Annual Audit Manual

AVIS CONCERNANT LE DROIT D’AUTEUR ─ Ce manuel est destiné à un usage interne. Il ne peut être reproduit par ou distribué à des tierces parties par courriel, par télécopieur, par courrier, en main propre ou par tout autre moyen de distribution ou de reproduction sans le consentement écrit du Coordonnateur des droits d’auteur du Bureau du vérificateur général du Canada. Les paragraphes du Manuel de CPA Canada sont reproduits ici pour votre utilisation non-commerciale avec l’autorisation des Comptables professionnels agréés du Canada (CPA Canada). Ils ne peuvent pas être modifiés, copiés ou distribués, sous une forme quelconque, car cela transgresserait le droit d’auteur de CPA Canada. Reproduit à partir du Manuel de CPA Canada avec l’autorisation des Comptables professionnels agréés du Canada, Toronto, Canada.

5035.4 Objectifs en matière de traitement de l’information
sept.-2022

Contenu de la présente section

Objectifs en matière de traitement de l’information

Exhaustivité

Exactitude

Validité

Accès restreint

Non-respect des objectifs en matière de traitement de l’information

Lien entre les objectifs en matière de traitement de l’information et les assertions contenues dans les états financiers

Contrôles du traitement automatisé de l’information appuyant les objectifs en matière de traitement de l’information

Contrôles d’interface

Objectifs en matière de traitement de l’information

Directives des NCA

Les risques liés à l’intégrité des informations découlent de la possibilité que les politiques en matière d’information de l’entité (c’est-à-dire les politiques qui définissent les flux d’information, les documents et les processus d’information du système d’information de l’entité) ne soient pas mises en œuvre efficacement. Les contrôles du traitement de l’information sont des procédures qui favorisent la mise en œuvre efficace de ces politiques. Ils peuvent être automatisés (c’est-à-dire intégrés aux applications informatiques) ou manuels (par exemple, les contrôles sur les données d’entrée ou de sortie), et dépendre d’autres contrôles (par exemple, de contrôles généraux informatiques ou d’autres contrôles du traitement de l’information). (NCA 315.A6)

Directives du BVG

Les objectifs en matière de traitement de l’information constituent un cadre utile pour faciliter l’évaluation de l’efficacité de la conception des contrôles du traitement de l’information à l’intérieur d’un processus ou d’un sous-processus opérationnel, de manière à mieux comprendre la saisie, le traitement et l’enregistrement des données. Pour chacun des processus opérationnels et des flux des opérations connexes, il est primordial que des contrôles soient conçus et mis en place en vue de vérifier si les opérations autorisées sont enregistrées de manière intégrale et exacte, et de prévenir et de détecter les modifications non autorisées aux opérations. Les quatre objectifs en matière de traitement de l’information sont les suivants :

Exhaustivité (E)

Toutes les opérations réalisées sont saisies et acceptées aux fins de traitement une seule fois et dans la bonne période. Par exemple, les doublons sont repérés et rejetés; les exceptions/rejets sont examinés et résolus.
Exactitude (E)

Les opérations sont enregistrées selon le montant exact dans le compte approprié et dans la bonne période (la date de l’inscription est correcte). Cet objectif vise également l’exactitude des éléments de données clés et des données permanentes utilisées dans le traitement des opérations.
Validité (V)

Seules les opérations autorisées qui ont effectivement eu lieu et qui sont liées à l’organisation sont enregistrées.
Accès restreint (AR)

Les données sont protégées contre toute modification non autorisée et l’accès aux données confidentielles et aux actifs physiques est limité de façon appropriée au personnel autorisé. Il peut être difficile d’atteindre les trois autres objectifs en matière de traitement de l’information (exhaustivité, exactitude et validité) lorsque l’objectif relatif à l’accès restreint n’est pas respecté.

La compréhension qu’a l’auditeur des objectifs en matière de traitement de l’information (exhaustivité, exactitude, validité et accès restreint) sert à étayer ses conclusions relativement à l’efficacité des contrôles du traitement de l’information à l’intérieur d’un processus ou d’un sous-processus opérationnel. La consignation des processus opérationnels et des sous-processus connexes sous-jacents aux postes importants des états financiers (c.‑à‑d. obtenus et/ou mis à jour au cours de la planification) fournit généralement de tels renseignements pour l’ensemble des composantes des quatre objectifs (voir le tableau ci après), mais l’auditeur n’est pas tenu de consigner clairement la façon dont il a tenu compte de ces considérations.

Le tableau suivant décrit le lien entre les divers types de contrôles et les objectifs en matière de traitement de l’information :

Types de contrôle Directives
Contrôle généraux informatiques

Les contrôles généraux informatiques ne sont pas des contrôles du traitement de l’information, ils s’exécutent à un niveau supérieur à celui des contrôles des processus opérationnels. Toutefois, la conception des contrôles généraux informatiques peut appuyer les objectifs en matière de traitement de l’information et les contrôles du traitement de l’information.

Comme il est expliqué dans la NCA 315.A150, la norme exige que l’auditeur identifie et évalue les contrôles généraux informatiques liés aux applications informatiques et aux autres aspects de l’environnement informatique qu’il a jugés vulnérables aux risques découlant du recours à l’informatique, étant donné que les contrôles généraux informatiques favorisent le maintien du fonctionnement efficace des contrôles du traitement de l’information. Un contrôle général informatique ne permet généralement pas à lui seul de répondre à un risque d’anomalies significatives au niveau des assertions.

L’auditeur se fie à son jugement professionnel lorsqu’il identifie les risques découlant du recours à l’informatique, car ce ne sont pas toutes les dépendances aux TI visées dans l’audit que l’auditeur jugera « vulnérables aux risques découlant du recours à l’informatique ». Voir la section BVG Audit 5035.2 — Identification des CGI de l’entité qui répondent aux risques découlant du recours à l’informatique pour obtenir des directives complémentaires, y compris un diagramme de processus sur lequel l’auditeur peur se fonder pour exercer son jugement.
Traitement de l’information

Un seul contrôle du traitement de l’information pourrait viser plus d’un objectif en matière de traitement de l’information. Si les contrôles qui visent les objectifs en question sont efficaces, l’auditeur doit ensuite établir pour quelles assertions contenues dans les états financiers ces contrôles fournissent des éléments probants.

Si un objectif en matière de traitement de l’information n’est pas atteint à un stade particulier du processus, les données générées à ce stade et ultérieurement, ainsi que l’information tirée de ces données, pourraient ne pas être fiables. Elles pourraient faire croire à des événements et à des opérations qui ne se sont jamais produits; être incomplètes ou inexactes sur le plan mathématique; ou encore faire croire à des actifs ou à des passifs non existants. L’auditeur doit examiner la validité de l’opération ainsi que l’exhaustivité et l’exactitude des intrants pour toutes les données entrées dans le système. Il doit examiner également si l’absence de contrôles conçus pour assurer à chaque étape du traitement l’atteinte des objectifs de traitement de l’information liés à la maintenance des fichiers (intégrité des données permanentes, exhaustivité et exactitude des données mises à jour, et exhaustivité et exactitude des données consignées) peut faire en sorte que les états financiers comportent une ou plusieurs anomalies significatives. Par ailleurs, l’auditeur doit s’assurer que les actifs sont protégés contre toute perte qui pourrait découler d’une erreur ou d’une fraude (surtout d’un détournement d’actifs) durant le traitement des opérations et la manutention des actifs connexes.

Une fois que l’auditeur a conclu que la conception des contrôles est appropriée pour répondre aux risques et que les contrôles sont mis en place, il peut choisir les contrôles du traitement de l’information à tester pour évaluer leur efficacité de fonctionnement et établir pour quelles assertions des états financiers ces contrôles fournissent des éléments probants.

Lorsque l’absence de contrôles relatifs à la saisie ou au traitement des données, ou leur inefficacité, est susceptible de donner lieu à des anomalies significatives dans les états financiers, l’auditeur doit examiner différentes solutions pour remédier à cette déficience des contrôles et étudier les conséquences d’une telle situation sur la nature, le calendrier et l’étendue des procédures d’audit. Il doit aussi évaluer quelles mesures s’imposent en matière de documentation et de communication, y compris s’il est nécessaire de consigner une Faiblesse/déficiences de contrôle (Tâche) (se reporter à OAG Audit 6057) et d’en aviser la direction, et s’il y a lieu les responsables de la gouvernance.
Contrôle direct au niveau de l’entité

Vu que les contrôles directs au niveau de l’entité s’exécutent à un niveau supérieur à celui du traitement de l’information, les objectifs en matière de traitement de l’information pourraient n’être pas directement pertinents concernant ces contrôles.

Pour s’appuyer sur les contrôles directs au niveau de l’entité, comme il est mentionné à la section BVG Audit 5035.1, l’auditeur doit évaluer la fiabilité de l’information sur laquelle le contrôle est exécuté, en appliquant l’une des trois procédures suivantes :

  • tester les contrôles d’applications pertinents et les contrôles généraux informatiques sur lesquels la direction s’appuie;

  • obtenir des éléments probants sur la façon dont la direction valide ou corrobore l’information sous-jacente par l’intermédiaire de sources objectives indépendantes;

  • mettre en œuvre ses propres procédures de corroboration de l’information sous-jacente.
Contrôle indirect au niveau de l’entité Les objectifs en matière de traitement de l’information ne sont généralement pas pertinents par rapport aux contrôles indirects au niveau de l’entité. Ces contrôles sont associés au ton donné par la haute direction et ils sont appliqués à un niveau supérieur de l’organisation; ils ne répondent donc pas directement à un objectif particulier qui serait lié à un poste des états financiers, à une assertion ou à un processus.
Exhaustivité

Directives du BVG

Au moment d’évaluer les contrôles visant à atteindre l’objectif en matière de traitement de l’information relatif à l’exhaustivité, l’auditeur cherche à établir ce qui suit :

  • toutes les opérations qui ont eu lieu sont saisies et acceptées une seule fois aux fins de traitement et dans la bonne période

  • les doublons sont repérés et rejetés par le système

  • chaque écart est examiné et résolu

Les exemples de contrôles suivants sont utilisés pour assurer le respect de l’objectif en matière de traitement de l’information relatif à l’exhaustivité :

Totalisation par lots

Les opérations sont regroupées (mises en lots) et comptées. Une fois la saisie et le traitement réalisés, le nombre total d’opérations traitées est comparé au nombre total d’opérations du lot initial. Les écarts sont présentés à la direction pour résolution.

Par exemple, une entreprise compte 2 500 employés qui sont payés mensuellement. Chaque mois, les salaires et les retenues sont calculés et passés en revue par la direction. Les opérations pour le passage de paye des 2 500 employés sont regroupées et saisies dans le système Bankers Automated Clearing System (BACS). Après la saisie dans le système, le contrôle afférent au lot compare le nombre attendu d’employés à rémunérer au nombre d’opérations de versement de salaire traitées.
Contrôle de séquence

Les opérations devraient être entrées et/ou traitées dans l’ordre séquentiel. Les nombres séquentiels manquants ou présents en double sont soumis à la direction pour résolution.

Par exemple, le processus opérationnel des achats et des créditeurs de l’entité prévoit une analyse de toutes les factures comptabilisées au cours de la période, qui les relie à leurs bons de commande et bordereaux de réception de marchandises respectifs. Le « contrôle de rapprochement en trois points » de l’entité repère tout identificateur séquentiel unique présent en double ou manquant et le soumet à la direction aux fins d’enquête. Lorsque le contrôle de rapprochement en trois points est automatisé, les contrôles généraux informatiques peuvent fournir des éléments probants à l’appui de l’objectif en matière de traitement de l’information relatif à l’exhaustivité.
Vérification individuelle

La vérification individuelle et manuelle des documents sources pour les comparer à un rapport des opérations afin de vérifier que chaque opération a été traitée une seule fois est onéreuse et demande un temps considérable. Le rapprochement informatisé est utilisé pour automatiser ce processus, particulièrement lorsqu’une entité a un volume élevé d’opérations faisant l’objet d’une procédure de rapprochement.

Les contrôles de l’exhaustivité peuvent être exécutés de façon manuelle ou peuvent être automatisés.

Chacun de ces contrôles de l’exhaustivité nécessite un examen et une solution rapide des écarts pour que le contrôle s’effectue de façon efficace.

Directives connexes

Voir la section OAG Audit 6054 pour obtenir des directives sur les tests des contrôles automatisés.

Exactitude

Directives du BVG

L’objectif en matière de traitement de l’information relatif à l’exactitude vise à assurer que chacun des éléments de données est saisi et enregistré correctement. L’exactitude est également très importante lorsqu’il s’agit de modifier des données permanentes.

Des contrôles de validité programmés sont souvent utilisés pour respecter l’objectif en matière de traitement de l’information relatif à l’exactitude. Certaines techniques de contrôle de l’exhaustivité peuvent également contribuer à l’atteinte de l’objectif relatif à l’exactitude de certaines données, selon la façon dont le contrôle est conçu. Par exemple, les contrôles de séquence individuels peuvent appuyer l’objectif relatif à l’exactitude.

Les contrôles de validité programmés sont des procédures que le système exécute pour vérifier les données affichées sur un écran de saisie en ligne ou pendant le traitement. Ce type de contrôle est crucial dans des contextes de traitement en temps réel puisque les opérations sont enregistrées au moment même de leur inscription. La majorité des systèmes en temps réel n’acceptent pas de traiter une opération avant que tous les contrôles de validité aient été effectués. De nombreux contrôles de validité programmés sont établis au moyen de « paramètres configurables » dans l’application. Ces paramètres configurables sont considérés comme des contrôles automatisés. La façon dont les paramètres au sein de l’application sont configurés peut avoir une incidence très importante sur l’efficacité des contrôles liés à l’exactitude.

Pour comprendre et évaluer les contrôles de validité programmés et les autres contrôles automatisés, l’auditeur doit travailler avec un spécialiste en audit informatique à l’élaboration d’une stratégie appropriée aux fins d’évaluation, notamment l’évaluation de l’incidence des contrôles généraux informatiques, pour déterminer la continuité de l’exploitation.

Bien que, en règle générale, les contrôles de validité soient importants dans un environnement en ligne, ils le sont également dans un contexte de traitement par lots.

Voici des exemples de contrôles de l’exactitude. Ils pourraient être exécutés de façon manuelle ou sous forme de contrôles de validité programmés :

Contrôle du caractère raisonnable

Vérifie que les données respectent des limites préétablies.

Par exemple, un système rejette une opération d’une quantité de 1001, lorsqu’une quantité de 1 à 1000 est attendue.
Contrôle de dépendance

Vérifie que le lien entre les éléments de données est logique.

Par exemple, si une adresse dans un État ou une région est saisie, le code postal entré doit être un code valide dans cet État ou cette région.
Contrôle d’existence

Compare les données à un fichier de données établi pour le même champ.

Par exemple, le numéro d’un client est comparé à une liste approuvée de numéros de clients.
Contrôle de format

Vérifie que les données saisies respectent les modèles alphanumériques attendus.

Par exemple, le système rejette un élément de données numériques lorsqu’il s’attend uniquement à des caractères alphabétiques.
Contrôle de l’exactitude mathématique

Vérifie l’exactitude des calculs arithmétiques effectués à partir des données saisies.

Par exemple, un système exige de l’utilisateur qu’il entre un prix unitaire, une quantité et un prix total. Le système calcule de nouveau le prix total et refuse l’opération dont le résultat ne correspond pas au prix total entré.
Vérification d’un chiffre de contrôle

Le dernier caractère numérique d’un numéro de référence a un lien mathématique avec les chiffres précédents. Si ce lien ne se vérifie pas, l’opération est refusée.

Par exemple, le huitième caractère numérique d’un numéro de référence à huit chiffres est le chiffre de contrôle créé à partir des sept autres numéros : le premier, le troisième, le cinquième et le septième numéro sont chacun multipliés par trois, puis additionnés. Si le huitième chiffre n’a pas de lien mathématique avec ce qui précède, le numéro de référence est rejeté.
Rapprochement avec d’anciennes données

Compare les données saisies aux données existantes pour assurer la mise à jour des éléments de données.

Par exemple, lorsqu’un utilisateur met à jour un mot de passe, il lui est d’abord demandé de confirmer le code d’identification d’utilisateur et le mot de passe existants. Cela permet de vérifier que le mot de passe mis à jour est bien celui du compte de l’utilisateur.
Données préenregistrées

Les éléments de données appropriés sont choisis parmi les données déjà enregistrées dans le système.

Par exemple, le menu déroulant prédéfini dans les applications client/serveur est utilisé pour éviter la saisie de données erronées.
Vérification clavier

Les données sont saisies de nouveau par un tiers indépendant pour s’assurer que les saisies initiales sont exactes.

Par exemple, au moment d’ajouter un nouveau fournisseur et d’entrer les renseignements sur le compte bancaire, une seconde personne saisit manuellement le numéro du compte bancaire et toute différence est corrigée avant que l’information soit acceptée.

Directives connexes :

Se reporter à la section BVG Audit 6054 sur les tests des contrôles automatisés.

Validité

Directives du BVG

On entend par validité le fait que les opérations enregistrées dans les systèmes financiers sont liées à des événements ou à des opérations autorisés réels et que les opérations saisies et traitées sont valides. Les techniques de contrôle suivantes peuvent être utilisées aux fins de validation :

Autorisation

La validité de chaque opération est examinée et approuvée par un membre de la direction compétent. L’approbation peut être attestée au moyen d’une autorisation manuelle, ou dans le cadre d’un processus automatisé (voir ci après).

Par exemple, un membre de l’équipe des comptes créditeurs met à jour les détails d’un paiement dans le système de paiements. Le chef de l’équipe des comptes créditeurs autorise manuellement les détails du paiement avant que le paiement puisse être effectué.
Autorisation de la sécurité de l’application

La validité de chaque opération est établie en fonction du fait qu’elle est entrée ou approuvée dans l’application par une personne autorisée. L’application est conçue de manière à confirmer que les opérations peuvent uniquement être entrées conformément aux contrôles de sécurité de l’application. Il est à noter que l’efficacité des contrôles de sécurité de l’application peut dépendre de l’efficacité des contrôles d’administration de la sécurité examinés durant l’évaluation des contrôles généraux informatiques.

Par exemple, le module de paiements met automatiquement en évidence les mises à jour effectuées par l’équipe des comptes créditeurs pour que les membres de la direction du niveau hiérarchique approprié les examinent avant d’autoriser le cycle de paiement hebdomadaire.
Contrôle de validité programmé

Une application peut être configurée de façon à vérifier la validité d’une opération.

Par exemple, un contrôle de rapprochement automatisé en trois points dans le module de paiements rejettera une opération de paiement comme non valide si le paiement ne correspond pas aux biens reçus et à un bon de commande en suspens.
Vérification d’après les sources

La comparaison des données des opérations avec les documents originaux fournit des éléments probants quant aux objectifs en matière de traitement de l’information relatifs à la validité, à l’exhaustivité et/ou à l’exactitude.

Par exemple, les détails d’un paiement sont comparés avec la facture originale dans le but de confirmer que le montant en suspens a été classé dans la catégorie chronologique appropriée.

Tout comme dans le cas de l’exactitude, l’auditeur doit travailler avec un spécialiste en audit informatique à l’élaboration d’une stratégie appropriée pour l’évaluation des contrôles automatisés liés à l’objectif en matière de traitement de l’information relatif à la validité.

Voir la section OAG Audit 6054 pour obtenir des directives sur les tests des contrôles automatisés.

Accès restreint

Directives du BVG

L’accès restreint sert principalement à assurer la protection des données contre toute modification non autorisée. En d’autres mots, une fois que les données valides sont enregistrées entièrement et avec exactitude, des contrôles sont mis en place pour assurer que ces données restent exhaustives, exactes et valides jusqu’à ce qu’elles soient modifiées subséquemment par des moyens autorisés.

Bien que la définition d’accès restreint comprenne des notions de confidentialité et de protection d’actifs corporels, en règle générale l’auditeur ne s’intéresse pas à ces notions, pour ce qui est du traitement de l’information, car elles sont moins liées au respect des assertions contenues dans les états financiers. Pour de plus amples renseignements, se reporter à la sous-section Lien entre les objectifs en matière de traitement de l’information et les assertions contenues dans les états financiers .

Le tableau ci après présente des exemples de contrôles utilisés par la direction pour prévenir ou pour déceler des modifications non autorisées apportées aux données enregistrées. Il est à noter qu’il est peu probable qu’un système complexe atteigne l’objectif en matière de traitement de l’information relatif à l’accès restreint sans l’existence de contrôles préventifs efficaces de la sécurité des données, lesquels sont examinés dans le cadre de l’évaluation des contrôles généraux informatiques.

Sécurité des données La majorité des données sont consignées dans un certain type de système de données (p. ex. un fichier ou une base de données). Bien que les contrôles de la sécurité des données soient généralement considérés comme faisant partie de l’évaluation des contrôles généraux informatiques, il est important d’établir les liens appropriés entre les contrôles et l’objectif en matière de traitement de l’information relatif à l’accès restreint pour des processus opérationnels précis. Les contrôles de sécurité des données peuvent contribuer à la réalisation des objectifs liés à la séparation des tâches.
Rapprochement de fichiers

Un rapprochement est régulièrement réalisé entre le total des fichiers et le total de contrôle indépendant pour vérifier qu’aucune modification non autorisée n’a été apportée. Ce total de contrôle peut être effectué manuellement, faire partie du fichier de données ou encore faire partie d’un fichier de données distinct.

Par exemple, un rapprochement est réalisé entre le solde des comptes clients selon le grand livre et l’information détaillée de l’auxiliaire des comptes clients.
Production d’un rapport d’écarts

Cette technique peut être utilisée pour repérer des problèmes éventuels concernant l’intégrité des données qui devaient être examinés et résolus par la direction.

Par exemple, un rapport contenant tous les éléments de données modifiés d’une période à la suivante peut être consulté afin de s’assurer qu’aucune modification non autorisée n’a été apportée au fichier maître. Remarque : Une technique similaire peut être utilisée en ce qui a trait aux objectifs en matière de traitement de l’information relatifs à l’exhaustivité, à l’exactitude et à la validité.
Vérification approfondie des données consignées dans le fichier Certains éléments de données, surtout les éléments significatifs inclus dans les calculs clés, sont si importants que l’on peut établir que des examens périodiques de ces éléments de données sont nécessaires pour atteindre les objectifs en matière de traitement de l’information. Par exemple, le tableau présentant l’amortissement applicable à un prêt qui est utilisé pour calculer les paiements que doit verser un client est crucial pour l’exactitude des montants des remboursements. Un contrôle périodique des données du tableau peut être instauré afin de vérifier si des modifications non autorisées ont été apportées.

Directives connexes

Se reporter à la section BVG Audit 5035.2 pour savoir comment les contrôles généraux informatiques sur l’accès aux programmes et aux données peuvent faciliter l’atteinte de l’objectif en matière de traitement de l’information relatif à l’accès restreint.

Se reporter à la section BVG Audit 6054 pour obtenir des directives sur les tests des contrôles automatisés.

Se reporter à la section BVG Audit 5035.2 pour obtenir des directives sur les considérations relatives à la cybersécurité.

Non-respect des objectifs en matière de traitement de l’information

Directives du BVG

Si l’un des objectifs en matière de traitement de l’information à un certain moment du processus ou du sous-processus opérationnel n’est pas atteint, les données générées à ce stade du traitement ou ultérieurement, ainsi que l’information tirée de ces données, pourraient ne pas être fiables. Une telle situation peut s’expliquer par le fait que les données sur les opérations :

  • sont incomplètes (Exhaustivité);
  • sont enregistrées ou traitées de façon inexacte (Exactitude);
  • concernent des opérations ou des événements qui n’ont pas eu lieu ou qui n’étaient pas autorisés (Validité);
  • ne sont pas protégés contre des modifications non autorisées au cours du processus (Accès Restreint).

Lorsque l’absence ou l’inefficacité des contrôles relativement à l’enregistrement et au traitement de données est susceptible d’entraîner des anomalies significatives dans les états financiers, l’auditeur doit consigner les déficiences ou les faiblesses du contrôle afin d’examiner les différentes solutions pour remédier à la déficience dans le contrôle interne, et étudier les conséquences d’une telle situation sur la nature, le calendrier et l’étendue des procédures d’audit. Se reporter à OAG Audit 5037 pour obtenir des directives complémentaires relatives à l’incidence des déficiences du contrôle relevées dans le système de contrôle interne de l’entité.

Lien entre les objectifs en matière de traitement de l’information et les assertions contenues dans les états financiers

Directives du BVG

Bien que les objectifs en matière de traitement de l’information semblent similaires aux assertions contenues dans les états financiers, il ne s’agit pas du même concept. De plus, les objectifs et les assertions sont utilisés dans des buts différents, comme il est indiqué ci‑après :

Objectifs en matière de traitement de l’information Assertions contenues dans les états financiers

Utilisés pour évaluer l’efficacité de la conception des contrôles, surtout des contrôles du traitement de l’information, dans un processus ou un sous-processus opérationnel

Utilisées pour rendre compte des déclarations de la direction concernant la présentation fidèle des états financiers et des soldes de compte

Si les objectifs en matière de traitement de l’information et les assertions contenues dans les états financiers sont utilisés dans des buts différents, ils ne sont pas complètement sans rapport. Pour certains postes des états financiers, la direction pourrait difficilement faire l’une ou l’autre des assertions contenues dans les états financiers de manière implicite si les objectifs en matière de traitement de l’information n’étaient pas atteints. Par exemple, il pourrait être difficile pour la direction de déclarer que toutes les opérations génératrices de produits sont enregistrées de manière exacte si un ou plusieurs objectifs en matière de traitement de l’information n’ont pas été atteints (par exemple, il y a un accès non autorisé au système de traitement des commandes [accès restreint], ou le système ne calcule pas adéquatement les factures [exactitude]). Cela dit, l’atteinte des objectifs en matière de traitement de l’information ne garantit pas que toutes les assertions soient satisfaites. Par exemple, le traitement exhaustif et exact des créances irrécouvrables et des corrections de valeur pour pertes de crédit attendues ne suffit pas à lui seul à satisfaire l’assertion relative à l’évaluation des créances, bien qu’il aide à établir la fiabilité des données historiques qui pourraient être utilisées par la direction pour estimer la correction de valeur.

Le tableau ci‑après peut être utile pour comprendre comment les objectifs en matière de traitement de l’information appuient les assertions contenues dans les états financiers, dans la mesure où le processus ou le sous-processus opérationnel auquel le contrôle se rapporte est bien conçu et fonctionne efficacement.

Objectifs en matière de traitement de l’information Assertions contenues dans les états financiers

Exhaustivité

Exhaustivité, séparation des périodes, existence/réalité, droits et obligations

Exactitude

Exactitude, évaluation

Validité

Existence/réalité, droits et obligations

Accès restreint

Toutes les assertions, à l’exception de celles portant sur les droits et obligations

En comprenant comment le système d’information et les processus opérationnels connexes de l’entité permettent l’atteinte des objectifs en matière de traitement de l’information, l’auditeur est mieux en mesure 1) de relever et d’évaluer les risques d’anomalies significatives au niveau des assertions et 2) de sélectionner les contrôles mis en place par la direction pour tester l’efficacité de leur fonctionnement.

Au moment de résumer les éléments probants concernant un poste des états financiers, l’auditeur établit d’abord les éléments probants qui ont été obtenus à partir des tests des contrôles pour chaque assertion pertinente. Il peut notamment examiner les contrôles liés à ce poste des états financiers pour évaluer si les objectifs en matière de traitement de l’information ont été atteints grâce aux contrôles, y compris la saisie, le traitement et l’enregistrement des données. Les éléments probants qui confirment le caractère approprié de la conception et de la mise en œuvre, ainsi que l’efficacité du fonctionnement des contrôles appuyant les objectifs en matière de traitement de l’information, procurent l’assurance au niveau des assertions.

La circulation des données dans le système d’information de l’entité s’accompagne de risques d’atteinte à l’intégrité des données. Ces risques peuvent toucher tous les processus et les sous processus. Par conséquent, l’auditeur examine les objectifs en matière de traitement de l’information de l’ensemble des sous processus lorsqu’il cherche à comprendre l’intégralité du processus de circulation des données d’un bout à l’autre du système d’information. Cette manière de procéder l’aide à déterminer s’il existe un risque qu’un contrôle soit rendu inefficace par suite de la déficience d’un contrôle conçu pour appuyer un autre objectif en matière de traitement de l’information au sein d’un même processus opérationnel. Par exemple, la direction pourrait avoir mis en place un contrôle relatif à l’exhaustivité, comme une vérification individuelle relative à la facturation des clients, qui pourrait être rendu inefficace par l’inefficacité des contrôles visant à restreindre l’accès aux données sur les bons de commande.

L’auditeur comprend comment les objectifs en matière de traitement de l’information sont atteints dans le sous-processus pertinent, ainsi que l’incidence des contrôles généraux informatiques sur ces contrôles liés aux objectifs en matière de traitement de l’information avant de choisir quels contrôles relatifs à une assertion contenue dans les états financiers il prévoit tester. Les déficiences relevées dans les contrôles du traitement de l’information pourraient influer sur son évaluation des risques et sur les mesures d’audit prises en réponse.

Pourquoi l’accès restreint est‑il lié à la majorité des assertions?

L’accès restreint aux actifs et aux fichiers signifie que les données sont protégées contre toute modification non autorisée, que leur confidentialité est assurée et que les actifs corporels sont protégés. Ceci est similaire à l’environnement de contrôle du fait que l’accès restreint est lié à plusieurs assertions. La protection des actifs corporels contribue à l’assertion « existence/réalité ». De même, l’accès restreint au système peut contribuer aux assertions touchant « l’existence/réalité », « l’exhaustivité », « la validité » et « l’évaluation ».

Contrôles du traitement automatisé de l’information appuyant les objectifs en matière de traitement de l’information

Directives du BVG

Les contrôles du traitement automatisé de l’information appuient les mêmes objectifs en matière de traitement de l’information relatifs à l’exhaustivité, à l’exactitude, à la validité et à l’accès restreint que les contrôles manuels du traitement de l’information. Toutefois, ils sont davantage affectés par l’efficacité des contrôles généraux informatiques et nécessitent un suivi manuel pour arriver à une résolution. Tous les contrôles du traitement automatisé de l’information ont un contrôle manuel correspondant (p. ex. les totaux par lots aux fins d’exhaustivité et d’exactitude en cas de transfert de données pourraient nécessiter un suivi manuel à l’égard des enregistrements en attente). Ils font généralement l’objet de tests en même temps que leurs contrôles manuels correspondants afin d’établir s’il y existe un équilibre approprié de contrôle (p. ex. une opération est refusée ou mise en évidence, une recherche manuelle est effectuée, et un processus de suivi est engagé, et la résolution du problème est documentée).

Voici quelques exemples de méthodes de contrôle du traitement automatisé de l’information pour chacun des objectifs en matière de traitement de l’information :

Exhaustivité

  • Numérotation des opérations en ordre séquentiel : chaque opération peut être spécifiquement identifiée dans le système d’information et les doublons ou les numéros hors de la fourchette établie sont refusés par le système d’information. Les numéros manquants sont signalés aux fins d’investigation et de suivi, au besoin.

  • Vérification et rapprochement des contrôles : comparer le total ou les totaux dans le système d’information au total ou aux totaux que l’on s’attend à saisir. Les écarts relevés dans les éléments de rapprochement font l’objet d’un suivi et sont corrigés. Voici des exemples de vérification et de rapprochement des contrôles :

    • Total de contrôle (total bidon) : la somme numérique des données saisies dans un ou plusieurs champs du système d’information, y compris des données qui ne sont pas utilisées normalement dans les calculs, comme des numéros de compte. On compare le total de contrôle entré dans le système d’information au total que l’on s’attend à entrer. Si des points de données sont perdus ou modifiés, une absence de concordance est constatée et indique la présence d’un problème possible à cerner et à résoudre.
    • Total des lots : le nombre d’éléments d’un lot saisi dans le système d’information. On compare le total entré dans le système d’information au total que l’on s’attend à entrer. Si une partie du lot est perdue, une absence de concordance est constatée et indique la présence d’un problème possible à cerner et à résoudre en ce qui concerne l’exhaustivité du transfert de données.

  • Contrôles de validité : parfois appelés « contraintes » ou « contrôles de validation », les contrôles de validité comparent automatiquement les données à des critères prédéfinis. Le système d’information permet de saisir uniquement les données qui répondent à ces critères. Voici des exemples de critères :

    • un ensemble de limites numériques; par exemple un contrôle conçu pour repérer et signaler les opérations qui excèdent des limites de crédits prédéterminées;
    • un format de données attendu; par exemple un contrôle qui accepte uniquement les dates en format « jj/mm/aa »;
    • un ensemble de conditions logiques; par exemple pour repérer des opérations en double en se fondant sur la valeur des factures.

Exactitude

  • Contrôles de validation, pouvant comprendre des contrôles de vraisemblance, des contrôles d’existence et des contrôles de format.

  • Rapprochement de clients, de vendeurs, de numéros de pièces, de factures et de bons de commande avec les données existantes.

    • le total de contrôle des données des opérations est saisi dans le système.

Validité

  • Opérations acheminées selon un processus d’approbation aux fins de traitement par les employés autorisés.

  • Rapprochement de données sur les clients et de données existantes (données historiques, données permanentes, données obtenues d’une autre organisation ou d’un autre système, rapprochement antérieur de données).

Accès restreint

  • Une autorisation officielle par le propriétaire de l’application est requise pour accéder aux dossiers comptables en question. La direction examine les droits d’accès périodiquement pour s’assurer que seules les personnes autorisées y ont accès et pour vérifier la séparation des tâches. Les exceptions signalées sont examinées et une décision est prise à leur sujet.

  • Les contrôles d’accès englobent une séparation appropriée des tâches (la personne a accès uniquement à l’information requise pour assumer ses fonctions, p. ex. les responsabilités liées à l’approbation, au traitement et à la manutention des actifs devraient être confiées à différents employés).

  • Les accès sont contrôlés au moyen de codes d’identification d’utilisateurs et de mots de passe, pour chaque application. Les mots de passe sont modifiés périodiquement et ne sont pas remplacés par des mots de passe déjà utilisés. Après plusieurs tentatives infructueuses d’ouverture d’une session, le code d’identification de l’utilisateur est annulé et cela est signalé au moyen d’un relevé des écarts. La direction examine tous les écarts et prend une décision à leur sujet.

Directives connexes

BVG Audit 5035.3 — Identification des CGI de l’entité qui répondent aux risques découlant du recours à l’informatique

Contrôles d’interface

Directives du BVG

Les contrôles d’interface sont considérés comme des contrôles du traitement de l’information et l’auditeur les prend en considération lorsqu’ils sont utilisés pour appuyer l’atteinte des objectifs en matière de traitement de l’information. Les contrôles d’interface sont cruciaux pour la vérification de l’exhaustivité et de l’exactitude du transfert des données, ainsi que la validité des données reçues. Ces contrôles peuvent être effectués de façon manuelle ou automatisée, puisque le transfert des données peut être lancé manuellement et que la valeur et le nombre d’enregistrements peuvent être rapprochés manuellement ou au moyen de l’application des totaux par lots. En cas de rapprochement au moyen du total des lots, un rapport présentant les résultats doit être produit, car le système n’effectuera pas automatiquement les corrections requises. Des exemples de contrôles du traitement automatisé de l’information employés pour vérifier la transmission de données d’un système source à un système récepteur de manière exhaustive et exacte sont présentés ci‑dessous :

  • Les contrôles de validation utilisés par les systèmes récepteurs afin de limiter la réception de données d’interface de certains systèmes sources prédéfinis. Ceci est souvent employé au moyen de codes de reconnaissance de système (p. ex. adresses IP (Internet Protocol) et pointeurs de base de données). Cette technique peut également servir de contrôle de validation puisqu’il vérifie la validité des données reçues.

  • Les contrôles de validation instaurés dans les systèmes récepteurs pour interdire l’acceptation de fichiers qui ne comportent pas la date exacte (p. ex. le système refuse encore le fichier de la veille si celui du jour n’est pas prêt).

  • Les contrôles de validation intégrés dans la transmission de données. Par exemple, le système récepteur peut calculer les totaux de contrôle et le nombre d’enregistrements de données reçues à partir de sources valides. Le système récepteur compare les totaux et les nombres à ceux du système source. Le système source compare les totaux de contrôle avec ses propres résultats. Si les totaux sont identiques, le système source envoie une confirmation au système récepteur. Dans le cas contraire, le système récepteur ne traitera pas les données. Cette façon de faire permet de vérifier que la transmission de données est exhaustive et exacte. Dans ce secteur, il faut également envisager des contrôles de seconde soumission.

  • Les contrôles de validation au moyen des en‑têtes de fichiers et des titres de bas de page. Les en‑têtes peuvent résumer l’information comprise dans les fichiers envoyés du système source. L’information peut comprendre, par exemple, le nombre de dossiers, le nombre total de champs, le total des débits, le total des crédits et la taille des fichiers. Le système récepteur importe le fichier, enregistrement par enregistrement, en effectuant un calcul de validation. Lorsque le résultat calculé correspond aux en‑têtes et aux titres de bas de page, le processus de validation passe à l’étape suivante. Si les données ne correspondent pas, on doit recourir au contrôle de seconde transmission.

Contrôle de seconde transmission : Il s’agit d’un contrôle de suivi très important qui sert à vérifier les cas où les contrôles dont il est question ci‑dessus ont décelé une erreur de transmission. Le système récepteur dicte au système source de transmettre de nouveau les données originales. Dans ce cas, le système source ignore le message initial, afin d’éviter que les données transmises soient traitées deux fois.

Contrôle de validation de données : Processus par lequel l’ensemble des données reçues des systèmes sources est soumis à des contrôles de validation de données. Ce type de contrôles peut comprendre, par exemple, des champs numériques qui vérifient la présence d’autres caractères ou de dates, de manière à assurer que les données sont dans le format approprié. Les formats numériques des sociétés sont également vérifiés conformément à des règles d’affaires. Il existe des règles qui s’appliquent à tous les champs de données reçus du système source. Par exemple, un numéro de client doit être compris entre 1000001 et 1099999. Ces mêmes contrôles sont également appliqués aux cas de seconde soumission.

Directives connexes

BVG Audit 5035.2 — Identification des CGI de l’entité qui répondent aux risques découlant du recours à l’informatique