Audit & Systèmes d’Information

Un apport partiel d’actif (APA) consiste pour une entreprise à apporter une branche autonome d’activité à une autre entreprise en échange de titres de participation. Par exemple, une entreprise de travaux publics et de location d’engins de chantier peut envisager dans le cadre d’une restructuration juridique apporter son activité location à une autre entreprise.

La comptabilisation d’un apport partiel d’actif ne pose généralement pas trop de difficulté. En effet, le traité d’apport faisant loi, il suffit de comptabiliser les écritures en fonction des données mentionnées au traité.

Cependant, les traités d’apport sont fréquemment assortis d’une clause de rétroactivité. La rétroactivité consiste à définir comme point de départ à l’APA une date antérieure à la décision de l’APA. La difficulté provient du fait qu’entre la date d’effet de l’APA et la date de décision de l’APA, des opérations comptables auront été enregistrées dans les comptes de l’entreprise apporteuse avec pour incidence un résultat dit intercalaire et des flux de trésorerie. Il est donc nécessaire à répartir le résultat intercalaire et les flux de trésorerie entre les entreprises apporteuse et bénéficiaire de l’apport (dans la mesure où le traité d’APA est muet sur le sujet).

Exemple pour les dettes fournisseurs : 

Les opérations intercalaires sont comptabilisées entièrement chez l’apporteuse : le résultat intercalaire est à restituer à la bénéficiaire et les flux de trésorerie à restituer à l’apporteuse.

Traitement comptable d’un apport partiel d’actif :

Etapes à suivre :

• - Comptabiliser le traité d’apport dans les deux entreprises,
• - Extraire le grand livre ou les journaux comptables des écritures comptabilisées durant la période intercalaire (donc hors à-nouveaux; ce grand livre doit mentionner un numéro de pièce permettant de reconstituer les écritures et les numéros de compte auxiliaire afin d’assurer la ventilation des flux financier par compte de tiers individuellement),
• - A partir du grand livre extrait, distinguer chaque écriture (et non ligne d’écriture) entre apporteuse et bénéficiaire,
• - Restituer le résultat intercalaire concernant la bénéficiaire comptabilisé chez l’apporteuse chez la bénéficiaire,
• - Restituer les flux de trésorerie liés à des opérations concernant la bénéficiaire et comptabilisés chez l’apporteuse par la bénéficiaire.

Particularité : si l’entreprise utilise des sections analytiques et que celles-ci correspondent aux branches apportées, l’identification des écritures à apporter est simplifiée notamment si certaines écritures concernent plusieurs branches d’activités différentes.

Exemple de requête aidant à la restitution des flux de trésorerie :

A titre d’exemple, les traitements suivants visent à restituer les flux de trésorerie. La restitution du résultat intercalaire suit une méthodologie similaire. Nous utiliserons ACCESS pour mener à bien nos travaux.

Extraction des écritures intercalaires

Les écritures de la période intercalaire sont collées dans une table intitulée « Ecritures ». Dans le cas présent, le grand livre comprend vingt-huit mille lignes pour une période intercalaire de six mois.

La table « Ecritures » (extrait) :

Le champ « Société » correspond à la l’apporteuse ou à la bénéficiaire.

Détermination des pièces comptables concernées

• - Requête: cette requête liste les pièces pour lesquelles un compte de trésorerie (5x) est mouvementé

SELECT DISTINCT Ecritures.réfpièce

FROM Ecritures

WHERE (((Left([Compte_balance],1))=”5″));

• - Résultat (extrait):

Détermination des flux de trésorerie intercalaires ventilés par compte de bilan (2x, 3x, 4x) à restituer à la société apporteuse

• - Requête

SELECT Ecritures.Compte_balance, Ecritures.Libelle_compte, Ecritures.Société, Sum([débit]-[crédit]) AS solde

FROM ReqPiècesFluxFi INNER JOIN Ecritures ON ReqPiècesFluxFi.réfpièce = Ecritures.réfpièce

GROUP BY Ecritures.Compte_balance, Ecritures.Libelle_compte, Ecritures.Société, Left([Ecritures].[compte_balance],1), Mid([Ecritures].[compte_balance],2,1)

HAVING (((Ecritures.Société)=”AE”) AND ((Left([Ecritures].[compte_balance],1))=”4″ Or (Left([Ecritures].[compte_balance],1))=”3″ Or (Left([Ecritures].[compte_balance],1))=”2″) AND ((Mid([Ecritures].[compte_balance],2,1))<>”8″ And (Mid([Ecritures].[compte_balance],2,1))<>”9″));

• - Résultat (extrait): ces montants doivent être extournés chez l’apporteuse et comptabilisés chez la bénéficiaire par la contrepartie d’un compte-courant.

L’accès aux systèmes informatiques, aux comptes bancaires, aux messageries électroniques  est protégé par des mots de passe. Protégé ? Pas si sûr. En effet, les utilisateurs ont souvent tendance, par négligence,  à choisir des mots de passe aisés à mémoriser, courts et communs à plusieurs comptes utilisateurs. De fait, la sécurité de leurs données personnelles n’est pas complètement garantie.

La base de données du site communautaire ROCKYOU aux Etats-Unis a été piratée en décembre dernier et la liste des 32 millions de mots de passe utilisateurs a été mise en ligne. La société informatique Imperva a analysé les mots de passe utilisés par les internautes. Son rapport est édifiant. Le tableau ci-après est le palmarès des mots de passe les plus utilisés par les sur le site ROCKYOU (rang/mot de passe/nombre d’utilisateurs) :

Utiliser de tels mots de passe revient à cacher la clef de la porte d’entrée dans un pot de fleur.

Quelle politique mettre en place pour sécuriser les mots de passe ?

Dans son approche des risques informatiques, l’auditeur ne doit pas seulement s’assurer que les accès système sont protégés par mot de passe mais que le niveau de protection offert par ces mots de passe est suffisant.

 Conseils en matière de conception de mots de passe :

-          Changer régulièrement les mots de passe,

-          Différencier les mots de passe selon les services (compte bancaire, messagerie…),

-          Un bon mot de passe est un mot de passe caché (ne pas l’écrire sur un post-it collé à son écran d’ordinateur…),

-          Eviter les mots de passe désignant des informations personnelles (nom du conjoint, date de naissance, âge de son chien…) et les mots de passe simples du type 12345, azerty, toto…

-         Un mot de passe sécurisé est composé d’au moins 6-8 caractères mêlant lettres minuscules, majuscules, accentuées, chiffres et caractères spéciaux (^, @, #…).

Conseils aux administrateurs système :

-         Définir une politique de sécurisation de l’accès aux données informatiques claire et précise incluant la problématique de détermination des mots de passe,

-         Sensibiliser les utilisateurs et vérifier régulièrement que les consignes de sécurité sont appliquées,

-          Mettre en place un système qui oblige l’utilisateur à changer régulièrement son ou ses mots de passe et à déterminer des mots de passe suffisamment sûrs tout en veillant à ne pas disproportionner la politique de sécurité par rapport aux enjeux ; face à une politique de sécurité trop contraignante, l’utilisateur risque d’adopter des comportements contre-productifs (par exemple, inscrire ses mots de passe  dans son agenda).

Intérêt d’une sélection aléatoire

Le commissaire aux comptes effectue la plupart de ses contrôles par sondage. La formation d’un échantillon de données à sonder est réalisée selon différentes méthodes au choix de l’auditeur. La sélection des données s’opère en fonction :

• - d’un seuil de signification,
• - d’une méthode statistique,
• - d’une formule aléatoire,
• - de critères plus ou moins subjectifs.

Ces différentes méthodes sont utilisables conjointement mais la plupart du temps, l’échantillon est formé à partir d’un seuil de signification (par exemple, toutes les données dont le montant est supérieur à 100 K€). L’utilisation dogmatique de ce critère de sélection éliminera systématiquement toutes les données inférieures au seuil (alors que précisément l’ensemble des membres d’une population donnée mérite l’attention du CAC) et ne répond pas au caractère imprévisible des contrôles du commissaire aux comptes institué par les NEP (normes d’exercice professionnel).

L’utilisation du hasard, en complément d’autres méthodes d’échantillonnage, est très intéressante à double titre :

• - D’une part, cette méthode répond aux prescriptions des NEP sur l’imprévisibilité des contrôles du CAC; dans le cadre de la prévention de la fraude, ce genre de méthode introduit un climat d’insécurité pour le fraudeur ou l’éventuel fraudeur, en effet, toutes les transactions sont susceptibles d’entrer dans le périmètre de l’audit et non pas seulement les plus importantes.
• - D’autre part, elle permet d’élargir l’éventail de données auditées… et finalement d’augmenter la probabilité de détecter erreurs et fraudes, ces dernières étant d’ailleurs le plus souvent découvertes par hasard.

Réalisation d’un échantillonnage aléatoire à l’aide d’une requête SQL

L’exemple qui suit servira d’illustration au propos précédent. Nous utiliserons un grand livre général (table ACCESS intitulée GL comprenant les champs de données compte, libellé (d’écriture), journal, débit, crédit et numéro de pièce). Il comprend dix-huit mille lignes d’écritures et nous souhaitons n’en retenir aléatoirement aux fins d’audit que dix lignes.

Texte de la requête SQL à rédiger :

SELECT TOP 10 GL.Compte, GL.Libellé, GL.Débit, GL.Crédit, GL.Journal, GL.Date, GL.Lettrage, GL.Pièce

FROM GL

ORDER BY Rnd(compte);

Explication :

L’échantillonnage tourne autour des deux fonctions suivantes :

• - «ORDER BY Rnd(compte)» trie les lignes aléatoirement par le champ «compte»,
• - «TOP 10» signifie que l’on ne sélectionne que les dix premières lignes du résultat de la requête.

Résultat obtenu :

Bien entendu, chaque exécution de la requête donne un résultat différent.

La nouvelle année vient de pointer le bout de son nez. 2009 n’aura pas été une année florissante d’un point de vue économique, encore que certains secteurs d’activité auront su tirer leur épingle du jeu. Et 2010 ? Les marchés boursiers sont repartis à la hausse, le secteur bancaire semble avoir achevé son rétablissement. Cependant, les entreprises ne sont pas encore sorties du marasme. Gageons que la progression des indices boursiers anticipe la reprise économique et que la baisse des taux d’intérêt relance les investissements et dope la croissance.

Les missions d’audit sont impactées par la crise. Les diligences du commissaire aux comptes pour les exercices clos en 2009 seront orientées sensiblement de la même manière que pour les exercices clos en 2008 dans la mesure où le contexte économique est inchangé. Les problématiques de continuité d’exploitation et de valorisation des actifs étant bien entendu les plus sensibles. A ces deux problématiques, j’en ajouterais une : l’appréciation du risque de fraude. La fraude n’est pas un gadget de plus dans la panoplie de l’auditeur remis au goût du jour par la NEP 240 intitulée « Prise en considération de la possibilité de fraude lors de l’audit des comptes ». Le risque de fraude est un des fléaux qui accompagne les incertitudes économiques et les restructurations d’entreprises.

Pour l’accomplissement de ses diligences le commissaire aux comptes aura tout intérêt à faire appel aux techniques d’extractions et d’exploitation des données du système d’information afin de rendre systématiques et plus exhaustif ses contrôles. Voilà une bonne résolution à suivre.

Le retour de la confiance et la prudence seront les maîtres mots tant des différents acteurs économiques que des professionnels de la comptabilité et de l’audit.

Je profite de l’occasion pour vous souhaiter à tous une excellente année 2010.

Benoît-René RIVIERE
Expert-comptable

Google, Microsoft, Yahoo… que savez-vous de ces multinationales ? Pas grand chose ? Et pourtant, elles connaissent tout de vous. Elles se servent tout simplement des services gratuits (messagerie instantanée, mél (Gmail, Hotmail…), moteur de recherche…) qu’elles mettent à la disposition de tout un chacun pour accumuler, à notre insu, des informations. Mais combien de temps ces informations sont-elles conservées ? A quel dessein ? Se pourrait-il qu’un Etat étranger puisse les consulter ? Et les utiliser à son profit ?

Nouvelles technologies et libertés individuelles

Les nouvelles technologies simplifient notre quotidien. Nous nous émerveillons devant leurs prodiges. Pourtant, elles constituent une menace pour les libertés individuelles, nous en sommes tous conscients mais bien trop friands pour nous en méfier. La cybersurveillance (récemment renforcée par la loi HADOPI), le suivi de nos habitudes de consommation et de nos déplacements (paiements par carte bancaire, téléphones mobiles…), les caméras de surveillance empiètent sur nos libertés comme jamais auparavant. Internet conserve sans limite de durée dans le temps toutes nos interventions sur des forums de discussions ou sur les réseaux sociaux (Facebook, Twitter…), nos requêtes sur des sites de recherche (Google…), nos échanges de méls (méls qui mêmes effacés sont conservés sur les serveurs des hébergeurs des webmails basés la plupart du temps à l’étranger).

La sécurité nationale ou la sauvegarde des intérêts des ayant-droits des oeuvres numériques est, entre autres, mise en avant pour justifier ces empiètements. Mais les libertés individuelles méritent-elles à ce point d’être foulées du pied ? Les nouvelles technologies n’ont jamais eu autant d’emprise sur nos vies. La collecte des données sur nos comportements, nos manières de vivre n’a jamais été aussi systématique. Aux mains de régimes totalitaires, ces technologies permettent d’épier efficacement les faits et gestes de chacun. Sans fataliser, on peut tout de même s’inquiéter de l’usage qui peut être fait des informations collectées par des sociétés commerciales et cela sans contrôle et de la relative facilité avec laquelle certains parviennent à pirater ces données.

Nouvelles technologies et souveraineté

Les nouvelles technologies représentent également une menace pour la souveraineté de nos Etats. Insidieusement, les monopoles (ou quasi-monopoles), américains pour la plupart, ont su se rendre indispensables. Ils ont la maîtrise de pans stratégiques des systèmes d’information, de géolocalisation et de communication. L’intelligence économique (terme diplomate pour espionnage) utilise les failles voire les qualités des nouvelles technologies.

Sans être exhaustif, les technologies suivantes sont l’apanage de sociétés américaines ou du gouvernement américain :

• Gestion du réseau internet : l’ICANN est le gendarme de l’internet,
• GPS : beaucoup d’applications utilisent la géolocalisation offerte par le GPS et ses satellites… américains,
• WINDOWS, ce système d’exploitation qui est installé sur plus de 90 % des PC de la planète se met à jour fréquemment à l’aide de Windows Update. Mais que cachent ces mises à jour ? En cas de conflit ouvert, ne se pourrait-il pas qu’une mise à jour bloque volontairement tous les PC d’un pays ?

Je ne suis pas paranoïaque. Ces questions sont tout simplement celles que doit se poser toute personne censée qui tient à assurer la confidentialité et la disponibilité de ses informations. Ces sociétés américaines (ou autres d’ailleurs) ne devraient-elles pas réagir de façon patriotique à la demande de leur gouvernement ? En auraient-elles d’ailleurs le choix ? Pour commencer à répondre à cette question, il suffit de se pencher sur le cas de l’Irak. Du jour au lendemain, ce pays a été privé d’internet, de GPS et de prévision météorologique. Ce qui  est arrivé à cet Etat ne pourrait-il se reproduire pour d’autres ?

Pour clôturer ce sujet, ces risquent concernent tout autant les entreprises. En effet, la divulgation d’informations stratégiques ou confidentielles (données client, numéros de CB…) sont autant de risque pour les entreprises. Dans le cadre de l’externalisation et de la mutualisation de leurs fonctions informatiques, les directions informatiques doivent mettre en oeuvre les mesures propres à assurer la confidentialité des données et l’intégrité des systèmes… et préparer un plan de crise… au cas où.

Benoît-René RIVIERE

Diplômé d’expertise comptable

PS : je ne suis pas si parano que cet article peut le laisser paraître ! En effet, j’ai rédigé cet article à l’aide de Google Documents…

Ce week end, j’ai exhumé d’un vieux carton oublié depuis longtemps une relique de mon adolescence : une disquette 5 »1/4 (prononcer cinq pouces un quart). Les plus jeunes ne connaissent peut-être pas… Mais l’ancêtre du DVD-ROM et de la clef USB est la disquette ! Malheureusement, je n’ai pas de lecteur de disquette 5 »1/4 ! Donc impossible d’accéder à mes précieux fichiers… Tout à coup, je viens de réaliser que les nouvelles avancées technologiques condamnent au fur et à mesure de leur apparition les technologies antérieures… et les données liées à ses technologies. Ce problème peut sembler anecdotique mais malheureusement il touche insidieusement tous les secteurs de l’activité humaine : le cinéma perd à chaque heure qui passe des heures de films du début du XXème siècle, les fichiers stockés sur bandes ou cartes perforés dans les années 60-70 par les administrations et entreprises sont certainement inaccessibles et il en est de même pour les données générées lors des débuts de la micro-informatique (années 80) sur des systèmes aussi ésotériques que rares.

Il faut bien avoir conscience que les standards d’aujourd’hui apparaîtront obsolètes demain et seront supplantés par d’autres plus aboutis… et pas nécessairement rétrocompatibles. Se pose alors le problème de la portabilité et de l’accessibilité des données à terme dans une civilisation qui tend à dématérialiser tous ses écrits et ses arts. Les témoignages du passé qui ont traversé les époques et l’histoire malgré les guerres et les révolutions technologiques et que nous découvrons et redécouvrons tous les jours avec émerveillement (écrits antiques et religieux, pierre de Rosette, parchemin égyptiens…) sont lisibles encore actuellement par nous. Il n’est pas certains que nos écrits contemporains le soient encore dans un ou deux siècles ! Cette problématique est partagée par le responsable informatique de chaque entreprise. Régulièrement, le système informatique doit subir un toilettage plus ou moins profond qui se traduit tôt ou tard par un changement complet. A cette occasion, il se rend souvent compte que moultes données ne sont pas récupérables sur le nouveau système… sauf à dépenser des sommes importantes en frais de conversion.

Deux problématiques concomitantes se font jour :

- Les formats des supports (VHS, cassettes audio, disquettes 5 ¼, CD-ROM, DVD…) : au fur et à mesure de l’amélioration des techniques de stockage, les supports se font plus petits et peuvent contenir plus de données avec pour corolaire l’abandon des précédents formats. Notons cependant l’exception du CD (créé à la fin des années 70) remplacé par le DVD dans les années 90 avec des dimensions identiques permettant la rétrocompatibilité des lecteurs optiques.

- Les formats des fichiers : les fichiers images au format Jpeg, la musique au format MP3, les documents PDF… paraissent familiers aux utilisateurs d’aujourd’hui. Mais demain qu’en sera-t-il ? 

Pour ne rien arranger, les grands groupes d’électroniques se livrent à des guerres des formats (qui se souvient des disquettes 3″, du disque laser vidéo ou encore du récent HD DVD ?) à des fins mercantiles au détriment des utilisateurs (consommateur et entreprises). Celui qui remportent le combat est garanti de percevoir des redevances durant de longues années… Mais l’utilisateur et ses données ont à faire face à un problème de poids, celui de la conservation des matériels et des logiciels ou de la conversion des données sur un nouveau support et dans de nouveaux formats. L’abandon des formats propriétaires et la normalisation (pour ne pas dire la stabilisation) des standards au niveau international doit permettre à l’entreprise et plus généralement à la communauté d’accéder à des données dans le temps.

L’open source est très présent dans le monde de l’informatique “libre” (freeware en anglais) où les logiciels développés par des passionnés (seuls ou en équipes) sont distribués gratuitement ou presque. Dans ce domaine, gratuit ne rime pas avec mauvaise qualité, bien au contraire. De nombreux logiciels gratuits concurrencent férocement des logiciels payants édités par des multinationales à gros budget à commencer par LINUX contre WINDOWS. Ne nous y trompons pas l’enjeu n’est pas seulement financier, l’open source introduit la transparence que recherche bon nombre de directions informatiques d’entreprises et d’administrations (dont les militaires) sur le fonctionnement des logiciels intégrés à leurs systèmes informatiques.

En effet, l’éditeur d’un logiciel “open source” (en français code source libre) fournit, en plus du logiciel proprement dit, le code source (c’est-à-dire les lignes de programmes qui, compilées, produisent le logiciel, produit fini). Ce code source, fourni gracieusement, assure une totale transparence sur les techniques de programmation utilisées par les développeurs du logiciel. La communication du code source permet à la communauté des informaticiens de déceler d’éventuels problèmes de sécurité, de les corriger ou de signaler le problème aux développeurs pour correction. L’open source tranche donc complètement avec les logiciels propriétaires “fermés” dont le code source est tenu secret (la licence d’utilisation de ces logiciels prévoit généralement l’interdiction de la décompilation, c’est-à-dire la reconstitution du code source à partir du produit fini). En effet, l’utilisateur n’a pas connaissance directement des techniques de programmation mises en oeuvre et n’a aucun moyen de déceler d’éventuelles failles de sécurité ouvertes dans son système par ce logiciel, autrement que celles révélées dans les nombreux forums de discussion. Evidemment, l’utilisateur lambda ne dispose pas des compétences propres à analyser voire déchiffrer le code source d’un logiciel mais la communauté de développeurs bénévoles est riche d’étudiants, d’universitaires, de thésards… voire maintenant de retraités qui disposent de temps et de moyens. Cette communauté est très active à l’image de celle qui tourne autours des différents projets LINUX.

Extrait de code source en Visual C++ :

#include <CkMht.h>
#include <CkString.h>

void ChilkatSample(void)
    {
    CkMht mht;

    bool success;
    success = mht.UnlockComponent(”30-day trial”);
    if (success != true) {
        printf(”Mht component unlock failed\n”);
        return;
    }

L’intérêt de transparence et de sécurité se comprend très bien pour des militaires qui se doivent de comprendre le fonctionnement des systèmes qu’ils emploient sur des théatres d’opérations extérieurs. Les failles de sécurité sont concernées mais pas seulement. Les “backdoors” (ou portes dérobées) sont la hantises des militaires et plus généralement des directions informatiques : la plus imprenable des citadelles protégée de parefeus piratée parce que la porte de derrière est restée ouverte… Le pire cauchemar de tout responsable informatique. Cependant, l’opacité des systèmes propriétaires conviendra à l’utilisateur moyen peu au fait de ces problèmes de sécurité (que les mises à jour quotidiennes et automatiques de Microsoft rassurent).

Lorsqu’une erreur, voire une fraude découlant éventuellement sur un scandale financier, est découverte, la direction de l’entreprise se trouve confrontée à quatre sources de difficultés : isoler la faille dans les procédures, évaluer l’ampleur des dégâts (financiers et sur la pérennité de l’organisation), trouver et poursuivre les coupables et communiquer avec les tiers intéressés (notamment lorsque la fraude est médiatisée). Pour les organisations les plus averties, un plan de crise sera mis en œuvre.

Mais au final, lorsque le mécanisme de fraude aura été analysé et que les procédures auront été corrigées, que le préjudice aura été chiffré et que les fraudeurs auront été désignés, qui devra assumer la responsabilité de la négligence ? Qui devra endosser le rôle du bouc émissaire ?

Le dirigeant ?

Les différents collaborateurs qui, isolément, agissent dans la chaîne de décisions ?

Le commissaire aux comptes ?

Même si c’est lui qui définit la stratégie de l’entreprise et qui est responsable, aux yeux des tiers, de l’arrêté des comptes et du contrôle interne, le dirigeant n’a qu’une vue d’ensemble des processus. Malgré son expérience et l’acuité de ses travaux d’audit, le commissaire aux comptes n’a qu’une appréciation globale de la qualité du contrôle interne.

Chaque membre de l’organisation est responsable individuellement d’une partie du contrôle du processus mais pas coupable de la défaillance collective du système de contrôle. Responsable mais pas coupable… Un air de déjà vu, non ? Si cette notion peut se comprendre pour des dirigeants ou des professionnels au fait du problème, pour le grand public, il s’agit là d’une idée difficile à accepter. Les réactions aux dernières grandes affaires en sont la démonstration.

Le fraudeur se tapit derrière un masque, une façade. Il profite des points faibles du système (voire de défaillances), il développe des stratégies de contournement. La fraude est dissimulée par des artifices (comptables, juridiques…) donnant l’illusion de la réalité et de la normalité (par rapport à la loi et aux règles de contrôle interne). Le fraudeur se construit une personnalité sage en vue d’acquérir la confiance de sa hiérarchie… et d’endormir la méfiance des auditeurs. En effet, on n’accorde pas sa confiance à n’importe qui !

Mais qui donc est le fraudeur en entreprise ?

Sans vouloir faire peur, c’est Monsieur Tout Le Monde !

Voici quelques critères qui doivent attirer l’attention :

• - C’est une personne de confiance : il conserve les moyens de paiement, les clefs du coffre…
• - C’est un pilier de l’entreprise : gentil, disponible, serviable, ne refuse jamais d’aider ou de terminer des dossiers urgents tard le soir ou le week end…
• - Il ne prend jamais de vacances, arrive toujours le premier et repart le dernier…

Vous connaissez ce genre de personnes ? Pas de panique ! Ce ne sont pas pour autant des fraudeurs. Il suffit de garder l’oeil ouvert et de veiller à certains points :

• - rémunérer les collaborateurs à leur juste valeur (sinon ils pourront être tentés de se servir eux-même),
• - veiller à la stricte séparation des fonctions,
• - évaluer la qualité du contrôle interne, cerner ses points faibles, les corriger ou mettre en place les procédures atténuant les risques (il ne faut pas hésiter à communiquer sur le sujet afin de dissuader le fraudeur potentiel).

La fraude existe à tous les niveaux, elle est de toute nature (détournement d’espèces, de marchandises, fausses heures supplémentaires…)… et le contexte économique actuel ne va pas arranger les choses. Un homme averti en vaut deux !

A l’aide de la revue analytique, le commissaire aux comptes (ainsi que l’expert-comptable d’ailleurs) oriente ses contrôles de comptes, prépare son programme de travail. Une analyse sommaire de la balance générale permet déjà de déceler des anomalies (par exemple un compte 486x créditeur) et de mettre en place des points de contrôle (par exemple une variation du compte 1013x doit être justifiée par des documents juridiques).

Cette analyse est aisée à automatiser. Il suffit pour ce faire d’opposer une table de points de contrôle à la balance générale. C’est précisément cette automatisation que j’ai paramétrée sur la revue analytique que j’ai interfacée avec la base de données du logiciel AUDITSOFT (cf précédent article sur ce blog) et que je me propose de vous expliquer ci-après.

La mise en œuvre de ce cas pratique nécessite ACCESS.

Pour résumer, voici comment j’ai mis en application cet outil :

Table de points de contrôle :

J’ai tout d’abord créé une table des points de contrôle dans ACCESS dont voici un extrait :

 J’ai réparti les points de contrôle en deux catégories (champ « Type_cond ») :

• - Les anomalies apparentes qui décelées attirent l’attention du réviseur. Ce type de contrôles vise à détecter les exceptions à des règles comptables.
• - Les points à justifier qui concernent des sujets d’attention pour lesquels le réviseur doit obtenir des documents justificatifs de la part des services comptables.

Cette table fonctionne de la façon suivante :

Les colonnes « Réfb » et « Réfh » définissent la tranche de compte concernée par le point de contrôle. La colonne « Sens » fait figure de critère déclenchant avec « D » pour débiteur, « C » pour créditeur et « M » pour sens du solde indifférent. Si la tranche débute par « VARIATION_ », ce n’est pas le solde qui sera utilisé comme critère déclenchant mais la variation du solde N / N-1 du compte.

Enfin, le champ « Libellé_cond » donne au réviseur une indication sur le point d’attention à traiter.

Par exemple :

Avec ce point de contrôle, chaque compte débiteur (« D ») inscrit dans cette tranche (dont le compte 1013x) sera traité comme une anomalie.

Ma requête gère les comptes de la balance générale (par exemple 1013x), les comptes de regroupement (par exemple 1x, 10x, 101x) et les postes des états financiers (par exemple capital social, capitaux propres). Pour simplifier l’exposé ci-après, je limiterai les exemples aux comptes de la balance.

Table « balance »

Deux balances générales sont nécessaires : N & N-1. Il faudra les regrouper avec une requête de regroupement (« GROUP BY ») puis adjoindre au numéro de compte « /1 » pour N et « /2 » pour N-1.

Requête confrontant la balance générale avec les points de contrôle

Ces deux tables définies dans ACCESS, il ne reste plus qu’à les confronter à l’aide d’une requête. Le but de cette requête est de lister la liste des comptes dont le solde ou la variation répond à un certain critère.

(1) Liste la balance N (« Right([réf],1)=1 ») : numéro de compte et solde.

(2) La balance N est fusionnée avec le résultat de la requête suivante.

Les sous-requêtes (5) et (7) fournissent les balances générales N & N-1, puis sont fusionnées l’une avec l’autre (6) avant d’être retraitées en variation N/N-1 (3) (4).

Résultat

Extrait du résultat de la requête :

Le résultat fourni est intéressant puisqu’il présente deux anomalies (le résultat N-1 n’a pas été affecté et les charges constatées d’avance sont créditrices) et attire l’attention sur deux points à justifier (des immobilisations produites par l’entité ont été comptabilisées et le compte 1512x a varié pendant l’exercice).

Conclusion

A partir d’une simple balance générale, l’auditeur dispose d’une batterie de contrôles de base à effectuer. C’est tout l’intérêt de cet outil d’analyse.

Il est parfaitement adaptable à d’autres types de contrôle (toutes les fois que l’on a besoin de confronter une liste de données à des critères de contrôle).