Académique Documents
Professionnel Documents
Culture Documents
20041210pres SarbanesOxleyAct Et Implication Du SI Gina Gulla Menez Benjamin Durieux
20041210pres SarbanesOxleyAct Et Implication Du SI Gina Gulla Menez Benjamin Durieux
systèmes d’information ?
Gina Gullà-Ménez
Benjamin Durieux
10 décembre 2004
1
Objectifs de la présentation
exigences
10 décembre 2004
2
Plan de la présentation
I - Contexte 16:30
La maîtrise des Systèmes d’Information
10 décembre 2004
3
Le contexte et
l’esprit de la Loi
La maîtrise des Systèmes d’Information
10 décembre 2004
5
Extraits d’une loi contenant
plus de 60 articles
Lutter contre
Fiabiliser le
Renforcer la les fraudes et
La maîtrise des Systèmes d’Information
reporting
gouvernance les délits
financier
d’initiés
7
Exemples de répercussions
La maîtrise des Systèmes d’Information
Lutter contre
Fiabiliser le
Renforcer la les fraudes et
reporting
gouvernance les délits
financier
d’initiés
10 décembre 2004
10 décembre 2004
10
Le contrôle interne
informatique
Les contrôles au niveau de l’entité sont le reflet de
l’environnement de contrôle et de l’impulsion que lui donne la
La maîtrise des Systèmes d’Information
10 décembre 2004
11
Les contrôles informatiques
La maîtrise des Systèmes d’Information
10 décembre 2004
12
Company-Level Controls
Exemple
La maîtrise des Systèmes d’Information
10 décembre 2004
13
General IT controls
Exemple
La maîtrise des Systèmes d’Information
10 décembre 2004
14
Application Controls
La maîtrise des Systèmes d’Information
10 décembre 2004
15
Plan de la présentation
I - Contexte 16:30
La maîtrise des Systèmes d’Information
10 décembre 2004
16
Référentiel pour les systèmes
d’information
SOA
La maîtrise des Systèmes d’Information
ITGI
PCAOB
COSO
Numéro Processus Sous processus Objectif de contrôle Nature Assertion de contrôle interne Cat. d'obj.
du du EO = Existence Occurence COSO
C = Completeness
contrôle contrôle VA = Valuation / Allocation C = Conformité
F = Fiabilité
(P, D, C) RO = Right / Oligations O = Operations
PD = Presentation and Disclosure
RA = Restricted Access
SA = Safeguarding Assets
K26.0
Acquérir et mettre en Gérer les Il existe des environnements P EO, RA, VA F, O
place les solutions modifications distincts et appropriés pour réaliser
informatiques les modifications. Les modifications
doivent être réalisées dans un
environnement de développement
puis testées en recette.
K26.1
Acquérir et mettre en Gérer les Les modifications ne peuvent pas P SA, RA, VA F, C, O
place les solutions modifications être appliquées directement dans
informatiques le système de production.
K26.2
Acquérir et mettre en Gérer les Il existe une procédure P EO, SA F, O
place les solutions modifications d'annulation ("marche arrière") des
informatiques modifications.
K26.3
Matrice de
ITGI contrôle interne
10 décembre 2004 informatique
17
PCAOB Auditing Std n°2
La maîtrise des Systèmes d’Information
10 décembre 2004
18
Le COSO Committee of
Sponsoring Organizations
10 décembre 2004
19
Le COSO*
La maîtrise des Systèmes d’Information
10 décembre 2004
(*) voir site IFACI
20
Le COBIT
L'infrastructure COSO donne peu d'informations
concernant les contrôles IT spécifiques. Par
La maîtrise des Systèmes d’Information
21
Le document de
l’ISACA/ITGI
Ce document établi la correspondance entre les
contrôles généraux IT du PCAOB, les objectifs de
La maîtrise des Systèmes d’Information
contrôle du COBIT et les objectifs du COSO.
10 décembre 2004
22
Un exemple de modèle de
matrice de contrôle
Processus Sous- Objectif de Nature du Exemple Exemple de Element
La maîtrise des Systèmes d’Information
processus contrôle risque de contrôle test de du COSO
contrôle
23
Plan de la présentation
I - Contexte 16:30
La maîtrise des Systèmes d’Information
10 décembre 2004
24
Une démarche de projet
Suivre les
Audit externe plans
d’action
25
Type de documentation
produite
3 niveaux de contrôles sont à prendre en compte
et doivent être documentés de manière
La maîtrise des Systèmes d’Information
appropriée.
« Company Level Controls »
« General Controls »
« Application Controls »
La documentation doit démontrer la traçabilité
entre les risques liés à la production des états
financiers, les objectifs de contrôle, les activités
contrôles, les tests et les plans d’action.
Avant la phase d’évaluation, des documents
standards sont réalisés, de manière à assurer la
cohérence d’ensemble de la documentation. Ces
documents sont particulièrement importants dans
le cadre d’une grande entreprise.
Pendant la phase d’évaluation, les documents
finaux, qui sont réalisés au niveau de chaque
entité.
10 décembre 2004
26
Quelques inducteurs de charge
Complexité de l’organisation:
Nombre d’entités juridiques
La maîtrise des Systèmes d’Information
10 décembre 2004
28
Attentes de l’auditeur externe *
part entière
Contrôles pouvant s’aligner sur le Cobit
Formalisation des contrôles
Points clé : Change control et Logical security
Période de fonctionnement des contrôles
suffisamment longue
10 décembre 2004
29
Difficultés habituelles
rencontrées*
Sous-estimation de la charge de
La maîtrise des Systèmes d’Information
documentation
Hétérogénéité des pratiques IT, des
applications et des systèmes
Superposition avec des normes déjà en
place (ISO, Qualité)
Impossibilité pratique à effectuer des
actions de rémédiation dans les délais
Prestataires ne pouvant pas fournir de
rapport SAS 70 type II
(*) extrait de la présentation de KPMG – LSF/SOX et informatique : retour
d’expérience vécues par les auditeurs
16 novembre 2004 (AFAI/IFACI)
10 décembre 2004
30
Conclusion
contrôle interne.
31
Liens (1/2)
La loi en PDF :
news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf
La maîtrise des Systèmes d’Information
32
Liens (2/2)
10 décembre 2004
33
Conclusion
Notre approche :
La maîtrise des Systèmes d’Information
SOA
Effet d’aubaine
ou
Risque du “pompier-pyromane” ?
10 décembre 2004
34
Plan de la présentation
I - Contexte 16:30
La maîtrise des Systèmes d’Information
10 décembre 2004
35
Questions - réponses
La maîtrise des Systèmes d’Information
10 décembre 2004
36
Extraits du discours de
John A. Thain - CEO / NYSE (27/05/2004)
à l’Economic Club of New York City
10 décembre 2004
37