Notes Audit SI

Audit SI
QCM environ 50%  environ 30 questions

Case studies 25%  3 cases study  réfléxions schémas logique
Exercices 25%  3 exercices  plus théorique
Table of Contents
Cours 1 – 28.02 – introduction aux fondamentaux..............................................................3
Brève histoire de l’IT....................................................................................................................3
Domaines Audit SI & leurs objectifs.............................................................................................3
Vocabulaire 1..............................................................................................................................4
Éléments clés 1 :..........................................................................................................................5
Système d’information................................................................................................................6
Le SI> de quoi parle-t-on ?...........................................................................................................6
Organisation d’une fonction IT :...................................................................................................6
IT fondamentaux.........................................................................................................................7
Système d’information de gestion...............................................................................................8
Future of IT..................................................................................................................................9
Cours 2 – 14.03 – Démarche d’audit des systèmes d’information......................................11
Vocabulaire 2............................................................................................................................11
Éléments clés :...........................................................................................................................11
Approche d’audit IT...................................................................................................................11
L’environnement de l’entreprise................................................................................................14
Approche risques (IT).................................................................................................................17
Exercices......................................................................................................................................................18
Cours 3 – 28.03 – Systèmes de contrôles des SI..................................................................19

Retour sur la session 2 :.............................................................................................................19
Vocabulaire 3............................................................................................................................20
Éléments clés 3..........................................................................................................................20
Définition du SCI........................................................................................................................20
Cube COSO................................................................................................................................22
NAS 890.....................................................................................................................................23
Base légale................................................................................................................................24
Quelques notions essentielles....................................................................................................25
Contrôles généraux IT................................................................................................................26
Cours 4 – 18.04 – Démarche d’audit des systèmes d’information......................................28
Retour sur la session 3...............................................................................................................28
Vocabulaire 4............................................................................................................................30
Éléments clés 4..........................................................................................................................31
Auditeur la sous traitance..........................................................................................................31
Gouvernance et gestion informatique........................................................................................32
Exploitation des systèmes d’informations..................................................................................33
Résilience des systèmes d’information......................................................................................34
Sécurité IT.................................................................................................................................35
Cas 2 – Mastartup.com SA...........................................................................................................................36
Cours 5 – 02.05 – Audit d’une application informatique....................................................37

Elements clés 5..........................................................................................................................37
Audit d’une application.............................................................................................................38
Annexes....................................................................................................................................42
Cas statica....................................................................................................................................................43
Cours 6 – 16.06 – Techniques et outils d’audit...................................................................44

Contexte....................................................................................................................................45
Quelle utilisation pour les outils d’audit ?..................................................................................45
Démarche et cas pratique analyse de données...........................................................................47
Utilisation de travaux d’autres professionnels...........................................................................47
Annexes :..................................................................................................................................49
Cours 7 – 30.05 – Révisions et cas.....................................................................................50
Rappel : minimum à connaître...................................................................................................50
Cas – démarche d’audit.............................................................................................................51
Méthode à appliquer.................................................................................................................51
ITAC : CTRL APPLICATIFS – 3 CAS................................................................................................52
Démarche : méthode à appliquer ITAC.......................................................................................53
Développement / programmé / codé / écriture de logiciel.........................................................53
Transferts de données...............................................................................................................54
Cours 1 – 28.02 – introduction aux fondamentaux
Vocabulaire : 80%
Éléments clés => capital pour l’examen
Brève histoire de l’IT

- Processor : cœur de l’ordi commence très tôt
Toujours se demander si les calculs de l’ordi sont justes, très souvent ils sont faux et personne ne
sait comment faire le calcul derrière.
1 zetabyte = 1 milliard de Terabyte
Connaître l’infrastructure, le logiciel utilisé

Entreprise fragmentée : entreprise avec des prestataires assurant l’ensemble de ses services
(outsource)
Domaines Audit SI & leurs objectifs

- Audit des SI = audit de la fonction informatique
- Audit des SI = considération de l’informatique dans les audits général : audit financier, audit
interne, audit de performance
- Audit de la stratégie IT (leader : Gardner) : vise pertinence du système d’information de son

adéquation aux objectifs de l’entreprise et de son alignement sur la stratégie globale et les
besoins métiers
- Audits de la fonction informatique : vise la qualité des processus informatiques c’est-à-dire

des processus mise en œuvre par la fonction informatique elle-même dans le cadre de son
activité (IT GC = IT General control : aspect infrastructure)
- Audit des processus informatisés : vise l’efficacité des contrôles intégrés dans les
applications et de la sûreté du fonctionnement quotidien du système d’information (IT AC =
application control = aspect processus)
- Quiz menti : L’IT est-elle une fonction de l’entreprise comme une autre ?
o Si IT crash, cela crée de gros problème notamment pour la marche des affaires
o NON, fonction qui a une plus grande importance que les autres, => optimisation,
fraudes, audit (touchent l’ensemble des comptes)
- Le cloud et ne sont pas des composant d’ordinateur

o CPU = processeur (central processor unit)
o RAM = mémoire (random access memory) – mémoire à court terme
o Disque dur = mémoire à long terme
- Data storage : ne fait pas partie les ROM (read only memory)
o Carte perforée : n’est pas électronique mais contient de la données (plus vieux
moyen de stocker des information 1925) – utilisée pour la musique
o Clef USB : à long terme
o Carte mémoire : sert à augmenter le stockage
o Disque dur : moyen le plus simple pour stocker des données
o SSD (Solid state drive) : dans les téléphone
o ROM = on peut extraire de la donnée mais pas la stocker – impossible à modifier
pour l’utilisateur
Vocabulaire 1
- OS (Operating system ou système d’exploitation) : un ensemble de programmes qui dirige
l’utilisation des ressources d’un ordinateur par des logiciels applicators (IOS, Windows etc)
- Progiciel : Un logiciel est un ensemble de programmes, qui permet à un ordinateur ou à un

système informatique d’assurer une tâche ou une fonction en particulier. Un progiciel est un
logiciel fournit par un éditeur (en opposition avec un logiciel développé en interne)
- ERP (Enterprise Ressource Planning) progiciel qui permet de gérer l’ensemble des processus
opérationnels d’une entreprise en intégrant plusieurs fonctions de gestion (SAP, Oracle)
- Data base (base de données) : un ensemble qui permet le stockage des données de manière
structurée
- AD (Active directory) : système qui sert à stocker des informations d’un réseau
d’ordinateurs. Il permet aux utilisateurs d’utiliser n’importe quel poste du réseau tout en
gardant ses configurations (authentification, autorisation et sécurité)
- SaaS (Software as a Service) : l’entreprise accède aux applications depuis un accès en ligne
(non installé sur le terminal) – Microsoft 365
- IaaS (Infrastructure as a Service) : l’entreprise contrôles les infrastructures, le système

d’exploitation, les bases de données et les applications déployées (création de programme
ou de serveur) - AWS
- PaaS (Platform as a Service) : l’entreprise déploie ses propres applications sur une
infrastructure cloud externe
- ITGC (IT general controls – contrôles généraux informatiques) : sont les contrôles jonchant
les principaux processus de la fonction informatique :
o Sécurité logistique : gestion des accès, gestion des mots de passes
o Gestion des changements : evolutions, parametrage
o Gestion de l’exploitation : interfaces / Batch, incidents, continuité d’exploitation
o Sécurité physique : gestion des accès, protection face aux risques environnementaux
- ITAC (IT application controls) : permettent l’évaluation de l’efficacité de contrôles

embarqués dans les systèmes pour sécuriser les processus métiers concourant à
l’élaboration des états financiers
- CPU (Central Processing Unit) : composant électronique qui opère les calculs
- RAM (Random access Memory) : mémoire vive d’un ordinateur dans lequel sont stockées les
informations
- SI (Système d’information) : ensemble de moyen technique, organizational et humain, visant

à assurer la création, la circulation, la destruction de l’information dans une organisation
- Technologie de l’information : use, development, and management of computer-based
systems, software, networks, and electronic data for storing, processing, transmitting, and
retrieving information. It encompasses a wide range of technologies, practices, and
disciplines that are utilized in various industries and sectors to facilitate the efficient handling
and utilization of information.
- PMO (Project Management Office) : permet de gérer les projets : is a group, agency or
department that defines and maintains the standards of project management for a company.
The PMO retains the documentation and metrics for executing projects and is tasked with
ensuring projects are delivered on time and within budget.
- Cloud : Le stockage en nuage est un mode de stockage de données informatique dans lequel
les données numériques sont stockées sur des serveurs situés hors site. Les serveurs sont
gérés par un fournisseur tiers qui est responsable de l’hébergement, de la gestion et de la
sécurisation des données stockées sur son infrastructure. Le fournisseur veille à ce que les
données sur ses serveurs soient toujours accessibles via des connexions internet publiques
ou privées
- IoT (The Internet of Things) : The internet of things refers to systems that involve
computation, sensing, communication and actuation (as presented in NIST special
publication). IOT involves the connection between humans, non-human physical objects and
cyber objects, enabling monitoring, automation, and decision making.
IOT presents specifically high cyber security risks. NIST is developing industry standards to
protect IoT.
- DDOS (Denial distributed of Service) : A denial of service technique that uses numerous
hosts to perform the attack
- ELC (Entity Level Controls) : « ton » moral que donne le CEO, englobe l’éthique mise en place
dans l’entreprise « tone at the top »  Gouvernance de l’entreprise (CADM)
Éléments clés 1 :
- Importance de l’informatique : quiz moodle, aussi selon les normes des révisions
informatiques
- Concept de base : vocs + éléments de bases
- Systèmes d’informations et technologie de l’information
- Organisation d’un département informatique
- Différence Hardware et Software
- Différence ITGC et ITAC
- Différence audit de la fonction informatique et audit des processus informatisé
- Informatique de l’entreprise
- Future de l’IT
Hardware Software
ITGC ITAC
Fonction informatique Processus informatisés
Système d’information
Définition : ensemble de moyen technique, organizational et humain, visant à assurer la création, la
circulation, la destruction de l’information dans une organisation
Les systèmes d’information sont définis comme la combinaison stratégique, managériale et
opérationnelle, les activités et les processus connexe liés à la collecte, au traitement, à l’entreposage,
à la distribution et à l’utilisation l’information et les technologies connexe
Les SI sont distincts des technologies de l’information (TI) en ce sens qu’un SI comporte une
composante informatique qui interagit avec les composantes du processus. Il est défini comme le
matériel, les logiciels, les moyens de communication et les autres installations utilisés pour saisir,
stocker, traiter, transmettre et sortir des donnés sous quelques formes que ce soit
Le SI> de quoi parle-t-on ?

Autres définitions : 2 aspects : gens et système, quand il y’a de la fraude cela vient des gens
Le SI est un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer
de l’information. En général grâce à un ordinateur. Il s’agit d’un système socio-technique composé
de 2 sous-systèmes, l’un social l’autre technique. Le sous-système social est composé de la structure
organisationnelle et des personnes liées au SI.
Le sous-système technique est composé des technologies et des processus d’affaire concerné par le
SI
Organisation d’une fonction IT :

- L’entité en charge de l’ensemble :
o Des composants matériels (postes de travail, serveurs, équipements de réseau,
système de stockage, de sauvegarde et d’impression) et logiciels du système
d’information
o Ainsi que du choix et de l’exploitation des services de télécommunications mis en

œuvre
- Une importance plus ou moins grande selon l’activité de l’entreprise

- Souvent rattachée à la Direction Financière et idéalement à la Direction Générale
L’IT va recevoir des informations des autres cadres (CEO, CFO, etc..), cette vision on va la transformer
en réalité (budget, structure et répond à des besoins)
- Les macro-fonctions suivantes seront globalement toujours représentées

o Services applicatifs : études, développement et évolution des applications mise à
disposition et exploitation des applications, Support fonctionnel (mail, site web)
o Services techniques : réseaux et télécom, hébergement, sécurité (au sens technique

du terme), serveurs
o Services utilisateurs : environnement de travail (numérique de travail, définition des
usages prioritaires, identification et mise en place des solutions), support
IT fondamentaux
Personal computing – hardware :
- Le matériel informatique comprend les parties physiques
d’un ordinateur, telles que les boîtiers, l’unité centrale de
traitement, la mémoire vive, le moniteur, la souris, le
clavier, le stockage de données, la carte graphique, la carte
son, les haut-parleurs et la carte mère
Software :
- Le matériel est le composant physique d’un ordinateur (hardware). Les logiciels (software)
sont les programmes qui s’exécutent sur un ordinateur. Un SI nécessite à la fois du matériel
et des logiciels pour fonctionner
- OS : Operating system ou system software permet au système de fonctionner (IOS sur

iPhone)
Networks :
- Le modèle d’interconnexion de systèmes ouverts (modèle OSI) est un modèle conceptuel qui
fournit une base commune pour la coordination de l’élaboration de normes aux fins de
l’interconnexion des systèmes.
- Dans le modèle de référence OSI, les communications entre un SI sont divisées en 7 couches
d’abstraction différentes
o 1. Physique (media, signal and binary transmission)
o Bus de données – data link (physical addressing)
o Réseaux - network (path determination and logical addressing)
o Transport (end-to-end connection and reliability)
o Session (inter host, communication)
o Présentation (data representation and encryptions)
o 7. Application (network process to application)
- Plus les hackers sont proches du « physique » plus il sera discret => souvent entre 3-4
Système d’information de gestion

Cloud :
- Le stockage en nuage est un mode de stockage de données informatique dans lequel les
données numériques sont stockées sur des serveurs situés hors site. Les serveurs sont géré
par un fournisseur tiers qui est responsable de l’hébérgement, de la gestion et de la
sécuriasation des données stockées sur son infrastructure. Le fournisseur veille à ce que les
données sur ses serveurs soient toujours accessibles via des connexions internet publiques
ou privées
- Cloud storage permet aux organisations de stocker, d’accéder et de gérer les données afin
qu’elles n’aient pas besoins de posséder et d’exploiter leurs propres centres de données, en
déplaçant les dépenses d’un modèle de dépenses en capital à un modèle opérationnel. Le
stockage dans le cloud est évolutif, ce qui permet aux organisations d’étendre ou de réduire
leur empreinte de donneés en fonction de leurs besoins.
- => cloud est très sécurisé
ERP : logiciel de gestion intégré

- Entreprise ressources planning
- Logiciel de gestion intégrée regroupant l’ensemble des fonctions utilisées par plusieurs
métiers concourant à la gestion de l’ensemble des processus au sein d’une entreprise tel que
la gestion des stocks, gestion des achats, la vente, la distribution, la gestion des RH, la
comptabilité etc..
- => toutes les fonctions en 1 seul logiciel
Fournisseurs systémiques  schémas pour examen très important

- Si les fournisseurs systémiques lâchent, gros problèmes car ce sont les fournisseurs des ERP
et du Cloud
- On premises : le plus visible c’est l’application ensuite data etc… tous les éléments doivent
nous parler
o Chez le client, on prem, on peut tout voir  difficile à gérer
- SAAS : rien n’est géré par le client  plus facile à gérer, et en tant qu’auditeur il faut faire
attention que les parties plus claires c’est du outsourcing  il faut un rapport d’audit sur la
sous-traitance  on demande des rapports type ISAE3402
Gestion de projet
- Équilibrer les ressources, et le temps pour atteindre un objectif
- La gestion de projet est le processus de gestion du travail d’une équipe pour atteindre les
objectifs du projet dans les limites des contraintes données. Ces informations sont
généralement décrites dans la documentation du projet, créée au début du processus de
développement
- Les principales contraintes sont la portée, le temps et le budget. Le défi secondaire est
d’optimiser l’allocation des ressources nécessaires et de les appliquer pour atteindre des
objectifs prédéfinis
- Les projets peuvent être gérés dans des PMO (project management office) et les chefs de
projets peuvent être diplômées PMP (Project Management Professionals)
Gouvernance des données :

- Cycle de vie de la donnée
- La gouvernance des données est une forme d’optimisation dont le but est de permettre à
une organisation de conserver des données de qualité, grace à des contrôles adéquats tout
au long de la vie de la donnée
- Les principaux domaines d’intervention de la gouvernance des données comprennent la

disponibilité, la convivialité, la cohérence, l’intégrité et la sécurité des données, la
conformité aux normes.
- Il y a toujours plus de données à gérer (SISO = shit in, shit out) => data life mal gérée dans les
entreprises (mail jamais supprimé par exemple)
Future of IT
Intelligence artificielle :
- Au milieu des années 1950, avec le développement de l’informatique naquit l’ambition de
créer des machines à penser semblabes dans leur fonctionnement à l’esprit humain. L’IA vise
donc à reproduire au mieux, à l’aide de machines, des activités mentales, qu’elles soient de
l’ordre de la compréhension, de la perception, ou de la décision. Par la même, l’IA est
distincte de l’informatique, qui traite, trie et stocke les données et leurs algorithmes. Le
terme « intelligence » recouvre ici une signification adaptative, comme en psychologie
animale. Il s’agira souvent de modéliser la résolution d’un problème, qui peut être inédit, par
un organisme. Si les concepteurs de systèmes experts veulent identifier les savoirs
nécessaires à la résolution de problème complexes par des professionnels, les chercheurs,
travaillant sur les réseaux neuronaux et les robots, essaieront de s’inspirer du système
nerveux et du psychisme animal.
-
- Le monitoring est très important => il doit être possible de « tirer la prise si l‘IA pose
problème
IOT :
- The internet of things refers to systems that involve computation, sensing, communication
and actuation (as presented in NIST special publication). IOT involves the connection
between humans, non-human physical objects and cyber objects, enabling monitoring,
automation, and decision making
- IOT presents specifically high cyber security risks. NIST is developing industry standards to
protect IoT.
Climate & IT :
- L’informatique verte, également appelée informatique verte ou éco-TIC (technologie de
l’information et de la communication), vise à réduire l’impact environnemental des sytème
de technologie de l’information ainsi qu’à améliorer la durabilité grâce à leur utilisation
- L’informatique verte signifie non seulement réduire les émissions de carbone et la

consommation d’énergie des systèmes TIC, mais aussi minimiser l’impact global sur
l’environnement tout au long du cycle de vie des systèmes informatiques, y compris leur
conception, leur fabrication et leur élimination
- La durabilité informatique peut être améliorée en utilisant l’informatique de pointe et

d’autres conceptions économes en énergie, en réduisant l’utilisation de matières rares ou
dangereuses telles que le mercure, le plomb et le chrome dans la fabrication et en favorisant
le recyclage des systèmes obsolètes
- Les centres de données informatiques nécessitent généralement beaucoup d’énergie non

seulement pour faire fonctionner les machines informatiques mais aussi pour les maintenir à
la bonne température et éliminer l’excès de chaleur généré sous charge. Pour cette raison, la
durabilité informatique en particulier dans le cadre du calcul haute performance (HPC), doit
également prendre en compte la conception des centres de données et l’optimisation du
refroidissement. Les systèmes HPC à grande échelle génèrent tellement de chaleur sous
charge que la conception d’un centre de données économes en énergie est un nécessité pour
éviter une consommation d’énergie et des coûts d’exploitation insupportables.
DDOS :
- A denial-of-service technique that uses numerous hosts to perform the attack
- Une entreprise étant attaquées plusieurs fois par des DDOS sans trouver de résolution peut
créer une réserve à l’opinion lors de l’audit car cela pourrait remettre en causes la continuité
d’exploitation en devenant ingérable.
Cours 2 – 14.03 – Démarche d’audit des systèmes d’information
Vocabulaire 2
- Facteurs d’influence : les facteurs permettent de connaître la profondeur de l’audit à faire, 5
facteurs :
o SCI
o Caractères significatifs : à mettre en relation avec le volume => matérialité
o Technologie de l’information
o Résultat de l’analyse des comptes annuels
o violations
- Évaluation des risques :

o Constatation des risques
- Risques inhérents : on met des contrôles dessus et si le contrôle ne l’identifie pas on aura un
risque de non détection
o E.g amazon : Cyber-attaque => engagement de hacker pour tester si le site est bien
protégé
- Risques d’audit : risques d’erreur ou de non détection qu’on peut avoir
- Risque d’erreur : découle du risque lié au contrôle qui découle du risque d’entreprise
comprenant également le risque inhérent
- Risque de non-détection : risque qui après le contrôle de l’auditeur et du SCI n’est pas
détecté
- Planification de l’audit : étapes préalables aux contrôles d’audit afin d’identifier les risques
d’audits
- Assertions : critères de références dont la réalisation conditionne la régularité, la sincérité et

l’image fidèle des comptes.
- Normes : standard ou règles liées à un domaine
- Stratégie d’audit : combine des procédures et des objectifs liés tant aux systèmes qu'aux
résultats réduira le risque de parvenir à une conclusion erronée, fournira une meilleure
assurance et permettra aux auditeurs de donner une image plus complète de la situation.
Éléments clés :
- Organisation d’un audit au sein d’un audit
- Informatique d’entreprise
- Future de l’IT
- Bases légales, normes, règlements  connaître les objectifs des normes pour examen
- Approches risques
- Processus métiers
Approche d’audit IT
Composantes de l’audit IT :
- Le contexte
o Bases légales
o Normes de l’industrie (COBIT) – propre à l’IT
o Réglementations nationales et internationales (RGPD)
o Évaluation des risques et de planification de l’audit (quels sont mes risques  depuis
les risques on peut planifier l’audit)
- La démarche – composantes
o Les différents acteurs (contacts clés : CFO, chefs comptable, compliance, RH etc…)
 IT-GC & IT-AC => au moins 2 contacts
o Collecte de données et analyse (processus salaire => important que se soit bien
sécurisé => responsabilité de l’auditeur)
 RGPD => la loi dit qu’il faut que ça soit sécurisé
o Élaboration de conclusions et de recommandations

 Bons ou mauvais
o Communication des résultats :

 Ajout de valeur au mandat
Approche d’audit et environnement informatique

1. Identification des risques informatiques : (doit être traité comme les autres risques
commerciaux)
a. Importance des systèmes de TI chez les clients, par conséquence, nous devons tenir
compte de l’incidence sur l’approche de la vérification : le risque technologique est
un risque commercial, plus précisément le risque commercial associé à l’utilisation, à
la propriété, à l’exploitation, à l’implication, à l’influence, et à l’adoption des TI au
sein d’une entreprises
2. Conformité à la norme ISA 315 (les activités de contrôles ne peuvent pas être décorrélée de
l’informatique => il faut contrôler tout, notamment l’environnement informatique => si
constatation information (IT-GC) => IT à revoir ainsi que tous les autres contrôles
a. Environnement de production = environnement réel (États financiers etc.. => on ne
peut pas les manipuler => sinon aucun contrôle est valable
3. Efficacité
a. Tout ce qu’on récupère chez le client sera un produit informatique MAIS il faut
s’assurer que ce soit juste => si juste on gagne en efficacité
b. L’analyse des données en particulier peut contribuer à améliorer l’efficacité et la

qualité
Facteurs d’influence : un audit se réalise pas dans le vide
Évaluation du risque : quels est le contexte (facteurs d’influence) et quels sont mes risques afin de
définir la stratégie d’audit
Référentiel standards :
- Committee of Sponsoring Organizations of the Treadway Commission (COSO)
- Control Objectives for information and related Technology (COBIT)
- Information Technology Infrastructure Library (ITIL) => normes d’excellence pour les helps
desks => similaires au LVMH
- Norme la plus connu : elle spécifie les exigences relatives aux systèmes de management de la
sécurité des informations (ISO 27001)
- National Institute of Standards and Technology (NIST) => agence américaines qui est une
série de référentiel => entitié qui va publier des référentiels et donner des explications quand
hacking de grandes ampleur
Technologie de l’information : dépend de ou on se situe si l’entreprise est au centre du TI ou non

- Bâtiment public : si site web lâche on peut continuer l’activité => pas trop grave moins besoin
de couverture
- Amazon, TI au centre => gros problème si site web lache
Résultat de l’analyse des comptes annuels

- Si variation entre période il se peut que l’informatique en soit la source
- Charge au niveau IT important a check pour voir si ca correspond à l’IT actuel pour être sur
qu’on peut rely on
- Également si aucune différence faire attention si pas de manipulation

Revue post implémentation : revue sur le nouveau systèmes mis en place afin de voir si tout
concordonne
L’environnement de l’entreprise
Lien entre l’informatique et les autorités très important => notamment dans les banques ou les
systèmes sont reliés avec les autorités
L’entreprise est dépendante de la qualité de l’informatique de tous ses partenaires

Note : tous les risques discutés dans ce cours doivent également être considérés sous cet angle
(panne chez un fournisseur important, indisponibilité de l’accès en ligne pour les clients)
Vue globale de l’environnement

Pas besoin de connaître le contenu
- Fragmentation des entreprises => plus il y a d’outsource plus il est difficile d’avoir la vision
global du système informatique
- But : creuser jusqu’à trouver à quel moment l’erreur se trouve pour pouvoir valider le
rapport d’audit
Processus métiers
Modélisation des processus
Échelles de valeur – assertions

- Intégralité : toutes les informations sont prises en compte, sans omission
o Les salaires du mois prennent en compte tous les employés actifs
- Exactitude : la précision des informations et des calculs

o Le calcul IS prend en compte le taux correcte pour chaque employé
- Validité : on regarde dans une facture que ce soit exact mais le chiffre qu’on a est valable ou
non (TVA 19% en suisse => pas valide car TVA = 7.7%)
- Droits d’accès : un système d’identification des utilisateurs est en place

o Chaque utilisateur bénéficie d’un login/password personnel
- Existence : actifs dans nos états financiers il correspond en physique en réalité

o Les heures de travail effectuées sont faites par des employés
o La saisie des heures de travail par jour ne peut dépasser 24hrs
- Estimation : actifs à la bonne valeur par rapport au marché

o L’évaluation des engagements LPP pour l’année
- Droits et devoirs : respect des règles du territoire et contexte
- Présentation & transparence : ce qu’on présente dans nos EF = à la réalité

o Les soldes de vacances sont actualisés et affichés
- Fiabilité : Fournir une qualité de l’information irréprochable

o La précision des informations de masse salariale ne constitue pas un doute pour la
direction
- Integrité = integralité + exactitude => les traitements sont complets et exacts

o Tous les employés sont payés correctement chaque mois
- Conformité : Remplir toutes les obligations de loi et règlements

o Les retenues AVS ou impôts à la source doivent être effectuées
- Efficience : Le déroulement des transactions est automatisé de manière optimale

o Information doit être saisie une seule fois et utilisée partout
- Integrité : Les traitements sont complets et exacts
o Tous les employés sont payés correctement chaque mois
- Disponibilité : Assurer le fonctionnement continu du système

o Les salaires doivent être payés en fin de mois
- Efficacité : répondre précisément à un besoin

o Calcul des salaires ne nécessite pas de recalcul manuel
- Confidentialité : garantir que l’information n’est pas accessible à autrui

o Saisie sur salaire pour raison pénale est confidentielle
- Période correcte : prise en compte correcte des dates

o Le 13e salaire est payé et comptabilisé en décembre
- Comptabilisation correcte : l’imputation comptables est rigoureuse
o Prime ne sont pas comptabilisées comme des frais
- Principe du justificatif : matérialisation des calculs

o Les calculs AVS automatique peut être documenté
- Archivage : les obligations de rétention d’information sont respectées

o Fiches de paie restent toujours accessibles mais seulement en lecture
- Trace d’audit : les changements clefs d’information sont documentés

o Maintien de la date, l’utilisateur et les valeurs lors d’un changement
Règles de bases
- Art. 957 CO
- Art. 2 al 2 OLICO
o Comptabilité régulière pas à la fin de l’année => comptabilité fidèle et systématique
o Justification de chaque enregistrement par une pièce comptable
o Clarté
o Traçabilités : permet de savoir quel est le processus de A à Z
o Adaptation à la nature et la taille de l’entreprise
o IT-GC => système de production qu’on peut verrouiller afin de bloquer les risques de
délimitation périodique
Approche risques (IT)
Selon les NAS
- NAS 315 ch.18 : l’influence de l’informatique dans l’analyse des risques lors de la
planification d’un audit peut être très importante
- L’existence d’un environnement informatique ne modifie pas l’objectif et l’étendue de l’audit
- Par contre : l’auditeur doit acquérir la connaissance du système d’information et des

processus opérationnels y afférents, qui ont un rapport avec l’élaboration de l’information
financière
- Plus le processus de tenue de la comptabilité et d’établissement du rapport financier

dépend de systèmes IT et plus le risque que des erreurs trouvent leur origine dans la mise
en place et l’utilisation des système IT est élevé, plus les contrôles dans le domaine de
l’informatique sont importants
Éléments du risque d’audit
Types de risques
Exercices
Risque de contrôle => pour être sur que les risques inhérent sont suivi et protégé => mettre des
contrôles adapté aux risques
M&A augmente le risque inhérent car diversification des activités et donc plus de risque inhérent
Risque de non-détection : l’auditeur est passé à côté d’un risque inhérent et l’année suivante la
société fait faillite à cause d’une erreur dans les comptes
Cours 3 – 28.03 – Systèmes de contrôles des SI
Retour sur la session 2 :
Processus métiers
- Un auditeur SI doit comprendre et être en mesure d’évaluer les processus d’affaires de
l’organisation qui font l’objet d’une vérification. Cela comprend un test et une évaluation de
la conception et de la mise en œuvre de l’exploitation des contrôles ainsi que la surveillance
et la mise à l’essai des éléments probants pour s’assurer que les contrôles internes au sein de
l’entreprise sont en œuvre
Les processus opérationnels fonctionnent efficacement :

- Un processus opérationnel est un ensemble interrelié d’activités ou d’événements
interfonctionnels qui entraînent la livraison d’un produit ou d’un service spécifique à un
client. Il est contrôlé par des politiques, des procédures, les pratiques et les structures
organisationnelles conçues pour fournir l’assurance raisonnable qu’une entreprise atteindra
ses objectifs.
Un propriétaire de processus métier est la personne responsable de :

- Déterminer les exigences du processus, approuver la conception du processus et gérer le
rendement du processus;
- Devrait être à un niveau suffisamment élevé dans une organisation pour avoir le pouvoir
d’engager des ressources
- Maîtriser les activités de gestion des risques propres aux processus.
Risques d’erreurs – lié aux contrôles applicatifs
À retenir pour l’examen : 3 types d’erreurs

- Paramètres => erreur systématique si erreur => très problématique
- Données de bases => erreurs répétitives => fraudeur pourrait modifier son salaire
- Données de flux => erreur unique => ca arrive une fois, dur à identifier
De manière générale, les processus sont solides à la base mais vers la fin du processus ils sont moins
bons => plus gros risques de fraudes => vérifier aussi les petites agences qui sont moins significatives
Vocabulaire 3
- Audit interne vs contrôle interne: Audit interne : très indépendant, rattaché au CADM
Contrôle interne : intérieur de l’entreprise fait partie du SCI (risk & compliance)
- Gestion du développement: construction de programme (from scratch)
- Gestion du changement: (de l’existant) : programme déjà crée qu’on change
- Gestion de la sécurité physique: logique et physique
- Gestion de l’exploitation: comment on fait pour que les ordinateurs aient de l’electricité,
soit protéger du feu, de l’eau
- ELC (entity level control) : Organisation, Informatique et contrôles
- ITGC: controles informatique généraux :

- Process controls:
- ITAC = contrôles applicatifs :
- Normes de référence du SCI :
- Stratégie d’audit:
Éléments clés 3
- Business process – intro
- Système de contrôle interne : contrôles au niveau de l’entreprise (ELC), contrôles des
processus (Process Control) et contrôles informatiques généraux (ITGC) => NAS 890
o Contrôle applicatif : fait partie du contrôle des processus sauf que c’est plus restreint
- COSO
- Bases légales
Définition du SCI
Un SCI qui est pas connu par les employés pourrait être considéré comme inexistant => à discuter
avec l’entreprise
- ELC – ITAC – ITGC => sont des contrôles

- Matrices appelées ITGC dans chaque SCI des entreprises
- ITAC => propres à chaque application => série de contrôles pour chaque logiciel ou
application
Définition du SCI – évaluation du risque et contrôle interne

Un “système de contrôle interne” est l'ensemble des principes et procédures ("contrôles internes")
fixés par une entreprise ainsi que les processus destinés à atteindre les objectifs d’entreprise.
Objectifs du SCI:
- Gestion régulière et efficace (y compris respect des politiques de gestion); si système
d’information ne fonctionne pas => SCI devient not rely
- Sauvegarde des actifs, prévention et détection des fraudes; protection des actifs, si fraude,
l’entreprise est responsable (e.g : vol d’or) si on est pas capable de prouver que c’est bien
Monsieur X qui est le seul a pouvoir modifier SAP avec un badge le juge ne pourra pas plaider
en faveur de l’entreprise
- Exactitude et intégralité des enregistrements comptables; en théorie oui, mais ça dépend
des paramètres (accès superadministrateur)
- Établissement en temps voulu d'informations financières fiables; si retard => on peut se

questionner sur la fiabilité => e.g Crédit Suisse
- Respect des lois et prescriptions (on pourrait dire qu’il n’y a pas de lien avec l’informatique
sauf 1-2 lois notamment RGDP ou LPD)
SCI : divers facteurs à prendre en compte

Un risque c’est ce qui empêche l’entreprise d’atteindre un objectif
Le contrôle empêche le risque de se réaliser => objectif risque et controles doivent être alignés
- Besoins comptables
- Contraintes opérationnelles : savoir comment le client fonctionne (seasonality) => magasin

retail font sauter des contrôles à Noel => attention au cloture 31.12
- Loi et Ordonnance et normes :

- Culture d’entreprise : mettre sur le papier => en lien avec l’industrie que l’entreprise évolue
=> start-up ont tendances à oublier => pas ou moins de contrôle
- Les acteurs employés :
- Le but de l’entreprise
- La méthode de mise en œuvre et sa gestion : SCI, gestion courante et efficace
- Archivage, reproduction
- Les contrôles manuels, automatiques, séparation des taches etc.. : les contrôles sont 1
éléments parmi d’autres ce n’est pas la globalité
Quiz menti :
Quels facteurs ont un lien avec l’informatique :
- Ils ont tous un lien avec l’informatique
Fraudes informatiques en 1 phrase

- Changer l’iBAN
NAS 890 : définition du contrôle clés par la loi => donner 3 caractéristique d’un contrôle clés
- Contrôle qui empêche une anomalie significative et qui a un impact important touchant
plusieurs cycles en même temps
- Il peut contrôler un ou plusieurs risque majeurs => couvrent plusieurs chose en même temps
Comprendre le SCI
S’assurer que:
L'ensemble des comportements, les degrés de sensibilisation et l’action de la direction, des cadres et
collaborateurs concernant le système de contrôle interne et si les fonctions de contrôle sont en place
conformément à ce qui est prévu.
L’objectif est de maintenir le risque de contrôle au niveau le plus faible

2 étapes pour comprendre le SCI :
- 1. Saisir les mesures de contrôles pertinentes – control design
- 2. Apprécier ces mesures de contrôles – operating effectiveness
Comment saisir les mesures de contrôles pertinentes ?

- Observer les activités et processus de travail
- Recueillir de l’information à l’aide d’auditions : corroboration
- Evaluer les diagrammes de fonction et cahier des charges
- Réaliser des questionnaires sur les facteurs déterminants : Matrice RASI : défini les roles et
responsabilité
- Effectuer des tests de cheminement => what could go wrong (WCGW)

o Les facteurs déterminants:
 La fonction des organes dirigeants
 La philosophie et le style de direction
 La structure de l'entreprise et les méthodes de délégation de pouvoir et de
responsabilité
 Le système de contrôle de la direction comprenant la fonction d'audit
interne
 Les politiques et les procédures relatives au personnel ainsi que la répartition
des tâches.
Définition et objectifs du contrôle interne

COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION)
3 objectifs :
1. Fiabilité des états financiers : légales et obligatoires
2. Rentabilité et efficience de l’exploitation : + intéressant pour la société
3. Respect des normes et prescriptions
Le contrôle interne est un processus exercé par le conseil d'administration, le management et par
d'autres collaborateurs de l'entreprise, propre à apporter une assurance raisonnable que les objectifs
suivants sont atteints
Cube COSO
Coso integrated framework 17 principles
SCI qui fait quoi ?

- Conseil d'administration
o Il est responsable de la mise place et de la maintenance du SCI (716a/1 CO); 7 droits
qu’il ne peuvent pas déléguer ou que si ils déléguent ce sont eux les responsables
o Il rapporte dans l'annexe au bilan sur la gestion des risques (663b CO)
- Management
o Mise en oeuvre des décisions du conseil d'administration
- Organe de révision
o Audite le SCI. Au sens strict il ne fait pas partie du SCI
- Audit interne
o De manière ponctuelle, il audite le SCI. Au sens strict il ne fait pas partie du SCI
- Responsable des finances (CFO)

o Le vrai chef d'orchestre du « SCI financier »
- Contrôle interne (Compliance)

o S’assurer du respect et de l’efficacité du SCI. Participe a sa définition
L’audit interne et la gestion des risques

- Son rôle est limité
- Audit interne : très indépendant, rattaché au CADM
- Contrôle interne : intérieur de l’entreprise fait partie du SCI (risk & compliance)
Audit interne ≠ contrôle interne
NAS 890
Normes d’audit sur la vérification du SCI
Points principaux
- La responsabilité d’un SCI et d’une gestion des risques appropriés incombe au Conseil
d’administration
- La responsabilité de la mise en place incombe à la Direction
- Le SCI est désormais explicitement désigné dans la loi comme objet de vérification
- Le SCI se rapporte au « rapport financier »
- L'étendue et la conception du SCI dépendent de la taille et de la complexité de l’activité de
l’entreprise
Terme : système de contrôle interne (SCI)

- Le SCI comprend tous les processus et les mesures qui garantissent une tenue régulière de la
comptabilité et un rapport financier adéquat.
- Le SCI peut être structuré comme suit: contrôles au niveau de l’entreprise (ELC), contrôles
des processus (PC) et contrôles informatiques généraux (ITGC) => comprendre et évaluer
- Une structuration selon le référentiel COSO

Base légale
Les bases légales du SCI – exigence pour le SCI (ou de la gestion des risques)
Exigences directement formulées
- Ordonnance sur les banques (art. 12 al.4)
- Circulaire FINMA 2008/21 (Risques opérationnels banques)
- Circulaire FINMA 2008/24 (Surveillance et contrôle interne)
- Ordonnance sur les bourses (art. 20)
- Loi sur la surveillance des assurances (art. 27)
Exigences indirectement formulées

(via la définition du mandat de l'organe de révision)
- SA (663b et 728a al1 ch3 CO)
- SàRL (818 CO)
- Fondations (83b CC)
- Associations (69b CC)
- Sociétés coopératives (906 CO)
Critère uniformes (727 CO)

- Somme de bilan > 20 millions
- Chiffres d’affaires > 40 millions
- Effectifs > 250 employés
- 2 conditions 2 ans de suite
Les bases légales du SCI – exigences de fiabilité des EF

Le département fédéral des finances (DFF) peut faire un audit sur les données pour faire un Check
avec la TVA
L’informatique est directement concerné

- CO „comptabilité“ (957a ss.)
- OLICO : Ordonnance concernant la tenue et la conservation des livres de comptes
o Art. 3 Intégrité (authenticité et infalsifiabilité) Le mode de tenue, de saisie et de

conservation doit garantir que les livres et les pièces comptables ne puissent être
modifiés sans que la modification soit apparente
- OelDI : Ordonnance du DFF concernant les données et les informations qui sont transmises
par voie électronique
o Art. 8 Traçabilité des opérations commerciales Chaque opération commerciale doit

pouvoir être contrôlée individuellement sans retard déraisonnable et sans
occasionner de frais importants, depuis les pièces justificatives en passant par les
livres comptables jusqu'au décompte de la TVA, et inversement.
Il faut pouvoir répondre à ces règles lorsque l’informatique est utilisée

Quelques notions essentielles
Transfert en production
- Comment un programme est développé et comment on commence à l’utiliser
o 1. Développement d’un logiciel dans un environnement de développement (n’ayant
pas d’impact sur la vie réelle)
o 2. Environnement de test réel pour voir si le programme marche (super-utilisateur)

donc expert qui vont valider certaines choses et donner un resetage
o 3. Administrateur système (indépendant) déplace à 4
o 4. Environnement de production (environnement dans lequel l’entreprise fait toutes

ses opérations)
- Objectif de contrôle :
o Les modifications et développements sont uniquement transférés à l‘environnement
de production si les éléments suivants sont présents:
 Développement/Changement autorisé
 Adéquatement testé et accepté par les utilisateurs
 Documenté et conforme aux directives de développement et de qualité.
- Domaines très sensible et tres formalisé et le développeur ne pourra pas travailler sur le
produits finis notamment pour éviter la fraude
- Aujourd’hui « dev-ops » boucle entre les 4 étapes pour aller plus vite mais génère des erreurs
Séparation des fonctions avec l’informatique
- Certain processus sont coupés à certains utilisateurs =>

- Développeur ne peut pas accéder à la gestion des données => trop gros risques de fraudes
- Développement processus opérationnel => conflit le plus grave
- End-user – exploitation => pourrait supprimer des données
Contrôles généraux IT
Risques d’erreurs
- Impact de l’environnement IT sur le risque inhérent
o Gestion du développement informatique : construction de programme (from scratch)
o Gestion des changements (de l’existant) : programme déjà crée qu’on change
o Gestion de la sécurité (logique et physique) :
o Gestion des opérations / exploitation : comment on fait pour que les ordinateurs
aient de l’electricité, soit protéger du feu, de l’eau
Là-dedans on met les logiciels et processus et autour on mes les OLC (organisation, informatique et
controles
Risques d’erreurs – controles généraux IT – ELC

- ELC : Organisation, Informatique et contrôles
o Stratégie et informatique
o Dépendance plus ou moins importante sur la disponibilité (4 heures, 2 jours, 1
semaine, plus d’une semaine)
o Gestion des risques ?
o Evaluation du SCI ?
o Degré de sensibilisation à la sécurité des utilisateurs
o Séparation de fonctions ?
o Backup dans des fonctions clefs de l’informatique
Gestion du développement
- Dépendance aux fournisseurs : 1 seul développeur informatique externe => peut poser
problème si absent ou si erreur de sa part
- Absence de savoir-faire en matière d’applications IT
- Développement des applications comptables en interne
- Dépendance aux fournisseurs
- Savoir-faire au niveau de quelques personnes dépendance élevée vis-à-vis de ces personnes

clés
- Applicatifs Excel ou Access installées par certains utilisateurs sur leur ordinateurs personnel,
Leur fonctionnement et, souvent, leur utilisation (en particulier concernant les chiffres clés et
le MIS) dépendent entièrement de cette seule personne
Gestion du changements :
- Indisponibilité des systèmes fréquent => si quand il y a des changements ce n’est pas assez
stable il faut auditée et voir le problème
- Quand on fait un changement d’application il faut impérativement faire une sauvegarde
- Absence de savoir-faire en matière d’applications IT
- Dépendance aux fournisseurs

- Savoir-faire au niveau de quelques personnes dépendance élevée vis-à-vis de ces personnes
clé
- Indisponibilité des systèmes fréquentes
- La résolution des problèmes demande beaucoup de temps
- Modification des programmes sur un simple coup de téléphone
- Pas de documentation
Gestion de la sécurité
- Qui a accès à quoi dans l’ensemble de l’entreprise
- Sécurité logique : Pas de séparation des fonctions entre la comptabilité et l’informatique
- Protection appropriée des accès au niveau du réseau et du système d’exploitation,

cependant au sein des applications les droits d’accès sont peu différenciés
- Faiblesses en termes de sécurité physique (accès, détection de la fumée et des incendies,

climatisation et alimentation électrique) dans le centre de calcul ou la salle des serveurs
Gestion des opérations (exploitation)

- Démarrage tardif de l’informatique le matin (indisponibilité des systèmes fréquentes)
- Réalisation régulière de sauvegardes des données, mais faiblesses fréquentes au niveau de

leur intégrité
- Absence de tests de restauration (pour restaurer les données après un incident grave)
- Exploitation négligée car personne n’est réellement en charge
- Dépendance vis à vis d’externes
Quiz menti :
Si nous parlons d’indisponibilité du système de réservation, de quel type de risque s’agit-il ?
- Risque inhérent
Si le système est indisponible quel est l’impact potentiel pour l’auditeur ?

- Impact sur les états financiers
Quels contrôles mettre en place pour réduire le risque inhérent précédent ?

- Redondance des systèmes /plan de secours
- Monitoring et système d’alerte automatique
Si nous parlons d’erreurs dans les programmes du système de réservation, de quel risque s’agit-il ?
- Risque inhérent
Si il y a des erreurs dans le programme, quel est l’impact potentiel ?

- Non détection d’erreurs de saisies des données
- erreurs de calculs effectués par le programme
- impact sur les états financiers
Quels contrôles mettre en place pour réduire ce risque ?

- Mise en place d’une gestion du changement
- Validation des spécifications de débits
- Tests complets avant passage en production
Cours 4 – 18.04 – Démarche d’audit des systèmes d’information

Retour sur la session 3
- Business process
- SCI : ELC, PC, ITGC
- COSO
- Bases légales
Rappels sur la prise en compte de la dimension « Système d’information » dans la démarche

d’audit
- En synthèse
o L’auditeur certifie les états financiers.
o Ces états sont alimentés par le biais de processus.
o Ces processus sont souvent supportés par des applications informatiques.
o Ces applications informatiques peuvent supporter des contrôles, traitements, calculs,
... et permettre la génération d’états sur lesquels l’auditeur souhaitera s’appuyer
dans le cadre de sa mission
 Il devra tester ces contrôles traitements, calculs, états
o En cas d’appui sur ces états, l’auditeur devra également s’interroger sur
l’environnement de contrôle « informatique » mis en œuvre autour des applications
concernées pour évaluer la pérennité des contrôles, traitements, calculs, états dans
le temps
 Il devra tester les contrôles généraux informatiques
Pourquoi auditeur les contrôles généraux informatiques ?

- Pour s’appuyer sur des contrôles, traitements, états, embarqués, l’auditeur doit démontrer
leur pérennité dans le temps car rien ne garantit qu’un test positif à un instant T l’aurait été 3
mois plus tôt ou plus tard
- 2 possibilités :
o Le système permet de consulter l’ensemble des modifications apportées aux
différentes dimensions de mon contrôle, traitement, état embarqué
 Je consulte l’historique de ces changements et évalue leur impact sur le
caractère effectif ou non du contrôle, traitement, état, ... sur l’ensemble de
l’année
o Le système ne permet pas de consulter l’ensemble des modifications apportées aux

 J’audite les contrôles généraux informatiques
Exemple du workflow de validation du bon de commande

- Pourquoi audité les contrôles généraux informatiques
- Le système permet de consulter l’ensemble des modifications apportées aux différentes

dimensions de mon contrôle, traitement, état embarqué
o J’audite le paramétrage du workflow ET la correcte attribution des droits de
validation à un instant T
o Je consulte l’ensemble des modifications apportées au paramétrage du workflow sur

l’ensemble de l’exercice audité pour vérifier leur bienfondé
o Je consulte l’ensemble des attributions et retraits des droits de validation pour

vérifier leur bienfondé
- Le système ne permet pas de consulter l’ensemble des modifications apportées aux

o J’audite le paramétrage du workflow ET la correcte attribution des droits de
validation à un instant T
o J’audite les contrôles généraux informatiques qui me permettront de disposer d’une

assurance raisonnable concernant les éventuelles modifications apportées au
paramétrage et les attributions et retraits de droits de validation réalisés sur
l’année : je me focalise sur la gestion des changements et la gestion des accès
ITGC : permanence des contrôles
Les contrôles généraux informatiques en quelques points clés

- Sécurité logique :
o Création / modification / blocage des accès
o Paramètres de mots de passe
o Revues périodiques des accès
o Gestion des accès sensibles
- Exploitation informatique :
o Supervision des traitements planifiés
o Gestion des incidents
o Sauvegardes et continuité d’activité (important concernant la cybersécurité)
- Gestion du développement et des changements :

o Spécifications, tests et validation des changements
o Séparation des fonctions entre développement et mise en production
 Test de non regression : on fait des tests afin de voir si le test est meilleur ou
du moins pas pire
o Séparation des environnements

o Gestion —> comment je crée, je modifie, j’archive et je supprime la donnée
- Sécurité physique :
o Création / modification / blocage des accès
o Protection face aux risques environnementaux (incendie, inondation,…)
Clauses du besoin : donner accès à quelqu’un à uniquement ce dont il a besoin pour le quotidien du
travail
Emergency access : attribution de l’accès exceptionnelle
Test de non regression : on fait des tests afin de voir si le test est meilleur ou du moins pas pire
Process control : concept plus général que ITAC
Vocabulaire 4
- Outsourcing :
o On premise : opposé de outsourcing, tout se passe en interne
- ISAE: International Statement on Assurance Engagement
- SOC : Systems and Organization Control SOC 1 assessment: composé d’objectifs de contrôle
utilisés pour représenter avec exactitude le contrôle interne en matière de rapports
financiers (CIRF).
- SOC2 assessment: est basé sur les critères de service de confiance. À l’échelle internationale
pour les rapports SOC2, la norme internationale sur les missions d’assurance (ISAE 3000) est
utilisée pour rendre compte des critères des services de confiance en matière de sécurité, de
confidentialité, de disponibilité, de confidentialité et d’intégrité du traitement, y compris la
description des services fournis et des tests de contrôle.
- SOC3 assessment: Service Organizations: Trust Services Criteria for General Use Report est
une version abrégée et publique du rapport d’attestation SOC 2 Type 2 pour les utilisateurs
qui ont besoin d’assurances sur les contrôles de l’organisation de services en matière de
sécurité, de disponibilité, d’intégrité du traitement, de confidentialité ou de confidentialité,
mais qui n’ont pas besoin d’un rapport SOC 2 complet. Étant donné que les rapports SOC 3
sont des rapports d’utilisation générale, ils peuvent être distribués gratuitement.
- SSAE 16: Standards for Attestation Engagements
- SLA Service Level Agreement: une partie de contrat de service entre un prestataire
informatique et son client qui définit le niveau de service attendu et les garanties associées
- ZTNA Zero Trust Network Architecture: concept d’architecture pour le renforcement de la

sécurité d’accès aux ressources et aux services et non pas une technologie
- COBIT (Control Objectives for Information and Related Technology) : est un cadre de
contrôles de gouvernance IT aidant les entreprises à faire face aux enjeux commerciaux dans
les domaines de la conformité règlementaire, de la gestion des risques et de l’alignement de
la stratégie IT avec des objectifs organisationnels.
- PCA Plan de continuité d’activité ou BCP Business Continuity Plan : concerne l’atténuation
des pertes en cas de catastrophe et le récupération pour l’ensemble de l’organisation
- DRP Disaster Recovery Plan: plan de “secours” en cas de désastre pour récupérer  se
concentre uniquement sur la récupération des systèmes informatiques après une crise
- KPIs: key project indictors
- Cybersecurity Risk Management reporting framework: framework permettant

l’identification et la gestion des risques en matière de cybersécurité
Éléments clés 4
- ITGC vs contrôles applications : connaître les différences
- Outsourcing (cloud, SaaS, etc)
- Normes (référentiels légaux, normes informatiques
- Exploitation informatiques (vocs, département informatique) —> comment ça marche.net
- Sécurité vs Résilience : sécurité à 100% impossible, comment gérer ca
Auditeur la sous traitance

Sous traiter
- Utilisation de la sous-traitance augmente :
o Helpdesk
o Développement d’applications
o Applications complètes : SaaS
o Infrastructure dans le Cloud : IaaS
- La direction informatique peut sous-traiter ses travaux mais pas ses responsabilités
o Le réviseur doit savoir ce qui se passe chez son client même si il sous-traite
o Exemple du hacking de la chaine de magasin Target en 2013 par une faiblesse du
serveur de ventilation
- Impossible pour les outsourcers de se laisser auditer par tous leurs clients
- Standards sont apparus :

o SAS70 > SSAE16 > SSAE18 > ISAE3402
- Rapports SOC1 et SOC2, SOC3 —> un auditeur central qui va établir ces rapports
o Dans les normes SSAE18, une distinction est faite entre une évaluation SOC (Systems
and Organization Control) 1 et une évaluation SOC 2.
o Un rapport SOC 1 est composé d’objectifs de contrôle utilisés pour représenter avec
exactitude le contrôle interne en matière de rapports financiers (CIRF).
o Un rapport SOC2 est basé sur les critères de service de confiance. À l’échelle
internationale pour les rapports SOC2, la norme internationale sur les missions
d’assurance (ISAE 3000) est utilisée pour rendre compte des critères des services de
confiance en matière de sécurité, de confidentialité, de disponibilité, de
confidentialité et d’intégrité du traitement, y compris la description des services
fournis et des tests de contrôle.
o SOC 3 SOC for Service Organizations: Trust Services Criteria for General Use Report
est une version abrégée et publique du rapport d’attestation SOC 2 Type 2 pour les
utilisateurs qui ont besoin d’assurances sur les contrôles de l’organisation de services
en matière de sécurité, de disponibilité, d’intégrité du traitement, de confidentialité
ou de confidentialité, mais qui n’ont pas besoin d’un rapport SOC 2 complet. Étant
donné que les rapports SOC 3 sont des rapports d’utilisation générale, ils peuvent
être distribués gratuitement.
- Une norme spécifique couvre la cybersécurité

o depuis 2017 SOC on Cybersecurity Risk Management Reporting Framework
Gouvernance et gestion informatique

Cas sur le SCI – mossack Fonseca :
Citez les risques inhérentes et de contrôles :
Risque inhérent :
- CMS car quand en open source, il y a de gros risque venant de la société qui fournit le CMS
- Risque de vol de données
- Perte de données
- Sécurité
- Confidentialité
- Cyber attaque
En considérant le COSO : quel est le composant le plus faible

- Environnement de contrôle
- Risk assessment —> risque jamais évalué
Monitoring (réponse fausse) : dans le cadre COSO c’est la surveillance de l’ensemble du processus
COSO et pas de l’activité de l’entreprise
Open source : accessible au téléchargement venant d’un tiers
Analyse des risques et criticite

- Une gouvernance des données pas ou mal définie a des conséquences directes sur la fiabilité
des données : référentiels clients, fournisseurs, comptables incohérents, incomplets,
redondants, nomenclatures multiples, identifiants manquants, silotage entre applications,
problèmes d’interfaces... La piste d’audit est directement impactée lorsque les données
référentielles ne sont pas sous une responsabilité unique et mise à jour en fonction des
besoins opérationnels ou règlementaires.
- Gouvernance et pilotage des Systèmes d’informations :
- L’impact sur les coûts, sur la gestion des imprévus ou des crises, la visibilité (monitoring) peut
avoir des conséquences sur la révision des comptes.
- = Risques dont le réviseur doit tenir compte
Gouvernance IT
- Gouvernance : multiples definitions, pour l’IT :
- La gouvernance informatique vise 3 objectifs via la mise en place d’une structure chargée
des informations, des processus opérationnels, des applications et des infrastructures:
o Générer de la valeur commerciale
o Monitorer les performances de gestion
o Atténuer les risques liés à la technologie de l’information
- Normes COBIT, ITIL, NIST, ISO27001
- Etapes minimales analyse gouvernance IT:

o Revue des contrats (online en général)
o Revue des SLA (Service Level Agreements) —> accord avec les sous-traitants
o Revue des KPIs informatiques
o Analyse des risques
o Identification des frameworks en place (
Cobit 2019 versus Cobit 5

- Objectif en terme de :
o Gouvernance
o Management
Exploitation des systèmes d’informations

Gestion des opérations :
- Exploitation IT (général)
o Tâches relatives aux applications
o Équipe d’exploitation (suppléance)
o Gestion de la configuration—> change en fonction de l’utilisateur et du métier
o Surveillance système (disponibilité)
o Utilisation d’outils expl.
o Surveillance réseau (pas de panne ou de hacking)
o Contrôle de fonctionnement du sys.
o Helpdesk
o Traitement des pannes et erreurs
- Sauvegarde des données

o Concept de sauvegarde
o Processus de sauvegarde
o Test de restauration
o Plan d’urgence IT
o Transfert de données
Indicateurs de risque d’erreurs

Risques
- Interruption d’un ou plusieurs systèmes
- Perte de confiance des utilisateurs
- Pertes de données
- Impact sur la pérennité de l’entreprise
Indicateurs de faiblesse
- Disponibilité des systèmes non prévisible
- Intégrité des données impactée
- Efficacité/efficience du service aux utilisateurs
- Nombre d’interruptions ou d’erreurs qui impactent les opérations de l’entreprise
- Nombre d’heures d’interruptions en raison des incidents
Audit de l’exploitation informatique

Comment sont gérés les problèmes d’exploitation au quotidien
- Objectifs
o Analyser les procédures de suivi des dysfonctionnements du système d’information
(suivi des pannes/indisponibilités, volumétrie, indicateurs de performance)
o Vérifier qu’une fonction d’exploitation existe et assure une disponibilité satisfaisante
du SI
- Analyse de
o Suivi des performances du SI
o Disponibilité du SI
o Fonction d’exploitation
o Historique de surveillance des activités
- Résultat et incidence sur le risque inhérent

o Faible, modérée ou élevée
Cas monmodèle d’entreprise sur internet
Résilience des systèmes d’information

Résilience IT
- Résilience : capacité à revenir à son état initial
- Dans le domaine des technologies de l'information, la résilience fait référence à la capacité

d'un système informatique à continuer à fonctionner en cas de panne, d'incident, de piratage
ou d'augmentation des opérations commerciales
- Systèmes et Données sont à prendre en compte

Sécurité vs résilience
Question résilience
- Combien de temps l’entreprise peut-elle fonctionner si l’outil informatique est hors de
service ?
- Quelles sont les applications les plus indispensables dans l’entreprise ?
- Comment opérationnellement s’effectuerait la restauration du système informatique ?
- Combien couterait la remise en place d’un système informatique en cas de sinistre ?
- Existe-il des procédures dégradées pour fonctionner temporairement en mode manuel ou
avec un système d’information limité ?
Tout est résilience à la fin

- Peu importe la sécurité c’est le back up et la résilience qui comptent
- Distinguer DRP vs PCA
- Backup froid vs chaud (chaud = déjà en ligne)
- Site chaud : totalement transparent pour l’utilisateur (d’autres serveurs prennent le relai en
cas de panne)  réplique la situation sans interruption pour l’utilisateur  coût bcp plus
élevés que pour un site froid
- Site froid : toute les machines sont dans une pièce, on doit venir avec des bandes de
sauvegardes afin de charger et mettre à jour les programmes dans le serveur puis charger les
données
- Site tiede : on maintien tous les programmes à jour et on vient que avec les données (entre
chaud et froid)
Sécurité IT
Cyber or not cyber :
- Classification des données confidentielles —> focus sur ce qui est vraiment clé
- La cybersécurité n’est pas toute la sécurité !
o Sécurité Logique ET Sécurité Physique sont clés
o Gestion des accès • Ségrégation des réseaux
o Patch/update des systèmes
o Formation des users
o Classification des données confidentielles
o Respect des lois (GDPR)
o Archivage et back up
o Résilience
Cas 2 – Mastartup.com SA
Citez les risques que vous identifiez et précisez s’il s’agit de RI ou RC
- Risque incendie : RI
- Cyberattaque : RI
- Pas de protection des données : RC
- Sécurité : RC
Lorsque l’on prend le SCI dans son ensemble, il s’agit d’un problème de :
- Contrôle généraux IT – Environnement de contrôle
- Contrôle généraux IT – Gestion des accès
- Contrôle généraux IT – sécurité des données
Quel est le risque le moins impactant

- Les employés accèdent ou divulguent des informations confidentielles
Quel est le contrôle indadéquat / peu adéquat

- Partager les mots de passe entre les collègues
Principes zero trust (ZTNA)

- Les mesures traditionnelles de sécurisation du système d’information (SI), telles que les
pares-feux, le cloisonnement (physique ou logique) ou les VPN, rencontrent des limites.
- Zero Trust : concept d’architecture pour le renforcement de la sécurité d’accès aux

ressources et aux services et non pas une technologie
- La démarche Zero Trust consiste au contraire à réduire la « confiance implicite » accordée

aux utilisateurs et aux activités menées par le biais des équipements de l’entité
- Pour réduire la « confiance implicite », les contrôles doivent devenir réguliers, dynamiques et
granulaires (référence 1) :
o L’accès aux ressources doit être accordé sur la base du besoin d’en connaître
o L’accès doit être donné sur la base du plus faible niveau de privilège nécessaire pour
réaliser la tâche
o Les demandes d’accès doivent être contrôlées de la même manière quelles que
soient leurs origines (le périmètre « intérieur » ou « extérieur » de l’entité)
o La politique d’accès aux ressources doit être dynamique et prendre en compte un

large nombre d’attributs (identités de l’accédant et de la ressource accédée,
sensibilité des ressources sollicitées, analyse comportementale de l’utilisateur,
horaires d’accès, etc.)
o L’entité doit veiller à la sécurité de tous ses actifs à l’occasion des demandes d’accès
et de manière récurrente durant l’usage
o Les authentifications et autorisations d’accès aux ressources doivent faire l’objet de

réévaluations régulières.
Cours 5 – 02.05 – Audit d’une application informatique
- Outsourcing
- Schémas
Outsourcing ou l’externalisation
Audit de l’outsourcing
- Droits d’accès
- Séparation des environnements
- Sécurité physique
- Réglementation
- Protection des données (Privacy)
- Disponibilité
- Audit
- Analyse de l’environnement outsourcé  incidende sur le risque inhérent

o Faible : Un contrat est en place Les environnements sont séparés physiquement et
logiquement. Les procédures sont documentées Des scénarios de sortie ont été
analysés et sont testés chaque année
o Modéré : Un contrat d’outsourcing existe. Les procédures sont peu documentées et

leur pertinence n’est pas vérifiée. La disponibilité est contrôlée Risque qu’une
interruption d’une partie du service survienne sans connaître l’impact pour les
processus
o Elevé : Il n’y a pas de contrat entre le fournisseur et le client. Les processus ne sont
pas connus par les utilisateurs en cas d’interruption de service. L’impact en cas
d’interruption n’est pas connu Les risques d’interruption du service sont possibles
sans connaissances de l’impact sur l’entreprise cliente
Elements clés 5
- Audit d’une application
- Make or Buy
- DevOps
- Applications pratiques
Audit d’une application
- Les 8 étapes de la méthode de verification
o Analyse du bilan et du compte de résultat
o Identification des processus opérationnels et flux de données
o Identification des applications clés et interfaces
o Identification des risques et controles clés
o Test de cheminement
o Évaluation de la conception du contrôle
o Évaluation du fonctionnement du contrôle
o Appréciation globale
Introduction
- Identification du risque
- La fiabilité de l’ensemble du système de contrôle repose sur l’identification correcte des
risques
- Délimitation de l’approche de contrôle :
Analyse du bilan et du compte de résultat
- Définition des objectifs

o Définition des rubriques du bilan et du compte de résultats pertinentes pour l'audit
o Identification des transactions (opérations commerciales) ou des classes de
transactions à l'origine de ces positions
Identification des processus opérationnels et flux de données
Documentation :
- Sous forme de tableau : Solution adaptée à des éléments comptables et interactions simples
- Sous forme de modèle de processus : Solution adaptée à des interactions complexes
- Sous forme de flux de données : Solution adaptée à l'analyse effective d'interactions
complexes
Identification des applications et interfaces clés

Établissement des applications clés
2 méthodes pour se doter d’un applicatif

- Développement
o Besoins
o Budget
o Communication
o Test
- Achat d’un logiciel standard

o Fonctions
o Coûts
o Maintenance
Lien avec l’approche audit

- Développement
o Analyse
o Programmation
o Tests
o Droits d’accès
- Achat d’un logiciel standard

o Certification
o Paramètres
o Interfaces
o Développements spéciaux
o Droits d’accès
Applications standard :
- Les applications standard constituent (aussi) un défi (surtout lorsqu'il s'agit d'applications
fortement adaptées)
- Les éléments suivants doivent ainsi être pris en compte :

o Maturité de la version logicielle
o Degré de paramétrisation
o Résultats d'audit antérieurs
o Forum Internet
o Documentation relative à la release
 attention si les objectifs ne sont pas clairs ou pas maitrisé
Identification des risques et des contrôles clés

1. Délimiter l'univers du contrôle évalué et vérifié dans les étapes suivantes.
2. Constater quels contrôles clés atténuent les risques pertinents (scénarios de dommages)
3. Analyser l'impact sur les montants déclarés dans les états financiers
Test de cheminement :
- Contenu et objectifs :
o Exécution et documentation des processus / types de transactions pertinentes
o Sert à vérifier la compréhension du processus concerné et à confirmer l'analyse
précédente
- Contexte
o Vérification des processus et du traitement
o Estimation de la consistance / pertinence de la documentation et des diagrammes
disponibles
o Confirmation de l'existence des contrôles pertinents
Évaluation de la conception du contrôle :

- Contenu et objectifs :
o Les risques identifiés sont-ils entièrement couverts?
o Les objectifs de contrôle peuvent-ils être atteints par les contrôles mis en place?
o Les contrôles sont-ils efficaces et efficients?
o D'autres contrôles (supérieurs ou une combinaison de contrôles) sont-ils

éventuellement plus efficaces/efficients?
o Identification de lacunes, de chevauchements et de doublons en matière de

contrôles
o Prévention de contrôles onéreux (services techniques) et de tâches de vérification

de l'efficacité (auditeur)
o Amélioration éventuelle des résultats au niveau de l'efficience et de l'efficacité grâce

à l'utilisation ou l'adaptation d'autres contrôles
- Cadres / champ
o Évaluation de l'adéquation de la conception du contrôle en prenant en compte
l'ensemble des opérations et contrôles importants. Cadres et objet (suite)
- Objet
o Évaluation globale de l'adéquation du système de contrôle intégral: Qualité adéquate
avec le moins d'utilisation possible
o Dérivation et constatation d'une stratégie d'audit adaptée liée à l'évaluation des

contrôles resp. du système de contrôle employés
Évaluation du fonctionnement du contrôle

- Définition des objectifs :
o Donner une opinion sur le système de contrôle interne
o L'évaluation de l'efficacité d'un contrôle permet de déterminer :

 Si le contrôle fonctionne comme prévu
 S’il a été effectivement réalisé
 S’il a été effectué entièrement
 S’il a été exécuté par une personne qualifiée et autorisée
- Stratégie d’audit dans le cadre des contrôles applicatif

o Test unique (test of one)
o Test direct
o Baselining / Benchmarking
o Data analysis
Appréciation globale
- Definition des objectifs
o Les résultats des différentes étapes de l'audit sont évalués et synthétisés dans une
appréciation globale en fonction de leur influence sur les rapports financiers.
o L'auditeur émet une opinion sur l'adéquation du système de contrôle interne et sa

capacité à éviter des erreurs majeures dans les états financiers, avec un niveau
d'assurance raisonnable.
- Critères d’évaluation
o S'agit-il d'un fait qui affecte l'état financier?
o S'agit-il d'une violation de la loi ou des statuts?
o S'agit-il d'un élément qui affecte l'opinion d'audit?
- Lors de l'évaluation de l'impact sur l'opinion d'audit, l'auditeur évalue la possibilité de couvrir
l'impact possible des contrôles inopérants par des procédures d'audit substantives
Annexes
Appréciation gloable
- Déduction de l’appréciation globale
o Dans quelle mesure l'application contrôlée supporte le processus métier (conception
des contrôles, fonctionnement des contrôles)
o Présence de lacunes significatives de contrôle dans l'application
o L'impact des lacunes de contrôle sur les traitements de l'application et sur le

processus global ainsi que sur les assertions s'y rapportant dans les états financiers
o La présence, dans le processus métier, de contrôles qui compensent l'impact

d'éventuelles faiblesses de contrôle dans l'application nécessite la vérification de
contrôle et de procédures d'audit orientées résultat supplémentaires.
- Principe :
o Lorsque les faiblesses des contrôles applicatifs peuvent influencer significativement
l'exactitude des assertions dans les états financiers, et que ce risque ne peut pas
être compensé par d'autres contrôles (p. ex. des contrôles manuels détectifs),
l'impact de ces faiblesses sur le rapport annuel doit être évalué.
- Présentation de l’information
o L'auditeur établit à l'intention de la direction, outre son opinion d'audit, une
synthèse de la situation des risques au niveau des processus et des applications
contrôlés.
o Conséquences de contrôles inefficaces sur le programme d'audit et notamment sur

la taille de l'échantillon (sample) lors de procédures d'audit substantives
- Rapport avec le SCI et la loi SOX
- Évaluation du SCI conformément à la NAS 890, à la loi SOX 404 et pour l'audit :
o Dans le cadre de la vérification de l'existence du SCI suivant la NAS 890, l'auditeur
peut effectuer les révisions des étapes 1 à 6, qui sont nécessaires pour confirmer
l'existence du SCI requise par la loi. A cet effet, l'opinion est effective au jour de
clôture.
o Aux étapes 7 et 8, l'auditeur obtient la preuve de l'efficacité des contrôles considérés
sur toute la période d'audit et peut suivre une stratégie d'audit basée sur les
contrôles.
o Conformément au droit suisse, il n'est pas tenu de le faire sur l'ensemble du SCI,
mais il peut décider dans sa stratégie d'audit dans quels domaines il souhaite tester
le fonctionnement des contrôles et ainsi suivre une stratégie d'audit basée sur les
contrôles, et pour quels domaines il choisit une stratégie d'audit orientée résultat.
o Dans le cadre d'une évaluation selon SOX 404, l'auditeur doit exécuter l'ensemble
des étapes (design assessment et operational testing), mais émet une opinion au jour
de clôture. Ainsi, des corrections (y c. nouveau design assessment et operational
testing) sont possibles avant la fin de l'exercice.
Différents niveaux de prestations
Cas statica
Analyse du problème
1. Quels sont les risques inhérents, de contrôle, de non détection ?
2. Quel type de données est impacté
3. Quel est l’impact pour les états financiers
4. Comment adaptez vous votre stratégie d’audit
Cas Devops
Vous êtes un auditeur des systèmes d'information dans une entreprise qui a adopté la méthodologie
DEVOPS pour le développement et le déploiement de ses applications. Votre mission consiste à
auditer les pratiques DEVOPS de l'entreprise pour déterminer leur conformité aux normes de
sécurité et de qualité.
Décrivez brièvement la méthodologie DEVOPS et expliquez les avantages qu'elle peut offrir à une
entreprise.
Identifiez les risques potentiels associés à l'adoption de la méthodologie DEVOPS dans l'entreprise
et expliquez comment ces risques peuvent être gérés.
Évaluez la qualité du processus de développement et de déploiement des applications DEVOPS
dans l'entreprise en examinant les pratiques suivantes :
- Les contrôles de version des codes sources
- Les tests unitaires, d'intégration et fonctionnels automatisés
- Les pratiques de gestion de configuration et d'infrastructure en tant que code
- Les pratiques de gestion des incidents et de résolution des problèmes
- Les mesures de performance et de surveillance des applications
Évaluez la sécurité du processus DEVOPS de l'entreprise en examinant les pratiques suivantes :

- Les pratiques d'authentification et d'autorisation
- Les pratiques de gestion des secrets et des données sensibles
- Les pratiques de sécurité du réseau et de l'infrastructure
- Les pratiques de gestion des vulnérabilités et des patchs
- Les pratiques de gestion des menaces et des incidents de sécurité
Évaluez la conformité de l'entreprise aux normes de sécurité et de qualité pour les applications
DEVOPS, telles que les normes ISO 27001, PCI DSS etc.
Fournissez des recommandations pour améliorer les pratiques DEVOPS de l'entreprise, en se

concentrant sur les domaines critiques identifiés lors de l'audit.
Présentez vos résultats et vos recommandations à la direction de l'entreprise, en soulignant les

avantages d'une approche DEVOPS bien conçue et gérée pour les activités de l'entreprise.
Cours 6 – 16.06 – Techniques et outils d’audit

Introduction
Délimitation de l’approche de contrôle
TV 5 monde :
De quel risque s’agit-il ? —> risque de contrôle, pas de mise en place de contrôle (e.g des mots de
passe affichés sur le mur lors de l’interview)
Lequel des domaines de contrôles est faible ? —> Contrôles généraux IT – environnement de
contrôle (le plus important dans l’ensemble c’est l’environnement de contrôle de l’entreprise —>
dans TV 5 Monde on peut juger que personne n’est sensible aux contrôles —> Tone at the Top
Quel est l’impact sur les états financiers (fort, moyen, faible, inexistant)—> faible, car cette attaque
la a seulement rendu indisponible les services pendant 1 jour donc sur le revenue pub comparé à
toutes l’année c’est seulement faible donc ce n’est pas inexistant ni fort
- Attention aux provisions potentielles suite aux éventuelles problèmes de réputation
Quel type de contrôles mettre en place ? —> sécurisation des MDP, mettre à jour la charte IT, stress
test d’une attaque informatique, sensibiliser le personnel (politique de sécurité)
Quels chapitres du cours ? —> SCI
Contexte
Techniques et outils d’audit
Quelle utilisation pour les outils d’audit ?

Pourquoi utiliser des outils d’audit
- Ils permettent d’effectuer des tâches d’audit en améliorant les éléments suivants :
o La réduction du risque d’audit;
o L’efficience du travail grâce aux gains de:
 Flexibilité,
 Volume des données que l’on peut traiter
 Vitesse d’exécution des travaux,
 L’exactitude et la qualité des résultats;
- La qualité du travail fourni et de la présentation des résultats.
Les outils de l’auditeur
- Les outils de gestion de mandat
- Les outils d’analyse
- Les outils de tests —> cf système experts
- Les systèmes experts
- Les outils de Knowledge Management
Processus et exemple d’outils

CAATT : Computer, Assisted, Audit, Tools, Techniques
- Administration :
o Productivité (gestion de mandat)
o Planification
- Audit :
o Analyse, vérification, tests
o Détections
o Systèmes experts
- Bases de connaissances :
o Veille
o Connaissances
o Alertes
Les outils de gestion de mandat

Audit Management Software»
- Permettent d’optimiser les planning
- Permettent de gérer les papiers de travail de manière électronique
- Permettent de suivre les recommandations
Les outils d’analyse

- Analyse sur un système central (ex : SQL...).
o pas de procédure de download
o pas de restructuration des données
o pas d'investissement pour le service d'audit
o soutien par les services informatiques
- Analyse sur un PC (ex :Galvanise (ex-ACL), Tableau, EXCEL...)

o outil sur mesure pour les auditeurs
o documentation des opérations
o un logiciel pour toutes les applications
o indépendance du poste de travail
Les systèmes experts

- Outils semi-automatisés
- Liés à des domaines technologiques
- Complexes à utiliser
- Exemples :
o Internet Scanner / Vulnerability assessment
o Intrusion Detection
Sources d’information « knowledge management »

- Sites internet :
o AuditNet http://www.theiia.org/itaudit
o ISACA www.isaca.org
o AFAI www.afai.asso.fr
o GAO (Government Accountability Office) www.gao.gov.
- Documentation:
o le manuel suisse d'audit (MSA)
o Les normes d’audit suisses (NAS)
o CNCC
o CobiT
Démarche et cas pratique analyse de données

Les différentes étapes d’une démarche
Processus ETL :
- Extract : retrieves and verifies data from various sources
- Transform : processses and organizes extracted data so it is usable
- Load : moves transformed data to a data repository
Les données : base, table, colonne, ligne

- A table is a collection of related data held in a tabular format within a database.
- It consists of columns and rows.
- A table has a specified number of columns, but can have any number of rows.
- Each field has a unique format (date, whole number, text, decimal number, Boolean, etc.)
Utilisation de travaux d’autres professionnels

NAS :
- Types de professionnels distingués dans les NAS
o NAS 600 Utilisation des travaux d’un autre auditeur
o NAS 610 Examen des travaux de l’audit interne
o NAS 620 Utilisation des travaux d’un expert
Nas 6oo : autre réviseur
- Lorsque l'auditeur principal utilise les travaux d'un autre auditeur, l'auditeur principal doit
déterminer leur incidence sur son propre audit.
- Lorsque l'auditeur principal envisage d'utiliser les travaux d'un autre auditeur, il doit évaluer
la compétence professionnelle de cet auditeur dans le cadre de la mission spécifique.
- L'auditeur principal doit mettre en oeuvre des procédures afin de réunir des éléments
probants suffisants et adéquats montrant que le travail de l'autre auditeur répond aux
objectifs de l'auditeur principal, dans le cadre de sa mission spécifique.
- L'auditeur principal doit prendre en compte les résultats significatifs de l'audit réalisé par
l'autre auditeur.
- Lorsque l'auditeur principal conclut que les travaux de l'autre auditeur ne peuvent pas être
utilisés et qu'il n'a pas été en mesure de mettre en oeuvre des procédures complémentaires
suffisantes sur les informations financières du secteur de l'entreprise auditée par l'autre
auditeur, il doit formuler une opinion avec réserve dans la mesure où une opinion peut être
délivrée (cf. NAS 700 Rapport de l'auditeur sur les états financiers). Il s'agit ici d'une
limitation de l'étendue des travaux d'audit.
- Si l'auditeur principal procède ainsi, son rapport devra le faire clairement ressortir, en
indiquant la taille relative de la partie des états financiers vérifiée par l'autre auditeur.
Nas 610 : audit interne :

- L'auditeur externe doit revoir les activités de l'audit interne ainsi que leur incidence
potentielle sur les procédures d'audit externe.
- L'auditeur externe doit acquérir une connaissance suffisante des activités de l'audit interne
pour planifier l'audit et élaborer une approche d'audit efficace.
- Lors de la planification de l'audit (cf. NAS 300 Planification des travaux), l'auditeur externe
doit procéder à une évaluation préliminaire de la fonction d'audit interne lorsqu'il s'avère
que celle-ci peut être utile à certains aspects spécifiques de l'audit externe des états
financiers.
- Lorsque l'auditeur externe a l'intention d'utiliser des travaux spécifiques de l'audit interne, il
doit évaluer et revoir ces travaux pour confirmer leur adéquation avec ses propres objectifs.
Nas 620 : expert

- Lorsque l'auditeur utilise les travaux d'un expert, il doit réunir des éléments probants
suffisants et adéquats montrant que ces travaux peuvent être utilisés dans le cadre de
l'audit.
- Lorsque l'auditeur envisage d'utiliser les travaux d'un expert, il doit déterminer la
compétence professionnelle de ce dernier.
- L'auditeur doit évaluer l'objectivité de l'expert.
- L'auditeur doit réunir des éléments probants suffisants et adéquats montrant que l'étendue
des travaux de l'expert répond aux objectifs de l'audit.
- L'auditeur doit déterminer si les travaux de l'expert peuvent constituer un élément probant
concernant l'appréciation de l'assertion spécifique sous-tendant l'établissement des états
financiers.
- Le texte standard du rapport de l'auditeur ne fait pas état des travaux de l'expert.
Annexes :
Dans quelle phase utiliser les outils d’audit
Les requêtes : le langage SQL

- Langage SQL (Structured Query Language) est un standard de requête dans des bases de
données relationnelles
- Structure type d’une requête SQL:

o SELECT [champs]
o FROM [table]
o WHERE [condition]
o GROUP BY [champ]
- Permet de lancer une requête sur la majorité des bases de données sans contrainte de
langage propriétaire
Les risques liés à la manipulation des données

- Les principaux risques lors d’une telle opération sont :
o Impossibilité de l’extraction des données
o Volume trop important de données
o Impossibilité de réconcilier les données
Les filtres
- Expression logique permettant de sélectionner des enregistrements spécifiques.
- Généralement utilisé pour sélectionner les exceptions dans une liste.
- Les filtres sont temporaires, seules les requêtes permettent de créer une table contenant les
enregistrements désirés.
- Les filtres sont une forme dérivée des requêtes SQL.
Cas devops
Cours 7 – 30.05 – Révisions et cas

- Outils
- Traitements donnés
ATTENTION : si un identifiant de produit est à double et ne reflète pas le même produit c’est le plus
gros risque d’erreur
Dans un stock le plus important c’est de compté le nb produit (intégralité), ensuite enregistrement
doit être exact (enregistrement), ensuite intégrité, on compte juste (intégrité) puis évaluation puis
disponibilité (on parle de disponibilité des systèmes) et droits d’accès qui sont des problèmes
intervenants plus tard
Attention à la description des export fichiers excel

- Au format des cellules :
o Liste déroulante pour limiter les choix
o Format de date jj.mm.yy
o => contrôle à la saisie = ITAC
 Contrôle à la saisie = gain de temps, MAIS, contrôle bloquant (préventif)
 Si on vérifie après coup, contrôle a posteriori (monitoring)
Données statiques ont des impacts fiscaux et au niveau des sanctions aussi c’est pourquoi on fait ces
contrôles de saisie
Rappel : minimum à connaître

- Stratégie d’audit : facteurs influences, approche risques
- Risque d’audit = Risque Inhérent x Risque Contrôle x Risque Non-Détection
- 4 Domaines ITGC = Dvpt – Maintenance – Exploitation – Securité
- Contrôles Applicatifs = ITAC = Saisie, Traitements, Output, Interfaces, bcp d’éléments autour
de ces contrôles applicatifs
- Contrôles entreprise = ELC  même chose que SCI au niveau informatique (stratégie IT,
gouvernance IT)
- Types données = Bases, Paramètres, Flux  on des conséquences sur les erreurs ci-dessous
- Types erreurs = répétitive, systematique, unique
- Normes du MSA = NAS 400, 401, 402 – 890, NAS 600, 610, 620
- Loi = CO728a, newCO ?
RI d’indisponibilité des SI : pour un système critique (tolérance faible aux interruptions) l’auditeur
IT recommande :
- Site chaud
Au sein de la fonction IT quelle association de responsabilité est incompatible

- Développement et Exploitation
o Comme le développeur connait toute la structure, il y aurait de gros risque de fraude
et de manipulation comptable
Un set de données pour tester un système bancaire acheté est transmis au fournisseur de la
solution. Pour être utilisables, ces données doivent être :
- Anonymisées
o Comme on est dans le système bancaire, les données clients doivent être
absolument anonymisées
Parmi les facteurs d’influence suivants quel(s) est / sont l’(es) intrus
- COSO
Quelle faiblesse serait considérée comme la PLUS grave dans un ERP :

- Les contrôles d’accès n’ont pas été examinés
o ITAC (saisie, traitement, droit d’accès) ou ITGC
Cherchez l’intrus parmi (gestion de développement, sécurité physique, contrôle à la saisie,

exploitation) ?
- Contrôle à la saisie car les 3 autres font partie de l’ITGC
Cas – démarche d’audit

Vous effectuez un audit des états financiers d’une société horlogère, dont le siège est en Suisse et
aussi présente en Asie et en Europe. Comment établir une démarche d’audit qui tient compte du fait
que les processus filiales sont informatisés dans des erp locaux, hebergé dans un cloud microsoft
azur et la consolidation suisse dans le logiciel SAP on premise ? Votre focus en audit pour cette année
est sur les ventes, surtout la séparation des exercices (cut-off)
- 1. Demander quels sont les facteurs d’influences  hypothèses si néccessaire

- 2. Toutes les filiales dans un cloud  ITGC  ISAE 3402 attestation qui permet de savoir
comment le cloud est structuré
- 3. Évaluation des risques et voir si impact avec EF
- 4. Conso en suisse d’une société partout dans le monde  si SAP on premises a des erreurs
 il faut déterminer le niveau de sécurité physique et digitale
- 5. Lien entre séparation des exercices, ERP locaux, conso sur SAP centrale)  comme ERP
local, et fuseaux horaires différents, avec un SAP central, il faut du temps pour transmettre
les données d’un système à un autres (ressaisie, interfaces = 2 systèmes qui communiquent
entre eux, soit en temps réel soit en batch cooking toutes les données du jour viennent
d’un coup)  il faut faire un contrôle des batchs  possibilité de les arrêter ?
o Gros risque que le client joue de ça concernant la séparation des exercices
- Quand on est dans SAP, on peut délimiter des périodes et des parametres sur taux de
change, TVA, groupement de compte  concernant la séparation, regarder les retours
Méthode à appliquer
- Approche générale et démontre comment intégrer l'IT dans l'audit
- Considérer un ou plusieurs facteurs d'influence de la stratégie d'audit ( SCI, caractère
significatifs, technologie d'information, résultats d'analys des EF, Violations)
- Introduit les risques leurs appréciation dans la démarche
- Introduit au sens large le SCI de l'entreprise (Contrôle entreprise, contrôle généraux IT,
contrôles applicatifs)
- Décomposer les contrôles généraux IT (dev, chgt, sec phy, sec log, ops)
- Décomposition des contrôles applicatifs (mention des assertions et/ou objectifs de contrôle,
sur type de données: flux, base, paramètres)
- Les lois et obligations qui peuvent s'appliquer (NAS, FINMA, SOX, etc.)
- Démarche est toujours : Objectifs / Risques / Mitigations / SCI
- Considérer adéquatement aux risques et aux possibles mitigations
ITAC : CTRL APPLICATIFS – 3 CAS

A- Quels contrôles automatiques devraient-ils être prévus lors de la saisie de données dans
l’application de taxation des personnes physiques (administration fiscale gérant 150'000
contribuables personnes physiques)?
B- Quels contrôles automatiques devraient-ils être prévus lors de la saisie de données dans
l’application de facturation de la consommation d’eau (Services industriels gérant 150'000 ménages
avec facturation trimestrielle de la consommation et des abonnements)?
C- Vous êtes réviseur de la société de vente par correspondance RENATE SA, spécialisée dans la vente
par correspondance d’article électroménagers, de bijoux et de mobilier. Le système informatique
comprend une base de données contenant des informations sur les clients, les débiteurs et les
stocks.
Vous devez vous assurer que le système informatique comporte les contrôles nécessaires pour
réduire trois types de risques lors de la saisie des commandes :
- Inexactitude de la saisie ou incohérence de la commande,
- Insolvabilité du client,
- Impossibilité de livrer.
A : exactitude : taxer juste, dans les temps, dans la loi, au bon taux
- Contrôle à la saisie avec format d’insertion de texte prédéfini
B : objectifs : facturer, le bon montant

- Contrôle des compteurs (relevé de compteur)  le propriétaire de l’immeuble envoie le
relevé de compteur au services industriels  saisie faite par le client, le contrôle est fait par
le SI et check si trop de variation
C:
- Inexactitude de la saisie ou incohérence de la commande  contrôle à la saisie
- Insolvabilité du client  check des rappels ou des clients déjà en poursuite, limite de crédit
- Impossibilité de livrer.  Vérifier les adresses si elles sont correctes, contrôle des stocks si on
a les pièces à disposition
Démarche : méthode à appliquer ITAC

- Approche générale : identifier le type d’erreur / risques / contrôle
- Quelle est la nature de la donnée et le type d’erreur associé?
- Donnée Bases : erreur répétitive
- Données Paramètres : erreur systématique
- Données de Flux : erreur unique
- Saisie / Traitement / Transfert / Sortie (output) vs Intégralité / Exactitude/ Accès
Développement / programmé / codé / écriture de logiciel

- L’année dernière vous avez testé avec succès les ITAC du logiciel de gestion des inventaires.
Les inventaires représentent la moitié du bilan à la clôture. La complexité et le nombre de
transactions sont excessivement élevés. Votre client vous informe que les modifications dans
le programme d’inventaire sont entièrement documentées et testées avant d’être mises en
production.
- Quels tests d’audit mettez-vous en oeuvre pour vérifier ceci ?

o On est dans une approche rely on control
o Moitié du bilan de cloture  significatif
o Complexe + grand nombre  on a besoin de l’IT
o => on est dans les ITGC au niveau du développement
o  on part des modifications en production et on compare avec les demandes des
tickets  pour vérifier que toutes les demandes on productions ont bien été
documentés et testés
- Si le client a une démarche ITIL (information technology infrastructure library) cela fait-il une
différence ?
o On s’assure que le niveau de service est bien fait
o Plutôt non
Transferts de données
- Un interface relie automatiquement l’application A à l’application B. Vous comparez les
données entre ces deux applications informatiques à l’aide d’un programme d’analyse des
données et vous constatez des différences.
- Quelles erreurs avez-vous éventuellement commises dans votre démarche ?

o Est-ce qu’on a pris les mêmes sauvegardes au même moment, également avec les
batchs
o A-t’on bien pris toutes les données
o Il faut saisir l’exactitude et ne pas perdre l’integralité
- Quels sont les risques liés à ce transfert ?
- (Distinguer notamment les données de base, les données de flux et les paramètres de
l’application, ainsi que les contrôles applicatifs et les contrôles IT généraux).
- Si votre analyse est correcte, quelles peuvent être les explications de ces différences ?
- Dans quels cas, à quelle occasion une entreprise doit-elle transférer des données ?
o Changement de systèmes
o Fusion de 2 entreprises
o Filiale vers un groupe
o Migration
Outsourcing
Particularités de l’audit en situation d’outsourcing
Votre client a outsourcé les salaires et introduit des contrôles programmés afin d'être conforme à ses
obligations. Votre client a outsourcé son logiciel de paie dans le Cloud Microsoft and a délégué la
gestion de la paie à une société externe
1. Quelle démarche d’audit faut-il faire pour s'assurer que tout est conforme ?  ISAE 3402  se
reposer sur le rapport
2. A quels nouveaux risques s’expose votre client ?  anonymisé les données, risques
règlementaires (RGPD), perte de savoir-faire, regarder les contrats
3. A quels nouveaux risques êtes vous exposé en tant qu’auditeur ?  obligation supplémentaire de
vérifier le rapport d’outsourcing ISAE 3402
Challenges
- Un auditeur externe constate une différence entre le total des factures dans le système de
facturation et le montant total des factures dans la comptabilité générale.
- D’où peut provenir cette différence ? problème d’interface,
o Cut-off en fin d’année
o Si ERP : problème de configuration dans l’ERP
 Rupture de transaction lors de l’interruption

Notes Audit SI

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Notes Audit SI

Transféré par

Droits d'auteur :

Formats disponibles

Audit SI

QCM environ 50%  environ 30 questions

Cours 3 – 28.03 – Systèmes de contrôles des SI..................................................................19

Cours 5 – 02.05 – Audit d’une application informatique....................................................37

Cours 6 – 16.06 – Techniques et outils d’audit...................................................................44

Brève histoire de l’IT

1 zetabyte = 1 milliard de Terabyte

Connaître l’infrastructure, le logiciel utilisé

Domaines Audit SI & leurs objectifs

- Audit de la stratégie IT (leader : Gardner) : vise pertinence du système d’information de son

- Audits de la fonction informatique : vise la qualité des processus informatiques c’est-à-dire

- Le cloud et ne sont pas des composant d’ordinateur

- Progiciel : Un logiciel est un ensemble de programmes, qui permet à un ordinateur ou à un

- IaaS (Infrastructure as a Service) : l’entreprise contrôles les infrastructures, le système

- ITAC (IT application controls) : permettent l’évaluation de l’efficacité de contrôles

- SI (Système d’information) : ensemble de moyen technique, organizational et humain, visant

Le SI> de quoi parle-t-on ?

Organisation d’une fonction IT :

o Ainsi que du choix et de l’exploitation des services de télécommunications mis en

- Une importance plus ou moins grande selon l’activité de l’entreprise

- Les macro-fonctions suivantes seront globalement toujours représentées

o Services techniques : réseaux et télécom, hébergement, sécurité (au sens technique

- OS : Operating system ou system software permet au système de fonctionner (IOS sur

Système d’information de gestion

- => cloud est très sécurisé

ERP : logiciel de gestion intégré

- => toutes les fonctions en 1 seul logiciel

Fournisseurs systémiques  schémas pour examen très important

Gouvernance des données :

- Les principaux domaines d’intervention de la gouvernance des données comprennent la

- L’informatique verte signifie non seulement réduire les émissions de carbone et la

- La durabilité informatique peut être améliorée en utilisant l’informatique de pointe et

- Les centres de données informatiques nécessitent généralement beaucoup d’énergie non

- Évaluation des risques :

- Risques d’audit : risques d’erreur ou de non détection qu’on peut avoir

- Assertions : critères de références dont la réalisation conditionne la régularité, la sincérité et

- Normes : standard ou règles liées à un domaine

o Élaboration de conclusions et de recommandations

o Communication des résultats :

Approche d’audit et environnement informatique

b. L’analyse des données en particulier peut contribuer à améliorer l’efficacité et la

- Control Objectives for information and related Technology (COBIT)

Technologie de l’information : dépend de ou on se situe si l’entreprise est au centre du TI ou non

- Amazon, TI au centre => gros problème si site web lache

Résultat de l’analyse des comptes annuels

- Également si aucune différence faire attention si pas de manipulation

L’entreprise est dépendante de la qualité de l’informatique de tous ses partenaires

Vue globale de l’environnement

Échelles de valeur – assertions

- Exactitude : la précision des informations et des calculs

- Droits d’accès : un système d’identification des utilisateurs est en place

- Existence : actifs dans nos états financiers il correspond en physique en réalité

- Estimation : actifs à la bonne valeur par rapport au marché

- Droits et devoirs : respect des règles du territoire et contexte

- Présentation & transparence : ce qu’on présente dans nos EF = à la réalité

- Fiabilité : Fournir une qualité de l’information irréprochable

- Integrité = integralité + exactitude => les traitements sont complets et exacts

- Conformité : Remplir toutes les obligations de loi et règlements

- Efficience : Le déroulement des transactions est automatisé de manière optimale

- Disponibilité : Assurer le fonctionnement continu du système

- Efficacité : répondre précisément à un besoin

- Confidentialité : garantir que l’information n’est pas accessible à autrui

- Période correcte : prise en compte correcte des dates