29me CONGRES DE LAFC 2008

Quels sont les impacts des PGI sur le processus daudit ?

Le cas de lauditeur lgal

Grald BRUNETTO Matre de Confrences

Laboratoire CREGOR - Universit Montpellier II Gerald.brunetto@ac-montpellier.fr

Vronique MASSOT

Diplme en expertise comptable Agrge dconomie et de gestion Universit Perpignan massot@univ-perp.fr

Rsum Le dveloppement des progiciels de gestion intgrs (PGI) au sein des entreprises sexplique par la ncessit dhomogniser leur systme dinformation et de scuriser les donnes comptables et financires. Lobjet de cette tude est de cerner les facteurs de risques mais galement les difficults spcifiques lies la dmarche daudit en environnement PGI. La littrature souligne les liens existant entre processus daudit et PGI, mais naborde pas spcifiquement la problmatique de lauditeur lgal dans cet environnement informatique. Lanalyse de la thmatique par la thorie de la complexit apporte un clairage particulier cette recherche. Une tude exploratoire, ralise sur le terrain sous forme dentretiens semi directifs effectus auprs de commissaires aux comptes, a mis en vidence deux principaux rsultats. En premier lieu, notre tude montre quil existe des risques particuliers au niveau des interfaces, du chemin de rvision et des techniques daudit informatises. En second lieu, notre recherche identifie des stratgies dacteurs qui tentent de simplifier la complexit croissante du processus daudit en environnement PGI. Mots Cls : Audit, PGI, thorie de la complexit, auditeur lgal Abstract The ever greater use of Enterprise Resource Planning (ERP) in companies accounts for the necessity to homogenize their information system and to reliabilize their accounting and financial information. The aim of this study is to identify the risk factors and also the specific difficulties in conducting the audit process in an ERP environment. Literature documents the links between the audit process and ERP but, to our knowledge, the specific issue of the legal auditor in this environment is not mentioned. Analyzing this issue from the angle of the complexity theory sheds a specific light into this research. An exploratory field study with semi structured interviews from legal auditors allowed us to identify two main results. Firstly, our study reveals the existence of particular risks affecting the interfaces, the review path and the audit technique based on computer science. Secondly, our research shows strategies of actors trying to simplify the growing complexity of the audit process in an ERP environment. Key words : Audit, ERP, complexity theory, auditor

1

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0Manuscrit auteur, publi dans "LA COMPTABILITE, LE CONTRLE ET L'AUDIT ENTRE CHANGEMENT ET STABILITE,

France (2008)"

INTRODUCTION

Les systmes dinformation des entreprises ont connu, au cours de ces dernires annes,

plusieurs vagues de changement: mise en place darchitecture client/serveur, intranet/extranet,

urbanisation et surtout implantation de progiciels de gestion intgrs (PGI). Les dcideurs

informatiques ont alors progressivement pris conscience de la ncessit d'homogniser leur

systme d'information. Cette dmarche s'est d'abord oriente vers une structuration par les

donnes (base de donnes centrale de PGI), puis le systme d'information des entreprises s'est

tendu fonctionnellement et s'articule dsormais de plus en plus autour de briques logicielles

fournies par plusieurs diteurs : modules PGI, gestion de la relation client (ou CRM), gestion

de la chane logistique (ou SCM).

Ainsi, les organisations ont intgr des PGI dans le cadre de leur structure pour deux raisons :

rsoudre les problmes poss par des applications disparates au sein des domaines

fonctionnels, et raliser des avantages concurrentiels. En provoquant des changements

radicaux dans les flux dinformation, lobjectif des PGI est de fournir des solutions

technologiques pour rpondre des besoins clairement identifis. Il convient par consquent

de sinterroger si dans un tel environnement informatique, les auditeurs doivent adapter leur

dmarche de contrle. L'ide sduisante de la base de donnes unique des PGI n'a pas toujours

tenu ses promesses et lauditeur financier constate souvent que lobjectif de structuration du

systme d'information nest pas atteint. En effet, la complexit de limplantation des PGI et de

leur connexion au systme d'information existant, qui se pose alors en systme hrit, rvle

au terme du projet, un cart sensible par rapport au schma simplifi mis en avant par les

diteurs de ces produits. Force est de constater que le systme dinformation peut par

consquent aboutir au modle spaghetti dcri par le GartnerGroup.

2

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

Un faible nombre de recherches a trait de la problmatique des progiciels de gestion intgrs

et du processus daudit. De rares travaux ont port sur linfluence des PGI sur le contrle de

gestion (Meyssonnier et Pourtier, 2004, 2006 ; Gosselin et Mvellec, 2003) ou ont tent

dapporter un clairage sur l'impact des technologies de l'information sur le processus d'audit

(Bagranoff et Vendrzyk, 2000 ; Bierstaker, Burnaby et Thibodeau, 2001). Bierstaker, Burnaby

et Thibodeau (2001) soulignent que les technologies de linformation ont une incidence sur

chaque phase de ce processus. La littrature dans ce domaine montre que les auditeurs ont la

difficile tche de mener un audit dans un environnement informatique de progiciels intgrs,

dans lequel les systmes de contrle interne peuvent devenir inefficaces. Les travaux de Zhao,

Yen et Chang (2004) ont mis en vidence quun systme informatique complexe de type PGI

influence les pratiques en matire de contrle financier et peut reprsenter de graves menaces

pour la viabilit conomique des audits. Les PGI semblent provoquer des changements

profonds pour les auditeurs, qui ont alors besoin dajuster leur dmarche, dans le cadre de leur

mission. Les rcents amnagements de la lgislation fiscale franaise renforcent ce constat.

En effet, lvolution des logiciels disponibles en matire de comptabilits informatises et la

forte prsence des PGI au sein des entreprises ont rendu ncessaire de nouvelles dispositions

rglementaires, notamment travers linstruction fiscale du 24 janvier 2006. Dautre part,

lanalyse des normes dexercice professionnel des commissaires aux comptes montre

comment la profession intgre lenvironnement informatique et la complexit croissante des

systmes dans la dmarche daudit.

La finalit de notre recherche est danalyser limpact des progiciels de gestion intgrs

sur le processus daudit dans une organisation. Notre principal objectif est de cerner les

facteurs de risques mais galement les difficults spcifiques lies la dmarche de contrle

en environnement PGI. Ce travail de recherche qui accorde une importance particulire

3

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

lidentification des acteurs intervenant dans le processus daudit et aux changements de

comportement induits par un contexte technologique complexe se structure de la manire

suivante : Dans une premire partie nous exposerons le cadre thorique en nous appuyant sur

la littrature acadmique, la rglementation fiscale en matire de contrle des comptabilits

informatises, les normes et les tudes ralises par la Compagnie nationale des commissaires

aux comptes (CNCC). Nous apporterons galement un clairage particulier de la

problmatique par la thorie de la complexit. Dans une deuxime partie nous prciserons la

dmarche de la recherche. A cet effet, nous avons adopt une mthode qualitative, base sur

des entretiens raliss auprs des commissaires aux comptes qui effectuent des missions

daudit dans un environnement informatique de progiciels de gestion intgrs. Par consquent,

nous avons men une tude qui porte sur les lments noncs prcdemment, tout en

dpassant la simple et insuffisante contingence technologique des PGI. Enfin dans une

troisime section, nous dvelopperons les principaux rsultats empiriques obtenus au cours de

cette tude exploratoire.

1. ETAT DE LA LITTERATURE

La littrature traitant de la problmatique du processus daudit en environnement PGI se

dcline selon plusieurs perspectives. La premire section expose la recherche acadmique au

travers des tudes ralises par les spcialistes des processus daudit et des environnements

PGI. La deuxime perspective sattache dcrire les prconisations dictes par

ladministration fiscale en matire de matriels, dapplications informatiques, et analyse le

cadre normatif de lauditeur lgal en France. Nous complterons cette recherche par les avis

mis par la Compagnie nationale des commissaires aux comptes dans le cadre dun audit en

environnement PGI et par lanalyse de la thmatique travers la thorie de la complexit.

4

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

1.1 Du point de vue de la recherche acadmique

Si l'volution des technologies de l'information a affect la comptabilit et le processus

daudit dans les organisations, rares sont pourtant les recherches qui tudient les impacts des

PGI sur la dmarche daudit et sur le travail des commissaires aux comptes en particulier. La

littrature explore ainsi deux thmes de recherche qui mettent en exergue les liens existant

entre processus daudit et PGI.

Le premier axe de recherche aborde les problmes lis limplantation de systmes PGI

et leurs consquences sur le processus daudit en terme de risques. Ainsi, Sutton (2006),

Yang et de Guan (2004), Bierstaker, Burnaby et Thibodeau (2001) soulignent que les

auditeurs ont besoin de mthodes et de procdures diffrentes pour auditer dans un

environnement informatis et notamment celui des PGI. De mme, Bae et Ashcroft (2004)

montrent que les risques dimplmentation dun PGI, peuvent potentiellement augmenter les

risques connexes au processus daudit et compromettre par consquent les systmes de

contrle internes.

Les rsultats de ltude conduite par Bierstaker, Burnaby et Thibodeau (2001), mene au sein

dun public de professionnels de trois grands cabinets comptables internationaux, montrent

linfluence des technologies de linformation sur le processus daudit, notamment en termes

de planification, de validation et de documentation. Ces travaux identifient les impacts des

fonctions intrinsques aux technologies de linformation dans leur capacit soutenir le

processus daudit. Parmi les lments dterminants, les auteurs soulignent les changements

cruciaux de chaque phase du processus d'audit :

5

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

Les environnements technologiques et informatiques offrent des outils qui amliorent la procdure daudit et les valuations de contrle interne. Les modules de PGI, tels

ceux de SAP tudis par les auteurs, contribuent crer une varit de

configurations de contrle. Ces nouvelles technologies de linformation comprennent

des choix de notation, des outils de scurit ; elles permettent de comparer les

performances relles dans un secteur aux objectifs prtablis, et offrent la possibilit

de tracer du dbut jusqu la fin les diffrentes transactions.

En outre, les logiciels daudit sont censs sintgrer au processus daudit global. Les auditeurs auraient alors davantage de temps pour aborder les situations complexes

auxquelles leurs clients font face dans leur activit. Ceci implique que les systmes

ERP intgrent des rapports prconfigurs, des fonctions danalyse capables de gnrer

des informations dduites partir de faibles liaisons entre des donnes existantes.

Enfin, les technologies de linformation permettraient aux auditeurs de prvenir des

erreurs et des irrgularits dans le processus daudit.

Wright et Wright (2002) ont constat que le manque dimplication des utilisateurs dans

lusage du PGI expose lentreprise des risques significatifs d'erreurs et d'inefficacits

involontaires. Ces auteurs notent galement qu'en raison des calendriers fixes

dimplmentation des PGI, il en rsulte habituellement une inadquation avec le temps

ncessaire pour former les utilisateurs. Par consquent, ce dsquilibre aboutit des taux

d'erreurs levs qui peuvent affecter les tats financiers. Cette situation induit alors un

reporting erron. Wright et Wright (2002) ont galement identifi des risques spcifiques

selon les modules utiliss au sein du PGI. Ils ont constat que les modules de chane

6

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

logistique (SCM), les modules comptables et financiers (FI-CO) ont montr de plus grands

risques en terme de contrle.

La littrature montre galement une focalisation des auditeurs sur laudit des processus au

dtriment dun audit sur les rsultats financiers (Wright et Wright, 2002). En effet, le

procd d'implantation dun systme PGI a un impact important sur la fiabilit de laudit. Les

contrles d'accs et les protocoles de scurit sont ainsi corrls aux risques du PGI. Par

consquent, les erreurs de relevs de comptes financiers et les risques mtiers peuvent tre

accrus si les accs ne sont pas reconsidrs lors de linstallation du progiciel de gestion

intgr (Wright et Wright, 2002). Ainsi, la conception des systmes PGI implique une

dtrioration des procdures de contrle travers les reconfigurations des processus mtiers,

et la personnalisation de larchitecture PGI lentreprise, ce qui peut compromettre

lvaluation de lauditeur.

Ces travaux ont mis en vidence que le risque de contrle peut potentiellement

augmenter avec la mise en place de systmes ERP et varie selon les fournisseurs. Ce

rsultat est rapprocher avec ceux tablis par Girard et Farmer (1999) qui ont not que

limplantation de tels systmes au sein de nombreuses socits a augment le risque daudit

en raison de linterdpendance automatise des processus mtiers, et des bases de donnes

relationnelles intgres.

De manire complmentaire, un second thme merge de lensemble des recherches sur

les PGI et le processus daudit, celui de ltude des comportements des auditeurs. En

effet, la littrature dans ce domaine sest particulirement intresse aux comportements des

auditeurs face des environnements PGI lors de processus daudit. Si l'utilisation dun PGI

7

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

provoque des changements dans lapproche de laudit et quil augmente le risque (Bae et

Ashcroft, 2004), de rcents travaux suggrent que les auditeurs doivent imprativement

comprendre les systmes PGI afin de conduire de manire efficace une mission daudit. Cette

ide a t dveloppe par Kinney (2001) qui a tudi le comportement des auditeurs face aux

dveloppements technologiques lis aux PGI. Il a observ que les auditeurs se trouvent dans

lobligation daccrotre leurs connaissances et leurs qualifications dans les technologies de

linformation afin de raliser leur mission de contrle. Dans ce contexte spcifique, Bagranoff

et Vendrzyk (2000) proposent que la comptabilit et le domaine des systmes dinformation

fusionnent pour former des professionnels capables de relever les nouveaux dfis de laudit

dans un environnement informatique de progiciels intgrs.

Dautre part, les tudes menes par Hunton, Wright et Wright (2004) ont analys la capacit

des auditeurs financiers identifier les risques crs par les systmes PGI. Ils ont examin la

propension des professionnels du contrle recourir un expert en technologie de

linformation, pour la conduite dun audit dans des organisations utilisant un PGI, puis au sein

dentreprises dotes de systme informatique sans PGI.

Les rsultats de ces travaux montrent que les auditeurs financiers ne sont pas pleinement

conscients des risques importants gnrs par la prsence de PGI au sein des organisations. En

effet, ils identifient clairement la faiblesse des contrles de scurit des environnements

informatiques non bass sur les PGI, mais ne relvent pas de risques supplmentaires dans

lusage des PGI. Ce constat est dmontr par la frquence des recours un expert en

technologie de linformation (TI) par les auditeurs au cours de leurs missions. Hunton, Wright

et Wright (2004) montrent que les experts techniques identifient incontestablement des

risques de scurit accrus associs aux infrastructures rseaux, aux bases de donnes et aux

8

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

applications des PGI par rapport des systmes dinformation ne comportant pas de

progiciels intgrs. Cette tude fait apparatre un paradoxe : la prsence de PGI au sein dune

organisation modifie la reprsentation du risque daudit pour les experts, mais les auditeurs

financiers gardent une reprsentation similaire du risque de contrle quelque soit la

technologie informatique prsente au sein de lorganisation. Ce constat sappuie notamment

sur le fait que les auditeurs sont insensibles aux risques de scurit lis aux bases de donnes

intgres du PGI.

Les recherches de ces auteurs soulignent galement que les auditeurs financiers ne

manifestent pas un fort besoin de consulter un expert lors daudit en environnement PGI. Ils

expriment alors une forte assurance dans leur aptitude apprcier les risques quelque soit

lenvironnement informatique utilis par lentreprise. Ces chercheurs voquent lexcs de

confiance des auditeurs, lorsquils ralisent des missions au sein de systmes dinformation en

environnement PGI.

Toutefois, Hunton, Wright et Wright (2004) relvent que la reprsentation du risque en

environnement PGI par les auditeurs financiers, peut tre influence par deux phnomnes.

Tout dabord, ils suggrent que la pression conomique exerce sur les cots dun audit peut

contribuer expliquer la faible motivation des auditeurs financiers recourir des experts en

TI, notamment lors de contrle de systmes PGI. De plus, ils justifient les hsitations des

auditeurs par leur faible capacit percevoir les liens qui existent entre les risques des

systmes PGI et les possibilits derreurs dans les tats financiers ou les ventuelles fraudes

financires.

9

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

1.2 Le cadre rglementaire et normatif de laudit lgal, dans un environnement

informatis

Dans le cadre de sa mission, le commissaire aux comptes, devra intgrer laspect

rglementaire du contrle des comptabilits informatises prvu par linstruction fiscale du 24

janvier 2006 n13 L-106 qui remplace les deux prcdentes instructions du 14/10/1991 et du

24/12/1996.

Ce texte a pour objectif de scuriser les comptabilits informatises, en prsentant un

nouveau cadre juridique pour leur contrle. Il rappelle les principales rgles de tenue dune

comptabilit informatise sincre, rgulire et probante conformment aux dispositions du

plan comptable gnral rvis de 1999. Cette nouvelle instruction, rendue ncessaire par

lvolution trs rapide des technologies de linformation et la sophistication croissante des

systmes informatiques, tant au niveau des matriels que des logiciels, dicte les

prconisations de ladministration fiscale en matire de logiciels comptables et de progiciels

de gestion intgrs.

Afin de sassurer que le contribuable nutilise pas linformatique dans un objectif de

modification, de falsification du systme dinformation de lentreprise ou de contournement

des rgles fiscales, ladministration fiscale exige plus de transparence et de traabilit dans

les comptabilits informatises. Elle a ainsi prcis les caractristiques dun logiciel

comptable en nonant trois principes fondamentaux :

- Les critures doivent prsenter un caractre intangible ou irrversible. Un logiciel

qui autorise la suppression ou la modification dune criture valide, nest pas

conforme au plan comptable gnral. Si le traitement de linformation peut tre

10

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

modifie et que lutilisateur a la possibilit de supprimer des squences, alors le

systme nest pas fiable.

- Les critures numrotes chronologiquement font lobjet dune clture priodique,

en conformit avec larticle L. 123-12, alina 3 du code de commerce.

- Le logiciel doit assurer la permanence du chemin de rvision entre lcriture et la

pice justificative, ce qui permet lauditeur lgal de valider une opration en

remontant sa source. Pour les progiciels de gestion intgrs, ce dernier principe revt

une importance particulire, car les critures peuvent tre enregistres dans le module

comptabilit sans faire lobjet dune saisie directe.

Un systme informatique non conforme aux prconisations de ladministration fiscale peut

justifier des rserves dans le rapport du commissaire aux comptes, voir une impossibilit de

certifier les comptes.

Linstruction a galement dfini le primtre informatique vis par larticle L 13 du livre

des procdures fiscales. Lors de contrles fiscaux, ladministration peut ainsi vrifier

lensemble des informations et des donnes qui participent directement ou indirectement

llaboration de linformation comptable et financire, ce qui est particulirement pertinent

pour les PGI.

En France, le cadre gnral des missions des commissaires aux comptes est fix par des

dispositions lgales et rglementaires. Celles-ci sont compltes par les normes dexercice

professionnel et un code de dontologie. Jusquen juillet 2006, le travail de lauditeur lgal

dans un environnement informatis est orient par la norme CNCC 2-302. Elle met en

exergue les points suivants :

11

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

- Lexistence de systme dinformation dans les organisations contrles ne modifie pas

la dmarche daudit du commissaire aux comptes qui comporte trois tapes

( Orientation et planification de la mission , Evaluation des risques , et

Obtention dlments probants ).

- Dautre part, il doit intgrer dans sa mthodologie, et notamment dans les diffrentes

tapes du processus daudit, les spcificits de lenvironnement informatique.

Dans la phase 1 intitule Orientation et planification de la mission , lauditeur

dtermine les caractristiques du projet informatique pour en tenir compte dans llaboration

du plan de mission et indiquer dans la phase 2, quels contrles devront tre effectus en

rapport avec la fonction et les applications informatiques. Il va valuer limportance des

systmes informatiques dans lorganisation de lentreprise et son impact sur llaboration des

comptes. La prise de connaissance vise, lorganisation et les comptences de la fonction

informatique dans lentreprise telles que la spcialisation, la formation et la rotation du

personnel. Elle porte galement sur la stratgie informatique mise en place et notamment sur

la dcision de raliser en interne le dveloppement des applications informatiques ou de faire

le choix de recourir un prestataire extrieur. Enfin, lanalyse de limportance de la fonction

informatique dans lentreprise permet de dterminer son degr de dpendance lgard de

systmes informatiques complexes et, danalyser quel est limpact de cette technologie sur la

production des comptes. Les faiblesses dtectes au cours des entretiens raliss, doivent

amener lauditeur lgal renforcer les contrles dans ce domaine.

Dans la phase 2 intitule Evaluation des risques et apprciation du contrle interne ,

le commissaire aux comptes identifie les risques potentiels et value le systme de contrle

interne de lentreprise. Au cours de cette tape, il tudie comment la conception, lachat,

12

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

lexploitation, la scurit et la maintenance informatique influencent le risque inhrent. Ainsi,

les acquisitions de PGI par les groupes sont souvent inadaptes pour leurs filiales. La

mise en place dun tel systme peut gnrer de graves dysfonctionnements au sein de

lentreprise et obrer sa rentabilit future. Les risques lis au contrle ou risque de non

matrise sont analyss travers les applications informatiques et ltude des processus

comptables qui jouent un rle dterminant dans la production de linformation financire.

Dans la dernire phase, le commissaire aux comptes collecte les lments probants sur la

base de lvaluation des risques prcdemment identifis, en se concentrant sur les risques de

niveau modrs ou levs afin de formuler une opinion sur les comptes annuels.

A compter du 1er aot 2006, les normes dexercice professionnel intitules NEP-315

Connaissance de lentit et de son environnement et valuation du risque danomalies

significatives dans les comptes et NEP-330 Procdures daudit mises en uvre par le

commissaire aux comptes lissue de son valuation des risques qui correspondent

ladaptation des normes ISA 315 et 330, remplacent dans le rfrentiel normatif de juillet

2003, les normes 2-202. Connaissance gnrale de lentit et de son secteur dactivit , 2-

301. Evaluation du risque et contrle interne et 2-302. Audit ralis dans un

environnement informatique .

Dans ce nouveau cadre normatif, la dmarche daudit ne comporte plus que deux tapes :

- Au cours de la premire phase, lauditeur lgal prend connaissance de lentit, de son

environnement, du contrle interne et value les risques.

- Dans la deuxime tape, il met en uvre une procdure daudit qui doit rpondre

lvaluation des risques.

13

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

La norme qui traite spcifiquement de lenvironnement informatique nexiste plus. La

connaissance du systme dinformation de lentreprise contrle est aborde dune faon

gnrale dans la rdaction des NEP 315 et 330. Elles traduisent une approche daudit par les

risques plus intgre que le rfrentiel du 3 juillet 2003. Ces normes soulignent que la

finalit des travaux daudit est de collecter des lments probants obtenus partir des tests

de procdures et des contrles de substance afin que lauditeur lgal puisse mettre une

opinion sur les comptes annuels. Elles mettent laccent sur la manire dont le commissaire

aux comptes adapte son approche gnrale en fonction de lentit contrle et du niveau du

risque danomalies significatives dtectes au niveau des comptes, et des assertions,

c'est--dire des critres rgissant ltablissement des comptes annuels et dont lexistence

conditionne la rgularit, la sincrit et limage fidle des comptes .

Ces normes dexercice professionnel insistent sur lobligation faite lauditeur lgal de

connatre lentit contrle, son environnement et notamment le systme dinformation

relatif llaboration de linformation financire . Il va ainsi juger limportance de

linformatique dans lentreprise, son influence sur la production des comptes annuels et

valuer le niveau de complexit du systme informatique. En fonction de ce dernier lment,

lauditeur pourra justifier de lintervention dun expert, comme le prconise la norme

dexercice professionnel n620, afin didentifier les principales zones de risques et essayer

dobtenir une assurance raisonnable sur la qualit du systme dinformation. Ce dernier

analysera la fiabilit des informations obtenues dans le cadre dun systme fortement intgr

et tudiera le respect des procdures de contrle interne sur les flux dinformations.

14

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

1.3 Les avis et recommandations de la profession des commissaires aux comptes

Selon les recommandations de la CNCC, lanalyse de la complexit dun systme

informatique sapprcie travers les lments suivants : utilisation de progiciels intgrs,

qualit du paramtrage, nombre dinterfaces, automatisation ou utilisation manuelle des

interfaces, qualit de la documentation. Lexamen de ces diffrents critres permettra au

commissaire aux comptes de dterminer quel est le degr de risque (faible, modr ou lev)

encouru par lorganisation et relatif son systme dinformation. De plus, des tudes ralises

par la profession ont mis en vidence que lenvironnement informatique comporte des risques

particuliers qui peuvent entraner des pertes financires considrables et dans certains cas

constituer une menace pour la continuit dexploitation. La CNCC a rpertori la nature des

risques lis un environnement informatique : le manque de traabilit de certaines

oprations, la comptence du personnel informatique, la sparation insuffisante des tches,

laccs du systme des utilisateurs non autoriss. De plus, les irrgularits sont difficilement

dcelables pour lauditeur lgal, car elles sont souvent intgres lors de la programmation ou

des mises jour des applications informatiques.

Dautre part, lexistence de PGI au sein de lentit peut gnrer des risques spcifiques,

qui ont une incidence sur la fiabilit de linformation produite. La mconnaissance du

systme informatique par un personnel, insuffisamment form ou impliqu constitue lune

des principales sources de risque, comme le souligne la CNCC. Dans un grand nombre de cas,

les utilisateurs nvaluent pas toute la porte dune mauvaise utilisation, ou du paramtrage

incorrect dun PGI sur lintgrit du systme dinformation de lentreprise et notamment sur

les donnes issues du domaine de la gestion qui concourent indirectement aux critures

comptables.

15

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

Au-del de lapprentissage dune nouvelle technologie, lutilisation de progiciels intgrs

provoque dimportants bouleversements dans lentreprise tant au niveau de lorganisation,

du contrle interne que de la place des diffrents utilisateurs. La question qui se pose est de

savoir si cest la technologie qui doit sadapter lentreprise ou inversement. Meyssonnier et

Pourtier (2004), dveloppent lide que les dirigeants ne doivent pas sous-estimer limpact

organisationnel des PGI qui ncessitent une refonte partielle des processus et usages au sein

de lentreprise . Leur mise en place cre des paradoxes organisationnels , car ils peuvent

structurer lorganisation qui doit sadapter la logique et aux fonctionnalits de ce

systme dinformation. Concernant linstallation du PGI, lorganisation peut opter pour deux

stratgies diffrentes : la reconfiguration complte des processus de lentreprise pour se

conformer aux spcificits du PGI, ou ladaptation de celui-ci lorganisation et aux

diffrentes activits de lentreprise.

Le problme de limpact des PGI sur le processus daudit fait aujourdhui lobjet dattentions

particulires de la part de la profession des auditeurs lgaux en France. En effet, cette prise de

conscience de lexistence de tel systme informatique au sein des entreprises a montr la

ncessit de mettre en place des contrles adapts. Pour la CNCC, lexistence de paramtres

et dhabilitations spcifiques au PGI, rendent celui-ci plus difficile cerner que des systmes

non intgrs. Lensemble des commissaires aux comptes reconnat que le systme

dinformation apparat ferm en premire approche, rendant difficiles les travaux de contrle

interne. Cette mesure des difficults poses par laudit du systme dinformation en milieu

informatis a incit la profession des commissaires aux comptes effectuer une tude qui

identifie sept risques spcifiques lis lenvironnement PGI :

16

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

- La gestion des habilitations revt une importance particulire pour les PGI. En effet

des utilisateurs non autoriss peuvent crer des erreurs, des irrgularits dans le

systme informatique et supprimer des donnes capitales.

- Le paramtrage est trs dvelopp dans le cadre des PGI. Afin de dtecter les

faiblesses du systme informatique, le commissaire aux comptes tudiera la

documentation technique disponible au sein de lentreprise pour reprer les modules

paramtrs ou prendre connaissance du contrat de licence qui donne des informations

trs utiles sur les fonctionnalits du PGI et les profils des utilisateurs. Un paramtrage

dfaillant peut entraner des risques de non exhaustivit des enregistrements et le non

respect de la sparation des exercices.

- Les rfrentiels utiliss dsignent des bases de donnes utilises dans les

programmes. Les principales caractristique des PGI, sont lexistence de bases de

donnes homognes et dinterfaces inter-modules. Cependant lintgrit des

informations est fortement dpendante du paramtrage et de la manire dont le

systme est matris par le personnel.

- Les interfaces externes au PGI sont des points dintgration entre les diffrents

modules et tablissent la liaison entre le PGI et les autres systmes. Elles sont

dterminantes dans le transfert des donnes. Lors de lacquisition dun nouveau

progiciel, les interfaces connaissent souvent des dysfonctionnements en raison

derreurs de paramtrage, certains flux ne gnrent pas dcritures comptables, et le

risque porte sur lexhaustivit des enregistrements.

- Les tats se subdivisent en deux catgories : les tats standards (comptables, de

gestion et financiers) et les tats spcifiques au PGI. Il est important que le

commissaire aux comptes vrifie la cohrence de linformation produite et lexactitude

des calculs.

17

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

- La piste daudit joue un rle dterminant dans la scurit des informations produites,

car elle doit donner la possibilit lauditeur lgal de retrouver la pice justificative

partir dune criture comptable. Ce qui rpond aux exigences de ladministration

fiscale en matire de transparence et de traabilit de linformation financire.

- Les techniques daudit assistes par ordinateur peuvent se rvler utiles au

commissaire aux comptes, car la complexit croissante des PGI rend la structure de

base de donnes difficilement contrlable.

De plus, ltude ralise par la CNCC met en exergue des particularits lies

lenvironnement PGI, que lauditeur lgal doit apprhender dans le cadre de sa mission. Elles

portent notamment sur la connaissance des caractristiques du progiciel, en raison de

lhtrognit des systmes et de la manire dont il a t dvelopp dans lentreprise. Dautre

part, dans le cas du recours une socit de service informatique, le commissaire aux comptes

devra apprcier le risque gnr par lexternalisation. Il analysera le contrat qui lie les deux

parties, sinterrogera sur la matrise par lorganisation des prestations sous-traites et de son

niveau de dpendance lgard du prestataire. Lanalyse de la cartographie se rvle trs

pertinente, car elle permet dvaluer la complexit du systme dinformation. En donnant une

vision globale de celui-ci, en permettant de reprer les fonctionnalits installes et

paramtres, elle facilite la comprhension de son architecture, et met en vidence les risques

potentiels.

18

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

1.4 Une approche du processus daudit en environnement PGI par la thorie de la

complexit.

Afin de rpondre aux multiples besoins des entreprises, les progiciels de gestion intgrs sont

devenus des applications informatiques de plus en plus complexes, en raison notamment de

lexistence de nombreux paramtres, des habilitations et de linterdpendance des diffrents

domaines.

On distingue gnralement trois grandes catgories de systmes PGI :

ceux conus pour les grandes entreprises, possdent des fonctionnalits trs dveloppes dans tous les domaines de la gestion, et couvrent lensemble des

diffrents mtiers de lentreprise.

la deuxime catgorie de PGI sadresse aux entreprises de taille moyenne. Leurs fonctionnalits se limitent la comptabilit, ses domaines connexes, et

permettent le cas chant de grer plusieurs tablissements.

Enfin, ceux destins aux petites entreprises, prsentent des fonctionnalits plus succinctes qui nautorisent pas une prise en compte des spcificits de

lorganisation.

Si par nature les PGI peuvent tre considrs comme des phnomnes compliqus, il convient

toutefois de sinterroger sur la dfinition dun tel systme. En effet, un phnomne est dit

compliqu sil remplit les critres suivants :

Il doit tre compos dun grand nombre dlments ou comporter une grande varit de paramtres conditionnant son fonctionnement.

19

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

Le systme doit rester prvisible et contrlable. Tant que lon reste dans le domaine du quantitatif, de l'imbriqu, de l'enchevtr, de ce qui demande un effort mme trs

important - mais qui finit par tre, clairement compris -, on est dans le domaine du

compliqu mme si certains auteurs rangent les objets techniques sophistiqus dans la

catgorie du complexe. (Encyclopdie de la Gestion et du Management)

Mais, dans la pratique des entreprises et plus spcifiquement celle des progiciels de

gestion intgrs, il sopre un glissement de la reprsentation du PGI du compliqu vers

le complexe. Or comme le dfinit lEncyclopdie de la Gestion et du Management : Un

phnomne complexe nest jamais totalement compris, expliqu et encore moins matris

quels que soient les efforts fournis, les moyens dploys et le temps consacr ().

Limpossibilit dlucider ce genre de phnomne peut avoir deux catgories de causes

aboutissant lune une complexit dabondance et lautre une complexit de sens. La

premire catgorie de cause est dordre quantitatif, dans ce cas, le nombre lev dlments,

de paramtres, de relations, dinterdpendance constitue un obstacle insurmontable la

comprhension, lexplication et la matrise du phnomne (). La deuxime cause est

dordre qualitatif ; elle brouille la lisibilit et le contrle du phnomne ().

En complment des apports de la littrature scientifique, des aspects rglementaires et

normatifs de laudit lgal en milieu informatis, nous proposons de complter notre

tude, en proposant un cadre thorique bas sur les travaux relatifs au concept de la

complexit. Cette approche semble tre particulirement approprie la problmatique du

processus daudit en environnement PGI. En effet, les progiciels de gestion intgrs rsultent

dune architecture complexe de modules, de fonctions et procdures qui peuvent gnrer des

interactions non connues ou mal dfinies, ce qui aboutit un spaghetti informationnel et

20

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

technique. Cette complexit quantitative, due la grande varit de variables, de liens entre

les diffrentes composantes du systme, lexistence de nombreuses interdpendances,

empche la comprhension et le contrle du systme. Il est donc ncessaire de distinguer la

complexit intrinsque du systme ou complexit cognitive la situation complexe.

Dans une situation complexe, Delorme (1997) propose dappliquer la thorie de la rationalit

limite dveloppe par Simon (1976) :

- La rationalit procdurale et adaptative dcrit un comportement raisonnable face

une situation complexe. La satisfaction par rapport un niveau de rsultat remplace la

recherche de maximisation.

- La rationalit substantielle sappliquerait des situations non complexes .

De mme, pour Le Moigne (1990) et Delorme (1997), la complexit nest rductible ni

lordre, ni au dsordre, mais elle est compose irrductiblement dordre et de dsordre .

Toutefois, Ashby (1973) value la complexit par la quantit dinformation requise pour

dcrire un objet . Il montre que cest une notion relative, car elle est fonction de la

connaissance qua lobservateur par rapport lobjet : quun objet soit complexe ou non

dpend de lobservateur , qui souhaite parvenir un rsultat satisfaisant .

Des obstacles existent galement sur le plan qualitatif, du fait du contenu des relations et

des ractions des lments entre eux. Il se cre un dsordre qualitatif qui masque la lisibilit

et le pilotage du systme. En effet, les PGI sont des reprsentations non partages par les

utilisateurs des fonctionnalits du systme informatique ; ils rinterprtent ou mconnaissent

les processus mtiers de lentreprise, comportent des donnes htrognes. Ainsi, depuis la

date de sa mise en service, un PGI peut connatre diverses modifications qui visent des ajouts

21

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

de fonctionnalits au systme, afin de rpondre aux besoins dfinis par les utilisateurs, do sa

complexit croissante. Il est important alors de mesurer en quoi et comment cette double

complexit, quantitative et qualitative, influence le processus daudit pour le

commissaire aux comptes.

2. DEMARCHE DE LA RECHERCHE

Notre recherche a pour objectif dexaminer limpact des PGI sur le processus daudit. Nous

tentons ainsi de comprendre comment les changements induits par ces technologies de

linformation peuvent influencer le processus daudit conduit par lauditeur lgal.

Pour ce faire, nous avons adopt une mthode de recherche qualitative. Ltude des situations

professionnelles a port sur le travail de quatorze auditeurs lgaux qui ont tous men une ou

plusieurs missions daudit dans des environnements informatiss bass sur un PGI au sein de

PME-PMI. Lessentiel des donnes a t recueilli par voie dentretiens. Cette phase de

collecte intensive des donnes sest chelonne de mars 2007 octobre 2007. Les entretiens

ont dur en moyenne de une deux heures. Parmi les quatorze rpondants, certains ont t

sollicits plusieurs fois.

Lentretien a constitu le mode principal de recueil de donnes pour notre recherche. Snow et

Thomas (1994) soulignent les mrites de cet instrument de collecte de donnes discursives

prcisant quil permet une comprhension en profondeur du phnomne tudi en abordant

les diffrentes significations que les rpondants attribuent leurs expriences dans les

organisations. Plus exactement nous avons ralis des entretiens centrs ou semi directifs

(Merton, Fiske, Kendall, 1990). Outre un mode denregistrement dinformations plus

systmatique, le processus dinterview semi structur favorise lexploration en lui donnant de

22

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

la profondeur (Patton, 1990). Toutefois, comme le rappelle Mc Kinnon (1988) la compltude

et la prcision (lexactitude des informations obtenues lors dinterviews) dpendent certes de

la forme et du contenu de linstrument de recherche, mais aussi de la manire dont il est

appliqu.

Nous avons choisi de retenir une mthode qualitative inspire de la thorie enracine (Glaser

et Strauss, 1967), pour deux raisons :

Cette thorie semble tre en adquation avec la finalit de notre recherche qui vise notamment cerner les principaux facteurs de risques lis la dmarche daudit dans un

environnement informatique complexe, identifier les acteurs et leur changement de

comportement dans ce contexte technologique particulier. Lobjectif de ltude est

denrichir la comprhension des significations des actions des individus et daugmenter

ainsi les possibilits de communication et dinfluence mutuelle.

Lapplication dune mthode inspire de la thorie enracine sadapte particulirement bien lanalyse du processus daudit en environnement PGI. La finalit de notre

recherche porte sur ltude dune problmatique peu connue pour laquelle la littrature ne

nous renseigne gure. La dmarche de cette thorie savre singulirement intressante,

comme le soulignent Strauss et Corbin (1994).

23

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

3. RESULTATS DE LA RECHERCHE

Notre travail de recherche, men auprs de commissaires aux comptes ayant conduit des

missions daudit en environnement PGI, permet de faire merger deux rsultats principaux.

Tout dabord, nous identifions des risques spcifiques du processus daudit dans cet

environnement particulier. Ensuite, la lumire de la thorie de la complexit, notre

recherche met en vidence des comportements dacteurs (auditeurs, diteurs, utilisateurs) qui

se traduisent par des tentatives de simplification de la complexit du PGI.

3.1 Rsultats n1 : Lexistence de risques spcifiques de laudit en environnement PGI

Notre tude montre quil existe des difficults spcifiques au cours dun processus daudit en

environnement PGI, par rapport un environnement informatique classique : les recherches

sur le terrain ont mis en vidence trois risques majeurs lis lutilisation des ERP : le

risque li aux interfaces du PGI, celui de la perte de la piste daudit et le risque de faiblesse

des techniques daudit informatises.

3.1.1 Le risque intrinsque des interfaces du PGI

Lexistence de PGI au sein dune organisation pose le problme des interfaces vis--vis

du processus daudit men par le commissaire aux comptes. En effet, la notion de risque

dans une interface dpend troitement du rle qu'elle joue dans les activits de la socit.

L'importance d'une interface s'accrot avec celle des processus dans lesquels elle intervient.

Pour lauditeur lgal, confront un environnement PGI, il sagit didentifier les interfaces

prsentant des risques importants et, par voie de consquence, constituant le primtre

auditer en priorit. Cette identification repose sur une valuation effectue selon les trois axes

suivants :

24

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

- L'importance stratgique du processus auquel elle contribue (prise de commande sur

Internet).

- Son mode de fonctionnement (rgulier ou occasionnel, synchrone ou asynchrone).

- La nature des travaux qu'elle ralise sur les donnes (simple transfert de donnes ou

avec transformation et routage des donnes en fonction de rgles de gestion).

Les reprsentations des auditeurs lgaux que nous avons interviews nous ont permis de

mettre en vidence deux risques spcifiques lis aux interfaces lors dun audit en

environnement PGI.

Tout dabord, la faiblesse des descriptifs relatifs aux interfaces externes au PGI pose des

difficults pour la ralisation de laudit. En effet, si les interfaces dveloppes autour dun

PGI doivent tre caractrises par la description de leur type (entrante/sortante), leur degr

dautomatisation (intervention ou non de lutilisateur), les modules concerns (FI, CO, MM,

SD par exemple dans le PGI SAP), les auditeurs lgaux mentionnent la raret de ces

formalismes.

Dautre part, lauditeur lgal se heurte galement lhtrognit des types

dinterfaces prsentes au sein des PGI audits. Pralablement tout contrle, le

commissaire aux comptes doit reprer quelle est la nature de linterface utilise (norme ou

non norme). Son tude concerne particulirement la fiabilit des interfaces entrantes.

Lanalyse de la qualit des interfaces peut rvler un risque lev en terme

dexhaustivit des informations comptables.

25

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

En fonction du langage et des modules proposs, on peut recenser plusieurs types

dinterfaces :

- Pour les interfaces conues par lditeur, il existe des contrles complets qui portent

la fois sur la cohrence et sur les aspects fonctionnels des applications . Ces

contrles concernent les informations qui sont intgres de manire automatique par le

systme. Ils sont identiques ceux effectus pour les donnes saisies manuellement.

- Certaines interfaces intgrent des modules labors partir du systme de gestion de

la base de donnes (SGBD) et sont soumises seulement des contrles de cohrence

de donnes. Dautres utilisent un langage normalis de type EDI.

- Enfin, les interfaces qui ne sont pas normes par lditeur, peuvent tre dveloppes en

interne par le service informatique, ou par des prestataires extrieurs (SSII). Ces

applications spcifiques doivent faire lobjet dattentions particulires de la part de

lauditeur lgal, qui doit sassurer quelles garantissent la disponibilit et lintgrit

des donnes tout au long de la chane comptable : de la saisie des informations jusqu

la production des tats comptables.

Cette extrme diversit des interfaces constitue un cueil majeur pour le travail de

lauditeur lgal. Afin didentifier les travaux de contrle interne pertinents mener et

dapprcier les risques associs, le commissaire aux comptes doit pralablement la

vrification de linterface, cerner ses caractristiques. Mais cet aspect technique peut chapper

sa comptence.

26

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

3.1.2 Le risque de perte de la piste daudit

L'auditeur cherche vrifier lexactitude et lexhaustivit de linformation. Celle-ci doit rester

intgre durant son traitement, c'est--dire qu'elle ne subit pas de dtrioration : la traabilit

repose sur le suivi des donnes dans le PGI et le suivi des rgles appliques (transformation,

dispatching , ) tout au long de leur cheminement.

Au-del des aspects rglementaires, la traabilit est une ncessit de gestion permettant

d'expliquer et de recouper l'information. Elle est indispensable pour mettre en oeuvre les

mcanismes de rversibilit. Par consquent, l'interface est un carrefour du systme

dinformation qui se doit de maintenir la piste d'audit et ce titre intgrer des

mcanismes qui gardent la trace des flux, vnements et traitements. De mme, la qualit de

la documentation des interfaces va de pair avec la traabilit. Elle a pour but de satisfaire au

maintien de la piste d'audit.

Celle-ci revt une importance particulire car elle permet de valider une opration en

remontant sa source, c'est--dire, en produisant la pice justificative. En effet, dans un

environnement PGI la diffrence dune application informatique classique, les critures

peuvent tre verses automatiquement dans le module comptabilit sans intervention

humaine. Mais dans certains cas, le progiciel de gestion intgr ne permet pas dassurer la

permanence du chemin de rvision. La justification des critures comptables est conditionne

par lexistence de fonctionnalits de type drill-down1 .

3.1.3 Le risque de faiblesse des techniques daudit informatises

Il existe un autre risque, celui li aux techniques daudit assistes par ordinateur, qui sont

utilises par le commissaire aux comptes dans le cadre de sa mission. Ces logiciels daudit

27

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

doivent rpondre aux objectifs de contrle des lments suivants : la qualit du paramtrage et

lexactitude des calculs effectus par le PGI, sur des points sensibles tels que les

amortissements des immobilisations.

La pratique des commissaires aux comptes tudie dans notre recherche montre que les

vrifications des informations effectues en environnement PGI prsentent des

similitudes avec les contrles pratiqus dans un autre environnement informatis, de

type application spcifique ou progiciel comptable.

Par contre, la nature du PGI a une influence dterminante sur lanalyse des

informations produites. En effet, la complexit de larchitecture de certains PGI rend la

structure de la base de donnes difficilement vrifiable et limite lefficacit des contrles

effectus par les logiciels daudit. Ainsi, lutilisation des fichiers dinterfaces nautorise pas

certains contrles notamment sur les donnes internes un ou plusieurs modules. Quant aux

fichiers exports, ils sont gnralement peu connus des utilisateurs et exige des comptences

particulires rarement dtenues au sein de lentreprise audite. Enfin, lutilisation par

lauditeur lgal, dun module dexport de donnes propos par lditeur de PGI, exige une

grande pratique de la structure des donnes du progiciel intgr.

De plus, la documentation utilisateur est gnralement insuffisante sur ce point ; il est alors

indispensable dtudier la documentation technique ou une documentation spcialise mise

disposition par lditeur, ce qui constitue ici encore des lments dinformation difficiles

valuer et comprendre du point de vue des commissaires aux comptes, par nature non

expert dans les PGI.

28

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

Notre recherche montre, quau cours de leur mission les commissaires aux comptes

limitent ltude des bases de donnes dans un environnement PGI, en raison de la

complexit de lanalyse et du temps imparti pour effectuer laudit. Dautres moyens sont

voqus par les auditeurs lgaux afin datteindre les rsultats attendus : revue du paramtrage

et/ou revue des habilitations. Nanmoins, les commissaires aux comptes reconnaissent que ces

mthodes restent contestes dans la mesure o elles ne permettent pas directement

dapprhender lanalyse des donnes.

3.2 Rsultats n2 : Des tentatives de simplification de la complexit du processus daudit

en environnement PGI

Notre travail de recherche, en mobilisant la thorie de la complexit, permet de mettre en

vidence les comportements dacteurs, qui par leurs actions essayent de simplifier la

complexit croissante des systmes informatiques et le processus daudit en environnement

PGI.

Lobjectif des PGI de crer une base de donnes homognes avec des interfaces inter-

modules, en vue de simplifier le travail des utilisateurs ne semble pas avoir t atteint. En

effet, du point de vue des auditeurs lgaux, les tmoignages convergent pour dcrire les PGI

comme des systmes complexes. Cette complexit peut, dans certains cas, gnrer le

chaos dans lorganisation. Elle saccrot galement en intgrant les diverses modifications

apportes en interne, compte tenu que toute volution du progiciel ajoute des risques non

ngligeables, dus la grande technicit de la tche accomplir.

Ainsi, plus le systme PGI se ramifie et se sophistique, plus les connexions entre les

applications deviennent nombreuses et fragiles dans le temps. Dans le pire des cas, les

29

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

auditeurs constatent rapidement que ces interfaces conduisent brouiller la piste d'audit. Cette

situation se traduit bien souvent par l'impossibilit de rapprocher les lments du systme de

gestion avec leur traduction comptable.

Se posent alors deux questions fondamentales : Face ces risques, comment volue un tel

systme dinformation au sein de lorganisation et quels vont tre les comportements des

diffrents acteurs ?

A la lumire de ces rflexions, nous identifions trois stratgies dacteurs qui se

traduisent par des tentatives de simplification de la complexit de lenvironnement de

laudit et du processus lui-mme. Il sagit des auditeurs lgaux, des diteurs de PGI et

des utilisateurs.

3.2.1 Des tentatives de simplification par lauditeur lgal

Nos rsultats montrent que le travail du commissaire aux comptes est trs centr sur le risque,

car il assure la transparence de linformation financire et il est garant de lordre public. En

effet, sa responsabilit civile peut tre engage en vertu de larticle L225-241 du Code de

Commerce : Les commissaires aux comptes sont responsables tant lgard de la socit

que des tiers des consquences dommageables des fautes et ngligences par eux commises

dans lexercice de leur fonction . De plus, si le commissaire aux comptes commet des

infractions spcifiques dans le cadre de sa mission, telles que la non rvlation de faits

dlictueux, il engage sa responsabilit pnale. Enfin, sa responsabilit disciplinaire peur tre

mise en uvre.

30

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

Face ces enjeux et dans le contexte des PGI, lauditeur lgal, qui a besoin dvaluer le

systme dinformation de lorganisation, ralise sa mission selon deux perspectives :

- Soit il possde les comptences techniques lui permettant de mener laudit du PGI.

Dans les faits, cette situation ne reprsente quune infime minorit de professionnels.

- Dans le cas contraire, il fait appel un expert technique, auquel il dlgue le soin

deffectuer laudit du systme dinformation et donc du PGI qui en est lossature.

Par consquent, lauditeur lgal opre alors une tentative de simplification de la ralit

du PGI, en trouvant une solution adapte ses besoins : travers le recours un expert

technique, il cherche sassurer que les progiciels utiliss sont conformes aux rgles dictes

par ladministration fiscale et respectent les trois principes suivants : caractre intangible des

critures, existence dune procdure de clture priodique des enregistrements chronologiques

et permanence du chemin de rvision. Le commissaire aux comptes prouve la ncessit de

recourir un expert, afin dobtenir, dans le cas de systmes dinformation importants et

complexes, une assurance raisonnable, pour formuler une opinion sur les comptes

annuels. Il doit cependant apprcier la pertinence des travaux de lexpert, afin de les utiliser

en tant qulments probants dans lobjectif de certification des comptes. Dans le cas

contraire, il met des rserves dans son rapport gnral ou refuse de certifier les comptes.

Ce comportement soppose celui de lauditeur financier contractuel, qui peut avoir une

perception simplificatrice du PGI et montrer un excs de confiance vis--vis de cette

technologie comme lont soulign les travaux de Hunton, Wright et Wright (2004). Ce

rsultat indique quil est impratif dtablir une distinction entre ces deux catgories

dauditeurs, qui ont une reprsentation diffrente de la complexit du systme

dinformation et des risques inhrents au PGI.

31

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

Le recours un expert technique illustre la manire par laquelle le commissaire aux

comptes gre le risque daudit dans un environnement informatique complexe. Cette

dlgation constitue une simplification de la complexit du PGI. En se trouvant dans

lincapacit de mener seul sa mission, il couvre ainsi sa responsabilit professionnelle.

3.2.2 Des tentatives de simplification par les Editeurs de Progiciel

Ltude des pratiques professionnelles nous a galement permis de mesurer loffre abondante

et htrogne en matire de progiciels laquelle sont confronts les auditeurs lgaux. En

effet, en rponse des besoins multiples issus des entreprises, les diteurs ont conu de

nombreux produits destins diffrents types dorganisations et dutilisateurs. A titre

dillustration, nous citerons le progiciel intgr SAP, trs utilis dans le domaine de la gestion.

Afin de rpondre aux besoins dauditeurs peu expriments en matire de PGI, lditeur SAP

fournit des interfaces (tableaux de bord), via le module AIS (Auditing Information System). Il

sagit dune collection pr-paramtre doutils daudit, dote dun moniteur de surveillance du

systme dinformation et de commandes configurables.

Nos entretiens avec des commissaires aux comptes ayant une forte exprience daudit

dans les environnements SAP permettent didentifier un comportement opportuniste de

la part des diteurs de PGI. Cette rponse technologique et informatique au problme de

laudit des PGI traduit, chez lditeur, une volont de simplifier la complexit inhrente

aux progiciels intgrs. Elle dfinit ainsi une stratgie dlibre de lditeur du PGI. La

cration de modules daide laudit, constitue une reconnaissance des difficults que

rencontrent les auditeurs et des risques auxquels ils sont soumis.

32

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

Loffre des diteurs de PGI a volu et intgre actuellement des fonctionnalits de piste

daudit dynamique permettant de reprer les oprations qui sont lorigine dun

enregistrement comptable. Cette volution technologique donne la possibilit lauditeur ou

tout autre utilisateur de retrouver partir dune criture comptable, lensemble des oprations

lies au document source et prsentes dans le systme. Les fonctionnalits illustrent la rcente

prise de conscience chez les diteurs, des difficults que rencontrent les commissaires aux

comptes lors de leurs missions en environnement PGI. Elles offrent un intrt pour lauditeur

lgal qui peut retrouver les justificatifs dune opration comptable, dans les modules situs en

amont mais galement pour les utilisateurs internes de lorganisation. Par consquent, la

raction des concepteurs de PGI vise un triple objectif :

- Tout dabord, offrir les services indispensables aux commissaires aux comptes pour la

russite de leur audit.

- Ensuite, rassurer les entreprises et notamment les directions des services informatiques

dans leur capacit rpondre positivement aux objectifs viss par lauditeur lgal.

- Enfin, convaincre les utilisateurs de persvrer dans leurs usages ou les inciter

recourir aux PGI pour piloter leurs activits sans craindre les perspectives dun audit.

Mais lutilisation de ces modules additionnels, tel AIS pour SAP, comporte des limites

la conduite du processus daudit. La validit et la compatibilit des modules daudit sont

dpendants de la version du PGI install dans lorganisation. En effet, concernant par

exemple AIS, lditeur souligne que les fonctions dAIS ne sont pas toutes disponibles et

accessibles. Celles-ci sont corrles la version de SAP .

33

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

Dautre part, le changement de version du PGI, comme la migration de SAP/R3 la version

SAP ECC6, peut impliquer une reconfiguration des procdures et des rsultats daudit.

Les modules additionnels correspondant une configuration antrieure peuvent alors devenir

caduques lors du passage la nouvelle version du PGI. Cette mise jour entrane une rvision

du processus daudit et rend obsolte le travail effectu les annes prcdentes par lauditeur

lgal.

Il est important de rappeler que les fonctionnalits de la piste daudit dynamique ne

permettent quun audit sur les modules Finance des PGI comme par exemple celui

dnomm FI dans SAP, ce qui exclut les modules de gestion des achats, et de gestion de la

production. Ce manque de transversalit constitue un frein non ngligeable pour le

commissaire aux comptes lors de la poursuite de laudit.

Enfin, nous terminerons cette section en soulignant un point voqu prcdemment : La

littrature ne mentionne pas la stratgie dacteur des concepteurs de progiciels de

gestion intgrs, et ignore leurs comportements opportunistes.

3.2.3 Des tentatives de simplification par les utilisateurs des PGI

Ltude sur le terrain montre que les utilisateurs sont confronts des difficults majeures

dans leur usage du PGI. Ils ont une reprsentation particulire des progiciels de gestion

intgrs. Ils les peroivent comme des systmes difficiles matriser et dont la complexit

saccrot dans le temps. Celle-ci sappuie sur deux lments : ladquation aux besoins des

utilisateurs et les changements rguliers de version.

34

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

Le problme de ladquation aux besoins constitue le premier facteur de complexit

peru par les utilisateurs. En effet, les directions gnrales reconnaissent, quen raison du

degr important de personnalisation, le dveloppement du PGI seffectue de plus en plus

souvent au sige de lentreprise. Ces mises jour ultrieures qui ont pour objectif dapporter

une rponse aux besoins des divers processus mtiers gnrent de nouvelles difficults. Ceci

se traduit par des actions de paramtrage des rgles de gestion qui peuvent se rvler trop

complexes pour les utilisateurs. La volont de corriger cette situation, induit alors une

augmentation de la complexit de la maintenance du systme, en raison dune multiplication

non contrle des rgles de gestion. Par consquent, la recherche de ladquation aux besoins,

qui se traduit par la cration de nouvelles interfaces personnalises, peut provoquer des

dcalages informationnels entre les diffrentes parties du PGI (metteurs, rcepteurs), et

aboutir une perte de tracabilit.

Les changements et les migrations de versions des PGI constituent une seconde source

de complexit dans la reprsentation des utilisateurs. La recherche dune adquation la

plus efficace possible aux besoins des utilisateurs pose le problme de la mise jour du PGI.

Ltude empirique permet dtablir deux options qui sont envisages par les directions

gnrales :

- Soit une mise niveau purement technique. Dans ce cas, celle-ci amliore la

performance et les fonctionnalits des systmes existants moyennant linstallation de

nouveaux modules qui tirent parti des amliorations rcentes du logiciel. Toutefois,

elle ne modifie en rien les pratiques actuelles et les utilisateurs peuvent avoir des

difficults valuer les amliorations apportes.

35

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

- Soit une approche adapte aux processus. Cette option donne loccasion damliorer

les divers systmes en reconfigurant les procdures, en visant une amlioration globale

de la qualit du PGI.

Compte tenu des diverses modifications apportes au PGI, toute mise jour ultrieure

comporte des risques non ngligeables en raison de la complexit de la tche. Des risques

importants peuvent alors se poser en ce qui concerne les contrles financiers, la continuit des

activits, lexhaustivit de linformation et lintgrit des tats comptables dans le cas o la

mise jour du systme ne fonctionnerait pas comme prvu. Cet tat de fait ajoute donc de la

complexit au systme et alimente le risque dune reprsentation de rejet du PGI par les

utilisateurs.

Face ces deux difficults, les utilisateurs sinquitent du fait que ces technologies de

linformation ne rpondent pas aux besoins essentiels de leurs activits. Ils ralisent alors

une tentative de simplification de la complexit du PGI en maintenant ou en

dveloppant des interfaces externes (type feuille excel ou rapports ad-hoc) au PGI

existant. Ce comportement peut tre analys comme une rsistance au changement

technologique et organisationnel.

Les exemples de situations vcues par les commissaires aux comptes sont difiants quant aux

disfonctionnements organisationnels que peut gnrer la complexit dun PGI du point de vue

des utilisateurs : dans certaines entreprises, il faut compter une journe de travail complte

pour transfrer les donnes de SAP en tableurs Microsoft Excel et pour les analyser. Dans

dautres cas, lensemble des utilisateurs de filiales rgionales maintenait des tableurs

priphriques en dehors du systme SAP. Ces processus externes rpondaient aux besoins de

36

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

procdures, dans le cas o SAP noffrait pas les fonctionnalits correspondantes, ou si le

personnel avait une connaissance limite de lutilisation du progiciel. Enfin, une dernire

situation voque des enregistrements de transactions laide dun progiciel de comptabilit

compltement distinct de SAP mais qui tait familier aux utilisateurs pour imprimer les

chques et comptabiliser les sommes payer. Les transactions taient ensuite transfres sous

SAP, et les totaux rapprochs pour viter tout risque dincohrence. Les utilisateurs avaient

ici encore ralis une simplification de la complexit du PGI en comparant la facilit

daccs leur systme local celui de SAP, jug trop lent.

Cette approche du processus daudit en environnement PGI permet donc de minorer

limportance des aspects techniques des PGI. Cette composante est par consquent

secondaire, car nos rsultats dmontrent le caractre majeur du comportement des

acteurs sur le processus daudit en environnement PGI. En effet, ce sont ces acteurs, qui

en simplifiant la complexit du PGI, trahissent les difficults inhrentes au systme.

CONCLUSION

Face la raret de la littrature existante sur la problmatique tudie, cette recherche

qualitative met en vidence linfluence de lenvironnement informatique des progiciels de

gestion intgrs sur le processus daudit. Elle fait apparatre deux principaux rsultats. Tout

dabord, il existe des risques spcifiques de laudit en environnement PGI : celui lis aux

interfaces, le risque de perte de la piste daudit ainsi que les risques gnrs par les limites des

logiciels daudit. Dautre part, cette tude rvle des stratgies dacteurs qui essayent de

simplifier la complexit croissante de lenvironnement technologique.

Les entretiens mens avec les commissaires aux comptes montrent que les

dysfonctionnements des interfaces peuvent gnrer des risques non ngligeables en terme

37

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

dexhaustivit des informations comptables. Le contrle des interfaces en environnement PGI,

est difficile effectuer en raison de linsuffisance des descriptifs et de leur trs grande

htrognit. Les auditeurs lgaux insistent galement sur limportance particulire de la

traabilit des informations produites. Les rsultats montrent que dans certains cas, les PGI ne

permettent pas dassurer la permanence du chemin de rvision, principe fondamental dict

par ladministration fiscale en matire de systme informatique. La non-conformit cette

rgle entrane des rserves ou un refus de certifier de la part de lauditeur lgal. Enfin, il existe

des limites importantes au niveau de lutilisation des techniques daudit informatises,

notamment pour le contrle de la structure des fichiers. Dans un contexte de progiciels

intgrs, cette vrification peut se rvler difficile mettre en uvre.

Les rsultats obtenus mettent en vidence des tentatives de simplification, de la complexit de

lenvironnement de laudit et du processus de contrle par les diffrents acteurs. Ainsi,

lauditeur lgal peut faire appel un expert en systme dinformation, pour obtenir une

assurance raisonnable sur la qualit du PGI audit. En adoptant cette dmarche, il essaye de

trouver une solution simple une situation complexe. Pour facilit la comprhension du

systme, les diteurs de progiciels, ont ajout de nouvelles fonctionnalits sous la forme de

modules additionnels. Lobjectif recherch est de rendre plus accessible lutilisation et laudit

des PGI par le commissaire aux comptes. Dans une volont de simplifier la complexit

intrinsque des PGI, les utilisateurs dveloppent des interfaces externes, en utilisant par

exemple des tableurs de type excel pour effectuer les calculs. Ces actions constituent une

forme de rsistance au changement organisationnel et entranent une fragmentation du

systme qui ncessite la saisie manuelle des informations. La cration dinterfaces adhoc

neutralise lefficacit des bases de donnes homognes.

38

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

Ces travaux ont montr que la profession des commissaires aux comptes sintresse depuis

quelques annes aux risques potentiels gnrs par les systmes fortement intgrs. La qualit

et lintgrit des informations comptables produites sont conditionnes par la matrise du

systme par le personnel et le service informatique de lorganisation. Des tudes ralises par

la profession ont notamment soulign que, dans le cadre des PGI, les entreprises sont trs

dpendantes de linformatique. Cette forte dpendance appelle une rflexion et des pistes de

recherches sur la relation entre les diteurs de PGI et les auditeurs. En effet, il convient

dapprofondir la nature des liens animant ces deux acteurs, qui sont confronts en matire de

progiciels intgrs aux mmes contraintes rglementaires prconises par ladministration

fiscale.

Notre tude prsente des limites lies son caractre exploratoire et invite creuser certains

thmes de recherche. Dans un premier temps, nous suggrons dapprofondir lanalyse en

largissant les entretiens un plus grand nombre de commissaires aux comptes. Il serait

galement intressant de recueillir les avis des responsables des services informatiques des

socits concernes ainsi que des utilisateurs cls. En effet, notre rsultat relatif aux tentatives

de simplification de la complexit des PGI par les utilisateurs ne sappuie que sur les

perceptions et les expriences vcues par les commissaires aux comptes que nous avons

interrogs. Une future recherche, qui sappuierait sur les utilisateurs en tant que tels,

permettrait dtudier de manire plus dtaille certains risques spcifiques lis

lenvironnement PGI, comme la gestion des habilitations et le paramtrage qui peuvent

gnrer des risques potentiels importants.

39

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

BIBLIOGRAPHIE

Asby W.R. (1973), Some peculiarities of complex systems , Cybernetic Medecine, vol.9, p.1-8. Bae B. et Ashcroft (2004), Implementation of ERP Systems: Accounting and Auditing Implications , Academy of Management Meeting, Chicago. Bagranoff N. et Vendrzyk V. (2000), The changing role of IS audit among the big five accounting firms , Information Systems Control Journal, Vol.5, p. 33-37. Besson P. (1999), Les ERP lpreuve de lorganisation , Systmes dInformation et Management, n4, dcembre 1999, p. 21-52. Bierstaker J.L., Burnaby P. et Thibodeau J. (2001), The impact of Information technology on the audit process: an assessment of the state of the art and implications for the future , Managerial Auditing Journal, 16, 3, p.159-164. Boitier M. (2004), Les ERP. Un outil au service du contrle des entreprises ? , Le mythe de lorganisation intgre, Sciences de la socit, n 61, p. 91-106. Bulletin Officiel des Impts n12 du 24 janvier 2006, Contrle des comptabilits informatises , Direction Gnrale des Impts, 13 L-1-06. Compagnie nationale des Commissaires aux comptes (2003), Norme 2-302. Audit ralis dans un environnement informatique , Rfrentiel normatif et dontologique de juillet 2003. Compagnie nationale des commissaires aux comptes (2003), Dossier normes et doctrines professionnelle, CNCC Edition. Compagnie Nationale des Commissaires aux Comptes (2007), Le guide du commissaire aux comptes : Principaux textes de rfrences, code de dontologie, normes dexercice professionnel, pratiques professionnelles , CNCC Edition. Compagnie Nationale des Commissaires aux Comptes (2007), Dossier normes et doctrine professionnelle, CNCC Edition. Compagnie Nationale des Commissaires aux Comptes (2007), Le programme de contrle des comptes, CNCC Edition. Davenport T.H. (2000), Mission Critical - Realizing the Promise of Enterprise Systems , Harvard Business School Press, Boston MA. Delorme R. (1997), Evolution et complexit : lapport de la complexit de second ordre lconomie volutionnaire , Economie applique, n3, p. 95-120. Delorme R. (2000), Thorie de la complexit et institutions en conomie , actes du colloque de lERSI-CRIISEA et GERME, Amiens.

40

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

Encyclopdie de la Gestion et du Management (1999), Complexit , sous la direction de Le Duff R., Editions Dalloz Gestion p. 152-153. Girard K. et Farmer M. (1999), Business software firms sued over implementation , CNET News.com (November 3). Glaser B.G. et Strauss A.L. (1967), The discovery of grounded theory : strategies for qualitative research, New York, Aldine de Gruyter. Gosselin M. et Mvellec P. (2003), Plaidoyer pour la prise en compte des paramtres de conception dans la recherche sur les innovations en comptabilit de gestion , Comptabilit Contrle Audit, numro spcial Les innovations managriales , mai, p. 87-110. Hunton J.E., Wright A.M., et Wright S. (2004), Are Financial Auditors Overconfident in Their Ability to Assess Risks Associated with Enterprise Resource Planning Systems? , Journal of Information Systems, Vol.18, n.2, p.728. ISACA (Information Systems Audit and Control Association) (2003), Is Auditing Guideline ERP System Review ? . Kinney W.R. Jr (2001), Accounting scholarship : what is uniquely ours ? , The Accounting Review, Vol. 76, p. 275-284. Le Moigne J.L. (1990), La modlisation des systmes complexes, Paris, Dunod. McKinnon J. (1988), Reliability and validity in field research : some strategies and tactics , Accounting, Auditing & Accountability Journal, vol.1, p. 34-54. Mercier A., Merle P. (2006), Audit et commissariat aux comptes, Mmento pratique Francis Lefebvre. Merton R.K., Fiske M. et Kendall P.L. (1990), The focused interviews : a manual of problems and procedures, New York, 2nd ed, Free Press. Meyssonnier F. (2004), Rponse Jean Fivez , Comptabilit Contrle Audit, juin, p. 188-189. Meyssonnier F. et Pourtier F. (2004a), ERP, changement organisationnel et contrle de gestion , congrs de lAFC (Orlans), 18 pages. Meyssonnier F.et Pourtier F. (2006), Les ERP changent-ils le contrle de gestion ? , Comptabilit Contrle Audit, Mai, Tome 12, vol 1, p. 45-64. Mikol A. (1999), Les audits financiers : Comprendre les mcanismes du contrle lgal , Editions dOrganisation. Patton M.Q. (1990), Qualitative evaluation and research methods, sage, New York, N.Y.

41

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0

Rowe F. (1999), Cohrence, intgration informationnelle et changement : esquisse dun programme de recherche partir des progiciels intgrs de gestion , Systmes dInformation et Management, n4, dcembre, p. 3-20. Simon H. (1976), From Substantive to Procedural Rationality , in Method and Appraisal in Economics, S.J. Latsis editor, Cambridge University Press, p. 129-147. Snow C.C. et Thomas J.B. (1994), Fields research methods in strategic management: contributions to theory building and testing , Journal of management Studies, vol 31, n4 july, p. 457-480. Sprecher M. (2006), Audit Support in SAP , SAP Public Services. Strauss A. et Corbin J. (1994), Grounded theory methodology : an overview , in Denzin N.K. and Lincoln Y.S. (eds), Handbook of Qualitative Research, Sage, Thousand Oaks, CA. Sutton S.G. (2006), Enterprise systems and the reshaping of accounting systems : a call for research , International Journal of Accounting Information Systems. Wright S. et Wright A.M. (2002), Information System Assurance for Enterprise Resource Planning Systems: Unique Risk Considerations , Journal of Information Systems, Vol.16 Supplement p. 99-113. Yang D.C. et Guan L. (2004), The evolution of IT auditing and Internal Control Standards in financial statement audits : the case of the United States , Managerial Auditing Journal; 19, 4, p. 544. Zhao N., Yen D.C. et Chang I. (2004), Auditing in the ecommerce era , Information Management and Computer Security, Vol.12, n.5, p. 389-400. 1 Le drill-down consiste explorer les donnes de faon interactive, afin de pouvoir dgager une premire "impression" sur les variables. Il fournit une combinaison d'outils graphiques, d'analyses exploratoires qui vont permettre d'tudier rapidement la distribution des variables, les relations entre elles et d'identifier les observations appartenant des sous-groupes spcifiques dans les donnes.

42

hals

hs-0

0522

411,

ver

sion

1 - 8

Nov

201

0