Magazine Entreprise

Audit des systèmes d’information : les points d’attention particuliers

Publié le 13 octobre 2010 par Auditsi

Généralement, les risques liés au fonctionnement courant du système d’information sont cernés par le commissaire aux comptes et intégrés dans son approche de la mission. Mais tout système comprend des exceptions qui dérogent aux règles de contrôle interne. Le système d’information n’échape pas à cet état de fait. Ces exceptions sont nécessaires au bon fonctionnement de l’entreprise, elle lui confère une meilleure réactivité. Il est crucial pour le commissaire aux comptes de déceler ces exceptions et d’évaluer leur nuisance potentielle, car mal maîtrisées en interne, elles peuvent s’avérer très  préjudiciables à la pérennité de l’entreprise.

Exemples de points particuliers que le commissaire aux comptes aura à cœur d’analyser :

  • Dévelopement et maintenance des systèmes : la mise à jour des systèmes s’accompagne de temps  d’indisponibilité des systèmes, de modifications dans la structure des tables de données. Les parties de logiciel mises à jour peuvent comprendre des erreurs de programmation (bogues) plus ou moins visibles. Pour contrer ces erreurs et éviter de compromettre les données informatiques de l’entreprise, des tests doivent être réalisés sur des jeux d’essai. Par ailleurs, il est judicieux de s’assurer que les développements informatiques sont au moins supervisés en interne et qu’ils font l’objet d’un cahier des charges précis (surtout s’ils sont externalisés).
  • Traitements particuliers : certains traitements sont effectués occasionnellement (une fois par an) sur des applications non maîtrisées par la DSI voire par la DG (feuilles de calcul EXCEL par exemple). Ces traitements ne sont généralement pas sécurisés, échapent aux règles de contrôle interne paramétrés dans les systèmes informatiques centralisés et sont susceptibles de se révéler destructeurs de valeurs. Pourtant ces traitements concernent des postes entiers des états financiers  (calcul des primes et congés payés, des RFA, des dépréciations de créances, valorisation des stocks) ou des pans importants des données du systèmes (mise à jour en masse de données ou de grilles tarifaires… ). Le commissaire aux comptes doit sensibiliser la direction sur les conséquences potentielles qu’une erreur sur un calcul ou une mise à jour de données peut avoir sur l’entreprise et intégrer ce risque dans son approche.
  • Utilisateurs à droits d’accès élargis (superprivilèges) : l’identification et la traçabilité de ces utilisateurs doivent être mises en place (point déjà évoqué dans un précédent post).

Retour à La Une de Logo Paperblog

A propos de l’auteur


Auditsi 2 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Magazines