Audit des systèmes d’information : les points d’attention particuliers

Exemples de points particuliers que le commissaire aux comptes aura à cœur d’analyser :

• Dévelopement et maintenance des systèmes : la mise à jour des systèmes s’accompagne de temps  d’indisponibilité des systèmes, de modifications dans la structure des tables de données. Les parties de logiciel mises à jour peuvent comprendre des erreurs de programmation (bogues) plus ou moins visibles. Pour contrer ces erreurs et éviter de compromettre les données informatiques de l’entreprise, des tests doivent être réalisés sur des jeux d’essai. Par ailleurs, il est judicieux de s’assurer que les développements informatiques sont au moins supervisés en interne et qu’ils font l’objet d’un cahier des charges précis (surtout s’ils sont externalisés).
• Traitements particuliers : certains traitements sont effectués occasionnellement (une fois par an) sur des applications non maîtrisées par la DSI voire par la DG (feuilles de calcul EXCEL par exemple). Ces traitements ne sont généralement pas sécurisés, échapent aux règles de contrôle interne paramétrés dans les systèmes informatiques centralisés et sont susceptibles de se révéler destructeurs de valeurs. Pourtant ces traitements concernent des postes entiers des états financiers  (calcul des primes et congés payés, des RFA, des dépréciations de créances, valorisation des stocks) ou des pans importants des données du systèmes (mise à jour en masse de données ou de grilles tarifaires… ). Le commissaire aux comptes doit sensibiliser la direction sur les conséquences potentielles qu’une erreur sur un calcul ou une mise à jour de données peut avoir sur l’entreprise et intégrer ce risque dans son approche.
• Utilisateurs à droits d’accès élargis (superprivilèges) : l’identification et la traçabilité de ces utilisateurs doivent être mises en place (point déjà évoqué dans un précédent post).