Intégration de l’IT dans les audits financiers

  • Share

View this page in Dutch 

En cinq décennies, le rôle des systèmes IT dans la gestion de l’entreprise n’a cessé de gagner en importance. D’abord au niveau des départements individuels, ensuite à l’échelle de l’entreprise, puis du groupe. Aujourd’hui, il dépasse même les frontières des entreprises et des organisations. Difficile d’imaginer une entreprise n’ayant pas recours à au moins un système informatique essentiel.

Les entreprises consentent, souvent, des investissements massifs pour assurer le déploiement et la maintenance de ces systèmes et il va sans dire que les organisations attendent de leurs auditeurs qu’ils maximisent le rendement de ces investissements technologiques dans le cadre de leurs travaux d’audit.

D’importants volumes de transactions

Qui plus est, il existe des organisations dont d’importants volumes de transactions sont partiellement ou entièrement dématérialisés. Pensez aux banques, aux opérateurs de télécommunications, aux entreprises d’utilité publique, au secteur des médias et du divertissement ou encore aux entreprises ICT. Le contrôle des informations sur papier est impossible : on ne peut s’appuyer que sur des données numériques.

Afin de faire face aux évolutions de l’environnement professionnel et de répondre aux exigences et aux attentes des clients, EY dispose d’un groupe interne de spécialistes exclusivement chargés de l’analyse et du test des environnements IT, des systèmes IT et des contrôles internes implémentés au sein des systèmes IT. Ils travaillent dans le cadre des missions d’audit externes régulières d’EY, mais aussi à la demande spécifique des clients qui souhaitent un avis indépendant sur la qualité de leur organisation ICT, sur leurs processus de gestion ICT ou sur la qualité des systèmes qu’ils ont déployés.

Des révélations pour le management

Le résultat de ces procédures est formellement transmis au management de l’organisation auditée sous la forme d’une lettre de recommandation non technique (sans jargon technique) où figurent les éléments suivants :

  • évaluation de la maturité de l’organisation IT et des processus IT et commentaires selon le modèle COBIT (Control Objectives for IT and Related Technologies) ;
  • évaluation de l’efficacité de la mise en place, de l’existence et du fonctionnement des objectifs de contrôle examinés au sein des processus : implémentation et maintenance des systèmes, gestion du changement, protection de l’accès logique et physique, back-up, récupération, interface et planification des tâches ;
  • description des risques auxquels les faiblesses identifiées exposent l’organisation et présentation de solutions ;
  • explication des résultats à la lumière des résultats d’études et de sondages récents d’EY ou externes.

Nous savons d’expérience que ces rapports ouvrent souvent les yeux du management et donnent lieu à l’élaboration de plans d’amélioration (mis en place en fonction des risques) qui permettent un suivi et un traitement plus efficaces des risques que court une organisation sur le plan informatique.