ISA 401 : AUDIT REALISE DANS UN ENVIRONNEMENT INFORMATIQUE
1
SOMMAIRE
Pages
Introduction.....................................................................................................................2
Compétences....................................................................................................................2
Planification......................................................................................................................3
Evaluation du risque ..........................................................................................................5
Procédures d’audit ............................................................................................................6
Les normes d’audit transposées à partir des normes internationales d’audit publiées par
l’International Federation of Accountants (IFAC) s’appliquent à l’audit des comptes. Elles
s’appliquent également, sous réserve d’effectuer les adaptations nécessaires, à l’audit d’autres
informations.
Les normes présentent les principes fondamentaux (imprimés en caractères gras) ainsi que leurs
modalités d’application fournies sous forme d’explications et d’informations complémentaires. Les
principes fondamentaux doivent être interprétés à la lumière de ces explications et de ces
informations.
Pour comprendre et mettre en oeuvre ces principes fondamentaux, et leurs modalités d’application,
il ne faut pas tenir compte uniquement du texte en caractères gras de la norme. Celle-ci doit être
considérée dans son intégralité, avec les explications et informations qui y sont contenues.
Dans des cas exceptionnels, l’expert-comptable, en sa qualité d’auditeur, peut estimer nécessaire
de s’écarter d’une norme afin d’atteindre plus efficacement l’objectif de l’audit. Il doit alors être en
mesure de justifier son choix.
Les normes ne s’appliquent qu’aux questions dont l’importance relative le justifie.
AUDIT REALISE DANS UN ENVIRONNEMENT INFORMATIQUE (ISA 401)
2
Introduction
1. La présente norme a pour objet de définir des principes fondamentaux et de préciser leurs
modalités d’application concernant la démarche à suivre lorsque l’audit est réalisé dans un
environnement informatique. Dans le cadre des normes d’audit, un environnement
informatique existe lorsqu’un ordinateur, quels que soient son type et ses capacités, est utilisé
pour le traitement d’informations financières d’importance significatives pour l’audit, que cet
ordinateur soit exploité par l’entité ou par un tiers.
2. L’expert-comptable prend en compte l’environnement informatique et son incidence
sur la démarche d’audit.
3. L’existence d’un environnement informatique ne modifie pas l’objectif et l’étendue de la
mission. Néanmoins, l’utilisation d’un ordinateur modifie la saisie et le processus de
traitement, la conservation des données et la communication des informations financières et
peut avoir une incidence sur les systèmes comptable et de contrôle interne de l’entité. En
conséquence, un environnement informatique peut avoir une influence sur :
• la démarche suivie par l’expert-comptable pour acquérir une connaissance suffisante des
systèmes comptable et de contrôle interne ;
• la prise en compte du risque inhérent et du risque lié au contrôle permettant d’évaluer le
risque d’audit ;
• la conception et l’exécution de tests de procédures et de contrôles substantifs nécessaires
en la circonstance pour atteindre l’objectif de l’audit.
Compétences
4. L’expert-comptable posséde ou acquiert une connaissance suffisante de
l’environnement informatique de l’entité pour planifier, diriger, superviser et revoir
les travaux de contrôle effectués. Il détermine si des compétences informatiques
particulières sont nécessaires pour réaliser la mission. Celles-ci peuvent être utiles
pour :
• obtenir une compréhension suffisante des systèmes comptable et de contrôle interne
influencés par l’environnement informatique ;
• déterminer l’incidence de l’environnement informatique sur l’évaluation générale du risque
et sur l’évaluation du risque au niveau du solde des comptes et des catégories
d’opérations ;
• concevoir et mettre en oeuvre des tests de procédures et des contrôles substantifs
appropriés.
ISA 401 : AUDIT REALISE DANS UN ENVIRONNEMENT INFORMATIQUE
3
Si des compétences particulières sont requises, l’expert-comptable se fait assister par un
professionnel possédant ces compétences ; il peut s’agir d’un collaborateur ou d’un
spécialiste externe. Si le recours à un tel professionnel est envisagé, l’expertcomptable
rassemble suffisamment d’éléments probants montrant que le travail
effectué permet de répondre à l’objectif de l’audit, selon la norme ISA 620
“ Utilisation des travaux d'un expert ”.
Planification
5. Conformément à la norme ISA 400 “ Evaluation du risque et contrôle interne ”,
l’expert-comptable acquiert une connaissance suffisante des systèmes comptable et
de contrôle interne pour planifier la mission et concevoir une approche d’audit
efficace.
6. Dans la planification des aspects de l’audit susceptibles d’être influencés par
l’environnement informatique de l’entité, l’expert-comptable tient compte de
l’importance et de la complexité des systèmes informatiques ainsi que de la
disponibilité des données pouvant être utilisées pour l’audit, en particulier :
• de l’importance des différentes assertions sous-tendant l’établissement des comptes
affectées par le traitement informatisé d’une application comptable complexe. Une
application comptable peut être considéré comme complexe si, par exemple :
- le volume des opérations est tel qu’il est difficile aux utilisateurs d’identifier et de
corriger des erreurs de saisie, de traitement, de restitution, de programmes, etc.
- l’ordinateur génère automatiquement des opérations ou des écritures importantes
intégrées directement dans une autre application,
- l’ordinateur exécute des calculs complexes d’informations financières et/ou génère
automatiquement des opérations ou des écritures importantes qui ne peuvent être (ou
ne sont pas) validées en dehors de l’application,
- des opérations font l’objet d’un échange électronique avec d’autres entités (comme
dans les systèmes d’échange de données informatiques (EDI)) sans contrôle manuel
de la pertinence ou du caractère normal de ces échanges.
• de l’organisation des activités informatiques de l’entité et du degré de concentration ou de
décentralisation du traitement informatique, notamment lorsqu’ils ont une influence sur la
séparation des tâches.
AUDIT REALISE DANS UN ENVIRONNEMENT INFORMATIQUE (ISA 401)
4
• de la disponibilité des données. Des documents source, certains fichiers informatiques, ou
d’autres éléments probants nécessaires à l’expert-comptable existent parfois pendant une
courte période seulement ou uniquement sur un support lisible par une machine. Le
système informatique de l’entité peut générer des rapports internes utiles pour les
contrôles substantifs (en particulier les procédures analytiques). Le potentiel d’utilisation
de techniques d’audit assistées par ordinateur peut également accroître l’efficacité des
procédures d’audit, ou permettre à l’expert-comptable d’appliquer certaines procédures
à une population entière de comptes ou d’opérations à un moindre coût.
7. Dans un environnement informatique utilisant des systèmes importants et
complexes, l’expert-comptable acquiert également la connaissance de cet
environnement et détermine si celui-ci peut influencer l’évaluation du risque
inhérent et l’évaluation du risque lié au contrôle. La nature des risques et les
caractéristiques du contrôle interne dans un environnement informatique comprennent :
• le manque de trace matérielle justifiant les opérations. Dans certains systèmes
informatiques, il est possible que des traces matérielles complètes nécessaires pour l’audit
n’existent que pendant une courte période ou uniquement sur un support lisible par la
machine. Dans le cas où un programme d’application complexe exécute un grand nombre
de tâches dans le processus de traitement, l’existence de traces matérielles exhaustives
n’est pas évidente. C’est pourquoi des erreurs contenues dans le programme
d’application peuvent être difficiles à détecter par l’utilisateur en temps voulu par des
procédures manuelles ;
• l’uniformité du traitement des opérations. L’ordinateur applique le même traitement à
toutes les opérations similaires en utilisant les mêmes instructions. Ceci permet d’éliminer
quasiment toutes les erreurs humaines qui se produisent lors d’un traitement manuel. En
revanche, les erreurs de programmation (ou les autres erreurs systématiques dans les
logiciels d’exploitation ou dans les programmes d’application) entraînent en général un
traitement incorrect de toutes les opérations ;
• la séparation insuffisante des tâches. De nombreuses procédures de contrôle exécutées
en général par des personnes différentes dans un système manuel peuvent être
centralisées dans un système informatique. Ainsi, une personne ayant accès à des
programmes, à des traitements ou à des données informatiques est en mesure d’exécuter
des opérations non autorisées ;
• le risque d’erreurs et d’irrégularités. Le risque d’erreur humaine dans la conception, la
maintenance et la mise en oeuvre d’un système informatique est plus important que dans
un système manuel, à cause du niveau de détail inhérent à ces systèmes. De même, le
risque que des utilisateurs non autorisés accèdent à des données ou les modifient sans
trace visible est plus grand dans un système informatique.
En outre, la diminution de l’intervention humaine dans le traitement informatisé
d’opérations et son contrôle contribue à réduire les possibilités de détection d’erreurs ou
ISA 401 : AUDIT REALISE DANS UN ENVIRONNEMENT INFORMATIQUE
5
d’irrégularités. Celles-ci se produisant lors de la conception ou de la modification de
programmes d’application ou de logiciels d’exploitation risquent de passer longtemps
inaperçues.
• le lancement ou l’exécution des opérations. Le système informatique peut lancer ou
exécuter automatiquement certains types d'opérations. L’autorisation de ces opérations
ou procédures n’est pas toujours aussi bien documentée que dans un système manuel.
L’autorisation par la direction peut n’être qu’implicite et résulter de son acceptation de la
conception du système informatique et de ses modifications ultérieures ;
• la dépendance vis-à-vis d’autres contrôles du traitement informatisé. Le traitement
informatisé peut générer des rapports ou d’autres documents utilisés pour des procédures
de contrôle manuel. L’efficience de ces procédures manuelles peut dépendre de
l’efficacité des contrôles d’exhaustivité et d’exactitude du traitement informatisé. Ainsi,
l’efficacité et la cohérence des contrôles du traitement d'opérations dans les applications
informatisées sont souvent elles-mêmes tributaires de l’efficacité des contrôles
informatiques généraux ;
• le renforcement potentiel de la supervision de la direction. Un système informatique peut
offrir à la direction une palette d’outils analytiques permettant d'examiner et de superviser
les activités de l’entité. S’ils sont disponibles et utilisés, ces outils peuvent améliorer la
structure globale de contrôle interne ;
• l’utilisation potentielle de techniques d’audit assistées par ordinateur. Le traitement et
l’analyse de grandes quantités de données par l’informatique peuvent permettre à
l’expert-comptable d’appliquer des techniques ou d’utiliser des outils d’audit informatisés
généraux ou spécifiques pour l’exécution de ses contrôles.
Les risques, ainsi que les contrôles mis en oeuvre, liés aux caractéristiques du système
informatique, ont une incidence potentielle sur l’évaluation du risque d’audit par l’expertcomptable,
et sur la nature, le calendrier et l’étendue des procédures d’audit.
Evaluation du risque
8. Conformément à la norme ISA 400 “Evaluation du risque et contrôle interne”,
l’expert-comptable évalue le risque inhérent et le risque lié au contrôle pour
chacune des assertions importantes sous-tendant l’établissement des comptes.
9. Le risque inhérent et le risque lié au contrôle dans un environnement informatique peuvent
avoir à la fois des effets diffus, et des effets spécifiques par type de postes sur la probabilité
d'anomalies significatives dans les circonstances suivantes :
• les risques peuvent résulter de déficiences dans les activités informatiques générales telles
que : développement et maintenance de programmes, maintenance des logiciels
AUDIT REALISE DANS UN ENVIRONNEMENT INFORMATIQUE (ISA 401)
6
d’exploitation, traitements, sécurité physique du système informatique, contrôle d’accès à
des utilisateurs privilégiés. Ces déficiences sont de nature à avoir un effet diffus sur toutes
les applications traitées par l’ordinateur ;
• les risques peuvent accroître la possibilité d’erreurs ou de fraudes dans des applications
spécifiques, des bases de données, des fichiers maîtres ou des traitements spécifiques.
Ainsi, les erreurs sont relativement fréquentes dans des systèmes exécutant des
opérations logiques ou des calculs complexes, ou qui gèrent un nombre élevé de
situations d’exception. De même, les systèmes qui contrôlent les sorties de fonds ou
d’autres liquidités peuvent faire l’objet de fraudes de la part des utilisateurs ou du
personnel informatique.
10. Les grandes entreprises recourent fréquemment à des nouvelles technologies pour
développer des systèmes informatiques de plus en plus complexes qui peuvent comporter
des liaisons micro-gros systèmes, des bases de données distribuées, des traitements par
l’utilisateur final ou des systèmes de gestion des données qui transfèrent directement des
informations dans les systèmes comptables. Ces systèmes augmentent le degré de
sophistication globale du système informatique et la complexité des applications concernées.
En conséquence, ils peuvent accroître le risque et nécessitent une attention particulière.
Procédures d’audit
11. Conformément à la norme ISA 400 “ Evaluation du risque et contrôle interne ”,
l’expert-comptable prend en compte l’environnement informatique dans la définition
de procédures d’audit visant à réduire le risque d’audit à un niveau acceptable
faible.
12. Les objectifs d’audit restent identiques, que les données comptables soient traitées
manuellement ou par informatique. Toutefois, les méthodes de mise en oeuvre des
procédures d’audit pour réunir des éléments probants peuvent être influencées par le mode
de traitement utilisé. L’expert-comptable peut appliquer des procédures d’audit manuelles,
des techniques assistées par ordinateur, ou combiner les deux pour rassembler suffisamment
d’éléments probants. Il peut également utiliser des outils d’audit informatisés généraux ou
spécialisés pour l’exécution des contrôles d’audit.Dans certains systèmes comptables
utilisant un ordinateur pour traiter des applications importantes, il peut être difficile, voire
impossible, pour l’expert-comptable de se procurer certaines données à des fins
d’inspection, de vérification ou de confirmation externe sans utiliser l'informatique.
Date d’application
13. La présente norme d’audit est applicable à partir du 1er janvier 2002.
Recommandations
1
SOMMAIRE
Pages
Introduction.....................................................................................................................2
Compétences....................................................................................................................2
Planification......................................................................................................................3
Evaluation du risque ..........................................................................................................5
Procédures d’audit ............................................................................................................6
Les normes d’audit transposées à partir des normes internationales d’audit publiées par
l’International Federation of Accountants (IFAC) s’appliquent à l’audit des comptes. Elles
s’appliquent également, sous réserve d’effectuer les adaptations nécessaires, à l’audit d’autres
informations.
Les normes présentent les principes fondamentaux (imprimés en caractères gras) ainsi que leurs
modalités d’application fournies sous forme d’explications et d’informations complémentaires. Les
principes fondamentaux doivent être interprétés à la lumière de ces explications et de ces
informations.
Pour comprendre et mettre en oeuvre ces principes fondamentaux, et leurs modalités d’application,
il ne faut pas tenir compte uniquement du texte en caractères gras de la norme. Celle-ci doit être
considérée dans son intégralité, avec les explications et informations qui y sont contenues.
Dans des cas exceptionnels, l’expert-comptable, en sa qualité d’auditeur, peut estimer nécessaire
de s’écarter d’une norme afin d’atteindre plus efficacement l’objectif de l’audit. Il doit alors être en
mesure de justifier son choix.
Les normes ne s’appliquent qu’aux questions dont l’importance relative le justifie.
AUDIT REALISE DANS UN ENVIRONNEMENT INFORMATIQUE (ISA 401)
2
Introduction
1. La présente norme a pour objet de définir des principes fondamentaux et de préciser leurs
modalités d’application concernant la démarche à suivre lorsque l’audit est réalisé dans un
environnement informatique. Dans le cadre des normes d’audit, un environnement
informatique existe lorsqu’un ordinateur, quels que soient son type et ses capacités, est utilisé
pour le traitement d’informations financières d’importance significatives pour l’audit, que cet
ordinateur soit exploité par l’entité ou par un tiers.
2. L’expert-comptable prend en compte l’environnement informatique et son incidence
sur la démarche d’audit.
3. L’existence d’un environnement informatique ne modifie pas l’objectif et l’étendue de la
mission. Néanmoins, l’utilisation d’un ordinateur modifie la saisie et le processus de
traitement, la conservation des données et la communication des informations financières et
peut avoir une incidence sur les systèmes comptable et de contrôle interne de l’entité. En
conséquence, un environnement informatique peut avoir une influence sur :
• la démarche suivie par l’expert-comptable pour acquérir une connaissance suffisante des
systèmes comptable et de contrôle interne ;
• la prise en compte du risque inhérent et du risque lié au contrôle permettant d’évaluer le
risque d’audit ;
• la conception et l’exécution de tests de procédures et de contrôles substantifs nécessaires
en la circonstance pour atteindre l’objectif de l’audit.
Compétences
4. L’expert-comptable posséde ou acquiert une connaissance suffisante de
l’environnement informatique de l’entité pour planifier, diriger, superviser et revoir
les travaux de contrôle effectués. Il détermine si des compétences informatiques
particulières sont nécessaires pour réaliser la mission. Celles-ci peuvent être utiles
pour :
• obtenir une compréhension suffisante des systèmes comptable et de contrôle interne
influencés par l’environnement informatique ;
• déterminer l’incidence de l’environnement informatique sur l’évaluation générale du risque
et sur l’évaluation du risque au niveau du solde des comptes et des catégories
d’opérations ;
• concevoir et mettre en oeuvre des tests de procédures et des contrôles substantifs
appropriés.
ISA 401 : AUDIT REALISE DANS UN ENVIRONNEMENT INFORMATIQUE
3
Si des compétences particulières sont requises, l’expert-comptable se fait assister par un
professionnel possédant ces compétences ; il peut s’agir d’un collaborateur ou d’un
spécialiste externe. Si le recours à un tel professionnel est envisagé, l’expertcomptable
rassemble suffisamment d’éléments probants montrant que le travail
effectué permet de répondre à l’objectif de l’audit, selon la norme ISA 620
“ Utilisation des travaux d'un expert ”.
Planification
5. Conformément à la norme ISA 400 “ Evaluation du risque et contrôle interne ”,
l’expert-comptable acquiert une connaissance suffisante des systèmes comptable et
de contrôle interne pour planifier la mission et concevoir une approche d’audit
efficace.
6. Dans la planification des aspects de l’audit susceptibles d’être influencés par
l’environnement informatique de l’entité, l’expert-comptable tient compte de
l’importance et de la complexité des systèmes informatiques ainsi que de la
disponibilité des données pouvant être utilisées pour l’audit, en particulier :
• de l’importance des différentes assertions sous-tendant l’établissement des comptes
affectées par le traitement informatisé d’une application comptable complexe. Une
application comptable peut être considéré comme complexe si, par exemple :
- le volume des opérations est tel qu’il est difficile aux utilisateurs d’identifier et de
corriger des erreurs de saisie, de traitement, de restitution, de programmes, etc.
- l’ordinateur génère automatiquement des opérations ou des écritures importantes
intégrées directement dans une autre application,
- l’ordinateur exécute des calculs complexes d’informations financières et/ou génère
automatiquement des opérations ou des écritures importantes qui ne peuvent être (ou
ne sont pas) validées en dehors de l’application,
- des opérations font l’objet d’un échange électronique avec d’autres entités (comme
dans les systèmes d’échange de données informatiques (EDI)) sans contrôle manuel
de la pertinence ou du caractère normal de ces échanges.
• de l’organisation des activités informatiques de l’entité et du degré de concentration ou de
décentralisation du traitement informatique, notamment lorsqu’ils ont une influence sur la
séparation des tâches.
AUDIT REALISE DANS UN ENVIRONNEMENT INFORMATIQUE (ISA 401)
4
• de la disponibilité des données. Des documents source, certains fichiers informatiques, ou
d’autres éléments probants nécessaires à l’expert-comptable existent parfois pendant une
courte période seulement ou uniquement sur un support lisible par une machine. Le
système informatique de l’entité peut générer des rapports internes utiles pour les
contrôles substantifs (en particulier les procédures analytiques). Le potentiel d’utilisation
de techniques d’audit assistées par ordinateur peut également accroître l’efficacité des
procédures d’audit, ou permettre à l’expert-comptable d’appliquer certaines procédures
à une population entière de comptes ou d’opérations à un moindre coût.
7. Dans un environnement informatique utilisant des systèmes importants et
complexes, l’expert-comptable acquiert également la connaissance de cet
environnement et détermine si celui-ci peut influencer l’évaluation du risque
inhérent et l’évaluation du risque lié au contrôle. La nature des risques et les
caractéristiques du contrôle interne dans un environnement informatique comprennent :
• le manque de trace matérielle justifiant les opérations. Dans certains systèmes
informatiques, il est possible que des traces matérielles complètes nécessaires pour l’audit
n’existent que pendant une courte période ou uniquement sur un support lisible par la
machine. Dans le cas où un programme d’application complexe exécute un grand nombre
de tâches dans le processus de traitement, l’existence de traces matérielles exhaustives
n’est pas évidente. C’est pourquoi des erreurs contenues dans le programme
d’application peuvent être difficiles à détecter par l’utilisateur en temps voulu par des
procédures manuelles ;
• l’uniformité du traitement des opérations. L’ordinateur applique le même traitement à
toutes les opérations similaires en utilisant les mêmes instructions. Ceci permet d’éliminer
quasiment toutes les erreurs humaines qui se produisent lors d’un traitement manuel. En
revanche, les erreurs de programmation (ou les autres erreurs systématiques dans les
logiciels d’exploitation ou dans les programmes d’application) entraînent en général un
traitement incorrect de toutes les opérations ;
• la séparation insuffisante des tâches. De nombreuses procédures de contrôle exécutées
en général par des personnes différentes dans un système manuel peuvent être
centralisées dans un système informatique. Ainsi, une personne ayant accès à des
programmes, à des traitements ou à des données informatiques est en mesure d’exécuter
des opérations non autorisées ;
• le risque d’erreurs et d’irrégularités. Le risque d’erreur humaine dans la conception, la
maintenance et la mise en oeuvre d’un système informatique est plus important que dans
un système manuel, à cause du niveau de détail inhérent à ces systèmes. De même, le
risque que des utilisateurs non autorisés accèdent à des données ou les modifient sans
trace visible est plus grand dans un système informatique.
En outre, la diminution de l’intervention humaine dans le traitement informatisé
d’opérations et son contrôle contribue à réduire les possibilités de détection d’erreurs ou
ISA 401 : AUDIT REALISE DANS UN ENVIRONNEMENT INFORMATIQUE
5
d’irrégularités. Celles-ci se produisant lors de la conception ou de la modification de
programmes d’application ou de logiciels d’exploitation risquent de passer longtemps
inaperçues.
• le lancement ou l’exécution des opérations. Le système informatique peut lancer ou
exécuter automatiquement certains types d'opérations. L’autorisation de ces opérations
ou procédures n’est pas toujours aussi bien documentée que dans un système manuel.
L’autorisation par la direction peut n’être qu’implicite et résulter de son acceptation de la
conception du système informatique et de ses modifications ultérieures ;
• la dépendance vis-à-vis d’autres contrôles du traitement informatisé. Le traitement
informatisé peut générer des rapports ou d’autres documents utilisés pour des procédures
de contrôle manuel. L’efficience de ces procédures manuelles peut dépendre de
l’efficacité des contrôles d’exhaustivité et d’exactitude du traitement informatisé. Ainsi,
l’efficacité et la cohérence des contrôles du traitement d'opérations dans les applications
informatisées sont souvent elles-mêmes tributaires de l’efficacité des contrôles
informatiques généraux ;
• le renforcement potentiel de la supervision de la direction. Un système informatique peut
offrir à la direction une palette d’outils analytiques permettant d'examiner et de superviser
les activités de l’entité. S’ils sont disponibles et utilisés, ces outils peuvent améliorer la
structure globale de contrôle interne ;
• l’utilisation potentielle de techniques d’audit assistées par ordinateur. Le traitement et
l’analyse de grandes quantités de données par l’informatique peuvent permettre à
l’expert-comptable d’appliquer des techniques ou d’utiliser des outils d’audit informatisés
généraux ou spécifiques pour l’exécution de ses contrôles.
Les risques, ainsi que les contrôles mis en oeuvre, liés aux caractéristiques du système
informatique, ont une incidence potentielle sur l’évaluation du risque d’audit par l’expertcomptable,
et sur la nature, le calendrier et l’étendue des procédures d’audit.
Evaluation du risque
8. Conformément à la norme ISA 400 “Evaluation du risque et contrôle interne”,
l’expert-comptable évalue le risque inhérent et le risque lié au contrôle pour
chacune des assertions importantes sous-tendant l’établissement des comptes.
9. Le risque inhérent et le risque lié au contrôle dans un environnement informatique peuvent
avoir à la fois des effets diffus, et des effets spécifiques par type de postes sur la probabilité
d'anomalies significatives dans les circonstances suivantes :
• les risques peuvent résulter de déficiences dans les activités informatiques générales telles
que : développement et maintenance de programmes, maintenance des logiciels
AUDIT REALISE DANS UN ENVIRONNEMENT INFORMATIQUE (ISA 401)
6
d’exploitation, traitements, sécurité physique du système informatique, contrôle d’accès à
des utilisateurs privilégiés. Ces déficiences sont de nature à avoir un effet diffus sur toutes
les applications traitées par l’ordinateur ;
• les risques peuvent accroître la possibilité d’erreurs ou de fraudes dans des applications
spécifiques, des bases de données, des fichiers maîtres ou des traitements spécifiques.
Ainsi, les erreurs sont relativement fréquentes dans des systèmes exécutant des
opérations logiques ou des calculs complexes, ou qui gèrent un nombre élevé de
situations d’exception. De même, les systèmes qui contrôlent les sorties de fonds ou
d’autres liquidités peuvent faire l’objet de fraudes de la part des utilisateurs ou du
personnel informatique.
10. Les grandes entreprises recourent fréquemment à des nouvelles technologies pour
développer des systèmes informatiques de plus en plus complexes qui peuvent comporter
des liaisons micro-gros systèmes, des bases de données distribuées, des traitements par
l’utilisateur final ou des systèmes de gestion des données qui transfèrent directement des
informations dans les systèmes comptables. Ces systèmes augmentent le degré de
sophistication globale du système informatique et la complexité des applications concernées.
En conséquence, ils peuvent accroître le risque et nécessitent une attention particulière.
Procédures d’audit
11. Conformément à la norme ISA 400 “ Evaluation du risque et contrôle interne ”,
l’expert-comptable prend en compte l’environnement informatique dans la définition
de procédures d’audit visant à réduire le risque d’audit à un niveau acceptable
faible.
12. Les objectifs d’audit restent identiques, que les données comptables soient traitées
manuellement ou par informatique. Toutefois, les méthodes de mise en oeuvre des
procédures d’audit pour réunir des éléments probants peuvent être influencées par le mode
de traitement utilisé. L’expert-comptable peut appliquer des procédures d’audit manuelles,
des techniques assistées par ordinateur, ou combiner les deux pour rassembler suffisamment
d’éléments probants. Il peut également utiliser des outils d’audit informatisés généraux ou
spécialisés pour l’exécution des contrôles d’audit.Dans certains systèmes comptables
utilisant un ordinateur pour traiter des applications importantes, il peut être difficile, voire
impossible, pour l’expert-comptable de se procurer certaines données à des fins
d’inspection, de vérification ou de confirmation externe sans utiliser l'informatique.
Date d’application
13. La présente norme d’audit est applicable à partir du 1er janvier 2002.
Recommandations