impact de la mise en place d'un ERP sur les travaux de l'auditeur
1. Rapport de stage
premier semestre 2009
Elaboré par :Bouden Yassine
Contrôleur de stage : Mr Achref Boudaya
Maître de stage : Mr Lamjed Ben M’barek
[IMPACT DE LA MISE EN
PLACE D’UN ERP SUR LES
TRAVAUX DE L’AUDITEUR]
2. 2
Introduction
Dans les années 90, avec le développement de l’informatique, les entreprises ont
énormément évolué. L’apparition des ERP (logiciels paramétrables) dont l’approche
modulaire et intégré ont pour objectif de mettre en réseau, par une base de données
unique, l'ensemble des données relatives aux fonctions de l'entreprise (comptabilité,
communication, ressources humaines, marketing, etc.). Ils permettent donc d’accroître les
performances de l’entreprise en permettant notamment d’éviter dans une certaine mesure
des dysfonctionnements. L’entreprise a donc dû évoluer dans son ensemble. Le contrôle de
gestion qui constitue un instrument de pilotage permanent pour les décideurs, s’appuyant
sur l’information comptable, a été pleinement concerné par l’apparition des ERP.
Ainsi, il nous est apparu intéressant de traiter des incidences de la mise en place d’un ERP
dans la phase de démarrage sur l’évaluation du système de contrôle interne, en illustrant le
propos par un cas pratiques vécu en entreprise.
Cette étude se veut une revue critique de l’impact de la mise en place d’un ERP et de ses
applications sur les travaux de l’auditeur.
Des progiciels apparaissent mais sont seulement destinés à une fonction spécifique de
l'entreprise : GPAO (Gestion de production assistée par ordinateur), comptabilité, gestion
financière, gestion comptable…. On parle alors d'automatisation de fonctions de l'entreprise
mais il est encore trop tôt pour parler de systèmes d'informations intégrés.
C'est seulement dans les années 90, avec l'explosion de l'informatique individuelle et des
réseaux (client/serveur), que le partage de l'information devient vite accessible. L'utilisateur
se place alors au cœur du système et l'informatique se retrouve au service de la stratégie de
l'entreprise. C'est à partir de là que les PGI (Progiciels de Gestion Intégrés) encore appelés
ERP, se sont peu à peu imposés aux entreprises, visant à intégrer l'ensemble des EDI
(échanges de données informatiques) et de leurs applications. Aux applications spécifiques,
très onéreuses et cloisonnées qu'elles développaient, depuis plus de 30 ans, de nombreuses
entreprises ont fini par préférer ce type de progiciels, bénéficiant d'une expertise et d'un
support mondial de leurs éditeurs, quitte à abandonner la souplesse d'une application
propriétaire.
A l'heure actuelle, les ERP sont devenus un des moyens de renforcer la multinationalisation
des entreprises avec une structure mondiale de partage de l'information. Les ERP sont donc
des logiciels paramétrables, modulaires, intégrés et qui ont pour objectif de mettre en
réseau, par une base de données unique, l'ensemble des données relatives aux fonctions de
l'entreprise (comptabilité, communication, ressources humaines, marketing, etc.). Ils
globalisent ainsi tout le système d'information dans un seul progiciel et par cette logique
d'intégration, ces progiciels ont la capacité de récupérer automatiquement et quasi
instantanément toute l'information à tous les niveaux de l'entreprise
3. 3
Partie I : L’ERP et ses apports :
L'évolution de l'informatique, qui progresse vers davantage d’informations, de partage et de
flexibilité, est un des facteurs essentiels expliquant le succès grandissant des ERP auprès des
entreprises. Malgré le progrès incontestable qu'ils apportent aujourd’hui, les ERP ne
répondent pas entièrement de façon satisfaisante aux attentes des entreprises
1. Définitions de l'ERP
L'ERP (Enterprise Resource Planning) est définit comme étant « un sous-ensemble du
système d'information capable de prendre en charge la gestion intégrale de l'entreprise,
incluant la gestion comptable et financière, la gestion de la production et de la logistique, la
gestion des ressources humaines, la gestion administrative ainsi que la vente la gestion des
ventes et des achats »1
.
Cela offre pour principal avantage de faire parfaitement communiquer les différentes
grandes fonctions de gestion de l'entreprise. Il intègre les caractéristiques globales
suivantes :
· La gestion effective de plusieurs domaines de l'entreprise par des modules intégrés ou des
progiciels susceptibles d'assurer une collaboration des processus ;
· L’existence d'un référentiel unique de donnée ;
· L’adaptation rapide aux règles de fonctionnement (professionnelles, légales ou résultant de
l'organisation interne de l'entreprise) ;
· L’unicité d'administration du sous-système applicatif;
· L’uniformisation des interfaces homme-machine (mêmes écrans, mêmes boutons, même
famille de barre de menu, même touches de fonctions et de raccourci, etc.).
En plus des ERP, il existe dans certaines organisations des systèmes dits « spécifiques » ou
encore non standards, de conception « maison », développés sur mesure, que l'on ne trouve
pas sur le marché. La proportion entre ERP et systèmes spécifiques est très variable d'une
entreprise à l'autre.
2. Caractéristiques d'un ERP
Les ERP ont été conçus dans l'optique de faciliter aux entreprises l’utilisation d’un logiciel qui
puisse s'étendre à tous les compartiments de l'entreprise, de telle façon, que l'on puisse
intégrer dans un même environnement la finance, la logistique, la production, les ressources
humaines, les achats, le commercial, etc.
1
LEQUEUX Jean-Louis, Manager avec les ERP, Edition Organisation, 2002.
4. 4
Un ERP combine la fonctionnalité de différents programmes de gestion en un seul, en se
basant sur une seule base de données centralisée. On appelle souvent cette base de
données le Cube en informatique.
Ceci permet de garantir l'intégrité et l'unicité des données auxquels les départements ont
accès, en évitant de réintroduire les données, à chaque fois, de façon manuelle, dans les
modules fonctionnels.
Une facture qui aura été enregistrée dans le module commercial n'aura pas besoin d'être
introduite à nouveau dans les modules comptables et financiers.
Ce type de système avec de telles caractéristiques peut être installé dans un environnement
qui dépasse les frontières en supportant différentes langues, différentes devises et fiscalités.
D’une part, l'ERP peut ainsi générer facilement des documents conformes à la législation en
vigueur pour chaque pays. Il s'agit d'un aspect important, à prendre en compte, vu la
diversité des normes et des variations de celles-ci à travers le temps.
Dans le tableau qui suit, nous avons une liste non exhaustive de bénéfices attendus par la
mise en place d'un ERP
Fonctionnalité Bénéfice
Prix en temps réel sur les commandes
clients
Réduction des erreurs de prix et des efforts
manuels
Identification physique automatique des
produits à livrer
Réduction des erreurs, élimination de
l'identification manuelle des produits
Possibilités d'annuler ou d'inverser une
expédition avec facturation
Gain de temps et d'effort pour procéder aux
multiples opérations nécessaires
Disponibilité d'un suivi de commande
client, de la cotation à la facturation
Possibilités multiples de recherche et de suivi à
n'importe quel moment
Visibilité sur inventaire et fabrication pour
planifier les commandes clients
Réduction de temps et d'effort pour s'engager
avec un client
Définition de critères client spécifiques
pour expédier une révision de produit
Assurance du traitement intégral de la demande
spécifique d'un client
Les systèmes d'information existants sont relatifs aux traitements opérationnels et
statistiques des grandes fonctions de l'entreprise comme le commercial, la finance, la
production, ou le personnel.
Ces systèmes d'information ont déjà automatisé les traitements et les opérations répétitives,
dégageant des gains de productivité spécifiques à ces différents domaines.
Les techniques d'interfaçage pallient, pour partie, cette désintégration des systèmes
d'information.
5. 5
Le problème de l'interfaçage est l'éternel problème de l'intégration et de la compatibilité des
systèmes. Souvent, ces interfaçages sont réalisés avec succès, mais, en même temps, ils
nécessitent un temps homme très important.
La mise en place d'un ERP va donc être une opportunité pour résoudre ces
dysfonctionnements. Premièrement, il imposera aux acteurs de l'entreprise de définir,
ensemble, les règles de gestion qu'ils veulent partager et deuxièmement, il impliquera une
rigueur, avec une information contrôlée à la source. Il faut donc à tenir compte des
contraintes liées à ce type de systèmes
3. Les Apports des ERP
L’ERP crée une version unique qui ne peut légitimement être remise en cause car chacun
contribue à alimenter le système à l'origine des résultats. L'ERP permet à l'entreprise de
quitter la vision verticale et le cloisonnement par métier et garantit une cohérence de
l'information.
Cohérence ne signifie pas fiabilité mais, en cas d'erreur dans les données, l'ERP permet une
traçabilité et garantit que la correction sera bien faite pour tout le monde. Dans ce sens,
l’ERP aide à fiabiliser les données
L’ERP oblige toutes les entités d'une même entreprise à travailler de la même façon, ce qui
facilite les comparaisons entre diverses unités et la consolidation des données
L'arrivée des ERP a complètement transformé les conditions dans lesquelles il convient de
concevoir, de mettre en œuvre et d'exploiter le système d'information de gestion dans une
entreprise.
En effet, le principe de fonctionnement de ces outils est d'associer au sein d'un même
produit des fonctions complémentaires et dépendantes les unes des autres (achat,
comptabilité, contrôle de gestion...).
Les tâches y sont de plus en plus automatisées, la charge de production d'informations y est
réduite et s'effectue en quasi-temps réel, et sa diffusion est améliorée
La dernière génération de système d'information modifie la structure de l'entreprise : les
ERP permettent de passer d'une organisation verticale par fonctions (production,
comptabilité, ressources humaines...) à une organisation transversale par processus qui
correspond à un ensemble d'activités coordonnées entre elles.
Parallèlement à la modernisation de leur outil informatique, les entreprises qui installent des
ERP choisissent de moderniser aussi leurs méthodes et leur organisation en modifiant les
relations entre les services financiers et le reste de l'entreprise.
De plus, l'intégration des processus comptables et budgétaires dans la plupart de ces
progiciels induit une opportunité de rapprochement et de coopération des fonctions
comptables et du contrôle de gestion, dans les activités de contrôle, d'analyse, de
présentation et de communication des résultats.
6. 6
On constate aujourd’hui que la mise en place d’un ERP s’accompagne d’un certain nombre
de difficultés auxquelles les entreprises doivent faire face. Si la firme choisit d'implanter
l'ensemble des modules d'un ERP, elle en obtient d'ordinaire une intégration
essentiellement financière. En effet, toutes les transactions liées aux fonctions intégrées
dans l'ERP (production, achats, ventes, effectifs, etc.) ayant un quelconque impact sur les
flux financiers vont se répercuter dans les modules de comptabilité tant financière que de
gestion. Par conséquent, toutes les déviations (erreurs ou inexactitudes) dans la traduction
des processus de gestion dans l'ERP vont faire apparaître des déviations dans le module de
comptabilité financière.
Ainsi, l'information transactionnelle saisie dans les modules et celle traduisant son impact
sur les flux financiers se déversent en entonnoir dans le module de comptabilité financière.
Il s'ensuit que l'ERP centrée sur la comptabilité financière a plusieurs conséquences:
- Il permet de traduire avec grande transparence la performance économique et financière
des fonctions qui lui sont intégrées;
- La standardisation et l'intégration y adoptent un langage surtout comptable et financier; les
financiers et contrôleurs y trouvent plus de pouvoir; etc.
Par ailleurs, l'intégration des modules, en particulier l'intégration entre comptabilité
financière et comptabilité de gestion, limite les jeux et maquillages comptables, ce qui
donne plus de transparence. Elle permet aussi de réduire le délai dans les rapports mensuels
à 3 ou 4 jours (contre 15 ou 20 auparavant).
7. 7
Partie II : L'implantation d'un ERP2
L'implantation d'un ERP comprend d'ordinaire les cinq phases suivantes:
- Le choix d'une solution ERP
- L'analyse des processus de gestion en place
- Leur réingénierie
- La particularisation de l'ERP (son adaptation à des besoins particuliers)
- La mise en place
La phase de mise en place de l'ERP pose de graves difficultés de transition, de formation et
de communication. La transition au système ERP se gère mal, semble-t-il. Les revues
professionnelles ne manquent pas d'exemples où la production a souffert (paralysie d'usine),
de même que les clients (confusion entre eux, commandes non livrées) et la facturation.
Davenport (1998) cite FoxMeyer affirmant que la mise en place d'un ERP a précipité sa
faillite. De plus, la firme sous-estimerait largement l'ampleur de la formation dont son
personnel a besoin pour maîtriser l'utilisation du progiciel, ce qu'indiquerait d'ailleurs son
budget irréaliste d'implantation. Et ce manque de formation renforcerait la difficulté de
gérer la transition.
Enfin, des problèmes de communication découleraient du fait que l'ERP impose une vision
processus de l'organisation plutôt que fonctionnelle classique. Or, cette vision est
horizontale et transversale aux divisions fonctionnelles et celles-ci n'ont pas l'habitude de
communiquer entre elles.
Par ailleurs, les principaux facteurs clés de succès (FCS) sont : l'engagement de la direction
générale, l'équipe dédiée au projet et une bonne gestion au changement.
Les étapes de la mise en place se résument comme suit :
1. Migrations des données
La migration des données est aussi un chantier important. Chaque migration de données
constitue un sous projet de migration individuel. Cette étape consiste à définir la typologie
des données, leurs relations et choisir celles qui seront transférées dans le nouveau
processus. La migration consiste aussi à faire correspondre les données du système
« source » avec la structure de données du système « cible ». Les contraintes sont multiples :
des volumes de données importantes à traiter et à migrer, des fonctionnalités complexes,
2
Supply Chain Magazine : « Dossier ERP dans les entreprises : Comment éviter les pièges ? » 2007 ; ASK,
« Réussir le déploiement de son ERP : Enquête sur les grands comptes internationaux », Association Française de
l'audit et du Conseil informatique, Janvier 2005.
8. 8
l'importance des référentiels, une période de bascule très réduite. Cette délicate opération
est découpée en plusieurs étapes :
2. Mise en exploitation, test et évaluation
La période de basculement ou de mise en exploitation devrait être choisie judicieusement.
La date de fin d'exercice est la mieux adaptée aux logiciels comptables. Le déploiement au fil
de l'eau est moins brutal mais plus gourmand en énergie. Le déploiement en Big bang
(bascule complète sans maintenir l'ancien système en parallèle) est très risqué, mais évite la
double gestion·
Il est cohérent de constater que les facteurs de risques associés à cette étape touchent le
changement technologique et son étendue. C'est à cette étape que les utilisateurs font pour
la première fois de vraies transactions sur le nouveau système. Plus l'ensemble de
l'environnement logiciel aura été changé, plus grandes seront les chances de problèmes à
cette étape.
3. Accompagnement au changement3
Le projet ERP a un impact sur les processus de l'entreprise et sur les pratiques des
utilisateurs. Ainsi une politique de communication doit être mise en place. Elle consistera
tout au long du projet à informer et sensibiliser les utilisateurs, à faire comprendre ce que le
nouveau système induira comme changement pour chacun, à faire adhérer le personnel et à
obtenir des acteurs qu'ils s'investissent dans la mise en place du projet. Pour cela, il faut
former les employés dans la perspective d'une appropriation et d'une exploitation optimale
de l'outil, privilégier la performance de l'entreprise plutôt que la performance de chacun.
Ainsi, une formation devra être donnée aux informaticiens internes, aux utilisateurs clés et
aux utilisateurs finaux.
4. Maintenance et Support du produit
Après la mise en place de l'ERP, une maintenance doit être faite. Tout d'abord, au travers
des mises à jour. Maintenir c'est aussi le faire évoluer dans le sens de la croissance de
l'entreprise et des nouveaux besoins. On ne peut évoquer la maintenance sans également
parler du support. Pour que le support soit optimal, il faut définir des rôles en amont : Le
support de niveau 1 par des employés de l'entreprise. Le support de niveau 2 par
l'intégrateur. Le support de niveau 3 par l'éditeur. Pour ce qui est des moyens mis en œuvre,
il y a la hotline et l'intervention sur site.
3
Cabinet Faurie, « ERP et Conduite du Changement », Paris, 2006.
9. 9
Partie III : De l’audit des ERP vers l’impact sur les
travaux d’audit financier
A- Audit des ERP
1. Composantes d'un ERP
Un ERP comprend aujourd'hui des dizaines de modules applicatifs qui peuvent être
regroupés en trois catégories : les modules sectoriels, les modules intersectoriels et les
modules étendus :
Les modules sectoriels supportent les activités métiers de l'entreprise (production,
maintenance...). Ils sont spécifiques au domaine d'activité de l'entreprise (Constructeur
automobile, Assurance, service pétrolier, etc.) ;
Les modules intersectoriels informatisent les activités de support de l'entreprise. Ils sont
subdivisés en trois catégories : les activités de soutien (comptabilité, gestion Ressources
Humaine...), le système direction (planification stratégique et opérationnelle) et le portail
d'entreprise vers l'extérieur (accès via Web aux informations de l'entreprise) ;
Les modules étendus gèrent les transactions interentreprises ou entre une entreprise et
ses clients tels que les modules de type SCM, CRM...
Le modèle standard des ERP inclut toujours les activités suivantes de l'entreprise :
- Planification de la production ;
- Gestion des achats et des stocks ;
- Administration des ventes ;
- Gestion des ressources humaines ;
- Logistique ;
- Gestion comptable et financière.
Ces modules sont, complètement ou partiellement, interfacés ce qui va engendrer la
création de flux d'informations importants.
Les flux d'informations sont générés à partir de l'intégration qui existe entre les modules
d'un ERP (gestion des achats, gestion des ventes, comptabilité fournisseurs, comptabilité
clients, comptabilité générale, immobilisation, stock) et les données permanentes de la
société (informations clients, fournisseurs et articles).
Le module comptabilité générale est intégré avec les autres modules. Il reçoit
automatiquement les informations du module achat (les engagements), de la comptabilité
clients (les factures et les règlements) et de la comptabilité fournisseurs.
10. 10
Les modules du progiciel intégré utilisent instantanément les informations (clients,
fournisseurs, taux de change...) à partir des bases de données permanentes (Master Data).
2. Objectifs d'audit d'un ERP
Avant d'entamer la mission, l'auditeur doit se fixer une finalité claire afin de pouvoir suivre la
démarche la plus efficace qui permettra d'atteindre les objectifs prédéfinis.
Dans le cas d'une mission d'audit d'un progiciel intégré, l'objectif principal est d'évaluer la
pertinence des contrôles existants au niveau des différents modules pour s'assurer de la
qualité des informations produites par le progiciel.
Pour garantir cette assurance, les spécialistes doivent donner leurs avis sur :
La Disponibilité :
C'est l'aptitude des systèmes à remplir une fonction dans des conditions prédéfinies
d'horaires, de délais et de performances. Il s'agit de garantir la continuité du service, assurer
les objectifs de performance (temps de réponse) et respecter les dates et heures limites des
traitements.
Pour s'assurer de la disponibilité de l'information, des procédures appropriées de couverture
contre les incidents ainsi que des contrôles de sécurité doivent exister afin de se protéger
contre les suppressions inattentives ou intentionnelles des fichiers.
La disponibilité des flux d'informations est le fait de garantir la continuité des échanges
d'information, c'est à dire de pouvoir disposer, chaque fois que le besoin existe, des
possibilités de réception ou de transfert.
Pour les traitements, la disponibilité est destinée à garantir la continuité de service des
traitements, c'est à dire de pouvoir disposer des ressources en matériels et logiciels
nécessaires à l'ensemble des services, des agences et à la clientèle extérieure.
La disponibilité des données est le fait de pouvoir disposer de l'accès aux données chaque
fois que le besoin existe.
L'Intégrité :
C'est la qualité qui assure que les informations sont identiques en deux points, dans le temps
comme dans l'espace.
Selon l'ISO 13-335-1, l'intégrité c'est la propriété de non-altération ou de non-destruction de
tout ou partie du système d'information et/ou des données de façon non autorisée. Il s'agit
de garantir l'exhaustivité, l'exactitude et la validité des informations ainsi que d'éviter la
modification de l'information.
11. 11
L'Intégrité des données consiste à établir des contrôles sur les entrées et sur les traitements
des transactions. Elle consiste, aussi, à sécuriser les fichiers des données cumulées de toute
modification non autorisée.
L'Intégrité des opérations et des documents électroniques risque d'être mise en cause. Cette
détérioration de L'Intégrité peut provoquer pour l'entreprise des litiges avec ses clients au
sujet des conditions de transaction et de paiement.
L'Intégrité des flux d'informations est destinée à garantir la fiabilité et l'exhaustivité des
échanges d'information. C'est à dire de faire en sorte que les données soient reçues comme
elles ont été émises et d'avoir les moyens de le vérifier.
Pour les traitements, elle est destinée à assurer l'exactitude et la conformité de l'algorithme
des traitements automatisés ou non par rapport aux spécifications. C'est à dire de pouvoir
obtenir des résultats complets et fiables.
L'Intégrité des données est destinée à garantir l'exactitude et l'exhaustivité des données vis à
vis d'erreurs de manipulation ou d'usages non autorisés. C'est à dire de pouvoir disposer de
données dont l'exactitude, la fraîcheur et l'exhaustivité sont reconnues et attestées.
La Confidentialité :
C'est la qualité qui assure la tenue secrète des informations avec accès aux seules entités
autorisées. La protection de la confidentialité des informations contre toute intrusion non
autorisée est d'une exigence importante qui nécessite un niveau minimum de sécurités.
Il s'agit de :
- réserver l'accès aux données d'un système aux seuls utilisateurs habilités
(authentification) en fonction de la classification des données et du niveau d'habilitation
de chacun d'eux ;
- garantir le secret des données échangées par deux correspondants sous forme de
message ou de fichiers.
Ce dernier volet constitue le point le plus sensible dans les échanges électroniques et
intéresse aussi bien l'entreprise que les consommateurs. En effet, ces derniers se soucient
pour la protection de leurs données personnelles et financières par peur que ces
informations soient divulguées ou utilisées de façon à nuire à leurs intérêts. Il est donc
normal que les personnes qui envisagent d'avoir recours au commerce électronique
cherchent à obtenir l'assurance que l'entreprise a mis en place des contrôles efficaces sur la
protection de l'information et qu'elle veille à la confidentialité des renseignements
personnels de ses clients.
La confidentialité des flux d'informations est destinée à garantir la protection des échanges
dont la divulgation ou l'accès par des tiers non autorisés porterait préjudice.
12. 12
Pour les traitements, elle est destinée à assurer la protection des algorithmes décrivant les
règles de gestion et les résultats dont la divulgation à des tiers non autorisés serait nuisible.
La confidentialité des données est destinée à protéger les données dont l'accès ou l'usage
par des tiers non autorisés porterait préjudice. Il s'agit de donner l'accès qu'aux personnes
habilitées tout en se basant sur des procédures formelles.
B- l’impact des ERP sur les travaux d’audit financier4
Le risque d’audit est relié à l’expression d’une opinion sur les états financiers. C’est une donnée
intrinsèque à toute mission d’audit des états financiers, du fait que celle-ci est basée sur des
sondages et que l’auditeur peut commettre des erreurs. En d’autres termes, le risque d’audit est
le risque acceptable par l’auditeur qu’il émette une opinion erronée quant à la fidélité des états
financiers. Une mission d’audit ne peut, en effet, fournir qu’une assurance raisonnable et non
pas absolue, que les états financiers sont exempts d’anomalies significatives. Afin de réduire ce
risque d’erreurs, l’auditeur doit réaliser un audit de qualité lui permettant d’émettre une opinion
adéquate sur les états financiers. Ceci implique qu’il doit rassembler une quantité suffisante et
appropriée d’éléments probants et réaliser les procédures d’audit en temps opportun. Ceci
dépendra du niveau du risque d’audit qu’il est prêt à assumer dans la réalisation de sa mission
(Shaub, 1996).
Pour prendre en compte le risque dans la planification et l’exécution d’un audit des états
financiers, l’auditeur peut s’appuyer sur le modèle du risque d’audit qui se présente sous
l’équation suivante : RA = RI x RNC x RND, où,
RA : correspond au risque d’audit acceptable par l’auditeur,
RI : correspond à la probabilité qu’une ou plusieurs assertions (déclarations) contenues dans les
états financiers, contiennent des anomalies significatives, et ce, sans tenir compte du contrôle
interne ;
RNC : correspond à la probabilité que les contrôles mis en place par l’entité, ne puissent prévenir
ou détecter et corriger en temps opportun, des anomalies significatives ;
RND : est le risque que les procédés de détection (procédures analytiques et procédures
détaillées), ne détectent pas les anomalies significatives contenues dans les états financiers.
Au sein du modèle du risque, le RNC se présente comme une composante clé (Chen, Huang et
Shih, 2006 ; Fogarty, Graham et Schubert, 2006). En effet, l’auditeur fixe le niveau de ce risque
suite à sa compréhension du contrôle interne. C’est une tâche cruciale dans le processus
d’audit des états financiers dans la mesure où elle permet à l’auditeur d’apprécier les risques
d’anomalies, de planifier adéquatement sa mission et de déterminer la stratégie appropriée
pour la réaliser (Patterson et Reed, 2007). À l’issue de cette compréhension, l’auditeur est en
4
Article universitaire « Le modèle du risque d’audit appliqué dans un environnement complexe de
Technologies de l’Information. » N. Messabia et A. Elbekkali
13. 13
mesure de décider s’il entend s’appuyer ou non sur les contrôles existants pour exécuter sa
mission. Cette décision aura un impact majeur sur la nature, l’étendue et le calendrier des
procédures d’audit.
L’utilisation du modèle du risque pour la conduite d’une mission d’audit n’est ni obligatoire ni
indispensable. Cependant, le recours à ce modèle présente l’avantage d’offrir à l’auditeur une
méthode systématique pour la prise en compte de tous les facteurs de risque qui peuvent avoir
un impact sur l’exécution de sa mission. La démarche de l’auditeur devient ainsi empreinte
d’une rigueur qui lui permet de mener une mission efficace et efficiente. Plus spécifiquement,
l’utilisation du modèle du risque en audit des états financiers, permet à l’auditeur de mieux
planifier sa mission et de mieux déterminer le risque que l’exécution des tests de corroboration
entraîne l’expression d’une opinion sans restriction sur des états financiers contenant des
anomalies significatives.
1. Les Technologies de l’information (TI) et le processus d’audit
Le niveau de complexité de la planification de la mission d’audit est supérieur dans un
environnement complexe de système d’information comptable tel qu’un système Entreprise
Resource Planning- ERP (Brazel et al. 2007). L’audit réalisé par les spécialistes de l’Audit
Informatique (SAI) peut maintenant représenter jusqu’à la moitié des travaux d’audit des états
financiers (O’Donnell et al. 2000). À l’échelle individuelle, l’auditeur intervenant dans un
environnement de TI, doit absolument posséder des compétences essentielles en
informatique même dans le cas où le recours à un spécialiste s’impose. En effet, l’auditeur
devra pouvoir communiquer clairement ses objectifs au spécialiste, valider les procédures qui
seront menées par lui et évaluer les résultats de ces procédures et leurs effets sur l’étendue, la
nature et le calendrier des procédures d’audit à réaliser. Aussi, l’auditeur est entièrement
responsable du travail du SAI, qui selon les normes d’audit, ne sera considéré en aucune
circonstance, comme externe à l’équipe d’audit, en termes de responsabilité.
Par ailleurs, suite aux scandales financiers qui ont secoué les marchés financiers au début du
siècle (Enron, Worldcom, etc.), de nouvelles réglementations financières (loi Sarbanes-Oxley
ou SOX de 2002 aux États-Unis, la loi C-198 de 2002 au Canada et la loi de Sécurité Financière
(LSF) de 2003 en France), ont eu pour effet d’exiger le renforcement des contrôles pour les
organisations concernées par ces réglementations. C’est ainsi que la prise en considération par
les auditeurs des contrôles en place qui, auparavant, était un moyen de limiter l’étendue de
leur mission, est devenue une partie intégrée de cette mission (Bedard et al, 2005). Avec
l’avènement de la loi SOX et des réglementations similaires, le risque que le système
d’information ne soit pas adéquat au soutien de l’exploitation devient un élément crucial dans
l’évaluation des contrôles au sein de l’entreprise. O’Donnell et al. (2000) évoquent un
changement de paradigme dans le métier d’audit de systèmes d’information où l’on passe de
l’audit des transactions comptables et des systèmes de contrôle de transactions vers
l’appréciation de la fiabilité des systèmes d’information, redoublant ainsi la complexité du
14. 14
processus d’audit. Avec ce changement de paradigme, l’emphase est, désormais, mise sur les
systèmes de contrôle interne qui gouvernent la conception, le développement, l’implantation
et la surveillance des systèmes d’information ; domaines qui ne sont pas familiers pour les
professionnels de la comptabilité.
D’un autre côté, les TI créent des opportunités importantes d’un niveau élevé de contrôle
qui sont absentes dans un système classique (Bell et al. 1998). Les ERP devraient mener à
l’atténuation des risques inhérents et des risques de contrôle si tous les contrôles qu’ils
comprennent sont correctement établis (Hunton et al. 2004).
2. L’appréciation des risques d’audit dans un environnement complexe de TI
La loi SOX a influencé considérablement le travail des auditeurs. Au niveau de la littérature, les
préoccupations des chercheurs ont à leur tour changé suite à l’entrée en vigueur de cette loi.
Le tableau 1 présente les objectifs des recherches empiriques examinées selon qu’elles
avaient été publiées avant ou après l’apparition de la loi SOX en 2002 et selon qu’elles avaient
été publiées dans des revues comptables ou de Système d’information.
Il importe de noter qu’en dépit de l’abondance de recherches empiriques traitant de la sécurité
informatique, nous n’avons pas identifié une qui étudie le lien qui peut exister entre ce concept
et l’appréciation par l’auditeur des différents risques associés à l’audit.
15. 15
3. Particularités de l’audit dans un environnement complexe de TI
Les recherches empiriques ont permis de mettre en évidence de nombreuses particularités
d’un environnement d’audit marqué par l’utilisation de TI ou de TI complexes, telles que les
systèmes ERP.
Bell et al. (1998) démontrent qu’il existe des différences significatives dans la fréquence et les
causes des erreurs dans un système comptable informatisé traditionnel comparé à un système
comptable manuel. Certains problèmes sont plus fréquents lorsque les systèmes comptables
sont informatisés. Il s’agit des problèmes associés à la séparation des fonctions, au plan de
contrôle, aux contrôles à base de sondage et à l’application inappropriée des contrôles
internes. De ce fait, il est nécessaire selon les auteurs, de veiller à ce que la nature et la fiabilité
de ces systèmes soient adéquatement considérées depuis les étapes précoces de planification
d’une mission d’audit.
En ce qui concerne les systèmes ERP, une des conséquences naturelles de l’intégration,
caractéristique principale de ces systèmes, est la réduction de la séparation des fonctions. La
possession par une personne d’un identifiant, un profil et un mot de passe peut lui accorder
l’accès à tout module et à toute fonction dans l’organisation, ce qui n’a jamais été le cas avec
les systèmes d’information classique (Wright et al. 2002). De surcroît, les ERP peuvent
augmenter le risque de non-contrôle du fait que la vérification par les superviseurs est
typiquement minimale et que les modules supplémentaires ajoutés au programme pour des
fins de contrôle interne sont rarement bien intégrés au système ERP (Wright et al. 2002).
Par ailleurs, le développement des TI dans les organisations conjugué à la globalisation
informatisée de l’économie a amplement renforcé l’habilité à commettre des fraudes. La fraude
informatique est définie comme étant tout comportement frauduleux lié à l’informatisation à
travers lequel une personne tente de gagner un avantage indu (Seetharaman et al. 2004).
L’introduction des transactions d’affaires virtuelles a aggravé dramatiquement le risque de
fraude. La prévention et la détection des fraudes informatiques nécessitent la mise en place d’un
programme intégré de sécurité qui commence par l’identification des faiblesses du système
d’information en place.
3.1. Planification de la mission d’audit dans un environnement complexe de TI
Certaines recherches empiriques montrent que les auditeurs ne sont pas tout à fait
conscients des particularités d’un environnement complexe de TI qui sont de nature à affecter
leur processus d’audit. D’autres montrent que les auditeurs sont conscients de ces
particularités mais qu’ils manquent à les refléter dans leur planification d’audit. Les résultats de la
recherche menée par Hermanson et al. (2000) révèlent que les auditeurs internes mettent
l’emphase davantage sur les contrôles et les risques technologiques traditionnels tels que la
garde des actifs informatiques, l’intégrité des données, la confidentialité et la sécurité. Ils
16. 16
accordent une attention minimale à l’implantation des systèmes, au système d’exploitation et
au développement et acquisition des systèmes.
Les auditeurs semblent ne pas être suffisamment conscients des différents risques associés à
l’utilisation des ERP par leurs clients (Hunton et al. 2004). En particulier, le risque inhérent est
souligné par la recherche de Wright et al. (2002) du fait de l’émergence de certains problèmes
assez fréquents tels qu’une formation inadéquate du personnel ou une entrée inappropriée
de données.
Selon Bedard, et al (2005), trois types de facteurs de risque se sont avérés significativement
associés à l’appréciation d’un niveau élevé du risque. Il s’agit des facteurs de risque relatifs aux
activités de contrôle, à l’environnement de contrôle et à l’information/ communication. Seuls
les deux derniers types de facteurs sont significativement associés aux décisions de
planification d’audit. Cela signifie que les auditeurs sont conscients des facteurs de risques
relatifs aux activités de contrôle (le premier type de facteurs) induit par les TI mais ils
n’adaptent pas leurs décisions de planification d’audit en conséquence. En confrontant les
résultats de la recherche de Bedard, et al (2005), à ceux de la recherche de Hunton et al. (2004),
il serait raisonnable de conclure que les auditeurs financiers interrogés dans la première
enquête n’étaient pas en mesure d’apprécier l’impact des facteurs de risque de système
identifiés à cause de leur manque d’expertise en matière d’audit informatique.
3.2. Appréciation du risque de non-contrôle dans un environnement complexe de TI
Le recours aux services d’un Spécialiste d’Audit Informatique (SAI) pour assister l’auditeur
externe dans l’évaluation du contrôle interne du client est devenu nécessaire, de par les normes
d’audit (telle que la norme SAS no 94, AICPA 2001) mais, il n’est pas suffisant. Selon, Brazel et
al. (2007), l’auditeur lui-même, doit posséder une expertise minimale en la matière.
L’expertise de l’auditeur en TI et la compétence du SAI affectent l’évaluation par l’auditeur du
risque de non-contrôle, selon, Brazel et al. (2007). Les résultats de la recherche montrent que
la probabilité que des risques liés au système ne soient pas identifiés est plus élevée quand la
compétence du SAI est basse. Ils montrent également que les auditeurs sont sensibles à la
compétence des SAI et que lorsqu’ils reçoivent une opinion positive sur les tests de contrôle
fournie par un SAI peu compétent, ils considèrent élevé le risque de non-contrôle. Si
l’incompétence du SAI est associée à un manque d’expertise en Systèmes d’Information
Comptables (SIC) chez l’auditeur financier, alors il existe selon les chercheurs, un potentiel
d’insuffisance d’audit.
Pour ce qui est des systèmes ERP, théoriquement, leur implantation devrait mener à une
diminution générale du niveau de risque grâce aux contrôles adéquats conçus par les
fournisseurs de ces systèmes. Toutefois, dans la pratique, l’implantation d’ERP ne fait
qu’amplifier les risques, à cause du fait que les contrôles en question ne sont que rarement
17. 17
établis de manière appropriée au départ et entretenus ultérieurement (Wright et al. 2002). Une
des causes reconnues par les chercheurs quant au défaut des contrôles adéquats dans les ERP
provient du fait que les consultants et les clients focalisent indument sur le besoin de lancer le
système à une date donnée ce qui les amène à négliger des activités critiques de réingénierie
des processus d’affaires (Wright et al. 2002). Quand un dépassement du budget dédié à
l’implantation du système se manifeste, et si l’entreprise décide de couper dans certaines
dépenses afin de limiter le dépassement, ce sont souvent les fonctionnalités de contrôle et de
sécurité qui sont les premières à se voir coupées (Wright et al. 2002).
La recherche d’O’Donnell et al. (2000) portant sur la démarche de prise de décision en groupe
montre que les groupes réalisent de meilleures et de plus complètes évaluations que celles
réalisées par des individus. La performance est meilleure quand les groupes réévaluent les
contrôles du système après que les membres les ont évalués individuellement.
4. Limite du modèle de risque d’audit dans un environnement complexe de TI
La forme multiplicative du modèle du risque d’audit telle que définie par les normes
américaines de l’AICPA, est largement remise en question dans la littérature (Dusenbury et al.
2000, Messier et al. 2000, Huss et al. 2000). En effet, la forme multiplicative sous-entend que
les appréciations des trois composantes du risque d’audit (RI, RNC et RND) sont indépendantes
les unes des autres. C’est notamment l’hypothèse que le risque inhérent et le risque de
contrôle soient appréciés d’une manière totalement indépendante qui est largement critiquée
par la littérature.
En dépit des critiques portant sur cette hypothèse, le maintien par la norme américaine SAS
107 publiée par l’AICPA en 2006, laisse entendre que l’effet de l’interdépendance entre les
facteurs du modèle n’a pas été jugé assez significatif pour remettre en question sa validité.
Néanmoins, de nombreuses recherches empiriques ont mis en évidence la complexité de
l’appréciation du risque inhérent et du risque de non-contrôle dans un environnement
complexe de TI, tel qu’un système ERP. Ceci nous amène à nous questionner sur la possibilité
que la sophistication des TI constitue un catalyseur de l’interaction entre les appréciations
faites aux éléments du modèle. En particulier, l’appréciation du risque inhérent et celle du risque
de non-contrôle dans un environnement complexe de TI peuvent s’avérer aussi
interdépendantes que l’application du modèle dans sa forme multiplicative devienne
absurde.
A nos jours, il n’existe aucune recherche qui a questionné la validité du modèle du risque
d’audit dans un environnement complexe de TI. Pourtant, plusieurs recherches démontrent
que la planification d’une mission d’audit aussi bien que l’appréciation du risque inhérent et du
risque de non-contrôle diffèrent considérablement selon que l’audit se déroule dans un
environnement complexe ou dans un environnement traditionnel de TI. Nous croyons que le
recensement et la synthèse de la littérature qui a été menés aussi bien que les voies de
18. 18
recherche qui ont été identifiées par Nabil Messabia5
et Abaelnaq Elbekkali6
sont les seules
références bibliographiques trouvées en la matière.
5
Doctorant, université de Sherbrooke, Canada
6
Professeur agrégé, université de Sherbrooke, Canada.
19. 19
Partie IV : Cas empirique- Travaux d’audit lors de la
phase de mise en place de l’ERP J.D.Edwards7
dans
une société pétrolière
A/ Détermination de la cartographie des systèmes
Au cours de la phase préliminaire de compréhension du système d'information de la société, nous
avons été amenés à schématiser la structure de ce système sous forme de cartographie.
Cette cartographie permet de :
- Déterminer la relation entre les états financiers et les systèmes qui les génèrent ;
- Identifier les environnements et les applications informatiques à aborder au cours de la
revue générale des contrôles généraux informatiques ;
- Déterminer quelles fonctions et quels systèmes informatiques doivent être revus pour
chaque cycle (revenus et comptes clients, achats et comptes fournisseurs, stocks,
immobilisations, paie, trésorerie).
Ces travaux sont, généralement, menés d'une façon conjointe entre l'auditeur financier et l'auditeur
informatique.
La collecte de l'information s’est fait en discutant avec les responsables opérationnels, les
responsables financiers et les responsables informatiques ainsi qu'en examinant la documentation
existante.
La cartographie a permis d'identifier les principaux cycles dont les données sont principalement
issues des traitements informatiques, les principales activités au sein de chacun des cycles, la
conduite de ces activités, les systèmes sous-jacents de chacune des activités au sein des cycles, les
environnements informatiques sur lesquels les systèmes fonctionnent et les autres systèmes à
prendre en compte dans la planification de l'audit.
L'alimentation de la comptabilité générale par les données relatives aux opérations de facturation, de
gestion des immobilisations, de gestion de la distribution, de gestion des bons d'essence et de
gestion de la paie du personnel se fait d'une manière automatisée.
En effet, les applications comptables des ventes et gestion de la paie du personnel ont été toutes
développées sur une même plate-forme (système de fichiers sous AS/4008
). La saisie des données,
précédemment mentionnées, se fait au niveau des modules de J.D.Edwards (comptabilité clients,
comptabilité fournisseurs, gestion des immobilisations) et de l'application de gestion de la paie du
personnel.
7
J.D.Edwards : Progiciel de Gestion Intégré créé à Denver en 1977. La société PeopelSoft a acquis J.D.Edwards
au cours de l'année 2003.
8
AS/400 : « Advanced System/400 » est une architecture composée d'éléments matériels et logiciels,
comportant notamment une base de données et des éléments de sécurité avancés. Le système d'exploitation
de l'AS/400 est appelé OS/400 «Operational System/400 » (Produit IBM).
20. 20
Elles seront, par la suite, automatiquement imputées dans la comptabilité générale au niveau du
module de la comptabilité général de J.D.Edwards. L'application de gestion des bons d'essence est
interfacée avec J.D.Edwards. via le progiciel SWAT
Le système informatique de la société étudiée comporte aussi d'autres applications qui ont été
développées par la maison mère pour des besoins techniques.
Pour une meilleure compréhension du système informatique de la société auditée, nous avons décrit
les différentes applications informatiques, est ce, en précisant les informations illustrées dans le
tableau suivant :
Nature Serveur Système
d'exploitation
Direction utilisatrice
Modules :
· Comptabilité clients ;
· Comptabilité fournisseurs ;
· Comptabilité générale ;
· Gestion des immobilisations ;
· Distribution / Logistique ;
· Système de gestion de la
production.
AS/400 Windows NT · Direction Financière
· Direction Financière
· Direction Financière
· Direction Financière
· Direction
d'approvisionnement
· Direction de la production
Messagerie Lotus Notes9
Windows
NT
Windows NT Toutes les directions
Gestion de la paie AS/400 Windows NT Direction Ressources
Humaines
Gestion des bons d'essence SWAT Windows NT Agences
Gestion des dépôts Windows
NT
Windows NT Agences
Gestion des ventes AS/400 Windows NT Toutes les directions
9
Lotus Notes : Logiciel de messagerie interne «Intranet » (Produit IBM)
21. 21
B/ Evaluation du système d’information
1. Objectifs à atteindre
Nous avons testé un ensemble de contrôles mis en place par la société pour couvrir les
risques informatiques potentiels.
Ces contrôles sont classés selon les modules et les thèmes suivants :
- La sécurité des données et le contrôle des accès « J.D.Edwards Security » ;
- Les données permanentes «Master Data » ;
- La comptabilité clients «Accounts Receivables » ;
- La comptabilité fournisseurs «Accounts payables » ;
- Les immobilisations «Fixed Assets » ;
- Le stock «Energy Chimical Solution » ;
- La comptabilité générale «General Ledger » ;
- Les rapports d'intégrité «Integrity reports ».
Les résultats des tests sont synthétisés selon un système de scoring qui permet de
renseigner sur le niveau de confiance à accorder à l'environnement informatique de la
société.
2. Description des contrôles effectués
2.1. Contrôles et tests des modules du progiciel J.D.Edwards
Dans ce qui suit, nous allons citer les principaux contrôles ainsi que les tests s'y rapportant
module par module.
2.1.1. Les données permanentes «Master Data »
Les données permanentes correspondent aux données de base du système d'information
dont la fréquence de modification est relativement faible. Chaque donnée doit être unique
dans la base de données.
Les principales données permanentes sont :
- Les données de base relatives aux clients : raison sociale, adresse, personnes à contacter,
plafond de crédit, remises, etc...
- Les données de base relatives aux fournisseurs : raison sociale, adresse, personnes à
contacter, RIB, etc...
- Les données de base relatives aux produits : désignation, référence, composition, prix,
TVA, etc...
- Les données de base relatives aux immobilisations : désignation, référence, taux
d'amortissement, etc...
- Les données de base relatives à la comptabilité : plan des comptes, instructions
automatiques de comptabilisation, taux de changes, etc...
22. 22
- Les données de base relatives à la production : articles de base, réservoirs, véhicules,
dépôts, filiales, usines, etc...
Pour chaque groupe de données (Fournisseurs, Clients, Immobilisations, Banques, taux de
change, etc...), un seul propriétaire doit être désigné. Ce propriétaire est responsable du
suivi des autorisations de modification apportées aux données permanentes et aussi de la
revue de ces modifications.
Compte tenu de la sensibilité et de l'importance des données permanentes, des contrôles
clés informatisés devraient être mis en place afin de s'assurer que leurs mises à jour
(création, modification, suppression) ont été faites d'une manière correcte et autorisée et
que ces mises à jour sont contrôlées à posteriori à travers l'édition des logs d'audit.
Les contrôles clés informatisés appliqués sur les données permanentes sont généralement
traduits, en pratique, par des procédures de mise à jour et de maintenance des données
permanentes que l'auditeur sera amené à tester leur niveau d'application.
La procédure de mise à jour et de maintenance des données permanentes permet de
définir :
- L'identité des personnes habilitées à mettre à jour les données permanentes ;
- La nature des documents autorisant la mise à jour des données permanentes ;
- L'identité des personnes habilitées à revoir et à valider ces mises à jour.
Afin de s'assurer du niveau de sécurité des données permanentes de la société nous avons
testé le niveau d'application des procédures.
Le tableau ci-après présente les contrôles qui doivent exister au niveau des données
permanentes et les tests s'y rapportant :
Contrôles clés Tests effectué
Toute donnée permanente doit
être unique dans la base de
données.
Discuter avec le responsable la procédure relative aux
changements apportés aux données
permanentes (l'initiateur, la personne qui approuve la
demande, le responsable de la modification et le
contrôleur) ;
Toutes les données permanentes
doivent être présentées avec des
séparations claires des
propriétaires ;
Revoir l'historique des demandes de modification ;
Examiner les dernières modifications apportées aux
données permanentes à travers les logs d'audit ;
23. 23
Les changements et les mises à
jours apportés aux données
permanentes doivent être
autorisés et revues par une
personne indépendante (selon la
procédure).
Tester sur un échantillon de modifications le niveau de
conformité avec la procédure ;
Examiner les logs d'audit correspondants aux
modifications pour s'assurer du respect de la procédure :
l'auditeur doit vérifier le nom de la personne qui exécute
les demandes de changement, le nom de la personne qui
contrôle la régularité de ces changements, la date de
modification, l'ancienne valeur et la nouvelle valeur.
Données permanentes de la
comptabilité :
Revoir les derniers changements apportés aux
instructions automatiques de comptabilisations
2.1.2. Sécurité de JDE
La finalité principale de la revue des contrôles automatisés au niveau de J.D.Edwards est de
fournir à la Direction une assurance raisonnable quant à l'intégrité et la fiabilité du
traitement des données.
Pour atteindre et confirmer cette assurance, l'équipe d'audit doit focaliser une partie de ses
travaux sur la revue des contrôles appliqués au niveau de l'organisation, des
environnements, des menus et des procédures afin de garantir la sécurité de J.D.Edwards.
Les contrôles se résument aux points suivants :
Contrôles clés Tests
Ségrégation des tâches :
Une ségrégation efficace des tâches doit exister
dans l'environnement informatique.
Dénombrer les utilisateurs qui ont un
cumul de tâches incompatibles ;
Divisez ce chiffre par le nombre total
d'utilisateurs ayant un profil sous
AS/400 et sous J.D.Edwards. Ce
pourcentage est utilisé pour la notation.
24. 24
Contrôles clés Tests
Environnements informatiques :
Les environnements informatiques doivent être
limités à ceux de production, de test et de
développement.
Exécuter le programme "F0094"pour
déterminer le nombre
d'environnements informatiques
existants ;
Exécuter le programme "F0093" pour
Identifier les droits d'accès attribués aux
utilisateurs pour les différents
environnements informatiques.
Commandes Systèmes10
:
Le lancement des commandes systèmes devrait
être restreint convenablement.
Identifier les droits d'accès attribués aux
utilisateurs pour ces fonctionnalités
dans l'environnement informatique en
exécutant le programme " F0093" ;
Discuter les résultats obtenus avec
l'administrateur du système et obtenir
des explications pour tous les
utilisateurs bénéficiant de cet accès.
Accès rapide (Fast Path) :
Description: J.D.Edwards permet l'accès rapide à
ses modules et rapports standards en utilisant des
commandes spécifiques (exp. : l'exécution de la
commande "G09" permet l'accès rapide à la
comptabilité générale G/L).
Les accès rapides doivent être restreints
convenablement.
Exécuter le programme "F0092" pour
identifier les droits d'accès attribués aux
utilisateurs dans les environnements
informatiques ;
Discuter les résultats obtenus avec
l'administrateur du système et obtenir
des explications pour tous les
utilisateurs bénéficiant de cet accès.
Ouverture et fermeture des périodes comptables :
La possibilité d'ouvrir et de fermer les périodes
comptables doit être limitée à un nombre restreint
d'individus.
Exécuter le programme "P00105" pour
identifier les personnes qui ont la
possibilité d'ouvrir et de fermer les
périodes comptables.
10
Commandes Systèmes : sont des requêtes lancées par l'administrateur J.D.Edwards (le premier responsable
du système J.D.Edwards) pour extraire des données de base du système
25. 25
Contrôles clés Tests
Création de profils utilisateurs :
Une procédure adéquate doit exister pour le suivi
de la création de nouveaux profils utilisateurs sous
JDE.
La procédure doit inclure une estimation adéquate
de la ségrégation des tâches.
Discuter avec le responsable
J.D.Edwards l'existence de telle
procédure ;
Tester le cas de profils récemment
créés.
Droits d'accès :
Les droits d'accès des utilisateurs sous JDE
devraient être annulés ou changés d'une façon
adéquate lorsque ces derniers sont transférés ou
ont quitté la société.
Discuter avec la responsable
J.D.Edwards l'existence de telle
procédure ;
Editer la liste des profils des utilisateurs
à partir du système ;
Tester des échantillons de profils.
2.2. Documents utilisés
Au cours de la mission, l'auditeur doit avoir à sa disposition plusieurs documents qui lui
servent de base pour ses travaux de contrôles. Ces documents sont soit des rapports
générés à partir du système ou bien des procédures propres à la société.
Dans ce qui suit, on présentera les documents important que nous ayons consulté dans le
cadre de travaux de revue de l’ ERP.
Logs d'audit ou Auditrons :
Se sont des journaux édités par le système par l'exécution de commandes spécifiques. Ces
journaux retracent toutes les opérations de changement (créations, modifications,
suppressions) faites au niveau des fichiers permanents tels que le fichier
fournisseurs « supplier file », fichier clients « customer file », gestion des tiers « Address
Book », le programme d'ajustement et de prix « Price and Ajustement Schedule ».
Dans ces rapports, on trouve le nom de la personne qui exécute les demandes de
changement, le nom de la personne qui contrôle la régularité de ces changements, la date
de modification, l'ancienne valeur et la nouvelle valeur.
26. 26
Les procédures de contrôle des auditrons :
Les Logs d'audit doivent être contrôlés pour identifier les actions non autorisées et les éviter
dans le futur. Pour que le contrôle soit bénéfique, il doit obéir à une procédure formalisée et
bien définie.
Ce document indique le but de la procédure de contrôle des auditrons, les personnes
intervenantes, la périodicité d'édition, les responsabilités, les modalités pratiques et les
applications.
Les rapports d'intégrités :
Les rapports d'intégrité présentent les problèmes d'intégration qui peuvent exister entre les
soldes des comptes des différents modules de J.D.Edwards « A/R, A/P,F/A, etc » et leur
imputation directe au niveau de la comptabilité générale « G/L ».
Ces rapports sont une partie intégrale du système J.D.Edwards.
Ils doivent être édités :
- Durant l'installation de J.D.Edwards et suite à la migration des données.
- Quotidiennement, pour la majorité de ces rapports.
Si ces rapports ne sont pas édités régulièrement, l'intégrité des donnés peut être affectée, ce
qui représente un grand risque : « High Risk of Data Integrity Issues ».
L'examen des rapports d'intégrités aide à :
- S'assurer que le système fonctionne correctement ;
- Corriger tout problème à temps d'une manière efficiente.
Les rapports d'intégrités qu'on peut extraire de J.D.Edwards sont les suivants :
Comptabilité Fournisseurs : A/P
· Le rapport P047001 compare les soldes de la comptabilité fournisseurs dans le module
comptabilité fournisseurs aux soldes des comptes fournisseurs imputés dans la comptabilité
générale.
· Le rapport P04701 vérifie que le montant global de chaque lot dans la comptabilité
Fournisseurs est égal aux montants correspondants dans la comptabilité générale.
Comptabilité clients : A/R
· Le rapport P03702 compare chaque lot des montants bruts reçus inscrit à la comptabilité
clients avec la table clients de la comptabilité générale.
27. 27
· Le rapport P03701 vérifie que chaque Lot de la comptabilité clients, qui lui correspond le
total des montants reçus, est équilibré avec les Lots correspondants dans la comptabilité
générale.
Immobilisations : F/A
· Le rapport P127011 compare les soldes enregistrés à la table comptabilité immobilisations
aux soldes de la table de la Comptabilité Générale.
· Le rapport P12301 identifie toutes les transactions qui ont été inscrites dans la
Comptabilité Générale et devraient être, mais ne le sont pas encore, inscrites dans la
comptabilité des immobilisations.
Comptabilité Générale : G/L
· Le rapport P007011 présente la liste des lots non encore comptabilisés en se basant sur la
table de contrôle des lots.
· Le rapport P007031 liste les lots qui sont affectés mais non équilibrés. La différence
apparaît dans le rapport.
· Le rapport P097001 présente la balance nette de chaque société.
· Le rapport P09705 montre la divergence de chaque période entre les soldes de la balance
et les soldes dans la comptabilité générale.
· Le rapport P097021 montre les divergences des montants au niveau des sociétés entre la
comptabilité et les tables des comptes.
Stocks : ESC
· Le rapport P41543 montre les types de divergences entre les tables de comptabilité des
stocks et celles de la comptabilité générale :
- Le détail de l'article en stock existe sans avoir une correspondance avec la
comptabilité générale.
- L'article n'est pas équilibré avec son correspondant de la comptabilité générale.
· Le rapport P41544 montre les divergences pour les quantités et les montants entre la
comptabilité des stocks et la comptabilité générale.
Les droits d'accès :
Se sont des fiches formalisées qui définissent les droits d'accès des utilisateurs aux différents
menus du système, tout en respectant le profil de chacun.
Afin d'éviter toute confusion dans l'attribution des droits d'accès, chaque demande de
création, modification et suppression de profil utilisateur devraient préciser :
28. 28
- Le groupe auquel le nouvel utilisateur doit appartenir ;
- Les droits supplémentaires à accorder.
Les droits d'accès « Action Code Security » par programme de chaque groupe d'utilisateurs
doivent être formellement définis. Un descriptif fonctionnel de chaque programme est
élaboré et présenté au responsable utilisateur concerné.
· Action code report :
C'est un rapport édité pour chaque dossier faisant partie des fichiers permanents «Master
files ».
Ce document présente les identités des groupes d'utilisateurs « User Id » qui ont le droit de
modifier, créer, supprimer des données au niveau des fichiers permanents.
Pour chaque groupe, le rapport présente le profil de l'utilisateur assigné ainsi que les
sécurités attribuées.
· Les règles de gestion « Order Acivity Rules » :
Ces documents présentent l'enchaînement logique des processus d'activités d'une société
utilisant J.D.Edwards. Se sont les règles de gestion de la société.
Les traitements sont codifiés de façon automatique. Il faut nécessairement passer d'une
étape à l'étape qui la succède. Chaque passage d'une étape à une autre doit être autorisé
par une personne désignée.
3. Synthèse des travaux de contrôle interne
A l'issue de la revue des contrôles existants au niveau des différents modules du progiciel de
gestion intégré J.D.Edwards (la revue du niveau d'existence et d'application de ces
contrôles), nous avons relevé les points qui, peuvent affecter le niveau de contrôle au niveau
des processus de la société.
Sur la base de ces travaux, a été fixé le choix de la stratégie d'audit qui est fonction du
niveau de confiance dégagé pour chaque process.
29. 29
CONCLUSION
Suite à la libéralisation des marchés et face à la menace accrue de la concurrence, les
sociétés sont à la recherche des moyens les plus développés qui leurs permettraient
d'améliorer leur compétitivité et d'atteindre leurs objectifs à savoir la création de valeur. Les
nouvelles technologies de l'information, et en particulier les ERP, ont constitué, durant les
deux dernières décennies, l'un de ces principaux moyens de développement. En effet, la
majorité des entreprises, aussi bien les petites et moyennes entreprises que les grandes
firmes internationales, s'appuient actuellement sur des systèmes d'informations construits
autour des ERP.
Dans ce nouveau paysage qui caractérise la majorité des entreprises, les auditeurs se
trouvent face à des systèmes présentant des informations de plus en plus disponibles,
intègres et sécurisés. Cependant, ces systèmes sont, parfois si complexes, que leur
exploitation nécessite une expertise particulière. Ainsi, la maîtrise des risques inhérents à ce
système dépasse les compétences d'un auditeur utilisant uniquement, des méthodologies et
des outils traditionnels, et nécessite parfois le recours à des experts informatiques.
Ce n'est pas à un changement de métier, mais à une évolution des méthodes et des outils de
travail que doit se préparer l'auditeur. Les auditeurs qui se cantonneront à la comptabilité
seront progressivement ravalés à un rôle secondaire et risquent de voir restreindre leurs
interventions à quelques opérations de haute technicité comme l'arrêté des états financiers,
ou la préparation des déclarations fiscales ou sociales spécifiques.
Les auditeurs devraient, par conséquent, se mettre à niveau et ce, par le développement de
leurs connaissances et compétences afin de pouvoir jouer un rôle majeur dans tous ces
nouveaux domaines, et réévaluer encore plus leurs apports pour les entreprises.
Parmi les outils et les méthodologies qu'un auditeur financier gagnerait à maîtriser et
adopter lors de ses missions, il convient de citer le référentiel COBIT.
Ce référentiel, développé et maintenu par l'ISACA traite en particulier les domaines de la
stratégie et l'organisation informatique, de l'acquisition et l'implémentation des systèmes
informatiques, de l'exploitation et la maintenance des systèmes informatiques et du
contrôle et suivi de la fonction informatique.
30. 30
Bibliographie
Auteurs
GERARD PETIT, DANIEL JOLY et JOCELYN MICHEL ; Guide pour l'audit financier des entreprises
informatisées, Edition CLET, 1985.
JOCELYN MICHEL ; Guide pour l'audit opérationnel de l'informatique et des systèmes
d'information, Edition CLET, 1989.
MARC THORIN ; L'audit informatique, Edition PUBLI-UNION, 2000.
ABDERRAOUF YAICH ; La profession comptable et les nouvelles technologies de l'information et
de la communication, La revue Comptable et Financière RCF, N° 53
THOMAS DAVENPORT et NITIN NOHRIA ; Recollez le travail au lieu de le diviser ! , l'expansion
Management Review , Automne 1994,
LEQUEUX Jean-Louis, Manager avec les ERP, Edition Organisation, 2002
N. Messabia et A. Elbekkali ; Article universitaire « Le modèle du risque d’audit appliqué dans un
environnement complexe de Technologies de l’Information.
Yves de Rongé (Louvain) ; L’IMPACT DES ERP SUR LE CONTRÔLE DE GESTION: UNE PREMIÈRE
ÉVALUATION, FINÉCO, volume 10, année 2000
Mémoires et thèses
Bacem Jarraya ; « Revue du module « comptabilité clients » du progiciel JD EDWARDS d'une société
pétrolière dans le cadre d'une mission d'audit financier » mémoire en vu de l’obtention du Master
spécialisé Nouvelles Technologies & Gestion Comptable, Financière et Fiscale
Aché Missamou ; « Management d’un projet ERP : Harmonisation des systèmes d’information dans le
cas d’une fusion » mémoire en vu de l’obtention d’une maitrise en science de gestion.
Webographie :
· Http:// www.sécurité-informatique.enligne-fr.com
· Http:// www.audit-informatique.fr
· Http:// www.clusif.asso.fr
· Http:// www.afai.asso.fr
· Http:// www.audit.com
· Http:// www.itaudit.org
· Http:// www.isaca.org
· Http:// www.erp.com
· Http:// www.issa.org
· Http:// www.jde.fr
31. 31
Table des matières
Introduction...........................................................................................................................1
Partie I : L’ERP et ses apports :...............................................................................................3
1. Définitions de l'ERP .............................................................................................................................. 3
2. Caractéristiques d'un ERP..................................................................................................................... 3
3. Les Apports des ERP............................................................................................................................. 5
Partie II : L'implantation d'un ERP .........................................................................................7
1. Migrations des données ....................................................................................................................... 7
2. Mise en exploitation, test et évaluation................................................................................................ 8
3. Accompagnement au changement ....................................................................................................... 8
4. Maintenance et Support du produit...................................................................................................... 8
Partie III : De l’audit des ERP vers l’impact sur les travaux d’audit financier..........................9
A- Audit des ERP....................................................................................................................................... 9
1. Composantes d'un ERP..................................................................................................................... 9
2. Objectifs d'audit d'un ERP .............................................................................................................. 10
B- l’impact des ERP sur les travaux d’audit financier............................................................................... 12
1. Les Technologies de l’information (TI) et le processus d’audit......................................................... 13
2. L’appréciation des risques d’audit dans un environnement complexe de TI..................................... 14
3. Particularités de l’audit dans un environnement complexe de TI..................................................... 15
3.1. Planification de la mission d’audit dans un environnement complexe de TI ............................ 15
3.2. Appréciation du risque de non-contrôle dans un environnement complexe de TI ................... 16
4. Limite du modèle de risque d’audit dans un environnement complexe de TI................................... 17
Partie IV : Cas empirique- Travaux d’audit lors de la phase de mise en place de l’ERP
J.D.Edwards dans une société pétrolière .............................................................................19
A/ Détermination de la cartographie des systèmes.................................................................................... 19
B/ Evaluation du système d’information.................................................................................................... 21
1. Objectifs à atteindre....................................................................................................................... 21
2. Description des contrôles effectués................................................................................................ 21
2.1. Contrôles et tests des modules du progiciel J.D.Edwards........................................................ 21
2.1.1. Les données permanentes «Master Data » .................................................................... 21
2.1.2. Sécurité de JDE.............................................................................................................. 23
2.2. Documents utilisés................................................................................................................. 25
3. Synthèse des travaux de contrôle interne....................................................................................... 28
CONCLUSION........................................................................................................................29
Bibliographie ……………………………………………………………………………………………………..…………..29