour les nombreux sacrifices qu’elle n’a cessé de consentir pour moi et dont je serais à jamais redevable. Que dieu la garde et lui procure santé et bonheur. A mon père qui n’a jamais porté d’aussi suprêmes espérances que celle de ma réussite. A mon frère Abdallah et mes sœurs Amina et Zeineb que je leur souhaite une vie pleine de succès et d’espoir. Que dieu nous garde toujours unis et heureux.
Que cet humble travail soit le témoignage de ma gratitude à tous mes amis et à tous ceux qui me sont cher, et m’apportent l’assurance de mon inaltérable dévouement.
1|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Remerciements Je souhaite adresser mes remerciements à toutes les personnes qui m'ont aidé et soutenu pendant ces dernières années. Je tiens à exprimer mes vifs remerciements et ma profonde gratitude à mon encadreur M. Bacem DAMAK pour son assistance, son aide et ses conseils inestimables pour la réalisation du présent mémoire. J’adresse également mes remerciements à M. Jelil BOURAOUI, pour ses conseils et son encadrement tout le long de mon stage professionnel. Je remercie finalement les membres du jury pour leur disponibilité et d’avoir bien voulu juger et évaluer ce travail.
2|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Sommaire Introduction générale ............................................................................................................... 8 PREMIERE PARTIE : Spécificités de la démarche d’audit dans un milieu informatisé .................................................................................................................................................. 13 Introduction de la première partie ....................................................................................... 14 1er chapitre : Les technologies d’informations et leurs impacts sur la démarche d’audit .................................................................................................................................................. 15 Section 1 : Les caractéristiques du système comptable dans un milieu informatisé .... 17 Section 2 : Les risques liés à l’informatique ..................................................................... 20 Section 3 : Impact de l’informatique sur la conduite d’une mission d’audit ................ 32 Conclusion ............................................................................................................................... 36 2ème chapitre : CobiT un référentiel d’audit des systèmes d’information ......................... 37 Section 1 : Présentation du référentiel .............................................................................. 37 Section 2 : Les processus du CobiT 5 ................................................................................ 40 Section 3 : CobiT pour l’audit .......................................................................................... 52 Section 4 : Les limites du référentiel CobiT ..................................................................... 55 Conclusion de la première partie .......................................................................................... 57 DEUXIEME PARTIE : Proposition d’une démarche d’audit dans un milieu informatisé .................................................................................................................................................. 58 Introduction de la deuxième partie ....................................................................................... 59 1er chapitre : Etudes comparatives avec les normalisations internationales .................... 60 Section 1 : Les normes françaises ...................................................................................... 60 Section 2 : Les normes américaines .................................................................................. 64 Section 3 : Les normes IFAC ............................................................................................. 66 2ème chapitre : Proposition de la démarche d’audit dans un milieu informatisé .............. 68 Section 1 : Planification de la mission ............................................................................... 69 Section 2 : Evaluation des risques ..................................................................................... 80 Section 3 : Les tests de validation ...................................................................................... 94 Section 4 : Synthèse des travaux ..................................................................................... 105 Conclusion de la deuxième partie ....................................................................................... 107 TROISIEME PARTIE : L’application de la démarche proposée pour une mission d’audit financier d’une polyclinique .................................................................................. 108 Introduction de la troisième partie ..................................................................................... 109 1er chapitre : Présentation générale de la polyclinique ..................................................... 111 Section 1 : Présentation du secteur d’activité ................................................................ 111 3|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Section 2 : Régime juridique............................................................................................ 118 Section 3 : Régime fiscal ................................................................................................... 121 2ème chapitre : l’application de la démarche d’audit proposée ........................................ 127 Section 1 : La planification de la mission ....................................................................... 128 Section 2 : Evaluation des risques ................................................................................... 141 Section 3 : Les tests de validation .................................................................................... 166 Conclusion de la troisième partie ........................................................................................ 170 Conclusion générale ............................................................................................................. 171 Bibliographie......................................................................................................................... 174 Table des matières ................................................................................................................ 178 LES ANNEXES .................................................................................................................... 184
4|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Liste des abréviations CobiT EDI ERP PGI SQL SGBD NTIC IEM GTAG TIC SI ISACA IT
: : : : : : : : : : : : :
COSO
:
NSIT OCDE ITSEC ITGI AFAI DSI PME IFAC CNCC OEC SEC AICPA FASB CAP ARB APB US GAAP IASC IAPC ISA SMPC MENA PIB
: : : : : : : : : : : : : : : : : : : : : : :
Control Objectives for Information and related Technology Echange de Données Informatisé Enterprise Resource Planning Progiciels de Gestion Intégrée Structured Query Language Système de Gestion de la Base de Données Nouvelles Technologies de l'Information et de la Communication Impulsions électromagnétiques Global Technology Audit Guide Technologies de l'Information et de la Communication Système d’information The Information System Audit and Control Association Information Technology Committee of Sponsoring Organizations of the Treadway Commission National Institute Standards and Technology Organisation de Coopération et de Développement Economiques Information Technology Security Evaluation Criteria Information Technology Governance Institute Association française pour l’audit et le conseil en informatique Direction du Système d’Information Petites et Moyennes Entreprises International Federation of Accountants Compagnie Nationale des Commissaires aux Comptes Ordre des Experts Comptables Securities and Exchange Commission American Institute of Chartered Public Accountants Financial Accounting Standard Board Committee Accounting Procedures Accounting Research Bulletins Accounting Principles Board Generally Accepted Accounting Principles International Accounting Standards Committee International Auditing Practice Committee International Standards on Auditing Small and Medium Practices Committee Moyen-Orient et Afrique du Nord Produit Intérieur Brut 5|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
MDT CNAM BIT INS GED TCL TVA TFP FOPROLOS DAI
: : : : : : : : : :
Millions Dinars Tunisien Caisse Nationale d’Assurance Maladie Bureau International du Travail Institut National de la Statistique Gestion Electronique des documents Taxe Collectivité Publique Taxe sur la Valeur Ajoutée Taxe de Formation Professionnelle Fonds de Promotion du Logement pour les Salariés Demande d'Approvisionnements Interne
6|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Liste des figures Figure n°1 Figure n°2 Figure n°3 Figure n°4 Figure n°5 Figure n°6
: : : : : :
Figure n°7 Figure n°8 Figure n°9 Figure n°10 Figure n°11 Figure n°12 Figure n°13 Figure n°14 Figure n°15
: : : : : : : : :
Schéma du fonctionnement Client/Serveur Schématisation des modules d’un PGI Chaine de valeur d’une entreprise numérique Zones clés de gouvernance et de gestion de CobiT 5 Exemple du système d’information d’une entité Exemple de présentation graphique pour un système d’information d’une entité (forme de flux de traitement des données) Décomposition d’un processus d’entreprise Matrice des risques et des contrôles Présentation schématique de la synthèse des risques Analyse SWOT du secteur de santé privé en Tunisie Organigramme de la polyclinique Cartographie du processus achats articles stockables Cartographie du processus réception de la commande Cartographie du processus réception et contrôle facture achats Cartographie du processus facturation
7|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Introduction générale L’environnement actuel de l’entreprise est caractérisé par la globalisation des économies qui est facilitée par le développement accéléré des systèmes d’information. En effet, durant les vingt dernières années, ces systèmes ont connu des évolutions exponentielles grâce au développement technologique. Ainsi, nous avons observé notamment, l’explosion des micro-processeurs, le développement des réseaux, l’intégration des systèmes, l’ouverture des systèmes sur les partenaires de l’entreprise… L’irruption de l’internet a accéléré considérablement l’évolution des systèmes d’information, puisque son coût réduit et sa relative simplicité d’utilisation ont favorisé sa pénétration, notamment vers les petites entreprises et les consommateurs. L’économie moderne devient de plus en plus immatérielle. Cette évolution vers la société de l’information n’aurait été facilitée que par le développement spectaculaire des technologies de l’information. Aujourd’hui, les systèmes d’information revêtent un caractère stratégique dans le monde des entreprises. En effet, les exigences de l’environnement (marchés financiers, clients, concurrence... etc.) imposent à celles-ci la performance et la réactivité. Ceci implique que le traitement de l’information soit rapide et pertinent. Ainsi, il est primordial que les systèmes d’information permettent à l’entreprise d’une part, d’adapter en permanence sa structure aux exigences de son marché et, d’autre part, d’être en mesure, d’augmenter continuellement sa productivité. Il s’en suit que les dirigeants des entreprises s’orientent, inévitablement, de plus en plus vers des systèmes ouverts, modulaires, axés sur les besoins des clients et permettant la couverture de l’ensemble des besoins de l’entreprise. Cependant, l’ouverture et la complexité des systèmes peuvent engendrer des risques ayant des conséquences néfastes sur le bon fonctionnement de l’entreprise. Le développement et l’accélération du système d’information ont conduit les auditeurs financiers, que leur mission soit contractuelle ou s’inscrive dans un cadre légal, à s’interroger sur la validité de l’approche et les outils traditionnels de l’audit financier, à adapter progressivement leur démarche et surtout à développer de nouveaux moyens de vérification. Afin de répondre aux nouvelles exigences imposées par cet environnement, l’auditeur est astreint à revoir sa méthodologie d’audit et compléter sa formation dans le domaine de l’audit
8|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
informatique de façon à prendre en considération les risques induits par les systèmes informatiques et leur impact sur le dispositif du contrôle interne. Pour faire face à ce nouveau contexte, certains cabinets d’audit ont adopté de nouvelles démarches d’audit qui reposent largement sur l’évaluation des risques et des contrôles informatiques. Ces nouvelles approches imposent aux auditeurs de comprendre, évaluer et tester le contrôle interne relatif à l’environnement de la fonction informatique et aux systèmes gérant les principaux processus des activités de l’entreprise. Dans ce cadre, le référentiel CobiT (Control Objectives for Information and related Technology) se positionne comme un référentiel de contrôle. Il décline sur le domaine IT les principes du référentiel COSO (Committee of Sponsoring Organizations of the Treadway Commission), publiés pour la première fois en 1992 et dont l’objectif est d’aider les entreprises à évaluer et à améliorer leur système de contrôle interne. La mise en chantier du référentiel CobiT résultait de la volonté des auditeurs de répondre aux exigences du COSO et de partager les mêmes plans d’audit. La plupart des grands cabinets d’audit internationaux (les big 6 à l’époque) y ont participé. Il est ainsi devenu un standard de fait. On y trouvait l’essentiel de la structuration actuelle en domaines, processus et objectifs de contrôle détaillés1. CobiT permet l’alignement stratégique de l’entité en définissant un ensemble de principes à suivre. La démarche est structurée sur la généralisation de l’audit à l’ensemble des activités gérées et/ou générées par le système d’information pour maitriser les risques et assurer une amélioration continue. La version 5 de CobiT est disponible depuis avril 2012. CobiT 5 est, à ce jour, le seul référentiel qui est orienté business pour la gouvernance et la gestion des systèmes d’information de l’entreprise. Il représente une évolution majeure dans les référentiels de contrôle. CobiT 5 peut être adapté pour tous les types de modèles business, d’environnements technologiques, toutes les industries, les lieux géographiques et les cultures d’entreprise. Il peut s’appliquer à : La sécurité de l’information ; La gestion des risques ; La gouvernance et la gestion du Système d’Information de l’entreprise ; Les activités d’audit ; La conformité avec la législation et la règlementation ;
MOISAND DOMINIQUE, GARNIER DE LABAEYRE « CobiT - Pour une meilleure gouvernance des systèmes d'information », 2010, p.3 1
9|Page
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Les opérations financières ou les rapports sur la responsabilité sociale de l’entreprise La présence accrue de l’informatique dans le système d’information comptable et financière ainsi que les importantes évolutions et mutations que ce système connait au sein de l’entreprise doivent être prises en compte dans la démarche de travail de l’auditeur. En effet, l’audit des états financiers d’une entité représente pour les auditeurs financiers un nombre de défis de plus en plus grand : d’un côté l’évolution rapide des normes comptables, et de l’autre l’automatisation croissante de la préparation des états financiers au moyen de systèmes d’information toujours plus complexes. La qualité des informations financières dépend dans une large mesure de la qualité des processus métiers et des flux de traitement des données s’y rapportant. Il est donc logique que l’auditeur concentre son travail sur ces processus métiers et intègre le contrôle des applications correspondantes dans son approche d’audit. Afin de répondre aux objectifs généraux de l’audit des états financiers recommandés par la norme d’audit ISA 200, l’expert-comptable doit mettre en œuvre des procédures appropriées et adéquates pour : qu’il identifie et évalue les risques d’anomalies significatives, que celles-ci résultent de fraudes ou d’erreurs, en se basant sur sa compréhension de l’entité et de son environnement, y compris son contrôle interne ;
qu’il obtienne, en concevant et en mettant en œuvre des réponses adaptées à l’évaluation des risques, des éléments probants suffisants et appropriés indiquant s’il existe des anomalies significatives ;
qu’il se forme une opinion sur les états financiers à partir des conclusions tirées des éléments probants recueillis2. En effet, l’auditeur financier doit prendre en considération l’environnement informatique de l’entité y compris son contrôle interne pour identifier et évaluer les risques d’anomalies significatives. Pour cela, le référentiel CobiT 5 est considéré parmi les outils que l’auditeur financier utilise pour évaluer l’environnement du contrôle interne de l’entité. L’intérêt majeur de ce travail de recherche est de mettre en évidence l’importance de la compréhension de l’environnement informatique d’une entité dans la cadre d’une mission d’audit financier et d’exposer les différentes diligences que l’expert-comptable doit suivre, afin de répondre aux objectifs généraux de l’audit, en s’appuyant sur le référentiel CobiT 5. L’auditeur financier doit évaluer et identifier les risques liés aux systèmes d’informations à partir de : 2
Norme d’audit ISA 200, point 7, p 5
10 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
la prise de connaissance de l’environnement informatique ; l’identification des processus métier et des flux de traitement des données ; l’identification des applications de base et des principales interfaces IT pertinentes. Pour éclairer cette problématique, nous allons étudier les spécificités et les particularités du système comptable dans un milieu informatisé, les risques liés au système d’information ainsi que les impacts de l’informatique sur la conduite d’une mission d’audit. Notre recherche nous conduira à choisir le référentiel CobiT 5 parmi les outils que l’auditeur financier peut utiliser pour identifier et évaluer les risques liés au système d’information. Nous essayerons de proposer une démarche d’audit dans un milieu informatisé qui traite notamment : la planification de la mission d’audit, l’évaluation des risques et les tests de validation en se basant sur le référentiel CobiT 5 et ce dans le cas d’une polyclinique. Dans ce contexte, il s’agit de savoir quelle démarche adopter pour l’audit dans un milieu informatisé d’une polyclinique, en se basant sur le référentiel CobiT 5, afin de s’assurer que les travaux menés répondent aux standards de qualité de la mission d’audit ? La problématique, ainsi présentée, nous incite à apporter des éléments de réponse aux questions suivantes : Quelles sont les particularités et les spécificités du système comptable dans un milieu informatisé ? Quels sont les risques liés au système d’information ? Quels sont les impacts de l’informatique sur la conduite d’une mission d’audit ? Qui est-ce qu’un CobiT 5 ? Quels sont les apports du CobiT 5 en tant que référentiel d’audit du système d’information ? Comment le CobiT 5 peut-il aider l’auditeur financier dans sa démarche d’audit ? Quelles sont les limites du référentiel CobiT 5 ? Quelles positions des normalisations internationales pour l’audit dans un milieu informatisé ? Quelle démarche doit être suivie par l’audit financier dans un milieu informatisé ? Quels sont les éléments que doit prendre en considération l’auditeur lors de la planification de la mission ? Quelle importance à accorder l’auditeur pour l’évaluation du système de contrôle interne de l’entité auditée ?
11 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Quels sont les processus du CobiT 5 que l’auditeur utilise pour évaluer le système d’information de l’entité auditée ? En conséquence, cette étude s’articule autour de trois parties. Une première partie dans laquelle nous essayons de montrer les spécificités de la démarche d’audit dans un milieu informatisé à travers de l’exposition des impacts de la technologie d’information sur la démarche d’audit et la présentation du référentiel CobiT 5. La deuxième partie traite la démarche d’audit financier dans un milieu informatisé en commençant par une étude comparative avec les normalisations internationales (la normalisation française, la normalisation américaine et la normalisation internationale IFAC). Nous essayons, ensuite, de proposer une démarche d’audit dans un milieu informatisé qui traite notamment : la planification de la mission d’audit, l’évaluation des risques et les tests de validation en se basant sur le référentiel CobiT 5 et ce dans le cas d’une polyclinique. Au niveau de la troisième partie nous essayons d’adopter la démarche proposée à l’audit d’une polyclinique privée. Enfin, cette recherche n’a pas pour prétention de fournir un programme d’audit exhaustif, mais elle vise plutôt à contribuer à l’adaptation de la démarche d’audit aux particularités de la mission d’audit dans un milieu informatisé d’une polyclinique.
12 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
PREMIERE PARTIE : Spécificités de la
démarche d’audit informatisé
dans
un
milieu
13 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Introduction de la première partie Dans un environnement de concurrence mondiale, les entreprises se restructurent pour rationaliser leurs activités et, conjointement profiter des progrès des technologies de l’information afin d’améliorer leur compétitivité. Mettre en avant la compétitivité et le rapport coût efficacité implique une confiance toujours accrue dans les technologies qui deviennent une composante essentielle de la stratégie de la plupart des entreprises. L’automatisation des fonctions de l’entreprise dicte l’incorporation de mécanismes de contrôle plus puissants dans les ordinateurs et les réseaux, qui s’appuient à la fois sur le matériel et le logiciel. De plus, les caractéristiques structurelles fondamentales de ces contrôles évoluent à la même vitesse et de la même manière, par bonds successifs, que les technologies sous-jacentes de l’informatique et des réseaux. Pour réussir dans cette économie de l’information, la gouvernance d’entreprise et celle des technologies de l’information ne doivent plus être considérées comme des disciplines séparées et distinctes. Une gouvernance d’entreprise efficace se concentre sur l’expertise et l’expérience des individus et des groupes là où elles peuvent être les plus productives, surveille et mesure les performances, et prévoit une assurance pour les points critiques. Beaucoup d’entreprises reconnaissent les bénéfices potentiels apportés par la technologie. Cependant, les entreprises performantes comprennent et gèrent les risques associés à la mise en œuvre des nouvelles technologies. Les Objectifs de Contrôle de l’Information et des Technologies Associées (CobiT) aident à faire face aux multiples besoins du management en établissant des liens entre les risques métiers, les besoins de contrôle et les questions techniques. Il fournit les bonnes pratiques au travers d’un cadre de référence par domaine et par processus et présente les activités dans une structure logique et gérable. Pour CobiT, les « bonnes pratiques » signifient un consensus des experts3. Le premier chapitre sera consacré à l’étude des principaux impacts des nouvelles technologies de l’information et de la communication sur le système comptable et les contrôles internes de l’entreprise ainsi que l’audit financier. Le deuxième chapitre sera réservé à la présentation du référentiel de contrôle CobiT et leur apport à l’expert-comptable soit dans le cadre de sa mission d’audit des états financiers ou dans le cadre de leurs missions spécifiques. 3
Monique Garsoux « CobiT-une expérience pratique » la revue n°78- Mars 2005, p.1
14 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
1er chapitre : Les technologies d’informations et leurs impacts sur la démarche d’audit Avant de présenter les caractéristiques du système comptable dans un milieu informatisé et l’impact des nouvelles technologies sur la démarche d’audit, il est nécessaire d’exposer brièvement les principales nouvelles technologies de l’information et de la communication. L’architecture Client/serveur : L’architecture client/serveur désigne un mode de communication entre plusieurs composants d’un réseau. Chaque entité est considérée comme un client ou un serveur. Chaque logiciel client peut envoyer des requêtes à un serveur. Un serveur peut être spécialisé en serveur d’applications, de fichiers, de terminaux, ou encore de messagerie électronique4. Un système client/serveur fonctionne selon le schéma suivant :
Client
Requêtes Réponses
Client
Serveur
Requêtes
Figure n°1 : Schéma du fonctionnement Client/Serveur Les Progiciels de Gestion Intégrée (ERP) : L’ERP est un progiciel qui permet de gérer l’ensemble des processus opérationnels d’une entreprise en intégrant plusieurs fonctions de gestion : solution de gestion des commandes, solution de gestion des stocks, solution de gestion de la paie et de la comptabilité, solution de gestion e-commerce, solution de gestion de commerce5.
4 5
https://fr.wikipedia.org/wiki/Client-serveur https://www.choisirmonerp.com/erp/definition-d-un-erp
15 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée Stocks
Comptabilité générale
Production
Paie Comptabilité de gestion
Ventes Base de données entreprise
GRH
Gestion financière Immobilisations, investissements
Approvisionnements
Consolidation Trésorerie
Reporting
Figure n°2 : Schématisation des modules d’un PGI Les principaux avantages ou inconvénients de l’implantation d’un PGI sont les suivants 6: Avantages
Contraintes
Partage des informations
Chacun accède aux informations dès leur saisie, en temps réel
- Définition d’autorisations d’accès
Cohérence des données (base unique), des applications
- Accès plus facile aux différentes applications (ergonomie uniforme)
- Lourdeur de mise en place du PGI
- Pas d’interfaçages - Extractions à la demande (SQL)
Standardisation
- Coût très inférieur à des applications « maison » - Maintenance par l’éditeur
- Nécessite une bonne réactivité des acteurs
- Formation du personnel - La sécurisation des données est vitale - Adapter les procédures au PGI - Dépendance de l’éditeur du PGI ou d’une société de service
- Bénéfice d’une ergonomie éprouvée
L’Echange de Données Informatisé (EDI) : L'échange de données informatisé (EDI) est une technique qui remplace les échanges physiques de documents entre entreprises (commandes, factures, bons de livraison,...) par des échanges,
6
Tableau extrait de l’ouvrage « Assistant de manager » - DUNOD
16 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
selon un format standardisé, entre ordinateurs connectés par liaisons spécialisées ou par un réseau7.
Section 1 : Les caractéristiques du système comptable dans un milieu informatisé Le recours à des nouvelles technologies est susceptible de générer des incidences marquantes sur : -
La structure organisationnelle ;
-
La nature des traitements.
1.1 - La structure organisationnelle La structure d’une organisation est l’ensemble des « moyens employés pour diviser le travail en tâches distinctes et pour assurer la coordination nécessaire entre ces tâches »8. La répartition des tâches et des responsabilités, les mécanismes de coordination, les règles et les procédures permettent de caractériser la structure d’une entreprise. La mise en place des nouvelles technologies de l’information et de la communication produit des changements importants rattachés au flux des informations et à l’accès aux données. Désormais, les centres de décision deviennent moins centralisés, les utilisateurs finaux plus concernés par les nouvelles évolutions. En effet, l’informatisation peut engendrer une redéfinition des responsabilités des employés. Toutefois, il y a lieu de signaler que la complexité des nouvelles technologies de l’information et de la communication exige à la direction de préserver une place importante dans sa structure globale pour la fonction du service informatique. La séparation des tâches incompatibles devient de plus en plus difficile en raison des facteurs suivants :
-
La gestion des accès : le stockage des informations comptables et de gestion et les programmes d’application de l’entreprise sur des mémoires électroniques permet à beaucoup de personnes d’accéder au moyen de terminaux.
-
La réduction du nombre de personnes intervenantes : l’automatisation des traitements comptables impliquent la réduction du nombre de personnes.
Il est à préciser que la séparation classique des tâches dans un environnement non informatisé, n’est pas totalement efficace dans un système informatisé, mais le contrôle peut être renforcé 7 8
Institut National de la Statistique et des études économiques : définition de l’EDI, publication du 13/10/2016 HENRY MINTZBERG (1982)
17 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
par différents types de logiciels destinés à limiter l’accès aux applications et aux fichiers. Il est donc nécessaire d’apprécier les contrôles portant sur l’accès aux informations afin de savoir si la séparation des tâches incompatibles a été correctement renforcée. Dans un environnement informatisé, il existe trois types d’utilisateurs9 : 1. Les utilisateurs non autorisés : il s’agit des intrus externes. Des contrôles préventifs, particulièrement des contrôles d’authentification des utilisateurs, répondent à ce type de risque. 2. Les utilisateurs enregistrés : l’accès de ces utilisateurs devrait être limité aux applications et aux données rattachées à leurs fonctions. Des contrôles préventifs pour ce type d’utilisateurs se présentent sous forme de contrôle d’authentification des utilisateurs et d’allocations de droits limités aux applications nécessaires à l’exécution de leurs tâches. 3. Les utilisateurs privilégiés : il s’agit de l’administrateur système, les développeurs, les responsables de l’exploitation. Ces utilisateurs nécessitent des privilèges de système ou de sécurité pour la réalisation de leurs travaux. Pour le département informatique, si les fonctions incompatibles ne sont pas correctement séparées, des erreurs ou irrégularités peuvent se produire et ne pas être découvertes dans le cours normal de l’activité. Des changements non autorisés dans des programmes d’application ou dans des fichiers peuvent être difficiles à détecter dans un environnement informatique. C’est pourquoi, des mesures préventives touchant en particulier le respect de la séparation des fonctions principales de programmation et d’exploitation deviennent indispensables pour assurer la fiabilité de l’information financière.
1.2 - La nature des traitements Les traitements peuvent être effectués en temps réel ou en temps différé. Ce dernier mode de traitement est souvent appelé traitement « batch » ou traitement par lot. Le plus souvent les traitements sont mixtes et font alternativement appel au temps réel et au temps différé, selon les besoins. Traitement en temps réel (real time processing) : le traitement en temps réel est un mode de traitement qui permet l’admission des données à un instant quelconque et l’obtention immédiate des résultats.
Mohamed Lassâad Borgi, mémoire d’expertise : « L’évolution des technologies de l’information et de la communication : impact sur l’audit financier », p.12 9
18 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Un des avantages de ce mode de traitement est de permettre une validation immédiate des données de saisie par confrontation, pour contrôle et cohérence, avec les informations de fichiers en ligne. Néanmoins, ce traitement présente des inconvénients suivants : -
Possibilité de mise à jour des fichiers ou des bases de données sans autorisation en l’absence de procédures appropriées de sécurité ;
-
Possibilité de dégradation de l’intégrité du système d’information et plus particulièrement des bases de données, si les procédures d’accès, de validation et contrôle a posteriori ne sont pas appropriées ;
-
Pas de chemin de révision en l’absence de procédures de « journalisation » spécifiques. En temps réel, la mise à jour entraîne, sauf option ou programmation appropriée, la disparition de la donnée périmée par la mise à jour ;
-
Complexité des procédures de sauvegarde, de restauration et de reprise.
Traitement par lot (batch processing) : le traitement par lot est défini comme le traitement suivant lequel les programmes à exécuter ou les données à traiter sont groupés par lot. La caractéristique essentielle des traitements par lots est que la mise à jour des fichiers n’est pas immédiate. Pour mettre à jour un ou des fichiers, il faut procéder successivement à la réalisation des phases de saisie, de validation, de recyclage des anomalies et finalement de mise à jour. En raison du caractère séquentiel de ce mode de traitement, le chemin de révision est généralement facile à suivre. Traitement en temps réel différé (memo update) : ce mode de traitement se caractérise par une validation de la saisie en temps réel et une mise à jour différée en traitement par lots. Lorsque le besoin d’informations immédiates est important pour les utilisateurs, une programmation appropriée permet, lorsque l’utilisateur interroge les fichiers, de recevoir une information à jour même si les fichiers ne sont pas encore réellement mis à jour. Dans la pratique, le traitement en temps réel différé est très répandu. Il faut également noter qu’il facilite les procédures de sauvegarde, de restauration et de reprise.
1.3 – Les Conséquence de l’évolution des techniques informatiques Plus les entreprises et les organisations sont informatisées, plus elles sont dépendantes du bon fonctionnement de leurs systèmes informatiques. La présence d’un environnement informatisé a trois conséquences implicites : -
disparition du chemin de révision ou son existence pendant une période de temps excessivement courte. Dans certains secteurs d’activité, et plus particulièrement pour les sociétés de service, un seul et même document de base peut, dès sa saisie, déclencher 19 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
automatiquement la quasi-totalité des écritures concernant la comptabilisation de la transaction correspondante. -
disparition de la dématérialisation de certaines procédures d’autorisation et de contrôle, qui sont alors directement réalisées par les programmes. Les plus fréquentes sont les tests de validation effectués lors de la saisie des transactions dans les systèmes interactifs. En matière purement comptable, les programmes exécutent couramment : des tests d’équilibrage du type débit = crédit des vérifications de séquences des tests de vraisemblance en fonction de seuils prédéterminés pour les montants concernant un type d’écriture particulier des tests portant sur les zones obligatoires à renseigner pour qu’une écriture soit acceptée. le fait que certaines procédures de contrôle manuelles deviennent elles même étroitement dépendantes de l’informatique. La revue d’un état d’exception est en effet forcément tributaire de la fiabilité et des contrôles concernant la production même de cet état.
Il est clair que l’utilisation des systèmes informatiques procure à l’entreprise des avantages indéniables notamment, une plus grande fiabilité de l’information : -
les opérations de calculs, de report et de totalisation sont plus fiables que lorsqu’elles sont exécutées manuellement ;
-
il est possible d’obtenir des états d’analyse beaucoup plus complexes dans un laps de temps excessivement court ;
-
les contrôles programmés inclus dans les applications sont systématiques, alors que pour des considérations de coûts ou de temps, ces mêmes contrôles ne pouvaient être effectués que sur une base de tests dans des environnements manuels.
Section 2 : Les risques liés à l’informatique Le système d’information comprend les informations qui sont collectées, gardées, traitées, recherchées ou transmises par une infrastructure informatique composée de matériels
20 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
informatiques, d’équipements périphériques, de logiciels et de réseaux de télécommunication, ainsi que les ressources humaines qui l’organisent et le mettent en œuvre10. Cette définition permet de comprendre que le risque informatique consiste non seulement en un risque technique lié à la défaillance du matériel, mais qu’il consiste également en un risque organisationnel, plus complexe à traiter et aux conséquences diverses. Les documents financiers peuvent être modifiés et des transactions illicites peuvent être engagées au nom de l’entreprise sans son consentement. Des documents confidentiels peuvent être divulgués au public ou aux concurrents de l’entreprise. Les droits d’auteurs, les marques et les brevets peuvent être violés. Mais aussi, bien d’autres dommages peuvent toucher la réputation et la notoriété de l’entreprise. Les risques informatiques sont de plusieurs ordres. Nous pouvons les regrouper en trois catégories de risques : -
Risque économique
-
Risque physique
-
Risque logique.
Le risque économique : est celui lié à l’utilisation de l’informatique dans la gestion de l’entreprise. Les entreprises les plus vulnérables au risque informatique sont souvent dans l’obligation de se doter de dispositifs de secours relativement évolués, malgré le coût élevé de ces systèmes. Le risque physique : est celui de la défaillance des ordinateurs et de leurs unités périphériques, comme de l’environnement nécessaire à leur fonctionnement. Les risques physiques sont notamment les risques qu’ils peuvent porter atteinte à la pérennité de l’entreprise. Le risque logique : provient de la mise en œuvre des mauvaises procédures. Il peut s’agir soit d’une mauvaise programmation, soit d’erreurs de manipulation. Les risques logiques sont très nombreux puisque l’informatique est une technique qui fonctionne pour l’essentiel sur la logique. Les principaux risques logiques classiques sont les suivants : -
Contrôle interne insuffisant ;
-
Paramétrage erroné ;
-
Contrôle d’accès mal adapté ;
Fabrice OMANCEY « La gestion du risque informatique à l’hôpital : protection de la confidentialité et sécurité des données au centre hospitalier de Dreux », 2003, p10 10
21 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
Saisie de données non conformes ;
-
Erreur de manipulation de supports ;
-
Erreur de programmation.
La complexité et la sophistication croissante de l’informatique entraînent des risques dans les entreprises et les organisations, risques qui sont à la mesure de l’accroissement d’efficacité et de productivité que l’informatique apporte avec elle. Dans cette section, nous identifierons les principaux risques que l’informatique peut faire naître. Nous avons également pour préoccupation de rechercher quelles sont les procédures et les mesures les plus utiles pour pallier et compenser les risques principaux.
2.1. Les risques généraux L’existence même de l’informatique modifie sensiblement les risques généraux du fait de : -
La puissance et la fragilité qu’elle génère en facilitant la concentration des informations et leur circulation ;
-
La technicité et l’évolution permanente des systèmes qui nécessitent une formation approfondie des « informaticiens » à proprement parler, mais aussi et surtout des « utilisateurs » dont elles bousculent souvent les habitudes ;
-
L’application systématique des opérations programmées qui apporte une sécurité plus grande qu’un système manuel si le programme est fiable mais implique, dans un système mal programmé, des anomalies ;
-
La capacité de certains systèmes à générer des informations sans intervention humaine (systèmes intégrés) créant un risque de voir disparaître, c’est à dire la trace du flux d’informations de l’origine des opérations à leur traduction dans les livres ;
En effet, l’approche Chaîne de valeur11 nous a permis de comprendre le fonctionnement de l’entreprise dans un milieu informatisé. Selon sa conception, les systèmes d’information (SI) dans l’entreprise sont définis comme une fonction support. Toutefois, les mutations récentes au sein des entreprises plaident pour une vision radicalement différente. Les SI, et plus encore l’usage du numérique sous toutes ses formes, ne sont plus une fonction support à l’activité de l’entreprise mais deviennent une source même de la création de valeur au sein de celle-ci.
11 La chaine de valeur est un modèle développé par M. Porter dans L’avantage concurrentiel (1986), qui vise à décomposer l’activité de l’entreprise en différentes étapes, pour identifier où se trouvent les sources d’avantages concurrentiels, autrement dit, de création de valeur
22 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Gestion administrative et management Systèmes de planification et de messageries électroniques Ressources humaines Systèmes de planification de la main-d’œuvre Technologies Systèmes de conception assistée par ordinateur Approvisionnement Systèmes de commande informatisés Logistique
Opérations
entrante
Ventes et
Services
Logistique
marketing
sortante
Systèmes
Systèmes de
Systèmes de
Systèmes de
Systèmes
automatisés de gestion d’entrepôt
fabrication contrôlée par ordinateur
commande informatisés
maintenance des équipements
automatisés de planification des livraisons
Systèmes de gestion des relations clients
Systèmes de fourniture et d’approvisionnement
Fournisseur des fournisseurs
Fournisseurs
Entreprise
Clients
Distributeurs
Chaine de valeur du secteur
Figure n°3 : Chaîne de valeur d’une entreprise12 Ces risques généraux peuvent être regroupés en huit familles :
12
-
Les risques liés aux ressources humaines ;
-
Les risques liés à la dématérialisation des rapports humains ;
-
Les risques stratégiques ;
-
Les risques liés au contrôle des systèmes d’information ;
-
Les risques éthiques et juridiques ;
-
Les risques liés au patrimoine informatique ;
-
Les risques marketing ;
-
Les risques périphériques.
Arseg « La protection de l’information en entreprise », avril 2015.
23 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
2.1.1- Les risques liés aux ressources humaines13 La gestion des ressources humaines peut être fortement impactée lors de l’informatisation de l’entreprise. En effet, l’apparition de l’informatique dans une entreprise s’accompagne parfois de licenciements, de changements dans les habitudes quotidiennes de travail ou nécessite de nouvelles formations… Or, ces changements affectent directement le facteur humain de l’entreprise, et sa réaction négative potentielle impacte le résultat de l’entreprise par une diminution de sa productivité ou un ralentissement de son activité. Il existe deux risques majeurs attachés aux ressources humaines : le manque d’adhésion ou le rejet par les employés de la politique d’informatisation de l’entreprise et la sclérose des compétences. Le manque d’adhésion ou le rejet de la politique de l’informatisation de l’entreprise par les employés : sans mettre en place des pratiques de management dans le cadre de la conduite du changement, l’entreprise peut se retrouver face à une attitude hostile de ses salariés lors de l’informatisation des activités de l’entreprise. Cette hostilité s’exprime de différentes manières, d’un simple malaise jusqu’au rejet du nouvel outil numérique. La sclérose des compétences : rappelons avant tout que le domaine des NTIC connait une évolution extrêmement rapide. Une innovation technologique peut ainsi rendre obsolète les compétences des employés dans certains secteurs spécifiques, cela est d’autant plus vrai dans certains secteurs tels que l’utilisation des progiciels par exemple.
2.1.2- Les risques liés à la dématérialisation des rapports humains Le passage vers l’entreprise informatique implique également la dématérialisation et non la disparition des rapports humains. Cette dématérialisation se retrouve dans les relations entre collègues mais aussi avec l’extérieur, clients et fournisseurs. Affaiblissement de la communication : la mutation des rapports sociaux entraine également une mutation de la communication. Bien que nous ayons des moyens plus performants et plus nombreux pour communiquer, la tendance à moins communiquer existe potentiellement, la qualité de cette communication peut également diminuer et c’est ce dernier point qui est important à prendre en compte pour l’entreprise. Cela est appelé le Paradoxe de Maslow. Perte de souplesse : l’informatisation des processus de l’entreprise simplifie souvent les procédures de décision. Mais cela se fait au détriment de phases de discussion et d’échange (avec le client, le fournisseur ou le salarié). Si cela fait gagner du temps, l’entreprise peut perdre en souplesse et en adaptabilité et ainsi risquer de devenir trop rigide par rapport à la concurrence. 13
Cigref « les risques numériques pour l’entreprise », Mars 2011
24 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Perte du temps de réflexion : l’accélération de l’économie et des échanges dus à la l’informatisation laisse moins de temps à l’acteur économique (client, fournisseur, entreprise, employé, dirigeant) pour penser. Le risque pour l’entreprise est de se retrouver dans une situation où elle n’a plus la capacité à anticiper. Elle se place dans la réactivité, au détriment d’une réflexion en amont. 2.1.3- Les risques stratégiques D’autres risques liés à l’informatique se détachent du quotidien de l’entreprise et sont liés aux processus de décision engagés sur le moyen et le long terme. Le passage de l’entreprise classique à l’entreprise informatique suppose de prédéfinir un plan stratégique de l’informatisation des activités de l’entreprise, et ce en accord avec l’objectif final. La défaillance de stratégie informatique : le plus grand risque lié à la stratégie de l’entreprise est bien d’avoir une stratégie informatique défaillante, ou pire encore, de ne pas avoir de stratégie informatique du tout. Une déficience stratégique entraine des conflits internes à l’entreprise ou des pertes suite à l’informatisation d’activités de l’entreprise qui n’auraient pas dû l’être.
2.1.4- Les risques liés au contrôle des systèmes d’information14 L’un des principaux gains entrainés par l’informatisation de l’entreprise est un gain de temps. La numérisation fluidifie l’information et lui permet de circuler plus vite, ce qui a pour effet de créer de la valeur. Mais, par définition, plus l’information est fluide, plus elle est rapide, et moins on en a le contrôle. La question pour l’entreprise sera de savoir où elle souhaite se situer entre l’absence de contrôle et le contrôle total de l’information (ce qui aurait pour effet de faire perdre tout gain à l’informatisation de celle-ci). Plus le contrôle est grand, plus l’exposition à un ralentissement de l’activité de l’entreprise est importante. Moins le contrôle est important, plus l’exposition à des fuites d’informations est grande. Le risque pour l’entreprise est de voir alors ses données dérobées, altérées ou modifiées.
2.1.5- Les risques éthiques et juridiques Les risques éthiques et juridiques liés à l’informatique renvoient au respect de la vie privée et la confidentialité des données. Les activités permises par l’internationalisation des entreprises (stockage des données à l’étranger, etc.) et les problèmes liés à l’authenticité des documents numériques font également partie des risques juridiques auxquels doit faire face l’entreprise numérique.
14
Cigref « les risques numériques pour l’entreprise », Mars 2011
25 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Internationalisation : des informations sur l’entreprise peuvent circuler à l’étranger via le jeu des réglementations internationales ou être soumises à des réglementations locales. Plus généralement, la législation concernant l'échange de données est différente selon les pays, le cryptage peut être autorisé, interdit, soumis à autorisation… Pour l'entreprise, cela se traduit concrètement par des pertes en cas de non-respect de la loi locale, ou des problèmes de productivité et d'homogénéisation des processus dans le cadre d'une activité internationale. Authenticité des documents : l'authenticité des documents numériques est plus difficile à prouver que celle des documents papier ; leur production et leur conservation entrainent donc plus de contraintes (et de risques). Ces contraintes sont essentiellement liées à l'administration, par exemple pour les documents comptables qui doivent répondre à certaines normes techniques (présentation de la pièce justificative).
2.1.6- Les risques liés au patrimoine informatique Dans cette famille de risques, nous avons englobé les risques liés à la conservation des données (vieillissement des supports, évolution des formats), à la difficile valorisation financière du patrimoine informatique ainsi que ceux liés à la garantie des produits informatiques. Conservation : on a vu précédemment que la conservation de données exposait l'entreprise à des risques. Une mauvaise conservation de telles données peut aussi entraîner des pertes pour l'entreprise : la durabilité des supports et des formats n'est pas facile à assurer dans le cadre du stockage numérique. Par ailleurs, les entreprises sous- traitent souvent cet hébergement des données numériques, le contrôle sur les mesures de protection et conservation ne peut être facilement assuré, de même que l'accès à ces données peut être temporairement coupé. Valorisation financière : les méthodes pour calculer la valeur d'une entreprise sont mal adaptées au calcul de la valeur d'une entreprise 100% informatique. En effet, celle-ci ne dispose pas d'actifs réels mais immatériels, dont la valorisation est difficile. La valeur de l'entreprise informatique peut donc être mal évaluée par les institutions financières, ce qui a des conséquences au niveau de ses actionnaires et investisseurs. Par ailleurs, la sous- évaluation de l'entreprise peut entraîner des difficultés vis-à-vis des institutions bancaires, qui peuvent refuser de la financer, ce qui peut provoquer un risque important pour la poursuite des activités ou le développement de l'entreprise.
26 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
2.1.7- Les risques marketing15 Les risques induits par l’informatisation de l’entreprise liés au secteur marketing sont de différente nature et affectent la réputation de l’entreprise ou bien sa capacité de vendre à des clients. Risque réputation : un site internet est un outil vulnérable. C’est un outil de communication et de marketing de premier plan qui peut être la cible de personnes malveillantes à l’égard de l’entreprise. Que ce soit une campagne organisée ou de réels mécontentements, l’entreprise court un risque réel en termes d’image en offrant un espace de liberté au cœur de son outil de communication. Augmentation de la concurrence : l’informatisation de l’entreprise peut tout simplement porter sur sa capacité à vendre en ligne. Mais comme pour un point de vente physique, elle va trouver sur ce marché internet des concurrents. Or, ces concurrents ne sont pas uniquement de la même ville ou du même pays, ils sont installés dans le monde entier. La dématérialisation des clients et des points de vente fait entrer sur un marché potentiellement mondial, mais sur lequel la concurrence est bien plus forte. De plus le développement des comparateurs de prix de plus en plus diversifiés implique une concurrence accrue pour l’entreprise.
2.1.8- Les risques périphériques Ce risque regroupe le risque lié à la perte de contrôle du produit et le risque géopolitique, qui, s’ils apparaissent comme exceptionnels, n’en sont pas moins potentiellement dangereux pour l’entreprise. Perte de contrôle du produit : depuis le début des années 80 et l’avènement de l’informatique, il s’avère qu’une partie de l’économie s’est largement dématérialisée. Les flux d’informations et les flux financiers ont connu une croissance exponentielle en moins d’une quinzaine d’années. La dématérialisation des flux a montré par le passé que les risques et leurs impacts ont été démultipliés. Risque géopolitique : on pourrait croire au premier abord que l'entreprise informatique s'affranchit en grande partie du risque pays, mais en réalité celui-ci continue à exister, sous d'autres formes, avec l’informatique. A une toute autre échelle, les guerres, et le recours à des IEM16 (impulsions électromagnétiques, ou EMP en anglais), peut entièrement paralyser l'entreprise numérique.
Cigref « les risques numériques pour l’entreprise », Mars 2011 IEM est une émission d'ondes électromagnétiques brève et de très forte amplitude qui peut détruire de nombreux appareils électriques et électroniques et brouiller les télécommunications. 15
16
27 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Après avoir identifié les risques généraux et les risques spécifiques liés à l’utilisation de l’informatique, nous identifierons les moyens qui devraient être mis en place par la société pour pallier ces risques.
2.2. La maîtrise des risques L’informatique implique une conscience claire et précise des risques et une organisation rigoureuse assurant la fiabilité et la sécurité des données qu’elle gère et dont l’entreprise est de plus en plus dépendante. Cette fiabilité passe notamment par : -
La mise en place d’une politique claire et coordonnée ;
-
L’organisation et management ;
-
Les contrôles physiques et environnementaux ;
-
Les contrôles des logiciels systèmes ;
-
Les contrôles de l’acquisition et de développement des systèmes.
2.2.1- La mise en place d’une politique claire et coordonnée Toutes les organisations doivent définir leurs buts et objectifs à travers des plans stratégiques et des politiques. En l’absence de politiques et de règles formalisées pour le management, les organisations,
manquant
d’orientations
à
suivre,
peuvent
devenir
inefficientes.
L’informatisation étant essentiel pour la plupart des organisations, il faut que les principes qui régissent tous les aspects soient clairement définis, et approuvés par la direction générale, que le conseil les avalise et qu’ils soient communiqués au personnel. En fonction de la taille de l’organisation et de son niveau d’informatisation, il peut être parfois nécessaire de formuler de nombreuses politiques différentes. Pour les organisations plus petites, une seule politique peut suffire, tant qu’elle couvre tous les aspects concernés. Les organisations plus grandes auront souvent besoin de politiques plus détaillées et plus spécifiques. Les politiques peuvent par exemple inclure : -
Une politique générale sur le niveau de sécurité et le respect de la vie privée pour l’ensemble de l’organisation. Cette politique doit être cohérente avec l’ensemble des législations nationales et internationales en vigueur et doit spécifier le niveau de contrôle et de sécurité requis en fonction du niveau de sensibilité du système et des données traitées.
-
Une politique sur la classification des données et les droits d’accès applicables selon celle-ci. Elle doit également définir les limitations quant à l’utilisation de ces données par les personnes habilitées.
28 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
Une définition des concepts de propriété des systèmes et des données, ainsi que de l’habilitation nécessaire pour créer, modifier ou supprimer les données. Il peut s’agir d’une politique générale qui définit dans quelles mesures les utilisateurs peuvent créer leurs propres applications.
-
Des politiques de ressources humaines qui définissent les conditions de travail dans les domaines sensibles et en vérifient la bonne application. Il peut s’agir d’examiner en détail les informations concernant des candidats à l’embauche avant de les accueillir dans l’organisation, et de faire signer aux employés des accords par lesquels ils acceptent la responsabilité pour le niveau de contrôle, de sécurité et de confidentialité requis. Typiquement, cette politique peut également détailler les procédures disciplinaires correspondantes.
-
La définition des exigences en matière de plans de continuité d’activité, en veillant à ce que tous les aspects de l’activité, soient pris en compte dans l’éventualité d’une panne ou d’un sinistre
Il est donc important pour chaque entreprise : -
De créer une véritable fonction informatique rattachée à la direction générale, de façon à intégrer l’informatique dans la réflexion stratégique de l’entreprise ;
-
De créer une structure de concertation entre la direction générale, la direction informatique et les utilisateurs, qui soit chargée de déterminer la stratégie de l’information, la configuration du système, les priorités, qui se traduisent par un véritable « plan informatique » ;
-
que la fonction informatique définisse l’ensemble des procédures qui assurent la fiabilité de l’ensemble du système.
2.2.2- L’organisation et management L’organisation et le management jouent un rôle clé dans l’ensemble du système de contrôle des systèmes d’information, comme dans tous les aspects de la vie d’une organisation. Une structure adéquate permet la définition de rattachements hiérarchiques et de responsabilité ainsi que la mise en place de systèmes de contrôle efficaces. Les principaux contrôles clés qui sont habituellement mis en place sont la séparation des tâches incompatibles, les contrôles financiers et la gestion du changement17.
17
GTAG 1 « Les contrôles et le risque des systèmes d’information », 2ème édition, p.26
29 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Séparation des tâches : la séparation des tâches est un élément crucial de nombreux contrôles. Une organisation doit être structurée de sorte que tous les aspects du traitement des données ne reposent jamais sur une seule personne. Les fonctions d’émission, d’autorisation, de saisie, de traitement et de vérification des données doivent être séparées afin qu’aucun individu ne puisse être à l’origine d’une erreur ou d’une omission ou de toute autre irrégularité et l’autoriser et/ou en masquer les preuves. Les contrôles de séparation des tâches concernant les applications sont mises en place par l’octroi d’accès privilégiés en fonction des exigences du poste en termes de traitement et d’accès aux données. Ce contrôle prévoit des restrictions qui empêchent les exploitants d’accéder aux programmes, systèmes ou données de production ou de les modifier. De même, les développeurs doivent avoir peu de contacts avec les systèmes de production. On obtiendra une séparation des tâches adéquate en assignant des rôles différents lors des processus de mise en production et de changement. Dans les grandes organisations, il faut procéder de la même manière pour de nombreuses fonctions si l’on veut que la séparation des tâches soit adéquate. Contrôles financiers : étant donné que les organisations réalisent des investissements considérables dans les systèmes d’information, des contrôles d’ordre budgétaire et financier sont nécessaires pour s’assurer qu’ils aboutissent au retour sur investissement ou aux économies annoncés. Il convient de mettre en place des procédures de gestion permettant de recueillir, d’analyser et de rendre compte de ces aspects. Gestion du changement18 : les procédures de gestion du changement s’assurent que les modifications apportées à l’environnement, aux logiciels, aux applications et aux données doivent permettre de respecter une bonne séparation des tâches, d’assurer le bon fonctionnement des changements, d’empêcher l’exploitation de ces changements à des fins frauduleuses. Une faiblesse dans la gestion du changement pourrait sérieusement impacter le système et le service disponibles.
2.2.3- Les contrôles physiques et environnementaux Les équipements informatiques représentent un investissement considérable pour de nombreuses organisations. Il faut donc les protéger des pertes ou dégradations accidentelles ou délibérées. Bien que les équipements communément utilisés de nos jours soient conçus pour être simples d’utilisation dans un environnement de bureau normal, leur valeur pour
GTAG 2 « Contrôles de la gestion du changement et des patchs : un facteur clé de la réussite pour toute organisation », 2ème édition. 18
30 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
l’organisation, le coût et la vulnérabilité des applications qui font fonctionner les processus de l’organisation peuvent être significatifs.
2.2.4- Les contrôles des logiciels systèmes Les logiciels système permettent aux applications et aux utilisateurs d’exploiter l’équipement informatique. Il s’agit de systèmes d’exploitation de logiciels de gestion de réseau et de transmission, de pare-feu, d’antivirus ou encore de système de gestion de bases de données (SGBD). Les systèmes de logiciels peuvent s’avérer extrêmement complexes et s’appliquer à différents éléments et à des appareils au sein des systèmes et de l’environnement réseau. Bien que les systèmes de certaines applications possèdent leur propre système de contrôle des accès et pourraient alors fournir un accès à des utilisateurs non autorisés pour rentrer dans le système, les paramétrages techniques permettent un contrôle des accès logiques aux applications. Ils permettent également de renforcer la séparation des tâches et s’appliquer aux contrôles d’intégrité des données à travers les listes de contrôles d’accès, des filtres et des connexions19.
2.2.5- Le contrôle de l’acquisition et de développement des systèmes. Les organisations adoptent rarement une méthodologie unique pour tous les projets de développement de systèmes. La méthodologie retenue doit correspondre au contexte particulier à chaque projet. Certains points de contrôle de base doivent être traités dans toutes les activités d’acquisition et de développement de systèmes. Par exemple : -
Les besoins des utilisateurs doivent être formalisés, et leur satisfaction mesurée.
-
La conception des systèmes doit suivre une procédure formelle qui permet de s’assurer que les besoins des utilisateurs et les contrôles sont bien intégrés dans le système.
-
Le développement des systèmes doit être mené de manière structurée, afin que les besoins et les spécifications requis soient bien pris en compte dans le produit final.
-
Les tests doivent vérifier que les différentes composantes du système opèrent de la façon requise, que les interfaces fonctionnent comme prévu, que les utilisateurs participent au processus de test et que les fonctionnalités attendues sont bien présentes.
-
Les procédures de maintenance des applications doivent permettre de s’assurer que tous les changements apportés aux applications répondent à un schéma de contrôle homogène. La gestion des changements doit faire l’objet de procédures structurées de validation de l’assurance.
19
GTAG 6 « Gérer et auditer les vulnérabilités des technologies de l’information ».
31 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Section 3 : Impact de l’informatique sur la conduite d’une mission d’audit Le développement et l’accélération du système d’information ont conduit les auditeurs
financiers, à s’interroger sur la validité de l’approche et les outils traditionnels de l’audit financier, à adapter progressivement leur démarche et surtout à développer de nouveaux moyens de vérification. En effet, l'existence d'un environnement informatique ne modifie pas l'objectif et l'étendue de la mission d’audit financier. Afin de répondre aux nouvelles exigences imposées par cet environnement, l’auditeur est astreint à revoir sa méthodologie d’audit et compléter sa formation dans le domaine de l’audit informatique de façon à prendre en considération les risques induits par les systèmes informatiques et leur impact sur le dispositif du contrôle interne. Nous traitons au niveau de cette section : -
Les compétences requises pour l’auditeur financier ;
-
La méthodologie d’audit financier.
3.1. Les compétences requises pour l’auditeur financier L’impact des nouvelles technologies sur les aptitudes et les compétences nécessaires de l’auditeur financier est certain. En effet, ce nouveau cadre d’intervention exige de sa part et d’une façon continue, de nouvelles aptitudes et compétences pour faire face à la complexité, de plus en plus croissante, des environnements informatiques. Ceci n'écarte pas la possibilité du recours à des spécialistes en cas de besoin. En effet, la nature des compétences requises au sein du cabinet dépendra de plusieurs éléments : -
L’organisation du cabinet et en particulier sa structure et son effectif :
-
La typologie de la clientèle, la taille des entreprises auditées, les spécificités de leur exploitation la complexité de leur système d’information sont des critères déterminants quant aux besoins en compétences informatiques au sein du cabinet.
-
La nature des missions : missions légales ou contractuelles, audit, conseil, expertise.
En fonctions de ces critères, différentes solutions peuvent être retenues pour développer les compétences nécessaires à l’audit en milieu informatisé.
32 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
3.1.1- La formation des auditeurs aux techniques informatiques Dans un environnement fortement marqué par les nouvelles technologies de l’information et de la communication, l’intervention d’une personne ayant des connaissances informatiques est nécessaire. Par ailleurs, les nouvelles technologies de l’information et de la communication exigent de l’auditeur d’avoir une compétence et une expérience à la hauteur des difficultés rencontrées et de l'efficacité requise ; la formation permanente en séminaires et sur le terrain doit constituer un investissement important et d’une recherche permanente des méthodes et techniques nouvelles et mieux adaptées. L’auditeur financier doit veiller à avoir un niveau minimum de formation pour qu’ils soient en mesure d’intégrer un environnement informatisé.
3.1.2- La composition d’une équipe mixte Il est souhaitable que la mission d’audit soit menée par une équipe mixte composée du responsable de la mission d’audit et d’un auditeur plus spécialisé en matière informatique pour faire face à la complexité des systèmes d’information de l’entreprise auditée. La perception des choses et les questions posées par chacun des membres sont généralement très profitables à l’équipe. De même la revue macroscopie des domaines couverts par l’informatique sera plus bénéfique si elle est réalisée en commun par cette équipe mixte, plutôt que par l’un ou l’autre des intervenants.
3.1.3- Le recours à des spécialistes externes Lorsqu’une expertise dans un domaine autre que la comptabilité ou l’audit est nécessaire pour recueillir des éléments probants suffisants et appropriés, l’auditeur doit déterminer s’il convient de recourir aux services d’un expert qu’il désigne20. Dans ce cas, l’auditeur doit prendre en compte à certaines règles détaillées ci-après : La compétence du spécialiste : quand l’auditeur compte utiliser le travail d’un spécialiste, il doit assurer que celui-ci possède la compétence suffisante en vérifiant ses qualifications professionnelles, son autorisation d’exercer ou tout autre signe de reconnaissance de sa compétence
20
La norme internationale d’audit N°620 : « Utilisation des travaux d’un expert désigné par l’auditeur », IFAC.
33 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
L’objectivité du spécialiste : l’auditeur doit prendre en considération toutes les circonstances pouvant affecter l’objectivité de l’expert. Le risque de manque d’objectivité est plus élevé si le spécialiste est employé par l’entité auditée ou a avec elle une liaison directe ou indirecte. En règle générale, il vaut mieux faire appel à un spécialiste indépendant de l’entité auditée et par conséquent plus objectif mais, si les circonstances l’exigent, on peut envisager d’utiliser le travail d’un membre du personnel de la société auditée, à condition que celui-ci possède la compétence requise. Dans ce dernier cas, il est plus judicieux de mettre en œuvre des procédures plus approfondies pour vérifier les hypothèses, les méthodes ou les conclusions du spécialiste employé par la société. Définition des termes de l’intervention du spécialiste : l’auditeur doit préciser clairement au spécialiste les conditions de son intervention et ce, en indiquant notamment l’objectif et l’étendue de ses travaux, les points spécifiques à traiter dans le rapport, l’utilisation que compte faire l’auditeur de ses travaux, les limites éventuelles d’accès aux documents et aux dossiers nécessaires, etc. De son côté le spécialiste a la responsabilité de : -
Comprendre la portée de son travail sur l’ensemble de l’audit
-
Porter rapidement à la connaissance du personnel d’audit approprié toutes les conclusions pouvant avoir une incidence significative ou devant être communiquées à la direction de l’entreprise.
Ceci englobe l’assurance que les travaux du spécialiste constituent des éléments probants appropriés au regard de l’information financière et ce, en examinant l’adéquation de la démarche suivie et la suffisance, la pertinence et la fiabilité des données utilisées pour aboutir aux conclusions formulés. Bien que ce soit au spécialiste de garantir la pertinence et la vraisemblance de ses hypothèses et de ses méthodes, l’auditeur doit comprendre comment il les met en œuvre, afin de déterminer si elles sont raisonnables et identiques à celles qui ont été précédemment appliquées. L’auditeur se basera sur sa connaissance des activités de l’entreprise ainsi que du résultat des autres procédures d’audit. Référence à l’expert désigné par l’auditeur dans le rapport d’audit : lorsque l’auditeur émet une opinion pure et simple, il doit éviter de faire allusion dans son rapport de l’intervention du spécialiste car elle peut être interprétée comme une réserve ou comme un partage de 34 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
responsabilité. Dans le cas contraire, si le rapport ou les conclusions du spécialiste amènent l’auditeur à émettre des réserves dans son rapport d’audit, il peut être utile d’en expliquer les raisons en faisant référence au travail du spécialiste et ce, avec l’accord de ce dernier et en citant son nom.
3.2. La méthodologie d’audit financier L’auditeur doit considérer l’importance et la complexité des systèmes et de l’environnement informatique. Il doit prendre en compte d’autres paramètres lors de sa planification à savoir les nouveaux risques inhérents et les risques de non contrôle associés aux traitements informatisés.
3.2.1- Orientation et planification de la mission La phase « Orientation et planification de la mission » conduit à l’élaboration du plan de mission et implique la prise en compte du système d’information de l’entreprise. L’appréciation de l’incidence de l’environnement informatique nécessite : -
la prise de connaissance de l’informatique dans l’entreprise et de son incidence sur la production des informations financières et comptables,
-
l’identification des principales composantes du système d’information et de son niveau de complexité.
Prise de connaissance de l’informatique dans l’entreprise : elle consiste à collecter des informations sur les systèmes et les processus informatiques de l’entreprise et à en conclure leur incidence sur les procédures d’élaboration des comptes. Description du système d’information de l’entreprise : dans un environnement informatique l’auditeur doit acquérir une connaissance de cet environnement et détermine si celui-ci peut influencer l’évaluation du risque inhérent et l’évaluation du risque lié au contrôle La description du système d’information de l’entreprise consiste à :
formaliser la cartographie des applications,
apprécier le degré de complexité du système d’information,
identifier les processus à analyser, utiles aux objectifs de l’audit.
3.2.2- Evaluation des risques L’objectif de l’évaluation des risques est de mesurer l’impact de l’environnement informatique sur le risque inhérent et le risque lié au contrôle. Les travaux consistent à évaluer les risques en tenant compte de l’identification des risques potentiels et du système de contrôle interne mis en place par l’entreprise, et à en compléter la 35 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
nature et l’étendue des contrôles à mener, afin de maintenir le risque d’audit à un niveau faible acceptable. Incidence de l’environnement informatique sur le risque inhérent : l’incidence de l’environnement informatique sur le risque inhérent s’apprécie au regard des éléments suivants :
la conception et l’acquisition des solutions informatiques,
la distribution et le support informatique,
la gestion de la sécurité,
la gestion des projets informatiques.
Les caractéristiques de l’environnement informatique d’une entreprise peuvent entraîner un risque inhérent élevé et avoir une conséquence à terme sur la continuité d’exploitation. Incidence de l’environnement informatique sur le risque lié au contrôle : elle est appréciée à travers l’étude des processus et des applications nécessaires pour l’établissement des comptes de l’entreprise. La fiabilité des contrôles mis en place par l’entreprise permet d’alléger les contrôles sur les comptes en apportant une assurance suffisante sur la fiabilité des données.
Conclusion Il existe un nombre important de risques dont les conséquences s’appliquent à des domaines très différents dans l’entreprise : les métiers et les relations avec les parties prenantes. Les risques liés à l’informatique sont ceux qui surviennent lors du passage à l’informatique ainsi que ceux à gérer tout au long de la vie de l’entreprise. Ils ne sont pas circonscrits au seul périmètre des systèmes d’information et sont transversaux puisque l’informatique est au cœur de la chaine de valeur de l’entreprise. Pour faire face aux risques liés à l’informatique, l’entreprise est tenue de mettre en œuvre des procédures de contrôle adéquates afin de remédier ces risques. Le référentiel CobiT se positionne parmi les référentiels de la gouvernance des systèmes d’informations.
36 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
2ème chapitre : CobiT un référentiel d’audit des systèmes d’information Les dirigeants ont de plus en plus conscience de l'impact significatif de l'information sur le succès de l'entreprise. Ils s'attendent à ce que l'on comprenne de mieux en mieux comment sont utilisées les technologies de l'information et la probabilité qu'elles contribuent avec succès à donner un avantage concurrentiel à l'entreprise. Pour réussir, la gouvernance d’entreprise et celle des technologies de l’information ne doivent plus être considérées comme des disciplines séparées et distinctes. Les Objectifs de Contrôle de l’Information et des Technologies Associées (CobiT) aident à faire face aux multiples besoins du management en établissant des liens entre les risques métiers, les besoins de contrôle et les questions techniques.
Section 1 : Présentation du référentiel Le fonctionnement de la majorité des grandes entreprises, aujourd'hui, repose complètement sur le traitement de l'information. C’est dans un souci de transparence des informations que les systèmes d’information se sont développés et que leur contrôle est devenu incontournable. Il est vital, pour leur avenir, que leur système d'information soit en cohérence avec les objectifs et la stratégie globale de l'entreprise. Les dirigeants souhaitent finalement que les SI apportent de la valeur et de la performance dans l’organisation21. Le CobiT est un outil puissant qui a été conçu pour œuvrer dans ce sens. Dans cette section, nous mettons l’accent sur l’historique de l’apparence du référentiel CobiT, ainsi que son apport en matière de la gouvernance des IT dans sa nouvelle version cinq.
1.1- Historique du CobiT CobiT est le résultat des travaux collectifs réalisés par les principaux acteurs de la profession, auditeurs internes ou externes, fédérés au sein de l’ISACA. Dans ses premières versions, publiées à partir de 1996, CobiT se positionne comme un référentiel de contrôle dont l’objectif est d’aider les entreprises à évaluer et à améliorer leur système de contrôle interne22. Monique Garsoux « CobiT-une expérience pratique » la revue n°78- Mars 2005, p.1 MOISAND DOMINIQUE, GARNIER DE LABAEYRE « CobiT - Pour une meilleure gouvernance des systèmes d'information », 2ème édition, p.3 21
22
37 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
En 1998, l’ITGI a été créé sur l’initiative de l’ISACA, en réponse à la place de plus en plus importante occupée par les technologies de l’information. En effet, dans la plupart des organisations ou des entreprises, l’un des principaux facteurs de succès réside dans la capacité des systèmes d’information à apporter à la fois la différenciation stratégique et le support des activités. Dans un tel contexte, la « gouvernance » des systèmes d’information devient aussi critique que la gouvernance d’entreprise. Depuis une dizaine d’années, l’ITGI a mené de nombreuses recherches au travers de groupes de travail répartis dans le monde entier. Le résultat de ces recherches a notamment donné lieu en 2000 à la publication de la version trois du référentiel CobiT proposant, parallèlement à un « guide d’audit », un « guide de management » préfigurant les versions ultérieures. CobiT 5 établit la nouvelle génération d’orientations de l’ISACA sur la gouvernance et la gestion des IT de l’entreprise. Il fournit un référentiel complet qui aide les entreprises à atteindre leurs objectifs. En bref, il aide les entreprises à tirer le maximum des IT en maintenant l’équilibre entre la réalisation de bénéfices, l’optimisation des niveaux de risque et l’utilisation des ressources. Il tient compte de toutes les activités de l’entreprise et des domaines fonctionnels des IT et prend en considération les intérêts des parties prenantes tant internes qu’externes23. Les objectifs majeurs du développement de CobiTT 5 comprennent la nécessité de : -
Permettre aux parties prenantes d’exprimer davantage leurs attentes concernant l’information, les technologies associées et leurs priorités tout en s’assurant que la valeur attendue soit effectivement livrée. Certains voudront des rendements à court terme, tandis que d’autres viseront la durabilité. De plus, ces intervenants veulent non seulement participer davantage, mais souhaitent aussi obtenir plus de transparence dans le processus décisionnel et dans la communication des résultats obtenus.
-
Traiter la dépendance croissante de la réussite de l’entreprise envers des entreprises extérieures et des fournisseurs d’IT comme des sous-traitants, des fournisseurs, des consultants, des clients, ainsi qu’envers un ensemble diversifié de moyens et de mécanismes internes pour créer la valeur attendue.
-
Traiter la quantité d’information, qui a augmenté de manière significative. L’information doit également être gérée efficacement.
23
ISACA : « CobiT 5 », p.17
38 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
Fournir des orientations dans le domaine de l’innovation et des nouvelles technologies ; il s’agit de créer, d’inventer, de concevoir de nouveaux produits, de rendre les produits existants plus attrayants aux yeux des clients et d’atteindre de nouveaux types de clients.
-
Couvrir l’ensemble de l’entreprise et les responsabilités fonctionnelles des IT, de même que tous les aspects qui conduisent à une gouvernance et à une gestion efficaces des IT de l’entreprise, telles que les structures organisationnelles, les politiques et la culture, au-delà des processus.
-
Obtenir un meilleur contrôle de l’accroissement des IT initiées et contrôlées par l’utilisateur.
En résumant, CobiT 5 assure à l’entreprise : -
La création de valeur grâce à l’utilisation efficace et innovante des IT de l’entreprise ;
-
La satisfaction de la clientèle utilisatrice envers les engagements et les services des IT ;
-
Le respect des lois applicables, des règlements, des accords contractuels et des politiques internes ;
-
Une meilleure correspondance entre les besoins d’affaires et les objectifs des IT.
Ainsi, CobiT 5 couvre l’entreprise dans son ensemble et fournit une base pour intégrer d’autres référentiels, normes et pratiques dans un référentiel unique.
1.2- L’apport du CobiT en matière de gouvernance de TI En tant que référentiel de la gouvernance des systèmes d’information, le périmètre de CobiT dépasse celui dévolu à la direction des systèmes d’information pour englober toutes les parties prenantes dans l’entreprise. Ainsi, selon CobiT, « la gouvernance des systèmes d’information est de la responsabilité des dirigeants et du conseil d’administration, elle est constituée des structures et processus de commandement et de fonctionnement qui conduisent l’informatique de l’entreprise à soutenir les stratégies et les objectifs de l’entreprise, et à lui permettre de les élargir 24». CobiT prend en compte les besoins des métiers, et plus généralement des parties prenantes. Le référentiel CobiT est une proposition qui pourra être revue pour s’adapter à la cartographie propre de l’organisation considérée. Il s’attache aux cinq axes : -
24
L’alignement stratégique ;
AFAI : « CobiT 4.1 », p.5
39 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
L’apport de valeur ;
-
La gestion des ressources ;
-
La gestion des risques ;
-
La mesure de la performance.
L’alignement stratégique : les activités informatiques prennent de plus en plus d’importance dans le fonctionnement de l’entreprise. Par alignement stratégique, il faut donc entendre la capacité à fournir les services souhaités en temps avec le niveau de qualité requis. L’apport de valeur : l’informatique doit également pouvoir apporter un gain identifiable dans la bonne exécution des processus. L’apport de valeur se concrétise par la maîtrise des processus de fonctionnement en termes d’efficacité et d’efficience. La gestion des ressources : les ressources pour mesurer l’activité informatique doivent être optimales pour répondre aux exigences. Les ressources technologiques font partie du périmètre et donneront lieu à un plan d’infrastructure. Celui-ci traitera des orientations technologiques, des acquisitions, des standards et des migrations. Dans ce cas, la responsabilité du métier consiste à exprimer ses besoins. La gestion des risques : l’activité cœur de métier de l’entreprise peut être mise en péril en cas d’arrêt ou de dysfonctionnement de ses systèmes informatiques, car la dépendance des processus métier envers l’informatique est totale. La gestion des risques informatiques ou des systèmes d’information correspond à un référentiel qui comprend une analyse de risque et un plan de traitement des risques associé. Ce plan de traitement des risques doit être établi selon des critères de tolérance par rapport au préjudice financier lié à la réalisation des risques. La mesure de la performance : la mesure de la performance répond aux exigences de transparence et de compréhension des coûts, des bénéfices, des stratégies, des politiques et des niveaux de services informatiques offerts conformément aux attentes de la gouvernance des systèmes d’information. CobiT tente de faire le lien entre les objectifs de la gouvernance et les objectifs à décliner sur les processus ou les activités. Ce faisant, on crée du lien et on donne du sens aux objectifs de performance des SI comme support aux métiers.
Section 2 : Les processus du CobiT 5 CobiT 5 définit et décrit en détail un certain nombre de processus de gouvernance et de gestion. Il représente tous les processus qui se trouvent normalement dans une entreprise en matière d’activités liées aux IT, fournissant un modèle de référence commun compréhensible par les 40 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
gestionnaires des opérations des IT et des lignes d’affaires. Le modèle de processus proposé en est un global et complet, mais il ne s’agit pas du seul modèle de processus possible. Chaque entreprise doit définir son propre ensemble de processus en tenant compte de sa situation particulière. L’intégration d’un modèle opérationnel et d’un langage commun pour toutes les parties de l’entreprise participant aux activités des IT est l’une des étapes les plus importantes et critiques menant à une bonne gouvernance. Elle fournit également un référentiel pour évaluer et surveiller la performance des IT, auditer les IT, communiquer avec les fournisseurs de services et intégrer des meilleures pratiques de gestion. Le modèle de référence de CobiT 5 divise l’ensemble des processus de l’entreprise en deux fonctions : -
Gouvernance : contient cinq processus pour lesquels des pratiques d’évaluation, de direction et de surveillance (EDM) sont définies.
-
Gestion : contient quatre domaines en lien avec la planification, la création, l’exécution et la surveillance (PCES) et fournit une couverture des IT de bout en bout.
CobiT 5 préconise que les organisations mettent en œuvre des processus de gouvernance et de management de façon à couvrir les domaines clés comme indiqué.
Besoins d’affaires Gouvernance
Evaluer
Diriger
Rétroaction de la gestion
Surveiller
Gestion Planifier (APO)
Créer (BAI)
Exécuter (LSS)
Surveiller (SEM)
Figure n°4 : Zones clés de gouvernance et de gestion de CobiT 5 25 41 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
2.1- Processus de gouvernance des TI Le domaine de gouvernance contient cinq processus de gouvernance, au sein de chaque processus, l'évaluation, la direction et le suivi des pratiques sont définis : -
EDM1 : définir et maintenir le cadre de gouvernance
-
EDM2 : assurer l'optimisation de la valeur
-
EDM3 : assurer l'optimisation des risques
-
EDM4 : assurer l'optimisation des ressources
-
EDM5 : assurer la transparence des parties prenantes
2.1.1- Définir et maintenir le cadre de gouvernance : EDM1 Description : analyser et articuler les exigences de la gouvernance des technologies de l'information de l'entreprise, mettre en place et maintenir des structures, processus et pratiques opérationnelles, définissant clairement les responsabilités et autorités afin d'accomplir les missions de l'entreprise, d'atteindre ses buts et objectifs But : fournir une approche cohérente intégrée et alignée avec l’approche de gouvernance de l’entreprise. Assurer que les décisions concernant l'informatique sont prises en lien avec les stratégies et les objectifs de l’entreprise
2.1.2- Assurer l'optimisation de la valeur : EDM2 Description : optimiser la valeur produite par les processus métiers, les services et les équipements informatiques résultant d'investissements fait par les directions informatiques à des coûts acceptables. But : Garantir une production de valeur optimale par les initiatives, services et actifs informatiques, une fourniture de solutions et de services rentables, une présentation fiable et précise des coûts et gains probables de sorte que les besoins métiers soient pris en charge de manière efficace.
25
CobiT 5, figure 16
42 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
2.1.3- Assurer l'optimisation des risques : EDM3 Description : assurer que l'appétence et la tolérance aux risques de l'entreprise est compris, cohérent et communiqué et que ces risques associés à l'informatique impactant la production de valeur sont identifiés et gérés. But : s’assurer que les risques d’entreprise liés à l'informatique ne dépassent pas l’appétence et la tolérance au risque, que l’impact des risques liés à l'informatique sur la valeur de l’entreprise est connu et géré, et que les risques de non-conformité sont minimisés.
2.1.4- Assurer l'optimisation des ressources : EDM4 Description : assurer que les moyens informatiques adéquats et suffisants (personnels, processus et technologique) sont disponibles pour contribuer à l'atteinte des objectifs de l'entreprise à des coûts optimaux. But : veiller à ce que les besoins en ressources de l’entreprise soient satisfaits de manière optimale, que les coûts informatiques soient optimisés et qu’il y ait une augmentation de la probabilité de réalisation de bénéfices ainsi qu’une plus grande aptitude au changement.
2.1.5- Assurer la transparence des parties prenantes : EDM5 Description : assurer que les mesures et le reporting sur la performance et la conformité de l'informatique d'entreprise sont transparents et que les parties prenantes approuvent les objectifs, métriques et actions correctives nécessaires. But : s’assurer que la communication aux parties prenantes est efficace et faite au moment opportun, que la structure est établie pour accroître la performance, pour identifier les axes d'amélioration et pour confirmer que les objectifs et les stratégies liées à l'informatique sont en ligne avec la stratégie d’entreprise.
2.2- Processus de gestion des IT Les quatre domaines de management, conformément aux domaines de responsabilité du modèle : planification, création, exécution et surveillance (PCES), fournissent une couverture de bout en bout de l’informatique : -
APO : Aligner, Planifier et Organiser
-
BAI : Bâtir, Acquérir et Implanter
-
LSS : Livrer, Servir et Soutenir
-
SEM : Surveiller, Evaluer et Mesurer 43 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
2.2.1- Aligner, Planifier et Organiser : APO Ce domaine contient treize processus : -
Gérer le cadre informatique : APO1
Description : clarifier et maintenir la mission et la vision de la gouvernance de l'informatique d'entreprise. Implémenter et maintenir les mécanismes et autorités de gestion de l'information et d'usage de l'informatique dans l'entreprise, conformément aux objectifs de gouvernance cohérents avec les principes et politiques de guidance. But : fournir une approche de gestion cohérente pour permettre l’atteinte des exigences de gouvernance
de
l’entreprise,
couvrant
les
processus
de
gestion,
les
structures
organisationnelles, les rôles et les responsabilités, les activités fiables et reproductibles, ainsi que les compétences et les aptitudes. -
Gérer la stratégie : APO02
Description : fournir une vue holistique de l'environnement métier et informatique, des orientations et des initiatives nécessaires pour transformer cet environnement. Influencer les blocs et composants de l'architecture de l'entreprise, y compris les services et moyens externes pour permettre l'émergence de réponses agiles, fiables et efficaces aux objectifs stratégiques. But : aligner les plans stratégiques informatiques aux objectifs métiers. Communiquer clairement les objectifs et les responsabilités associées afin qu’elles soient comprises par tous, en identifiant les options informatiques stratégiques, en les structurant et en les intégrant aux plans métiers. -
Gérer l’architecture de l’entreprise : APO03
Description : mettre en place une architecture commune constituée de processus métiers, d'information, de données, de couches applicatives, de mise à disposition de technologies pour réaliser concrètement et efficacement les stratégies de l'entreprise et de l'informatique au travers de modèles et de pratiques essentiels décrivant les architectures existantes et cibles. Définir les exigences en termes de taxinomie, normes, directives, procédures, modèles documentaires et outils. Fournir un schéma de relation entre ces composants. Améliorer l'ajustement, accroitre l'agilité, améliorer la qualité de l'information et lancer des initiatives permettant des économies potentielles telles que la réutilisation d'ensembles de composants. But : représenter les différentes entités constitutives de l'architecture de l’entreprise ainsi que leurs interrelations, les principes directeurs de leur conception, de leur évolution au fil du temps, 44 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
et de ce qui permet une réponse standard, adaptée et efficace des objectifs opérationnels et stratégiques. -
Gérer l’innovation : APO04
Description : maintenir une veille sur les tendances en matière de technologies de l'information et de services associés, identifier les opportunités d'innovation et planifier comment bénéficier de l'innovation en relation avec les besoins métiers. Etudier les opportunités d'innovation métier ou les opportunités d'amélioration qui peuvent naître des technologies émergentes, de l'innovation dans les services ou métiers liés à l'informatique aussi bien que des technologies actuelles ou des innovations concernant les processus métiers ou informatiques. But : avoir un avantage concurrentiel, être innovant et améliorer l’efficacité opérationnelle en exploitant l’évolution des technologies de l’information. -
Gérer le portefeuille de services : APO05
Description : suivre les directives stratégiques fixées pour l'investissement conformément à la vision d'entreprise en termes d'architecture, de types d'investissements et de portefeuilles de services. Prendre en compte les différentes catégories d'investissement en fonction des contraintes de ressources et de financement. Evaluer, prioriser et équilibrer les programmes et services en gérant les demandes en fonction de ces contraintes, de l'alignement sur les objectifs stratégiques, de la rentabilité et du risque pour l'entreprise. Mettre les programmes choisis dans le portefeuille de services pour le lancer. Piloter la performance de l'ensemble du portefeuille de services et de programmes, proposant les ajustements nécessaires en fonction de ces performances ou des changements de priorités de l'entreprise. But : optimiser la performance de l’ensemble du portefeuille de programmes en fonction de la performance des programmes et des services et de l’évolution des priorités et des demandes de l’entreprise. -
Gérer les budgets et les coûts : APO06
Description : gérer les activités financières relatives à l'informatique dans les fonctions métier et informatiques, incluant la gestion des budgets, des coûts et bénéfices, la priorisation des dépenses en utilisant des pratiques budgétaires formelles et un système d'allocation des coûts clair et équitable. Consulter les parties prenantes pour identifier et contrôler le total des coûts et gains dans le contexte des planifications stratégiques et tactiques. Initier les actions correctives nécessaires. 45 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
But : favoriser le partenariat entre les parties prenantes de l'informatique et de l’entreprise afin de permettre une utilisation efficace des ressources informatiques et d’assurer la transparence et la responsabilisation en matière de coûts et de valeur des solutions et des services. Permettre à l’entreprise de prendre des décisions éclairées quant à l’utilisation de solutions et de services informatiques. -
Gérer les ressources humaines : APO07
Description : fournir une approche structurée pour assurer que les ressources humaines sont optimisées en termes d'organisation, d'affectation, de droits et de compétences. Ceci comprend la communication des rôles et responsabilités définies, des plans de formations et des objectifs de performance par des personnels compétents et motivés But : optimiser les capacités des ressources humaines pour atteindre les objectifs d’entreprise. -
Gérer les partenariats : APO08
Description : gérer la relation entre les métiers et l'informatique de manière formalisée et transparente pour assurer que l'on se focalise sur l'atteinte d'un but commun et partagé qui est d'obtenir les résultats attendus par l'entreprise sur ses objectifs stratégiques, en respectant les contraintes budgétaires et sa tolérance aux risques. Fonder la relation sur la confiance mutuelle en utilisant un langage compréhensible et d'ouverture, un vocabulaire commun et une volonté d'engagement et de prise de responsabilité sur les décisions clés. But : générer des résultats attendus améliorés et une confiance accrue en l'informatique, rendre plus efficace l'utilisation de ses ressources. -
Gérer les accords de service : APO09
Description : aligner les services informatiques disponibles ainsi que les niveaux de service avec les besoins et attentes de l'entreprise. Ceci inclut l'identification, la spécification, la conception, la publication, l'accord et le pilotage des services informatiques, des niveaux de services et des indicateurs de performance. But : s’assurer que les services et les niveaux de services répondent aux besoins actuels et futurs de l’entreprise.
46 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
Gérer les fournisseurs : APO10
Description : gérer les services informatiques fournis par tous types de fournisseurs pour répondre aux exigences de l'entreprise. Ceci inclut la sélection des fournisseurs, la gestion de la relation, des contrats, la revue et le pilotage des performances des fournisseurs en terme d'efficacité et de conformité. But : minimiser les risques liés aux fournisseurs non productifs et assurer des prix concurrentiels. -
Gérer la qualité : APO11
Description : définir et communiquer les exigences qualité pour tous les processus, procédures et résultats attendus. Ceci inclut les contrôles, les suivis, l'utilisation des pratiques et normes éprouvées dans le cadre d'une amélioration continue et d'efforts d'efficacité. But : assurer une livraison appropriée des solutions et des services pour répondre aux exigences de qualité de l’entreprise et satisfaire les besoins des parties prenantes. -
Gérer les risques : APO12
Description : identifier, évaluer et réduire en permanence les risques associés à l'informatique dans la limite de niveaux de tolérances fixés par la direction. But : intégrer la gestion des risques informatiques dans la gestion globale des risques de l’entreprise, puis équilibrer les coûts et gains de cette gestion de risques. -
Gérer la sécurité : APO13
Description : définir, appliquer et piloter un système de management de la sécurité. But : maintenir l’impact et l’occurrence des incidents de sécurité de l’information dans les limites de l’appétit de l’entreprise pour le risque
2.2.2- Bâtir, Acquérir et Implanter : BAI Ce domaine contient dix processus : -
Gérer les programmes et les projets : BAI01
Description : gérer et coordonner tous les programmes et projets du portefeuille d'investissement en accord avec la stratégie d'entreprise. Initier, planifier, contrôler le déroulement des programmes et des projets. 47 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
But : réaliser des gains métiers et réduire les risques (de retards, de surcoûts et de dépréciation inattendus) par l’amélioration de la communication, de l'implication des métiers et des utilisateurs, par la garantie de la valeur et de la qualité des livrables du projet et par l'optimisation de leur contribution au portefeuille d’investissement et de services. -
Gérer la définition des exigences : BAI02
Description : identifier les solutions et analyser les exigences de manière à s'assurer que les acquisitions ou créations sont en phase avec les exigences stratégiques concernant les processus métiers, les applications, l'information et les données, l'infrastructure et les services. Coordonner, avec les parties prenantes désignées pour cela, la revue des options faisables (coûts et gains associés, analyse des risques) pour valider les exigences et les solutions proposées. But : créer des solutions optimales réalistes qui répondent aux besoins de l’entreprise tout en minimisant les risques. -
Gérer l'identification des solutions et leur production : BAI03
Description : mettre en œuvre et maintenir les solutions identifiées en phase avec les exigences de l'entreprise. Gérer la configuration, préparation des tests, les exigences, gérer la maintenance des processus métiers, des applications, de l'information, des données, de l'infrastructure et des services. But : mettre en place des solutions en temps et en heure permettant de soutenir les objectifs stratégiques et opérationnels de l’entreprise. -
Gérer la disponibilité et la capacité : BAI04
Description : gérer l'équilibre entre les besoins immédiats et futurs en termes de disponibilité, performance et capacité avec les provisions budgétaires concernant les services. Prendre en compte l'évaluation de la capacité actuelle, la prévision des besoins futurs basée sur les exigences métiers, l'analyse des impacts métier et l'évaluation des risques pour planifier et mettre en œuvre les actions visant à répondre aux exigences identifiées. But : maintenir la disponibilité de service, une gestion efficace des ressources et l’optimisation de la performance du système par la prévision des futurs besoins en capacité et en performance.
48 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
Gérer l'aptitude organisationnelle au changement : BAI05
Description : maximiser la probabilité de succès dans l'implémentation rapide avec des risques réduits de changements organisationnels couvrant le cycle de vie complet. But : préparer et engager les parties prenantes dans les changements métiers et réduire le risque d'échec. -
Gérer les changements : BAI06
Description : gérer tous les changements de manière contrôlée, que les changements soient standards ou urgents, qu'ils concernent les processus métiers, les applications ou l'infrastructure. But : permettre une conduite du changement métier rapide et fiable avec une prise en compte des risques d’impact négatif sur la stabilité ou l'intégrité de l'environnement modifié. -
Gérer la conduite du changement : BAI07
Description : valider formellement et rendre les nouvelles solutions opérationnelles. Ceci inclut la planification de l'implémentation, la transformation du système et des données, les tests de validation, la communication, la préparation de version de mise à jour, la promotion des processus métiers ou informatiques ajoutés ou modifiés, le support des débuts en production et la revue post implémentation. But : mettre en œuvre des solutions de façon sécuritaire et en lien avec les attentes partagées et résultats attendus. -
Gérer les connaissances : BAI08
Description : maintenir la disponibilité des connaissances pertinentes, existantes, consolidées et fiables pour supporter toutes les activités des processus et facilité la prise de décision. But : fournir les connaissances requises pour soutenir le personnel dans ses activités courantes, pour faciliter ses prises de décisions et pour augmenter sa productivité. -
Gérer les actifs : BAI09
Description : gérer les actifs informatiques tout au long de leur cycle de vie pour assurer que leur utilisation produit de la valeur à un coût optimal, qu'ils restent opérationnels (adapté), qu'ils sont justifié et protégé physiquement, que ceux qui sont critique au maintien de la capacité de service sont fiables et disponibles. Gérer les licences pour assurer qu'un nombre optimal est
49 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
souscrit, que leur utilisation ou stock est conforme à l'usage métier et que les licences installées le sont en conformité avec les contrats. But : considérer tous les actifs informatiques et optimiser la valeur générée par ces actifs. -
Gérer la configuration : BAI10
Description : définir et maintenir les descriptions et les relations entre les ressources et capacités clés pour la délivrance des services informatiques. Ceci inclut la collecte des données de configurations, la définition de version de référence, la vérification et l'audit les données de configuration et la mise à jour du référentiel. But : fournir suffisamment d'information sur les actifs de service pour permettre une gestion efficace du service, pour permettre d'évaluer les impacts des changements et faire face aux incidents liés au service.
2.2.3- Livrer, Servir et Soutenir : LSS Ce domaine contient six processus : -
Gérer la production : LSS01
Description : coordonner et exécuter les activités et procédures opérationnelles requises pour délivrer les services informatiques. Ceci inclut l'exécution de procédure standard prédéfinie et les activités de suivi nécessaires. But : assurer le fonctionnement des services informatiques tels que planifié. -
Gérer les incidents et les demandes : LSS02
Description : fournir une réponse concrète et dans un certain délai aux demandes des utilisateurs et à la déclaration d'incidents de tous types. Enregistrer les incidents, faire les investigations, diagnostiques, et résolutions nécessaires. But : améliorer la productivité et réduire les interruptions de service par un traitement rapide des demandes et déclarations d'incident faites par les utilisateurs. -
Gérer les problèmes : LSS03
Description : identifier et classifier les problèmes et leur causes originelles. Fournir une résolution dans les temps pour prévenir la récurrence des incidents. Fournir des recommandations d'amélioration. 50 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
But : améliorer la disponibilité et les niveaux de service, réduire les coûts et améliorer la satisfaction des clients en réduisant le nombre de problèmes opérationnels. -
Gérer la continuité : LSS04
Description : établir et maintenir un plan pour permettre aux métiers et à l'informatique de répondre aux incidents et interruptions de service afin d'assurer la continuité des opérations pour les processus métier critiques et les services informatiques nécessaires, et pour maintenir la disponibilité de l'information à un niveau acceptable pour l'entreprise. But : assurer la continuité des opérations critiques de l'entreprise et maintenir la disponibilité de l'information à un niveau acceptable pour l'entreprise, même en cas d’interruption significative. -
Gérer les services de sécurité : LSS05
Description : protéger l'information de l'entreprise afin de maintenir le risque sur la sécurité de l'information à un niveau acceptable pour l'entreprise en accord avec la politique de sécurité. Déterminer et maintenir les rôles sur la sécurité de l'information, les droites d'accès et réaliser le suivi de la sécurité. But : minimiser l'impact sur les activités métiers des vulnérabilités et des incidents liés à la sécurité de l'information opérationnelle. -
Gérer le contrôle des processus métiers : LSS06
Description : définir et maintenir les contrôles des processus métiers appropriés pour assurer que l'information relative aux processus métiers internes ou externalisés satisfait toutes les exigences pertinentes de contrôle de l'information.. But : maintenir l'intégrité de l'information et la sécurité des actifs informationnels traités dans le cadre des processus métiers internes ou externes.
2.2.4- Surveiller, Evaluer et Mesurer : SEM Ce domaine contient trois processus : -
Piloter et évaluer la performance et la conformité : SEM01
Description : collecter, valider et évaluer les objectifs et indicateurs métiers, informatiques et processus. Contrôler en continu que les processus fonctionnent en conformité avec les objectifs.
51 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
But : assurer la transparence de la performance et de la conformité, et diriger la réalisation des objectifs. -
Piloter et évaluer le système de contrôle interne : SEM02
Description : contrôler et évaluer en continu l'environnement de contrôle. Ceci inclut l'autoévaluation et les revues indépendantes. Permettre au management d'identifier les défauts et inefficacités de contrôle et d'initier des actions d'amélioration. Planifier, organiser et maintenir les normes d'évaluation du contrôle interne et les activités de garantie. But : garantir la transparence du système de contrôle interne pour les parties prenantes clés, assurant ainsi la confiance quant à sa pertinence et dans les opérations et la réalisation des objectifs de l'entreprise, et une compréhension adéquate du risque résiduel. -
Piloter et évaluer la conformité aux exigences externes : SEM03
Description : évaluer si les processus informatiques et les processus métiers supportés par l'informatique sont conformes aux lois, réglementations et exigences contractuelles. Obtenir l'assurance que les exigences ont été identifiées et sont cohérentes à tous les niveaux de l'entreprise. But : s'assurer que l'entreprise est en conformité avec toutes les exigences externes applicables.
Section 3 : CobiT pour l’audit Le référentiel CobiT apporte deux éléments importants : d’une part, une structure partagée entre les intervenants, d’autre part, un quadrillage, parfois trop systématique. Cette structure permet à l’auditeur des états financiers dans un milieu informatisé de tester le système d’information et de l’exploiter comme une check-list afin de préparer leurs propres outils.
3.1- L’apport du CobiT L’auditeur doit construire un référentiel d’audit qui établira une transparence totale entre la mission confiée et les investigations à mener. CobiT est utilisé comme une base solide de points de contrôle, il permet de sélectionner les processus critiques et de les évaluer. Les objectifs de contrôle de CobiT constituent une excellente base pour préparer un 52 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
référentiel d’audit. Il suffit ensuite, au cas par cas, de les étoffer de tests détaillés en fonction de la spécificité du périmètre à auditer. La structure de CobiT offre à l’auditeur une classification très solide : -
Domaines, processus, objectifs de contrôle ;
-
Critères
d’information
(efficacité,
efficience,
confidentialité,
intégrité,
disponibilité, conformité et fiabilité) ; -
Ressources (application, infrastructure, information et personnes).
La notion de valeur liée à un objectif de contrôle est tout à fait intéressante puisqu’elle étend le périmètre du contrôle, en incluant non seulement la maîtrise des risques, mais aussi la création de valeur. Ce référentiel peut être enrichi pour prendre en compte des aspects techniques pointus.
3.2- Le contrôle interne Les entreprises ont l’obligation de rendre compte des procédures de contrôle interne et, à ce titre, le système d’information est concerné à trois niveaux : -
la prise en compte de l’informatique comme domaine de gouvernance de l’entreprise ;
-
les contrôles propres à la fonction informatique, y compris les procédures de sécurité ;
-
l’insertion de contrôles « embarqués » dans les processus automatisés.
CobiT reprend les éléments du contrôle interne de COSO en les intégrant dans les processus conformément à l'esprit d'intégration du contrôle interne. La maîtrise des systèmes d'information dans les organisations n'a de sens que si les organisations sont maîtrisées. C'est précisément le but du contrôle interne mis en œuvre par la direction générale, la hiérarchie, le personnel d'une entreprise et destiné à fournir une assurance raisonnable quant à la réalisation d'objectifs concernant : -
La réalisation et l'optimisation des opérations,
-
La fiabilité des informations financières, 53 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
La conformité aux lois et réglementations en vigueur.
Le référentiel CobiT a été élaboré à partir de référentiels en provenance de différentes sources techniques et internationales (NIST, OCDE, ITSEC, ISO900026, …) en les intégrant selon les grandes lignes du référentiel de contrôle interne COSO. Par conséquent CobiT peut être considéré comme le référentiel de contrôle interne de l'informatique. CobiT considère que les systèmes d'information sont maîtrisés lorsqu'ils fournissent l'information répondant aux besoins de l'entreprise exprimés en termes de critères de l'information. Le regroupement des activités relatives à l'informatique en processus bien identifiés permet de mobiliser les ressources dans ce but. Les entreprises qui cherchent à optimiser leur démarche de progrès vers une bonne gouvernance de leur SI peuvent utiliser CobiT, qui répond à cette problématique en utilisant une méthodologie visant à linéariser la trajectoire d’amélioration et à générer des gains rapides en matière de gouvernance.
3.3- Le pilotage stratégique L’une des conditions essentielles du pilotage stratégique est l’engagement de la direction générale et des métiers. De la même façon, la stratégie d’entreprise est une condition nécessaire à sa déclinaison sur le domaine des IT Le référentiel CobiT propose d'établir un cadre de pilotage orienté processus du système d'information afin de contribuer efficacement à l'alignement des technologies sur la stratégie d'entreprise. CobiT a pour ambition de placer en perspective les solutions techniques et les risques business dans une logique de contrôle et de management. La démarche s'inscrit dans une dynamique d'amélioration continue, généralise la pratique de l'audit et garantie la gestion des risques.
3.4- la sécurité Jusqu’à un passé récent, la sécurité s’est limitée à la protection des systèmes informatiques concernés par le stockage et le traitement des informations plutôt que de la protection de l’information elle-même. Avec CobiT, la sécurité devient l’une des composantes de la gouvernance en proposant des bonnes pratiques de gouvernance de la sécurité de l’information. Cette dernière rejoint ainsi l’univers de la gestion des risques.
26
Systèmes de management de la qualité
54 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
La sécurité de l’information n’est plus seulement un sujet de technicien mais devient un enjeu de direction générale et métiers. CobiT, en développant l’alignement stratégique et l’apport de valeur des systèmes d’information, met bien en évidence les risques que l’absence de mesure de sécurité de l’information fait courir à l’entreprise. CobiT aborde la gouvernance de la sécurité de l’information en s’intéressant à : -
la prise en compte de la sécurité de l’information dans l’alignement stratégique ;
-
la prise de mesures appropriées pour limiter les risques et leurs conséquences potentielles à un niveau acceptable ;
-
la connaissance et la protection des actifs ;
-
la gestion des ressources ;
-
la mesure pour s’assurer que les objectifs de sécurité sont bien atteints ;
-
l’apport de valeur par l’optimisation des investissements en matière de sécurité de l’information ;
-
les bénéfices retirés ;
-
l’intégration de la sécurité de l’information dans les processus.
Section 4 : Les limites du référentiel CobiT Même si CobiT est à l’origine un référentiel issu du monde du contrôle interne, il n’a pas pour vocation de servir de référentiel de certification selon une approche de conformité à des exigences réglementaires ou contractuelles. CobiT ne propose pas de modèle de maturité étagé pour une évaluation de la direction des systèmes d’information. Ainsi, aucun ordre de priorité de mise en œuvre des processus n’est proposé. CobiT ne propose pas non plus un enchaînement des activités propres à modéliser les processus de maîtrise des SI de l’entreprise. CobiT ne va pas régler la question de la bonne communication entre la DSI et les parties prenantes. Enfin, CobiT n’est pas un outil de conduite du changement miraculeux qui diffuserait une 55 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
culture de la mesure de la performance et de l’amélioration. En revanche, son déploiement peut aider le management à mener une action de changement simultanément.
56 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Conclusion de la première partie Les Nouvelles Technologies ont marqué ces dernières années par l’accélération de leur rythme et l’ampleur de leur généralisation. Cette situation à laquelle s’ajoute la globalisation et la mondialisation des économies, crée autour des entreprises, un environnement économique turbulent. Sur le plan économique, le bouleversement des flux de l’information autour de l’entreprise apparaît à la fois comme une menace et une opportunité. Une firme qui gère bien cette situation, peut bénéficier d’une flexibilité et d’une capacité pouvant lui permettre de s’adapter sur son marché en assurant sa compétitivité. A travers les TIC, le dirigeant de l’entreprise maîtrise l’information. Ce qui permet à l’entreprise de contrôler ses systèmes productifs, de gestion commerciale, financière, humaine et informationnelle. Dès lors, par le biais des TIC, le système d’information est de plus en plus reconnu dans la théorie du management stratégique, comme une nouvelle variable clé de compétitivité au sein des entreprises dans le court, le moyen et le long terme. Elles sont ainsi présentées comme une stratégie de sortie de crise. Les exigences de compétitivité induites par l’évolution générale de l’environnement économiques national et international, impliquent une modernisation de l’appareil informationnel des organisations afin de conférer à celles – ci non seulement une aptitude sur un marché concurrentiel, mais les rendre performantes. Dans ce contexte, nous avons essayé de présenter les impacts de la nouvelle technologie d’information sur la fiabilité de l’information financière ainsi que sur la démarche d’audit adaptée par l’auditeur financier lors de la vérification des états financiers. Nous avons présenté le référentiel CobiT version 5 comme étant un outil qui peut utiliser l’auditeur pour dégager les risques potentiels engendrés par le système d’information. La deuxième partie de ce mémoire est consacrée à la proposition d’une démarche d’audit inspirée du référentiel CobiT 5 et ce, dans un objectif de présenter les alternatives possibles qui peuvent être utilisées par l’auditeur financier lors du déroulement de la mission.
57 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
DEUXIEME PARTIE : Proposition d’une démarche d’audit dans un milieu informatisé
58 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Introduction de la deuxième partie Depuis de nombreuses années, les systèmes d’information de gestion sont au cœur du développement des entreprises et constituent un facteur clé de leur performance. Désormais, aucune organisation n’imaginerait se développer sans le support essentiel d’applications de gestion des fonctions métier : production, achats, stocks, ventes, comptabilité, trésorerie, etc. Mais l’entreprise doit apprendre à maîtriser les risques inhérents à la mise en place de systèmes d’information de plus en plus complexes : coûts financiers de projets informatiques interminables, indisponibilité des systèmes d’information susceptible de stopper l’activité de l’entreprise, qualité des données comptables ne garantissant pas la fiabilité des états financiers, mais aussi accès à des informations confidentielles et risques de fraudes. Les auditeurs ont intégré cette profonde mutation pour développer un savoir-faire en matière d’examen des systèmes d’information adapté aux PME mais aussi aux structures de taille plus importante. La mise en œuvre d’une approche d’audit permet de connaître les risques théoriques et d’identifier des risques potentiels, mais aussi de détecter les éventuelles erreurs ou fraudes dans les processus de gestion. Les auditeurs ont à leur disposition deux types d’approche : la prise de connaissance du dispositif de contrôle interne et l’analyse de données des processus. L’auditeur doit apprécier la qualité et la sécurité des techniques informatiques mises en œuvre par les entreprises. Dans le cadre de son programme général de travail, l’auditeur doit réunir une information pertinente sur le milieu informatisé, concernant notamment : -
l’organisation de la fonction informatique, le degré de centralisation ou de distribution des traitements informatiques au sein de l’entité ;
-
le matériel et le logiciel informatiques utilisés par l’entité ;
-
chaque application informatique importante, la nature des traitements et les méthodes de conservation des données.
Dans le cadre de l’approche générale de sa mission, l’auditeur doit notamment : -
déterminer si, et dans quelle mesure, il entend s’appuyer sur les contrôles informatiques dans son évaluation globale du contrôle interne ;
-
planifier où, quand et comment la fonction informatique sera examinée, et le cas échéant, l’intervention des experts en informatique ;
59 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
L’absence des normes tunisiennes qui traitent cette problématique, nous amène à présenter une étude comparative des normalisations internationales. En second chapitre, nous présenterons la démarche d’audit dans un milieu informatisé dès la phase de prise de connaissance jusqu’à la clôture des travaux de la mission.
1er chapitre : Etudes comparatives avec les normalisations internationales L’auditeur financier doit tenir compte, dans son approche d’audit des états financiers, des risques
particuliers
qu’entraîne
l’informatisation
des
traitements.
Les
organismes
internationaux de tutelle de la profession comptable ont émis des normes en ce sens. Nous examinerons successivement : -
les normes françaises ;
-
les normes américaines ;
-
les normes préconisées par l’IFAC.
Section 1 : Les normes françaises Les normes de révision en milieu informatisé proviennent, en France, de la Compagnie Nationale des Commissaires aux Comptes (CNCC) pour les missions de Commissariat aux Comptes et de l’Ordre des Experts Comptables (OEC) pour les missions d’Expertise comptable. Après avoir rappelé les textes applicables, nous étudierons les recommandations préconisées par ces organismes.
1.1- Cadre juridique et fiscal Les textes réglementaires ont été mis à jour par le législateur pour tenir compte de la présence des systèmes informatique dans les entreprises. Les modalités de traitement, de circulation et de stockage de l’information engendrent des risques multiples aux sociétés. Le plan comptable général prévoit le cas des comptabilités informatisées dans ses « Dispositions générales relatives à l’utilisation des traitements informatisés27 ». La tenue de la comptabilité tenue à l’aide de l’informatique doit garantir : -
27
toutes les possibilités d’un contrôle éventuel ;
Arrêté du 27/04/82 modifié par l’arrêté du 9/12/86
60 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
des états périodiques numérotés et datés récapitulant dans un ordre chronologique toutes les données qui y sont entrées, sous une forme interdisant toute insertion intercalaire ainsi que toute suppression ou addition ultérieure.
Le décret du 29 novembre 1983 relatif au code du commerce contient des dispositions visant les systèmes informatisés. La loi du 3 juillet 1985 relative aux protections des logiciels sert à la protection du droit d’auteur. La loi du 5 janvier 1988 relative à la fraude informatique interdit : -
l’accès ou le maintien non autorisé dans tout ou partie d’un système d’information ;
-
d’entraver ou de fausser le fonctionnement d’un système d’information ;
-
d’introduire ou de modifier des données ou leur code de traitement ou de transmission ;
-
de falsifier des documents informatisés ;
-
de faire usage de documents informatisés falsifiés.
Le code général des impôts prévoit que si la comptabilité est établie au moyen de systèmes informatisés, le contrôle s’étend à la documentation relative aux analyses, à la programmation et à l’exécution des traitements afin de s’assurer de la fiabilité des procédures de traitement automatisé de la comptabilité.
1.2- Synthèse des recommandations Le développement des techniques informatiques de gestion des entreprises a obligé l’ordre des experts comptables à édicter un certain nombre de recommandation concernant la révision en milieu informatisé. Selon l’OEC : « la révision a pour objet …l’image fidèle du patrimoine, de la situation financière et des résultats28 ». On comprend dès lors que la mission de l’expert-comptable ne peut être parfaite si son travail de contrôle et de validation des comptes ne prend pas en compte le phénomène informatique sur deux plans : -
appréciation de la qualité et de la sécurité des techniques informatiques mises en œuvre par les entreprises ;
-
utilisation du matériel informatique en vue de réaliser des contrôles plus approfondis, voire exhaustifs, que ceux réalisés manuellement.
Afin d’orienter les travaux des experts comptables, l’OEC a donc émis les trois recommandations suivantes sur la révision en milieu informatisé : 28
Ordre des experts comptables France
61 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
22.07.1 : principes généraux de révision en milieu informatisé ; 22.07.2 : incidence du milieu informatique sur l’étude et l’évaluation du système de contrôle interne ; 22.07.3 : techniques de contrôle assisté par ordinateur. La norme 22.07.1 a pour but de montrer comment prendre en compte l’informatique dans une mission de révision comptable, elle rappelle que l’objectif de la révision, à savoir l’expression d’une opinion motivée sur les comptes annuels d’une entreprise, reste inchangée quels que soient les moyens utilisés pour la production de l’information comptable et financière. Elle fait obligation au réviseur d’adapter son plan d’intervention pour tenir compte des particularités propres à un environnement informatisé. Elle précise à ce titre qu’il doit vérifier que les applications informatiques répondent bien aux exigences de contrôle interne en ce qui concerne la sécurité et la fiabilité des traitements, ainsi qu’en matière de conservation de la totalité des données entrées. Enfin, elle souligne que la révision en milieu informatisé nécessite de la part du réviseur des connaissances en informatique suffisantes et que, même dans le cas où il ferait appel à des experts extérieurs, il conserve en tout état de cause l’entière responsabilité de la bonne exécution de sa mission. La norme 22.07.2 décrit de manière plus détaillée la démarche de révision du contrôle interne en milieu informatisé : contrôle sur les entrées, les sorties, les traitements, les fichiers, les sauvegardes, l’organisation et la documentation. La recommandation insiste sur le fait que l’expert-comptable doit faire porter ses contrôles sur les applications qui ont une incidence sur les états financiers. Les contrôles généraux sont regroupés autour de quatre pôles : -
contrôle ayant trait à l’organisation du département informatique pour laquelle le réviseur doit vérifier avant tout que le principe de séparation des fonctions est correctement assuré ;
-
les contrôles se rapportant à la sécurité, à la sauvegarde et à la reprise des travaux, pour lesquels il est fait référence en particulier aux procédures de protection physique et logique et à l’existence d’un plan de secours ;
-
les contrôles concernant les traitements, pour lesquels il est fait mention des restrictions d’accès aux programmes en exploitation, à la qualité des contrôles programmés des applications et au respect des principes d’autorisation, d’exactitude et d’intégralité du traitement des données ;
62 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
enfin, les contrôles relatifs aux méthodes de développement et de maintenance des applications et à la qualité des procédures de documentation et de mise en exploitation.
Selon la norme 22.07.3 : « l’utilisation de techniques de contrôle assisté par ordinateur devient indispensable lorsque l’expert-comptable se trouve en situation de perte du chemin de révision et n’a pas la preuve de la réalité des contrôles effectués au cours de traitements. Il doit, en outre, s’assurer que ces contrôles ont effectivement fonctionné pendant toute la période révisée ». Pour réaliser ces contrôles par ordinateur, la norme propose les moyens suivants : -
programme utilitaires (Query) : ceux-ci ne permettent pas la réalisation de programmes complexes, mais simplement des tris, extraction, ou interrogations simples ;
-
les logiciels spécifiques : programmes d’interrogations développés spécifiquement pour le client ;
-
les progiciels d’aide à la révision : programmes d’interrogations souples et adaptables à des clients différents et comportant de nombreuses fonctionnalités d’audit (tris, tests de doublons ou de trous de séquence, …) ;
-
l’utilisation de la micro-informatique : le micro-ordinateur peut être utilisé soit pour gérer la mission, soit « pour traiter des données provenant des fichiers de l’entreprise contrôlée ». Les traitements peuvent consister en l’utilisation de programmes utilitaires (tableurs, gestionnaires de fichiers), logiciels spécifiques (programmation directe) progiciels d’aide à la révision.
Vers la fin de l’année 1987, la CNCC29 a publié un ouvrage reprenant l’ensemble des règles et obligations professionnelles qui s’imposent au commissaire aux comptes dans le cadre des missions qui lui sont fixées par la loi. Ces normes sont accompagnées de commentaires qui, bien que n’ayant pas de caractère obligatoire, apportent certaines précisions et explications complémentaires pour leur mise en œuvre pratique. Orientation et planification de la mission : cette première étape a comme objectif, à partir d’une prise de connaissance globale de l’entreprise et d’une identification des risques généraux, la rédaction d’un programme général de travail. Comme il en est fait mention dans les commentaires, il est évident que le commissaire aux comptes devra collecter toutes les informations qu’il estime nécessaires à sa bonne compréhension du système de traitement de l’information financière et comptable.
CNCC : « prise en compte de l’environnement informatique et incidence sur la démarche d’audit », édition avril 2003. 29
63 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Un paragraphe spécifique des commentaires de cette première norme est consacré aux risques généraux résultant de l’insuffisance ou de l’absence de sensibilisation de la direction de l’entreprise pour les questions financières, comptables et administratives. Enfin, en ce qui concerne l’identification des systèmes comptables significatifs, il est clairement indiqué dans les commentaires que le commissaire aux comptes devra déterminer s’il lui paraît souhaitable de faire appel à un spécialiste, dans le cas où les traitements sont informatisés, pour procéder à la revue spécifique de certaines applications. Appréciation du contrôle interne : dans cette seconde étape, le commissaire aux comptes procède à une revue et à une évaluation qualitative des procédures de traitement et de contrôle interne de l’entreprise pour établir un programme de révision des comptes annuels approprié. Les commentaires de cette norme accordent une large place à la revue des systèmes de traitement informatisés de l’information puisqu’un paragraphe spécifique lui est entièrement consacré.
Section 2 : Les normes américaines Trois organismes contribuent à la réglementation financière aux Etats-Unis et à fixer les modalités d’établissement et de publication des documents financiers : -
la SEC (Securities and Exchange Commission)
-
l’AICPA (American Institute of Chartered Public Accountants)
-
le FASB ( Financial Accounting Standard Board)
2.1- Cadre juridique Les sociétés qui veulent être cotées sur les grandes bourses américaines doivent être inscrites auprès de la SEC. Le rôle de la SEC est de réglementer la mise sur le marché et la négociation des titres. Elle est dirigée par un conseil de cinq membres nommés par le Président des EtatsUnis pour une période de cinq années et exerce ses pouvoirs sur les méthodes de présentation des documents financiers et les règles d’audit des sociétés inscrites auprès d’elle. Bien qu’elle ait le pouvoir légal d’établir des normes comptables, la SEC a délégué ses pouvoirs au secteur privé dès 1939 à l’AICPA dans la promulgation et la mise en application des normes comptables. De 1939 à 1959, un Comité des Procédures Comptables (Committee Accounting ProceduresCAP) crée par l’AICPA a publié 51 Accounting Research Bulletins (ARB) qui portent
64 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
davantage sur des problèmes techniques spécifiques que sur des principes généraux ou théoriques30. En 1959, le CAP été remplacé par l’Accounting Principles Board (APB) qui est aussi une émanation de l’AICPA mais avec une représentation plus large : les membres de l’APB provenaient non seulement de la profession comptable mais aussi de l’industrie, de la communauté financière, des universités et du gouvernement. L’APB publie 31 opinions et quatre statements. Les premières constituent de véritables normes ayant force obligatoire, alors que les secondes ne sont que des recommandations. Créé en 1973, le FASB est un organisme privé chargé de l’élaboration des principes comptables généralement admis connus sous l’appellation de l’US GAAP (Generally Accepted Accounting Principles). Le FASB succède à l’Accounting Principles Board (1959-1973). Le pouvoir de réglementation appartient légalement à la SEC. Elle élabore parfois une norme sous la forme d’un Accounting Series Release. Toutefois, ses interventions sont rares, la SEC déléguant généralement au FASB le pouvoir de définir les principes comptables généralement admis. Le FASB est aujourd’hui l’organisme de normalisation comptable aux Etats-Unis ; il a émis plus de 100 normes et a créé un cadre conceptuel. Le FASB émet deux catégories de textes : -
les Statements of Financial Accounting Concepts (SFAC) qui énoncent les concepts fondamentaux sur lesquels reposent les normes d’établissement et de présentation des comptes.
-
les Statements of Financial Accounting Standards (SFAS) qui définissent les principes et règles comptables applicables à la préparation et à la présentation des comptes, et qui sont considérés comme des GAAP.
2.2- Synthèse des recommandations Il est intéressant de constater qu’il n’y a pas de différence au niveau des textes sur l’approche et la nature des travaux qui doivent être réalisés dans le cadre d’une mission de révision ou de certification par les professionnels comptables. Dès 1977, l’American Institute of Certified Public Accountants AICPA avait publié un Statement on Auditing Standards SAS 3 consacré aux effets de l’informatique sur l’étude et l’évaluation par l’auditeur du contrôle interne.
30
AHMED RIAHI-BELKAOUI « Eléments de théorie comptable »
65 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Ce SAS a été remplacé en 1984 par le SAS 4831 qui traite des effets des traitements informatisés sur l’examen des états financiers. Ce « statements » reprend pour les intégrer dans les autres « statements », les mêmes obligations que celles qui s’imposent à un auditeur financier français. Il est indiqué que lors de la phase de planification de son intervention, l’auditeur doit prêter attention à : -
l’étendue de l’utilisation de l’informatique pour chaque application comptable significative ;
-
à la complexité des travaux informatisés, y compris ceux pouvant être effectués par un centre de traitement extérieur ;
-
à l’organisation générale des activités informatiques ;
-
à la disponibilité des données ;
-
à l’utilisation possible de techniques de contrôles assistées par ordinateur.
-
il est également précisé qu’il peut utiliser les compétences d’un spécialiste extérieur, mais que la responsabilité qu’il a vis-à-vis des travaux de ce dernier est la même que pour ceux effectués par ses propres collaborateurs.
En ce qui concerne l’étude et l’évaluation du contrôle interne, le « statement » rappelle tout d’abord quelles sont les caractéristiques propres à l’informatique qui sont susceptibles d’avoir un effet sur le système de contrôle interne comptable de l’entreprise, puis précise que l’objectif d’un système de contrôle interne comptable reste inchangé en cas de traitement . Le « statement » rappelle également l’importance de la séparation des tâches dans un environnement informatisé et indique qu’il semble plus efficace de procéder à une revue des contrôles informatiques généraux avant une revue des contrôles d’applications. Il décrit ensuite la nature des tests qu’il est envisageable d’effectuer dans un environnement informatisé par recoupements et utilisation de techniques d’audit assistées par ordinateur. En ce qui concerne la séparation des tâches incompatibles, le « statement » précise que celle-ci doit s’apprécier non seulement au niveau du département informatique, mais aussi entre ce département et les services utilisateurs chargés des autres travaux de contrôle, et qu’il doit exister par ailleurs, des procédures de restrictions d’accès aux programmes et aux données.
Section 3 : Les normes IFAC L’IFAC est une organisation privée à but non lucratif et non politique. Elle a pour objet le développement et le renforcement de la profession comptable pour l’aider à fournir des prestations de haute qualité pour le bienfait du public. 31
AICPA, SAS n°48, New York, 1983.
66 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
3.1- Cadre juridique L’IFAC, crée en 1977, complète le rôle de l’IASC (International Accounting Standards Committee) en prenant en charge l’audit, la formation, la déontologie, la comptabilité de gestion, le secteur public et les techniques de l’information32. L’IAPC (International Auditing Practice Committee) a pour objet d’uniformiser les pratiques d’audit financier et les missions s’y rattachant. L’IAPC publie « des normes internationales d’audit » (ISA pour International Standards on Auditing).
3.2– Synthèse des recommandations de l’IFAC L’auditeur doit acquérir la connaissance du système d’information et des processus opérationnels y afférents qui ont un rapport avec l’élaboration de l’information financière, y compris en ce qui concerne : -
les flux d’opérations dans les activités de l’entité ayant un caractère significatif pour les états financiers,
-
les procédures du système informatique et des systèmes manuels, par lesquelles ces opérations sont initiées, enregistrées, traitées et présentées dans les états financiers,
-
les enregistrements comptables y afférents, aussi bien électroniques que manuels, étayant l’information et les postes spécifiques des états financiers, pour ce qui concerne le lancement, l’enregistrement, le traitement et la présentation des opérations,
-
la façon dont le système d’information saisit des événements, autres que des flux d’opérations, ayant un caractère significatif pour les états financiers, et
-
le processus d’élaboration de l’information financière utilisé pour l’établissement des états financiers de l’entité, y compris les estimations comptables significatives et les informations fournies.
L’ISA 31533 énonce que l’auditeur doit acquérir la connaissance de la façon dont l’entité a répondu aux risques résultant du système informatique. L’utilisation de systèmes informatiques a une incidence sur la manière dont les activités de contrôle sont mises en application. L’auditeur détermine si l’entité a répondu de manière
CNCC : « Focus IFRS », historique de l’IASB IFAC, ISA 315 « Compréhension de l’entité et de son environnement aux fins de l’identification et de l’évaluation des risques d’anomalies significatives ». 32
33
67 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
adéquate aux risques résultant du système informatique en mettant en place des contrôles généraux efficaces relatifs à ce système et aux applications. L’analyse comparée des textes des différentes structures fait apparaître des lignes directrices générales et des points essentiels dans la conduite de la révision. Quatre points nous semblent devoir être soulignés : -
le milieu informatisé ne modifie pas fondamentalement l’approche du réviseur comptable ;
-
l’informatisation des traitements entraîne une modification de l’organisation du contrôle interne dont l’auditeur financier doit tenir compte ;
-
l’examen du contrôle interne comprend d’une part l’examen de la fonction informatique et -d’autre part l’examen des applications ;
-
la mission d’audit en milieu informatique inclut nécessairement la réalisation de tests complétant l’examen de la fonction informatique et les applications.
2ème chapitre : Proposition de la démarche d’audit dans un milieu informatisé L’émergence des nouvelles technologies de l’informatique ainsi que la complexité croissante des systèmes d’information automatisées, nous a conduit à poser plusieurs questions sur les diligences et les méthodes adéquates que l’auditeur financier utilise pour répondre aux objectifs d’une telle mission d’audit des états financiers. Outre les spécificités et les particularités du système comptable, les procédures de contrôle interne dans un milieu informatisé deviennent de plus en plus compliquées. Pour cela, l’auditeur financier doit évaluer et identifier les risques liés aux systèmes d’informations à partir de : -
la prise de connaissance de l’environnement informatique ;
-
l’identification des processus métier et des flux de traitement des données ;
-
l’identification des applications de base et des principales interfaces IT pertinentes.
C’est à l’aide du référentiel CobiT version 5 que l’auditeur financier peut mettre en place des diligences adéquates lui permettant d’identifier et évaluer les risques liés au système d’information d’une entité. Nous essayerons de proposer une démarche d’audit dans un milieu informatisé qui traite notamment : la planification de la mission d’audit, l’évaluation des risques et les tests de validation en se basant sur le référentiel CobiT 5. 68 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Section 1 : Planification de la mission La planification de l’audit est la phase au cours de laquelle on évalue les facteurs qui influent sur la probabilité de distorsions importantes des états financiers et on fixe l’orientation générale de la mission et l’étendu des travaux de vérification à exécuter34. L’auditeur doit élaborer et documenter un plan détaillé décrivant l’approche et l’étendue de l’audit et la conduite de celui-ci. Les questions que l’auditeur prend en compte pour élaborer un plan d’audit concernent : -
La connaissance des activités de l’entité ;
-
La compréhension du système comptable et de contrôle interne y compris le système d’information ;
-
La prise en compte du risque et du seuil de signification ;
-
La nature, le calendrier et l’étendue des procédures d’audit.
1.1- Prise de connaissance de l’entité : Pour réaliser l’audit des états financiers, l’auditeur doit avoir une connaissance suffisante des activités de l’entité afin d’identifier et de comprendre les événements, opérations et pratiques de l’entité qui, d’après son jugement, peuvent avoir une incidence significative sur les états financiers, sur son examen et sur le rapport d’audit35. Pour avoir une connaissance assez suffisante de l’entité, l’auditeur doit prendre en considération l’environnement informatique de l’entité.
1.1.1- Prise de connaissance des affaires du client L’auditeur doit acquérir une connaissance sur le secteur d’activité de l’entité auditée. Les sources d’information qui peuvent utiliser l’auditeur afin d’évaluer les risques relatives à l’environnement de l’entité sont notamment : -
Expériences antérieures de l’entité et de son secteur d’activité ;
-
Entretien avec les employés de l’entité ;
-
Entretien avec le personnel d’audit interne et examen des rapports d’audit interne ;
-
Entretien avec les personnes biens informées à l’extérieur de l’entité ;
CNCC : « prise en compte de l’environnement informatique et incidence sur la démarche d’audit », édition avril 2003. 35 AJECT : « Manuel d’audit », édition 2015, p.5 34
69 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
Publications relatives au secteur d’activité ;
-
Textes législatifs et réglementaires ayant une incidence significative sur l’entité ;
-
Visites des locaux et des installations de l’entité ;
-
Documents établis par l’entité (PV, rapports, budgets…)
La connaissance des activités de l’entité constitue un cadre de référence permettant à l’auditeur d’exercer son jugement professionnel. La compréhension des activités de l’entité et son utilisation adéquate aident l’auditeur à : -
Evaluer les risques et identifier les problèmes ;
-
Planifier et conduire efficacement l’audit ;
-
Evaluer la validité des éléments probants ;
-
Fournir un meilleur service au client.
L’auditeur doit s’assurer que les collaborateurs assignés à une mission d’audit connaissent suffisamment les activités de l’entité pour accomplir correctement le travail qui leur est confié. Le manque d’expérience dans un secteur d’activité particulier peut rendre l’exécution de la mission très difficile. L’auditeur s’assure que ses propres compétences, ou celles de ses collaborateurs ou associés, sont suffisantes pour exécuter la mission avec tout le soin nécessaire ou envisage le cas échéant le recrutement ou l’aide d’un spécialiste.
1.1.2- Prise de connaissance de l’environnement informatique La prise de connaissance de l’environnement informatique de l’entité nécessite la prise en compte des domaines suivants dans la définition du contenu du plan de la mission : -
La stratégie informatique de l'entreprise ;
-
La fonction informatique de l'entreprise ;
-
L'importance de l'informatique dans l'entreprise.
Au niveau de cette phase, l’auditeur peut utiliser les processus de la gouvernance des IT du référentiel CobiT 5. a. Evaluer le système de gouvernance : EDM01.01 L’auditeur doit identifier les différentes parties prenantes de l’entreprise, documenter et comprendre les exigences, et porter un jugement sur la conception actuelle et future de la gouvernance de l'informatique de l’entreprise. 70 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Les diligences qui peuvent être mise en place sont : -
Analyser et identifier les facteurs environnementaux internes et externes (obligations légales, réglementaires et contractuelles) et les tendances dans le contexte métier qui peuvent influer sur la conception de la gouvernance ;
-
Déterminer l’importance de l'informatique et son rôle à l’égard des métiers ;
-
Tenir compte de la réglementation externe, des lois et des obligations contractuelles et déterminer la façon dont elles sont appliquées au sein de la gouvernance de l'informatique de l’entreprise ;
-
Comprendre la culture décisionnelle de l’entreprise et le modèle de prise de décision pour l'informatique ;
-
Déterminer les niveaux appropriés de délégation des pouvoirs pour les décisions en matière d'informatique.
b. Orienter le système de gouvernance : EDM01.02 Les vigilances que l’auditeur peut conclure au niveau de ce processus sont les suivantes : -
Identifier les principes de gouvernance informatique ;
-
Déterminer la responsabilité hiérarchique, l’autorité et la responsabilité d'action conformément aux principes acceptés de conception de la gouvernance, aux modèles de prise de décision et à la délégation ;
-
Analyser les mécanismes de communication et de production des rapports.
1.2- Examen analytique (préliminaire ou global) Les procédures analytiques consistent en des appréciations de l’information financière à partir de l’étude de corrélations plausibles entre des données aussi bien financières que non financières. Les procédures analytiques comprennent aussi l’examen des variations et des corrélations constatées qui sont incohérentes avec d’autres informations pertinentes ou qui présentent un écart significatif par rapport aux montants attendus36.
36
IFAC, ISA 500 : « Eléments probants »
71 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Un privilège est, en particulier, donné à l’application des procédures analytiques pour mettre en évidence les zones de risques critiques qui demandent à être soigneusement considérées et requièrent des jugements motivés. C’est une technique qui permet, lors de la prise de connaissance, d’identifier les flux financiers significatifs, les variations anormales et les tendances, éléments essentiels pour orienter la mission. L’examen analytique peut aider l’auditeur à mieux connaître l’entreprise et à identifier les domaines de risque potentiel, contribuant ainsi à une meilleure planification de la mission. Lors de la prise de connaissance de l’entreprise l’auditeur cherche à déterminer37 : -
Les types de transactions qui ont ou peuvent avoir un impact significatif sur les comptes en raison de leur poids relatif et/ou de leur nature. C’est en fonction de cette analyse préalable que l’auditeur pourra planifier sa mission et déterminer la nature et l’étendue de ses travaux pour chacun des éléments ainsi identifiés ;
-
Les événements propres à chaque exercice qui nécessitent une mise à jour de sa planification et une modification de son programme de travail.
L’examen analytique des derniers comptes annuels disponibles, des budgets ou comptes intermédiaires établis par l’entreprise, permet à l’auditeur de38 : -
Comprendre les inter- relations qui existent entre les différents éléments constitutifs des comptes annuels et de déceler les variations qui peuvent être révélatrices de modifications de structures, d’événements ponctuels spécifiques à chaque exercice,….
-
Définir les ratios qui semblent les plus révélateurs de l’évolution de l’entreprise et de s’assurer que les éléments nécessaires à l’explication de leur variations seront disponibles. L’auditeur peut à ce stade utilement s’appuyer sur les statistiques du secteur économique auquel appartient l’entreprise : cela lui permet de mieux comprendre les éléments qui servent de mesure dans ce secteur et de situer l’entreprise considérée par rapport à ses concurrents.
37 38
IFAC, ISA 520 : « Procédures analytiques » AJECT : « Manuel d’audit », édition 2015, p.8
72 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
1.3- Description du système d’information de l’entité L’auditeur doit avoir une vue globale de la circulation des données tout au long de la chaîne des traitements, allant de la saisie initiale des données jusqu'à leur archivage final, en passant par leurs modifications et leurs mises à jour, leurs stockages, leurs éditions. Cette vue globale a pour objectif d'identifier l'ensemble des bases de données mises en œuvre, et les opérations qui sont faites pour transférer les données d'une base à l'autre.
Figure n°5 : Exemple du système d’information d’une entité39 Afin d’avoir une vue globale sur le système d’information, l’auditeur doit identifier : -
les processus métier et des flux de traitement des données ;
-
les applications de base et les principales interfaces IT pertinentes.
1.3.1- Identification des processus métiers et des flux de traitement des données Les états financiers d’une entreprise sont le résultat de la consolidation de plusieurs activités que l’on peut regrouper en processus et qui peuvent être très différents les uns des autres. Potentiellement, certaines faiblesses de ces processus peuvent remettre en cause la fiabilité des états financiers. C’est pourquoi une identification minutieuse des processus métiers et des flux de traitement des données est indispensable pour pouvoir évaluer les risques au sein de chaque processus.
39
CHAI : « Guide d’audit des systèmes d’information », Version 1.0, Juin 2014
73 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
L’objectif de cette étape est d’identifier les processus métiers significatifs qui ont une influence directe sur le flux de traitement comptable. Il s’agit du processus de comptabilité en tant que tel, de processus métiers complexes tels que la facturation et les processus de support. L’auditeur doit identifier les processus qui influent les transactions comptables. Les processus peuvent judicieusement être représentés sous forme de cartographie de processus. L’auditeur peut s’appuyer sur la documentation des processus existants auprès de l’entreprise. La documentation se concentre généralement sur les activités et précise, pour chaque étape de processus, les entrées, les traitements et résultats ainsi que les rôles des différents acteurs. Toutefois, ce type de documentation contient rarement les risques de processus ou les contrôles clés, ceux-ci doivent donc être identifiés et documentés par l’auditeur dans une phase ultérieure des travaux liés aux contrôles des applications. L’auditeur doit acquérir une connaissance approfondie des processus sélectionnés. Il convient, à cet égard, de distinguer les processus métier (par ex. processus de vente) et les processus financiers parfois très ponctuels (par ex. consolidation des chiffres trimestriels d’une succursale ou calcul de l’amortissement annuel d’une immobilisation). Ces deux catégories de processus comportent des risques susceptibles de se matérialiser dans les états financiers. Une description trop générale rend difficile l’identification des risques. Il est parfois utile de subdiviser le processus en plusieurs sous-processus selon leur complexité.
74 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Figure n°6 : Exemple de présentation graphique pour un système d’information d’une entité (forme de flux de traitement des données)40 L’auditeur ne doit pas s’arrêter uniquement sur les données électroniques mais il doit prendre également en compte les flux de documents (par ex. rapport sur l’évaluation des stocks) et les interfaces manuelles.
1.3.2- Identification des applications de base et des principales interfaces IT pertinentes De nombreux contrôles sont automatisés et intégrés dans les applications IT. De plus, l’automatisation des étapes de processus présente des risques supplémentaires. Il peut s’agir par exemple de la difficulté de mettre en œuvre une séparation adéquate des fonctions, mais également d’une impossibilité de contrôle humain compte tenu du niveau élevé d’intégration et
40
ISACA, AFAI : « Guide d’audit des applications informatiques », Novembre 2008
75 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
du traitement en temps réel lesquels génèrent un traitement et un enregistrement automatiques des transactions. Il est donc utile d’identifier à temps les applications impliquées, leurs caractéristiques et leurs interfaces. Une représentation des applications impliquées n’est pas toujours adéquate avec le flux des données. En particulier avec les applications fortement intégrées (par ex. Enterprise Resource Planning Systems : ERP), plusieurs processus métiers sont pris en charge par une seule et même application. Les différents types d’applications et leurs caractéristiques ont un impact sur la planification et la réalisation de l’audit compte tenu de leurs profils de risque très différents. On trouve trois types d’applications : -
application standard ;
-
application standard fortement adaptée ;
-
développement interne
a. Applications standard Les applications standard au bénéfice d’une certaine maturité présentent généralement une multitude de contrôles intégrés pertinents. Le tableau ci-après montre quelques contrôles de base destinés à assurer l’intégrité des transactions traitées :
76 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée Une application standard peut disposer Ces fonctionnalités offrent (ou impliquent) les contrôles les fonctionnalités suivantes suivants Protection de l’accès aux paramètres de la date système Datation automatique des opérations et des transactions par le système
Cryptage du mot de passe Offrir plusieurs identifications utilisateurs avec des mécanismes d’authentification
Contrôle de la syntaxe du mot de passe Contrôle de la validité du mot de passe Historique des tentatives de connexion échouées
Paramétrisation des autorisations
Traces des mutations des paramètres et des des données de base
Interdiction de supprimer
Mécanisme de protection d’accès par des profils de groupe ou des autorisations individuelles. Enregistrement automatique des anciennes valeurs dans un fichier historique (avec date de validité: valable dès le / jusqu’au, date de la mutation et identification de l’utilisateur qui a effectué la modification) Protection des accès aux paramètres et au fichier historique. Le programme ne doit pas proposer de fonction de suppression des données.
Lors de l’évaluation de l’application standard il convient de répondre aux questions suivantes : -
quel type d’application standard l’entreprise utilise-t-elle ?
-
l’application standard est-elle répandue dans son secteur d’activité ?
-
l’application standard est-elle certifiée ?
-
s’agit-il d’un progiciel établi, connu ou d’une nouveauté ?
-
existe-t-il des sources d’informations sur cette application et, éventuellement, des faiblesses de sécurité ou de processus connues ?
b. Applications standard fortement adaptées Les applications standard fortement adaptées sont des progiciels dont le but principal est de mettre à disposition des fonctionnalités de base et des outils de création de processus et de workflows, et dont la paramétrisation permet la mise en place de solutions spécifiques qui répondent aux besoins de l’entreprise41. L’auditeur est ici confronté à un grand défi dans la mesure où, même s’il dispose d’informations sur la fiabilité des composants des applications et systèmes éprouvés, il n’en a pas sur l’interaction de ces composants avec les éventuelles configurations et programmations supplémentaires dans l’environnement spécifique du client.
41
ISACA, AFAI : « Guide d’audit des applications informatiques », Novembre 2008
77 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
En pareilles situations, l’auditeur devra prévoir davantage de temps pour l’identification des risques et l’évaluation des contrôles pertinents. Plus une application standard a été adaptée aux exigences spécifiques d’une entreprise, plus l’analyse des paramètres, de la gestion du workflow et des adaptations techniques des programmes est importante. c. Développements internes Dans le cas de développements internes, l’auditeur n’est pas en mesure de s’appuyer sur les informations et les expériences généralement connues et doit adapter sa procédure d’audit à l’application concernée. Les applications développées en interne exigent généralement un travail de vérification plus important. En pareilles situations, la collaboration entre l’auditeur, le responsable de l’application et, le cas échéant, le développeur de l’application revêt une grande importance.
1.4- Prise en compte des risques L’évaluation des risques est une étape qui a pour objet d’appréhender au mieux les incertitudes qui concernent une activité qui peuvent provenir des facteurs internes ou externes alors que l’impact peut être financier ou matériel. L’évaluation des risques n’est pas seulement influencée par les seules applications informatiques. En effet, l’incidence de l’environnement informatique sur le risque inhérent et le risque lié au contrôle ne peut être appréciée sans prendre en compte la notion de flux d’information ou processus. La nature des risques dans un environnement informatique est liée aux spécificités suivantes : -
l'utilisation d’un SI entraîne généralement des risques inhérents élevés qui peuvent provenir de la multiplicité des systèmes en intégration ou de la multiplicité des utilisateurs.
-
Le manque de trace matérielle justifiant les opérations qui entraine un risque important du non détection des erreurs contenues dans les programmes d’application ou les logiciels d’applications.
-
La séparation insuffisante des tâches qui résulte souvent de la centralisation des contrôles
-
Le risque d'erreur et d'irrégularité qui peut provenir d'erreurs humaines dans la conception, la maintenance et la mise en œuvre plus importante que dans un système 78 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
manuel, aussi il peut provenir d'utilisateurs non autorisés qui acceptent, modifient, suppriment des données sans trace visible. Après avoir une connaissance de l’activité de l’entité et de son système d’information, l’auditeur doit recourir à son jugement professionnel pour évaluer le risque d’audit et définir des procédures d’audit visant à le réduire à un niveau acceptable faible. Le risque d’audit est que l’auditeur exprime une opinion incorrecte du fait d’erreurs significatives contenues dans les états financiers. La détermination de ce risque dépend essentiellement du risque inhérent et le risque lié au contrôle42. Pour évaluer le risque inhérent, l’auditeur se fie à son jugement professionnel pour évaluer de nombreux facteurs tel que : -
Les caractéristiques de la direction,
-
La nature des activités de l’entité,
-
Les facteurs influençant le secteur d’activité,
-
La complexité des transactions sous-jacentes et d’autres événements qui nécessitent l’intervention d’un expert,
-
Le degré de jugement intervenant dans la détermination des soldes des comptes,
-
Des opérations non soumises au traitement habituel.
L’auditeur doit procéder à une évaluation préliminaire du risque lié au contrôle, au niveau des assertions sous-tendant chaque solde de compte ou catégorie de transaction significative et ce après avoir pris une connaissance sommaire du système comptable et de contrôle interne, Une évaluation définitive de ce risque doit avoir lieu après l’intervention intérimaire après avoir évalué de façon définitive le système comptable et de contrôle interne. Cette appréciation des risques guide l’auditeur dans le choix de l’approche d’audit à suivre et dans la fixation de l’étendue de ses travaux.
1.5- Etablissement du plan de mission Le plan de mission comprend généralement la structure suivante : 1-Fixation des objectifs de la mission : 1-1 indiquer clairement la nature de la mission 1-2 La date limite de réalisation de la mission sur terrain 1-3 la date de communication à la direction générale des rapports 2-Mise à jour de la connaissance de la société, de ses activités et de ses procédures SMPC : « Guide pour l’utilisation des Normes Internationales d’Audit dans l’Audit des Petites et Moyennes Entreprises », février 2008. 42
79 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
2-1 indiquer les domaines de risques significatifs 2-2 Identifier les opérations inhabituelles ou inattendues ; 2-3 Identifier les problèmes comptables significatifs 3-Evaluation de l’environnement de contrôle interne 3-1 styles de direction et sensibilité au contrôle interne 3-2 comportements des différentes directions 3-3 méthodes et moyens de contrôle 3-4 applications du manuel des procédures 3-5 influences externes 3-6 structure organisationnelle et système informatique 4- Fixation de la stratégie d’audit : 4-1 Décision de planification générale ; 4-2 Calendrier de principales procédures à examiner ; 4-3 Principaux tests par module ; 4-4 Budget temps par équipe intervenante. 5- Diffusion du plan de mission aux membres de l’équipe La prise en compte de l’aspect informatique dans le plan de mission s’effectue sur la base des informations recueillies précédemment, lors des phases « Prise de connaissance de l’informatique dans l’entreprise » et « Description du système d’information », et qui portent sur : -
l’existence ou non d’une stratégie informatique,
-
les caractéristiques de l’organisation informatique,
-
l’importance de l’informatique dans l’entreprise,
-
la complexité du système d’information,
-
le nombre de processus et applications informatiques concernées.
Section 2 : Evaluation des risques L’auditeur met en œuvre des procédures d’évaluation des risques pour identifier et évaluer les risques d’anomalies significatives, en vue de concevoir et de planifier des réponses appropriées à l’évaluation des risques. Pour identifier les risques d’anomalies significatives, l’auditeur doit mettre en œuvre des procédures d’évaluation des risques afin de recueillir de l’information qui l’aidera à acquérir une compréhension de l’entité et de son environnement, y compris son contrôle interne.
80 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
L’auditeur doit identifier le risque inhérent et le risque lié au contrôle afin d’évaluer les risques et mettre en œuvre les réponses nécessaires à ces risques.
2.1- Les risques inhérents : Le risque inhérent (ou risque général de l'entreprise) est le risque qu'une erreur significative se produise compte tenu des particularités de l'entreprise auditée, de ses activités, de son environnement, de la nature de ses comptes et de ses opérations43. Lors de l’évaluation de ce risque, l’auditeur doit identifier le risque à l’affaire ainsi que le risque lié à l’environnement informatique.
2.1.1- Les risques inhérents liés aux affaires du client On peut analyser ces risques de la manière suivante : -
Risques liés à l'activité :
taille de l'entreprise,
nombre de centres de production et dispersion de leur implantation géographique,
-
marchés et produits de l'entreprise,
sources d'approvisionnement,
opérations en monnaies étrangères,
dates de transfert de propriété,
mise en cause de la garantie,
fluctuation de l'activité (sous-activité),
risques et non-recouvrement des créances,
Risques liés à la structure du capital :
risque lié à l'existence d'un dirigeant/associé majoritaire : confusion du patrimoine,
-
risque d'abus de biens,
risque de non-déductibilité des charges,
risque de «manipulation» du résultat.
Risques liés à la structure financière :
insuffisance de fonds de roulement,
insuffisance de capitaux propres,
CNCC : « prise en compte de l’environnement informatique et incidence sur la démarche d’audit », édition avril 2003. 43
81 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
-
problèmes de gestion de trésorerie,
Risques liés à l'organisation :
insuffisance du personnel administratif,
changements opérés au sein de l'équipe de direction,
clients nouveaux (procédures spécifiques),
risque fiscal.
Risques liés à l'importance de certains postes du bilan lorsque ceux-ci sont supérieurs à 10% du total du bilan.
-
Risques liés à certains actifs ou catégories d'opérations :
vulnérabilité des actifs aux pertes et détournements,
enregistrement d'opérations inhabituelles ou complexes,
opérations de redressement au titre d'exercices antérieurs,
opérations reposant en grande partie sur des estimations.
2.1.2. Les risques inhérents liés à l’environnement informatique Les caractéristiques de l’environnement informatique d’une entité peuvent entraîner un risque inhérent élevé et avoir une conséquence à terme sur la continuité d’exploitation. Une entreprise fortement dépendante de son informatique peut voir remise en cause son activité, en cas de défaillance majeure survenant dans son système d’information44. Les processus du référentiel CobiT 5 qui peuvent être utilisés par l’auditeur sont les suivants : a. Piloter le système de gouvernance : EDM01.03 L’objectif de ce processus est de contrôler l’efficacité et la performance de la gouvernance informatique de l’entreprise. Les diligences qui peuvent être mise en place par l’auditeur sont : -
Evaluer l’efficacité et la performance des parties prenantes auxquelles la responsabilité et l’autorité ont été déléguées pour la gouvernance informatique de l’entreprise.
-
Evaluer si les mécanismes de gouvernance informatique qui ont été acceptés (structures, principes, processus, etc.) sont en place et s’ils fonctionnent efficacement.
-
Evaluer l’efficacité de la conception de la gouvernance.
-
Contrôler les mécanismes réguliers et routiniers pour s’assurer que l’utilisation de l'informatique est conforme aux exigences pertinentes (réglementaires, légales,
CNCC : « prise en compte de l’environnement informatique et incidence sur la démarche d’audit », édition avril 2003. 44
82 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
coutumières, contractuelles), aux normes et aux lignes directrices. b. Evaluer l'optimisation de la valeur : EDM02.01 L’objectif de ce processus est d’évaluer le portefeuille d’investissements, les services et les actifs liés à l'informatique afin de déterminer le niveau de certitude d’atteindre les objectifs de l’entreprise et de créer de la valeur à un coût raisonnable. L’auditeur doit : -
Identifier les besoins des parties prenantes, les problématiques informatiques (par exemple : la dépendance envers l'informatique), appréhender les connaissances et les capacités de l'entreprise en matière de technologie vis à vis de l’importance réelle et potentielle de l'informatique pour la stratégie de l’entreprise.
-
Identifier les éléments clés de gouvernance nécessaires pour optimiser la valeur ajoutée de l’utilisation des services informatiques, existants ou nouveaux, des actifs et des ressources de manière fiable, sécurisée et rentable.
-
Évaluer l’efficacité avec laquelle la stratégie de l’entreprise et celle de l'informatique sont intégrées et alignés sur l’entreprise et sur ses objectifs pour la création de valeur.
-
Évaluer dans quelle mesure les rôles, les responsabilités et les instances décisionnelles actuels font preuve d’efficacité pour garantir la création de valeur à partir des investissements, des services et des actifs informatiques.
-
Examiner dans quelle mesure la gestion des investissements, des services et des actifs informatiques s’aligne avec la gestion de la valeur de l’entreprise et les pratiques de gestion financière.
-
Évaluer le portefeuille des investissements, des services et des actifs afin de déterminer le rapport de ces investissements avec les objectifs stratégiques de l’entreprise, la valeur de l’entreprise (tant financière que non financière), les risques, la cohérence avec les processus métiers, l’utilité en matière de convivialité, de disponibilité et de réactivité, l’efficacité en matière de coût et de fiabilité technique.
c. Evaluer la gestion des ressources : EDM04.01 L’objectif de ce processus est d’examiner et évaluer le besoin actuelle et future en ressources liées à l'informatique, les options (incluant les stratégies d’approvisionnement) et les principes d’allocation et de gestion pour répondre aux besoins de l’entreprise de manière optimale. 83 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Dans ce cadre, l’auditeur peut suivre les diligences suivantes : -
Examiner et porter un jugement sur la stratégie actuelle et future, sur les options de fourniture des ressources informatiques et sur le développement des capacités à répondre aux besoins actuels et futurs.
-
Examiner le plan des ressources si capable pour créer de la valeur et atténuer les risques avec les ressources allouées.
d. Evaluer les exigences des parties prenantes en matière de reporting : EDM05.01 L’objectif de ce processus est d’examiner et évaluer les besoins actuels et futurs des parties prenantes en matière de communication et de reporting, incluant les exigences obligatoires de reporting et la communication avec les autres parties prenantes. Les contrôles que l’auditeur peut les mette en œuvre sont : -
Examiner et évaluer les exigences actuelles et futures en matière de reporting relative à l’utilisation de l'informatique au sein de l’entreprise (réglementation, législation, loi, contrats), incluant la portée et la fréquence.
-
Examiner et évaluer les exigences actuelles et futures en matière de reporting pour les autres parties prenantes relatives à l’utilisation de l'informatique au sein de l’entreprise, incluant la portée et les conditions.
e. Piloter la communication des parties prenantes : EDM05.03 L’objectif est d’évaluer les mécanismes destinés à assurer l’exactitude, la fiabilité et l’efficacité, et vérifier que les exigences des différentes parties prenantes sont satisfaites. Les diligences qui peuvent être suivies par l’auditeur sont : -
Évaluer l’efficacité des mécanismes destinés à assurer l’exactitude et la fiabilité du reporting obligatoire.
-
Évaluer l’efficacité des mécanismes de communication avec les parties prenantes internes et externes.
-
Déterminer si les exigences des différentes parties prenantes sont satisfaites.
L’analyse et l’évaluation des risques informatiques peuvent se révéler complexes. L’auditeur doit, outre l’identification des risques inhérents liés à l’environnement informatique, examiner et évaluer les contrôles mis en place par l’entité pour faire face à ces risques. 84 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
2.2- Les risques liés au contrôle : Le risque lié au contrôle correspond au risque qu’une anomalie susceptible de survenir dans une assertion et pouvant présenter un caractère significatif soit individuellement, soit de manière cumulée avec d’autres anomalies, ne soit ni prévenue, ni détectée et corrigée en temps voulu par le contrôle interne de l’entité45. L’incidence de l’environnement informatique sur le risque lié au contrôle est appréciée à travers l’étude des processus et des applications jouant un rôle significatif direct ou indirect dans la production des comptes de l’entreprise.
2.2.1- Identification des risques et des contrôles clés Cette étape consiste à définir pour chaque risque significatif des scénarios d’erreurs, afin d’évaluer la manière dont ils peuvent être compensés par des contrôles clés. Par ailleurs, l’impact sur les assertions dans les états financiers est également analysé (par ex. exhaustivité, authenticité, évaluation, rattachement à l’exercice ou représentation dans les comptes annuels). Compte tenu de la complexité des processus et des applications, il est important de se concentrer sur l’essentiel lors des travaux d’audit. L’identification des risques et des contrôles clés attendus constitue la base pour un audit efficace. Les contrôles clés attendus par l’auditeur sont ensuite comparés aux contrôles effectivement implémentés et la couverture des risques est évaluée. Au sein des principaux processus et des systèmes impliqués, les risques qui peuvent entraîner une inexactitude importante dans les états financiers sont identifiés. Le résultat obtenu est un aperçu des risques susceptibles d’empêcher la réalisation des objectifs du processus. Cette analyse des risques permet également de définir l’étendue des procédures d’audit. Les objectifs de contrôle découlent des risques. Un objectif de contrôle est défini comme une assertion relative au résultat souhaité (but) devant être atteint grâce à l’implémentation du contrôle46. Les objectifs de contrôle sont donc souvent des risques «inversés», autrement dit, ils visent la diminution d’un risque donné. Par la suite, l’auditeur définit les attentes relatives aux contrôles typiques et attendus pour les risques identifiés. Il convient de subdiviser ces contrôles en «contrôles clés» et autres contrôles. SMPC : « Guide pour l’utilisation des Normes Internationales d’Audit dans l’Audit des Petites et Moyennes Entreprises », février 2008. 45
46
ISACA, AFAI : « Guide d’audit des applications informatiques », Novembre 2008
85 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Les contrôles clés, individuels ou combinés entre eux, sont indispensables à une réduction acceptable des risques. Ils sont donc garants de la fiabilité des résultats du processus et des données financières. Les contrôles clés constituent «la colonne vertébrale» du système de contrôle et sont donc des objets de vérification essentiels. Les autres contrôles ont une pertinence moindre pour l’auditeur. Les contrôles clés attendus par l’auditeur sont comparés aux contrôles effectivement mis en place et la couverture des risques est évaluée dans le cadre des contrôles clés existants dans le processus concerné. Les questions suivantes sont pertinentes pour le déroulement de l’audit et doivent donc être documentées : -
le but d’un contrôle clé est-il d’empêcher la survenance d’une erreur ou de la détecter ?
-
un contrôle est-il réalisé manuellement ou est-il automatisé dans une application ?
Le tableau suivant représente une matrice des risques et des contrôles :
Détectif
Préventif
Impact
Droits et obligations
Existence
Imputation comptable
Séparation des périodes
Survenance
Exactitude
Exhaustivité
Qu’estce qui Qui contrôle pourrait quoi, comment ? se passer ?
Assertions dans les états financiers
Activité
Contrôle
Contrôles
Opérationnelle
Risques
Efficacité des contrôles Conception des contôles
Fonctionnement des contôles
Le contrôle est-il capable de remplir les critères?
Les contrôles sontils réalisés?
Efficacité
Oui / Non / N.A.
Figure n° 8 : Matrice des risques et des contrôles47 La partie gauche présente les risques identifiés et leur couverture par les contrôles. Le centre de cette matrice des risques et des contrôles permet d’indiquer l’assertion des états financiers concernés par le contrôle clé. Cela garantit la couverture de toutes les exigences par les contrôles identifiés. L’identification des contrôles au sein des transactions n’est pas suffisante en soi, il convient également de considérer les risques et les contrôles inhérents aux paramètres et aux données de base. Les contrôles typiques sont les contrôles d’accès et les autorisations.
47
GTAG 8 : « Audit des contrôles applicatifs », juillet 2007.
86 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Tous les contrôles importants liés aux applications doivent être pris en compte, autrement dit, tous les contrôles manuels ou automatiques qui ont une influence directe sur le résultat du processus. La qualité des contrôles ayant une influence doit être évaluée dans le cadre de l’appréciation globale de l’audit mais ne fait pas l’objet d’explications plus détaillées. Pour la compréhension des contrôles applicatifs et en particulier pour l’évaluation ultérieure de la conception des contrôles, une documentation appropriée des contrôles revêt une importance fondamentale. La documentation permet à l’auditeur de comprendre quelles sont les «règles de gestion» devant être garanties par le contrôle.
2.2.2- Tests de cheminement Le test de cheminement consiste à effectuer et à documenter les étapes manuelles/automatiques du processus ou de la classe de transaction sur la base d’une transaction type servant d’exemple. Il sert à vérifier la compréhension du processus concerné, les risques et les contrôles y relatifs mais également à confirmer l’analyse précédente. La profondeur, respectivement le degré de détail avec lequel un test de cheminement est effectué, dépend de l’intention de l’auditeur de s’appuyer ou non sur le système de contrôle existant. Si l’auditeur a l’intention de s’appuyer sur les contrôles, il analysera en détail le fonctionnement des différents contrôles pendant le test de cheminement afin de savoir s’ils couvrent effectivement les risques existants ou non. Si l’auditeur n’a pas l’intention de s’appuyer sur l’efficacité des contrôles, il se contentera d’un test de cheminement moins détaillé. Il doit garantir que l’auditeur comprend tous les risques principaux (financiers) pouvant résulter du processus. Le test de cheminement permet de vérifier systématiquement : -
la compréhension des flux de traitement,
-
la consistance et la pertinence de la documentation et du diagramme de flux existants,
-
la correction et l’exhaustivité des informations sur les contrôles pertinents et
-
l’existence des contrôles pertinents dans les activités quotidiennes.
Une transaction est sélectionnée par classe de transaction. Son traitement est analysé via le processus global, en commençant par l’initiation de la transaction et son autorisation, son enregistrement, son traitement, jusqu’à sa comptabilisation. 87 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Le mieux est de décomposer le processus à l’aide du modèle à quatre niveaux48 : -
Méga processus (niveau 1) : ce niveau correspond à l’intégralité du processus, de bout en bout.
-
Processus majeur (niveau 2) : ce niveau correspond aux principaux composants du processus de bout-en-bout.
-
Processus mineur, ou sous-processus (niveau 3) : ce niveau correspond aux composants mineurs, ou sous-processus, de chacun des processus majeurs.
-
Activité (niveau 4) : ce dernier niveau correspond aux transactions du système qui aboutissent à la création, à la modification ou à l’effacement de données pour chacun des composants mineurs ou sous-processus.
Le processus de transaction doit être suivi à partir du fait générateur, puis au travers des différentes étapes de traitement dans l’application. Lors du déroulement du processus, les contrôles existants sont vérifiés et la sélection de contrôles clés analysée. Dans le cadre du test de cheminement, le personnel doit être interrogé sur sa compréhension des descriptions de fonction et des consignes de contrôle, en particulier en ce qui concerne le traitement des exceptions dans le processus ou les traitements des erreurs. a. Diagrammes de flux Les diagrammes de flux constituent l’une des techniques les plus efficaces utilisées pour présenter la circulation des transactions, et les applications qui leur sont associées, ainsi que les contrôles manuels effectués dans un processus de bout- en-bout. Cependant, les diagrammes de flux ne sont pas toujours pratiques, et une description narrative des processus se révèle parfois plus adaptée. C’est notamment le cas lorsqu’un auditeur consigne par écrit les domaines, ou un travail effectué dans l’environnement informatique. b. Description narrative des processus La description narrative constitue une autre technique permettant d’établir la documentation sur les flux des transactions induits par les processus d’entreprise, ainsi que sur les applications qui y sont associées. Le mieux est de se servir de ces descriptions comme d’un outil de documentation pour des processus et des environnements informatiques relativement peu
48
GTAG 8 : « Audit des contrôles applicatifs », juillet 2007.
88 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
complexes. En effet, plus le processus est complexe, plus il est difficile de rédiger une description narrative qui en reflète correctement et fidèlement la vraie nature. Dans le cas des processus relativement complexes, l’auditeur doit élaborer un diagramme de flux accompagné d’une description narrative correspondante dans lesquels les contrôles sont numérotés.
2.2.3- Evaluation de la conception des contrôles L’évaluation de la conception des contrôles examine l’adéquation (couverture des risques, exhaustivité, actualité) et l’efficacité économique (redondances, chevauchements) de l’ensemble du système de contrôle interne en tenant compte des principaux processus métier dans leur globalité. La conception des contrôles, notamment leur positionnement dans le processus métier, doit être évaluée pour savoir si : -
les risques identifiés sont entièrement couverts,
-
les objectifs de contrôle définis peuvent être réellement atteints par les contrôles mis en place,
-
les contrôles permettent réellement de réduire les risques d’erreur et de fraude et si la couverture des risques s’effectue de manière efficace et économique,
-
ou si, le cas échéant, un autre contrôle ou combinaison de contrôles, notamment de contrôles au niveau de l’environnement de l’entreprise, est plus efficace pour réaliser le même objectif de contrôle.
Seule une compréhension approfondie de la conception des contrôles permet de définir une stratégie d’audit appropriée pour l’évaluation du fonctionnement des contrôles. Une analyse minutieuse de la conception des contrôles permet : -
d’identifier les lacunes, les chevauchements et les doublons en matière de contrôles ;
-
d’éviter la réalisation onéreuse de contrôles par les services et, le cas échéant, les tests de fonctionnement des contrôles par l’auditeur ;
-
d’envisager que le même résultat ou un meilleur résultat peut être obtenu avec l’utilisation ou l’adaptation d’autres contrôles, notamment de contrôles déjà établis.
Le système de contrôle interne est présumé effectif lorsque les contrôles sont respectés et donnent une assurance raisonnable que les erreurs ou les abus n’affectent pas de manière significative les états financiers. Certaines procédures d’audit orientées processus sont conçues pour attester que la conception des contrôles permet d’identifier, d’éviter et de corriger des erreurs importantes. 89 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Les procédures d’audit d’évaluation de la conception des contrôles comportent des questions, des observations, des tests de cheminement, la revue de la documentation principale et l’évaluation de l’adéquation de contrôles spécifiques. L’auditeur doit évaluer les contrôles en termes de niveau d’automatisation (manuels, semiautomatiques, automatiques), d’impact (préventifs, détectifs), de fréquence de contrôle et de couverture de risque. Concernant le niveau d’automatisation, les contrôles automatiques sont plus efficaces que les contrôles manuels car ils ont un fonctionnement continu dans le temps et un coût d’implémentation unique. De plus, leur efficacité est plus stable tant qu’aucune modification significative n’est effectuée dans l’application. Il est communément admis que les contrôles préventifs permettent plus facilement d’atteindre les objectifs de contrôle que les contrôles détectifs qui visent l’identification d’erreurs en aval des traitements. En règle générale, une fréquence élevée de contrôles manuels et semi-automatiques entraîne des coûts et des délais plus élevés par rapport à des contrôles automatiques dont la fréquence n’a pratiquement pas d’influence sur les coûts d’exploitation. En revanche, une fréquence d’exécution peu élevée d’un contrôle manuel ou semi-automatique peut nuire à son efficacité. Un contrôle qui couvre plusieurs objectifs de contrôle ou différents risques est en principe considéré comme plus efficace, plus fiable et plus économique qu’un contrôle ciblé sur un seul risque. Les contrôles en amont, c’est-à-dire les contrôles préventifs, mais également les contrôles automatiques représentent un potentiel d’économie considérable ainsi qu’une assurance élevée au niveau de leur appréciation. Outre les faiblesses déjà connues, l’analyse des contrôles au niveau de l’entreprise offre un potentiel considérable d’amélioration de la conception des contrôles. Compte tenu de son influence globale sur l’ensemble des processus, ce potentiel optimise les différents contrôles du processus, les complète ou même les remplace. Souvent, en raison des courts délais impartis pour la mise en place de systèmes de contrôle interne, les objectifs de contrôles sont réalisés de manière redondante dans le cadre de contrôles de processus et de contrôles au niveau de l’entreprise. Il y a toutefois lieu de vérifier si les contrôles assurent une réaction immédiate ou s’ils ne sont en mesure d’apporter une réponse adéquate qu’à moyen terme. D’autres 90 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
redondances et chevauchements peuvent être identifiés lors de l’harmonisation de la conception des contrôles dans les processus métiers et de support. Dans le cadre de son appréciation de la conception des contrôles, lorsque l’auditeur identifie des contrôles clés qu’il considère comme inopérants, le système de contrôle à évaluer présente alors une lacune. Pour la combler, il doit identifier d’autres contrôles clés ou des contrôles compensatoires et évaluer leur efficacité. Dans ce cas, l’auditeur doit toujours garder à l’esprit la sélection complète de contrôles clés pour éviter de créer des redondances coûteuses. Une adaptation de la sélection des contrôles clés s’impose également lorsqu’il apparaît, lors du test de cheminement ou de l’évaluation de la conception des contrôles, que l’effort pour tester un contrôle clé est disproportionné.
2.2.4- Evaluation du fonctionnement des contrôles L’évaluation du fonctionnement des contrôles permet à l’auditeur d’émettre une opinion sur le système de contrôle interne. Elle vise à définir l’efficacité d’un contrôle en évaluant que le contrôle fonctionne comme prévu et qu’il a été exécuté entièrement par une personne qualifiée et autorisée. Le test de fonctionnement des contrôles fournit à l’auditeur l’assurance nécessaire pour apprécier le fonctionnement réel des contrôles pendant toute la période d’audit, la couverture des risques et des objectifs de contrôles. La nécessité et l’étendue des tests découlent de la stratégie d’audit. L’évaluation du fonctionnement des contrôles comprend les étapes suivantes : -
sélection des contrôles à vérifier,
-
choix de la stratégie du test,
-
choix de la procédure de test, et notamment de la taille de l’échantillon
-
évaluation des exceptions relevées et de l’importance des erreurs et des faiblesses constatées.
L’auditeur obtient des éléments probants pour l’évaluation des contrôles par le biais de procédures d’audit. Les types des tests que l’auditeur peut les utiliser dans le cadre de l’évaluation des contrôles sont49 :
49
GTAG 11 : « Elaboration d’un plan d’audit des systèmes d’information », juillet 2008.
91 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Test unique : un contrôle programmé doit en principe être testé une seule fois. Lors du test, l’auditeur doit vérifier que le contrôle testé fonctionne comme prévu dans l’ensemble des situations pertinentes possibles. Test direct : le fonctionnement du contrôle est vérifié sur la base d’un échantillonnage ou par analyse des données de transactions. Analyse des données : l’efficacité d’un contrôle est vérifiée au moyen d’une analyse des données assistée par ordinateur. Dans le cas idéal l’analyse porte sur l’ensemble des données pertinentes. Les facteurs suivants peuvent influencer la procédure de contrôle ainsi que le niveau d’assurance obtenu par l’auditeur : -
fréquence de réalisation du contrôle : plus la fréquence de réalisation d’un contrôle manuel est faible, plus la quantité de cas à contrôler est faible.
-
importance du contrôle : plus l’auditeur s’appuie sur un contrôle ponctuel pour former son opinion d’audit, plus ce contrôle doit être testé.
-
validité du justificatif de contrôle : si le contrôle génère des évidences liées à l’efficacité de son fonctionnement (traçabilité, exhaustivité, exactitude), la quantité de cas à tester peut être plus faible qu’en cas de contrôle sans justificatifs documentés.
-
importance relative des constats d’erreurs ou de différences. Celles-ci sont variables selon l’importance, la complexité et la quantité des transactions traitées.
-
management Override : évaluation de la probabilité de contourner ou de forcer un contrôle par une personne responsable.
-
fréquence de changement des contrôles : l’efficacité du contrôle peut être considérablement influencée par des changements touchant le contrôle lui-même ou le processus environnant.
L’auditeur doit obtenir le même degré d’assurance indépendamment de la taille de l’entreprise, toutefois, il peut tenir compte du fait que certains contrôles internes ne sont pas praticables pour de petites entreprises ou de petites unités d’organisation. Ainsi, une séparation des fonctions insuffisante peut être remplacée par un contrôle compensatoire, ou l’auditeur peut compenser l’absence d’évidences de contrôle ou d’éléments probants par des contrôles orientés résultat. L’auditeur qualifie le risque d’audit comme élevé lorsque les contrôles ne peuvent éviter, identifier et corriger une anomalie importante. 92 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
2.3- Synthèse de l’évaluation des risques Le risque d’une mission d’audit est le risque que le professionnel exprime une opinion inappropriée alors que les états financiers comportent des anomalies significatives50. Ce risque comprend : - Le risque que l’information soit affectée par des anomalies significatives. Ce risque se présente sous deux formes : - un «risque inhérent» qui correspond à la possibilité qu’une assertion comporte une anomalie qui pourrait être significative, soit individuellement, soit de manière cumulée avec d’autres anomalies, nonobstant les contrôles existants. - un «risque lié au contrôle » qui correspond au risque qu’une anomalie susceptible de survenir dans une assertion et pouvant présenter un caractère significatif soit individuellement, soit de manière cumulée avec d’autres anomalies, ne soit ni prévenue, ni détectée et corrigée en temps voulu par le contrôle interne de l’entité. Le risque de non détection est le risque que le professionnel ne détecte pas une anomalie matérielle qui existe. La synthèse de l’évaluation des risques peut être présentée sous forme d’un schéma suivant :
Figure n°9 : Présentation schématique de la synthèse des risques51 IFAC, ISA 200 « Objectifs généraux de l’auditeur indépendant et réalisation d’un audit conforme aux Normes internationales d’audit ». 50
93 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Lors de l’évaluation des risques, l’incidence de l’environnement informatique sur le risque inhérent et sur le risque lié au contrôle a été prise en compte et le risque de non détection permet de déterminer les contrôles substantifs à mener dans la phase « les tests de validation ». Il convient de rappeler que le risque le plus important pour l’auditeur est le risque de non détection. L’auditeur doit réunir plus des éléments probants provenant de contrôles substantifs si le risque inhérent et le risque lié au contrôle sont évalués à un niveau élevé. Lorsque ces risques sont évalués à un niveau élevé, l’auditeur détermine si les contrôles substantifs fournissent des éléments probants suffisants pour réduire le risque de non détection, et donc le risque d’audit à un niveau acceptable faible. Suite à l’évaluation des risques, l’auditeur doit mettre en places des tests de validation lui permettant de réduire le risque de non détection à un niveau acceptable.
Section 3 : Les tests de validation L’audit financier a été défini comme un examen critique en vue de formuler une opinion sur les états financiers dans l’intérêt de tous les participants, actuels ou futurs, porté à l’avis de l’entreprise, sous quelle que forme que ce soit 52. Cet examen critique correspond à la nécessité de confirmer la validité des informations données par l’entreprise, pour le résultat et la situation financière. Emettre une opinion sur la qualité de l’information financière se fait à partir de quatre critères : La prudence : est l’appréciation raisonnable des faits afin d’éviter le risque de transfert, sur l’avenir, des incertitudes présentes susceptibles de grever le patrimoine et les résultats de l’entreprise. La régularité : des comptes signifie la conformité à la réglementation (textes législatifs et réglementaires) ou, en son absence, aux principes généralement admis. La sincérité : des comptes concerne l’évaluation correcte des valeurs comptables et l’appréciation raisonnable des risques et des dépréciations de la part des dirigeants de l’entreprise. L’image fidèle : L’image fidèle constitue le principe à respecter lorsque la règle, ou le principe généralement admis n’existe pas ou lorsqu’elle est insuffisante pour traduire la réalité.
CNCC : « prise en compte de l’environnement informatique et incidence sur la démarche d’audit », guide d’application, avril 2003, p.191. 52 IFAC, ISA 705 « Expression d’une opinion modifiée dans le rapport de l’auditeur indépendant ». 51
94 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
L’application de ce principe doit permettre de donner une image la plus objective possible de cette réalité, en évitant les déformations intentionnelles, les manipulations ou les omissions de faits significatifs de par l’application des autres critères.
3.1- Le contrôle des comptes L’auditeur doit mettre en place des contrôles de validation afin de s’assurer que les états financiers dont leurs globalités ne contiennent pas des anomalies significatifs.
3.1.1- Immobilisations incorporelles L’objectif est de s’assurer que tous les frais engagés par la société et répondant aux définitions sont inscrits à l’actif de façon constante et conformément aux principes comptables généralement admis et qu’il n’existe aucune perte latente par rapport aux valeurs nettes comptables des immobilisations incorporelles. Les listes des contrôles possibles sont : - Vérifier les soldes d’ouverture avec les comptes de l’exercice précédent. - S’assurer par examen du tableau des mouvements qu’aucune variation anormale n’est intervenue depuis les travaux effectués sur le contrôle interne qui pourrait remettre en cause les conclusions. - Vérifier les mouvements de l’exercice avec les justificatifs. S’assurer que tous les droits de mutation ont été payés. - Passer en revue les comptes de charges et confirmer qu’aucun élément, qui aurait dû être comptabilisé en immobilisation incorporelle, n’a été passé en charges. - Vérifier que les amortissements sont calculés de manière constante et sur une durée comptable avec la nature de chaque catégorie (durée de protection, durée de bail, etc.). - En cas de cession en cours d’exercice, vérifier le calcul des plus ou moins-values et leur traitement fiscal. - Se reporter au programme de vérification des engagements hors bilan et faire les travaux concernant les immobilisations. - Vérifier que les informations qui figurent dans l’annexe sont complètes et conformes aux chiffres précédemment vérifiés.
3.1.2- Immobilisations corporelles L’objectif est de s’assurer que les montants inscrits aux postes d’immobilisations reflètent l’intégralité des biens dont l’entreprise est propriétaire et qu’elle utilise et des coûts encourus pour l’acquisition ou la création de ces biens. 95 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Les contrôles d’existence : Si la société procède à un inventaire physique : -
Examiner les procédures suivies.
-
Assister à la prise d’inventaire.
-
Vérifier que le fichier et les comptes sont mis à jour.
-
Obtenir des explications pour tout écart important.
Si des immobilisations importantes sont détenues par des tiers, appliquer la procédure de confirmation directe. Vérifier l’existence physique des actifs importants. a. Les contrôles de propriété : Vérifier les titres de propriété de la société en ce qui concerne les terrains et les immeubles et s’assurer auprès du conservateur des hypothèques ou au moyen d’autres procédures s’ils sont ou non hypothéqués, ou s’ils ont subi une autre aliénation possible. b. Les contrôles de validité : Rapprocher les soldes d’ouverture (valeur brute et amortissement) avec les comptes de l’exercice précédent. S’assurer que les soldes au fichier des immobilisations correspondent aux totaux inscrits sur le compte du grand livre. Vérifier les principales acquisitions de l’exercice physiquement et avec des contrats, procèsverbaux du Conseil d'administration, des budgets d’investissements et des justificatifs (commandes, factures, paiements). S’assurer, concernant les acquisitions, que les frais de transport, droits de douane, frais d’installation et de montage ainsi que la T.V.A. sur véhicules de tourisme et des logements, sont immobilisés. S’assurer, concernant les acquisitions, que les droits d’enregistrement et les commissions ou la T.V.A sur les équipements autres que les véhicules de tourisme et des logements, ne sont pas immobilisés. Vérifier que les acquisitions des immobilisations ont bien été soumises aux droits de mutation correspondant à leur nature (vérification du domaine respectif de la T.V.A. immobilière et des droits d’enregistrement). Vérifier que l’entreprise n’a pas passé en charges des éléments constitutifs du prix de revient 96 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
des immobilisations (honoraires d’architectes, coût d’installation et travaux d’aménagement d’un terrain, taxe d’équipement, etc.…). Rechercher les dépenses dont l’importance et la nature leur confèrent le caractère d’immobilisations (attacher une attention particulière en ce qui concerne les « grosses réparations » susceptibles d’être rejetées des charges de l’exercice) et inversement s’assurer qu’aucune ne charge n’a été immobilisée. Vérifier les principales cessions de l’exercice avec les documents justificatifs (facture, autorisation, encaissement du prix, certificat de destruction…). Vérifier que la valeur brute et les amortissements ont été sortis des comptes et du fichier. En cas de cession d’un bien immobilisé, vérifier le reversement de T.V.A.
3.1.3- Titres de Participation et Créances Rattachées à des Participations L’objectif est de s’assurer que les montants inscrits au bilan en titres de participation, en titres de placement et en comptes courants reflètent l’ensemble des titres appartenant à la société, valorisés en accord avec les principes comptables applicables à chacun de ces actifs et que les montants inscrits au compte de résultats représentent bien l’intégration des produits, gains ou pertes imputables à l’exercice et correspondent à des transactions effectuées à des conditions normales. a. Les contrôles de l’existence et de propriété : Vérifier l’existence et la propriété des titres par confirmation de l’inscription en compte auprès de la société émettrice ou de l’intermédiaire habilité. En faisant ce contrôle s’assurer que les titres sont au nom de la société et ne portent aucune mention d’aliénation. b. Les contrôles de validité : Vérifier que la classification est conforme au Plan comptable Tunisien. S’assurer que les revenus inscrits dans le compte de résultat se rattachent à l’exercice. Pour les cessions, vérifier l’encaissement du prix de vente, les calculs des plus ou moinsvalues, la réintégration des provisions antérieurement constituées, ainsi que les écritures comptables.
3.1.4- Autres immobilisations financières L’objectif est de s’assurer que les soldes figurant au bilan concernent des montants à recevoir entièrement recouvrables et résultant d’opérations effectuées dans le cadre de l’activité 97 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
normale de l’entreprise et que toutes les charges et tous les profits relatifs à ces comptes ont été correctement comptabilisés. Les listes des contrôles possibles sont : -
Comparer les soldes figurant au bilan avec les montants de l’exercice précédent : lorsque les postes concernés sont un peu importants, l’explication des variations peut être suffisante pour atteindre l’objectif recherché.
-
Lorsqu’il existe des balances nominatives, les pointer avec les comptes individuels et vérifier le solde avec le compte collectif.
-
Vérifier que les dépôts de garantie et cautionnements correspondent toujours à un service rendu.
3.1.5- Stocks L’objectif est de s’assurer que les montants inscrits dans les comptes annuels représentent tous les produits physiquement identifiables qui appartiennent à l’entreprise, que ces produits sont évalués au plus bas du prix de revient ou de la valeur réalisable et que les différences constatées entre l’inventaire permanent d’une part et l’inventaire physique d’autre part, ont été expliquées. Les listes des contrôles possibles sont : a. Vérification des quantités : Assister à l’inventaire physique périodique et vérifier que les procédures sont correctement appliquées. Rapprocher les informations relevées lors de l’inventaire de l’état final des stocks (sondages ponctuels, exhaustivité de la récapitulation…). Pour les stocks détenus par des tiers ou pour des tiers : appliquer la procédure de confirmation directe ou assister aux prises d’inventaire physique. Pour les travaux en cours, vérifier le stade d’avancement avec les documents permettant de suivre la production (l’existence physique de ces travaux doit être vérifiée en même temps que le reste des stocks). b. Séparation des exercices : En liaison avec le contrôle des postes clients et fournisseurs, ventes et achats vérifier que : -
les dernières réceptions de l’exercice (achats et retours clients) ; 98 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
les dernières expéditions (ventes et retours fournisseurs) ;
-
les transferts entre ateliers avec les sous-traitants ;
-
Les autres mouvements ont été correctement pris en compte.
Pour les mêmes données, vérifier que les premiers mouvements de l’exercice suivant n’ont pas été enregistrés sur l’exercice en cours. Vérifier que les frais de transport relatifs à ces mouvements ont été correctement enregistrés sur l’exercice. c. Valorisation : Pour les matières et marchandise vérifier les factures avec les coûts d’acquisition utilisés. Pour les produits semi-ouvrés, en cours ou finis : -
Vérifier que les coûts imputés à la production de l’année correspondent aux charges comptabilisées (hors effet de sous-activité).
-
Si les produits sont valorisés au coût de production réel par produit, vérifier les clefs de répartition utilisées et refaire le calcul de certains coûts.
-
Si les produits sont valorisés à partir de coûts standard, analyser les écarts constatés et leur réincorporation. S’assurer que la méthode utilisée aboutit à une évaluation des stocks au coût réel de production.
S’il y a eu changement, calculer l’effet de ce changement sur : -
les résultats de l’exercice
-
le montant des stocks inscrits au bilan.
Comparer les stocks aux coûts des marchandises vendues pour les principales catégories de stocks (déterminer le nombre de jours de vente en stock). Expliquer les variations par rapport aux périodes précédentes et par rapport à la politique de la société. Comparer les coûts d’acquisition ou de production des principales catégories de stocks avec ceux de l’exercice précédent. Se renseigner pour savoir s’il y a des nantissements ou d’autres engagements sur les stocks. S’assurer que la couverture d’assurance sur les stocks est suffisante. S’assurer que les stocks en provenance des sociétés de groupe n’ont pas été achetés et valorisés à des coûts différents de ceux en vigueur sur le marché.
3.1.6- Ventes-clients L’objectif est de s’assurer que les produits et charges inscrits au compte de résultat et provenant des opérations de ventes résultent uniquement de l’enregistrement intégral des 99 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
transactions réalisées dans l’exercice comptable considéré et que les comptes de tiers inscrits au bilan et provenant des opérations de ventes sont correctement évaluées et bien classés. Les listes des contrôles possibles sont : Procéder à une analyse des ratios significatifs et des variations par rapport à l’exercice précédent. Passer en revue les balances et analyses de comptes de la société pour : -
Identifier les comptes dont les libellés sont imprécis (ou inexistants) ou toute autre anomalie apparente ;
-
Obtenir les explications nécessaires. Pointer l’ensemble des comptes concernés avec le grand livre.
a. Séparation des exercices : Examiner la ventilation du chiffre d’affaires par mois et identifier les variations anormales. Vérifier que les dernières livraisons de l’exercice sont sorties des stocks et facturées. Vérifier que les premières livraisons de l’exercice suivant n’ont fait l’objet ni de sorties de stocks, ni de facturation anticipée. Vérifier que les premières factures de l’exercice suivant correspondent à des sorties de stocks sur l’exercice. Procéder de même avec les avoirs. Passer systématiquement en revue les avoirs émis après la clôture et obtenir des explications pour les éléments significatifs. Vérifier que les autres charges calculées en fonction du chiffre d’affaires (ex. : commissions…) ont été comptabilisées. b. Evaluation des créances : Vérifier que les créances exprimées en devises ont été correctement comptabilisées. Vérifier l’annulation des provisions antérieurement constituées à raison des créances douteuses encaissées. Vérifier le bien-fondé de la déductibilité fiscale (ou non) de la provision pour créances douteuses.
3.1.7- Trésorerie L’objectif est de s’assurer que la situation de la trésorerie de l’entreprise à la clôture de l’exercice est reflétée de façon exacte par les montants inscrits au bilan et que les frais et produits financiers concernant les opérations de trésorerie inscrits au compte de résultat 100 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
reflètent bien l’intégralité des frais et produits pour l’exercice considéré. Les listes des contrôles possibles sont : S’assurer que les informations reçues directement des banques sont conformes aux écritures passées dans les livres comptables. Vérifier les rapprochements bancaires : s’assurer que les délais entre les dates des écritures comptables et les dates de l’écriture sur relevé bancaire sont raisonnables en ce qui concerne les recettes. S’assurer que la ventilation des échéances dans l’annexe est correcte. S’assurer que les transferts des fonds effectués entre les comptes bancaires sont raisonnables. Revoir les recettes d’importance exceptionnelle au début de l’exercice suivant pour s’assurer qu’elles ne sont pas la contrepartie de facilités reçues à la fin de l’exercice pour pouvoir donner une présentation améliorée de la situation de trésorerie. Faire un comptage des espèces en caisse à la date de clôture de l’exercice. Si ceci a été fait à une date antérieure, revoir le journal de caisse pour la période jusqu'à la clôture de l'exercice, et s'assurer que le solde au bilan est correct.
3.1.8- Emprunts et dettes assimilés L’objectif est de s’assurer les montants inscrits au bilan sont correctement évalués et bien classifiés, et qu’ils reflètent l’intégralité des emprunts et dettes et que les montants inscrits au compte de résultat reflètent bien l’intégralité des charges ou produits pour l’année. Les listes des contrôles possibles sont : Vérifier chaque emprunt avec le tableau et les annuités de remboursement. Comparer avec les écritures de l’année et avec les soldes en fin d’exercice. Vérifier la ventilation long terme, court terme. Comparer le montant des intérêts pour l’exercice avec celui de l’exercice précédent.
3.1.9- Achats-fournisseurs L’objectif est de s’assurer que les charges et produits inscrits au compte de résultat et provenant des opérations d’achats résultent uniquement de l’enregistrement intégral des transactions réalisées dans l’exercice comptable considéré et que les comptes de tiers inscrits au bilan et provenant des opérations d’achats sont correctement évaluées et bien classifiés. Les listes des contrôles possibles sont : Procéder à une analyse des ratios significatifs et des variations par rapport à l’exercice précédent afin d’identifier les anomalies apparentes. 101 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Vérifier que : -
Les derniers bons de réception de l’exercice ont donné lieu à l’enregistrement de factures ou de provisions.
-
Les derniers bons de retour de l’exercice ont donné lieu à l’enregistrement d’avoir ou de provisions pour avoirs à recevoir ;
-
Les dernières factures et les derniers avoirs comptabilisés correspondant à des mouvements de l’exercice.
Comparer les montants passés en charges avec les budgets et expliquer les écarts significatifs. Vérifier la ventilation des fournisseurs entre fournisseurs d’exploitation et fournisseurs d’immobilisations.
3.1.10- Capitaux propres, réserves et subventions L’objectif est de s’assurer que le capital, les réserves, les subventions et les provisions réglementées, ainsi que l’affectation des résultats, conformément aux règles et principes généralement admis et que la loi sur les sociétés et les statuts de la société ont été respectés. Les listes des contrôles possibles sont : Vérifier la répartition du capital par catégories d’actions avec les statuts et la réglementation. Contrôler que les minima légaux ont été respectés en ce qui concerne : -
le montant total du capital,
-
le nombre des actionnaires ou des associés.
S’assurer que l’égalité entre les actionnaires a été respectée. S’assurer de la conformité de l’affectation des résultats avec les règles légales et les obligations statutaires. S’assurer que l’affectation des résultats a été approuvée par les actionnaires réunis en assemblée générale. Vérifier les subventions reçues avec les décisions d’attributions et titres de paiement. S’assurer du respect des obligations mises à la charge des entreprises en contrepartie.
3.1.11- Provisions pour risques et charges L’objectif est de s’assurer que les montants figurant au bilan sont justifiés et suffisants pour couvrir les risques encourus par l’entreprise et que les dotations et reprises, au compte de résultat sont correctement comptabilisées. Les listes des contrôles possibles sont : 102 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Obtenir tous les justificatifs des mouvements enregistrés dans l’exercice. Vérifier l’évaluation des risques provisionnés à la fin de l’exercice. S’assurer que tous les risques encourus ont fait l ‘objet d’une provision : -
Garanties, pertes sur marchés…
-
Litiges (à référencer avec les confirmations des avocats et conseillers juridiques).
-
Revue des procès-verbaux de conseil.
Vérifier les critères retenus pour la déductibilité fiscale des provisions.
3.1.12- Débiteurs et créditeurs divers et autres L’objectif est de s’assurer que les soldes figurant à l’actif du bilan concernent des montants à recevoir entièrement recouvrables et que toutes les dettes diverses de l’entreprise sont comptabilisées ou provisionnées. Les listes des contrôles possibles sont : Analyser les soldes et vérifier les documents justificatifs. Vérifier les encaissements après la date de clôture. S’assurer que les montants sont correctement répartis entre le long terme et le court terme. Vérifier que les comptes d’attente sont soldés en fin d’exercice. Passer en revue les factures reçues et/ou montants payés au début de l’exercice suivant (ou utiliser tout autre moyen approprié à l’entreprise) pour vérifier qu’aucune charge significative n’a été omise et s’assurer de leur rattachement au poste de bilan concerné.
3.1.13- Compte de résultat L’objectif est de s’assurer que le compte de résultat reflète bien l’activité de l’entreprise pendant l’exercice considéré. L’auditeur devra commencer le contrôle des comptes par une revue analytique du compte de résultat et des principaux ratios de l’entreprise. Cette revue lui permettra d’identifier les variations anormales qui pourraient remettre en cause les conclusions de l’analyse du contrôle interne et/ou justifier la modification du programme de contrôle des comptes. Cette analyse sera plus ou moins développée selon la complexité de l’entreprise. Il conviendra d’obtenir l’explication auprès de la direction de l’entreprise de ces évolutions et de juger si les explications sont raisonnables et, en conséquence, mettre au point un programme de contrôle des comptes.
103 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
3.1.14- Paie-personnel L’objectif est de s’assurer que les charges et produits inscrits au compte de résultat et ayant pour origine les droits et les obligations de l’entreprise vis-à-vis de son personnel, résultent uniquement de l’enregistrement intégral des transactions réalisées dans l’exercice comptable considéré et que les comptes de tiers inscrits au bilan et provenant des transactions avec le personnel sont correctement évalués et bien classifiés. Les listes des contrôles possibles sont : Etudier l’évolution des montants mois par mois, ainsi que les écarts par rapport aux prévisions, et en expliquer les causes. Pour les calculs des primes de fin d’année, des primes de bilan, les congés payés, la participation, etc… : -
S’assurer que les bases n’ont pas changé depuis le dernier audit, les congés payés, etc… ;
-
Vérifier les données variables avec les documents de base (catégorie professionnelle, niveau hiérarchique, heures de présence, etc…) ;
-
Vérifier les calculs.
Contrôler l’assiette des commissions représentants, l’application correcte des taux et des calculs. Vérifier la conformité des rémunérations des gérants, administrateurs, P.D.G., avec les décisions du conseil ou de l’assemblée.
3.1.15- Etat : impôts et taxes L’objectif est de s’assurer que les montants d’impôts et taxes figurant au bilan et au compte de résultat sont correctement calculés et comptabilisés et que les comptes annuels de l’entreprise ne dissimulent pas un risque fiscal important. Les listes des contrôles possibles sont : Vérifier l’état de rapprochement entre les déclarations et la comptabilité. Vérifier les montants du bilan avec les déclarations et les journaux. Vérifier le calcul de l’impôt de l’exercice (sans oublier les impôts de l’exercice précédent dont le paiement a été étalé et l’utilisation des moins-values reportées).
3.1.16- Engagements hors bilan L’objectif est de rechercher les engagements reçus et donnés ainsi que les passifs éventuels existant à la fin de l’exercice et s’assurer qu’ils font l’objet d’une information adéquate dans 104 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
les comptes annuels. Les listes des contrôles possibles sont : Examiner les procès-verbaux des réunions des assemblées et conseils dans le but d’en extraire les mentions de contrats ou toute autre forme d’engagement ou passifs éventuels. Examiner de la même façon, s’il y a lieu, les rapports des comités de direction. Analyser les réponses de confirmation directe des banques, organismes financiers, débiteurs et créditeurs, afin d’en extraire les renseignements relatifs aux engagements hors bilan ou qui permettraient de déceler un risque pour l’entreprise. Examiner les conditions des contrats exceptionnels d’achats et de ventes en recherchant les stipulations restrictives ou les clauses de garantie ou toute condition inhabituelle. Obtenir une récapitulation des informations concernant les opérations de crédit-bail et les baux à long terme non résiliables et vérifier avec les contrats.
3.2- Observation physique L’observation physique est une technique, à haut niveau de force probante, qui est utilisée pour confirmer l’existence d’un actif. Cette technique peut s’appliquer principalement aux : -
Stocks
-
Immobilisations corporelles
-
Effets de commerce
-
Espèces en caisse
L’organisation et la réalisation des inventaires étant la responsabilité de l’entité, la responsabilité de l’auditeur est de s’assurer que la prise d’inventaires est faite correctement et que les quantités inventoriées à la date donnée le sont de manière sincère. L’objectif principal lors d’un contrôle physique consiste à s’assurer que : -
Les biens figurant dans les comptes existent effectivement et peuvent être identifiés ;
-
Tous les biens existant physiquement dans l’entreprise et qui lui appartiennent sont effectivement inclus dans les comptes.
Section 4 : Synthèse des travaux Dans l’étape de conclusion, les résultats des différentes étapes de l’audit sont évalués et synthétisés dans une appréciation globale en fonction de leur influence sur les rapports financiers. L’auditeur émet une opinion sur l’adéquation du système de contrôle interne et sa capacité à éviter des erreurs majeures dans les états financiers, avec un niveau d’assurance raisonnable. 105 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
De plus, une appréciation globale est rendue sur : -
dans quelle mesure l’application contrôlée supporte le processus métier (conception des contrôles, fonctionnement des contrôles) ;
-
la présence de lacunes de contrôle significatives dans l’application ;
-
l’impact des lacunes de contrôle sur les traitements de l’application et sur le processus global ainsi que sur les assertions s’y rapportant dans les états financiers ;
-
la présence, dans le processus métier, de contrôles qui compensent l’impact d’éventuelles faiblesses de contrôle dans l’application et sur les vérifications de contrôle et les procédures d’audit orientées résultat supplémentaires nécessaires.
Lorsque les faiblesses des contrôles applicatifs peuvent influencer significativement l’exactitude de l’opinion sur les états financiers, et que ce risque ne peut pas être compensé par d’autres contrôles, l’impact de ces faiblesses sur le rapport annuel doit être évalué. Pour les contrôles manquants ou mal conçus ainsi que les contrôles qui n’ont pas fonctionnés de manière effective pendant la période d’audit, l’impact sur les rapports financiers doit être évalué. Les assertions dans les comptes annuels constituent le lien entre l’application et les rapports financiers. Elles formulent les objectifs posés aux positions des comptes annuels et doivent être contrôlées afin de savoir si des lacunes dans les contrôles pourraient, avec une certaine probabilité, avoir un impact négatif sur la réalisation des objectifs. Malgré les moyens auxiliaires existants et utilisés, les conclusions des travaux nécessitent le recours au jugement professionnel de l’auditeur pour tenir compte des particularités de l’entreprise, des exigences liées aux processus et celles spécifiques aux risques. L’auditeur établit à l’intention de la direction, outre son opinion d’audit, une synthèse de la situation des risques au niveau des processus et des applications contrôlés.
106 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Conclusion de la deuxième partie Outre les spécificités et les particularités du système comptable, les procédures de contrôle interne dans un milieu informatisé deviennent de plus en plus compliquées. Pour cela, l’auditeur financier doit évaluer et identifier les risques liés aux systèmes d’informations à partir de : -
la prise de connaissance de l’environnement informatique ;
-
l’identification des processus métier et des flux de traitement des données ;
-
l’identification des applications de base et des principales interfaces IT pertinentes.
C’est à l’aide du référentiel CobiT version 5 que l’auditeur financier peut mettre en place des diligences adéquates lui permettant d’identifier et évaluer les risques liés au système d’information d’une entité. Nous avons essayé de présenter une démarche d’audit dans un milieu informatisé à partir : -
la planification : au niveau de cette phase l’auditeur prend en considération de l’environnement informatique ;
-
évaluation des risques : l’auditeur doit évaluer les risques liés au contrôle par l’identification des contrôles clés et l’évaluation du fonctionnement des contrôles ;
-
des tests de validation : les conclusions tirées au niveau de la phase d’évaluation des risques permettent à l’auditeur de fixer l’étendue de ces travaux ainsi que les tests qui doit être mise en place.
Après la présentation de la démarche d’audit, nous essayerons dans le cadre de la troisième partie d’appliquer la démarche d’audit proposée pour la mission d’audit financier d’une polyclinique.
107 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
TROISIEME PARTIE : L’application de la démarche proposée pour une mission d’audit financier d’une polyclinique
108 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Introduction de la troisième partie Le secteur hospitalier privé joue un rôle central dans la dynamique de la médecine libérale. Le secteur sanitaire privé occupe une place importante dans le système de santé tunisien, il compte selon les statistiques du ministère de la santé environs 2000 généralistes et 2220 spécialistes, soit 45% de l’ensemble des médecins. Actuellement le secteur comporte 75 cliniques et centres médicaux53. On note aussi 1270 cabinets dentaires et 73 % des dentistes exercent en privé. Le secteur privé offre aussi 16% des lits d’hospitalisation. Le secteur privé tunisien joue particulièrement un rôle croissant dans l’exportation des services de santé et donc une nouvelle source économique du pays. Désormais le développement du secteur de santé privé repose sur un ensemble des facteurs clés de succès qui sont notamment : -
des investissements lourds pour les équipements ;
-
un système d’information qui répond rapidement aux exigences des patients ;
-
une qualité de service
La clinique privée est une entreprise de haute technologie. Si les années 1960 ont nécessité des innovations immobilières et architecturales avec la construction de nouveaux bâtiments adaptés aux préceptes et aux contraintes de la médecine moderne, les années 1970-1980 se sont caractérisées par la déconcentration et l’essaimage des innovations technologiques54. Bénéficiant de l’effet conjugué de la miniaturisation et de l’informatisation, celles-ci se sont développées à l’initiative des disciplines médicales elles-mêmes et ont conduit à une dispersion des innovations à l’intérieur des établissements de santé. Cette phase s’estompe progressivement au profit d’une troisième forme d’innovation technologique, à nouveau plus concentrée : les innovations technologiques sont désormais intégrées au sein des établissements et partagées avec d’autres professionnels de santé (individus ou autres établissements) du fait des investissements importants qu’elles nécessitent. La contrepartie de cette mutation technologique ne se situe pas seulement au niveau de la médecine et de l’amélioration des moyens de diagnostic et de traitement qu’elle procure, mais aussi au niveau de l’organisation à mettre en œuvre pour répondre aux nouvelles pratiques qu’elle induit.
53
Pr. Noureddine ACHOUR « le système de santé Tunisien : état des lieux et défis », septembre 2011.
Jean-Pierre Claveranne et David Piovesan « La clinique privée, un objet de gestion non identifié », édition Lavoisier 2003 54
109 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
L’adoption d’un système d’information assez sophistiqué pour les polycliniques rend le milieu d’audit pour les auditeurs assez difficile. Dans ce cadre nous allons essayer de présenter le cadre général des établissements sanitaires privés en Tunisie ainsi que le régime juridique et fiscal de ces derniers. Le deuxième chapitre sera consacré à l’application de la démarche d’audit proposée au niveau de la deuxième partie dans le cadre d’un audit financier de polyclinique.
110 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
1er chapitre : Présentation générale de la polyclinique Une connaissance globale de l'entité doit être acquise afin d'orienter la mission et d'appréhender les domaines et systèmes significatifs. En effet, l'audit financier, dans ses principes et ses modalités, est gouverné par un recueils de normes de référence, l’auditeur adapte sa mission aux besoins et à l'environnement des entités dont il certifie les comptes. La mission d’audit débute par une phase de prise de connaissance générale de l'entité et d'identification des risques d'anomalies significatives dans les comptes. Pour cela, il prend connaissance du secteur d'activité, et apprécie les risques juridiques et fiscaux.
Section 1 : Présentation du secteur d’activité Les indicateurs de santé de la Tunisie sont réputés être parmi les meilleures des pays de l’Afrique et de la région MENA et supérieurs à ceux de pays ayant un niveau de revenus équivalent.
1.1- Contexte économique : La Tunisie est un pays à revenu intermédiaire (tranche supérieure). La Tunisie a été classée parmi les pays de la région MENA affichant les plus fortes croissances pendant les deux dernières décennies avec croissance annuelle moyenne de 5% (de 1997 à 2007) et a montré une capacité de résilience aux différentes crises économiques qu’a connues le monde ces dernières années55. Cependant, on observe actuellement un ralentissement de la croissance lié à des facteurs externes (liés à la conjoncture économique internationale, à l’instabilité et au climat de violence dans la région) ainsi qu’à des facteurs internes. Les facteurs internes sont liés aux agitations sociales (dues au chômage élevé et croissant), à un climat de méfiance (découlant de la résurgence d’actes terroristes) et à une incertitude politique. L’économie du pays repose fortement sur les services (43% de contribution au PIB), suivi par les industries (19% manufacturières et 14% non manufacturières) et l’agriculture et la pêche (11%) et autres (12%). Le tourisme contribue pour 15% du secteur des services (donc 6,5% de l’économie totale)56. Dans ce cadre, le tourisme médical occupe une place considérable. En effet, la Tunisie se positionne parmi les meilleures destinations de voyage de demandeurs de soins dans les pays en voie de développement (5ième après la Thaïlande, l’Inde, Singapour et la
55
Comités du Dialogue Sociétal : « santé en Tunisie : état des lieux », mars 2017.
Banque Mondiale « Etude du secteur de la santé en Tunisie », département du développement humain, région Moyen-Orient et Afrique du Nord, 2006. 56
111 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Malaisie) avec 176.000 visiteurs en 2010 (sachant que les patients sont souvent accompagnés). La Tunisie a consacré près de 6,3% de la richesse nationale aux dépenses de santé en 2010. Sur la période 1980-2010, les dépenses de santé sont passées de 143 à 4019 MDT ; ce qui correspond à une augmentation de 164,1 à 382,8 DT par habitant. Entre 2000 et 2010, les dépenses totales de santé en pourcentage des dépenses générales du gouvernement ont augmenté (8,1% en 2000, 9,8% en 2005 et 10,7% en 2010) ainsi que la part des dépenses générales de santé couvertes par la sécurité sociale (32,2% en 2000, 45,7% en 2005 et 47,7% en 2010)57. Cependant, les dépenses privées des ménages restent élevées (estimées à 45% des dépenses totales en santé) et, eut égard à la transition épidémiologique et démographique (augmentation des maladies chroniques et vieillissement de la population) et face à la capacité limitée de lever des fonds additionnels, la pérennité financière de la Caisse Nationale d’Assurance Maladie (CNAM) est en danger. En effet, le taux de financement au régime de l’assurance maladie a été fixé à 6,75% de la masse salariale dont 4% à la charge de l’employeur et 2,75% à la charge du salarié. Ce taux est considéré comme faible mais au vu du contexte socio-économique actuel, il parait difficilement acceptable de l’augmenter. En outre, vu l’ampleur du secteur informel, la nondéclaration ou sous-déclaration de l’emploi et/ou du salaire, engendre un manque à gagner important pour la caisse d’assurance. Ainsi, la Tunisie se trouve face à des problèmes et à des choix difficiles relatifs au financement de son système de santé. Les tendances sociales (augmentation des attentes), démographiques (vieillissement de la population) et épidémiologiques (prépondérance des maladies chroniques) se traduisent par une demande accrue aboutissant à une augmentation des coûts de soins, ce qui pose d’importants défis. Parallèlement, des contraintes macroéconomiques et budgétaires limitent l’intervention des pouvoirs publics à affecter des sommes plus importantes. Les ménages continuent à consacrer aux soins de santé une part importante de leur revenu. Dans ce contexte, la pérennisation du financement de la santé qui oblige souvent à réformer la façon dont on finance le système de santé, est un enjeu majeur.
1.2- Répartition des revenus et niveau de pauvreté L’enquête nationale sur l’emploi réalisée par l’Institut National de la Statistique pour le quatrième trimestre 2012, fait état d’un taux de chômage, selon les définitions du BIT, de 57
Comités du Dialogue Sociétal : « santé en Tunisie : état des lieux », mars 2017.
112 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
16,7% à la fin du mois de décembre 2012 58 , chiffre en recul par rapport à celui de l’année 2011, qui clôturait avec un taux de chômage de 18,9%. Ce chiffre reste malgré tout en hausse par rapport à l’année 2010 pour laquelle les données officielles faisaient état d’un taux de chômage de 13%. La Tunisie a connu une réduction significative de l’incidence de la pauvreté à l’échelle nationale au cours des dix dernières années 59. En effet, le taux de pauvreté est tombé de 32,4% en 2000 à 23,3% en 2005 et 15,5% en 2010, selon la nouvelle méthodologie de mesure de la pauvreté en termes monétaires introduite par l’INS. Selon la même source, le taux de pauvreté extrême s’est fortement réduit, tombant de 12,0% en 2000 à 7,6% en 2005 et 4,6% en 2010. Cependant, cette tendance ne s’est pas traduite par une réduction de la disparité entre zones communales et zones non communales (où le taux de pauvreté est 2 fois plus élevé et 7 fois plus élevé si l’on utilise le seuil de pauvreté extrême), ni par une réduction de la disparité entre les régions du littoral et les régions de l’intérieur. Au contraire, l’écart entre les régions du Centre-Ouest et du Sud-Ouest par rapport au reste du pays s’est accentué au cours de la même période. La région du Centre-Ouest (Kairouan, Sidi Bouzid et Kasserine) est relativement la plus pauvre avec un taux de pauvreté extrême de 12,8% (29,4% en taux de vulnérabilité), soit plus du triple de la moyenne nationale évaluée à 3,8%.
1.3- Diagnostic du secteur Pour faire le diagnostic du secteur de santé, il faut étudier les indicateurs suivants : -
l’infrastructure ;
-
les ressources humaines ;
-
la formation ;
-
la Technologie médicale et les équipements lourds ;
1.3.1- Les infrastructures Les infrastructures de santé se répartissent comme suit : a. Le secteur public : Il est le principal prestataire de soins de santé préventifs et curatifs. Il est organisé en plusieurs niveaux de recours complémentaires pour la prise en charge de la population. En 2011, ce secteur comprend, 2 091 centres de santé de base et 174 structures hospitalières. 58 59
INS, mai 2013 UN 2013 113 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Il compte une capacité de 19 632 lits répartis sur l’ensemble du territoire de la République avec une moyenne de 1,84 lit pour 1000 Habitant. Il couvre plus de 84 % de la capacité totale existante qui se repartie entre : -
Les hôpitaux de circonscription (14,7 %) ;
-
les hôpitaux régionaux (35,6 %) ;
-
les CHU et les centres spécialisés (48,5) % ;
-
Auquel il faut ajouter les structures relevant du Ministère de la Défense Nationale (3) et du Ministère de l’Intérieur (1) dont les prestations s’adressent essentiellement à leurs agents et leurs ayants droits60.
b. Le secteur privé : Il connaît un développement spectaculaire au niveau de toutes ses composantes et comprend des cliniques pluridisciplinaires ou mono disciplinaires (81), des cabinets de médecine générale et spécialisée y compris la radiologie (6715), des cabinets de médecine dentaires (3214), des laboratoires d’analyse (355), des officines pharmaceutiques (1902) et des cabinets de paramédicaux (524). Ce secteur, qui compte 3 658 lits, représente 16% de la capacité hospitalière avec une moyenne de 0,3 lits pour 1000 Habitants. Il constitue le fer de lance de l’exportation des services de santé61. c. Le secteur parapublic Il comprend 6 polycliniques de la Caisse Nationale de Sécurité Sociale qui dispensent aux affiliés de la CNAM et à leurs ayants droit des soins ambulatoires de médecine générale et spécialisée et des examens complémentaires. Les services autonomes médicaux de certaines entreprises nationales (SONEDE, STEG, SNT, Tunis Air) qui délivrent des soins ambulatoires à leurs employés et à leurs familles. Les services médicaux de médecine de travail qui ont en principe un rôle essentiellement préventif d’hygiène et de sécurité au travail 62. Par ailleurs, la Tunisie dispose actuellement de 143 centres de dialyse pour l’ensemble des secteurs confondus avec une capacité de 2 448 machines répartis sur l’ensemble du territoire de la république.
Tunisia Health Expo : « Dossier de presse », mars 2016. Comités du Dialogue Sociétal : « santé en Tunisie : état des lieux », mars 2017. 62 Tunisia Health Expo : « Dossier de presse », mars 2016. 60
61
114 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Le ratio lits/ 1000 habitants, qui se stabilise à 2,2 depuis quelques années pour les deux secteurs confondus, semble satisfaisant, comparé à celui des pays du Maghreb : 1,7 pour l’Algérie, 1,1 pour le Maroc et 0, 4 pour la Mauritanie ou à ceux de la région d’Afrique (0,9) et de la région MENA (1,2) ; la moyenne mondiale est de l’ordre de 3 lits et celle des pays à revenu moyen supérieur est de 3,9 lits pour 1 000 habitants.
1.3.2- les ressources humaines La Tunisie dispose en 2011 de : -
13 686 Médecins soit une densité de 1,3 pour 1000 habitants avec 0,7 pour les médecins généralistes et 0,6 pour les médecins spécialistes. Ces médecins se répartissent au niveau fonctionnel entre 53,8% de généralistes et 46,2% de spécialistes et presque à parité égale entre les deux secteurs public et privé.
-
3736 Dentistes soit une densité de 0,35 pour 1000 habitants. Les dentistes se concentrent essentiellement dans le secteur privé et représentent 86% du total de l’effectif.
-
2 404 Pharmaciens soit une densité de 0,22 pour 1000 habitant. Les Pharmaciens se concentrent dans le secteur privé en représentant 79% du total de l’effectif.
-
41 863 Paramédicaux soit une densité de 3, 92 pour 1000 habitants. Les paramédicaux sont prédominant dans le secteur public ou ils représentent 85,6 % de l’effectif global, le secteur privé, avec un effectif estimé à 6000 agents, englobe les 14,4% restants. Pour les cliniques privées, compte tenu des normes imposées, l’effectif en personnel paramédical serait de l’ordre de 1,2 agent par lit hospitalier et compte plus de 60% de celui du secteur privé.
Au total, la densité médicale et paramédicale du système de santé tunisien s’établit autour de 5.8 agents pour 1000 Habitants et dépasse de loin le seuil critique qui s’élève à 2,5 personnels soignants pour 1 000 habitants63.
1.3.3- La formation L’enseignement supérieur dans le domaine de la santé peut être découpé en deux parties : -
La formation des médecins, médecins-dentistes et pharmaciens, qui ne se fait que dans les institutions publiques relevant de l’enseignement supérieur.
-
La formation des paramédicaux qui s’effectue aussi bien dans le public que dans les institutions privées.
63
Comités du Dialogue Sociétal : « santé en Tunisie : état des lieux », mars 2017.
115 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Le dispositif tunisien de formation de cadres de la santé est particulièrement complet. Il est composé de64 : -
4 Facultés de Médecine ;
-
1 Faculté de Pharmacie ;
-
1 Faculté de Médecine Dentaire ;
-
4 Ecoles Supérieures des Sciences et Technique de la Santé, réservées à la formation des techniciens supérieurs de la santé ;
-
5 Instituts Supérieurs des Sciences infirmières ;
-
9 Etablissements de formation professionnelle de la Santé du secteur privé, réservés à la formation du personnel paramédical avec le même programme que les établissements publics ;
-
15 Ecoles privées de formation professionnelle de paramédicaux et de formation continue, en parrainage avec le Ministère de la Santé.
1.3.4- La Technologie médicale et les équipements lourds Afin de réduire autant que possible l’envoi de patients pour soins à l’étranger et de faire des avancées en matière d’exportation des services de santé, beaucoup d’efforts ont été fait pour : -
doter le pays des équipements lourds indispensables pour assurer l’ensemble des diagnostics et des actes médicaux les plus sophistiqués à l’intérieur du pays.
-
développer certains services de médecine de pointe, à l’instar du Centre national de greffe de la moelle osseuse, du Centre de médecine d’urgence, de traumatologie et des grands brûlés ainsi que des Services de chirurgie thoracique, de chirurgie cardiovasculaire de néonatalogie, de carcinologie et des maladies héréditaires et génétiques qui sont implantés à Tunis et plusieurs autres villes .
Le secteur privé est très actif dans ce domaine, il dispose de plateaux techniques performants qui répondent parfaitement aux standards européens (68% du parc des équipements lourds du pays) avec des équipes médicales et chirurgicales hautement qualifiées. Il assure, en plus des soins classiques et des actes des plus complexes, l’exclusivité des activités de chirurgie esthétique et plastique. Comparativement à d’autres pays de même niveau de développement, la Tunisie se trouve bien dotée en équipements lourds. Elle est loin devant le Maroc et à un niveau comparable à la Jordanie.
64
Tunisia Health Expo : « Dossier de presse », mars 2016.
116 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
1.4- Analyse SWOT du secteur santé privé Sur la base des différents diagnostics faits, nous pouvons résumer la situation du secteur de santé privé en Tunisie selon l’approche SWOT comme suit :
Faiblesses
Forces • La formation médicale en Tunisie est satisfaisante : des personnels assez qualifié par rapport les autres pays.
• Manque des ressources de financement vu les investissements lourds du secteur. • L’augmentation massive des coûts fiscaux
• L’investissement de l’Etat Tunisien pour les
suite à la déstabilisation des textes fiscaux
infrastructures du secteur public est mineur
régissant le secteur (imposition des revenus
par rapport aux attentes de la population.
provenant
• Manque de confiance des citoyens au secteur de santé publique. • L’instabilité sociale du pays : de grèves sociales fréquente dans le secteur de santé
des
patients
non-résidents,
imposition des médicaments à la TVA,….). • L’augmentation de la masse salariale : plusieurs augmentations des salaires durant les dernières années. • L’inflation de prix.
publique.
• Les difficultés financières du système de sécurité sociale en Tunisie CNAM.
Opportunités
Menaces
• Un rapport qualité-coût compétitif par rapport
• L’insolvabilité de certains pays envers ces
les autres pays. • Une excellente perception de la qualité des
dettes (la Libye principalement). • La déviation du dinar Tunisien : le coût
services de santé fournis aux patients
d’importation
étrangers.
devient très cher.
• La disponibilité de médecins de compétence reconnue à l’échelle africaine et sur la rive nord du bassin méditerranéen.
des
matériels
nécessaires
• La concurrence de certains pays voisins (Maroc, Algérie,…). • Infrastructures épuisées pour accueillir un nombre important des patients étrangers.
Figure n°10 : Analyse SWOT du secteur de santé privé en Tunisie 117 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
L’étude préliminaire du secteur d’activité est une phase primordiale pour l’auditeur lui permettant d’acquérir une connaissance satisfaisante afin d’identifier les risques inhérents liés au secteur d’activité. Cette étude doit être complétée par une connaissance du régime juridique et fiscal du secteur.
Section 2 : Régime juridique Plusieurs textes juridiques organisant le secteur de santé privé en Tunisie, en fait l’accès au marché est soumis à un cahier de charge. Dans cette section nous essayerons de définir la polyclinique selon la législation en vigueur et de mettre l’accent sur les obligations juridiques de polycliniques.
2.1- Les textes juridiques : Les textes juridiques qui organisent les établissements sanitaires privés sont : -
Loi n° 91-63 du 29 juillet 1991, relative à l'organisation sanitaire.
-
Loi n° 2001-94 du 7 août 2001, relative aux établissements de santé prêtant la totalité de leurs services au profit des non-résidents.
-
Décret n° 2002-545 du 5 mars 2002, fixant les conditions des prestations de services pouvant être fournies aux résidents par les établissements de santé prêtant la totalité de leurs services au profit des non-résidents.
-
Décret n° 92-1208 du 22 juin 1992, fixant les attributions, la composition et les modalités de fonctionnement du comité national des établissements sanitaires privés, tel que modifié par le décret n° 98-740 du 30 mars 1998 et le décret n° 2001-1080 du 14 mai 2001.
-
Décret n° 93-1156 du 17 mai 1993, fixant les conditions de désignation et les obligations des directeurs des établissements sanitaires privés.
-
Décret n° 93-1915 du 31 août 1993, fixant les structures et les spécialités ainsi que les normes en capacité locaux, équipements et personnels des établissements sanitaires privés, tel que complété et modifié par le décret n° 99-2833 du 21 décembre 1999 et le décret n° 2001-1082 du 14 mai 2001 et le décret n°2010-2200 du 6 septembre 2010.
-
Décret n° 98-793 du 4 avril 1998, relatif aux établissements sanitaires privés tel que modifié et complété par le décret n°2009-1926 du 15 juin 2009.
-
Arrêté du Ministre de la santé publique du 28 mai 2001, portant approbation de cahier des charges relatif aux établissements sanitaires privés, tel que modifié et complété par l’arrêté du 24 décembre 2007. 118 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
2.2- Définition juridique de la polyclinique : L’article 40 de la loi n° 91-63 a défini les établissements sanitaires privés : « les établissements sanitaires privés sont : -
Les hôpitaux privés ;
-
Les cliniques pluridisciplinaires ou polycliniques ;
-
Les cliniques mono disciplinaires ;
-
Les établissements sanitaires à but non lucratif ».
La clinique pluridisciplinaire est un établissement de prévention, de soins curatifs et palliatifs, de diagnostic, d’hospitalisation et de réadaptation fonctionnelle dans lequel sont dispensées des prestations relevant de deux disciplines au moins parmi les suivantes65 : -
médecin
-
chirurgie
-
gynécologie – obstétrique
Lesdites prestations sont dispensées par les médecins de libre pratique aux patients admis à leur demande ou qui sollicitent leurs services. Il ne peut y avoir sous quelque forme que ce soit des consultations externes dans les locaux de la clinique pluridisciplinaire. Toutefois, le médecin directeur ou à défaut de celui-ci le médecin directeur technique peut assurer des consultations relevant de sa spécialité, au sein de locaux de l’établissement, à l’exclusion de tout autre cabinet médical. La clinique pluridisciplinaire dispose obligatoirement : -
d’équipements de réanimation pour deux lits au moins
-
d’équipements d’urgence pour une capacité minimale de deux (2) lits.
Les activités hospitalières médicales, chirurgicales ou gynéco–obstétricales dans les cliniques pluridisciplinaires sont exercées dans des unités d’une capacité minimale de quinze (15) lits pour les spécialités médicales, et de dix (10) lits pour les spécialités chirurgicales et de gynécologie-obstétrique. La clinique pluridisciplinaire doit organiser un service de gardes médicales pour les urgences et la surveillance des malades hospitalisés.
2.3- Le cahier des charges L’article 41 de la loi n° 91-63 prévoit que toute création, extension, transformation ou transfert Article 31 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du 24 décembre 2007. 65
119 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
de tout établissement sanitaire privé est subordonné à l’autorisation du ministre de la santé publique et, est soumis aux conditions prévues par le cahier des charges approuvé par l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du 24 décembre 2007.
2.3.1- Les dispositions générales L’exploitation d’un établissement sanitaire privé peut être assurée soit par une personne physique, soit par une personne morale. Toutefois, la personne physique n’a le droit d’exploiter qu’un seul établissement sanitaire privé alors que la personne morale peut exploiter un ou plusieurs établissements sanitaires privés 66. Les candidats à la création, à l’extension, à la transformation ou au transfert d’un établissement sanitaire privé, doivent, préalablement à toute exécution de travaux, présenter les plans architecturaux aux services techniques du ministère de la santé publique, pour avis. Ceux-ci donneront leur avis dans un délai de deux mois à compter de la déposition du dossier67. Les prix des prestations afférentes aux frais de nourriture et d’hébergement privés devront être affichés à l’intérieur de l’établissement 68. La détention et la délivrance des médicaments dans les établissements sanitaires privés, sont placées sous la responsabilité d’un pharmacien à plein temps, ou à défaut, d’un pharmacien hospitalier conventionné. Les établissements sanitaires privés sont dans l’obligation de tenir une comptabilité en forme commerciale69. Tout établissement sanitaire privé est obligatoirement dirigé par un directeur conformément aux dispositions législatives et réglementaires en vigueur. Lorsque le directeur de l’établissement n’est pas médecin, il est obligatoirement assisté par un directeur technique médecin70. Les établissements sanitaires privés sont tenus d’adresser au ministère de la santé publique un rapport annuel de leurs activités médicales dans le trimestre qui suit l’année en question .
Article 1er de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du 24 décembre 2007. 67 Article 3 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du 24 décembre 2007. 68 Article 11 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du 24 décembre 2007. 69 Article 16 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du 24 décembre 2007. 70 Article 18 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du 24 décembre 2007. 66
120 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
2.3.2- Gestion du personnel Le personnel paramédical des établissements sanitaires privés doit exercer à plein temps dans un seul établissement, à l’exclusion de tout autre établissement public ou privé 71. Les contrats d’engagement ou statuts particuliers des personnels employés à plein temps dans les établissements sanitaires privés doivent être obligatoirement communiqués, dans les quinze (15) jours de leur conclusion ou de leur amendement, au ministère de la santé publique et au conseil de l’ordre concerné72.
2.3.3- Approvisionnements des médicaments Les établissements sanitaires privés peuvent s’approvisionner auprès des grossistes répartiteurs en médicaments pour usage urgent. Les demandes d’approvisionnement en ces médicaments doivent être formulées sur des imprimés selon un modèle établi par le ministère de la santé publique73. Les grossistes répartiteurs cèdent ces médicaments aux établissements sanitaires privés à leur prix d’achat majoré de dix pour cent (10%) 74. Les établissements sanitaires privés facturent les médicaments pour usage urgent conformément à leur prix d’achat majoré de dix pour cent (10%) 75. Les opérations d’achat et de vente de ces médicaments doivent être répertoriées sur un registre côté et paraphé par les services compétents du ministère de la santé publique. Ce registre doit être tenu sous la responsabilité du pharmacien de l’établissement 76.
Section 3 : Régime fiscal Le régime fiscal des établissements sanitaires privés en Tunisie a connu durant ces années des changements majeurs qui ont touché principalement les incitations financières et fiscaux ainsi que la TVA.
3.1- Les incitations financières L’article 3 de la loi n° 2016-71 du 30 septembre 2016 a donné une définition de
Article 66 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du 24 décembre 2007. 72 Article 67 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du 24 décembre 2007. 73 Article 106 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du 24 décembre 2007. 74 Article 107 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du 24 décembre 2007. 75 Article 108 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du 24 décembre 2007. 76 Article 109 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du 24 décembre 2007. 71
121 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
l’investissement qui désigne tout emploi durable de capitaux effectué par l’investisseur (personne physique ou morale, résidente ou non résidente) pour la réalisation d’un projet permettant de contribuer au développement de l’économie tunisienne tout en assumant ses risques et ce, sous forme de : -
Opération d’investissement direct : toute création d’un projet nouveau et autonome en vue de produire des biens ou de fournir des services ou toute opération d’extension ou de renouvellement réalisée par une entreprise existante dans le cadre du même projet permettant d’augmenter sa capacité productive, technologique ou sa compétitivité.
-
Opération d’investissement par participation : la participation en numéraire ou en nature dans le capital de sociétés établies en Tunisie, et ce, lors de leur constitution ou de l’augmentation de leurs capitaux sociaux ou de l’acquisition d’une participation à leurs capitaux.
La nouvelle législation a exigé un minimum de fonds propres fixé à 30% du coût d’investissement pour bénéficier des primes et des avantages fiscaux. Ce taux est ramené à 10% pour les investissements de la catégorie « A » dans le secteur de l’agriculture, de la pêche et de l’aquaculture. Désormais, les établissements sanitaires privés peuvent bénéficier des avantages accordés aux zones de développement régionales. Les établissements sanitaires privés peuvent profiter des primes d’investissement suivantes :
Nature de prime Investissements matériels 77 Investissements de productivité Investissements immatériels
Phase d’obtention A la création uniquement Création, extension ou renouvellement A la création uniquement
Type de prime
Montant
Pour la maitrise des 50% du coût d’investissement nouvelles technologies avec plafond de 500.000 dinars Pour l’amélioration de la 50% du coût d’investissement productivité avec plafond de 500.000 dinars 50% du coût d’investissement avec plafond de 500.000 dinars dont 20.000 dinars pour les dépenses d’études
3.2- Les avantages fiscaux Les établissements sanitaires privés sont considérés des activités de soutien, à cet égard lis bénéficient d’une réduction de l’impôt sur les bénéfices à 10% pour les personnes morales
La liste des équipements et des logiciels a été fixée en décret gouvernementale n° 201-389 du 9 mars 2017 (annexe n°1). 77
122 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
soumises à l’impôt sur les sociétés et d’une déduction des 2/3 de l’assiette imposable pour les personnes physiques78. Les conditions de bénéfice de ce régime sont : -
Le dépôt d’une déclaration d’investissement auprès des services concernés.
-
La réalisation d’un schéma de financement de l’investissement comportant un minimum de fonds propres conformément à la réglementation en vigueur. Ce minimum est fixé à 30% du coût de l’investissement.
-
Joindre à la déclaration annuelle d’impôt une attestation d’entrée en activité effective délivrée par les services concernés.
-
Le bénéfice des avantages fiscaux est subordonné à la tenue d’une comptabilité conforme à la législation en vigueur.
-
La situation de l’entreprise vis-à-vis des caisses de sécurité sociale doit être en règle.
Le taux de la retenue à la source de 1,5% est réduit à 0,5% pour les montants dont les revenus y relatifs bénéficient de la déduction des deux tiers ou dont les bénéfices en provenant sont soumis à l’impôt sur les sociétés au taux de 10%. Aussi, l’avance d’impôt de 25% due par les sociétés fiscalement transparentes et groupements est réduite à 10% pour les bénéfices soumis à l’impôt sur les sociétés au taux de 10% au niveau des associés et des membres, ainsi que pour les bénéfices revenant aux associés et aux membres personnes physiques bénéficiant de la déduction des deux tiers des revenus .
3.3- En matière de la TVA Les cliniques privées regroupent à la fois des activités soumises à la TVA et des activités exonérées. De ce fait, elles ne peuvent déduire l’intégralité de la TVA ayant grevé l’ensemble de leurs achats de biens et services. Pour déterminer le sort de chaque TVA subie en amont, il y a lieu d’appliquer la règle de l’affectation. Dans ce sens, les cliniques privées, en tant qu’assujetties partielles, peuvent retenir la règle de l'affectation si elles sont en mesure de dissocier entre les achats pour le secteur assujetti et les achats pour le secteur exonéré79.
3.3.1- La TVA collectée Le régime de TVA des ventes et prestations de services réalisées par les cliniques privées est défini comme suit : -
78 79
Produits exonérés : Conformément aux dispositions du tableau « A » du code de la
Article 70 du code de l’IRPP et IS. Prise de position n° 374 du 22 mars 2000 de la DGELF.
123 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
TVA, sont exonérés de la taxe sur la valeur ajoutée certains médicaments importés n’ayant pas similaires en Tunisie -
Prestations soumises à la TVA au taux de 7% : Conformément au tableau B annexé au code de la TVA, l'hébergement, la restauration et les services effectués dans le cadre de leur activité par les cliniques et polycliniques médicales ainsi que la vente de médicaments et de produits pharmaceutiques sont soumis à la TVA au taux de 7%.
La Note commune n° 19 (Telle que rectifiée par l'additif du 2 juin 1996), définit les médicaments et produits pharmaceutiques comme suit : -
Médicaments : On entend par médicament conformément aux dispositions de l’article 21 de la loi n° 73-55 du 3 août 1973 relative à l’organisation des professions pharmaceutiques toute substance ou composition présentée comme possédant des propriétés curatives ou préventives à l’égard des maladies humaines ou animales, ainsi que tout produit pouvant être administré à l’homme ou à l’animal en vue d’établir un diagnostic médical ou de restaurer, corriger ou modifier leurs fonctions organiques.
-
Produits pharmaceutiques : Selon la définition communiquée par le ministère de la santé publique, on entend par produit pharmaceutique « tout médicament ou tout
produit similaire notamment les accessoires, pansements, insecticides et acaricides destinés à être appliqués sur l'homme, les produits pour l'entretien de tout accessoire et matériel médical susceptible de présenter des dangers pour le patient ou l'utilisateur ». En revanche, les compléments alimentaires demeurent soumis à la TVA au taux de 19%. -
Loyers perçus par une clinique : les loyers de cabinets médicaux, laboratoires et autres locaux (lorsque de telles locations sont permises par la loi) donnés en location par une clinique sont passibles de la TVA au taux de 19%.
-
Conventions de prise en charge conclues avec des organismes non-résidents en Tunisie : les prestations fournies aux malades étrangers dans le cadre des conventions de prise en charge conclues avec des organismes non-résidents pour des prestations rendues en Tunisie constituent des services rendus et utilisés en Tunisie et sont par conséquent soumises à la TVA en Tunisie.
-
Prestations facturées en suspension de TVA : les cliniques peuvent être autorisées dans le cadre de leurs activités à facturer des prestations en suspension de TVA. Tel est le cas des prestations facturées à une ambassade ou à tout autre organisme muni d’une attestation d’achat en suspension de TVA. 124 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
3.3.2- La TVA déductible Les cliniques privées sont des assujetties partielles à la TVA, de ce fait, elles ne peuvent déduire l’intégralité de la TVA ayant grevé l’ensemble de leurs achats de biens et services. En l’absence d’une règle d’affectation exacte pour les achats des activités soumises et non soumises, les cliniques privées ont le droit de déduire la TVA pour leurs achats selon un prorata déterminé de la façon suivante : Au numérateur : + Le chiffre d’affaires provenant des prestations d’hébergement et de restauration + TVA correspondante 7%, + Le chiffre d’affaires provenant des ventes de médicaments et produits pharmaceutiques + TVA correspondante 7%, + Le chiffre d’affaires provenant des autres prestations et services dans le cadre de l’activité d’une clinique + TVA correspondante 7%, + Les prestations en suspension de TVA + TVA fictive correspondante, + Montant des loyers facturés + TVA correspondante 19% ; Au dénominateur, le montant du numérateur auquel on ajoute : + Le chiffre d’affaires provenant des ventes de médicaments et de produits pharmaceutiques exonérés de TVA. Le prorata de déduction applicable à une année civile est dégagé d’après les opérations réalisées au cours de l’année civile précédente ou selon les comptes prévisionnels en cas d’entreprise nouvellement installée. Il est déterminé au début de l’année pendant laquelle il est utilisé. Néanmoins, pour les biens autres que les immobilisations amortissables ainsi que les services, la déduction opérée selon le prorata de l’année précédente est définitive. La récupération initiale relative aux immobilisations amortissables est susceptible d’être modifiée à la fin de l’année d’acquisition du bien si le prorata de déduction varie d’un pourcentage strictement supérieur à plus ou moins 5% 80.
3.4- En matière droit d’enregistrement Les cliniques privées sont régies par le régime de droit commun en matière de droits d’enregistrement et de timbre en vigueur. Les factures établies par la clinique sont, de ce fait, soumises à un droit de timbre de 600 millimes par facture émise. 80
Article 9 du code de la TVA.
125 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
3.5- En matière TCL Les cliniques privées sont soumises à la TCL au taux de 0,2% du chiffre d'affaires brut local (chiffre d’affaires soumis à la TVA, exonéré ou en suspension de TVA). Si la clinique enregistre au cours d'une année un déficit justifié par une comptabilité tenue conformément à la législation en vigueur, la TCL due au titre de l'année qui suit celle de réalisation du déficit est liquidée sur la base de 25% du minimum de l'IS 81. Dans tous les cas, la TCL ne peut être inférieure à un minimum annuel égal à la taxe sur les immeubles bâtis calculée en fonction de la taxe de référence par mètre carré couvert, de la superficie couverte des locaux professionnels et du nombre de prestations fournies par la collectivité locale. Les loyers perçus par la clinique ne sont pas soumis à la TCL. En effet, le redevable de la TCL est le locataire.
3.6- En matière TFP et FOPROLOS Les cliniques privées sont soumises à la TFP au taux de 2% de la masse salariale brute y compris les avantages en nature. La contribution au FOPROLOS est due par tout employeur public ou privé à l'exclusion des exploitants agricoles privés. En conséquence, les cliniques privées sont redevables de ladite contribution au taux de 1% de la masse salariale brute servie à leurs employés y compris la valeur des avantages en nature.
3.7- Autres obligations fiscales Outre ces obligations fiscales, les établissements de santé privés sont tenus :
3.7.1- En matière de la retenue à la source Les cliniques privées sont tenues d'effectuer des retenues à la source au titre des : -
traitements et salaires,
-
honoraires au taux de 5% ou 15% selon que le bénéficiaire soit soumis au régime réel ou non,
-
commissions et courtages versés, au taux de 15%
-
loyers versés, au taux de 15%, et
-
1.5% au titre des marchés ou montants égaux ou supérieurs à 1000 D TVA comprise, payés au titre des acquisitions de marchandises, de matériel, d’équipements, et de services.
81
Note commune n° 10 de l’année 2014.
126 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Les cliniques doivent procéder aux retenues à la source au titre des honoraires des médecins facturés aux clients par la clinique et reversés ensuite aux médecins au taux de 5% ou de 15% selon que le bénéficiaire (médecin) soit soumis au régime réel ou non. Les jetons de présence versés aux administrateurs d’une clinique privée société anonyme sont passibles de la retenue à la source au taux de 20%.
3.7.2- En matière de facturation Les établissements de santé privés sont tenus de mentionner dans leurs factures toutes les prestations sanitaires, médicales et paramédicales réalisées directement ou par d’autres intervenants. Après avoir étudié le régime juridique et fiscal des polycliniques privées ainsi que l’analyse du secteur d’activité, nous essayerons d’appliquer la démarche d’audit proposée au niveau du deuxième chapitre à notre cas d’espèce.
2ème chapitre : l’application de la démarche d’audit proposée La polyclinique instruite en juin 2006 est une société anonyme, partiellement assujettie à la TVA à un capital social de 7 400 000 dinars réparti pour le profit d’une pluralité d’actionnaires. Située à quelques minutes du centre-ville de Sfax, la polyclinique « X » est l’une des cliniques pluridisciplinaires les plus réputée de Tunisie. Dotée d'une structure de haut niveau technique et technologique répondant aux normes médicales internationales, et d'une qualité hôtelière répondant aux attentes en matière de confort et de respect de la personne. La polyclinique est implantée sur un terrain de 3300 m² de superficie avec une surface couverte d'environ 10 000 m². Avec une capacité de 61 lits, la polyclinique dispose d'un ensemble de services spécialisés qui vous offrent une expertise d'avant-garde dans le domaine de la santé : -
Chirurgie esthétique ;
-
Service d'hospitalisation ;
-
Service de chirurgie ;
-
Service de médecine ;
-
Service de maternité – gynécologie obstétrique ;
-
Service de réanimation polyvalente ;
-
Service de radiologie ;
-
Urgence ; 127 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
Cathétérisme ;
-
Centre de procréation médicalement assisté.e
La polyclinique « X » compte de réaliser une extension en vue d’élargir sa capacité et rendre un meilleur séjour pour ses patients. Ce projet d’extension réalisé permettra principalement : -
L'exploitation de 17 nouvelles chambres.
-
L'exploitation d'un nouveau centre de lithotripsie.
-
L'exploitation de deux nouvelles salles d'opération.
-
L'exploitation d'une nouvelle salle de réveil.
-
Le transfert des services administratifs de la clinique.
-
Le transfert de la cuisine.
Au niveau de ce chapitre, nous essayerons d’appliquer la démarche d’audit proposée à notre cas d’espèce selon la méthodologie suivante : -
La planification de la mission
-
L’évaluation des risques
-
Les tests de validation
Section 1 : La planification de la mission Dans cette phase, l’auditeur doit acquérir une connaissance assez suffisante sur l’activité de la polyclinique ainsi que le milieu informatique dont elle régit afin de mettre en place une stratégie d’audit adéquate répondant aux standards de qualité de la mission d’audit.
1.1- Prise de connaissance de la polyclinique L’auditeur doit avoir une connaissance suffisante sur l’activité de la polyclinique et sur le système d’information utilisé par cette dernière dans son exploitation.
1.1.1- Prise de connaissance des affaires de la polyclinique Le secteur de la santé privé a connu durant cette période (à partir de l’année 2011) une évolution remarquable au niveau du chiffre d’affaire provenant des prestations hospitalières grâce à la révolution libyenne. Cette évolution a des conséquences négatives sur la trésorerie suite à l’insolvabilité de ces clients. En fait, notre client la polyclinique « X » a connu des problèmes de trésorerie durant ces dernières années suite à : -
Un encours clients libyens de montants 4.000.000 dinars : le recouvrement de ces créances est incertain vue la situation politique en Libye ;
-
Des engagements d’investissement : la polyclinique s’engage a réalisé des 128 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
investissements d’extension pour un coût total de 7.000.000 dinars. Notre client se trouve dans l’obligation d’endetter auprès des organismes financières afin d’honorer ces engagements envers ces fournisseurs (le coût d’endettement s’élève à 4.000.000 dinars) ; -
L’augmentation de la masse salariale : suite à l’évolution de l’activité à partir de l’année 2011, la polyclinique a réalisé des recrutements pour couvrir le taux d’occupation élevé mais après la chute remarquable des patients libyens ces recrutements deviennent des charges supplémentaires pour elle ;
-
L’inflation des prix : la Tunisie a connu durant cette décennie une inflation remarquable des prix ;
-
La défaillance du système de sécurité sociale en Tunisie : la prise en charge d’une partie des frais par la CNAM a subi des problèmes pour les polycliniques en Tunisie vue la faillite de cette caisse ;
-
La déviation du dinar tunisien par rapport l’euro et dollar : certaines acquisitions des polycliniques sont faites à l’étranger (des équipements, des outillages médicales pour l’orthopédie et médicaments)
En revanche, notre client a cherché d’exploiter des autres ressources pour faire face à ces problèmes de trésorerie : -
Ouverture d’une unité de cathétérisme : les polycliniques qui possèdent une unité de cathétérisme en Sfax sont à l’ordre de trois. De ce fait, cette unité est considérée comme une ressource vue l’absence de concurrence sur le marché ;
-
La prospection des marchés africains : la polyclinique « X » a mis en place une stratégie de marketing permettant de promouvoir les marchés africains afin de chercher d’autres types de clientèle ;
-
La réduction de la masse salariale : la polyclinique « X » a opté de ne pas renouveler les contrats des employés qui ont pris fin. Cette mesure lui permet d’alléger les pressions financières sur la trésorerie ;
-
La signature de convention avec certaines sociétés : elle a signé des conventions avec certaines sociétés qui ont pris en charge les frais de soins de ces employées lui garantissant un nombre acceptable des patients ;
Pour conclure, le secteur sanitaire est un secteur attractif et rentable mais il a connu un problème durant ces dernières années.
129 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
1.1.2- Prise de connaissance de l’environnement informatique Au niveau de cette étape, nous allons vocaliser nos travaux sur la compréhension de l’environnement informatique de la polyclinique en se référant au CobiT 5. La direction de la polyclinique a été impliquée dès la création de mettre en place un système d’information adéquate qui répond aux attentes. Une stratégie informatique mise en place par la gouvernance de la polyclinique lui permettant de répondre aux exigences des métiers : en fait les organes décideurs ont choisi d’acquérir un ERP et de former une équipe de pilotage compétente. La fonction informatique occupe une place importante au niveau de l’organigramme de l’établissement, ces principales tâches sont : -
D’assurer la pérennité de l’informatique au sein de la polyclinique ;
-
De développer les processus métiers ;
-
De former les personnels de l’établissement ;
-
De se familiariser les personnels avec le système d’information en lui impliquant à la stratégie informatique de la polyclinique.
Les processus du CobiT 5 liés à la gouvernance du système d’information peuvent nous aider à mieux comprendre l’environnement informatique de la polyclinique selon la démarche suivante : a. Evaluer le système de gouvernance : EDM01.01 Les diligences qui nous pouvant suivre pour ce processus sont comme suit : -
Analyser et identifier les facteurs environnementaux internes et externes :
Les obligations légales des établissements sanitaires privés selon le cahier de charges exigent de garder un dossier médical pour le patient. Cette obligation permet à la direction de déléguer au département informatique de développer des applications lui permettant d’identifier chaque résident et de garder un dossier complet. L’activité de la polyclinique et sa complexité exige à la direction de mettre en place un système d’information adéquat lui permettent de faciliter la gestion quotidienne ainsi de minimiser le risque lié à l’activité.
130 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
Déterminer l’importance de l'informatique :
L’informatique a un rôle important pour la polyclinique, en fait la multiplicité des intervenants dans les processus de gestion a rendu la nécessité de mettre en place une cellule informatique. Cette importance se manifeste par l’emplacement qui l’occupe le département informatique au niveau de l’organigramme général de la polyclinique. Conseil d’administration
Directeur technique (médecin)
Directeur général
Département informatique
Figure n°11 : Organigramme de la polyclinique -
Déterminer les niveaux appropriés de délégation des pouvoirs pour les décisions en matière d'informatique :
Vu la position du département informatique au niveau de l’organigramme de la polyclinique, la délégation des pouvoirs pour les décisions en matière informatique se fait comme suit : -
La détection des anomalies se fait par le département puis il présente au directeur général pour prendre l’approbation du conseil d’administration pour corriger ces anomalies ;
-
Une réunion par trimestre se fait entre les responsables département informatique, le directeur général et le conseil d’administration afin de prendre les décisions stratégique de la polyclinique en matière informatique.
b. Orienter le système de gouvernance : EDM01.02 Les contrôles que l’auditeur peut être mis en place sont les suivants :
131 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
Identifier les principes de gouvernance informatique :
Les principes de la gouvernance informatique de la polyclinique se déclinent en cinq objectifs suivants : -
L’alignement stratégique avec les objectifs de l’organisation ;
-
La création de valeur pour l’organisation ;
-
La gestion des risques ;
-
La gestion des ressources ;
-
La mesure et l’amélioration de la performance.
Le département informatique a pour objectif d’assurer le bon fonctionnement de la stratégie générale de la polyclinique par la mise en place des processus lui garantissant la réalisation des objectifs générales. La gestion de la valeur permet de suivre l’évolution de ce qui est important pour la partie affaire. En fait, le département informatique est tenu de mettre les outils nécessaires pour assurer la création de valeur de la polyclinique. La gestion des risques sert à identifier les risques liés au système d’information selon les processus suivants : -
La prévention : action qui empêche le risque de se produire
-
L’acceptation : action qui fait en sorte d’accepter de vivre avec le risque
-
La réduction du risque : action qui permet d’atténuer l’impact du risque
La mesure est la base de toute saine gestion. En l’absence de mesure, le gestionnaire ne peut prendre des décisions éclairées. Le département informatique doit établir des indicateurs de performance. -
Analyser les mécanismes de communication et de production des rapports :
Le département informatique se réunit mensuellement afin d’évaluer les actions déjà mises en place et de communiquer aux autres départements les résultats.
1.2- Examen analytique (préliminaire ou global) L’objectif de l’examen analytique est d’aider l’auditeur à mieux connaître l’entreprise et à identifier les domaines de risque potentiel, contribuant ainsi à une meilleure planification de la mission.
132 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
1.2.1- Chiffres d’affaires : Désignation Chiffre d'affaires clinique Produits des activités annexes Total
2017 16 651 515 101 711 16 753 226
2016 15 162 852 96 558 15 259 409
Variation %Variation 1 488 663 9,82% 5 153 5,34% 1 493 817 9,79%
Les revenus réalisés par la polyclinique se sont chiffrés au 31/12/2017 à 16.753.226 dinars contre 15.259.409 dinars 31/12/2016, enregistrant une augmentation de 1.493.817 dinars soit 9,79%. Le chiffre d'affaires provenant de l'exploitation courante a enregistré une augmentation de 9,82%, malgré la nette régression du chiffre d'affaires réalisée avec les clients libyens. En présence d’une crise qui continue à frapper le secteur de la santé en Tunisie, à cause principalement de la perte du marché libyen, la polyclinique marque a enregistré une augmentation, ceci peut être expliquée par les investissements réalisés des deux nouveaux centres : l'IRM et le KT.
1.2.2- Résultats et rendement : a. Résultat : Désignation Résultat net d'impôts
2017 2 251 466
2016 2 694 922
Variation -443 456
% Variation -16,46%
Le résultat net d'impôt dégagé par la polyclinique au 31/12/2017 se chiffre à 2.251.466 dinars contre 2.694.922 dinars au 31/12/2016 enregistrant une baisse de 443.456 dinars soit -16,46%. Le résultat de l'exercice a enregistré cette baisse malgré l’augmentation constatée sur le chiffre d'affaires s'expliquant principalement par l'augmentation des facteurs suivants :
Désignation Achats consommés
2017 4 891 814
2016 3 981 740
Variation %Variation 910 074 22,86%
Charges de personnel
5 639 576
4 969 250
670 326
13,49%
Autres charges d'exploitation
2 135 361
1 698 010
437 351
25,76%
Amortissements et provisions
2 251 666
1 995 080
256 586
12,86%
133 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
b. Rendement du chiffre d’affaires : Désignation Bénéfice net Chiffre d'affaires bénéfice net /chiffre d'affaires
2017 2 251 466 16 753 226 13,44%
2016 2 694 922 15 259 409 17,66%
Variation -443 456 1 493 817 -4,22%
% Variation -16,46% 9,79%
Le rendement du chiffre d'affaires relatif à l'exercice 2017 se chiffre à 13,44% contre 17,66% en 2016 enregistrant une baisse de 4,22%.
1.2.3- Investissements : Désignation Immobilisations Incorporelles Immobilisations corporelles Immobilisations financières Total
2017 135 288 25 176 235 31 306 25 342 831
2016 122 679 22 431 566 28 388 22 582 635
Variation 12 609 2 744 669 2 918 2 760 196
% Variation 10,28% 12,24% 10,28% 12,22%
La valeur brute des investissements incorporels se chiffre au 31/12/2017 à 135.288 dinars contre 122.679 au 31/12/2017 enregistrant une augmentation de 12.609 dinars soit 10,28%. La valeur brute des immobilisations corporelles se chiffre au 31/12/2017 à 25.176.235 dinars contre 22.431.566 au 31/12/2016 enregistrant une augmentation de 2.744.667 s'expliquant par les acquisitions suivantes : Désignation Construction Matériel et Outillages Agencement et Aménagement Equipement et matériel de bureaux Constructions en cours Total
Montant 33 335 1 465 021 125 336 51 921 1 069 054 2 744 667
1.2.4- Flux de trésorerie : Désignation Placement financier Banques Caisse
2017 1 335 1 797 881 1 522
2016 2 501 235 748 158 456
Variation -2 499 899 1 049 724 1 066
% Variation -99,95% 140,31% 233,32%
Total
1 800 739
3 249 849
-1 449 110
-44,59%
Les valeurs disponibles au 31/12/2017 se chiffrent à 1.800.739 dinars contre 3.249.849 dinars au 31/12/2016 enregistrant une nette régression de 1.449.110 dinars soit -44,59% s'expliquant 134 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
par le déblocage du montant de 2.500.000 dinars, en placement en 2017, pour faire face aux dépenses d'investissements.
1.2.5- Les conclusions de l’examen analytique : L’examen analytique préliminaire que nous avons réalisé nous a conduit à identifier les risques potentiels suivants : -
Le délai de recouvrement des créances est assez long par rapport au délai de paiement des dettes : la polyclinique peut rencontrer un problème de trésorerie suite à non recouvrement de créances libyennes.
-
Les nouveaux investissements réalisés par la polyclinique peuvent être non rentable vue la perte du marché libyen.
-
L’augmentation de la masse salariale peut affecter la rentabilité de la polyclinique.
-
Les flux de trésorerie disponibles ne peuvent pas couvrir les engagements de la polyclinique envers ses fournisseurs.
1.3- Description du système d’information de la polyclinique La polyclinique a acquis le prologiciel ClinSys. CliniSys est une solution de gestion clinique et hospitalière intégrée qui couvre les différentes activités des établissements de santé : administrative, financière, médicale, soins et décisionnelle. En accédant à la plateforme du logiciel, une multitude d’icône accessible s’affiche donnant la main pour l’accès à plusieurs menus : -
Contrôle de gestion
-
Accueil et réservation
-
Dossiers soins
-
Facturation
-
Caisse
-
Honoraires médecins
-
Trésorerie
-
Recouvrement
-
Comptabilité
-
Gestion des ressources humaines GRH
1.3.1- Identification des processus métiers et des flux de traitement des données a. Identification des processus : Les processus identifiés de la polyclinique sont les suivants : 135 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
1. Processus achats 1.1. Achats médicaments et produits pharmaceutiques. 1.2. Achats stockés autres que pharmaceutiques. 2. Achats prestations médicales 3. Processus magasin (stock) 3.1.1. Processus des entrées magasin 3.1.2. Processus traitement des non-conformités. 3.1.3. Processus des sorties magasin 4. Processus investissements 5. Processus maintenance et gestion du matériel 6. Processus planification 7. Processus des inventaires (tournant et général) 8. Processus finance et gestion de la trésorerie 8.1. Processus recouvrement 8.2. Processus juridique 8.3. Processus ressources humaines 8.3.1. Processus recrutement 8.4. Processus finances et comptabilité 8.5. Processus comptabilité analytique 9. Processus admission des patients 9.1. Prise en charge médicale et soins 9.2. Les consultations et soins externes 9.3. Processus logistique et transport 9.4. Processus de endoscopie…)
gestion
des
unités
médicotechniques
(Radiologie,
imagerie,
10. Processus hôtellerie 11. Processus cuisine 12. Processus buanderie
136 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
b. Identification des flux de traitement des données : Au niveau de cette phase, l’auditeur doit identifier les flux de traitement des données qui peuvent influencer les transactions comptable ainsi que les états financiers. Il doit sélectionner les processus importants. L’objectif de ces tests est d’avoir une connaissance globale sur le système d’information de la polyclinique et de sélectionner les processus risqués. Pour la polyclinique le processus sélectionné et qui peut avoir un risque sur le traitement de l’information comptable est le processus achats. -
Processus achats :
Vu la complexité de ce processus, il est utile de le subdiviser en deux sous-processus à savoir le sous-processus achats médicaments et produits pharmaceutiques et le sous-processus achats stockés autres que pharmaceutiques. A. Achats médicaments et produits pharmaceutiques Les étapes de ce processus se résument comme suit : i.
Identification du besoin ;
ii.
Lancement de la commande ;
iii.
Réceptionner les produits pharmaceutiques ;
iv.
Traitement des factures d’achat ;
v.
Paiement des factures d’achat ;
vi.
Stocker les produits pharmaceutiques B. Achats stockés autres que pharmaceutiques.
La polyclinique réalise plusieurs types des achats autres que les achats médicaments et produits pharmaceutiques. Ces achats sont essentiellement : les achats d’articles stockables, des pièces de rechanges, des services et les achats des articles non stockables. Les étapes de ce processus se résument comme suit : i.
Identification du besoin ;
ii.
Consultation des fournisseurs ;
iii.
Lancement de la commande ;
iv.
Réceptionner des articles commandés ;
v.
Traitement des factures d’achat ;
vi.
Paiement des factures d’achat ;
vii.
Stockage des produits réceptionnés. 137 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
1.3.2- Identification des applications de base et des principales interfaces IT pertinentes La polyclinique utilise le prologiciel CliniSys. CliniSys est un système d’information de santé intégré. Il couvre les activités des établissements de santé cliniques et hôpitaux. Les fonctionnalités de ce système sont : -
Dossier administratif et financier
-
Dossier médical
-
Gestion des blocs et stérilisation
-
Connexions aux dispositifs médicaux
-
Gestion des ressources humaines
-
Radiologie et laboratoire
-
Gestion documentaires (GED)
a. Dossier administratif et financier Plusieurs modules intégrés qui permettent de gérer l’activité administrative et financière : -
Gestion des prises en charges et organismes ;
-
Circuits des achats et des appels d’offres ;
-
Gestion de la trésorerie intégrée ;
-
Comptabilité générale
-
Gestion des contentieux ;
-
Gestion des immobilisations ;
-
Gestion du service archive.
b. Gestion des ressources humaines : Cette fonctionnalité permet de gérer l’emploi du temps des personnels soignants en temps réel. Les principaux modules sont : -
Gestion des emplois du temps ;
-
Gestion du pointage intégré avec la paie ;
-
Recrutement ;
-
Vêtements du travail ;
-
Médecine du travail ;
-
Gestion de la restauration du personnel ; 138 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
Gestion des carrières ;
-
Gestion des demandes de congé, des prises en charge et des prêts ;
-
Bilan social.
c. Gestion des blocs et stérilisation Le module bloc intègre des fonctionnalités de planification des salles de bloc, le circuit des médicaments, la gestion des stocks et les paniers, la feuille d’anesthésie avec la possibilité de connexion avec la facturation des actes. La fonctionnalité stérilisation est intégrée avec le planning bloc et couvre tous les cycles de stérilisation de la sortie des boites depuis stocks, lavage, mise en conditionnement et retours des boites vérifiées. d. Gestion documentaires : L’application permet la prise en charge et l’archivage des données administratives et médicale du patient. Elle fonctionne selon les principes suivants : -
Tous les documents produits en interne (par CliniSys) sont automatiquement archivé ;
-
Tous documents externes ramenés par le patient sont scannés et archivés dans le dossier du patient.
1.4- Prise en compte des risques Avant l’établissement du plan de la mission, nous avons identifiés les risques liés à l’activité de la polyclinique. Ces risques doivent être pris en compte pour que le plan de la mission mis en place soit cohérent et complet pour couvrir tous les risques. Les risques potentiels que nous avons identifiés lors de la prise en compte du secteur d’activité de la polyclinique et de son environnement informatique sont : -
La perte du marché libyen : baisse du chiffre d’affaires ;
-
Le non solvabilité des patients libyens : la polyclinique n’arrive pas recouvré ces créances avec la Libye (possibilité d’avoir un problème de trésorerie)
-
Les organismes sociaux (CNAM) ont connu des problèmes de trésorerie durant ces dernières années : la polyclinique risque de ne pas recouvrir ces créances envers ces organismes.
139 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
Les nouveaux investissements en cours de réalisation peuvent ne pas être rentables : la perte du marché libyen et la saturation du marché (le gouvernorat de Sfax a connu durant ces dernières années plusieurs investissements liées à la santé).
-
La polyclinique utilise une application informatique (CliniSys) reconnue dans le secteur d’activité. Les risques liés à cette application : l’absence du contrôle applicatif pour certains modules, le niveau de sécurité et de gestion du mot de passe est assez faible.
-
Les préoccupations du département informatiques est de développer des nouvelles applications et non pas de renforcer les anciennes applications.
1.5- Etablissement du plan de mission La structure du plan de la mission doit comprendre les éléments suivants : a. Fixation les objectifs de la mission : Notre mission s’inscrit dans le cadre d’audit des états financiers arrêtés au 31 décembre 2017 afin d’exprimer une opinion sur la sincérité et fidélité de ces derniers et ceux conformément aux normes de révision et conformément aux normes comptables généralement admises en Tunisie, promulguées par la loi 96-112 du 30 décembre 1996 relative au système comptable des entreprises. b. Mise à jour de la connaissance de la société, de ses activités et de ses procédures : La polyclinique est une société anonyme du capital social s’élève à 7.400.000 dinars tunisiens. Elle est dirigée par un conseil d’administration composé de 4 membres. Le nombre des actionnaires est à l’ordre de 48. La polyclinique a créé une filiale dont le pourcentage de détention du capital est à l’ordre de 99.99%. L’objet social de cette filiale est la prospection des nouveaux marchés pour les polycliniques. Le conseil d’administration a confié la mission de la direction quotidienne de la polyclinique à un directeur général.
140 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
c. Evaluation de l’environnement informatique et de contrôle interne : La polyclinique ne possède pas un manuel de procédures, de ce fait les procédures et les contrôles mis en place par la direction ne permettent pas de couvrir la totalité des risques liés à l’activité. La structure organisationnelle de la polyclinique ne permet pas de mettre en place des contrôles compensatoires entre les différents départements. Absence des contrôles applicatifs pour certains modules du système d’information. d. Fixation de la stratégie d’audit : Après avoir pris une connaissance complète sur l’activité de la polyclinique et son système d’information, nous accorderons une attention particulière aux aspects les plus significatifs à savoir : -
Une attention particulière pour les dispositions de la loi n° 2015-26 du 7 août 2015, relative à la lutte contre le terrorisme et la répression du blanchiment d’argent ;
-
Une description détaillée des flux de traitement des données pour les processus identifiés ;
-
Vérification du processus achats et les contrôles applicatifs mis en place ;
-
Vérification du processus finance et gestion de la trésorerie ;
-
Vérification des nouveaux investissements en cours de réalisation (les appels d’offres, les avancements des travaux,…) ;
Section 2 : Evaluation des risques Au niveau de cette phase, nous mettons en œuvre des procédures adéquates et pertinentes afin d’identifier les risques inhérents et les risque liés au contrôles ainsi que les réponses nécessaires à ces risques.
2.1- Les risques inhérents : Il s’agit des risques liés à l’activité de polyclinique et les risques liés à l’environnement informatique.
2.1.1- Les risques inhérents liés aux affaires de la polyclinique On peut analyser ces risques de la manière suivante :
141 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
a. Risques liés à l'activité : La check-list suivant peut nous aider à identifier les risques liés à l’activité de la polyclinique : Les risques
Commentaires
La polyclinique est une société anonyme de moyenne taille. La polyclinique est sise à Sfax. Absence Implantation d’infrastructure pour accueillir les patients géographique étrangers provenant des pays d’Afrique. Les sources d’approvisionnement de la polyclinique pour les médicaments sont les Sources d'approvisionnement grossistes (une difficulté d’approvisionnement pour les médicaments importés). La structure du capital est dispersée (48 Structure du capital actionnaires). Les organes de décision sont composés du conseil d’administration (dirigé par un président du Organes de décision conseil) qui a confié à un directeur général la gestion quotidienne. Changements opérés Durant ces dernières années la direction générale de au sein de l'équipe de la polyclinique a connu des changements de l’équipe de direction. direction Les principales opérations en monnaies étrangères Opérations en réalisées par la polyclinique sont l’importation des monnaies étrangères équipements médicaux. L’activité a connu une fluctuation majeure durant Fluctuation de ces années (perte du marché libyen). l'activité Ce risque existe pour les clients libyens et la partie Risques de nonde prise en charges par la CNAM. recouvrement des créances Le taux de ce risque est faible pour la polyclinique. Risque de nondéductibilité des charges Ce risque est très élevé. Risque de manipulation du résultat Les capitaux propres de la polyclinique sont assez Insuffisance de suffisant pour couvrir l’activité à condition de ne capitaux propres pas distribuer des bénéfices. La polyclinique peut rencontrer des problèmes de Problèmes de gestion trésorerie (le délai du recouvrement des créances est assez long par rapport le délai de paiement des de trésorerie dettes fournisseurs). Taille de l'entreprise
Risques inhérents (O/N)* N O
O
O
O
O
O O O
N
O
O
O
* Oui/Non
142 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
b. Risques liés à certains actifs ou catégories d'opérations : Ces risques peuvent être identifiés lors de l’examen analytique préliminaire : -
Certains postes du bilan représentent plus de 10% du total bilan, il s’agit essentiellement des immobilisations corporelles, des créances clients et les autres passifs. Une attention particulière pour ces rubriques en mettant des tests substantifs adéquats qui répondent à ces risques.
-
Des estimations faites chaque année pour les honoraires de médecin de radiologie non encore facturées à la date de clôture et des primes de rendement des salariés ainsi que les patients résidents à la date d’arrêt des états financiers.
2.1.2. Les risques inhérents liés à l’environnement informatique Les processus du référentiel CobiT 5 que nous avons utilisé afin d’identifier les risques inhérents relatifs au système d’information sont : a. Piloter le système de gouvernance : EDM01.03 Les diligences qui ont été mises en place sont : -
Evaluer l’efficacité et la performance des parties prenantes :
Les parties prenantes sont les personnes auxquelles la responsabilité et l’autorité ont été déléguées pour la gouvernance informatique de la polyclinique. Le comité de pilotage du département informatique de la polyclinique est d’un conseiller comptable et fiscal externe, des techniciens informatiques et du directeur général. Ce département est rattaché au conseil d’administration. Ses rôles sont d’assurer la pérennité du système d’information au sein de l’établissement et de déceler les lacunes relevées au fournisseur du prologiciel. Les mécanismes de gouvernance informatique qui ont été acceptés (structures, principes, processus, etc.) sont correctement en place et ils fonctionnent efficacement. -
Evaluer l’efficacité de la conception de la gouvernance :
La conception de la gouvernance informatique est efficace. La présence d’un conseiller comptable et fiscal externe permet à la polyclinique de détecter les erreurs qui peuvent influer l’information comptable et financière à temps. 143 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
En plus le rattachement du département à la direction générale et au conseil d’administration donne une flexibilité de prendre les décisions nécessaires. On peut considérer que la structure organisationnelle du département informatique lui permet de fonctionner convenablement. b. Evaluer l'optimisation de la valeur : EDM02.01 L’objectif de ce test est d’évaluer le portefeuille d’investissements, les services et les actifs liés à l'informatique afin de déterminer le niveau de certitude d’atteindre les objectifs de l’entreprise et de créer de la valeur à un coût raisonnable. -
Evaluer les capacités de la polyclinique en matière de technologie :
Durant cette dernière décennie le secteur de santé a connu une grande évolution en matière de technologie. Parmi les facteurs clés succès d’un établissement sanitaire est ces investissements engagés en matière de technologie que ce soit médical ou bien au niveau du système d’information. La stratégie de la polyclinique est de développer sa part du marché par la mise en place des investissements technologique lui permettant de différencier par rapport les autres concurrents sur le marché. -
Évaluer l’efficacité avec laquelle la stratégie de l’entreprise et celle de l'informatique sont intégrées et alignées :
On peut considérer le succès des affaires d’un établissement sanitaire privé est étroitement lié à la qualité du service présenté à ses clients. Le respect de la politique qualité dépend essentiellement de la qualité du personnel soignant ainsi que les investissements technologiques mis en place. La création de valeur pour la polyclinique passe essentiellement par les investissements engagés en matière de technologie. c. Evaluer la gestion des ressources : EDM04.01 L’objectif de ce test est d’examiner les ressources disponibles en matière informatique afin de créer de la valeur et atténuer les risques.
144 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Les ressources allouées par la direction de la polyclinique pour le département informatique sont largement suffisantes en matière d’approvisionnements et les personnels compétents. d. Evaluer les exigences des parties prenantes en matière de reporting : EDM05.01 Parmi les outils de mesures des performances de certaines activités sont les reporting financiers. Ces outils permettent aux parties prenantes de corriger les erreurs détectées et de planifier les actions à prendre. e. Piloter la communication des parties prenantes : EDM05.03 Le département informatique a essayé de développer des outils de mesures des performances. Ces outils sont destinés essentiellement aux parties prenantes. Il s’agit principalement des modules suivants : -
Reporting et analytique : il fournit les chiffres d’affaires du jour, de la semaine, du mois, des indices, des alertes et permet aux parties prenantes d’avoir une vue d’ensemble sur l’acticité ;
-
Business intelligence : il permet aux directeurs de projeter les indices de ses activités sur les prochaines années, il s’agit notamment d’un business plan.
2.2- Les risques liés au contrôle : Dans un milieu informatisé, le dispositif du contrôle interne se diffère par un milieu normal. La différenciation se concrétise par les contrôles qui doivent être mis en place vu la complexité des systèmes d’information. Le rôle de l’auditeur est d’apprécier les applications jouant un rôle significatif direct ou indirect
dans la production des comptes de l’entreprise.
2.2.1- Identification des risques et des contrôles clés Après identification des risques inhérents liés au système d’information, nous essayerons d’identifier les risques liés aux contrôles. La matrice des risques nous permettons d’identifier les risques et les principes contrôles mis en place. Les assertions sont : Sur. : Survenance, Exa. : Exactitude, Exh. : Exhaustivité, Sép. : Séparation des exercices et Imp. : Imputation comptable.
145 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée Risques
Minoration du chiffre d'affaires
Des charges d'approvisionne ments excessives
Rupture des stocks de médicament
Perte des immobilisations
Petre des stocks
Contrôles
Chaque patient est identifié par un numéro du dossier : la génération du n° dossier se fait automatiquement. Le responsable étage vérifie avec l'agent de facturation la facture. L'agent comptable vérifie mensuellement le chiffre d'affaire avec les dossiers patients traités durant le mois. La demande d'achat doit être exprimée par un service concerné avec une approbation du responsable de service. Les demandes d'achat sont prénumérotées. Aucune demande d'achat ne peut pas être effacée. L'annulation de la demande est faite seulement par le responsable avec explication. Le lancement du bon de commande se fait automatiquement après approbation du département achats. Le classement du bon de commande se fait automatiquement après la réception des marchandises. Présence de l'option du stock de sécurité. Calcul du délai d'approvisionnement se fait par le système Chaque immobilisation corporelle est identifiée par un code à barre généré par le système. L'imputation comptable de la facture fournisseur est faite que si l'immobilisation est déjà identifiée par un code barre. Un inventaire physique annuel des immobilisations avec le code à barre. Le transfert des immobilisations en réforme est géré par le GMAO. La gestion des stocks par code à barre n'est pas fonctionnelle. Le calcul de la quantité optimale à commander géré par le système ne fonctionne pas convenablement. Les bons de commande gérés automatiquement par le système. La gestion des stocks est faite à temps réel par le système. L'attribution des codes d'articles se fait automatiquement par le système. Edition par le système d'un état des bons de de commandes non réceptionnés.
Assertions Sur. Exh. Exa. Sép. Imp.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
146 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée Risques
Contrôles
Assertions Sur. Exh. Exa. Sép. Imp.
Le tableau de suivi des échéanciers créances clients est Recouvrement géré par le système. des créances Edition des tableaux de bord pour le suivi des créances (soldes clients par ancienneté). Le règlement des dettes fournisseurs se fait après approbation des factures par les personnes concernées. L'édition des certificats de la retenue à la source est automatique. La gestion des délais de paiement des dettes est Paiement automatique. dettes fournisseurs Edition par le système d'un état des bons de réceptions non encore facturées. Le tableau du suivi des échéances dettes fournisseurs est géré par le système. Chaque fiche fournisseur contient l'identité bancaire du concerné. Gestion des Une fiche d'immobilisation est gérée par le système. immobilisatio La gestion des stocks de pièce de rechange est faite par ns le système. Les outillages et vaisselleries sont gérés sur le système. Gestion de la Les demandes de repas aux patients et à leurs accompagnants sont gérées sur ClinSys. cuisine La demande de l'approvisionnement de la cuisine auprès de l'économat est gérée par ClinSys. La gestion de l'emploi du temps des personnels soignant Gestion des est faite par le système. ressources Le pointage des personnels est intégré avec le module humaines paie. Les dossiers des personnels sont gérés par le système.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
2.2.2- Tests de cheminement Les tests de cheminement consistent à identifier les processus et à documenter les étapes du processus. Nous avons choisi d’effectuer nos tests de cheminement pour les processus suivants : -
Le processus achat ;
-
Le processus gestion maintenance ;
-
Le processus gestion des stocks.
147 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
a. Le processus achats : Responsable
Diagrammes de flux
Surveillants / Chef cuisine / Responsable maintenance
1. Demande d’approvisionnements
Responsable achat
2. Identification de la demande d’approvisionnements
Responsable achat
3. Lancement de la commande
A
Description narrative 1. Le demandeur initial exprime son besoin au responsable du service demandeur. Le DA doit contenir les éléments suivants : - la désignation du service demandeur ; - la date de la demande ; - la date de livraison souhaitée ; - Les observations ; - Le code et la désignation des articles demandés ; - La quantité demandée ; 2. Dès la validation de la DA par le service demandeur, le responsable achat doit vérifier les quantités en stock pour les articles demandés - 1er cas : Si l’article demandé existe en stock, il valide la DA, qui sera traitée selon la procédure de « La sortie du stock par prélèvement interne » ; - 2ème cas : S’il y a carence au niveau de l’article demandé, il passe à l’étape « lancement de commande ». 3. Le responsable achat est tenu de respecter les procédures suivantes : - Consulte la liste des fournisseurs sur ClinSys ; - Envoie des demandes d’offre de prix ; - En cas d’indisponibilité des articles sollicités chez les fournisseurs figurant sur la liste des fournisseurs agréés, il cherche de nouveaux fournisseurs ; - Reçoit les offres des prix auprès des fournisseurs ; - Etablit un Tableau Comparatif des Offres ; - Choisit le fournisseur en se basant sur le Tableau Comparatif des Offres ; - Imprime le BC et appose son visa ; - Envoie le BC au fournisseur ;
148 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Responsable
Description narrative
Diagrammes de flux
4. Le magasinier doit : A
Magasinier
4. Réception de la commande
-
-
-
-
Bureau d’ordre
5. Réception de la facture
5. Le bureau d’ordre est tenu de respecter les procédures suivantes : -
-
B
Procéder à la réception de la commande ; Rapprocher le BL avec le BC ; Contrôler la conformité des articles livrés et réceptionnés en quantité et en qualité ; Apposer la date sur le BL et signe ; Etablir une fiche sanitaire de réception pour les articles nécessitant des contrôles spécifiques ; Transformer le BC en BR sur ClinSys tout en complétant : les renseignements afférents aux articles (quantité reçue…), les renseignements afférents à la réception (date de réception, n° de BL…), les vérifications effectuées (pesage, comptage, qualité, authenticité, conformité à la commande….) et les réserves signalées ; Rattacher le BR avec le BL et le BC ; Transmettre la liasse au responsable achat ;
Reçoit la facture (ou la facture d’avoir) auprès du fournisseur ; Contrôle la conformité de la facture avec les dispositions de l’article 18 du code de la TVA ; Enregistre la facture sur le registre des arrivées factures en l’attribuant un numéro interne et une date d’arrivée et procède à scanner la facture ; Remet les factures reçues au responsable achat ;
149 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Responsable
B
Responsable achat et service comptabilité
Description narrative
Diagrammes de flux
6. Saisie de la facture
6. Le responsable achat doit saisir la facture fournisseur sur ClinSys après avoir vérifié la liasse (BC, BL, BR et facture) puis il remet la liasse au service comptabilité. Dès la réception de la liasse auprès du responsable achat, le service comptabilité doit procéder aux étapes suivantes : -
-
-
Service financier
7. Paiement de la facture
Contrôle la conformité de la facture avec les différents documents composants la liasse ; Vérifie le calcul arithmétique des factures et s’assurer de la TVA facturée ; Vérifie les imputations comptables sur ClinSys ; Etablie le Bon à Payer Remet, la liasse (BàP, Facture, BC, BL, BR) au service financier.
7. Le service financier est tenu de respecter les procédures suivantes : -
-
-
Contrôle la conformité de la facture avec les documents de la liasse (BàP, Facture, BC, BL, BR) ; Vérifie les conditions de paiement (délais, remises, mode…) ; Etablit sur ClinSys une attestation de la retenue à la source au nom du fournisseur ; Etablit sur ClinSys un Bulletin de Règlement ; Attache Bulletin de Règlement avec le titre de règlement et l’attestation de la RAS ;
DA : Demande d’Achat, BL : Bon de Livraison, BR : Bon de Réception, BàP : Bon à Payer
150 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
b. Le processus gestion maintenance : Responsable
Diagrammes de flux
Responsable maintenance
1. Dresser une liste exhaustive des équipements
Responsable maintenance
2. Dresser un plan de maintenance préventive
Responsable maintenance
3. Préparation de l’intervention
A
Description narrative 1. Le responsable maintenance dresse une liste complète de tous les équipements, véhicules et matériel de la polyclinique sur ClinSys via l’interface GMAO. Il met à jour les informations y afférentes, en ajoutant des entretiens préventifs 2. Le responsable maintenance est tenu de respecter les procédures suivantes : - Dresse un plan de maintenance préventive relatif à toutes les échéances pour chaque élément du matériel sur ClinSys via GMAO ; - Ajoute une fiche « maintenance préventive » sur ClinSys, tout en indiquant les actions à entreprendre et leurs échéances ; - La planification des entretiens préventifs est basée sur : les recommandations du fabricant du matériel et du secteur biomédical, des tests d’évaluation initiaux du matériel, la détermination des prévisions (approvisionnement, moyens humains et matériel) et le suivi de l’historique des entretiens du matériel ; - Fixe des estimations de date pour les entretiens préventifs de chaque élément du matériel. 3. Le responsable maintenance prospecte « la liste des interventions préventives » sur ClinSys. Il programme la date et le lieu de l’intervention préventive en collaboration avec tous les intervenants et consulte la fiche « maintenance préventive interne » sur ClinSys. Le responsable imprime la fiche maintenance et la remet à l’intervenant désigné.
151 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Responsable
Description narrative
Diagrammes de flux
4. L’intervenant désigné pour effectuer les A
travaux reçoit la fiche maintenance. Il devra détailler, sur la fiche maintenance, les tâches d’inspection et de maintenance qu’il a
Intervenant désigné
4. Travaux d’entretien préventif interne
effectuées ainsi que toute autre observation importante. Après réalisation des travaux d’entretien préventif indiqués sur la fiche maintenance, il remet la fiche maintenance au
Responsable maintenance
Responsable maintenance
responsable maintenance. 5. Réception
6. Remise en service
5. Le responsable maintenance reçoit la fiche maintenance auprès de l’intervenant désigné. Il vérifie la conformité des travaux effectués et ceux demandés. 6. A la fin de cette phase de travaux d’entretien préventif, le responsable maintenance procède à la remise en service du bien pour exploitation.
c. Le processus gestion des stocks : Le processus de gestion des stocks contient quatre sous-processus : -
gestion des stocks au niveau de l’économat ;
-
gestion des stocks au niveau de la pharmacie centrale ;
-
gestion des stocks au niveau des pharmacies auxiliaires ;
-
destruction des stocks périmés.
Nous avons choisi d’auditer les sous processus suivants : -
gestion des stocks au niveau de l’économat ;
-
gestion des stocks au niveau des pharmacies auxiliaires ;
-
destruction des stocks périmés.
i.
Le sous-processus de gestion des stocks au niveau de l’économat :
152 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Responsable
Diagrammes de flux
Magasinier
1. Réception des articles
Responsable achat
Magasinier
2. Contrôles de cohérences entre les quantités stockées et les quantités reçues 3. Etiquetage des articles
A
Description narrative 1. Le magasiner doit procéder aux étapes suivantes : - Planifie les réceptions prévues ; - Imprime les bons de commande objet de la réception ; - Procède à la réception de la commande ; - Rapproche le BL avec le BC ; - Contrôle la conformité des articles livrés et réceptionnés en quantité et en qualité ; - Appose la date sur le BL et signe ; - Etablit une fiche sanitaire de réception pour les articles nécessitant des contrôles spécifiques ; - Transforme le BC en BR sur ClinSys tout en complétant : les renseignements afférents aux articles (quantité reçue…), les renseignements afférents à la réception (date de réception, n° de BL…), les vérifications effectuées (pesage, comptage, qualité, authenticité, conformité à la commande….) et les réserves signalées. - Transmet la liasse au responsable achat. 2. Le responsable achat reçoit la liasse (BC, BL, BR) et la rapproche tout en apposant sa signature sur le BL. En cas de réserves consignées sur le BR, il établit un bon de réclamation sur ClinSys. 3. Le magasinier est tenu de respecter les procédures suivantes : - Procède à la classification des articles objet de la réception ; - Consulte la liste des articles ; - Imprime les étiquettes de code à barre pour les nouveaux articles entrés en stock ; - Procède à l’étiquetage des nouveaux articles entrés en stocks.
153 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Responsable
Diagrammes de flux A
Magasinier
4. Rangement des articles
Magasinier
5. Enregistrement de la sortie de stock
ii.
Description narrative 4. Le magasinier doit procéder au rangement des articles au magasin selon un schéma préétablit précisant l’adresse des articles dans le magasin. L’adresse des stocks doit être sous la forme suivante soit : - Etagère : de 1 à n : présentant la nature des articles (boite, carton, fourniture, pièce détachée...) - Rayon : de A, B, C, D.… : présentant la fonction des articles (Produits alimentaires, Fournitures et produits d’entretien, Linge, Pièces de rechange, Fournitures de bureaux…) - Casier : de 1 à n présentant la désignation de l’article 5. Le magasinier Prospecte quotidiennement la liste des demandes d’approvisionnement validées par le responsable achat sur ClinSys et prépare les articles demandés. Il transforme la DA en Bon de prélèvement de stock en précisant : - la désignation du service demandeur ; - la date et l’objet du prélèvement ; - Le code et la désignation des articles servis.
Le sous-processus de gestion des stocks au niveau des pharmacies auxiliaires :
154 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Responsable Le pharmacien
1. Demande de sortie pour transformation en interne
Magasinier de la pharmacie
2. Phase de la transformation du produit
Service stérilisation
3. Transformation les produits chez le service stérilisation
Pharmacie de bloc / d’étage
4. Transformation les produits chez le service stérilisation
iii.
Description narrative
Diagrammes de flux
1. Le pharmacien établit un bon de sortie pour transformation sur ClinSys en précisant : - la date ; - les observations ; - le code et la désignation des articles à transformer ; - le service responsable de la transformation ; - le produit à obtenir après transformation. 2. Le magasinier de la pharmacie prépare les articles en stock objet de sortie et appose sa signature sur le bon pour transformation. Il veille à l’obtention de la décharge du service concerné (Service stérilisation / pharmacie de bloc ou d’étage) sur le bon de sortie. 3. Le service stérilisation est tenu de respecter les procédures suivantes : - Transforme le produit selon les caractéristiques demandées ; - Retourne le produit obtenu au magasinier de la pharmacie centrale. 4. La pharmacie de bloc ou de l’étage est tenue de respecter les procédures suivantes : - Transforme le produit selon les caractéristiques demandées ; - Etablit un bon d’entrée pour les produits transformés en interne ;
Le sous-processus de la destruction des stocks périmés :
155 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Responsable
Diagrammes de flux
Le directeur administratif et financier
1. Fixation du jour de la destruction
Le responsable du service concerné par le casse ou la péremption
2. Réassemblage du casse au niveau du service technique
Service comptabilité
3. Fin de la destruction
Description narrative 1. Le directeur administratif et financier établit une lettre de convocation des agents de l’administration fiscale et la communiquée au bureau d’ordre puis il prend un rendez-vous avec l’huissier de justice. 2. Le responsable du service concerné par le casse ou la péremption réassemble tout le casse au niveau du service technique tout en communiquant l’état au directeur administratif et financier pour vérification. 3. Le directeur administratif et financier communique le PV de l’huissier de justice avec les états des articles détruits au service de la comptabilité. Ce dernier procède à la passation les écritures comptables correspondantes.
2.2.3- Evaluation de la conception des contrôles Au niveau de cette phase nous allons traiter la conception des contrôles mis en place par la polyclinique pour les sous-processus suivants : -
Processus achats articles stockables ;
-
Processus réception de la commande ;
-
Processus réception et contrôle facture achats ;
-
Processus facturation ;
a. Processus achats articles stockables : Pour ce processus, nous évaluons la conception des contrôles applicatifs mis en place au niveau du système d’information. Cette évaluation nous permet de conclure si le système de contrôle interne est adéquat.
156 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Les cercles représentent chaque contrôle dans le processus.
Figure n°12 : Cartographie du processus achats articles stockables Chaque département doit créer une demande d’approvisionnement en passant par le module approvisionnement. Le service demandeur doit remplir convenablement les renseignements demandés par l’application à savoir : -
Département demandeur ;
-
Articles demandés ;
-
Quantités demandées ;
Après le remplissage de la demande, le système attribue un numéro pour cette demande (Contrôle C1). Le responsable vérifie ensuite si cette demande est correcte, complète et précise. Il s’attache notamment, sans que cette demande soit exhaustive, aux mentions des articles, de la quantité et du code du compte. S’il ne constate aucune erreur, il valide la demande d’achat. Si le responsable achats rejette la demande pour quelque raison que ce soit, le service demandeur 157 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
sera informé. Enfin, si les problèmes posés par la demande d’achat initiale sont résolus, l’acheteur valide la demande (Contrôle C2). Après la réception de la demande d’achat, le responsable achat doit vérifier les fiches des stocks relatives aux articles demandés. En fait, il ne peut pas déclencher la commande si les quantités stockées sont largement suffisantes pour répondre à la demande (Contrôle C3). Dans ce cas, le responsable achat édite un bon de sortie au magasinier afin de livrer les articles demandés (Contrôle C4). b. Processus réception de la commande :
Les cercles représentent chaque contrôle dans le processus.
Figure n°13 : Cartographie du processus réception de la commande 158 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Une planification de la date de réception doit être établie entre le responsable achat et le magasinier. Lors de la réception de commande, le magasinier doit vérifier la conformité du bon de commande avec le bon de livraison ainsi que la qualité des produits réceptionnés. Une fiche du stock des articles réceptionnés doit être remplie soigneusement par le magasinier (Contrôle C1). Après vérification de la conformité des produits, le magasinier établit un bon de réception (Contrôle C2). La validation du bon de réception est faite par le responsable achat (Contrôle C3). c. Processus réception et contrôle facture achats :
Les cercles représentent chaque contrôle dans le processus.
Figure n°14 : Cartographie du processus réception et contrôle facture achats Lors de la réception de la facture achats, le bureau d’ordre doit l’enregistrer au niveau du système d’information via l’interface bureau d’ordre (Contrôle C1). Après il transmet la 159 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
facture au responsable d’achat. Ce dernier doit vérifier la conformité de la facture avec le bon de la commande, bon de livraison et bon de réception, ensuite il saisit la facture (Contrôle C2). Avant la préparation du titre de paiement, le service comptabilité doit vérifier l’écriture comptable générée par le système ainsi que la conformité des procédures (Contrôle C3). d. Processus facturation :
Les cercles représentent chaque contrôle dans le processus.
Figure n°15 : Cartographie du processus facturation Le responsable facturation doit vérifier le dossier médical du patient (Contrôle C1). Il doit s’assurer du numéro d’admission du patient. En cas d’existence d’une remise exceptionnelle, l’agent de facturation doit transmettre le dossier au crédit manager (Contrôle C2) pour donner son approbation et clôture la facture (Contrôle C3). 160 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Après la clôture de la facture, le service facturation doit vérifier s’il existe une prise en charge de la facture. En cas de prise en charge de la facture par un tiers, il la transmettre au responsable recouvrement (Contrôle C4) si non au responsable de la caisse (Contrôle C5). Le responsable de la caisse après avoir recouvré le montant de la facture transmettre le dossier médical au responsable de prise en charge (Contrôle C6).
2.2.4- Evaluation du fonctionnement des contrôles Après évaluation du fonctionnement des contrôles, nous testons le fonctionnement de ces contrôles et sa capacité de déceler les erreurs. Les contrôles déjà identifiés au niveau de la phase de l’évaluation de conception des contrôles seront testés. N° contrôle
Objectifs du contrôle
Insuffisance
Risques
Niveau du risque Faible Modéré Elevé
1- Processus achats articles stockables
C1
C2
L'objectif est de contrôler l'édition des demandes d'achats par chaque département et d'attribuer des références spécifiques.
Un contrôle compensatoire entre le service demandeur et le responsable achats
Les demandes d’approvisionnement internes (DAI) émises par les services ne sont pas effectuées par les responsables habilités.
- Mauvaise description des besoins ; - Demande de matériel non nécessaire ou inopportun - Demande non autorisée ClinSys permet la passation de DAI pour - DAI non des articles « désactivés » satisfaisables - Liste des DAI non apurée - Erreur de choix d’articles L'onglet du choix du service demandeur - Des DAI erronées n'est pas verrouillé. ClinSys permet la passation du BC sans - Des marchandises que la DAI validée par le responsable non satisfaisantes à la DAI. achat. Existence des DAI rejetées non motivées - Abus d'utilisation du pouvoir par le par des causes de rejet. responsable achat. Des DAI non apurées.
X
X
X X
X
Difficultés du suivi des DAI.
X
161 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée N° contrôle
C3
C4
Objectifs du contrôle
L'objectif d'avoir des correctes respectent budget de polyclinique.
est BC et le la
L'objectif est de s'assurer que toutes les livraisons sont suivies par des bons de sortie.
Insuffisance Les commandes sont effectuées par différents intervenants (Econome, service technique, surveillants de bloc) L’existence de deux modèle de BC (carnet à souche / ClinSys)
Risques Mauvaise coordination des services
- Difficulté de suivi des commandesdoublons de numéros - Passer un bon de ClinSys permet l’ajout d’un bon de commande après commande avec une date antérieure. avoir reçu la ClinSys permet la modification de la date marchandise et sa du bon de commande. facture. ClinSys permet la modification de la - Achat non autorisé - Acceptation d’une quantité commandée. ClinSys permet l’ajout et la suppression quantité supérieure à celle commandée d’article à une commande validée. ClinSys permet la suppression d’un BC - Suite numérique non respectée validé. - Saut de numéro de BC. - Absence de suivi La liste des commandes aux fournisseurs des commandes non non satisfaites n’est pas apurée livrées La livraison des marchandises n'est pas Les stocks ne sont pas suivie automatiquement par des bons de à jour. sortie. Difficulté du suivi de Absence d'indication de la destination des consommation par service. marchandises au service concerné.
Niveau du risque Faible Modéré Elevé X X
X
X
X X
X
2- Processus réception de la commande
Les contrôles à effectuer à la réception ne sont pas formalisés.
C1
Contrôle de la conformité des marchandises réceptionnées.
Ignorance des contrôles nécessaires à la réception de la commande Le système ne permet pas : - Mauvaise évaluation l’établissement de bon de réclamations de la performance des aux fournisseurs fournisseurs le suivi des réclamations aux -Choix erroné du fournisseurs fournisseur - Défaut de suivi des réclamations aux fournisseurs La liste des commandes aux fournisseurs - Absence de suivi non satisfaites n’est pas apurée des commandes non livrées - Absence de planification des réceptions
X
X
X
162 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée N° contrôle
Objectifs du contrôle
C2
L'objectif est de s'assurer que les marchandises réceptionnées sont imputées au niveau du stock
C2
La validation des quantités réceptionnées
Insuffisance ClinSys permet la modification de la date d’un BL validé ainsi que la date de réception ClinSys permet la modification de la quantité livrée pour un BL validé ClinSys permet l’ajout et la suppression d’articles sur un BL validé ClinSys permet la suppression d’un BL validé Existence d’une commande sur ClinSys « BL/sans commande » Le retour de marchandise ne fait pas l’objet de bon de retour. Actuellement, il est matérialisé par un écrit, portant décharge du fournisseur, mentionnant les articles et quantités à retourner. Le ClinSys permet : - l’ajout de BR avec une date antérieure - la suppression des BR - la modification de la date des BR et des quantités retournées
Risques - Mauvaise gestion des stocks - Ignorance des vérifications nécessaires à la réception (BL, contrôle qualité…) - Difficulté de suivi des livraisons
Niveau du risque Faible Modéré Elevé
X
Achat non autorisé - Défaut de suivi des retours aux fournisseurs - Défaut de traçabilité
X
X
- Mauvaise gestion des stocks - Défaut de suivi des retours aux fournisseurs - Défaut de traçabilité
X
Le même fournisseur peut avoir des Mauvaise imputation des factures codifications différentes. fournisseurs.
X
3- Processus réception et contrôle facture achats
C1
C2
C3
L'objectif est de s'assurer que la totalité des factures fournisseurs ont été enregistrées au niveau du système.
La base des données des factures Mauvaise fournisseurs n'est pas synchronisée circularisassions de automatiquement au niveau du module l'information. achat
Rapprochement de Possibilité de saisie des factures n'ayant la conformité de la pas une liasse complète (BC, BL, BR). liasse BC, BL et BR. Les champs suivants ne sont pas verrouilles : Conformité du titre - la TVA de paiement - le taux de la retenue à la source - le RIB bancaire du fournisseur
X
Mauvaise suivie des commandes
X
Des titres à payer erronées. X
163 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée N° contrôle
Objectifs du contrôle
Insuffisance
Risques
Possibilité de changer la séquence numérique du numéro d'admission du patient. Double admission créée pour le même patient
Suite numérique non respecté.
4- Processus facturation
C1
C2
L'objectif est de s'assurer que la totalité des dossiers médicaux sont facturés.
les honoraires médecins qui sont pris en charge par la CNAM sont affichés sur la facture de vente et pris en compte dans le total facture.
C3
C5
X
d'affaires X
d'avoir des remises Remise non autorisée S'assurer que les Possibilité exceptionnelles sur des factures de vente remises sans passer par le responsable concerné exceptionnelles sont autorisées S'assurer que les factures sont conformes aux exigences fiscales
C4
Chiffre erronées
Niveau du risque Faible Modéré Elevé
X
Le fait de l’incorporer au niveau du total de la facture faussera les enregistrements comptables des créances clients et des dettes autrui
X
Possibilité de modifier le taux de la TVA Risque fiscal sur la cotation. Rien à signaler S'assurer que les Rien à signaler factures prises en charge par tiers sont recouvrées Les factures sont Possibilité de modifier la facture par le Des factures erronées. transmises au caissier responsable de la caisse
X
X
2.3- Synthèse de l’évaluation des risques L’auditeur doit identifier et évaluer le risque d’anomalies significatives : -
au niveau des états financiers ;
-
au niveau des assertions pour les flux d’opérations, les soldes de comptes et les informations fournies dans les états financiers.
Après avoir identifié les risques inhérents liés à l’activité de la polyclinique et les risques liés au contrôle, nous déterminerons le risque de non détection qui va constituer la base de détermination de la nature, du calendrier et de l’étendue des procédures d’audit. Nous considérons que les risques inhérents liés à l’activité de la polyclinique sont acceptables 164 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
vu que le secteur d’activité est contrôlé par l’Etat. Nous devons prendre une attention particulière pour les créances libyennes. Pour les risques liés au contrôle, vu le milieu informatisé dans lequel la polyclinique opère nous considérons que les risques liés au contrôle sont élevés. Nous devons mettre en place des tests substantifs pour collecter des éléments probants appropriés répondant aux risques détectés. Le tableau des matrices du risque d’audit nous indiquant l’étendue des travaux d’audit à appliquer. Risques
Assertions
Risque (O/N)
Niveau du Implication sur les procédures d‘audit risque (E, F, M)
Risque lié au Risque inhérent contrôle
1- Cycle immobilisations Exhaustivité Existence Exactitude
N N N
Valorisation
O
Exhaustivité
N
Existence
O
Exactitude Valorisation
N N
F
Des tests substantifs pour les équipements importés
F
Vérification des procédures physiques des immobilisations
d'inventaire
Risque lié au contrôle
Risque inhérent
2- Cycle clients/ventes Exhaustivité Existence Exactitude Valorisation Exhaustivité Existence Exactitude
N N N O N O N
E
Vérification des créances libyennes
F
Vérification soldes clients
Valorisation
O
E
Vérification de la recouvrable des créances libyennes et CNAM
Risque lié au Risque inhérent contrôle
3- Cycle achats /fournisseurs Exhaustivité Existence
N N
Exactitude
O
F
Vérification de l'exactitude des achats aux exigences légales
Valorisation Exhaustivité Existence Exactitude Valorisation
N O O O O
E E E E
Nous devons élargir les étendues de nos travaux d'audit pour ce cycle vu la défaillance du système contrôle.
165 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée Risques
Assertions
Risque (O/N)
Niveau du Implication sur les procédures d‘audit risque (E, F, M)
Risque lié au contrôle
Risque inhérent
4- Cycle stocks Exhaustivité Existence Exactitude Valorisation Exhaustivité
N O N N O
Existence
O
Exactitude
N
Valorisation
O
M
Vérification des conditions de stockage
E
Vérification que les stocks sont à jour Vérification des procédures d'inventaire physiques des stocks
M
M
Vérification de la méthode de valorisation des stocks
S'assurer que les exigences du cahier de charges sont respectées
Risque lié au Risque inhérent contrôle
5- Cycle personnel Exhaustivité
N
Existence
O
F
Exactitude Valorisation
O N
F
Exhaustivité
O
M
Existence Exactitude Valorisation
O N O
M
O O O O O O O O
F F F F F F F F
M
S'assurer que les heures supplémentaires sont autorisées S'assurer du respect de la convention sectorielle
Risque lié au contrôle
Risque inhérent
6- Cycle impôts et taxes Exhaustivité Existence Exactitude Valorisation Exhaustivité Existence Exactitude Valorisation
S'assurer du respect des obligations fiscales
S'assurer du respect des obligations fiscales
Section 3 : Les tests de validation Les tests de validation serrent à rendre le risque de non détection à niveau acceptable. Nous focalisons nos travaux sur le cycle achats – fournisseurs et ventes-clients. Ces tests regroupement plusieurs technique à savoir le contrôle des comptes et l’observation physique.
166 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
3.1- Le contrôle des comptes 3.1.1- Achats-fournisseurs L’objectif est de s’assurer les charges et produits inscrits au compte de résultat et provenant des opérations d’achats, résultent uniquement de l’enregistrement intégral des transactions réalisées dans l’exercice comptable considéré et que les comptes de tiers inscrits au bilan et provenant des opérations d’achats sont correctement évaluées et bien classifiés. Nous avons procédé aux vérifications suivantes :
Cycle
Liste des contrôles Conclusion Commentaires 1-Les derniers bons de réception de l’exercice ont donné lieu à AchatsRAS fournisseurs l’enregistrement de factures ou de provisions. 2-Les derniers bons de retour de l’exercice ont donné lieu à AchatsRAS fournisseurs l’enregistrement d’avoir ou de provisions pour avoirs à recevoir ; 3-Les dernières factures et les derniers avoirs comptabilisés Achatsfournisseurs correspondant à des mouvements de l’exercice. Achats4- Tous les achats de l'exercice ont été comptabilisés. fournisseurs 5- Rapprochement entre le total des achats édités par le module Achatsfournisseurs approvisionnement et la comptabilité.
RAS RAS RAS
Les conclusions que nous avons tiré que la totalité des achats sont correctement comptabilisées et évaluées.
3.1.2 Ventes-clients L’objectif est de s’assurer que les produits et charges inscrits au compte de résultat et provenant des opérations de ventes résultent uniquement de l’enregistrement intégral des transactions réalisées dans l’exercice comptable considéré et que les comptes de tiers inscrits au bilan et provenant des opérations de ventes sont correctement évaluées et bien classés. Nous avons procédé aux vérifications suivantes : Cycle Ventesclients Ventesclients Ventesclients
Liste des contrôles Conclusion 1- Identifier les comptes dont les libellés sont imprécis (ou RAS inexistants) ou toute autre anomalie apparente. 2- Pointer l’ensemble des comptes concernés avec le grand livre. 3- Examiner la ventilation du chiffre d’affaires par mois et identifier les variations anormales.
Commentaires
RAS RAS 167 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée Cycle
Liste des contrôles Conclusion Commentaires 4- Passer systématiquement en revue les avoirs émis après la clôture RAS et obtenir des explications pour les éléments significatifs.
Ventesclients
5- Vérifier que les créances exprimées en devises ont été
Ventesclients
correctement comptabilisées. 6- Vérifier l’annulation des provisions antérieurement constituées à
Ventesclients
raison des créances douteuses encaissées. 7- Vérifier le bien-fondé de la déductibilité fiscale (ou non) de la
Ventesclients
provision pour créances douteuses.
RAS RAS RAS
La totalité des ventes sont correctement comptabilisées et évaluées.
3.2- Observation physique L’observation physique est une technique, à haut niveau de force probante, qui est utilisée pour confirmer l’existence d’un actif. Les objectifs de l’observation de l’inventaire physique sont de déterminer : -
si les procédures mises en place par la polyclinique permettent de s’assurer de l’exhaustivité et de l’exactitude du comptage des stocks à la date de l’inventaire.
-
si les procédures mises en place ont été respectées durant l’inventaire
Le questionnaire suivant nous permet de renseigner sur le bon déroulement de l’inventaire physique de la polyclinique.
GENERAL 1-L’équipe de comptage a-t-elle pris connaissance des instructions d’inventaire avant le comptage ? 2-Ces instructions sont-elles adéquates pour assurer avec précision : Le comptage et l’enregistrement des quantités comptées L’identification des articles L’unité de mesure Les derniers bons de réception L’identification du stock obsolète ou à rotation lente 3-Les instructions d’inventaire sont-elles appliquées par le client ?
Oui Non N/A X X X X X X X
168 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
OBSERVATIONS PHYSIQUE 4-Avons-nous fait le tour du local pour nous familiariser avec les produits du client, les valeurs relatives des stocks et l’emplacement des articles ? 5-Les stocks sont-ils bien rangés pour faciliter le comptage 6-Les articles qui ne seront pas comptés sont-ils identifiés et mis à part. 7-Observe-t-on le comptage du client pour s’assurer de son exactitude ? 8-A-t-on sélectionné un échantillon qui a été compté par nos soins pour vérifier l’exactitude du comptage du client. 9-Les écarts ont-ils été analysés et apurés correctement et à notre satisfaction ? 10-Est-ce-que le contrôle du client et la vérification des comptages sont adéquats ? 11-Est-ce-qu’on a fait le tour du local à la fin pour nous assurer de l’exhaustivité du comptage ?
Oui Non N/A
METHODES DE COMPTAGE 12-Y-a-t-il un contrôle de l’émission et du retour des documents de comptage (étiquettes…)
Oui Non N/A
13-Avons-nous obtenu assez d’informations nous permettant de contrôler le comptage et les feuilles de comptage CUT-OFF 14-Avons nous obtenu assez d’informations (derniers BL, BS et factures) nous permettant la vérification subséquente du respect du principe du cut-off. OBSOLESCENCE 15-Les stocks obsolètes et à rotation lente ont-ils été identifiés et notés 16-Avons-nous obtenu suffisamment d’informations nous permettant de discuter avec le client à propos des articles significatifs.
X X X X X X X X
X X Oui Non N/A X Oui Non N/A X X
IMMOBILISATIONS Oui Non N/A 17-Avons-nous enquêté et enregistré le détail des acquisitions significatives et X sommes nous assurés qu’ils existent et qu’ils ont été mis en service. 18-Avons-nous vu des projets significatifs de maintenance et de réparation. X 19-Avons-nous enquêté et enregistré les machines significatives en excès ou X défectueuses.
169 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Conclusion de la troisième partie Dans le contexte actuel où les systèmes d’information sont prépondérants dans la majorité des processus des entreprises, il n’est plus possible de certifier les états financiers sans procéder à l’évaluation des systèmes d’information. La démarche des auditeurs devra donc être adaptée pour refléter cette nouvelle réalité. L’expert-comptable est appelé à renforcer ses connaissances par des connaissances techniques se rattachant aux technologies d’information et de communication. Il lui incombe d’adapter sa démarche d’audit en vue de prendre en considération le rôle de l’informatique dans l’appréciation des risques de l’entreprise. Dans ce cadre nous avons essayé de mettre en place la démarche d’audit proposée pour une mission d’audit financier d’une polyclinique privée. Nous avons constaté que l’auditeur doit allouer un budget du temps pour la phase de prise de connaissance du système d’information de la polyclinique en utilisant les processus de la gouvernance du système d’information du référentiel CobiT 5. En effet, après avoir prendre une connaissance satisfaisante sur le système d’information de la polyclinique, nous avons procédé à la vérification des contrôles applicatifs mis en place. Cette étape nous a permis de déterminer les risques liés au contrôle. Les contrôles applicatifs portent sur l’étendue des différents systèmes d’applications ou processus d’entreprise, dont les éditions de données, la séparation des fonctions, la balance des totaux de contrôle, la journalisation des transactions et les rapports d’erreurs 82. Les risques inhérents et les risques liés au contrôle que nous avons dégagé lors de la phase d’évaluation du système d’information de la polyclinique nous a permis de déterminer les tests substantifs qui devront être mis en place pour rendre le risque de non détection à un niveau acceptable. Dans le souci de bien clarifier la démarche d’audit proposée, il a été jugé utile d’annexer à ce mémoire un programme de travail détaillé fournit le descriptif des différentes diligences qui doivent être poursuivie par l’expert-comptable dans le cadre d’une mission d’audit des états financiers.
82
GTAG 8 : « Audit des contrôles applicatifs », juillet 2007.
170 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Conclusion générale Aujourd’hui, le monde économique est caractérisé par la libéralisation et la globalisation. Cette culture nouvelle s’est rapidement concrétisée par l’utilisation des réseaux informatiques qui permettent la transmission et la réception des informations d’une manière instantanée. Comme tout changement, cette évolution entraîne la modification des modèles de fonctionnement des entreprises. Pour être compétitives dans l’environnement économique actuel, les entreprises tunisiennes sont appelées à opérer de profondes mutations tant au niveau de leurs stratégies qu’au niveau de la mise à niveau de leurs modes de gestion. Le processus de changement qui est enclenché par suite de ce nouveau contexte, incite les entreprises à mieux maîtriser leurs systèmes d’information afin de gagner en performance. En effet, les systèmes d’information sont devenus des leviers stratégiques qui accompagnent les entreprises dans la phase de leur mise à niveau en leur permettant d’être plus performantes et réactives. Ceci implique une rapidité et une efficacité dans le traitement de l’information, ce qui conduit, le plus souvent, à une refonte totale du système d’information et une redistribution des activités et des tâches entre les différentes structures de l’organisation. La dépendance des entreprises envers l’information et envers les systèmes qui la véhiculent s’accroit avec le développement des technologies. Il est évident que les systèmes d’information permettent à l’entreprise d’être performante et réactive, mais la mise en place de ces systèmes s’accompagne, le plus souvent, par une refonte des processus de l’organisation, ce qui pourrait se traduire par la suppression de certains contrôles clés dans la gestion des risques de l’entité. La forte intégration des systèmes d’information engendre de nouveaux risques. Il y a lieu de noter que les risques inhérents aux systèmes d’information augmentent avec l’ouverture de ces derniers aussi bien en externe avec l’internet qu’en interne à travers les outils d’intranet. Les entreprises doivent être conscientes des risques liés aux systèmes d’information. Elles sont tenues, par conséquent, de mettre en place les outils et les procédures de contrôle adéquats permettant d’empêcher la survenance de ces risques ou de limiter leur impact. Face à ces risques induits par les systèmes d’information (intégration, ouverture, automatisation des contrôles, …etc.), les organismes professionnels de l’audit comptable et financier ont dû réviser leurs normes et méthodologies d’audit de façon à prendre en compte 171 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
les enjeux créés par ce nouveau contexte. Dans le cadre de ce travail, nous avons étalé les spécificités de la démarche d’audit dans un milieu informatisé et les risques liés à l’informatisation des entités. Pour répondre à ces nouveaux risques, certains cabinets d’audit ont adopté de nouvelles démarches d’audit qui reposent largement sur l’évaluation des risques et des contrôles informatiques. Ces nouvelles approches imposent aux auditeurs de comprendre, évaluer et tester le contrôle interne relatif à l’environnement de la fonction informatique et aux systèmes gérant les principaux processus des activités de l’entreprise. Dans ce contexte, nous avons choisi le référentiel CobiT dans sa version 5 comme un référentiel de contrôle pour aider les auditeurs à évaluer le système de contrôle interne. Ce référentiel peut s’appliquer à : -
La sécurité de l’information ;
-
La gestion des risques ;
-
La gouvernance et la gestion du Système d’Information de l’entreprise ;
-
Les activités d’audit ;
-
La conformité avec la législation et la règlementation ;
-
Les opérations financières ou les rapports sur la responsabilité sociale de l’entreprise.
C’est à l’aide du référentiel CobiT version 5 que l’auditeur financier peut mettre en place des diligences adéquates lui permettant d’identifier et évaluer les risques liés au système d’information d’une entité. La démarche d’audit que nous avons proposé met principalement l’accent sur : -
La prise de connaissance de l’environnement informatique de l’entité : c’est une étape nécessaire pour la planification. Nous avons utilisé les processus de la gouvernance du référentiel CobiT afin de comprendre le style du management de la direction du département informatique et le rôle qui joue ce dernier au niveau de la stratégie générale de l’entité ;
-
La description du système d’information de l’entité : nous avons identifié les processus métiers et les flux de traitement des données ainsi que les applications de base et les principales interfaces IT qui génèrent les données financières et comptables ;
-
L’identification des risques inhérents relatifs à l’environnement informatique de l’entité : cette étape consiste à identifier les principales exigences réglementaires et concurrentielles qui produisent des risques à l’entité. L’auditeur peut utiliser les processus du référentiel CobiT 5 pour cerner les risques inhérents ; 172 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
-
L’indentification des risques liés au contrôle : lors de la description du système d’information l’auditeur a obtenu une compréhension assez satisfaisante lui permettent d’identifier les risques potentiels liés à certaines applications ainsi que les contrôles clés mis en œuvre. Chaque contrôle identifié doit être testé pour s’assurer qu’il fonctionne convenablement et permet de déceler les risques en temps opportun. L’évaluation des contrôles clés nous a permis d’identifier les risques liés au contrôle.
Après avoir identifié les risques inhérents et les risques liés au contrôle, l’auditeur est tenu de mettre en œuvre des procédures adéquates pour répondre aux risques significatifs détectés et ramener les risques à un niveau acceptable. A ce stade, l’expert-comptable est appelé à s’allier, de plus en plus, avec les exigences d’entreprises afin d’améliorer le service clients, la flexibilité et la qualité et de gagner de nouveaux parts de marché. Ainsi, la profession qui a toujours été le conseiller des chefs d’entreprise doit s’orienter de plus en plus vers l’accompagnement des entreprises pour la maîtrise de l’implémentation des Nouvelles Technologies d’Information impactant les procédures de travail des entreprises. Pour affronter ce nouveau défi, la profession doit agir en amont lors de la formation de l’expertcomptable et en aval lors de l’exécution de son métier, à travers notamment une certification accordée par l’Ordre des Experts Comptable en Tunisie (OECT) aux professionnels habilités à exercer ce genre de missions. En amont, ne serait-il pas opportun d’augmenter le nombre de modules et d’heures alloués aux NTIC et aux référentiels internationaux de bonnes pratiques ainsi qu’au SI dans la formation des étudiants en expertise comptable ? En aval, face à ce vide de normalisation (absence de normes professionnelles en la matière), n’est-il pas nécessaire que l’OECT œuvre pour que ce segment de métier ne nous échappe techniquement et commercialement ?
173 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Bibliographie OUVRAGES
YVON HOULE (2012), « Les contrôles comptables et la vérification en milieu informatisé », Edition les presses de l’université Laval.
FAHD M.S ALDUAIS (2013), « Le système d’information comptable automatisé », Les éditions du net.
JEAN PAUL LAMY (1996), « Audit et certification des comptes en milieu informatisé », les éditions d'organisation.
HUGUES ANGOT- CHRISTIAN FISCHER- BAUDOUIN THEUNISSEN (2004), « Audit comptable, audit informatique », Edition de Boeck.
DIDIER HALLEPEE (2013), « Conduite et maîtrise de l’audit informatique (qualité, sécurité informatique) », Edition carrefour du net.
MOISAND DOMINIQUE, GARNIER DE LABAEYRE (2010), « CobiT - Pour une meilleure gouvernance des systèmes d'information », Edition EYROLLES.
Compagnie Nationale des Commissaires aux Comptes, « prise en compte de l’environnement informatique et incidence sur la démarche d’audit », CNCC 2003.
VINCENT LACOLARE (2010), « Pratiquer l’audit à la valeur d’ajoutée », Edition AFNOR.
MARIE BIA-FIGUEIREDO, YVES GILLETTE, CHANTAL MORLEY (2011), « Processus métiers et S.I. - Gouvernance, management, modélisation », Edition DUNOD.
ISACA (2012), « COBIT 5 : Un référentiel orienté affaires pour la gouvernance et la gestion des TI de l’entreprise ».
Claude GRENIER et Camille MOINE « Construire le système d’information de l’entreprises », Edition FOUCHER 2003.
THESES ET MEMOIRES
Mohamed Lassâad BORGI (2001), « l’évolution des technologies de l’information et de la communication : impact sur l’audit financier », Mémoire d’expertise comptable.
Jihed BESGHAIER EPOUSE LEHBAIEL (2006), « Incidences de l’évolution des technologies de l’information sur les risques d’audit et proposition d’une démarche adaptée de la sécurité informatique », Mémoire d’expertise comptable. 174 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Mohamed Ilyes Ghrab (2009), «Audit de la sécurité des systèmes d’information », Mémoire d’expertise comptable.
Bilel Errahmouni (2011), « La sécurité du système d’information : les enjeux de l’expert-comptable », Mémoire d’expertise comptable.
Mohamed Amin Belhadj (2012), « L’adoption du référentiel COBIT V4.1 pour la mise en place d’un Progiciel de Gestion Intégré », Mémoire d’expertise comptable.
Sana KTAT (2006), « L’impact des nouvelles technologies de l’information sur la performance des auditeurs : application à un gestionnaire électronique de fichiers dans une firme internationale d’audit », thèse de doctorat.
Bruno Claude pierre (2010), « Conceptualisation de la Gouvernance des systèmes d’Information : Structure et Démarche pour la Construction des Systèmes d’Information de Gouvernance », Pour l’obtention du titre de : docteur de l’université Paris IPANTHEON – SORBONNE.
ARTICLES, REVUES ET PUBLICATIONS
L’Association Française de l'Audit et du conseil Informatiques (juillet 2008), « Contrôle interne et système d’information », 2ème édition.
LAZHAR EL ORF (2014), « Différenciation et intégration des systèmes comptables : Une étude typologique », HAL archives.
Thierry Bergès (2011), « Les nouvelles technologies de l’information et de la communication : un nouveau paradigme technologique pour les auditeurs financiers », HAL archives.
Nicolas Mayer, Jean-Philippe Humbert (Avril-Mai 2006), « La gestion des risques pour les systèmes d’information », Article paru dans le magasine MISC n°24.
Gerald Brunetto, Véronique Massot (2010), « Quels sont les impacts des PGI sur le processus d’audit ? Le cas de l’auditeur légal », HAL archives.
Conseil supérieur de l’ordre des experts comptable (), « Technologies d’information et de communication en comptabilité et reporting : Méta modèle conceptuel »
Monique Garsoux (2005), « CobiT – une expérience pratique », La revue n°78- Mars 2005.
Hicham El Achgar (2013), « Gouvernance de la sécurité des systèmes d’information », ANSI.
Claude Mauvais (2001), « Le modèle COBIT : Management des technologies de l'information par les processus », la lettre d’ADELI n° 43 – Avril 2001. 175 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Hendrik Ceulemans (2008), « Mise en œuvre de CobiT », la lettre d’ADELI n° 72-été 2008
Marc-André Léger (2015), « Utilisation de COBIT 5 for risk », www.leger .ca, publié le 15 septembre 2015.
ANSI (2014), « Comparatif des méthodes d’audit et d’analyse des risques de sécurité des systèmes d’information », ANSI publié le 26 septembre 2014.
Nabil Messabia, Abdelhaq Elbekkali, Michel Blanchette, « Le Modèle du Risque d’Audit et la complexité des Technologies de l’Information : une Etude Exploratoire », Journal Of Global Business Administration (JGBA) – Décembre 2014 Volume 6, Number1.
The institute of internal auditors : « Global Technology Audit Guide n°1 : Les contrôles et le risque des systèmes d’information », 2ème édition.
The institute of internal auditors : « Global Technology Audit Guide n°4 : Management de l’audit des systèmes d’information », mars 2006.
The institute of internal auditors : « Global Technology Audit Guide n°8 : Audit des contrôles applicatifs », juillet 2007.
The institute of internal auditors : « Global Technology Audit Guide n°10 : gestion de la continuité de l’activité», juillet 2008.
The institute of internal auditors : « Global Technology Audit Guide n°14 : Management de l’audit des systèmes d’information », 2ème édition, janvier 2013.
NORMES ET REFERENTIELS
Aject : « manuel d’audit », décembre 2015.
Hechmi ABDELWAHED : « guide pour l’utilisation des normes internationales d’audit dans l’audit des petites et moyennes entreprises », décembre 2007.
ISACA et AFAI : « guide d’audit des applications informatiques », novembre 2008.
La norme ISA 315 « connaissances de l’entité et de son environnement aux fins de l’identification et de l’évaluation du risque d’anomalies significatives ».
La norme ISA 330 « réponse de l’auditeur à l’évaluation des risques ».
La norme ISA 500 « éléments probants ».
La norme ISA 520 « procédures analytiques ».
LOIS ET REGLEMENTS
Loi n° 91-63 du 29 juillet 1991, relative à l'organisation sanitaire. 176 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Loi n° 2001-94 du 7 août 2001, relative aux établissements de santé prêtant la totalité de leurs services au profit des non-résidents.
Décret n° 2002-545 du 5 mars 2002, fixant les conditions des prestations de services pouvant être fournies aux résidents par les établissements de santé prêtant la totalité de leurs services au profit des non-résidents.
Décret n° 92-1208 du 22 juin 1992, fixant les attributions, la composition et les modalités de fonctionnement du comité national des établissements sanitaires privés, tel que modifié par le décret n° 98-740 du 30 mars 1998 et le décret n° 2001-1080 du 14 mai 2001.
Décret n° 93-1156 du 17 mai 1993, fixant les conditions de désignation et les obligations des directeurs des établissements sanitaires privés.
Décret n° 93-1915 du 31 août 1993, fixant les structures et les spécialités ainsi que les normes en capacité locaux, équipements et personnels des établissements sanitaires privés, tel que complété et modifié par le décret n° 99-2833 du 21 décembre 1999 et le décret n° 2001-1082 du 14 mai 2001 et le décret n°2010-2200 du 6 septembre 2010.
Décret n° 98-793 du 4 avril 1998, relatif aux établissements sanitaires privés tel que modifié et complété par le décret n°2009-1926 du 15 juin 2009.
Arrêté du Ministre de la santé publique du 28 mai 2001, portant approbation de cahier des charges relatif aux établissements sanitaires privés, tel que modifié et complété par l’arrêté du 24 décembre 2007.
177 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Table des matières Introduction générale ............................................................................................................... 8 PREMIERE PARTIE : Spécificités de la démarche d’audit dans un milieu informatisé .................................................................................................................................................. 13 Introduction de la première partie ....................................................................................... 14 1er chapitre : Les technologies d’informations et leurs impacts sur la démarche d’audit .................................................................................................................................................. 15 Section 1 : Les caractéristiques du système comptable dans un milieu informatisé .... 17 1.1 - La structure organisationnelle............................................................................... 17 1.2 - La nature des traitements ...................................................................................... 18 1.3 – Les Conséquence de l’évolution des techniques informatiques ......................... 19 Section 2 : Les risques liés à l’informatique ..................................................................... 20 2.1. Les risques généraux................................................................................................ 22 2.1.1- Les risques liés aux ressources humaines ....................................................... 24 2.1.2- Les risques liés à la dématérialisation des rapports humains ....................... 24 2.1.3- Les risques stratégiques .................................................................................... 25 2.1.4- Les risques liés au contrôle des systèmes d’information ............................... 25 2.1.5- Les risques éthiques et juridiques ................................................................... 25 2.1.6- Les risques liés au patrimoine informatique .................................................. 26 2.1.7- Les risques marketing....................................................................................... 27 2.1.8- Les risques périphériques................................................................................. 27 2.2. La maîtrise des risques ............................................................................................ 28 2.2.1- La mise en place d’une politique claire et coordonnée .................................. 28 2.2.2- L’organisation et management ........................................................................ 29 2.2.3- Les contrôles physiques et environnementaux ............................................... 30 2.2.4- Les contrôles des logiciels systèmes ................................................................. 31 2.2.5- Le contrôle de l’acquisition et de développement des systèmes. ................... 31 Section 3 : Impact de l’informatique sur la conduite d’une mission d’audit ................ 32 3.1. Les compétences requises pour l’auditeur financier ............................................ 32 3.1.1- La formation des auditeurs aux techniques informatiques........................... 33 3.1.2- La composition d’une équipe mixte ................................................................. 33 3.1.3- Le recours à des spécialistes externes .............................................................. 33 3.2. La méthodologie d’audit financier ......................................................................... 35 3.2.1- Orientation et planification de la mission ....................................................... 35 178 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
3.2.2- Evaluation des risques ...................................................................................... 35 Conclusion ............................................................................................................................... 36 2ème chapitre : CobiT un référentiel d’audit des systèmes d’information ......................... 37 Section 1 : Présentation du référentiel .............................................................................. 37 1.1- Historique du CobiT ................................................................................................ 37 1.2- L’apport du CobiT en matière de gouvernance de TI ......................................... 39 Section 2 : Les processus du CobiT 5 ................................................................................ 40 2.1- Processus de gouvernance des TI ........................................................................... 42 2.1.1- Définir et maintenir le cadre de gouvernance : EDM1 ................................. 42 2.1.2- Assurer l'optimisation de la valeur : EDM2 ................................................... 42 2.1.4- Assurer l'optimisation des ressources : EDM4 .............................................. 43 2.1.5- Assurer la transparence des parties prenantes : EDM5................................ 43 2.2- Processus de gestion des IT ..................................................................................... 43 2.2.1- Aligner, Planifier et Organiser : APO............................................................. 44 2.2.2- Bâtir, Acquérir et Implanter : BAI ................................................................. 47 2.2.3- Livrer, Servir et Soutenir : LSS....................................................................... 50 2.2.4- Surveiller, Evaluer et Mesurer : SEM ............................................................ 51 Section 3 : CobiT pour l’audit .......................................................................................... 52 3.1- L’apport du CobiT .................................................................................................. 52 3.2- Le contrôle interne ................................................................................................... 53 3.3- Le pilotage stratégique ............................................................................................ 54 3.4- la sécurité .................................................................................................................. 54 Section 4 : Les limites du référentiel CobiT ..................................................................... 55 Conclusion de la première partie .......................................................................................... 57 DEUXIEME PARTIE : Proposition d’une démarche d’audit dans un milieu informatisé .................................................................................................................................................. 58 Introduction de la deuxième partie ....................................................................................... 59 1er chapitre : Etudes comparatives avec les normalisations internationales .................... 60 Section 1 : Les normes françaises ...................................................................................... 60 1.1- Cadre juridique et fiscal.......................................................................................... 60 1.2- Synthèse des recommandations .............................................................................. 61 Section 2 : Les normes américaines .................................................................................. 64 2.1- Cadre juridique........................................................................................................ 64 2.2- Synthèse des recommandations .............................................................................. 65 Section 3 : Les normes IFAC ............................................................................................. 66 179 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
3.1- Cadre juridique........................................................................................................ 67 3.2– Synthèse des recommandations de l’IFAC ........................................................... 67 2ème chapitre : Proposition de la démarche d’audit dans un milieu informatisé .............. 68 Section 1 : Planification de la mission ............................................................................... 69 1.1- Prise de connaissance de l’entité : .......................................................................... 69 1.1.1- Prise de connaissance des affaires du client ................................................... 69 1.1.2- Prise de connaissance de l’environnement informatique .............................. 70 1.2- Examen analytique (préliminaire ou global) ......................................................... 71 1.3- Description du système d’information de l’entité ................................................. 73 1.3.1- Identification des processus métiers et des flux de traitement des données 73 1.3.2- Identification des applications de base et des principales interfaces IT pertinentes .................................................................................................................... 75 1.5- Etablissement du plan de mission .......................................................................... 79 Section 2 : Evaluation des risques ..................................................................................... 80 2.1- Les risques inhérents : ............................................................................................. 81 2.1.1- Les risques inhérents liés aux affaires du client ............................................. 81 2.1.2. Les risques inhérents liés à l’environnement informatique........................... 82 2.2- Les risques liés au contrôle : ................................................................................... 85 2.2.1- Identification des risques et des contrôles clés ............................................... 85 2.2.2- Tests de cheminement ....................................................................................... 87 2.2.3- Evaluation de la conception des contrôles ...................................................... 89 2.2.4- Evaluation du fonctionnement des contrôles .................................................. 91 2.3- Synthèse de l’évaluation des risques ...................................................................... 93 Section 3 : Les tests de validation ...................................................................................... 94 3.1- Le contrôle des comptes .......................................................................................... 95 3.1.1- Immobilisations incorporelles .......................................................................... 95 3.1.2- Immobilisations corporelles ............................................................................. 95 3.1.3- Titres de Participation et Créances Rattachées à des Participations ........... 97 3.1.4- Autres immobilisations financières ................................................................. 97 3.1.5- Stocks ................................................................................................................. 98 3.1.6- Ventes-clients ..................................................................................................... 99 3.1.7- Trésorerie ......................................................................................................... 100 3.1.8- Emprunts et dettes assimilés .......................................................................... 101 3.1.9- Achats-fournisseurs ........................................................................................ 101 3.1.10- Capitaux propres, réserves et subventions ................................................. 102 180 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
3.1.11- Provisions pour risques et charges .............................................................. 102 3.1.12- Débiteurs et créditeurs divers et autres ...................................................... 103 3.1.13- Compte de résultat ........................................................................................ 103 3.1.14- Paie-personnel ............................................................................................... 104 3.1.15- Etat : impôts et taxes..................................................................................... 104 3.1.16- Engagements hors bilan ............................................................................... 104 3.2- Observation physique ............................................................................................ 105 Section 4 : Synthèse des travaux ..................................................................................... 105 Conclusion de la deuxième partie ....................................................................................... 107 TROISIEME PARTIE : L’application de la démarche proposée pour une mission d’audit financier d’une polyclinique .................................................................................. 108 Introduction de la troisième partie ..................................................................................... 109 1er chapitre : Présentation générale de la polyclinique ..................................................... 111 Section 1 : Présentation du secteur d’activité ................................................................ 111 1.1- Contexte économique : .......................................................................................... 111 1.2- Répartition des revenus et niveau de pauvreté ................................................... 112 1.3- Diagnostic du secteur............................................................................................. 113 1.3.1- Les infrastructures .......................................................................................... 113 1.3.2- les ressources humaines .................................................................................. 115 1.3.3- La formation .................................................................................................... 115 1.3.4- La Technologie médicale et les équipements lourds .................................... 116 1.4- Analyse SWOT du secteur santé privé ................................................................ 117 Section 2 : Régime juridique............................................................................................ 118 2.1- Les textes juridiques :............................................................................................ 118 2.2- Définition juridique de la polyclinique : .............................................................. 119 2.3- Le cahier des charges............................................................................................. 119 2.3.1- Les dispositions générales............................................................................... 120 2.3.2- Gestion du personnel ...................................................................................... 121 2.3.3- Approvisionnements des médicaments ......................................................... 121 Section 3 : Régime fiscal ................................................................................................... 121 3.1- Les incitations financières ..................................................................................... 121 3.2- Les avantages fiscaux ............................................................................................ 122 3.3- En matière de la TVA ............................................................................................ 123 3.3.1- La TVA collectée ............................................................................................. 123 3.3.2- La TVA déductible .......................................................................................... 125 181 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
3.4- En matière droit d’enregistrement....................................................................... 125 3.5- En matière TCL ..................................................................................................... 126 3.6- En matière TFP et FOPROLOS ........................................................................... 126 3.7- Autres obligations fiscales ..................................................................................... 126 3.7.1- En matière de la retenue à la source ............................................................. 126 3.7.2- En matière de facturation .............................................................................. 127 2ème chapitre : l’application de la démarche d’audit proposée ........................................ 127 Section 1 : La planification de la mission ....................................................................... 128 1.1- Prise de connaissance de la polyclinique ............................................................. 128 1.1.1- Prise de connaissance des affaires de la polyclinique .................................. 128 1.1.2- Prise de connaissance de l’environnement informatique ............................ 130 1.2- Examen analytique (préliminaire ou global) ....................................................... 132 1.2.1- Chiffres d’affaires : ......................................................................................... 133 1.2.2- Résultats et rendement : ................................................................................. 133 1.2.3- Investissements :.............................................................................................. 134 1.2.4- Flux de trésorerie : .......................................................................................... 134 1.2.5- Les conclusions de l’examen analytique : ..................................................... 135 1.3- Description du système d’information de la polyclinique .................................. 135 1.3.1- Identification des processus métiers et des flux de traitement des données ..................................................................................................................................... 135 1.3.2- Identification des applications de base et des principales interfaces IT pertinentes .................................................................................................................. 138 1.4- Prise en compte des risques .................................................................................. 139 1.5- Etablissement du plan de mission ........................................................................ 140 Section 2 : Evaluation des risques ................................................................................... 141 2.1- Les risques inhérents : ........................................................................................... 141 2.1.1- Les risques inhérents liés aux affaires de la polyclinique ............................ 141 2.1.2. Les risques inhérents liés à l’environnement informatique......................... 143 2.2- Les risques liés au contrôle : ................................................................................. 145 2.2.1- Identification des risques et des contrôles clés ............................................. 145 2.2.2- Tests de cheminement ..................................................................................... 147 2.2.3- Evaluation de la conception des contrôles .................................................... 156 2.2.4- Evaluation du fonctionnement des contrôles ................................................ 161 2.3- Synthèse de l’évaluation des risques .................................................................... 164 Section 3 : Les tests de validation .................................................................................... 166 3.1- Le contrôle des comptes ........................................................................................ 167 182 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
3.1.1- Achats-fournisseurs ........................................................................................ 167 3.1.2 Ventes-clients .................................................................................................... 167 3.2- Observation physique ............................................................................................ 168 Conclusion de la troisième partie ........................................................................................ 170 Conclusion générale ............................................................................................................. 171 Bibliographie......................................................................................................................... 174 Table des matières ................................................................................................................ 178 LES ANNEXES .................................................................................................................... 184
183 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
LES ANNEXES
184 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Annexes : Programme du travail : -
A-1 : Détermination du seuil signification
-
A-2 : Procès-verbal des discussions et entretiens avec l’équipe d’audit
-
A-3 : Prise de connaissance de l’entité et de son environnement
-
A-4 : Prise de connaissance de l’environnement informatique de l’entité
-
A-5 : Analyse des risques d’anomalies significatives
-
A-6 : Stratégie global d’audit
185 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
A-1 : Détermination du seuil signification Département Audit
Cabinet XYZ
Année : 2017
Nom du client
Exercice
Détermination du seuil de signification Objectif
ISA
L’objectif est de déterminer le seuil de signification de manière appropriée dans le cadre de la planification et l’exécution de l‘audit. Déterminer le seuil de signification implique un jugement professionnel et peut se faire sur la base de critères quantitatifs ou qualitatifs.
320
L’auditeur doit déterminer un seuil de signification pour la réalisation des travaux, c’est-à-dire un seuil de signification plus faible (que le seuil de signification global) afin de tenir en compte la probabilité que le total des anomalies qui prises individuellement sont non significatives (en fonction du seuil de signification global) fasse que les comptes annuels soient manifestement erronés. Identification des utilisateurs principaux des comptes annuels
Utilisateurs
Commentaires
a) b) c) d) e) Description de la nature et de l’impact de considérations qualitatives (p. ex. : tendance de profitabilité, règlementations, sensibilités particulières, respect des contrats de prêt, attente des utilisateurs, etc.) Nature
Impact sur le programme d’audit
a) b) c) d)
186 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée Collecte des informations pour déterminer le seuil de signification global Les données
Exercice actuel (N)
Dernier exercice (N-1)
Exercice précédent (N-2)
Chiffres d’affaires Résultat après impôt Situation nette Total bilan Autres critères Seuil de signification antérieur
Fixation du seuil de signification global quantitatif Entité
Base
Pourcentages
Chiffres d’affaires
1%
Situation nette
1%
Résultat après impôt
2%
Total bilan
Seuil de signification
Commentaires
0.5%
Autre (à décrire) Fixation du seuil de signification global qualitatif Catégories
Eléments considérés
Seuil de signification
Flux de transactions Soldes des comptes Informations à fournir dans l’annexe aux comptes annuels Sur la base de ce qui est mentionné ci-dessus, le seuil de signification global préalable est de ___________ TND. Expliquer les raisons ci-dessous :
187 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée Seuil de signification global final (après l’achèvement des travaux) Existe-t-il des informations additionnelles portées à votre connaissance qui diffèrent significativement des informations sur lesquelles le seuil de signification global initial et le programme d’audit ont été basés ? OUI NON Si oui, expliquer les raisons :
Lorsque le seuil de signification global a été modifié, expliquer l’impact sur la nature, l’étendue et le calendrier des procédures d’audit prévues (p. ex., rubrique significative des comptes annuels, taille des échantillons, etc.).
Préparé par
Date
Revu par l’associé responsable de la mission
Date
Revu par le responsable contrôle qualité
Date
188 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
A-2 : Procès-verbal des discussions et entretiens avec l’équipe d’audit Département Audit
Cabinet XYZ
Année : 2017
Nom du client
Exercice
Procès-verbal des discussions et entretiens avec l’équipe d’audit Objectif
ISA
L’objectif est de documenter les discussions qui ont eu lieu au sein de l’équipe d’audit. Les membres de l’équipe d’audit affectée à la mission doivent discuter entre eux de la possibilité que les comptes annuels contiennent des anomalies significatives. La communication entre les membres de l’équipe d’audit est nécessaire dans toutes les phases de la mission afin de s’assurer que tous les problèmes ont été pris en considération de manière appropriée. L’objectif est d’échanger les connaissances en fonction de l’expérience des membres de l’équipe d’audit au sujet de la connaissance de l’entité, l’identification des risques, leur évaluation, les réponses à ces risques.
315 240
Domaines de discussions
Commentaires et réponses
initiales
Données de l’audit précédent (nature de l’entité, contrôle interne, type d’opinion d’audit, risques significatifs, problèmes particuliers, etc.) Risques significatifs Réponses aux risques Continuité d’exploitation Risque de fraude Changements (nouvelle activité, nouvelle règlementation, nouvelle direction, etc.) Définition des rôles des membres de l’équipe d’audit : Associé responsable de la mission Responsable contrôle qualité Autres Préparé par
Date
Revu par l’associé responsable de la mission
Date
Revu par le responsable contrôle qualité
Date
189 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
A-3 : Prise de connaissance de l’entité et de son environnement Département Audit
Cabinet XYZ
Nom du client
Année : 2017 Exercice
Connaissance de l’entité et de son environnement Objectif
ISA
L’objectif est d’obtenir (ou de mettre à jour) et de documenter la connaissance de l’entité et de son environnement afin de fournir une base pour l’identification et l’évaluation des risques d’anomalies significatives au niveau des comptes annuels et au niveau des assertions. Cette connaissance peut constituer une base pour la conception et la mise en œuvre des réponses aux risques évalués d’anomalies significatives. La connaissance de l’entité et de son environnement (y compris de son contrôle interne) peut se faire via :
315 540
a) des demandes d'informations auprès de la direction et d’autres personnels au sein de l’entité ; b) des procédures analytiques ; et c) l'observation physique et l'inspection. En cas d’utilisation d’informations recueillies à partir d’expériences passées de l'entité ou de procédures d’audit réalisées au cours d’audits précédents, il est important de vérifier si des changements sont intervenus depuis le dernier audit et si ceux-ci peuvent avoir un impact sur la pertinence des informations utilisées dans le cadre de l'audit en cours.
Informations de base
Commentaires
Mise à jour stratégie global d’audit
Risques significatifs (O/N)
Historique du client date de constitution ; changement dans les activités ; propriété et structure de gouvernance ; autres évènements significatifs.
Aperçu du secteur conjoncture économique générale,
nationale et locale ; changement technologique ; changements légaux ou règlementaires ; facteurs concurrentiels ; secteur d’activité.
Stratégie du client objectifs et stratégies actuels ; stratégie pour atteindre les objectifs ;
190 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Informations de base
Commentaires
Mise à jour stratégie global d’audit
Risques significatifs (O/N)
Structure du groupe
Actionnaires, administrateurs et membres du personnel noms des actionnaires, rôles et
pourcentage de détention ; parties ayant un pouvoir de contrôle ; noms des administrateurs, rôles et, le cas échéant, pourcentage de détention du capital ; Conseillers professionnels noms et coordonnées des conseillers
professionnels.
Spécialistes et besoins particuliers envisager l’utilisation d’experts, p. ex.
principalement dans les domaines autres que la comptabilité ou l’audit, tels que les actuaires ou les experts en évaluation des biens ;
Audit interne si applicable la nature des responsabilités de la fonction d’audit interne et la manière dont cette fonction est intégrée dans la structure de l’entité ; et les activités exercées, ou à exercer par le département d’audit interne ; Produits et processus les produits ou services que le client
vend ou fournit, la clientèle, le marketing et la stratégie de prix ; comment les produits ou les services sont fabriqués ou fournis (il faut considérer les matières premières et les sources d’approvisionnement) ainsi que le processus de fabrication ou de transformation depuis le début jusqu’à la fin. Marché fournisseurs ; clientèle ; concurrents ;
191 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Informations de base
Commentaires
Mise à jour stratégie global d’audit
Risques significatifs (O/N)
information sur le secteur.
Immobilisations corporelles Toutes les informations significatives
concernant les immobilisations corporelles (installations, machines et outillage).
Flux de trésorerie et financement la façon dont l’entité est structurée et
la manière dont elle est financée (comptes bancaires, découverts et autres facilités de crédits) ; points importantes sur les créances, dettes d’exploitation, stocks, locationfinancement. Investissements le type d’investissement que l’entité
effectue et envisage d’effectuer.
TVA sur les opérations de ventes régime TVA applicable.
Règles comptables obtenir une connaissance des règles
comptables applicables au sein de l’entité, y compris les raisons d’éventuels changements dans ces règles ; identifier les règles comptables dans les domaines importants ; évaluer dans quelle mesure les règles comptables adoptées sont appropriées pour le type d’activité et sont consistantes tant au regard du référentiel comptable applicable. Indicateurs de performance et revue comprendre la manière dont la
performance du client est évaluée et revue. Autres rubriques importantes où les jugements
peuvent avoir un impact sur les comptes annuels ;
192 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Informations de base
Commentaires
Mise à jour stratégie global d’audit
Risques significatifs (O/N)
Commentaires
Mise à jour stratégie global d’audit
Risques significatifs
écritures comptables non courantes
attendues ayant un impact significatif sur les comptes annuels ; les comptes d’attente figurant dans le
grand livre ou dans la balance des comptes généraux.
Estimation comptable
(O/N/)
Prendre connaissance les règles édictées par le référentiel
comptable relatives aux estimations comptables, y compris les informations à fournir les concernant ; la façon dont la direction identifie les
transactions, ou les événements ou circonstances qui peuvent nécessiter la comptabilisation d’une estimation comptable ou des informations complémentaires en annexe des comptes annuels. Via cette connaissance, l'auditeur doit s'enquérir auprès de la direction des changements intervenus dans les circonstances qui peuvent donner lieu à de nouvelles estimations comptables, ou au besoin de réviser celles existantes ; la façon dont la direction procède aux
estimations comptables et une connaissance des données sur lesquelles elles sont basées, y compris : la méthode et, le cas échéant, le
modèle utilisés pour procéder à l'estimation comptable ; les contrôles y relatifs ; le recours éventuel de la direction à un expert ; les hypothèses sous-tendant les estimations comptables ; 193 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
Estimation comptable
Commentaires
Mise à jour stratégie global d’audit
Risques significatifs
Mise à jour Stratégie global d’audit
Risques significatifs (O/N/)
(O/N/)
s'il y a eu, ou devrait y avoir eu, un
changement par rapport à la période précédente dans les méthodes suivies pour procéder aux estimations comptables et, dans l'affirmative, quelles en sont les raisons ; et si la direction a apprécié l’impact d’une incertitude liée à l’évaluation d’une estimation et, dans l’affirmative, la manière dont pareille évaluation a été effectuée. revoir le « dénouement » des estimations comptables incluses dans les comptes annuels de la période précédente, ou, le cas échéant, leur actualisation pour les besoins de la période en cours. La nature et l'étendue de cette revue tient compte des caractéristiques des estimations comptables et de la pertinence de l'information ainsi obtenue pour identifier et évaluer les risques d'anomalies significatives dans les estimations comptables de la période en cours.
AUTRE
Commentaires
Lois et règlementations acquérir une connaissance générale du
cadre légal et réglementaire applicable à l'entité ainsi que du secteur d'activité dans lequel elle opère et la manière dont l'entité s’y conforme ; recueillir des éléments probants
suffisants et appropriés concernant le respect des textes légaux et réglementaires ayant une incidence pour les comptes annuels et les annexes ;
194 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée mettre en œuvre les procédures d'audit
suivantes visant à faciliter l'identification des cas de non-respect d'autres textes légaux et réglementaires qui sont susceptibles d'avoir une incidence significative sur les comptes annuels ;
Questions environnementales attitude du client/politique interne face
aux aspects environnementaux, politiques/déclarations publiées, perception externes ; politiques, procédures et voie suivie ; problèmes : lois spécifiques/règlementations, connaissance de domaines ou des problèmes existants, problèmes futurs anticipés, relations avec les fournisseurs et la clientèle ; publicité défavorable. Autres domaines de connaissance
Préparé par
Date
Revu par l’associé responsable de la mission
Date
Revu par le responsable contrôle qualité
Date
195 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
A-4 : Prise de connaissance de l’environnement informatique de l’entité Département Audit
Cabinet XYZ
Nom du client
Année : 2017 Exercice
Prise de connaissance de l’environnement informatique de l’entité Objectif
ISA
L’objectif est d’acquérir une compréhension détaillée des mesures générales de gestion et les applications informatiques utilisées, qui sont importantes en vue de garantir la fiabilité du traitement automatisé des données. Les mesures concernent notamment la continuité, la sécurité, la gestion des capacités et des performances, la gestion du changement et l’assistance.
315 330
Description de l’environnement informatique – Structure
Cycles
S’agit-il d’un Comment logiciel s’effectue Quelles standard, Quelle est la l’échange sont les adapté fonction de d’informations applications « sur mesure » l’application entre les logicielles par des tiers ou logicielle différentes utilisées ? développé en applications interne ? logicielles
Existe-t-il d’autres tableurs ou banques de données importants
Risque
Dans le tableau ci-dessous, veuillez décrire les différentes applications logicielles (système ERP, comptabilité, établissement de rapports, administration des salaires, etc.) utilisées au sein des divers cycles.
Vente Achat Stock Personnel Trésorerie
196 | P a g e
Commentaires
Initiales
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée W/P Ref.
Description de l’environnement informatique – Organisation Comment le service informatique est-il structuré ? À quel niveau les décisions informatiques sont-elles prises et où s’effectue le suivi de ces systèmes ? Comment se déroule la communication interne relative à l’informatique et aux applications au niveau de l’entreprise ? Qui est responsable des systèmes informatiques et de l’adaptation de ces systèmes (en interne/en externe) ? Décrivez brièvement l’organisation informatique interne et joignez-en l’organigramme, s’il est disponible. Décrivez brièvement le plan stratégique en matière informatique et les objectifs à long terme qui y ont été inscrits. S’il est disponible. Qui élabore le plan stratégique en matière informatique et qui le valide ? Décrivez les objectifs à court terme et leur procédure de validation. Quels sont, selon la direction, les éventuels risques ou défis existants liés à l’informatique ? Si de tels risques ou défis existent, comment sont-ils suivis et par qui ? Les mesures de contrôle internes de l’entreprise ont-elles permis de déceler des manquements importants ? Si oui, décrivez la prise en charge de ces manquements. Décrivez de manière générale l’automatisation informatique au sein de l’entité.
197 | P a g e
Commentaires
Initiales
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée W/P Ref.
Déterminez si les activités de l’entité sont fortement dépendantes de l’environnement informatique. Changements au cours de l’exercice ? Quels changements importants relatifs aux applications informatiques ont été opérés ou sont prévus au cours de l’exercice ? Quels problèmes importants en lien avec les systèmes informatiques ont été rencontrés au cours de cet exercice ? Sécurisation informatique Qui est responsable de la sécurité ? Qui est responsable des profils d’utilisateur et des mots de passe ? La séparation des fonctions est-elle suffisante ? Décrivez la politique appliquée en matière de mots de passe. Les mots de passe doivent-ils régulièrement être modifiés ? Les mots de passe doivent-ils être introduits par application ou une identification générale suffit-elle ? Qui a les droits d’administrateur ? Décrivez la communication entre la direction et le/la responsable informatique ? Tous les serveurs et postes de travail (tels que les ordinateurs, PC portables, tablettes, etc.) disposent-ils de pare-feu, antivirus et anti-malware adaptés ? Quelles sont les applications logicielles utilisées à cet effet ? Est-il possible de se connecter aux systèmes depuis l’extérieur (par l’intermédiaire d’un VPN par exemple) ?
198 | P a g e
Commentaires
Initiales
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée W/P Ref.
Si des données sont stockées dans le cloud : décrivez les dispositions de sécurité en place, qui ont été définies avec un prestataire de services externe. Décrivez les principaux environnements matériels. Décrivez comment ces environnements sont connectés (réseau). Des serveurs complémentaires sont-ils utilisés (éventuellement à d’autres endroits) ? Décrivez le contrôle physique des accès (protection des serveurs et autre matériel informatique). Des directives en matière de sécurisation sont-elles disponibles ? Plan de reprise d’activité (PRA) Le PRA est-il fiable ? Selon le PRA, combien de temps s’écoulerait avant la reprise des activités en cas de sinistre ? Quand ce plan a-t-il été testé pour la dernière fois ? Des sauvegardes sont-elles effectuées régulièrement ? Quelles sont les données concernées par ces sauvegardes ? Où ces sauvegardes sont-elles enregistrées et pendant combien de temps les conserve-t-on ? Quelles assurances ont été souscrites pour le matériel informatique et la récupération des données ? Maintenance Existe-t-il un inventaire du matériel et des logiciels informatiques ? Le cas échéant, décrivez le contrat de service de maintenance conclu auprès d’un prestataire de services externe. 199 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée Les applications logicielles sont-elles à jour ? Le nombre de licences achetées correspond-il au nombre effectivement installé ? En cas de modifications importantes : les nouveaux systèmes informatiques sont-ils systématiquement testés (essai de fonctionnement) ou sont-ils immédiatement mis en service ? Utilisateurs Un collaborateur au moins au sein du service visé a-t-il bénéficié d’une formation au sujet du principal progiciel ? Les collaborateurs suivent-ils régulièrement des formations ? Les collaborateurs ont-ils l’autorisation ou la possibilité de modifier des données et des réglages informatiques ? Existe-t-il un manuel de procédures à l’intention des collaborateurs relatif à la protection et à la sécurisation du système informatique ? Conclusion L’environnement informatique est-il considéré comme complexe ? Sera-t-il nécessaire de faire appel à un expert informatique externe (auditeur informatique) ? Préparé par
Date
Revu par l’associé responsable de la mission
Date
Revu par le responsable contrôle qualité
Date
200 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
A-5 : Analyse des risques d’anomalies significatives Département Audit
Cabinet XYZ
Nom du client
Année : 2017 Exercice
Analyse des risques d’anomalies significatives Objectif
ISA
L’objectif est de documenter l’évaluation des risques combinés d’anomalies significatives dans les comptes annuels. Cette évaluation servira de base pour déterminer la nature, l’étendue et le calendrier des procédures d’audit complémentaires à mettre en œuvre, et qui répondent aux risques identifiés. 1. Risques inhérents 1.1. Organisation-direction Question
OUI NON N/A
Commentaires sur les risques d'anomalies significatives
La direction a-t-elle les connaissances appropriées et une bonne expérience pour un établissement correct des comptes annuels de l’entité ? La qualité de l’information financière produite les années antérieures par la direction est-elle satisfaisante ? L'organisation et la gestion de l'entreprise permettent-elles d'éviter les litiges importants ? La direction cherche-t-elle à limiter les risques dans la prise de décision sur des points majeurs (investissement, financement, politique commerciale) ? La direction comptable est-elle stable ? Les relations avec le personnel sontelles bonnes ? Y-a-t-il une communauté de vue entre les actionnaires ? Autres risques inhérents identifiés :
201 | P a g e
315
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée 1.2. Etablissements des comptes annuels Question
OUI NON N/A
Commentaires sur les risques d'anomalies significatives
Les contrôles précédents ont-ils fait apparaître peu d'anomalies dans l'information comptable et financière ? La nature des opérations réalisées par l'entreprise génère-t-elle des écritures comptables simples ? La société a-t-elle recours à des changements fréquents de méthode d'évaluation ? S'il existe une comptabilité analytique, ses données sont-elles cohérentes avec celles de la comptabilité générale ? Peut-on estimer qu'il y a des circonstances (difficultés du secteur, insuffisance de fonds propres, recherche de nouveaux financements, etc.) pouvant conduire les dirigeants à subir des pressions pouvant se traduire sur la présentation des comptes annuels ? La rémunération de la direction est-elle indépendante des résultats de l’entreprise ? Autres risques inhérents identifiés : 1.3. Secteur d’activité (nature et conditions des activités de l'entité) L’évolution du marché dans lequel se situe l’entreprise est-elle favorable ? L'activité de l'entité est-elle liée aux problématiques de saisonnalité, de frais de recherche et développement, de cycles de production à long terme, de sous activité ? L’activité de l’entreprise est-elle liée aux innovations ou changements technologiques ? D’après l'étude des ratios de structure financière et des ratios de rentabilité (références sectorielles) l'entreprise évolue-t-elle conformément à son secteur ? 202 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée Si l’entreprise connaît une expansion rapide, les conséquences sur les moyens nécessaires sont-elles maîtrisées ? Les approvisionnements de l'entreprise sont-ils stables (absence de perte d'un client ou d'un fournisseur important) ? Une opération de restructuration/ réorganisation est-elle en cours ou prévue ? Autres risques inhérents identifiés : 1.4. Environnement légal est réglementaire La direction est-elle suffisamment sensibilisée à la prise en compte des textes légaux et réglementaires ? Une opération juridique importante estelle en cours ou prévue ? Si l’entreprise évolue dans un secteur ayant des règles comptables, fiscales, environnementales, etc. particulières, ces règles sont-elles correctement comprises et respectées par l'entreprise ? Autres risques inhérents identifiés :
2. Risques liés au contrôle 2.1. Environnement de contrôle Les dirigeants et les cadres font-ils preuve d’intégrité dans leur comportement ? La direction cherche-elle à respecter les textes légaux et réglementaires, notamment la réglementation fiscale et sociale ? La direction manifeste-t-elle un intérêt pour la qualité du contrôle interne et des procédures administratives ? S'assure-t-elle périodiquement de cette qualité ? La direction est-elle sensible à l'importance des contrôles du commissaire ? A-t-elle accordé une attention suffisante à nos recommandations antérieures ? 203 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
La direction manifeste-t-elle de l'intérêt pour la qualité de l'information comptable et financière ? S'il existe un manuel de procédures, estil régulièrement mis à jour ? Autres risques de contrôle identifiés : 2.2. Moyens d’identification des risques liés à l’activité Le dirigeant s'implique-t-il dans l'activité de l'entreprise ? Le dirigeant accorde-t-il une attention suffisante aux risques inhérents à l'activité ? Le personnel comptable, et de façon plus générale, le personnel de la société, a-t-il une formation appropriée ? Le dirigeant dispose-t-il d'outils de pilotage ? La société dispose-t-elle de suffisamment d'informations en matière comptable, fiscale et sociale ? Autres risques de contrôle identifiés : 2.3. Système d’information La direction a-t-elle la maîtrise de la fonction informatique ? La comptabilisation des factures d'achats, ventes et bordereaux de paye est-elle automatique ? Les logiciels utilisés pour le traitement de l'information comptable et financière sont-ils fiables ? Le dirigeant a-t-il élaboré et développé un plan d'urgence approprié en matière de systèmes d'information pour assurer la poursuite du fonctionnement de l'entreprise en cas de sinistre ? Le dirigeant a-t-il élaboré et développé des méthodes appropriées d'autorisation des opérations, y compris pour éviter les modifications non autorisées des fichiers de données et des programmes ? 204 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée La pérennité du système informatique est-elle assurée ? Le système informatique est-il adapté pour traiter les opérations de l'entité ? Autres risques de contrôle identifiés :
Synthèses des risques inhérents Rubriques
Niveau du risque E
M
F
Implication sur la stratégie globale d’audit
Organisation-direction Etablissements des comptes Secteur d’activité Environnements légal et réglementaire Conclusion du niveau des risques inhérents au niveau des comptes annuels : Synthèse de risques liés au contrôle Niveau du risque Rubriques E
M
F
Implication sur la stratégie globale d’audit
Environnement de contrôle Moyens d’identification des risques liés à l’activité Système d’information Conclusion du niveau des risques liés au contrôle au niveau des comptes annuels : Conclusion au niveau des risques d’anomalies significatives au niveau des comptes annuels pris dans leur ensemble : Préparé par
Date
Revu par l’associé responsable de la mission
Date
Revu par le responsable contrôle qualité
Date
205 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée
A-6 : Stratégie global d’audit Département Audit
Cabinet XYZ
Année : 2017
Nom du client
Exercice
Analyse des risques d’anomalies significatives Objectif
ISA
L’objectif est de décrire les étapes nécessaires à l’élaboration de la stratégie globale d’audit. L’auditeur doit, en effet, planifier son audit en faisant preuve d’esprit critique et en étant conscient que certaines situations peuvent exister et conduire à ce que les comptes annuels contiennent des anomalies significatives. La planification est essentielle pour s’assurer que la mission est effectuée de manière efficace et efficiente, et que le risque d’audit a été réduit à un niveau faible acceptable. Il s’agit donc d’un processus continu. Au fur et à mesure que les travaux d’audit avancent, des modifications des plans globaux et détaillés peuvent être nécessaires pour répondre aux nouvelles circonstances, aux conclusions d’audit et aux autres informations obtenues.
I- Etendue de la mission Données Forme juridique de l'entité Total du bilan Total des produits Nombre d'effectifs Résultat après impôt Fonds propres Total bilan des états financiers consolidés Engagements auprès des établissements de crédit Nature de la mission Date de nomination Nombre des mandats
N
N-1
II- Facteurs importants à considérer pour l’équipe d’audit Commentaires et stratégie d’audit
Risque significatif O/N
Mise à jour
Initiales
Date
Données de l’audit précédent (nature de l’entité, contrôle interne, type d’opinion d’audit, risques significatifs, problèmes particuliers, etc.)
206 | P a g e
200
300
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée Identification des rubriques où le risque d’anomalie significative pourrait être élevé
Identification préliminaire des composantes significatives et des soldes de comptes
Identification des procédures de contrôle interne clés permettant de réduire le risque d’anomalies significatives
Conséquences éventuelles sur les travaux d’audit de la présence d’un propriétaire dirigeant fortement impliqué dans le processus de contrôle interne
Impacts des systèmes informatiques de l’entité sur l’audit (disponibilité de traces écrites)
III- Evaluation préliminaire du risque d’anomalie significative
Au niveau des assertions
Au niveau des comptes annuels
Rubriques
Assertion
Risques inhérents O/N
Risques liés au contrôle O/N
Raisons du niveau de Niveau risques + Risques de implications combinés risque sur les E-M-F procédures d’audit
Toutes
Sur. Exa Personnel
Exh. Sép. Imp. Sur.
Clients/Ventes Exa Exh. 207 | P a g e
L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du référentiel CobiT 5, dans une polyclinique privée Sép. Imp. Sur. Exa Autres dettes/Autres Exh. créances Sép. Imp. Sur. Exa Trésorerie / Exh. Financement Sép. Imp. Capitaux propres/
Sur. Exa Exh.
Provisions pour risques et charges
Sép.
Achats/
Sur.
Imp. Exa Exh.
Fournisseurs Sép. Imp. Sur. Exa Impôts/Taxes Exh. Sép. Imp. Sur. Exa Stocks
Exh. Sép. Imp.
Préparé par
Date
Revu par l’associé responsable de la mission
Date
Revu par le responsable contrôle qualité
Date
208 | P a g e