► Objectifs et valeur ajoutée de la mission d’audit IT

L’audit IT permet d’évaluer le système informatique d’une entreprise, ainsi que le niveau de contrôle des risques associés à ses activités informatiques.

L'audit ITest outil de contrôle qui s’assure que l’organisme répond à trois critères :

Conformité aux lois
Fiabilité des informations financières
Optimisation des opérations

S’engager dans une approche d’audit IT permet de mettre en lumière les risques théoriques, mais aussi de détecter les éventuelles erreurs ou fraudes dans les processus de gestion informatique afin d’apporter un ensemble de recommandations d’améliorations alignées aux bonnes pratiques.

Contexte

Les risques liés au système informatique sont de plus en plus importants en raison de la forte automatisation des différents processus opérationnels et financiers. En effet, l’environnement informatique des entreprises intègre désormais de nombreuses fonctionnalités ayant un impact direct sur ces activités.

De plus, les flux d’informations dématérialisés, avec le développement de systèmes EDI (Échanges de Données Informatisés), complexifient la maîtrise de l’information contribuant à la production des états financiers.

Valeur ajoutée de l’audit IT

Pour l’entreprise auditée, l’audit IT permet :

la mise à disposition d’une cartographie schématisant l’ensemble des applications métiers et les interfaces entre elles
l’identification des défaillances et risques liés au Système d'Information (SI)
la mise à disposition d’un ensemble de recommandations alignées aux bonnes pratiques de gestion informatique
la mise en place d’un plan d’action pour l’amélioration de la gestion de la sécurité informatique

Pour le commissaire aux comptes de l’entreprise, il complète la prise de connaissance de l’entreprise en évaluant ses risques IT. Il permet d’avoir une meilleure assurance sur la fiabilité et l’efficacité des informations produites par l’entreprise (IPE).

Au regard des conclusions de l’audit, la définition de la taille des échantillons et la part des contrôles substantifs sont réduites.

La réalisation de l’audit IT participe, en outre, au respect des normes d’exercice professionnel :

NEP 240 : demande aux commissaires aux comptes d’être acteurs dans la détection de fraude interne ou externe et de toute opération pouvant altérer l’intégrité des informations comptables ou financières.
NEP 220 : La norme recommande aux commissaires aux comptes de prendre connaissance du système d’information et des processus opérationnels y afférents, qui ont un rapport avec l’élaboration de l’information comptable et financière.
NEP 315 : Il est recommandé aux commissaires aux comptes de prendre connaissance des procédures de contrôle interne en place et notamment celles portant sur le système d'information relatif à l'élaboration de l'information financière.

Les différents types d’audits

En fonction des caractéristiques de l’entreprise (taille et chiffres d’affaires) et la complexité de son système d’information, différents audits peuvent être mis en œuvre :

Prise de connaissance du système d’information

La prise de connaissance du SI couvre la partie conception « Design » des contrôles généraux informatiques.

Pendant cette intervention, l’auditeur IT revoit l’organisation de la direction informatique, la cartographie applicative et s’assure de la mise en place et la formalisation de toutes les procédures informatiques, ainsi que de la sécurisation du parc informatique.

Contrôles généraux informatiques (ITGC)

Les ITGC ont trait à l’environnement dans lequel les systèmes d’applications informatisées sont développés, maintenus et opérés.

Les objectifs des ITGC sont d’assurer le développement et l’implantation corrects des applications, l’intégrité des programmes, des fichiers de données et des opérations informatisées.

Les principaux points de contrôle réalisés lors d’un audit ITGC sont la :

Gestion de la sécurité logique
Gestion de la sécurité physique
Gestion de l’exploitation informatique
Gestion des changements et évolutions applicatifs

Contrôles des applications informatiques (ITAC)

Les ITAC sont des contrôles appliqués aux traitements des transactions réalisées dans les applications.

Le but de ces contrôles est de fournir une assurance raisonnable sur la complétude, l’exactitude, la validité et la correcte autorisation des transactions effectuées.

Intervention dans le cadre d’audit de conformité : audit RGPD

Cet audit est réalisé pour évaluer le niveau de maturité des entreprises par rapport aux exigences du RGPD afin de définir un plan d’action permettant de remédier aux risques de non-conformité identifiés.

Les objectifs de cet audit sont de :

Vérifier que les démarches entreprises par les sociétés permettent d’être en conformité avec les exigences du RGPD
Identifier les écarts de conformité par rapport aux exigences du RGPD
Définir un plan de mise en conformité

Une démarche en 4 étapes, efficace et approuvée

La durée de l’intervention des auditeurs peut varier en fonction des processus mis en place dans l’entreprise et de la méthodologie employée.

Vous souhaitez obtenir des informations complémentaires concernant ces informations ou la mise en œuvre d’un audit IT ?

Vous souhaitez solliciter un expert de l'audit IT ?

Votre demande a bien été envoyée. En cette période de fin d'année, nos délais de réponse pourraient être légèrement allongés. Toute l'équipe vous adresse ses meilleurs vœux !

Une erreur est survenue.