Si le commissaire aux comptes sait pertinemment qu’il doit prendre connaissance du système informatique en lien avec l’élaboration de l’information financière de l’entreprise auditée, le degré d’implication dans cette démarche est parfois mal appréhendé. Aussi, la Compagnie nationale des commissaires aux comptes a souhaité publier un guide pratique (« Le système informatique dans la démarche d’audit », février 2023) afin de préciser les diligences attendues de la part de l’auditeur légal.

Schéma général de la démarche d’audit

Pour rappel, dans sa démarche d’audit, le commissaire aux comptes s’informe sur les procédures mises en place par l’entité pour traiter les opérations ayant un caractère significatif pour les comptes (pris dans leur ensemble) ainsi que sur les enregistrements comptables correspondants. Le système informatique, composante du système d’information, fait donc partie des éléments du contrôle interne que le commissaire aux comptes intègre dans sa démarche.

La prise de connaissance de l’environnement de contrôle informatique

L’objectif de cette première phase est de comprendre les processus informatiques en lien avec la production de l’information financière. Pour ce faire, le commissaire aux comptes va s’attacher à obtenir des informations sur l’ensemble de l’environnement informatique de l’entité.

Evaluer les processus clés de l’entité

Par sa connaissance des processus clés de l’entité et en fonction de l’approche qu’il souhaite retenir, le commissaire aux comptes peut décider de s’appuyer sur les contrôles mis en place par l’entité. Dans ce cadre, il doit alors s’assurer de leur efficacité en les testant.

Tester les procédures de l’entité

Les diligences vont essentiellement se diriger sur les contrôles généraux informatiques (information technology general controls ou ITGC), sur les contrôles portés par les applications (information technology application control ou ITAC), ainsi que sur les informations produites par l’entreprise (IPE) qui participent indirectement à l’élaboration des états financiers.

Parmi les principaux risques relatifs à l’environnement informatique, citons ceux portant sur la gestion des accès, les changements d’applications ou modifications de paramétrages insuffisamment testés et validés avant la mise en service et la gestion des incidents non répertoriés ou résolus de manière inappropriée.

Aussi, après l’évaluation de la conception et de la mise en œuvre des ITG de l’entité, le commissaire aux comptes va sélectionner les contrôles pertinents qu’il souhaite tester. Si les tests effectués sur le ITGC ne révèlent aucun disfonctionnement, le commissaire en tient compte dans sa démarche d’audit, notamment pour les tests sur les contrôles applicatifs et sur l’intégrité des informations produites par l’entité.

En ce qui concerne les contrôles applicatifs (pour le processus achats, le contrôle du rapprochement commande-livraison-facturation), le commissaire aux comptes va s’intéresser à la conception des contrôles automatisés, notamment aux règles de paramétrage, à l’existence de seuil de déclenchement des contrôles, au périmètre des entités et transactions concernées, à la fréquence des contrôles, etc. Lorsqu’il estime que la conception est satisfaisante, il vérifie alors que les contrôles sont correctement mis en œuvre.

Enfin, pour les IPE – qui, rappelons-le, sont des informations produites par des applications informatiques ou des outils qui concourent à l’élaboration des états financiers – le commissaire aux comptes peut effectuer des tests de procédures, mais aussi des contrôles de substance en collectant des éléments probants sur la fiabilité de l’IPE.

Dans sa démarche d’audit, le choix des diligences par le commissaire aux comptes doit être savamment mesuré et argumenté pour que la revue des systèmes informatiques soit efficacement mise au service de la mission de certification des comptes. En espérant que ce guide pratique puisse aider le professionnel dans cette démarche !