4028.2 Est-il vraisemblablement efficace et efficient de tester les CGI?
sept.-2022

Est‑il vraisemblablement efficace et efficient de tester les CGI?

Directives du BVG

Points à considérer au sujet des CGI

Pourquoi tester les CGI?

L’auditeur devra possiblement acquérir une compréhension des CGI et les tester afin de tenir compte des dépendances aux TI telles que :

  • les contrôles automatisés;
  • les rapports générés par une application informatique;
  • les calculs effectués par une application informatique;
  • la sécurité (accès restreint et séparation des tâches);
  • les interfaces entre les applications informatiques.

L’approche retenue pour obtenir suffisamment d’éléments probants au sujet de la fiabilité des dépendances aux TI est basée sur l’établissement de l’étendue et l’évaluation des risques. Sur la base des contrôles dans la composante « activités de contrôle », l’auditeur détermine les dépendances aux TI qui sont pertinentes pour l’audit et les risques découlant du recours à l’informatique liés aux dépendances aux TI (pour plus de directives, voir la section BVG Audit 5035.3). Après avoir identifié les risques liés à l’informatique, l’auditeur doit relever les CGI qui répondent à ces risques (pour plus de directives, voir la section BVG Audit 5035.4). S’il détermine que la conception des CGI est efficace et que ces contrôles ont été mis en place tels quels, il décide s’il doit tester l’efficacité du fonctionnement de ces CGI aux fins de l’audit.

Les CGI ne préviennent pas et ne détectent pas non plus directement les anomalies significatives, mais ils soutiennent indirectement la fiabilité des contrôles du traitement de l’information et aident à déterminer que les dépendances aux TI continuent de fonctionner comme prévu. Des CGI efficaces ne signifient pas automatiquement que les contrôles du traitement de l’information sont fiables; cependant, lorsque les CGI sont efficaces, l’auditeur testera les contrôles des applications moins souvent que s’ils étaient inefficaces. La façon la plus efficace et efficiente d’approcher un environnement hautement automatisé comportant de nombreuses dépendances aux TI pertinentes pour l’audit est souvent de tester les CGI.

Dans certains cas, plutôt que de tester les CGI, il pourrait être plus efficient de tester les contrôles du traitement de l’information à l’aide d’autres techniques tout au long de la période d’audit. L’auditeur teste les contrôles du traitement de l’information auxquels il a l’intention de se fier lorsqu’il ne peut pas se fier aux CGI et aussi lorsqu’il peut s’y fier; cependant, la nature du test pourrait varier entre les deux scénarios. S’il a la preuve que les CGI sont efficaces, l’auditeur pourra envisager une stratégie « d’étalonnage » à l’égard des dépendances aux TI. Le choix de l’approche la plus efficiente et la plus efficace est affaire de jugement professionnel.

Élaborer l’approche de test des dépendances aux TI

Pour chaque dépendance aux TI pertinente, déterminer si le test la concernant sera soutenu par la fiabilité aux CGI ou si d’autres procédures seront mises en œuvre. La décision relève du jugement et dépend des éléments suivants :

  • le nombre de dépendances aux TI pertinentes pour une application – plus il y a de dépendances aux TI pertinentes associées à une application, plus grande est la probabilité que le test des CGI soit plus efficient;
  • le type d’application (logiciel standard, commercial non complexe ou complexe) – il est souvent plus efficient de tester les progiciels standards considérés comme non complexes (voir BVG Audit 6054) que les applications plus complexes.

Pour les applications pour lesquelles il est établi qu’il faut tester les CGI, l’approche de test des CGI doit être élaborée et les éléments probants obtenus des CGI doivent être évalués afin de déterminer s’il faut mettre en œuvre des procédures d’audit complémentaires à l’égard des dépendances aux TI (voir la section BVG Audit 4028).

Si les CGI ne sont pas testés, d’autres procédures applicables aux dépendances aux TI sont élaborées (voir la section BVG Audit 4028.4).