Résumé des contrôles

Il existe des centaines de contrôles internes possibles pour une organisation. Trouver la bonne adéquation nécessite une analyse des activités opérationnelles de l’organisation, de son échelle et des risques associés. Les diverses activités et les risques connexes déterminent les types, les objectifs et les techniques de contrôle pertinents qui apparaissent comme prioritaires. Une fois ces priorités identifiées, les organisations peuvent sélectionner et établir des contrôles spécifiques pour renforcer et protéger leur cadre de gouvernance.

Le tableau suivant récapitule les techniques fonctionnelles que vous pouvez utiliser par type de contrôle et objectif de contrôle. Une technique fonctionnelle peut aider à atteindre un ou plusieurs objectifs de contrôle :

Technique fonctionnelle Type de contrôle Complétude Exactitude Existence ou propriété Seuil Valorisation ou présentation

Accès et permissions

Préventive

     X X  

Données de base

Préventive

   X X    

Flux de documents et de transactions

Préventive

 X X      

Flux de travail

Préventive

   X X X  

Rapports

Détective

 X X X X X

Pistes d’audit

Détective

   X X    

Pour obtenir des exemples du large éventail d’options de contrôle interne pour les trois flux de travail comptables principaux, reportez-vous aux informations suivantes :

Tests de contrôle

Après avoir sélectionné et adopté vos contrôles internes, il est important d’identifier la méthodologie appropriée pour tester les différentes techniques de contrôle. Une méthode de test recommandée a été attribuée aux options de contrôle des flux de travail comptables principaux, comme suit :

Les étapes de test décrites ci-dessous constituent un guide de haut niveau pour tester les contrôles dans Sage Intacct. Les détails des tests dépendent de l’objectif du contrôle, de la façon dont le contrôle est mis en œuvre, de la précision avec laquelle le contrôle est exécuté et de l’objectif des tests.

Un contrôle de flux de travail garantit que les transactions sont correctement acheminées, généralement par le biais d’étapes d’approbation basées sur des paramètres prédéfinis.

Étapes de test de haut niveau :

  1. Comprendre la base de référence : quel doit être le flux de travail ? Y a-t-il une politique en place ?

  2. Le cas échéant, inspectez la configuration dans Intacct pour déterminer que le flux de travail a été appliqué.

  3. Testez une instance de chaque type d’approbation. Par exemple, s’il y a trois niveaux (aucune approbation en dessous du montant X, une approbation entre les montants X et Y, deux approbations au-dessus du montant Y), effectuez un test pour chaque niveau. Assurez-vous que les transactions se déroulent comme prévu, comme défini à l’étape 1.

    Testez d’une manière qui reflète la configuration de l’application. Par exemple, si la même configuration pilote le flux de travail dans deux entités mais avec des personnes différentes, vous n’avez généralement pas besoin de répéter le test. Toutefois, si les entités utilisent des configurations ou des tables de configuration différentes, vous devrez peut-être effectuer des tests distincts.

Un contrôle de configuration permet de s’assurer que le système fait quelque chose comme prévu. Il peut s’agir de la validation d’une transaction, du déplacement d’une transaction d’un emplacement à un autre (par exemple, entre des interfaces ou des applications), de la modification d’un élément (par exemple, lors d’une réévaluation) ou d’un calcul automatisé (par exemple, un calcul de la TVA basé sur les données de base du produit).

Étapes de test de haut niveau :

Vous pouvez tester des contrôles automatisés, configurables ou codés de plusieurs manières. La façon dont vous testez dépend de divers facteurs, y compris l’environnement réglementaire. Les étapes suivantes sont fournies à titre indicatif uniquement.

  1. Comprendre le fonctionnement de la configuration : quels sont les résultats attendus ? Concentrez-vous sur les choses qui comptent pour les besoins du contrôle. Par exemple, un contrôle de validation peut nécessiter un fournisseur valide, ce qui est important, et une description sans caractères spéciaux, ce qui n’a probablement pas d’importance pour la structure de contrôle. Dans cette situation, vous n’avez qu’à tester la première caractéristique.

  2. Comprenez les dépendances qui existent : sur quelles configurations ou fonctionnalités codées s’appuie-t-on ?

  3. Pour chaque variante du processus, testez les caractéristiques de contrôle importantes en simulant la transaction. Par exemple, essayez de créer une transaction qui enfreint les règles de validation pour démontrer que la transaction est bloquée. Ensuite, modifiez la transaction pour qu’elle fonctionne et notez qu’elle a réussi.

Un contrôle de révision utilise des informations, généralement un rapport, pour identifier les divergences ou les inexactitudes dans les transactions ou les soldes.

Étapes de test de haut niveau :

Quelles sont les preuves suffisantes pour un contrôle d’examen qui peut varier d’un environnement réglementaire à l’autre ? Les étapes suivantes sont fournies à titre indicatif uniquement.

Les éléments clés d’un contrôle d’examen sont que le contrôle soit cohérent et reproductible (par exemple, le seuil de ce qui n’est « pas significatif » ne change pas d’un mois à l’autre) et qu’il soit prouvé (par exemple, il est clair pour quelqu’un qui inspecte l’examen que l’examinateur a terminé toutes les étapes de l’examen).

  1. Déterminez l’objectif du contrôle : quels types d’erreurs, de fraudes ou d’autres problèmes le contrôle d’examen est-il censé identifier ? Par exemple, le contrôle est-il utilisé pour rechercher des transactions inhabituelles, des erreurs dans le calcul d’une feuille de calcul ou des hypothèses incorrectes ?

  2. Comprendre la précision avec laquelle la commande fonctionne. Par exemple, le contrôle trouve-t-il une erreur dans le montant de 10 000 précis ? Y a-t-il un seuil en dessous duquel les questions seraient ignorées ?

  3. Comprendre la source de l’information : qu’est-ce que l’examinateur examine ? Comment le relecteur est-il à l’aise avec l’exactitude de la source ? Si un rapport a été utilisé, comment le réviseur vérifie-t-il qu’il a été exécuté correctement ? L’examen d’un rapport assemblé manuellement est beaucoup plus risqué que l’examen d’un rapport exécuté directement à partir d’un système, bien que les deux puissent nécessiter des étapes pour démontrer que les informations sont complètes et exactes.

  4. Comprenez comment les attentes sont construites. S’agit-il d’un examen d’une liste de transactions où chaque transaction est examinée et vérifiée ? S’agit-il d’un examen mensuel pour identifier des modèles ou des tendances inhabituels ? Comment l’examinateur identifie-t-il les éléments inattendus ou inhabituels à suivre ? Évaluez si cela répond à l’objectif fixé aux étapes 1 et 2.

  5. Inspectez l’examen et évaluez si l’examinateur a correctement identifié les éléments à suivre, tel que défini à l’étape 4.

  6. Évaluez si le réviseur a correctement suivi et corrigé les éléments pour le suivi, comme défini à l’étape 4.

  7. S’il y a un deuxième niveau d’examen, inspectez les preuves que cet examen a eu lieu et ce qui a été vérifié exactement.

À titre d’exercice distinct, testez l’exhaustivité et l’exactitude des rapports utilisés dans le contrôle de l’examen pour vous assurer que les rapports sont correctement conçus. Ce n’est pas la même chose que l’étape 3, qui concerne le risque d’exécuter le rapport de manière incorrecte.

Un contrôle de rapprochement utilise deux sources d’information ou plus pour valider l’exhaustivité, l’exactitude et la validité d’une ou des deux sources d’information.

Étapes de test de haut niveau :

  1. Déterminez quelle source d’information est validée. Existe-t-il une source de vérité, par rapport à laquelle une autre source d’information est vérifiée ? Ou est-ce que deux sources d’information sont vérifiées l’une par rapport à l’autre, qui pourraient toutes deux avoir la même erreur, qui correspondraient ou seraient ensuite rapprochées ?

  2. Déterminez la granularité à laquelle la vérification est effectuée. Solde/transaction ?

  3. Comprendre les sources d’information. Comment l’opérateur de contrôle obtient-il les informations ? Comment vérifient-ils que les sources sont complètes et exactes (par exemple, les rapports fonctionnent correctement) ?

  4. Déterminez s’il existe un seuil en dessous duquel les différences seront acceptées.

  5. Inspectez les preuves pour montrer que l’opérateur de contrôle a effectué le rapprochement avec la précision attendue et a suivi les éléments au-dessus du seuil.

Un contrôle d’accès restreint empêche les utilisateurs inappropriés d’utiliser certaines fonctions.

Étapes de test de haut niveau :

  1. Déterminez la fonctionnalité qui empêche l’accès.

  2. Comprendre les rôles dans Sage Intacct qui permettent d’accéder à cette fonction.

  3. Inspectez les listes d’accès des rôles qui autorisent l’accès à la fonction. Évaluez si les personnes qui ont ou ont eu accès sont appropriées.

Vous aurez peut-être besoin d’un rapport d’historique d’accès, car l’accès peut changer.

Un contrôle de séparation des tâches empêche les utilisateurs d’avoir certaines combinaisons d’accès problématiques.

Étapes de test de haut niveau :

  1. Dresser la liste des combinaisons d’accès interdites, c’est-à-dire les fonctions commerciales qui ne doivent pas être combinées.

  2. Comprendre les rôles qui autorisent l’accès à chaque type d’accès.

  3. Inspectez les listes pour déterminer s’il y a des utilisateurs qui ont ou ont eu accès aux combinaisons d’accès interdites pendant la période testée.

Vous aurez peut-être besoin d’un rapport d’historique d’accès, car l’accès peut changer.