Résumé des contrôles

Il existe des centaines de contrôles internes possibles qu’une organisation doit prendre en compte. Pour trouver la bonne personne, il faut analyser les activités opérationnelles de l’organisation, son échelle et les risques associés. Les diverses activités et les risques connexes déterminent les types, les objectifs et les techniques de contrôle pertinents qui apparaissent comme prioritaires. Une fois ces priorités déterminées, les organisations peuvent choisir et établir des contrôles spécifiques pour renforcer et protéger leur cadre de gouvernance.

Le tableau suivant récapitule les techniques fonctionnelles que vous pouvez utiliser par type de contrôle et objectif de contrôle. Une technique fonctionnelle peut aider à atteindre un ou plusieurs objectifs de contrôle :

Technique fonctionnelle Type de contrôle Exhaustivité Précision Existence ou propriété Seuil Évaluation ou présentation

Accès et permissions

Préventif

     X X  

Données principales

Préventif

   X X    

Flux de documents et de transactions

Préventif

 X X      

Flux de travail

Préventif

   X X X  

Rapports

Détective

 X X X X X

Pistes d’audit

Détective

   X X    

Pour obtenir des exemples du large éventail d’options de contrôle interne pour les trois flux de travail comptables principaux, consultez les informations suivantes :

Tests de contrôle

Après avoir sélectionné et adopté vos contrôles internes, il est important d’identifier la méthodologie appropriée pour tester les différentes techniques de contrôle. Les options de contrôle pour les flux de travail comptables principaux ont chacune été affectées à une méthode de test recommandée, comme suit :

Les étapes de test décrites ci-dessous sont un guide de haut niveau pour tester les contrôles dans Sage Intacct. Les détails des essais dépendent de l’objectif du contrôle, de la façon dont le contrôle est mis en œuvre, de la précision avec laquelle le contrôle est exécuté et de l’objectif des essais.

Un contrôle de flux de travail garantit que les transactions sont acheminées correctement, généralement par le biais d’étapes d’approbation basées sur des paramètres prédéfinis.

Étapes de test de haut niveau :

  1. Comprendre la base de référence : quel doit être le flux de travail ? Y a-t-il une politique en place ?

  2. Le cas échéant, inspectez la configuration dans Intacct pour déterminer que le flux de travail a été appliqué.

  3. Testez une instance de chaque type d’approbation. Par exemple, s’il existe trois niveaux (aucune approbation en dessous du montant X, une approbation entre les montants X et Y, deux approbations au-dessus du montant Y), effectuez un test pour chaque niveau. Assurez-vous que les transactions se déroulent comme prévu, comme défini à l’étape 1.

    Effectuez le test d’une manière qui reflète la configuration de l’application. Par exemple, si la même configuration pilote le flux de travail dans deux entités mais avec des personnes différentes, vous n’avez généralement pas besoin de répéter le test. Toutefois, si les entités utilisent des configurations ou des tables de configuration différentes, vous devrez peut-être effectuer des tests distincts.

Un contrôle de configuration garantit que le système fait quelque chose comme prévu. Il peut s’agir de la validation d’une transaction, du déplacement d’une transaction d’un endroit à un autre (par exemple, entre des interfaces ou des applications), de la modification d’un élément (par exemple, lors d’une réévaluation) ou d’un calcul automatisé (par exemple, un calcul de TVA basé sur les données de base du produit).

Étapes de test de haut niveau :

Vous pouvez tester des contrôles automatisés, configurables ou codés de plusieurs manières. La façon dont vous testez dépend de divers facteurs, y compris l’environnement réglementaire. Les étapes suivantes sont fournies à titre indicatif uniquement.

  1. Comprendre comment la configuration doit fonctionner : quels sont les résultats attendus ? Concentrez-vous sur les choses qui comptent aux fins du contrôle. Par exemple, un contrôle de validation peut nécessiter un fournisseur valide, ce qui est important, et une description sans caractères spéciaux, ce qui n’a probablement pas d’importance pour le cadre de contrôle. Dans cette situation, il vous suffit de tester la première caractéristique.

  2. Comprendre les dépendances qui existent : sur quelles configurations ou fonctionnalités codées s’appuie-t-on ?

  3. Pour chaque variante du processus, testez les caractéristiques de contrôle importantes en simulant la transaction. Par exemple, essayez de créer une transaction qui enfreint les règles de validation pour démontrer que la transaction est bloquée. Modifiez ensuite le transaction pour qu’il fonctionne et notez que la transaction a réussi.

Un contrôle de révision utilise des informations, généralement un rapport, pour identifier les divergences ou les inexactitudes dans les transactions ou les soldes.

Étapes de test de haut niveau :

Quelles sont les preuves suffisantes pour un contrôle d’examen qui peut varier d’un environnement réglementaire à l’autre ? Les étapes suivantes sont fournies à titre indicatif uniquement.

Les éléments clés d’un contrôle d’examen comprennent le fait que le contrôle soit cohérent et reproductible (par exemple, le seuil de ce qui n’est « pas significatif » ne change pas d’un mois à l’autre) et qu’il soit prouvé (par exemple, il est compensé pour quelqu’un qui inspecte l’examen que l’examinateur a terminé toutes les étapes de l’examen).

  1. Déterminer l’objectif du contrôle : quels types d’erreurs, de fraudes ou d’autres problèmes le contrôle d’évaluation est-il censé identifier ? Par exemple, le contrôle est-il utilisé pour rechercher des transactions inhabituelles, des erreurs dans le calcul d’une feuille de calcul ou des hypothèses incorrectes ?

  2. Comprendre la précision avec laquelle le contrôle fonctionne. Par exemple, le contrôle trouve-t-il une erreur dans le montant de 10 000 avec une précision ? Y a-t-il un seuil en dessous duquel les questions seraient ignorées ?

  3. Comprendre la source de l’information : qu’est-ce que l’évaluateur examine ? Comment le relecteur est-il à l’aise avec l’exactitude de la source ? Si un rapport a été utilisé, comment le réviseur vérifie-t-il qu’il a été exécuté correctement ? L’examen d’un rapport assemblé manuellement est beaucoup plus risqué que l’examen d’un rapport exécuté directement à partir d’un système, bien que les deux puissent nécessiter des étapes pour démontrer que les informations sont complètes et exactes.

  4. Comprendre comment les attentes sont construites. S’agit-il d’un examen d’une liste de transactions où chaque transaction est examinée et vérifiée ? S’agit-il d’un examen mensuel pour identifier des modèles ou des tendances inhabituels ? Comment l’examinateur identifie-t-il les éléments inattendus ou inhabituels à suivre ? Évaluez si cela répond à l’objectif fixé aux étapes 1 et 2.

  5. Inspectez l’examen et évaluez si l’examinateur a correctement identifié les éléments à suivre comme défini à l’étape 4.

  6. Évaluez si le réviseur a correctement suivi et corrigé les éléments pour le suivi, comme défini à l’étape 4.

  7. S’il y a un deuxième niveau d’examen, vérifiez les preuves que cet examen a eu lieu et ce qui a été vérifié exactement.

À titre d’exercice distinct, testez l’exhaustivité et l’exactitude des rapports utilisés dans le contrôle d’examen pour vous assurer qu’ils sont correctement conçus. Ce n’est pas la même chose que l’étape 3, qui concerne le risque d’exécuter le rapport de manière incorrecte.

Un contrôle de rapprochement utilise deux sources d’information ou plus pour valider l’exhaustivité, l’exactitude et la validité de l’une ou des deux sources d’information.

Étapes de test de haut niveau :

  1. Déterminer la source d’information à valider. Existe-t-il une source de vérité, par rapport à laquelle une autre source d’information est vérifiée ? Ou est-ce que deux sources d’information sont vérifiées l’une par rapport à l’autre, qui pourraient toutes deux avoir la même erreur, qui correspondraient ou seraient ensuite rapprochées ?

  2. Déterminez le granularité sur laquelle la vérification est effectuée. Solde/transaction ?

  3. Comprendre les sources d’information. Comment l’opérateur de contrôle obtient-il les informations ? Comment vérifient-ils que les sources sont complètes et exactes (par exemple, les rapports fonctionnent correctement) ?

  4. Comprenez s’il existe un seuil en dessous duquel les différences seront acceptées.

  5. Inspectez les preuves pour montrer que l’opérateur de contrôle a effectué le rapprochement avec la précision attendue et a suivi les éléments au-dessus du seuil.

Un contrôle d’accès restreint empêche les utilisateurs inappropriés d’utiliser certaines fonctions.

Étapes de test de haut niveau :

  1. Déterminez la fonctionnalité qui empêche l’accès.

  2. Comprendre les rôles dans Sage Intacct qui permettent l’accès à cette fonction.

  3. Inspectez les listes d’accès des rôles qui autorisent l’accès à la fonction. Évaluez si les personnes qui ont ou ont eu un accès sont appropriées.

Vous aurez peut-être besoin d’un rapport d’accès historique, car l’accès peut changer.

Un contrôle de séparation des tâches empêche les utilisateurs d’avoir certaines combinaisons d’accès problématiques.

Étapes de test de haut niveau :

  1. Dresser la liste des combinaisons d’accès interdites, c’est-à-dire les fonctions métier qui ne doivent pas être combinées.

  2. Comprendre les rôles qui autorisent l’accès à chaque type d’accès.

  3. Inspectez les listes pour déterminer s’il y a des utilisateurs qui ont, ou ont eu, accès aux combinaisons d’accès interdites pendant la période testée.

Vous aurez peut-être besoin d’un rapport d’accès historique, car l’accès peut changer.