|
Comptabilité Audit Le rôle du CAC face à la digitalisation des processus de l'entreprise Nouvel outil opérationnel du CAC - La compagnie régionale des commissaires aux comptes (CRCC) de Paris a lancé en mars dernier un groupe de travail « Audit informatique » en partenariat avec l'Association de l'audit et du conseil informatiques (AFAI), qui rassemble des spécialistes du contrôle interne informatique et de l'analyse de données informatiques. Leur objectif était de promouvoir l'utilisation d'outils d'analyses de données (data mining) dans le cadre des missions d'audit. Les résultats de leurs travaux ont fait l'objet d'une publication récente sous la forme d'un livre blanc à utiliser par les CAC pour mesurer le niveau de risque en matière de système d'information (SI) et d'ouverture sur le numérique de leurs clients. Dix domaines où il convient de mesurer le risque - Ce guide, rédigé sous la forme de fiches pratiques, recommande dix domaines à aborder lors des entretiens menés par le CAC avec son client pour répondre aux besoins des entreprises et sécuriser les missions du CAC. Un questionnaire de conduite d'entretien ainsi que des exemples sont fournis pour chaque domaine. Il s'agit des domaines suivants : -l'ouverture sur la transformation numérique. Les impacts liés à cette transformation doivent être anticipés et maîtrisés et les investissements nécessaires réalisés ; -la gouvernance des systèmes d'information. La direction générale, en tant que propriétaire du système d'information, doit s'assurer du bon fonctionnement de celui-ci, de sa pérennité, de sa bonne évolution et de sa sécurité. Une gouvernance des données pas ou mal définie a des conséquences directes sur la fiabilité des données ; -le contrôle des accès. Les bonnes pratiques recommandent d'accorder le minimum de droits en fonction des besoins d'accès des utilisateurs. Le pilotage des accès au patrimoine applicatif de l'entité suppose une communication permanente pour une mise à jour des profils utilisateurs et droits d'accès correspondants, selon l'évolution des effectifs dans l'entité. La séparation de certaines tâches est un point d'attention du CAC ; -la conduite des projets. S'agissant d'audit, les projets les plus impactants sont ceux relatifs au système d'information financière, tels le changement, la migration de version ou l'intégration d'un logiciel ou d'une cession d'activité. Le RACI (Responsable, Approbateur, Consulté, Informé) est un outil de formalisation des rôles et des responsabilités pour chaque partie prenante au projet ; -l'utilisation des outils d'audit de données. Elle permet l'atteinte plus aisée de l'assurance raisonnable ainsi qu'une documentation appropriée de l'approche d'audit par les risques. De plus, c'est un moyen de répondre au risque de fraude ; -la protection des données personnelles. Le règlement européen sur la protection des données personnelles du 27 avril 2016 (RGPD), qui s'applique le 25 mai 2018, génère un risque de non-conformité, avec des sanctions très lourdes en cas de manquements aggravés ; -la législation fiscale face aux SI. Le FEC s'inscrit dans un contexte de modernisation et d'automatisation du contrôle fiscal. Les éléments clés du FEC sont à maîtriser par l'entreprise contrôlée ; -l'exploitation des SI. Elle doit être, aussi bien dans ses éléments matériels (serveurs, postes de travail, smartphones, équipements réseau...) qu'immatériels (Iogiciels, données...) efficace, efficiente, confidentielle, intègre, disponible, fiable et sécurisée ; -le plan de continuité d'activité (PCA). Pour cerner les facteurs de criticité d'un PCA, le CAC doit en connaître la démarche d'élaboration qui s'organise jusqu'à la mise en œuvre des actions que chaque responsable doit s'approprier pour ses propres processus ; -la cybersécurité. Le contrôle de la prise en compte des risques de cybercriminalité par la direction générale est l'un des plus sensibles, car il fait appel à la subjectivité des dirigeants et, de plus, leur prise en conscience nécessite des investissements informatiques et la mise en œuvre de mesures. CRCC de Paris, Livre blanc « Audit informatique : tous concernés - 10 fiches pratiques pour réussir », 4 septembre 2017, http://www.crcc-paris.fr |