Le processus d’audit d’un système comptable informatisé comporte cinq étapes principales: réalisation de l’examen initial (planification de l’audit); examiner et évaluer les contrôles internes; tests de conformité (tests des contrôles internes); tests de validation (tests des données détaillées); et établissement de rapports (conclusions et conclusions). Le ou les auditeurs doivent s'entendre dès le début avec le client sur l'étendue et les limites de l'audit. Cela facilitera la réalisation des objectifs de l'audit de manière efficace et efficiente.
Effectuer une enquête préliminaire sur l'entité. Il s’agit d’un travail préliminaire pour planifier la manière dont l’audit doit être conduit. Les auditeurs collectent des informations sur le système comptable informatisé qui sont pertinentes pour le plan d'audit, notamment: une compréhension préliminaire de la manière dont les fonctions comptables informatisées sont organisées; identification du matériel informatique et des logiciels utilisés par l'entité; une compréhension préliminaire de chaque application comptable significative traitée par ordinateur; et l'identification de la mise en œuvre prévue de nouvelles applications ou de la révision d'applications existantes et des contrôles applicables.
Acquérir et documenter une compréhension des contrôles internes. Il existe deux types de contrôles: général et application. Les contrôles généraux sont ceux qui couvrent l’organisation, la gestion et le traitement au sein de l’environnement informatique mais ne sont pas liés à des applications particulières. Ils doivent être testés avant les contrôles de l'application, car s'ils s'avèrent inefficaces, l'auditeur ne pourra pas se fier aux contrôles de l'application. Les contrôles généraux incluent notamment la séparation appropriée des tâches, le plan en cas de catastrophe, la sauvegarde des fichiers, l’utilisation d’étiquettes, le contrôle d’accès, les procédures d’acquisition et de mise en œuvre de nouveaux programmes et équipements, etc. Les contrôles d’application concernent des tâches spécifiques exécutées par le système. Ils comprennent les contrôles d'entrée, les contrôles de traitement et les contrôles de sortie et devraient fournir une assurance raisonnable que le lancement, l'enregistrement, le traitement et la consignation des données sont correctement effectués.
Effectuez des tests de conformité pour déterminer si les contrôles existent et fonctionnent comme prévu. Il existe trois approches générales pour les tests de conformité: la méthode des données de test, dans laquelle l’auditeur fait traiter les transactions de test par le système du client, puis compare les résultats à des résultats prédéterminés; l'approche de l'installation de test intégrée, dans laquelle les transactions fictives sont traitées avec les transactions réelles et comparées aux résultats prédéterminés par l'auditeur; et l'approche de simulation parallèle, dans laquelle les transactions réelles sont traitées par le système du client et également par un système parallèle mis en place par l'auditeur à l'aide des mêmes programmes et par la comparaison des résultats. Les résultats de l’une ou l’autre des méthodes d’essai utilisées devraient indiquer à l’auditeur si les contrôles existent et fonctionnent correctement.
Effectuez des tests de validation pour déterminer si les données sont réelles. Les auditeurs doivent obtenir et évaluer des éléments probants concernant les affirmations de la direction concernant les états financiers. Il y a cinq assertions: complétude; droits et obligations; évaluation ou répartition; existence ou occurrence; présentation des déclarations et des divulgations. L’auditeur utilise ces assertions pour élaborer des objectifs d’audit et concevoir des tests de corroboration. Les tests de corroboration sont des tests de transactions et de soldes et des procédures analytiques conçues pour corroborer les assertions. L'auditeur doit obtenir suffisamment d'éléments probants compétents et suffisants pour fonder une opinion sur les états financiers faisant l'objet de l'audit. Si suffisamment de preuves compétentes ne peuvent être obtenues, aucun avis ne peut être émis.
Rédigez le rapport d'audit pour compléter l'audit. Le rapport d'audit contiendra une opinion sans réserve, une opinion avec réserve ou un avis de non-responsabilité. Une opinion sans réserve signifie que les états financiers sont présentés fidèlement conformément aux états financiers généralement reconnus (PCGR). Une opinion avec réserve signifie que les états financiers sont présentés fidèlement selon les PCGR, à l’exception de certaines questions éligibles. Un avis de non-responsabilité signifie que l'auditeur n'a pas été en mesure d'obtenir des preuves suffisamment compétentes pour se forger une opinion. Une fois le rapport d'audit publié, l'audit est terminé.