Universite de FAX Faculte Des Sciences Economiques Et de Gestion de FAX

UNIVERSITE DE SFAX
FACULTE DES SCIENCES ECONOMIQUES ET DE GESTION DE SFAX
COMMISSION D’EXPERTISE COMPTABLE
MEMOIRE D’EXPERTISE COMPTABLE

EN VUE DE L’OBTENTION DU
DILPOME NATIONAL D’EXPERT COMPTABLE
L’audit dans un milieu informatisé : une

proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique
privée
Elaboré par : Directeur de recherche :

Ibrahim BOUAZIZ M. Bacem DAMAK
Année universitaire 2017-2018

L’audit dans un milieu informatisé : une proposition de démarche d’audit, inspirée du
référentiel CobiT 5, dans une polyclinique privée
Dédicaces
Je dédie ce mémoire :
A ma mère en témoignage de ma reconnaissance infinie pour

les nombreux sacrifices qu’elle n’a cessé de consentir pour
moi et dont je serais à jamais redevable. Que dieu la garde et
lui procure santé et bonheur.
A mon père qui n’a jamais porté d’aussi suprêmes espérances

que celle de ma réussite.
A mon frère Abdallah et mes sœurs Amina et Zeineb que je

leur souhaite une vie pleine de succès et d’espoir. Que dieu
nous garde toujours unis et heureux.
Que cet humble travail soit le témoignage de ma gratitude à

tous mes amis et à tous ceux qui me sont cher, et m’apportent
l’assurance de mon inaltérable dévouement.
1|Page
Remerciements
Je souhaite adresser mes remerciements à toutes les

personnes qui m'ont aidé et soutenu pendant ces dernières
années.
Je tiens à exprimer mes vifs remerciements et ma profonde

gratitude à mon encadreur M. Bacem DAMAK pour son
assistance, son aide et ses conseils inestimables pour la
réalisation du présent mémoire.
J’adresse également mes remerciements à M. Jelil

BOURAOUI, pour ses conseils et son encadrement tout le
long de mon stage professionnel.
Je remercie finalement les membres du jury pour leur

disponibilité et d’avoir bien voulu juger et évaluer ce travail.
2|Page
Sommaire
Introduction générale ............................................................................................................... 8
PREMIERE PARTIE : Spécificités de la démarche d’audit dans un milieu informatisé
.................................................................................................................................................. 13
Introduction de la première partie ....................................................................................... 14
1er chapitre : Les technologies d’informations et leurs impacts sur la démarche d’audit
.................................................................................................................................................. 15
Section 1 : Les caractéristiques du système comptable dans un milieu informatisé .... 17
Section 2 : Les risques liés à l’informatique ..................................................................... 20
Section 3 : Impact de l’informatique sur la conduite d’une mission d’audit ................ 32
Conclusion ............................................................................................................................... 36
2ème chapitre : CobiT un référentiel d’audit des systèmes d’information ......................... 37
Section 1 : Présentation du référentiel .............................................................................. 37
Section 2 : Les processus du CobiT 5 ................................................................................ 40
Section 3 : CobiT pour l’audit .......................................................................................... 52
Section 4 : Les limites du référentiel CobiT ..................................................................... 55
Conclusion de la première partie .......................................................................................... 57
DEUXIEME PARTIE : Proposition d’une démarche d’audit dans un milieu informatisé
.................................................................................................................................................. 58
Introduction de la deuxième partie ....................................................................................... 59
1er chapitre : Etudes comparatives avec les normalisations internationales .................... 60
Section 1 : Les normes françaises ...................................................................................... 60
Section 2 : Les normes américaines .................................................................................. 64
Section 3 : Les normes IFAC ............................................................................................. 66
2ème chapitre : Proposition de la démarche d’audit dans un milieu informatisé .............. 68
Section 1 : Planification de la mission ............................................................................... 69
Section 2 : Evaluation des risques ..................................................................................... 80
Section 3 : Les tests de validation ...................................................................................... 94
Section 4 : Synthèse des travaux ..................................................................................... 105
Conclusion de la deuxième partie ....................................................................................... 107
TROISIEME PARTIE : L’application de la démarche proposée pour une mission
d’audit financier d’une polyclinique .................................................................................. 108
Introduction de la troisième partie ..................................................................................... 109
1er chapitre : Présentation générale de la polyclinique ..................................................... 111
Section 1 : Présentation du secteur d’activité ................................................................ 111
3|Page
Section 2 : Régime juridique............................................................................................ 118

Section 3 : Régime fiscal ................................................................................................... 121
2ème chapitre : l’application de la démarche d’audit proposée ........................................ 127
Section 1 : La planification de la mission ....................................................................... 128
Section 2 : Evaluation des risques ................................................................................... 141
Section 3 : Les tests de validation .................................................................................... 166
Conclusion de la troisième partie ........................................................................................ 170
Conclusion générale ............................................................................................................. 171
Bibliographie......................................................................................................................... 174
Table des matières ................................................................................................................ 178
LES ANNEXES .................................................................................................................... 184
4|Page
Liste des abréviations

CobiT : Control Objectives for Information and related Technology
EDI : Echange de Données Informatisé
ERP : Enterprise Resource Planning
PGI : Progiciels de Gestion Intégrée
SQL : Structured Query Language
SGBD : Système de Gestion de la Base de Données
NTIC : Nouvelles Technologies de l'Information et de la Communication
IEM : Impulsions électromagnétiques
GTAG : Global Technology Audit Guide
TIC : Technologies de l'Information et de la Communication
SI : Système d’information
ISACA : The Information System Audit and Control Association
IT : Information Technology
Committee of Sponsoring Organizations of the Treadway
COSO :
Commission
NSIT : National Institute Standards and Technology
OCDE : Organisation de Coopération et de Développement Economiques
ITSEC : Information Technology Security Evaluation Criteria
ITGI : Information Technology Governance Institute
AFAI : Association française pour l’audit et le conseil en informatique
DSI : Direction du Système d’Information
PME : Petites et Moyennes Entreprises
IFAC : International Federation of Accountants
CNCC : Compagnie Nationale des Commissaires aux Comptes
OEC : Ordre des Experts Comptables
SEC : Securities and Exchange Commission
AICPA : American Institute of Chartered Public Accountants
FASB : Financial Accounting Standard Board
CAP : Committee Accounting Procedures
ARB : Accounting Research Bulletins
APB : Accounting Principles Board
US GAAP : Generally Accepted Accounting Principles
IASC : International Accounting Standards Committee
IAPC : International Auditing Practice Committee
ISA : International Standards on Auditing
SMPC : Small and Medium Practices Committee
MENA : Moyen-Orient et Afrique du Nord
PIB : Produit Intérieur Brut
5|Page
MDT : Millions Dinars Tunisien

CNAM : Caisse Nationale d’Assurance Maladie
BIT : Bureau International du Travail
INS : Institut National de la Statistique
GED : Gestion Electronique des documents
TCL : Taxe Collectivité Publique
TVA : Taxe sur la Valeur Ajoutée
TFP : Taxe de Formation Professionnelle
FOPROLOS : Fonds de Promotion du Logement pour les Salariés
DAI : Demande d'Approvisionnements Interne
6|Page
Liste des figures
Figure n°1 : Schéma du fonctionnement Client/Serveur

Figure n°2 : Schématisation des modules d’un PGI
Figure n°3 : Chaine de valeur d’une entreprise numérique
Figure n°4 : Zones clés de gouvernance et de gestion de CobiT 5
Figure n°5 : Exemple du système d’information d’une entité
Figure n°6 : Exemple de présentation graphique pour un système d’information d’une
entité (forme de flux de traitement des données)
Figure n°7 : Décomposition d’un processus d’entreprise
Figure n°8 : Matrice des risques et des contrôles
Figure n°9 : Présentation schématique de la synthèse des risques
Figure n°10 : Analyse SWOT du secteur de santé privé en Tunisie
Figure n°11 : Organigramme de la polyclinique
Figure n°12 : Cartographie du processus achats articles stockables
Figure n°13 : Cartographie du processus réception de la commande
Figure n°14 : Cartographie du processus réception et contrôle facture achats
Figure n°15 : Cartographie du processus facturation
7|Page
Introduction générale
L’environnement actuel de l’entreprise est caractérisé par la globalisation des économies qui
est facilitée par le développement accéléré des systèmes d’information.
En effet, durant les vingt dernières années, ces systèmes ont connu des évolutions
exponentielles grâce au développement technologique. Ainsi, nous avons observé notamment,
l’explosion des micro-processeurs, le développement des réseaux, l’intégration des systèmes,
l’ouverture des systèmes sur les partenaires de l’entreprise…
L’irruption de l’internet a accéléré considérablement l’évolution des systèmes d’information,
puisque son coût réduit et sa relative simplicité d’utilisation ont favorisé sa pénétration,
notamment vers les petites entreprises et les consommateurs. L’économie moderne devient de
plus en plus immatérielle.
Cette évolution vers la société de l’information n’aurait été facilitée que par le développement
spectaculaire des technologies de l’information.
Aujourd’hui, les systèmes d’information revêtent un caractère stratégique dans le monde des
entreprises. En effet, les exigences de l’environnement (marchés financiers, clients,
concurrence... etc.) imposent à celles-ci la performance et la réactivité. Ceci implique que le
traitement de l’information soit rapide et pertinent.
Ainsi, il est primordial que les systèmes d’information permettent à l’entreprise d’une part,
d’adapter en permanence sa structure aux exigences de son marché et, d’autre part, d’être en
mesure, d’augmenter continuellement sa productivité.
Il s’en suit que les dirigeants des entreprises s’orientent, inévitablement, de plus en plus vers
des systèmes ouverts, modulaires, axés sur les besoins des clients et permettant la couverture
de l’ensemble des besoins de l’entreprise.
Cependant, l’ouverture et la complexité des systèmes peuvent engendrer des risques ayant des
conséquences néfastes sur le bon fonctionnement de l’entreprise.
Le développement et l’accélération du système d’information ont conduit les auditeurs
financiers, que leur mission soit contractuelle ou s’inscrive dans un cadre légal, à s’interroger
sur la validité de l’approche et les outils traditionnels de l’audit financier, à adapter
progressivement leur démarche et surtout à développer de nouveaux moyens de vérification.
Afin de répondre aux nouvelles exigences imposées par cet environnement, l’auditeur est
astreint à revoir sa méthodologie d’audit et compléter sa formation dans le domaine de l’audit
8|Page
informatique de façon à prendre en considération les risques induits par les systèmes
informatiques et leur impact sur le dispositif du contrôle interne.
Pour faire face à ce nouveau contexte, certains cabinets d’audit ont adopté de nouvelles
démarches d’audit qui reposent largement sur l’évaluation des risques et des contrôles
informatiques. Ces nouvelles approches imposent aux auditeurs de comprendre, évaluer et
tester le contrôle interne relatif à l’environnement de la fonction informatique et aux systèmes
gérant les principaux processus des activités de l’entreprise.
Dans ce cadre, le référentiel CobiT (Control Objectives for Information and related
Technology) se positionne comme un référentiel de contrôle. Il décline sur le domaine IT les
principes du référentiel COSO (Committee of Sponsoring Organizations of the Treadway
Commission), publiés pour la première fois en 1992 et dont l’objectif est d’aider les entreprises
à évaluer et à améliorer leur système de contrôle interne.
La mise en chantier du référentiel CobiT résultait de la volonté des auditeurs de répondre aux
exigences du COSO et de partager les mêmes plans d’audit. La plupart des grands cabinets
d’audit internationaux (les big 6 à l’époque) y ont participé. Il est ainsi devenu un standard de
fait. On y trouvait l’essentiel de la structuration actuelle en domaines, processus et objectifs de
contrôle détaillés1.
CobiT permet l’alignement stratégique de l’entité en définissant un ensemble de principes à
suivre. La démarche est structurée sur la généralisation de l’audit à l’ensemble des activités
gérées et/ou générées par le système d’information pour maitriser les risques et assurer une
amélioration continue.
La version 5 de CobiT est disponible depuis avril 2012. CobiT 5 est, à ce jour, le seul référentiel
qui est orienté business pour la gouvernance et la gestion des systèmes d’information de
l’entreprise. Il représente une évolution majeure dans les référentiels de contrôle. CobiT 5 peut
être adapté pour tous les types de modèles business, d’environnements technologiques, toutes
les industries, les lieux géographiques et les cultures d’entreprise. Il peut s’appliquer à :
 La sécurité de l’information ;
 La gestion des risques ;
 La gouvernance et la gestion du Système d’Information de l’entreprise ;
 Les activités d’audit ;
 La conformité avec la législation et la règlementation ;
1
MOISAND DOMINIQUE, GARNIER DE LABAEYRE « CobiT - Pour une meilleure gouvernance des systèmes
d'information », 2010, p.3
9|Page
 Les opérations financières ou les rapports sur la responsabilité sociale de l’entreprise

La présence accrue de l’informatique dans le système d’information comptable et financière
ainsi que les importantes évolutions et mutations que ce système connait au sein de l’entreprise
doivent être prises en compte dans la démarche de travail de l’auditeur. En effet, l’audit des
états financiers d’une entité représente pour les auditeurs financiers un nombre de défis de plus
en plus grand : d’un côté l’évolution rapide des normes comptables, et de l’autre
l’automatisation croissante de la préparation des états financiers au moyen de systèmes
d’information toujours plus complexes. La qualité des informations financières dépend dans
une large mesure de la qualité des processus métiers et des flux de traitement des données s’y
rapportant. Il est donc logique que l’auditeur concentre son travail sur ces processus métiers et
intègre le contrôle des applications correspondantes dans son approche d’audit.
Afin de répondre aux objectifs généraux de l’audit des états financiers recommandés par la
norme d’audit ISA 200, l’expert-comptable doit mettre en œuvre des procédures appropriées et
adéquates pour :
 qu’il identifie et évalue les risques d’anomalies significatives, que celles-ci résultent de
fraudes ou d’erreurs, en se basant sur sa compréhension de l’entité et de son
environnement, y compris son contrôle interne ;
 qu’il obtienne, en concevant et en mettant en œuvre des réponses adaptées à
l’évaluation des risques, des éléments probants suffisants et appropriés indiquant s’il
existe des anomalies significatives ;
 qu’il se forme une opinion sur les états financiers à partir des conclusions tirées des
éléments probants recueillis2.
En effet, l’auditeur financier doit prendre en considération l’environnement informatique de
l’entité y compris son contrôle interne pour identifier et évaluer les risques d’anomalies
significatives. Pour cela, le référentiel CobiT 5 est considéré parmi les outils que l’auditeur
financier utilise pour évaluer l’environnement du contrôle interne de l’entité.
L’intérêt majeur de ce travail de recherche est de mettre en évidence l’importance de la
compréhension de l’environnement informatique d’une entité dans la cadre d’une mission
d’audit financier et d’exposer les différentes diligences que l’expert-comptable doit suivre, afin
de répondre aux objectifs généraux de l’audit, en s’appuyant sur le référentiel CobiT 5.
L’auditeur financier doit évaluer et identifier les risques liés aux systèmes d’informations à
partir de :
2
Norme d’audit ISA 200, point 7, p 5
10 | P a g e
 la prise de connaissance de l’environnement informatique ;

 l’identification des processus métier et des flux de traitement des données ;
 l’identification des applications de base et des principales interfaces IT pertinentes.
Pour éclairer cette problématique, nous allons étudier les spécificités et les particularités du
système comptable dans un milieu informatisé, les risques liés au système d’information ainsi
que les impacts de l’informatique sur la conduite d’une mission d’audit. Notre recherche nous
conduira à choisir le référentiel CobiT 5 parmi les outils que l’auditeur financier peut utiliser
pour identifier et évaluer les risques liés au système d’information. Nous essayerons de proposer
une démarche d’audit dans un milieu informatisé qui traite notamment : la planification de la
mission d’audit, l’évaluation des risques et les tests de validation en se basant sur le référentiel
CobiT 5 et ce dans le cas d’une polyclinique.
Dans ce contexte, il s’agit de savoir quelle démarche adopter pour l’audit dans un milieu
informatisé d’une polyclinique, en se basant sur le référentiel CobiT 5, afin de s’assurer que les
travaux menés répondent aux standards de qualité de la mission d’audit ?
La problématique, ainsi présentée, nous incite à apporter des éléments de réponse aux questions
suivantes :
 Quelles sont les particularités et les spécificités du système comptable dans un milieu
informatisé ?
 Quels sont les risques liés au système d’information ?
 Quels sont les impacts de l’informatique sur la conduite d’une mission d’audit ?
 Qui est-ce qu’un CobiT 5 ?
 Quels sont les apports du CobiT 5 en tant que référentiel d’audit du système
d’information ?
 Comment le CobiT 5 peut-il aider l’auditeur financier dans sa démarche d’audit ?
 Quelles sont les limites du référentiel CobiT 5 ?
 Quelles positions des normalisations internationales pour l’audit dans un milieu
informatisé ?
 Quelle démarche doit être suivie par l’audit financier dans un milieu informatisé ?
 Quels sont les éléments que doit prendre en considération l’auditeur lors de la
planification de la mission ?
 Quelle importance à accorder l’auditeur pour l’évaluation du système de contrôle
interne de l’entité auditée ?
11 | P a g e
 Quels sont les processus du CobiT 5 que l’auditeur utilise pour évaluer le système
d’information de l’entité auditée ?
En conséquence, cette étude s’articule autour de trois parties. Une première partie dans laquelle
nous essayons de montrer les spécificités de la démarche d’audit dans un milieu informatisé à
travers de l’exposition des impacts de la technologie d’information sur la démarche d’audit et
la présentation du référentiel CobiT 5.
La deuxième partie traite la démarche d’audit financier dans un milieu informatisé en
commençant par une étude comparative avec les normalisations internationales (la
normalisation française, la normalisation américaine et la normalisation internationale IFAC).
Nous essayons, ensuite, de proposer une démarche d’audit dans un milieu informatisé qui traite
notamment : la planification de la mission d’audit, l’évaluation des risques et les tests de
validation en se basant sur le référentiel CobiT 5 et ce dans le cas d’une polyclinique.
Au niveau de la troisième partie nous essayons d’adopter la démarche proposée à l’audit d’une
polyclinique privée.
Enfin, cette recherche n’a pas pour prétention de fournir un programme d’audit exhaustif, mais
elle vise plutôt à contribuer à l’adaptation de la démarche d’audit aux particularités de la mission
d’audit dans un milieu informatisé d’une polyclinique.
12 | P a g e
PREMIERE PARTIE : Spécificités de la

démarche d’audit dans un milieu
informatisé
13 | P a g e
Introduction de la première partie

Dans un environnement de concurrence mondiale, les entreprises se restructurent pour
rationaliser leurs activités et, conjointement profiter des progrès des technologies de
l’information afin d’améliorer leur compétitivité.
Mettre en avant la compétitivité et le rapport coût efficacité implique une confiance toujours
accrue dans les technologies qui deviennent une composante essentielle de la stratégie de la
plupart des entreprises.
L’automatisation des fonctions de l’entreprise dicte l’incorporation de mécanismes de contrôle
plus puissants dans les ordinateurs et les réseaux, qui s’appuient à la fois sur le matériel et le
logiciel. De plus, les caractéristiques structurelles fondamentales de ces contrôles évoluent à la
même vitesse et de la même manière, par bonds successifs, que les technologies sous-jacentes
de l’informatique et des réseaux.
Pour réussir dans cette économie de l’information, la gouvernance d’entreprise et celle des
technologies de l’information ne doivent plus être considérées comme des disciplines séparées
et distinctes. Une gouvernance d’entreprise efficace se concentre sur l’expertise et l’expérience
des individus et des groupes là où elles peuvent être les plus productives, surveille et mesure
les performances, et prévoit une assurance pour les points critiques.
Beaucoup d’entreprises reconnaissent les bénéfices potentiels apportés par la technologie.
Cependant, les entreprises performantes comprennent et gèrent les risques associés à la mise en
œuvre des nouvelles technologies. Les Objectifs de Contrôle de l’Information et des
Technologies Associées (CobiT) aident à faire face aux multiples besoins du management en
établissant des liens entre les risques métiers, les besoins de contrôle et les questions techniques.
Il fournit les bonnes pratiques au travers d’un cadre de référence par domaine et par processus
et présente les activités dans une structure logique et gérable. Pour CobiT, les « bonnes
pratiques » signifient un consensus des experts3.
Le premier chapitre sera consacré à l’étude des principaux impacts des nouvelles technologies
de l’information et de la communication sur le système comptable et les contrôles internes de
l’entreprise ainsi que l’audit financier.
Le deuxième chapitre sera réservé à la présentation du référentiel de contrôle CobiT et leur
apport à l’expert-comptable soit dans le cadre de sa mission d’audit des états financiers ou dans
le cadre de leurs missions spécifiques.
3
Monique Garsoux « CobiT-une expérience pratique » la revue n°78- Mars 2005, p.1
14 | P a g e
1er chapitre : Les technologies d’informations et leurs

impacts sur la démarche d’audit
Avant de présenter les caractéristiques du système comptable dans un milieu informatisé et

l’impact des nouvelles technologies sur la démarche d’audit, il est nécessaire d’exposer
brièvement les principales nouvelles technologies de l’information et de la communication.
L’architecture Client/serveur :
L’architecture client/serveur désigne un mode de communication entre plusieurs composants

d’un réseau. Chaque entité est considérée comme un client ou un serveur. Chaque logiciel client
peut envoyer des requêtes à un serveur. Un serveur peut être spécialisé en serveur
d’applications, de fichiers, de terminaux, ou encore de messagerie électronique4.
Un système client/serveur fonctionne selon le schéma suivant :
Requêtes
Client
Réponses Serveur
Client
Requêtes
Figure n°1 : Schéma du fonctionnement Client/Serveur

Les Progiciels de Gestion Intégrée (ERP) :
L’ERP est un progiciel qui permet de gérer l’ensemble des processus opérationnels d’une
entreprise en intégrant plusieurs fonctions de gestion : solution de gestion des commandes,
solution de gestion des stocks, solution de gestion de la paie et de la comptabilité, solution de
gestion e-commerce, solution de gestion de commerce5.
4
https://fr.wikipedia.org/wiki/Client-serveur
5
https://www.choisirmonerp.com/erp/definition-d-un-erp
15 | P a g e
Stocks Comptabilité
générale
Production Paie
Comptabilité de
Ventes
gestion
Base de
données
GRH entreprise Gestion
financière
Approvisionnements Immobilisations,
investissements
Consolidation
Trésorerie Reporting
Figure n°2 : Schématisation des modules d’un PGI

Les principaux avantages ou inconvénients de l’implantation d’un PGI sont les suivants 6:
Avantages Contraintes
Partage des Chacun accède aux informations dès - Définition d’autorisations d’accès
informations leur saisie, en temps réel
- Nécessite une bonne réactivité des
acteurs
Cohérence des - Accès plus facile aux différentes - Lourdeur de mise en place du PGI
données (base applications (ergonomie uniforme)
- Formation du personnel
unique), des
- Pas d’interfaçages
applications - La sécurisation des données est
- Extractions à la demande (SQL) vitale
Standardisation - Coût très inférieur à des - Adapter les procédures au PGI

applications « maison »
- Dépendance de l’éditeur du PGI ou
- Maintenance par l’éditeur d’une société de service
- Bénéfice d’une ergonomie
éprouvée
L’Echange de Données Informatisé (EDI) :

L'échange de données informatisé (EDI) est une technique qui remplace les échanges physiques
de documents entre entreprises (commandes, factures, bons de livraison,...) par des échanges,
6
Tableau extrait de l’ouvrage « Assistant de manager » - DUNOD
16 | P a g e
selon un format standardisé, entre ordinateurs connectés par liaisons spécialisées ou par un
réseau7.
Section 1 : Les caractéristiques du système comptable dans un

milieu informatisé
Le recours à des nouvelles technologies est susceptible de générer des incidences marquantes
sur :
- La structure organisationnelle ;
- La nature des traitements.
1.1 - La structure organisationnelle
La structure d’une organisation est l’ensemble des « moyens employés pour diviser le travail
en tâches distinctes et pour assurer la coordination nécessaire entre ces tâches »8. La répartition
des tâches et des responsabilités, les mécanismes de coordination, les règles et les procédures
permettent de caractériser la structure d’une entreprise.
La mise en place des nouvelles technologies de l’information et de la communication produit
des changements importants rattachés au flux des informations et à l’accès aux données.
Désormais, les centres de décision deviennent moins centralisés, les utilisateurs finaux plus
concernés par les nouvelles évolutions. En effet, l’informatisation peut engendrer une
redéfinition des responsabilités des employés.
Toutefois, il y a lieu de signaler que la complexité des nouvelles technologies de l’information
et de la communication exige à la direction de préserver une place importante dans sa structure
globale pour la fonction du service informatique.
La séparation des tâches incompatibles devient de plus en plus difficile en raison des facteurs
suivants :
- La gestion des accès : le stockage des informations comptables et de gestion et les
programmes d’application de l’entreprise sur des mémoires électroniques permet à
beaucoup de personnes d’accéder au moyen de terminaux.
- La réduction du nombre de personnes intervenantes : l’automatisation des traitements
comptables impliquent la réduction du nombre de personnes.
Il est à préciser que la séparation classique des tâches dans un environnement non informatisé,
n’est pas totalement efficace dans un système informatisé, mais le contrôle peut être renforcé
7
Institut National de la Statistique et des études économiques : définition de l’EDI, publication du 13/10/2016
8
HENRY MINTZBERG (1982)
17 | P a g e
par différents types de logiciels destinés à limiter l’accès aux applications et aux fichiers. Il est
donc nécessaire d’apprécier les contrôles portant sur l’accès aux informations afin de savoir si
la séparation des tâches incompatibles a été correctement renforcée.
Dans un environnement informatisé, il existe trois types d’utilisateurs9 :
1. Les utilisateurs non autorisés : il s’agit des intrus externes. Des contrôles préventifs,
particulièrement des contrôles d’authentification des utilisateurs, répondent à ce type de
risque.
2. Les utilisateurs enregistrés : l’accès de ces utilisateurs devrait être limité aux
applications et aux données rattachées à leurs fonctions. Des contrôles préventifs pour
ce type d’utilisateurs se présentent sous forme de contrôle d’authentification des
utilisateurs et d’allocations de droits limités aux applications nécessaires à l’exécution
de leurs tâches.
3. Les utilisateurs privilégiés : il s’agit de l’administrateur système, les développeurs, les
responsables de l’exploitation. Ces utilisateurs nécessitent des privilèges de système ou
de sécurité pour la réalisation de leurs travaux.
Pour le département informatique, si les fonctions incompatibles ne sont pas correctement
séparées, des erreurs ou irrégularités peuvent se produire et ne pas être découvertes dans le
cours normal de l’activité. Des changements non autorisés dans des programmes d’application
ou dans des fichiers peuvent être difficiles à détecter dans un environnement informatique. C’est
pourquoi, des mesures préventives touchant en particulier le respect de la séparation des
fonctions principales de programmation et d’exploitation deviennent indispensables pour
assurer la fiabilité de l’information financière.
1.2 - La nature des traitements
Les traitements peuvent être effectués en temps réel ou en temps différé. Ce dernier mode de
traitement est souvent appelé traitement « batch » ou traitement par lot. Le plus souvent les
traitements sont mixtes et font alternativement appel au temps réel et au temps différé, selon les
besoins.
Traitement en temps réel (real time processing) : le traitement en temps réel est un mode de
traitement qui permet l’admission des données à un instant quelconque et l’obtention immédiate
des résultats.
9
Mohamed Lassâad Borgi, mémoire d’expertise : « L’évolution des technologies de l’information et de la
communication : impact sur l’audit financier », p.12
18 | P a g e
Un des avantages de ce mode de traitement est de permettre une validation immédiate des
données de saisie par confrontation, pour contrôle et cohérence, avec les informations de
fichiers en ligne. Néanmoins, ce traitement présente des inconvénients suivants :
- Possibilité de mise à jour des fichiers ou des bases de données sans autorisation en
l’absence de procédures appropriées de sécurité ;
- Possibilité de dégradation de l’intégrité du système d’information et plus
particulièrement des bases de données, si les procédures d’accès, de validation et
contrôle a posteriori ne sont pas appropriées ;
- Pas de chemin de révision en l’absence de procédures de « journalisation » spécifiques.
En temps réel, la mise à jour entraîne, sauf option ou programmation appropriée, la
disparition de la donnée périmée par la mise à jour ;
- Complexité des procédures de sauvegarde, de restauration et de reprise.
Traitement par lot (batch processing) : le traitement par lot est défini comme le traitement
suivant lequel les programmes à exécuter ou les données à traiter sont groupés par lot. La
caractéristique essentielle des traitements par lots est que la mise à jour des fichiers n’est pas
immédiate. Pour mettre à jour un ou des fichiers, il faut procéder successivement à la réalisation
des phases de saisie, de validation, de recyclage des anomalies et finalement de mise à jour.
En raison du caractère séquentiel de ce mode de traitement, le chemin de révision est
généralement facile à suivre.
Traitement en temps réel différé (memo update) : ce mode de traitement se caractérise par une
validation de la saisie en temps réel et une mise à jour différée en traitement par lots.
Lorsque le besoin d’informations immédiates est important pour les utilisateurs, une
programmation appropriée permet, lorsque l’utilisateur interroge les fichiers, de recevoir une
information à jour même si les fichiers ne sont pas encore réellement mis à jour.
Dans la pratique, le traitement en temps réel différé est très répandu. Il faut également noter
qu’il facilite les procédures de sauvegarde, de restauration et de reprise.
1.3 – Les Conséquence de l’évolution des techniques informatiques

Plus les entreprises et les organisations sont informatisées, plus elles sont dépendantes du bon
fonctionnement de leurs systèmes informatiques.
La présence d’un environnement informatisé a trois conséquences implicites :
- disparition du chemin de révision ou son existence pendant une période de temps
excessivement courte. Dans certains secteurs d’activité, et plus particulièrement pour
les sociétés de service, un seul et même document de base peut, dès sa saisie, déclencher
19 | P a g e
automatiquement la quasi-totalité des écritures concernant la comptabilisation de la

transaction correspondante.
- disparition de la dématérialisation de certaines procédures d’autorisation et de contrôle,
qui sont alors directement réalisées par les programmes. Les plus fréquentes sont les
tests de validation effectués lors de la saisie des transactions dans les systèmes
interactifs. En matière purement comptable, les programmes exécutent couramment :
 des tests d’équilibrage du type débit = crédit
 des vérifications de séquences
 des tests de vraisemblance en fonction de seuils prédéterminés pour les montants
concernant un type d’écriture particulier
 des tests portant sur les zones obligatoires à renseigner pour qu’une écriture soit
acceptée.
 le fait que certaines procédures de contrôle manuelles deviennent elles même
étroitement dépendantes de l’informatique. La revue d’un état d’exception est en
effet forcément tributaire de la fiabilité et des contrôles concernant la production
même de cet état.
Il est clair que l’utilisation des systèmes informatiques procure à l’entreprise des avantages
indéniables notamment, une plus grande fiabilité de l’information :
- les opérations de calculs, de report et de totalisation sont plus fiables que lorsqu’elles
sont exécutées manuellement ;
- il est possible d’obtenir des états d’analyse beaucoup plus complexes dans un laps de
temps excessivement court ;
- les contrôles programmés inclus dans les applications sont systématiques, alors que pour
des considérations de coûts ou de temps, ces mêmes contrôles ne pouvaient être
effectués que sur une base de tests dans des environnements manuels.
Section 2 : Les risques liés à l’informatique
Le système d’information comprend les informations qui sont collectées, gardées, traitées,
recherchées ou transmises par une infrastructure informatique composée de matériels
20 | P a g e
informatiques, d’équipements périphériques, de logiciels et de réseaux de télécommunication,

ainsi que les ressources humaines qui l’organisent et le mettent en œuvre10.
Cette définition permet de comprendre que le risque informatique consiste non seulement en un
risque technique lié à la défaillance du matériel, mais qu’il consiste également en un risque
organisationnel, plus complexe à traiter et aux conséquences diverses.
Les documents financiers peuvent être modifiés et des transactions illicites peuvent être
engagées au nom de l’entreprise sans son consentement. Des documents confidentiels peuvent
être divulgués au public ou aux concurrents de l’entreprise. Les droits d’auteurs, les marques et
les brevets peuvent être violés. Mais aussi, bien d’autres dommages peuvent toucher la
réputation et la notoriété de l’entreprise.
Les risques informatiques sont de plusieurs ordres. Nous pouvons les regrouper en trois
catégories de risques :
- Risque économique
- Risque physique
- Risque logique.
Le risque économique : est celui lié à l’utilisation de l’informatique dans la gestion de
l’entreprise.
Les entreprises les plus vulnérables au risque informatique sont souvent dans l’obligation de se
doter de dispositifs de secours relativement évolués, malgré le coût élevé de ces systèmes.
Le risque physique : est celui de la défaillance des ordinateurs et de leurs unités périphériques,
comme de l’environnement nécessaire à leur fonctionnement.
Les risques physiques sont notamment les risques qu’ils peuvent porter atteinte à la pérennité
de l’entreprise.
Le risque logique : provient de la mise en œuvre des mauvaises procédures. Il peut s’agir soit
d’une mauvaise programmation, soit d’erreurs de manipulation.
Les risques logiques sont très nombreux puisque l’informatique est une technique qui
fonctionne pour l’essentiel sur la logique. Les principaux risques logiques classiques sont les
suivants :
- Contrôle interne insuffisant ;
- Paramétrage erroné ;
- Contrôle d’accès mal adapté ;
10
Fabrice OMANCEY « La gestion du risque informatique à l’hôpital : protection de la confidentialité et sécurité
des données au centre hospitalier de Dreux », 2003, p10
21 | P a g e
- Saisie de données non conformes ;

- Erreur de manipulation de supports ;
- Erreur de programmation.
La complexité et la sophistication croissante de l’informatique entraînent des risques dans les
entreprises et les organisations, risques qui sont à la mesure de l’accroissement d’efficacité et
de productivité que l’informatique apporte avec elle.
Dans cette section, nous identifierons les principaux risques que l’informatique peut faire naître.
Nous avons également pour préoccupation de rechercher quelles sont les procédures et les
mesures les plus utiles pour pallier et compenser les risques principaux.
2.1. Les risques généraux

L’existence même de l’informatique modifie sensiblement les risques généraux du fait de :
- La puissance et la fragilité qu’elle génère en facilitant la concentration des informations
et leur circulation ;
- La technicité et l’évolution permanente des systèmes qui nécessitent une formation
approfondie des « informaticiens » à proprement parler, mais aussi et surtout des
« utilisateurs » dont elles bousculent souvent les habitudes ;
- L’application systématique des opérations programmées qui apporte une sécurité plus
grande qu’un système manuel si le programme est fiable mais implique, dans un système
mal programmé, des anomalies ;
- La capacité de certains systèmes à générer des informations sans intervention humaine
(systèmes intégrés) créant un risque de voir disparaître, c’est à dire la trace du flux
d’informations de l’origine des opérations à leur traduction dans les livres ;
En effet, l’approche Chaîne de valeur11 nous a permis de comprendre le fonctionnement de
l’entreprise dans un milieu informatisé. Selon sa conception, les systèmes d’information (SI)
dans l’entreprise sont définis comme une fonction support. Toutefois, les mutations récentes au
sein des entreprises plaident pour une vision radicalement différente. Les SI, et plus encore
l’usage du numérique sous toutes ses formes, ne sont plus une fonction support à l’activité de
l’entreprise mais deviennent une source même de la création de valeur au sein de celle-ci.
11 La chaine de valeur est un modèle développé par M. Porter dans L’avantage concurrentiel (1986), qui vise à décomposer l’activité de l’entreprise en différentes étapes, pour
identifier où se trouvent les sources d’avantages concurrentiels, autrement dit, de création de valeur
22 | P a g e
Gestion administrative et management

Systèmes de planification et de messageries électroniques
Ressources humaines
Systèmes de planification de la main-d’œuvre
Technologies
Systèmes de conception assistée par ordinateur
Approvisionnement
Systèmes de commande informatisés
Logistique Opérations Ventes et Services Logistique

entrante marketing sortante
Systèmes Systèmes de Systèmes de Systèmes de Systèmes

automatisés fabrication commande maintenance automatisés
de gestion contrôlée informatisés des
équipements de
d’entrepôt par
ordinateur planification
des
livraisons
Systèmes de fourniture Systèmes de gestion des

et d’approvisionnement relations clients
Fournisseur
Fournisseurs Entreprise Clients Distributeurs
des fournisseurs
Chaine de valeur du secteur
Figure n°3 : Chaîne de valeur d’une entreprise12

Ces risques généraux peuvent être regroupés en huit familles :
- Les risques liés aux ressources humaines ;
- Les risques liés à la dématérialisation des rapports humains ;
- Les risques stratégiques ;
- Les risques liés au contrôle des systèmes d’information ;
- Les risques éthiques et juridiques ;
- Les risques liés au patrimoine informatique ;
- Les risques marketing ;
- Les risques périphériques.
12
Arseg « La protection de l’information en entreprise », avril 2015.
23 | P a g e
2.1.1- Les risques liés aux ressources humaines13

La gestion des ressources humaines peut être fortement impactée lors de l’informatisation de
l’entreprise. En effet, l’apparition de l’informatique dans une entreprise s’accompagne parfois
de licenciements, de changements dans les habitudes quotidiennes de travail ou nécessite de
nouvelles formations… Or, ces changements affectent directement le facteur humain de
l’entreprise, et sa réaction négative potentielle impacte le résultat de l’entreprise par une
diminution de sa productivité ou un ralentissement de son activité. Il existe deux risques
majeurs attachés aux ressources humaines : le manque d’adhésion ou le rejet par les employés
de la politique d’informatisation de l’entreprise et la sclérose des compétences.
Le manque d’adhésion ou le rejet de la politique de l’informatisation de l’entreprise par les
employés : sans mettre en place des pratiques de management dans le cadre de la conduite du
changement, l’entreprise peut se retrouver face à une attitude hostile de ses salariés lors de
l’informatisation des activités de l’entreprise. Cette hostilité s’exprime de différentes manières,
d’un simple malaise jusqu’au rejet du nouvel outil numérique.
La sclérose des compétences : rappelons avant tout que le domaine des NTIC connait une
évolution extrêmement rapide. Une innovation technologique peut ainsi rendre obsolète les
compétences des employés dans certains secteurs spécifiques, cela est d’autant plus vrai dans
certains secteurs tels que l’utilisation des progiciels par exemple.
2.1.2- Les risques liés à la dématérialisation des rapports humains

Le passage vers l’entreprise informatique implique également la dématérialisation et non la
disparition des rapports humains. Cette dématérialisation se retrouve dans les relations entre
collègues mais aussi avec l’extérieur, clients et fournisseurs.
Affaiblissement de la communication : la mutation des rapports sociaux entraine également
une mutation de la communication. Bien que nous ayons des moyens plus performants et plus
nombreux pour communiquer, la tendance à moins communiquer existe potentiellement, la
qualité de cette communication peut également diminuer et c’est ce dernier point qui est
important à prendre en compte pour l’entreprise. Cela est appelé le Paradoxe de Maslow.
Perte de souplesse : l’informatisation des processus de l’entreprise simplifie souvent les
procédures de décision. Mais cela se fait au détriment de phases de discussion et d’échange
(avec le client, le fournisseur ou le salarié). Si cela fait gagner du temps, l’entreprise peut perdre
en souplesse et en adaptabilité et ainsi risquer de devenir trop rigide par rapport à la
concurrence.
13
Cigref « les risques numériques pour l’entreprise », Mars 2011
24 | P a g e
Perte du temps de réflexion : l’accélération de l’économie et des échanges dus à la

l’informatisation laisse moins de temps à l’acteur économique (client, fournisseur, entreprise,
employé, dirigeant) pour penser. Le risque pour l’entreprise est de se retrouver dans une
situation où elle n’a plus la capacité à anticiper. Elle se place dans la réactivité, au détriment
d’une réflexion en amont.
2.1.3- Les risques stratégiques
D’autres risques liés à l’informatique se détachent du quotidien de l’entreprise et sont liés aux
processus de décision engagés sur le moyen et le long terme. Le passage de l’entreprise
classique à l’entreprise informatique suppose de prédéfinir un plan stratégique de
l’informatisation des activités de l’entreprise, et ce en accord avec l’objectif final.
La défaillance de stratégie informatique : le plus grand risque lié à la stratégie de l’entreprise
est bien d’avoir une stratégie informatique défaillante, ou pire encore, de ne pas avoir de
stratégie informatique du tout. Une déficience stratégique entraine des conflits internes à
l’entreprise ou des pertes suite à l’informatisation d’activités de l’entreprise qui n’auraient pas
dû l’être.
2.1.4- Les risques liés au contrôle des systèmes d’information14
L’un des principaux gains entrainés par l’informatisation de l’entreprise est un gain de temps.
La numérisation fluidifie l’information et lui permet de circuler plus vite, ce qui a pour effet de
créer de la valeur. Mais, par définition, plus l’information est fluide, plus elle est rapide, et
moins on en a le contrôle. La question pour l’entreprise sera de savoir où elle souhaite se situer
entre l’absence de contrôle et le contrôle total de l’information (ce qui aurait pour effet de faire
perdre tout gain à l’informatisation de celle-ci). Plus le contrôle est grand, plus l’exposition à
un ralentissement de l’activité de l’entreprise est importante. Moins le contrôle est important,
plus l’exposition à des fuites d’informations est grande. Le risque pour l’entreprise est de voir
alors ses données dérobées, altérées ou modifiées.
2.1.5- Les risques éthiques et juridiques
Les risques éthiques et juridiques liés à l’informatique renvoient au respect de la vie privée et
la confidentialité des données. Les activités permises par l’internationalisation des entreprises
(stockage des données à l’étranger, etc.) et les problèmes liés à l’authenticité des documents
numériques font également partie des risques juridiques auxquels doit faire face l’entreprise
numérique.
14
25 | P a g e
Internationalisation : des informations sur l’entreprise peuvent circuler à l’étranger via le jeu
des réglementations internationales ou être soumises à des réglementations locales. Plus
généralement, la législation concernant l'échange de données est différente selon les pays, le
cryptage peut être autorisé, interdit, soumis à autorisation… Pour l'entreprise, cela se traduit
concrètement par des pertes en cas de non-respect de la loi locale, ou des problèmes de
productivité et d'homogénéisation des processus dans le cadre d'une activité internationale.
Authenticité des documents : l'authenticité des documents numériques est plus difficile à
prouver que celle des documents papier ; leur production et leur conservation entrainent donc
plus de contraintes (et de risques). Ces contraintes sont essentiellement liées à l'administration,
par exemple pour les documents comptables qui doivent répondre à certaines normes techniques
(présentation de la pièce justificative).
2.1.6- Les risques liés au patrimoine informatique
Dans cette famille de risques, nous avons englobé les risques liés à la conservation des données
(vieillissement des supports, évolution des formats), à la difficile valorisation financière du
patrimoine informatique ainsi que ceux liés à la garantie des produits informatiques.
Conservation : on a vu précédemment que la conservation de données exposait l'entreprise à
des risques. Une mauvaise conservation de telles données peut aussi entraîner des pertes pour
l'entreprise : la durabilité des supports et des formats n'est pas facile à assurer dans le cadre du
stockage numérique. Par ailleurs, les entreprises sous- traitent souvent cet hébergement des
données numériques, le contrôle sur les mesures de protection et conservation ne peut être
facilement assuré, de même que l'accès à ces données peut être temporairement coupé.
Valorisation financière : les méthodes pour calculer la valeur d'une entreprise sont mal
adaptées au calcul de la valeur d'une entreprise 100% informatique. En effet, celle-ci ne dispose
pas d'actifs réels mais immatériels, dont la valorisation est difficile. La valeur de l'entreprise
informatique peut donc être mal évaluée par les institutions financières, ce qui a des
conséquences au niveau de ses actionnaires et investisseurs. Par ailleurs, la sous- évaluation de
l'entreprise peut entraîner des difficultés vis-à-vis des institutions bancaires, qui peuvent refuser
de la financer, ce qui peut provoquer un risque important pour la poursuite des activités ou le
développement de l'entreprise.
26 | P a g e
2.1.7- Les risques marketing15

Les risques induits par l’informatisation de l’entreprise liés au secteur marketing sont de
différente nature et affectent la réputation de l’entreprise ou bien sa capacité de vendre à des
clients.
Risque réputation : un site internet est un outil vulnérable. C’est un outil de communication et
de marketing de premier plan qui peut être la cible de personnes malveillantes à l’égard de
l’entreprise. Que ce soit une campagne organisée ou de réels mécontentements, l’entreprise
court un risque réel en termes d’image en offrant un espace de liberté au cœur de son outil de
communication.
Augmentation de la concurrence : l’informatisation de l’entreprise peut tout simplement porter
sur sa capacité à vendre en ligne. Mais comme pour un point de vente physique, elle va trouver
sur ce marché internet des concurrents. Or, ces concurrents ne sont pas uniquement de la même
ville ou du même pays, ils sont installés dans le monde entier. La dématérialisation des clients
et des points de vente fait entrer sur un marché potentiellement mondial, mais sur lequel la
concurrence est bien plus forte. De plus le développement des comparateurs de prix de plus en
plus diversifiés implique une concurrence accrue pour l’entreprise.
2.1.8- Les risques périphériques

Ce risque regroupe le risque lié à la perte de contrôle du produit et le risque géopolitique, qui,
s’ils apparaissent comme exceptionnels, n’en sont pas moins potentiellement dangereux pour
l’entreprise.
Perte de contrôle du produit : depuis le début des années 80 et l’avènement de l’informatique,
il s’avère qu’une partie de l’économie s’est largement dématérialisée. Les flux d’informations
et les flux financiers ont connu une croissance exponentielle en moins d’une quinzaine
d’années. La dématérialisation des flux a montré par le passé que les risques et leurs impacts
ont été démultipliés.
Risque géopolitique : on pourrait croire au premier abord que l'entreprise informatique
s'affranchit en grande partie du risque pays, mais en réalité celui-ci continue à exister, sous
d'autres formes, avec l’informatique. A une toute autre échelle, les guerres, et le recours à des
IEM16 (impulsions électromagnétiques, ou EMP en anglais), peut entièrement paralyser
l'entreprise numérique.
15
16
IEM est une émission d'ondes électromagnétiques brève et de très forte amplitude qui peut détruire de nombreux
appareils électriques et électroniques et brouiller les télécommunications.
27 | P a g e
Après avoir identifié les risques généraux et les risques spécifiques liés à l’utilisation de
l’informatique, nous identifierons les moyens qui devraient être mis en place par la société pour
pallier ces risques.
2.2. La maîtrise des risques

L’informatique implique une conscience claire et précise des risques et une organisation
rigoureuse assurant la fiabilité et la sécurité des données qu’elle gère et dont l’entreprise est de
plus en plus dépendante. Cette fiabilité passe notamment par :
- La mise en place d’une politique claire et coordonnée ;
- L’organisation et management ;
- Les contrôles physiques et environnementaux ;
- Les contrôles des logiciels systèmes ;
- Les contrôles de l’acquisition et de développement des systèmes.
2.2.1- La mise en place d’une politique claire et coordonnée

Toutes les organisations doivent définir leurs buts et objectifs à travers des plans stratégiques
et des politiques. En l’absence de politiques et de règles formalisées pour le management, les
organisations, manquant d’orientations à suivre, peuvent devenir inefficientes.
L’informatisation étant essentiel pour la plupart des organisations, il faut que les principes qui
régissent tous les aspects soient clairement définis, et approuvés par la direction générale, que
le conseil les avalise et qu’ils soient communiqués au personnel. En fonction de la taille de
l’organisation et de son niveau d’informatisation, il peut être parfois nécessaire de formuler de
nombreuses politiques différentes. Pour les organisations plus petites, une seule politique peut
suffire, tant qu’elle couvre tous les aspects concernés. Les organisations plus grandes auront
souvent besoin de politiques plus détaillées et plus spécifiques.
Les politiques peuvent par exemple inclure :
- Une politique générale sur le niveau de sécurité et le respect de la vie privée pour
l’ensemble de l’organisation. Cette politique doit être cohérente avec l’ensemble des
législations nationales et internationales en vigueur et doit spécifier le niveau de contrôle
et de sécurité requis en fonction du niveau de sensibilité du système et des données
traitées.
- Une politique sur la classification des données et les droits d’accès applicables selon
celle-ci. Elle doit également définir les limitations quant à l’utilisation de ces données
par les personnes habilitées.
28 | P a g e
- Une définition des concepts de propriété des systèmes et des données, ainsi que de
l’habilitation nécessaire pour créer, modifier ou supprimer les données. Il peut s’agir
d’une politique générale qui définit dans quelles mesures les utilisateurs peuvent créer
leurs propres applications.
- Des politiques de ressources humaines qui définissent les conditions de travail dans les
domaines sensibles et en vérifient la bonne application. Il peut s’agir d’examiner en
détail les informations concernant des candidats à l’embauche avant de les accueillir
dans l’organisation, et de faire signer aux employés des accords par lesquels ils
acceptent la responsabilité pour le niveau de contrôle, de sécurité et de confidentialité
requis. Typiquement, cette politique peut également détailler les procédures
disciplinaires correspondantes.
- La définition des exigences en matière de plans de continuité d’activité, en veillant à
ce que tous les aspects de l’activité, soient pris en compte dans l’éventualité d’une panne
ou d’un sinistre
Il est donc important pour chaque entreprise :
- De créer une véritable fonction informatique rattachée à la direction générale, de façon
à intégrer l’informatique dans la réflexion stratégique de l’entreprise ;
- De créer une structure de concertation entre la direction générale, la direction
informatique et les utilisateurs, qui soit chargée de déterminer la stratégie de
l’information, la configuration du système, les priorités, qui se traduisent par un
véritable « plan informatique » ;
- que la fonction informatique définisse l’ensemble des procédures qui assurent la fiabilité
de l’ensemble du système.
2.2.2- L’organisation et management
L’organisation et le management jouent un rôle clé dans l’ensemble du système de contrôle des
systèmes d’information, comme dans tous les aspects de la vie d’une organisation. Une
structure adéquate permet la définition de rattachements hiérarchiques et de responsabilité ainsi
que la mise en place de systèmes de contrôle efficaces. Les principaux contrôles clés qui sont
habituellement mis en place sont la séparation des tâches incompatibles, les contrôles financiers
et la gestion du changement17.
17
GTAG 1 « Les contrôles et le risque des systèmes d’information », 2ème édition, p.26
29 | P a g e
Séparation des tâches : la séparation des tâches est un élément crucial de nombreux contrôles.
Une organisation doit être structurée de sorte que tous les aspects du traitement des données ne
reposent jamais sur une seule personne. Les fonctions d’émission, d’autorisation, de saisie, de
traitement et de vérification des données doivent être séparées afin qu’aucun individu ne puisse
être à l’origine d’une erreur ou d’une omission ou de toute autre irrégularité et l’autoriser et/ou
en masquer les preuves. Les contrôles de séparation des tâches concernant les applications sont
mises en place par l’octroi d’accès privilégiés en fonction des exigences du poste en termes de
traitement et d’accès aux données. Ce contrôle prévoit des restrictions qui empêchent les
exploitants d’accéder aux programmes, systèmes ou données de production ou de les modifier.
De même, les développeurs doivent avoir peu de contacts avec les systèmes de production. On
obtiendra une séparation des tâches adéquate en assignant des rôles différents lors des processus
de mise en production et de changement. Dans les grandes organisations, il faut procéder de la
même manière pour de nombreuses fonctions si l’on veut que la séparation des tâches soit
adéquate.
Contrôles financiers : étant donné que les organisations réalisent des investissements
considérables dans les systèmes d’information, des contrôles d’ordre budgétaire et financier
sont nécessaires pour s’assurer qu’ils aboutissent au retour sur investissement ou aux économies
annoncés. Il convient de mettre en place des procédures de gestion permettant de recueillir,
d’analyser et de rendre compte de ces aspects.
Gestion du changement18 : les procédures de gestion du changement s’assurent que les
modifications apportées à l’environnement, aux logiciels, aux applications et aux données
doivent permettre de respecter une bonne séparation des tâches, d’assurer le bon
fonctionnement des changements, d’empêcher l’exploitation de ces changements à des fins
frauduleuses. Une faiblesse dans la gestion du changement pourrait sérieusement impacter le
système et le service disponibles.
2.2.3- Les contrôles physiques et environnementaux

Les équipements informatiques représentent un investissement considérable pour de
nombreuses organisations. Il faut donc les protéger des pertes ou dégradations accidentelles ou
délibérées. Bien que les équipements communément utilisés de nos jours soient conçus pour
être simples d’utilisation dans un environnement de bureau normal, leur valeur pour
18
GTAG 2 « Contrôles de la gestion du changement et des patchs : un facteur clé de la réussite pour toute
organisation », 2ème édition.
30 | P a g e
l’organisation, le coût et la vulnérabilité des applications qui font fonctionner les processus de
l’organisation peuvent être significatifs.
2.2.4- Les contrôles des logiciels systèmes
Les logiciels système permettent aux applications et aux utilisateurs d’exploiter l’équipement
informatique. Il s’agit de systèmes d’exploitation de logiciels de gestion de réseau et de
transmission, de pare-feu, d’antivirus ou encore de système de gestion de bases de données
(SGBD).
Les systèmes de logiciels peuvent s’avérer extrêmement complexes et s’appliquer à différents
éléments et à des appareils au sein des systèmes et de l’environnement réseau. Bien que les
systèmes de certaines applications possèdent leur propre système de contrôle des accès et
pourraient alors fournir un accès à des utilisateurs non autorisés pour rentrer dans le système,
les paramétrages techniques permettent un contrôle des accès logiques aux applications. Ils
permettent également de renforcer la séparation des tâches et s’appliquer aux contrôles
d’intégrité des données à travers les listes de contrôles d’accès, des filtres et des connexions19.
2.2.5- Le contrôle de l’acquisition et de développement des systèmes.
Les organisations adoptent rarement une méthodologie unique pour tous les projets de
développement de systèmes. La méthodologie retenue doit correspondre au contexte particulier
à chaque projet. Certains points de contrôle de base doivent être traités dans toutes les activités
d’acquisition et de développement de systèmes. Par exemple :
- Les besoins des utilisateurs doivent être formalisés, et leur satisfaction mesurée.
- La conception des systèmes doit suivre une procédure formelle qui permet de s’assurer
que les besoins des utilisateurs et les contrôles sont bien intégrés dans le système.
- Le développement des systèmes doit être mené de manière structurée, afin que les
besoins et les spécifications requis soient bien pris en compte dans le produit final.
- Les tests doivent vérifier que les différentes composantes du système opèrent de la façon
requise, que les interfaces fonctionnent comme prévu, que les utilisateurs participent au
processus de test et que les fonctionnalités attendues sont bien présentes.
- Les procédures de maintenance des applications doivent permettre de s’assurer que tous
les changements apportés aux applications répondent à un schéma de contrôle
homogène. La gestion des changements doit faire l’objet de procédures structurées de
validation de l’assurance.
19
GTAG 6 « Gérer et auditer les vulnérabilités des technologies de l’information ».
31 | P a g e
Section 3 : Impact de l’informatique sur la conduite d’une mission

d’audit
Le développement et l’accélération du système d’information ont conduit les auditeurs
financiers, à s’interroger sur la validité de l’approche et les outils traditionnels de l’audit
financier, à adapter progressivement leur démarche et surtout à développer de nouveaux
moyens de vérification.
En effet, l'existence d'un environnement informatique ne modifie pas l'objectif et l'étendue de

la mission d’audit financier.
Afin de répondre aux nouvelles exigences imposées par cet environnement, l’auditeur est
astreint à revoir sa méthodologie d’audit et compléter sa formation dans le domaine de l’audit
informatique de façon à prendre en considération les risques induits par les systèmes
informatiques et leur impact sur le dispositif du contrôle interne.
Nous traitons au niveau de cette section :
- Les compétences requises pour l’auditeur financier ;

- La méthodologie d’audit financier.
3.1. Les compétences requises pour l’auditeur financier

L’impact des nouvelles technologies sur les aptitudes et les compétences nécessaires de
l’auditeur financier est certain. En effet, ce nouveau cadre d’intervention exige de sa part et
d’une façon continue, de nouvelles aptitudes et compétences pour faire face à la complexité, de
plus en plus croissante, des environnements informatiques. Ceci n'écarte pas la possibilité du
recours à des spécialistes en cas de besoin.
En effet, la nature des compétences requises au sein du cabinet dépendra de plusieurs éléments :
- L’organisation du cabinet et en particulier sa structure et son effectif :

- La typologie de la clientèle, la taille des entreprises auditées, les spécificités de leur
exploitation la complexité de leur système d’information sont des critères déterminants
quant aux besoins en compétences informatiques au sein du cabinet.
- La nature des missions : missions légales ou contractuelles, audit, conseil, expertise.
En fonctions de ces critères, différentes solutions peuvent être retenues pour développer les
compétences nécessaires à l’audit en milieu informatisé.
32 | P a g e
3.1.1- La formation des auditeurs aux techniques informatiques

Dans un environnement fortement marqué par les nouvelles technologies de l’information et de
la communication, l’intervention d’une personne ayant des connaissances informatiques est
nécessaire.
Par ailleurs, les nouvelles technologies de l’information et de la communication exigent de

l’auditeur d’avoir une compétence et une expérience à la hauteur des difficultés rencontrées et
de l'efficacité requise ; la formation permanente en séminaires et sur le terrain doit constituer
un investissement important et d’une recherche permanente des méthodes et techniques
nouvelles et mieux adaptées.
L’auditeur financier doit veiller à avoir un niveau minimum de formation pour qu’ils soient en
mesure d’intégrer un environnement informatisé.
3.1.2- La composition d’une équipe mixte

Il est souhaitable que la mission d’audit soit menée par une équipe mixte composée du
responsable de la mission d’audit et d’un auditeur plus spécialisé en matière informatique pour
faire face à la complexité des systèmes d’information de l’entreprise auditée.
La perception des choses et les questions posées par chacun des membres sont généralement
très profitables à l’équipe. De même la revue macroscopie des domaines couverts par
l’informatique sera plus bénéfique si elle est réalisée en commun par cette équipe mixte, plutôt
que par l’un ou l’autre des intervenants.
3.1.3- Le recours à des spécialistes externes

Lorsqu’une expertise dans un domaine autre que la comptabilité ou l’audit est nécessaire pour
recueillir des éléments probants suffisants et appropriés, l’auditeur doit déterminer s’il convient
de recourir aux services d’un expert qu’il désigne20.
Dans ce cas, l’auditeur doit prendre en compte à certaines règles détaillées ci-après :
La compétence du spécialiste : quand l’auditeur compte utiliser le travail d’un spécialiste, il

doit assurer que celui-ci possède la compétence suffisante en vérifiant ses qualifications
professionnelles, son autorisation d’exercer ou tout autre signe de reconnaissance de sa
compétence
20
La norme internationale d’audit N°620 : « Utilisation des travaux d’un expert désigné par l’auditeur », IFAC.
33 | P a g e
L’objectivité du spécialiste : l’auditeur doit prendre en considération toutes les circonstances

pouvant affecter l’objectivité de l’expert. Le risque de manque d’objectivité est plus élevé si le
spécialiste est employé par l’entité auditée ou a avec elle une liaison directe ou indirecte.
En règle générale, il vaut mieux faire appel à un spécialiste indépendant de l’entité auditée et
par conséquent plus objectif mais, si les circonstances l’exigent, on peut envisager d’utiliser le
travail d’un membre du personnel de la société auditée, à condition que celui-ci possède la
compétence requise. Dans ce dernier cas, il est plus judicieux de mettre en œuvre des procédures
plus approfondies pour vérifier les hypothèses, les méthodes ou les conclusions du spécialiste
employé par la société.
Définition des termes de l’intervention du spécialiste : l’auditeur doit préciser clairement au

spécialiste les conditions de son intervention et ce, en indiquant notamment l’objectif et
l’étendue de ses travaux, les points spécifiques à traiter dans le rapport, l’utilisation que compte
faire l’auditeur de ses travaux, les limites éventuelles d’accès aux documents et aux dossiers
nécessaires, etc.
De son côté le spécialiste a la responsabilité de :
- Comprendre la portée de son travail sur l’ensemble de l’audit

- Porter rapidement à la connaissance du personnel d’audit approprié toutes les
conclusions pouvant avoir une incidence significative ou devant être communiquées à
la direction de l’entreprise.
Ceci englobe l’assurance que les travaux du spécialiste constituent des éléments probants
appropriés au regard de l’information financière et ce, en examinant l’adéquation de la
démarche suivie et la suffisance, la pertinence et la fiabilité des données utilisées pour aboutir
aux conclusions formulés.
Bien que ce soit au spécialiste de garantir la pertinence et la vraisemblance de ses hypothèses

et de ses méthodes, l’auditeur doit comprendre comment il les met en œuvre, afin de déterminer
si elles sont raisonnables et identiques à celles qui ont été précédemment appliquées. L’auditeur
se basera sur sa connaissance des activités de l’entreprise ainsi que du résultat des autres
procédures d’audit.
Référence à l’expert désigné par l’auditeur dans le rapport d’audit : lorsque l’auditeur émet
une opinion pure et simple, il doit éviter de faire allusion dans son rapport de l’intervention du
spécialiste car elle peut être interprétée comme une réserve ou comme un partage de
34 | P a g e
responsabilité. Dans le cas contraire, si le rapport ou les conclusions du spécialiste amènent

l’auditeur à émettre des réserves dans son rapport d’audit, il peut être utile d’en expliquer les
raisons en faisant référence au travail du spécialiste et ce, avec l’accord de ce dernier et en citant
son nom.
3.2. La méthodologie d’audit financier

L’auditeur doit considérer l’importance et la complexité des systèmes et de l’environnement
informatique. Il doit prendre en compte d’autres paramètres lors de sa planification à savoir les
nouveaux risques inhérents et les risques de non contrôle associés aux traitements informatisés.
3.2.1- Orientation et planification de la mission

La phase « Orientation et planification de la mission » conduit à l’élaboration du plan de mission
et implique la prise en compte du système d’information de l’entreprise.
L’appréciation de l’incidence de l’environnement informatique nécessite :
- la prise de connaissance de l’informatique dans l’entreprise et de son incidence sur la

production des informations financières et comptables,
- l’identification des principales composantes du système d’information et de son niveau
de complexité.
Prise de connaissance de l’informatique dans l’entreprise : elle consiste à collecter des

informations sur les systèmes et les processus informatiques de l’entreprise et à en conclure
leur incidence sur les procédures d’élaboration des comptes.
Description du système d’information de l’entreprise : dans un environnement informatique

l’auditeur doit acquérir une connaissance de cet environnement et détermine si celui-ci peut
influencer l’évaluation du risque inhérent et l’évaluation du risque lié au contrôle
La description du système d’information de l’entreprise consiste à :
 formaliser la cartographie des applications,
 apprécier le degré de complexité du système d’information,
 identifier les processus à analyser, utiles aux objectifs de l’audit.
3.2.2- Evaluation des risques
L’objectif de l’évaluation des risques est de mesurer l’impact de l’environnement informatique
sur le risque inhérent et le risque lié au contrôle.
Les travaux consistent à évaluer les risques en tenant compte de l’identification des risques
potentiels et du système de contrôle interne mis en place par l’entreprise, et à en compléter la
35 | P a g e
nature et l’étendue des contrôles à mener, afin de maintenir le risque d’audit à un niveau faible
acceptable.
Incidence de l’environnement informatique sur le risque inhérent : l’incidence de

l’environnement informatique sur le risque inhérent s’apprécie au regard des éléments suivants :
 la conception et l’acquisition des solutions informatiques,

 la distribution et le support informatique,
 la gestion de la sécurité,
 la gestion des projets informatiques.
Les caractéristiques de l’environnement informatique d’une entreprise peuvent entraîner un
risque inhérent élevé et avoir une conséquence à terme sur la continuité d’exploitation.
Incidence de l’environnement informatique sur le risque lié au contrôle : elle est appréciée à
travers l’étude des processus et des applications nécessaires pour l’établissement des comptes
de l’entreprise.
La fiabilité des contrôles mis en place par l’entreprise permet d’alléger les contrôles sur les
comptes en apportant une assurance suffisante sur la fiabilité des données.
Conclusion
Il existe un nombre important de risques dont les conséquences s’appliquent à des domaines
très différents dans l’entreprise : les métiers et les relations avec les parties prenantes.
Les risques liés à l’informatique sont ceux qui surviennent lors du passage à l’informatique
ainsi que ceux à gérer tout au long de la vie de l’entreprise. Ils ne sont pas circonscrits au seul
périmètre des systèmes d’information et sont transversaux puisque l’informatique est au cœur
de la chaine de valeur de l’entreprise.
Pour faire face aux risques liés à l’informatique, l’entreprise est tenue de mettre en œuvre des
procédures de contrôle adéquates afin de remédier ces risques. Le référentiel CobiT se
positionne parmi les référentiels de la gouvernance des systèmes d’informations.
36 | P a g e
2ème chapitre : CobiT un référentiel d’audit des systèmes

d’information
Les dirigeants ont de plus en plus conscience de l'impact significatif de l'information sur le
succès de l'entreprise. Ils s'attendent à ce que l'on comprenne de mieux en mieux comment sont
utilisées les technologies de l'information et la probabilité qu'elles contribuent avec succès à
donner un avantage concurrentiel à l'entreprise.
Pour réussir, la gouvernance d’entreprise et celle des technologies de l’information ne doivent

plus être considérées comme des disciplines séparées et distinctes.
Les Objectifs de Contrôle de l’Information et des Technologies Associées (CobiT) aident à faire
face aux multiples besoins du management en établissant des liens entre les risques métiers, les
besoins de contrôle et les questions techniques.
Section 1 : Présentation du référentiel

Le fonctionnement de la majorité des grandes entreprises, aujourd'hui, repose complètement
sur le traitement de l'information. C’est dans un souci de transparence des informations que les
systèmes d’information se sont développés et que leur contrôle est devenu incontournable. Il
est vital, pour leur avenir, que leur système d'information soit en cohérence avec les objectifs
et la stratégie globale de l'entreprise. Les dirigeants souhaitent finalement que les SI apportent
de la valeur et de la performance dans l’organisation21.
Le CobiT est un outil puissant qui a été conçu pour œuvrer dans ce sens. Dans cette section,
nous mettons l’accent sur l’historique de l’apparence du référentiel CobiT, ainsi que son apport
en matière de la gouvernance des IT dans sa nouvelle version cinq.
1.1- Historique du CobiT

CobiT est le résultat des travaux collectifs réalisés par les principaux acteurs de la profession,
auditeurs internes ou externes, fédérés au sein de l’ISACA.
Dans ses premières versions, publiées à partir de 1996, CobiT se positionne comme un
référentiel de contrôle dont l’objectif est d’aider les entreprises à évaluer et à améliorer leur
système de contrôle interne22.
21
Monique Garsoux « CobiT-une expérience pratique » la revue n°78- Mars 2005, p.1
22
MOISAND DOMINIQUE, GARNIER DE LABAEYRE « CobiT - Pour une meilleure gouvernance des
systèmes d'information », 2ème édition, p.3
37 | P a g e
En 1998, l’ITGI a été créé sur l’initiative de l’ISACA, en réponse à la place de plus en plus
importante occupée par les technologies de l’information. En effet, dans la plupart des
organisations ou des entreprises, l’un des principaux facteurs de succès réside dans la capacité
des systèmes d’information à apporter à la fois la différenciation stratégique et le support des
activités. Dans un tel contexte, la « gouvernance » des systèmes d’information devient aussi
critique que la gouvernance d’entreprise.
Depuis une dizaine d’années, l’ITGI a mené de nombreuses recherches au travers de groupes
de travail répartis dans le monde entier. Le résultat de ces recherches a notamment donné lieu
en 2000 à la publication de la version trois du référentiel CobiT proposant, parallèlement à un
« guide d’audit », un « guide de management » préfigurant les versions ultérieures.
CobiT 5 établit la nouvelle génération d’orientations de l’ISACA sur la gouvernance et la

gestion des IT de l’entreprise. Il fournit un référentiel complet qui aide les entreprises à
atteindre leurs objectifs. En bref, il aide les entreprises à tirer le maximum des IT en maintenant
l’équilibre entre la réalisation de bénéfices, l’optimisation des niveaux de risque et l’utilisation
des ressources. Il tient compte de toutes les activités de l’entreprise et des domaines
fonctionnels des IT et prend en considération les intérêts des parties prenantes tant internes
qu’externes23.
Les objectifs majeurs du développement de CobiTT 5 comprennent la nécessité de :
- Permettre aux parties prenantes d’exprimer davantage leurs attentes concernant

l’information, les technologies associées et leurs priorités tout en s’assurant que la
valeur attendue soit effectivement livrée. Certains voudront des rendements à court
terme, tandis que d’autres viseront la durabilité. De plus, ces intervenants veulent non
seulement participer davantage, mais souhaitent aussi obtenir plus de transparence dans
le processus décisionnel et dans la communication des résultats obtenus.
- Traiter la dépendance croissante de la réussite de l’entreprise envers des entreprises
extérieures et des fournisseurs d’IT comme des sous-traitants, des fournisseurs, des
consultants, des clients, ainsi qu’envers un ensemble diversifié de moyens et de
mécanismes internes pour créer la valeur attendue.
- Traiter la quantité d’information, qui a augmenté de manière significative.
L’information doit également être gérée efficacement.
23
ISACA : « CobiT 5 », p.17
38 | P a g e
- Fournir des orientations dans le domaine de l’innovation et des nouvelles technologies ;

il s’agit de créer, d’inventer, de concevoir de nouveaux produits, de rendre les produits
existants plus attrayants aux yeux des clients et d’atteindre de nouveaux types de clients.
- Couvrir l’ensemble de l’entreprise et les responsabilités fonctionnelles des IT, de même
que tous les aspects qui conduisent à une gouvernance et à une gestion efficaces des IT
de l’entreprise, telles que les structures organisationnelles, les politiques et la culture,
au-delà des processus.
- Obtenir un meilleur contrôle de l’accroissement des IT initiées et contrôlées par
l’utilisateur.
En résumant, CobiT 5 assure à l’entreprise :
- La création de valeur grâce à l’utilisation efficace et innovante des IT de l’entreprise ;

- La satisfaction de la clientèle utilisatrice envers les engagements et les services des IT ;
- Le respect des lois applicables, des règlements, des accords contractuels et des
politiques internes ;
- Une meilleure correspondance entre les besoins d’affaires et les objectifs des IT.
Ainsi, CobiT 5 couvre l’entreprise dans son ensemble et fournit une base pour intégrer d’autres
référentiels, normes et pratiques dans un référentiel unique.
1.2- L’apport du CobiT en matière de gouvernance de TI

En tant que référentiel de la gouvernance des systèmes d’information, le périmètre de CobiT
dépasse celui dévolu à la direction des systèmes d’information pour englober toutes les parties
prenantes dans l’entreprise. Ainsi, selon CobiT, « la gouvernance des systèmes d’information
est de la responsabilité des dirigeants et du conseil d’administration, elle est constituée des
structures et processus de commandement et de fonctionnement qui conduisent l’informatique
de l’entreprise à soutenir les stratégies et les objectifs de l’entreprise, et à lui permettre de les
élargir 24».
CobiT prend en compte les besoins des métiers, et plus généralement des parties prenantes.
Le référentiel CobiT est une proposition qui pourra être revue pour s’adapter à la cartographie
propre de l’organisation considérée. Il s’attache aux cinq axes :
- L’alignement stratégique ;
24
AFAI : « CobiT 4.1 », p.5
39 | P a g e
- L’apport de valeur ;
- La gestion des ressources ;
- La gestion des risques ;
- La mesure de la performance.
L’alignement stratégique : les activités informatiques prennent de plus en plus d’importance

dans le fonctionnement de l’entreprise. Par alignement stratégique, il faut donc entendre la
capacité à fournir les services souhaités en temps avec le niveau de qualité requis.
L’apport de valeur : l’informatique doit également pouvoir apporter un gain identifiable dans
la bonne exécution des processus. L’apport de valeur se concrétise par la maîtrise des processus
de fonctionnement en termes d’efficacité et d’efficience.
La gestion des ressources : les ressources pour mesurer l’activité informatique doivent être
optimales pour répondre aux exigences.
Les ressources technologiques font partie du périmètre et donneront lieu à un plan
d’infrastructure. Celui-ci traitera des orientations technologiques, des acquisitions, des
standards et des migrations. Dans ce cas, la responsabilité du métier consiste à exprimer ses
besoins.
La gestion des risques : l’activité cœur de métier de l’entreprise peut être mise en péril en cas
d’arrêt ou de dysfonctionnement de ses systèmes informatiques, car la dépendance des
processus métier envers l’informatique est totale. La gestion des risques informatiques ou des
systèmes d’information correspond à un référentiel qui comprend une analyse de risque et un
plan de traitement des risques associé. Ce plan de traitement des risques doit être établi selon
des critères de tolérance par rapport au préjudice financier lié à la réalisation des risques.
La mesure de la performance : la mesure de la performance répond aux exigences de
transparence et de compréhension des coûts, des bénéfices, des stratégies, des politiques et des
niveaux de services informatiques offerts conformément aux attentes de la gouvernance des
systèmes d’information. CobiT tente de faire le lien entre les objectifs de la gouvernance et les
objectifs à décliner sur les processus ou les activités. Ce faisant, on crée du lien et on donne du
sens aux objectifs de performance des SI comme support aux métiers.
Section 2 : Les processus du CobiT 5

CobiT 5 définit et décrit en détail un certain nombre de processus de gouvernance et de gestion.
Il représente tous les processus qui se trouvent normalement dans une entreprise en matière
d’activités liées aux IT, fournissant un modèle de référence commun compréhensible par les
40 | P a g e
gestionnaires des opérations des IT et des lignes d’affaires. Le modèle de processus proposé en
est un global et complet, mais il ne s’agit pas du seul modèle de processus possible. Chaque
entreprise doit définir son propre ensemble de processus en tenant compte de sa situation
particulière.
L’intégration d’un modèle opérationnel et d’un langage commun pour toutes les parties de
l’entreprise participant aux activités des IT est l’une des étapes les plus importantes et critiques
menant à une bonne gouvernance. Elle fournit également un référentiel pour évaluer et
surveiller la performance des IT, auditer les IT, communiquer avec les fournisseurs de services
et intégrer des meilleures pratiques de gestion.
Le modèle de référence de CobiT 5 divise l’ensemble des processus de l’entreprise en deux

fonctions :
- Gouvernance : contient cinq processus pour lesquels des pratiques d’évaluation, de

direction et de surveillance (EDM) sont définies.
- Gestion : contient quatre domaines en lien avec la planification, la création, l’exécution
et la surveillance (PCES) et fournit une couverture des IT de bout en bout.
CobiT 5 préconise que les organisations mettent en œuvre des processus de gouvernance et de
management de façon à couvrir les domaines clés comme indiqué.
Besoins d’affaires
Gouvernance Evaluer
Diriger Rétroaction de la gestion Surveiller
Gestion
Planifier Créer Exécuter Surveiller

(APO) (BAI) (LSS) (SEM)
Figure n°4 : Zones clés de gouvernance et de gestion de CobiT 5 25

41 | P a g e
2.1- Processus de gouvernance des TI

Le domaine de gouvernance contient cinq processus de gouvernance, au sein de chaque
processus, l'évaluation, la direction et le suivi des pratiques sont définis :
- EDM1 : définir et maintenir le cadre de gouvernance

- EDM2 : assurer l'optimisation de la valeur
- EDM3 : assurer l'optimisation des risques
- EDM4 : assurer l'optimisation des ressources
- EDM5 : assurer la transparence des parties prenantes
2.1.1- Définir et maintenir le cadre de gouvernance : EDM1

Description : analyser et articuler les exigences de la gouvernance des technologies de
l'information de l'entreprise, mettre en place et maintenir des structures, processus et pratiques
opérationnelles, définissant clairement les responsabilités et autorités afin d'accomplir les
missions de l'entreprise, d'atteindre ses buts et objectifs
But : fournir une approche cohérente intégrée et alignée avec l’approche de gouvernance de
l’entreprise. Assurer que les décisions concernant l'informatique sont prises en lien avec les
stratégies et les objectifs de l’entreprise
2.1.2- Assurer l'optimisation de la valeur : EDM2

Description : optimiser la valeur produite par les processus métiers, les services et les
équipements informatiques résultant d'investissements fait par les directions informatiques à
des coûts acceptables.
But : Garantir une production de valeur optimale par les initiatives, services et actifs
informatiques, une fourniture de solutions et de services rentables, une présentation fiable et
précise des coûts et gains probables de sorte que les besoins métiers soient pris en charge de
manière efficace.
25
CobiT 5, figure 16
42 | P a g e
2.1.3- Assurer l'optimisation des risques : EDM3
Description : assurer que l'appétence et la tolérance aux risques de l'entreprise est compris,
cohérent et communiqué et que ces risques associés à l'informatique impactant la production de
valeur sont identifiés et gérés.
But : s’assurer que les risques d’entreprise liés à l'informatique ne dépassent pas l’appétence et
la tolérance au risque, que l’impact des risques liés à l'informatique sur la valeur de l’entreprise
est connu et géré, et que les risques de non-conformité sont minimisés.
2.1.4- Assurer l'optimisation des ressources : EDM4

Description : assurer que les moyens informatiques adéquats et suffisants (personnels,
processus et technologique) sont disponibles pour contribuer à l'atteinte des objectifs de
l'entreprise à des coûts optimaux.
But : veiller à ce que les besoins en ressources de l’entreprise soient satisfaits de manière
optimale, que les coûts informatiques soient optimisés et qu’il y ait une augmentation de la
probabilité de réalisation de bénéfices ainsi qu’une plus grande aptitude au changement.
2.1.5- Assurer la transparence des parties prenantes : EDM5

Description : assurer que les mesures et le reporting sur la performance et la conformité de
l'informatique d'entreprise sont transparents et que les parties prenantes approuvent les
objectifs, métriques et actions correctives nécessaires.
But : s’assurer que la communication aux parties prenantes est efficace et faite au moment
opportun, que la structure est établie pour accroître la performance, pour identifier les axes
d'amélioration et pour confirmer que les objectifs et les stratégies liées à l'informatique sont en
ligne avec la stratégie d’entreprise.
2.2- Processus de gestion des IT

Les quatre domaines de management, conformément aux domaines de responsabilité du
modèle : planification, création, exécution et surveillance (PCES), fournissent une couverture
de bout en bout de l’informatique :
- APO : Aligner, Planifier et Organiser

- BAI : Bâtir, Acquérir et Implanter
- LSS : Livrer, Servir et Soutenir
- SEM : Surveiller, Evaluer et Mesurer
43 | P a g e
2.2.1- Aligner, Planifier et Organiser : APO

Ce domaine contient treize processus :
- Gérer le cadre informatique : APO1
Description : clarifier et maintenir la mission et la vision de la gouvernance de l'informatique
d'entreprise. Implémenter et maintenir les mécanismes et autorités de gestion de l'information
et d'usage de l'informatique dans l'entreprise, conformément aux objectifs de gouvernance
cohérents avec les principes et politiques de guidance.
But : fournir une approche de gestion cohérente pour permettre l’atteinte des exigences de
gouvernance de l’entreprise, couvrant les processus de gestion, les structures
organisationnelles, les rôles et les responsabilités, les activités fiables et reproductibles, ainsi
que les compétences et les aptitudes.
- Gérer la stratégie : APO02

Description : fournir une vue holistique de l'environnement métier et informatique, des
orientations et des initiatives nécessaires pour transformer cet environnement. Influencer les
blocs et composants de l'architecture de l'entreprise, y compris les services et moyens externes
pour permettre l'émergence de réponses agiles, fiables et efficaces aux objectifs stratégiques.
But : aligner les plans stratégiques informatiques aux objectifs métiers. Communiquer
clairement les objectifs et les responsabilités associées afin qu’elles soient comprises par tous,
en identifiant les options informatiques stratégiques, en les structurant et en les intégrant aux
plans métiers.
- Gérer l’architecture de l’entreprise : APO03

Description : mettre en place une architecture commune constituée de processus métiers,
d'information, de données, de couches applicatives, de mise à disposition de technologies pour
réaliser concrètement et efficacement les stratégies de l'entreprise et de l'informatique au travers
de modèles et de pratiques essentiels décrivant les architectures existantes et cibles. Définir les
exigences en termes de taxinomie, normes, directives, procédures, modèles documentaires et
outils. Fournir un schéma de relation entre ces composants. Améliorer l'ajustement, accroitre
l'agilité, améliorer la qualité de l'information et lancer des initiatives permettant des économies
potentielles telles que la réutilisation d'ensembles de composants.
But : représenter les différentes entités constitutives de l'architecture de l’entreprise ainsi que
leurs interrelations, les principes directeurs de leur conception, de leur évolution au fil du temps,
44 | P a g e
et de ce qui permet une réponse standard, adaptée et efficace des objectifs opérationnels et
stratégiques.
- Gérer l’innovation : APO04

Description : maintenir une veille sur les tendances en matière de technologies de l'information
et de services associés, identifier les opportunités d'innovation et planifier comment bénéficier
de l'innovation en relation avec les besoins métiers. Etudier les opportunités d'innovation métier
ou les opportunités d'amélioration qui peuvent naître des technologies émergentes, de
l'innovation dans les services ou métiers liés à l'informatique aussi bien que des technologies
actuelles ou des innovations concernant les processus métiers ou informatiques.
But : avoir un avantage concurrentiel, être innovant et améliorer l’efficacité opérationnelle en

exploitant l’évolution des technologies de l’information.
- Gérer le portefeuille de services : APO05

Description : suivre les directives stratégiques fixées pour l'investissement conformément à la
vision d'entreprise en termes d'architecture, de types d'investissements et de portefeuilles de
services. Prendre en compte les différentes catégories d'investissement en fonction des
contraintes de ressources et de financement. Evaluer, prioriser et équilibrer les programmes et
services en gérant les demandes en fonction de ces contraintes, de l'alignement sur les objectifs
stratégiques, de la rentabilité et du risque pour l'entreprise. Mettre les programmes choisis dans
le portefeuille de services pour le lancer. Piloter la performance de l'ensemble du portefeuille
de services et de programmes, proposant les ajustements nécessaires en fonction de ces
performances ou des changements de priorités de l'entreprise.
But : optimiser la performance de l’ensemble du portefeuille de programmes en fonction de la

performance des programmes et des services et de l’évolution des priorités et des demandes de
l’entreprise.
- Gérer les budgets et les coûts : APO06

Description : gérer les activités financières relatives à l'informatique dans les fonctions métier
et informatiques, incluant la gestion des budgets, des coûts et bénéfices, la priorisation des
dépenses en utilisant des pratiques budgétaires formelles et un système d'allocation des coûts
clair et équitable. Consulter les parties prenantes pour identifier et contrôler le total des coûts
et gains dans le contexte des planifications stratégiques et tactiques. Initier les actions
correctives nécessaires.
45 | P a g e
But : favoriser le partenariat entre les parties prenantes de l'informatique et de l’entreprise afin
de permettre une utilisation efficace des ressources informatiques et d’assurer la transparence
et la responsabilisation en matière de coûts et de valeur des solutions et des services. Permettre
à l’entreprise de prendre des décisions éclairées quant à l’utilisation de solutions et de services
informatiques.
- Gérer les ressources humaines : APO07

Description : fournir une approche structurée pour assurer que les ressources humaines sont
optimisées en termes d'organisation, d'affectation, de droits et de compétences. Ceci comprend
la communication des rôles et responsabilités définies, des plans de formations et des objectifs
de performance par des personnels compétents et motivés
But : optimiser les capacités des ressources humaines pour atteindre les objectifs d’entreprise.
- Gérer les partenariats : APO08

Description : gérer la relation entre les métiers et l'informatique de manière formalisée et
transparente pour assurer que l'on se focalise sur l'atteinte d'un but commun et partagé qui est
d'obtenir les résultats attendus par l'entreprise sur ses objectifs stratégiques, en respectant les
contraintes budgétaires et sa tolérance aux risques. Fonder la relation sur la confiance mutuelle
en utilisant un langage compréhensible et d'ouverture, un vocabulaire commun et une volonté
d'engagement et de prise de responsabilité sur les décisions clés.
But : générer des résultats attendus améliorés et une confiance accrue en l'informatique, rendre
plus efficace l'utilisation de ses ressources.
- Gérer les accords de service : APO09

Description : aligner les services informatiques disponibles ainsi que les niveaux de service
avec les besoins et attentes de l'entreprise. Ceci inclut l'identification, la spécification, la
conception, la publication, l'accord et le pilotage des services informatiques, des niveaux de
services et des indicateurs de performance.
But : s’assurer que les services et les niveaux de services répondent aux besoins actuels et futurs
de l’entreprise.
46 | P a g e
- Gérer les fournisseurs : APO10

Description : gérer les services informatiques fournis par tous types de fournisseurs pour
répondre aux exigences de l'entreprise. Ceci inclut la sélection des fournisseurs, la gestion de
la relation, des contrats, la revue et le pilotage des performances des fournisseurs en terme
d'efficacité et de conformité.
But : minimiser les risques liés aux fournisseurs non productifs et assurer des prix
concurrentiels.
- Gérer la qualité : APO11

Description : définir et communiquer les exigences qualité pour tous les processus, procédures
et résultats attendus. Ceci inclut les contrôles, les suivis, l'utilisation des pratiques et normes
éprouvées dans le cadre d'une amélioration continue et d'efforts d'efficacité.
But : assurer une livraison appropriée des solutions et des services pour répondre aux exigences
de qualité de l’entreprise et satisfaire les besoins des parties prenantes.
- Gérer les risques : APO12

Description : identifier, évaluer et réduire en permanence les risques associés à l'informatique
dans la limite de niveaux de tolérances fixés par la direction.
But : intégrer la gestion des risques informatiques dans la gestion globale des risques de
l’entreprise, puis équilibrer les coûts et gains de cette gestion de risques.
- Gérer la sécurité : APO13

Description : définir, appliquer et piloter un système de management de la sécurité.
But : maintenir l’impact et l’occurrence des incidents de sécurité de l’information dans les
limites de l’appétit de l’entreprise pour le risque
2.2.2- Bâtir, Acquérir et Implanter : BAI

Ce domaine contient dix processus :
- Gérer les programmes et les projets : BAI01
Description : gérer et coordonner tous les programmes et projets du portefeuille
d'investissement en accord avec la stratégie d'entreprise. Initier, planifier, contrôler le
déroulement des programmes et des projets.
47 | P a g e
But : réaliser des gains métiers et réduire les risques (de retards, de surcoûts et de dépréciation
inattendus) par l’amélioration de la communication, de l'implication des métiers et des
utilisateurs, par la garantie de la valeur et de la qualité des livrables du projet et par
l'optimisation de leur contribution au portefeuille d’investissement et de services.
- Gérer la définition des exigences : BAI02

Description : identifier les solutions et analyser les exigences de manière à s'assurer que les
acquisitions ou créations sont en phase avec les exigences stratégiques concernant les processus
métiers, les applications, l'information et les données, l'infrastructure et les services.
Coordonner, avec les parties prenantes désignées pour cela, la revue des options faisables (coûts
et gains associés, analyse des risques) pour valider les exigences et les solutions proposées.
But : créer des solutions optimales réalistes qui répondent aux besoins de l’entreprise tout en
minimisant les risques.
- Gérer l'identification des solutions et leur production : BAI03

Description : mettre en œuvre et maintenir les solutions identifiées en phase avec les exigences
de l'entreprise. Gérer la configuration, préparation des tests, les exigences, gérer la maintenance
des processus métiers, des applications, de l'information, des données, de l'infrastructure et des
services.
But : mettre en place des solutions en temps et en heure permettant de soutenir les objectifs
stratégiques et opérationnels de l’entreprise.
- Gérer la disponibilité et la capacité : BAI04

Description : gérer l'équilibre entre les besoins immédiats et futurs en termes de disponibilité,
performance et capacité avec les provisions budgétaires concernant les services. Prendre en
compte l'évaluation de la capacité actuelle, la prévision des besoins futurs basée sur les
exigences métiers, l'analyse des impacts métier et l'évaluation des risques pour planifier et
mettre en œuvre les actions visant à répondre aux exigences identifiées.
But : maintenir la disponibilité de service, une gestion efficace des ressources et l’optimisation
de la performance du système par la prévision des futurs besoins en capacité et en performance.
48 | P a g e
- Gérer l'aptitude organisationnelle au changement : BAI05

Description : maximiser la probabilité de succès dans l'implémentation rapide avec des risques
réduits de changements organisationnels couvrant le cycle de vie complet.
But : préparer et engager les parties prenantes dans les changements métiers et réduire le risque
d'échec.
- Gérer les changements : BAI06

Description : gérer tous les changements de manière contrôlée, que les changements soient
standards ou urgents, qu'ils concernent les processus métiers, les applications ou l'infrastructure.
But : permettre une conduite du changement métier rapide et fiable avec une prise en compte
des risques d’impact négatif sur la stabilité ou l'intégrité de l'environnement modifié.
- Gérer la conduite du changement : BAI07

Description : valider formellement et rendre les nouvelles solutions opérationnelles. Ceci inclut
la planification de l'implémentation, la transformation du système et des données, les tests de
validation, la communication, la préparation de version de mise à jour, la promotion des
processus métiers ou informatiques ajoutés ou modifiés, le support des débuts en production et
la revue post implémentation.
But : mettre en œuvre des solutions de façon sécuritaire et en lien avec les attentes partagées et
résultats attendus.
- Gérer les connaissances : BAI08

Description : maintenir la disponibilité des connaissances pertinentes, existantes, consolidées
et fiables pour supporter toutes les activités des processus et facilité la prise de décision.
But : fournir les connaissances requises pour soutenir le personnel dans ses activités courantes,
pour faciliter ses prises de décisions et pour augmenter sa productivité.
- Gérer les actifs : BAI09

Description : gérer les actifs informatiques tout au long de leur cycle de vie pour assurer que
leur utilisation produit de la valeur à un coût optimal, qu'ils restent opérationnels (adapté), qu'ils
sont justifié et protégé physiquement, que ceux qui sont critique au maintien de la capacité de
service sont fiables et disponibles. Gérer les licences pour assurer qu'un nombre optimal est
49 | P a g e
souscrit, que leur utilisation ou stock est conforme à l'usage métier et que les licences installées
le sont en conformité avec les contrats.
But : considérer tous les actifs informatiques et optimiser la valeur générée par ces actifs.
- Gérer la configuration : BAI10

Description : définir et maintenir les descriptions et les relations entre les ressources et capacités
clés pour la délivrance des services informatiques. Ceci inclut la collecte des données de
configurations, la définition de version de référence, la vérification et l'audit les données de
configuration et la mise à jour du référentiel.
But : fournir suffisamment d'information sur les actifs de service pour permettre une gestion
efficace du service, pour permettre d'évaluer les impacts des changements et faire face aux
incidents liés au service.
2.2.3- Livrer, Servir et Soutenir : LSS

Ce domaine contient six processus :
- Gérer la production : LSS01
Description : coordonner et exécuter les activités et procédures opérationnelles requises pour
délivrer les services informatiques. Ceci inclut l'exécution de procédure standard prédéfinie et
les activités de suivi nécessaires.
But : assurer le fonctionnement des services informatiques tels que planifié.
- Gérer les incidents et les demandes : LSS02

Description : fournir une réponse concrète et dans un certain délai aux demandes des utilisateurs
et à la déclaration d'incidents de tous types. Enregistrer les incidents, faire les investigations,
diagnostiques, et résolutions nécessaires.
But : améliorer la productivité et réduire les interruptions de service par un traitement rapide
des demandes et déclarations d'incident faites par les utilisateurs.
- Gérer les problèmes : LSS03

Description : identifier et classifier les problèmes et leur causes originelles. Fournir une
résolution dans les temps pour prévenir la récurrence des incidents. Fournir des
recommandations d'amélioration.
50 | P a g e
But : améliorer la disponibilité et les niveaux de service, réduire les coûts et améliorer la
satisfaction des clients en réduisant le nombre de problèmes opérationnels.
- Gérer la continuité : LSS04

Description : établir et maintenir un plan pour permettre aux métiers et à l'informatique de
répondre aux incidents et interruptions de service afin d'assurer la continuité des opérations
pour les processus métier critiques et les services informatiques nécessaires, et pour maintenir
la disponibilité de l'information à un niveau acceptable pour l'entreprise.
But : assurer la continuité des opérations critiques de l'entreprise et maintenir la disponibilité

de l'information à un niveau acceptable pour l'entreprise, même en cas d’interruption
significative.
- Gérer les services de sécurité : LSS05

Description : protéger l'information de l'entreprise afin de maintenir le risque sur la sécurité de
l'information à un niveau acceptable pour l'entreprise en accord avec la politique de sécurité.
Déterminer et maintenir les rôles sur la sécurité de l'information, les droites d'accès et réaliser
le suivi de la sécurité.
But : minimiser l'impact sur les activités métiers des vulnérabilités et des incidents liés à la
sécurité de l'information opérationnelle.
- Gérer le contrôle des processus métiers : LSS06

Description : définir et maintenir les contrôles des processus métiers appropriés pour assurer
que l'information relative aux processus métiers internes ou externalisés satisfait toutes les
exigences pertinentes de contrôle de l'information..
But : maintenir l'intégrité de l'information et la sécurité des actifs informationnels traités dans
le cadre des processus métiers internes ou externes.
2.2.4- Surveiller, Evaluer et Mesurer : SEM

Ce domaine contient trois processus :
- Piloter et évaluer la performance et la conformité : SEM01
Description : collecter, valider et évaluer les objectifs et indicateurs métiers, informatiques et
processus. Contrôler en continu que les processus fonctionnent en conformité avec les objectifs.
51 | P a g e
But : assurer la transparence de la performance et de la conformité, et diriger la réalisation des

objectifs.
- Piloter et évaluer le système de contrôle interne : SEM02

Description : contrôler et évaluer en continu l'environnement de contrôle. Ceci inclut l'auto-
évaluation et les revues indépendantes. Permettre au management d'identifier les défauts et
inefficacités de contrôle et d'initier des actions d'amélioration. Planifier, organiser et maintenir
les normes d'évaluation du contrôle interne et les activités de garantie.
But : garantir la transparence du système de contrôle interne pour les parties prenantes clés,
assurant ainsi la confiance quant à sa pertinence et dans les opérations et la réalisation des
objectifs de l'entreprise, et une compréhension adéquate du risque résiduel.
- Piloter et évaluer la conformité aux exigences externes : SEM03

Description : évaluer si les processus informatiques et les processus métiers supportés par
l'informatique sont conformes aux lois, réglementations et exigences contractuelles. Obtenir
l'assurance que les exigences ont été identifiées et sont cohérentes à tous les niveaux de
l'entreprise.
But : s'assurer que l'entreprise est en conformité avec toutes les exigences externes applicables.
Section 3 : CobiT pour l’audit
Le référentiel CobiT apporte deux éléments importants : d’une part, une structure partagée
entre les intervenants, d’autre part, un quadrillage, parfois trop systématique.
Cette structure permet à l’auditeur des états financiers dans un milieu informatisé de tester
le système d’information et de l’exploiter comme une check-list afin de préparer leurs
propres outils.
3.1- L’apport du CobiT
L’auditeur doit construire un référentiel d’audit qui établira une transparence totale entre
la mission confiée et les investigations à mener.
CobiT est utilisé comme une base solide de points de contrôle, il permet de sélectionner
les processus critiques et de les évaluer.
Les objectifs de contrôle de CobiT constituent une excellente base pour préparer un
52 | P a g e
référentiel d’audit. Il suffit ensuite, au cas par cas, de les étoffer de tests détaillés en
fonction de la spécificité du périmètre à auditer.
La structure de CobiT offre à l’auditeur une classification très solide :
- Domaines, processus, objectifs de contrôle ;
- Critères d’information (efficacité, efficience, confidentialité, intégrité,

disponibilité, conformité et fiabilité) ;
- Ressources (application, infrastructure, information et personnes).
La notion de valeur liée à un objectif de contrôle est tout à fait intéressante puisqu’elle
étend le périmètre du contrôle, en incluant non seulement la maîtrise des risques, mais aussi
la création de valeur.
Ce référentiel peut être enrichi pour prendre en compte des aspects techniques pointus.
3.2- Le contrôle interne
Les entreprises ont l’obligation de rendre compte des procédures de contrôle interne et, à
ce titre, le système d’information est concerné à trois niveaux :
- la prise en compte de l’informatique comme domaine de gouvernance de

l’entreprise ;
- les contrôles propres à la fonction informatique, y compris les procédures de

sécurité ;
- l’insertion de contrôles « embarqués » dans les processus automatisés.
CobiT reprend les éléments du contrôle interne de COSO en les intégrant dans les processus
conformément à l'esprit d'intégration du contrôle interne.
La maîtrise des systèmes d'information dans les organisations n'a de sens que si les
organisations sont maîtrisées. C'est précisément le but du contrôle interne mis en œuvre
par la direction générale, la hiérarchie, le personnel d'une entreprise et destiné à fournir une
assurance raisonnable quant à la réalisation d'objectifs concernant :
- La réalisation et l'optimisation des opérations,
- La fiabilité des informations financières,
53 | P a g e
- La conformité aux lois et réglementations en vigueur.
Le référentiel CobiT a été élaboré à partir de référentiels en provenance de différentes

sources techniques et internationales (NIST, OCDE, ITSEC, ISO900026, …) en les
intégrant selon les grandes lignes du référentiel de contrôle interne COSO. Par conséquent
CobiT peut être considéré comme le référentiel de contrôle interne de l'informatique. CobiT
considère que les systèmes d'information sont maîtrisés lorsqu'ils fournissent l'information
répondant aux besoins de l'entreprise exprimés en termes de critères de l'information. Le
regroupement des activités relatives à l'informatique en processus bien identifiés permet de
mobiliser les ressources dans ce but.
Les entreprises qui cherchent à optimiser leur démarche de progrès vers une bonne
gouvernance de leur SI peuvent utiliser CobiT, qui répond à cette problématique en
utilisant une méthodologie visant à linéariser la trajectoire d’amélioration et à générer des
gains rapides en matière de gouvernance.
3.3- Le pilotage stratégique
L’une des conditions essentielles du pilotage stratégique est l’engagement de la direction

générale et des métiers. De la même façon, la stratégie d’entreprise est une condition
nécessaire à sa déclinaison sur le domaine des IT
Le référentiel CobiT propose d'établir un cadre de pilotage orienté processus du système

d'information afin de contribuer efficacement à l'alignement des technologies sur
la stratégie d'entreprise. CobiT a pour ambition de placer en perspective les solutions
techniques et les risques business dans une logique de contrôle et de management. La
démarche s'inscrit dans une dynamique d'amélioration continue, généralise la pratique de
l'audit et garantie la gestion des risques.
3.4- la sécurité
Jusqu’à un passé récent, la sécurité s’est limitée à la protection des systèmes informatiques
concernés par le stockage et le traitement des informations plutôt que de la protection de
l’information elle-même. Avec CobiT, la sécurité devient l’une des composantes de la
gouvernance en proposant des bonnes pratiques de gouvernance de la sécurité de
l’information. Cette dernière rejoint ainsi l’univers de la gestion des risques.
26
Systèmes de management de la qualité
54 | P a g e
La sécurité de l’information n’est plus seulement un sujet de technicien mais devient un

enjeu de direction générale et métiers. CobiT, en développant l’alignement stratégique et
l’apport de valeur des systèmes d’information, met bien en évidence les risques que
l’absence de mesure de sécurité de l’information fait courir à l’entreprise.
CobiT aborde la gouvernance de la sécurité de l’information en s’intéressant à :
- la prise en compte de la sécurité de l’information dans l’alignement stratégique ;
- la prise de mesures appropriées pour limiter les risques et leurs conséquences

potentielles à un niveau acceptable ;
- la connaissance et la protection des actifs ;
- la gestion des ressources ;
- la mesure pour s’assurer que les objectifs de sécurité sont bien atteints ;
- l’apport de valeur par l’optimisation des investissements en matière de sécurité de

l’information ;
- les bénéfices retirés ;
- l’intégration de la sécurité de l’information dans les processus.
Section 4 : Les limites du référentiel CobiT
Même si CobiT est à l’origine un référentiel issu du monde du contrôle interne, il n’a pas
pour vocation de servir de référentiel de certification selon une approche de conformité à
des exigences réglementaires ou contractuelles.
CobiT ne propose pas de modèle de maturité étagé pour une évaluation de la direction des
systèmes d’information. Ainsi, aucun ordre de priorité de mise en œuvre des processus
n’est proposé.
CobiT ne propose pas non plus un enchaînement des activités propres à modéliser les
processus de maîtrise des SI de l’entreprise.
CobiT ne va pas régler la question de la bonne communication entre la DSI et les parties
prenantes.
Enfin, CobiT n’est pas un outil de conduite du changement miraculeux qui diffuserait une
55 | P a g e
culture de la mesure de la performance et de l’amélioration.
En revanche, son déploiement peut aider le management à mener une action de changement
simultanément.
56 | P a g e
Conclusion de la première partie

Les Nouvelles Technologies ont marqué ces dernières années par l’accélération de leur
rythme et l’ampleur de leur généralisation. Cette situation à laquelle s’ajoute la
globalisation et la mondialisation des économies, crée autour des entreprises, un
environnement économique turbulent.
Sur le plan économique, le bouleversement des flux de l’information autour de l’entreprise

apparaît à la fois comme une menace et une opportunité. Une firme qui gère bien cette
situation, peut bénéficier d’une flexibilité et d’une capacité pouvant lui permettre de
s’adapter sur son marché en assurant sa compétitivité.
A travers les TIC, le dirigeant de l’entreprise maîtrise l’information. Ce qui permet à

l’entreprise de contrôler ses systèmes productifs, de gestion commerciale, financière,
humaine et informationnelle. Dès lors, par le biais des TIC, le système d’information est
de plus en plus reconnu dans la théorie du management stratégique, comme une nouvelle
variable clé de compétitivité au sein des entreprises dans le court, le moyen et le long terme.
Elles sont ainsi présentées comme une stratégie de sortie de crise. Les exigences de
compétitivité induites par l’évolution générale de l’environnement économiques national
et international, impliquent une modernisation de l’appareil informationnel des
organisations afin de conférer à celles – ci non seulement une aptitude sur un marché
concurrentiel, mais les rendre performantes.
Dans ce contexte, nous avons essayé de présenter les impacts de la nouvelle technologie
d’information sur la fiabilité de l’information financière ainsi que sur la démarche d’audit
adaptée par l’auditeur financier lors de la vérification des états financiers.
Nous avons présenté le référentiel CobiT version 5 comme étant un outil qui peut utiliser
l’auditeur pour dégager les risques potentiels engendrés par le système d’information.
La deuxième partie de ce mémoire est consacrée à la proposition d’une démarche d’audit

inspirée du référentiel CobiT 5 et ce, dans un objectif de présenter les alternatives possibles
qui peuvent être utilisées par l’auditeur financier lors du déroulement de la mission.
57 | P a g e
DEUXIEME PARTIE : Proposition d’une

démarche d’audit dans un milieu informatisé
58 | P a g e
Introduction de la deuxième partie

Depuis de nombreuses années, les systèmes d’information de gestion sont au cœur du
développement des entreprises et constituent un facteur clé de leur performance. Désormais,
aucune organisation n’imaginerait se développer sans le support essentiel d’applications de
gestion des fonctions métier : production, achats, stocks, ventes, comptabilité, trésorerie, etc.
Mais l’entreprise doit apprendre à maîtriser les risques inhérents à la mise en place de systèmes
d’information de plus en plus complexes : coûts financiers de projets informatiques
interminables, indisponibilité des systèmes d’information susceptible de stopper l’activité de
l’entreprise, qualité des données comptables ne garantissant pas la fiabilité des états financiers,
mais aussi accès à des informations confidentielles et risques de fraudes.
Les auditeurs ont intégré cette profonde mutation pour développer un savoir-faire en matière
d’examen des systèmes d’information adapté aux PME mais aussi aux structures de taille plus
importante.
La mise en œuvre d’une approche d’audit permet de connaître les risques théoriques et
d’identifier des risques potentiels, mais aussi de détecter les éventuelles erreurs ou fraudes dans
les processus de gestion. Les auditeurs ont à leur disposition deux types d’approche : la prise
de connaissance du dispositif de contrôle interne et l’analyse de données des processus.
L’auditeur doit apprécier la qualité et la sécurité des techniques informatiques mises en œuvre
par les entreprises.
Dans le cadre de son programme général de travail, l’auditeur doit réunir une information
pertinente sur le milieu informatisé, concernant notamment :
- l’organisation de la fonction informatique, le degré de centralisation ou de distribution
des traitements informatiques au sein de l’entité ;
- le matériel et le logiciel informatiques utilisés par l’entité ;
- chaque application informatique importante, la nature des traitements et les méthodes
de conservation des données.
Dans le cadre de l’approche générale de sa mission, l’auditeur doit notamment :
- déterminer si, et dans quelle mesure, il entend s’appuyer sur les contrôles informatiques
dans son évaluation globale du contrôle interne ;
- planifier où, quand et comment la fonction informatique sera examinée, et le cas
échéant, l’intervention des experts en informatique ;
59 | P a g e
L’absence des normes tunisiennes qui traitent cette problématique, nous amène à présenter une
étude comparative des normalisations internationales.
En second chapitre, nous présenterons la démarche d’audit dans un milieu informatisé dès la
phase de prise de connaissance jusqu’à la clôture des travaux de la mission.
1er chapitre : Etudes comparatives avec les normalisations

internationales
L’auditeur financier doit tenir compte, dans son approche d’audit des états financiers, des
risques particuliers qu’entraîne l’informatisation des traitements. Les organismes
internationaux de tutelle de la profession comptable ont émis des normes en ce sens.
Nous examinerons successivement :
- les normes françaises ;
- les normes américaines ;
- les normes préconisées par l’IFAC.
Section 1 : Les normes françaises

Les normes de révision en milieu informatisé proviennent, en France, de la Compagnie
Nationale des Commissaires aux Comptes (CNCC) pour les missions de Commissariat aux
Comptes et de l’Ordre des Experts Comptables (OEC) pour les missions d’Expertise comptable.
Après avoir rappelé les textes applicables, nous étudierons les recommandations préconisées
par ces organismes.
1.1- Cadre juridique et fiscal

Les textes réglementaires ont été mis à jour par le législateur pour tenir compte de la présence
des systèmes informatique dans les entreprises.
Les modalités de traitement, de circulation et de stockage de l’information engendrent des
risques multiples aux sociétés.
Le plan comptable général prévoit le cas des comptabilités informatisées dans ses «
Dispositions générales relatives à l’utilisation des traitements informatisés27 ». La tenue de la
comptabilité tenue à l’aide de l’informatique doit garantir :
- toutes les possibilités d’un contrôle éventuel ;
27
Arrêté du 27/04/82 modifié par l’arrêté du 9/12/86
60 | P a g e
- des états périodiques numérotés et datés récapitulant dans un ordre chronologique toutes
les données qui y sont entrées, sous une forme interdisant toute insertion intercalaire
ainsi que toute suppression ou addition ultérieure.
Le décret du 29 novembre 1983 relatif au code du commerce contient des dispositions visant
les systèmes informatisés.
La loi du 3 juillet 1985 relative aux protections des logiciels sert à la protection du droit
d’auteur.
La loi du 5 janvier 1988 relative à la fraude informatique interdit :
- l’accès ou le maintien non autorisé dans tout ou partie d’un système d’information ;
- d’entraver ou de fausser le fonctionnement d’un système d’information ;
- d’introduire ou de modifier des données ou leur code de traitement ou de transmission ;
- de falsifier des documents informatisés ;
- de faire usage de documents informatisés falsifiés.
Le code général des impôts prévoit que si la comptabilité est établie au moyen de systèmes
informatisés, le contrôle s’étend à la documentation relative aux analyses, à la programmation
et à l’exécution des traitements afin de s’assurer de la fiabilité des procédures de traitement
automatisé de la comptabilité.
1.2- Synthèse des recommandations

Le développement des techniques informatiques de gestion des entreprises a obligé l’ordre des
experts comptables à édicter un certain nombre de recommandation concernant la révision en
milieu informatisé.
Selon l’OEC : « la révision a pour objet …l’image fidèle du patrimoine, de la situation
financière et des résultats28 ».
On comprend dès lors que la mission de l’expert-comptable ne peut être parfaite si son travail
de contrôle et de validation des comptes ne prend pas en compte le phénomène informatique
sur deux plans :
- appréciation de la qualité et de la sécurité des techniques informatiques mises en œuvre
par les entreprises ;
- utilisation du matériel informatique en vue de réaliser des contrôles plus approfondis,
voire exhaustifs, que ceux réalisés manuellement.
Afin d’orienter les travaux des experts comptables, l’OEC a donc émis les trois
recommandations suivantes sur la révision en milieu informatisé :
28
Ordre des experts comptables France
61 | P a g e
22.07.1 : principes généraux de révision en milieu informatisé ;

22.07.2 : incidence du milieu informatique sur l’étude et l’évaluation du système de contrôle
interne ;
22.07.3 : techniques de contrôle assisté par ordinateur.
La norme 22.07.1 a pour but de montrer comment prendre en compte l’informatique dans une
mission de révision comptable, elle rappelle que l’objectif de la révision, à savoir l’expression
d’une opinion motivée sur les comptes annuels d’une entreprise, reste inchangée quels que
soient les moyens utilisés pour la production de l’information comptable et financière.
Elle fait obligation au réviseur d’adapter son plan d’intervention pour tenir compte des
particularités propres à un environnement informatisé. Elle précise à ce titre qu’il doit vérifier
que les applications informatiques répondent bien aux exigences de contrôle interne en ce qui
concerne la sécurité et la fiabilité des traitements, ainsi qu’en matière de conservation de la
totalité des données entrées.
Enfin, elle souligne que la révision en milieu informatisé nécessite de la part du réviseur des
connaissances en informatique suffisantes et que, même dans le cas où il ferait appel à des
experts extérieurs, il conserve en tout état de cause l’entière responsabilité de la bonne
exécution de sa mission.
La norme 22.07.2 décrit de manière plus détaillée la démarche de révision du contrôle interne
en milieu informatisé : contrôle sur les entrées, les sorties, les traitements, les fichiers, les
sauvegardes, l’organisation et la documentation.
La recommandation insiste sur le fait que l’expert-comptable doit faire porter ses contrôles sur
les applications qui ont une incidence sur les états financiers.
Les contrôles généraux sont regroupés autour de quatre pôles :
- contrôle ayant trait à l’organisation du département informatique pour laquelle le
réviseur doit vérifier avant tout que le principe de séparation des fonctions est
correctement assuré ;
- les contrôles se rapportant à la sécurité, à la sauvegarde et à la reprise des travaux, pour
lesquels il est fait référence en particulier aux procédures de protection physique et
logique et à l’existence d’un plan de secours ;
- les contrôles concernant les traitements, pour lesquels il est fait mention des restrictions
d’accès aux programmes en exploitation, à la qualité des contrôles programmés des
applications et au respect des principes d’autorisation, d’exactitude et d’intégralité du
traitement des données ;
62 | P a g e
- enfin, les contrôles relatifs aux méthodes de développement et de maintenance des

applications et à la qualité des procédures de documentation et de mise en exploitation.
Selon la norme 22.07.3 : « l’utilisation de techniques de contrôle assisté par ordinateur devient
indispensable lorsque l’expert-comptable se trouve en situation de perte du chemin de révision
et n’a pas la preuve de la réalité des contrôles effectués au cours de traitements. Il doit, en outre,
s’assurer que ces contrôles ont effectivement fonctionné pendant toute la période révisée ».
Pour réaliser ces contrôles par ordinateur, la norme propose les moyens suivants :
- programme utilitaires (Query) : ceux-ci ne permettent pas la réalisation de programmes
complexes, mais simplement des tris, extraction, ou interrogations simples ;
- les logiciels spécifiques : programmes d’interrogations développés spécifiquement pour
le client ;
- les progiciels d’aide à la révision : programmes d’interrogations souples et adaptables à
des clients différents et comportant de nombreuses fonctionnalités d’audit (tris, tests de
doublons ou de trous de séquence, …) ;
- l’utilisation de la micro-informatique : le micro-ordinateur peut être utilisé soit pour
gérer la mission, soit « pour traiter des données provenant des fichiers de l’entreprise
contrôlée ». Les traitements peuvent consister en l’utilisation de programmes utilitaires
(tableurs, gestionnaires de fichiers), logiciels spécifiques (programmation directe)
progiciels d’aide à la révision.
Vers la fin de l’année 1987, la CNCC29 a publié un ouvrage reprenant l’ensemble des règles et
obligations professionnelles qui s’imposent au commissaire aux comptes dans le cadre des
missions qui lui sont fixées par la loi. Ces normes sont accompagnées de commentaires qui,
bien que n’ayant pas de caractère obligatoire, apportent certaines précisions et explications
complémentaires pour leur mise en œuvre pratique.
Orientation et planification de la mission : cette première étape a comme objectif, à partir
d’une prise de connaissance globale de l’entreprise et d’une identification des risques généraux,
la rédaction d’un programme général de travail.
Comme il en est fait mention dans les commentaires, il est évident que le commissaire aux
comptes devra collecter toutes les informations qu’il estime nécessaires à sa bonne
compréhension du système de traitement de l’information financière et comptable.
29
CNCC : « prise en compte de l’environnement informatique et incidence sur la démarche d’audit », édition avril
2003.
63 | P a g e
Un paragraphe spécifique des commentaires de cette première norme est consacré aux risques
généraux résultant de l’insuffisance ou de l’absence de sensibilisation de la direction de
l’entreprise pour les questions financières, comptables et administratives.
Enfin, en ce qui concerne l’identification des systèmes comptables significatifs, il est clairement
indiqué dans les commentaires que le commissaire aux comptes devra déterminer s’il lui paraît
souhaitable de faire appel à un spécialiste, dans le cas où les traitements sont informatisés, pour
procéder à la revue spécifique de certaines applications.
Appréciation du contrôle interne : dans cette seconde étape, le commissaire aux comptes
procède à une revue et à une évaluation qualitative des procédures de traitement et de contrôle
interne de l’entreprise pour établir un programme de révision des comptes annuels approprié.
Les commentaires de cette norme accordent une large place à la revue des systèmes de
traitement informatisés de l’information puisqu’un paragraphe spécifique lui est entièrement
consacré.
Section 2 : Les normes américaines

Trois organismes contribuent à la réglementation financière aux Etats-Unis et à fixer les
modalités d’établissement et de publication des documents financiers :
- la SEC (Securities and Exchange Commission)
- l’AICPA (American Institute of Chartered Public Accountants)
- le FASB ( Financial Accounting Standard Board)
2.1- Cadre juridique

Les sociétés qui veulent être cotées sur les grandes bourses américaines doivent être inscrites
auprès de la SEC. Le rôle de la SEC est de réglementer la mise sur le marché et la négociation
des titres. Elle est dirigée par un conseil de cinq membres nommés par le Président des Etats-
Unis pour une période de cinq années et exerce ses pouvoirs sur les méthodes de présentation
des documents financiers et les règles d’audit des sociétés inscrites auprès d’elle. Bien qu’elle
ait le pouvoir légal d’établir des normes comptables, la SEC a délégué ses pouvoirs au secteur
privé dès 1939 à l’AICPA dans la promulgation et la mise en application des normes
comptables.
De 1939 à 1959, un Comité des Procédures Comptables (Committee Accounting Procedures-
CAP) crée par l’AICPA a publié 51 Accounting Research Bulletins (ARB) qui portent
64 | P a g e
davantage sur des problèmes techniques spécifiques que sur des principes généraux ou
théoriques30.
En 1959, le CAP été remplacé par l’Accounting Principles Board (APB) qui est aussi une
émanation de l’AICPA mais avec une représentation plus large : les membres de l’APB
provenaient non seulement de la profession comptable mais aussi de l’industrie, de la
communauté financière, des universités et du gouvernement. L’APB publie 31 opinions et
quatre statements. Les premières constituent de véritables normes ayant force obligatoire, alors
que les secondes ne sont que des recommandations.
Créé en 1973, le FASB est un organisme privé chargé de l’élaboration des principes comptables
généralement admis connus sous l’appellation de l’US GAAP (Generally Accepted Accounting
Principles). Le FASB succède à l’Accounting Principles Board (1959-1973).
Le pouvoir de réglementation appartient légalement à la SEC. Elle élabore parfois une norme
sous la forme d’un Accounting Series Release. Toutefois, ses interventions sont rares, la SEC
déléguant généralement au FASB le pouvoir de définir les principes comptables généralement
admis. Le FASB est aujourd’hui l’organisme de normalisation comptable aux Etats-Unis ; il a
émis plus de 100 normes et a créé un cadre conceptuel.
Le FASB émet deux catégories de textes :
- les Statements of Financial Accounting Concepts (SFAC) qui énoncent les concepts
fondamentaux sur lesquels reposent les normes d’établissement et de présentation des
comptes.
- les Statements of Financial Accounting Standards (SFAS) qui définissent les principes
et règles comptables applicables à la préparation et à la présentation des comptes, et qui
sont considérés comme des GAAP.
2.2- Synthèse des recommandations

Il est intéressant de constater qu’il n’y a pas de différence au niveau des textes sur l’approche
et la nature des travaux qui doivent être réalisés dans le cadre d’une mission de révision ou de
certification par les professionnels comptables.
Dès 1977, l’American Institute of Certified Public Accountants AICPA avait publié un
Statement on Auditing Standards SAS 3 consacré aux effets de l’informatique sur l’étude et
l’évaluation par l’auditeur du contrôle interne.
30
AHMED RIAHI-BELKAOUI « Eléments de théorie comptable »
65 | P a g e
Ce SAS a été remplacé en 1984 par le SAS 4831 qui traite des effets des traitements informatisés
sur l’examen des états financiers. Ce « statements » reprend pour les intégrer dans les autres «
statements », les mêmes obligations que celles qui s’imposent à un auditeur financier français.
Il est indiqué que lors de la phase de planification de son intervention, l’auditeur doit prêter
attention à :
- l’étendue de l’utilisation de l’informatique pour chaque application comptable
significative ;
- à la complexité des travaux informatisés, y compris ceux pouvant être effectués par un
centre de traitement extérieur ;
- à l’organisation générale des activités informatiques ;
- à la disponibilité des données ;
- à l’utilisation possible de techniques de contrôles assistées par ordinateur.
- il est également précisé qu’il peut utiliser les compétences d’un spécialiste extérieur,
mais que la responsabilité qu’il a vis-à-vis des travaux de ce dernier est la même que
pour ceux effectués par ses propres collaborateurs.
En ce qui concerne l’étude et l’évaluation du contrôle interne, le « statement » rappelle tout
d’abord quelles sont les caractéristiques propres à l’informatique qui sont susceptibles d’avoir
un effet sur le système de contrôle interne comptable de l’entreprise, puis précise que l’objectif
d’un système de contrôle interne comptable reste inchangé en cas de traitement .
Le « statement » rappelle également l’importance de la séparation des tâches dans un
environnement informatisé et indique qu’il semble plus efficace de procéder à une revue des
contrôles informatiques généraux avant une revue des contrôles d’applications. Il décrit ensuite
la nature des tests qu’il est envisageable d’effectuer dans un environnement informatisé par
recoupements et utilisation de techniques d’audit assistées par ordinateur.
En ce qui concerne la séparation des tâches incompatibles, le « statement » précise que celle-ci
doit s’apprécier non seulement au niveau du département informatique, mais aussi entre ce
département et les services utilisateurs chargés des autres travaux de contrôle, et qu’il doit
exister par ailleurs, des procédures de restrictions d’accès aux programmes et aux données.
Section 3 : Les normes IFAC

L’IFAC est une organisation privée à but non lucratif et non politique.
Elle a pour objet le développement et le renforcement de la profession comptable pour l’aider
à fournir des prestations de haute qualité pour le bienfait du public.
31
AICPA, SAS n°48, New York, 1983.
66 | P a g e
3.1- Cadre juridique

L’IFAC, crée en 1977, complète le rôle de l’IASC (International Accounting Standards
Committee) en prenant en charge l’audit, la formation, la déontologie, la comptabilité de
gestion, le secteur public et les techniques de l’information32.
L’IAPC (International Auditing Practice Committee) a pour objet d’uniformiser les pratiques
d’audit financier et les missions s’y rattachant.
L’IAPC publie « des normes internationales d’audit » (ISA pour International Standards on
Auditing).
3.2– Synthèse des recommandations de l’IFAC

L’auditeur doit acquérir la connaissance du système d’information et des processus
opérationnels y afférents qui ont un rapport avec l’élaboration de l’information financière, y
compris en ce qui concerne :
- les flux d’opérations dans les activités de l’entité ayant un caractère significatif pour les
états financiers,
- les procédures du système informatique et des systèmes manuels, par lesquelles ces
opérations sont initiées, enregistrées, traitées et présentées dans les états financiers,
- les enregistrements comptables y afférents, aussi bien électroniques que manuels,
étayant l’information et les postes spécifiques des états financiers, pour ce qui concerne
le lancement, l’enregistrement, le traitement et la présentation des opérations,
- la façon dont le système d’information saisit des événements, autres que des flux
d’opérations, ayant un caractère significatif pour les états financiers, et
- le processus d’élaboration de l’information financière utilisé pour l’établissement des
états financiers de l’entité, y compris les estimations comptables significatives et les
informations fournies.
L’ISA 31533 énonce que l’auditeur doit acquérir la connaissance de la façon dont l’entité a
répondu aux risques résultant du système informatique.
L’utilisation de systèmes informatiques a une incidence sur la manière dont les activités de
contrôle sont mises en application. L’auditeur détermine si l’entité a répondu de manière
32
CNCC : « Focus IFRS », historique de l’IASB
33
IFAC, ISA 315 « Compréhension de l’entité et de son environnement aux fins de l’identification et de
l’évaluation des risques d’anomalies significatives ».
67 | P a g e
adéquate aux risques résultant du système informatique en mettant en place des contrôles
généraux efficaces relatifs à ce système et aux applications.
L’analyse comparée des textes des différentes structures fait apparaître des lignes directrices
générales et des points essentiels dans la conduite de la révision. Quatre points nous semblent
devoir être soulignés :
- le milieu informatisé ne modifie pas fondamentalement l’approche du réviseur

comptable ;
- l’informatisation des traitements entraîne une modification de l’organisation du contrôle
interne dont l’auditeur financier doit tenir compte ;
- l’examen du contrôle interne comprend d’une part l’examen de la fonction informatique
et -d’autre part l’examen des applications ;
- la mission d’audit en milieu informatique inclut nécessairement la réalisation de tests
complétant l’examen de la fonction informatique et les applications.
2ème chapitre : Proposition de la démarche d’audit dans un

milieu informatisé
L’émergence des nouvelles technologies de l’informatique ainsi que la complexité croissante
des systèmes d’information automatisées, nous a conduit à poser plusieurs questions sur les
diligences et les méthodes adéquates que l’auditeur financier utilise pour répondre aux objectifs
d’une telle mission d’audit des états financiers.
Outre les spécificités et les particularités du système comptable, les procédures de contrôle
interne dans un milieu informatisé deviennent de plus en plus compliquées. Pour cela, l’auditeur
financier doit évaluer et identifier les risques liés aux systèmes d’informations à partir de :
- la prise de connaissance de l’environnement informatique ;

- l’identification des processus métier et des flux de traitement des données ;
- l’identification des applications de base et des principales interfaces IT pertinentes.
C’est à l’aide du référentiel CobiT version 5 que l’auditeur financier peut mettre en place des
diligences adéquates lui permettant d’identifier et évaluer les risques liés au système
d’information d’une entité.
Nous essayerons de proposer une démarche d’audit dans un milieu informatisé qui traite
notamment : la planification de la mission d’audit, l’évaluation des risques et les tests de
validation en se basant sur le référentiel CobiT 5.
68 | P a g e
Section 1 : Planification de la mission

La planification de l’audit est la phase au cours de laquelle on évalue les facteurs qui influent
sur la probabilité de distorsions importantes des états financiers et on fixe l’orientation générale
de la mission et l’étendu des travaux de vérification à exécuter34.
L’auditeur doit élaborer et documenter un plan détaillé décrivant l’approche et l’étendue de

l’audit et la conduite de celui-ci.
Les questions que l’auditeur prend en compte pour élaborer un plan d’audit concernent :
- La connaissance des activités de l’entité ;

- La compréhension du système comptable et de contrôle interne y compris le système
d’information ;
- La prise en compte du risque et du seuil de signification ;
- La nature, le calendrier et l’étendue des procédures d’audit.
1.1- Prise de connaissance de l’entité :

Pour réaliser l’audit des états financiers, l’auditeur doit avoir une connaissance suffisante des
activités de l’entité afin d’identifier et de comprendre les événements, opérations et pratiques
de l’entité qui, d’après son jugement, peuvent avoir une incidence significative sur les états
financiers, sur son examen et sur le rapport d’audit35.
Pour avoir une connaissance assez suffisante de l’entité, l’auditeur doit prendre en considération
l’environnement informatique de l’entité.
1.1.1- Prise de connaissance des affaires du client

L’auditeur doit acquérir une connaissance sur le secteur d’activité de l’entité auditée.
Les sources d’information qui peuvent utiliser l’auditeur afin d’évaluer les risques relatives à
l’environnement de l’entité sont notamment :
- Expériences antérieures de l’entité et de son secteur d’activité ;

- Entretien avec les employés de l’entité ;
- Entretien avec le personnel d’audit interne et examen des rapports d’audit interne ;
- Entretien avec les personnes biens informées à l’extérieur de l’entité ;
34
2003.
35
AJECT : « Manuel d’audit », édition 2015, p.5
69 | P a g e
- Publications relatives au secteur d’activité ;

- Textes législatifs et réglementaires ayant une incidence significative sur l’entité ;
- Visites des locaux et des installations de l’entité ;
- Documents établis par l’entité (PV, rapports, budgets…)
La connaissance des activités de l’entité constitue un cadre de référence permettant à l’auditeur

d’exercer son jugement professionnel. La compréhension des activités de l’entité et son
utilisation adéquate aident l’auditeur à :
- Evaluer les risques et identifier les problèmes ;

- Planifier et conduire efficacement l’audit ;
- Evaluer la validité des éléments probants ;
- Fournir un meilleur service au client.
L’auditeur doit s’assurer que les collaborateurs assignés à une mission d’audit connaissent
suffisamment les activités de l’entité pour accomplir correctement le travail qui leur est confié.
Le manque d’expérience dans un secteur d’activité particulier peut rendre l’exécution de la
mission très difficile. L’auditeur s’assure que ses propres compétences, ou celles de ses
collaborateurs ou associés, sont suffisantes pour exécuter la mission avec tout le soin nécessaire
ou envisage le cas échéant le recrutement ou l’aide d’un spécialiste.
1.1.2- Prise de connaissance de l’environnement informatique
La prise de connaissance de l’environnement informatique de l’entité nécessite la prise en

compte des domaines suivants dans la définition du contenu du plan de la mission :
- La stratégie informatique de l'entreprise ;

- La fonction informatique de l'entreprise ;
- L'importance de l'informatique dans l'entreprise.
Au niveau de cette phase, l’auditeur peut utiliser les processus de la gouvernance des IT du
référentiel CobiT 5.
a. Evaluer le système de gouvernance : EDM01.01
L’auditeur doit identifier les différentes parties prenantes de l’entreprise, documenter et

comprendre les exigences, et porter un jugement sur la conception actuelle et future de la
gouvernance de l'informatique de l’entreprise.
70 | P a g e
Les diligences qui peuvent être mise en place sont :
- Analyser et identifier les facteurs environnementaux internes et externes (obligations

légales, réglementaires et contractuelles) et les tendances dans le contexte métier qui
peuvent influer sur la conception de la gouvernance ;
- Déterminer l’importance de l'informatique et son rôle à l’égard des métiers ;
- Tenir compte de la réglementation externe, des lois et des obligations contractuelles et
déterminer la façon dont elles sont appliquées au sein de la gouvernance de
l'informatique de l’entreprise ;
- Comprendre la culture décisionnelle de l’entreprise et le modèle de prise de décision
pour l'informatique ;
- Déterminer les niveaux appropriés de délégation des pouvoirs pour les décisions en
matière d'informatique.
b. Orienter le système de gouvernance : EDM01.02
Les vigilances que l’auditeur peut conclure au niveau de ce processus sont les suivantes :
- Identifier les principes de gouvernance informatique ;

- Déterminer la responsabilité hiérarchique, l’autorité et la responsabilité d'action
conformément aux principes acceptés de conception de la gouvernance, aux modèles de
prise de décision et à la délégation ;
- Analyser les mécanismes de communication et de production des rapports.
1.2- Examen analytique (préliminaire ou global)
Les procédures analytiques consistent en des appréciations de l’information financière à partir

de l’étude de corrélations plausibles entre des données aussi bien financières que non
financières. Les procédures analytiques comprennent aussi l’examen des variations et des
corrélations constatées qui sont incohérentes avec d’autres informations pertinentes ou qui
présentent un écart significatif par rapport aux montants attendus36.
36
IFAC, ISA 500 : « Eléments probants »
71 | P a g e
Un privilège est, en particulier, donné à l’application des procédures analytiques pour mettre
en évidence les zones de risques critiques qui demandent à être soigneusement considérées et
requièrent des jugements motivés.
C’est une technique qui permet, lors de la prise de connaissance, d’identifier les flux financiers
significatifs, les variations anormales et les tendances, éléments essentiels pour orienter la
mission.
L’examen analytique peut aider l’auditeur à mieux connaître l’entreprise et à identifier les
domaines de risque potentiel, contribuant ainsi à une meilleure planification de la mission.
Lors de la prise de connaissance de l’entreprise l’auditeur cherche à déterminer37 :
- Les types de transactions qui ont ou peuvent avoir un impact significatif sur les comptes
en raison de leur poids relatif et/ou de leur nature. C’est en fonction de cette analyse
préalable que l’auditeur pourra planifier sa mission et déterminer la nature et l’étendue
de ses travaux pour chacun des éléments ainsi identifiés ;
- Les événements propres à chaque exercice qui nécessitent une mise à jour de sa
planification et une modification de son programme de travail.
L’examen analytique des derniers comptes annuels disponibles, des budgets ou comptes
intermédiaires établis par l’entreprise, permet à l’auditeur de38 :
- Comprendre les interrelations qui existent entre les différents éléments constitutifs des
comptes annuels et de déceler les variations qui peuvent être révélatrices de
modifications de structures, d’événements ponctuels spécifiques à chaque exercice,….
- Définir les ratios qui semblent les plus révélateurs de l’évolution de l’entreprise et de
s’assurer que les éléments nécessaires à l’explication de leur variations seront
disponibles. L’auditeur peut à ce stade utilement s’appuyer sur les statistiques du secteur
économique auquel appartient l’entreprise : cela lui permet de mieux comprendre les
éléments qui servent de mesure dans ce secteur et de situer l’entreprise considérée par
rapport à ses concurrents.
37
IFAC, ISA 520 : « Procédures analytiques »
38
AJECT : « Manuel d’audit », édition 2015, p.8
72 | P a g e
1.3- Description du système d’information de l’entité
L’auditeur doit avoir une vue globale de la circulation des données tout au long de la chaîne des
traitements, allant de la saisie initiale des données jusqu'à leur archivage final, en passant par
leurs modifications et leurs mises à jour, leurs stockages, leurs éditions.
Cette vue globale a pour objectif d'identifier l'ensemble des bases de données mises en œuvre,
et les opérations qui sont faites pour transférer les données d'une base à l'autre.
Figure n°5 : Exemple du système d’information d’une entité39
Afin d’avoir une vue globale sur le système d’information, l’auditeur doit identifier :
- les processus métier et des flux de traitement des données ;

- les applications de base et les principales interfaces IT pertinentes.
1.3.1- Identification des processus métiers et des flux de traitement des données
Les états financiers d’une entreprise sont le résultat de la consolidation de plusieurs activités
que l’on peut regrouper en processus et qui peuvent être très différents les uns des autres.
Potentiellement, certaines faiblesses de ces processus peuvent remettre en cause la fiabilité des
états financiers. C’est pourquoi une identification minutieuse des processus métiers et des flux
de traitement des données est indispensable pour pouvoir évaluer les risques au sein de chaque
processus.
39
CHAI : « Guide d’audit des systèmes d’information », Version 1.0, Juin 2014
73 | P a g e
L’objectif de cette étape est d’identifier les processus métiers significatifs qui ont une influence
directe sur le flux de traitement comptable. Il s’agit du processus de comptabilité en tant que
tel, de processus métiers complexes tels que la facturation et les processus de support.
L’auditeur doit identifier les processus qui influent les transactions comptables. Les processus
peuvent judicieusement être représentés sous forme de cartographie de processus.
L’auditeur peut s’appuyer sur la documentation des processus existants auprès de l’entreprise.
La documentation se concentre généralement sur les activités et précise, pour chaque étape de
processus, les entrées, les traitements et résultats ainsi que les rôles des différents acteurs.
Toutefois, ce type de documentation contient rarement les risques de processus ou les contrôles
clés, ceux-ci doivent donc être identifiés et documentés par l’auditeur dans une phase ultérieure
des travaux liés aux contrôles des applications.
L’auditeur doit acquérir une connaissance approfondie des processus sélectionnés. Il convient,
à cet égard, de distinguer les processus métier (par ex. processus de vente) et les processus
financiers parfois très ponctuels (par ex. consolidation des chiffres trimestriels d’une succursale
ou calcul de l’amortissement annuel d’une immobilisation). Ces deux catégories de processus
comportent des risques susceptibles de se matérialiser dans les états financiers.
Une description trop générale rend difficile l’identification des risques. Il est parfois utile de
subdiviser le processus en plusieurs sous-processus selon leur complexité.
74 | P a g e
Figure n°6 : Exemple de présentation graphique pour un système

d’information d’une entité (forme de flux de traitement des données)40
L’auditeur ne doit pas s’arrêter uniquement sur les données électroniques mais il doit prendre
également en compte les flux de documents (par ex. rapport sur l’évaluation des stocks) et les
interfaces manuelles.
1.3.2- Identification des applications de base et des principales interfaces IT

pertinentes
De nombreux contrôles sont automatisés et intégrés dans les applications IT. De plus,
l’automatisation des étapes de processus présente des risques supplémentaires. Il peut s’agir par
exemple de la difficulté de mettre en œuvre une séparation adéquate des fonctions, mais
également d’une impossibilité de contrôle humain compte tenu du niveau élevé d’intégration et
40
ISACA, AFAI : « Guide d’audit des applications informatiques », Novembre 2008
75 | P a g e
du traitement en temps réel lesquels génèrent un traitement et un enregistrement automatiques

des transactions.
Il est donc utile d’identifier à temps les applications impliquées, leurs caractéristiques et leurs
interfaces.
Une représentation des applications impliquées n’est pas toujours adéquate avec le flux des
données. En particulier avec les applications fortement intégrées (par ex. Enterprise Resource
Planning Systems : ERP), plusieurs processus métiers sont pris en charge par une seule et même
application.
Les différents types d’applications et leurs caractéristiques ont un impact sur la planification et
la réalisation de l’audit compte tenu de leurs profils de risque très différents. On trouve trois
types d’applications :
- application standard ;
- application standard fortement adaptée ;
- développement interne
a. Applications standard
Les applications standard au bénéfice d’une certaine maturité présentent généralement une
multitude de contrôles intégrés pertinents. Le tableau ci-après montre quelques contrôles de
base destinés à assurer l’intégrité des transactions traitées :
76 | P a g e
Une application standard peut disposer Ces fonctionnalités offrent (ou impliquent) les contrôles
les fonctionnalités suivantes suivants
Datation automatique des opérations et Protection de l’accès aux paramètres de la date système
des transactions par le système
Cryptage du mot de passe
Contrôle de la syntaxe du mot de passe

Offrir plusieurs identifications utilisateurs
avec des mécanismes d’authentification Contrôle de la validité du mot de passe
Historique des tentatives de connexion échouées
Mécanisme de protection d’accès par des profils de groupe ou

Paramétrisation des autorisations
des autorisations individuelles.
Enregistrement automatique des anciennes valeurs dans un fichier
historique (avec date de validité: valable dès le / jusqu’au, date
Traces des mutations des paramètres et de la mutation et identification de l’utilisateur qui a effectué la
des des données de base modification)
Protection des accès aux paramètres et au fichier historique.
Le programme ne doit pas proposer de fonction de suppression
Interdiction de supprimer
des données.
Lors de l’évaluation de l’application standard il convient de répondre aux questions suivantes :
- quel type d’application standard l’entreprise utilise-t-elle ?

- l’application standard est-elle répandue dans son secteur d’activité ?
- l’application standard est-elle certifiée ?
- s’agit-il d’un progiciel établi, connu ou d’une nouveauté ?
- existe-t-il des sources d’informations sur cette application et, éventuellement, des
faiblesses de sécurité ou de processus connues ?
b. Applications standard fortement adaptées
Les applications standard fortement adaptées sont des progiciels dont le but principal est de
mettre à disposition des fonctionnalités de base et des outils de création de processus et de
workflows, et dont la paramétrisation permet la mise en place de solutions spécifiques qui
répondent aux besoins de l’entreprise41. L’auditeur est ici confronté à un grand défi dans la
mesure où, même s’il dispose d’informations sur la fiabilité des composants des applications et
systèmes éprouvés, il n’en a pas sur l’interaction de ces composants avec les éventuelles
configurations et programmations supplémentaires dans l’environnement spécifique du client.
41
77 | P a g e
En pareilles situations, l’auditeur devra prévoir davantage de temps pour l’identification des
risques et l’évaluation des contrôles pertinents. Plus une application standard a été adaptée aux
exigences spécifiques d’une entreprise, plus l’analyse des paramètres, de la gestion du
workflow et des adaptations techniques des programmes est importante.
c. Développements internes
Dans le cas de développements internes, l’auditeur n’est pas en mesure de s’appuyer sur les
informations et les expériences généralement connues et doit adapter sa procédure d’audit à
l’application concernée. Les applications développées en interne exigent généralement un
travail de vérification plus important. En pareilles situations, la collaboration entre l’auditeur,
le responsable de l’application et, le cas échéant, le développeur de l’application revêt une
grande importance.
1.4- Prise en compte des risques
L’évaluation des risques est une étape qui a pour objet d’appréhender au mieux les incertitudes
qui concernent une activité qui peuvent provenir des facteurs internes ou externes alors que
l’impact peut être financier ou matériel.
L’évaluation des risques n’est pas seulement influencée par les seules applications
informatiques. En effet, l’incidence de l’environnement informatique sur le risque inhérent et
le risque lié au contrôle ne peut être appréciée sans prendre en compte la notion de flux
d’information ou processus.
La nature des risques dans un environnement informatique est liée aux spécificités suivantes :
- l'utilisation d’un SI entraîne généralement des risques inhérents élevés qui peuvent
provenir de la multiplicité des systèmes en intégration ou de la multiplicité des
utilisateurs.
- Le manque de trace matérielle justifiant les opérations qui entraine un risque important
du non détection des erreurs contenues dans les programmes d’application ou les
logiciels d’applications.
- La séparation insuffisante des tâches qui résulte souvent de la centralisation des
contrôles
- Le risque d'erreur et d'irrégularité qui peut provenir d'erreurs humaines dans la
conception, la maintenance et la mise en œuvre plus importante que dans un système
78 | P a g e
manuel, aussi il peut provenir d'utilisateurs non autorisés qui acceptent, modifient,
suppriment des données sans trace visible.
Après avoir une connaissance de l’activité de l’entité et de son système d’information,
l’auditeur doit recourir à son jugement professionnel pour évaluer le risque d’audit et définir
des procédures d’audit visant à le réduire à un niveau acceptable faible.
Le risque d’audit est que l’auditeur exprime une opinion incorrecte du fait d’erreurs
significatives contenues dans les états financiers. La détermination de ce risque dépend
essentiellement du risque inhérent et le risque lié au contrôle42.
Pour évaluer le risque inhérent, l’auditeur se fie à son jugement professionnel pour évaluer de
nombreux facteurs tel que :
- Les caractéristiques de la direction,
- La nature des activités de l’entité,
- Les facteurs influençant le secteur d’activité,
- La complexité des transactions sous-jacentes et d’autres événements qui nécessitent
l’intervention d’un expert,
- Le degré de jugement intervenant dans la détermination des soldes des comptes,
- Des opérations non soumises au traitement habituel.
L’auditeur doit procéder à une évaluation préliminaire du risque lié au contrôle, au niveau des
assertions sous-tendant chaque solde de compte ou catégorie de transaction significative et ce
après avoir pris une connaissance sommaire du système comptable et de contrôle interne,
Une évaluation définitive de ce risque doit avoir lieu après l’intervention intérimaire après avoir
évalué de façon définitive le système comptable et de contrôle interne.
Cette appréciation des risques guide l’auditeur dans le choix de l’approche d’audit à suivre et
dans la fixation de l’étendue de ses travaux.
1.5- Etablissement du plan de mission

Le plan de mission comprend généralement la structure suivante :
1-Fixation des objectifs de la mission :
1-1 indiquer clairement la nature de la mission
1-2 La date limite de réalisation de la mission sur terrain
1-3 la date de communication à la direction générale des rapports
2-Mise à jour de la connaissance de la société, de ses activités et de ses procédures
42
SMPC : « Guide pour l’utilisation des Normes Internationales d’Audit dans l’Audit des Petites et Moyennes
Entreprises », février 2008.
79 | P a g e
2-1 indiquer les domaines de risques significatifs

2-2 Identifier les opérations inhabituelles ou inattendues ;
2-3 Identifier les problèmes comptables significatifs
3-Evaluation de l’environnement de contrôle interne
3-1 styles de direction et sensibilité au contrôle interne
3-2 comportements des différentes directions
3-3 méthodes et moyens de contrôle
3-4 applications du manuel des procédures
3-5 influences externes
3-6 structure organisationnelle et système informatique
4- Fixation de la stratégie d’audit :
4-1 Décision de planification générale ;
4-2 Calendrier de principales procédures à examiner ;
4-3 Principaux tests par module ;
4-4 Budget temps par équipe intervenante.
5- Diffusion du plan de mission aux membres de l’équipe
La prise en compte de l’aspect informatique dans le plan de mission s’effectue sur la base des
informations recueillies précédemment, lors des phases « Prise de connaissance de
l’informatique dans l’entreprise » et « Description du système d’information », et qui portent
sur :
- l’existence ou non d’une stratégie informatique,

- les caractéristiques de l’organisation informatique,
- l’importance de l’informatique dans l’entreprise,
- la complexité du système d’information,
- le nombre de processus et applications informatiques concernées.
Section 2 : Evaluation des risques

L’auditeur met en œuvre des procédures d’évaluation des risques pour identifier et évaluer les
risques d’anomalies significatives, en vue de concevoir et de planifier des réponses appropriées
à l’évaluation des risques.
Pour identifier les risques d’anomalies significatives, l’auditeur doit mettre en œuvre des
procédures d’évaluation des risques afin de recueillir de l’information qui l’aidera à acquérir
une compréhension de l’entité et de son environnement, y compris son contrôle interne.
80 | P a g e
L’auditeur doit identifier le risque inhérent et le risque lié au contrôle afin d’évaluer les risques
et mettre en œuvre les réponses nécessaires à ces risques.
2.1- Les risques inhérents :

Le risque inhérent (ou risque général de l'entreprise) est le risque qu'une erreur significative se
produise compte tenu des particularités de l'entreprise auditée, de ses activités, de son
environnement, de la nature de ses comptes et de ses opérations43.
Lors de l’évaluation de ce risque, l’auditeur doit identifier le risque à l’affaire ainsi que le risque
lié à l’environnement informatique.
2.1.1- Les risques inhérents liés aux affaires du client
On peut analyser ces risques de la manière suivante :
- Risques liés à l'activité :

 taille de l'entreprise,
 nombre de centres de production et dispersion de leur implantation
géographique,
 marchés et produits de l'entreprise,
 sources d'approvisionnement,
 opérations en monnaies étrangères,
 dates de transfert de propriété,
 mise en cause de la garantie,
 fluctuation de l'activité (sous-activité),
 risques et non-recouvrement des créances,
- Risques liés à la structure du capital :
 risque lié à l'existence d'un dirigeant/associé majoritaire : confusion du
patrimoine,
 risque d'abus de biens,
 risque de non-déductibilité des charges,
 risque de «manipulation» du résultat.
- Risques liés à la structure financière :
 insuffisance de fonds de roulement,
 insuffisance de capitaux propres,
43
2003.
81 | P a g e
 problèmes de gestion de trésorerie,

- Risques liés à l'organisation :
 insuffisance du personnel administratif,
 changements opérés au sein de l'équipe de direction,
 clients nouveaux (procédures spécifiques),
 risque fiscal.
- Risques liés à l'importance de certains postes du bilan lorsque ceux-ci sont supérieurs à
10% du total du bilan.
- Risques liés à certains actifs ou catégories d'opérations :
 vulnérabilité des actifs aux pertes et détournements,
 enregistrement d'opérations inhabituelles ou complexes,
 opérations de redressement au titre d'exercices antérieurs,
 opérations reposant en grande partie sur des estimations.
2.1.2. Les risques inhérents liés à l’environnement informatique
Les caractéristiques de l’environnement informatique d’une entité peuvent entraîner un risque

inhérent élevé et avoir une conséquence à terme sur la continuité d’exploitation. Une entreprise
fortement dépendante de son informatique peut voir remise en cause son activité, en cas de
défaillance majeure survenant dans son système d’information44.
Les processus du référentiel CobiT 5 qui peuvent être utilisés par l’auditeur sont les suivants :
a. Piloter le système de gouvernance : EDM01.03
L’objectif de ce processus est de contrôler l’efficacité et la performance de la gouvernance

informatique de l’entreprise.
Les diligences qui peuvent être mise en place par l’auditeur sont :
- Evaluer l’efficacité et la performance des parties prenantes auxquelles la responsabilité
et l’autorité ont été déléguées pour la gouvernance informatique de l’entreprise.
- Evaluer si les mécanismes de gouvernance informatique qui ont été acceptés (structures,
principes, processus, etc.) sont en place et s’ils fonctionnent efficacement.
- Evaluer l’efficacité de la conception de la gouvernance.
- Contrôler les mécanismes réguliers et routiniers pour s’assurer que l’utilisation de
l'informatique est conforme aux exigences pertinentes (réglementaires, légales,
44
2003.
82 | P a g e
coutumières, contractuelles), aux normes et aux lignes directrices.
b. Evaluer l'optimisation de la valeur : EDM02.01
L’objectif de ce processus est d’évaluer le portefeuille d’investissements, les services et les

actifs liés à l'informatique afin de déterminer le niveau de certitude d’atteindre les objectifs de
l’entreprise et de créer de la valeur à un coût raisonnable.
L’auditeur doit :
- Identifier les besoins des parties prenantes, les problématiques informatiques (par
exemple : la dépendance envers l'informatique), appréhender les connaissances et les
capacités de l'entreprise en matière de technologie vis à vis de l’importance réelle et
potentielle de l'informatique pour la stratégie de l’entreprise.
- Identifier les éléments clés de gouvernance nécessaires pour optimiser la valeur ajoutée
de l’utilisation des services informatiques, existants ou nouveaux, des actifs et des
ressources de manière fiable, sécurisée et rentable.
- Évaluer l’efficacité avec laquelle la stratégie de l’entreprise et celle de l'informatique
sont intégrées et alignés sur l’entreprise et sur ses objectifs pour la création de valeur.
- Évaluer dans quelle mesure les rôles, les responsabilités et les instances décisionnelles
actuels font preuve d’efficacité pour garantir la création de valeur à partir des
investissements, des services et des actifs informatiques.
- Examiner dans quelle mesure la gestion des investissements, des services et des actifs
informatiques s’aligne avec la gestion de la valeur de l’entreprise et les pratiques de
gestion financière.
- Évaluer le portefeuille des investissements, des services et des actifs afin de déterminer
le rapport de ces investissements avec les objectifs stratégiques de l’entreprise, la valeur
de l’entreprise (tant financière que non financière), les risques, la cohérence avec les
processus métiers, l’utilité en matière de convivialité, de disponibilité et de réactivité,
l’efficacité en matière de coût et de fiabilité technique.
c. Evaluer la gestion des ressources : EDM04.01
L’objectif de ce processus est d’examiner et évaluer le besoin actuelle et future en ressources

liées à l'informatique, les options (incluant les stratégies d’approvisionnement) et les principes
d’allocation et de gestion pour répondre aux besoins de l’entreprise de manière optimale.
83 | P a g e
Dans ce cadre, l’auditeur peut suivre les diligences suivantes :

- Examiner et porter un jugement sur la stratégie actuelle et future, sur les options de
fourniture des ressources informatiques et sur le développement des capacités à
répondre aux besoins actuels et futurs.
- Examiner le plan des ressources si capable pour créer de la valeur et atténuer les risques
avec les ressources allouées.
d. Evaluer les exigences des parties prenantes en matière de reporting : EDM05.01
L’objectif de ce processus est d’examiner et évaluer les besoins actuels et futurs des parties
prenantes en matière de communication et de reporting, incluant les exigences obligatoires de
reporting et la communication avec les autres parties prenantes.
Les contrôles que l’auditeur peut les mette en œuvre sont :
- Examiner et évaluer les exigences actuelles et futures en matière de reporting relative à

l’utilisation de l'informatique au sein de l’entreprise (réglementation, législation, loi,
contrats), incluant la portée et la fréquence.
- Examiner et évaluer les exigences actuelles et futures en matière de reporting pour les
autres parties prenantes relatives à l’utilisation de l'informatique au sein de l’entreprise,
incluant la portée et les conditions.
e. Piloter la communication des parties prenantes : EDM05.03
L’objectif est d’évaluer les mécanismes destinés à assurer l’exactitude, la fiabilité et l’efficacité,
et vérifier que les exigences des différentes parties prenantes sont satisfaites.
Les diligences qui peuvent être suivies par l’auditeur sont :
- Évaluer l’efficacité des mécanismes destinés à assurer l’exactitude et la fiabilité du

reporting obligatoire.
- Évaluer l’efficacité des mécanismes de communication avec les parties prenantes
internes et externes.
- Déterminer si les exigences des différentes parties prenantes sont satisfaites.
L’analyse et l’évaluation des risques informatiques peuvent se révéler complexes. L’auditeur
doit, outre l’identification des risques inhérents liés à l’environnement informatique, examiner
et évaluer les contrôles mis en place par l’entité pour faire face à ces risques.
84 | P a g e
2.2- Les risques liés au contrôle :

Le risque lié au contrôle correspond au risque qu’une anomalie susceptible de survenir dans
une assertion et pouvant présenter un caractère significatif soit individuellement, soit de
manière cumulée avec d’autres anomalies, ne soit ni prévenue, ni détectée et corrigée en temps
voulu par le contrôle interne de l’entité45.
L’incidence de l’environnement informatique sur le risque lié au contrôle est appréciée à travers
l’étude des processus et des applications jouant un rôle significatif direct ou indirect dans la
production des comptes de l’entreprise.
2.2.1- Identification des risques et des contrôles clés

Cette étape consiste à définir pour chaque risque significatif des scénarios d’erreurs, afin
d’évaluer la manière dont ils peuvent être compensés par des contrôles clés. Par ailleurs,
l’impact sur les assertions dans les états financiers est également analysé (par ex. exhaustivité,
authenticité, évaluation, rattachement à l’exercice ou représentation dans les comptes annuels).
Compte tenu de la complexité des processus et des applications, il est important de se concentrer
sur l’essentiel lors des travaux d’audit. L’identification des risques et des contrôles clés attendus
constitue la base pour un audit efficace.
Les contrôles clés attendus par l’auditeur sont ensuite comparés aux contrôles effectivement
implémentés et la couverture des risques est évaluée.
Au sein des principaux processus et des systèmes impliqués, les risques qui peuvent entraîner
une inexactitude importante dans les états financiers sont identifiés. Le résultat obtenu est un
aperçu des risques susceptibles d’empêcher la réalisation des objectifs du processus. Cette
analyse des risques permet également de définir l’étendue des procédures d’audit.
Les objectifs de contrôle découlent des risques. Un objectif de contrôle est défini comme une
assertion relative au résultat souhaité (but) devant être atteint grâce à l’implémentation du
contrôle46. Les objectifs de contrôle sont donc souvent des risques «inversés», autrement dit, ils
visent la diminution d’un risque donné.
Par la suite, l’auditeur définit les attentes relatives aux contrôles typiques et attendus pour les
risques identifiés. Il convient de subdiviser ces contrôles en «contrôles clés» et autres contrôles.
45
SMPC : « Guide pour l’utilisation des Normes Internationales d’Audit dans l’Audit des Petites et Moyennes
Entreprises », février 2008.
46
85 | P a g e
Les contrôles clés, individuels ou combinés entre eux, sont indispensables à une réduction
acceptable des risques. Ils sont donc garants de la fiabilité des résultats du processus et des
données financières. Les contrôles clés constituent «la colonne vertébrale» du système de
contrôle et sont donc des objets de vérification essentiels. Les autres contrôles ont une
pertinence moindre pour l’auditeur.
Les contrôles clés attendus par l’auditeur sont comparés aux contrôles effectivement mis en
place et la couverture des risques est évaluée dans le cadre des contrôles clés existants dans le
processus concerné.
Les questions suivantes sont pertinentes pour le déroulement de l’audit et doivent donc être
documentées :
- le but d’un contrôle clé est-il d’empêcher la survenance d’une erreur ou de la détecter ?
- un contrôle est-il réalisé manuellement ou est-il automatisé dans une application ?
Le tableau suivant représente une matrice des risques et des contrôles :
Assertions dans les états

Risques Contrôles Activité Impact Efficacité des contrôles
financiers
Fonctionne-
Imputation comptable
Droits et obligations
Conception
Qu’est- ment des Efficacité
Opérationnelle
Séparation des
des contôles
Exhaustivité
Exactitude
Survenance
contôles
Existence
ce qui Qui contrôle

Préventif
Contrôle
périodes
Détectif
pourrait quoi, Le contrôle

Les con-
se comment ? est-il capable Oui / Non
trôles sont-
passer ? de remplir les
ils réalisés?
critères? / N.A.
Figure n° 8 : Matrice des risques et des contrôles47
La partie gauche présente les risques identifiés et leur couverture par les contrôles.
Le centre de cette matrice des risques et des contrôles permet d’indiquer l’assertion des états
financiers concernés par le contrôle clé. Cela garantit la couverture de toutes les exigences par
les contrôles identifiés.
L’identification des contrôles au sein des transactions n’est pas suffisante en soi, il convient
également de considérer les risques et les contrôles inhérents aux paramètres et aux données de
base. Les contrôles typiques sont les contrôles d’accès et les autorisations.
47
GTAG 8 : « Audit des contrôles applicatifs », juillet 2007.
86 | P a g e
Tous les contrôles importants liés aux applications doivent être pris en compte, autrement dit,
tous les contrôles manuels ou automatiques qui ont une influence directe sur le résultat du
processus. La qualité des contrôles ayant une influence doit être évaluée dans le cadre de
l’appréciation globale de l’audit mais ne fait pas l’objet d’explications plus détaillées.
Pour la compréhension des contrôles applicatifs et en particulier pour l’évaluation ultérieure de

la conception des contrôles, une documentation appropriée des contrôles revêt une importance
fondamentale. La documentation permet à l’auditeur de comprendre quelles sont les «règles de
gestion» devant être garanties par le contrôle.
2.2.2- Tests de cheminement

Le test de cheminement consiste à effectuer et à documenter les étapes manuelles/automatiques
du processus ou de la classe de transaction sur la base d’une transaction type servant d’exemple.
Il sert à vérifier la compréhension du processus concerné, les risques et les contrôles y relatifs
mais également à confirmer l’analyse précédente.
La profondeur, respectivement le degré de détail avec lequel un test de cheminement est

effectué, dépend de l’intention de l’auditeur de s’appuyer ou non sur le système de contrôle
existant.
Si l’auditeur a l’intention de s’appuyer sur les contrôles, il analysera en détail le fonctionnement

des différents contrôles pendant le test de cheminement afin de savoir s’ils couvrent
effectivement les risques existants ou non.
Si l’auditeur n’a pas l’intention de s’appuyer sur l’efficacité des contrôles, il se contentera d’un
test de cheminement moins détaillé. Il doit garantir que l’auditeur comprend tous les risques
principaux (financiers) pouvant résulter du processus.
Le test de cheminement permet de vérifier systématiquement :
- la compréhension des flux de traitement,

- la consistance et la pertinence de la documentation et du diagramme de flux existants,
- la correction et l’exhaustivité des informations sur les contrôles pertinents et
- l’existence des contrôles pertinents dans les activités quotidiennes.
Une transaction est sélectionnée par classe de transaction. Son traitement est analysé via le
processus global, en commençant par l’initiation de la transaction et son autorisation, son
enregistrement, son traitement, jusqu’à sa comptabilisation.
87 | P a g e
Le mieux est de décomposer le processus à l’aide du modèle à quatre niveaux48 :
- Méga processus (niveau 1) : ce niveau correspond à l’intégralité du processus, de bout

en bout.
- Processus majeur (niveau 2) : ce niveau correspond aux principaux composants du
processus de bout-en-bout.
- Processus mineur, ou sous-processus (niveau 3) : ce niveau correspond aux composants
mineurs, ou sous-processus, de chacun des processus majeurs.
- Activité (niveau 4) : ce dernier niveau correspond aux transactions du système qui
aboutissent à la création, à la modification ou à l’effacement de données pour chacun
des composants mineurs ou sous-processus.
Le processus de transaction doit être suivi à partir du fait générateur, puis au travers des
différentes étapes de traitement dans l’application. Lors du déroulement du processus, les
contrôles existants sont vérifiés et la sélection de contrôles clés analysée.
Dans le cadre du test de cheminement, le personnel doit être interrogé sur sa compréhension
des descriptions de fonction et des consignes de contrôle, en particulier en ce qui concerne le
traitement des exceptions dans le processus ou les traitements des erreurs.
a. Diagrammes de flux
Les diagrammes de flux constituent l’une des techniques les plus efficaces utilisées pour
présenter la circulation des transactions, et les applications qui leur sont associées, ainsi que les
contrôles manuels effectués dans un processus de bout- en-bout. Cependant, les diagrammes de
flux ne sont pas toujours pratiques, et une description narrative des processus se révèle parfois
plus adaptée. C’est notamment le cas lorsqu’un auditeur consigne par écrit les domaines, ou un
travail effectué dans l’environnement informatique.
b. Description narrative des processus
La description narrative constitue une autre technique permettant d’établir la documentation sur
les flux des transactions induits par les processus d’entreprise, ainsi que sur les applications qui
y sont associées. Le mieux est de se servir de ces descriptions comme d’un outil de
documentation pour des processus et des environnements informatiques relativement peu
48
88 | P a g e
complexes. En effet, plus le processus est complexe, plus il est difficile de rédiger une
description narrative qui en reflète correctement et fidèlement la vraie nature. Dans le cas des
processus relativement complexes, l’auditeur doit élaborer un diagramme de flux accompagné
d’une description narrative correspondante dans lesquels les contrôles sont numérotés.
2.2.3- Evaluation de la conception des contrôles

L’évaluation de la conception des contrôles examine l’adéquation (couverture des risques,
exhaustivité, actualité) et l’efficacité économique (redondances, chevauchements) de
l’ensemble du système de contrôle interne en tenant compte des principaux processus métier
dans leur globalité. La conception des contrôles, notamment leur positionnement dans le
processus métier, doit être évaluée pour savoir si :
- les risques identifiés sont entièrement couverts,

- les objectifs de contrôle définis peuvent être réellement atteints par les contrôles mis en
place,
- les contrôles permettent réellement de réduire les risques d’erreur et de fraude et si la
couverture des risques s’effectue de manière efficace et économique,
- ou si, le cas échéant, un autre contrôle ou combinaison de contrôles, notamment de
contrôles au niveau de l’environnement de l’entreprise, est plus efficace pour réaliser le
même objectif de contrôle.
Seule une compréhension approfondie de la conception des contrôles permet de définir une
stratégie d’audit appropriée pour l’évaluation du fonctionnement des contrôles.
Une analyse minutieuse de la conception des contrôles permet :
- d’identifier les lacunes, les chevauchements et les doublons en matière de contrôles ;

- d’éviter la réalisation onéreuse de contrôles par les services et, le cas échéant, les tests
de fonctionnement des contrôles par l’auditeur ;
- d’envisager que le même résultat ou un meilleur résultat peut être obtenu avec
l’utilisation ou l’adaptation d’autres contrôles, notamment de contrôles déjà établis.
Le système de contrôle interne est présumé effectif lorsque les contrôles sont respectés et
donnent une assurance raisonnable que les erreurs ou les abus n’affectent pas de manière
significative les états financiers. Certaines procédures d’audit orientées processus sont conçues
pour attester que la conception des contrôles permet d’identifier, d’éviter et de corriger des
erreurs importantes.
89 | P a g e
Les procédures d’audit d’évaluation de la conception des contrôles comportent des questions,
des observations, des tests de cheminement, la revue de la documentation principale et
l’évaluation de l’adéquation de contrôles spécifiques.
L’auditeur doit évaluer les contrôles en termes de niveau d’automatisation (manuels, semi-
automatiques, automatiques), d’impact (préventifs, détectifs), de fréquence de contrôle et de
couverture de risque.
Concernant le niveau d’automatisation, les contrôles automatiques sont plus efficaces que les
contrôles manuels car ils ont un fonctionnement continu dans le temps et un coût
d’implémentation unique. De plus, leur efficacité est plus stable tant qu’aucune modification
significative n’est effectuée dans l’application.
Il est communément admis que les contrôles préventifs permettent plus facilement d’atteindre
les objectifs de contrôle que les contrôles détectifs qui visent l’identification d’erreurs en aval
des traitements.
En règle générale, une fréquence élevée de contrôles manuels et semi-automatiques entraîne

des coûts et des délais plus élevés par rapport à des contrôles automatiques dont la fréquence
n’a pratiquement pas d’influence sur les coûts d’exploitation. En revanche, une fréquence
d’exécution peu élevée d’un contrôle manuel ou semi-automatique peut nuire à son efficacité.
Un contrôle qui couvre plusieurs objectifs de contrôle ou différents risques est en principe
considéré comme plus efficace, plus fiable et plus économique qu’un contrôle ciblé sur un seul
risque.
Les contrôles en amont, c’est-à-dire les contrôles préventifs, mais également les contrôles
automatiques représentent un potentiel d’économie considérable ainsi qu’une assurance élevée
au niveau de leur appréciation.
Outre les faiblesses déjà connues, l’analyse des contrôles au niveau de l’entreprise offre un
potentiel considérable d’amélioration de la conception des contrôles. Compte tenu de son
influence globale sur l’ensemble des processus, ce potentiel optimise les différents contrôles du
processus, les complète ou même les remplace. Souvent, en raison des courts délais impartis
pour la mise en place de systèmes de contrôle interne, les objectifs de contrôles sont réalisés de
manière redondante dans le cadre de contrôles de processus et de contrôles au niveau de
l’entreprise. Il y a toutefois lieu de vérifier si les contrôles assurent une réaction immédiate ou
s’ils ne sont en mesure d’apporter une réponse adéquate qu’à moyen terme. D’autres
90 | P a g e
redondances et chevauchements peuvent être identifiés lors de l’harmonisation de la conception

des contrôles dans les processus métiers et de support.
Dans le cadre de son appréciation de la conception des contrôles, lorsque l’auditeur identifie
des contrôles clés qu’il considère comme inopérants, le système de contrôle à évaluer présente
alors une lacune. Pour la combler, il doit identifier d’autres contrôles clés ou des contrôles
compensatoires et évaluer leur efficacité. Dans ce cas, l’auditeur doit toujours garder à l’esprit
la sélection complète de contrôles clés pour éviter de créer des redondances coûteuses.
Une adaptation de la sélection des contrôles clés s’impose également lorsqu’il apparaît, lors du
test de cheminement ou de l’évaluation de la conception des contrôles, que l’effort pour tester
un contrôle clé est disproportionné.
2.2.4- Evaluation du fonctionnement des contrôles

L’évaluation du fonctionnement des contrôles permet à l’auditeur d’émettre une opinion sur le
système de contrôle interne. Elle vise à définir l’efficacité d’un contrôle en évaluant que le
contrôle fonctionne comme prévu et qu’il a été exécuté entièrement par une personne qualifiée
et autorisée.
Le test de fonctionnement des contrôles fournit à l’auditeur l’assurance nécessaire pour

apprécier le fonctionnement réel des contrôles pendant toute la période d’audit, la couverture
des risques et des objectifs de contrôles. La nécessité et l’étendue des tests découlent de la
stratégie d’audit.
L’évaluation du fonctionnement des contrôles comprend les étapes suivantes :
- sélection des contrôles à vérifier,

- choix de la stratégie du test,
- choix de la procédure de test, et notamment de la taille de l’échantillon
- évaluation des exceptions relevées et de l’importance des erreurs et des faiblesses
constatées.
L’auditeur obtient des éléments probants pour l’évaluation des contrôles par le biais de
procédures d’audit.
Les types des tests que l’auditeur peut les utiliser dans le cadre de l’évaluation des contrôles
sont49 :
49
GTAG 11 : « Elaboration d’un plan d’audit des systèmes d’information », juillet 2008.
91 | P a g e
Test unique : un contrôle programmé doit en principe être testé une seule fois. Lors du test,
l’auditeur doit vérifier que le contrôle testé fonctionne comme prévu dans l’ensemble des
situations pertinentes possibles.
Test direct : le fonctionnement du contrôle est vérifié sur la base d’un échantillonnage ou par
analyse des données de transactions.
Analyse des données : l’efficacité d’un contrôle est vérifiée au moyen d’une analyse des
données assistée par ordinateur. Dans le cas idéal l’analyse porte sur l’ensemble des données
pertinentes.
Les facteurs suivants peuvent influencer la procédure de contrôle ainsi que le niveau
d’assurance obtenu par l’auditeur :
- fréquence de réalisation du contrôle : plus la fréquence de réalisation d’un contrôle

manuel est faible, plus la quantité de cas à contrôler est faible.
- importance du contrôle : plus l’auditeur s’appuie sur un contrôle ponctuel pour former
son opinion d’audit, plus ce contrôle doit être testé.
- validité du justificatif de contrôle : si le contrôle génère des évidences liées à l’efficacité
de son fonctionnement (traçabilité, exhaustivité, exactitude), la quantité de cas à tester
peut être plus faible qu’en cas de contrôle sans justificatifs documentés.
- importance relative des constats d’erreurs ou de différences. Celles-ci sont variables
selon l’importance, la complexité et la quantité des transactions traitées.
- management Override : évaluation de la probabilité de contourner ou de forcer un
contrôle par une personne responsable.
- fréquence de changement des contrôles : l’efficacité du contrôle peut être
considérablement influencée par des changements touchant le contrôle lui-même ou le
processus environnant.
L’auditeur doit obtenir le même degré d’assurance indépendamment de la taille de l’entreprise,

toutefois, il peut tenir compte du fait que certains contrôles internes ne sont pas praticables pour
de petites entreprises ou de petites unités d’organisation. Ainsi, une séparation des fonctions
insuffisante peut être remplacée par un contrôle compensatoire, ou l’auditeur peut compenser
l’absence d’évidences de contrôle ou d’éléments probants par des contrôles orientés résultat.
L’auditeur qualifie le risque d’audit comme élevé lorsque les contrôles ne peuvent éviter,
identifier et corriger une anomalie importante.
92 | P a g e
2.3- Synthèse de l’évaluation des risques

Le risque d’une mission d’audit est le risque que le professionnel exprime une opinion
inappropriée alors que les états financiers comportent des anomalies significatives50. Ce risque
comprend :
- Le risque que l’information soit affectée par des anomalies significatives. Ce risque se
présente sous deux formes :
- un «risque inhérent» qui correspond à la possibilité qu’une assertion comporte
une anomalie qui pourrait être significative, soit individuellement, soit de manière cumulée
avec d’autres anomalies, nonobstant les contrôles existants.
- un «risque lié au contrôle » qui correspond au risque qu’une anomalie susceptible
de survenir dans une assertion et pouvant présenter un caractère significatif soit
individuellement, soit de manière cumulée avec d’autres anomalies, ne soit ni prévenue,
ni détectée et corrigée en temps voulu par le contrôle interne de l’entité.
Le risque de non détection est le risque que le professionnel ne détecte pas une anomalie
matérielle qui existe.
La synthèse de l’évaluation des risques peut être présentée sous forme d’un schéma suivant :
Figure n°9 : Présentation schématique de la synthèse des risques51

50
IFAC, ISA 200 « Objectifs généraux de l’auditeur indépendant et réalisation d’un audit conforme aux Normes
internationales d’audit ».
93 | P a g e
Lors de l’évaluation des risques, l’incidence de l’environnement informatique sur le risque

inhérent et sur le risque lié au contrôle a été prise en compte et le risque de non détection permet
de déterminer les contrôles substantifs à mener dans la phase « les tests de validation ».
Il convient de rappeler que le risque le plus important pour l’auditeur est le risque de non
détection.
L’auditeur doit réunir plus des éléments probants provenant de contrôles substantifs si le
risque inhérent et le risque lié au contrôle sont évalués à un niveau élevé. Lorsque ces
risques sont évalués à un niveau élevé, l’auditeur détermine si les contrôles substantifs
fournissent des éléments probants suffisants pour réduire le risque de non détection, et donc
le risque d’audit à un niveau acceptable faible.
Suite à l’évaluation des risques, l’auditeur doit mettre en places des tests de validation lui
permettant de réduire le risque de non détection à un niveau acceptable.
Section 3 : Les tests de validation

L’audit financier a été défini comme un examen critique en vue de formuler une opinion sur
les états financiers dans l’intérêt de tous les participants, actuels ou futurs, porté à l’avis de
l’entreprise, sous quelle que forme que ce soit 52. Cet examen critique correspond à la nécessité
de confirmer la validité des informations données par l’entreprise, pour le résultat et la
situation financière.
Emettre une opinion sur la qualité de l’information financière se fait à partir de quatre critères :
La prudence : est l’appréciation raisonnable des faits afin d’éviter le risque de transfert, sur
l’avenir, des incertitudes présentes susceptibles de grever le patrimoine et les résultats de
l’entreprise.
La régularité : des comptes signifie la conformité à la réglementation (textes législatifs et
réglementaires) ou, en son absence, aux principes généralement admis.
La sincérité : des comptes concerne l’évaluation correcte des valeurs comptables et
l’appréciation raisonnable des risques et des dépréciations de la part des dirigeants de
l’entreprise.
L’image fidèle : L’image fidèle constitue le principe à respecter lorsque la règle, ou le principe
généralement admis n’existe pas ou lorsqu’elle est insuffisante pour traduire la réalité.
51
CNCC : « prise en compte de l’environnement informatique et incidence sur la démarche d’audit », guide
d’application, avril 2003, p.191.
52
IFAC, ISA 705 « Expression d’une opinion modifiée dans le rapport de l’auditeur indépendant ».
94 | P a g e
L’application de ce principe doit permettre de donner une image la plus objective possible de
cette réalité, en évitant les déformations intentionnelles, les manipulations ou les omissions de
faits significatifs de par l’application des autres critères.
3.1- Le contrôle des comptes

L’auditeur doit mettre en place des contrôles de validation afin de s’assurer que les états
financiers dont leurs globalités ne contiennent pas des anomalies significatifs.
3.1.1- Immobilisations incorporelles

L’objectif est de s’assurer que tous les frais engagés par la société et répondant aux définitions
sont inscrits à l’actif de façon constante et conformément aux principes comptables
généralement admis et qu’il n’existe aucune perte latente par rapport aux valeurs nettes
comptables des immobilisations incorporelles.
Les listes des contrôles possibles sont :
- Vérifier les soldes d’ouverture avec les comptes de l’exercice précédent.
- S’assurer par examen du tableau des mouvements qu’aucune variation anormale n’est
intervenue depuis les travaux effectués sur le contrôle interne qui pourrait remettre en cause
les conclusions.
- Vérifier les mouvements de l’exercice avec les justificatifs. S’assurer que tous les droits de
mutation ont été payés.
- Passer en revue les comptes de charges et confirmer qu’aucun élément, qui aurait dû être
comptabilisé en immobilisation incorporelle, n’a été passé en charges.
- Vérifier que les amortissements sont calculés de manière constante et sur une durée
comptable avec la nature de chaque catégorie (durée de protection, durée de bail, etc.).
- En cas de cession en cours d’exercice, vérifier le calcul des plus ou moins-values et leur
traitement fiscal.
- Se reporter au programme de vérification des engagements hors bilan et faire les travaux
concernant les immobilisations.
- Vérifier que les informations qui figurent dans l’annexe sont complètes et conformes aux
chiffres précédemment vérifiés.
3.1.2- Immobilisations corporelles
L’objectif est de s’assurer que les montants inscrits aux postes d’immobilisations reflètent
l’intégralité des biens dont l’entreprise est propriétaire et qu’elle utilise et des coûts encourus
pour l’acquisition ou la création de ces biens.
95 | P a g e
Les contrôles d’existence :

Si la société procède à un inventaire physique :
- Examiner les procédures suivies.
- Assister à la prise d’inventaire.
- Vérifier que le fichier et les comptes sont mis à jour.
- Obtenir des explications pour tout écart important.
Si des immobilisations importantes sont détenues par des tiers, appliquer la procédure de
confirmation directe.
Vérifier l’existence physique des actifs importants.
a. Les contrôles de propriété :
Vérifier les titres de propriété de la société en ce qui concerne les terrains et les immeubles et
s’assurer auprès du conservateur des hypothèques ou au moyen d’autres procédures s’ils sont
ou non hypothéqués, ou s’ils ont subi une autre aliénation possible.
b. Les contrôles de validité :
Rapprocher les soldes d’ouverture (valeur brute et amortissement) avec les comptes de
l’exercice précédent.
S’assurer que les soldes au fichier des immobilisations correspondent aux totaux inscrits sur
le compte du grand livre.
Vérifier les principales acquisitions de l’exercice physiquement et avec des contrats, procès-
verbaux du Conseil d'administration, des budgets d’investissements et des justificatifs
(commandes, factures, paiements).
S’assurer, concernant les acquisitions, que les frais de transport, droits de douane, frais
d’installation et de montage ainsi que la T.V.A. sur véhicules de tourisme et des logements,
sont immobilisés.
S’assurer, concernant les acquisitions, que les droits d’enregistrement et les commissions ou
la T.V.A sur les équipements autres que les véhicules de tourisme et des logements, ne sont
pas immobilisés.
Vérifier que les acquisitions des immobilisations ont bien été soumises aux droits de mutation
correspondant à leur nature (vérification du domaine respectif de la T.V.A. immobilière et des
droits d’enregistrement).
Vérifier que l’entreprise n’a pas passé en charges des éléments constitutifs du prix de revient
96 | P a g e
des immobilisations (honoraires d’architectes, coût d’installation et travaux d’aménagement

d’un terrain, taxe d’équipement, etc.…).
Rechercher les dépenses dont l’importance et la nature leur confèrent le caractère
d’immobilisations (attacher une attention particulière en ce qui concerne les « grosses
réparations » susceptibles d’être rejetées des charges de l’exercice) et inversement s’assurer
qu’aucune ne charge n’a été immobilisée.
Vérifier les principales cessions de l’exercice avec les documents justificatifs (facture,
autorisation, encaissement du prix, certificat de destruction…).
Vérifier que la valeur brute et les amortissements ont été sortis des comptes et du fichier.
En cas de cession d’un bien immobilisé, vérifier le reversement de T.V.A.
3.1.3- Titres de Participation et Créances Rattachées à des Participations
L’objectif est de s’assurer que les montants inscrits au bilan en titres de participation, en titres
de placement et en comptes courants reflètent l’ensemble des titres appartenant à la société,
valorisés en accord avec les principes comptables applicables à chacun de ces actifs et que les
montants inscrits au compte de résultats représentent bien l’intégration des produits, gains ou
pertes imputables à l’exercice et correspondent à des transactions effectuées à des conditions
normales.
a. Les contrôles de l’existence et de propriété :
Vérifier l’existence et la propriété des titres par confirmation de l’inscription en compte auprès
de la société émettrice ou de l’intermédiaire habilité.
En faisant ce contrôle s’assurer que les titres sont au nom de la société et ne portent aucune
mention d’aliénation.
b. Les contrôles de validité :
Vérifier que la classification est conforme au Plan comptable Tunisien.

S’assurer que les revenus inscrits dans le compte de résultat se rattachent à l’exercice.
Pour les cessions, vérifier l’encaissement du prix de vente, les calculs des plus ou moins-
values, la réintégration des provisions antérieurement constituées, ainsi que les écritures
comptables.
3.1.4- Autres immobilisations financières

L’objectif est de s’assurer que les soldes figurant au bilan concernent des montants à recevoir
entièrement recouvrables et résultant d’opérations effectuées dans le cadre de l’activité
97 | P a g e
normale de l’entreprise et que toutes les charges et tous les profits relatifs à ces comptes ont
été correctement comptabilisés.
- Comparer les soldes figurant au bilan avec les montants de l’exercice précédent : lorsque
les postes concernés sont un peu importants, l’explication des variations peut être
suffisante pour atteindre l’objectif recherché.
- Lorsqu’il existe des balances nominatives, les pointer avec les comptes individuels et
vérifier le solde avec le compte collectif.
- Vérifier que les dépôts de garantie et cautionnements correspondent toujours à un
service rendu.
3.1.5- Stocks
L’objectif est de s’assurer que les montants inscrits dans les comptes annuels représentent tous
les produits physiquement identifiables qui appartiennent à l’entreprise, que ces produits sont
évalués au plus bas du prix de revient ou de la valeur réalisable et que les différences constatées
entre l’inventaire permanent d’une part et l’inventaire physique d’autre part, ont été
expliquées.
a. Vérification des quantités :
Assister à l’inventaire physique périodique et vérifier que les procédures sont correctement
appliquées.
Rapprocher les informations relevées lors de l’inventaire de l’état final des stocks (sondages
ponctuels, exhaustivité de la récapitulation…).
Pour les stocks détenus par des tiers ou pour des tiers : appliquer la procédure de confirmation
directe ou assister aux prises d’inventaire physique.
Pour les travaux en cours, vérifier le stade d’avancement avec les documents permettant de
suivre la production (l’existence physique de ces travaux doit être vérifiée en même temps que
le reste des stocks).
b. Séparation des exercices :
En liaison avec le contrôle des postes clients et fournisseurs, ventes et achats vérifier que :
- les dernières réceptions de l’exercice (achats et retours clients) ;
98 | P a g e
- les dernières expéditions (ventes et retours fournisseurs) ;

- les transferts entre ateliers avec les sous-traitants ;
- Les autres mouvements ont été correctement pris en compte.
Pour les mêmes données, vérifier que les premiers mouvements de l’exercice suivant n’ont pas
été enregistrés sur l’exercice en cours.
Vérifier que les frais de transport relatifs à ces mouvements ont été correctement enregistrés
sur l’exercice.
c. Valorisation :
Pour les matières et marchandise vérifier les factures avec les coûts d’acquisition utilisés.
Pour les produits semi-ouvrés, en cours ou finis :
- Vérifier que les coûts imputés à la production de l’année correspondent aux charges
comptabilisées (hors effet de sous-activité).
- Si les produits sont valorisés au coût de production réel par produit, vérifier les clefs
de répartition utilisées et refaire le calcul de certains coûts.
- Si les produits sont valorisés à partir de coûts standard, analyser les écarts constatés et
leur réincorporation. S’assurer que la méthode utilisée aboutit à une évaluation des
stocks au coût réel de production.
S’il y a eu changement, calculer l’effet de ce changement sur :
- les résultats de l’exercice
- le montant des stocks inscrits au bilan.
Comparer les stocks aux coûts des marchandises vendues pour les principales catégories de
stocks (déterminer le nombre de jours de vente en stock). Expliquer les variations par rapport
aux périodes précédentes et par rapport à la politique de la société.
Comparer les coûts d’acquisition ou de production des principales catégories de stocks avec
ceux de l’exercice précédent.
Se renseigner pour savoir s’il y a des nantissements ou d’autres engagements sur les stocks.
S’assurer que la couverture d’assurance sur les stocks est suffisante.
S’assurer que les stocks en provenance des sociétés de groupe n’ont pas été achetés et valorisés
à des coûts différents de ceux en vigueur sur le marché.
3.1.6- Ventes-clients
L’objectif est de s’assurer que les produits et charges inscrits au compte de résultat et
provenant des opérations de ventes résultent uniquement de l’enregistrement intégral des
99 | P a g e
transactions réalisées dans l’exercice comptable considéré et que les comptes de tiers inscrits
au bilan et provenant des opérations de ventes sont correctement évaluées et bien classés.
Procéder à une analyse des ratios significatifs et des variations par rapport à l’exercice
précédent.
Passer en revue les balances et analyses de comptes de la société pour :
- Identifier les comptes dont les libellés sont imprécis (ou inexistants) ou toute autre
anomalie apparente ;
- Obtenir les explications nécessaires. Pointer l’ensemble des comptes concernés avec le
grand livre.
a. Séparation des exercices :
Examiner la ventilation du chiffre d’affaires par mois et identifier les variations anormales.
Vérifier que les dernières livraisons de l’exercice sont sorties des stocks et facturées.
Vérifier que les premières livraisons de l’exercice suivant n’ont fait l’objet ni de sorties de
stocks, ni de facturation anticipée.
Vérifier que les premières factures de l’exercice suivant correspondent à des sorties de stocks
sur l’exercice.
Procéder de même avec les avoirs. Passer systématiquement en revue les avoirs émis après la
clôture et obtenir des explications pour les éléments significatifs.
Vérifier que les autres charges calculées en fonction du chiffre d’affaires (ex. : commissions…)
ont été comptabilisées.
b. Evaluation des créances :
Vérifier que les créances exprimées en devises ont été correctement comptabilisées.
Vérifier l’annulation des provisions antérieurement constituées à raison des créances
douteuses encaissées.
Vérifier le bien-fondé de la déductibilité fiscale (ou non) de la provision pour créances
douteuses.
3.1.7- Trésorerie
L’objectif est de s’assurer que la situation de la trésorerie de l’entreprise à la clôture de
l’exercice est reflétée de façon exacte par les montants inscrits au bilan et que les frais et
produits financiers concernant les opérations de trésorerie inscrits au compte de résultat
100 | P a g e
reflètent bien l’intégralité des frais et produits pour l’exercice considéré.

S’assurer que les informations reçues directement des banques sont conformes aux écritures
passées dans les livres comptables.
Vérifier les rapprochements bancaires : s’assurer que les délais entre les dates des écritures
comptables et les dates de l’écriture sur relevé bancaire sont raisonnables en ce qui concerne
les recettes.
S’assurer que la ventilation des échéances dans l’annexe est correcte.
S’assurer que les transferts des fonds effectués entre les comptes bancaires sont raisonnables.
Revoir les recettes d’importance exceptionnelle au début de l’exercice suivant pour s’assurer
qu’elles ne sont pas la contrepartie de facilités reçues à la fin de l’exercice pour pouvoir donner
une présentation améliorée de la situation de trésorerie.
Faire un comptage des espèces en caisse à la date de clôture de l’exercice. Si ceci a été fait à
une date antérieure, revoir le journal de caisse pour la période jusqu'à la clôture de l'exercice,
et s'assurer que le solde au bilan est correct.
3.1.8- Emprunts et dettes assimilés

L’objectif est de s’assurer les montants inscrits au bilan sont correctement évalués et bien
classifiés, et qu’ils reflètent l’intégralité des emprunts et dettes et que les montants inscrits au
compte de résultat reflètent bien l’intégralité des charges ou produits pour l’année.
Vérifier chaque emprunt avec le tableau et les annuités de remboursement. Comparer avec les
écritures de l’année et avec les soldes en fin d’exercice.
Vérifier la ventilation long terme, court terme.
Comparer le montant des intérêts pour l’exercice avec celui de l’exercice précédent.
3.1.9- Achats-fournisseurs
L’objectif est de s’assurer que les charges et produits inscrits au compte de résultat et
provenant des opérations d’achats résultent uniquement de l’enregistrement intégral des
au bilan et provenant des opérations d’achats sont correctement évaluées et bien classifiés.
Procéder à une analyse des ratios significatifs et des variations par rapport à l’exercice
précédent afin d’identifier les anomalies apparentes.
101 | P a g e
Vérifier que :
- Les derniers bons de réception de l’exercice ont donné lieu à l’enregistrement de
factures ou de provisions.
- Les derniers bons de retour de l’exercice ont donné lieu à l’enregistrement d’avoir ou
de provisions pour avoirs à recevoir ;
- Les dernières factures et les derniers avoirs comptabilisés correspondant à des
mouvements de l’exercice.
Comparer les montants passés en charges avec les budgets et expliquer les écarts significatifs.
Vérifier la ventilation des fournisseurs entre fournisseurs d’exploitation et fournisseurs
d’immobilisations.
3.1.10- Capitaux propres, réserves et subventions
L’objectif est de s’assurer que le capital, les réserves, les subventions et les provisions
réglementées, ainsi que l’affectation des résultats, conformément aux règles et principes
généralement admis et que la loi sur les sociétés et les statuts de la société ont été respectés.
Vérifier la répartition du capital par catégories d’actions avec les statuts et la réglementation.
Contrôler que les minima légaux ont été respectés en ce qui concerne :
- le montant total du capital,
- le nombre des actionnaires ou des associés.
S’assurer que l’égalité entre les actionnaires a été respectée.
S’assurer de la conformité de l’affectation des résultats avec les règles légales et les obligations
statutaires.
S’assurer que l’affectation des résultats a été approuvée par les actionnaires réunis en
assemblée générale.
Vérifier les subventions reçues avec les décisions d’attributions et titres de paiement.
S’assurer du respect des obligations mises à la charge des entreprises en contrepartie.
3.1.11- Provisions pour risques et charges

L’objectif est de s’assurer que les montants figurant au bilan sont justifiés et suffisants pour
couvrir les risques encourus par l’entreprise et que les dotations et reprises, au compte de
résultat sont correctement comptabilisées.
102 | P a g e
Obtenir tous les justificatifs des mouvements enregistrés dans l’exercice.

Vérifier l’évaluation des risques provisionnés à la fin de l’exercice.
S’assurer que tous les risques encourus ont fait l ‘objet d’une provision :
- Garanties, pertes sur marchés…
- Litiges (à référencer avec les confirmations des avocats et conseillers juridiques).
- Revue des procès-verbaux de conseil.
Vérifier les critères retenus pour la déductibilité fiscale des provisions.
3.1.12- Débiteurs et créditeurs divers et autres

L’objectif est de s’assurer que les soldes figurant à l’actif du bilan concernent des montants à
recevoir entièrement recouvrables et que toutes les dettes diverses de l’entreprise sont
comptabilisées ou provisionnées.
Analyser les soldes et vérifier les documents justificatifs.
Vérifier les encaissements après la date de clôture.
S’assurer que les montants sont correctement répartis entre le long terme et le court terme.
Vérifier que les comptes d’attente sont soldés en fin d’exercice.
Passer en revue les factures reçues et/ou montants payés au début de l’exercice suivant (ou
utiliser tout autre moyen approprié à l’entreprise) pour vérifier qu’aucune charge significative
n’a été omise et s’assurer de leur rattachement au poste de bilan concerné.
3.1.13- Compte de résultat

L’objectif est de s’assurer que le compte de résultat reflète bien l’activité de l’entreprise
pendant l’exercice considéré.
L’auditeur devra commencer le contrôle des comptes par une revue analytique du compte de
résultat et des principaux ratios de l’entreprise. Cette revue lui permettra d’identifier les
variations anormales qui pourraient remettre en cause les conclusions de l’analyse du contrôle
interne et/ou justifier la modification du programme de contrôle des comptes.
Cette analyse sera plus ou moins développée selon la complexité de l’entreprise.
Il conviendra d’obtenir l’explication auprès de la direction de l’entreprise de ces évolutions et
de juger si les explications sont raisonnables et, en conséquence, mettre au point un programme
de contrôle des comptes.
103 | P a g e
3.1.14- Paie-personnel
L’objectif est de s’assurer que les charges et produits inscrits au compte de résultat et ayant
pour origine les droits et les obligations de l’entreprise vis-à-vis de son personnel, résultent
uniquement de l’enregistrement intégral des transactions réalisées dans l’exercice comptable
considéré et que les comptes de tiers inscrits au bilan et provenant des transactions avec le
personnel sont correctement évalués et bien classifiés.
Etudier l’évolution des montants mois par mois, ainsi que les écarts par rapport aux prévisions,
et en expliquer les causes.
Pour les calculs des primes de fin d’année, des primes de bilan, les congés payés, la
participation, etc… :
- S’assurer que les bases n’ont pas changé depuis le dernier audit, les congés payés,
etc… ;
- Vérifier les données variables avec les documents de base (catégorie professionnelle,
niveau hiérarchique, heures de présence, etc…) ;
- Vérifier les calculs.
Contrôler l’assiette des commissions représentants, l’application correcte des taux et des
calculs.
Vérifier la conformité des rémunérations des gérants, administrateurs, P.D.G., avec les
décisions du conseil ou de l’assemblée.
3.1.15- Etat : impôts et taxes

L’objectif est de s’assurer que les montants d’impôts et taxes figurant au bilan et au compte
de résultat sont correctement calculés et comptabilisés et que les comptes annuels de
l’entreprise ne dissimulent pas un risque fiscal important.
Vérifier l’état de rapprochement entre les déclarations et la comptabilité.
Vérifier les montants du bilan avec les déclarations et les journaux.
Vérifier le calcul de l’impôt de l’exercice (sans oublier les impôts de l’exercice précédent dont
le paiement a été étalé et l’utilisation des moins-values reportées).
3.1.16- Engagements hors bilan

L’objectif est de rechercher les engagements reçus et donnés ainsi que les passifs éventuels
existant à la fin de l’exercice et s’assurer qu’ils font l’objet d’une information adéquate dans
104 | P a g e
les comptes annuels.

Examiner les procès-verbaux des réunions des assemblées et conseils dans le but d’en extraire
les mentions de contrats ou toute autre forme d’engagement ou passifs éventuels.
Examiner de la même façon, s’il y a lieu, les rapports des comités de direction.
Analyser les réponses de confirmation directe des banques, organismes financiers, débiteurs
et créditeurs, afin d’en extraire les renseignements relatifs aux engagements hors bilan ou qui
permettraient de déceler un risque pour l’entreprise.
Examiner les conditions des contrats exceptionnels d’achats et de ventes en recherchant les
stipulations restrictives ou les clauses de garantie ou toute condition inhabituelle.
Obtenir une récapitulation des informations concernant les opérations de crédit-bail et les baux
à long terme non résiliables et vérifier avec les contrats.
3.2- Observation physique

L’observation physique est une technique, à haut niveau de force probante, qui est utilisée pour
confirmer l’existence d’un actif.
Cette technique peut s’appliquer principalement aux :
- Stocks
- Immobilisations corporelles
- Effets de commerce
- Espèces en caisse
L’organisation et la réalisation des inventaires étant la responsabilité de l’entité, la
responsabilité de l’auditeur est de s’assurer que la prise d’inventaires est faite correctement et
que les quantités inventoriées à la date donnée le sont de manière sincère.
L’objectif principal lors d’un contrôle physique consiste à s’assurer que :
- Les biens figurant dans les comptes existent effectivement et peuvent être identifiés ;
- Tous les biens existant physiquement dans l’entreprise et qui lui appartiennent sont
effectivement inclus dans les comptes.
Section 4 : Synthèse des travaux

Dans l’étape de conclusion, les résultats des différentes étapes de l’audit sont évalués et
synthétisés dans une appréciation globale en fonction de leur influence sur les rapports
financiers.
L’auditeur émet une opinion sur l’adéquation du système de contrôle interne et sa capacité à
éviter des erreurs majeures dans les états financiers, avec un niveau d’assurance raisonnable.
105 | P a g e
De plus, une appréciation globale est rendue sur :

- dans quelle mesure l’application contrôlée supporte le processus métier (conception
des contrôles, fonctionnement des contrôles) ;
- la présence de lacunes de contrôle significatives dans l’application ;
- l’impact des lacunes de contrôle sur les traitements de l’application et sur le processus
global ainsi que sur les assertions s’y rapportant dans les états financiers ;
- la présence, dans le processus métier, de contrôles qui compensent l’impact
d’éventuelles faiblesses de contrôle dans l’application et sur les vérifications de
contrôle et les procédures d’audit orientées résultat supplémentaires nécessaires.
Lorsque les faiblesses des contrôles applicatifs peuvent influencer significativement
l’exactitude de l’opinion sur les états financiers, et que ce risque ne peut pas être compensé
par d’autres contrôles, l’impact de ces faiblesses sur le rapport annuel doit être évalué.
Pour les contrôles manquants ou mal conçus ainsi que les contrôles qui n’ont pas fonctionnés
de manière effective pendant la période d’audit, l’impact sur les rapports financiers doit être
évalué. Les assertions dans les comptes annuels constituent le lien entre l’application et les
rapports financiers. Elles formulent les objectifs posés aux positions des comptes annuels et
doivent être contrôlées afin de savoir si des lacunes dans les contrôles pourraient, avec une
certaine probabilité, avoir un impact négatif sur la réalisation des objectifs.
Malgré les moyens auxiliaires existants et utilisés, les conclusions des travaux nécessitent le
recours au jugement professionnel de l’auditeur pour tenir compte des particularités de
l’entreprise, des exigences liées aux processus et celles spécifiques aux risques.
L’auditeur établit à l’intention de la direction, outre son opinion d’audit, une synthèse de la
situation des risques au niveau des processus et des applications contrôlés.
106 | P a g e
Conclusion de la deuxième partie

Outre les spécificités et les particularités du système comptable, les procédures de contrôle
interne dans un milieu informatisé deviennent de plus en plus compliquées. Pour cela,
l’auditeur financier doit évaluer et identifier les risques liés aux systèmes d’informations à
partir de :
- la prise de connaissance de l’environnement informatique ;
- l’identification des processus métier et des flux de traitement des données ;
- l’identification des applications de base et des principales interfaces IT pertinentes.
Nous avons essayé de présenter une démarche d’audit dans un milieu informatisé à partir :
- la planification : au niveau de cette phase l’auditeur prend en considération de
l’environnement informatique ;
- évaluation des risques : l’auditeur doit évaluer les risques liés au contrôle par
l’identification des contrôles clés et l’évaluation du fonctionnement des contrôles ;
- des tests de validation : les conclusions tirées au niveau de la phase d’évaluation des
risques permettent à l’auditeur de fixer l’étendue de ces travaux ainsi que les tests qui
doit être mise en place.
Après la présentation de la démarche d’audit, nous essayerons dans le cadre de la troisième
partie d’appliquer la démarche d’audit proposée pour la mission d’audit financier d’une
polyclinique.
107 | P a g e
TROISIEME PARTIE : L’application de la

démarche proposée pour une mission d’audit
financier d’une polyclinique
108 | P a g e
Introduction de la troisième partie

Le secteur hospitalier privé joue un rôle central dans la dynamique de la médecine libérale.
Le secteur sanitaire privé occupe une place importante dans le système de santé tunisien, il
compte selon les statistiques du ministère de la santé environs 2000 généralistes et 2220
spécialistes, soit 45% de l’ensemble des médecins. Actuellement le secteur comporte 75
cliniques et centres médicaux53. On note aussi 1270 cabinets dentaires et 73 % des dentistes
exercent en privé. Le secteur privé offre aussi 16% des lits d’hospitalisation.
Le secteur privé tunisien joue particulièrement un rôle croissant dans l’exportation des services
de santé et donc une nouvelle source économique du pays.
Désormais le développement du secteur de santé privé repose sur un ensemble des facteurs
clés de succès qui sont notamment :
- des investissements lourds pour les équipements ;
- un système d’information qui répond rapidement aux exigences des patients ;
- une qualité de service
La clinique privée est une entreprise de haute technologie. Si les années 1960 ont nécessité
des innovations immobilières et architecturales avec la construction de nouveaux bâtiments
adaptés aux préceptes et aux contraintes de la médecine moderne, les années 1970-1980 se
sont caractérisées par la déconcentration et l’essaimage des innovations technologiques54.
Bénéficiant de l’effet conjugué de la miniaturisation et de l’informatisation, celles-ci se sont
développées à l’initiative des disciplines médicales elles-mêmes et ont conduit à une dispersion
des innovations à l’intérieur des établissements de santé. Cette phase s’estompe
progressivement au profit d’une troisième forme d’innovation technologique, à nouveau plus
concentrée : les innovations technologiques sont désormais intégrées au sein des
établissements et partagées avec d’autres professionnels de santé (individus ou autres
établissements) du fait des investissements importants qu’elles nécessitent. La contrepartie de
cette mutation technologique ne se situe pas seulement au niveau de la médecine et de
l’amélioration des moyens de diagnostic et de traitement qu’elle procure, mais aussi au niveau
de l’organisation à mettre en œuvre pour répondre aux nouvelles pratiques qu’elle induit.
53
Pr. Noureddine ACHOUR « le système de santé Tunisien : état des lieux et défis », septembre 2011.
54
Jean-Pierre Claveranne et David Piovesan « La clinique privée, un objet de gestion non identifié »,
édition Lavoisier 2003
109 | P a g e
L’adoption d’un système d’information assez sophistiqué pour les polycliniques rend le milieu
d’audit pour les auditeurs assez difficile.
Dans ce cadre nous allons essayer de présenter le cadre général des établissements sanitaires
privés en Tunisie ainsi que le régime juridique et fiscal de ces derniers.
Le deuxième chapitre sera consacré à l’application de la démarche d’audit proposée au niveau
de la deuxième partie dans le cadre d’un audit financier de polyclinique.
110 | P a g e
1er chapitre : Présentation générale de la polyclinique
Une connaissance globale de l'entité doit être acquise afin d'orienter la mission et
d'appréhender les domaines et systèmes significatifs. En effet, l'audit financier, dans ses
principes et ses modalités, est gouverné par un recueils de normes de référence, l’auditeur
adapte sa mission aux besoins et à l'environnement des entités dont il certifie les comptes.
La mission d’audit débute par une phase de prise de connaissance générale de l'entité et
d'identification des risques d'anomalies significatives dans les comptes. Pour cela, il prend
connaissance du secteur d'activité, et apprécie les risques juridiques et fiscaux.
Section 1 : Présentation du secteur d’activité

Les indicateurs de santé de la Tunisie sont réputés être parmi les meilleures des pays de
l’Afrique et de la région MENA et supérieurs à ceux de pays ayant un niveau de revenus
équivalent.
1.1- Contexte économique :

La Tunisie est un pays à revenu intermédiaire (tranche supérieure). La Tunisie a été classée
parmi les pays de la région MENA affichant les plus fortes croissances pendant les deux
dernières décennies avec croissance annuelle moyenne de 5% (de 1997 à 2007) et a montré
une capacité de résilience aux différentes crises économiques qu’a connues le monde ces
dernières années55. Cependant, on observe actuellement un ralentissement de la croissance lié
à des facteurs externes (liés à la conjoncture économique internationale, à l’instabilité et au
climat de violence dans la région) ainsi qu’à des facteurs internes. Les facteurs internes sont
liés aux agitations sociales (dues au chômage élevé et croissant), à un climat de méfiance
(découlant de la résurgence d’actes terroristes) et à une incertitude politique.
L’économie du pays repose fortement sur les services (43% de contribution au PIB), suivi par
les industries (19% manufacturières et 14% non manufacturières) et l’agriculture et la pêche
(11%) et autres (12%). Le tourisme contribue pour 15% du secteur des services (donc 6,5% de
l’économie totale)56. Dans ce cadre, le tourisme médical occupe une place considérable. En
effet, la Tunisie se positionne parmi les meilleures destinations de voyage de demandeurs de
soins dans les pays en voie de développement (5ième après la Thaïlande, l’Inde, Singapour et la
55
Comités du Dialogue Sociétal : « santé en Tunisie : état des lieux », mars 2017.
Banque Mondiale « Etude du secteur de la santé en Tunisie », département du développement humain, région
56
Moyen-Orient et Afrique du Nord, 2006.
111 | P a g e
Malaisie) avec 176.000 visiteurs en 2010 (sachant que les patients sont souvent accompagnés).
La Tunisie a consacré près de 6,3% de la richesse nationale aux dépenses de santé en 2010.
Sur la période 1980-2010, les dépenses de santé sont passées de 143 à 4019 MDT ; ce qui
correspond à une augmentation de 164,1 à 382,8 DT par habitant. Entre 2000 et 2010, les
dépenses totales de santé en pourcentage des dépenses générales du gouvernement ont
augmenté (8,1% en 2000, 9,8% en 2005 et 10,7% en 2010) ainsi que la part des dépenses
générales de santé couvertes par la sécurité sociale (32,2% en 2000, 45,7% en 2005 et 47,7%
en 2010)57.
Cependant, les dépenses privées des ménages restent élevées (estimées à 45% des dépenses
totales en santé) et, eut égard à la transition épidémiologique et démographique (augmentation
des maladies chroniques et vieillissement de la population) et face à la capacité limitée de lever
des fonds additionnels, la pérennité financière de la Caisse Nationale d’Assurance Maladie
(CNAM) est en danger.
En effet, le taux de financement au régime de l’assurance maladie a été fixé à 6,75% de la
masse salariale dont 4% à la charge de l’employeur et 2,75% à la charge du salarié.
Ce taux est considéré comme faible mais au vu du contexte socio-économique actuel, il parait
difficilement acceptable de l’augmenter. En outre, vu l’ampleur du secteur informel, la non-
déclaration ou sous-déclaration de l’emploi et/ou du salaire, engendre un manque à gagner
important pour la caisse d’assurance.
Ainsi, la Tunisie se trouve face à des problèmes et à des choix difficiles relatifs au financement
de son système de santé. Les tendances sociales (augmentation des attentes), démographiques
(vieillissement de la population) et épidémiologiques (prépondérance des maladies
chroniques) se traduisent par une demande accrue aboutissant à une augmentation des coûts
de soins, ce qui pose d’importants défis. Parallèlement, des contraintes macroéconomiques et
budgétaires limitent l’intervention des pouvoirs publics à affecter des sommes plus
importantes.
Les ménages continuent à consacrer aux soins de santé une part importante de leur revenu.
Dans ce contexte, la pérennisation du financement de la santé qui oblige souvent à réformer la
façon dont on finance le système de santé, est un enjeu majeur.
1.2- Répartition des revenus et niveau de pauvreté

L’enquête nationale sur l’emploi réalisée par l’Institut National de la Statistique pour le
quatrième trimestre 2012, fait état d’un taux de chômage, selon les définitions du BIT, de
57
112 | P a g e
16,7% à la fin du mois de décembre 2012 58 , chiffre en recul par rapport à celui de l’année
2011, qui clôturait avec un taux de chômage de 18,9%. Ce chiffre reste malgré tout en hausse
par rapport à l’année 2010 pour laquelle les données officielles faisaient état d’un taux de
chômage de 13%.
La Tunisie a connu une réduction significative de l’incidence de la pauvreté à l’échelle
nationale au cours des dix dernières années 59. En effet, le taux de pauvreté est tombé de 32,4%
en 2000 à 23,3% en 2005 et 15,5% en 2010, selon la nouvelle méthodologie de mesure de la
pauvreté en termes monétaires introduite par l’INS. Selon la même source, le taux de pauvreté
extrême s’est fortement réduit, tombant de 12,0% en 2000 à 7,6% en 2005 et 4,6% en 2010.
Cependant, cette tendance ne s’est pas traduite par une réduction de la disparité entre zones
communales et zones non communales (où le taux de pauvreté est 2 fois plus élevé et 7 fois
plus élevé si l’on utilise le seuil de pauvreté extrême), ni par une réduction de la disparité entre
les régions du littoral et les régions de l’intérieur.
Au contraire, l’écart entre les régions du Centre-Ouest et du Sud-Ouest par rapport au reste du
pays s’est accentué au cours de la même période. La région du Centre-Ouest (Kairouan, Sidi
Bouzid et Kasserine) est relativement la plus pauvre avec un taux de pauvreté extrême de
12,8% (29,4% en taux de vulnérabilité), soit plus du triple de la moyenne nationale évaluée à
3,8%.
1.3- Diagnostic du secteur

Pour faire le diagnostic du secteur de santé, il faut étudier les indicateurs suivants :
- l’infrastructure ;
- les ressources humaines ;
- la formation ;
- la Technologie médicale et les équipements lourds ;
1.3.1- Les infrastructures
Les infrastructures de santé se répartissent comme suit :
a. Le secteur public :
Il est le principal prestataire de soins de santé préventifs et curatifs. Il est organisé en plusieurs
niveaux de recours complémentaires pour la prise en charge de la population.
En 2011, ce secteur comprend, 2 091 centres de santé de base et 174 structures hospitalières.
58
INS, mai 2013
59
UN 2013
113 | P a g e
Il compte une capacité de 19 632 lits répartis sur l’ensemble du territoire de la République
avec une moyenne de 1,84 lit pour 1000 Habitant.
Il couvre plus de 84 % de la capacité totale existante qui se repartie entre :
- Les hôpitaux de circonscription (14,7 %) ;
- les hôpitaux régionaux (35,6 %) ;
- les CHU et les centres spécialisés (48,5) % ;
- Auquel il faut ajouter les structures relevant du Ministère de la Défense Nationale (3)
et du Ministère de l’Intérieur (1) dont les prestations s’adressent essentiellement à leurs
agents et leurs ayants droits60.
b. Le secteur privé :
Il connaît un développement spectaculaire au niveau de toutes ses composantes et comprend

des cliniques pluridisciplinaires ou mono disciplinaires (81), des cabinets de médecine
générale et spécialisée y compris la radiologie (6715), des cabinets de médecine dentaires
(3214), des laboratoires d’analyse (355), des officines pharmaceutiques (1902) et des cabinets
de paramédicaux (524).
Ce secteur, qui compte 3 658 lits, représente 16% de la capacité hospitalière avec une moyenne
de 0,3 lits pour 1000 Habitants. Il constitue le fer de lance de l’exportation des services de
santé61.
c. Le secteur parapublic
Il comprend 6 polycliniques de la Caisse Nationale de Sécurité Sociale qui dispensent aux

affiliés de la CNAM et à leurs ayants droit des soins ambulatoires de médecine générale et
spécialisée et des examens complémentaires. Les services autonomes médicaux de certaines
entreprises nationales (SONEDE, STEG, SNT, Tunis Air) qui délivrent des soins ambulatoires
à leurs employés et à leurs familles. Les services médicaux de médecine de travail qui ont en
principe un rôle essentiellement préventif d’hygiène et de sécurité au travail 62.
Par ailleurs, la Tunisie dispose actuellement de 143 centres de dialyse pour l’ensemble des
secteurs confondus avec une capacité de 2 448 machines répartis sur l’ensemble du territoire
de la république.
60
Tunisia Health Expo : « Dossier de presse », mars 2016.
61
62
114 | P a g e
Le ratio lits/ 1000 habitants, qui se stabilise à 2,2 depuis quelques années pour les deux secteurs
confondus, semble satisfaisant, comparé à celui des pays du Maghreb : 1,7 pour l’Algérie, 1,1
pour le Maroc et 0, 4 pour la Mauritanie ou à ceux de la région d’Afrique (0,9) et de la région
MENA (1,2) ; la moyenne mondiale est de l’ordre de 3 lits et celle des pays à revenu moyen
supérieur est de 3,9 lits pour 1 000 habitants.
1.3.2- les ressources humaines

La Tunisie dispose en 2011 de :
- 13 686 Médecins soit une densité de 1,3 pour 1000 habitants avec 0,7 pour les médecins
généralistes et 0,6 pour les médecins spécialistes. Ces médecins se répartissent au
niveau fonctionnel entre 53,8% de généralistes et 46,2% de spécialistes et presque à
parité égale entre les deux secteurs public et privé.
- 3736 Dentistes soit une densité de 0,35 pour 1000 habitants. Les dentistes se
concentrent essentiellement dans le secteur privé et représentent 86% du total de
l’effectif.
- 2 404 Pharmaciens soit une densité de 0,22 pour 1000 habitant. Les Pharmaciens se
concentrent dans le secteur privé en représentant 79% du total de l’effectif.
- 41 863 Paramédicaux soit une densité de 3, 92 pour 1000 habitants. Les paramédicaux
sont prédominant dans le secteur public ou ils représentent 85,6 % de l’effectif global,
le secteur privé, avec un effectif estimé à 6000 agents, englobe les 14,4% restants. Pour
les cliniques privées, compte tenu des normes imposées, l’effectif en personnel
paramédical serait de l’ordre de 1,2 agent par lit hospitalier et compte plus de 60% de
celui du secteur privé.
Au total, la densité médicale et paramédicale du système de santé tunisien s’établit autour de
5.8 agents pour 1000 Habitants et dépasse de loin le seuil critique qui s’élève à 2,5 personnels
soignants pour 1 000 habitants63.
1.3.3- La formation
L’enseignement supérieur dans le domaine de la santé peut être découpé en deux parties :
- La formation des médecins, médecins-dentistes et pharmaciens, qui ne se fait que dans
les institutions publiques relevant de l’enseignement supérieur.
- La formation des paramédicaux qui s’effectue aussi bien dans le public que dans les
institutions privées.
63
115 | P a g e
Le dispositif tunisien de formation de cadres de la santé est particulièrement complet. Il est

composé de64 :
- 4 Facultés de Médecine ;
- 1 Faculté de Pharmacie ;
- 1 Faculté de Médecine Dentaire ;
- 4 Ecoles Supérieures des Sciences et Technique de la Santé, réservées à la formation
des techniciens supérieurs de la santé ;
- 5 Instituts Supérieurs des Sciences infirmières ;
- 9 Etablissements de formation professionnelle de la Santé du secteur privé, réservés à
la formation du personnel paramédical avec le même programme que les
établissements publics ;
- 15 Ecoles privées de formation professionnelle de paramédicaux et de formation
continue, en parrainage avec le Ministère de la Santé.
1.3.4- La Technologie médicale et les équipements lourds

Afin de réduire autant que possible l’envoi de patients pour soins à l’étranger et de faire des
avancées en matière d’exportation des services de santé, beaucoup d’efforts ont été fait pour :
- doter le pays des équipements lourds indispensables pour assurer l’ensemble des
diagnostics et des actes médicaux les plus sophistiqués à l’intérieur du pays.
- développer certains services de médecine de pointe, à l’instar du Centre national de
greffe de la moelle osseuse, du Centre de médecine d’urgence, de traumatologie et des
grands brûlés ainsi que des Services de chirurgie thoracique, de chirurgie
cardiovasculaire de néonatalogie, de carcinologie et des maladies héréditaires et
génétiques qui sont implantés à Tunis et plusieurs autres villes .
Le secteur privé est très actif dans ce domaine, il dispose de plateaux techniques performants
qui répondent parfaitement aux standards européens (68% du parc des équipements lourds du
pays) avec des équipes médicales et chirurgicales hautement qualifiées. Il assure, en plus des
soins classiques et des actes des plus complexes, l’exclusivité des activités de chirurgie
esthétique et plastique.
Comparativement à d’autres pays de même niveau de développement, la Tunisie se trouve bien
dotée en équipements lourds. Elle est loin devant le Maroc et à un niveau comparable à la
Jordanie.
64
116 | P a g e
1.4- Analyse SWOT du secteur santé privé

Sur la base des différents diagnostics faits, nous pouvons résumer la situation du secteur de
santé privé en Tunisie selon l’approche SWOT comme suit :
Forces Faiblesses
• La formation médicale en Tunisie est • Manque des ressources de financement vu
satisfaisante : des personnels assez qualifié par les investissements lourds du secteur.
rapport les autres pays. • L’augmentation massive des coûts fiscaux
• L’investissement de l’Etat Tunisien pour les suite à la déstabilisation des textes fiscaux
infrastructures du secteur public est mineur régissant le secteur (imposition des revenus
par rapport aux attentes de la population. provenant des patients non-résidents,
• Manque de confiance des citoyens au secteur imposition des médicaments à la TVA,….).
de santé publique. • L’augmentation de la masse salariale :
• L’instabilité sociale du pays : de grèves plusieurs augmentations des salaires durant
sociales fréquente dans le secteur de santé les dernières années.
publique. • L’inflation de prix.
• Les difficultés financières du système de
sécurité sociale en Tunisie CNAM.
Opportunités Menaces
• Un rapport qualité-coût compétitif par rapport • L’insolvabilité de certains pays envers ces
les autres pays. dettes (la Libye principalement).
• Une excellente perception de la qualité des • La déviation du dinar Tunisien : le coût
services de santé fournis aux patients d’importation des matériels nécessaires
étrangers. devient très cher.
• La disponibilité de médecins de compétence • La concurrence de certains pays voisins
reconnue à l’échelle africaine et sur la rive (Maroc, Algérie,…).
nord du bassin méditerranéen. • Infrastructures épuisées pour accueillir un
nombre important des patients étrangers.
Figure n°10 : Analyse SWOT du secteur de santé privé en Tunisie
117 | P a g e
L’étude préliminaire du secteur d’activité est une phase primordiale pour l’auditeur lui
permettant d’acquérir une connaissance satisfaisante afin d’identifier les risques inhérents liés
au secteur d’activité. Cette étude doit être complétée par une connaissance du régime juridique
et fiscal du secteur.
Section 2 : Régime juridique

Plusieurs textes juridiques organisant le secteur de santé privé en Tunisie, en fait l’accès au
marché est soumis à un cahier de charge. Dans cette section nous essayerons de définir la
polyclinique selon la législation en vigueur et de mettre l’accent sur les obligations juridiques
de polycliniques.
2.1- Les textes juridiques :

Les textes juridiques qui organisent les établissements sanitaires privés sont :
- Loi n° 91-63 du 29 juillet 1991, relative à l'organisation sanitaire.

- Loi n° 2001-94 du 7 août 2001, relative aux établissements de santé prêtant la totalité
de leurs services au profit des non-résidents.
- Décret n° 2002-545 du 5 mars 2002, fixant les conditions des prestations de services
pouvant être fournies aux résidents par les établissements de santé prêtant la totalité de
leurs services au profit des non-résidents.
- Décret n° 92-1208 du 22 juin 1992, fixant les attributions, la composition et les
modalités de fonctionnement du comité national des établissements sanitaires privés,
tel que modifié par le décret n° 98-740 du 30 mars 1998 et le décret n° 2001-1080 du
14 mai 2001.
- Décret n° 93-1156 du 17 mai 1993, fixant les conditions de désignation et les
obligations des directeurs des établissements sanitaires privés.
- Décret n° 93-1915 du 31 août 1993, fixant les structures et les spécialités ainsi que les
normes en capacité locaux, équipements et personnels des établissements sanitaires
privés, tel que complété et modifié par le décret n° 99-2833 du 21 décembre 1999 et
le décret n° 2001-1082 du 14 mai 2001 et le décret n°2010-2200 du 6 septembre 2010.
- Décret n° 98-793 du 4 avril 1998, relatif aux établissements sanitaires privés tel que
modifié et complété par le décret n°2009-1926 du 15 juin 2009.
- Arrêté du Ministre de la santé publique du 28 mai 2001, portant approbation de cahier
des charges relatif aux établissements sanitaires privés, tel que modifié et complété par
l’arrêté du 24 décembre 2007.
118 | P a g e
2.2- Définition juridique de la polyclinique :

L’article 40 de la loi n° 91-63 a défini les établissements sanitaires privés : « les établissements
sanitaires privés sont :
- Les hôpitaux privés ;
- Les cliniques pluridisciplinaires ou polycliniques ;
- Les cliniques mono disciplinaires ;
- Les établissements sanitaires à but non lucratif ».
La clinique pluridisciplinaire est un établissement de prévention, de soins curatifs et palliatifs,
de diagnostic, d’hospitalisation et de réadaptation fonctionnelle dans lequel sont dispensées
des prestations relevant de deux disciplines au moins parmi les suivantes65 :
- médecin
- chirurgie
- gynécologie – obstétrique
Lesdites prestations sont dispensées par les médecins de libre pratique aux patients admis à
leur demande ou qui sollicitent leurs services.
Il ne peut y avoir sous quelque forme que ce soit des consultations externes dans les locaux de
la clinique pluridisciplinaire.
Toutefois, le médecin directeur ou à défaut de celui-ci le médecin directeur technique peut
assurer des consultations relevant de sa spécialité, au sein de locaux de l’établissement, à
l’exclusion de tout autre cabinet médical.
La clinique pluridisciplinaire dispose obligatoirement :
- d’équipements de réanimation pour deux lits au moins
- d’équipements d’urgence pour une capacité minimale de deux (2) lits.
Les activités hospitalières médicales, chirurgicales ou gynéco–obstétricales dans les cliniques
pluridisciplinaires sont exercées dans des unités d’une capacité minimale de quinze (15) lits
pour les spécialités médicales, et de dix (10) lits pour les spécialités chirurgicales et de
gynécologie-obstétrique.
La clinique pluridisciplinaire doit organiser un service de gardes médicales pour les urgences
et la surveillance des malades hospitalisés.
2.3- Le cahier des charges

L’article 41 de la loi n° 91-63 prévoit que toute création, extension, transformation ou transfert
65
Article 31 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté
du 24 décembre 2007.
119 | P a g e
de tout établissement sanitaire privé est subordonné à l’autorisation du ministre de la santé

publique et, est soumis aux conditions prévues par le cahier des charges approuvé par l’arrêté
du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du 24
décembre 2007.
2.3.1- Les dispositions générales
L’exploitation d’un établissement sanitaire privé peut être assurée soit par une personne
physique, soit par une personne morale. Toutefois, la personne physique n’a le droit d’exploiter
qu’un seul établissement sanitaire privé alors que la personne morale peut exploiter un ou
plusieurs établissements sanitaires privés 66.
Les candidats à la création, à l’extension, à la transformation ou au transfert d’un établissement
sanitaire privé, doivent, préalablement à toute exécution de travaux, présenter les plans
architecturaux aux services techniques du ministère de la santé publique, pour avis. Ceux-ci
donneront leur avis dans un délai de deux mois à compter de la déposition du dossier67.
Les prix des prestations afférentes aux frais de nourriture et d’hébergement privés devront être
affichés à l’intérieur de l’établissement 68.
La détention et la délivrance des médicaments dans les établissements sanitaires privés, sont
placées sous la responsabilité d’un pharmacien à plein temps, ou à défaut, d’un pharmacien
hospitalier conventionné.
Les établissements sanitaires privés sont dans l’obligation de tenir une comptabilité en forme
commerciale69.
Tout établissement sanitaire privé est obligatoirement dirigé par un directeur conformément
aux dispositions législatives et réglementaires en vigueur.
Lorsque le directeur de l’établissement n’est pas médecin, il est obligatoirement assisté par un
directeur technique médecin70.
Les établissements sanitaires privés sont tenus d’adresser au ministère de la santé publique un
rapport annuel de leurs activités médicales dans le trimestre qui suit l’année en question .
66
Article 1er de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté
67
Article 3 de l’arrêté du ministre de la santé publique du 28 mai 2001 tel que modifié et complété par l’arrêté du
24 décembre 2007.
68
69
70
120 | P a g e
2.3.2- Gestion du personnel

Le personnel paramédical des établissements sanitaires privés doit exercer à plein temps dans
un seul établissement, à l’exclusion de tout autre établissement public ou privé 71.
Les contrats d’engagement ou statuts particuliers des personnels employés à plein temps dans
les établissements sanitaires privés doivent être obligatoirement communiqués, dans les quinze
(15) jours de leur conclusion ou de leur amendement, au ministère de la santé publique et au
conseil de l’ordre concerné72.
2.3.3- Approvisionnements des médicaments
Les établissements sanitaires privés peuvent s’approvisionner auprès des grossistes
répartiteurs en médicaments pour usage urgent.
Les demandes d’approvisionnement en ces médicaments doivent être formulées sur des
imprimés selon un modèle établi par le ministère de la santé publique73.
Les grossistes répartiteurs cèdent ces médicaments aux établissements sanitaires privés à leur
prix d’achat majoré de dix pour cent (10%) 74.
Les établissements sanitaires privés facturent les médicaments pour usage urgent
conformément à leur prix d’achat majoré de dix pour cent (10%) 75.
Les opérations d’achat et de vente de ces médicaments doivent être répertoriées sur un registre
côté et paraphé par les services compétents du ministère de la santé publique. Ce registre doit
être tenu sous la responsabilité du pharmacien de l’établissement 76.
Section 3 : Régime fiscal

Le régime fiscal des établissements sanitaires privés en Tunisie a connu durant ces années des
changements majeurs qui ont touché principalement les incitations financières et fiscaux ainsi
que la TVA.
3.1- Les incitations financières

L’article 3 de la loi n° 2016-71 du 30 septembre 2016 a donné une définition de
71
72
73
74
75
76
121 | P a g e
l’investissement qui désigne tout emploi durable de capitaux effectué par l’investisseur
(personne physique ou morale, résidente ou non résidente) pour la réalisation d’un projet
permettant de contribuer au développement de l’économie tunisienne tout en assumant ses
risques et ce, sous forme de :
- Opération d’investissement direct : toute création d’un projet nouveau et autonome en
vue de produire des biens ou de fournir des services ou toute opération d’extension ou
de renouvellement réalisée par une entreprise existante dans le cadre du même projet
permettant d’augmenter sa capacité productive, technologique ou sa compétitivité.
- Opération d’investissement par participation : la participation en numéraire ou en
nature dans le capital de sociétés établies en Tunisie, et ce, lors de leur constitution ou
de l’augmentation de leurs capitaux sociaux ou de l’acquisition d’une participation à
leurs capitaux.
La nouvelle législation a exigé un minimum de fonds propres fixé à 30% du coût
d’investissement pour bénéficier des primes et des avantages fiscaux. Ce taux est ramené à
10% pour les investissements de la catégorie « A » dans le secteur de l’agriculture, de la pêche
et de l’aquaculture.
Désormais, les établissements sanitaires privés peuvent bénéficier des avantages accordés aux
zones de développement régionales.
Les établissements sanitaires privés peuvent profiter des primes d’investissement suivantes :
Phase
Nature de prime Type de prime Montant
d’obtention
Investissements A la création Pour la maitrise des 50% du coût d’investissement
matériels 77 uniquement nouvelles technologies avec plafond de 500.000 dinars
Création,
Investissements Pour l’amélioration de la 50% du coût d’investissement
extension ou
de productivité productivité avec plafond de 500.000 dinars
renouvellement
50% du coût d’investissement
Investissements A la création avec plafond de 500.000 dinars
immatériels uniquement dont 20.000 dinars pour les
dépenses d’études
3.2- Les avantages fiscaux

Les établissements sanitaires privés sont considérés des activités de soutien, à cet égard lis
bénéficient d’une réduction de l’impôt sur les bénéfices à 10% pour les personnes morales
77
La liste des équipements et des logiciels a été fixée en décret gouvernementale n° 201-389 du 9 mars 2017
(annexe n°1).
122 | P a g e
soumises à l’impôt sur les sociétés et d’une déduction des 2/3 de l’assiette imposable pour les
personnes physiques78.
Les conditions de bénéfice de ce régime sont :
- Le dépôt d’une déclaration d’investissement auprès des services concernés.
- La réalisation d’un schéma de financement de l’investissement comportant un
minimum de fonds propres conformément à la réglementation en vigueur. Ce minimum
est fixé à 30% du coût de l’investissement.
- Joindre à la déclaration annuelle d’impôt une attestation d’entrée en activité effective
délivrée par les services concernés.
- Le bénéfice des avantages fiscaux est subordonné à la tenue d’une comptabilité
conforme à la législation en vigueur.
- La situation de l’entreprise vis-à-vis des caisses de sécurité sociale doit être en règle.
Le taux de la retenue à la source de 1,5% est réduit à 0,5% pour les montants dont les revenus
y relatifs bénéficient de la déduction des deux tiers ou dont les bénéfices en provenant sont
soumis à l’impôt sur les sociétés au taux de 10%.
Aussi, l’avance d’impôt de 25% due par les sociétés fiscalement transparentes et groupements
est réduite à 10% pour les bénéfices soumis à l’impôt sur les sociétés au taux de 10% au niveau
des associés et des membres, ainsi que pour les bénéfices revenant aux associés et aux
membres personnes physiques bénéficiant de la déduction des deux tiers des revenus .
3.3- En matière de la TVA

Les cliniques privées regroupent à la fois des activités soumises à la TVA et des activités
exonérées. De ce fait, elles ne peuvent déduire l’intégralité de la TVA ayant grevé l’ensemble
de leurs achats de biens et services. Pour déterminer le sort de chaque TVA subie en amont, il
y a lieu d’appliquer la règle de l’affectation.
Dans ce sens, les cliniques privées, en tant qu’assujetties partielles, peuvent retenir la règle de
l'affectation si elles sont en mesure de dissocier entre les achats pour le secteur assujetti et les
achats pour le secteur exonéré79.
3.3.1- La TVA collectée
Le régime de TVA des ventes et prestations de services réalisées par les cliniques privées est
défini comme suit :
- Produits exonérés : Conformément aux dispositions du tableau « A » du code de la
78
Article 70 du code de l’IRPP et IS.
79
Prise de position n° 374 du 22 mars 2000 de la DGELF.
123 | P a g e
TVA, sont exonérés de la taxe sur la valeur ajoutée certains médicaments importés
n’ayant pas similaires en Tunisie
- Prestations soumises à la TVA au taux de 7% : Conformément au tableau B annexé
au code de la TVA, l'hébergement, la restauration et les services effectués dans le cadre
de leur activité par les cliniques et polycliniques médicales ainsi que la vente de
médicaments et de produits pharmaceutiques sont soumis à la TVA au taux de 7%.
La Note commune n° 19 (Telle que rectifiée par l'additif du 2 juin 1996), définit les
médicaments et produits pharmaceutiques comme suit :
- Médicaments : On entend par médicament conformément aux dispositions de l’article
21 de la loi n° 73-55 du 3 août 1973 relative à l’organisation des professions
pharmaceutiques toute substance ou composition présentée comme possédant des
propriétés curatives ou préventives à l’égard des maladies humaines ou animales, ainsi
que tout produit pouvant être administré à l’homme ou à l’animal en vue d’établir un
diagnostic médical ou de restaurer, corriger ou modifier leurs fonctions organiques.
- Produits pharmaceutiques : Selon la définition communiquée par le ministère de la
santé publique, on entend par produit pharmaceutique « tout médicament ou tout
produit similaire notamment les accessoires, pansements, insecticides et acaricides
destinés à être appliqués sur l'homme, les produits pour l'entretien de tout accessoire
et matériel médical susceptible de présenter des dangers pour le patient ou
l'utilisateur ».
En revanche, les compléments alimentaires demeurent soumis à la TVA au taux de 19%.
- Loyers perçus par une clinique : les loyers de cabinets médicaux, laboratoires et
autres locaux (lorsque de telles locations sont permises par la loi) donnés en location
par une clinique sont passibles de la TVA au taux de 19%.
- Conventions de prise en charge conclues avec des organismes non-résidents en
Tunisie : les prestations fournies aux malades étrangers dans le cadre des conventions
de prise en charge conclues avec des organismes non-résidents pour des prestations
rendues en Tunisie constituent des services rendus et utilisés en Tunisie et sont par
conséquent soumises à la TVA en Tunisie.
- Prestations facturées en suspension de TVA : les cliniques peuvent être autorisées
dans le cadre de leurs activités à facturer des prestations en suspension de TVA. Tel
est le cas des prestations facturées à une ambassade ou à tout autre organisme muni
d’une attestation d’achat en suspension de TVA.
124 | P a g e
3.3.2- La TVA déductible

Les cliniques privées sont des assujetties partielles à la TVA, de ce fait, elles ne peuvent
déduire l’intégralité de la TVA ayant grevé l’ensemble de leurs achats de biens et services.
En l’absence d’une règle d’affectation exacte pour les achats des activités soumises et non
soumises, les cliniques privées ont le droit de déduire la TVA pour leurs achats selon un prorata
déterminé de la façon suivante :
Au numérateur :
+ Le chiffre d’affaires provenant des prestations d’hébergement et de restauration + TVA
correspondante 7%,
+ Le chiffre d’affaires provenant des ventes de médicaments et produits pharmaceutiques +
TVA correspondante 7%,
+ Le chiffre d’affaires provenant des autres prestations et services dans le cadre de l’activité
d’une clinique + TVA correspondante 7%,
+ Les prestations en suspension de TVA + TVA fictive correspondante,
+ Montant des loyers facturés + TVA correspondante 19% ;
Au dénominateur, le montant du numérateur auquel on ajoute :
+ Le chiffre d’affaires provenant des ventes de médicaments et de produits pharmaceutiques
exonérés de TVA.
Le prorata de déduction applicable à une année civile est dégagé d’après les opérations
réalisées au cours de l’année civile précédente ou selon les comptes prévisionnels en cas
d’entreprise nouvellement installée. Il est déterminé au début de l’année pendant laquelle il est
utilisé.
Néanmoins, pour les biens autres que les immobilisations amortissables ainsi que les services,
la déduction opérée selon le prorata de l’année précédente est définitive.
La récupération initiale relative aux immobilisations amortissables est susceptible d’être
modifiée à la fin de l’année d’acquisition du bien si le prorata de déduction varie d’un
pourcentage strictement supérieur à plus ou moins 5% 80.
3.4- En matière droit d’enregistrement

Les cliniques privées sont régies par le régime de droit commun en matière de droits
d’enregistrement et de timbre en vigueur.
Les factures établies par la clinique sont, de ce fait, soumises à un droit de timbre de 600
millimes par facture émise.
80
Article 9 du code de la TVA.
125 | P a g e
3.5- En matière TCL

Les cliniques privées sont soumises à la TCL au taux de 0,2% du chiffre d'affaires brut local
(chiffre d’affaires soumis à la TVA, exonéré ou en suspension de TVA).
Si la clinique enregistre au cours d'une année un déficit justifié par une comptabilité tenue
conformément à la législation en vigueur, la TCL due au titre de l'année qui suit celle de
réalisation du déficit est liquidée sur la base de 25% du minimum de l'IS 81.
Dans tous les cas, la TCL ne peut être inférieure à un minimum annuel égal à la taxe sur les
immeubles bâtis calculée en fonction de la taxe de référence par mètre carré couvert, de la
superficie couverte des locaux professionnels et du nombre de prestations fournies par la
collectivité locale.
Les loyers perçus par la clinique ne sont pas soumis à la TCL. En effet, le redevable de la TCL
est le locataire.
3.6- En matière TFP et FOPROLOS

Les cliniques privées sont soumises à la TFP au taux de 2% de la masse salariale brute y
compris les avantages en nature.
La contribution au FOPROLOS est due par tout employeur public ou privé à l'exclusion des
exploitants agricoles privés. En conséquence, les cliniques privées sont redevables de ladite
contribution au taux de 1% de la masse salariale brute servie à leurs employés y compris la
valeur des avantages en nature.
3.7- Autres obligations fiscales

Outre ces obligations fiscales, les établissements de santé privés sont tenus :
3.7.1- En matière de la retenue à la source
Les cliniques privées sont tenues d'effectuer des retenues à la source au titre des :
- traitements et salaires,
- honoraires au taux de 5% ou 15% selon que le bénéficiaire soit soumis au régime réel
ou non,
- commissions et courtages versés, au taux de 15%
- loyers versés, au taux de 15%, et
- 1.5% au titre des marchés ou montants égaux ou supérieurs à 1000 D TVA comprise,
payés au titre des acquisitions de marchandises, de matériel, d’équipements, et de
services.
81
Note commune n° 10 de l’année 2014.
126 | P a g e
Les cliniques doivent procéder aux retenues à la source au titre des honoraires des médecins
facturés aux clients par la clinique et reversés ensuite aux médecins au taux de 5% ou de 15%
selon que le bénéficiaire (médecin) soit soumis au régime réel ou non.
Les jetons de présence versés aux administrateurs d’une clinique privée société anonyme sont
passibles de la retenue à la source au taux de 20%.
3.7.2- En matière de facturation

Les établissements de santé privés sont tenus de mentionner dans leurs factures toutes les
prestations sanitaires, médicales et paramédicales réalisées directement ou par d’autres
intervenants.
Après avoir étudié le régime juridique et fiscal des polycliniques privées ainsi que l’analyse
du secteur d’activité, nous essayerons d’appliquer la démarche d’audit proposée au niveau du
deuxième chapitre à notre cas d’espèce.
2ème chapitre : l’application de la démarche d’audit

proposée
La polyclinique instruite en juin 2006 est une société anonyme, partiellement assujettie à la
TVA à un capital social de 7 400 000 dinars réparti pour le profit d’une pluralité d’actionnaires.
Située à quelques minutes du centre-ville de Sfax, la polyclinique « X » est l’une des cliniques
pluridisciplinaires les plus réputée de Tunisie. Dotée d'une structure de haut niveau technique
et technologique répondant aux normes médicales internationales, et d'une qualité hôtelière
répondant aux attentes en matière de confort et de respect de la personne.
La polyclinique est implantée sur un terrain de 3300 m² de superficie avec une surface couverte
d'environ 10 000 m².
Avec une capacité de 61 lits, la polyclinique dispose d'un ensemble de services spécialisés qui
vous offrent une expertise d'avant-garde dans le domaine de la santé :
- Chirurgie esthétique ;
- Service d'hospitalisation ;
- Service de chirurgie ;
- Service de médecine ;
- Service de maternité – gynécologie obstétrique ;
- Service de réanimation polyvalente ;
- Service de radiologie ;
- Urgence ;
127 | P a g e
- Cathétérisme ;
- Centre de procréation médicalement assisté.e
La polyclinique « X » compte de réaliser une extension en vue d’élargir sa capacité et rendre
un meilleur séjour pour ses patients.
Ce projet d’extension réalisé permettra principalement :
- L'exploitation de 17 nouvelles chambres.
- L'exploitation d'un nouveau centre de lithotripsie.
- L'exploitation de deux nouvelles salles d'opération.
- L'exploitation d'une nouvelle salle de réveil.
- Le transfert des services administratifs de la clinique.
- Le transfert de la cuisine.
Au niveau de ce chapitre, nous essayerons d’appliquer la démarche d’audit proposée à notre
cas d’espèce selon la méthodologie suivante :
- La planification de la mission
- L’évaluation des risques
- Les tests de validation
Section 1 : La planification de la mission

Dans cette phase, l’auditeur doit acquérir une connaissance assez suffisante sur l’activité de la
polyclinique ainsi que le milieu informatique dont elle régit afin de mettre en place une
stratégie d’audit adéquate répondant aux standards de qualité de la mission d’audit.
1.1- Prise de connaissance de la polyclinique

L’auditeur doit avoir une connaissance suffisante sur l’activité de la polyclinique et sur le
système d’information utilisé par cette dernière dans son exploitation.
1.1.1- Prise de connaissance des affaires de la polyclinique

Le secteur de la santé privé a connu durant cette période (à partir de l’année 2011) une
évolution remarquable au niveau du chiffre d’affaire provenant des prestations hospitalières
grâce à la révolution libyenne. Cette évolution a des conséquences négatives sur la trésorerie
suite à l’insolvabilité de ces clients.
En fait, notre client la polyclinique « X » a connu des problèmes de trésorerie durant ces
dernières années suite à :
- Un encours clients libyens de montants 4.000.000 dinars : le recouvrement de ces
créances est incertain vue la situation politique en Libye ;
- Des engagements d’investissement : la polyclinique s’engage a réalisé des
128 | P a g e
investissements d’extension pour un coût total de 7.000.000 dinars. Notre client se

trouve dans l’obligation d’endetter auprès des organismes financières afin d’honorer
ces engagements envers ces fournisseurs (le coût d’endettement s’élève à 4.000.000
dinars) ;
- L’augmentation de la masse salariale : suite à l’évolution de l’activité à partir de
l’année 2011, la polyclinique a réalisé des recrutements pour couvrir le taux
d’occupation élevé mais après la chute remarquable des patients libyens ces
recrutements deviennent des charges supplémentaires pour elle ;
- L’inflation des prix : la Tunisie a connu durant cette décennie une inflation remarquable
des prix ;
- La défaillance du système de sécurité sociale en Tunisie : la prise en charge d’une partie
des frais par la CNAM a subi des problèmes pour les polycliniques en Tunisie vue la
faillite de cette caisse ;
- La déviation du dinar tunisien par rapport l’euro et dollar : certaines acquisitions des
polycliniques sont faites à l’étranger (des équipements, des outillages médicales pour
l’orthopédie et médicaments)
En revanche, notre client a cherché d’exploiter des autres ressources pour faire face à ces
problèmes de trésorerie :
- Ouverture d’une unité de cathétérisme : les polycliniques qui possèdent une unité de
cathétérisme en Sfax sont à l’ordre de trois. De ce fait, cette unité est considérée comme
une ressource vue l’absence de concurrence sur le marché ;
- La prospection des marchés africains : la polyclinique « X » a mis en place une
stratégie de marketing permettant de promouvoir les marchés africains afin de chercher
d’autres types de clientèle ;
- La réduction de la masse salariale : la polyclinique « X » a opté de ne pas renouveler
les contrats des employés qui ont pris fin. Cette mesure lui permet d’alléger les
pressions financières sur la trésorerie ;
- La signature de convention avec certaines sociétés : elle a signé des conventions avec
certaines sociétés qui ont pris en charge les frais de soins de ces employées lui
garantissant un nombre acceptable des patients ;
Pour conclure, le secteur sanitaire est un secteur attractif et rentable mais il a connu un
problème durant ces dernières années.
129 | P a g e
1.1.2- Prise de connaissance de l’environnement informatique

Au niveau de cette étape, nous allons vocaliser nos travaux sur la compréhension de
l’environnement informatique de la polyclinique en se référant au CobiT 5.
La direction de la polyclinique a été impliquée dès la création de mettre en place un système
d’information adéquate qui répond aux attentes.
Une stratégie informatique mise en place par la gouvernance de la polyclinique lui permettant
de répondre aux exigences des métiers : en fait les organes décideurs ont choisi d’acquérir un
ERP et de former une équipe de pilotage compétente.
La fonction informatique occupe une place importante au niveau de l’organigramme de
l’établissement, ces principales tâches sont :
- D’assurer la pérennité de l’informatique au sein de la polyclinique ;
- De développer les processus métiers ;
- De former les personnels de l’établissement ;
- De se familiariser les personnels avec le système d’information en lui impliquant à la
stratégie informatique de la polyclinique.
Les processus du CobiT 5 liés à la gouvernance du système d’information peuvent nous aider
à mieux comprendre l’environnement informatique de la polyclinique selon la démarche
suivante :
a. Evaluer le système de gouvernance : EDM01.01
Les diligences qui nous pouvant suivre pour ce processus sont comme suit :
- Analyser et identifier les facteurs environnementaux internes et externes :
Les obligations légales des établissements sanitaires privés selon le cahier de charges exigent
de garder un dossier médical pour le patient. Cette obligation permet à la direction de déléguer
au département informatique de développer des applications lui permettant d’identifier chaque
résident et de garder un dossier complet.
L’activité de la polyclinique et sa complexité exige à la direction de mettre en place un système

d’information adéquat lui permettent de faciliter la gestion quotidienne ainsi de minimiser le
risque lié à l’activité.
130 | P a g e
- Déterminer l’importance de l'informatique :
L’informatique a un rôle important pour la polyclinique, en fait la multiplicité des intervenants

dans les processus de gestion a rendu la nécessité de mettre en place une cellule informatique.
Cette importance se manifeste par l’emplacement qui l’occupe le département informatique au
niveau de l’organigramme général de la polyclinique.
Conseil
d’administration
Directeur technique
Directeur général (médecin)
Département
informatique
Figure n°11 : Organigramme de la polyclinique
- Déterminer les niveaux appropriés de délégation des pouvoirs pour les décisions en
matière d'informatique :
Vu la position du département informatique au niveau de l’organigramme de la polyclinique,

la délégation des pouvoirs pour les décisions en matière informatique se fait comme suit :
- La détection des anomalies se fait par le département puis il présente au directeur
général pour prendre l’approbation du conseil d’administration pour corriger ces
anomalies ;
- Une réunion par trimestre se fait entre les responsables département informatique, le
directeur général et le conseil d’administration afin de prendre les décisions stratégique
de la polyclinique en matière informatique.
b. Orienter le système de gouvernance : EDM01.02
Les contrôles que l’auditeur peut être mis en place sont les suivants :
131 | P a g e
- Identifier les principes de gouvernance informatique :
Les principes de la gouvernance informatique de la polyclinique se déclinent en cinq objectifs

suivants :
- L’alignement stratégique avec les objectifs de l’organisation ;
- La création de valeur pour l’organisation ;
- La gestion des ressources ;
- La mesure et l’amélioration de la performance.
Le département informatique a pour objectif d’assurer le bon fonctionnement de la stratégie
générale de la polyclinique par la mise en place des processus lui garantissant la réalisation des
objectifs générales.
La gestion de la valeur permet de suivre l’évolution de ce qui est important pour la partie affaire.
En fait, le département informatique est tenu de mettre les outils nécessaires pour assurer la
création de valeur de la polyclinique.
La gestion des risques sert à identifier les risques liés au système d’information selon les
processus suivants :
- La prévention : action qui empêche le risque de se produire
- L’acceptation : action qui fait en sorte d’accepter de vivre avec le risque
- La réduction du risque : action qui permet d’atténuer l’impact du risque
La mesure est la base de toute saine gestion. En l’absence de mesure, le gestionnaire ne peut
prendre des décisions éclairées. Le département informatique doit établir des indicateurs de
performance.
- Analyser les mécanismes de communication et de production des rapports :
Le département informatique se réunit mensuellement afin d’évaluer les actions déjà mises en
place et de communiquer aux autres départements les résultats.
1.2- Examen analytique (préliminaire ou global)

L’objectif de l’examen analytique est d’aider l’auditeur à mieux connaître l’entreprise et à
identifier les domaines de risque potentiel, contribuant ainsi à une meilleure planification de la
mission.
132 | P a g e
1.2.1- Chiffres d’affaires :

Désignation 2017 2016 Variation %Variation
Chiffre d'affaires clinique 16 651 515 15 162 852 1 488 663 9,82%
Produits des activités annexes 101 711 96 558 5 153 5,34%
Total 16 753 226 15 259 409 1 493 817 9,79%
Les revenus réalisés par la polyclinique se sont chiffrés au 31/12/2017 à 16.753.226 dinars
contre 15.259.409 dinars 31/12/2016, enregistrant une augmentation de 1.493.817 dinars soit
9,79%.
Le chiffre d'affaires provenant de l'exploitation courante a enregistré une augmentation de
9,82%, malgré la nette régression du chiffre d'affaires réalisée avec les clients libyens.
En présence d’une crise qui continue à frapper le secteur de la santé en Tunisie, à cause
principalement de la perte du marché libyen, la polyclinique marque a enregistré une
augmentation, ceci peut être expliquée par les investissements réalisés des deux nouveaux
centres : l'IRM et le KT.
1.2.2- Résultats et rendement :
a. Résultat :
Désignation 2017 2016 Variation % Variation

Résultat net d'impôts 2 251 466 2 694 922 -443 456 -16,46%
Le résultat net d'impôt dégagé par la polyclinique au 31/12/2017 se chiffre à 2.251.466 dinars
contre 2.694.922 dinars au 31/12/2016 enregistrant une baisse de 443.456 dinars soit -16,46%.
Le résultat de l'exercice a enregistré cette baisse malgré l’augmentation constatée sur le chiffre
d'affaires s'expliquant principalement par l'augmentation des facteurs suivants :
Désignation 2017 2016 Variation %Variation

Achats consommés 4 891 814 3 981 740 910 074 22,86%
Charges de personnel 5 639 576 4 969 250 670 326 13,49%
Autres charges d'exploitation 2 135 361 1 698 010 437 351 25,76%
Amortissements et provisions 2 251 666 1 995 080 256 586 12,86%
133 | P a g e
b. Rendement du chiffre d’affaires :

Bénéfice net 2 251 466 2 694 922 -443 456 -16,46%
Chiffre d'affaires 16 753 226 15 259 409 1 493 817 9,79%
bénéfice net /chiffre d'affaires 13,44% 17,66% -4,22%
Le rendement du chiffre d'affaires relatif à l'exercice 2017 se chiffre à 13,44% contre 17,66%
en 2016 enregistrant une baisse de 4,22%.
1.2.3- Investissements :
Immobilisations Incorporelles 135 288 122 679 12 609 10,28%
Immobilisations corporelles 25 176 235 22 431 566 2 744 669 12,24%
Immobilisations financières 31 306 28 388 2 918 10,28%
Total 25 342 831 22 582 635 2 760 196 12,22%
La valeur brute des investissements incorporels se chiffre au 31/12/2017 à 135.288 dinars contre
122.679 au 31/12/2017 enregistrant une augmentation de 12.609 dinars soit 10,28%.
La valeur brute des immobilisations corporelles se chiffre au 31/12/2017 à 25.176.235 dinars
contre 22.431.566 au 31/12/2016 enregistrant une augmentation de 2.744.667 s'expliquant par
les acquisitions suivantes :
Désignation Montant
Construction 33 335
Matériel et Outillages 1 465 021
Agencement et Aménagement 125 336
Equipement et matériel de bureaux 51 921
Constructions en cours 1 069 054
Total 2 744 667
1.2.4- Flux de trésorerie :

Placement financier 1 335 2 501 235 -2 499 899 -99,95%
Banques 1 797 881 748 158 1 049 724 140,31%
Caisse 1 522 456 1 066 233,32%
Total 1 800 739 3 249 849 -1 449 110 -44,59%
Les valeurs disponibles au 31/12/2017 se chiffrent à 1.800.739 dinars contre 3.249.849 dinars
au 31/12/2016 enregistrant une nette régression de 1.449.110 dinars soit -44,59% s'expliquant
134 | P a g e
par le déblocage du montant de 2.500.000 dinars, en placement en 2017, pour faire face aux
dépenses d'investissements.
1.2.5- Les conclusions de l’examen analytique :
L’examen analytique préliminaire que nous avons réalisé nous a conduit à identifier les risques
potentiels suivants :
- Le délai de recouvrement des créances est assez long par rapport au délai de paiement
des dettes : la polyclinique peut rencontrer un problème de trésorerie suite à non
recouvrement de créances libyennes.
- Les nouveaux investissements réalisés par la polyclinique peuvent être non rentable vue
la perte du marché libyen.
- L’augmentation de la masse salariale peut affecter la rentabilité de la polyclinique.
- Les flux de trésorerie disponibles ne peuvent pas couvrir les engagements de la
polyclinique envers ses fournisseurs.
1.3- Description du système d’information de la polyclinique

La polyclinique a acquis le prologiciel ClinSys. CliniSys est une solution de gestion clinique et
hospitalière intégrée qui couvre les différentes activités des établissements de santé :
administrative, financière, médicale, soins et décisionnelle.
En accédant à la plateforme du logiciel, une multitude d’icône accessible s’affiche donnant la
main pour l’accès à plusieurs menus :
- Contrôle de gestion
- Accueil et réservation
- Dossiers soins
- Facturation
- Caisse
- Honoraires médecins
- Trésorerie
- Recouvrement
- Comptabilité
- Gestion des ressources humaines GRH
a. Identification des processus :
Les processus identifiés de la polyclinique sont les suivants :

135 | P a g e
1. Processus achats
1.1. Achats médicaments et produits pharmaceutiques.
1.2. Achats stockés autres que pharmaceutiques.
2. Achats prestations médicales
3. Processus magasin (stock)
3.1.1. Processus des entrées magasin
3.1.2. Processus traitement des non-conformités.
3.1.3. Processus des sorties magasin
4. Processus investissements
5. Processus maintenance et gestion du matériel
6. Processus planification
7. Processus des inventaires (tournant et général)
8. Processus finance et gestion de la trésorerie
8.1. Processus recouvrement
8.2. Processus juridique
8.3. Processus ressources humaines
8.3.1. Processus recrutement
8.4. Processus finances et comptabilité
8.5. Processus comptabilité analytique
9. Processus admission des patients
9.1. Prise en charge médicale et soins
9.2. Les consultations et soins externes
9.3. Processus logistique et transport
9.4. Processus de gestion des unités médicotechniques (Radiologie, imagerie,
endoscopie…)
10. Processus hôtellerie
11. Processus cuisine
12. Processus buanderie
136 | P a g e
b. Identification des flux de traitement des données :
Au niveau de cette phase, l’auditeur doit identifier les flux de traitement des données qui
peuvent influencer les transactions comptable ainsi que les états financiers. Il doit sélectionner
les processus importants.
L’objectif de ces tests est d’avoir une connaissance globale sur le système d’information de la
polyclinique et de sélectionner les processus risqués.
Pour la polyclinique le processus sélectionné et qui peut avoir un risque sur le traitement de
l’information comptable est le processus achats.
- Processus achats :
Vu la complexité de ce processus, il est utile de le subdiviser en deux sous-processus à savoir
le sous-processus achats médicaments et produits pharmaceutiques et le sous-processus achats
stockés autres que pharmaceutiques.
A. Achats médicaments et produits pharmaceutiques
Les étapes de ce processus se résument comme suit :
i. Identification du besoin ;
ii. Lancement de la commande ;
iii. Réceptionner les produits pharmaceutiques ;
iv. Traitement des factures d’achat ;
v. Paiement des factures d’achat ;
vi. Stocker les produits pharmaceutiques
B. Achats stockés autres que pharmaceutiques.
La polyclinique réalise plusieurs types des achats autres que les achats médicaments et produits
pharmaceutiques. Ces achats sont essentiellement : les achats d’articles stockables, des pièces
de rechanges, des services et les achats des articles non stockables.
Les étapes de ce processus se résument comme suit :
i. Identification du besoin ;
ii. Consultation des fournisseurs ;
iii. Lancement de la commande ;
iv. Réceptionner des articles commandés ;
v. Traitement des factures d’achat ;
vi. Paiement des factures d’achat ;
vii. Stockage des produits réceptionnés.
137 | P a g e

pertinentes
La polyclinique utilise le prologiciel CliniSys. CliniSys est un système d’information de santé

intégré. Il couvre les activités des établissements de santé cliniques et hôpitaux. Les
fonctionnalités de ce système sont :
- Dossier administratif et financier
- Dossier médical
- Gestion des blocs et stérilisation
- Connexions aux dispositifs médicaux
- Gestion des ressources humaines
- Radiologie et laboratoire
- Gestion documentaires (GED)
a. Dossier administratif et financier
Plusieurs modules intégrés qui permettent de gérer l’activité administrative et financière :

- Gestion des prises en charges et organismes ;
- Circuits des achats et des appels d’offres ;
- Gestion de la trésorerie intégrée ;
- Comptabilité générale
- Gestion des contentieux ;
- Gestion des immobilisations ;
- Gestion du service archive.
b. Gestion des ressources humaines :
Cette fonctionnalité permet de gérer l’emploi du temps des personnels soignants en temps réel.
Les principaux modules sont :
- Gestion des emplois du temps ;
- Gestion du pointage intégré avec la paie ;
- Recrutement ;
- Vêtements du travail ;
- Médecine du travail ;
- Gestion de la restauration du personnel ;
138 | P a g e
- Gestion des carrières ;

- Gestion des demandes de congé, des prises en charge et des prêts ;
- Bilan social.
c. Gestion des blocs et stérilisation
Le module bloc intègre des fonctionnalités de planification des salles de bloc, le circuit des
médicaments, la gestion des stocks et les paniers, la feuille d’anesthésie avec la possibilité de
connexion avec la facturation des actes.
La fonctionnalité stérilisation est intégrée avec le planning bloc et couvre tous les cycles de
stérilisation de la sortie des boites depuis stocks, lavage, mise en conditionnement et retours
des boites vérifiées.
d. Gestion documentaires :
L’application permet la prise en charge et l’archivage des données administratives et médicale

du patient. Elle fonctionne selon les principes suivants :
- Tous les documents produits en interne (par CliniSys) sont automatiquement archivé ;
- Tous documents externes ramenés par le patient sont scannés et archivés dans le dossier
du patient.
1.4- Prise en compte des risques
Avant l’établissement du plan de la mission, nous avons identifiés les risques liés à l’activité de
la polyclinique. Ces risques doivent être pris en compte pour que le plan de la mission mis en
place soit cohérent et complet pour couvrir tous les risques.
Les risques potentiels que nous avons identifiés lors de la prise en compte du secteur d’activité
de la polyclinique et de son environnement informatique sont :
- La perte du marché libyen : baisse du chiffre d’affaires ;

- Le non solvabilité des patients libyens : la polyclinique n’arrive pas recouvré ces
créances avec la Libye (possibilité d’avoir un problème de trésorerie)
- Les organismes sociaux (CNAM) ont connu des problèmes de trésorerie durant ces
dernières années : la polyclinique risque de ne pas recouvrir ces créances envers ces
organismes.
139 | P a g e
- Les nouveaux investissements en cours de réalisation peuvent ne pas être rentables : la

perte du marché libyen et la saturation du marché (le gouvernorat de Sfax a connu durant
ces dernières années plusieurs investissements liées à la santé).
- La polyclinique utilise une application informatique (CliniSys) reconnue dans le secteur
d’activité. Les risques liés à cette application : l’absence du contrôle applicatif pour
certains modules, le niveau de sécurité et de gestion du mot de passe est assez faible.
- Les préoccupations du département informatiques est de développer des nouvelles
applications et non pas de renforcer les anciennes applications.
1.5- Etablissement du plan de mission
La structure du plan de la mission doit comprendre les éléments suivants :
a. Fixation les objectifs de la mission :
Notre mission s’inscrit dans le cadre d’audit des états financiers arrêtés au 31 décembre 2017
afin d’exprimer une opinion sur la sincérité et fidélité de ces derniers et ceux conformément
aux normes de révision et conformément aux normes comptables généralement admises en
Tunisie, promulguées par la loi 96-112 du 30 décembre 1996 relative au système comptable des
entreprises.
b. Mise à jour de la connaissance de la société, de ses activités et de ses procédures :
La polyclinique est une société anonyme du capital social s’élève à 7.400.000 dinars tunisiens.
Elle est dirigée par un conseil d’administration composé de 4 membres. Le nombre des
actionnaires est à l’ordre de 48.
La polyclinique a créé une filiale dont le pourcentage de détention du capital est à l’ordre de
99.99%. L’objet social de cette filiale est la prospection des nouveaux marchés pour les
polycliniques.
Le conseil d’administration a confié la mission de la direction quotidienne de la polyclinique à

un directeur général.
140 | P a g e
c. Evaluation de l’environnement informatique et de contrôle interne :
La polyclinique ne possède pas un manuel de procédures, de ce fait les procédures et les

contrôles mis en place par la direction ne permettent pas de couvrir la totalité des risques liés à
l’activité.
La structure organisationnelle de la polyclinique ne permet pas de mettre en place des contrôles

compensatoires entre les différents départements.
Absence des contrôles applicatifs pour certains modules du système d’information.
d. Fixation de la stratégie d’audit :
Après avoir pris une connaissance complète sur l’activité de la polyclinique et son système
d’information, nous accorderons une attention particulière aux aspects les plus significatifs à
savoir :
- Une attention particulière pour les dispositions de la loi n° 2015-26 du 7 août 2015,
relative à la lutte contre le terrorisme et la répression du blanchiment d’argent ;
- Une description détaillée des flux de traitement des données pour les processus
identifiés ;
- Vérification du processus achats et les contrôles applicatifs mis en place ;
- Vérification du processus finance et gestion de la trésorerie ;
- Vérification des nouveaux investissements en cours de réalisation (les appels d’offres,
les avancements des travaux,…) ;
Section 2 : Evaluation des risques

Au niveau de cette phase, nous mettons en œuvre des procédures adéquates et pertinentes afin
d’identifier les risques inhérents et les risque liés au contrôles ainsi que les réponses nécessaires
à ces risques.
2.1- Les risques inhérents :

Il s’agit des risques liés à l’activité de polyclinique et les risques liés à l’environnement
informatique.
2.1.1- Les risques inhérents liés aux affaires de la polyclinique

On peut analyser ces risques de la manière suivante :
141 | P a g e
a. Risques liés à l'activité :
La check-list suivant peut nous aider à identifier les risques liés à l’activité de la polyclinique :
Risques
Les risques Commentaires
inhérents (O/N)*
La polyclinique est une société anonyme de
Taille de l'entreprise N
moyenne taille.
La polyclinique est sise à Sfax. Absence
Implantation
d’infrastructure pour accueillir les patients O
géographique
étrangers provenant des pays d’Afrique.
Les sources d’approvisionnement de la
Sources polyclinique pour les médicaments sont les
O
d'approvisionnement grossistes (une difficulté d’approvisionnement
pour les médicaments importés).
La structure du capital est dispersée (48
Structure du capital O
actionnaires).
Les organes de décision sont composés du conseil
d’administration (dirigé par un président du
Organes de décision O
conseil) qui a confié à un directeur général la
gestion quotidienne.
Changements opérés Durant ces dernières années la direction générale de
au sein de l'équipe de la polyclinique a connu des changements de O
direction l’équipe de direction.
Les principales opérations en monnaies étrangères
Opérations en
réalisées par la polyclinique sont l’importation des O
monnaies étrangères
équipements médicaux.
Fluctuation de L’activité a connu une fluctuation majeure durant
O
l'activité ces années (perte du marché libyen).
Risques de non- Ce risque existe pour les clients libyens et la partie
recouvrement des de prise en charges par la CNAM. O
créances
Risque de non- Le taux de ce risque est faible pour la polyclinique.
déductibilité des N
charges
Risque de Ce risque est très élevé.
manipulation du O
résultat
Les capitaux propres de la polyclinique sont assez
Insuffisance de
suffisant pour couvrir l’activité à condition de ne O
capitaux propres
pas distribuer des bénéfices.
La polyclinique peut rencontrer des problèmes de
Problèmes de gestion trésorerie (le délai du recouvrement des créances
est assez long par rapport le délai de paiement des O
de trésorerie
dettes fournisseurs).
* Oui/Non
142 | P a g e
b. Risques liés à certains actifs ou catégories d'opérations :
Ces risques peuvent être identifiés lors de l’examen analytique préliminaire :
- Certains postes du bilan représentent plus de 10% du total bilan, il s’agit essentiellement
des immobilisations corporelles, des créances clients et les autres passifs. Une attention
particulière pour ces rubriques en mettant des tests substantifs adéquats qui répondent à
ces risques.
- Des estimations faites chaque année pour les honoraires de médecin de radiologie non
encore facturées à la date de clôture et des primes de rendement des salariés ainsi que
les patients résidents à la date d’arrêt des états financiers.
2.1.2. Les risques inhérents liés à l’environnement informatique

Les processus du référentiel CobiT 5 que nous avons utilisé afin d’identifier les risques
inhérents relatifs au système d’information sont :
a. Piloter le système de gouvernance : EDM01.03
Les diligences qui ont été mises en place sont :
- Evaluer l’efficacité et la performance des parties prenantes :
Les parties prenantes sont les personnes auxquelles la responsabilité et l’autorité ont été
déléguées pour la gouvernance informatique de la polyclinique.
Le comité de pilotage du département informatique de la polyclinique est d’un conseiller
comptable et fiscal externe, des techniciens informatiques et du directeur général. Ce
département est rattaché au conseil d’administration. Ses rôles sont d’assurer la pérennité du
système d’information au sein de l’établissement et de déceler les lacunes relevées au
fournisseur du prologiciel.
Les mécanismes de gouvernance informatique qui ont été acceptés (structures, principes,
processus, etc.) sont correctement en place et ils fonctionnent efficacement.
- Evaluer l’efficacité de la conception de la gouvernance :
La conception de la gouvernance informatique est efficace. La présence d’un conseiller

comptable et fiscal externe permet à la polyclinique de détecter les erreurs qui peuvent influer
l’information comptable et financière à temps.
143 | P a g e
En plus le rattachement du département à la direction générale et au conseil d’administration

donne une flexibilité de prendre les décisions nécessaires.
On peut considérer que la structure organisationnelle du département informatique lui permet
de fonctionner convenablement.
b. Evaluer l'optimisation de la valeur : EDM02.01
L’objectif de ce test est d’évaluer le portefeuille d’investissements, les services et les actifs liés
à l'informatique afin de déterminer le niveau de certitude d’atteindre les objectifs de l’entreprise
et de créer de la valeur à un coût raisonnable.
- Evaluer les capacités de la polyclinique en matière de technologie :
Durant cette dernière décennie le secteur de santé a connu une grande évolution en matière de
technologie. Parmi les facteurs clés succès d’un établissement sanitaire est ces investissements
engagés en matière de technologie que ce soit médical ou bien au niveau du système
d’information.
La stratégie de la polyclinique est de développer sa part du marché par la mise en place des
investissements technologique lui permettant de différencier par rapport les autres concurrents
sur le marché.
- Évaluer l’efficacité avec laquelle la stratégie de l’entreprise et celle de l'informatique

sont intégrées et alignées :
On peut considérer le succès des affaires d’un établissement sanitaire privé est étroitement lié
à la qualité du service présenté à ses clients.
Le respect de la politique qualité dépend essentiellement de la qualité du personnel soignant
ainsi que les investissements technologiques mis en place.
La création de valeur pour la polyclinique passe essentiellement par les investissements engagés
en matière de technologie.
c. Evaluer la gestion des ressources : EDM04.01
L’objectif de ce test est d’examiner les ressources disponibles en matière informatique afin de
créer de la valeur et atténuer les risques.
144 | P a g e
Les ressources allouées par la direction de la polyclinique pour le département informatique

sont largement suffisantes en matière d’approvisionnements et les personnels compétents.
d. Evaluer les exigences des parties prenantes en matière de reporting : EDM05.01
Parmi les outils de mesures des performances de certaines activités sont les reporting financiers.
Ces outils permettent aux parties prenantes de corriger les erreurs détectées et de planifier les
actions à prendre.
e. Piloter la communication des parties prenantes : EDM05.03
Le département informatique a essayé de développer des outils de mesures des performances.

Ces outils sont destinés essentiellement aux parties prenantes. Il s’agit principalement des
modules suivants :
- Reporting et analytique : il fournit les chiffres d’affaires du jour, de la semaine, du mois,
des indices, des alertes et permet aux parties prenantes d’avoir une vue d’ensemble sur
l’acticité ;
- Business intelligence : il permet aux directeurs de projeter les indices de ses activités
sur les prochaines années, il s’agit notamment d’un business plan.
2.2- Les risques liés au contrôle :

Dans un milieu informatisé, le dispositif du contrôle interne se diffère par un milieu normal. La
différenciation se concrétise par les contrôles qui doivent être mis en place vu la complexité des
systèmes d’information.
Le rôle de l’auditeur est d’apprécier les applications jouant un rôle significatif direct ou indirect
dans la production des comptes de l’entreprise.
2.2.1- Identification des risques et des contrôles clés

Après identification des risques inhérents liés au système d’information, nous essayerons
d’identifier les risques liés aux contrôles.
La matrice des risques nous permettons d’identifier les risques et les principes contrôles mis en
place.
Les assertions sont : Sur. : Survenance, Exa. : Exactitude, Exh. : Exhaustivité, Sép. : Séparation
des exercices et Imp. : Imputation comptable.
145 | P a g e
Assertions
Risques Contrôles
Sur. Exh. Exa. Sép. Imp.
Chaque patient est identifié par un numéro du dossier :
la génération du n° dossier se fait automatiquement.
Minoration du Le responsable étage vérifie avec l'agent de facturation
chiffre la facture. X X X X
d'affaires L'agent comptable vérifie mensuellement le chiffre
d'affaire avec les dossiers patients traités durant le
mois.
La demande d'achat doit être exprimée par un service
concerné avec une approbation du responsable de
service.
Les demandes d'achat sont prénumérotées.
Des charges Aucune demande d'achat ne peut pas être effacée.
d'approvisionne L'annulation de la demande est faite seulement par le X X X
ments responsable avec explication.
excessives Le lancement du bon de commande se fait
automatiquement après approbation du département
achats.
Le classement du bon de commande se fait
automatiquement après la réception des marchandises.
Rupture des Présence de l'option du stock de sécurité.
stocks de Calcul du délai d'approvisionnement se fait par le X
médicament système
Chaque immobilisation corporelle est identifiée par un
code à barre généré par le système.
L'imputation comptable de la facture fournisseur est
faite que si l'immobilisation est déjà identifiée par un
Perte des code barre. X X X X
immobilisations
Un inventaire physique annuel des immobilisations
avec le code à barre.
Le transfert des immobilisations en réforme est géré
par le GMAO.
La gestion des stocks par code à barre n'est pas
fonctionnelle.
Le calcul de la quantité optimale à commander géré par
le système ne fonctionne pas convenablement.
Les bons de commande gérés automatiquement par le
système.
Petre des stocks La gestion des stocks est faite à temps réel par le X X X X
système.
L'attribution des codes d'articles se fait
automatiquement par le système.
Edition par le système d'un état des bons de de
commandes non réceptionnés.
146 | P a g e
Assertions
Risques Contrôles
Sur. Exh. Exa. Sép. Imp.
Le tableau de suivi des échéanciers créances clients est
Recouvrement géré par le système.
X X
des créances Edition des tableaux de bord pour le suivi des créances
(soldes clients par ancienneté).
Le règlement des dettes fournisseurs se fait après
approbation des factures par les personnes concernées.
L'édition des certificats de la retenue à la source est
automatique.
Paiement La gestion des délais de paiement des dettes est
dettes automatique. X X X X X
fournisseurs Edition par le système d'un état des bons de réceptions
non encore facturées.
Le tableau du suivi des échéances dettes fournisseurs est
géré par le système.
Chaque fiche fournisseur contient l'identité bancaire du
concerné.
Gestion des Une fiche d'immobilisation est gérée par le système.
immobilisatio La gestion des stocks de pièce de rechange est faite par X X X
ns le système.
Les outillages et vaisselleries sont gérés sur le système.
Gestion de la Les demandes de repas aux patients et à leurs
accompagnants sont gérées sur ClinSys. X X X
cuisine
La demande de l'approvisionnement de la cuisine auprès
de l'économat est gérée par ClinSys.
La gestion de l'emploi du temps des personnels soignant
Gestion des est faite par le système.
ressources Le pointage des personnels est intégré avec le module X X X X X
humaines paie.
Les dossiers des personnels sont gérés par le système.
2.2.2- Tests de cheminement

Les tests de cheminement consistent à identifier les processus et à documenter les étapes du
processus. Nous avons choisi d’effectuer nos tests de cheminement pour les processus suivants :
- Le processus achat ;
- Le processus gestion maintenance ;
- Le processus gestion des stocks.
147 | P a g e
a. Le processus achats :
Responsable Diagrammes de flux Description narrative

1. Le demandeur initial exprime son besoin au
Surveillants / 1. Demande responsable du service demandeur. Le DA doit
Chef cuisine / d’approvisionnements contenir les éléments suivants :
Responsable
- la désignation du service demandeur ;
maintenance
- la date de la demande ;
- la date de livraison souhaitée ;
- Les observations ;
- Le code et la désignation des articles
demandés ;
- La quantité demandée ;
2. Dès la validation de la DA par le service

Responsable 2. Identification de la
achat demandeur, le responsable achat doit vérifier
demande les quantités en stock pour les articles demandés
d’approvisionnements - 1er cas : Si l’article demandé existe en
stock, il valide la DA, qui sera traitée
selon la procédure de « La sortie du
stock par prélèvement interne » ;
- 2ème cas : S’il y a carence au niveau de
l’article demandé, il passe à l’étape
« lancement de commande ».
Responsable 3. Le responsable achat est tenu de respecter les

3. Lancement de la
achat procédures suivantes :
commande
- Consulte la liste des fournisseurs sur
ClinSys ;
- Envoie des demandes d’offre de prix ;
- En cas d’indisponibilité des articles
sollicités chez les fournisseurs figurant
sur la liste des fournisseurs agréés, il
cherche de nouveaux fournisseurs ;
- Reçoit les offres des prix auprès des
fournisseurs ;
- Etablit un Tableau Comparatif des
Offres ;
- Choisit le fournisseur en se basant sur le
Tableau Comparatif des Offres ;
A - Imprime le BC et appose son visa ;
- Envoie le BC au fournisseur ;
148 | P a g e

4. Le magasinier doit :
A
- Procéder à la réception de la
commande ;
- Rapprocher le BL avec le BC ;
- Contrôler la conformité des articles
Magasinier 4. Réception de la livrés et réceptionnés en quantité et en
commande qualité ;
- Apposer la date sur le BL et signe ;
- Etablir une fiche sanitaire de réception
pour les articles nécessitant des
contrôles spécifiques ;
- Transformer le BC en BR sur ClinSys
tout en complétant : les renseignements
afférents aux articles (quantité reçue…),
les renseignements afférents à la
réception (date de réception, n° de
BL…), les vérifications effectuées
(pesage, comptage, qualité, authenticité,
conformité à la commande….) et les
réserves signalées ;
- Rattacher le BR avec le BL et le BC ;
- Transmettre la liasse au
responsable achat ;
Bureau d’ordre 5. Le bureau d’ordre est tenu de respecter les

5. Réception de la
facture procédures suivantes :
- Reçoit la facture (ou la facture d’avoir)

auprès du fournisseur ;
- Contrôle la conformité de la facture
avec les dispositions de l’article 18 du
code de la TVA ;
- Enregistre la facture sur le registre des
arrivées factures en l’attribuant un
numéro interne et une date d’arrivée et
procède à scanner la facture ;
- Remet les factures reçues au
B responsable achat ;
149 | P a g e

6. Le responsable achat doit saisir la facture
B fournisseur sur ClinSys après avoir vérifié la
liasse (BC, BL, BR et facture) puis il remet la
liasse au service comptabilité.
Responsable Dès la réception de la liasse auprès du
achat et service 6. Saisie de la facture
responsable achat, le service comptabilité doit
comptabilité
procéder aux étapes suivantes :

avec les différents documents
composants la liasse ;
- Vérifie le calcul arithmétique des
factures et s’assurer de la TVA
facturée ;
- Vérifie les imputations comptables sur
ClinSys ;
- Etablie le Bon à Payer
- Remet, la liasse (BàP, Facture, BC, BL,
BR) au service financier.
Service financier 7. Le service financier est tenu de respecter les

7. Paiement de la
procédures suivantes :
facture
avec les documents de la liasse (BàP,
Facture, BC, BL, BR) ;
- Vérifie les conditions de paiement
(délais, remises, mode…) ;
- Etablit sur ClinSys une attestation de la
retenue à la source au nom du
fournisseur ;
- Etablit sur ClinSys un Bulletin de
Règlement ;
- Attache Bulletin de Règlement avec le
titre de règlement et l’attestation de la
RAS ;
DA : Demande d’Achat, BL : Bon de Livraison, BR : Bon de Réception, BàP : Bon à Payer
150 | P a g e
b. Le processus gestion maintenance :

1. Le responsable maintenance dresse une liste
Responsable 1. Dresser une liste complète de tous les équipements, véhicules et
maintenance exhaustive des matériel de la polyclinique sur ClinSys via
équipements l’interface GMAO. Il met à jour les
informations y afférentes, en ajoutant des
entretiens préventifs
2. Le responsable maintenance est tenu de

Responsable 2. Dresser un plan de
maintenance respecter les procédures suivantes :
maintenance
- Dresse un plan de maintenance
préventive
préventive relatif à toutes les échéances
pour chaque élément du matériel sur
ClinSys via GMAO ;
- Ajoute une fiche « maintenance
préventive » sur ClinSys, tout en
indiquant les actions à entreprendre et
leurs échéances ;
- La planification des entretiens
préventifs est basée sur : les
recommandations du fabricant du
matériel et du secteur biomédical, des
tests d’évaluation initiaux du matériel,
la détermination des prévisions
(approvisionnement, moyens humains
et matériel) et le suivi de l’historique des
entretiens du matériel ;
- Fixe des estimations de date pour les
entretiens préventifs de chaque élément
du matériel.
3. Le responsable maintenance prospecte « la

Responsable 3. Préparation de
maintenance liste des interventions préventives » sur
l’intervention
ClinSys. Il programme la date et le lieu de
l’intervention préventive en collaboration avec
tous les intervenants et consulte la fiche
« maintenance préventive interne » sur ClinSys.
A Le responsable imprime la fiche maintenance et
la remet à l’intervenant désigné.
151 | P a g e

4. L’intervenant désigné pour effectuer les
A travaux reçoit la fiche maintenance. Il devra
détailler, sur la fiche maintenance, les tâches
d’inspection et de maintenance qu’il a
Intervenant 4. Travaux d’entretien effectuées ainsi que toute autre observation
désigné préventif interne importante. Après réalisation des travaux
d’entretien préventif indiqués sur la fiche
maintenance, il remet la fiche maintenance au
responsable maintenance.
Responsable
maintenance 5. Le responsable maintenance reçoit la fiche
5. Réception maintenance auprès de l’intervenant désigné. Il
vérifie la conformité des travaux effectués et
ceux demandés.
Responsable 6. A la fin de cette phase de travaux d’entretien

6. Remise en service préventif, le responsable maintenance procède
maintenance
à la remise en service du bien pour
exploitation.
c. Le processus gestion des stocks :
Le processus de gestion des stocks contient quatre sous-processus :

- gestion des stocks au niveau de l’économat ;
- gestion des stocks au niveau de la pharmacie centrale ;
- gestion des stocks au niveau des pharmacies auxiliaires ;
- destruction des stocks périmés.
Nous avons choisi d’auditer les sous processus suivants :
- gestion des stocks au niveau de l’économat ;
- gestion des stocks au niveau des pharmacies auxiliaires ;
- destruction des stocks périmés.
i. Le sous-processus de gestion des stocks au niveau de l’économat :
152 | P a g e

1. Le magasiner doit procéder aux étapes
Magasinier 1. Réception des suivantes :
articles - Planifie les réceptions prévues ;
- Imprime les bons de commande objet
de la réception ;
- Procède à la réception de la commande ;
- Rapproche le BL avec le BC ;
- Contrôle la conformité des articles
livrés et réceptionnés en quantité et en
qualité ;
- Appose la date sur le BL et signe ;
- Etablit une fiche sanitaire de réception
pour les articles nécessitant des
contrôles spécifiques ;
- Transforme le BC en BR sur ClinSys
tout en complétant : les renseignements
afférents aux articles (quantité
reçue…), les renseignements afférents à
la réception (date de réception, n° de
BL…), les vérifications effectuées
(pesage, comptage, qualité,
authenticité, conformité à la
commande….) et les réserves signalées.
- Transmet la liasse au responsable achat.
2. Le responsable achat reçoit la liasse (BC, BL,

Responsable 2. Contrôles de BR) et la rapproche tout en apposant sa
achat cohérences entre les signature sur le BL. En cas de réserves
quantités stockées et les consignées sur le BR, il établit un bon de
quantités reçues
réclamation sur ClinSys.
3. Le magasinier est tenu de respecter les

Magasinier 3. Etiquetage des
procédures suivantes :
articles
- Procède à la classification des
articles objet de la réception ;
- Consulte la liste des articles ;
- Imprime les étiquettes de code à
barre pour les nouveaux articles entrés
en stock ;
A
- Procède à l’étiquetage des nouveaux
articles entrés en stocks.
153 | P a g e

4. Le magasinier doit procéder au rangement
A des articles au magasin selon un schéma
préétablit précisant l’adresse des articles dans
le magasin. L’adresse des stocks doit être
sous la forme suivante soit :
Magasinier 4. Rangement des articles - Etagère : de 1 à n : présentant la nature
des articles (boite, carton, fourniture,
pièce détachée...)
- Rayon : de A, B, C, D.… : présentant
la fonction des articles (Produits
alimentaires, Fournitures et produits
d’entretien, Linge, Pièces de
rechange, Fournitures de bureaux…)
- Casier : de 1 à n présentant la
désignation de l’article
Magasinier 5. Enregistrement de 5. Le magasinier Prospecte quotidiennement

la sortie de stock la liste des demandes d’approvisionnement
validées par le responsable achat sur ClinSys
et prépare les articles demandés. Il transforme
la DA en Bon de prélèvement de stock
en précisant :
- la désignation du service demandeur ;
- la date et l’objet du prélèvement ;
- Le code et la désignation des articles
servis.
ii. Le sous-processus de gestion des stocks au niveau des pharmacies auxiliaires :
154 | P a g e

1. Le pharmacien établit un bon de sortie pour
Le pharmacien 1. Demande de sortie transformation sur ClinSys en précisant :
pour transformation - la date ;
en interne - les observations ;
- le code et la désignation des articles à
transformer ;
- le service responsable de la
transformation ;
- le produit à obtenir après
transformation.
2. Le magasinier de la pharmacie prépare les

Magasinier de la 2. Phase de la
pharmacie articles en stock objet de sortie et appose sa
transformation du
signature sur le bon pour transformation. Il
produit
veille à l’obtention de la décharge du service
concerné (Service stérilisation / pharmacie de
bloc ou d’étage) sur le bon de sortie.
3. Le service stérilisation est tenu de respecter

Service 3. Transformation les
stérilisation les procédures suivantes :
produits chez le
- Transforme le produit selon les
service stérilisation
caractéristiques demandées ;
- Retourne le produit obtenu au
magasinier de la pharmacie centrale.
4. La pharmacie de bloc ou de l’étage est tenue

Pharmacie de 4. Transformation les
produits chez le service de respecter les procédures suivantes :
bloc / d’étage
stérilisation - Transforme le produit selon les
caractéristiques demandées ;
- Etablit un bon d’entrée pour les produits
transformés en interne ;
iii. Le sous-processus de la destruction des stocks périmés :
155 | P a g e

1. Le directeur administratif et financier établit
Le directeur 1. Fixation du jour de une lettre de convocation des agents de
administratif et la destruction l’administration fiscale et la communiquée au
financier
bureau d’ordre puis il prend un rendez-vous
avec l’huissier de justice.
Le responsable 2. Le responsable du service concerné par le

du service 2. Réassemblage du
casse ou la péremption réassemble tout le casse
concerné par le casse au niveau du
service technique au niveau du service technique tout en
casse ou la
communiquant l’état au directeur administratif
péremption
et financier pour vérification.
Service 3. Fin de la destruction 3. Le directeur administratif et financier

comptabilité communique le PV de l’huissier de justice avec
les états des articles détruits au service de la
comptabilité. Ce dernier procède à la passation
les écritures comptables correspondantes.
2.2.3- Evaluation de la conception des contrôles

Au niveau de cette phase nous allons traiter la conception des contrôles mis en place par la
polyclinique pour les sous-processus suivants :
- Processus achats articles stockables ;

- Processus réception de la commande ;
- Processus réception et contrôle facture achats ;
- Processus facturation ;
a. Processus achats articles stockables :
Pour ce processus, nous évaluons la conception des contrôles applicatifs mis en place au niveau
du système d’information. Cette évaluation nous permet de conclure si le système de contrôle
interne est adéquat.
156 | P a g e
Les cercles représentent chaque contrôle dans le processus.
Figure n°12 : Cartographie du processus achats articles stockables

Chaque département doit créer une demande d’approvisionnement en passant par le module
approvisionnement. Le service demandeur doit remplir convenablement les renseignements
demandés par l’application à savoir :
- Département demandeur ;
- Articles demandés ;
- Quantités demandées ;
Après le remplissage de la demande, le système attribue un numéro pour cette demande

(Contrôle C1).
Le responsable vérifie ensuite si cette demande est correcte, complète et précise. Il s’attache
notamment, sans que cette demande soit exhaustive, aux mentions des articles, de la quantité et
du code du compte. S’il ne constate aucune erreur, il valide la demande d’achat. Si le
responsable achats rejette la demande pour quelque raison que ce soit, le service demandeur
157 | P a g e
sera informé. Enfin, si les problèmes posés par la demande d’achat initiale sont résolus,
l’acheteur valide la demande (Contrôle C2).
Après la réception de la demande d’achat, le responsable achat doit vérifier les fiches des stocks
relatives aux articles demandés. En fait, il ne peut pas déclencher la commande si les quantités
stockées sont largement suffisantes pour répondre à la demande (Contrôle C3). Dans ce cas, le
responsable achat édite un bon de sortie au magasinier afin de livrer les articles demandés
(Contrôle C4).
b. Processus réception de la commande :
Figure n°13 : Cartographie du processus réception de la

commande
158 | P a g e
Une planification de la date de réception doit être établie entre le responsable achat et le
magasinier. Lors de la réception de commande, le magasinier doit vérifier la conformité du bon
de commande avec le bon de livraison ainsi que la qualité des produits réceptionnés. Une fiche
du stock des articles réceptionnés doit être remplie soigneusement par le magasinier (Contrôle
C1).
Après vérification de la conformité des produits, le magasinier établit un bon de réception

(Contrôle C2). La validation du bon de réception est faite par le responsable achat (Contrôle
C3).
c. Processus réception et contrôle facture achats :
Figure n°14 : Cartographie du processus réception et contrôle

facture achats
Lors de la réception de la facture achats, le bureau d’ordre doit l’enregistrer au niveau du
système d’information via l’interface bureau d’ordre (Contrôle C1). Après il transmet la
159 | P a g e
facture au responsable d’achat. Ce dernier doit vérifier la conformité de la facture avec le bon
de la commande, bon de livraison et bon de réception, ensuite il saisit la facture (Contrôle C2).
Avant la préparation du titre de paiement, le service comptabilité doit vérifier l’écriture

comptable générée par le système ainsi que la conformité des procédures (Contrôle C3).
d. Processus facturation :
Figure n°15 : Cartographie du processus facturation

Le responsable facturation doit vérifier le dossier médical du patient (Contrôle C1). Il doit
s’assurer du numéro d’admission du patient.
En cas d’existence d’une remise exceptionnelle, l’agent de facturation doit transmettre le

dossier au crédit manager (Contrôle C2) pour donner son approbation et clôture la facture
(Contrôle C3).
160 | P a g e
Après la clôture de la facture, le service facturation doit vérifier s’il existe une prise en charge
de la facture. En cas de prise en charge de la facture par un tiers, il la transmettre au responsable
recouvrement (Contrôle C4) si non au responsable de la caisse (Contrôle C5).
Le responsable de la caisse après avoir recouvré le montant de la facture transmettre le dossier

médical au responsable de prise en charge (Contrôle C6).
2.2.4- Evaluation du fonctionnement des contrôles

Après évaluation du fonctionnement des contrôles, nous testons le fonctionnement de ces
contrôles et sa capacité de déceler les erreurs. Les contrôles déjà identifiés au niveau de la phase
de l’évaluation de conception des contrôles seront testés.
N° Objectifs du Niveau du risque

contrôle contrôle Insuffisance Risques Faible Modéré Elevé
1- Processus achats articles stockables
Les demandes d’approvisionnement - Mauvaise
description des
internes (DAI) émises par les services ne
sont pas effectuées par les responsablesbesoins ;
- Demande de
habilités.
L'objectif est de matériel non X
contrôler l'édition nécessaire ou
inopportun
des demandes
- Demande non
d'achats par chaque autorisée
C1
département et ClinSys permet la passation de DAI pour - DAI non
d'attribuer des des articles « désactivés » satisfaisables
références - Liste des DAI non X
spécifiques. apurée
- Erreur de choix
d’articles
L'onglet du choix du service demandeur - Des DAI erronées
X
n'est pas verrouillé.
ClinSys permet la passation du BC sans - Des marchandises
que la DAI validée par le responsable non satisfaisantes à la X
Un contrôle DAI.
achat.
compensatoire
Existence des DAI rejetées non motivées - Abus d'utilisation du
C2 entre le service pouvoir par le
par des causes de rejet. X
demandeur et le responsable achat.
responsable achats
Des DAI non apurées. Difficultés du suivi
des DAI. X
161 | P a g e

Les commandes sont effectuées par Mauvaise
différents intervenants (Econome, service coordination des X
technique, surveillants de bloc) services
L’existence de deux modèle de BC - Difficulté de suivi
(carnet à souche / ClinSys) des commandes- X
doublons de numéros
ClinSys permet l’ajout d’un bon de - Passer un bon de
commande avec une date antérieure. commande après
L'objectif est
avoir reçu la
d'avoir des BC ClinSys permet la modification de la date marchandise et sa
correctes et du bon de commande. facture.
C3 X
respectent le ClinSys permet la modification de la - Achat non autorisé
budget de la quantité commandée. - Acceptation d’une
polyclinique. ClinSys permet l’ajout et la suppression quantité supérieure à
d’article à une commande validée. celle commandée
ClinSys permet la suppression d’un BC - Suite numérique
validé. non respectée
X
- Saut de numéro de
BC.
- Absence de suivi
La liste des commandes aux fournisseurs des commandes non X
non satisfaites n’est pas apurée livrées
La livraison des marchandises n'est pas Les stocks ne sont pas
L'objectif est de
suivie automatiquement par des bons de à jour. X
s'assurer que toutes
sortie.
C4 les livraisons sont
Difficulté du suivi de
suivies par des
Absence d'indication de la destination des consommation par X
bons de sortie. service.
marchandises au service concerné.
2- Processus réception de la commande
Les contrôles à effectuer à la réceptionIgnorance des
ne sont pas formalisés. contrôles nécessaires
X
à la réception de la
commande
Le système ne permet pas : - Mauvaise évaluation
l’établissement de bon de réclamations de la performance des
aux fournisseurs fournisseurs
le suivi des réclamations aux -Choix erroné du
Contrôle de la X
fournisseurs fournisseur
conformité des
C1 - Défaut de suivi des
marchandises réclamations aux
réceptionnées.
fournisseurs
La liste des commandes aux fournisseurs - Absence de suivi
non satisfaites n’est pas apurée des commandes non
livrées
- Absence de X
planification des
réceptions
162 | P a g e

ClinSys permet la modification de la date - Mauvaise gestion
d’un BL validé ainsi que la date de des stocks
réception - Ignorance des
L'objectif est de vérifications
ClinSys permet la modification de la
s'assurer que les nécessaires à la
quantité livrée pour un BL validé réception (BL, X
marchandises
C2 ClinSys permet l’ajout et la suppression contrôle qualité…)
réceptionnées sont
d’articles sur un BL validé - Difficulté de suivi
imputées au niveau des livraisons
ClinSys permet la suppression d’un BL
du stock
validé
Existence d’une commande sur ClinSys « Achat non autorisé
X
BL/sans commande »
Le retour de marchandise ne fait pas - Défaut de suivi des
l’objet de bon de retour. retours aux
Actuellement, il est matérialisé par un fournisseurs
- Défaut de traçabilité X
écrit, portant décharge du fournisseur,
La validation des mentionnant les articles et quantités à
C2 quantités retourner.
réceptionnées Le ClinSys permet : - Mauvaise gestion
- l’ajout de BR avec une date antérieure des stocks
- la suppression des BR - Défaut de suivi des
retours aux X
- la modification de la date des BR et des
fournisseurs
quantités retournées - Défaut de traçabilité
3- Processus réception et contrôle facture achats
Le même fournisseur peut avoir des Mauvaise imputation
L'objectif est de codifications différentes. des factures X
s'assurer que la fournisseurs.
totalité des factures
C1 La base des données des factures Mauvaise
fournisseurs ont été
fournisseurs n'est pas synchronisée circularisassions de
enregistrées au X
automatiquement au niveau du module l'information.
niveau du système.
achat
Rapprochement de Possibilité de saisie des factures n'ayant Mauvaise suivie des
la conformité de la pas une liasse complète (BC, BL, BR). commandes
C2 X
liasse BC, BL et
BR.
Les champs suivants ne sont pas Des titres à payer
verrouilles : erronées.
Conformité du titre
C3 - la TVA X
de paiement
- le taux de la retenue à la source
- le RIB bancaire du fournisseur
163 | P a g e

4- Processus facturation
Possibilité de changer la séquence Suite numérique non
L'objectif est de numérique du numéro d'admission du respecté. X
s'assurer que la patient.
C1 totalité des dossiers Double admission créée pour le même Chiffre d'affaires
médicaux sont patient erronées
X
facturés.
S'assurer que les Possibilité d'avoir des remises Remise non autorisée
remises exceptionnelles sur des factures de vente
C2 sans passer par le responsable concerné X
exceptionnelles
sont autorisées
S'assurer que les les honoraires médecins qui sont pris en Le fait de l’incorporer
factures sont charge par la CNAM sont affichés sur la au niveau du total de
conformes aux facture de vente et pris en compte dans le la facture faussera les
exigences fiscales total facture. enregistrements X
C3 comptables des
créances clients et des
dettes autrui
Possibilité de modifier le taux de la TVA Risque fiscal
X
sur la cotation.
S'assurer que les Rien à signaler Rien à signaler
factures prises en
C4
charge par tiers
sont recouvrées
Les factures sont Possibilité de modifier la facture par le Des factures erronées.
transmises au caissier
C5 X
responsable de la
caisse
2.3- Synthèse de l’évaluation des risques

L’auditeur doit identifier et évaluer le risque d’anomalies significatives :
- au niveau des états financiers ;
- au niveau des assertions pour les flux d’opérations, les soldes de comptes et les
informations fournies dans les états financiers.
Après avoir identifié les risques inhérents liés à l’activité de la polyclinique et les risques liés
au contrôle, nous déterminerons le risque de non détection qui va constituer la base de
détermination de la nature, du calendrier et de l’étendue des procédures d’audit.
Nous considérons que les risques inhérents liés à l’activité de la polyclinique sont acceptables
164 | P a g e
vu que le secteur d’activité est contrôlé par l’Etat. Nous devons prendre une attention
particulière pour les créances libyennes.
Pour les risques liés au contrôle, vu le milieu informatisé dans lequel la polyclinique opère
nous considérons que les risques liés au contrôle sont élevés. Nous devons mettre en place des
tests substantifs pour collecter des éléments probants appropriés répondant aux risques
détectés.
Le tableau des matrices du risque d’audit nous indiquant l’étendue des travaux d’audit à
appliquer.
Risque Niveau du
Risques Assertions Implication sur les procédures d‘audit
(O/N) risque (E, F, M)
1- Cycle immobilisations
Exhaustivité
Risque inhérent
N
Existence N
Exactitude N
Des tests substantifs pour les équipements
Valorisation O F
importés
Exhaustivité N
Risque lié au
Vérification des procédures d'inventaire

contrôle
Existence O F
physiques des immobilisations
Exactitude N
Valorisation N
2- Cycle clients/ventes
Exhaustivité N
inhérent
Risque
Existence N
Exactitude N
Valorisation O E Vérification des créances libyennes
Exhaustivité N
Risque lié au
Existence Vérification soldes clients

contrôle
O F
Exactitude N
Vérification de la recouvrable des créances
Valorisation O E
libyennes et CNAM
3- Cycle achats /fournisseurs
Exhaustivité
Risque inhérent
N
Existence N
Vérification de l'exactitude des achats aux
Exactitude O F
exigences légales
Valorisation N
Exhaustivité
Risque lié au
O E
Nous devons élargir les étendues de nos travaux
contrôle
Existence O E
d'audit pour ce cycle vu la défaillance du système
Exactitude O E
contrôle.
Valorisation O E
165 | P a g e
Risque Niveau du
Risques Assertions Implication sur les procédures d‘audit
(O/N) risque (E, F, M)
4- Cycle stocks
Exhaustivité N
inhérent
Risque
Existence O M Vérification des conditions de stockage

Exactitude N
Valorisation N
Exhaustivité O E Vérification que les stocks sont à jour
Vérification des procédures d'inventaire
Risque lié au
Existence
contrôle
O M
physiques des stocks
Exactitude N
Vérification de la méthode de valorisation des
Valorisation O M
stocks
5- Cycle personnel
Exhaustivité
Risque inhérent
Existence O F S'assurer que les exigences du cahier de charges

sont respectées
Exactitude O F
Valorisation N
Exhaustivité S'assurer que les heures supplémentaires sont

Risque lié au
O M
contrôle
autorisées
Existence O M
Exactitude N
Valorisation O M S'assurer du respect de la convention sectorielle
6- Cycle impôts et taxes
Exhaustivité O F
inhérent
Risque
Existence O F
S'assurer du respect des obligations fiscales
Exactitude O F
Valorisation O F
Exhaustivité
Risque lié au
O F
contrôle
Existence O F
S'assurer du respect des obligations fiscales
Exactitude O F
Valorisation O F
Section 3 : Les tests de validation

Les tests de validation serrent à rendre le risque de non détection à niveau acceptable. Nous
focalisons nos travaux sur le cycle achats – fournisseurs et ventes-clients.
Ces tests regroupement plusieurs technique à savoir le contrôle des comptes et l’observation
physique.
166 | P a g e
3.1- Le contrôle des comptes
3.1.1- Achats-fournisseurs
L’objectif est de s’assurer les charges et produits inscrits au compte de résultat et provenant
des opérations d’achats, résultent uniquement de l’enregistrement intégral des transactions
réalisées dans l’exercice comptable considéré et que les comptes de tiers inscrits au bilan et
provenant des opérations d’achats sont correctement évaluées et bien classifiés.
Nous avons procédé aux vérifications suivantes :
Cycle Liste des contrôles Conclusion Commentaires

Achats- 1-Les derniers bons de réception de l’exercice ont donné lieu à
RAS
fournisseurs l’enregistrement de factures ou de provisions.
Achats- 2-Les derniers bons de retour de l’exercice ont donné lieu à
RAS
fournisseurs l’enregistrement d’avoir ou de provisions pour avoirs à recevoir ;
3-Les dernières factures et les derniers avoirs comptabilisés
Achats- RAS
fournisseurs correspondant à des mouvements de l’exercice.
Achats- 4- Tous les achats de l'exercice ont été comptabilisés. RAS
fournisseurs
Achats- 5- Rapprochement entre le total des achats édités par le module
RAS
fournisseurs approvisionnement et la comptabilité.
Les conclusions que nous avons tiré que la totalité des achats sont correctement comptabilisées
et évaluées.
3.1.2 Ventes-clients
L’objectif est de s’assurer que les produits et charges inscrits au compte de résultat et
provenant des opérations de ventes résultent uniquement de l’enregistrement intégral des
au bilan et provenant des opérations de ventes sont correctement évaluées et bien classés.
Nous avons procédé aux vérifications suivantes :
1- Identifier les comptes dont les libellés sont imprécis (ou
Ventes- RAS
inexistants) ou toute autre anomalie apparente.
clients
Ventes- 2- Pointer l’ensemble des comptes concernés avec le grand livre. RAS
clients
3- Examiner la ventilation du chiffre d’affaires par mois et identifier
Ventes- RAS
les variations anormales.
clients
167 | P a g e

4- Passer systématiquement en revue les avoirs émis après la clôture
Ventes- RAS
et obtenir des explications pour les éléments significatifs.
clients
5- Vérifier que les créances exprimées en devises ont été
Ventes- RAS
correctement comptabilisées.
clients
6- Vérifier l’annulation des provisions antérieurement constituées à
Ventes- RAS
raison des créances douteuses encaissées.
clients
7- Vérifier le bien-fondé de la déductibilité fiscale (ou non) de la
Ventes- RAS
provision pour créances douteuses.
clients
La totalité des ventes sont correctement comptabilisées et évaluées.
3.2- Observation physique

L’observation physique est une technique, à haut niveau de force probante, qui est utilisée pour
confirmer l’existence d’un actif.
Les objectifs de l’observation de l’inventaire physique sont de déterminer :
- si les procédures mises en place par la polyclinique permettent de s’assurer de
l’exhaustivité et de l’exactitude du comptage des stocks à la date de l’inventaire.
- si les procédures mises en place ont été respectées durant l’inventaire
Le questionnaire suivant nous permet de renseigner sur le bon déroulement de l’inventaire

physique de la polyclinique.
GENERAL Oui Non N/A

1-L’équipe de comptage a-t-elle pris connaissance des instructions
X
d’inventaire avant le comptage ?
2-Ces instructions sont-elles adéquates pour assurer avec précision :
 Le comptage et l’enregistrement des quantités comptées X
 L’identification des articles X
 L’unité de mesure X
 Les derniers bons de réception X
 L’identification du stock obsolète ou à rotation lente X
3-Les instructions d’inventaire sont-elles appliquées par le client ? X
168 | P a g e
OBSERVATIONS PHYSIQUE Oui Non N/A

4-Avons-nous fait le tour du local pour nous familiariser avec les produits du
X
client, les valeurs relatives des stocks et l’emplacement des articles ?
5-Les stocks sont-ils bien rangés pour faciliter le comptage X
6-Les articles qui ne seront pas comptés sont-ils identifiés et mis à part. X
7-Observe-t-on le comptage du client pour s’assurer de son exactitude ? X
8-A-t-on sélectionné un échantillon qui a été compté par nos soins pour
X
vérifier l’exactitude du comptage du client.
9-Les écarts ont-ils été analysés et apurés correctement et à notre
X
satisfaction ?
10-Est-ce-que le contrôle du client et la vérification des comptages sont
X
adéquats ?
11-Est-ce-qu’on a fait le tour du local à la fin pour nous assurer de
X
l’exhaustivité du comptage ?
METHODES DE COMPTAGE Oui Non N/A
12-Y-a-t-il un contrôle de l’émission et du retour des documents de comptage
X
(étiquettes…)
13-Avons-nous obtenu assez d’informations nous permettant de contrôler le
X
comptage et les feuilles de comptage
CUT-OFF Oui Non N/A
14-Avons nous obtenu assez d’informations (derniers BL, BS et factures)
X
nous permettant la vérification subséquente du respect du principe du cut-off.
OBSOLESCENCE Oui Non N/A
15-Les stocks obsolètes et à rotation lente ont-ils été identifiés et notés X
16-Avons-nous obtenu suffisamment d’informations nous permettant de
X
discuter avec le client à propos des articles significatifs.
IMMOBILISATIONS Oui Non N/A
17-Avons-nous enquêté et enregistré le détail des acquisitions significatives et
X
sommes nous assurés qu’ils existent et qu’ils ont été mis en service.
18-Avons-nous vu des projets significatifs de maintenance et de réparation. X
19-Avons-nous enquêté et enregistré les machines significatives en excès ou
X
défectueuses.
169 | P a g e
Conclusion de la troisième partie

Dans le contexte actuel où les systèmes d’information sont prépondérants dans la majorité des
processus des entreprises, il n’est plus possible de certifier les états financiers sans procéder à
l’évaluation des systèmes d’information. La démarche des auditeurs devra donc être adaptée
pour refléter cette nouvelle réalité.
L’expert-comptable est appelé à renforcer ses connaissances par des connaissances techniques
se rattachant aux technologies d’information et de communication. Il lui incombe d’adapter sa
démarche d’audit en vue de prendre en considération le rôle de l’informatique dans
l’appréciation des risques de l’entreprise.
Dans ce cadre nous avons essayé de mettre en place la démarche d’audit proposée pour une
mission d’audit financier d’une polyclinique privée.
Nous avons constaté que l’auditeur doit allouer un budget du temps pour la phase de prise de
connaissance du système d’information de la polyclinique en utilisant les processus de la
gouvernance du système d’information du référentiel CobiT 5.
En effet, après avoir prendre une connaissance satisfaisante sur le système d’information de la
polyclinique, nous avons procédé à la vérification des contrôles applicatifs mis en place. Cette
étape nous a permis de déterminer les risques liés au contrôle.
Les contrôles applicatifs portent sur l’étendue des différents systèmes d’applications ou
processus d’entreprise, dont les éditions de données, la séparation des fonctions, la balance des
totaux de contrôle, la journalisation des transactions et les rapports d’erreurs 82.
Les risques inhérents et les risques liés au contrôle que nous avons dégagé lors de la phase
d’évaluation du système d’information de la polyclinique nous a permis de déterminer les tests
substantifs qui devront être mis en place pour rendre le risque de non détection à un niveau
acceptable.
Dans le souci de bien clarifier la démarche d’audit proposée, il a été jugé utile d’annexer à ce
mémoire un programme de travail détaillé fournit le descriptif des différentes diligences qui
doivent être poursuivie par l’expert-comptable dans le cadre d’une mission d’audit des états
financiers.
82
170 | P a g e
Conclusion générale
Aujourd’hui, le monde économique est caractérisé par la libéralisation et la globalisation.
Cette culture nouvelle s’est rapidement concrétisée par l’utilisation des réseaux informatiques
qui permettent la transmission et la réception des informations d’une manière instantanée.
Comme tout changement, cette évolution entraîne la modification des modèles de
fonctionnement des entreprises.
Pour être compétitives dans l’environnement économique actuel, les entreprises tunisiennes
sont appelées à opérer de profondes mutations tant au niveau de leurs stratégies qu’au niveau
de la mise à niveau de leurs modes de gestion. Le processus de changement qui est enclenché
par suite de ce nouveau contexte, incite les entreprises à mieux maîtriser leurs systèmes
d’information afin de gagner en performance.
En effet, les systèmes d’information sont devenus des leviers stratégiques qui accompagnent
les entreprises dans la phase de leur mise à niveau en leur permettant d’être plus performantes
et réactives. Ceci implique une rapidité et une efficacité dans le traitement de l’information,
ce qui conduit, le plus souvent, à une refonte totale du système d’information et une
redistribution des activités et des tâches entre les différentes structures de l’organisation.
La dépendance des entreprises envers l’information et envers les systèmes qui la véhiculent
s’accroit avec le développement des technologies.
Il est évident que les systèmes d’information permettent à l’entreprise d’être performante et
réactive, mais la mise en place de ces systèmes s’accompagne, le plus souvent, par une refonte
des processus de l’organisation, ce qui pourrait se traduire par la suppression de certains
contrôles clés dans la gestion des risques de l’entité.
La forte intégration des systèmes d’information engendre de nouveaux risques.
Il y a lieu de noter que les risques inhérents aux systèmes d’information augmentent avec
l’ouverture de ces derniers aussi bien en externe avec l’internet qu’en interne à travers les
outils d’intranet.
Les entreprises doivent être conscientes des risques liés aux systèmes d’information. Elles sont
tenues, par conséquent, de mettre en place les outils et les procédures de contrôle adéquats
permettant d’empêcher la survenance de ces risques ou de limiter leur impact.
Face à ces risques induits par les systèmes d’information (intégration, ouverture,
automatisation des contrôles, …etc.), les organismes professionnels de l’audit comptable et
financier ont dû réviser leurs normes et méthodologies d’audit de façon à prendre en compte
171 | P a g e
les enjeux créés par ce nouveau contexte.

Dans le cadre de ce travail, nous avons étalé les spécificités de la démarche d’audit dans un
milieu informatisé et les risques liés à l’informatisation des entités.
Pour répondre à ces nouveaux risques, certains cabinets d’audit ont adopté de nouvelles
démarches d’audit qui reposent largement sur l’évaluation des risques et des contrôles
informatiques. Ces nouvelles approches imposent aux auditeurs de comprendre, évaluer et
tester le contrôle interne relatif à l’environnement de la fonction informatique et aux systèmes
gérant les principaux processus des activités de l’entreprise.
Dans ce contexte, nous avons choisi le référentiel CobiT dans sa version 5 comme un référentiel
de contrôle pour aider les auditeurs à évaluer le système de contrôle interne. Ce référentiel peut
s’appliquer à :
- La sécurité de l’information ;
- La gouvernance et la gestion du Système d’Information de l’entreprise ;
- Les activités d’audit ;
- La conformité avec la législation et la règlementation ;
- Les opérations financières ou les rapports sur la responsabilité sociale de l’entreprise.
La démarche d’audit que nous avons proposé met principalement l’accent sur :
- La prise de connaissance de l’environnement informatique de l’entité : c’est une étape
nécessaire pour la planification. Nous avons utilisé les processus de la gouvernance du
référentiel CobiT afin de comprendre le style du management de la direction du
département informatique et le rôle qui joue ce dernier au niveau de la stratégie générale
de l’entité ;
- La description du système d’information de l’entité : nous avons identifié les processus
métiers et les flux de traitement des données ainsi que les applications de base et les
principales interfaces IT qui génèrent les données financières et comptables ;
- L’identification des risques inhérents relatifs à l’environnement informatique de
l’entité : cette étape consiste à identifier les principales exigences réglementaires et
concurrentielles qui produisent des risques à l’entité. L’auditeur peut utiliser les
processus du référentiel CobiT 5 pour cerner les risques inhérents ;
172 | P a g e
- L’indentification des risques liés au contrôle : lors de la description du système

d’information l’auditeur a obtenu une compréhension assez satisfaisante lui permettent
d’identifier les risques potentiels liés à certaines applications ainsi que les contrôles clés
mis en œuvre. Chaque contrôle identifié doit être testé pour s’assurer qu’il fonctionne
convenablement et permet de déceler les risques en temps opportun. L’évaluation des
contrôles clés nous a permis d’identifier les risques liés au contrôle.
Après avoir identifié les risques inhérents et les risques liés au contrôle, l’auditeur est tenu de
mettre en œuvre des procédures adéquates pour répondre aux risques significatifs détectés et
ramener les risques à un niveau acceptable.
A ce stade, l’expert-comptable est appelé à s’allier, de plus en plus, avec les exigences
d’entreprises afin d’améliorer le service clients, la flexibilité et la qualité et de gagner de
nouveaux parts de marché.
Ainsi, la profession qui a toujours été le conseiller des chefs d’entreprise doit s’orienter de plus
en plus vers l’accompagnement des entreprises pour la maîtrise de l’implémentation des
Nouvelles Technologies d’Information impactant les procédures de travail des entreprises.
Pour affronter ce nouveau défi, la profession doit agir en amont lors de la formation de l’expert-
comptable et en aval lors de l’exécution de son métier, à travers notamment une certification
accordée par l’Ordre des Experts Comptable en Tunisie (OECT) aux professionnels habilités
à exercer ce genre de missions.
En amont, ne serait-il pas opportun d’augmenter le nombre de modules et d’heures alloués aux
NTIC et aux référentiels internationaux de bonnes pratiques ainsi qu’au SI dans la formation
des étudiants en expertise comptable ?
En aval, face à ce vide de normalisation (absence de normes professionnelles en la matière),
n’est-il pas nécessaire que l’OECT œuvre pour que ce segment de métier ne nous échappe
techniquement et commercialement ?
173 | P a g e
Bibliographie
OUVRAGES
 YVON HOULE (2012), « Les contrôles comptables et la vérification en milieu
informatisé », Edition les presses de l’université Laval.
 FAHD M.S ALDUAIS (2013), « Le système d’information comptable automatisé »,
Les éditions du net.
 JEAN PAUL LAMY (1996), « Audit et certification des comptes en milieu
informatisé », les éditions d'organisation.
 HUGUES ANGOT- CHRISTIAN FISCHER- BAUDOUIN THEUNISSEN (2004),
« Audit comptable, audit informatique », Edition de Boeck.
 DIDIER HALLEPEE (2013), « Conduite et maîtrise de l’audit informatique (qualité,
sécurité informatique) », Edition carrefour du net.
 MOISAND DOMINIQUE, GARNIER DE LABAEYRE (2010), « CobiT - Pour une
meilleure gouvernance des systèmes d'information », Edition EYROLLES.
 Compagnie Nationale des Commissaires aux Comptes, « prise en compte de
l’environnement informatique et incidence sur la démarche d’audit », CNCC 2003.
 VINCENT LACOLARE (2010), « Pratiquer l’audit à la valeur d’ajoutée », Edition
AFNOR.
 MARIE BIA-FIGUEIREDO, YVES GILLETTE, CHANTAL MORLEY (2011),
« Processus métiers et S.I. - Gouvernance, management, modélisation », Edition
DUNOD.
 ISACA (2012), « COBIT 5 : Un référentiel orienté affaires pour la gouvernance et la
gestion des TI de l’entreprise ».
 Claude GRENIER et Camille MOINE « Construire le système d’information de
l’entreprises », Edition FOUCHER 2003.
THESES ET MEMOIRES
 Mohamed Lassâad BORGI (2001), « l’évolution des technologies de l’information et
de la communication : impact sur l’audit financier », Mémoire d’expertise comptable.
 Jihed BESGHAIER EPOUSE LEHBAIEL (2006), « Incidences de l’évolution des
technologies de l’information sur les risques d’audit et proposition d’une démarche
adaptée de la sécurité informatique », Mémoire d’expertise comptable.
174 | P a g e
 Mohamed Ilyes Ghrab (2009), «Audit de la sécurité des systèmes d’information »,

Mémoire d’expertise comptable.
 Bilel Errahmouni (2011), « La sécurité du système d’information : les enjeux de
l’expert-comptable », Mémoire d’expertise comptable.
 Mohamed Amin Belhadj (2012), « L’adoption du référentiel COBIT V4.1 pour la mise
en place d’un Progiciel de Gestion Intégré », Mémoire d’expertise comptable.
 Sana KTAT (2006), « L’impact des nouvelles technologies de l’information sur la
performance des auditeurs : application à un gestionnaire électronique de fichiers dans
une firme internationale d’audit », thèse de doctorat.
 Bruno Claude pierre (2010), « Conceptualisation de la Gouvernance des systèmes
d’Information : Structure et Démarche pour la Construction des Systèmes d’Information
de Gouvernance », Pour l’obtention du titre de : docteur de l’université Paris I-
PANTHEON – SORBONNE.
ARTICLES, REVUES ET PUBLICATIONS

 L’Association Française de l'Audit et du conseil Informatiques (juillet 2008), « Contrôle
interne et système d’information », 2ème édition.
 LAZHAR EL ORF (2014), « Différenciation et intégration des systèmes comptables :
Une étude typologique », HAL archives.
 Thierry Bergès (2011), « Les nouvelles technologies de l’information et de la
communication : un nouveau paradigme technologique pour les auditeurs financiers »,
HAL archives.
 Nicolas Mayer, Jean-Philippe Humbert (Avril-Mai 2006), « La gestion des risques pour
les systèmes d’information », Article paru dans le magasine MISC n°24.
 Gerald Brunetto, Véronique Massot (2010), « Quels sont les impacts des PGI sur le
processus d’audit ? Le cas de l’auditeur légal », HAL archives.
 Conseil supérieur de l’ordre des experts comptable (), « Technologies d’information et
de communication en comptabilité et reporting : Méta modèle conceptuel »
 Monique Garsoux (2005), « CobiT – une expérience pratique », La revue n°78- Mars
2005.
 Hicham El Achgar (2013), « Gouvernance de la sécurité des systèmes d’information »,
ANSI.
 Claude Mauvais (2001), « Le modèle COBIT : Management des technologies de
l'information par les processus », la lettre d’ADELI n° 43 – Avril 2001.
175 | P a g e
 Hendrik Ceulemans (2008), « Mise en œuvre de CobiT », la lettre d’ADELI n° 72-été

2008
 Marc-André Léger (2015), « Utilisation de COBIT 5 for risk », www.leger .ca, publié
le 15 septembre 2015.
 ANSI (2014), « Comparatif des méthodes d’audit et d’analyse des risques de sécurité
des systèmes d’information », ANSI publié le 26 septembre 2014.
 Nabil Messabia, Abdelhaq Elbekkali, Michel Blanchette, « Le Modèle du Risque
d’Audit et la complexité des Technologies de l’Information : une Etude Exploratoire »,
Journal Of Global Business Administration (JGBA) – Décembre 2014 Volume 6,
Number1.
 The institute of internal auditors : « Global Technology Audit Guide n°1 : Les contrôles
et le risque des systèmes d’information », 2ème édition.
 The institute of internal auditors : « Global Technology Audit Guide n°4 : Management
de l’audit des systèmes d’information », mars 2006.
 The institute of internal auditors : « Global Technology Audit Guide n°8 : Audit des
contrôles applicatifs », juillet 2007.
 The institute of internal auditors : « Global Technology Audit Guide n°10 : gestion de
la continuité de l’activité», juillet 2008.
 The institute of internal auditors : « Global Technology Audit Guide n°14 : Management
de l’audit des systèmes d’information », 2ème édition, janvier 2013.
NORMES ET REFERENTIELS
 Aject : « manuel d’audit », décembre 2015.
 Hechmi ABDELWAHED : « guide pour l’utilisation des normes internationales d’audit
dans l’audit des petites et moyennes entreprises », décembre 2007.
 ISACA et AFAI : « guide d’audit des applications informatiques », novembre 2008.
 La norme ISA 315 « connaissances de l’entité et de son environnement aux fins de
l’identification et de l’évaluation du risque d’anomalies significatives ».
 La norme ISA 330 « réponse de l’auditeur à l’évaluation des risques ».
 La norme ISA 500 « éléments probants ».
 La norme ISA 520 « procédures analytiques ».
LOIS ET REGLEMENTS
 Loi n° 91-63 du 29 juillet 1991, relative à l'organisation sanitaire.
176 | P a g e
 Loi n° 2001-94 du 7 août 2001, relative aux établissements de santé prêtant la totalité
de leurs services au profit des non-résidents.
 Décret n° 2002-545 du 5 mars 2002, fixant les conditions des prestations de services
pouvant être fournies aux résidents par les établissements de santé prêtant la totalité de
leurs services au profit des non-résidents.
 Décret n° 92-1208 du 22 juin 1992, fixant les attributions, la composition et les
modalités de fonctionnement du comité national des établissements sanitaires privés, tel
que modifié par le décret n° 98-740 du 30 mars 1998 et le décret n° 2001-1080 du 14
mai 2001.
 Décret n° 93-1156 du 17 mai 1993, fixant les conditions de désignation et les obligations
des directeurs des établissements sanitaires privés.
 Décret n° 93-1915 du 31 août 1993, fixant les structures et les spécialités ainsi que les
normes en capacité locaux, équipements et personnels des établissements sanitaires
privés, tel que complété et modifié par le décret n° 99-2833 du 21 décembre 1999 et
le décret n° 2001-1082 du 14 mai 2001 et le décret n°2010-2200 du 6 septembre 2010.
 Décret n° 98-793 du 4 avril 1998, relatif aux établissements sanitaires privés tel que
modifié et complété par le décret n°2009-1926 du 15 juin 2009.
 Arrêté du Ministre de la santé publique du 28 mai 2001, portant approbation de cahier
des charges relatif aux établissements sanitaires privés, tel que modifié et complété par
l’arrêté du 24 décembre 2007.
177 | P a g e
Table des matières

Introduction générale ............................................................................................................... 8
PREMIERE PARTIE : Spécificités de la démarche d’audit dans un milieu informatisé
.................................................................................................................................................. 13
Introduction de la première partie ....................................................................................... 14
1er chapitre : Les technologies d’informations et leurs impacts sur la démarche d’audit
.................................................................................................................................................. 15
Section 1 : Les caractéristiques du système comptable dans un milieu informatisé .... 17
1.1 - La structure organisationnelle............................................................................... 17
1.2 - La nature des traitements ...................................................................................... 18
1.3 – Les Conséquence de l’évolution des techniques informatiques ......................... 19
Section 2 : Les risques liés à l’informatique ..................................................................... 20
2.1. Les risques généraux................................................................................................ 22
2.1.1- Les risques liés aux ressources humaines ....................................................... 24
2.1.2- Les risques liés à la dématérialisation des rapports humains ....................... 24
2.1.3- Les risques stratégiques .................................................................................... 25
2.1.4- Les risques liés au contrôle des systèmes d’information ............................... 25
2.1.5- Les risques éthiques et juridiques ................................................................... 25
2.1.6- Les risques liés au patrimoine informatique .................................................. 26
2.1.7- Les risques marketing....................................................................................... 27
2.1.8- Les risques périphériques................................................................................. 27
2.2. La maîtrise des risques ............................................................................................ 28
2.2.1- La mise en place d’une politique claire et coordonnée .................................. 28
2.2.2- L’organisation et management ........................................................................ 29
2.2.3- Les contrôles physiques et environnementaux ............................................... 30
2.2.4- Les contrôles des logiciels systèmes ................................................................. 31
2.2.5- Le contrôle de l’acquisition et de développement des systèmes. ................... 31
Section 3 : Impact de l’informatique sur la conduite d’une mission d’audit ................ 32
3.1. Les compétences requises pour l’auditeur financier ............................................ 32
3.1.1- La formation des auditeurs aux techniques informatiques........................... 33
3.1.2- La composition d’une équipe mixte ................................................................. 33
3.1.3- Le recours à des spécialistes externes .............................................................. 33
3.2. La méthodologie d’audit financier ......................................................................... 35
3.2.1- Orientation et planification de la mission ....................................................... 35
178 | P a g e
3.2.2- Evaluation des risques ...................................................................................... 35

Conclusion ............................................................................................................................... 36
2ème chapitre : CobiT un référentiel d’audit des systèmes d’information ......................... 37
Section 1 : Présentation du référentiel .............................................................................. 37
1.1- Historique du CobiT ................................................................................................ 37
1.2- L’apport du CobiT en matière de gouvernance de TI ......................................... 39
Section 2 : Les processus du CobiT 5 ................................................................................ 40
2.1- Processus de gouvernance des TI ........................................................................... 42
2.1.1- Définir et maintenir le cadre de gouvernance : EDM1 ................................. 42
2.1.2- Assurer l'optimisation de la valeur : EDM2 ................................................... 42
2.1.4- Assurer l'optimisation des ressources : EDM4 .............................................. 43
2.1.5- Assurer la transparence des parties prenantes : EDM5................................ 43
2.2- Processus de gestion des IT ..................................................................................... 43
2.2.1- Aligner, Planifier et Organiser : APO............................................................. 44
2.2.2- Bâtir, Acquérir et Implanter : BAI ................................................................. 47
2.2.3- Livrer, Servir et Soutenir : LSS....................................................................... 50
2.2.4- Surveiller, Evaluer et Mesurer : SEM ............................................................ 51
Section 3 : CobiT pour l’audit .......................................................................................... 52
3.1- L’apport du CobiT .................................................................................................. 52
3.2- Le contrôle interne ................................................................................................... 53
3.3- Le pilotage stratégique ............................................................................................ 54
3.4- la sécurité .................................................................................................................. 54
Section 4 : Les limites du référentiel CobiT ..................................................................... 55
Conclusion de la première partie .......................................................................................... 57
DEUXIEME PARTIE : Proposition d’une démarche d’audit dans un milieu informatisé
.................................................................................................................................................. 58
Introduction de la deuxième partie ....................................................................................... 59
1er chapitre : Etudes comparatives avec les normalisations internationales .................... 60
Section 1 : Les normes françaises ...................................................................................... 60
1.1- Cadre juridique et fiscal.......................................................................................... 60
1.2- Synthèse des recommandations .............................................................................. 61
Section 2 : Les normes américaines .................................................................................. 64
2.1- Cadre juridique........................................................................................................ 64
2.2- Synthèse des recommandations .............................................................................. 65
Section 3 : Les normes IFAC ............................................................................................. 66
179 | P a g e
3.1- Cadre juridique........................................................................................................ 67

3.2– Synthèse des recommandations de l’IFAC ........................................................... 67
2ème chapitre : Proposition de la démarche d’audit dans un milieu informatisé .............. 68
Section 1 : Planification de la mission ............................................................................... 69
1.1- Prise de connaissance de l’entité : .......................................................................... 69
1.1.1- Prise de connaissance des affaires du client ................................................... 69
1.1.2- Prise de connaissance de l’environnement informatique .............................. 70
1.2- Examen analytique (préliminaire ou global) ......................................................... 71
1.3- Description du système d’information de l’entité ................................................. 73
1.3.1- Identification des processus métiers et des flux de traitement des données 73
pertinentes .................................................................................................................... 75
1.5- Etablissement du plan de mission .......................................................................... 79
Section 2 : Evaluation des risques ..................................................................................... 80
2.1- Les risques inhérents : ............................................................................................. 81
2.1.1- Les risques inhérents liés aux affaires du client ............................................. 81
2.1.2. Les risques inhérents liés à l’environnement informatique........................... 82
2.2- Les risques liés au contrôle : ................................................................................... 85
2.2.1- Identification des risques et des contrôles clés ............................................... 85
2.2.2- Tests de cheminement ....................................................................................... 87
2.2.3- Evaluation de la conception des contrôles ...................................................... 89
2.2.4- Evaluation du fonctionnement des contrôles .................................................. 91
2.3- Synthèse de l’évaluation des risques ...................................................................... 93
Section 3 : Les tests de validation ...................................................................................... 94
3.1- Le contrôle des comptes .......................................................................................... 95
3.1.1- Immobilisations incorporelles .......................................................................... 95
3.1.2- Immobilisations corporelles ............................................................................. 95
3.1.3- Titres de Participation et Créances Rattachées à des Participations ........... 97
3.1.4- Autres immobilisations financières ................................................................. 97
3.1.5- Stocks ................................................................................................................. 98
3.1.6- Ventes-clients ..................................................................................................... 99
3.1.7- Trésorerie ......................................................................................................... 100
3.1.8- Emprunts et dettes assimilés .......................................................................... 101
3.1.9- Achats-fournisseurs ........................................................................................ 101
3.1.10- Capitaux propres, réserves et subventions ................................................. 102
180 | P a g e
3.1.11- Provisions pour risques et charges .............................................................. 102

3.1.12- Débiteurs et créditeurs divers et autres ...................................................... 103
3.1.13- Compte de résultat ........................................................................................ 103
3.1.14- Paie-personnel ............................................................................................... 104
3.1.15- Etat : impôts et taxes..................................................................................... 104
3.1.16- Engagements hors bilan ............................................................................... 104
3.2- Observation physique ............................................................................................ 105
Section 4 : Synthèse des travaux ..................................................................................... 105
Conclusion de la deuxième partie ....................................................................................... 107
TROISIEME PARTIE : L’application de la démarche proposée pour une mission
d’audit financier d’une polyclinique .................................................................................. 108
Introduction de la troisième partie ..................................................................................... 109
1er chapitre : Présentation générale de la polyclinique ..................................................... 111
Section 1 : Présentation du secteur d’activité ................................................................ 111
1.1- Contexte économique : .......................................................................................... 111
1.2- Répartition des revenus et niveau de pauvreté ................................................... 112
1.3- Diagnostic du secteur............................................................................................. 113
1.3.1- Les infrastructures .......................................................................................... 113
1.3.2- les ressources humaines .................................................................................. 115
1.3.3- La formation .................................................................................................... 115
1.3.4- La Technologie médicale et les équipements lourds .................................... 116
1.4- Analyse SWOT du secteur santé privé ................................................................ 117
Section 2 : Régime juridique............................................................................................ 118
2.1- Les textes juridiques :............................................................................................ 118
2.2- Définition juridique de la polyclinique : .............................................................. 119
2.3- Le cahier des charges............................................................................................. 119
2.3.1- Les dispositions générales............................................................................... 120
2.3.2- Gestion du personnel ...................................................................................... 121
2.3.3- Approvisionnements des médicaments ......................................................... 121
Section 3 : Régime fiscal ................................................................................................... 121
3.1- Les incitations financières ..................................................................................... 121
3.2- Les avantages fiscaux ............................................................................................ 122
3.3- En matière de la TVA ............................................................................................ 123
3.3.1- La TVA collectée ............................................................................................. 123
3.3.2- La TVA déductible .......................................................................................... 125
181 | P a g e
3.4- En matière droit d’enregistrement....................................................................... 125

3.5- En matière TCL ..................................................................................................... 126
3.6- En matière TFP et FOPROLOS ........................................................................... 126
3.7- Autres obligations fiscales ..................................................................................... 126
3.7.1- En matière de la retenue à la source ............................................................. 126
3.7.2- En matière de facturation .............................................................................. 127
2ème chapitre : l’application de la démarche d’audit proposée ........................................ 127
Section 1 : La planification de la mission ....................................................................... 128
1.1- Prise de connaissance de la polyclinique ............................................................. 128
1.1.1- Prise de connaissance des affaires de la polyclinique .................................. 128
1.1.2- Prise de connaissance de l’environnement informatique ............................ 130
1.2- Examen analytique (préliminaire ou global) ....................................................... 132
1.2.1- Chiffres d’affaires : ......................................................................................... 133
1.2.2- Résultats et rendement : ................................................................................. 133
1.2.3- Investissements :.............................................................................................. 134
1.2.4- Flux de trésorerie : .......................................................................................... 134
1.2.5- Les conclusions de l’examen analytique : ..................................................... 135
1.3- Description du système d’information de la polyclinique .................................. 135
..................................................................................................................................... 135
pertinentes .................................................................................................................. 138
1.4- Prise en compte des risques .................................................................................. 139
1.5- Etablissement du plan de mission ........................................................................ 140
Section 2 : Evaluation des risques ................................................................................... 141
2.1- Les risques inhérents : ........................................................................................... 141
2.1.1- Les risques inhérents liés aux affaires de la polyclinique ............................ 141
2.1.2. Les risques inhérents liés à l’environnement informatique......................... 143
2.2- Les risques liés au contrôle : ................................................................................. 145
2.2.1- Identification des risques et des contrôles clés ............................................. 145
2.2.2- Tests de cheminement ..................................................................................... 147
2.2.3- Evaluation de la conception des contrôles .................................................... 156
2.2.4- Evaluation du fonctionnement des contrôles ................................................ 161
2.3- Synthèse de l’évaluation des risques .................................................................... 164
Section 3 : Les tests de validation .................................................................................... 166
3.1- Le contrôle des comptes ........................................................................................ 167
182 | P a g e
3.1.1- Achats-fournisseurs ........................................................................................ 167

3.1.2 Ventes-clients .................................................................................................... 167
3.2- Observation physique ............................................................................................ 168
Conclusion de la troisième partie ........................................................................................ 170
Conclusion générale ............................................................................................................. 171
Bibliographie......................................................................................................................... 174
Table des matières ................................................................................................................ 178
LES ANNEXES .................................................................................................................... 184
183 | P a g e
LES ANNEXES
184 | P a g e
Annexes : Programme du travail :

- A-1 : Détermination du seuil signification
- A-2 : Procès-verbal des discussions et entretiens avec l’équipe d’audit
- A-3 : Prise de connaissance de l’entité et de son environnement
- A-4 : Prise de connaissance de l’environnement informatique de l’entité
- A-5 : Analyse des risques d’anomalies significatives
- A-6 : Stratégie global d’audit
185 | P a g e
A-1 : Détermination du seuil signification
Département Audit Cabinet XYZ Année : 2017

Nom du client Exercice
Détermination du seuil de signification
Objectif ISA
L’objectif est de déterminer le seuil de signification de manière appropriée dans le cadre de la 320
planification et l’exécution de l‘audit. Déterminer le seuil de signification implique un jugement
professionnel et peut se faire sur la base de critères quantitatifs ou qualitatifs.
L’auditeur doit déterminer un seuil de signification pour la réalisation des travaux, c’est-à-dire
un seuil de signification plus faible (que le seuil de signification global) afin de tenir en compte
la probabilité que le total des anomalies qui prises individuellement sont non significatives (en
fonction du seuil de signification global) fasse que les comptes annuels soient manifestement
erronés.
Identification des utilisateurs principaux des comptes annuels
Utilisateurs Commentaires
a)
b)
c)
d)
e)
Description de la nature et de l’impact de considérations qualitatives (p. ex. : tendance de profitabilité,

règlementations, sensibilités particulières, respect des contrats de prêt, attente des utilisateurs, etc.)
Nature Impact sur le programme d’audit

a)
b)
c)
d)
186 | P a g e
Collecte des informations pour déterminer le seuil de signification global
Les données Exercice actuel Dernier exercice Exercice précédent

(N) (N-1) (N-2)
Chiffres d’affaires
Résultat après impôt
Situation nette
Total bilan
Autres critères
Seuil de signification
antérieur
Fixation du seuil de signification global quantitatif
Entité Base Pourcentages Seuil de Commentaires

signification
Chiffres d’affaires 1%
Situation nette 1%
Résultat après 2%
impôt
Total bilan 0.5%
Autre (à décrire)
Fixation du seuil de signification global qualitatif
Catégories Eléments considérés Seuil de signification

Flux de transactions
Soldes des comptes
Informations à fournir dans
l’annexe aux comptes annuels
Sur la base de ce qui est mentionné ci-dessus, le seuil de signification global préalable est
de ___________ TND. Expliquer les raisons ci-dessous :
187 | P a g e
Seuil de signification global final (après l’achèvement des travaux)
Existe-t-il des informations additionnelles portées à votre connaissance qui diffèrent significativement
des informations sur lesquelles le seuil de signification global initial et le programme d’audit ont été
basés ? OUI NON
Si oui, expliquer les raisons :
Lorsque le seuil de signification global a été modifié, expliquer l’impact sur la nature, l’étendue et le
calendrier des procédures d’audit prévues (p. ex., rubrique significative des comptes annuels, taille des
échantillons, etc.).
Préparé par Date

Revu par l’associé responsable de Date
la mission
Revu par le responsable contrôle Date
qualité
188 | P a g e
A-2 : Procès-verbal des discussions et entretiens avec l’équipe d’audit

Procès-verbal des discussions et entretiens avec l’équipe d’audit
Objectif ISA
L’objectif est de documenter les discussions qui ont eu lieu au sein de l’équipe d’audit. 315
Les membres de l’équipe d’audit affectée à la mission doivent discuter entre eux de la 240
possibilité que les comptes annuels contiennent des anomalies significatives. La
communication entre les membres de l’équipe d’audit est nécessaire dans toutes les phases de
la mission afin de s’assurer que tous les problèmes ont été pris en considération de manière
appropriée. L’objectif est d’échanger les connaissances en fonction de l’expérience des
membres de l’équipe d’audit au sujet de la connaissance de l’entité, l’identification des risques,
leur évaluation, les réponses à ces risques.
Domaines de discussions Commentaires et réponses initiales

Données de l’audit précédent (nature de
l’entité, contrôle interne, type d’opinion
d’audit, risques significatifs, problèmes
particuliers, etc.)
Risques significatifs
Réponses aux risques
Continuité d’exploitation
Risque de fraude
Changements (nouvelle activité,
nouvelle règlementation, nouvelle
direction, etc.)
Définition des rôles des membres de
l’équipe d’audit :
 Associé responsable de la mission
 Responsable contrôle qualité
 Autres
Préparé par Date

la mission
qualité
189 | P a g e
A-3 : Prise de connaissance de l’entité et de son environnement

Connaissance de l’entité et de son environnement
Objectif ISA
L’objectif est d’obtenir (ou de mettre à jour) et de documenter la connaissance de l’entité et de son 315
environnement afin de fournir une base pour l’identification et l’évaluation des risques d’anomalies 540
significatives au niveau des comptes annuels et au niveau des assertions. Cette connaissance peut
constituer une base pour la conception et la mise en œuvre des réponses aux risques évalués
d’anomalies significatives. La connaissance de l’entité et de son environnement (y compris de son
contrôle interne) peut se faire via :
a) des demandes d'informations auprès de la direction et d’autres personnels au sein de l’entité ;
b) des procédures analytiques ; et
c) l'observation physique et l'inspection.
En cas d’utilisation d’informations recueillies à partir d’expériences passées de l'entité ou de
procédures d’audit réalisées au cours d’audits précédents, il est important de vérifier si des
changements sont intervenus depuis le dernier audit et si ceux-ci peuvent avoir un impact sur la
pertinence des informations utilisées dans le cadre de l'audit en cours.
Mise à jour Risques

stratégie significatifs
Informations de base Commentaires
global
d’audit (O/N)
Historique du client
 date de constitution ;
 changement dans les activités ;
 propriété et structure de gouvernance ;
 autres évènements significatifs.
Aperçu du secteur
 conjoncture économique générale,
nationale et locale ;
 changement technologique ;
 changements légaux ou
règlementaires ;
 facteurs concurrentiels ;
 secteur d’activité.
Stratégie du client
 objectifs et stratégies actuels ;
 stratégie pour atteindre les objectifs ;
190 | P a g e

global
d’audit (O/N)
Structure du groupe
Actionnaires, administrateurs et membres du personnel

 noms des actionnaires, rôles et
pourcentage de détention ;
 parties ayant un pouvoir de contrôle ;
 noms des administrateurs, rôles et, le
cas échéant, pourcentage de détention
du capital ;
Conseillers professionnels
 noms et coordonnées des conseillers
professionnels.
Spécialistes et besoins particuliers
 envisager l’utilisation d’experts, p. ex.
principalement dans les domaines
autres que la comptabilité ou l’audit,
tels que les actuaires ou les experts en
évaluation des biens ;
Audit interne si applicable
 la nature des responsabilités de la
fonction d’audit interne et la manière
dont cette fonction est intégrée dans la
structure de l’entité ; et
 les activités exercées, ou à exercer par
le département d’audit interne ;
Produits et processus
 les produits ou services que le client
vend ou fournit, la clientèle, le
marketing et la stratégie de prix ;
 comment les produits ou les services
sont fabriqués ou fournis (il faut
considérer les matières premières et
les sources d’approvisionnement)
ainsi que le processus de fabrication
ou de transformation depuis le début
jusqu’à la fin.
Marché
 fournisseurs ;
 clientèle ;
 concurrents ;
191 | P a g e

global
d’audit (O/N)
 information sur le secteur.
Immobilisations corporelles
 Toutes les informations significatives
concernant les immobilisations
corporelles (installations, machines et
outillage).
Flux de trésorerie et financement
 la façon dont l’entité est structurée et
la manière dont elle est financée
(comptes bancaires, découverts et
autres facilités de crédits) ;
 points importantes sur les créances,
dettes d’exploitation, stocks, location-
financement.
Investissements
 le type d’investissement que l’entité
effectue et envisage d’effectuer.
TVA sur les opérations de ventes
 régime TVA applicable.
Règles comptables
 obtenir une connaissance des règles
comptables applicables au sein de
l’entité, y compris les raisons
d’éventuels changements dans ces
règles ;
 identifier les règles comptables dans
les domaines importants ;
 évaluer dans quelle mesure les règles
comptables adoptées sont appropriées
pour le type d’activité et sont
consistantes tant au regard du
référentiel comptable applicable.
Indicateurs de performance et revue
 comprendre la manière dont la
performance du client est évaluée et
revue.
Autres
 rubriques importantes où les jugements
peuvent avoir un impact sur les
comptes annuels ;
192 | P a g e

global
d’audit (O/N)
 écritures comptables non courantes
attendues ayant un impact significatif
sur les comptes annuels ;
 les comptes d’attente figurant dans le
grand livre ou dans la balance des
comptes généraux.

Estimation comptable Commentaires
global
(O/N/)
d’audit
Prendre connaissance
 les règles édictées par le référentiel

comptable relatives aux estimations
comptables, y compris les informations
à fournir les concernant ;
 la façon dont la direction identifie les
transactions, ou les événements ou
circonstances qui peuvent nécessiter la
comptabilisation d’une estimation
comptable ou des informations
complémentaires en annexe des
comptes annuels. Via cette
connaissance, l'auditeur doit s'enquérir
auprès de la direction des changements
intervenus dans les circonstances qui
peuvent donner lieu à de nouvelles
estimations comptables, ou au besoin
de réviser celles existantes ;
 la façon dont la direction procède aux
estimations comptables et une
connaissance des données sur
lesquelles elles sont basées, y compris :
 la méthode et, le cas échéant, le

modèle utilisés pour procéder à
l'estimation comptable ;
 les contrôles y relatifs ;
 le recours éventuel de la direction à
un expert ;
 les hypothèses sous-tendant les
estimations comptables ;
193 | P a g e

Estimation comptable Commentaires
global
(O/N/)
d’audit
 s'il y a eu, ou devrait y avoir eu, un
changement par rapport à la période
précédente dans les méthodes
suivies pour procéder aux
estimations comptables et, dans
l'affirmative, quelles en sont les
raisons ; et
 si la direction a apprécié l’impact
d’une incertitude liée à l’évaluation
d’une estimation et, dans
l’affirmative, la manière dont
pareille évaluation a été effectuée.
 revoir le « dénouement » des
estimations comptables incluses dans
les comptes annuels de la période
précédente, ou, le cas échéant, leur
actualisation pour les besoins de la
période en cours. La nature et l'étendue
de cette revue tient compte des
caractéristiques des estimations
comptables et de la pertinence de
l'information ainsi obtenue pour
identifier et évaluer les risques
d'anomalies significatives dans les
estimations comptables de la période
en cours.

Stratégie significatifs
AUTRE Commentaires
global (O/N/)
d’audit
Lois et règlementations
 acquérir une connaissance générale du
cadre légal et réglementaire applicable
à l'entité ainsi que du secteur d'activité
dans lequel elle opère et la manière
dont l'entité s’y conforme ;
 recueillir des éléments probants
suffisants et appropriés concernant le
respect des textes légaux et
réglementaires ayant une incidence
pour les comptes annuels et les
annexes ;
194 | P a g e
 mettre en œuvre les procédures d'audit

suivantes visant à faciliter
l'identification des cas de non-respect
d'autres textes légaux et
réglementaires qui sont susceptibles
d'avoir une incidence significative sur
les comptes annuels ;
Questions environnementales
 attitude du client/politique interne face
aux aspects environnementaux,
politiques/déclarations publiées,
perception externes ;
 politiques, procédures et voie suivie ;
 problèmes : lois
spécifiques/règlementations,
connaissance de domaines ou des
problèmes existants, problèmes futurs
anticipés, relations avec les
fournisseurs et la clientèle ;
 publicité défavorable.
Autres domaines de connaissance
Préparé par Date

la mission
qualité
195 | P a g e
A-4 : Prise de connaissance de l’environnement informatique de l’entité

Prise de connaissance de l’environnement informatique de l’entité
Objectif ISA
L’objectif est d’acquérir une compréhension détaillée des mesures générales de gestion et les
315
applications informatiques utilisées, qui sont importantes en vue de garantir la fiabilité du
traitement automatisé des données.
Les mesures concernent notamment la continuité, la sécurité, la gestion des capacités et des 330
performances, la gestion du changement et l’assistance.
Description de l’environnement informatique – Structure

Dans le tableau ci-dessous, veuillez décrire les différentes applications logicielles (système ERP,
comptabilité, établissement de rapports, administration des salaires, etc.) utilisées au sein des divers cycles.
S’agit-il d’un Comment

logiciel s’effectue Existe-t-il
Quelles
standard, Quelle est la l’échange d’autres
sont les
fonction de d’informations
Risque
adapté tableurs ou
Cycles applications
« sur mesure » l’application entre les banques de
logicielles
par des tiers ou logicielle différentes données
utilisées ?
développé en applications importants
interne ? logicielles
Vente
Achat
Stock
Personnel
Trésorerie
196 | P a g e
Initiales
W/P
Commentaires
Ref.
Description de l’environnement informatique – Organisation

Comment le service
informatique est-il structuré ?
À quel niveau les décisions
informatiques sont-elles prises
et où s’effectue le suivi de ces
systèmes ?
Comment se déroule la
communication interne relative
à l’informatique et aux
applications au niveau de
l’entreprise ?
Qui est responsable des
systèmes informatiques et de
l’adaptation de ces systèmes
(en interne/en externe) ?
Décrivez brièvement
l’organisation informatique
interne et joignez-en
l’organigramme, s’il est
disponible.
Décrivez brièvement le plan
stratégique en matière
informatique et les objectifs à
long terme qui y ont été
inscrits. S’il est disponible.
Qui élabore le plan stratégique
en matière informatique et qui
le valide ?
Décrivez les objectifs à court
terme et leur procédure de
validation.
Quels sont, selon la direction,
les éventuels risques ou défis
existants liés à l’informatique ?
Si de tels risques ou défis
existent, comment sont-ils
suivis et par qui ?
Les mesures de contrôle
internes de l’entreprise ont-elles
permis de déceler des
manquements importants ? Si
oui, décrivez la prise en charge
de ces manquements.
Décrivez de manière générale
l’automatisation informatique
au sein de l’entité.
197 | P a g e
Initiales
W/P
Commentaires
Ref.
Déterminez si les activités de

l’entité sont fortement
dépendantes de
l’environnement informatique.
Changements au cours de l’exercice ?
Quels changements importants
relatifs aux applications
informatiques ont été opérés ou
sont prévus au cours de
l’exercice ?
Quels problèmes importants en
lien avec les systèmes
informatiques ont été
rencontrés au cours de cet
exercice ?
Sécurisation informatique
Qui est responsable de la
sécurité ?
Qui est responsable des profils
d’utilisateur et des mots de
passe ? La séparation des
fonctions est-elle suffisante ?
Décrivez la politique appliquée
en matière de mots de passe.
Les mots de passe doivent-ils
régulièrement être modifiés ?
Les mots de passe doivent-ils
être introduits par application
ou une identification générale
suffit-elle ?
Qui a les droits
d’administrateur ?
Décrivez la communication
entre la direction et le/la
responsable informatique ?
Tous les serveurs et postes de
travail (tels que les ordinateurs,
PC portables, tablettes, etc.)
disposent-ils de pare-feu, anti-
virus et anti-malware adaptés ?
Quelles sont les applications
logicielles utilisées à cet effet ?
Est-il possible de se connecter
aux systèmes depuis l’extérieur
(par l’intermédiaire d’un VPN
par exemple) ?
198 | P a g e
Initiales
W/P
Commentaires
Ref.
Si des données sont stockées

dans le cloud : décrivez les
dispositions de sécurité en
place, qui ont été définies avec
un prestataire de services
externe.
Décrivez les principaux
environnements matériels.
Décrivez comment ces
environnements sont connectés
(réseau).
Des serveurs complémentaires
sont-ils utilisés (éventuellement
à d’autres endroits) ?
Décrivez le contrôle physique
des accès (protection des
serveurs et autre matériel
informatique).
Des directives en matière de
sécurisation sont-elles
disponibles ?
Plan de reprise d’activité (PRA)
Le PRA est-il fiable ? Selon le
PRA, combien de temps
s’écoulerait avant la reprise des
activités en cas de sinistre ?
Quand ce plan a-t-il été testé
pour la dernière fois ?
Des sauvegardes sont-elles
effectuées régulièrement ?
Quelles sont les données
concernées par ces
sauvegardes ?
Où ces sauvegardes sont-elles
enregistrées et pendant combien
de temps les conserve-t-on ?
Quelles assurances ont été
souscrites pour le matériel
informatique et la récupération
des données ?
Maintenance
Existe-t-il un inventaire du
matériel et des logiciels
informatiques ?
Le cas échéant, décrivez le
contrat de service de
maintenance conclu auprès
d’un prestataire de services
externe.
199 | P a g e
Les applications logicielles

sont-elles à jour ?
Le nombre de licences achetées
correspond-il au nombre
effectivement installé ?
En cas de modifications
importantes : les nouveaux
systèmes informatiques sont-ils
systématiquement testés (essai
de fonctionnement) ou sont-ils
immédiatement mis en
service ?
Utilisateurs
Un collaborateur au moins au
sein du service visé a-t-il
bénéficié d’une formation au
sujet du principal progiciel ?
Les collaborateurs suivent-ils
régulièrement des formations ?
Les collaborateurs ont-ils
l’autorisation ou la possibilité
de modifier des données et des
réglages informatiques ?
Existe-t-il un manuel de
procédures à l’intention des
collaborateurs relatif à la
protection et à la sécurisation
du système informatique ?
Conclusion
L’environnement informatique
est-il considéré comme
complexe ?
Sera-t-il nécessaire de faire
appel à un expert informatique
externe (auditeur
informatique) ?
Préparé par Date

Revu par l’associé responsable de la Date
mission
qualité
200 | P a g e
A-5 : Analyse des risques d’anomalies significatives

Analyse des risques d’anomalies significatives
Objectif ISA
L’objectif est de documenter l’évaluation des risques combinés d’anomalies significatives dans
les comptes annuels. Cette évaluation servira de base pour déterminer la nature, l’étendue et le 315
calendrier des procédures d’audit complémentaires à mettre en œuvre, et qui répondent aux risques
identifiés.
1. Risques inhérents
1.1. Organisation-direction
OUI
Commentaires sur les risques d'anomalies
Question NON
significatives
N/A
La direction a-t-elle les connaissances
appropriées et une bonne expérience
pour un établissement correct des
comptes annuels de l’entité ?
La qualité de l’information financière
produite les années antérieures par la
direction est-elle satisfaisante ?
L'organisation et la gestion de
l'entreprise permettent-elles d'éviter les
litiges importants ?
La direction cherche-t-elle à limiter les

risques dans la prise de décision sur
des points majeurs (investissement,
financement, politique commerciale) ?
La direction comptable est-elle stable ?
Les relations avec le personnel sont-
elles bonnes ?
Y-a-t-il une communauté de vue entre

les actionnaires ?
Autres risques inhérents identifiés :
201 | P a g e
1.2. Etablissements des comptes annuels
OUI
Commentaires sur les risques d'anomalies
Question NON
significatives
N/A
Les contrôles précédents ont-ils fait
apparaître peu d'anomalies dans
l'information comptable et financière ?
La nature des opérations réalisées par

l'entreprise génère-t-elle des écritures
comptables simples ?
La société a-t-elle recours à des

changements fréquents de méthode
d'évaluation ?
S'il existe une comptabilité analytique,

ses données sont-elles cohérentes avec
celles de la comptabilité générale ?
Peut-on estimer qu'il y a des

circonstances (difficultés du secteur,
insuffisance de fonds propres, recherche
de nouveaux financements, etc.) pouvant
conduire les dirigeants à subir des
pressions pouvant se traduire sur la
présentation des comptes annuels ?
La rémunération de la direction est-elle
indépendante des résultats de
l’entreprise ?
1.3. Secteur d’activité (nature et conditions des activités de l'entité)

L’évolution du marché dans lequel se
situe l’entreprise est-elle favorable ?
L'activité de l'entité est-elle liée aux
problématiques de saisonnalité, de frais
de recherche et développement, de
cycles de production à long terme, de
sous activité ?
L’activité de l’entreprise est-elle liée aux
innovations ou changements
technologiques ?
D’après l'étude des ratios de structure
financière et des ratios de rentabilité
(références sectorielles) l'entreprise
évolue-t-elle conformément à son
secteur ?
202 | P a g e
Si l’entreprise connaît une expansion

rapide, les conséquences sur les moyens
nécessaires sont-elles maîtrisées ?
Les approvisionnements de l'entreprise
sont-ils stables (absence de perte d'un
client ou d'un fournisseur important) ?
Une opération de restructuration/
réorganisation est-elle en cours ou
prévue ?
1.4. Environnement légal est réglementaire

La direction est-elle suffisamment
sensibilisée à la prise en compte des
textes légaux et réglementaires ?
Une opération juridique importante est-

elle en cours ou prévue ?
Si l’entreprise évolue dans un secteur

ayant des règles comptables, fiscales,
environnementales, etc. particulières,
ces règles sont-elles correctement
comprises et respectées par l'entreprise ?
2. Risques liés au contrôle

2.1. Environnement de contrôle
Les dirigeants et les cadres font-ils
preuve d’intégrité dans leur
comportement ?
La direction cherche-elle à respecter les
textes légaux et réglementaires,
notamment la réglementation fiscale et
sociale ?
La direction manifeste-t-elle un intérêt
pour la qualité du contrôle interne et des
procédures administratives ?
S'assure-t-elle périodiquement de cette

qualité ?
La direction est-elle sensible à

l'importance des contrôles du
commissaire ?
A-t-elle accordé une attention suffisante
à nos recommandations antérieures ?
203 | P a g e
La direction manifeste-t-elle de l'intérêt

pour la qualité de l'information
comptable et financière ?
S'il existe un manuel de procédures, est-
il régulièrement mis à jour ?
Autres risques de contrôle identifiés :
2.2. Moyens d’identification des risques liés à l’activité

Le dirigeant s'implique-t-il dans
l'activité de l'entreprise ?
Le dirigeant accorde-t-il une attention
suffisante aux risques inhérents à
l'activité ?
Le personnel comptable, et de façon plus

générale, le personnel de la société, a-t-il
une formation appropriée ?
Le dirigeant dispose-t-il d'outils de
pilotage ?
La société dispose-t-elle de
suffisamment d'informations en matière
comptable, fiscale et sociale ?
2.3. Système d’information
La direction a-t-elle la maîtrise de la

fonction informatique ?
La comptabilisation des factures

d'achats, ventes et bordereaux de paye
est-elle automatique ?
Les logiciels utilisés pour le traitement
de l'information comptable et financière
sont-ils fiables ?
Le dirigeant a-t-il élaboré et développé
un plan d'urgence approprié en matière
de systèmes d'information pour assurer
la poursuite du fonctionnement de
l'entreprise en cas de sinistre ?
Le dirigeant a-t-il élaboré et développé
des méthodes appropriées d'autorisation
des opérations, y compris pour éviter les
modifications non autorisées des fichiers
de données et des programmes ?
204 | P a g e
La pérennité du système informatique

est-elle assurée ?
Le système informatique est-il adapté

pour traiter les opérations de l'entité ?
Synthèses des risques inhérents
Niveau du risque Implication sur la stratégie globale

Rubriques
d’audit
E M F
Organisation-direction
Etablissements des comptes
Secteur d’activité
Environnements légal et
réglementaire
Conclusion du niveau des risques
inhérents au niveau des comptes
annuels :
Synthèse de risques liés au contrôle
Niveau du risque Implication sur la stratégie globale

Rubriques
E M F d’audit
Environnement de contrôle
Moyens d’identification des risques
liés à l’activité
Système d’information
Conclusion du niveau des risques

liés au contrôle au niveau des
comptes annuels :
Conclusion au niveau des risques
d’anomalies significatives au
niveau des comptes annuels pris
dans leur ensemble :
Préparé par Date

la mission
qualité
205 | P a g e
A-6 : Stratégie global d’audit

Analyse des risques d’anomalies significatives
Objectif ISA
L’objectif est de décrire les étapes nécessaires à l’élaboration de la stratégie globale d’audit.
L’auditeur doit, en effet, planifier son audit en faisant preuve d’esprit critique et en étant conscient
200
que certaines situations peuvent exister et conduire à ce que les comptes annuels contiennent des
anomalies significatives.
La planification est essentielle pour s’assurer que la mission est effectuée de manière efficace et
efficiente, et que le risque d’audit a été réduit à un niveau faible acceptable. Il s’agit donc d’un 300
processus continu.
Au fur et à mesure que les travaux d’audit avancent, des modifications des plans globaux et
détaillés peuvent être nécessaires pour répondre aux nouvelles circonstances, aux conclusions
d’audit et aux autres informations obtenues.
I- Etendue de la mission
Données N N-1
Forme juridique de l'entité
Total du bilan
Total des produits
Nombre d'effectifs
Résultat après impôt
Fonds propres
Total bilan des états financiers consolidés
Engagements auprès des établissements de crédit
Nature de la mission
Date de nomination
Nombre des mandats
II- Facteurs importants à considérer pour l’équipe d’audit
Risque
Mise à
Commentaires et stratégie d’audit significatif Initiales Date
jour
O/N
Données de l’audit précédent (nature de l’entité, contrôle interne, type d’opinion d’audit, risques
significatifs, problèmes particuliers, etc.)
206 | P a g e
Identification des rubriques où le risque d’anomalie significative pourrait être élevé
Identification préliminaire des composantes significatives et des soldes de comptes
Identification des procédures de contrôle interne clés permettant de réduire le risque d’anomalies
significatives
Conséquences éventuelles sur les travaux d’audit de la présence d’un propriétaire dirigeant fortement
impliqué dans le processus de contrôle interne
Impacts des systèmes informatiques de l’entité sur l’audit (disponibilité de traces écrites)
III- Evaluation préliminaire du risque d’anomalie significative
Raisons du
niveau de
Risques Niveau
Risques risques +
liés au Risques de
Rubriques Assertion inhérents implications
contrôle combinés risque
O/N sur les
O/N E-M-F
procédures
d’audit
comptes annuels
Au niveau des
Toutes
Sur.
Au niveau des assertions
Exa
Personnel Exh.
Sép.
Imp.
Sur.
Clients/Ventes Exa
Exh.
207 | P a g e
Sép.
Imp.
Sur.
Autres Exa
dettes/Autres Exh.
créances Sép.
Imp.
Sur.
Exa
Trésorerie /
Exh.
Financement
Sép.
Imp.
Capitaux Sur.
propres/ Exa
Exh.
Provisions Sép.
pour risques
et charges Imp.
Achats/ Sur.
Exa
Exh.
Fournisseurs Sép.
Imp.
Sur.
Exa
Impôts/Taxes Exh.
Sép.
Imp.
Sur.
Exa
Stocks Exh.
Sép.
Imp.
Préparé par Date

Revu par l’associé responsable de la Date
mission
qualité
208 | P a g e

Universite de FAX Faculte Des Sciences Economiques Et de Gestion de FAX

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Universite de FAX Faculte Des Sciences Economiques Et de Gestion de FAX

Hochgeladen von

Copyright:

Verfügbare Formate

UNIVERSITE DE SFAX

FACULTE DES SCIENCES ECONOMIQUES ET DE GESTION DE SFAX

COMMISSION D’EXPERTISE COMPTABLE

MEMOIRE D’EXPERTISE COMPTABLE

L’audit dans un milieu informatisé : une

Elaboré par : Directeur de recherche :

Année universitaire 2017-2018

A ma mère en témoignage de ma reconnaissance infinie pour

A mon père qui n’a jamais porté d’aussi suprêmes espérances

A mon frère Abdallah et mes sœurs Amina et Zeineb que je

Que cet humble travail soit le témoignage de ma gratitude à

Je souhaite adresser mes remerciements à toutes les

Je tiens à exprimer mes vifs remerciements et ma profonde

J’adresse également mes remerciements à M. Jelil

Je remercie finalement les membres du jury pour leur

Section 2 : Régime juridique............................................................................................ 118

Liste des abréviations

MDT : Millions Dinars Tunisien

Liste des figures

Figure n°1 : Schéma du fonctionnement Client/Serveur

 Les opérations financières ou les rapports sur la responsabilité sociale de l’entreprise

 la prise de connaissance de l’environnement informatique ;

PREMIERE PARTIE : Spécificités de la

Introduction de la première partie

1er chapitre : Les technologies d’informations et leurs

Avant de présenter les caractéristiques du système comptable dans un milieu informatisé et

L’architecture client/serveur désigne un mode de communication entre plusieurs composants

Un système client/serveur fonctionne selon le schéma suivant :

Figure n°1 : Schéma du fonctionnement Client/Serveur

Figure n°2 : Schématisation des modules d’un PGI

Standardisation - Coût très inférieur à des - Adapter les procédures au PGI

L’Echange de Données Informatisé (EDI) :

Section 1 : Les caractéristiques du système comptable dans un

1.1 - La structure organisationnelle

1.2 - La nature des traitements

1.3 – Les Conséquence de l’évolution des techniques informatiques

automatiquement la quasi-totalité des écritures concernant la comptabilisation de la

Section 2 : Les risques liés à l’informatique

informatiques, d’équipements périphériques, de logiciels et de réseaux de télécommunication,

- Saisie de données non conformes ;

2.1. Les risques généraux

Gestion administrative et management

Logistique Opérations Ventes et Services Logistique

Systèmes Systèmes de Systèmes de Systèmes de Systèmes

Systèmes de fourniture Systèmes de gestion des

Chaine de valeur du secteur

Figure n°3 : Chaîne de valeur d’une entreprise12

2.1.1- Les risques liés aux ressources humaines13

2.1.2- Les risques liés à la dématérialisation des rapports humains

Perte du temps de réflexion : l’accélération de l’économie et des échanges dus à la

2.1.7- Les risques marketing15

2.1.8- Les risques périphériques

2.2. La maîtrise des risques

2.2.1- La mise en place d’une politique claire et coordonnée

2.2.3- Les contrôles physiques et environnementaux

Section 3 : Impact de l’informatique sur la conduite d’une mission

En effet, l'existence d'un environnement informatique ne modifie pas l'objectif et l'étendue de

Nous traitons au niveau de cette section :

- Les compétences requises pour l’auditeur financier ;

3.1. Les compétences requises pour l’auditeur financier

- L’organisation du cabinet et en particulier sa structure et son effectif :

3.1.1- La formation des auditeurs aux techniques informatiques

Par ailleurs, les nouvelles technologies de l’information et de la communication exigent de