Systèmes d’information (SI) indisponibilité des systèmes fréquents, résolution de problème référentielles ne sont pas sous une responsabilité
férentielles ne sont pas sous une responsabilité unique et mise Processus op: ensemble interrelié d’activités ou event
Ensemble de moyens technique, organisationnelle et humain,
visant à assurer la création, la circulation, la destruction de
l’information dans une organisation. Il s'agit d'un système
socio-technique composé de deux sous-systèmes, l'un social et
l'autre technique. Le sous-système social est composé de la
structure organisationnelle et des personnes liées au SI. Le
sous-système technique est composé des technologies et des
processus d'affaires concernés par le SI.
Technologie de l’information
use, development, and management of computer-based
systems, software, networks, and electronic data for storing,
processing, transmitting, and retrieving information. It
encompasses a wide range of technologies, practices, and
disciplines that are utilized in various industries and sectors to
facilitate the efficient handling and utilization of information.
Organisation d’un département informatique
L’entité en charge de l’ensemble : Des composants matériels
(postes de travail, serveurs, équipements de réseau, système de
stockage, de sauvegarde et d’impression) et logiciels du
système d’information. Ainsi que du choix et de l’exploitation
des services de télécommunications mis en œuvre
Une importance plus ou moins grande selon l’activité de
l’entreprise. Souvent rattachée à la Direction Financière et
idéalement à la Direction Générale L’IT va recevoir des
informations des autres cadres, cette vision on va la transformer
en réalité (budget, structure) Les macro-fonctions suivantes
seront toujours représentées. Services applicatifs : études,
développement et évolution des applications mise à disposition
et exploitation des applications, Support fonctionnel (mail, site
web). Services techniques : réseaux et télécom, hébergement,
sécurité, serveurs. Services utilisateurs : environnement de
travail (numérique de travail, définition des usages prioritaires,
identification et mise en place des solutions), support
Différence Hardware & software
Hardware: Le matériel informatique comprend les parties
physiques d’un ordinateur, telles que les boîtiers, l’unité
centrale de traitement, la mémoire vive, le moniteur, la souris,
le clavier, le stockage de données, la carte graphique, la carte
son, les haut-parleurs et la carte mère
Software. Les logiciels (software) sont les programmes qui
s’exécutent sur un ordinateur. Un SI nécessite à la fois du
matériel et des logiciels pour fonctionner OS : Operating
system ou system software permet au système de fonctionner
Risque d’erreurs inhérent
ELC : organisation, informatique et contrôles : ton moral
Stratégie et informatique IT, Dépendance plus ou moins
importante sur la disponibilité, Gestion des risques ?.
Evaluation du SCI ?, Degré de sensibilisation à la sécurité des
utilisateurs, Séparation de fonctions ? back-up
ITGC (IT General Control)  hardware
Contrôles jonchant les principaux processus de la fonction IT
Gestion du développement : discipline de gestion qui vise à
planifier, coordonner et contrôler toutes les activités liées au
développement de projets. Elle englobe l'ensemble des
processus qui permettent de définir, de concevoir, de réaliser et
de déployer des projets informatiques. Elle inclut également la
gestion des ressources, la gestion des coûts et des délais, la
gestion des risques, la gestion de la qualité et la gestion de la
communication. (Dépendance aux fournisseurs : 1 seul
développeur informatique externe => peut poser problème si
absent ou si erreur de sa part), absence de savoir-faire,
développement des applications comptable en interne,
dépendance aux fournisseurs, dépendance de fonction clés
Gestion des changements (évolutions, paramétrage) :
discipline de gestion qui vise à planifier, à mettre en place et à
contrôler les processus de changement dans une organisation.
Elle englobe l'ensemble des processus qui permettent de gérer
les changements dans les pratiques, les processus, les
technologies ou les cultures organisationnelles. Elle inclut
également la communication avec les parties prenantes, la
gestion des risques et la gestion de la résistance au changement.
Indisponibilité des systèmes fréquent => si quand il y a des
changements ce n’est pas assez stable il faut auditée et voir le
problème, absence de savoir-faire en application IT,
dépendance aux fournisseurs, pas de documentation,
trop prend trop de temps
Gestion exploitation (interfaces, Batch, incident) : discipline
de gestion qui vise à planifier, à coordonner et à contrôler les
activités liées à l'exploitation des systèmes informatiques. Elle
englobe l'ensemble des processus qui permettent de gérer les
services informatiques, notamment la gestion des incidents, des
problèmes et des changements, la gestion des niveaux de
service, la gestion des capacités et la gestion des
configurations. Démarrage tardif de l’IT (indisponibilité des
systèmes), absence de test de restauration, exploitation
négligée, dépendant de outsouring, faiblesse de l’intégrité des
sauvegardes
Gestion de la sécurité (gestion des accès, protection faces aux
risques environnementaux).
Sécurité logique: Pas de séparation des fonctions entre la
comptabilité et l’informatique (accès et MDP), Protection
appropriée des accès au niveau du réseau et du système
d’exploitation, cependant au sein des applications les droits
d’accès sont peu différenciés. Faiblesses en termes de sécurité
physique (accès, détection de la fumée et des incendies,
climatisation et alimentation électrique) dans le centre de calcul
ou la salle des serveurs,
Points clés des éléments ITGC – contrôles généraux
Gestion exploitation : Supervision des traitements planifiés ,
Gestion des incidents, Sauvegardes et continuité d’activité
(important concernant la cybersécurité)
Gestion du développement et des changements:
Spécifications, tests et validation des changements. Séparation
des fonctions entre développement et mise en production, Test
de non régression: on fait des tests afin de voir si le test est
meilleur ou du moins pas pire, Séparation des environnements
Gestion  comment je crée, je modifie, j’archive et je
supprime la donnée
Sécurité physique: Création / modification / blocage des
accès, Protection face aux risques environnementaux)
Sécurité logique : Création / modification / blocage des accès,
Paramètres de mots de passe, Revues périodiques des accès
ITAC (IT Application Control)  software
Permettent l’évaluation de l’efficacité des contrôles embarqués
dans les systèmes pour sécuriser les processus métiers
concourant à l’élaboration des états financiers
Saisie, traitement, output, interfaces  bcp d’éléments
autour de ces contrôles applicatifs. ITAC peuvent inclure des
mesures de sécurité telles que l'authentification et l'autorisation
des utilisateurs, la détection et la prévention des intrusions, le
chiffrement des données et la gestion des accès. Ils peuvent
également inclure des procédures pour s'assurer que les
données sont exactes et fiables, telles que des contrôles de
validation des entrées, des ctrl de traitement des données et des
ctrl de sortie.
Démarche ITAC : 1. Approche générale : identifier le type
d’erreur / risques / contrôle 2. Quelle est la nature de la donnée
et le type d’erreur associé? 3. Donnée Bases : erreur répétitive
4. Données Paramètres : erreur systématique 5. Données de
Flux : erreur unique 6. Saisie / Traitement / Transfert / Sortie
(output) vs Intégralité / Exactitude/ Accès
Audit de la fonction informatique
Vise la qualité des processus informatiques lié à ITGC (aspect
infrastructure)
Audit des processus informatisé
Vise l'efficacité des contrôles intégrés dans les applications et
de la sûreté du fonctionnement quotidien du système
d'information lié à ITAC (aspect processus)
Gouvernance des données - Cycle de vie de la donnée
Les principaux domaines d’intervention de la gouvernance des
données comprennent la disponibilité, la convivialité, la
cohérence, l’intégrité et la sécurité des données, la conformité
Analyse des risques et criticites :
Une gouvernance des données pas ou mal définie a des
conséquences directes sur la fiabilité des données: référentiels
clients, fournisseurs, comptables incohérents, incomplets,
redondants, nomenclatures multiples, identifiants manquants,
silotage entre applications, problèmes d’interfaces. La piste
d’audit est directement impactée lorsque les données
à jour en fonction des besoins opérationnels ou règlementaires.
Gouvernance et pilotage des SI, impact sur les couts, gestion
des imprévus ou des crises ont des conséquences sur la révision
des comptes  risque dont le réviseur doit tenir compte
La gouvernance informatique vise 3 objectifs via la mise en
place d’une structure chargée des informations, des processus
opérationnels, des applications et des infrastructures :
1. Générer de la valeur commerciale
2. Monitorer les performances de gestion
3. Atténuer les risques liés à la technologie de l’information
(selon ISO, COBIT, NIST, ITIL)
Étapes minimales pour l’analyse de gouvernance IT :
Revue des contrats (online en général), Revue des SLA, Revue
des KPIs informatiques, Analyse des risques, Identification des
frameworks en place
Fournisseurs systémiques
On
premises : le client gère tout  difficile à gérer
SAAS : rien n’est géré par le client  plus facile à gérer, c’est
du outsourcing  il faut un rapport d’audit sur la sous-traitance
 on demande des rapports type ISAE3402
Future de l’IT
IA : Le monitoring est très important => il doit être possible de
« tirer la prise si l‘IA pose problème
IOT : IOT presents specifically high cyber security risks. NIST
is developing industry standards to protect IoT.
Network – 7 couches pour les communications SI
1. phyisque, 2. Bus de données, 3. Réseaux, 4. Transport, 5.
Session, 6. Présentation, 7. Application  plus les hackeurs
sont proches du physique plus il sera discret  souvent 3 et 4
Gestion de projet :
Équilibrer les ressources et le temps pour atteindre un objectif,
Principales contraintes sont : portée, temps et budget
Facteur d’influence – 5 facteurs
Permettent de connaître la profondeur de l’audit à faire  car
influence la probabilité ou l’impact des risques.
SCI, Caractère significatif (mettre en relation avec le volume
pour la matérialité), technologie de l’information (dépend de
ou se situe le TI dans l’entreprise, si au centre  impact sur le
bénéfice), résultat de l’analyse des comptes annuels (check
variation entre période, charge IT, aucune variation), violations
Approche d’un audit – Composant audit IT
Contexte : bases légales, normes de l’industrie (COBIT),
réglementation nationales et internationales (RGPD),
évaluation des risques et planification de l’audit
La démarche : différents acteurs (CFO, RH etc.)  ITAC –
GC au moins 2 contacts, collecte de données et analyse
(processus métiers bien sécurisé selon RGPD), élaboration de
conclusion et recommandations, communication des résultats
Approches d’audit et environnement informatique
1. identification des risques informatiques (risque IT = risque
commercial)  prise en compte de l’impact sur le risque
commercial associé aux Technologie d’information
2. conformité à la normes ISA 315 (il faut tout contrôler,
notamment environnement informatique (ITGC)
3. efficacité : notamment analyse des données
Processus métiers : Être en mesure d’évaluer les processus
d’affaires de l’organisation qui font l’objet d’une vérification.
Cela comprend un test et une évaluation de la conception et
mise en œuvre de l’exploitation des contrôles ainsi que la
surveillance et la mise à l’essai des éléments probants pour
s’assurer que les contrôles internes au sein de l’entreprise sont
en œuvre
Proprio : exigences, approuver la conception et la gestion
entrainant la livraison d'un produit, contrôler par des politiques,
procédures pour fournir une assurance raisonnable
Fusion :
Augmente le risque Inhérent car diversification des activités.
Assertions
Intégralité: toutes les infos sont prises en compte, sans
omission
Exactitude : la précision des informations et des calculs
Validité: on regarde dans une facture que ce soit exact mais le
chiffre qu’on a est valable ou non (TVA 19% en suisse => pas
valide car TVA = 7.7%)
Droits d’accès: système d’identification des users est en place
Existence: actifs dans nos états financiers il correspond en
physique en réalité (heure de travail par employés réels)
Estimation : actifs à la bonne valeur par rapport au marché
Droits et devoirs : respect des règles du territoire et contexte
Présentation & transparence : ce qu’on présente dans nos EF
Fiabilité : Fournir une qualité de l’information irréprochable
Integrité = integralité + exactitude  les traitements sont
complets et exacts
Conformité : Remplir toutes les obligations de loi et
règlements
Efficience : Le déroulement des transactions est automatisé de
manière optimale
Disponibilité : Assurer le fonctionnement continu du système
Efficacité : répondre précisément à un besoin (calcul des
salaires pas besoin de contrôle manuel)
Confidentialité : garantir que l’info n’est pas accessible à
autrui
Période correcte: prise en compte correcte des dates (ITGC)
Comptabilisation correcte: l’imputation comptables est
rigoureuse
Bases légales, normes, règlements Principe du justificatif : matérialisation des calculs (doc)
Référentiel standard: Committee of Sponsoring Organization Archivage : les obligations de rétention d’info sont respectées
of the Treadway Commission (COSO), Control Objectives for Trace d’audit : les changements clefs d’info sont documentés
Information and related Technology (COBIT), Risques d’erreur liés aux contrôles applicatifs
Information Technology Infrastructure Library (ITIL),
Normes : ISO 27001 (exigences relatives aux systèmes de
management de la sécurité des informations),
National Institute of Standards and Technology (NIST)
Règles de bases de la régularité de l’information: de la
comptabilité art. 927 CO du traitement des données art. 2 al.2
OLICO  comptabilité fidèle et systématique, Justification de
chaque enregistrement par une pièce comptable, Clarté,
Traçabilités des éléments comptables, Adaptation à la nature et
la taille de l’entreprise
Environnement de l’entreprise Paramètres : erreur systématique, si erreur très problématique
 type de données
Données de bases: erreurs répétitives, fraudeur pourrait
modifier son salaire
Données de flux: erreur unique ca arrive une fois, dur à
identifier
Système de Contrôle Interne (SCI)
Définition : Un SCI est l'ensemble des principes et procédures
E dépendante de qualité de l’informatique de tous ses ("contrôles internes") fixés par une entreprise ainsi que les
partenaires processus destinés à atteindre les objectifs d’entreprise.
Approches risques Objectifs : Gestion régulière et efficace (y compris respect des
NAS 315 ch.18: l’influence de l’informatique dans l’analyse politiques de gestion si SI pose problème  not rely),
des risques lors de la planification d’un audit peut être très Sauvegarde des actifs, prévention et détection des fraudes,
importante. L’existence d’un environnement informatique ne Exactitude et intégralité des enregistrements comptables,
modifie pas l’objectif et l’étendue de l’audit. Par contre: Établissement en temps voulu d'informations financières
l’auditeur doit acquérir la connaissance du système fiables, Respect des lois et prescriptions (RGDP ou LPD)
d’information et des processus opérationnels y afférents, qui  Maintenir le risque de contrôle le plus faible
ont un rapport avec l’élaboration de l’information financière Facteurs : Besoins comptables, Contraintes opérationnelles,
Plus la compta dépend de l’IT plus les CTRL IT sont imp. Loi et Ordonnance et normes, Culture d’entreprise, Les acteurs
Types de risques – élements du risque d’audit employés, Le but de l’entreprise, La méthode de mise en œuvre
Risque d’erreur : découle du risque lié au contrôle et inhérent et sa gestion, Archivage, reproduction, Les contrôles manuels,
Risque d’entreprise : de contrôle X inhérent automatiques, séparation des taches
Objectif : réduire le risque de non-détection au maximum Comprendre le SCI – 2 étapes :
1. saisir les mesures de contrôles pertinentes  control design
2. apprécier ces mesures de contrôles  op. effectiveness
Comment saisir les mesures de contrôles pertinentes :
Observer les activités et processus de travail
Recueillir de l’information à l’aide d’auditions : corroboration
Evaluer les diagrammes de fonction et cahier des charges
Réaliser des questionnaires sur les facteurs déterminants :
Matrice RASI : défini les rôles et responsabilité. Effectuer des
tests de cheminement => what could go wrong (WCGW) 
facteur déterminants : La fonction des organes dirigeants, La
philosophie et le style de direction. La structure de l'entreprise
et les méthodes de délégation de pouvoir et de responsabilité,
Le système de contrôle de la direction comprenant la fonction
d'audit interne, Les politiques et les procédures relatives au
personnel ainsi que la répartition des tâches.
Définition & objectif du contrôle interne (COSO)
Le contrôle interne est un processus exercé par le conseil
d'administration, le management et par d'autres collaborateurs
de l'entreprise, propre à apporter une assurance raisonnable que
les objectifs suivants sont atteints  3 objectifs :
1. fiabilité des états financiers : légales et obligatoires
2. rentabilité et efficience de l’exploitation : bien pr société
3. respect des normes et prescription
SCI qui fait quoi
Conseil d'administration : Il est responsable de la mise place
et de la maintenance du SCI (716a/1 CO); 7 droits qu’il ne
peuvent pas déléguer ou que si ils délèguent ce sont eux les
responsables Il rapporte dans l'annexe au bilan sur la gestion
des risques (663b CO). Management : Mise en œuvre des
décisions du conseil d'administration. Organe de révision :
Audite le SCI. Au sens strict il ne fait pas partie du SCI. Audit
interne. De manière ponctuelle, il audite le SCI. Au sens strict
il ne fait pas partie du SCI- Responsable des finances (CFO) :
Le vrai chef d'orchestre du « SCI financier ». Ctrl interne
(Compliance) : S’assurer du respect et de l’efficacité du SCI.
Participe à sa définition
L’audit interne et la gestion du risque :
Son rôle est limité, audit interne très indépendant (rattaché au
CADM), contrôle interne (interne à l’entreprise fait partie du
SCI risk & compliance)  audit interne ≠ contrôle interne
Normes d’audit sur la vérification du SCI - NAS 890 :
La responsabilité d’un SCI et d’une gestion des risques
appropriés incombe au CADM. La responsabilité de la mise en
place incombe à la Direction. Le SCI est désormais
explicitement désigné dans la loi comme objet de vérification.
Le SCI se rapporte au « rapport financier ». L'étendue et la
conception du SCI dépendent de la taille et de la complexité de
l’activité de l’entreprise. Le SCI comprend tous les processus et
les mesures qui garantissent une tenue régulière de la
comptabilité et un rapport financier adéquat. Le SCI peut être
structuré comme suit: contrôles au niveau de l’entreprise
(ELC), contrôles des processus (PC) et ITGC  comprendre
et évaluer. Une structuration selon le référentiel COSO
Bases légales du SCI
Exigences directement formulées: Ordonnance sur les
banques (art. 12 al.4), Circulaire FINMA 2008/21 (Risques
opérationnels banques), Circulaire FINMA 2008/24
(Surveillance et contrôle interne), Ordonnance sur les bourses
(art. 20), Loi sur la surveillance des assurances (art. 27)
Exigences indirectement formulées (via la définition du
mandat de l'organe de révision), SA (663b et 728a al1 ch3 CO),
SàRL (818 CO), Fondations (83b CC), Associations (69b CC),
Sociétés coopératives (906 CO)
Critère uniformes (727 CO) : bilan > 20 millions, Chiffres
d’affaires > 40 millions, > 250 employés, 2 conditions 2 ans
Les bases légales du SCI – exigences de fiabilité des EF
Le département fédéral des finances (DFF) peut faire un audit
sur les données pour faire un Check avec la TVA
L’informatique est directement concerné
CO „comptabilité“ (957a ss.) droit comptable
OLICO : Ordonnance concernant la tenue et la conservation
des livres de comptes : Art. 3 Intégrité (authenticité et
infalsifiabilité) Le mode de tenue, de saisie et de conservation
doit garantir que les livres et les pièces comptables ne puissent
être modifiés sans que la modification soit apparente
OelDI : Ordonnance du DFF concernant les données et les
informations qui sont transmises par voie électronique : Art. 8
Traçabilité des opérations commerciales Chaque opération
commerciale doit pouvoir être contrôlée individuellement sans
retard déraisonnable et sans occasionner de frais importants,
depuis les pièces justificatives en passant par les livres
comptables jusqu'au décompte de la TVA, et inversement.
 Il faut pouvoir répondre à ces règles lorsque l’informatique
est utilisée (en rouge)
Transfert en production
1. Développement d’un logiciel dans un environnement de
développement (n’ayant pas d’impact sur la vie réelle)
2. Environnement de test réel pour voir si le programme
marche (super-utilisateur) donc expert qui vont valider
certaines choses et donner un resetage
3. Administrateur système (indépendant) déplace à 4
4. Environnement de production (environnement dans lequel
l’entreprise fait toutes ses opérations)
Objectif de contrôle : Les modifications et développements
sont uniquement transférés à l‘environnement de production si
les éléments suivants sont présents: Développement /
Changement autorisé Adéquatement testé et accepté par les
utilisateurs Documenté et conforme aux directives de
développement et de qualité. Domaines très sensible et tres
formalisé et le développeur ne pourra pas travailler sur le
produits finis notamment pour éviter la fraude
 Aujourd’hui « dev-ops » boucle entre les 4 étapes pour
aller plus vite mais génère des erreurs
Séparation des fonctions avec l’informatique
Certain processus sont coupés à certains utilisateurs
Développeur ne peut pas accéder à la gestion des données =>
trop gros risques de fraudes.
Développement processus opérationnel => conflit le plus grave
End-user – exploitation => pourrait supprimer des données
Outsourcing
Utilisation de la sous-traitance augmente : Helpdesk,
Développement d’applications , Applications complètes : SaaS
Infrastructure dans le Cloud : IaaS
La direction informatique peut sous-traiter ses travaux mais pas
ses responsabilités. Le réviseur doit savoir ce qui se passe chez
son client même s’il sous-traite. Auditer la sous-traitance :
les outsourcer ne peuvent pas se faire auditer par tout le
monde
Standards sont apparus : SAS70 > SSAE16 > SSAE18 >
ISAE3402, Rapports SOC1 et SOC2, SOC3
Dans les normes SSAE18, une distinction est faite entre une
évaluation SOC (Systems and Organization Control) 1 et une
évaluation SOC 2.
Un rapport SOC 1 est composé d’objectifs de contrôle utilisés
pour représenter avec exactitude le contrôle interne en matière
de rapports financiers (CIRF).
Un rapport SOC2 : rapport d'audit qui évalue les contrôles
relatifs à la confidentialité, l'intégrité, la disponibilité, la
sécurité et la protection de la vie privée des informations d'une
organisation. il est utilisé pour évaluer les contrôles internes
d'une organisation liés aux informations non financières.
SOC 3 SOC for Service Organizations: Trust Services Criteria
for General Use Report : rapport d'audit qui fournit une
évaluation générale des contrôles d'une organisation relatifs à la
confidentialité, l'intégrité, la disponibilité, la sécurité et la
protection de la vie privée des informations.
SOC on Cybersecurity Risk Management Reporting
Framework: : Le Cadre de Reporting de Gestion des Risques
de Cybersécurité (CRISC) est un cadre de reporting développé
par l'American Institute of Certified Public Accountants
(AICPA) qui fournit des directives pour l'évaluation des risques
de cybersécurité et la communication des résultats.
Indicateur de risques d’erreur Gestion exploitation (ITGC)
Risques : Interruption d’un ou plusieurs systèmes, Perte de
confiance des utilisateurs, Pertes de données, Impact sur la
pérennité de l’entreprise
Indicateurs de faiblesse : Disponibilité des systèmes non
prévisible, Intégrité des données impactée, Efficacité/efficience
du service aux utilisateurs, Nombre d’interruptions ou d’erreurs
qui impactent les opérations de l’entreprise, Nombre d’heures
d’interruptions en raison des incidents
Gestion des problèmes d’exploitation au quotidien
Objectifs: Analyser les procédures de suivi des
dysfonctionnements du SI (suivi des pannes / indisponibilités,
volumétrie, indicateurs de performance), Vérifier qu’une
fonction d’exploitation existe et assure une disponibilité
satisfaisante du SI
Analyse de : Suivi des performances du SI, Disponibilité du
SI, Fonction d’exploitation, Historique de surveillance des
activités
Résultat et incidence sur le risque inhérent : Faible, modérée
ou élevée
Résilience IT – Cyber-résilience (Modèle NIST)
Protéger – répondre – identifier (actifs informationnels vitaux
et critique) – restaurer (reconstruction du SI et continuité
d’activité) – détecter (prévenir la corruption des données et
garantir leur intégrité)
Résilience : capacité à revenir à son état initial
Dans le domaine des technologies de l'information, la résilience
fait référence à la capacité d'un système informatique à
continuer à fonctionner en cas de panne, d'incident, de piratage
ou d'augmentation des opérations commerciales
Systèmes et Données sont à prendre en compte. Peu importe la
sécurité c’est le back up et la résilience qui comptent
DRP (disaster recovery plan) : Le Plan de Reprise d'Activité
(PRA), est un ensemble de procédures et de mesures mises en
place pour permettre la reprise des activités d'une entreprise
après un incident majeur qui a affecté ses systèmes
d'information ou son infrastructure. Le DRP vise à rétablir
rapidement les systèmes critiques de l'entreprise et à minimiser
les perturbations pour les utilisateurs et les clients. vs
PCA (plan de continuité des activités) : est un ensemble de
procédures et de mesures mises en place pour garantir la
continuité des activités critiques d'une organisation en cas
d'incident ou de catastrophe. Le PCA permet à une entreprise
de minimiser les impacts négatifs d'un événement perturbateur
et de reprendre rapidement ses activités après un incident.
Site chaud : totalement transparent pour l’utilisateur (d’autres
serveurs prennent le relai en cas de panne)  réplique la
situation sans interruption pour l’utilisateur  coût bcp plus
élevés que pour un site froid (chaud = en ligne)
Site froid : toute les machines sont dans une pièce, on doit
venir avec des bandes de sauvegardes afin de charger et mettre
à jour les programmes dans le serveur puis charger les données
Site tiede : on maintien tous les programmes à jour et on vient
avec les données (entre chaud et froid)
Sécurité IT
Classification des données confidentielles  focus sur ce qui
est vraiment clé, La cybersécurité n’est pas toute la sécurité !
Sécurité Logique ET Sécurité Physique sont clés: Gestion
des accès, Ségrégation des réseaux, Patch/update des systèmes,
Formation des users, Classification des données confidentielles,
Respect des lois (GDPR), archivage et back-up, résilience
Principes zero trust network architecte (ZTNA)
Les mesures traditionnelles de sécurisation du système
d’information (SI), telles que les pare-feux, le cloisonnement
(physique ou logique) ou les VPN, rencontrent des limites.
Déf ZTNA : concept d’architecture pour le renforcement de la
sécurité d’accès aux ressources et aux services et non pas une
technologie. le concept Zero Trust adopte une approche de
confiance minimale, où chaque demande d'accès est vérifiée et
authentifiée, quelle que soit la source ou l'emplacement de
l'accès. BUT : améliorer la sécurité en adoptant une approche
de confiance minimale, en appliquant des contrôles d'accès
stricts et en renforçant la visibilité et le contrôle sur les
systèmes d'information  ctrl régulier, dynamique et
granulaire
Audit d’une application – 8 étapes
1. analyse du bilan et du compte de résultat : définition des
objectifs, des rubriques du bilan et du compte de résultat
pertinent pour l’audit. Identification des transactions ou classe
de transaction à l’origine des positions.
2. identification des processus opérationnels et flux de
données : documentation sous forme de tableau (solution
adaptée à des éléments comptables et interactions simples, sous
forme de modèle processus (solution adaptée à des interactions
complexe), sous forme de flux de données (solution adaptée à
l’analyse effective d’interaction complexes)
3. identification des applications clés et interfaces :
2 méthodes pour se doter d’un applicatif : Développement
(make): besoin, budget, communication, test  Analyse,
Programmation, Tests, Droits d’accès
Achat d’un logiciel standard (buy): fonction, coûts,
maintenance  Certification, Paramètres, Interfaces,
Développements spéciaux, Droits d’accès
Les applications standard constituent (aussi) un défi (surtout
lorsqu'il s'agit d'applications fortement adaptées). Les éléments
suivants doivent ainsi être pris en compte : Maturité de la
version logicielle, Degré de paramétrisation, Résultats d'audit
antérieurs, Forum Internet, Documentation relative à la release
4. identification des risques et contrôles clés
A. Délimiter l'univers du contrôle évalué et vérifié dans les
étapes suivantes. B. Constater quels contrôles clés atténuent les
risques pertinents (scénarios de dommages) C. Analyser
l'impact sur les montants déclarés dans les états financiers
5. test de cheminement
Contenu et objectifs : Exécution et documentation des
processus / types de transactions pertinentes. Sert à vérifier la
compréhension du processus concerné et à confirmer l'analyse
précédente
Contexte : Vérification des processus et du traitement,
Estimation de la consistance / pertinence de la documentation
et des diagrammes disponibles, Confirmation de l'existence des
contrôles pertinents
6. évaluation de la conception du contrôle
Contenu et objectifs : Les risques identifiés sont-ils
entièrement couverts?, Les objectifs de contrôle peuvent-ils
être atteints par les contrôles mis en place? Les contrôles sont-
ils efficaces et efficients? D'autres contrôles (supérieurs ou une
combinaison de contrôles) sont-ils éventuellement plus
efficaces/efficients? Identification de lacunes, de
chevauchements et de doublons en matière de contrôles,
Prévention de contrôles onéreux (services techniques) et de
tâches de vérification de l'efficacité (auditeur), Amélioration
éventuelle des résultats au niveau de l'efficience et de
l'efficacité grâce à l'utilisation ou l'adaptation d'autres Ctrl
Cadres / champ : Évaluation de l'adéquation de la conception
du contrôle en prenant en compte l'ensemble des opérations et
contrôles importants. Cadres et objet (suite)
Objet: Évaluation globale de l'adéquation du système de
contrôle intégral: Qualité adéquate avec le moins d'utilisation
possible. Dérivation et constatation d'une stratégie d'audit
adaptée liée à l'évaluation des contrôles resp. du système de
contrôle employés
7. évaluation du fonctionnement du contrôle
Définition des objectifs : Donner une opinion sur le système de
contrôle interne, L'évaluation de l'efficacité d'un contrôle
permet de déterminer : Si le contrôle fonctionne comme prévu,
S’il a été effectivement réalisé, S’il a été effectué entièrement ,
S’il a été exécuté par une personne qualifiée et autorisée
Stratégie d’audit dans le cadre des contrôles applicatif, Test
unique (test of one), Test direct, Baselining / Benchmarking,
Data analysis
8. appréciation globale
Les résultats des différentes étapes de l'audit sont évalués et
synthétisés dans une appréciation globale en fonction de leur
influence sur les rapports financiers. L'auditeur émet une
opinion sur l'adéquation du système de contrôle interne et sa
capacité à éviter des erreurs majeures dans les états financiers,
avec un niveau d'assurance raisonnable.
Pourquoi utiliser des outils d’audit
Ils permettent d’effectuer des tâches d’audit en améliorant les
éléments suivants : La réduction du risque d’audit;
L’efficience du travail grâce aux gains de: Flexibilité, Volume
des données que l’on peut traiter, Vitesse d’exécution des
travaux, L’exactitude et la qualité des résultats; La qualité du
travail fourni et de la présentation des résultats.
Les outils de l’auditeur
Les outils de gestion de mandat et d’analyse, les outils de tests,
les systèmes experts. les outils de knowledge Management
CAATT : Computer, Assisted, Audit, Tools, Techniques
Il s'agit de l'utilisation d'outils informatiques spécialisés pour
faciliter l'audit des systèmes d'information et des données. Ces
outils aident les auditeurs à améliorer leur efficacité, à effectuer
des tests plus approfondis et à identifier les anomalies ou les
problèmes potentiels plus rapidement.
Les outils de gestion de mandat – administration
Audit Management Software» Permettent d’optimiser les
planning, Permettent de gérer les papiers de travail de manière
électronique, Permettent de suivre les recommandations
Les outils d’analyse – audit
Analyse sur un système central (SQL). Pas de procédure de
download, pas de restructuration des données, pas
d'investissement pour le service d'audit, soutien par les services
informatiques
CTRL clés : monitoring système, redondance système, test
avant passage en production, mise en place gestion de
changement
Analyse sur un PC (ex: Galvanise (ex-ACL), Tableau,
EXCEL) : outil sur mesure pour les auditeurs, documentation
des opérations, un logiciel pour toutes les applications,
indépendance du poste de travail
Les systèmes experts (audit): Outils semi-automatisés, Liés à
des domaines technologiques, Complexes à utiliser. (Ex :
Internet Scanner / Vulnerability assessment, Intrusion
Detection)
Utilisation de travaux d’autres professionnels (NAS)
NAS 600 Utilisation des travaux d’un autre auditeur
NAS 610 Examen des travaux de l’audit interne
NAS 620 Utilisation des travaux d’un expert
Sources d’information « Knowledge management » (base
de)
Sites internet: AuditNet, ISACA, AFAI, GAO (Government
acc. Office). Documentation: le manuel suisse d'audit (MSA),
Les normes d’audit suisses (NAS), CNCC, CobiT
Démarches analyse de données - Processus ETL :
Extract : retrieves and verifies data from various sources
Transform : process and organizes extracted data so it is usable
Load : moves transformed data to a data repository
A table is a collection of related data held in a tabular format
within a database. It consists of columns and rows. A table has
a specified number of columns but can have any number of
rows. Each field has a unique format (date, whole number, text,
decimal number, Boolean, etc.)
Démarche audit:
1.Approche gén: démontre comment intégrer l'IT dans l'audit.
2. Considérer un ou plusieurs facteurs d'influence de la
stratégie d'audit (SCI, caractère significatifs, technologie
d'information, résultats d'analys des EF, Violations)
3. Introduit les risques leurs appréciation dans la démarche
4. Introduit au sens large le SCI de l'entreprise (Contrôle
entreprise, contrôle généraux IT, contrôles applicatifs)
5. Décomposer les ITGC (dev, chgt, sec phy, sec log, ops)
6. Décomposition des ITAC (mention des assertions et/ou
objectifs de contrôle, sur type de données: flux, base,
paramètres)
7. Les lois et obligations applicables (NAS, FINMA, SOX,
etc.)
8. Démarche est toujours : Objectifs /Risques/Mitigations/SCI
9. Considérer adéquatement aux risques et aux possibles
mitigations
Risque inhérent classique : incendie, cyber-attaque, mauvaise
qualité des données saisie, erreurs dans les programmes, vol ou
perte de données, confidentialité, CMS (en open source)
Risque de ctrl classique: ø protection des données, sécurité,