Ensaio de perda de massa

2.1. Présentation

Vous venez d’être nommé commissaire aux comptes de la société Siban. Après une première rencontre avec le P-DG, M. Ding Xian, qui vous a décrit l’activité, vous avez pu rencontrer M. Aloé, directeur financier de la société, également en charge de l’informatique, afin de mieux appréhender le système d’information qui sous-tend les processus de l’entreprise.

Au cours de ces entretiens, vous avez pris les notes suivantes :

M. Ding Xian, passionné de phytothérapie orientale, a créé il y a 5 ans une boutique de vente de plantes médicinales. En quelques années, le succès de sa boutique lui a permis de s’associer avec M. Aloé, spécialiste des plantes d’Amérique du sud et de créer la société Siban disposant d’une gamme de produits élargie (plantes aromatiques, livres, produits de bien-être, stage de phytothérapie…) et d’un site de ventes sur Internet.

Suite à d’importantes campagnes marketing, les ventes ont connu une forte augmentation au cours des deux derniers exercices. La société regroupe aujourd’hui plus de 50 personnes et vend en France et à l’étranger.

M. Ding Xian vous expose les faits suivants :

Il y a deux mois, suite à un désaccord personnel avec M. Ding Xian, M. Ginseng, responsable de l’informatique et présent depuis la création de l’entreprise, a quitté brusquement la société sans laisser de recommandations spécifiques et sans former de successeur. M. Aloé, le directeur financier, a accepté de reprendre la fonction en attendant l’embauche d’une personne plus qualifiée : M. Ding Xian lui fait entièrement confiance ; comme il n’a aucune connaissance en informatique, il ne supervise pas son travail (il n’avait d’ailleurs jamais suivi le travail de M. Ginseng).

Le schéma directeur informatique date de 5 ans et le plan d’évolution n’a pas été mis à jour depuis 2 ans. M. Ginseng avait l’habitude de gérer seul le parc informatique, mais il est parti sans laisser ses documents de travail.

Le logiciel de comptabilité utilisé est le même qu’au lancement de la société. La gestion des stocks de produits devient difficile compte tenu du nombre de références à traiter. Le temps de réponse à chaque enregistrement dans le logiciel est extrêmement élevé (parfois plusieurs minutes pour l’enregistrement en brouillard de quelques factures).

Le projet de migration informatique sur un nouveau progiciel de gestion commerciale et comptabilité est en cours. Certains modules du progiciel sont en phase de test : ils sont accessibles depuis tous les postes de travail afin de permettre des tests en grandeur nature.

Le projet a été budgété dès son début, à l’acceptation du cahier des charges il y a un an : suite à de nombreux dysfonctionnements, le projet a pris du retard : le budget a été largement dépassé : aucun chiffrage des frais restant à engager n’a été effectué.

Le service comptabilité regroupe un chef comptable, une personne à mi-temps et des intérimaires lors de la clôture. Lors de la dernière clôture, les trois intérimaires intégrés en urgence n’ont pu être formés, ce qui a entraîné de nombreuses erreurs de traitements. L’un

d’entre eux a même été renvoyé car le volume des fichiers et programmes téléchargés par cette personne ont saturé le réseau informatique.

Cet incident avait été détecté car M. Ginseng revoyait les logs de connexion et d’anomalies.

Depuis son départ, les logs ne sont plus suivis.

Pour faire une commande, les coordonnées postales et bancaires du client doivent être saisies dans un fichier. Le fichier n’a pas été déclaré à la CNIL et est accessible à tout le personnel de la société (y compris les intérimaires) via le logiciel de gestion commerciale.

Seuls quelques messages sont envoyés à l’ensemble du personnel pour les mettre en garde contre de nouveaux virus. Le personnel ne dispose pas d’autre formation ou sensibilisation à l’usage du système d’information et à la sécurité informatique. L’antivirus n’est mis à jour qu’une fois tous les trois mois.

En cas d’indisponibilité du logiciel de gestion des ventes, les répercussions financières et la perte de clientèle pourraient être très significatives. Pourtant, aucun plan de secours n’a été établi.

La maintenance est assurée par une société extérieure, Indigo, mais les délais d’intervention ne sont pas mentionnés dans le contrat et les informations délivrées par téléphone sont souvent ressenties comme peu satisfaisantes (la société Indigo a développé tous les logiciels utilisés par la société Siban : elle est propriétaire des programmes sources qu’elle a écrits).

Les habilitations et mots de passe ne sont plus suivis depuis le départ de M. Ginseng. Son mot de passe n’a pas été désactivé et les nouveaux entrants (pour l’instant des stagiaires) utilisent provisoirement un identifiant et un mot de passe commun et connu de tous : « SIBAN ».

Les locaux informatiques, bureaux et stocks communiquent avec la boutique de ventes au public par une porte non fermée à clé : il arrive que la boutique puisse être sans surveillance à certains moments de la journée. La nuit, l’entreprise est surveillée et les locaux sont sous alarme.

Les sauvegardes informatiques sont réalisées une fois par semaine et conservées 6 mois dans une armoire fermée dans le local des serveurs informatiques. Les données comptables sont conservées sur cassette pendant 5 ans.

Travaux à réaliser

Appliquer la méthodologie de prise en compte de l’environnement informatique dans la mission d’audit, sachant que seul le processus « Ventes » fera l’objet d’une appréciation au regard du risque lié au contrôle.

Prise en compte de l’environnement informatique et incidence sur la démarche d’audit Collection guide d’application © CNCC Edition – Avril 2003 194 2.2.Corrigé indicatif 2.2.1.ORIENTATION ET PLANIFICATION DE LA MISSION A.Prise de connaissance de l'informatique dans l'entreprise ElémentsDescriptionIncidence sur la fiabilité du s d’information Faible Modérée Stratégie informatique Stratégie élaborée par les entités opérationnellesLe plan directeur date de 5 ans et n’a pas été mis à jour depuis 2 ans + départ du responsable informatique cette année Sensibilisation de la directionLe P-DG ne s’occupe pas des aspects informatiques mais le principal associé a en charge la fonction informatique Satisfaction des besoins utilisateursPeu d'information sur ce thème Fonction informatique Fonction informatique Organisation informatiqueLe directeur financier pourtant non spécialisé a toute l’informatique sous sa responsabilité Séparation des tâchesPas de séparation des tâches, le travail de M. Aloé n’est pas supervisé Externalisation La société Indigo assure la maintenance et est propriétaire des programmes sources des applications Compétences informatiques Niveau de compétenceDes intérimaires travaillent sur les clôtures comptables ; M. Aloé, directeur financier n’a pas de compétences spécifiques en informatique Charge de travailVolumes de plus en plus importants à traiter Niveau de rotationLe directeur financier n’a pas de remplaçant prévu en cas d’absence Importance de l’informatique dans l’entreprise Degré d’automatisation4 applications interfacées entre elles couvrent les principaux processus métier de la société Caractéristiques du système d’informationSystème d’information et architectures simples Sensibilité de l'informatiqueFichiers clients avec leurs coordonnées bancaires sont des données sensibles IndisponibilitéLes applications de gestion commerciale et stock sont indispensables pour mener l’activité de vente de produits Complexité du système d’information Intégration Toutes les applications sont interfacées entre elles mais certaines interfaces sont entièrement manuelles (architecture simple) DocumentationPeu de documentation, l’ancien directeur informatique est parti sans laisser d’instructions

Prise en compte de l’environnement informatique et incidence sur la démarche d’audit Collection guide d’application © CNCC Edition – Avril 2003 195 Conclusion concernant la prise de connaissance de l'environnement informatique L’incidence de l’environnement informatique sur les opérations de l’entreprise est très significative, en conséquence, il conviendra, lors de l’exam contrôle interne, de prendre en considération les points suivants : la conception et l’acquisition des solutions informatiques, la distribution et le support informatique, la gestion de la sécurité, la gestion des projets informatiques.

Prise en compte de l’environnement informatique et incidence sur la démarche d’audit Collection guide d’application © CNCC Edition – Avril 2003 196

B.Description du système d’information de l’entreprise 1)Cartographie générale des applications Phytocompta

Comptabilité Générale

Immobilisations Phytimmo

Achat / Stock Phytos

Gestioncommerciale Phytoventes Bureautique / Intern

Tableur

consult ation bu

Cartographie applicative de Siban Déversement

Déversement DéversSaisie manuelle

Prise en compte de l’environnement informatique et incidence sur la démarche d’audit Collection guide d’application © CNCC Edition – Avril 2003 197 2)Inventaire des principales applications informatiques Nom de l’applicationType Principales fonctionnalités Date de mise en service

Environnement / système d’exploitation Mode traitement Editeur / prestataire / Développement interne

Date de modification Nature des sorties Estimation du volume traité Phytimmo Progiciel Gestion des immobilisations 1999 Unix Différé Editeur Indigo N/A Immobilisa tions 200 imm -tions Phytoventes Développement spécifique Gestion commerciale 1999 Unix Temps réel Editeur IndigoN/A Factures, marges 10 0 ventes par mois Phytostocks Développement spécifique Gestion des achats et des stocks

1999 Unix Temps réel Editeur IndigoN/A Stocks, commandes factures

200 références de produ Phytocompta Progiciel Comptabilité générale 1999 Unix Temps réel Editeur IndigoN/A Ecritures comptables A préciser 3)Inventaire des principales interfaces Nom de l’interface Type Applications Amont / Aval Nature des flux Fréquence Etat des anomalies Interface 1 Automatique Phytoventes / Phytostocks Ventes Temps réel Etat W1 Interface 2 Manuelle Phytoventes / Phytocompta Données comptables ventes Quotidienne Etat X1 Interface 3 Automatique Phytimmo / Phytocompta Données comptables immobilisations Hebdomadaire Etat Y1 Interface 4 Automatique Phytostocks / phytocompta Données comptables stocks Quotidienne Etat Z1

Prise en compte de l’environnement informatique et incidence sur la démarche d’audit Collection guide d’application © CNCC Edition – Avril 2003 198 4)Identification des processus à analyser Phytovente Phytostock Phytimmo Phytocompta Processus ventes Processus achats Processus stocks Processus immobilisations Processus comptabilité Conclusion concernant les caractéristiques du système d’information Le processus Ventes, étant considéré comme le plus sensible, fera l’objet d’une analyse approfondie afin d’identifier les anomalies pouvant avoir incidence significative sur les comptes ou sur l’information financière diffusée. C.Prise en compte des aspects informatiques dans le plan de mission Il est décidé, pour la première année de mandat, d'examiner avec attention le contrôle interne lié à l'informatique. Il sera procédé dans un premier tem appréciation de l’incidence de la fonction informatique sur le risque inhérent, puis dans un second temps, à une appréciation de l’incidence de l’application des ventes sur le risque lié au contrôle. Les autres processus Achats, Stocks, Immobilisations, jugés moins critiques feront l’objet d’une prise de connaissance. Leur évaluation approfondie sera réalisée lors des exercices suivants, en conséquence des contrôles substantifs étendus seront réalisés. Les cas de non respect des textes légaux et réglementaires identifiés sont les suivants : fichier clients non déclaré à la CNIL, obligations d’archivage fiscal non satisfaites.

Prise en compte de l’environnement informatique et incidence sur la démarche d’audit Collection guide d’application © CNCC Edition – Avril 2003 199 2.2.2.Evaluation des risques A.Incidence de l’environnement informatique sur le risque inhérent Une matrice est proposée afin d’apprécier l’incidence de l’environnement informatique sur le risque inhérent. Pour chaque élément, sont précisées l’incidence sur la nature et l’étendue des contrôles substantifs à mettre en œuvre et sur la communication au gouvernement d’entreprise. Incidence de l’environnement informatique sur le risque inhérent

Constat Incidence sur le risque inhérent Recommandations Impact possible sur les contrôles substantifs (1)

Communication au gouvern d’entrep Stratégie informatique Stratégie élaborée par les entités opérationnellesM. Ginseng, le directeur informatique de Siban depuis 5 ans a quitté la société sans assurer sa succession. M. Aloé, directeur financier, a repris la fonction de directeur informatique en attendant l’embauche d’un spécialiste, mais ne contrôle pas encore tous les processus.

Risque de perte du contrôle de certains processus. Risque de perte d’informations connues de l’ancien directeur informatique.

Effectuer un état de l’existant, identifier l’ensemble des procédures existantes ou à mettre en place.

- Oui Sensibilisation de la direction Le schéma directeur informatique date de 5 ans et le plan d’évolution n’a pas été mis à jour alors que l’activité de la société est en pleine évolution. Le directeur informatique est parti sans laisser ses documents de travail et le P-DG ne s’est jamais impliqué dans ses travaux.

Risque de perte de cohérence dans l’évolution du système d’information si le plan d’évolution n’est pas tenu à jour. Le schéma directeur, obsolète risque de ne plus être en adéquation avec les besoins de la société.

Mener une réflexion sur une évolution cohérente du système d’information. Créer un nouveau schéma directeur avec une architecture informatique cible. Définir le plan d’évolution pour les exercices à venir.

- Oui Satisfaction des besoins utilisateurs Aucune information sur ce thème. - - - - Fonction informatique Fonction informatique Organisation informatique Séparation des tâches Le directeur informatique, M. Ginseng et M. Aloé à présent, est seul à s’occuper de tous les aspects informatiques de la société. Le P-DG, M. Ding Xian, ne supervise pas son travail par manque de connaissance technique.

Trop de fonctions assurées par une même personne. Pas de supervision extérieure.

Affecter une ressource à la fonction informatique ou externalisation de la fonction développement chez un prestataire.

Réaliser des tests plus précis afin de s'assurer de l'absence de fraudes

Oui