6054 Tests des contrôles automatisés
sept.-2022

Test des contrôles automatisés

Directives des NCA

En raison de l’uniformité inhérente au traitement informatique, il se peut qu’il ne soit pas nécessaire d’augmenter l’étendue des tests sur un contrôle automatisé. On peut s’attendre au fonctionnement uniforme d’un contrôle automatisé tant que l’application informatique (y compris les tables, les fichiers et les autres données permanentes utilisés par celle‑ci) n’est pas modifié. Une fois que l’auditeur a déterminé qu’un contrôle automatisé fonctionne comme prévu (ce qu’il peut faire lors de la mise en place initiale du contrôle ou à toute autre date), il peut envisager d’effectuer des tests pour vérifier que le contrôle continue de fonctionner efficacement. L’auditeur peut notamment tester les contrôles généraux informatiques portant sur l’application informatique. (NCA 330.A29)

De même, l’auditeur peut mettre en oeuvre des tests des contrôles qui permettent de répondre aux risques d’anomalies significatives concernant l’intégrité des données de l’entité ou l’exhaustivité et l’exactitude des rapports générés par le système de l’entité, ou des contrôles qui concernent les risques d’anomalies significatives pour lesquels les procédures de corroboration ne peuvent fournir à elles seules des éléments probants suffisants et appropriés. Ces tests des contrôles peuvent entre autres porter sur des contrôles généraux informatiques et tenir compte des éléments mentionnés à l’alinéa 10 a), ce qui évitera possiblement à l’auditeur d’avoir à mettre en oeuvre d’autres tests pour obtenir des éléments probants sur ces éléments. (NCA 330.A30)

Lorsqu’il détermine qu’un contrôle général informatique est déficient, l’auditeur peut prendre en considération la nature des risques connexes découlant du recours à l’informatique – risques qu’il a identifiés en application de la NCA 315, afin de disposer d’une base pour la conception de procédures d’audit supplémentaires permettant de répondre à son évaluation du risque d’anomalies significatives. Ces procédures supplémentaires peuvent notamment servir à déterminer : (NCA 330.A31)

  • si les risques connexes découlant du recours à l’informatique se sont matérialisés. Par exemple, si certains utilisateurs disposent d’un accès non autorisé à une application informatique, mais qu’ils ne peuvent ni accéder à l’historique des accès du système ni le modifier, l’auditeur peut inspecter cet historique afin d’obtenir des éléments probants attestant que ces utilisateurs n’ont pas accédé à l’application informatique au cours de la période;

  • s’il y a des contrôles de remplacement, des contrôles redondants ou d’autres contrôles visant à répondre aux risques connexes découlant du recours à l’informatique. Lorsqu’il y en a, l’auditeur peut identifier ces contrôles (s’il ne l’a pas déjà fait), puis en évaluer la conception, déterminer s’ils ont été mis en place et en tester l’efficacité du fonctionnement. Par exemple, s’agissant de la déficience d’un contrôle général informatique lié aux accès, il se peut que l’entité ait prévu, en guise de contrôle de remplacement, que la direction du service informatique examine en temps opportun des rapports sur les accès des utilisateurs finaux. Il peut y avoir des circonstances où des contrôles des applications permettent de répondre aux risques découlant du recours à l’informatique lorsque, par exemple, les informations possiblement touchées par la déficience du contrôle général informatique peuvent faire l’objet d’un rapprochement avec des informations provenant de sources externes (par exemple, un relevé bancaire) ou de sources internes qui ne sont pas touchées par cette déficience (par exemple, une autre application informatique ou une autre source de données).

Dans certaines situations, il peut être nécessaire d’obtenir des éléments probants attestant l’efficacité du fonctionnement de contrôles indirects (par exemple, de contrôles généraux informatiques). Comme il est expliqué aux paragraphes A29 à A31, il se peut que des contrôles généraux informatiques aient été identifiés, en application de la NCA 315, du fait qu’ils assurent l’efficacité du fonctionnement de contrôles automatisés ou le maintien de l’intégrité des informations qui sont utilisées dans le cadre du processus d’information financière de l’entité, y compris les rapports générés par le système. L’exigence énoncée à l’alinéa 10 b) évoque la possibilité que l’auditeur ait déjà testé certains contrôles indirects en ce qui concerne les éléments mentionnés à l’alinéa 10 a). (NCA 330.A32)

Directives du BVG

En appliquant une approche fondée sur le risque, l’auditeur élabore une stratégie appropriée pour tester les contrôles automatisés du traitement de l’information, les contrôles généraux informatiques (CGI) et les contrôles manuels, du fait qu’il existe entre eux un certain nombre de liens d’interdépendance. Comme il est souligné à la section BVG Audit 5035.2, la possibilité de se fier au bon fonctionnement constant des contrôles automatisés dépend généralement de l’efficacité du fonctionnement des CGI. Se reporter à la section BVG Audit 5035.2 pour obtenir de l’information complémentaire sur le lien entre les CGI et les contrôles automatisés, et sur la manière dont les CGI apportent des éléments probants aux audits. Il faut prendre en considération plusieurs facteurs avant de déterminer la nature, le calendrier et l’étendue des tests des contrôles automatisés du traitement de l’information et des CGI. Ces facteurs sont :

  • La qualité et l’efficacité de l’environnement de contrôle informatique et des contrôles directs au niveau de l’entité (CDNE) à l’égard de l’informatique.

  • Les connaissances tirées des audits antérieurs et les changements importants, connus ou anticipés, qui touchent ou peuvent toucher les personnes, les processus, les applications, les technologies, les activités ou les conditions d’affaires et qui peuvent avoir une incidence sur l’audit.

  • Les contrôles de haut niveau effectués par la direction de l’informatique dans le cours normal de ses activités pour faire le suivi des contrôles.

Par exemple :

Un client effectue chaque trimestre un contrôle de suivi à l’occasion duquel la liste de tous les utilisateurs ayant accès aux principales applications financières de leur division respective est communiquée au contrôleur de chaque division. Le contrôleur de division examine la liste afin de vérifier que seuls les utilisateurs autorisés disposent d’un accès à ces applications et que leurs droits d’accès sont adéquats et conformes aux objectifs de restriction des accès et de séparation des tâches de l’entité. Les écarts ou les anomalies ne sont pas courants, mais ils font l’objet d’une investigation et sont corrigés dès qu’ils sont repérés. En fonction des risques et de la complexité caractérisant l’administration par l’entité de la sécurité des applications et de l’importance de la restriction des accès pour le contrôle interne à l’égard de l’information financière, l’auditeur pourrait être en mesure de tester ce contrôle trimestriel de suivi (ce qui devrait inclure une évaluation de la fiabilité des listes d’utilisateurs utilisées pour le contrôle) et de limiter en grande partie, voire d’éliminer, la nécessité de tester les contrôles détaillés dans le processus d’ajout, de suppression ou de modification des droits d’accès des utilisateurs.

  • Les risques associés aux contrôles automatisés du traitement de l’information et aux contrôles généraux informatiques (CGI) — Les risques associés aux contrôles automatisés du traitement de l’information comprennent : a) les risques inhérents d’anomalies significatives dans les comptes sous-jacents; et b) le risque que les contrôles automatisés du traitement de l’information soient incapables de prévenir ou de détecter une anomalie significative dans les comptes après l’examen de l’efficacité des autres contrôles, comme les contrôles directs au niveau de l’entité (CDNE). Les CGI, sur lesquels s’appuient les contrôles automatisés du traitement de l’information, sont soumis aux mêmes risques, de même qu’au risque de ne pas pouvoir appuyer l’efficacité continue des contrôles automatisés du traitement de l’information.

  • Le recours à une stratégie d’étalonnage pour les contrôles automatisés du traitement de l’information.

  • Les autres sources d’éléments probants pouvant permettre d’évaluer le fonctionnement continu des principaux contrôles automatisés du traitement de l’information.

Nature et étendue des tests des contrôles automatisés du traitement de l’information en présence d’éléments probants à l’appui des contrôles généraux informatiques (CGI)

Directives du BVG

Les éléments probants obtenus au sujet de la mise en place d’un contrôle automatisé peuvent fournir un certain niveau d’éléments probants quant à l’efficacité du fonctionnement du contrôle automatisé. La combinaison de ces éléments probants avec ceux concernant l’efficacité du fonctionnement des contrôles généraux informatiques (de la date de mise en place du contrôle jusqu’à la période visée par l’audit) peut fournir des éléments probants substantiels sur l’efficacité du fonctionnement du contrôle automatisé en question pendant la période pertinente.

C’est pourquoi le nombre d’éléments que l’auditeur devra tester pour un contrôle automatisé est généralement minime, en supposant qu’il a testé le contrôle auparavant. Cela tient au fait que lorsque l’auditeur s’appuie sur des contrôles automatisés ou sur des calculs automatisés, il teste normalement les CGI de façon à acquérir la certitude que les contrôles et les calculs automatisés continuent de fonctionner correctement. Si les CGI ne sont pas efficaces, il pourrait être plus efficient de tester les contrôles automatisés à l’aide d’autres techniques comme celles décrites à la rubrique « Approche à l’égard des contrôles automatisés en l’absence d’éléments probants à l’appui des contrôles généraux informatiques ».

Que les CGI soient efficaces ou non, l’auditeur doit concevoir le test avec prudence, en s’assurant qu’il vise toutes les itérations critiques du contrôle. Il y a itération d’un contrôle lorsqu’un contrôle automatisé est programmé pour s’exercer différemment en fonction des données d’entrée. Voir les exemples suivants de contrôles comportant de multiples itérations.

Exemple 1 :

Une entité exécute un encan en ligne au cours duquel elle collecte des commissions basées sur le prix obtenu comme suit :

Prix de vente à l’encan Commission

0,01 à 10,00 $

1,00 $

Supérieur à 10,00 $

10 % du prix de vente final

La commission est automatiquement calculée par l’application; cependant, l’auditeur testera les deux scénarios pour obtenir des éléments probants étayant l’exactitude du calcul de la commission.

Exemple 2 :

Tout écart de prix entre une facture et la commande d’achat qui dépasse les limites de tolérance établies a pour effet de bloquer le traitement du paiement. Les limites de tolérance sont de 10 % ou 100 $. L’auditeur conçoit un test qui permettra de vérifier les deux types de limite de tolérance.

Selon la nature du contrôle et des risques y afférents, les éléments probants concernant le fonctionnement du contrôle automatisé peuvent être obtenus par une demande d’informations, l’observation, une inspection et/ou des procédures de réexécution suffisantes pendant l’évaluation de la conception du processus relatif aux opérations connexes. Il peut être nécessaire de tester plus d’une opération pour observer la façon dont tous les aspects significatifs du processus fonctionnent. Par ailleurs, il peut être plus efficient et plus efficace de tester certains contrôles automatisés du traitement de l’information (notamment les contrôles, calculs ou rapports les plus complexes) « par l’intermédiaire de l’application », par exemple en examinant directement les paramètres d’une configuration dans l’application.

Pour décider d’une méthode de test des contrôles automatisés, l’auditeur doit examiner :

  • s’il peut obtenir une assurance indirecte quant à l’efficacité des contrôles récemment mis en place grâce à des tests portant sur les contrôles de modification ou de développement des programmes (p. ex. le processus utilisé par la direction pour évaluer le fonctionnement du contrôle dans le cadre de son processus de mise en place de l’application);

  • s’il existe une possibilité d’utiliser des tests à double objectif (p. ex. des tests de corroboration dans des audits d’états financiers pouvant aussi fournir des éléments probants à un moment précis sur des contrôles portant sur l’exhaustivité et l’exactitude d’un rapport clé utilisé dans un contrôle manuel);

  • si des compétences particulières sont requises (p. ex. pour examiner directement une installation d’un progiciel de gestion intégrée configurable ou pour évaluer la méthode que le client utilise pour tester un contrôle pendant la phase de mise en place de l’application).

Lors de la conception d’un test pour un contrôle automatisé, il faut prendre en compte les fonctionnalités et caractéristiques de ce dernier afin d’évaluer l’efficacité de son fonctionnement dans tous ses aspects significatifs, compte tenu des objectifs de traitement de l’information pour lesquels le contrôle a été conçu. Le concept du « test unique » ne se limite pas au test d’une seule opération exécutée par les contrôles automatisés. Par exemple, il convient d’examiner ce qui suit :

  • les champs de données que l’application est programmée pour traiter;
  • la logique des calculs programmés;
  • si l’application a un niveau de tolérance en ce qui a trait aux instructions automatisées;
  • la façon dont les corrections sont approuvées et traitées;
  • la façon dont les écarts sont traités;
  • les possibilités de contournements manuels ou systématiques.

Lorsque l’auditeur a recueilli ces renseignements et effectué un travail suffisant pour évaluer la conception des contrôles (y compris l’acquisition d’une compréhension de leurs différentes caractéristiques et des cheminements de leurs opérations), il doit juger si ce travail lui a fourni un niveau suffisant d’assurance pour savoir si le contrôle fonctionne tel qu’il a été conçu. Si ce n’est pas le cas, il peut être nécessaire de mettre en œuvre des procédures complémentaires faisant appel à une ou plusieurs des techniques de test décrites ci‑dessus. Par exemple, il peut être plus efficient ou efficace d’examiner directement les paramètres de configuration du rapprochement en trois points dans l’application.

Tester l’exactitude d’un rapport automatisé utilisé pour générer une estimation comptable importante (p. ex. un rapport de stock excédentaire et périmé appuyant une estimation de provision) constituerait un bon exemple d’un cas où l’auditeur pourrait devoir accomplir plus de travail pour vérifier qu’un contrôle automatisé fonctionne tel qu’il a été conçu. Il pourrait évaluer la façon dont le rapport est pris en compte dans la conception des contrôles, et possiblement en être satisfait, en effectuant des demandes d’informations auprès du personnel comptable et du personnel informatique pour savoir quelle est la nature des données contenues dans le rapport et à la manière dont elles sont compilées dans les processus de comptabilité et d’estimation. Si la conception des contrôles est telle que l’exactitude de l’estimation comptable dépend de l’exactitude du rapport, et que cette dernière dépend à son tour de la qualité de la programmation de l’application, l’auditeur devrait mettre en œuvre des procédures destinées à évaluer si le rapport est exhaustif et exact au regard de l’intention de sa conception.

Contrôles automatisés complexes

Dans le cas de certains contrôles automatisés complexes, il peut être difficilement réalisable en pratique, voire impossible, d’évaluer la conception ou l’efficacité du fonctionnement de ces contrôles uniquement au moyen de procédures « manuelles » seules pour comprendre un processus par l’observation du flux d’une opération. Prenons l’exemple d’une application destinée à traiter des réclamations d’assurance maladie. Un processus automatisé pourrait utiliser les données entrées, des contrôles de validation et des tests de caractéristiques pour orienter les opérations vers d’autres chaînes de traitement alors soumises à différents calculs complexes visant à déterminer le montant réel de la réclamation. L’application pourrait prendre en compte des facteurs tels que :

  • La réclamation concerne-t-elle la période de contrat en cours?
  • Les services médicaux sont‑ils couverts par le régime de la personne?
  • Les services sont‑ils dispensés dans le réseau ou en dehors de celui-ci?
  • Le montant de la franchise est‑il atteint?
  • Une quote-part est‑elle exigée?
  • À quel endroit les services ont‑ils été dispensés?

À la différence d’un simple jeu d’écritures, qu’il est facile de rectifier (comme les prix multipliés par les quantités dans le traitement d’une facture de vente), les variations et la complexité de certains processus (comme dans l’exemple des réclamations d’assurance maladie) peuvent exiger des méthodes plus raffinées pour comprendre et évaluer le flux des opérations, les risques d’anomalie et la conception ou le fonctionnement des contrôles.

Conditions de sécurité et d’accès au niveau des applications

Directives du BVG

Pour évaluer les conditions de sécurité et d’accès au niveau des applications (autrement dit, pour déterminer « qui a accès à quoi ») :

  • S’abstenir d’utiliser des outils perfectionnés d’analyse de séparation des tâches avant de procéder à une évaluation fondée sur le risque des conditions particulières de sécurité et d’accès significatives pour l’audit. Éviter de générer et d’analyser des volumes de données sur les droits d’accès existants et les « conflits » potentiels. Au contraire, s’efforcer en premier lieu de comprendre le risque d’anomalies significatives dans les états financiers associé à des accès non autorisés ou à des droits d’accès sensibles (à la suite d’une fraude ou par inadvertance), que l’on détermine dans le cadre des procédures pour comprendre un processus par l’observation du flux d’une opération ou autres procédures afin de comprendre les problèmes pouvant advenir, de déterminer les contrôles concernés, puis de concentrer les efforts sur ces risques en particulier.

  • Utiliser les connaissances et les informations acquises lors des audits antérieurs et grâce au travail des auditeurs internes pour limiter le volume des tests relatifs aux conditions de sécurité pour la période courante, notamment lorsque les contrôles généraux informatiques (CGI) sont efficaces et que l’environnement est stable et n’est pas susceptible de subir de modifications importantes.

  • Examiner la probabilité, et pas seulement l’ampleur, des risques associés aux accès privilégiés (p. ex. droits de super-utilisateur ou d’administrateur de base de données, ou droits d’accès aux programmes utilitaires de l’application permettant de modifier les données ou les dossiers financiers). Il ne faut pas adopter par défaut une approche d’audit entièrement fondée sur la corroboration en cas de déficiences ou d’écarts informatiques sans d’abord analyser l’impact de ces déficiences sur l’approche d’audit (voir BVG Audit 4028.4 pour plus de directives sur l’impact des déficiences des contrôles sur l’approche d’audit). L’existence d’accès privilégiés ne constitue pas en soi une déficience du contrôle interne. Il convient d’exercer un jugement professionnel raisonnable pour évaluer les risques associés aux accès privilégiés (fraude, erreur par inadvertance ou corruption de données), ainsi que la nature et l’étendue des contrôles nécessaires pour atténuer ces risques. Se reporter à la section BVG Audit 5035.2.

Considérations relatives aux audits récurrents

Directives du BVG

Lors des audits récurrents, l’auditeur tient compte des connaissances acquises lors des audits passés pour déterminer la nature, le calendrier et l’étendue des tests à exécuter. Il est important de déterminer si le contrôle ou le processus auquel le contrôle fait partie a subi des modifications depuis l’audit précédent. Une stratégie d’étalonnage constitue un moyen efficace d’obtenir des éléments probants sur l’efficacité continue du fonctionnement des contrôles automatisés du traitement de l’information. En d’autres termes, si des CGI sont efficaces et continuent de faire l’objet de tests et si l’auditeur peut établir qu’un contrôle automatisé du traitement de l’information n’a pas subi de modifications depuis son dernier test de « référence », il peut conclure que le contrôle du traitement de l’information reste efficace. Le fonctionnement du référentiel d’un contrôle automatisé serait à nouveau établi au bout d’un certain délai. L’évaluation de ce délai est une question de jugement professionnel et s’appuie sur des facteurs tels que :

  • L’efficacité des contrôles dans l’environnement de contrôle informatique, dont les contrôles sur l’acquisition et la maintenance des logiciels d’application et d’exploitation, sur la sécurité des accès et sur l’exploitation informatique.

  • La compréhension des modifications apportées, le cas échéant, aux programmes qui contiennent les contrôles.

  • La nature et le calendrier d’application d’autres tests connexes.

  • Les conséquences des erreurs associées au contrôle du traitement de l’information qui a été étalonné.

  • La sensibilité éventuelle du contrôle à d’autres facteurs de nature commerciale pouvant avoir changé. Par exemple, il se peut qu’un contrôle automatisé ait été conçu dans l’hypothèse qu’un certain compte ne contiendrait que des montants positifs. Ce contrôle ne serait plus efficace si des montants négatifs (crédits) étaient portés au compte.

Techniques de test des contrôles automatisés en présence d’éléments probants à l’appui des contrôles généraux informatiques

Directives du BVG

Il existe un certain nombre de techniques pour tester l’efficacité d’un contrôle automatisé. Parmi celles-ci :

  1. Obtenir des éléments probants montrant que le contrôle automatisé fonctionne efficacement, au moyen de demandes d’informations, d’observations, d’inspections ou de procédures de réexécution suffisantes pendant la compréhension d’un processus par l’observation du flux d’une opération concernant les opérations associées.

  2. Exécuter des opérations-tests (« jeux d’essai » ou « tests intégrés ») au moyen du programme d’application ou de la routine, puis comparer les résultats obtenus avec les résultats attendus.

  3. Reproduire les résultats obtenus en exécutant ses propres interrogations ou programmes indépendants sur les données sources réelles.

  4. Évaluer la logique du programme d’application ou de la routine en :

    • inspectant les configurations du système d’application;
    • étudiant la documentation du fournisseur du système;
    • s’entretenant avec les développeurs des programmes (noter qu’une demande d’information ne suffit pas);
    • inspectant le code source.
  5. Tester la logique de manière indirecte, en procédant à des tests de corroboration des résultats obtenus sur les documents sources ou en effectuant des rapprochements avec des sources indépendantes fiables. Par exemple, en testant l’exactitude d’un rapport de classement chronologique en le comparant avec les résultats des envois de demandes de confirmation ou en remontant jusqu’aux factures de vente).

Pour tester l’efficacité du fonctionnement d’un contrôle automatisé, l’auditeur doit prendre en compte : 1) le risque que la logique ou les règles programmées ou paramétrées dans l’application soient erronées et ne permettent pas d’obtenir le résultat souhaité; ou 2) le risque que l’application s’appuie sur des données inexactes ou non fiables, que cela soit attribuable à ses sources ou à son calendrier d’exécution. Par exemple, si l’auditeur souhaite obtenir des éléments probants pour établir que le calcul systématique du coût du stock évalue correctement le stock, conformément à la convention de coût établie par l’entité (comme la méthode PEPS), la méthode de test doit fournir des éléments probants montrant non seulement que le calcul fonctionne comme prévu, mais qu’il s’appuie sur des fichiers de données mis à jour comme il se doit quant au prix et aux quantités, au bon moment dans le cycle de traitement.

Approche à l’égard des contrôles automatisés en l’absence d’éléments probants à l’appui des contrôles généraux informatiques

Comme il est souligné à la section BVG Audit 5035.2, la possibilité de se fier au bon fonctionnement constant des contrôles automatisés dépend généralement de l’efficacité du fonctionnement des CGI connexes. Bien que des CGI efficaces constituent souvent le fondement principal de l’évaluation du fonctionnement continu des contrôles automatisés, il existe d’autres types d’éléments probants, qui, pris seuls ou conjointement avec des tests limités des CGI, peuvent constituer une stratégie d’audit plus efficace pour un ou plusieurs contrôles du traitement de l’information. Par exemple, l’auditeur pourrait considérer :

  • Obtenir des éléments probants indiquant que le contrôle automatisé du traitement de l’information n’a pas été modifié depuis son dernier test. Ces éléments probants peuvent provenir de renseignements sur les modifications de l’application, comme la « date de dernière modification » (si ce type de renseignements est accessible et fiable).

  • Exécuter des procédures de techniques d’audit assistées par ordinateur (TAAO) capables de réexécuter de façon efficace et avec une fréquence élevée le fonctionnement du contrôle automatisé du traitement de l’information ou peut-être de comparer le code du programme à intervalles fréquents pendant la période d’audit.

  • Évaluer les facteurs de risque inhérent et de risque lié aux contrôles, comme des modifications de programmes/données peu fréquentes/complexes (p. ex. une application standard, sans personnalisation ou maintenance du code source chez le client).

  • Tester les contrôles automatisés selon une plus grande fréquence pendant la période visée à l’aide des méthodes de tests 1‑5 mentionnées à la rubrique « Techniques de test des contrôles automatisés en présence d’éléments probants à l’appui des contrôles généraux informatiques ».

N’importe quelle technique de test mentionnée ci‑dessus peut être appliquée pour la période d’audit, mais la méthode la plus pratique et la plus efficiente consiste à obtenir la date de la dernière modification associée au contrôle automatisé pour déterminer qu’il n’a pas changé. (Chaque variation du contrôle devrait quand même être testée au moins une fois pendant la période d’audit.) S’il n’est pas possible d’obtenir cette information dans l’application, l’auditeur peut utiliser une des quatre autres techniques de test.

Comme il a été indiqué plus haut, lorsque l’auditeur teste les contrôles automatisés, l’auditeur doit tenir compte de toutes les itérations de chaque contrôle testé et concevoir le test en conséquence. Cela s’applique aussi à la méthode de test des contrôles automatisés lorsque les contrôles généraux informatiques ne sont pas efficaces. Il faut vérifier si la population d’où les éléments à tester sont tirés comprend chaque itération possible. Voir la rubrique « Nature et étendue des tests des contrôles automatisés des applications en présence d’éléments probants à l’appui des contrôles généraux informatiques (CGI) » pour plus d’informations sur les circonstances où les contrôles généraux informatiques sont efficaces.

Exemples de contrôles automatisés et suggestions de tests pour les contrôles

Directives du BVG

Exemples de contrôles automatisés et suggestions de tests des contrôles :

Exemple de contrôle Test des contrôles
Un nouveau système maison d’établissement de la paie calcule l’impôt des particuliers sur les salaires et les traitements des employés. Faire appel à des techniques d’audit assistées par ordinateur (TAAO) pour recalculer l’impôt sur les salaires au moyen des taux d’imposition exigés par la législation locale. Cette technique est connue comme sous le nom de technique de simulation.
Le module des achats d’un progiciel de gestion intégré (PGI ou ERP) modérément personnalisé génère des demandes d’approbation électroniques pour le personnel compétent, en fonction de plafonds d’approbation prédéfinis. Observer les données entrées dans le système par le personnel de l’entité pour établir au moins un bon de commande, pour chaque plafond d’approbation, puis examiner chaque demande d’approbation générée par le système pour le membre désigné du personnel. Cette technique est connue sous le nom de technique de suivi des données.
Un système de comptabilité développé à l’interne et récemment modifié génère automatiquement des rapports chronologiques des comptes clients, à partir des dates de facturation et des soldes impayés.

À partir de données fictives, par exemple, différentes dates de facturation dans différentes tranches prédéfinies de nombres de jours de solde impayé, appliquer tous les scénarios pertinents à une réplique du système dans un environnement de test (non pas de production). Comparer les résultats obtenus aux valeurs attendues, que l’on peut recalculer parallèlement. Cette technique est connue sous le nom de technique de l’essai intégré.

Remarque : Avant de commencer à entrer les données fictives dans l’environnement de test, vérifier que cet environnement indépendant reproduit dans tous ses aspects pertinents l’environnement de production.

La méthode du rapprochement en trois points, qui consiste à rapprocher les données figurant sur la facture du fournisseur, le bordereau de réception et le bon de commande avant de décaisser des fonds, est utilisée par un PGI standard très répandu. La direction n’a pas la possibilité de modifier ce système. Examiner les paramètres de la fonction de rapprochement en trois points du système PGI et sélectionner une opération pour comprendre le contrôle au moyen de l’observation ou de l’inspection. Cette technique est connue sous le nom de technique de la revue de la configuration du système.
La direction fait appel à une requête de base de données pour extraire les dates d’acquisition des stocks et les données sur les quantités et les coûts unitaires des articles, données immédiatement disponibles du PGI standard non modifié, pour préparer une analyse mensuelle de la provision pour dépréciation des stocks à des fins de revue par la haute direction. Examiner l’adéquation du code sous-jacent de la requête (*) à la logique du processus de génération du rapport sur la dépréciation des stocks. En outre, réexécuter la requête et comparer le rapport à celui que la direction a produit. Cette technique est connue sous le nom de technique de la revue de la configuration (code source) du système.

(*) L’auditeur prend pour hypothèse qu’il a à sa disposition des spécialistes compétents qui comprennent le langage de la base de données utilisé pour écrire la requête. En outre, les procédures appropriées d’audit des contrôles généraux informatiques liés ont été mises en œuvre pour obtenir des éléments probants quant à l’intégrité et à la fiabilité des données.