Techniques d'audit assistées par ordinateur

Les techniques d’audit assistées par ordinateur, TAAOs (ou Computer-aided audit tools, CAATs en anglais) sont à la disposition des auditeurs et, en particulier, des Commissaires aux comptes afin d’analyser les données d’une entreprise, parallèlement aux techniques de sondages sur les procédures :

  • Elles sont utilisées pour quantifier un risque ayant fait l’objet d’une évaluation de niveau modéré ou élevé, sachant qu’il est fortement déconseillé d’entreprendre une analyse de données sans étude du contrôle interne préalable,
  • Elles permettent de vérifier les calculs effectués par les systèmes de l’entreprise, mais également d’effectuer d’autres opérations de gestion sur les données.

Ces techniques d’audit spécifique sont un champ en croissance dans la profession d’audit informatique. Elles comprennent normalement l’utilisation de logiciels de productivité de bureau de base (tels que des tableurs, des traitements de textes), des programmes d’édition de textes ainsi que des progiciels plus perfectionnés comprenant des outils d'analyse statistique et d'intelligence d'affaires (business intelligence). Mais des logiciels plus spécialisés sont également disponibles.

Audit traditionnel vs audit spécifique (TAAOs)

Face au volume considérable de données et à la complexité de plus en plus accrue des systèmes d’information utilisés par les entreprises, le commissaire aux comptes doit faire face aux exigences suivantes :

  • Effectuer les tests répondant aux objectifs de l’audit,
  • Transformer[1] des masses de données en informations : ceci passe par l’utilisation des données disponibles sur l’ensemble du système d’information pour contrôler les comptes,
  • Automatiser les travaux d’audit habituellement effectués manuellement, en prenant en compte le fait que la récupération de ces données et leur mise en forme sont entièrement automatisées dans les systèmes de l’entreprise.

Il convient de distinguer trois approches possibles : la technique d’audit standard, la technique d’audit spécifique et la technique d’audit intermédiaire. Ces approches ont toutes pour objectif de mettre à la disposition du commissaire aux comptes un outil opérationnel.

Audit traditionnel

La méthode traditionnelle d’audit permet aux auditeurs de tirer des conclusions sur une série de tests effectués sur un échantillon de clients ou d’entreprises. Ce choix entraîne des contraintes importantes sur les données en entrée qui doivent toujours être présentées dans le même format.

Or, les données issues des systèmes d’information des clients sont différentes. Les champs de type « date », par exemple, peuvent être stockés sous des formats différents : jj/mm/aaaa, aaaa/mm/jj, mm/jj/aaaa, etc. Il est donc nécessaire d’adapter les données de l’entreprise à la structure des programmes. Cette étape préliminaire est indispensable et peut s’avérer dans certains cas fastidieuse en fonction du nombre de modifications à apporter aux données.

Il convient également d’évaluer la capacité des entreprises à fournir, d’une année à l’autre, des fichiers de même structure. Cette solution s’applique généralement à des contrôles simples tels que la sélection statistique, la vérification d’un calcul d’indemnités de départ à la retraite, etc.

Audit spécifique : les TAAOs

Les TAAOs, tels qu’ils sont couramment utilisés, consistent à analyser de gros volumes de données. Ils consistent à développer pour chaque entreprise une série de tests adaptés à la structure de ses données. L’application développée récupère les données des systèmes amont (paie, stocks, comptabilité, etc.), puis les transforme pour les adapter aux programmes de travail d’audit et enfin les charge dans des bases de données réservées aux tests. Le commissaire aux comptes peut ainsi dérouler ses tests à tout moment, sans solliciter les ressources de l’entreprise à chaque intervention, pour l’extraction des fichiers par exemple.

Les avantages de cette solution sont :

  • Une grande souplesse dans l’intervention et un suivi régulier des postes clés sensibles, tels que les stocks, puisque les données sont stockées dans les bases de données réservées aux tests,
  • Un gain de temps important puisque les programmes ne sont développés qu’une seule fois et exécutés de multiples fois.

En revanche, cette solution exige un investissement initial important pour développer tous les programmes et mettre en place le système de récupération et de sauvegarde des données. Elle s’applique en conséquence aux missions importantes dans un environnement informatique relativement pérenne.

Ces techniques s’appuient sur des fichiers contenant les données extraites du système d’information de l’entreprise et se différencient des notions :

  • D’automatisation des dossiers de travail,
  • D’informatisation du processus d’élaboration des comptes,
  • De requêtes effectuées directement dans les bases de données du système d’information de l’entreprise.

Les risques liés aux TAAOs

L’utilisation des TAAOs reste toutefois limitée aux données enregistrées sur les fichiers en conformité avec un modèle systématique. Un volume de données outrepassant cette limite ne peut être documenté en utilisant les TAAOs. En outre les données sauvegardées contiennent souvent des lacunes, sont très mal classées, ne sont pas faciles à obtenir et même dans certains cas, il est difficile d'être convaincu de leur entière intégrité. Donc, pour le moment, TAAOs reste un complément d'outils et de techniques pour l'auditeur et ne peut être utilisée dans certains audits. Mais il existe aussi des audits qui ne peuvent pas être effectués sans TAAOs si l’on veut qu’ils soient faits efficacement et pertinemment.

L’acquisition des compétences pour les TAAOs étant longue, dans la plupart des structures elles sont affectées à un seul auditeur de façon qu’il s’y investisse pleinement au travers de pratiques régulières. Cependant, cette stratégie peut être risquée puisqu’en cas de départ ou d’absence prolongée de l’unique auditeur compétent, il serait impossible de le remplacer et donc d’effectuer ses missions. Il est donc préférable d’assigner cette tâche à plusieurs auditeurs.

Enfin, un dernier risque est lié à l’analyse de données. Ces risques proviennent le plus souvent de la réalisation de tests non pertinents ou d’erreurs dans la programmation des contrôles.

Logiciels spécialisés

Dans les termes les plus généraux, CAATTs peut se référer à n'importe quel programme informatique utilisé pour améliorer le processus d'audit. Cependant, il est plus communément utilisé pour désigner toute forme d'extraction de données et d'analyse via des logiciels. Cela pourrait inclure des programmes d'analyse des données mais aussi des outils d'extraction, des feuilles de calcul (par exemple Microsoft Excel), des bases de données (par exemple, Microsoft Access), l'analyse statistique (par exemple, le système SAS), les logiciels généralisés d'audit (par exemple, ACL, Arbutus, EAS), de business intelligence (par exemple, Crystal Reports et Business Objects), etc.

Les avantages des logiciels d’audit :

  • Ils sont indépendants du système vérifié et vont utiliser une copie en lecture seule du fichier pour éviter toute altération des données d'une organisation.
  • Beaucoup de routines spécifiques sont utilisées en audit, telles que l'échantillonnage.
  • Ils fournissent les données de chaque test effectué dans le logiciel, lesquelles pourront être utilisées comme de la documentation dans les rapports de l'auditeur.

Les logiciels spécialisés d'audit peuvent accomplir les fonctionnalités suivantes :

Programmes de certification des TAAOs

Il existe plusieurs programmes de certification de divers fournisseurs de CAAT et d'associations professionnelles :

  1. International Certified CAATs Practitioner (ICCP[2]): établi par the International Computer Auditing Education Association (ICAEA).
  2. ACL[3] Certified Data Analyst (ACDA): établi par ACL Services Ltd.
  3. Certified IDEA Data Analyst (CIDA[4]): établi par CaseWare Analytics.
  4. Jacksoft Certified CAATs Practitioner (JCCP[5]): établi par Jacksoft Commerce Automation Ltd.

Autres utilisations des TAAOs

En plus d'utiliser un logiciel d'analyse de données, l'auditeur utilise les TAAOs tout au long de l'audit pour les activités suivantes lors de l'analyse des données.

Création de documents de travail électroniques

Conserver des documents de travail électroniques dans un fichier ou une base de données d'audit centralisé permettra à l'auditeur de naviguer facilement dans les documents de travail actuels et archivés. La base de données aidera les auditeurs à coordonner les vérifications en cours et à s'assurer qu'ils tiennent compte des constatations tirées de projets antérieurs ou connexes. De plus, l'auditeur sera en mesure de normaliser électroniquement les formulaires et les formats d'audit, ce qui peut améliorer à la fois la qualité et la cohérence des documents de travail d'audit.

Détection de la fraude

Les TAAOs fournissent aux auditeurs des outils permettant d'identifier les tendances inattendues ou inexpliquées dans les données pouvant indiquer une fraude. Que les TAAOs soient simples ou complexes, l'analyse des données offre de nombreux avantages dans la prévention et la détection de la fraude. Les TAAOs peuvent aider l'auditeur à détecter la fraude en exécutant et en créant des outils et processus :

Tests analytiques

Évaluations d'informations financières faites en étudiant des relations plausibles entre des données financières et non financières afin d'évaluer si les soldes des comptes semblent raisonnables (AU329). Les exemples incluent le ratio, la tendance et les tests de la loi de Benford.

Rapports d'analyse de données

Rapports produits à l'aide de commandes d'audit spécifiques, telles que le filtrage d'enregistrements et la jonction de fichiers de données.

Surveillance continue

La surveillance continue est un processus continu d'acquisition, d'analyse et de production de rapports sur les données d'entreprise pour identifier et répondre aux risques commerciaux opérationnels. Pour que les auditeurs adoptent une approche globale d'acquisition, d'analyse et de reporting des données métiers, ils doivent s'assurer que l'organisation surveille en permanence l'activité des utilisateurs sur tous les systèmes informatiques, transactions et processus métier et contrôles des applications.

Note sur les acronymes CAATT et CAAT (les termes en anglais)

Les « CAATT» et les « CAAT » en anglais, sont utilisés de manière interchangeable. Alors que les CAAT ont émergé comme l'orthographe la plus courante, les CAATT sont l'acronyme le plus précis. L'acronyme CAATT résout l'un des deux problèmes de définition de l'acronyme. CAAT signifie : Techniques de vérification assistées par ordinateur (ou assistées) (ou outils et techniques)

Le premier "A" et le "T" peuvent avoir deux significations différentes en fonction de qui utilise le terme. En utilisant le terme CAATT, on incorpore clairement à la fois « outils » et « Techniques ».

Comparaison des outils

Comparaison par spécificité

Nom du produit/Marque Développé par Dernière version stable Dernière date de sortie Système d'exploitation Licence Open source Commentaires
Arbutus Analysis Arbutus Software 6.10 31/03/2017 Windowscommerciale Non-libre
Audit Command Language[6] (ACL) ACL Services Ltd. 11.4 01/11/2015 Windowscommerciale Non-libre Fournit depuis 2014 un complément d'Excel gratuitement
Easy2Analyse QDAC.net. 4.3 15/05/2015 Windowscommerciale Non-libre Disponible en totatilté et en version fichier d'audit
ESKORT Computer Audit (SESAM) Intrasoft International Scandinavia A/S 7.8[7] 05/03/2014 Windowscommerciale Non-libre Requiert Excel pour montrer les graphiques et les résultats de l'analyse de la loi de Benford.
InfoZoom humanIT 9.0.5 07/11/2016 Windowscommerciale Non-libre
Interactive Data Extraction and Analysis[8] (IDEA) CaseWare International Inc. 11.1 23/04/2020 Windowscommerciale Non-libre
TeamMate Analytics (auparavant TopCAATs) Wolters Kluwer 5.1 18/09/2017 Windowscommerciale Non-libre Requiert Microsoft Excel (TeamMate Analytics fonctionne dans Excel)
SoftCAAT/ eCAAT[9] Wincer Infotech Limited 9.0/ 9.0 04/04/2016 Windowscommerciale Non-libre SoftCAAT est une application indépendante. eCAAT requiert Microsoft Excel (eCAAT est un addin Excel).

Comparaison par fonctionnalités d'analyse

Le tableau suivant compare les fonctionnalités des outils d’audit assistées par ordinateur spécialisés. La table a plusieurs champs, tels que :

  1. Nom du produit : inclut parfois l’édition si une certaine édition est ciblée
  2. Analyse d’âge : indique si le produit prend en charge l’analyse de l’âge (stratification par date)
  3. La loi de Benford : Spécifie si le produit prend en charge la recherche de la distribution anormale de chiffres spécifiques en accord avec la loi de Benford.
  4. Champ calculé : Indique si le produit prend en charge l'ajout de champs calculés supplémentaires dans la table / le fichier. Cela implique généralement d'utiliser une fonctionnalité de création d'expression pour créer des expressions permettant de définir le calcul du champ.
  5. Exploration détaillée (Table) : Indique si le produit prend en charge les fonctions de zoom avant en effectuant un zoom avant (filtrage) sur les lignes sélectionnées de la table.
  6. Exploration détaillée (Pivot) : Indique si le produit prend en charge les fonctions de détail à l'aide du tableau croisé dynamique.
  7. Correspondance : Spécifie si le produit prend en charge la recherche d'éléments correspondants pour un champ spécifique dans une table / un fichier. Par exemple, cela pourrait être utilisé pour trouver des factures en double des factures dans le registre des ventes.
  8. Correspondance (floue) : Spécifie si le produit prend en charge la recherche d'éléments correspondants pour un champ spécifique à l'aide de la comparaison floue. Par exemple, les valeurs comparées sont similaires mais pas exactement identiques (par exemple, en utilisant l'appariement de Levenshtein).
  9. Échantillon (au hasard) : Indique si le produit prend en charge la sélection d'un échantillon aléatoire de lignes de la table / fichier (population).
  10. Échantillon (unité monétaire) : Spécifie si le produit prend en charge la sélection d'un échantillon d'unités monétaires de la table / du champ (population). Ceci est également connu sous le nom d'échantillonnage en unités dollar (lorsque les valeurs sont en devise américaine).
  11. Contrôle de séquence (lacune) : Spécifie si les supports de produit peuvent trouver (identifier) des gabs (dans des séquences) pour un champ spécifique. Par exemple, trouver une séquence brisée dans une séquence de numéros de facture.
  12. Champ de tri : Indique si le produit prend en charge le tri (indexation) par un champ spécifique (colonne). Le tri permet d'identifier les valeurs vides / vides ou les valeurs excessives (hors bande).
  13. Trier plusieurs champs : Indique si le produit prend en charge le tri par plusieurs champs (colonnes).
  14. Statistiques : Indique si le produit prend en charge le calcul et la présentation de diverses statistiques sur un champ spécifique (par exemple, pour des valeurs de champs numériques telles que le nombre total de nombres positifs, le nombre total de nombres négatifs, la valeur moyenne (solde), etc.)
  15. Stratification : Spécifie si le produit prend en charge la stratification sur les valeurs de nombre (montant) dans des intervalles spécifiés. Divise la population en strates (intervalles) et regroupe (résume) les valeurs. Peut être utilisé pour trouver les plus grandes, plus petites et moyennes transactions (lignes).
  16. Rangée totale : Spécifie si les produits prennent en charge l'affichage d'une ligne totale pour la table / le fichier, par ex. valeur numérique accumulée.
Nom du produit Âge de l'analyse Loi de Benford Champ calculé Exploration détaillée (Table) Exploration détaillée (Pivot) Correspondance Correspondance (floue) Échantillon (au hasard) Échantillon (unité monétaire) Contrôle de séquence (lacune) Champ de tri Trier plusieurs champs Statistiques Stratification Rangée totale
Arbutus AnalysisOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOui
Audit Command Language (ACL)OuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOui
Easy2Analyse (QDAC.net)OuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOui
ESKORT Computer Audit (SESAM)  NonOuiOuiOui  NonOui  NonOuiOuiOuiOuiOuiOuiOuiOui
InfoZoomOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOui
Interactive Data Extraction and Analysis (IDEA)OuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOui
TeamMate Analytics / TopCAATsOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOuiOui
SoftCAAT/ eCAATOuiOuiOuiOui  NonOuiOuiOui  NonOuiOuiOuiOuiOuiOui

Comparaison par d'autres caractéristiques

  1. Journal d'audit : Indique si le produit enregistre l'activité effectuée par l'utilisateur (l'auditeur) pour référence ultérieure (par exemple, inclusion dans un rapport d'audit).
  2. Graphique de données : Indique si le produit fournit des graphiques de résultats.
  3. Exporter (CSV) : Spécifie si le produit prend en charge l'exportation des lignes sélectionnées dans un fichier formaté par valeurs séparées par des virgules. Habituellement, cela implique également la capacité du presse-papiers (au format CSV) à coller dans des applications prenant en charge le collage à partir de fichiers CSV tels qu'Excel.
  4. Exporter (DBF) : Indique si le produit prend en charge l'exportation (enregistrement) des lignes sélectionnées dans un fichier Table dBase.
  5. Exporter (Excel) : Indique si le produit prend en charge l'exportation (sauvegarde) des lignes sélectionnées dans un fichier Excel. Habituellement, implique également la capacité de copier les lignes dans le presse-papiers (dans un format quelconque) pour coller dans Excel.
Nom de produit Journal d'audit Graphique de données Exporter (CSV) Exporter (DBF) Exporter (Excel)
Arbutus AnalysisOuiOuiOuiOuiOui
Audit Command Language (ACL)OuiOuiOuiOuiOui
Easy2Analyse (QDAC.net)OuiOuiOuiOuiOui
ESKORT Computer Audit (SESAM)OuiOuiOuiOuiOui
InfoZoomOuiOuiOui  NonOui
Interactive Data Extraction and Analysis (IDEA)OuiOuiOuiOuiOui
TeamMate Analytics / TopCAATsOuiOuiOui  NonOui
SoftCAAT/ eCAATOuiOuiOui  NonOui

Comparaison par caractéristiques de préparation de données

  1. Ajouter / Fusionner : Spécifie si le produit peut combiner deux tables / fichiers avec des champs identiques dans une seule table / fichier. Par exemple, il pourrait fusionner deux tables / fichiers de comptes fournisseurs en un seul tableau / fichier.
  2. Assistant d'importation : Indique si le produit fournit un assistant d'importation pour faciliter l'importation (interprétation, conversion, formatage) des données à analyser.
  3. Importer (CSV) : Spécifie si le produit prend en charge l'importation de données à partir d'un fichier formaté par valeurs séparées par des virgules.
  4. Importer (DBF) : Spécifie si le produit prend en charge l'importation de données à partir de fichiers dBase DBF.
  5. Importer (Excel) : Indique si le produit prend en charge l'importation de données à partir du fichier de classeur Microsoft Excel. Notez que différentes versions de format Excel peuvent s'appliquer.
  6. Importer (SAF-T) : Indique si le produit prend en charge l'importation de données à partir d'un fichier SAF-T de l'OCDE. Comme SAF-T est basé sur XML, une importation XML plus générale peut couvrir la fonctionnalité bien que l'importation directe SAF-T améliore l'expérience utilisateur. Notez que différentes versions de format SAF-T peuvent s'appliquer.
  7. Importer (SIE) : Indique si le produit prend en charge l'importation de données à partir d'un fichier au format SIE.
  8. Importer (XBRL-GL) : Indique si le produit prend en charge l'importation de données à partir d'un fichier GL XBRL. Comme XBRL-GL est basé sur XML, une importation XML plus générale peut couvrir la fonctionnalité bien que l'importation directe de XBRL-GL améliore l'expérience utilisateur. Notez que différentes versions du format XBRL-GL peuvent s'appliquer.
Nom du produit Ajouter/Fusionner Assistant d'importation Importer (CSV) Importer (DBF) Importer (Excel) Importer (SAF-T) Importer (SIE) Importer (XBRL-GL)
Arbutus AnalysisOuiOuiOuiOuiOuiOuiOuiOui
Audit Command Language (ACL)OuiOuiOuiOuiOui ? ?Oui
Easy2Analyse (QDAC.net)OuiOuiOuiOuiOuiOuiOuiOui
ESKORT Computer Audit (SESAM)OuiOuiOuiOuiOui  NonOui  Non
InfoZoomOuiOuiOuiOuiOui ? ? ?
Interactive Data Extraction and Analysis (IDEA)OuiOuiOuiOuiOuiOuiOuiOui
TeamMate Analytics / TopCAATsOuiOuiOuiOuiOuiOui ?Oui
SoftCAAT/ eCAATOuiOuiOuiOuiOui  Non  Non  Non

Liens externes

Références

  1. « What Every IT Auditor Should Know About Transforming Data for CAATs », sur www.isaca.org (consulté le )
  2. « ICAEA--Certification Program », archive.is, (lire en ligne, consulté le )
  3. (en-US) « Training and Enablement », ACL, (lire en ligne, consulté le )
  4. (en) « Certification | CaseWare Analytics », sur www.casewareanalytics.com (consulté le )
  5. « JACKSOFT--Training », (consulté le )
  6. H. J. Will, « Acl: Audit Command Language », INFOR: Information Systems and Operational Research, vol. 13, no 1, , p. 99–111 (ISSN 0315-5986, DOI 10.1080/03155986.1975.11731597, lire en ligne, consulté le )
  7. « SESAM 7.8 », (consulté le )
  8. Interactive data extraction and analysis, version 4.0: user's manual, Canadian Institute of Chartered Accountants, (lire en ligne)
  9. « WINCER: Products », sur wincaat.com (consulté le )

Bibliographie

  • Information Technology Control and Audit; Frederick Gallegos, Sandra Senft, et al.; 2nd Edition (ISBN 0-8493-2032-1)
  • Internal Audit: Efficiency through Automation; David Coderre.; 1st Edition (ISBN 978-0-470-39242-3)
  • Portail de l’informatique
  • Portail du management
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.