Rapport de stage
premier semestre 2009
Elaboré par :Bouden Yassine
Contrôleur de stage : Mr Achref Boudaya
Maître de stage...
2
Introduction
Dans les années 90, avec le développement de l’informatique, les entreprises ont
énormément évolué. L’appar...
3
Partie I : L’ERP et ses apports :
L'évolution de l'informatique, qui progresse vers davantage d’informations, de partage...
4
Un ERP combine la fonctionnalité de différents programmes de gestion en un seul, en se
basant sur une seule base de donn...
5
Le problème de l'interfaçage est l'éternel problème de l'intégration et de la compatibilité des
systèmes. Souvent, ces i...
6
On constate aujourd’hui que la mise en place d’un ERP s’accompagne d’un certain nombre
de difficultés auxquelles les ent...
7
Partie II : L'implantation d'un ERP2
L'implantation d'un ERP comprend d'ordinaire les cinq phases suivantes:
- Le choix ...
8
l'importance des référentiels, une période de bascule très réduite. Cette délicate opération
est découpée en plusieurs é...
9
Partie III : De l’audit des ERP vers l’impact sur les
travaux d’audit financier
A- Audit des ERP
1. Composantes d'un ERP...
10
Les modules du progiciel intégré utilisent instantanément les informations (clients,
fournisseurs, taux de change...) à...
11
L'Intégrité des données consiste à établir des contrôles sur les entrées et sur les traitements
des transactions. Elle ...
12
Pour les traitements, elle est destinée à assurer la protection des algorithmes décrivant les
règles de gestion et les ...
13
mesure de décider s’il entend s’appuyer ou non sur les contrôles existants pour exécuter sa
mission. Cette décision aur...
14
processus d’audit. Avec ce changement de paradigme, l’emphase est, désormais, mise sur les
systèmes de contrôle interne...
15
3. Particularités de l’audit dans un environnement complexe de TI
Les recherches empiriques ont permis de mettre en évi...
16
accordent une attention minimale à l’implantation des systèmes, au système d’exploitation et
au développement et acquis...
17
établis de manière appropriée au départ et entretenus ultérieurement (Wright et al. 2002). Une
des causes reconnues par...
18
recherche qui ont été identifiées par Nabil Messabia5
et Abaelnaq Elbekkali6
sont les seules
références bibliographique...
19
Partie IV : Cas empirique- Travaux d’audit lors de la
phase de mise en place de l’ERP J.D.Edwards7
dans
une société pét...
20
Elles seront, par la suite, automatiquement imputées dans la comptabilité générale au niveau du
module de la comptabili...
21
B/ Evaluation du système d’information
1. Objectifs à atteindre
Nous avons testé un ensemble de contrôles mis en place ...
22
- Les données de base relatives à la production : articles de base, réservoirs, véhicules,
dépôts, filiales, usines, et...
23
Les changements et les mises à
jours apportés aux données
permanentes doivent être
autorisés et revues par une
personne...
24
Contrôles clés Tests
Environnements informatiques :
Les environnements informatiques doivent être
limités à ceux de pro...
25
Contrôles clés Tests
Création de profils utilisateurs :
Une procédure adéquate doit exister pour le suivi
de la créatio...
26
Les procédures de contrôle des auditrons :
Les Logs d'audit doivent être contrôlés pour identifier les actions non auto...
27
· Le rapport P03701 vérifie que chaque Lot de la comptabilité clients, qui lui correspond le
total des montants reçus, ...
28
- Le groupe auquel le nouvel utilisateur doit appartenir ;
- Les droits supplémentaires à accorder.
Les droits d'accès ...
29
CONCLUSION
Suite à la libéralisation des marchés et face à la menace accrue de la concurrence, les
sociétés sont à la r...
30
Bibliographie
Auteurs
GERARD PETIT, DANIEL JOLY et JOCELYN MICHEL ; Guide pour l'audit financier des entreprises
inform...
31
Table des matières
Introduction...........................................................................................
Prochain SlideShare
Chargement dans…5
×

impact de la mise en place d'un ERP sur les travaux de l'auditeur

2 486 vues

Publié le

Cette étude se veut une revue critique de l’impact de la mise en place d’un ERP et de ses
applications sur les travaux de l’auditeur.

Publié dans : Économie & finance
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
2 486
Sur SlideShare
0
Issues des intégrations
0
Intégrations
17
Actions
Partages
0
Téléchargements
91
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

impact de la mise en place d'un ERP sur les travaux de l'auditeur

  1. 1. Rapport de stage premier semestre 2009 Elaboré par :Bouden Yassine Contrôleur de stage : Mr Achref Boudaya Maître de stage : Mr Lamjed Ben M’barek [IMPACT DE LA MISE EN PLACE D’UN ERP SUR LES TRAVAUX DE L’AUDITEUR]
  2. 2. 2 Introduction Dans les années 90, avec le développement de l’informatique, les entreprises ont énormément évolué. L’apparition des ERP (logiciels paramétrables) dont l’approche modulaire et intégré ont pour objectif de mettre en réseau, par une base de données unique, l'ensemble des données relatives aux fonctions de l'entreprise (comptabilité, communication, ressources humaines, marketing, etc.). Ils permettent donc d’accroître les performances de l’entreprise en permettant notamment d’éviter dans une certaine mesure des dysfonctionnements. L’entreprise a donc dû évoluer dans son ensemble. Le contrôle de gestion qui constitue un instrument de pilotage permanent pour les décideurs, s’appuyant sur l’information comptable, a été pleinement concerné par l’apparition des ERP. Ainsi, il nous est apparu intéressant de traiter des incidences de la mise en place d’un ERP dans la phase de démarrage sur l’évaluation du système de contrôle interne, en illustrant le propos par un cas pratiques vécu en entreprise. Cette étude se veut une revue critique de l’impact de la mise en place d’un ERP et de ses applications sur les travaux de l’auditeur. Des progiciels apparaissent mais sont seulement destinés à une fonction spécifique de l'entreprise : GPAO (Gestion de production assistée par ordinateur), comptabilité, gestion financière, gestion comptable…. On parle alors d'automatisation de fonctions de l'entreprise mais il est encore trop tôt pour parler de systèmes d'informations intégrés. C'est seulement dans les années 90, avec l'explosion de l'informatique individuelle et des réseaux (client/serveur), que le partage de l'information devient vite accessible. L'utilisateur se place alors au cœur du système et l'informatique se retrouve au service de la stratégie de l'entreprise. C'est à partir de là que les PGI (Progiciels de Gestion Intégrés) encore appelés ERP, se sont peu à peu imposés aux entreprises, visant à intégrer l'ensemble des EDI (échanges de données informatiques) et de leurs applications. Aux applications spécifiques, très onéreuses et cloisonnées qu'elles développaient, depuis plus de 30 ans, de nombreuses entreprises ont fini par préférer ce type de progiciels, bénéficiant d'une expertise et d'un support mondial de leurs éditeurs, quitte à abandonner la souplesse d'une application propriétaire. A l'heure actuelle, les ERP sont devenus un des moyens de renforcer la multinationalisation des entreprises avec une structure mondiale de partage de l'information. Les ERP sont donc des logiciels paramétrables, modulaires, intégrés et qui ont pour objectif de mettre en réseau, par une base de données unique, l'ensemble des données relatives aux fonctions de l'entreprise (comptabilité, communication, ressources humaines, marketing, etc.). Ils globalisent ainsi tout le système d'information dans un seul progiciel et par cette logique d'intégration, ces progiciels ont la capacité de récupérer automatiquement et quasi instantanément toute l'information à tous les niveaux de l'entreprise
  3. 3. 3 Partie I : L’ERP et ses apports : L'évolution de l'informatique, qui progresse vers davantage d’informations, de partage et de flexibilité, est un des facteurs essentiels expliquant le succès grandissant des ERP auprès des entreprises. Malgré le progrès incontestable qu'ils apportent aujourd’hui, les ERP ne répondent pas entièrement de façon satisfaisante aux attentes des entreprises 1. Définitions de l'ERP L'ERP (Enterprise Resource Planning) est définit comme étant « un sous-ensemble du système d'information capable de prendre en charge la gestion intégrale de l'entreprise, incluant la gestion comptable et financière, la gestion de la production et de la logistique, la gestion des ressources humaines, la gestion administrative ainsi que la vente la gestion des ventes et des achats »1 . Cela offre pour principal avantage de faire parfaitement communiquer les différentes grandes fonctions de gestion de l'entreprise. Il intègre les caractéristiques globales suivantes : · La gestion effective de plusieurs domaines de l'entreprise par des modules intégrés ou des progiciels susceptibles d'assurer une collaboration des processus ; · L’existence d'un référentiel unique de donnée ; · L’adaptation rapide aux règles de fonctionnement (professionnelles, légales ou résultant de l'organisation interne de l'entreprise) ; · L’unicité d'administration du sous-système applicatif; · L’uniformisation des interfaces homme-machine (mêmes écrans, mêmes boutons, même famille de barre de menu, même touches de fonctions et de raccourci, etc.). En plus des ERP, il existe dans certaines organisations des systèmes dits « spécifiques » ou encore non standards, de conception « maison », développés sur mesure, que l'on ne trouve pas sur le marché. La proportion entre ERP et systèmes spécifiques est très variable d'une entreprise à l'autre. 2. Caractéristiques d'un ERP Les ERP ont été conçus dans l'optique de faciliter aux entreprises l’utilisation d’un logiciel qui puisse s'étendre à tous les compartiments de l'entreprise, de telle façon, que l'on puisse intégrer dans un même environnement la finance, la logistique, la production, les ressources humaines, les achats, le commercial, etc. 1 LEQUEUX Jean-Louis, Manager avec les ERP, Edition Organisation, 2002.
  4. 4. 4 Un ERP combine la fonctionnalité de différents programmes de gestion en un seul, en se basant sur une seule base de données centralisée. On appelle souvent cette base de données le Cube en informatique. Ceci permet de garantir l'intégrité et l'unicité des données auxquels les départements ont accès, en évitant de réintroduire les données, à chaque fois, de façon manuelle, dans les modules fonctionnels. Une facture qui aura été enregistrée dans le module commercial n'aura pas besoin d'être introduite à nouveau dans les modules comptables et financiers. Ce type de système avec de telles caractéristiques peut être installé dans un environnement qui dépasse les frontières en supportant différentes langues, différentes devises et fiscalités. D’une part, l'ERP peut ainsi générer facilement des documents conformes à la législation en vigueur pour chaque pays. Il s'agit d'un aspect important, à prendre en compte, vu la diversité des normes et des variations de celles-ci à travers le temps. Dans le tableau qui suit, nous avons une liste non exhaustive de bénéfices attendus par la mise en place d'un ERP Fonctionnalité Bénéfice Prix en temps réel sur les commandes clients Réduction des erreurs de prix et des efforts manuels Identification physique automatique des produits à livrer Réduction des erreurs, élimination de l'identification manuelle des produits Possibilités d'annuler ou d'inverser une expédition avec facturation Gain de temps et d'effort pour procéder aux multiples opérations nécessaires Disponibilité d'un suivi de commande client, de la cotation à la facturation Possibilités multiples de recherche et de suivi à n'importe quel moment Visibilité sur inventaire et fabrication pour planifier les commandes clients Réduction de temps et d'effort pour s'engager avec un client Définition de critères client spécifiques pour expédier une révision de produit Assurance du traitement intégral de la demande spécifique d'un client Les systèmes d'information existants sont relatifs aux traitements opérationnels et statistiques des grandes fonctions de l'entreprise comme le commercial, la finance, la production, ou le personnel. Ces systèmes d'information ont déjà automatisé les traitements et les opérations répétitives, dégageant des gains de productivité spécifiques à ces différents domaines. Les techniques d'interfaçage pallient, pour partie, cette désintégration des systèmes d'information.
  5. 5. 5 Le problème de l'interfaçage est l'éternel problème de l'intégration et de la compatibilité des systèmes. Souvent, ces interfaçages sont réalisés avec succès, mais, en même temps, ils nécessitent un temps homme très important. La mise en place d'un ERP va donc être une opportunité pour résoudre ces dysfonctionnements. Premièrement, il imposera aux acteurs de l'entreprise de définir, ensemble, les règles de gestion qu'ils veulent partager et deuxièmement, il impliquera une rigueur, avec une information contrôlée à la source. Il faut donc à tenir compte des contraintes liées à ce type de systèmes 3. Les Apports des ERP L’ERP crée une version unique qui ne peut légitimement être remise en cause car chacun contribue à alimenter le système à l'origine des résultats. L'ERP permet à l'entreprise de quitter la vision verticale et le cloisonnement par métier et garantit une cohérence de l'information. Cohérence ne signifie pas fiabilité mais, en cas d'erreur dans les données, l'ERP permet une traçabilité et garantit que la correction sera bien faite pour tout le monde. Dans ce sens, l’ERP aide à fiabiliser les données L’ERP oblige toutes les entités d'une même entreprise à travailler de la même façon, ce qui facilite les comparaisons entre diverses unités et la consolidation des données L'arrivée des ERP a complètement transformé les conditions dans lesquelles il convient de concevoir, de mettre en œuvre et d'exploiter le système d'information de gestion dans une entreprise. En effet, le principe de fonctionnement de ces outils est d'associer au sein d'un même produit des fonctions complémentaires et dépendantes les unes des autres (achat, comptabilité, contrôle de gestion...). Les tâches y sont de plus en plus automatisées, la charge de production d'informations y est réduite et s'effectue en quasi-temps réel, et sa diffusion est améliorée La dernière génération de système d'information modifie la structure de l'entreprise : les ERP permettent de passer d'une organisation verticale par fonctions (production, comptabilité, ressources humaines...) à une organisation transversale par processus qui correspond à un ensemble d'activités coordonnées entre elles. Parallèlement à la modernisation de leur outil informatique, les entreprises qui installent des ERP choisissent de moderniser aussi leurs méthodes et leur organisation en modifiant les relations entre les services financiers et le reste de l'entreprise. De plus, l'intégration des processus comptables et budgétaires dans la plupart de ces progiciels induit une opportunité de rapprochement et de coopération des fonctions comptables et du contrôle de gestion, dans les activités de contrôle, d'analyse, de présentation et de communication des résultats.
  6. 6. 6 On constate aujourd’hui que la mise en place d’un ERP s’accompagne d’un certain nombre de difficultés auxquelles les entreprises doivent faire face. Si la firme choisit d'implanter l'ensemble des modules d'un ERP, elle en obtient d'ordinaire une intégration essentiellement financière. En effet, toutes les transactions liées aux fonctions intégrées dans l'ERP (production, achats, ventes, effectifs, etc.) ayant un quelconque impact sur les flux financiers vont se répercuter dans les modules de comptabilité tant financière que de gestion. Par conséquent, toutes les déviations (erreurs ou inexactitudes) dans la traduction des processus de gestion dans l'ERP vont faire apparaître des déviations dans le module de comptabilité financière. Ainsi, l'information transactionnelle saisie dans les modules et celle traduisant son impact sur les flux financiers se déversent en entonnoir dans le module de comptabilité financière. Il s'ensuit que l'ERP centrée sur la comptabilité financière a plusieurs conséquences: - Il permet de traduire avec grande transparence la performance économique et financière des fonctions qui lui sont intégrées; - La standardisation et l'intégration y adoptent un langage surtout comptable et financier; les financiers et contrôleurs y trouvent plus de pouvoir; etc. Par ailleurs, l'intégration des modules, en particulier l'intégration entre comptabilité financière et comptabilité de gestion, limite les jeux et maquillages comptables, ce qui donne plus de transparence. Elle permet aussi de réduire le délai dans les rapports mensuels à 3 ou 4 jours (contre 15 ou 20 auparavant).
  7. 7. 7 Partie II : L'implantation d'un ERP2 L'implantation d'un ERP comprend d'ordinaire les cinq phases suivantes: - Le choix d'une solution ERP - L'analyse des processus de gestion en place - Leur réingénierie - La particularisation de l'ERP (son adaptation à des besoins particuliers) - La mise en place La phase de mise en place de l'ERP pose de graves difficultés de transition, de formation et de communication. La transition au système ERP se gère mal, semble-t-il. Les revues professionnelles ne manquent pas d'exemples où la production a souffert (paralysie d'usine), de même que les clients (confusion entre eux, commandes non livrées) et la facturation. Davenport (1998) cite FoxMeyer affirmant que la mise en place d'un ERP a précipité sa faillite. De plus, la firme sous-estimerait largement l'ampleur de la formation dont son personnel a besoin pour maîtriser l'utilisation du progiciel, ce qu'indiquerait d'ailleurs son budget irréaliste d'implantation. Et ce manque de formation renforcerait la difficulté de gérer la transition. Enfin, des problèmes de communication découleraient du fait que l'ERP impose une vision processus de l'organisation plutôt que fonctionnelle classique. Or, cette vision est horizontale et transversale aux divisions fonctionnelles et celles-ci n'ont pas l'habitude de communiquer entre elles. Par ailleurs, les principaux facteurs clés de succès (FCS) sont : l'engagement de la direction générale, l'équipe dédiée au projet et une bonne gestion au changement. Les étapes de la mise en place se résument comme suit : 1. Migrations des données La migration des données est aussi un chantier important. Chaque migration de données constitue un sous projet de migration individuel. Cette étape consiste à définir la typologie des données, leurs relations et choisir celles qui seront transférées dans le nouveau processus. La migration consiste aussi à faire correspondre les données du système « source » avec la structure de données du système « cible ». Les contraintes sont multiples : des volumes de données importantes à traiter et à migrer, des fonctionnalités complexes, 2 Supply Chain Magazine : « Dossier ERP dans les entreprises : Comment éviter les pièges ? » 2007 ; ASK, « Réussir le déploiement de son ERP : Enquête sur les grands comptes internationaux », Association Française de l'audit et du Conseil informatique, Janvier 2005.
  8. 8. 8 l'importance des référentiels, une période de bascule très réduite. Cette délicate opération est découpée en plusieurs étapes : 2. Mise en exploitation, test et évaluation La période de basculement ou de mise en exploitation devrait être choisie judicieusement. La date de fin d'exercice est la mieux adaptée aux logiciels comptables. Le déploiement au fil de l'eau est moins brutal mais plus gourmand en énergie. Le déploiement en Big bang (bascule complète sans maintenir l'ancien système en parallèle) est très risqué, mais évite la double gestion· Il est cohérent de constater que les facteurs de risques associés à cette étape touchent le changement technologique et son étendue. C'est à cette étape que les utilisateurs font pour la première fois de vraies transactions sur le nouveau système. Plus l'ensemble de l'environnement logiciel aura été changé, plus grandes seront les chances de problèmes à cette étape. 3. Accompagnement au changement3 Le projet ERP a un impact sur les processus de l'entreprise et sur les pratiques des utilisateurs. Ainsi une politique de communication doit être mise en place. Elle consistera tout au long du projet à informer et sensibiliser les utilisateurs, à faire comprendre ce que le nouveau système induira comme changement pour chacun, à faire adhérer le personnel et à obtenir des acteurs qu'ils s'investissent dans la mise en place du projet. Pour cela, il faut former les employés dans la perspective d'une appropriation et d'une exploitation optimale de l'outil, privilégier la performance de l'entreprise plutôt que la performance de chacun. Ainsi, une formation devra être donnée aux informaticiens internes, aux utilisateurs clés et aux utilisateurs finaux. 4. Maintenance et Support du produit Après la mise en place de l'ERP, une maintenance doit être faite. Tout d'abord, au travers des mises à jour. Maintenir c'est aussi le faire évoluer dans le sens de la croissance de l'entreprise et des nouveaux besoins. On ne peut évoquer la maintenance sans également parler du support. Pour que le support soit optimal, il faut définir des rôles en amont : Le support de niveau 1 par des employés de l'entreprise. Le support de niveau 2 par l'intégrateur. Le support de niveau 3 par l'éditeur. Pour ce qui est des moyens mis en œuvre, il y a la hotline et l'intervention sur site. 3 Cabinet Faurie, « ERP et Conduite du Changement », Paris, 2006.
  9. 9. 9 Partie III : De l’audit des ERP vers l’impact sur les travaux d’audit financier A- Audit des ERP 1. Composantes d'un ERP Un ERP comprend aujourd'hui des dizaines de modules applicatifs qui peuvent être regroupés en trois catégories : les modules sectoriels, les modules intersectoriels et les modules étendus : Les modules sectoriels supportent les activités métiers de l'entreprise (production, maintenance...). Ils sont spécifiques au domaine d'activité de l'entreprise (Constructeur automobile, Assurance, service pétrolier, etc.) ; Les modules intersectoriels informatisent les activités de support de l'entreprise. Ils sont subdivisés en trois catégories : les activités de soutien (comptabilité, gestion Ressources Humaine...), le système direction (planification stratégique et opérationnelle) et le portail d'entreprise vers l'extérieur (accès via Web aux informations de l'entreprise) ; Les modules étendus gèrent les transactions interentreprises ou entre une entreprise et ses clients tels que les modules de type SCM, CRM... Le modèle standard des ERP inclut toujours les activités suivantes de l'entreprise : - Planification de la production ; - Gestion des achats et des stocks ; - Administration des ventes ; - Gestion des ressources humaines ; - Logistique ; - Gestion comptable et financière. Ces modules sont, complètement ou partiellement, interfacés ce qui va engendrer la création de flux d'informations importants. Les flux d'informations sont générés à partir de l'intégration qui existe entre les modules d'un ERP (gestion des achats, gestion des ventes, comptabilité fournisseurs, comptabilité clients, comptabilité générale, immobilisation, stock) et les données permanentes de la société (informations clients, fournisseurs et articles). Le module comptabilité générale est intégré avec les autres modules. Il reçoit automatiquement les informations du module achat (les engagements), de la comptabilité clients (les factures et les règlements) et de la comptabilité fournisseurs.
  10. 10. 10 Les modules du progiciel intégré utilisent instantanément les informations (clients, fournisseurs, taux de change...) à partir des bases de données permanentes (Master Data). 2. Objectifs d'audit d'un ERP Avant d'entamer la mission, l'auditeur doit se fixer une finalité claire afin de pouvoir suivre la démarche la plus efficace qui permettra d'atteindre les objectifs prédéfinis. Dans le cas d'une mission d'audit d'un progiciel intégré, l'objectif principal est d'évaluer la pertinence des contrôles existants au niveau des différents modules pour s'assurer de la qualité des informations produites par le progiciel. Pour garantir cette assurance, les spécialistes doivent donner leurs avis sur : La Disponibilité : C'est l'aptitude des systèmes à remplir une fonction dans des conditions prédéfinies d'horaires, de délais et de performances. Il s'agit de garantir la continuité du service, assurer les objectifs de performance (temps de réponse) et respecter les dates et heures limites des traitements. Pour s'assurer de la disponibilité de l'information, des procédures appropriées de couverture contre les incidents ainsi que des contrôles de sécurité doivent exister afin de se protéger contre les suppressions inattentives ou intentionnelles des fichiers. La disponibilité des flux d'informations est le fait de garantir la continuité des échanges d'information, c'est à dire de pouvoir disposer, chaque fois que le besoin existe, des possibilités de réception ou de transfert. Pour les traitements, la disponibilité est destinée à garantir la continuité de service des traitements, c'est à dire de pouvoir disposer des ressources en matériels et logiciels nécessaires à l'ensemble des services, des agences et à la clientèle extérieure. La disponibilité des données est le fait de pouvoir disposer de l'accès aux données chaque fois que le besoin existe. L'Intégrité : C'est la qualité qui assure que les informations sont identiques en deux points, dans le temps comme dans l'espace. Selon l'ISO 13-335-1, l'intégrité c'est la propriété de non-altération ou de non-destruction de tout ou partie du système d'information et/ou des données de façon non autorisée. Il s'agit de garantir l'exhaustivité, l'exactitude et la validité des informations ainsi que d'éviter la modification de l'information.
  11. 11. 11 L'Intégrité des données consiste à établir des contrôles sur les entrées et sur les traitements des transactions. Elle consiste, aussi, à sécuriser les fichiers des données cumulées de toute modification non autorisée. L'Intégrité des opérations et des documents électroniques risque d'être mise en cause. Cette détérioration de L'Intégrité peut provoquer pour l'entreprise des litiges avec ses clients au sujet des conditions de transaction et de paiement. L'Intégrité des flux d'informations est destinée à garantir la fiabilité et l'exhaustivité des échanges d'information. C'est à dire de faire en sorte que les données soient reçues comme elles ont été émises et d'avoir les moyens de le vérifier. Pour les traitements, elle est destinée à assurer l'exactitude et la conformité de l'algorithme des traitements automatisés ou non par rapport aux spécifications. C'est à dire de pouvoir obtenir des résultats complets et fiables. L'Intégrité des données est destinée à garantir l'exactitude et l'exhaustivité des données vis à vis d'erreurs de manipulation ou d'usages non autorisés. C'est à dire de pouvoir disposer de données dont l'exactitude, la fraîcheur et l'exhaustivité sont reconnues et attestées. La Confidentialité : C'est la qualité qui assure la tenue secrète des informations avec accès aux seules entités autorisées. La protection de la confidentialité des informations contre toute intrusion non autorisée est d'une exigence importante qui nécessite un niveau minimum de sécurités. Il s'agit de : - réserver l'accès aux données d'un système aux seuls utilisateurs habilités (authentification) en fonction de la classification des données et du niveau d'habilitation de chacun d'eux ; - garantir le secret des données échangées par deux correspondants sous forme de message ou de fichiers. Ce dernier volet constitue le point le plus sensible dans les échanges électroniques et intéresse aussi bien l'entreprise que les consommateurs. En effet, ces derniers se soucient pour la protection de leurs données personnelles et financières par peur que ces informations soient divulguées ou utilisées de façon à nuire à leurs intérêts. Il est donc normal que les personnes qui envisagent d'avoir recours au commerce électronique cherchent à obtenir l'assurance que l'entreprise a mis en place des contrôles efficaces sur la protection de l'information et qu'elle veille à la confidentialité des renseignements personnels de ses clients. La confidentialité des flux d'informations est destinée à garantir la protection des échanges dont la divulgation ou l'accès par des tiers non autorisés porterait préjudice.
  12. 12. 12 Pour les traitements, elle est destinée à assurer la protection des algorithmes décrivant les règles de gestion et les résultats dont la divulgation à des tiers non autorisés serait nuisible. La confidentialité des données est destinée à protéger les données dont l'accès ou l'usage par des tiers non autorisés porterait préjudice. Il s'agit de donner l'accès qu'aux personnes habilitées tout en se basant sur des procédures formelles. B- l’impact des ERP sur les travaux d’audit financier4 Le risque d’audit est relié à l’expression d’une opinion sur les états financiers. C’est une donnée intrinsèque à toute mission d’audit des états financiers, du fait que celle-ci est basée sur des sondages et que l’auditeur peut commettre des erreurs. En d’autres termes, le risque d’audit est le risque acceptable par l’auditeur qu’il émette une opinion erronée quant à la fidélité des états financiers. Une mission d’audit ne peut, en effet, fournir qu’une assurance raisonnable et non pas absolue, que les états financiers sont exempts d’anomalies significatives. Afin de réduire ce risque d’erreurs, l’auditeur doit réaliser un audit de qualité lui permettant d’émettre une opinion adéquate sur les états financiers. Ceci implique qu’il doit rassembler une quantité suffisante et appropriée d’éléments probants et réaliser les procédures d’audit en temps opportun. Ceci dépendra du niveau du risque d’audit qu’il est prêt à assumer dans la réalisation de sa mission (Shaub, 1996). Pour prendre en compte le risque dans la planification et l’exécution d’un audit des états financiers, l’auditeur peut s’appuyer sur le modèle du risque d’audit qui se présente sous l’équation suivante : RA = RI x RNC x RND, où, RA : correspond au risque d’audit acceptable par l’auditeur, RI : correspond à la probabilité qu’une ou plusieurs assertions (déclarations) contenues dans les états financiers, contiennent des anomalies significatives, et ce, sans tenir compte du contrôle interne ; RNC : correspond à la probabilité que les contrôles mis en place par l’entité, ne puissent prévenir ou détecter et corriger en temps opportun, des anomalies significatives ; RND : est le risque que les procédés de détection (procédures analytiques et procédures détaillées), ne détectent pas les anomalies significatives contenues dans les états financiers. Au sein du modèle du risque, le RNC se présente comme une composante clé (Chen, Huang et Shih, 2006 ; Fogarty, Graham et Schubert, 2006). En effet, l’auditeur fixe le niveau de ce risque suite à sa compréhension du contrôle interne. C’est une tâche cruciale dans le processus d’audit des états financiers dans la mesure où elle permet à l’auditeur d’apprécier les risques d’anomalies, de planifier adéquatement sa mission et de déterminer la stratégie appropriée pour la réaliser (Patterson et Reed, 2007). À l’issue de cette compréhension, l’auditeur est en 4 Article universitaire « Le modèle du risque d’audit appliqué dans un environnement complexe de Technologies de l’Information. » N. Messabia et A. Elbekkali
  13. 13. 13 mesure de décider s’il entend s’appuyer ou non sur les contrôles existants pour exécuter sa mission. Cette décision aura un impact majeur sur la nature, l’étendue et le calendrier des procédures d’audit. L’utilisation du modèle du risque pour la conduite d’une mission d’audit n’est ni obligatoire ni indispensable. Cependant, le recours à ce modèle présente l’avantage d’offrir à l’auditeur une méthode systématique pour la prise en compte de tous les facteurs de risque qui peuvent avoir un impact sur l’exécution de sa mission. La démarche de l’auditeur devient ainsi empreinte d’une rigueur qui lui permet de mener une mission efficace et efficiente. Plus spécifiquement, l’utilisation du modèle du risque en audit des états financiers, permet à l’auditeur de mieux planifier sa mission et de mieux déterminer le risque que l’exécution des tests de corroboration entraîne l’expression d’une opinion sans restriction sur des états financiers contenant des anomalies significatives. 1. Les Technologies de l’information (TI) et le processus d’audit Le niveau de complexité de la planification de la mission d’audit est supérieur dans un environnement complexe de système d’information comptable tel qu’un système Entreprise Resource Planning- ERP (Brazel et al. 2007). L’audit réalisé par les spécialistes de l’Audit Informatique (SAI) peut maintenant représenter jusqu’à la moitié des travaux d’audit des états financiers (O’Donnell et al. 2000). À l’échelle individuelle, l’auditeur intervenant dans un environnement de TI, doit absolument posséder des compétences essentielles en informatique même dans le cas où le recours à un spécialiste s’impose. En effet, l’auditeur devra pouvoir communiquer clairement ses objectifs au spécialiste, valider les procédures qui seront menées par lui et évaluer les résultats de ces procédures et leurs effets sur l’étendue, la nature et le calendrier des procédures d’audit à réaliser. Aussi, l’auditeur est entièrement responsable du travail du SAI, qui selon les normes d’audit, ne sera considéré en aucune circonstance, comme externe à l’équipe d’audit, en termes de responsabilité. Par ailleurs, suite aux scandales financiers qui ont secoué les marchés financiers au début du siècle (Enron, Worldcom, etc.), de nouvelles réglementations financières (loi Sarbanes-Oxley ou SOX de 2002 aux États-Unis, la loi C-198 de 2002 au Canada et la loi de Sécurité Financière (LSF) de 2003 en France), ont eu pour effet d’exiger le renforcement des contrôles pour les organisations concernées par ces réglementations. C’est ainsi que la prise en considération par les auditeurs des contrôles en place qui, auparavant, était un moyen de limiter l’étendue de leur mission, est devenue une partie intégrée de cette mission (Bedard et al, 2005). Avec l’avènement de la loi SOX et des réglementations similaires, le risque que le système d’information ne soit pas adéquat au soutien de l’exploitation devient un élément crucial dans l’évaluation des contrôles au sein de l’entreprise. O’Donnell et al. (2000) évoquent un changement de paradigme dans le métier d’audit de systèmes d’information où l’on passe de l’audit des transactions comptables et des systèmes de contrôle de transactions vers l’appréciation de la fiabilité des systèmes d’information, redoublant ainsi la complexité du
  14. 14. 14 processus d’audit. Avec ce changement de paradigme, l’emphase est, désormais, mise sur les systèmes de contrôle interne qui gouvernent la conception, le développement, l’implantation et la surveillance des systèmes d’information ; domaines qui ne sont pas familiers pour les professionnels de la comptabilité. D’un autre côté, les TI créent des opportunités importantes d’un niveau élevé de contrôle qui sont absentes dans un système classique (Bell et al. 1998). Les ERP devraient mener à l’atténuation des risques inhérents et des risques de contrôle si tous les contrôles qu’ils comprennent sont correctement établis (Hunton et al. 2004). 2. L’appréciation des risques d’audit dans un environnement complexe de TI La loi SOX a influencé considérablement le travail des auditeurs. Au niveau de la littérature, les préoccupations des chercheurs ont à leur tour changé suite à l’entrée en vigueur de cette loi. Le tableau 1 présente les objectifs des recherches empiriques examinées selon qu’elles avaient été publiées avant ou après l’apparition de la loi SOX en 2002 et selon qu’elles avaient été publiées dans des revues comptables ou de Système d’information. Il importe de noter qu’en dépit de l’abondance de recherches empiriques traitant de la sécurité informatique, nous n’avons pas identifié une qui étudie le lien qui peut exister entre ce concept et l’appréciation par l’auditeur des différents risques associés à l’audit.
  15. 15. 15 3. Particularités de l’audit dans un environnement complexe de TI Les recherches empiriques ont permis de mettre en évidence de nombreuses particularités d’un environnement d’audit marqué par l’utilisation de TI ou de TI complexes, telles que les systèmes ERP. Bell et al. (1998) démontrent qu’il existe des différences significatives dans la fréquence et les causes des erreurs dans un système comptable informatisé traditionnel comparé à un système comptable manuel. Certains problèmes sont plus fréquents lorsque les systèmes comptables sont informatisés. Il s’agit des problèmes associés à la séparation des fonctions, au plan de contrôle, aux contrôles à base de sondage et à l’application inappropriée des contrôles internes. De ce fait, il est nécessaire selon les auteurs, de veiller à ce que la nature et la fiabilité de ces systèmes soient adéquatement considérées depuis les étapes précoces de planification d’une mission d’audit. En ce qui concerne les systèmes ERP, une des conséquences naturelles de l’intégration, caractéristique principale de ces systèmes, est la réduction de la séparation des fonctions. La possession par une personne d’un identifiant, un profil et un mot de passe peut lui accorder l’accès à tout module et à toute fonction dans l’organisation, ce qui n’a jamais été le cas avec les systèmes d’information classique (Wright et al. 2002). De surcroît, les ERP peuvent augmenter le risque de non-contrôle du fait que la vérification par les superviseurs est typiquement minimale et que les modules supplémentaires ajoutés au programme pour des fins de contrôle interne sont rarement bien intégrés au système ERP (Wright et al. 2002). Par ailleurs, le développement des TI dans les organisations conjugué à la globalisation informatisée de l’économie a amplement renforcé l’habilité à commettre des fraudes. La fraude informatique est définie comme étant tout comportement frauduleux lié à l’informatisation à travers lequel une personne tente de gagner un avantage indu (Seetharaman et al. 2004). L’introduction des transactions d’affaires virtuelles a aggravé dramatiquement le risque de fraude. La prévention et la détection des fraudes informatiques nécessitent la mise en place d’un programme intégré de sécurité qui commence par l’identification des faiblesses du système d’information en place. 3.1. Planification de la mission d’audit dans un environnement complexe de TI Certaines recherches empiriques montrent que les auditeurs ne sont pas tout à fait conscients des particularités d’un environnement complexe de TI qui sont de nature à affecter leur processus d’audit. D’autres montrent que les auditeurs sont conscients de ces particularités mais qu’ils manquent à les refléter dans leur planification d’audit. Les résultats de la recherche menée par Hermanson et al. (2000) révèlent que les auditeurs internes mettent l’emphase davantage sur les contrôles et les risques technologiques traditionnels tels que la garde des actifs informatiques, l’intégrité des données, la confidentialité et la sécurité. Ils
  16. 16. 16 accordent une attention minimale à l’implantation des systèmes, au système d’exploitation et au développement et acquisition des systèmes. Les auditeurs semblent ne pas être suffisamment conscients des différents risques associés à l’utilisation des ERP par leurs clients (Hunton et al. 2004). En particulier, le risque inhérent est souligné par la recherche de Wright et al. (2002) du fait de l’émergence de certains problèmes assez fréquents tels qu’une formation inadéquate du personnel ou une entrée inappropriée de données. Selon Bedard, et al (2005), trois types de facteurs de risque se sont avérés significativement associés à l’appréciation d’un niveau élevé du risque. Il s’agit des facteurs de risque relatifs aux activités de contrôle, à l’environnement de contrôle et à l’information/ communication. Seuls les deux derniers types de facteurs sont significativement associés aux décisions de planification d’audit. Cela signifie que les auditeurs sont conscients des facteurs de risques relatifs aux activités de contrôle (le premier type de facteurs) induit par les TI mais ils n’adaptent pas leurs décisions de planification d’audit en conséquence. En confrontant les résultats de la recherche de Bedard, et al (2005), à ceux de la recherche de Hunton et al. (2004), il serait raisonnable de conclure que les auditeurs financiers interrogés dans la première enquête n’étaient pas en mesure d’apprécier l’impact des facteurs de risque de système identifiés à cause de leur manque d’expertise en matière d’audit informatique. 3.2. Appréciation du risque de non-contrôle dans un environnement complexe de TI Le recours aux services d’un Spécialiste d’Audit Informatique (SAI) pour assister l’auditeur externe dans l’évaluation du contrôle interne du client est devenu nécessaire, de par les normes d’audit (telle que la norme SAS no 94, AICPA 2001) mais, il n’est pas suffisant. Selon, Brazel et al. (2007), l’auditeur lui-même, doit posséder une expertise minimale en la matière. L’expertise de l’auditeur en TI et la compétence du SAI affectent l’évaluation par l’auditeur du risque de non-contrôle, selon, Brazel et al. (2007). Les résultats de la recherche montrent que la probabilité que des risques liés au système ne soient pas identifiés est plus élevée quand la compétence du SAI est basse. Ils montrent également que les auditeurs sont sensibles à la compétence des SAI et que lorsqu’ils reçoivent une opinion positive sur les tests de contrôle fournie par un SAI peu compétent, ils considèrent élevé le risque de non-contrôle. Si l’incompétence du SAI est associée à un manque d’expertise en Systèmes d’Information Comptables (SIC) chez l’auditeur financier, alors il existe selon les chercheurs, un potentiel d’insuffisance d’audit. Pour ce qui est des systèmes ERP, théoriquement, leur implantation devrait mener à une diminution générale du niveau de risque grâce aux contrôles adéquats conçus par les fournisseurs de ces systèmes. Toutefois, dans la pratique, l’implantation d’ERP ne fait qu’amplifier les risques, à cause du fait que les contrôles en question ne sont que rarement
  17. 17. 17 établis de manière appropriée au départ et entretenus ultérieurement (Wright et al. 2002). Une des causes reconnues par les chercheurs quant au défaut des contrôles adéquats dans les ERP provient du fait que les consultants et les clients focalisent indument sur le besoin de lancer le système à une date donnée ce qui les amène à négliger des activités critiques de réingénierie des processus d’affaires (Wright et al. 2002). Quand un dépassement du budget dédié à l’implantation du système se manifeste, et si l’entreprise décide de couper dans certaines dépenses afin de limiter le dépassement, ce sont souvent les fonctionnalités de contrôle et de sécurité qui sont les premières à se voir coupées (Wright et al. 2002). La recherche d’O’Donnell et al. (2000) portant sur la démarche de prise de décision en groupe montre que les groupes réalisent de meilleures et de plus complètes évaluations que celles réalisées par des individus. La performance est meilleure quand les groupes réévaluent les contrôles du système après que les membres les ont évalués individuellement. 4. Limite du modèle de risque d’audit dans un environnement complexe de TI La forme multiplicative du modèle du risque d’audit telle que définie par les normes américaines de l’AICPA, est largement remise en question dans la littérature (Dusenbury et al. 2000, Messier et al. 2000, Huss et al. 2000). En effet, la forme multiplicative sous-entend que les appréciations des trois composantes du risque d’audit (RI, RNC et RND) sont indépendantes les unes des autres. C’est notamment l’hypothèse que le risque inhérent et le risque de contrôle soient appréciés d’une manière totalement indépendante qui est largement critiquée par la littérature. En dépit des critiques portant sur cette hypothèse, le maintien par la norme américaine SAS 107 publiée par l’AICPA en 2006, laisse entendre que l’effet de l’interdépendance entre les facteurs du modèle n’a pas été jugé assez significatif pour remettre en question sa validité. Néanmoins, de nombreuses recherches empiriques ont mis en évidence la complexité de l’appréciation du risque inhérent et du risque de non-contrôle dans un environnement complexe de TI, tel qu’un système ERP. Ceci nous amène à nous questionner sur la possibilité que la sophistication des TI constitue un catalyseur de l’interaction entre les appréciations faites aux éléments du modèle. En particulier, l’appréciation du risque inhérent et celle du risque de non-contrôle dans un environnement complexe de TI peuvent s’avérer aussi interdépendantes que l’application du modèle dans sa forme multiplicative devienne absurde. A nos jours, il n’existe aucune recherche qui a questionné la validité du modèle du risque d’audit dans un environnement complexe de TI. Pourtant, plusieurs recherches démontrent que la planification d’une mission d’audit aussi bien que l’appréciation du risque inhérent et du risque de non-contrôle diffèrent considérablement selon que l’audit se déroule dans un environnement complexe ou dans un environnement traditionnel de TI. Nous croyons que le recensement et la synthèse de la littérature qui a été menés aussi bien que les voies de
  18. 18. 18 recherche qui ont été identifiées par Nabil Messabia5 et Abaelnaq Elbekkali6 sont les seules références bibliographiques trouvées en la matière. 5 Doctorant, université de Sherbrooke, Canada 6 Professeur agrégé, université de Sherbrooke, Canada.
  19. 19. 19 Partie IV : Cas empirique- Travaux d’audit lors de la phase de mise en place de l’ERP J.D.Edwards7 dans une société pétrolière A/ Détermination de la cartographie des systèmes Au cours de la phase préliminaire de compréhension du système d'information de la société, nous avons été amenés à schématiser la structure de ce système sous forme de cartographie. Cette cartographie permet de : - Déterminer la relation entre les états financiers et les systèmes qui les génèrent ; - Identifier les environnements et les applications informatiques à aborder au cours de la revue générale des contrôles généraux informatiques ; - Déterminer quelles fonctions et quels systèmes informatiques doivent être revus pour chaque cycle (revenus et comptes clients, achats et comptes fournisseurs, stocks, immobilisations, paie, trésorerie). Ces travaux sont, généralement, menés d'une façon conjointe entre l'auditeur financier et l'auditeur informatique. La collecte de l'information s’est fait en discutant avec les responsables opérationnels, les responsables financiers et les responsables informatiques ainsi qu'en examinant la documentation existante. La cartographie a permis d'identifier les principaux cycles dont les données sont principalement issues des traitements informatiques, les principales activités au sein de chacun des cycles, la conduite de ces activités, les systèmes sous-jacents de chacune des activités au sein des cycles, les environnements informatiques sur lesquels les systèmes fonctionnent et les autres systèmes à prendre en compte dans la planification de l'audit. L'alimentation de la comptabilité générale par les données relatives aux opérations de facturation, de gestion des immobilisations, de gestion de la distribution, de gestion des bons d'essence et de gestion de la paie du personnel se fait d'une manière automatisée. En effet, les applications comptables des ventes et gestion de la paie du personnel ont été toutes développées sur une même plate-forme (système de fichiers sous AS/4008 ). La saisie des données, précédemment mentionnées, se fait au niveau des modules de J.D.Edwards (comptabilité clients, comptabilité fournisseurs, gestion des immobilisations) et de l'application de gestion de la paie du personnel. 7 J.D.Edwards : Progiciel de Gestion Intégré créé à Denver en 1977. La société PeopelSoft a acquis J.D.Edwards au cours de l'année 2003. 8 AS/400 : « Advanced System/400 » est une architecture composée d'éléments matériels et logiciels, comportant notamment une base de données et des éléments de sécurité avancés. Le système d'exploitation de l'AS/400 est appelé OS/400 «Operational System/400 » (Produit IBM).
  20. 20. 20 Elles seront, par la suite, automatiquement imputées dans la comptabilité générale au niveau du module de la comptabilité général de J.D.Edwards. L'application de gestion des bons d'essence est interfacée avec J.D.Edwards. via le progiciel SWAT Le système informatique de la société étudiée comporte aussi d'autres applications qui ont été développées par la maison mère pour des besoins techniques. Pour une meilleure compréhension du système informatique de la société auditée, nous avons décrit les différentes applications informatiques, est ce, en précisant les informations illustrées dans le tableau suivant : Nature Serveur Système d'exploitation Direction utilisatrice Modules : · Comptabilité clients ; · Comptabilité fournisseurs ; · Comptabilité générale ; · Gestion des immobilisations ; · Distribution / Logistique ; · Système de gestion de la production. AS/400 Windows NT · Direction Financière · Direction Financière · Direction Financière · Direction Financière · Direction d'approvisionnement · Direction de la production Messagerie Lotus Notes9 Windows NT Windows NT Toutes les directions Gestion de la paie AS/400 Windows NT Direction Ressources Humaines Gestion des bons d'essence SWAT Windows NT Agences Gestion des dépôts Windows NT Windows NT Agences Gestion des ventes AS/400 Windows NT Toutes les directions 9 Lotus Notes : Logiciel de messagerie interne «Intranet » (Produit IBM)
  21. 21. 21 B/ Evaluation du système d’information 1. Objectifs à atteindre Nous avons testé un ensemble de contrôles mis en place par la société pour couvrir les risques informatiques potentiels. Ces contrôles sont classés selon les modules et les thèmes suivants : - La sécurité des données et le contrôle des accès « J.D.Edwards Security » ; - Les données permanentes «Master Data » ; - La comptabilité clients «Accounts Receivables » ; - La comptabilité fournisseurs «Accounts payables » ; - Les immobilisations «Fixed Assets » ; - Le stock «Energy Chimical Solution » ; - La comptabilité générale «General Ledger » ; - Les rapports d'intégrité «Integrity reports ». Les résultats des tests sont synthétisés selon un système de scoring qui permet de renseigner sur le niveau de confiance à accorder à l'environnement informatique de la société. 2. Description des contrôles effectués 2.1. Contrôles et tests des modules du progiciel J.D.Edwards Dans ce qui suit, nous allons citer les principaux contrôles ainsi que les tests s'y rapportant module par module. 2.1.1. Les données permanentes «Master Data » Les données permanentes correspondent aux données de base du système d'information dont la fréquence de modification est relativement faible. Chaque donnée doit être unique dans la base de données. Les principales données permanentes sont : - Les données de base relatives aux clients : raison sociale, adresse, personnes à contacter, plafond de crédit, remises, etc... - Les données de base relatives aux fournisseurs : raison sociale, adresse, personnes à contacter, RIB, etc... - Les données de base relatives aux produits : désignation, référence, composition, prix, TVA, etc... - Les données de base relatives aux immobilisations : désignation, référence, taux d'amortissement, etc... - Les données de base relatives à la comptabilité : plan des comptes, instructions automatiques de comptabilisation, taux de changes, etc...
  22. 22. 22 - Les données de base relatives à la production : articles de base, réservoirs, véhicules, dépôts, filiales, usines, etc... Pour chaque groupe de données (Fournisseurs, Clients, Immobilisations, Banques, taux de change, etc...), un seul propriétaire doit être désigné. Ce propriétaire est responsable du suivi des autorisations de modification apportées aux données permanentes et aussi de la revue de ces modifications. Compte tenu de la sensibilité et de l'importance des données permanentes, des contrôles clés informatisés devraient être mis en place afin de s'assurer que leurs mises à jour (création, modification, suppression) ont été faites d'une manière correcte et autorisée et que ces mises à jour sont contrôlées à posteriori à travers l'édition des logs d'audit. Les contrôles clés informatisés appliqués sur les données permanentes sont généralement traduits, en pratique, par des procédures de mise à jour et de maintenance des données permanentes que l'auditeur sera amené à tester leur niveau d'application. La procédure de mise à jour et de maintenance des données permanentes permet de définir : - L'identité des personnes habilitées à mettre à jour les données permanentes ; - La nature des documents autorisant la mise à jour des données permanentes ; - L'identité des personnes habilitées à revoir et à valider ces mises à jour. Afin de s'assurer du niveau de sécurité des données permanentes de la société nous avons testé le niveau d'application des procédures. Le tableau ci-après présente les contrôles qui doivent exister au niveau des données permanentes et les tests s'y rapportant : Contrôles clés Tests effectué Toute donnée permanente doit être unique dans la base de données. Discuter avec le responsable la procédure relative aux changements apportés aux données permanentes (l'initiateur, la personne qui approuve la demande, le responsable de la modification et le contrôleur) ; Toutes les données permanentes doivent être présentées avec des séparations claires des propriétaires ; Revoir l'historique des demandes de modification ; Examiner les dernières modifications apportées aux données permanentes à travers les logs d'audit ;
  23. 23. 23 Les changements et les mises à jours apportés aux données permanentes doivent être autorisés et revues par une personne indépendante (selon la procédure). Tester sur un échantillon de modifications le niveau de conformité avec la procédure ; Examiner les logs d'audit correspondants aux modifications pour s'assurer du respect de la procédure : l'auditeur doit vérifier le nom de la personne qui exécute les demandes de changement, le nom de la personne qui contrôle la régularité de ces changements, la date de modification, l'ancienne valeur et la nouvelle valeur. Données permanentes de la comptabilité : Revoir les derniers changements apportés aux instructions automatiques de comptabilisations 2.1.2. Sécurité de JDE La finalité principale de la revue des contrôles automatisés au niveau de J.D.Edwards est de fournir à la Direction une assurance raisonnable quant à l'intégrité et la fiabilité du traitement des données. Pour atteindre et confirmer cette assurance, l'équipe d'audit doit focaliser une partie de ses travaux sur la revue des contrôles appliqués au niveau de l'organisation, des environnements, des menus et des procédures afin de garantir la sécurité de J.D.Edwards. Les contrôles se résument aux points suivants : Contrôles clés Tests Ségrégation des tâches : Une ségrégation efficace des tâches doit exister dans l'environnement informatique. Dénombrer les utilisateurs qui ont un cumul de tâches incompatibles ; Divisez ce chiffre par le nombre total d'utilisateurs ayant un profil sous AS/400 et sous J.D.Edwards. Ce pourcentage est utilisé pour la notation.
  24. 24. 24 Contrôles clés Tests Environnements informatiques : Les environnements informatiques doivent être limités à ceux de production, de test et de développement. Exécuter le programme "F0094"pour déterminer le nombre d'environnements informatiques existants ; Exécuter le programme "F0093" pour Identifier les droits d'accès attribués aux utilisateurs pour les différents environnements informatiques. Commandes Systèmes10 : Le lancement des commandes systèmes devrait être restreint convenablement. Identifier les droits d'accès attribués aux utilisateurs pour ces fonctionnalités dans l'environnement informatique en exécutant le programme " F0093" ; Discuter les résultats obtenus avec l'administrateur du système et obtenir des explications pour tous les utilisateurs bénéficiant de cet accès. Accès rapide (Fast Path) : Description: J.D.Edwards permet l'accès rapide à ses modules et rapports standards en utilisant des commandes spécifiques (exp. : l'exécution de la commande "G09" permet l'accès rapide à la comptabilité générale G/L). Les accès rapides doivent être restreints convenablement. Exécuter le programme "F0092" pour identifier les droits d'accès attribués aux utilisateurs dans les environnements informatiques ; Discuter les résultats obtenus avec l'administrateur du système et obtenir des explications pour tous les utilisateurs bénéficiant de cet accès. Ouverture et fermeture des périodes comptables : La possibilité d'ouvrir et de fermer les périodes comptables doit être limitée à un nombre restreint d'individus. Exécuter le programme "P00105" pour identifier les personnes qui ont la possibilité d'ouvrir et de fermer les périodes comptables. 10 Commandes Systèmes : sont des requêtes lancées par l'administrateur J.D.Edwards (le premier responsable du système J.D.Edwards) pour extraire des données de base du système
  25. 25. 25 Contrôles clés Tests Création de profils utilisateurs : Une procédure adéquate doit exister pour le suivi de la création de nouveaux profils utilisateurs sous JDE. La procédure doit inclure une estimation adéquate de la ségrégation des tâches. Discuter avec le responsable J.D.Edwards l'existence de telle procédure ; Tester le cas de profils récemment créés. Droits d'accès : Les droits d'accès des utilisateurs sous JDE devraient être annulés ou changés d'une façon adéquate lorsque ces derniers sont transférés ou ont quitté la société. Discuter avec la responsable J.D.Edwards l'existence de telle procédure ; Editer la liste des profils des utilisateurs à partir du système ; Tester des échantillons de profils. 2.2. Documents utilisés Au cours de la mission, l'auditeur doit avoir à sa disposition plusieurs documents qui lui servent de base pour ses travaux de contrôles. Ces documents sont soit des rapports générés à partir du système ou bien des procédures propres à la société. Dans ce qui suit, on présentera les documents important que nous ayons consulté dans le cadre de travaux de revue de l’ ERP. Logs d'audit ou Auditrons : Se sont des journaux édités par le système par l'exécution de commandes spécifiques. Ces journaux retracent toutes les opérations de changement (créations, modifications, suppressions) faites au niveau des fichiers permanents tels que le fichier fournisseurs « supplier file », fichier clients « customer file », gestion des tiers « Address Book », le programme d'ajustement et de prix « Price and Ajustement Schedule ». Dans ces rapports, on trouve le nom de la personne qui exécute les demandes de changement, le nom de la personne qui contrôle la régularité de ces changements, la date de modification, l'ancienne valeur et la nouvelle valeur.
  26. 26. 26 Les procédures de contrôle des auditrons : Les Logs d'audit doivent être contrôlés pour identifier les actions non autorisées et les éviter dans le futur. Pour que le contrôle soit bénéfique, il doit obéir à une procédure formalisée et bien définie. Ce document indique le but de la procédure de contrôle des auditrons, les personnes intervenantes, la périodicité d'édition, les responsabilités, les modalités pratiques et les applications. Les rapports d'intégrités : Les rapports d'intégrité présentent les problèmes d'intégration qui peuvent exister entre les soldes des comptes des différents modules de J.D.Edwards « A/R, A/P,F/A, etc » et leur imputation directe au niveau de la comptabilité générale « G/L ». Ces rapports sont une partie intégrale du système J.D.Edwards. Ils doivent être édités : - Durant l'installation de J.D.Edwards et suite à la migration des données. - Quotidiennement, pour la majorité de ces rapports. Si ces rapports ne sont pas édités régulièrement, l'intégrité des donnés peut être affectée, ce qui représente un grand risque : « High Risk of Data Integrity Issues ». L'examen des rapports d'intégrités aide à : - S'assurer que le système fonctionne correctement ; - Corriger tout problème à temps d'une manière efficiente. Les rapports d'intégrités qu'on peut extraire de J.D.Edwards sont les suivants : Comptabilité Fournisseurs : A/P · Le rapport P047001 compare les soldes de la comptabilité fournisseurs dans le module comptabilité fournisseurs aux soldes des comptes fournisseurs imputés dans la comptabilité générale. · Le rapport P04701 vérifie que le montant global de chaque lot dans la comptabilité Fournisseurs est égal aux montants correspondants dans la comptabilité générale. Comptabilité clients : A/R · Le rapport P03702 compare chaque lot des montants bruts reçus inscrit à la comptabilité clients avec la table clients de la comptabilité générale.
  27. 27. 27 · Le rapport P03701 vérifie que chaque Lot de la comptabilité clients, qui lui correspond le total des montants reçus, est équilibré avec les Lots correspondants dans la comptabilité générale. Immobilisations : F/A · Le rapport P127011 compare les soldes enregistrés à la table comptabilité immobilisations aux soldes de la table de la Comptabilité Générale. · Le rapport P12301 identifie toutes les transactions qui ont été inscrites dans la Comptabilité Générale et devraient être, mais ne le sont pas encore, inscrites dans la comptabilité des immobilisations. Comptabilité Générale : G/L · Le rapport P007011 présente la liste des lots non encore comptabilisés en se basant sur la table de contrôle des lots. · Le rapport P007031 liste les lots qui sont affectés mais non équilibrés. La différence apparaît dans le rapport. · Le rapport P097001 présente la balance nette de chaque société. · Le rapport P09705 montre la divergence de chaque période entre les soldes de la balance et les soldes dans la comptabilité générale. · Le rapport P097021 montre les divergences des montants au niveau des sociétés entre la comptabilité et les tables des comptes. Stocks : ESC · Le rapport P41543 montre les types de divergences entre les tables de comptabilité des stocks et celles de la comptabilité générale : - Le détail de l'article en stock existe sans avoir une correspondance avec la comptabilité générale. - L'article n'est pas équilibré avec son correspondant de la comptabilité générale. · Le rapport P41544 montre les divergences pour les quantités et les montants entre la comptabilité des stocks et la comptabilité générale. Les droits d'accès : Se sont des fiches formalisées qui définissent les droits d'accès des utilisateurs aux différents menus du système, tout en respectant le profil de chacun. Afin d'éviter toute confusion dans l'attribution des droits d'accès, chaque demande de création, modification et suppression de profil utilisateur devraient préciser :
  28. 28. 28 - Le groupe auquel le nouvel utilisateur doit appartenir ; - Les droits supplémentaires à accorder. Les droits d'accès « Action Code Security » par programme de chaque groupe d'utilisateurs doivent être formellement définis. Un descriptif fonctionnel de chaque programme est élaboré et présenté au responsable utilisateur concerné. · Action code report : C'est un rapport édité pour chaque dossier faisant partie des fichiers permanents «Master files ». Ce document présente les identités des groupes d'utilisateurs « User Id » qui ont le droit de modifier, créer, supprimer des données au niveau des fichiers permanents. Pour chaque groupe, le rapport présente le profil de l'utilisateur assigné ainsi que les sécurités attribuées. · Les règles de gestion « Order Acivity Rules » : Ces documents présentent l'enchaînement logique des processus d'activités d'une société utilisant J.D.Edwards. Se sont les règles de gestion de la société. Les traitements sont codifiés de façon automatique. Il faut nécessairement passer d'une étape à l'étape qui la succède. Chaque passage d'une étape à une autre doit être autorisé par une personne désignée. 3. Synthèse des travaux de contrôle interne A l'issue de la revue des contrôles existants au niveau des différents modules du progiciel de gestion intégré J.D.Edwards (la revue du niveau d'existence et d'application de ces contrôles), nous avons relevé les points qui, peuvent affecter le niveau de contrôle au niveau des processus de la société. Sur la base de ces travaux, a été fixé le choix de la stratégie d'audit qui est fonction du niveau de confiance dégagé pour chaque process.
  29. 29. 29 CONCLUSION Suite à la libéralisation des marchés et face à la menace accrue de la concurrence, les sociétés sont à la recherche des moyens les plus développés qui leurs permettraient d'améliorer leur compétitivité et d'atteindre leurs objectifs à savoir la création de valeur. Les nouvelles technologies de l'information, et en particulier les ERP, ont constitué, durant les deux dernières décennies, l'un de ces principaux moyens de développement. En effet, la majorité des entreprises, aussi bien les petites et moyennes entreprises que les grandes firmes internationales, s'appuient actuellement sur des systèmes d'informations construits autour des ERP. Dans ce nouveau paysage qui caractérise la majorité des entreprises, les auditeurs se trouvent face à des systèmes présentant des informations de plus en plus disponibles, intègres et sécurisés. Cependant, ces systèmes sont, parfois si complexes, que leur exploitation nécessite une expertise particulière. Ainsi, la maîtrise des risques inhérents à ce système dépasse les compétences d'un auditeur utilisant uniquement, des méthodologies et des outils traditionnels, et nécessite parfois le recours à des experts informatiques. Ce n'est pas à un changement de métier, mais à une évolution des méthodes et des outils de travail que doit se préparer l'auditeur. Les auditeurs qui se cantonneront à la comptabilité seront progressivement ravalés à un rôle secondaire et risquent de voir restreindre leurs interventions à quelques opérations de haute technicité comme l'arrêté des états financiers, ou la préparation des déclarations fiscales ou sociales spécifiques. Les auditeurs devraient, par conséquent, se mettre à niveau et ce, par le développement de leurs connaissances et compétences afin de pouvoir jouer un rôle majeur dans tous ces nouveaux domaines, et réévaluer encore plus leurs apports pour les entreprises. Parmi les outils et les méthodologies qu'un auditeur financier gagnerait à maîtriser et adopter lors de ses missions, il convient de citer le référentiel COBIT. Ce référentiel, développé et maintenu par l'ISACA traite en particulier les domaines de la stratégie et l'organisation informatique, de l'acquisition et l'implémentation des systèmes informatiques, de l'exploitation et la maintenance des systèmes informatiques et du contrôle et suivi de la fonction informatique.
  30. 30. 30 Bibliographie Auteurs GERARD PETIT, DANIEL JOLY et JOCELYN MICHEL ; Guide pour l'audit financier des entreprises informatisées, Edition CLET, 1985. JOCELYN MICHEL ; Guide pour l'audit opérationnel de l'informatique et des systèmes d'information, Edition CLET, 1989. MARC THORIN ; L'audit informatique, Edition PUBLI-UNION, 2000. ABDERRAOUF YAICH ; La profession comptable et les nouvelles technologies de l'information et de la communication, La revue Comptable et Financière RCF, N° 53 THOMAS DAVENPORT et NITIN NOHRIA ; Recollez le travail au lieu de le diviser ! , l'expansion Management Review , Automne 1994, LEQUEUX Jean-Louis, Manager avec les ERP, Edition Organisation, 2002 N. Messabia et A. Elbekkali ; Article universitaire « Le modèle du risque d’audit appliqué dans un environnement complexe de Technologies de l’Information. Yves de Rongé (Louvain) ; L’IMPACT DES ERP SUR LE CONTRÔLE DE GESTION: UNE PREMIÈRE ÉVALUATION, FINÉCO, volume 10, année 2000 Mémoires et thèses Bacem Jarraya ; « Revue du module « comptabilité clients » du progiciel JD EDWARDS d'une société pétrolière dans le cadre d'une mission d'audit financier » mémoire en vu de l’obtention du Master spécialisé Nouvelles Technologies & Gestion Comptable, Financière et Fiscale Aché Missamou ; « Management d’un projet ERP : Harmonisation des systèmes d’information dans le cas d’une fusion » mémoire en vu de l’obtention d’une maitrise en science de gestion. Webographie : · Http:// www.sécurité-informatique.enligne-fr.com · Http:// www.audit-informatique.fr · Http:// www.clusif.asso.fr · Http:// www.afai.asso.fr · Http:// www.audit.com · Http:// www.itaudit.org · Http:// www.isaca.org · Http:// www.erp.com · Http:// www.issa.org · Http:// www.jde.fr
  31. 31. 31 Table des matières Introduction...........................................................................................................................1 Partie I : L’ERP et ses apports :...............................................................................................3 1. Définitions de l'ERP .............................................................................................................................. 3 2. Caractéristiques d'un ERP..................................................................................................................... 3 3. Les Apports des ERP............................................................................................................................. 5 Partie II : L'implantation d'un ERP .........................................................................................7 1. Migrations des données ....................................................................................................................... 7 2. Mise en exploitation, test et évaluation................................................................................................ 8 3. Accompagnement au changement ....................................................................................................... 8 4. Maintenance et Support du produit...................................................................................................... 8 Partie III : De l’audit des ERP vers l’impact sur les travaux d’audit financier..........................9 A- Audit des ERP....................................................................................................................................... 9 1. Composantes d'un ERP..................................................................................................................... 9 2. Objectifs d'audit d'un ERP .............................................................................................................. 10 B- l’impact des ERP sur les travaux d’audit financier............................................................................... 12 1. Les Technologies de l’information (TI) et le processus d’audit......................................................... 13 2. L’appréciation des risques d’audit dans un environnement complexe de TI..................................... 14 3. Particularités de l’audit dans un environnement complexe de TI..................................................... 15 3.1. Planification de la mission d’audit dans un environnement complexe de TI ............................ 15 3.2. Appréciation du risque de non-contrôle dans un environnement complexe de TI ................... 16 4. Limite du modèle de risque d’audit dans un environnement complexe de TI................................... 17 Partie IV : Cas empirique- Travaux d’audit lors de la phase de mise en place de l’ERP J.D.Edwards dans une société pétrolière .............................................................................19 A/ Détermination de la cartographie des systèmes.................................................................................... 19 B/ Evaluation du système d’information.................................................................................................... 21 1. Objectifs à atteindre....................................................................................................................... 21 2. Description des contrôles effectués................................................................................................ 21 2.1. Contrôles et tests des modules du progiciel J.D.Edwards........................................................ 21 2.1.1. Les données permanentes «Master Data » .................................................................... 21 2.1.2. Sécurité de JDE.............................................................................................................. 23 2.2. Documents utilisés................................................................................................................. 25 3. Synthèse des travaux de contrôle interne....................................................................................... 28 CONCLUSION........................................................................................................................29 Bibliographie ……………………………………………………………………………………………………..…………..29

×