Audit dans l’environnement informatique
- Définition et objectifs de la prise de connaissance
Elle doit permettre d’apprécier :
- La complexité du système et notamment les données issues de celui-ci figurant dans les états financiers : o Le volume des opérations concernées o Les traitements effectués par le système o La part de l’automatisme dans la génération des écritures o Le lien entre les différentes applications o Les échanges avec les tiers
- Le degré de centralisation du traitement informatique dans l’entité, de dépendance envers un produit, un homme.
- Le niveau de disponibilité des données et les phases de contrôle intégrées dans la chaîne de production de l’information
La prise de connaissance des traitements informatiques aboutissant plus particulièrement aux données d’ordre financier, permet à l’auditeur de localiser les fichiers, traitements et contrôles clés sur lesquels il peut s’appuyer lors de son audit.
- Portée de la prise de connaissance
Elle comporte les étapes suivantes :
- Description de l’environnement informatique : organisation au sein de l’entreprise (en interne et en relation avec les tiers externes : fournisseurs logiciels, matériels, maintenance), stratégie informatique (place de l’informatique dans le système d’information de l’entité schéma directeur), objectifs suivis dans l’informatisation des tâches, capacité d’évolution, applicables existantes et liens entre elles ;
- Description des procédures informatiques : séparation des fonctions, sécurité physique et logique, sauvegarde des données et applications, plans de secours, liens avec les autres systèmes de l’entreprise (dont comptable), gestion des fonctions développement et exploitation, documentation (schéma directeur, supports éditeur et utilisateur) et documents (compte-rendu historique des évolutions et versions, journaux des traitements, des incidents)
- Tests de procédures : pour appréhender le chemin de l’information, s’assurer de