Académique Documents
Professionnel Documents
Culture Documents
INFORMATIQUE :
TOUS CONCERNS !
10 FICHES PRATIQUES
POUR RUSSIR
AUDIT INFORMATIQUE : TOUS CONCERNS !
10 FICHES PRATIQUES POUR RUSSIR
ITO
D
VERS UN CAC 2.0 ?
La rvolution numrique provoque des nombreux bouleversements au sein de la socit,
transformant nos rapports entre citoyens, consommateurs, et dans la vie des entreprises. Avec
elle, sont apparus des risques nouveaux lis au traitement de masse des donnes via le Big Data,
sans parler de la cybercriminalit qui svit au quotidien auprs de tous les utilisateurs dinternet,
quel que soit leur qualit ou leur taille. Mais elle est galement synonyme de lavnement de
nouveaux droits, commencer par ceux protgeant les donnes personnelles.
Autant de sujets qui ont un impact sur notre mission de commissaire aux comptes dans le
cadre de lanalyse des risques, socle de notre rle au sein des entits auprs desquelles nous
intervenons.
Devenu un sujet denjeu stratgique pour toutes les entreprises, de la TPE la socit dont les
titres sont cots, la scurit et la prennit des systmes dinformation dune entreprise poussent
le CAC repenser sa mission.
Celle-ci volue donc pour aller vers un traitement des informations financires de plus en plus
pointu et important en termes de volumtrie.
Si vous lisez cet dito, cest que vous tes dj convaincu(e) que cette volution est une relle
opportunit pour notre profession.
Une monte en comptences techniques ? Oui, cela va sans dire ! Mais l o rside rellement
cette nouvelle opportunit, cest dans notre relation avec le chef dentreprise.
En effet, maitriser ou, a minima, savoir apprhender les questions relatives aux risques dans les
systmes dinformations renforce la plus-value de notre rle face au dirigeant.
Cest sous cet angle que le prsent outil a t pens : un guide dentretien pour aider votre client
rflchir son systme dinformation. Dans les structures ayant un directeur des SI, il vous
permettra dtre un interlocuteur privilgi auprs de ce spcialiste de la donne.
Si lobjectif de cet outil nest pas de vous transformer en spcialiste de laudit des SI, il a nanmoins
la vocation, qui nous est chre, de faire de vous des gnralistes clairs et vous dmontrer que
laudit informatique peut tre la porte de tous les professionnels.
Bien confraternellement,
CRCC DE PARIS - JUIN 2017
CONCEPTION GRAPHIQUE : ELONORE DE BEAUMONT Jean-Luc Flabeau,
IMPRESSION : COMPDIT BEAUREGARD prsident de la CRCC de Paris
3
AUDIT INFORMATIQUE : TOUS CONCERNS !
10 FICHES PRATIQUES POUR RUSSIR
GROUPE DE TRAVAIL
AUDIT INFORMATIQUE
RCI
DE LA CRCC DE PARIS
ME
NOUS ADRESSONS NOS PLUS SINCRES REMERCIEMENTS AUX CO PRSIDENTS
DU GROUPE DE TRAVAIL AUDIT INFORMATIQUE DE LA CRCC DE PARIS :
Frdric Burband
Vice-prsident de la CRCC de Paris, Saint-Honor Partenaires
Serge Yablonsky
Expert-comptable, commissaire aux comptes, prsident dhonneur de lAFAI et co prsident du GT
FRDRIC BURBAND SERGE YABLONSKY MATHIEU BARRET ALEXANDRE BERCOVY
Audit informatique de la CRCC de Paris
Mathieu Barret
Associ BMS Conseil, spcialis dans les missions de conseil et daudit informatis du FEC
Alexandre Bercovy
Directeur chez Deloitte Risk Advisory IS
Stphanie Benzaquine
Associe Mazars, Risk Advisory Securing Financial & IT Processes
STPHANIE BENZAQUINE VIRGINIE BOESCH ANNE DEFRENNE JEAN-MICHEL DENYS
Virginie Boesch
Directrice de mission, cabinet Exponens
Anne Defrenne
Directrice Risk Consulting, cabinet Exponens
Jean-Michel Denys
Managing Partner des activits de Consulting du cabinet CTF, Compagnie des Techniques
Financires
Christian Gabenesch
DSI cabinet FIDELIANCE et auditeur des systmes dinformation
Xavier Groslin
CHRISTIAN GABENESCH XAVIER GROSLIN JRME HUBER JEAN-PHILIPPE ISEMANN
Expert-comptable, commissaire aux comptes, Saint Honor Partenaires
Jrme Huber
Associ Mazars, spcialis dans les missions de conseil et daudit en Systme dInformation
Jean-Philippe Isemann
Associ RSM, responsable de loffre IT & Risk Advisory
Michel Retourn
Expert-Comptable, Directeur Rgional Expertise, Smaphores Expertise
5
AUDIT INFORMATIQUE : TOUS CONCERNS !
10 FICHES PRATIQUES POUR RUSSIR
TRO
INTRODUCTION COMMENT SENSIBILISER
LES PROFESSIONNELS ?
IN
AUDIT INFORMATIQUE, Data mining, Data processing, scurit informatique, FEC, contrle informatis
TOUS CONCERNS ! Un jargon de plus en plus courant dans nos changes, sans pour autant tre toujours
maitris. Le groupe de travail est donc l pour rflchir de nouvelles manires de
prsenter ces concepts et de les rendre accessibles de tous.
Notre groupe a donc travaill llaboration de ce recueil de fiches pratiques qui a pour
Laudit va disparatre... Nous parlons bien entendu de laudit traditionnel, le papier
objectif :
crayon, qui subsiste encore chez certains de nos confrres mais dont les centaines de
milliers de donnes manipules par les entreprises leur mnent la vie dure. dexpliquer clairement et simplement les techniques regroupes
Notre profession se doit dvoluer pour continuer accompagner les entreprises de sous le terme de data mining
plus en plus informatises et conserver le contrle des donnes financires analyses
de sensibiliser nos confrres lintgration des systmes dinformation
dans un contexte de cas de fraude en croissance permanente. Aprs une srie de
dans leur dmarche et lutilisation de ces techniques lors de leurs missions
confrences et formations sur le rle du commissaire aux comptes dans la lutte anti-
fraude organises entre 2015 et 2016, la CRCC de Paris, sous limpulsion de Frdric de dtailler les enjeux rglementaires lis
Burband, vice-prsident, a dcid de crer le groupe de travail Audit informatique, en dapporter des rponses et une mthodologie applicable directement
partenariat avec lAFAI, qui rassemble des spcialistes du contrle interne informatique dans leurs missions
et de lanalyse de donnes informatiques.
Par ailleurs, il est galement ncessaire de les sensibiliser au fait que la digitalisation
des processus de lentreprise est source de risques de perte de continuit dactivit ou
encore de perte dintgrit des donnes si celles-ci ne sont pas suffisamment scurises : QUE FAUT-IL RETENIR DE NOS TRAVAUX ?
soit parce que les accs aux systmes sont trop tendus, soit parce que les programmes
informatiques peuvent tre modifis sans contrle en amont. La transition numrique Le monde change, les entreprises voluent, nos mthodes de travail aussi. Notre groupe
actuelle lance par les pouvoirs publics (FEC, DSN, facture lectronique, Chorus) de travail est l pour apporter des rponses simples aux interrogations que suscite
nest donc pas un obstacle, mais bien lopportunit pour les professionnels que nous lintroduction des nouvelles technologies dans nos missions traditionnelles.
sommes, de donner du poids nos contrles. Aprs une prsentation lors dune formation, le 4 juillet 2017 la Maison de la chimie,
ce recueil de fiches a vocation tre diffus lensemble des professionnels inscrits
la CRCC de Paris puis consultable librement depuis notre site : www.crcc-paris.fr
6 7
AUDIT INFORMATIQUE : TOUS CONCERNS !
-
10 FICHES PRATIQUES POUR RUSSIR
M
TRO SO IRE
IN A
COMMENT UTILISER CE GUIDE ?
M
Ce guide est un outil oprationnel pour tout
commissaire aux comptes pour mesurer le niveau
de risques en matire de systmes dinformation et
douverture sur le numrique.
POURQUOI LUTILISER ?
Pour comprendre lorganisation et lutilisation de linformatique et du numrique par
FICHE 01 I Ouverture sur la transformation numrique 10
lentreprise et mesurer le niveau de risques afin de dcider sil faut aller plus avant sur
un ou plusieurs domaines. FICHE 02 I Gouvernance des systmes dinformation 16
FICHE 03 I Contrle des accs 26
10 DOMAINES ABORDS : FICHE 04 I Conduite de projets 34
10 QUESTIONNAIRES DE CONDUITE DENTRETIEN FICHE 05 I Utilisation des outils daudit de donnes 40
Il est recommand daborder tous les domaines avec son client. Nanmoins, chaque
FICHE 06 I Protection des donnes personnelles 46
fiche et chaque questionnaire peut tre utilis indpendamment.
Des versions Word des fiches seront tlchargeables sur le site de la CRCC de Paris. FICHE 07 I Lgislation fiscale et SI 50
FICHE 08 I Exploitation des systmes dinformation 56
FICHE 09 I Plan de continuit dactivit 62
STRUCTURE DU GUIDE FICHE PAGE FICHE 1 0 I Cyberscurit 66
GOUVERNANCE DENTREPRISE
GLOSSAIRE I 70
Ouverture sur la transformation numrique 01 10
Gouvernance des systmes dinformation 02 16
RISQUES OPRATIONNELS
Contrle des accs 03 26
Conduite de projets 04 34
Exploitation des systmes dinformation 08 56
Plan de continuit dactivit 09 62
Cyberscurit 10 66
ACTIVITS DE CONTRLE
Utilisation des outils daudit de donnes 05 40
Protection des donnes personnelles 06 46
Lgislation fiscale et SI 07 50
8 9
AUDIT INFORMATIQUE : TOUS CONCERNS !
01
10 FICHES PRATIQUES POUR RUSSIR
FICHE 01
OUVERTURE SUR
LA TRANSFORMATION
NUMRIQUE
OUVERTURE dautant que cette rvolution ne semble pas ralentir, bien au contraire.
Le numrique simpose comme un enjeu stratgique majeur pour les entreprises. Pourquoi ? Parce
SUR LA
que les implications sont multiples ; elles touchent les offres et les business models, les modes
de management, les fonctionnements entre les collaborateurs, les relations avec les clients et les
fournisseurs, et les technologies.
TRANSFORMATION Le numrique est souvent compar la bulle internet dans linformatique des annes 90.
Mais il nen est rien. Cette fois, lvolution nest pas seulement technologique, elle implique de
reconsidrer lensemble en profondeur : lhomme, sa culture, lorganisation, les processus et les
NUMRIQUE
mthodes. Le numrique fait apparaitre de nouvelles questions thiques touchant le traitement
des donnes personnelles des diffrentes parties prenantes (origine, transmission, vente,
exploitation, transformation, ) dont les usages ne sont pas toujours prvisibles et contrls.
Au-del des opportunits et des perspectives positives que le numrique apporte, les changements
gnrent aussi des risques nouveaux pour lentreprise.
10 11
AUDIT INFORMATIQUE : TOUS CONCERNS !
01
10 FICHES PRATIQUES POUR RUSSIR
FICHE 01
OUVERTURE SUR
LA TRANSFORMATION NUMRIQUE
Les enjeux sont multiples : Les facteurs clefs de criticit qui en ressortent sont les suivants :
Certaines entreprises sont nes de cette rvolution numrique et sont devenues des leaders
Economique : Depuis lan 2000, plus dune entreprise sur deux du classement Fortune 500 a
(Google, Apple, Facebook, Amazon) et dautres ont su se transformer (Accor, Michelin). Dautres,
disparu ou a fait faillite.
en revanche, nont pas russi prendre le virage du numrique (NOKIA, KODAK).
La condition sine qua non de mener bien sa transformation numrique rside dans
En tant que dirigeants, les impacts lis cette transformation doivent tre anticips et maitriss
lengagement indfectible du Dirigeant et de ses premires lignes.
et les investissements ncessaires raliss.
Stratgique : Le numrique nest pas un effet de mode. Il doit tre utilis comme le moyen de Comment dployer le numrique en tenant compte de la ralit du terrain ? Comment anticiper
redfinir loffre et lorganisation, et donc de piloter lentreprise autrement et plus efficacement les nouvelles tendances sur son march ? Les projets numriques sont-ils bien en prise avec
dans lconomie daujourdhui. Le numrique est au service de la stratgie de lentreprise. les dernires innovations ?
Comment lentreprise intgre-t-elle les volutions de son environnement dans son organisation ?
Concurrentiel : Sur de nombreux secteurs, la mise en place dune aide robotise, la mise
La veille sur les volutions technologiques est cruciale, car elle vite les dcalages.
en place dobjets connects, la meilleure connaissance des clients par la data permettent
daugmenter la comptitivit des entreprises et de mieux contribuer son cosystme. Quels sont les impacts des dcisions sur lenvironnement et sur lensemble des parties prenantes ? Le
Ce constat est important, car la bataille du rapport qualit/prix touche dsormais tous les numrique redistribue la valeur conomique en se concentrant davantage sur le service rendu
secteurs (mme nos secteurs de professionnels du chiffre) et devient une obligation cruciale au client final.
pour la survie des entreprises.
Quelles sont les mesures prises pour sassurer que les offres de lentreprise collent aux attentes
de ses clients ?
cologique : Lempreinte cologique fait dsormais partie de notre quotidien, tant sur le
plan personnel que professionnel. Laction cologique ne se limite donc plus au tri des dchets Comment sont mesures les performances oprationnelles des diffrentes lignes de produits
mnagers mais la dfinition au sein mme des entreprises dune vritable stratgie prenant et services ?
en compte la dimension cologique. Cette dimension impacte les nouvelles rglementations
qui permettent dsormais :
De stocker des justificatifs sous un format lectronique scuris plutt que la version papier ;
De fournir une comptabilit dmatrialise en cas de contrle ;
Denvoyer des factures dmatrialises plutt que par courrier ;
Etc
Ces volutions ne peuvent pas tre ngliges car elles ncessitent une transformation de la
culture des entreprises mais galement des approches de travail plus collaboratives. Elles ne
peuvent donc pas se conduire en quelques mois et doivent sinscrire durablement dans la
stratgie de chaque entreprise.
12 13
AUDIT INFORMATIQUE : TOUS CONCERNS !
01
10 FICHES PRATIQUES POUR RUSSIR
FICHE 01
OUVERTURE SUR
LA TRANSFORMATION NUMRIQUE
QUESTIONNAIRE
(Source : cahier 33 Mesure globale de la performance durable www.lacademie.info)
OUI
Linformatique numrique dispose-t-elle de - Mthodes agiles OUI
Le DG, la DSI, Les processus sont-ils documents et partags
ressources spcifiques, en termes de finance, - Budget dinves- - Cartographie
Continuit dactivit Chief Digital au niveau de la Direction Gnrale et des
de gestion de la complexit, de maitrise de tissement Le DG, des processus
Officer dcideurs oprationnels en charge de loffre _
lagilit et des interactions, dquipes ? - Pizza team La DSI approche
et sajustent-ils avec lenvironnement grce au
transversale
numrique ?
Culture projet
OUI
Le parcours numrique du client est-il au - Mise en place OUI
Le numrique dveloppe-t-il une capacit
cur du pilotage de la performance opra- _ Le DG, la DSI du Big Data / - Dashboarding
nouvelle de suivi des objectifs de qualit, cots,
tionnelle (CRM,) ? Analytics _ Le DG, la DSI - Donnes de
dlais (agilit, vlocit ) des produits et
workflow
services ?
- Objets connects
OUI
- Application OUI
Laccs, la transformation et la diffusion des - RFID
GDPR (cf. fiche
donnes personnelles sont-ils pris en compte _ Le DG, la DSI - Golocalisation
donnes person- Le numrique amliore-t-il la gestion de la
dans les projets numriques ? - Drive dans
nelles) production, de la distribution et de la _ _
la grande
personnalisation de loffre ?
distribution
OUI Impression 3D
- Bureau dyna-
La culture de lentreprise est-elle propice la mique
_ Le DG, la DSI
transformation numrique ? - Innovation
favorise
Bibliographie :
LAcadmie des sciences et techniques comptables : Cahier 33 Mesure globale de la performance durable
La revue fiduciaire comptable n 450, juin 2017, La maturit numrique : signe de la performance de
lentreprise
14 15
AUDIT INFORMATIQUE : TOUS CONCERNS !
02
10 FICHES PRATIQUES POUR RUSSIR
FICHE 02
GOUVERNANCE
DES SYSTMES
DINFORMATION
Pourquoi parler de gouvernance des systmes dinformation (SI) ? Parce qu une poque o les
DES SYSTMES
LA COUVERTURE ET LA COHRENCE DU SYSTME DINFORMATION
La rpartition des rles dans lorganisation et le pilotage du systme dinformation est un sujet
crucial au sein des organisations dans la mesure o elle conditionne la bonne matrise de
linformation qui est produite.
Comprendre les diffrentes fonctions de management des oprations lies aux applications
est un point central de lapprhension des risques, constitutif de linformation comptable et
financire.
16 17
AUDIT INFORMATIQUE : TOUS CONCERNS !
02
10 FICHES PRATIQUES POUR RUSSIR
FICHE 02
GOUVERNANCE DES SYSTMES DINFORMATION
Apprcier le niveau de
Chaque acteur doit tre identifi en lien avec ses attributions relles afin dapprhender Le directeur financier a dfini des points de
matrise du systme
contrle permettant de superviser la produc- DAF OUI Intrim
correctement les risques lis au systme dinformation. dinformation par le
tion de linformation comptable et financire ?
directeur financier
Les oprations, les risques et les contrles associs doivent tre rattachs des acteurs dment
nomms afin de ne pas laisser dinconnue ou de trous dans le systme de contrle interne.
B. MANAGEMENT ET RESPONSABILIT
En cas dincertitude, une absence de contrle ou une prise de dcision inapproprie pourrait
venir mettre en pril la chane de production de linformation comptable et financire. Interlo-
Enjeu / Rponse Phase
Thme / Question cuteur
Risque associ attendue daudit
cible
Par ailleurs, la bonne identification des rles et responsabilits est indispensable lattribution
Les fiches de poste des collaborateurs en Matrise des RACI
des actions de surveillance et/ou de scurisation dans le cadre du processus damlioration
charge de la fonction informatique sont-elles Principe de non- DRH OUI Intrim
continue. formalises ? rpudiation renforce
DAF, DSI,
Matrise du fonctionne-
Pour chaque application, un responsable DG,
ment des applications OUI Intrim
dapplication est-il nomm ? Direction
et de leur volution
mtier
DAF, DSI,
Matrise des inventaires,
Pour chaque donne critique, un propritaire DG,
des flux et des traite- OUI Intrim
de donnes est-il nomm ? Direction
ments de donnes
mtier
18 19
AUDIT INFORMATIQUE : TOUS CONCERNS !
02
10 FICHES PRATIQUES POUR RUSSIR
FICHE 02
GOUVERNANCE DES SYSTMES DINFORMATION
Pourquoi parler de gouvernance des donnes ? Parce que tout est donne ! Toute entreprise,
Enjeu / Interlocuteur Rponse
indpendamment de sa taille, de son activit ou de son volume daffaires, sappuie sur un SI. Thme / Question
Risque associ cible attendue
Son activit conomique est traduite comptablement en enregistrant des transactions dans des
livres comptables informatiss. Personne en charge
Fiabilit et intgrit des > identifier selon la
Les rfrentiels inclus dans le primtre de
donnes audites. Ex. : taille et lactivit de OUI
Raisonner donne ! laudit sont-ils uniques ?
fiche client en doublon lentreprise : DSI, DAF,
DG, autre
Les donnes transactionnelles : factures, devis, bons de commandes, etc. Qui valide les spcifications lors dun projet Exhaustivit
(changement de logiciel comptable par Fiabilit
DAF
exemple) ? Comment sont formalises ces Ex : reprise de donnes
A lchelle de lentreprise, chaque type de donne doit tre identifie, enregistre et mise jour spcifications ?
de manire unique et adquate en regard de lactivit.
Fiabilit des donnes si
les rles et responsabili- La DG doit tre
Les donnes peuvent tre stockes sur des serveurs possds et/ou hbergs par lentreprise, ou ts ne sont pas dfinis implique sur ce
Cette responsabilit est-elle formalise dans
et/ou communiqus, ce point, quelle que soit OUI
bien lextrieur, comme dans le cas du SaaS ou du cloud. Dans ces cas, il convient de contrler une charte ou une politique dentreprise ?
qui introduit de la taille et lactivit
les dispositions de conformit et/ou les dispositions contractuelles. lambigit de lentreprise
> ncessit dun RACI
Exhaustivit (plan de
NEP ET TEXTES DE RFRENCE continuit dactivit)
Existe-t-il un registre de classification des Conformit
NEP 315 : Connaissance de lentit et de son environnement et valuation Responsables mtiers OUI
donnes ? Ex. : quelles donnes
du risque danomalies significatives sauvegarder, archiver et
restaurer en priorit ?
NEP 330 : Procdures daudit mises en uvre par le commissaire aux comptes
Disponibilit des
lissue de son valuation des risques Le logiciel comptable est-il hberg en donnes
interne ou bien est-il gr par un tiers, voire Conformit Selon cas
Doctrine professionnelle relative aux consultations entrant dans le cadre dans le cloud ? Ex. : clause
de diligences directement lies la mission de commissaire aux comptes portant dauditabilit
sur le contrle interne relatif llaboration et au traitement de linformation comptable Disponibilit des
(ex NEP 9080) Si le logiciel est gr par un tiers, les disposi- donnes
tions contractuelles prvoient-elles les Conformit OUI
conditions de mise disposition des donnes ? Ex. : clause
dauditabilit
ANALYSE DES RISQUES ET CRITICIT
Disponibilit des
Une gouvernance des donnes pas ou mal dfinie a des consquences directes sur la fiabilit donnes
Ces dispositions sont-elles testes et mesures
Conformit OUI
des donnes : rfrentiels clients, fournisseurs, comptables incohrents, incomplets, redondants, rgulirement ?
Ex. : clause
nomenclatures multiples, identifiants manquants, silotage entre applications, problmes dauditabilit
dinterfaces La piste daudit est directement impacte lorsque les donnes rfrentielles ne sont
pas sous une responsabilit unique et mise jour en fonction des besoins oprationnels ou Y a-t-il un projet GDPR dans lentreprise ? Conformit OUI
rglementaires.
Exhaustivit
Quelles sont les dispositions en matire de
Fiabilit
scurisation des donnes ? Sont-elles testes OUI
Risque de fraude
et quelle frquence ?
20 21
AUDIT INFORMATIQUE : TOUS CONCERNS !
02
10 FICHES PRATIQUES POUR RUSSIR
FICHE 02
GOUVERNANCE DES SYSTMES DINFORMATION
NEP 315 : Connaissance de lentit et de son environnement et valuation Les procdures de sauvegarde sont-elles
du risque danomalies significatives formalises ? Si cloud, les clauses contrac- Garantie de reprise et de
DSI et DAF OUI
tuelles sont-elles conformes aux besoins de continuit dactivit
NEP 330 : Procdures daudit mises en uvre par le commissaire aux comptes lentreprise (RPO, RTO) ?
lissue de son valuation des risques Des tests de restauration sont-ils mens ? Sur
Garantie de reprise et de
quel primtre, avec quelles parties prenantes DSI et DAF OUI
continuit dactivit
Doctrine professionnelle relative aux consultations entrant dans le cadre et avec quelle frquence ?
de diligences directement lies la mission de commissaire aux comptes portant
sur le contrle interne relatif llaboration et au traitement de linformation
comptable (ex NEP 9080)
COUVERTURE ET COHRENCE DU SYSTME DINFORMATION
ANALYSE DE RISQUES ET CRITICIT
CONTEXTE ET ENJEUX
Un systme dinformation qui nest pas suffisamment scuris est expos plusieurs risques :
Le systme dinformation est lpine dorsale de lactivit de lentreprise dans la mesure o il
Non-respect de la SOD
supporte tout ou partie des processus mtier et de gestion.
Altration, modification de donnes et fraude Il est de fait indispensable de bien connaitre les zones de couverture du SI et les liens entre chacune
Non-conformit des applications. Cette connaissance doit galement tre mesure auprs du management de
Cyber attaque lentreprise.
Les risques ainsi supports par chaque zone du SI permettront didentifier en amont les
EXEMPLES principaux flux constitutifs de linformation comptable et financire.
SOD : capacit gnrer un ordre dachat et le valider, ou saisie dune facture fournisseur NEP ET TEXTES DE RFRENCE
et validation du paiement associ NEP 315 : Connaissance de lentit et de son environnement et valuation
Modification non trace dune squence de code en RPG (AS/400) qui modifie la rgle de calcul du risque danomalies significatives
sur une dprciation de stock.
22 23
AUDIT INFORMATIQUE : TOUS CONCERNS !
02
10 FICHES PRATIQUES POUR RUSSIR
FICHE 02
GOUVERNANCE DES SYSTMES DINFORMATION
Chaque processus de lentreprise est traductible en information qui doit soit rpondre des
besoins de pilotage soit traduire la ralit conomique. QUESTIONNAIRE
Afin de bien comprendre le cheminement de linformation et les traitements quelle subit, il est
indispensable de bien recenser les diffrentes applications et de les rattacher chaque processus Interlo-
Enjeu / Rponse Phase
ou sous-processus. Thme / Question cuteur
Risque associ attendue daudit
cible
Par ailleurs, les dites applications sont galement plus ou moins interconnectes (ou interfaces) Mise en place de
C. Cohrence et volution du SI
Mise en place de
QUESTIONNAIRE C. Cohrence et volution du SI contrles automatiques
DSI et/ou
Les volutions mtiers sont prises en compte et scurisation des OUI Intrim
DAF
Interlo- dans le systme dinformation calculs et de laccs aux
Enjeu / Rponse Phase donnes
Thme / Question cuteur
Risque associ attendue daudit
cible
Accs au donnes : Les
Personne D. Interfaces applicatives donnes sont scurises
Niveau dintgration du en charge Certaines interfaces reposent sur la gnra- et ne peuvent tre DSI et/ou
OUI Intrim
systme dinformation > identi- tion de fichiers de transfert stocks dans des accdes ni modifies DAF
fier selon rpertoires de travail ? dans le cadre de
A. Composantes du SI Nombre importants linterface
la taille et
Le systme dinformation est-il bas sur un dinterface contrler
lactivit OUI Intrim
ERP ? Intgrit et exhaustivit
Exposition la conta- de
gion des anomalies en lentre- des donnes : les
D. Interfaces applicatives
cas de faiblesse de prise : DSI, donnes issues des DSI et/ou
Les interfaces les plus critiques font lobjet de OUI Intrim
contrle DAF, DG, interfaces sont DAF
contrle manuels ou par analyse de donnes ?
autre compltes et nont pu
tre corrompues
A. Composantes du SI
Continuit dactivit et
Une dpendance forte existe entre les DSI et/ou
capacit dvolution du OUI Intrim
applications, les choix technologiques et les DAF
SI
choix dinfrastructures
Connaissance des
B. Connaissance du SI et couverture
applications sources et
fonctionnelle DSI et/ou
des traitements OUI Intrim
Une matrice de couverture des processus par DAF
Maitrise des risques lis
les applications est renseigne
aux volutions du SI
24 25
AUDIT INFORMATIQUE : TOUS CONCERNS !
03
10 FICHES PRATIQUES POUR RUSSIR
FICHE 03
CONTRLE
DES ACCS
CONTEXTE ET ENJEUX
En informatique, le droit daccs est, dune faon gnrale, le droit ncessaire un utilisateur
pour accder des ressources : ordinateur, donnes, imprimante, etc.
Les bonnes pratiques recommandent daccorder le minimum de droits, en fonction des besoins
daccs des utilisateurs (rgle dite du need to know ou besoin de connatre )
Les droits daccs visent :
garantir une scurit des actifs (code secret, mot de passe, cls, etc.)
CONTRLE En consquence, les accs et leur contrle constituent un lment du dispositif de contrle
interne de lentit. Le pilotage des accs au patrimoine applicatif de lentit dpend la fois du
DES ACCS
service des ressources humaines (connaissance du profil et du niveau de responsabilit) et de
la DSI (connaissance des outils et de leurs fonctionnalit), ce qui suppose une communication
permanente pour une mise jour des profils utilisateurs et droits daccs correspondant en
fonction de lvolution des effectifs (entres / sorties) au sein de lentit.
Faire le lien avec la cartographie des principaux systmes dinformation qui concourent
la construction des tats financiers (logiciels comptables, logiciels de gestion, logiciels mtier)
Prendre en considration lexistence dun environnement informatique ouvert (ERP)
Tenir compte de la volumtrie des transactions et du nombre dintervenants sur un ou
plusieurs cycles
Prendre en compte lincompatibilit des fonctions de dveloppement informatique, de tests
et dexploitation.
26 27
AUDIT INFORMATIQUE : TOUS CONCERNS !
03
10 FICHES PRATIQUES POUR RUSSIR
FICHE 03
CONTRLE DES ACCS
NEP 240 : Prise en considration de la possibilit de fraudes lors de laudit des comptes
NEP 250 : Prise en compte du risque danomalies significatives dans les comptes rsultant Droit daccs requis Faible Moyen Elev
du non-respect des textes lgaux et rglementaires
NEP 265 : Communication des faiblesses du contrle Changer un taux de TVA 3
NEP 315 : Connaissance de lentit et de son environnement et valuation du risque danomalies
Dclencher un paiement 3
significatives
NEP 330 : Procdures daudit mises en uvre par le commissaire aux comptes lissue de Crer / modifier / supprimer un RIB fournisseur
son valuation des risques
3
Norme ISO CEI 27001 : Gestion de la Scurit des Systmes dInformation Autoriser un investissement 3
COBIT : Control Objectives for IT (rfrentiel de gouvernance des Systmes dInformation)
Passer une commande 3
ANALYSE DES RISQUES ET CRITICIT Contrler une rception 3
Plus lorganisation de lentit est complexe (flux, SI, sites, etc.), plus la matrice de sparation des ILLUSTRATION SUR LE CYCLE DES VENTES :
tches est complexe et plus son suivi et sa mise jour requirent une volumtrie de travail
leve et rgulire dans le temps.
Droit daccs requis Faible Moyen Elev
En consquence, plus le niveau hirarchique est lev / important, plus le niveau de droits
daccs est lev, comme lillustrent les quelques exemples prsents ci-aprs pour les principaux Changer un taux de TVA 3
cycles.
Autoriser un avoir / une remise 3
Crer / modifier / supprimer un RIB client 3
Crer / modifier / supprimer une fiche produit / article 3
Raliser / contrler une opration dencaissement 3
Effectuer / contrler un tat de rapprochement
bancaire 3
Faire une relance client 3
Lettrer une balance auxiliaire / balance ge 3
Valider une expdition 3
28 29
AUDIT INFORMATIQUE : TOUS CONCERNS !
03
10 FICHES PRATIQUES POUR RUSSIR
FICHE 03
CONTRLE DES ACCS
nt
ie
G
ts
/B
cl
nt
en
s
re
e
ie
em
A
ch
cl
tB
ct
rs
fi
ss
e
fa
oi
en
pt
i
ne
nt
ca
av
m
s
ie
u
de
en
d
co
d
Cl
POINTS DATTENTION PARTICULIERS :
nt
CYCLE DES VENTES
ch
on
on
s
n
e
de
e
ie
ro
io
ag
nc
si
si
cl
at
pp
i
is
is
tr
iv
la
B
Em
Em
t
Ra
Su
Re
Le
Cr
RI
Les tches incompatibles entre elles par nature requirent de disposer de droits daccs
spars et/ou distincts.
1 Cration dune fiche client
Le CAC doit procder une apprciation de ladquation entre les droits daccs octroys et
la prise en compte de la sparation des tches au sein de lentit. Cette apprciation doit en 2 RIB client
Les deux matrices suivantes illustrent les tches incompatibles entre elles pour le cycle des
4 Suivi des encaissements
achats et le cycle des ventes. Elles sont un exemple concret des tches qui ne doivent pas tre
ralises par les mmes personnes.
5 Lettrage compte client
Toutefois, lorganisation de lentit et le jugement professionnel du commissaire aux comptes 6 Emission davoirs
doit tre pris en considration pour adapter ces matrices lenvironnement applicable (NEP 315).
7 Rapprochement BA / BG
e
eu
ir
ca
ss
r
eu
an
eu
ni
ss
tb
ss
de
G
ni
ni
fo
/B
en
an
ur
ur
ur
e
A
e
m
ch
fo
fo
ss
tB
he
m
fi
ni
e
Pour rappel, la fraude se dfinit comme une erreur intentionnelle et le CAC, lors des phases
e
r
en
co
ur
oc
pt
eu
e
r
un
ou
m
r
ct
em
de
ss
pp
tf
co
d
ni
ch
ra
on
le
on
ur
ge
ro rsultant de fraude.
de
ti
r
t
m
fo
ti
ep
ra
sa
pp
nt
a
ie
at
tt
c
B
Co
Ra
R
Pa
Pa
Le
Cr
RI
5 Contrle facture fournisseur Les droits daccs au patrimoine applicatif de lentit sont une composante essentielle de
lenvironnement de contrle interne
6 Paiement fournisseur
Outre le respect de la sparation des fonctions des utilisateurs, une rgle essentielle en matire
7 tat de rapprochement bancaire de contrle interne informatique impose de sparer galement strictement les fonctions de
dveloppement informatique, de tests et de production.
8 Lettrage compte fournisseur
RISQUE ACCEPTABLE
30 31
AUDIT INFORMATIQUE : TOUS CONCERNS !
03
10 FICHES PRATIQUES POUR RUSSIR
FICHE 03
CONTRLE DES ACCS
QUESTIONNAIRE QUESTIONNAIRE
Les points ci-aprs sont issus, pour la plupart, de la norme ISO27002 (systme de gestion
de la scurit de linformation).
Les postes de travail se verrouillent-ils Dans la liste des utilisateurs du SI, les comptes
Accs non autoriss, Supervision
automatiquement aprs quelques minutes DSI OUI dadministration ont tous les droits.
fraudes Accs non autoris, des comptes
dinutilisation? - Comment ces comptes sont-ils superviss ? DSI
fraude dadministra-
- Leurs actions sont-elles enregistres et
tion
surveilles ?
32 33
AUDIT INFORMATIQUE : TOUS CONCERNS !
04
10 FICHES PRATIQUES POUR RUSSIR
FICHE 04
CONDUITE
DE PROJETS
CONTEXTE ET ENJEUX
Pourquoi parler de conduite de projets ? Parce quen moyenne, 30% du budget dune entreprise
est consacr des projets. Cela participe de lvolution, de ladaptation et de la transformation
de toute entreprise relatif aux systmes dinformation en croissance ou non. Les projets SI ont
trs souvent un impact direct ou indirect sur les tats financiers. Le pilotage des projets et leur
russite ou leur chec peuvent avoir des consquences graves sur lactivit de lentreprise.
CONDUITE DE PROJETS
Vis--vis des projets, le CAC doit donc sassurer dau moins deux choses :
CONDUITE
En termes dapproche : le(s) projet(s) a(ont) t men(s) selon les rgles de lart et respecte(nt)
un cadre de contrle interne suffisant
En termes de donnes : les donnes et tats financiers impacts ou produits lissue du
DE PROJETS
projet sont exhaustifs, fiables, et correctement comptabiliss.
Quest-ce quun projet ? Un projet est une entreprise temporaire dcide, engage et finance
dans le but de crer un produit, un service ou un rsultat unique.
Exemples : conception dun nouveau vhicule, mise en place dun ERP. Le projet impacte
plusieurs dimensions de lentreprise, quil sagisse de process, dorganisation, de SI ou des trois
la fois, ce qui est bien souvent le cas.
Sagissant daudit, les projets les plus directement impactants sont ceux touchant le SI financier,
que cela soit dans le cadre dun changement de logiciel, dune migration de version, dune
intgration ou dune cession dactivit. Ce sont l les exemples les plus vidents, mais cela ne
signifie pas que les autres projets ne concernent pas le CAC !
34 35
AUDIT INFORMATIQUE : TOUS CONCERNS !
04
10 FICHES PRATIQUES POUR RUSSIR
FICHE 04
CONDUITE DE PROJETS
Une
Impact rponse
NEP ET TEXTES DE RFRENCE Ces projets ont-ils un impact sur les process
sur la certification DAF claire et Intrim
et/ou les tats financiers ?
des comptes argumen-
NEP N/A te
CONDUITE DE PROJETS
PRINCE2, PMBOK, COBIT5
Toutes
Ambigut sur le les parties
Pour chaque projet, une charte a-t-elle t
rsultat attendu et les prenantes
crite, partage et accepte par les parties oui Intrim
ANALYSE DE RISQUES ET CRITICIT rles et responsabilits et en
prenantes ?
des parties prenantes particulier
DAF et DSI.
Le RACI est un outil de formalisation des rles et responsabilits pour chaque partie prenante au
projet. Cet outil est indispensable pour tablir les attendus vis--vis de chaque partie prenante Dbut
et ainsi lever toute ambigut dans les processus de dcision. dexercice
Primtre de laudit DAF
Quelle est la date cible de livraison du projet ? ou en Intrim
Cut-off et DSI.
cours
R : Responsable, ou Ralisateur dexercice
A : Approbateur ( accountable en anglais)
Ambigut sur le
C : Consult Existe-t-il un RACI ? Si oui, a-t-il t formalis rsultat attendu et les Sponsor du
I : Inform OUI Intrim
et communiqu toutes les parties prenantes ? rles et responsabilits projet
Il ne peut y avoir quun seul A par tche. des parties prenantes
DAF, DG
Equipe ou toute
EXEMPLES Impact sur les process comptable personne
Qui valide les spcifications et de quelle et/ou les tats finan- DAF ayant
Intrim
manire ? ciers (ex. : refonte de la Equipe lautorit
Directeur cl comptable) projet de valiser
Description de lactivit DAF DSI Intgrateur
comptable les process
cibles
Tche 1 A R C I
Equipe
Tche 2 R A C I comptable
Qui valide la reprise de donnes et Exhaustivit, fiabilit,
avec DAF, DG Intrim
Tche 3 C R A I de quelle manire ? intgrit des donnes
responsabi-
lit du DAF
Tche 4 I R C A
Cut-off
La mise en production du nouveau logiciel
Reprise des encours en Equipe Dmarrage
comptable a-t-elle lieu au dmarrage du Intrim
Les phases du projet : cours dexercice projet si possible
nouvel exercice ou bien en cours dexercice ?
Comme nimporte quel chantier, un projet est dcoup en phases logiques. Lenchanement, la
dure et lordonnancement de ces phases varient en fonction de la mthodologie utilise (cycle Sponsor suffisant en
Le DAF participe-t-il effectivement au comit
en V, agile, hybride,). Mais leur nature demeure identique afin de respecter un ordre logique de termes de manage- DAF OUI Intrim
de pilotage ?
ment
conception : Expression du besoin > modlisation dtaille > paramtrage > tests > cycle
de validation de conformit > mise en production.
A chaque phase correspondent des risques spcifiques, (cf. tableau pour exemples).
36 37
AUDIT INFORMATIQUE : TOUS CONCERNS !
04
10 FICHES PRATIQUES POUR RUSSIR
FICHE 04
CONDUITE DE PROJETS
Rponse
Interlo-
Enjeu / attendue Phase
Thme / Question cuteur
Risque associ ou lment daudit
cible
collecter
Rponse
Interlo-
Conformit Enjeu / attendue Phase
Si migration vers une solution cloud, le ctt Equipe projet Thme / Question cuteur
Dlai daccs aux Risque associ ou lment daudit
prvoit-il les clauses ad hoc (auditabilit, DAF Oui Intrim cible
donnes sur demande collecter
rversibilit, GDPR) ? Juridique
du CAC.
Phase : Recette
Cahier de
Retard du projet. Quelle est lorganisation de la recette en
DAF, DC, recette
Phase : cadrage Complexit dun DAF, termes de :
Oui Intrim respon-
Le planning est-il raliste ? dmarrage en cours DSI Recetteurs
Fiabilit des processus sable PV de Intrim
dexercice. Donnes de recette
fonction- rception
Remonte et traitement des anomalies
nel dment sign
Dtection et communica- (outil de ticketing)
tion des risques projet. Formalisation de lacceptation
Phase : cadrage Equipe projet
Rles et responsabilits
Un PAQ a-t-il t crit et valid par les parties DAF Oui Intrim Absence de sponsor
des parties prenantes.
prenantes ? DSI Conduite du changement Implication insuffisante
Arbitrage.
CONDUITE DE PROJETS
Gestion des litiges. Quelles sont les actions de communication des utilisateurs.
et daccompagnement ? DG Dmarche Intrim
Oui + Quelle est la rpartition de ces actions sur Echec du projet
Non respect des rgles le planning projet ? Inadquation de
demander
de gestion, des proc- la solution.
Phase : Spcifications Equipe projet laccs
dures et des principes de
La dfinition des processus est-elle conforme Utilisateurs aux Intrim
sparation des fonctions. Risque de perte de
au besoin ? spcifications
Non conformit traabilit de linforma-
fonction- Phase : mise en production
tion. Perte daccs aux Politique
nelles Quelle est la politique darchivage DAF Intrim
informations utiles formalise
de lhistorique ?
Phase : Paramtrage Non respect des rgles lactivit ou rglemen-
La solution est-elle utilise dans sa version de gestion. DAF Proportion tairement requises.
standard ? Difficult de mainte- DSI de Intrim
Sinon, quelle est la proportion de dveloppe- nance de migration customisations Scurit de lenviron-
ments spcifiques future. nement informatique :
Phase : support post-production risque de perte de
Exhaustivit et fiabilit Quelle est lorganisation en place pour traiter matrise dans les Description
des donnes : risque de les anomalies et rpondre aux questions des processus de gestion de
Intrim
Phase : Paramtrage dficience des mca- DSI utilisateurs pendant et aprs la mise en des anomalies, des DSI lorganisation
Combien y a-t-il dinterfaces entrantes et nismes dalimentation et Equipe projet Cartographie production (n.b. : sujet concernant galement incidents, de la du support
Intrim la recette et la conduite du changement) scurit de lapplication
sortantes autour de la nouvelle solution ? de dversement des technique des interfaces
Quel est le niveau dintgration global ? donnes en entre et en et de lexploitation
sortie de la nouvelle informatique
application.
Documentation
Stratgie La documentation lie au projet est-elle
Phase : Tests Chef de projet suffisante en qualit et en quantit. Auditabilit du projet DG, DAF, Accs la
Exhaustivit de tests Intrim
Quelle est la stratgie de tests ? DSI, Exemples : expression des besoins, planning, Conformit DSI documentation
Fiabilit des donnes Intrim
Sur quel volume de donnes sont-ils raliss ? responsable note de cadrage, spcifications (fonction-
Rgression fonctionnelle Scnarios
Qui a rdig les scnarios ? informatique nelles et techniques), cahier de recette,
de tests
Exactitude de la
Documenta-
Risque dexhaustivit et comptabilisation des Dtail de la
tion
dintgrit des donnes cots lis au projet comptabilisa-
Conservation Amortissement
Phase : Reprise de donnes reprises dans le nouveau (opex vs. capex). DG, DAF tion des Intrim
Equipe projet des lments Le projet fait-il lobjet dun amortissement ?
Nettoyage des donnes reprendre systme. Run/build et risque de dpenses
DAF/DC techniques Intrim
Transcodification des rgles et rfrentiels finir le projet en bascu- lies au projet
Equipe SI temporaires
comptables Exactitude des schmas lant les cots en TMA.
(base pivot,
comptables, exhaustivit,
fichiers
auditabilit. Subventions
intermdiaires) Correcte imputation En fonction
Le projet fait-il lobjet dun CIR ? DG, DAF Intrim
des subventions de la rponse
38 39
AUDIT INFORMATIQUE : TOUS CONCERNS !
05
10 FICHES PRATIQUES POUR RUSSIR
FICHE 05
UTILISATION
DES OUTILS DAUDIT
DE DONNES
CONTEXTE ET ENJEUX
Les outils informatiques daudit de donnes facilitent le travail du commissaire aux comptes
DES OUTILS
et permettent une atteinte plus aise de lassurance raisonnable ainsi quune documentation
approprie de lapproche daudit par les risques.
DAUDIT
En outre, cest un moyen de rpondre au risque de fraude tel quil est dfini dans la NEP 240.
Plus la volumtrie des transactions est importante, moins lapproche substantive (tests) est
pertinente
Plus la volumtrie des transactions est importante, plus lutilisation doutils adapts
DE DONNES
lanalyse des donnes est pertinente.
NEP 240 : Prise en considration de la possibilit de fraudes et derreurs lors de laudit des
comptes
NEP 250 : Prise en compte du risque danomalies significatives dans les comptes.
Le CAC doit senqurir auprs de la direction du respect des textes et prendre connaissance
des correspondances reues des autorits administratives et de contrles. On ne peut pas
obliger le client fournir le FEC.
NEP 265 : Communication des faiblesses du contrle interne
NEP 315 : Prise de connaissance de lentit et de son environnement.
Cela implique notamment lenvironnement rglementaire et numrique.
NEP 330 : Procdures daudit mises en uvre par le commissaire aux comptes lissue de
son valuation des risques
40 41
AUDIT INFORMATIQUE : TOUS CONCERNS !
05
10 FICHES PRATIQUES POUR RUSSIR
FICHE 05
UTILISATION DES OUTILS DAUDIT DE DONNES
Les principaux outils du march (Caseware Idea et ACL) sont une rponse approprie la mise
en uvre par lauditeur de lanalyse des donnes. Le maniement de ces outils reste adapt un
professionnel nayant pas ncessairement de formation informatique spcifique.
QUESTIONNAIRE
Les fichiers sources possibles :
Fichier des Ecritures comptables (FEC) : lutilisation du FEC comme fichier source
possible dun outil danalyse de donnes permet une vrification exhaustive des critures Enjeux Interlocuteur
Thme / Question Rponse attendue
Les outils danalyse de donnes par lauditeur permettent galement une restitution des travaux
daudit novatrice auprs des clients. Ce sont donc des outils utiles de sensibilisation du chef
dentreprise en lien avec le risque de fraude ou de transaction non fonde.
42 43
AUDIT INFORMATIQUE : TOUS CONCERNS !
05
10 FICHES PRATIQUES POUR RUSSIR
FICHE 05
UTILISATION DES OUTILS DAUDIT DE DONNES
PERSONNEL
44 45
AUDIT INFORMATIQUE : TOUS CONCERNS !
06
10 FICHES PRATIQUES POUR RUSSIR
FICHE 06
PROTECTION
DES DONNES
PERSONNELLES
CONTEXTE ET ENJEUX
PROTECTION Le RGPD vise contraindre les entreprises prendre leurs traitements au srieux. En termes
de sanction financire, le montant pourra atteindre 20 millions deuros ou 4 % du chiffre
daffaires annuel mondial. Do un risque dimpact significatif sur les comptes des entreprises.
DES DONNES Lentreprise devient garante du respect de la vie prive. La dclaration pralable la Cnil est
supprime, remplace par lobligation de tenir un registre dans lequel sont consignes les mmes
informations que dans la dclaration. Lentreprise est responsable de la scurit informatique
Elle instaure galement lobligation de nommer un DPO (data protection officer) dans les
tablissements publics et les entreprises qui effectuent des traitements sur des donnes sensibles
ou des traitements grande chelle. La nomination est systmatique pour les entreprises de plus
de 250 personnes. Une clinique ou une socit de vidosurveillance dont le respect de la vie
prive est au coeur de son activit est concerne.
46 47
AUDIT INFORMATIQUE : TOUS CONCERNS !
06
10 FICHES PRATIQUES POUR RUSSIR
FICHE 06
PROTECTION DES DONNES
PERSONNELLES
ANALYSE DES RISQUES ET FACTEURS DE CRITICIT :
Risque de non-conformit avec des sanctions trs lourdes
Autres obligations, le privacy by design et le privacy by default . Le premier vise en cas de manquements aggravs.
prendre en compte le respect de la vie prive ds la conception des systmes dinformation et le
second vise par dfaut respecter un niveau trs lev de protection avant le lancement de tout QUESTIONNAIRE
nouveau traitement. Les risques datteinte au respect de la vie prive doivent tre analyss et des
analyses dimpact ralises et documentes lorsque les risques sont avrs. Rponse et
Thmatique Question Interlocuteurs
niveau de risque
Les citoyens de lUE doivent donner un consentement positif et explicite afin que leurs donnes
La socit effectue-t-elle des traite-
soient recueillies. Une personne peut solliciter la suppression de donnes personnelles dans RGPD applicabilit
ments sur des donnes sensibles ou CIL DPO DSI OUI
certains cas, comme par exemple lorsquun organisme recueillant des donnes nest pas conforme des traitements grande chelle ?
aux conditions prvues par le RGPD. Les personnes concernes doivent galement tre tenues Demande daccord
informes de toute violation de leurs donnes personnelles si tel tait le cas. Les citoyens de lUE Les donnes personnelles ont t
expresse sur les sites
Nouveau rglement europen sur la protection des donnes personnelles paru au journal POUR ALLER PLUS LOIN
officiel de lUnion europenne qui entrera en application le 24 mai 2018 AFAI : Modle de maturit www.isaca.org/chapters6/paris
CNIL : www.CNIL.fr
Acadmie des sciences et techniques comptables : cahier 28 Gouvernance des donnes
personnelles et analyse dimpact http://www.lacademie.info/content/download/9033/143186/
48 version/1/file/cahier+28_V2.pdf 49
AUDIT INFORMATIQUE : TOUS CONCERNS !
07
10 FICHES PRATIQUES POUR RUSSIR
FICHE 07
LGISLATION
FISCALE ET SI
CONTEXTE ET ENJEUX
LGISLATION FISCALE ET SI
Depuis 2014, ce sujet est approfondi, faisant apparatre de plus en plus denjeux :
- Importance de la numrisation des factures et de la fourniture dune piste daudit fiable
- Obligation de faire certifier son logiciel de caisse
- Fourniture du fichier FEC date la demande du vrificateur
LGISLATION
Pour lensemble de ces sujets, les socits sont trop peu informes, accompagnes et sensibilises.
FISCALE & SI NEP 250 : Prise en compte du risque danomalies significatives dans les comptes.
Le CAC doit senqurir auprs de la direction du respect des textes et prendre connaissance des
correspondances reues des autorits administratives et de contrles. On ne peut pas obliger le
client fournir le FEC.
NEP 315 : Prise de connaissance de lentit et de son environnement. Cela implique notamment
lenvironnement rglementaire et numrique.
Le respect des principes de tenue des comptabilits manuelles ou informatises constitue la
condition ncessaire du caractre rgulier, sincre et probant des comptabilits informatises
(BOI-BIC-DECLA-30-10-20-40-20131213 40).
Les livres comptables, la documentation comptable et les pices justificatives, doivent respecter
ces principes, qui ont leur traduction dans le FEC.
PCG, art. 921-3 : Le caractre dfinitif des enregistrements du livre-journal et du livre dinventaire
est assur, pour les comptabilits tenues au moyen de systmes informatiss, par une procdure
de validation, qui interdit toute modification ou suppression de lenregistrement.
Une comptabilit est dite informatise , ds lors quelle est tenue, mme partiellement, laide dune
application informatique ou dun systme informatis (BOFIP-BIC-DECLA-30-10-20-40- 30-13/12/2013).
Analyse des donnes comptables simplifies avec lexploitation du FEC :
Exhaustivit des analyses mme sur de grands volumes
Concentration des travaux sur les exceptions et anomalies dtectes
Amlioration de la documentation et de la valeur probante des travaux
Factures lectroniques :
Conservation pendant 6 ans (LPF art. 102 B) et restitution lidentique (CGI, annexe II - art.96 I bis)
Dclaration du lieu de stockage au SIE (LPF, L. 102 C) si stockage hors de France (dans un pays
ayant sign une convention dassistance mutuelle).
50 51
AUDIT INFORMATIQUE : TOUS CONCERNS !
07
10 FICHES PRATIQUES POUR RUSSIR
FICHE 07
LGISLATION FISCALE ET SI
Non-conformit / DSI,
Est-il possible de gnrer le FEC pour les Amende et/ou rejet Directeur
Les lments clefs connatre sur le FEC : priodes concernes ? de la comptabilit comptable
OUI
En cas de changement de logiciel en cours danne, il est possible de remettre le FEC de lexercice ou DG
concern sous la forme de deux fichiers distincts ; le premier fichier tant produit par lancien DSI,
Non-conformit /
logiciel et le second par le nouveau. Ces deux fichiers doivent tre remis de manire simultane La conformit formelle du FEC a-t-elle t Directeur
LGISLATION FISCALE ET SI
Amende et/ou rejet OUI
vrifie ? comptable
et respecter le format dfini larticle A. 47 A-1 du LPF. de la comptabilit
ou DG
Les principaux diteurs de logiciels comptables garantissent un FEC respectant la lgislation,
mais attention aux versions anciennes des logiciels qui ne sont pas forcment toutes FEC En cas de vrification formelle du FEC, NON
des anomalies significatives ont-elles t DSI, 1. Numro SIREN +
compatibles, les mises jour devant absolument avoir t faites. Non-conformit /
releves ? Directeur mention FEC + date de
Amende et/ou rejet
Il convient de faire attention aux logiciels de gestion, qui sont la plupart du temps accessibles 1. Le nom du FEC est-il conforme ? comptable clture de lexercice
de la comptabilit
en mode SaaS (via internet). Vous devez vous assurer quils respectent bien les normes du FEC, 2. Les champs obligatoires sont-ils remplis ou DG 2. 100% pour chaque
100% ? colonne
si ce nest pas le cas, en fin dexercice vous serez dans limpossibilit de gnrer votre fichier FEC !
Le logiciel doit ncessairement proposer soit un outil, soit une fonction permettant de gnrer OUI
un FEC. Si ce nest pas le cas, alors risque ! 1. Cohrence entre les dates
des pices comptables, de
Deux journaux diffrent ne doivent pas avoir le mme libell (exemple BQ1 = Banque et BQ2 = Banque). comptabilisation et de
Attention lutilisation de libells pouvant attirer lattention (anomalie, inexistant, ) Avez-vous vrifi la cohrence des donnes validation des critures
de votre FEC : 2. Vrifier si ces critures
Les cumuls ne peuvent pas tre repris sils proviennent dun fichier de type tableur.
nont pas t modifies
Les oprations doivent tre saisies en dtail. Le seul cas o la reprise dun cumul est possible est 1. Cohrence des dates entre elles et comprendre pourquoi
lorsque les cumuls proviennent dun logiciel mtier indpendant de la comptabilit. DSI, elles sont 0
Non-conformit /
2. Montant au dbit ou crdit nul Directeur 3. La liasse fiscale tant
Ladministration fiscale tolre que la date de comptabilisation soit la date mentionne sur la Amende et/ou rejet
comptable constitue partir de la
pice justificative. de la comptabilit
3. Le FEC cadre-t-il avec la balance gnrale ou DG balance gnrale, il est
Le CFCI (Contrle Fiscal des Comptabilits Informatis) est souvent sous-estim par les et avec la liasse fiscale ? important de valider la
cohrence des soldes de
entreprises, or il ne se limite pas la fourniture dun FEC mais sinscrit avant tout dans une 4. Les numros de comptes respectent-t-ils la balance avec ceux
dmarche de documentation du systme dinformation et dassurance de la continuit de la le PCG ? reconstitus partir du FEC
piste daudit 4. Les numros de
comptes doivent
Le CFCI englobe le FEC et lensemble des extractions des donnes oprationnelles prsents dans respecter les numros
le systme dinformation de lentreprise (Stocks, factures, ) dfinis dans le PCG
DSI,
Lorganisation comptable, les processus Non-conformit /
Directeur
comptables et le systme dinformation Amende et/ou rejet OUI
comptable
ont-ils t documents ? de la comptabilit
ou DG
DSI,
Les modalits de classement et darchivage Non-conformit /
Directeur
des pices justificatives (plan darchivage) Amende et/ou rejet OUI
comptable
sont-elles claires et crites ? de la comptabilit
ou DG
DSI,
Larchivage des factures lectroniques Non-conformit /
Directeur
permet-elle une consultation des pices Amende et/ou rejet OUI
comptable
pendant 6 ans ? de la comptabilit
ou DG
52 53
AUDIT INFORMATIQUE : TOUS CONCERNS !
07
10 FICHES PRATIQUES POUR RUSSIR
FICHE 07
LGISLATION FISCALE ET SI
LGISLATION FISCALE ET SI
donnes
La socit est-elle capable dextraire les Redressement fiscal DSI, opration-
La prsence dune numrotation continue et Redressement fiscal DSI, donnes oprationnelles en cas de demande et/ou rejet Directeur comptable nelles (Stocks,
chronologique des critures comptables et/ou rejet Directeur comptable OUI dans le cadre dun CFCI ? de la comptabilit ou DG factures, )
valides a-t-elle t vrifie ? de la comptabilit ou DG sont stocks
et scuriss
La saisie des critures comprend-t-elle la Redressement fiscal DSI, sur le serveur
rfrence aux pices justificatives (piste et/ou rejet Directeur comptable OUI de lentreprise
daudit) ? de la comptabilit ou DG
OUI
Redressement fiscal DSI, Le document
La concordance du FEC avec la dclaration
et/ou rejet Directeur comptable OUI doit
fiscale annuelle a-t-elle t vrifie ?
de la comptabilit ou DG permettre
didentifier
Redressement fiscal DSI, Redressement fiscal DSI, les clefs entre
Impossibilit de modifier ou supprimer les Une cartographie claire permet-elle didenti-
et/ou rejet Directeur comptable OUI et/ou rejet Directeur comptable les diffrents
critures comptables valides ? fier les liens entre les fichiers ?
de la comptabilit ou DG de la comptabilit ou DG fichiers afin
de garantir
Cohrence des dates entre elles et par rapport Redressement fiscal DSI, lintgralit
au calendrier des jours fris (anomalies de et/ou rejet Directeur comptable OUI de la piste
procdures ?) de la comptabilit ou DG daudit
54 55
AUDIT INFORMATIQUE : TOUS CONCERNS !
08
10 FICHES PRATIQUES POUR RUSSIR
FICHE 08
EXPLOITATION
DES SYSTMES
DINFORMATION
Lexploitation des systmes dinformation est la fonction qui permet de maintenir lefficacit,
lefficience, la confidentialit, lintgrit, la disponibilit, la conformit, la fiabilit et la scurit
du systme dinformation, aussi bien dans ses lments matriels (serveurs, postes de travail,
smartphones, quipements rseau et tlcom) quimmatriels (logiciels standards, logiciels
spcifiques, systmes dexploitation, donnes).
DES SYSTMES
Les procdures dexploitation doivent tre documentes.
Les changements apports aux matriels, aux logiciels, aux systmes dexploitation doivent tre
contrls et approuvs.
DINFORMATION
Les fonctions et les quipements de dveloppement, de tests et dexploitation doivent tre
rigoureusement spars.
La prestation de services par des tiers doit tre encadre et gre.
Lvolution des besoins lis la croissance des volumes ou la modification des rgles de
traitements doit tre anticipe et planifie.
Lintgrit des systmes et la confidentialit des donnes doivent tre prserves par une
protection approprie contre les codes informatiques non autoriss et/ou malveillants, prsents
sur les quipements de lentreprise et sur les quipements personnels des utilisateurs, connects
au systme dinformation.
Les donnes doivent tre sauvegardes, au minimum tous les jours. Le bon fonctionnement
des sauvegardes est suivi selon une procdure formelle. Des tests de restauration sont mens
rgulirement.
La scurit des rseaux doit tre assure, par un contrle des quipements autoriss se
connecter et par un filtrage des donnes. Les connexions distantes, depuis lextrieur, font lobjet
de mesures de scurit complmentaires.
Les supports amovibles font lobjet dune procdure dautorisation et dun suivi, pour prserver
la confidentialit des donnes.
Les ressources de lentreprise accessibles en ligne par le public, font lobjet de mesures de scurit
spcifiques, rgulirement audites.
Lensemble des systmes fait lobjet dune surveillance, avec analyse rgulire et permanente des
logs et des alertes gnrs automatiquement par les quipements informatiques.
56 57
AUDIT INFORMATIQUE : TOUS CONCERNS !
08
10 FICHES PRATIQUES POUR RUSSIR
FICHE 08
EXPLOITATION
DES SYSTMES DINFORMATION
NEP 240 pour la prise en compte de la possibilit de fraude, NEP 330 pour lvaluation du contrle Laudit de la fonction exploitation des systmes dinformation peut tre ralis en phase
interne, NEP 620 pour les experts tiers, SSAE18, SOC1, SOC2, ISAE3402 pour lexternalisation de dintrim.
tout ou partie du SI, ISO27001 pour la gestion de la scurit. Il faut commencer par identifier la ou les personnes en charge de lexploitation. Dans les petites
structures, les responsabilits et les tches lies lexploitation des systmes dinformation sont
peu ou mal dfinies. Par commodit, la personne en charge de lexploitation est dsigne DSI
ANALYSE DES RISQUES ET FACTEURS DE CRITICIT dans le questionnaire ci-dessous.
Pas de protection contre les codes informatiques non autoriss et/ou malveillants : Les fonctions de dveloppement, de tests et
Fraude DG OUI
dexploitation sont-elles spares ?
Dans un environnement fort enjeu de scurit et de confidentialit (par exemple bureau
dtudes dans une entreprise de haute technologie), un utilisateur pourrait chercher installer Idalement : OUI
Les quipements de dveloppement, de tests
un logiciel de contrle distance, pour voler des donnes en dehors des heures de travail, en Fraude DG Mais rare dans les
et dexploitation sont-ils spars ?
petites structures
toute discrtion. Risque aussi de virus sur les matriels personnels des utilisateurs.
Pas de scurit des rseaux : La prestation de services par des tiers est-elle Fraude, cots inutiles,
DG OUI
encadre et gre ? vol de donnes
Un rseau wifi connect au rseau de production est une porte ouverte pour les pirates. Casser
une cl wifi est un jeu denfant ! Fraude, cots inutiles,
Externalisation, sous-traitance, Cloud : les
vol ou perte de donnes,
Pas de suivi des sauvegardes et pas de tests de restauration : risques associs sont-ils valus et des clauses DG OUI.
interruption
de rversibilit sont-elles prvues ?
Cas frquent dune sauvegarde mal paramtre : le compte rendu affich indique : 0 erreurs de de services.
sauvegarde . La personne en charge du suivi est satisfaite. Mais juste au-dessus de 0 erreurs Lvolution des besoins lis la croissance des
Interruption
de sauvegarde , il est not 0 fichiers sauvegards 0 octets sauvegards ! En cas de panne ou volumes ou la modification des rgles de DG, DSI OUI
de services, cots
de vol du serveur, la perte de donnes est certaine. traitements est-elle anticipe et planifie ?
Pas de surveillance des logs ou des alertes : Existe-il un antivirus sur tous les quipe- Interruption de services,
DG, DSI OUI
Si un des deux disques en miroir sur un serveur est en panne, le serveur fonctionne quand ments de lorganisation audite ? vol de donnes
mme ! Si la panne du premier disque nest pas dtecte et remdie, la panne du deuxime
disque entrainera une interruption des services. Autre exemple : le journal de scurit du serveur
indique un chec de connexion, avec erreur de mot de passe, plusieurs fois par seconde. Cela
signifie un piratage en cours, avec recherche automatique du mot de passe par tests de toutes les
combinaisons de caractres possibles. Si ce piratage nest pas dtect, au bout de quelques jours
ou de plusieurs mois, le mot de passe pourra tre trouv par le pirate.
58 59
AUDIT INFORMATIQUE : TOUS CONCERNS !
08
10 FICHES PRATIQUES POUR RUSSIR
FICHE 08
EXPLOITATION
DES SYSTMES DINFORMATION
Thme / Question Enjeu / Risque Interlocuteur Rponse attendue Thme / Question Enjeu / Risque Interlocuteur Rponse attendue
Tout quipement (ordinateur, tablette, Les logs, les journaux, les alertes gnrs
Vol de donnes, Vol de donnes,
smartphone) connect au systme dinforma- automatiquement par les quipements
interruption de services, DG, DSI OUI interruption de services, DG, DSI OUI
tion a-t-il fait lobjet dune procdure informatiques font-ils lobjet dun suivi
fraude fraude
formelle et pralable dapprobation ? rgulier et permanent ?
60 61
AUDIT INFORMATIQUE : TOUS CONCERNS !
09
10 FICHES PRATIQUES POUR RUSSIR
FICHE 09
PLAN DE CONTINUIT
DACTIVIT
CONTEXTE ET ENJEUX
Le plan de continuit dactivit (PCA) doit permettre une entit la reprise et la continuit de ses
activits la suite dun sinistre ou dun vnement perturbant gravement son fonctionnement
normal. Il doit galement permettre lorganisation de rpondre ses obligations externes
A ce titre, les diligences du commissaire aux comptes en la matire sinscrivent dans le cadre des
CONTINUIT
NEP 315 et 570 relatives respectivement la connaissance de lentit et la continuit dexploitation.
Dans le cas dune externalisation du systme dinformation, un rapport ISAE 3402 est souvent
fourni par le prestataire informatique aux auditeurs pour leur permettre davoir une assurance
DACTIVIT
raisonnable sur les contrles effectus chez le fournisseur. Lanalyse de ce rapport constitue un
premier niveau de contrle mais des tests de procdures peuvent tre diligents pour conforter
cette analyse.
Pour cerner les facteurs de criticit dun PCA, lauditeur doit en connatre la dmarche
dlaboration. Elle sorganise gnralement en 5 tapes.
62 63
AUDIT INFORMATIQUE : TOUS CONCERNS !
09
10 FICHES PRATIQUES POUR RUSSIR
PLAN DE CONTINUIT DACTIVIT Thme / Question Enjeu / Risque Interlocuteur Rponse attendue
Etape 4 : Dfinir la stratgie de continuit dactivit 3. Identifier, analyser, valuer et traiter les risques
Des objectifs de continuit ont t fixs compte tenu des besoins dans labsolu et des scenarii de
Thme / Question Enjeu / Risque Interlocuteur Rponse attendue
sinistre retenus. Ces objectifs portent sur les activits et donc sur les processus et les ressources
critiques. Lanalyse des risques a-t-elle permis didentifier
ceux contre lesquels il est prioritaire de se Oprationnel DSI Prfrable
Pour rpondre aux objectifs de continuit, les exigences sur les ressources ncessaires au PCA, y
Une cellule de crise a t dfinie : composition et gouvernance de la cellule de crise, procdures Thme / Question Enjeu / Risque Interlocuteur Rponse attendue
etc. Enfin, le maintien du PCA en condition oprationnelle a t prvu : vrifications priodiques,
exercices et entranement etc. La stratgie a-t-elle t valide par la direction ? Oprationnel /Image DG OUI
10
10 FICHES PRATIQUES POUR RUSSIR
FICHE 10
CYBERSCURIT
CONTEXTE ET ENJEUX
La cyberscurit permet de lutter contre la cybercriminalit qui dsigne les dlits perptrs
distance par des systmes de communication comme Internet. La cybercriminalit concerne non
seulement les formes traditionnelles de criminalit, opres dans le cas despce via Internet,
mais aussi latteinte la confidentialit, lintgrit et la disponibilit des systmes dinformation.
CYBERSCURIT
ou installer des logiciels malveillants. Ce type dattaque ncessite des outils informatiques
capables de contourner les dispositifs de scurit du systme dinformation.
Lingnierie sociale : ces attaques exploitent les failles humaines, le maillon faible de la
CYBERSCURIT scurit informatique. Grce des techniques manipulatoires, les cybercriminels amnent
les collaborateurs de lentreprise compromettre la scurit du systme dinformation.
La cybercriminalit a toutes les caractristiques de la fraude telles que dfinies par la NEP-240.
Conformment cette norme, le commissaire aux comptes doit valuer les risques danomalies
significatives dans les comptes rsultant de ce type de fraude.
Les failles usuellement exploites par les attaques techniques concernent principalement la
scurit des applications Web. Trois raisons peuvent en tre lorigine :
1. La gestion incorrecte de lauthentification, des habilitations et du contrle daccs.
2. Linjection de donnes qui est une technique consistant insrer des donnes en entre dun
programme informatique afin de les dtourner de leur fonction dorigine.
3. Les fuites dinformation si les fonctionnalits ou composants internes une application ne
sont pas suffisamment cloisonns .
Certes lingnierie sociale tire profit de la navet et de la crdulit de ses victimes mais plusieurs
autres facteurs de criticit sont de nature favoriser ce type de cyberattaques :
1. La facilit daccs aux informations dcrivant lorganisation de lentreprise
2. Laccs aux informations personnelles des collaborateurs via les rseaux sociaux
3. Lutilisation par les collaborateurs de technologies non scurises
4. La complexit et la dcentralisation des organisations
5. Le nomadisme professionnel et le tltravail
6. Le manque dexemplarit des dirigeants
7. Et bien videmment, le manque de contrle interne et de formations associes.
66 67
AUDIT INFORMATIQUE : TOUS CONCERNS !
10
10 FICHES PRATIQUES POUR RUSSIR
FICHE 10
CYBERSCURIT
Virus Cryptolocker
Un mail intitul relance facture impaye est envoy au comptable dune entreprise. Le
Aprs avoir analys la prise en compte des risques par la direction gnrale, lauditeur pourra se
document joint contient un virus qui va chiffrer toutes les donnes accessibles par lordinateur
consacrer lvaluation des dispositifs de prvention de lentreprise avec des questions telles que :
contamin et les rendre inutilisables. La cl de dchiffrement est fournie contre le paiement
dune ranon.
Fraude aux virements Thme / Question Enjeu / Risque Interlocuteur Rponse attendue
Un important groupe industriel franais a reu un avis de changement de RIB, expdi soit
disant par un fournisseur, juste avant le rglement dchances importantes. Cette escroquerie Existe-t-il une structure ddie la gestion
de la scurit de linformation : un comit scurit, un
a permis de drober 1,6 M la victime. Oprationnel DSI OUI
responsable de la scurit du systme dinformation
Espionnage conomique (RSSI) et des correspondants scurit dans les units ?
Un Ministre franais a fait lobjet dune intrusion informatique et dun vol de donnes. Le Existe-t-il une attribution claire des responsabilits
point de dpart a t louverture de fichiers contamins par des utilisateurs manipuls et pour la mise en uvre et le suivi des volutions Oprationnel DSI OUI
apporter en matire de scurit du SI ?
crdules.
Existe-t-il des procdures dautorisation de nouveaux
Oprationnel DSI OUI
matriels ou logiciels ?
CYBERSCURIT
informations par des tiers ?
Le contrle le plus difficile et le plus sensible est sans doute celui relatif la prise en compte
Existe-t-il des modalits de raction aux incidents de
des risques de cybercriminalit par la direction gnrale. Le plus difficile, car lexercice fait appel
scurit et aux dfauts de fonctionnement :
la subjectivit des dirigeants. Le plus sensible, car de cette prise de conscience dpendent les signalement rapide des incidents de scurit
Oprationnel DSI OUI
investissements informatiques et les mesures mises en uvre. Ce contrle peut tre men en signalement dysfonctionnements de logiciels
capitalisation sur la rsolution dincidents
phase dinterim.
processus disciplinaire
La direction gnrale bnficie-t-elle dun Lorganisation sassure-t-elle que tous les anti-virus sont
retour direct du responsable de la scurit Oprationnel jour et fonctionnent correctement ? Si possible de faon Oprationnel DSI OUI
pour lui expliquer en des termes opration- Juridique DG OUI centralise, sinon selon une procdure documente.
nels et stratgiques les cyberrisques et leur Image
Les rgles de contrle daccs sont-elles formalises dans
prvention ?
un format tout est interdit sauf plutt que
Oprationnel DSI OUI
Une attention suffisante est-elle aussi bien tout est permis sauf ?
consacre la dfense a priori contre les Ces rgles sont-elles transmises aux salaris ?
attaques quaux oprations de remise en tat Oprationnel
La gestion des mots de passe et les systmes de dconnexion
des systmes a posteriori ? Juridique DG OUI
automatique vrifient-ils les rgles suivantes :
La DG a-t-elle mis en place un reporting pour Image
tout compte utilisateur doit tre protg par un mot de passe ;
centraliser et suivre les diffrentes tentatives
engagement des utilisateurs ne pas divulguer leur mot
de fraude au sein de lorganisation ?
de passe ; ne pas crire leur mot de passe de faon trop
Les fonctions essentielles de lentreprise vidente ; ne pas stocker leur mot de passe dans une proc-
ont-elles t scurises pour prserver la Oprationnel DG OUI dure automatique ; changer leur mot de passe ds quils le
rsilience de lentreprise en cas dattaque ? souponnent dtre compromis ;
contrle quun mot de passe temporaire est envoy pour
Oprationnel DSI OUI
La DG a-t-elle mis en place une cartographie la premire utilisation et quil est bien chang par
des risques ? La DG a-t-elle identifi les lutilisateur ds la premire utilisation ;
scnarios possibles en fonction des types contrle que les mots de passe temporaires sont
Oprationnel transmis aux utilisateurs de manire sre ;
dattaques ? Les donnes sensibles sont-elles
Juridique DG OUI contrle que le systme impose un changement rgulier
identifies et protges ? Les plans dactions en
Image du mot de passe ;
cas de crise sont-ils effectivement mis jour en
fonction des volutions technologiques ou contrle que le systme impose le choix de mots de
oprationnelles ? passe robustes ;
dconnexion automatique en cas dinactivit prolonge.
68 69
N DE N DE
TERME DFINITION
FICHE PAGE
Le Big data Des espaces o les salaris nont plus de poste de travail
BUREAU
attitr ni despace personnel. On parle galement de salaris sans 1 14
DYNAMIQUE
bureau fixe .
70 71
N DE N DE N DE N DE
TERME DFINITION TERME DFINITION
FICHE PAGE FICHE PAGE
Le FEC doit rpondre un certain nombre de critre pour tre Fichier des Ecritures Comptables. Fichier informatique standard qui
conforme. Parmi les principaux critres le FEC doit contenir au peut tre export partir de nimporte quel logiciel comptable
minimum 18 colonnes (pour un BIC) dont la plupart doivent tre compatible avec la rglementation franaise et qui est exig par 41, 42, 51,
Conformit
renseignes 100%, le fichier doit tre au format texte, Lensemble 7 53 FEC ladministration fiscale en cas de contrle fiscal. Ce fichier est norm 5, 7 52, 53,
formelle du FEC
de ces critres sont lists dans larticle A. 47 A-1 du LPF et complts et doit respecter ces normes sous peine damende ou de rejet de la 54, 55
par les questions rponses publies sur le site de ladministration comptabilit. Il sera bientt dposer en mme temps que la liasse
fiscale. fiscale.
Pour Customer Relationship Management ou encore Gestion de la ou Groupe de travail Article 29 sur la protection des donnes (en
Relation Client en franais. Ce terme dsigne lensemble des sujets anglais Article 29 Data Protection Working Party) est un organe
G29 6 48
lis au marketing, support et relation client. On parle rgulirement consultatif europen indpendant sur la protection des donnes et
CRM 1 14
de logiciel CRM qui dsigne donc un logiciel permettant de suivre ou de la vie prive.
danimer la relation avec le client (gestion des devis, relances clients,
base dinformation client, support technique etc). General data protection regulation ou Rglement gnral sur la 14, 21, 22,
GDPR 1, 2, 4 et 6
protection des donnes du 27 avril 2016 (Rglement UE 2016/679). 38, 47, 49
Un crypto-verrouilleur ou ransomware est une classe de logiciel
malveillant. Ce type de ranongiciel se diffuse principalement via
De langlais Social Engineering . Ensemble des techniques de
des courriels infects, dguiss en factures. Une fois activ, il chiffre
manipulation consistant exploiter la faiblesse humaine dans le but
les donnes personnelles de lutilisateur avec une cl secrte stoc-
Ingnierie sociale dobtenir des informations sensibles. Les pirates trouvent par la 10 67
ke sur des serveurs pirates et demande une ranon (payable en
CRYPTOLOCKER 10 68 persuasion une faille qui mne vers une ressource convoite : mots
bitcoins ou par des services externes) pour les rendre nouveau
de passe, donnes bancaires, fichiers clients, brevets, etc.
accessibles. Le message dalerte saccompagne dun compte rebours
de 72 ou 100 heures qui menace de supprimer les donnes si la
Attaque technique par le canal Internet consistant insrer des
ranon nest pas paye. En fait, une fois arriv zro, il augmente Injection
donnes en entre dun programme informatique afin de le dtour- 10 67
fortement le montant de la ranon. de donnes
ner de sa fonction dorigine.
La cybercriminalit dsigne les dlits perptrs distance par des
Lier deux fichiers sur la base dun ou de plusieurs champs communs.
systmes de communication comme Internet. La cybercriminalit
Exemple : jointure entre le fichier des bons dexpdition avec les
Cybercriminalit concerne non seulement les formes traditionnelles de criminalit, 10 67, 68 Jointures entre
factures de vente sur la base du numro du bon dexpdition pour 5 42
opres dans le cas despce via Internet, mais aussi latteinte la fichiers
identifier les expditions non factures et les factures sans bon
confidentialit, lintgrit et la disponibilit des systmes dinformation.
dexpdition.
Rseau anonymis et encrypt, de plus ou moins grande taille, qui
Dmarche ne se basant pas sur une galit parfaite mais avec un
concurrence le Web. Le trafic y est souvent lent et les usagers
Logique floue degr variable de concordance. Exemple : Jean est comparable 5 42
insaisissables. Citons ainsi les rseaux Tor, I2P ou encore FreeNet qui
Jan .
DARKNET sont particulirement plbiscits pour leur capacit hberger des 10 -
services cachs ( hidden services ). Autrement dit, il sagit de sites Journal des vnements, enregistr automatiquement par un
Internet dont ladresse IP nest pas rfrence par les fournisseurs de Logs systme informatique (serveur, quipement tlcom). Prcieux pour 6 et 8
49, 57, 58,
noms de domaine (DNS Providers). le diagnostic des pannes et la dtection des anomalies.
61
72 73
N DE N DE N DE N DE
TERME DFINITION TERME DFINITION
FICHE PAGE FICHE PAGE
Le RACI est un outil de formalisation des rles et responsabilits Le canal tant une interface par laquelle le client passe lacte
pour chaque partie prenante au projet. Cet outil est indispensable dachat, le multi canal se caractrise par le fait de pouvoir vendre son
Vente multi canal 1 14
pour tablir les attendus vis--vis de chaque partie prenante et ainsi produit par plusieurs canaux (magasins, site e-commerce, application
lever toute ambigut dans les processus de dcision. pour tlphone).
19, 21,
RACI R : Responsable, ou Ralisateur 2 et 4 Un virus informatique est un automate autorplicatif conu pour se
36, 37
A : Approbateur ( Accountable en anglais). propager dautres ordinateurs en sinsrant dans des logiciels
C : Consult lgitimes, appels htes . Il peut perturber plus ou moins grave-
I : Inform ment le fonctionnement de lordinateur infect. Il peut se rpandre
par tout moyen dchange de donnes numriques comme les
Virus
Il ne peut y avoir quun seul A par tche. rseaux informatiques et les cdroms, les clefs USB, les disques durs, 10 58, 68
informatique
etc.
Pour Radio Frequency Identification , dsigne la technologie Les virus informatiques ne doivent pas tre confondus avec les vers
permettant de scanner des produits en masse sans avoir les voir ni informatiques, qui sont des programmes capables de se propager et
RFID 1 15 de se dupliquer par leurs propres moyens sans contaminer le
les toucher. Cette technologie didentification automatique permet
ainsi un gain de temps dans le stockage et la recherche de produits. programme hte.
Pour Recovery Point Objective ou Perte de Donnes Maximale Se dit dune faille dans un logiciel ou systme dexploitation qui na
Admissible. Cet indicateur dsigne la dure maximale denregistre- pas encore t publie sur Internet et qui, par consquent, nest
RPO ment des donnes quil est acceptable de perdre lors dune panne. Ce 2 et 9 23 Zero day connue que de quelques-uns. Ds lors, ces initis peuvent exercer un 10 -
critre dfinit ltat dans lequel doit se trouver le nouveau systme chantage en menaant les entreprises qui utilisent lapplicatif
aprs basculement. vulnrable de publier la faille sur des sites spcialiss.
74 75
Laudit va disparatre... Nous parlons bien entendu de laudit traditionnel, le
papier crayon, qui subsiste encore chez certains de nos confrres mais dont
les centaines de milliers de donnes manipules par les entreprises leur
mnent la vie dure.
Notre profession se doit dvoluer pour continuer accompagner les
entreprises de plus en plus informatises et conserver le contrle des donnes
financires analyses dans un contexte de cas de fraude en croissance
permanente. Aprs une srie de confrences et formations sur le rle du
commissaire aux comptes dans la lutte anti-fraude organises entre 2015 et
2016, la CRCC de Paris, sous limpulsion de Frdric Burband, vice-prsident,
a dcid de crer le groupe de travail Audit informatique, en partenariat
avec lAFAI, qui rassemble des spcialistes du contrle interne informatique
et de lanalyse de donnes informatiques.