Logiciel d'audit et de révision pour commissaires aux comptes et experts comptables 

Missions d’audit informatique: analyse du portefeuille clients

L’analyse du portefeuille client doit permettre d’avoir une vision d’ensemble de sa composition. Elle doit également mettre en lumière les attentes des clients et les besoins de réponses à des risques spécifiques identifiés au cours des missions d’audit antérieures.

Elle permettra dans un deuxième temps de cibler, de définir des priorités et des axes de développement.

 Nous proposons d’aborder cette analyse en prenant en considération les aspects suivants :

  • le degré d’informatisation des clients: il s’agit d’analyser la complexité et la dépendance des clients par rapport à leurs systèmes informatiques ;
  • les demandes et les attentes des clients: il s’agit d’apprécier les demandes exprimées ou non (notion de besoins émergés) ;
  • et enfin, les risques avérés chez les clients: il s’agit de prendre en compte les risques jugés très significatifs relevés par les équipes d’audit et / ou les incidents ou évènements qui se sont produits chez les clients (perte de données, fraude, etc.) 

La collecte des informations sur les clients dans le cadre de cette analyse peut être enrichie par l’introduction d’autres informations et notamment les secteurs d’activités. Ceci permettra de dégager des tendances ou des caractéristiques spécifiques à certains secteurs.

 

Le degré d’informatisation des clients

Nous avons intégré cet axe d’analyse dans notre diagnostic pour deux raisons:

  • l’influence directe des environnements informatiques sur les risques inhérents et les risques liés aux contrôles que le commissaire aux comptes doit apprécier dans le cadre de sa mission : le cabinet a besoin d’avoir une vision d’ensemble de la nature des environnements informatiques de ses clients ;
  • le vivier des nouvelles missions liées aux environnements informatiques,  sources de valeur ajoutée pour les clients et de revenus supplémentaires pour le cabinet.

 Pour les besoins de notre analyse, nous proposons d’utiliser les critères de segmentation suivants :

  • complexité de l’environnement informatique, à classer en « simple », « moyenne » ou « complexe » ;
  • importance de l’informatique pour l’activité de l’entreprise, à classer en « peu importante », « d’importance moyenne » ou « très importante ».

Une cohérence globale doit être observée dans le cadre de cette démarche notamment lorsque le diagnostic est confié à plusieurs intervenants ou lorsque la collecte des informations est confiée aux responsables des dossiers.

Il convient également de garder à l’esprit que cette évaluation doit se limiter aux généralités et ne doit pas être très consommatrice de ressources.

Complexité de l’environnement informatique

Les principes d’appréciation de la complexité de l’environnement informatique peuvent être multiples. A la notion de systèmes « complexes » peut se rajouter celle de systèmes « compliqués » générant une difficulté supplémentaire pour qualifier les environnements informatiques des clients du cabinet.

Une compréhension du « compliqué » et du « complexe » nous est apportée par Jean-Louis Le Moigne. Dans son approche systémique, il nous précise que « l’intelligibilité du compliqué se fait par simplification alors que l’intelligibilité du complexe peut se construire par modélisation. En d’autres termes, le compliqué est lié à une accumulation d’éléments qui conduit à une accumulation de difficultés. On peut simplifier un système compliqué en ne retenant que les éléments essentiels : on le « mutile » pour l’analyser. Alors que la nature complexe d’un système est inhérente, plus aux combinaisons et coordinations nombreuses et variées entre éléments, qu’aux éléments eux-mêmes. Un système complexe doit être modélisé pour le comprendre, mais il ne faut pas le « mutiler ». Une simplification hasardeuse ou une mutilation d’un système complexe peut détruire a priori son intelligibilité ».

Un système est dit complexe quand son analyse fait apparaître un grand nombre de sous-systèmes, ou des sous-systèmes de natures très différentes. L’hétérogénéité de ses composants, leurs interactions ou interdépendances ainsi que sa taille sont des éléments qui influent sur sa complexité.

 Sans prétendre répondre à l’ensemble des cas de figure, nous proposons l’utilisation des critères d’évaluation de la complexité de l’environnement informatique suivants: 

Simple - applications standards du marché n’offrant que des possibilités de paramétrage de base (notamment absence de possibilité de paramétrer des logiques « métiers »)- ordinateurs autonomes ou reliés entre eux par un réseau local simple ;- absence de personnel informatique.
Moyenne - applications du marché avec un paramétrage complémentaire limité ;- réseau local simple- personnel informatique limité ou prestataire en charge des fonctions d’administration de base du réseau.
Complexe

- utilisation d’un Progiciel de gestion intégrée (PGI / ERP)

- développements spécifiques internes ou externes

- organisation multi-sites avec un réseau étendu (WAN)

- personnel informatique ou prestataire en charge de fonctions d’exploitation, de développements informatiques et / ou de sécurité.

 

Importance de l’informatique dans l’activité de l’entreprise

 L’importance de l’informatique doit être appréciée par rapport :

  •  au rôle qu’occupe l’informatique dans l’atteinte des objectifs de l’entreprise ;
  •  à l’étendue de son utilisation au sein des processus opérationnels et supports.

 Nous proposons la grille suivante pour évaluer l’étendue de l’utilisation de l’informatique dans l’entreprise : 

Peu importante utilisation de l’informatique limitée à certaines fonctions supports.
D’importance moyenne  utilisation de l’informatique dans le cadre d’un ou plusieurs processus opérationnels qui ne représentent pas une importance « cruciale » dans le cadre des opérations de l’entreprise.
Très importante

- utilisation généralisée de l’informatique au sein de l’entreprise ;

– informatique support aux processus métiers de l’entreprise et dont l’arrêt ou les dysfonctionnements peuvent générer l’arrêt partiel ou total des activités de l’entreprise.

 

Les demandes des clients

L’écoute et la satisfaction des demandes clients représentent pour les cabinets, comme pour toute autre entreprise, l’une des principales clés de la réussite.

Une démarche rigoureuse d’évaluation des demandes clients nécessiterait leur implication par la mise en œuvre notamment d’enquêtes de satisfaction. Un tel processus peut s’avérer long et coûteux. Il appartient aux décideurs au sein du cabinet d’apprécier l’opportunité de le mener.

Dans le cadre de notre démarche, nous proposons d’adopter à ce stade une conduite simplifiée. Celle-ci met à profit la connaissance que les responsables des dossiers au sein du cabinet ont de leurs clients et des liens étroits qu’ils entretiennent avec eux.

Nous partirons également du postulat que certains évènements intervenus chez les clients sont normalement sources d’opportunités de missions ou travaux complémentaires pour le cabinet.

L’évaluation à conduire peut s’articuler autour des questions suivantes :

  • le client a–t-il exprimé au cours des trois derniers exercices une demande d’intervention en matière des systèmes d’information ?
  • le client a-t-il procédé à des modifications significatives de son système d’information : mise en place de nouvelles solutions logicielles, matérielles ou modifications des solutions en place ?
  • le client a-t-il un projet de modification, à court terme, de son système d’information ?

 Les besoins liés à des risques spécifiques identifiés

Les interventions antérieures du commissaire aux comptes peuvent l’avoir conduit à relever des risques spécifiques, des anomalies ou des cas de fraude liés à l’environnement informatique. Il peut s’agir, à titre d’exemples, de :

  • calculs erronés d’un compte résultant de traitements informatiques défaillants : amortissements, primes à accorder aux collaborateurs assises sur un agrégat comptable, sous-estimation des dépréciations des stocks fondées sur la rotation des articles, etc. ;
  • cas de fraude relevée suite à une gestion insuffisante des habilitations d’accès au logiciel comptable. 
 
© @Copyright AURAFI MANAGEMENT
credit
close
Facebook Icon