2017 - Guide Audit Informatique Vdef

AUDIT
INFORMATIQUE :
TOUS CONCERNS !
10 FICHES PRATIQUES
POUR RUSSIR
AUDIT INFORMATIQUE : TOUS CONCERNS !
10 FICHES PRATIQUES POUR RUSSIR
ITO
D
VERS UN CAC 2.0 ?
La rvolution numrique provoque des nombreux bouleversements au sein de la socit,
transformant nos rapports entre citoyens, consommateurs, et dans la vie des entreprises. Avec
elle, sont apparus des risques nouveaux lis au traitement de masse des donnes via le Big Data,
sans parler de la cybercriminalit qui svit au quotidien auprs de tous les utilisateurs dinternet,
quel que soit leur qualit ou leur taille. Mais elle est galement synonyme de lavnement de
nouveaux droits, commencer par ceux protgeant les donnes personnelles.
Autant de sujets qui ont un impact sur notre mission de commissaire aux comptes dans le
cadre de lanalyse des risques, socle de notre rle au sein des entits auprs desquelles nous
intervenons.
Devenu un sujet denjeu stratgique pour toutes les entreprises, de la TPE la socit dont les
titres sont cots, la scurit et la prennit des systmes dinformation dune entreprise poussent
le CAC repenser sa mission.
Celle-ci volue donc pour aller vers un traitement des informations financires de plus en plus
pointu et important en termes de volumtrie.
Si vous lisez cet dito, cest que vous tes dj convaincu(e) que cette volution est une relle
opportunit pour notre profession.
Une monte en comptences techniques ? Oui, cela va sans dire ! Mais l o rside rellement
cette nouvelle opportunit, cest dans notre relation avec le chef dentreprise.
En effet, maitriser ou, a minima, savoir apprhender les questions relatives aux risques dans les
systmes dinformations renforce la plus-value de notre rle face au dirigeant.
Cest sous cet angle que le prsent outil a t pens : un guide dentretien pour aider votre client
rflchir son systme dinformation. Dans les structures ayant un directeur des SI, il vous
permettra dtre un interlocuteur privilgi auprs de ce spcialiste de la donne.
Si lobjectif de cet outil nest pas de vous transformer en spcialiste de laudit des SI, il a nanmoins
la vocation, qui nous est chre, de faire de vous des gnralistes clairs et vous dmontrer que
laudit informatique peut tre la porte de tous les professionnels.
Conu en partenariat avec lassociation franaise de laudit et du conseil informatiques (AFAI),

ce guide dentretien est accompagn dun glossaire que vous trouverez en fin de document, car
toute maitrise technique commence par la maitrise de son vocabulaire.
Bien confraternellement,
CRCC DE PARIS - JUIN 2017
CONCEPTION GRAPHIQUE : ELONORE DE BEAUMONT Jean-Luc Flabeau,
IMPRESSION : COMPDIT BEAUREGARD prsident de la CRCC de Paris
3
GROUPE DE TRAVAIL
AUDIT INFORMATIQUE
RCI
DE LA CRCC DE PARIS
ME
NOUS ADRESSONS NOS PLUS SINCRES REMERCIEMENTS AUX CO PRSIDENTS
DU GROUPE DE TRAVAIL AUDIT INFORMATIQUE DE LA CRCC DE PARIS :
Frdric Burband
Vice-prsident de la CRCC de Paris, Saint-Honor Partenaires
Serge Yablonsky
Expert-comptable, commissaire aux comptes, prsident dhonneur de lAFAI et co prsident du GT
FRDRIC BURBAND SERGE YABLONSKY MATHIEU BARRET ALEXANDRE BERCOVY
Audit informatique de la CRCC de Paris
AINSI QUAUX MEMBRES QUI ONT CONTRIBU LA RDACTION DE CE GUIDE :
Mathieu Barret
Associ BMS Conseil, spcialis dans les missions de conseil et daudit informatis du FEC
Alexandre Bercovy
Directeur chez Deloitte Risk Advisory IS
Stphanie Benzaquine
Associe Mazars, Risk Advisory Securing Financial & IT Processes
STPHANIE BENZAQUINE VIRGINIE BOESCH ANNE DEFRENNE JEAN-MICHEL DENYS
Virginie Boesch
Directrice de mission, cabinet Exponens
Anne Defrenne
Directrice Risk Consulting, cabinet Exponens
Jean-Michel Denys
Managing Partner des activits de Consulting du cabinet CTF, Compagnie des Techniques
Financires
Christian Gabenesch
DSI cabinet FIDELIANCE et auditeur des systmes dinformation
Xavier Groslin
CHRISTIAN GABENESCH XAVIER GROSLIN JRME HUBER JEAN-PHILIPPE ISEMANN
Expert-comptable, commissaire aux comptes, Saint Honor Partenaires
Jrme Huber
Associ Mazars, spcialis dans les missions de conseil et daudit en Systme dInformation
Jean-Philippe Isemann
Associ RSM, responsable de loffre IT & Risk Advisory
Michel Retourn
Expert-Comptable, Directeur Rgional Expertise, Smaphores Expertise
RETROUVEZ LES MEMBRES DU GT ET POSEZ LEUR TOUTES VOS QUESTIONS SUR

MICHEL RETOURN LE GROUPE DE CONVERSATION AUDIT INFORMATIQUE, TOUS CONCERNS !
5
TRO
INTRODUCTION COMMENT SENSIBILISER
LES PROFESSIONNELS ?
IN
AUDIT INFORMATIQUE, Data mining, Data processing, scurit informatique, FEC, contrle informatis
TOUS CONCERNS ! Un jargon de plus en plus courant dans nos changes, sans pour autant tre toujours
maitris. Le groupe de travail est donc l pour rflchir de nouvelles manires de
prsenter ces concepts et de les rendre accessibles de tous.
Notre groupe a donc travaill llaboration de ce recueil de fiches pratiques qui a pour
Laudit va disparatre... Nous parlons bien entendu de laudit traditionnel, le papier
objectif :
crayon, qui subsiste encore chez certains de nos confrres mais dont les centaines de
milliers de donnes manipules par les entreprises leur mnent la vie dure. dexpliquer clairement et simplement les techniques regroupes
Notre profession se doit dvoluer pour continuer accompagner les entreprises de sous le terme de data mining
plus en plus informatises et conserver le contrle des donnes financires analyses
de sensibiliser nos confrres lintgration des systmes dinformation
dans un contexte de cas de fraude en croissance permanente. Aprs une srie de
dans leur dmarche et lutilisation de ces techniques lors de leurs missions
confrences et formations sur le rle du commissaire aux comptes dans la lutte anti-
fraude organises entre 2015 et 2016, la CRCC de Paris, sous limpulsion de Frdric de dtailler les enjeux rglementaires lis
Burband, vice-prsident, a dcid de crer le groupe de travail Audit informatique, en dapporter des rponses et une mthodologie applicable directement
partenariat avec lAFAI, qui rassemble des spcialistes du contrle interne informatique dans leurs missions
et de lanalyse de donnes informatiques.
LAUDIT INFORMATIQUE, CE NEST DONC PAS

POURQUOI UN GROUPE DE TRAVAIL QUE POUR LES ETI ET LES GRANDS COMPTES ?
SUR LAUDIT INFORMATIQUE ?
Et bien non. Si nous prenons lexemple du FEC, le Fichier des Ecritures Comptables,
Notre objectif est dexpliquer, de sensibiliser et de convaincre nos confrres que demand dsormais par ladministration fiscale et qui contient lensemble des critures
lutilisation doutils de data mining (ou analyses de donnes) dans le cadre de leur dune entreprise, il concerne toutes les entreprises franaises qui tiennent leur
mission est un gage dexcellence pour notre profession, de scurisation de leur mission comptabilit de manire informatise. Il soulve dailleurs souvent des questions de la
et une rponse efficace aux besoins des entreprises que nous accompagnons. part des entreprises, malheureusement trop tard lorsque le vrificateur sy intresse...
Par ailleurs, il est galement ncessaire de les sensibiliser au fait que la digitalisation
des processus de lentreprise est source de risques de perte de continuit dactivit ou
encore de perte dintgrit des donnes si celles-ci ne sont pas suffisamment scurises : QUE FAUT-IL RETENIR DE NOS TRAVAUX ?
soit parce que les accs aux systmes sont trop tendus, soit parce que les programmes
informatiques peuvent tre modifis sans contrle en amont. La transition numrique Le monde change, les entreprises voluent, nos mthodes de travail aussi. Notre groupe
actuelle lance par les pouvoirs publics (FEC, DSN, facture lectronique, Chorus) de travail est l pour apporter des rponses simples aux interrogations que suscite
nest donc pas un obstacle, mais bien lopportunit pour les professionnels que nous lintroduction des nouvelles technologies dans nos missions traditionnelles.
sommes, de donner du poids nos contrles. Aprs une prsentation lors dune formation, le 4 juillet 2017 la Maison de la chimie,
ce recueil de fiches a vocation tre diffus lensemble des professionnels inscrits
la CRCC de Paris puis consultable librement depuis notre site : www.crcc-paris.fr
6 7
-
M
TRO SO IRE
IN A
COMMENT UTILISER CE GUIDE ?
M
Ce guide est un outil oprationnel pour tout
commissaire aux comptes pour mesurer le niveau
de risques en matire de systmes dinformation et
douverture sur le numrique.
EN QUOI EST-CE UN OUTIL OPRATIONNEL ?

Au-del dune prsentation des bonnes pratiques et du rattachement aux NEP
concernes, des questionnaires simples permettent au commissaire aux comptes de
conduire les entretiens avec son client.
Des rfrences sont aussi fournies pour aller plus loin dans le domaine concern.
POURQUOI LUTILISER ?
Pour comprendre lorganisation et lutilisation de linformatique et du numrique par
FICHE 01 I Ouverture sur la transformation numrique 10
lentreprise et mesurer le niveau de risques afin de dcider sil faut aller plus avant sur
un ou plusieurs domaines. FICHE 02 I Gouvernance des systmes dinformation 16
FICHE 03 I Contrle des accs 26
10 DOMAINES ABORDS : FICHE 04 I Conduite de projets 34
10 QUESTIONNAIRES DE CONDUITE DENTRETIEN FICHE 05 I Utilisation des outils daudit de donnes 40
Il est recommand daborder tous les domaines avec son client. Nanmoins, chaque
FICHE 06 I Protection des donnes personnelles 46
fiche et chaque questionnaire peut tre utilis indpendamment.
Des versions Word des fiches seront tlchargeables sur le site de la CRCC de Paris. FICHE 07 I Lgislation fiscale et SI 50
FICHE 08 I Exploitation des systmes dinformation 56
FICHE 09 I Plan de continuit dactivit 62
STRUCTURE DU GUIDE FICHE PAGE FICHE 1 0 I Cyberscurit 66
GOUVERNANCE DENTREPRISE
GLOSSAIRE I 70
Ouverture sur la transformation numrique 01 10
Gouvernance des systmes dinformation 02 16
RISQUES OPRATIONNELS
Contrle des accs 03 26
Conduite de projets 04 34
Exploitation des systmes dinformation 08 56
Plan de continuit dactivit 09 62
Cyberscurit 10 66
ACTIVITS DE CONTRLE
Utilisation des outils daudit de donnes 05 40
Protection des donnes personnelles 06 46
Lgislation fiscale et SI 07 50
8 9
01
FICHE 01
OUVERTURE SUR
LA TRANSFORMATION
NUMRIQUE
OUVERTURE SUR LA TRANSFORMATION NUMRIQUE

CONTEXTE ET ENJEUX
Quest-ce que la transformation numrique ? La transformation numrique est la cration,

lutilisation et le partage de donnes numriques en vue de la cration de nouveaux services
usage externe ou interne. Elle a impact les offres aux consommateurs et la culture dentreprise
en modifiant leurs mentalits et leurs processus. Ladaptation cette volution digitale est lune
des priorits majeures pour les dirigeants qui veulent que leur entreprise reste comptitive,
OUVERTURE dautant que cette rvolution ne semble pas ralentir, bien au contraire.
Le numrique simpose comme un enjeu stratgique majeur pour les entreprises. Pourquoi ? Parce
SUR LA
que les implications sont multiples ; elles touchent les offres et les business models, les modes
de management, les fonctionnements entre les collaborateurs, les relations avec les clients et les
fournisseurs, et les technologies.
TRANSFORMATION Le numrique est souvent compar la bulle internet dans linformatique des annes 90.
Mais il nen est rien. Cette fois, lvolution nest pas seulement technologique, elle implique de
reconsidrer lensemble en profondeur : lhomme, sa culture, lorganisation, les processus et les
NUMRIQUE
mthodes. Le numrique fait apparaitre de nouvelles questions thiques touchant le traitement
des donnes personnelles des diffrentes parties prenantes (origine, transmission, vente,
exploitation, transformation, ) dont les usages ne sont pas toujours prvisibles et contrls.
Au-del des opportunits et des perspectives positives que le numrique apporte, les changements
gnrent aussi des risques nouveaux pour lentreprise.
NEP ET TEXTES DE RFRENCE
NEP 315 : Connaissance de lentit et de son environnement et valuation du risque danomalies

significatives.
Doctrine professionnelle relative aux prestations entrant dans le cadre de diligences de

commissaire aux comptes rendu lors de lacquisition dentit (ex NEP 9060).
Doctrine professionnelle relative aux prestations entrant dans le cadre de diligences de

commissaire aux comptes rendu lors de la cession dentreprise (ex NEP 9070).
10 11
01
FICHE 01
OUVERTURE SUR
LA TRANSFORMATION NUMRIQUE
ANALYSE DES RISQUES ET CRITICIT
Les enjeux sont multiples : Les facteurs clefs de criticit qui en ressortent sont les suivants :
Certaines entreprises sont nes de cette rvolution numrique et sont devenues des leaders
Economique : Depuis lan 2000, plus dune entreprise sur deux du classement Fortune 500 a
(Google, Apple, Facebook, Amazon) et dautres ont su se transformer (Accor, Michelin). Dautres,
disparu ou a fait faillite.
en revanche, nont pas russi prendre le virage du numrique (NOKIA, KODAK).
La condition sine qua non de mener bien sa transformation numrique rside dans
En tant que dirigeants, les impacts lis cette transformation doivent tre anticips et maitriss
lengagement indfectible du Dirigeant et de ses premires lignes.
et les investissements ncessaires raliss.

La mesure de la performance doit tre value de faon globale y compris sur la transformation
numrique de lentreprise.
Cette approche pousse dcomposer lanalyse de la performance par diffrents angles :
Stratgique : Le numrique nest pas un effet de mode. Il doit tre utilis comme le moyen de Comment dployer le numrique en tenant compte de la ralit du terrain ? Comment anticiper
redfinir loffre et lorganisation, et donc de piloter lentreprise autrement et plus efficacement les nouvelles tendances sur son march ? Les projets numriques sont-ils bien en prise avec
dans lconomie daujourdhui. Le numrique est au service de la stratgie de lentreprise. les dernires innovations ?
Comment lentreprise intgre-t-elle les volutions de son environnement dans son organisation ?
Concurrentiel : Sur de nombreux secteurs, la mise en place dune aide robotise, la mise
La veille sur les volutions technologiques est cruciale, car elle vite les dcalages.
en place dobjets connects, la meilleure connaissance des clients par la data permettent
daugmenter la comptitivit des entreprises et de mieux contribuer son cosystme. Quels sont les impacts des dcisions sur lenvironnement et sur lensemble des parties prenantes ? Le
Ce constat est important, car la bataille du rapport qualit/prix touche dsormais tous les numrique redistribue la valeur conomique en se concentrant davantage sur le service rendu
secteurs (mme nos secteurs de professionnels du chiffre) et devient une obligation cruciale au client final.
pour la survie des entreprises.
Quelles sont les mesures prises pour sassurer que les offres de lentreprise collent aux attentes
de ses clients ?
cologique : Lempreinte cologique fait dsormais partie de notre quotidien, tant sur le
plan personnel que professionnel. Laction cologique ne se limite donc plus au tri des dchets Comment sont mesures les performances oprationnelles des diffrentes lignes de produits
mnagers mais la dfinition au sein mme des entreprises dune vritable stratgie prenant et services ?
en compte la dimension cologique. Cette dimension impacte les nouvelles rglementations
qui permettent dsormais :
De stocker des justificatifs sous un format lectronique scuris plutt que la version papier ;
De fournir une comptabilit dmatrialise en cas de contrle ;
Denvoyer des factures dmatrialises plutt que par courrier ;
Etc
Ces volutions ne peuvent pas tre ngliges car elles ncessitent une transformation de la
culture des entreprises mais galement des approches de travail plus collaboratives. Elles ne
peuvent donc pas se conduire en quelques mois et doivent sinscrire durablement dans la
stratgie de chaque entreprise.
12 13
01
FICHE 01
OUVERTURE SUR
LA TRANSFORMATION NUMRIQUE
QUESTIONNAIRE
(Source : cahier 33 Mesure globale de la performance durable www.lacademie.info)
Enjeu / Interlocuteur Enjeu / Interlocuteur

Thme / Question Rponse attendue Thme / Question Rponse attendue
Risque associ concern Risque associ concern
Le DG, OUI OUI

Lentreprise a-t-elle mis en place un projet de Les volutions numriques intgrent-elles les

Continuit le marketing, - Mobilit - Plan daudit sur
transformation numrique dans les deux exigences de gestion des risques, de contrle
dexploitation la DSI, la DRH, - Vente multi canal _ Le DG, La DSI les projets de
dernires annes ? et daudit en lien avec les pratiques rglemen-
la DAF (clic and collect) transformation
taires et thiques ?
numrique
Est-ce que lentreprise a tudi les opportuni-
ts en matire de marketing, de connaissance Le DG, OUI
OUI
de ses clients, de cration de nouveaux Continuit le marketing, - Objets connects Les nouvelles pratiques commerciales
- Guidage du
services, de changement de Business Model, dexploitation la DSI, la DRH, - Rseaux sociaux numriques sont-elles revues systmatique-
parcours clients
damlioration des processus de production et la DAF ment en tenant compte des circuits multica- _ Le DG, La DSI
- Proposition
de logistique ? naux, de lintgration des rseaux sociaux et
dachats sur les
du Big Data ?
plateformes
Lentreprise est-elle accompagne dans ses
Fiabilit des donnes
projets de transformation par des experts/ DG OUI
Conformit OUI
consultants ?
Lentreprise dispose-t-elle dun plan dintgra- - Mise en place
tion des technologies dont elle aura besoin dAPI
Les responsables oprationnels ont-ils OUI
pour anticiper les volutions de son march - Schma
compris les enjeux et les contraintes du - Utilisation _ Le DG, La DSI
et se diffrencier de la concurrence (celui-ci directeur
numrique ? (nouveauts, changements de Continuit dactivit DG des outils
peut passer par des start-up, des quipes technique
relation inter-personnelles, rythme des collaboratifs
projets, des experts externes,.) - Open innovation
volutions , ...) - MOOC
OUI
Linformatique numrique dispose-t-elle de - Mthodes agiles OUI
Le DG, la DSI, Les processus sont-ils documents et partags
ressources spcifiques, en termes de finance, - Budget dinves- - Cartographie
Continuit dactivit Chief Digital au niveau de la Direction Gnrale et des
de gestion de la complexit, de maitrise de tissement Le DG, des processus
Officer dcideurs oprationnels en charge de loffre _
lagilit et des interactions, dquipes ? - Pizza team La DSI approche
et sajustent-ils avec lenvironnement grce au
transversale
numrique ?
Culture projet
OUI
Le parcours numrique du client est-il au - Mise en place OUI
Le numrique dveloppe-t-il une capacit
cur du pilotage de la performance opra- _ Le DG, la DSI du Big Data / - Dashboarding
nouvelle de suivi des objectifs de qualit, cots,
tionnelle (CRM,) ? Analytics _ Le DG, la DSI - Donnes de
dlais (agilit, vlocit ) des produits et
workflow
services ?
- Objets connects
OUI
- Application OUI
Laccs, la transformation et la diffusion des - RFID
GDPR (cf. fiche
donnes personnelles sont-ils pris en compte _ Le DG, la DSI - Golocalisation
donnes person- Le numrique amliore-t-il la gestion de la
dans les projets numriques ? - Drive dans
nelles) production, de la distribution et de la _ _
la grande
personnalisation de loffre ?
distribution
OUI Impression 3D
- Bureau dyna-
La culture de lentreprise est-elle propice la mique
_ Le DG, la DSI
transformation numrique ? - Innovation
favorise
POUR ALLER PLUS LOIN
Bibliographie :
LAcadmie des sciences et techniques comptables : Cahier 33 Mesure globale de la performance durable
La revue fiduciaire comptable n 450, juin 2017, La maturit numrique : signe de la performance de
lentreprise
14 15
02
FICHE 02
GOUVERNANCE
DES SYSTMES
DINFORMATION
Pourquoi parler de gouvernance des systmes dinformation (SI) ? Parce qu une poque o les
GOUVERNANCE DES SYSTMES DINFORMATION

systmes dinformation sont omniprsents et de plus en plus automatiss, leur alignement avec
les objectifs, lorganisation et les process de lentreprise, est un indicateur cl, voire le garant, de
la fiabilit de linformation et en particulier de linformation comptable et financire.
La gouvernance des SI recouvre de multiples dimensions.

Dans une perspective daudit, nous en avons retenu ici quatre :
GOUVERNANCE LES RLES ET RESPONSABILITS VIS--VIS DU SI

LA GOUVERNANCE DES DONNES
LE CONTRLE INTERNE DES SI
DES SYSTMES
LA COUVERTURE ET LA COHRENCE DU SYSTME DINFORMATION
RLES & RESPONSABILITS
DINFORMATION CONTEXTE ET ENJEUX
La rpartition des rles dans lorganisation et le pilotage du systme dinformation est un sujet
crucial au sein des organisations dans la mesure o elle conditionne la bonne matrise de
linformation qui est produite.
Comprendre les diffrentes fonctions de management des oprations lies aux applications
est un point central de lapprhension des risques, constitutif de linformation comptable et
financire.
NEP 315 : Connaissance de lentit et de son environnement et valuation du risque

danomalies significatives
16 17
02
FICHE 02
ANALYSE DES RISQUES ET CRITICIT QUESTIONNAIRE

A. ORGANISATION ET PILOTAGE
Le management des systmes dinformation fait partie intgrante du management de lentreprise.
Cest lune des composantes de la gouvernance des SI.
Interlo-
De manire globale, la direction gnrale est la propritaire du systme dinformation et doit Enjeu / Rponse Phase
Thme / Question cuteur
sassurer du bon fonctionnement de celui-ci mais aussi de sa prennit et ce compris de sa Risque associ attendue daudit
cible
bonne volution et de sa scurit.
Connaissance des parties
Au regard des risques comptables et financiers, cest le DAF qui porte in fine la responsabilit prenantes afin dappr-
de la validit et de lexhaustivit de linformation produite quelle que soit lassertion. Il revient Un organigramme de la fonction cier la matrise de :

cependant chaque propritaire dapplication ou de donnes, quil sagisse de fonction mtier ou informatique est-il formalis et actualis Rles et responsabilits DSI OUI Intrim
de manire rgulire ? des actions
transverse, de veiller la disponibilit de linformation produite. et des contrles
Sparation des tches
Afin de bien distinguer les deux fonctions :
Centralisation des
dcisions en lien avec la
Les propritaires dapplications sont responsables du correct fonctionnement stratgie de lentreprise
de lapplication, de ladquation aux besoins mtiers et de la continuit dexploitation. Le management de la fonction informatique
Mise en place DG OUI Intrim
est attribu une personne ddie ?
de points de contrle
Les propritaires de donnes sont responsables de lautorisation des accs, et de reporting par la
de lexactitude des traitements, de lintgrit des donnes et de leur disponibilit. direction
Si oui, qui est rattache hirarchiquement Identification

La distinction entre les deux fonctions nimpose pas une stricte sparation entre les deux rles de DG DG Intrim
cette personne ? du niveau de contrle
responsables dapplication et de responsable de donnes. Il convient en revanche que lauditeur
identifie bien lattribution de lensemble des rles pour chaque application et chaque donne, Matrise et coordination Comit
des actions de daudit ;
surtout dans le cadre dorganisation matricielle. Un responsable de la scurit informatique
sensibilisation et de DG audit Intrim
est nomm au sein de lorganisation ?
surveillance de la interne ;
De fait, les principaux enjeux et risques associs sont : scurit de linformation DG
Apprcier le niveau de
Chaque acteur doit tre identifi en lien avec ses attributions relles afin dapprhender Le directeur financier a dfini des points de
matrise du systme
contrle permettant de superviser la produc- DAF OUI Intrim
correctement les risques lis au systme dinformation. dinformation par le
tion de linformation comptable et financire ?
directeur financier
Les oprations, les risques et les contrles associs doivent tre rattachs des acteurs dment
nomms afin de ne pas laisser dinconnue ou de trous dans le systme de contrle interne.
B. MANAGEMENT ET RESPONSABILIT
En cas dincertitude, une absence de contrle ou une prise de dcision inapproprie pourrait
venir mettre en pril la chane de production de linformation comptable et financire. Interlo-
Enjeu / Rponse Phase
Risque associ attendue daudit
cible
Par ailleurs, la bonne identification des rles et responsabilits est indispensable lattribution
Les fiches de poste des collaborateurs en Matrise des RACI
des actions de surveillance et/ou de scurisation dans le cadre du processus damlioration
charge de la fonction informatique sont-elles Principe de non- DRH OUI Intrim
continue. formalises ? rpudiation renforce
Les fiches de postes des managers Matrise des RACI

prcisent-elles leur responsabilit Principe de non- DRH OUI Intrim
relative au systme dinformation ? rpudiation renforce
DAF, DSI,
Matrise du fonctionne-
Pour chaque application, un responsable DG,
ment des applications OUI Intrim
dapplication est-il nomm ? Direction
et de leur volution
mtier
DAF, DSI,
Matrise des inventaires,
Pour chaque donne critique, un propritaire DG,
des flux et des traite- OUI Intrim
de donnes est-il nomm ? Direction
ments de donnes
mtier
18 19
02
FICHE 02
GOUVERNANCE DES DONNES QUESTIONNAIRE
Pourquoi parler de gouvernance des donnes ? Parce que tout est donne ! Toute entreprise,
Enjeu / Interlocuteur Rponse
indpendamment de sa taille, de son activit ou de son volume daffaires, sappuie sur un SI. Thme / Question
Risque associ cible attendue
Son activit conomique est traduite comptablement en enregistrant des transactions dans des
livres comptables informatiss. Personne en charge
Fiabilit et intgrit des > identifier selon la
Les rfrentiels inclus dans le primtre de
donnes audites. Ex. : taille et lactivit de OUI
Raisonner donne ! laudit sont-ils uniques ?
fiche client en doublon lentreprise : DSI, DAF,
DG, autre

Un nombre
CONTEXTE ET ENJEUX Fiabilit et intgrit des limit
Qui est habilit crer, supprimer, mettre
donnes dutilisateurs
Toute information enregistre sur un support numrique est compose de donnes. jour les donnes rfrentielles (cration dun
Risque de fraude si la fonctionnels
nouveau fournisseur, modification dune
Les donnes peuvent tre regroupes en deux grandes familles : SOD nest pas respecte (mais pas un
fiche client, etc.) ?
individu
Les donnes rfrentielles : clients, fournisseurs, plan comptable, nomenclature, etc. unique)
Les donnes transactionnelles : factures, devis, bons de commandes, etc. Qui valide les spcifications lors dun projet Exhaustivit
(changement de logiciel comptable par Fiabilit
DAF
exemple) ? Comment sont formalises ces Ex : reprise de donnes
A lchelle de lentreprise, chaque type de donne doit tre identifie, enregistre et mise jour spcifications ?
de manire unique et adquate en regard de lactivit.
Fiabilit des donnes si
les rles et responsabili- La DG doit tre
Les donnes peuvent tre stockes sur des serveurs possds et/ou hbergs par lentreprise, ou ts ne sont pas dfinis implique sur ce
Cette responsabilit est-elle formalise dans
et/ou communiqus, ce point, quelle que soit OUI
bien lextrieur, comme dans le cas du SaaS ou du cloud. Dans ces cas, il convient de contrler une charte ou une politique dentreprise ?
qui introduit de la taille et lactivit
les dispositions de conformit et/ou les dispositions contractuelles. lambigit de lentreprise
> ncessit dun RACI
Exhaustivit (plan de
NEP ET TEXTES DE RFRENCE continuit dactivit)
Existe-t-il un registre de classification des Conformit
NEP 315 : Connaissance de lentit et de son environnement et valuation Responsables mtiers OUI
donnes ? Ex. : quelles donnes
du risque danomalies significatives sauvegarder, archiver et
restaurer en priorit ?
NEP 330 : Procdures daudit mises en uvre par le commissaire aux comptes
Disponibilit des
lissue de son valuation des risques Le logiciel comptable est-il hberg en donnes
interne ou bien est-il gr par un tiers, voire Conformit Selon cas
Doctrine professionnelle relative aux consultations entrant dans le cadre dans le cloud ? Ex. : clause
de diligences directement lies la mission de commissaire aux comptes portant dauditabilit
sur le contrle interne relatif llaboration et au traitement de linformation comptable Disponibilit des
(ex NEP 9080) Si le logiciel est gr par un tiers, les disposi- donnes
tions contractuelles prvoient-elles les Conformit OUI
conditions de mise disposition des donnes ? Ex. : clause
dauditabilit
Disponibilit des
Une gouvernance des donnes pas ou mal dfinie a des consquences directes sur la fiabilit donnes
Ces dispositions sont-elles testes et mesures
Conformit OUI
des donnes : rfrentiels clients, fournisseurs, comptables incohrents, incomplets, redondants, rgulirement ?
Ex. : clause
nomenclatures multiples, identifiants manquants, silotage entre applications, problmes dauditabilit
dinterfaces La piste daudit est directement impacte lorsque les donnes rfrentielles ne sont
pas sous une responsabilit unique et mise jour en fonction des besoins oprationnels ou Y a-t-il un projet GDPR dans lentreprise ? Conformit OUI
rglementaires.
Exhaustivit
Quelles sont les dispositions en matire de
Fiabilit
scurisation des donnes ? Sont-elles testes OUI
Risque de fraude
et quelle frquence ?
20 21
02
FICHE 02
CONTRLE INTERNE DES SI QUESTIONNAIRE
CONTEXTE ET ENJEUX Enjeu / Interlocuteur Rponse

Thme / Question
Risque associ cible attendue
Le contrle interne propre aux SI est appel contrles gnraux informatiques (ITGC ou
Information Technology General Controls en anglais). Ces contrles sont regroups en six Existe-t-il une matrice de dfinition des rles
Sparation des fonctions DSI OUI
familles principales qui couvrent le cycle de vie de la donne. utilisateurs dans lentreprise ?
La gestion des accs : infrastructure, applications, et donne, Analyse des comporte-

Les autorisations daccs font-elles lobjet de ments des utilisateurs

Le cycle de dveloppement applicatif, DSI OUI
revues qualitative et quantitative ? dans le cadre de la
La maintenance volutive et corrective, prvention des fraudes
La scurit physique des Data centers, Vrification des autori-

sations accordes en lien
Les procdures de sauvegardes et de restauration Les demandes dvolution sur le SI financier
avec chaque modifica-
sont-elles traces ? Si oui, comment ? DSI OUI
Les contrles lis lexploitation : rseau, OS, bases de donnes, mise en production Quel est le processus de validation ?
tion pour prvenir
lintroduction de biais
Dans le cadre des travaux de vrification, il est indispensable de considrer ces dimensions car dans les applications
le niveau de risque et de scurisation a un impact direct sur la fiabilit et lexhaustivit des Revue des rles et
donnes financires. responsabilits en lien
Qui met en production les dveloppements ?
avec la surveillance du DSI OUI
Suivant quelle procdure ?
respect de la sparation
NEP ET TEXTES DE RFRENCE des fonctions
NEP 315 : Connaissance de lentit et de son environnement et valuation Les procdures de sauvegarde sont-elles
du risque danomalies significatives formalises ? Si cloud, les clauses contrac- Garantie de reprise et de
DSI et DAF OUI
tuelles sont-elles conformes aux besoins de continuit dactivit
NEP 330 : Procdures daudit mises en uvre par le commissaire aux comptes lentreprise (RPO, RTO) ?
lissue de son valuation des risques Des tests de restauration sont-ils mens ? Sur
Garantie de reprise et de
quel primtre, avec quelles parties prenantes DSI et DAF OUI
continuit dactivit
Doctrine professionnelle relative aux consultations entrant dans le cadre et avec quelle frquence ?
de diligences directement lies la mission de commissaire aux comptes portant
sur le contrle interne relatif llaboration et au traitement de linformation
comptable (ex NEP 9080)
COUVERTURE ET COHRENCE DU SYSTME DINFORMATION
ANALYSE DE RISQUES ET CRITICIT
CONTEXTE ET ENJEUX
Un systme dinformation qui nest pas suffisamment scuris est expos plusieurs risques :
Le systme dinformation est lpine dorsale de lactivit de lentreprise dans la mesure o il
Non-respect de la SOD
supporte tout ou partie des processus mtier et de gestion.
Altration, modification de donnes et fraude Il est de fait indispensable de bien connaitre les zones de couverture du SI et les liens entre chacune
Non-conformit des applications. Cette connaissance doit galement tre mesure auprs du management de
Cyber attaque lentreprise.
Les risques ainsi supports par chaque zone du SI permettront didentifier en amont les
EXEMPLES principaux flux constitutifs de linformation comptable et financire.
SOD : capacit gnrer un ordre dachat et le valider, ou saisie dune facture fournisseur NEP ET TEXTES DE RFRENCE
et validation du paiement associ NEP 315 : Connaissance de lentit et de son environnement et valuation
Modification non trace dune squence de code en RPG (AS/400) qui modifie la rgle de calcul du risque danomalies significatives
sur une dprciation de stock.
GDPR : non respect des dispositions lgales prsentes et venir
Perte de donnes financires ou demande de ranon lies une attaque
22 23
02
FICHE 02
ANALYSE DE RISQUES ET CRITICIT
Chaque processus de lentreprise est traductible en information qui doit soit rpondre des
besoins de pilotage soit traduire la ralit conomique. QUESTIONNAIRE
Afin de bien comprendre le cheminement de linformation et les traitements quelle subit, il est
indispensable de bien recenser les diffrentes applications et de les rattacher chaque processus Interlo-
Enjeu / Rponse Phase
ou sous-processus. Thme / Question cuteur
cible
Par ailleurs, les dites applications sont galement plus ou moins interconnectes (ou interfaces) Mise en place de
C. Cohrence et volution du SI

laissant soit des zones de transfert et/ou de transformation des donnes, soit des zones de contrles automatiques
Si certains processus ne sont pas couverts par DSI et/ou
et scurisation des OUI Intrim
ruptures ncessitant des oprations de ressaisies manuelles. le systme dinformation, il est envisag de DAF
calculs et de laccs aux
linformatiser court ou moyen terme
donnes
Mise en place de
QUESTIONNAIRE C. Cohrence et volution du SI contrles automatiques
DSI et/ou
Les volutions mtiers sont prises en compte et scurisation des OUI Intrim
DAF
Interlo- dans le systme dinformation calculs et de laccs aux
Enjeu / Rponse Phase donnes
cible
Accs au donnes : Les
Personne D. Interfaces applicatives donnes sont scurises
Niveau dintgration du en charge Certaines interfaces reposent sur la gnra- et ne peuvent tre DSI et/ou
OUI Intrim
systme dinformation > identi- tion de fichiers de transfert stocks dans des accdes ni modifies DAF
fier selon rpertoires de travail ? dans le cadre de
A. Composantes du SI Nombre importants linterface
la taille et
Le systme dinformation est-il bas sur un dinterface contrler
lactivit OUI Intrim
ERP ? Intgrit et exhaustivit
Exposition la conta- de
gion des anomalies en lentre- des donnes : les
D. Interfaces applicatives
cas de faiblesse de prise : DSI, donnes issues des DSI et/ou
Les interfaces les plus critiques font lobjet de OUI Intrim
contrle DAF, DG, interfaces sont DAF
contrle manuels ou par analyse de donnes ?
autre compltes et nont pu
tre corrompues
A. Composantes du SI
Continuit dactivit et
Une dpendance forte existe entre les DSI et/ou
capacit dvolution du OUI Intrim
applications, les choix technologiques et les DAF
SI
choix dinfrastructures
Accs aux donnes :

fichiers extra-systme
A. Composantes du SI
peu scuriss DSI et/ou
Existe-t-il des applications dites priph- OUI Intrim
Intgrit : donnes et DAF
riques de type Excel ou Access ?
calculs ouverts et non
protgs
B. Connaissance du SI et couverture Connaissance des

fonctionnelle applications sources et
DSI et/ou
Une cartographie du systme dinformation des traitements OUI Intrim
DAF
est formalise et maintenue jour de manire Maitrise des risques lis
rgulire ? aux volutions du SI
B. Connaissance du SI et couverture Connaissance des

fonctionnelle applications sources et
DSI et/ou
Les flux ayant un impact sur linformation des traitements OUI Intrim
DAF
comptable et financire sont identifis ? Maitrise des risques lis
aux volutions du SI
Connaissance des
B. Connaissance du SI et couverture
applications sources et
fonctionnelle DSI et/ou
des traitements OUI Intrim
Une matrice de couverture des processus par DAF
Maitrise des risques lis
les applications est renseigne
aux volutions du SI
24 25
03
FICHE 03
CONTRLE
DES ACCS
CONTEXTE ET ENJEUX
En informatique, le droit daccs est, dune faon gnrale, le droit ncessaire un utilisateur
pour accder des ressources : ordinateur, donnes, imprimante, etc.
Les bonnes pratiques recommandent daccorder le minimum de droits, en fonction des besoins
daccs des utilisateurs (rgle dite du need to know ou besoin de connatre )
Les droits daccs visent :
garantir une scurit des actifs (code secret, mot de passe, cls, etc.)
CONTRLE DES ACCS

un niveau de scurit appropri pour les transactions qui requirent lutilisation dun systme
dinformation (comptabilisation dune opration, dclenchement dun paiement, approbation, etc.)
CONTRLE En consquence, les accs et leur contrle constituent un lment du dispositif de contrle
interne de lentit. Le pilotage des accs au patrimoine applicatif de lentit dpend la fois du
DES ACCS
service des ressources humaines (connaissance du profil et du niveau de responsabilit) et de
la DSI (connaissance des outils et de leurs fonctionnalit), ce qui suppose une communication
permanente pour une mise jour des profils utilisateurs et droits daccs correspondant en
fonction de lvolution des effectifs (entres / sorties) au sein de lentit.
POINTS DATTENTION PARTICULIERS :
Faire le lien avec la cartographie des principaux systmes dinformation qui concourent
la construction des tats financiers (logiciels comptables, logiciels de gestion, logiciels mtier)
Prendre en considration lexistence dun environnement informatique ouvert (ERP)
Tenir compte de la volumtrie des transactions et du nombre dintervenants sur un ou
plusieurs cycles
Prendre en compte lincompatibilit des fonctions de dveloppement informatique, de tests
et dexploitation.
26 27
03
FICHE 03
CONTRLE DES ACCS
NEP ET TEXTES DE RFRENCES ILLUSTRATION SUR LE CYCLE DES ACHATS :
NEP 240 : Prise en considration de la possibilit de fraudes lors de laudit des comptes
NEP 250 : Prise en compte du risque danomalies significatives dans les comptes rsultant Droit daccs requis Faible Moyen Elev
du non-respect des textes lgaux et rglementaires
NEP 265 : Communication des faiblesses du contrle Changer un taux de TVA 3
NEP 315 : Connaissance de lentit et de son environnement et valuation du risque danomalies
Dclencher un paiement 3
significatives
NEP 330 : Procdures daudit mises en uvre par le commissaire aux comptes lissue de Crer / modifier / supprimer un RIB fournisseur
son valuation des risques
3
Norme ISO CEI 27001 : Gestion de la Scurit des Systmes dInformation Autoriser un investissement 3
COBIT : Control Objectives for IT (rfrentiel de gouvernance des Systmes dInformation)
Passer une commande 3
ANALYSE DES RISQUES ET CRITICIT Contrler une rception 3
CONTRLE DES ACCS

DROITS DACCS ET SPARATION DES TCHES (SOD)
Comptabiliser une facture 3
Le droit daccs un actif, une ressource ou un systme dinformation doit par principe tre
proportionnel au niveau de responsabilit et la place dans une organisation hirarchise. Il Lettrer un compte fournisseur 3
doit par ailleurs prendre en compte laspect relatif la sparation des tches pour, quel que
soit le niveau de droit daccs autoris, viter une situation dauto-approbation, contraire aux Saisir une rception 3
principes lmentaires du contrle interne.
Scanner une information 3
Pour rappel, les avantages lis une sparation des tches satisfaisante rsident dans la
facilitation de la dtection des erreurs (involontaires ou frauduleuses).
Plus lorganisation de lentit est complexe (flux, SI, sites, etc.), plus la matrice de sparation des ILLUSTRATION SUR LE CYCLE DES VENTES :
tches est complexe et plus son suivi et sa mise jour requirent une volumtrie de travail
leve et rgulire dans le temps.
Droit daccs requis Faible Moyen Elev
En consquence, plus le niveau hirarchique est lev / important, plus le niveau de droits
daccs est lev, comme lillustrent les quelques exemples prsents ci-aprs pour les principaux Changer un taux de TVA 3
cycles.
Autoriser un avoir / une remise 3
Crer / modifier / supprimer un RIB client 3
Crer / modifier / supprimer une fiche produit / article 3
Raliser / contrler une opration dencaissement 3
Effectuer / contrler un tat de rapprochement
bancaire 3
Faire une relance client 3
Lettrer une balance auxiliaire / balance ge 3
Valider une expdition 3
28 29
03
FICHE 03
CONTRLE DES ACCS
nt
ie
G
ts
/B
cl
nt
en
s
re
e
ie
em
A
ch
cl
tB
ct
rs
fi
ss
e
fa
oi
en
pt
i
ne
nt
ca
av
m
s
ie
u
de
en
d
co
d
Cl
POINTS DATTENTION PARTICULIERS :
nt
CYCLE DES VENTES
ch
on
on
s
n
e
de
e
ie
ro
io
ag
nc
si
si
cl
at
pp
i
is
is
tr
iv
la
B

Em
Em
t
Ra
Su
Re
Le
Cr
RI
Les tches incompatibles entre elles par nature requirent de disposer de droits daccs
spars et/ou distincts.
1 Cration dune fiche client
Le CAC doit procder une apprciation de ladquation entre les droits daccs octroys et
la prise en compte de la sparation des tches au sein de lentit. Cette apprciation doit en 2 RIB client
outre se fonder sur la connaissance acquise de lenvironnement de contrle interne.

3 Emission des factures
Les deux matrices suivantes illustrent les tches incompatibles entre elles pour le cycle des
4 Suivi des encaissements
achats et le cycle des ventes. Elles sont un exemple concret des tches qui ne doivent pas tre
ralises par les mmes personnes.
5 Lettrage compte client
Toutefois, lorganisation de lentit et le jugement professionnel du commissaire aux comptes 6 Emission davoirs
doit tre pris en considration pour adapter ces matrices lenvironnement applicable (NEP 315).
7 Rapprochement BA / BG
CONTRLE DES ACCS

8 Relance client
r
e
eu
ir
ca
ss
r
eu
an
eu
ni
DROITS DACCS ET RISQUE DE FRAUDE (NEP 240)

ur
ss
tb
ss
de
G
ni
ni
fo
/B
en
an
ur
ur
ur
e
A
e
m
ch
fo
fo
ss
tB
he
m
fi
ni
e
Pour rappel, la fraude se dfinit comme une erreur intentionnelle et le CAC, lors des phases
e
r
en
co
ur
oc
pt
eu
e
r
un
ou
m
r
ct
em
de
ss
pp
de planification et de ralisation de laudit doit apprcier le risque danomalie significative

fa
tf
co
d
ni
ch
ra
on
CYCLE DES ACHATS

en
io
le
on
ur
ge
ro rsultant de fraude.
de
ti
r
t
m
fo
ti
ep
ra
sa
pp
nt
a
ie
at
tt
c
B
Co
Ra
R
Pa
Pa
Le
Cr
RI
Lenvironnement informatique, la volumtrie des flux et transactions et tous les lments du

1 Cration dune fiche fournisseur
dispositif de contrle interne sont par essence des lments qui doivent tre pris en compte par
le CAC lors de son apprciation du risque de fraude. Quelques exemples de fraude dont lorigine
2 RIB fournisseur
est un dysfonctionnement en termes de droit daccs une application informatique :
3 Passation de commande Paiement dclench tort dans un ERP ayant entran une sortie trsorerie significative
Fraude au Prsident
4 Rception Cration dun salari fictif / fournisseur fictif dans un systme informatique
5 Contrle facture fournisseur Les droits daccs au patrimoine applicatif de lentit sont une composante essentielle de
lenvironnement de contrle interne
6 Paiement fournisseur
Outre le respect de la sparation des fonctions des utilisateurs, une rgle essentielle en matire
7 tat de rapprochement bancaire de contrle interne informatique impose de sparer galement strictement les fonctions de
dveloppement informatique, de tests et de production.
8 Lettrage compte fournisseur
9 Rapprochement BA / BG POINT DATTENTION PARTICULIER :
Le risque associ au non-respect de cette rgle serait la cration et lutilisation de fonctions

RISQUE SIGNIFICATIF secrtes, connues du concepteur des applications, qui en est galement lutilisateur, et
permettant la fraude.
RISQUE MOYEN
RISQUE ACCEPTABLE
30 31
03
FICHE 03
CONTRLE DES ACCS
QUESTIONNAIRE QUESTIONNAIRE
Les points ci-aprs sont issus, pour la plupart, de la norme ISO27002 (systme de gestion
de la scurit de linformation).
Enjeux / Interlocuteur Rponse Enjeux / Interlocuteur Rponse

Question Question
Risques associs concern attendue Risques associs concern attendue
Lorganisation audite a-t-elle document sa Tout quipement (ordinateur, tablette,

Accs non autoriss, smartphone), connect au systme dinforma- Accs non autoriss,
politique de contrle daccs et tient-elle DG OUI DSI OUI
fraudes tion a-t-il fait lobjet dune procdure fraudes
jour une matrice des autorisations ?
formelle et pralable dapprobation ?
Concernant la gestion des droits daccs :
- Qui dcide de lattribution / retrait des droits Liste limite Accs non autoriss, vol
Le rseau wifi est-il connect au rseau de
daccs ? Accs non autoriss, de dcideurs de donnes, sabotage, DSI NON
DG, DSI production ?
- Qui saisit la cration / suppression des droits fraudes et dopra- fraude
CONTRLE DES ACCS

daccs ? teurs
Les points daccs au systme dinformation
Accs non autoriss, vol
Une procdure formelle dattribution /retrait (serveurs, postes de travail, imprimantes,
de donnes et de
des droits daccs par utilisateur est-elle Accs non autoriss, DG, DSI, chefs scanners) font-ils lobjet dune scurit DSI OUI
OUI matriel, sabotage,
dfinie, avec circulation dinformations entre fraudes de services physique approprie (porte avec verrou et
fraude
les services concerns ? badge dentre, surveillance, camras) ?
Si connexions distantes, depuis lextrieur,

Lattribution des droits daccs se fait elle par : Aucun accs existe-t-il des mesures de scurit compl-
de donnes, sabotage, DSI OUI
- Aucun accs sauf autorisations explicites Droits daccs trop larges sauf mentaires, comme authentification deux
DSI fraude
Ou Fraudes autorisation facteurs, limitation adresses IP entrantes?
- Accs tout sauf interdictions explicites spcifique
Les ressources de lentreprise, accessibles en
ligne par le public, font-elles lobjet de
de donnes, sabotage, DSI OUI
OUI, rgle- mesures de scurit spcifiques, rgulire-
fraude
ment ment audites ?
Les utilisateurs ont-ils linterdiction de Accs non autoriss, intrieur,
divulguer, communiquer, partager leur mot fraudes DG charte Analyses
de passe ? informatique Les journaux de connexions sont-ils examins :
Dtection des tentatives rgulires,
signe par les - rgulirement ? DSI
de piratages. alertes
utilisateurs - Les checs de connexion sont-ils analyss ?
automatiques
Les mots de passe ont-ils une obligation de Politique de

Accs non autoriss, Existe-t-il une politique de chiffrement des
complexit (longueur mini, 3 types de DSI OUI Vol de donnes, accs chiffrement
fraudes donnes sensibles (mots de passe, supports DSI
caractres diffrents) non autoris, fraude dfinie et
nomades) ?
respecte
Les postes de travail se verrouillent-ils Dans la liste des utilisateurs du SI, les comptes
Accs non autoriss, Supervision
automatiquement aprs quelques minutes DSI OUI dadministration ont tous les droits.
fraudes Accs non autoris, des comptes
dinutilisation? - Comment ces comptes sont-ils superviss ? DSI
fraude dadministra-
- Leurs actions sont-elles enregistres et
tion
surveilles ?
Les fonctions de dveloppement informatique,

de tests et dexploitation sont-elles spares, Fraude DSI OUI
avec du personnel diffrent ?
32 33
04
FICHE 04
CONDUITE
DE PROJETS
CONTEXTE ET ENJEUX
Pourquoi parler de conduite de projets ? Parce quen moyenne, 30% du budget dune entreprise
est consacr des projets. Cela participe de lvolution, de ladaptation et de la transformation
de toute entreprise relatif aux systmes dinformation en croissance ou non. Les projets SI ont
trs souvent un impact direct ou indirect sur les tats financiers. Le pilotage des projets et leur
russite ou leur chec peuvent avoir des consquences graves sur lactivit de lentreprise.
CONDUITE DE PROJETS
Vis--vis des projets, le CAC doit donc sassurer dau moins deux choses :
CONDUITE
En termes dapproche : le(s) projet(s) a(ont) t men(s) selon les rgles de lart et respecte(nt)
un cadre de contrle interne suffisant
En termes de donnes : les donnes et tats financiers impacts ou produits lissue du
DE PROJETS
projet sont exhaustifs, fiables, et correctement comptabiliss.
Quest-ce quun projet ? Un projet est une entreprise temporaire dcide, engage et finance
dans le but de crer un produit, un service ou un rsultat unique.
Exemples : conception dun nouveau vhicule, mise en place dun ERP. Le projet impacte
plusieurs dimensions de lentreprise, quil sagisse de process, dorganisation, de SI ou des trois
la fois, ce qui est bien souvent le cas.
De manire triviale, on peut comparer un projet un chantier de construction de maison

( noter quune grande partie du vocabulaire li au SI est hrit du monde du BTP). Il sagit
de connatre le besoin, de le spcifier fonctionnellement, puis techniquement, de construire
ldifice, de tester, puis de valider la conformit avant de lhabiter.
Sagissant daudit, les projets les plus directement impactants sont ceux touchant le SI financier,
que cela soit dans le cadre dun changement de logiciel, dune migration de version, dune
intgration ou dune cession dactivit. Ce sont l les exemples les plus vidents, mais cela ne
signifie pas que les autres projets ne concernent pas le CAC !
34 35
04
FICHE 04
CONDUITE DE PROJETS
Un projet se pilote et sarticule autour de trois dimensions fondamentales, assorties de plusieurs

attributs : QUESTIONNAIRE
Le livrable (ou solution) : cest le rsultat atteindre qui se dcline en plusieurs livrables
intermdiaires. Exemple de livrables : mise en place dun nouveau logiciel comptable,
Rponse
migration de version, rorganisation de la fonction financire, dfinition dun processus de
Interlo- attendue
reporting dans le cadre dun rachat. Enjeu / Phase
Thme / Question cuteur ou
Risque associ daudit
Le budget attribu au projet, qui doit tre pilot pour respecter le business case dudit projet. cible lments
collecter
Le planning : la dure prvue du projet et la date arrte pour le dmarrage de la solution
cible.
Implication suffisante
Autour de ces trois dimensions structurantes, il est indispensable de piloter les composantes du Quels sont les projets en cours ou prvus Liste des
des quipes DSI, DAF Intrim
au cours de lexercice fiscal ? projets
projet : primtre, ressources, risques, conformit et tiers externes, etc. comptabilit/finance
Une
Impact rponse
NEP ET TEXTES DE RFRENCE Ces projets ont-ils un impact sur les process
sur la certification DAF claire et Intrim
et/ou les tats financiers ?
des comptes argumen-
NEP N/A te
CONDUITE DE PROJETS
PRINCE2, PMBOK, COBIT5
Toutes
Ambigut sur le les parties
Pour chaque projet, une charte a-t-elle t
rsultat attendu et les prenantes
crite, partage et accepte par les parties oui Intrim
ANALYSE DE RISQUES ET CRITICIT rles et responsabilits et en
prenantes ?
des parties prenantes particulier
DAF et DSI.
Le RACI est un outil de formalisation des rles et responsabilits pour chaque partie prenante au
projet. Cet outil est indispensable pour tablir les attendus vis--vis de chaque partie prenante Dbut
et ainsi lever toute ambigut dans les processus de dcision. dexercice
Primtre de laudit DAF
Quelle est la date cible de livraison du projet ? ou en Intrim
Cut-off et DSI.
cours
R : Responsable, ou Ralisateur dexercice
A : Approbateur ( accountable en anglais)
Ambigut sur le
C : Consult Existe-t-il un RACI ? Si oui, a-t-il t formalis rsultat attendu et les Sponsor du
I : Inform OUI Intrim
et communiqu toutes les parties prenantes ? rles et responsabilits projet
Il ne peut y avoir quun seul A par tche. des parties prenantes
DAF, DG
Equipe ou toute
EXEMPLES Impact sur les process comptable personne
Qui valide les spcifications et de quelle et/ou les tats finan- DAF ayant
Intrim
manire ? ciers (ex. : refonte de la Equipe lautorit
Directeur cl comptable) projet de valiser
Description de lactivit DAF DSI Intgrateur
comptable les process
cibles
Tche 1 A R C I
Equipe
Tche 2 R A C I comptable
Qui valide la reprise de donnes et Exhaustivit, fiabilit,
avec DAF, DG Intrim
Tche 3 C R A I de quelle manire ? intgrit des donnes
responsabi-
lit du DAF
Tche 4 I R C A
Cut-off
La mise en production du nouveau logiciel
Reprise des encours en Equipe Dmarrage
comptable a-t-elle lieu au dmarrage du Intrim
Les phases du projet : cours dexercice projet si possible
nouvel exercice ou bien en cours dexercice ?
Comme nimporte quel chantier, un projet est dcoup en phases logiques. Lenchanement, la
dure et lordonnancement de ces phases varient en fonction de la mthodologie utilise (cycle Sponsor suffisant en
Le DAF participe-t-il effectivement au comit
en V, agile, hybride,). Mais leur nature demeure identique afin de respecter un ordre logique de termes de manage- DAF OUI Intrim
de pilotage ?
ment
conception : Expression du besoin > modlisation dtaille > paramtrage > tests > cycle
de validation de conformit > mise en production.
A chaque phase correspondent des risques spcifiques, (cf. tableau pour exemples).
36 37
04
FICHE 04
CONDUITE DE PROJETS
Rponse
Interlo-
Enjeu / attendue Phase
Risque associ ou lment daudit
cible
collecter
Rponse
Interlo-
Conformit Enjeu / attendue Phase
Si migration vers une solution cloud, le ctt Equipe projet Thme / Question cuteur
Dlai daccs aux Risque associ ou lment daudit
prvoit-il les clauses ad hoc (auditabilit, DAF Oui Intrim cible
donnes sur demande collecter
rversibilit, GDPR) ? Juridique
du CAC.
Phase : Recette
Cahier de
Retard du projet. Quelle est lorganisation de la recette en
DAF, DC, recette
Phase : cadrage Complexit dun DAF, termes de :
Oui Intrim respon-
Le planning est-il raliste ? dmarrage en cours DSI Recetteurs
Fiabilit des processus sable PV de Intrim
dexercice. Donnes de recette
fonction- rception
Remonte et traitement des anomalies
nel dment sign
Dtection et communica- (outil de ticketing)
tion des risques projet. Formalisation de lacceptation
Phase : cadrage Equipe projet
Rles et responsabilits
Un PAQ a-t-il t crit et valid par les parties DAF Oui Intrim Absence de sponsor
des parties prenantes.
prenantes ? DSI Conduite du changement Implication insuffisante
Arbitrage.
CONDUITE DE PROJETS
Gestion des litiges. Quelles sont les actions de communication des utilisateurs.
et daccompagnement ? DG Dmarche Intrim
Oui + Quelle est la rpartition de ces actions sur Echec du projet
Non respect des rgles le planning projet ? Inadquation de
demander
de gestion, des proc- la solution.
Phase : Spcifications Equipe projet laccs
dures et des principes de
La dfinition des processus est-elle conforme Utilisateurs aux Intrim
sparation des fonctions. Risque de perte de
au besoin ? spcifications
Non conformit traabilit de linforma-
fonction- Phase : mise en production
tion. Perte daccs aux Politique
nelles Quelle est la politique darchivage DAF Intrim
informations utiles formalise
de lhistorique ?
Phase : Paramtrage Non respect des rgles lactivit ou rglemen-
La solution est-elle utilise dans sa version de gestion. DAF Proportion tairement requises.
standard ? Difficult de mainte- DSI de Intrim
Sinon, quelle est la proportion de dveloppe- nance de migration customisations Scurit de lenviron-
ments spcifiques future. nement informatique :
Phase : support post-production risque de perte de
Exhaustivit et fiabilit Quelle est lorganisation en place pour traiter matrise dans les Description
des donnes : risque de les anomalies et rpondre aux questions des processus de gestion de
Intrim
Phase : Paramtrage dficience des mca- DSI utilisateurs pendant et aprs la mise en des anomalies, des DSI lorganisation
Combien y a-t-il dinterfaces entrantes et nismes dalimentation et Equipe projet Cartographie production (n.b. : sujet concernant galement incidents, de la du support
Intrim la recette et la conduite du changement) scurit de lapplication
sortantes autour de la nouvelle solution ? de dversement des technique des interfaces
Quel est le niveau dintgration global ? donnes en entre et en et de lexploitation
sortie de la nouvelle informatique
application.
Documentation
Stratgie La documentation lie au projet est-elle
Phase : Tests Chef de projet suffisante en qualit et en quantit. Auditabilit du projet DG, DAF, Accs la
Exhaustivit de tests Intrim
Quelle est la stratgie de tests ? DSI, Exemples : expression des besoins, planning, Conformit DSI documentation
Fiabilit des donnes Intrim
Sur quel volume de donnes sont-ils raliss ? responsable note de cadrage, spcifications (fonction-
Rgression fonctionnelle Scnarios
Qui a rdig les scnarios ? informatique nelles et techniques), cahier de recette,
de tests
Exactitude de la
Documenta-
Risque dexhaustivit et comptabilisation des Dtail de la
tion
dintgrit des donnes cots lis au projet comptabilisa-
Conservation Amortissement
Phase : Reprise de donnes reprises dans le nouveau (opex vs. capex). DG, DAF tion des Intrim
Equipe projet des lments Le projet fait-il lobjet dun amortissement ?
Nettoyage des donnes reprendre systme. Run/build et risque de dpenses
DAF/DC techniques Intrim
Transcodification des rgles et rfrentiels finir le projet en bascu- lies au projet
Equipe SI temporaires
comptables Exactitude des schmas lant les cots en TMA.
(base pivot,
comptables, exhaustivit,
fichiers
auditabilit. Subventions
intermdiaires) Correcte imputation En fonction
Le projet fait-il lobjet dun CIR ? DG, DAF Intrim
des subventions de la rponse
Le DAF participe-t-il effectivement au comit Sponsor suffisant en

DAF OUI Intrim
de pilotage ? termes de management.
38 39
05
FICHE 05
UTILISATION
DES OUTILS DAUDIT
DE DONNES
CONTEXTE ET ENJEUX
UTILISATION DES OUTILS DAUDIT DE DONNES

La prise en compte de lenvironnement informatique par le commissaire aux comptes est
un facteur cl de russite des missions daudit, en particulier lorsque lentit auditer a un
recours extensif aux applications informatiques et lorsquelle est confronte une volumtrie
UTILISATION de transactions importante.
Les outils informatiques daudit de donnes facilitent le travail du commissaire aux comptes
DES OUTILS
et permettent une atteinte plus aise de lassurance raisonnable ainsi quune documentation
approprie de lapproche daudit par les risques.
DAUDIT
En outre, cest un moyen de rpondre au risque de fraude tel quil est dfini dans la NEP 240.
Plus la volumtrie des transactions est importante, moins lapproche substantive (tests) est
pertinente
Plus la volumtrie des transactions est importante, plus lutilisation doutils adapts
DE DONNES
lanalyse des donnes est pertinente.
NEP 240 : Prise en considration de la possibilit de fraudes et derreurs lors de laudit des
comptes
NEP 250 : Prise en compte du risque danomalies significatives dans les comptes.
Le CAC doit senqurir auprs de la direction du respect des textes et prendre connaissance
des correspondances reues des autorits administratives et de contrles. On ne peut pas
obliger le client fournir le FEC.
NEP 265 : Communication des faiblesses du contrle interne
NEP 315 : Prise de connaissance de lentit et de son environnement.
Cela implique notamment lenvironnement rglementaire et numrique.
NEP 330 : Procdures daudit mises en uvre par le commissaire aux comptes lissue de
son valuation des risques
40 41
05
FICHE 05
Les principaux outils du march (Caseware Idea et ACL) sont une rponse approprie la mise
en uvre par lauditeur de lanalyse des donnes. Le maniement de ces outils reste adapt un
professionnel nayant pas ncessairement de formation informatique spcifique.
QUESTIONNAIRE
Les fichiers sources possibles :
Fichier des Ecritures comptables (FEC) : lutilisation du FEC comme fichier source
possible dun outil danalyse de donnes permet une vrification exhaustive des critures Enjeux Interlocuteur
Thme / Question Rponse attendue

et Risques associs concern
comptables enregistres par lentit en ce compris les critures manuelles (OD). A ce titre,
leur analyse devient plus aise avec la possibilit de faire des tris et slections sur la base Obtenir la cartographie des SI de lentreprise : Cartographie claire
de critres jugs pertinents par le commissaire aux comptes (jour et heure, personne identifier les applications et les interfaces Ne pas identifier les DSI, des diffrents
habilite, montant, etc.). grant les donnes entrant dans le primtre SI sources de Directeur logiciels et ERP
de laudit de lexercice et compte tenu de linformation comptable utiliss par le client
Fichier contenant les critures comptables au format texte, excel, ou base de donnes. votre analyse des risques financires ou DG et des exports
possibles de donnes
Ces formats dexport sont prsents chez tous les diteurs de logiciel et dERP. Lutilisation
de ce type dexports ncessite une bonne matrise dans le traitement des fichiers car des Sur la base de votre analyse des risques, de
Rponses obtenir :
- Liste des accs
retraitements sont, la plupart du temps, ncessaires avant deffectuer une analyse laide la cartographie des SI et des conclusions de
aux donnes et
dun des logiciels cits prcdemment. votre revue du contrle interne, dterminer :
procdures
- les risques couvrir DSI,
- Contrle du
Fichier contenant des donnes oprationnelles (stocks, factures, expditions, rfrentiels). - les fichiers et champs obtenir Comprendre les Directeur
caractre inaltrable
- la nature de contrle raliser donnes disponibles comptable
Ces donnes vont permettre lauditeur de valider les procdures de contrle interne, dtecter des donnes saisies
- les formats de fichiers vous transmettre ou DG
- Liste des champs
des indices de fraude et tre un complment lanalyse des critures comptables. - les paramtres dextraction (bornes des
exportables
priodes, SI source, champs etc)
- Formats dexport autre
que PDF ou papier
Les fonctionnalits ncessaires des outils danalyse :
- Obtenir les mmes
Afin de permettre lanalyse des donnes intgres dans loutil, les fonctionnalits suivantes lments que ceux
Pour chaque contrle raliser, obtenez
ont t identifies comme ncessaires afin de rendre lanalyse pertinente et une restitution les informations suivantes :
prsents dans lERP
approprie des travaux au client : - Fichiers / donnes ou le logiciel
- le(s) fichier(s) source(s) ncessaire(s) DSI,
non conformes aux - Sassurer que les
Rcupration de donnes disponibles dans de multiples formats - les principes de codifications des champs Directeur
demandes fichiers sont bien
de codes (N client, darticle etc.) comptable
Tris et index - les totaux de contrles vous transmettre ou DG
exploitables et que
- Donnes invalides lensemble des
Slection denregistrements avec le fichier (nombre denregistrements,
donnes y sont
Jointures entre fichiers totaux retrouver etc.)
prsents
Analyses de corrlation
Fonctions de calcul des donnes (dates, chiffres, textes)
Contrles de conformit
Recherche de doublons, ruptures de squences numriques
Recherches en logique floue
Analyses statistiques
Stratification
Balances ges
Analyse selon la loi de Benford
Totalisations
Reprsentation graphique des donnes
Slection alatoire dun chantillon de donnes
Automatisation des contrles
Piste daudit
Les outils danalyse de donnes par lauditeur permettent galement une restitution des travaux
daudit novatrice auprs des clients. Ce sont donc des outils utiles de sensibilisation du chef
dentreprise en lien avec le risque de fraude ou de transaction non fonde.
42 43
05
FICHE 05
PERSONNEL
Modifications du fichier du personnel (quoi, qui, quand)

Rapprochement des feuilles de temps-badgeuses et rubriques des fiches de paie
Enjeux Interlocuteur Stratification des salaires par catgorie de personnel, ge, localisation, etc.
Thme / Question Rponse attendue
et Risques associs concern Recalcul des commissions sur ventes selon les contrats de travail
Numro de SS erron ou en doublon
Validation des fichiers transmis avant
analyse. Rapprochement feuilles de temps / badgeuses et fichier du personnel
Pour chaque fichier reu, vrifier les points
Sassurer de la bonne
Employs sans fiche de paie fiches de paie non rapproches avec le registre du personnel
suivants : Ecritures manuelles sur les comptes de personnel (tiers et charges)
conformit du
- conformit avec votre demande (priode,
- Fichiers / donnes fichier avant de Rglements multiples un mme employ le mme mois
champs, format des champs etc.)
non conformes aux DSI, raliser des tests plus
- rapprochement des totaux des champs
demandes Directeur approfondis. Pas de retenue des charges sociales ou errones
numriques avec les documents / totaux de
comptable Si non, demander de Employs sans volution de salaires N/N-1
contrles transmis
- Donnes invalides ou DG nouveaux fichiers en

- valeurs suspectes (valeur zro, montant Employs sans prise de congs ou insuffisants
investiguant les
ngatifs, dates hors priode, codifications
raisons de leur non Employs sans augmentation de salaire
hors normes)
conformit.
- contrles de cohrence (rpartition par
mois, jour de la semaine, valeur moyenne, FOURNISSEURS ACHATS
mini, maxi )
Totalisation des achats en quantit et en valeur par fournisseur, acheteur
Les diffrents Stratification des paiements et ceux proches des seuils de validation
fichiers analyss
Prparation des donnes pour lanalyse : Transactions avec montants arrondis
doivent sharmoniser
- harmoniser les champs entre les diffrents
fichiers obtenus (type de champ, format des
pour garantir une Pourcentage dappels doffres gagns par rapport aux appels doffres rpondus par fournisseur
bonne analyse.
dates /heures etc.)
- isoler les enregistrements atypiques DSI, CLIENTS VENTES - STOCKS
Fiabilit Par exemple : si les
pouvant perturber les analyses venir Directeur
et pertinence dates sont dans des
- identifier les travaux spcifiques mener comptable Stratification des factures de vente par tranches proches des seuils de validation
des tests raliss formats diffrents,
spcifiquement sur ces anomalies ou DG
lharmonisation est Rapprochement des adresses de livraison aux clients avec celles des employs de lentit
- identification et analyse des doublons
le seul moyen de
anormaux.
garantir lanalyse de audite et de ceux du groupe
Ajouter les champs calculer qui seront
100% des dates Recherche dencaissements clients non cohrents avec les factures (lettrage multiple et non par paire)
ncessaires aux tests venir
prsentes dans le Quantits en stocks excessives par rapport aux ventes de la priode
fichier.
Stocks darticles obsoltes
Mise en uvre des contrles :
Prsenter au client Calcul et analyse du prix unitaire par article
- raliser les tests tels que dfini durant
la liste des anomalies Ruptures de squence numrique et de dates (bons dexpdition, factures )
la phase de prparation
DSI, identifies en
- analyser chaque anomalie afin didentifier
Directeur expliquant les
les faux positifs. Conclusion errone COMPTES DE TRSORERIE
comptable enjeux. Transmettre
Transmettre la socit pour analyse les
ou DG les informations
anomalies identifies par les contrles mis Rupture des squences numriques des chques mis enregistrs dans les comptes bancaires
ncessaires
en uvre.
lanalyse par le client Rapprochement des critures comptables passes dans les comptes de trsorerie avec les flux
enregistrs par les banques
Contreparties anormales des critures dans les comptes de trsorerie
POUR ALLER PLUS LOIN Ecritures manuelles dans les comptes de trsorerie
EXEMPLES DAUDIT DE DONNES :

ETATS FINANCIERS
CONTRLES TRANSVERSAUX Rapprochement budgets/ralisations et analyse des carts

Calcul des variations N / N-1 et analyse des variations anormales
Schmas comptables atypiques (ventes/achats passs directement par comptes de trsorerie,
Recalcule des tats de synthse, balances gnrales depuis les critures dtailles et
critures de rgularisation)
rapprochement avec les tats publis, dclarations fiscales
Nombre dcritures de rgularisation ou dajustement par utilisateur
Ecritures manuelles passes le dernier jour de clture priodique ( test de 11H )
Rapprochement des comptes mouvements par des critures dindividus et leur dpartement /
Ecritures passes des dates, jours ou heures inhabituels (jours fris, le WE, hors heures
fonction de rattachement
douverture, jours de fermeture)
Recherche textuelle dans le libell des transactions / critures / notes de frais / mails
Ecritures manuelles dans des comptes usuellement mouvements par interface
Balances ges des comptes de tiers clients, fournisseurs, personnel, organismes sociaux, tat
Ecritures avec des montants multiples de 1 000, 10 000 etc.
Calcul de ratios financiers et comparaison avec ceux du secteur, comptes N-1
Ecritures manuelles dans des comptes normalement aliments automatiquement
Cohrence entre squences des numros dcritures et les dates comptables
Ecritures passes les derniers jours de clture de fin de priode
44 45
06
FICHE 06
PROTECTION
DES DONNES
PERSONNELLES
CONTEXTE ET ENJEUX
PROTECTION DES DONNES PERSONNELLES

Le Rglement gnral sur la protection des donnes du 27 avril 2016 dit RGPD (ou GDPR, General
data protection regulation) changera radicalement lapproche des entreprises en matire de
traitement des donnes personnelles. Pas de transposition nationale, il sera applicable tel quel
ds son entre en vigueur le 25 mai 2018. La Cnil a publi un FAQ sur comment les entreprises
doivent se prparer.
PROTECTION Le RGPD vise contraindre les entreprises prendre leurs traitements au srieux. En termes
de sanction financire, le montant pourra atteindre 20 millions deuros ou 4 % du chiffre
daffaires annuel mondial. Do un risque dimpact significatif sur les comptes des entreprises.
DES DONNES Lentreprise devient garante du respect de la vie prive. La dclaration pralable la Cnil est
supprime, remplace par lobligation de tenir un registre dans lequel sont consignes les mmes
informations que dans la dclaration. Lentreprise est responsable de la scurit informatique
PERSONNELLES ncessaire au respect de la protection des donnes.
Attention, linstar dautres rglementations, cest maintenant lentreprise de dmontrer quelle

est en conformit. Le RGDP introduit aussi une obligation de notification par les responsables de
traitement, en cas de violations de donnes caractre personnel. Ils doivent alerter la Cnil dans
les meilleurs dlais, si possible dans les 72 heures aprs en avoir pris connaissance.
Elle instaure galement lobligation de nommer un DPO (data protection officer) dans les
tablissements publics et les entreprises qui effectuent des traitements sur des donnes sensibles
ou des traitements grande chelle. La nomination est systmatique pour les entreprises de plus
de 250 personnes. Une clinique ou une socit de vidosurveillance dont le respect de la vie
prive est au coeur de son activit est concerne.
46 47
06
FICHE 06
PROTECTION DES DONNES
PERSONNELLES
ANALYSE DES RISQUES ET FACTEURS DE CRITICIT :
Risque de non-conformit avec des sanctions trs lourdes
Autres obligations, le privacy by design et le privacy by default . Le premier vise en cas de manquements aggravs.
prendre en compte le respect de la vie prive ds la conception des systmes dinformation et le
second vise par dfaut respecter un niveau trs lev de protection avant le lancement de tout QUESTIONNAIRE
nouveau traitement. Les risques datteinte au respect de la vie prive doivent tre analyss et des
analyses dimpact ralises et documentes lorsque les risques sont avrs. Rponse et
Thmatique Question Interlocuteurs
niveau de risque
Les citoyens de lUE doivent donner un consentement positif et explicite afin que leurs donnes
La socit effectue-t-elle des traite-
soient recueillies. Une personne peut solliciter la suppression de donnes personnelles dans RGPD applicabilit
ments sur des donnes sensibles ou CIL DPO DSI OUI
certains cas, comme par exemple lorsquun organisme recueillant des donnes nest pas conforme des traitements grande chelle ?
aux conditions prvues par le RGPD. Les personnes concernes doivent galement tre tenues Demande daccord
informes de toute violation de leurs donnes personnelles si tel tait le cas. Les citoyens de lUE Les donnes personnelles ont t
expresse sur les sites
PROTECTION DES DONNES PERSONNELLES

collectes de manire loyale, licite et
peuvent transfrer leurs donnes dun systme un autre, et ce sans que lorganisme contrlant Enqute de satisfaction
transparente ? CIL DPO DSI
Gouvernance / Localisation des Data
les donnes, reprsent par le dlgu la protection des donnes, ne puisse intervenir. Les dontologie
Lobjectif de la collecte et du traite- Directions
Center en Union
ment de la donne est-il lgitime ? mtiers
dlgus la protection des donnes devront explicitement fournir aux particuliers le dlai Europenne, sinon
Les donnes sont-elles accessibles en
de dtention de leurs donnes personnelles. De ce fait, les citoyens acquirent plus de droits accord de respect du
dehors de lUnion europenne ?
RGPD
leur permettant de contester des dcisions les concernant qui seraient bases sur un ensemble
dalgorithmes. Lentreprise elle-mme
Le(s) responsable(s) des traitements
est dsigne comme
ont-ils t identifis et peuvent tre
responsable des
Le rglement sappliquera la fois aux entreprises tablies dans lUnion europenne mais aussi sollicits en cas de demande par
traitements.
lintress ?
aux entreprises tablies en dehors de lUE qui traitent les donnes relatives aux activits des
La finalit du traitement, les catgo-
entreprises et des organisations de lUE. Les socits hors UE seront galement soumises au CIL DPO DSI Information expresse
ries et sources de donnes ont-elles
Information Directions Documentation des
rglement si elles ciblent les rsidents de lUE. Ainsi, une entreprise amricaine possdant une t portes la connaissance de
mtiers traitements et des
lintress ?
succursale au sein de lUnion (ou une entreprise faisant affaire avec des citoyens de lUnion Les droits attribus lintress
catgories de donnes
europenne) sera soumise ces mmes rgulations. Rponse aux demandes
lui-ont-ils t communiqus (accs,
deffacement.
rectification, opposition, effacement,
Portabilit des informations
portabilit) ?
Un transfert vers un pays tiers de donnes caractre personnel ne peut avoir lieu que si les au niveau des banques.
conditions dfinies par le rglement sont respectes par le responsable de leur traitement et
Accs non autoris, fraude La collecte
son sous-traitant. Ce point mrite des interprtations du G29 (rassemblement de toutes les CNIL Demande daccord
Autorisation des donnes a reu le consentement CIL DPO DSI
express
europennes). Les groupes internationaux ont en effet des difficults comprendre comment de son intress ?
rpartir leurs serveurs et leurs donnes. Les modalits du droit linformation Formalisation de
sont-elles tablies et appliques ? procdures
Lapplication du nouveau rglement devrait concerner les nouvelles applications. Les traitements Un registre des donnes et des Nomination dun DPO
traitements par finalit est formalis Tenue du registre
existants ne devraient pas avoir tre mis niveau pour mai 2018 . Des prcisions du G29 sont et tenu jour ? Nouveaux contrats de
ncessaires sur ce point. Les responsabilits en termes de sous-traitance
Management CIL DPO DSI
gestion des donnes personnelles dans Procdure de commu-
lentreprise et par les sous-traitants nication sur les
A noter que la CNIL et le G29 mettent rgulirement des interprtations et des recommandations sont-elles tablies ? informations voles
concernant le RGDP. En cas dincidents, un processus de pour les personnes
recensement et de communication concernes et la CNIL
LAFAI a ralis un modle de maturit des entreprises dans lapplication du RGDP. Les questions
est-il prvu ?
ci-aprs sont une synthse de ce modle.
Security by design, la scurit est-elle Prise en compte de la
TEXTES DE RFRENCE : prvue dans le cadre de la conduite de scurit et du respect
projet ? des donnes person-
NEP 250 : Prise en compte de risques danomalies significatives dans les comptes rsultants Les accs aux traitements et aux CIL DPO DSI nelles dans la
Scurit
donnes sont-ils tracs et analyss ? RSSI mthodologie projet.
du non respect des textes lgaux et rglementaires Des mesures spcifiques sont-elles Logs des traitements et
prises pour assurer la confidentialit, des accs.
NEP 315 : Connaissance de lentit et de son environnement et valuation du risque la continuit, lintgrit des donnes ?
danomalies significatives
Nouveau rglement europen sur la protection des donnes personnelles paru au journal POUR ALLER PLUS LOIN
officiel de lUnion europenne qui entrera en application le 24 mai 2018 AFAI : Modle de maturit www.isaca.org/chapters6/paris
CNIL : www.CNIL.fr
Acadmie des sciences et techniques comptables : cahier 28 Gouvernance des donnes
personnelles et analyse dimpact http://www.lacademie.info/content/download/9033/143186/
48 version/1/file/cahier+28_V2.pdf 49
07
FICHE 07
LGISLATION
FISCALE ET SI
CONTEXTE ET ENJEUX
Depuis le 01/01/2014, le contribuable doit satisfaire son obligation de reprsentation de

la comptabilit en remettant une copie des fichiers des critures comptables sous forme
dmatrialise rpondant aux normes fixes par larticle A. 47 A-1 du LPF. Cette modification
dans les changes avec ladministration fiscale nest pas sans danger pour les entreprises. Cette
rglementation sinscrit dans une politique de modernisation et dautomatisation du contrle
fiscal. Les contrles des professionnels doivent donc voluer de la mme manire.
LGISLATION FISCALE ET SI
Depuis 2014, ce sujet est approfondi, faisant apparatre de plus en plus denjeux :
- Importance de la numrisation des factures et de la fourniture dune piste daudit fiable
- Obligation de faire certifier son logiciel de caisse
- Fourniture du fichier FEC date la demande du vrificateur
LGISLATION
Pour lensemble de ces sujets, les socits sont trop peu informes, accompagnes et sensibilises.
FISCALE & SI NEP 250 : Prise en compte du risque danomalies significatives dans les comptes.
Le CAC doit senqurir auprs de la direction du respect des textes et prendre connaissance des
correspondances reues des autorits administratives et de contrles. On ne peut pas obliger le
client fournir le FEC.
NEP 315 : Prise de connaissance de lentit et de son environnement. Cela implique notamment
lenvironnement rglementaire et numrique.
Le respect des principes de tenue des comptabilits manuelles ou informatises constitue la
condition ncessaire du caractre rgulier, sincre et probant des comptabilits informatises
(BOI-BIC-DECLA-30-10-20-40-20131213 40).
Les livres comptables, la documentation comptable et les pices justificatives, doivent respecter
ces principes, qui ont leur traduction dans le FEC.
PCG, art. 921-3 : Le caractre dfinitif des enregistrements du livre-journal et du livre dinventaire
est assur, pour les comptabilits tenues au moyen de systmes informatiss, par une procdure
de validation, qui interdit toute modification ou suppression de lenregistrement.
Une comptabilit est dite informatise , ds lors quelle est tenue, mme partiellement, laide dune
application informatique ou dun systme informatis (BOFIP-BIC-DECLA-30-10-20-40- 30-13/12/2013).
Analyse des donnes comptables simplifies avec lexploitation du FEC :
Exhaustivit des analyses mme sur de grands volumes
Concentration des travaux sur les exceptions et anomalies dtectes
Amlioration de la documentation et de la valeur probante des travaux
Factures lectroniques :
Conservation pendant 6 ans (LPF art. 102 B) et restitution lidentique (CGI, annexe II - art.96 I bis)
Dclaration du lieu de stockage au SIE (LPF, L. 102 C) si stockage hors de France (dans un pays
ayant sign une convention dassistance mutuelle).
50 51
07
FICHE 07
ANALYSE DES RISQUES ET CRITICIT QUESTIONNAIRE

QUESTIONS SUR LE CONTRLE DU SI INDISPENSABLE
Sanctions en cas de remise dun FEC non conforme ou dabsence de remise dun FEC :
Amende de 5.000 par exercice non conforme (y compris lexercice en cours)

Enjeux / Interlocuteur Rponse
Si le montant des rectifications est plus lev, une majoration de 10 % des droits est mise Question
Risques associs concern attendue
la charge du contribuable
Rejet possible de la comptabilit Non-conformit /
DSI,
Numrotation des critures continue : plusieurs rejets de FEC pour absence de numrotation La dernire mise jour de votre logiciel est- Directeur
Amende et/ou rejet OUI
elle antrieure 2016 ? comptable
continue des critures. de la comptabilit
ou DG
Non-conformit / DSI,
Est-il possible de gnrer le FEC pour les Amende et/ou rejet Directeur
Les lments clefs connatre sur le FEC : priodes concernes ? de la comptabilit comptable
OUI
En cas de changement de logiciel en cours danne, il est possible de remettre le FEC de lexercice ou DG
concern sous la forme de deux fichiers distincts ; le premier fichier tant produit par lancien DSI,
Non-conformit /
logiciel et le second par le nouveau. Ces deux fichiers doivent tre remis de manire simultane La conformit formelle du FEC a-t-elle t Directeur
Amende et/ou rejet OUI
vrifie ? comptable
et respecter le format dfini larticle A. 47 A-1 du LPF. de la comptabilit
ou DG
Les principaux diteurs de logiciels comptables garantissent un FEC respectant la lgislation,
mais attention aux versions anciennes des logiciels qui ne sont pas forcment toutes FEC En cas de vrification formelle du FEC, NON
des anomalies significatives ont-elles t DSI, 1. Numro SIREN +
compatibles, les mises jour devant absolument avoir t faites. Non-conformit /
releves ? Directeur mention FEC + date de
Amende et/ou rejet
Il convient de faire attention aux logiciels de gestion, qui sont la plupart du temps accessibles 1. Le nom du FEC est-il conforme ? comptable clture de lexercice
de la comptabilit
en mode SaaS (via internet). Vous devez vous assurer quils respectent bien les normes du FEC, 2. Les champs obligatoires sont-ils remplis ou DG 2. 100% pour chaque
100% ? colonne
si ce nest pas le cas, en fin dexercice vous serez dans limpossibilit de gnrer votre fichier FEC !
Le logiciel doit ncessairement proposer soit un outil, soit une fonction permettant de gnrer OUI
un FEC. Si ce nest pas le cas, alors risque ! 1. Cohrence entre les dates
des pices comptables, de
Deux journaux diffrent ne doivent pas avoir le mme libell (exemple BQ1 = Banque et BQ2 = Banque). comptabilisation et de
Attention lutilisation de libells pouvant attirer lattention (anomalie, inexistant, ) Avez-vous vrifi la cohrence des donnes validation des critures
de votre FEC : 2. Vrifier si ces critures
Les cumuls ne peuvent pas tre repris sils proviennent dun fichier de type tableur.
nont pas t modifies
Les oprations doivent tre saisies en dtail. Le seul cas o la reprise dun cumul est possible est 1. Cohrence des dates entre elles et comprendre pourquoi
lorsque les cumuls proviennent dun logiciel mtier indpendant de la comptabilit. DSI, elles sont 0
Non-conformit /
2. Montant au dbit ou crdit nul Directeur 3. La liasse fiscale tant
Ladministration fiscale tolre que la date de comptabilisation soit la date mentionne sur la Amende et/ou rejet
comptable constitue partir de la
pice justificative. de la comptabilit
3. Le FEC cadre-t-il avec la balance gnrale ou DG balance gnrale, il est
Le CFCI (Contrle Fiscal des Comptabilits Informatis) est souvent sous-estim par les et avec la liasse fiscale ? important de valider la
cohrence des soldes de
entreprises, or il ne se limite pas la fourniture dun FEC mais sinscrit avant tout dans une 4. Les numros de comptes respectent-t-ils la balance avec ceux
dmarche de documentation du systme dinformation et dassurance de la continuit de la le PCG ? reconstitus partir du FEC
piste daudit 4. Les numros de
comptes doivent
Le CFCI englobe le FEC et lensemble des extractions des donnes oprationnelles prsents dans respecter les numros
le systme dinformation de lentreprise (Stocks, factures, ) dfinis dans le PCG
DSI,
Lorganisation comptable, les processus Non-conformit /
Directeur
comptables et le systme dinformation Amende et/ou rejet OUI
comptable
ont-ils t documents ? de la comptabilit
ou DG
DSI,
Les modalits de classement et darchivage Non-conformit /
Directeur
des pices justificatives (plan darchivage) Amende et/ou rejet OUI
comptable
sont-elles claires et crites ? de la comptabilit
ou DG
DSI,
Larchivage des factures lectroniques Non-conformit /
Directeur
permet-elle une consultation des pices Amende et/ou rejet OUI
comptable
pendant 6 ans ? de la comptabilit
ou DG
52 53
07
FICHE 07
QUESTIONS SUR LE CONTRLE DU SI APPROFONDISSEMENT
Enjeux / Interlocuteur Rponse Enjeux / Interlocuteur Rponse

Question Question
Risques associs concern attendue Risques associs concern attendue
La socit utilise-t-elle un logiciel standard

Non-conformit / DSI, Prsence dcritures ayant un compte de TVA Redressement fiscal DSI,
ou un ERP ? En cas dutilisation dun ERP, il est
Amende et/ou rejet de la Directeur comptable Standard dductible et un libell contenant voiture , et/ou rejet Directeur comptable NON
conseill de faire appel un spcialiste pour
comptabilit ou DG htel , cadeau de la comptabilit ou DG
analyser le FEC.
Redressement fiscal OUI

DSI,
La cohrence des dates et particulirement de et/ou rejet Les exports du
Directeur comptable OUI
la date de validation a-t-elle t vrifie ? de la comptabilit FEC et des
ou DG
donnes
La socit est-elle capable dextraire les Redressement fiscal DSI, opration-
La prsence dune numrotation continue et Redressement fiscal DSI, donnes oprationnelles en cas de demande et/ou rejet Directeur comptable nelles (Stocks,
chronologique des critures comptables et/ou rejet Directeur comptable OUI dans le cadre dun CFCI ? de la comptabilit ou DG factures, )
valides a-t-elle t vrifie ? de la comptabilit ou DG sont stocks
et scuriss
La saisie des critures comprend-t-elle la Redressement fiscal DSI, sur le serveur
rfrence aux pices justificatives (piste et/ou rejet Directeur comptable OUI de lentreprise
daudit) ? de la comptabilit ou DG
OUI
Redressement fiscal DSI, Le document
La concordance du FEC avec la dclaration
et/ou rejet Directeur comptable OUI doit
fiscale annuelle a-t-elle t vrifie ?
de la comptabilit ou DG permettre
didentifier
Redressement fiscal DSI, Redressement fiscal DSI, les clefs entre
Impossibilit de modifier ou supprimer les Une cartographie claire permet-elle didenti-
et/ou rejet Directeur comptable OUI et/ou rejet Directeur comptable les diffrents
critures comptables valides ? fier les liens entre les fichiers ?
de la comptabilit ou DG de la comptabilit ou DG fichiers afin
de garantir
Cohrence des dates entre elles et par rapport Redressement fiscal DSI, lintgralit
au calendrier des jours fris (anomalies de et/ou rejet Directeur comptable OUI de la piste
procdures ?) de la comptabilit ou DG daudit
Analyse des schmas dcritures utiliss afin Redressement fiscal DSI,

didentifier ceux ne respectant pas le PCG et la et/ou rejet Directeur comptable OUI
doctrine comptable de la comptabilit ou DG
Redressement fiscal DSI, POUR ALLER PLUS LOIN :

Recherche de doublons de factures ou de
et/ou rejet Directeur comptable OUI Bibliographie : Questions - rponses du groupe de travail entre lOrdre et la DGFiP sur le FEC
paiements
de la comptabilit ou DG
.Autres outils mis disposition : Smart FEC outil de la CNCC, en tlchargement sur son site
Redressement fiscal DSI, Lacadmie : le contrle fiscale informatis, comment sy prparer ?
Vrification du respect des dlais de paiement
fournisseurs et clients
et/ou rejet Directeur comptable OUI http://www.lacademie.info/evenements/les_conferences/cahier_n_20_le_controle_fiscal_
de la comptabilit ou DG informatise_comment_s_y_preparer
Redressement fiscal DSI,
Analyse de la caisse : mouvements suprieurs
et/ou rejet Directeur comptable NON
3 K ?
de la comptabilit ou DG
54 55
08
FICHE 08
EXPLOITATION
DES SYSTMES
DINFORMATION
EXPLOITATION DES SYSTMES DINFORMATION

CONTEXTE, PRIMTRE ET ENJEUX
Lexploitation des systmes dinformation est la fonction qui permet de maintenir lefficacit,
lefficience, la confidentialit, lintgrit, la disponibilit, la conformit, la fiabilit et la scurit
du systme dinformation, aussi bien dans ses lments matriels (serveurs, postes de travail,
smartphones, quipements rseau et tlcom) quimmatriels (logiciels standards, logiciels
spcifiques, systmes dexploitation, donnes).
EXPLOITATION LES BASES
DES SYSTMES
Les procdures dexploitation doivent tre documentes.
Les changements apports aux matriels, aux logiciels, aux systmes dexploitation doivent tre
contrls et approuvs.
DINFORMATION
Les fonctions et les quipements de dveloppement, de tests et dexploitation doivent tre
rigoureusement spars.
La prestation de services par des tiers doit tre encadre et gre.
Lvolution des besoins lis la croissance des volumes ou la modification des rgles de
traitements doit tre anticipe et planifie.
Lintgrit des systmes et la confidentialit des donnes doivent tre prserves par une
protection approprie contre les codes informatiques non autoriss et/ou malveillants, prsents
sur les quipements de lentreprise et sur les quipements personnels des utilisateurs, connects
au systme dinformation.
Les donnes doivent tre sauvegardes, au minimum tous les jours. Le bon fonctionnement
des sauvegardes est suivi selon une procdure formelle. Des tests de restauration sont mens
rgulirement.
La scurit des rseaux doit tre assure, par un contrle des quipements autoriss se
connecter et par un filtrage des donnes. Les connexions distantes, depuis lextrieur, font lobjet
de mesures de scurit complmentaires.
Les supports amovibles font lobjet dune procdure dautorisation et dun suivi, pour prserver
la confidentialit des donnes.
Les ressources de lentreprise accessibles en ligne par le public, font lobjet de mesures de scurit
spcifiques, rgulirement audites.
Lensemble des systmes fait lobjet dune surveillance, avec analyse rgulire et permanente des
logs et des alertes gnrs automatiquement par les quipements informatiques.
56 57
08
FICHE 08
EXPLOITATION
DES SYSTMES DINFORMATION
NORMES ET RFRENTIELS APPLICABLES QUESTIONNAIRE
NEP 240 pour la prise en compte de la possibilit de fraude, NEP 330 pour lvaluation du contrle Laudit de la fonction exploitation des systmes dinformation peut tre ralis en phase
interne, NEP 620 pour les experts tiers, SSAE18, SOC1, SOC2, ISAE3402 pour lexternalisation de dintrim.
tout ou partie du SI, ISO27001 pour la gestion de la scurit. Il faut commencer par identifier la ou les personnes en charge de lexploitation. Dans les petites
structures, les responsabilits et les tches lies lexploitation des systmes dinformation sont
peu ou mal dfinies. Par commodit, la personne en charge de lexploitation est dsigne DSI
ANALYSE DES RISQUES ET FACTEURS DE CRITICIT dans le questionnaire ci-dessous.

Les risques dcoulant dune fonction exploitation des systmes mal gre sont : interruption
des services, fraude, perte et vol de donnes, intrusion, perte de contrle des cots, inadaptation
des outils et dmotivation des utilisateurs
QUELQUES EXEMPLES Thme / Question Enjeu / Risque Interlocuteur Rponse attendue
Augmentation des volumes pas anticipe et pas de surveillance : Idalement : OUI

Les procdures dexploitation sont-elles Interruption de services,
DG, DSI Mais rare dans les
Saturation des disques et interruption de services. documentes ? fuite de donnes
petites structures
Pas de sparation des tches dveloppement/exploitation : Les changements apports aux matriels, aux
Inadaptation des outils
Cration de fonctions secrtes par le dveloppeur, dans les logiciels. Ces fonctions secrtes logiciels, aux systmes dexploitation sont-ils
informatiques, achats DG OUI
peuvent tre utilises par lui pour commettre des fraudes qui chapperont aux procdures de contrls et approuvs, selon une procdure
inutiles, perte de temps
formelle ?
contrle interne.
Pas de protection contre les codes informatiques non autoriss et/ou malveillants : Les fonctions de dveloppement, de tests et
Fraude DG OUI
dexploitation sont-elles spares ?
Dans un environnement fort enjeu de scurit et de confidentialit (par exemple bureau
dtudes dans une entreprise de haute technologie), un utilisateur pourrait chercher installer Idalement : OUI
Les quipements de dveloppement, de tests
un logiciel de contrle distance, pour voler des donnes en dehors des heures de travail, en Fraude DG Mais rare dans les
et dexploitation sont-ils spars ?
petites structures
toute discrtion. Risque aussi de virus sur les matriels personnels des utilisateurs.
Pas de scurit des rseaux : La prestation de services par des tiers est-elle Fraude, cots inutiles,
DG OUI
encadre et gre ? vol de donnes
Un rseau wifi connect au rseau de production est une porte ouverte pour les pirates. Casser
une cl wifi est un jeu denfant ! Fraude, cots inutiles,
Externalisation, sous-traitance, Cloud : les
vol ou perte de donnes,
Pas de suivi des sauvegardes et pas de tests de restauration : risques associs sont-ils valus et des clauses DG OUI.
interruption
de rversibilit sont-elles prvues ?
Cas frquent dune sauvegarde mal paramtre : le compte rendu affich indique : 0 erreurs de de services.
sauvegarde . La personne en charge du suivi est satisfaite. Mais juste au-dessus de 0 erreurs Lvolution des besoins lis la croissance des
Interruption
de sauvegarde , il est not 0 fichiers sauvegards 0 octets sauvegards ! En cas de panne ou volumes ou la modification des rgles de DG, DSI OUI
de services, cots
de vol du serveur, la perte de donnes est certaine. traitements est-elle anticipe et planifie ?
Pas de surveillance des logs ou des alertes : Existe-il un antivirus sur tous les quipe- Interruption de services,
DG, DSI OUI
Si un des deux disques en miroir sur un serveur est en panne, le serveur fonctionne quand ments de lorganisation audite ? vol de donnes
mme ! Si la panne du premier disque nest pas dtecte et remdie, la panne du deuxime
disque entrainera une interruption des services. Autre exemple : le journal de scurit du serveur
indique un chec de connexion, avec erreur de mot de passe, plusieurs fois par seconde. Cela
signifie un piratage en cours, avec recherche automatique du mot de passe par tests de toutes les
combinaisons de caractres possibles. Si ce piratage nest pas dtect, au bout de quelques jours
ou de plusieurs mois, le mot de passe pourra tre trouv par le pirate.
58 59
08
FICHE 08
EXPLOITATION
DES SYSTMES DINFORMATION
Thme / Question Enjeu / Risque Interlocuteur Rponse attendue Thme / Question Enjeu / Risque Interlocuteur Rponse attendue
Existe-t-il une gestion centralise et une Vol de donnes,

Interruption de services, La connexion Internet est-elle scurise par

remonte automatique dalertes pour les DG, DSI OUI interruption de services, DG, DSI OUI
vol de donnes un pare feu suivi et administr ?
antivirus ? fraude
Lexistence dun antivirus est-elle exige sur NON.

les quipements personnels des utilisateurs, Interruption de services, Si OUI, justifier
DG OUI Vol de donnes,
avant autorisation de se connecter au systme vol de donnes Le rseau wifi est-il connect au rseau de pourquoi et valuer
dinformation ? interruption de services, DG, DSI
production ? les mesures
fraude
de scurit
Tout logiciel prsent sur les quipements
compensatoires.
connects au systme dinformation a-t-il fait
Vol de donnes, fraude DG OUI
lobjet dune procdure formelle et pralable
dapprobation ? Si connexions distantes, depuis lextrieur,
Vol de donnes,
existe-t-il des mesures de scurit compl-
interruption de services, DG, DSI OUI
Perte de donnes, mentaires, comme authentification deux
Les donnes sont-elles sauvegardes automa- fraude
indisponibilit des DG, DSI Obligatoirement OUI facteurs, limitation adresses IP entrantes?
tiquement au moins une fois par jour ?
systmes
Les supports amovibles font-ils lobjet dune
Perte de donnes, Vol de donnes DG, DSI OUI
Le bon fonctionnement des sauvegardes est-il procdure dautorisation et dun suivi ?
indisponibilit des DG, DSI Obligatoirement OUI
suivi selon une procdure formelle ?
systmes Les ressources de lentreprise accessibles en
Vol de donnes,
ligne par le public, font-elles lobjet de
Perte de donnes, interruption de services, DG, DSI OUI
Des tests de restauration sont-ils mens mesures de scurit spcifiques, rgulire-
indisponibilit des DG, DSI Obligatoirement OUI fraude
rgulirement ? ment audites ?
systmes
Tout quipement (ordinateur, tablette, Les logs, les journaux, les alertes gnrs
Vol de donnes, Vol de donnes,
smartphone) connect au systme dinforma- automatiquement par les quipements
interruption de services, DG, DSI OUI interruption de services, DG, DSI OUI
tion a-t-il fait lobjet dune procdure informatiques font-ils lobjet dun suivi
fraude fraude
formelle et pralable dapprobation ? rgulier et permanent ?
60 61
09
FICHE 09
PLAN DE CONTINUIT
DACTIVIT
CONTEXTE ET ENJEUX
Le plan de continuit dactivit (PCA) doit permettre une entit la reprise et la continuit de ses
activits la suite dun sinistre ou dun vnement perturbant gravement son fonctionnement
normal. Il doit galement permettre lorganisation de rpondre ses obligations externes
PLAN DE CONTINUIT DACTIVIT

(rglementaires, contractuelles) ou internes (survie de lentreprise, risque dimage, risque de
perte de march etc.) et de tenir ses objectifs.
PLAN DE NEP ET TEXTES DE RFRENCE
A ce titre, les diligences du commissaire aux comptes en la matire sinscrivent dans le cadre des
CONTINUIT
NEP 315 et 570 relatives respectivement la connaissance de lentit et la continuit dexploitation.
Dans le cas dune externalisation du systme dinformation, un rapport ISAE 3402 est souvent
fourni par le prestataire informatique aux auditeurs pour leur permettre davoir une assurance
DACTIVIT
raisonnable sur les contrles effectus chez le fournisseur. Lanalyse de ce rapport constitue un
premier niveau de contrle mais des tests de procdures peuvent tre diligents pour conforter
cette analyse.
Pour cerner les facteurs de criticit dun PCA, lauditeur doit en connatre la dmarche
dlaboration. Elle sorganise gnralement en 5 tapes.
Etape 1 : Identifier les objectifs et les activits essentielles

Lors de cette tape, lentreprise a d identifier les activits qui sont ncessaires latteinte de ses
objectifs, prciser les apports de ces activits pour le fonctionnement de lorganisation et dcrire
les objectifs de chaque activit essentielle.
Etape 2 : Dterminer les attentes de scurit pour tenir les objectifs

Lors de cette tape, les besoins de continuit ont t recenss et formaliss. Il en existe 6 catgories :
disponibilit, intgrit, confidentialit, traabilit, volutivit et sret. La quantification du niveau
du besoin de continuit est effectue selon 3 indicateurs : niveau de service minimum, niveau
dindisponibilit minimum, ressources restant indispensables.
Les ressources restant indispensables ont d tre identifies avec prcision. Il existe 5 catgories
de ressources : infrastructures, systmes dinformation, ressources humaines, ressources
intellectuelles / informations et prestations externes.
62 63
09
FICHE 09 2. Dterminer les attentes de scurit pour tenir les objectifs
PLAN DE CONTINUIT DACTIVIT Thme / Question Enjeu / Risque Interlocuteur Rponse attendue
Les systmes de tlphonie, serveurs de

fichiers et messagerie ont-ils t intgrs dans Oprationnel DSI Prfrable
Etape 3 : Identifier, analyser, valuer et traiter les risques les systmes critiques de lorganisation ?
Le recensement des risques a t effectu suivant 4 catgories : risques de nature stratgique,
Les ressources critiques matrielles ont-elles
risques oprationnels, risques lis la gouvernance et risques juridiques. Lvaluation des risques Oprationnel DSI OUI
t prises en compte ?
a consist hirarchiser les risques en tenant compte de leur probabilit et de leur impact
Les niveaux de fonctionnement en mode Oprationnel/
potentiel sur les activits essentielles. dgrad sont-ils explicits ? Ont-ils t valids DSI OUI Prfrable
Les scenarii de sinistre prendre en compte ont t recenss. Ils ont t formaliss en indiquant en liaison avec les clients ? Image / Juridique
sil y a les mesures particulires de prvention, les impacts principaux sur lorganisation et ses
Les niveaux dgrads de prestations des
capacits, les indices permettant didentifier le dbut de la crise et les critres permettant de Oprationnel DG/DSI Prfrable
fournisseurs ont-ils t pris en compte ?
mesurer lampleur du sinistre.
Etape 4 : Dfinir la stratgie de continuit dactivit 3. Identifier, analyser, valuer et traiter les risques
Des objectifs de continuit ont t fixs compte tenu des besoins dans labsolu et des scenarii de
Thme / Question Enjeu / Risque Interlocuteur Rponse attendue
sinistre retenus. Ces objectifs portent sur les activits et donc sur les processus et les ressources
critiques. Lanalyse des risques a-t-elle permis didentifier
ceux contre lesquels il est prioritaire de se Oprationnel DSI Prfrable
Pour rpondre aux objectifs de continuit, les exigences sur les ressources ncessaires au PCA, y
PLAN DE CONTINUIT DACTIVIT

protger ?
compris celles des partenaires, ont t dfinies.
Le PCA prend-t-il en compte les risques
oprationnels pour lesquels linterruption
Etape 5 : Mettre en uvre et assurer lappropriation Oprationnel DSI OUI
dactivit rsulte de la perte de ressources
Aprs validation par la direction, le PCA a t transmis chaque responsable de ressource critique critiques ?
pour dfinir ce qui est attendu (disponibilit de certains composants, dlais de bascule etc.). Ces
Les partenaires susceptibles dtre concerns Oprationnel /
responsables ont d confirmer les modalits de mise en uvre : dlais, cots, arbitrages etc. qui par les scenarii ont-ils t identifis ?
DG/DSI Prfrable
Image / Juridique
ont t consolids pour validation par la direction. Il a t ensuite demand aux responsables
des processus concerns par les activits essentielles de dcliner les actions dans leurs propres
processus. 4. Dfinir la stratgie de continuit dactivit
Une cellule de crise a t dfinie : composition et gouvernance de la cellule de crise, procdures Thme / Question Enjeu / Risque Interlocuteur Rponse attendue
etc. Enfin, le maintien du PCA en condition oprationnelle a t prvu : vrifications priodiques,
exercices et entranement etc. La stratgie a-t-elle t valide par la direction ? Oprationnel /Image DG OUI
Les objectifs de continuit en mode dgrad

et pour la reprise dactivit sont- ils cohrents Oprationnel DSI OUI
QUESTIONNAIRE avec les scnarii de risques retenus ?
Lordre de priorit des procdures, des

1. Dfinir le contexte : identifier les objectifs et les activits essentielles
ressources, de la reprise et du basculement
Oprationnel DSI OUI
progressif sur les systmes normaux est-il
Thme / Question Enjeu / Risque Interlocuteur Rponse attendue identifi ?
Les exigences vis vis des partenaires Oprationnel /

La direction est-elle fortement implique ? Oprationnel DG OUI ont-elles t prise en compte de manire DG/DSI Prfrable
rciproque ? Image / Juridique
Un chef de projet dot des comptences, de

lautorit et de lautonomie ncessaire a-t-il Oprationnel DSI OUI
t nomm ? 5. Mettre en oeuvre et assurer lappropriation
Les objectifs, les activits essentielles,
les flux et les ressources critiques ont-ils t Oprationnel DSI OUI prciser Thme / Question Enjeu / Risque Interlocuteur Rponse attendue
identifis ?
Les actions de communication ncessaires au
lancement, lappropriation et la mise en Oprationnel DG/DSI OUI
Les flux entre les systmes dinformation
Oprationnel DSI Prfrable euvre du PCA ont-elle t prvues ?
supportant les processus ont-ils t cartographis ?
Les mesures mettre en uvre et les procdures

Oprationnel DG OUI
associes sont-elles simples et accessibles ?
Les personnels responsables sont-ils dsigns, Oprationnel

informs et forms aux procdures prvues DG OUI
dans le PCA ? Rglementaire
Les procdures de sauvegarde/rcupration et Oprationnel

moyens critiques du PCA sont-ils contrls DSI OUI
priodiquement ? Rglementaire
64 65
10
FICHE 10
CYBERSCURIT
CONTEXTE ET ENJEUX
La cyberscurit permet de lutter contre la cybercriminalit qui dsigne les dlits perptrs
distance par des systmes de communication comme Internet. La cybercriminalit concerne non
seulement les formes traditionnelles de criminalit, opres dans le cas despce via Internet,
mais aussi latteinte la confidentialit, lintgrit et la disponibilit des systmes dinformation.
LES DEUX CATGORIES DE CYBERATTAQUES
Elles peuvent tre distingues :

Lattaque technique par le canal internet : ces attaques exploitent une faille technique du
site web ou du rseau de lentreprise pour ensuite sintroduire dans son systme dinformation
CYBERSCURIT
ou installer des logiciels malveillants. Ce type dattaque ncessite des outils informatiques
capables de contourner les dispositifs de scurit du systme dinformation.
Lingnierie sociale : ces attaques exploitent les failles humaines, le maillon faible de la
CYBERSCURIT scurit informatique. Grce des techniques manipulatoires, les cybercriminels amnent
les collaborateurs de lentreprise compromettre la scurit du systme dinformation.
La cybercriminalit a toutes les caractristiques de la fraude telles que dfinies par la NEP-240.
Conformment cette norme, le commissaire aux comptes doit valuer les risques danomalies
significatives dans les comptes rsultant de ce type de fraude.
ANALYSE DES RISQUES ET FACTEURS DE CRITICIT
Les failles usuellement exploites par les attaques techniques concernent principalement la
scurit des applications Web. Trois raisons peuvent en tre lorigine :
1. La gestion incorrecte de lauthentification, des habilitations et du contrle daccs.
2. Linjection de donnes qui est une technique consistant insrer des donnes en entre dun
programme informatique afin de les dtourner de leur fonction dorigine.
3. Les fuites dinformation si les fonctionnalits ou composants internes une application ne
sont pas suffisamment cloisonns .
Certes lingnierie sociale tire profit de la navet et de la crdulit de ses victimes mais plusieurs
autres facteurs de criticit sont de nature favoriser ce type de cyberattaques :
1. La facilit daccs aux informations dcrivant lorganisation de lentreprise
2. Laccs aux informations personnelles des collaborateurs via les rseaux sociaux
3. Lutilisation par les collaborateurs de technologies non scurises
4. La complexit et la dcentralisation des organisations
5. Le nomadisme professionnel et le tltravail
6. Le manque dexemplarit des dirigeants
7. Et bien videmment, le manque de contrle interne et de formations associes.
66 67
10
FICHE 10
CYBERSCURIT
QUELQUES EXEMPLES RCENTS
Virus Cryptolocker
Un mail intitul relance facture impaye est envoy au comptable dune entreprise. Le
Aprs avoir analys la prise en compte des risques par la direction gnrale, lauditeur pourra se
document joint contient un virus qui va chiffrer toutes les donnes accessibles par lordinateur
consacrer lvaluation des dispositifs de prvention de lentreprise avec des questions telles que :
contamin et les rendre inutilisables. La cl de dchiffrement est fournie contre le paiement
dune ranon.
Fraude aux virements Thme / Question Enjeu / Risque Interlocuteur Rponse attendue
Un important groupe industriel franais a reu un avis de changement de RIB, expdi soit
disant par un fournisseur, juste avant le rglement dchances importantes. Cette escroquerie Existe-t-il une structure ddie la gestion
de la scurit de linformation : un comit scurit, un
a permis de drober 1,6 M la victime. Oprationnel DSI OUI
responsable de la scurit du systme dinformation
Espionnage conomique (RSSI) et des correspondants scurit dans les units ?
Un Ministre franais a fait lobjet dune intrusion informatique et dun vol de donnes. Le Existe-t-il une attribution claire des responsabilits
point de dpart a t louverture de fichiers contamins par des utilisateurs manipuls et pour la mise en uvre et le suivi des volutions Oprationnel DSI OUI
apporter en matire de scurit du SI ?
crdules.
Existe-t-il des procdures dautorisation de nouveaux
Oprationnel DSI OUI
matriels ou logiciels ?
QUESTIONNAIRE Existe-t-il des procdures applicables laccs aux

Oprationnel DSI OUI
CYBERSCURIT
informations par des tiers ?
Le contrle le plus difficile et le plus sensible est sans doute celui relatif la prise en compte
Existe-t-il des modalits de raction aux incidents de
des risques de cybercriminalit par la direction gnrale. Le plus difficile, car lexercice fait appel
scurit et aux dfauts de fonctionnement :
la subjectivit des dirigeants. Le plus sensible, car de cette prise de conscience dpendent les signalement rapide des incidents de scurit
Oprationnel DSI OUI
investissements informatiques et les mesures mises en uvre. Ce contrle peut tre men en signalement dysfonctionnements de logiciels
capitalisation sur la rsolution dincidents
phase dinterim.
processus disciplinaire
Les connexions distance sont-elles ralises de manire

Oprationnel DSI OUI
scurise ? (VPN par exemple)
Thme / Question Enjeu / Risque Interlocuteur Rponse attendue
Les changes dinformations sont-ils raliss de manire
Oprationnel DSI OUI
chiffre ?
La direction gnrale a-t-elle mobilis les
OUI
comptences requises pour comprendre les Oprationnel
DG en prcisant Les PC et les serveurs de lorganisation sont-ils tous
risques de cybercriminalit et dterminer si le Juridique Oprationnel DSI OUI
lesquelles protgs par un anti-virus ?
management prend les actions appropries ?
La direction gnrale bnficie-t-elle dun Lorganisation sassure-t-elle que tous les anti-virus sont
retour direct du responsable de la scurit Oprationnel jour et fonctionnent correctement ? Si possible de faon Oprationnel DSI OUI
pour lui expliquer en des termes opration- Juridique DG OUI centralise, sinon selon une procdure documente.
nels et stratgiques les cyberrisques et leur Image
Les rgles de contrle daccs sont-elles formalises dans
prvention ?
un format tout est interdit sauf plutt que
Oprationnel DSI OUI
Une attention suffisante est-elle aussi bien tout est permis sauf ?
consacre la dfense a priori contre les Ces rgles sont-elles transmises aux salaris ?
attaques quaux oprations de remise en tat Oprationnel
La gestion des mots de passe et les systmes de dconnexion
des systmes a posteriori ? Juridique DG OUI
automatique vrifient-ils les rgles suivantes :
La DG a-t-elle mis en place un reporting pour Image
tout compte utilisateur doit tre protg par un mot de passe ;
centraliser et suivre les diffrentes tentatives
engagement des utilisateurs ne pas divulguer leur mot
de fraude au sein de lorganisation ?
de passe ; ne pas crire leur mot de passe de faon trop
Les fonctions essentielles de lentreprise vidente ; ne pas stocker leur mot de passe dans une proc-
ont-elles t scurises pour prserver la Oprationnel DG OUI dure automatique ; changer leur mot de passe ds quils le
rsilience de lentreprise en cas dattaque ? souponnent dtre compromis ;
contrle quun mot de passe temporaire est envoy pour
Oprationnel DSI OUI
La DG a-t-elle mis en place une cartographie la premire utilisation et quil est bien chang par
des risques ? La DG a-t-elle identifi les lutilisateur ds la premire utilisation ;
scnarios possibles en fonction des types contrle que les mots de passe temporaires sont
Oprationnel transmis aux utilisateurs de manire sre ;
dattaques ? Les donnes sensibles sont-elles
Juridique DG OUI contrle que le systme impose un changement rgulier
identifies et protges ? Les plans dactions en
Image du mot de passe ;
cas de crise sont-ils effectivement mis jour en
fonction des volutions technologiques ou contrle que le systme impose le choix de mots de
oprationnelles ? passe robustes ;
dconnexion automatique en cas dinactivit prolonge.
68 69
N DE N DE
TERME DFINITION
FICHE PAGE
LAgence nationale de la scurit des systmes dinformation est un

service comptence nationale rattach au Secrtaire gnral de la
dfense et de la scurit nationale (SGDSN), autorit charge dassis-
ter le Premier ministre dans lexercice de ses responsabilits en
matire de dfense et de scurit nationale. Lagence assure la
mission dautorit nationale en matire de scurit des systmes
ANSSI 10 -*
dinformation. ce titre, elle est charge de proposer les rgles
appliquer pour la protection des systmes dinformation de ltat et
de vrifier lapplication des mesures adoptes. Dans le domaine de la
dfense des systmes dinformation, elle assure un service de veille,
de dtection, dalerte et de raction aux attaques informatiques,
notamment sur les rseaux de ltat.
Pour Applications Programming Interface , dsigne la program-

mation dune interface entre deux applications/logiciels/outils pour
API changer des donnes. Ce systme a pour but de faciliter les 1 15
changes dinformations entre diffrents outils pour faciliter
lexprience utilisateur.
Pour Advanced Persistent Threat . Une attaque furtive via le canal

APT 10 -
Internet ciblant une entit en particulier.
Programme informatique dissimul qui offre aux pirates un accs

Internet vers une machine cible, en toute discrtion. Ces backdoors
sinstallent rapidement, par nimporte quel utilisateur ayant accs
BACKDOOR lquipement informatique, ne serait-ce quune seule fois. Intrt : se 10 -
connecter lordinateur compromis afin de voler des donnes, ou
pour pivoter (action de se connecter une seconde machine
depuis la premire) et ainsi remonter dans tout le rseau.
GLOSSAIRE BIG DATA /

ANALYTICS
Le Big data est le terme qui dsigne les trs grands volumes de
donnes. La multiplication des donnes grer et stocker par les
entreprises donner naissance ce terme. Afin de matriser et
analyser ces volumes, il est ncessaire de faire appel des techniques
dAnalytics qui dsigne les techniques informatiques permettant de
1 14, 15
contrler ces donnes.
Le Big data Des espaces o les salaris nont plus de poste de travail
BUREAU
attitr ni despace personnel. On parle galement de salaris sans 1 14
DYNAMIQUE
bureau fixe .
Document permettant davoir une vision exhaustive et actualise en

permanence du SI de lentreprise : infrastructure, logiciels, dcoupage
CARTOGRAPHIE
fonctionnel, description des processus, interface etc. Il permet 2 et 5 24, 43
DES SI
galement de comprendre les interactions entre les diffrents
acteurs utilisateurs dpartement.
La Charte dutilisation des systmes dinformation sinscrit dans la

PSSI. La charte dfinit les rgles dusage des ressources informatiques
CHARTE dune organisation, dans le respect des lois et de la vie prive, pour
3 et 10 32
INFORMATIQUE protger les intrts de lorganisation et prciser les responsabilits
de chaque utilisateur. Le non-respect de cette charte engage norma-
lement la responsabilit personnelle de lutilisateur.
Un cheval de Troie est un logiciel en apparence lgitime, mais qui

Cheval de Troie contient une fonctionnalit malveillante. Le rle du cheval de Troie
10 24, 43
informatique est de faire entrer ce parasite sur lordinateur et de ly installer
linsu de lutilisateur.
CIL Correspondant Informatique et Liberts 6 47, 49
Ce terme dsigne laction de commander son produit en ligne et de

CLIC AND
le rcuprer dans un point de vente choisi. Ce procd a pour but de 1 14
COLLECT
limiter le temps dattente en caisse.
Le cloud computing, ou linformatique en nuage, est lexploitation de

20, 21, 23,
CLOUD la puissance de calcul ou de stockage de serveurs informatiques 2, 4 et 8
38, 59
distants par lintermdiaire dun rseau, gnralement internet.
70 71
N DE N DE N DE N DE
TERME DFINITION TERME DFINITION
FICHE PAGE FICHE PAGE
Le FEC doit rpondre un certain nombre de critre pour tre Fichier des Ecritures Comptables. Fichier informatique standard qui
conforme. Parmi les principaux critres le FEC doit contenir au peut tre export partir de nimporte quel logiciel comptable
minimum 18 colonnes (pour un BIC) dont la plupart doivent tre compatible avec la rglementation franaise et qui est exig par 41, 42, 51,
Conformit
renseignes 100%, le fichier doit tre au format texte, Lensemble 7 53 FEC ladministration fiscale en cas de contrle fiscal. Ce fichier est norm 5, 7 52, 53,
formelle du FEC
de ces critres sont lists dans larticle A. 47 A-1 du LPF et complts et doit respecter ces normes sous peine damende ou de rejet de la 54, 55
par les questions rponses publies sur le site de ladministration comptabilit. Il sera bientt dposer en mme temps que la liasse
fiscale. fiscale.
Pour Customer Relationship Management ou encore Gestion de la ou Groupe de travail Article 29 sur la protection des donnes (en
Relation Client en franais. Ce terme dsigne lensemble des sujets anglais Article 29 Data Protection Working Party) est un organe
G29 6 48
lis au marketing, support et relation client. On parle rgulirement consultatif europen indpendant sur la protection des donnes et
CRM 1 14
de logiciel CRM qui dsigne donc un logiciel permettant de suivre ou de la vie prive.
danimer la relation avec le client (gestion des devis, relances clients,
base dinformation client, support technique etc). General data protection regulation ou Rglement gnral sur la 14, 21, 22,
GDPR 1, 2, 4 et 6
protection des donnes du 27 avril 2016 (Rglement UE 2016/679). 38, 47, 49
Un crypto-verrouilleur ou ransomware est une classe de logiciel
malveillant. Ce type de ranongiciel se diffuse principalement via
De langlais Social Engineering . Ensemble des techniques de
des courriels infects, dguiss en factures. Une fois activ, il chiffre
manipulation consistant exploiter la faiblesse humaine dans le but
les donnes personnelles de lutilisateur avec une cl secrte stoc-
Ingnierie sociale dobtenir des informations sensibles. Les pirates trouvent par la 10 67
ke sur des serveurs pirates et demande une ranon (payable en
CRYPTOLOCKER 10 68 persuasion une faille qui mne vers une ressource convoite : mots
bitcoins ou par des services externes) pour les rendre nouveau
de passe, donnes bancaires, fichiers clients, brevets, etc.
accessibles. Le message dalerte saccompagne dun compte rebours
de 72 ou 100 heures qui menace de supprimer les donnes si la
Attaque technique par le canal Internet consistant insrer des
ranon nest pas paye. En fait, une fois arriv zro, il augmente Injection
donnes en entre dun programme informatique afin de le dtour- 10 67
fortement le montant de la ranon. de donnes
ner de sa fonction dorigine.
La cybercriminalit dsigne les dlits perptrs distance par des
Lier deux fichiers sur la base dun ou de plusieurs champs communs.
systmes de communication comme Internet. La cybercriminalit
Exemple : jointure entre le fichier des bons dexpdition avec les
Cybercriminalit concerne non seulement les formes traditionnelles de criminalit, 10 67, 68 Jointures entre
factures de vente sur la base du numro du bon dexpdition pour 5 42
opres dans le cas despce via Internet, mais aussi latteinte la fichiers
identifier les expditions non factures et les factures sans bon
confidentialit, lintgrit et la disponibilit des systmes dinformation.
dexpdition.
Rseau anonymis et encrypt, de plus ou moins grande taille, qui
Dmarche ne se basant pas sur une galit parfaite mais avec un
concurrence le Web. Le trafic y est souvent lent et les usagers
Logique floue degr variable de concordance. Exemple : Jean est comparable 5 42
insaisissables. Citons ainsi les rseaux Tor, I2P ou encore FreeNet qui
Jan .
DARKNET sont particulirement plbiscits pour leur capacit hberger des 10 -
services cachs ( hidden services ). Autrement dit, il sagit de sites Journal des vnements, enregistr automatiquement par un
Internet dont ladresse IP nest pas rfrence par les fournisseurs de Logs systme informatique (serveur, quipement tlcom). Prcieux pour 6 et 8
49, 57, 58,
noms de domaine (DNS Providers). le diagnostic des pannes et la dtection des anomalies.
61
Le dashboarding est lactivit ou le dispositif de cration de tableaux

Dsigne lensemble des mthodes qui permettent dans un projet de
de bord vocation commerciale ou marketing. Il est souvent visuel
DASHBOARDING 1 15 prendre en considration au maximum le besoin initial du client et
et permet une meilleure lisibilit dune situation et de lenvironne- Mthodes agiles 1 14
les contraintes quimpose le projet pour permettre une plus grande
ment afin de facilit la prise de dcision.
ractivit ses demandes.
Pour Data Protection Officer qui succdera au CIL compter de
Pour Massive Open Online Courses , dsigne les formations en
2018. Il sagit gnralement de lindividu en charge de la protection
DPO 6 47, 49 ligne ouvertes nimporte quel participant, autrement dit des cours
des donnes personnelles et du respect de la rglementation relatives MOOC 1 14
en ligne. Lavantage tant la possibilit de runir un grand nombre
ces donnes au sein dune organisation.
de personnes sans limite gographique.
Directeur des systmes dinformation. Il est responsable de lensemble
des composants matriels (postes de travail, serveurs, quipements de Innovation ouverte. Elle dsigne des modes dinnovation fonds sur
DSI rseau, systmes de stockage, de sauvegarde et dimpression, etc.) et Ensemble du document Open Innovation le partage et la collaboration dans les domaines de la recherche et du 1 15
logiciels du systme dinformation, ainsi que du choix et de lexploi- dveloppement.
tation des services de tlcommunications mis en uvre.
Le travail collaboratif dsigne un mode de travail qui ne tient pas
Pour Enterprise Resource Planning , dsigne les logiciels param- compte de lorganisation hirarchique traditionnel dans une
Outils
trables et adaptables lenvironnement de lentreprise. Ces logiciels entreprise. Les outils collaboratifs sont donc lensemble des outils qui 1 14
collaboratifs
font donc lobjet dun dploiement et dune adaptation aux contextes permettent de simplifier cet change collaboratif ou chaque partici-
24, 27, 31,
des entreprises. Ils sont donc plus ouverts que les logiciels standards 2, 3, 4, 5 pant peut donner son avis et dfendre son point de vue.
ERP 35, 42,
du march et doivent donc faire lobjet dun contrle renforc pour et 7
43, 54
sassurer quils respectent bien la rglementation et que certaines Le Plan de continuit dactivit sinscrit dans la PSSI. Le PCA doit
adaptations au contexte de lentreprise ne le rendent pas non permettre une organisation la reprise et la continuit de ses
conforme. activits la suite dun sinistre ou dun vnement perturbant
PCA gravement son fonctionnement normal. Il doit permettre lorgani- 9 63, 64, 65
La facture lectronique est dsigne par le fait de stocker une pice sation de rpondre ses obligations externes (rglementaires,
comptable sous la forme dmatrialise. Attention, cependant, ne contractuelles) ou internes (survie de lentreprise, risque dimage,
Factures pas confondre : il ne suffit pas de stocker une facture scanne ou au risque de perte de march etc.) et de tenir ses objectifs.
7 51
lectroniques format PDF pour quelle soit certifie facture lectronique . Il
existe des logiciels spcifiques qui garantissent la conformit de la
facture et son caractre inviolable.
72 73
N DE N DE N DE N DE
TERME DFINITION TERME DFINITION
FICHE PAGE FICHE PAGE
Pour Recovery Time Objective ou Dure maximale dinterruption

admissible. Cest le dlai de rtablissement dun processus, la suite
Dsigne la facilit avec laquelle le vrificateur peut remonter dune
RTO dun incident majeur, pour viter des consquences importantes 2 et 9 23
Piste daudit criture comptable la pice comptable dorigine. Cette piste
7 51 associes une rupture de la continuit dactivit. Il dfinit le temps
fiable daudit fiable ncessite dtre documente et de respecter un
allou pour faire le basculement vers le nouveau systme.
certain nombre de critres de stockage des documents.
Pour software as a service , ou logiciel en tant que service, est un
modle dexploitation commerciale des logiciels dans lequel ceux-ci
Concept dorganisation de projet informatique venant dAmazon. Il SaaS 2 et 7 20, 52
sont installs sur des serveurs distants plutt que sur la machine de
dfinit une taille idale de lquipe pour dvelopper un projet lutilisateur.
efficace : celle-ci ne doit pas dpasser le nombre que lon peut
Pizza team 1 14
nourrir avec deux pizzas, soit 8 personnes. Les membres doivent tre
Schma directeur du systme dinformation. Il planifie et organise
suffisamment nombreux pour que lquipe soit crative, mais pas au
sur le long terme les volutions du systme dinformation en accord
point que la cohsion et la communication se perdent.
SDSI avec la stratgie dentreprise pour aboutir un modle de dveloppe- -
ment optimal. Ce document de synthse est tabli par la direction
Le Plan de reprise dactivit sinscrit dans le PCA. Il permet, en cas de informatique et valid par la direction gnrale de lorganisation.
crise majeure ou sinistre, de pouvoir assurer les activits essentielles
en basculant, pendant une dure dtermine, sur un systme de
PRA
relve qui fournira les services ncessaires la survie de lentreprise.
9 - Pour Security Information Management System . Dispositif situ
De faon transitoire, pendant la bascule sur le systme de relve, le entre la priphrie et le cur du rseau local o sont hberges les
PRA peut autoriser une coupure intgrale du service. donnes sensibles. Loutil centralise et enregistre lactivit des
SIEM utilisateurs pour consultation ultrieure et traquer les vnements 10 -
qui surviennent. Le SIEM exploite le fait quune attaque informatique
Principe de non laisse toujours des traces au sein des diffrents journaux dactivits
rpudiation Capacit sassurer de lauthenticit de lmetteur dun message. 2 19 du systme.
renforce
Pour Segregration of duties ou sparation des droits et accs. Il
sagit de sparer les responsabilits entre plusieurs personnes afin
La Politique scurit des systmes dinformation est un plan dactions SOD dviter les risques de conflits dintrts et de fraudes. Une seule 2 et 3 21, 22, 28
et un ensemble de rgles dfinies par une organisation pour personne ne peut effectuer ou masquer seule des actions de fraude
PSSI 9 -
maintenir ses systmes dinformation un certain niveau de ou des erreurs.
scurit.
Le RACI est un outil de formalisation des rles et responsabilits Le canal tant une interface par laquelle le client passe lacte
pour chaque partie prenante au projet. Cet outil est indispensable dachat, le multi canal se caractrise par le fait de pouvoir vendre son
Vente multi canal 1 14
pour tablir les attendus vis--vis de chaque partie prenante et ainsi produit par plusieurs canaux (magasins, site e-commerce, application
lever toute ambigut dans les processus de dcision. pour tlphone).
19, 21,
RACI R : Responsable, ou Ralisateur 2 et 4 Un virus informatique est un automate autorplicatif conu pour se
36, 37
A : Approbateur ( Accountable en anglais). propager dautres ordinateurs en sinsrant dans des logiciels
C : Consult lgitimes, appels htes . Il peut perturber plus ou moins grave-
I : Inform ment le fonctionnement de lordinateur infect. Il peut se rpandre
par tout moyen dchange de donnes numriques comme les
Virus
Il ne peut y avoir quun seul A par tche. rseaux informatiques et les cdroms, les clefs USB, les disques durs, 10 58, 68
informatique
etc.
Pour Radio Frequency Identification , dsigne la technologie Les virus informatiques ne doivent pas tre confondus avec les vers
permettant de scanner des produits en masse sans avoir les voir ni informatiques, qui sont des programmes capables de se propager et
RFID 1 15 de se dupliquer par leurs propres moyens sans contaminer le
les toucher. Cette technologie didentification automatique permet
ainsi un gain de temps dans le stockage et la recherche de produits. programme hte.
Pour Recovery Point Objective ou Perte de Donnes Maximale Se dit dune faille dans un logiciel ou systme dexploitation qui na
Admissible. Cet indicateur dsigne la dure maximale denregistre- pas encore t publie sur Internet et qui, par consquent, nest
RPO ment des donnes quil est acceptable de perdre lors dune panne. Ce 2 et 9 23 Zero day connue que de quelques-uns. Ds lors, ces initis peuvent exercer un 10 -
critre dfinit ltat dans lequel doit se trouver le nouveau systme chantage en menaant les entreprises qui utilisent lapplicatif
aprs basculement. vulnrable de publier la faille sur des sites spcialiss.
* non prsent dans le document, donn titre informatif.
74 75
Laudit va disparatre... Nous parlons bien entendu de laudit traditionnel, le
papier crayon, qui subsiste encore chez certains de nos confrres mais dont
les centaines de milliers de donnes manipules par les entreprises leur
mnent la vie dure.
Notre profession se doit dvoluer pour continuer accompagner les
entreprises de plus en plus informatises et conserver le contrle des donnes
financires analyses dans un contexte de cas de fraude en croissance
permanente. Aprs une srie de confrences et formations sur le rle du
commissaire aux comptes dans la lutte anti-fraude organises entre 2015 et
2016, la CRCC de Paris, sous limpulsion de Frdric Burband, vice-prsident,
a dcid de crer le groupe de travail Audit informatique, en partenariat
avec lAFAI, qui rassemble des spcialistes du contrle interne informatique
et de lanalyse de donnes informatiques.
50, RUE DE LONDRES

75008 PARIS
01 53 83 94 33
WWW.CRCC-PARIS.FR

2017 - Guide Audit Informatique Vdef

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

2017 - Guide Audit Informatique Vdef

Transféré par

Droits d'auteur :

Formats disponibles

AUDIT

Conu en partenariat avec lassociation franaise de laudit et du conseil informatiques (AFAI),

AINSI QUAUX MEMBRES QUI ONT CONTRIBU LA RDACTION DE CE GUIDE :

RETROUVEZ LES MEMBRES DU GT ET POSEZ LEUR TOUTES VOS QUESTIONS SUR

LAUDIT INFORMATIQUE, CE NEST DONC PAS

EN QUOI EST-CE UN OUTIL OPRATIONNEL ?

OUVERTURE SUR LA TRANSFORMATION NUMRIQUE

Quest-ce que la transformation numrique ? La transformation numrique est la cration,

NEP ET TEXTES DE RFRENCE

NEP 315 : Connaissance de lentit et de son environnement et valuation du risque danomalies

Doctrine professionnelle relative aux prestations entrant dans le cadre de diligences de

Doctrine professionnelle relative aux prestations entrant dans le cadre de diligences de

ANALYSE DES RISQUES ET CRITICIT

OUVERTURE SUR LA TRANSFORMATION NUMRIQUE

Enjeu / Interlocuteur Enjeu / Interlocuteur

Le DG, OUI OUI

OUVERTURE SUR LA TRANSFORMATION NUMRIQUE

POUR ALLER PLUS LOIN

GOUVERNANCE DES SYSTMES DINFORMATION

La gouvernance des SI recouvre de multiples dimensions.

GOUVERNANCE LES RLES ET RESPONSABILITS VIS--VIS DU SI

RLES & RESPONSABILITS

DINFORMATION CONTEXTE ET ENJEUX

NEP ET TEXTES DE RFRENCE

NEP 315 : Connaissance de lentit et de son environnement et valuation du risque

ANALYSE DES RISQUES ET CRITICIT QUESTIONNAIRE

GOUVERNANCE DES SYSTMES DINFORMATION

Si oui, qui est rattache hirarchiquement Identification

Les fiches de postes des managers Matrise des RACI

GOUVERNANCE DES DONNES QUESTIONNAIRE

GOUVERNANCE DES SYSTMES DINFORMATION

CONTRLE INTERNE DES SI QUESTIONNAIRE

CONTEXTE ET ENJEUX Enjeu / Interlocuteur Rponse

La gestion des accs : infrastructure, applications, et donne, Analyse des comporte-

GOUVERNANCE DES SYSTMES DINFORMATION

La scurit physique des Data centers, Vrification des autori-

GDPR : non respect des dispositions lgales prsentes et venir

Perte de donnes financires ou demande de ranon lies une attaque

ANALYSE DE RISQUES ET CRITICIT

GOUVERNANCE DES SYSTMES DINFORMATION

Accs aux donnes :

B. Connaissance du SI et couverture Connaissance des

B. Connaissance du SI et couverture Connaissance des

CONTRLE DES ACCS

POINTS DATTENTION PARTICULIERS :

NEP ET TEXTES DE RFRENCES ILLUSTRATION SUR LE CYCLE DES ACHATS :

CONTRLE DES ACCS

outre se fonder sur la connaissance acquise de lenvironnement de contrle interne.

CONTRLE DES ACCS

DROITS DACCS ET RISQUE DE FRAUDE (NEP 240)

de planification et de ralisation de laudit doit apprcier le risque danomalie significative

CYCLE DES ACHATS

Lenvironnement informatique, la volumtrie des flux et transactions et tous les lments du

9 Rapprochement BA / BG POINT DATTENTION PARTICULIER :

Le risque associ au non-respect de cette rgle serait la cration et lutilisation de fonctions

Enjeux / Interlocuteur Rponse Enjeux / Interlocuteur Rponse

Lorganisation audite a-t-elle document sa Tout quipement (ordinateur, tablette,

CONTRLE DES ACCS

Si connexions distantes, depuis lextrieur,

Les mots de passe ont-ils une obligation de Politique de

Les fonctions de dveloppement informatique,

De manire triviale, on peut comparer un projet un chantier de construction de maison

Un projet se pilote et sarticule autour de trois dimensions fondamentales, assorties de plusieurs