Académique Documents
Professionnel Documents
Culture Documents
Table of Contents
Cours 1 – 28.02 – introduction aux fondamentaux..............................................................3
Brève histoire de l’IT....................................................................................................................3
Domaines Audit SI & leurs objectifs.............................................................................................3
Vocabulaire 1..............................................................................................................................4
Éléments clés 1 :..........................................................................................................................5
Système d’information................................................................................................................6
Le SI> de quoi parle-t-on ?...........................................................................................................6
Organisation d’une fonction IT :...................................................................................................6
IT fondamentaux.........................................................................................................................7
Système d’information de gestion...............................................................................................8
Future of IT..................................................................................................................................9
Cours 2 – 14.03 – Démarche d’audit des systèmes d’information......................................11
Vocabulaire 2............................................................................................................................11
Éléments clés :...........................................................................................................................11
Approche d’audit IT...................................................................................................................11
L’environnement de l’entreprise................................................................................................14
Approche risques (IT).................................................................................................................17
Exercices......................................................................................................................................................18
Toujours se demander si les calculs de l’ordi sont justes, très souvent ils sont faux et personne ne
sait comment faire le calcul derrière.
- Audit des SI = considération de l’informatique dans les audits général : audit financier, audit
interne, audit de performance
- Audit des processus informatisés : vise l’efficacité des contrôles intégrés dans les
applications et de la sûreté du fonctionnement quotidien du système d’information (IT AC =
application control = aspect processus)
- Quiz menti : L’IT est-elle une fonction de l’entreprise comme une autre ?
o Si IT crash, cela crée de gros problème notamment pour la marche des affaires
o NON, fonction qui a une plus grande importance que les autres, => optimisation,
fraudes, audit (touchent l’ensemble des comptes)
- Data storage : ne fait pas partie les ROM (read only memory)
o Carte perforée : n’est pas électronique mais contient de la données (plus vieux
moyen de stocker des information 1925) – utilisée pour la musique
o Clef USB : à long terme
o Carte mémoire : sert à augmenter le stockage
o Disque dur : moyen le plus simple pour stocker des données
o SSD (Solid state drive) : dans les téléphone
o ROM = on peut extraire de la donnée mais pas la stocker – impossible à modifier
pour l’utilisateur
Vocabulaire 1
- OS (Operating system ou système d’exploitation) : un ensemble de programmes qui dirige
l’utilisation des ressources d’un ordinateur par des logiciels applicators (IOS, Windows etc)
- ERP (Enterprise Ressource Planning) progiciel qui permet de gérer l’ensemble des processus
opérationnels d’une entreprise en intégrant plusieurs fonctions de gestion (SAP, Oracle)
- Data base (base de données) : un ensemble qui permet le stockage des données de manière
structurée
- AD (Active directory) : système qui sert à stocker des informations d’un réseau
d’ordinateurs. Il permet aux utilisateurs d’utiliser n’importe quel poste du réseau tout en
gardant ses configurations (authentification, autorisation et sécurité)
- SaaS (Software as a Service) : l’entreprise accède aux applications depuis un accès en ligne
(non installé sur le terminal) – Microsoft 365
- PaaS (Platform as a Service) : l’entreprise déploie ses propres applications sur une
infrastructure cloud externe
- ITGC (IT general controls – contrôles généraux informatiques) : sont les contrôles jonchant
les principaux processus de la fonction informatique :
o Sécurité logistique : gestion des accès, gestion des mots de passes
o Gestion des changements : evolutions, parametrage
o Gestion de l’exploitation : interfaces / Batch, incidents, continuité d’exploitation
o Sécurité physique : gestion des accès, protection face aux risques environnementaux
- CPU (Central Processing Unit) : composant électronique qui opère les calculs
- RAM (Random access Memory) : mémoire vive d’un ordinateur dans lequel sont stockées les
informations
- PMO (Project Management Office) : permet de gérer les projets : is a group, agency or
department that defines and maintains the standards of project management for a company.
The PMO retains the documentation and metrics for executing projects and is tasked with
ensuring projects are delivered on time and within budget.
- Cloud : Le stockage en nuage est un mode de stockage de données informatique dans lequel
les données numériques sont stockées sur des serveurs situés hors site. Les serveurs sont
gérés par un fournisseur tiers qui est responsable de l’hébergement, de la gestion et de la
sécurisation des données stockées sur son infrastructure. Le fournisseur veille à ce que les
données sur ses serveurs soient toujours accessibles via des connexions internet publiques
ou privées
- IoT (The Internet of Things) : The internet of things refers to systems that involve
computation, sensing, communication and actuation (as presented in NIST special
publication). IOT involves the connection between humans, non-human physical objects and
cyber objects, enabling monitoring, automation, and decision making.
IOT presents specifically high cyber security risks. NIST is developing industry standards to
protect IoT.
- DDOS (Denial distributed of Service) : A denial of service technique that uses numerous
hosts to perform the attack
- ELC (Entity Level Controls) : « ton » moral que donne le CEO, englobe l’éthique mise en place
dans l’entreprise « tone at the top » Gouvernance de l’entreprise (CADM)
Éléments clés 1 :
- Importance de l’informatique : quiz moodle, aussi selon les normes des révisions
informatiques
- Concept de base : vocs + éléments de bases
- Systèmes d’informations et technologie de l’information
- Organisation d’un département informatique
- Différence Hardware et Software
- Différence ITGC et ITAC
- Différence audit de la fonction informatique et audit des processus informatisé
- Informatique de l’entreprise
- Future de l’IT
Hardware Software
ITGC ITAC
Fonction informatique Processus informatisés
Système d’information
Définition : ensemble de moyen technique, organizational et humain, visant à assurer la création, la
circulation, la destruction de l’information dans une organisation
Les systèmes d’information sont définis comme la combinaison stratégique, managériale et
opérationnelle, les activités et les processus connexe liés à la collecte, au traitement, à l’entreposage,
à la distribution et à l’utilisation l’information et les technologies connexe
Les SI sont distincts des technologies de l’information (TI) en ce sens qu’un SI comporte une
composante informatique qui interagit avec les composantes du processus. Il est défini comme le
matériel, les logiciels, les moyens de communication et les autres installations utilisés pour saisir,
stocker, traiter, transmettre et sortir des donnés sous quelques formes que ce soit
Le SI est un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer
de l’information. En général grâce à un ordinateur. Il s’agit d’un système socio-technique composé
de 2 sous-systèmes, l’un social l’autre technique. Le sous-système social est composé de la structure
organisationnelle et des personnes liées au SI.
Le sous-système technique est composé des technologies et des processus d’affaire concerné par le
SI
L’IT va recevoir des informations des autres cadres (CEO, CFO, etc..), cette vision on va la transformer
en réalité (budget, structure et répond à des besoins)
Software :
- Le matériel est le composant physique d’un ordinateur (hardware). Les logiciels (software)
sont les programmes qui s’exécutent sur un ordinateur. Un SI nécessite à la fois du matériel
et des logiciels pour fonctionner
Networks :
- Le modèle d’interconnexion de systèmes ouverts (modèle OSI) est un modèle conceptuel qui
fournit une base commune pour la coordination de l’élaboration de normes aux fins de
l’interconnexion des systèmes.
- Dans le modèle de référence OSI, les communications entre un SI sont divisées en 7 couches
d’abstraction différentes
o 1. Physique (media, signal and binary transmission)
o Bus de données – data link (physical addressing)
o Réseaux - network (path determination and logical addressing)
o Transport (end-to-end connection and reliability)
o Session (inter host, communication)
o Présentation (data representation and encryptions)
o 7. Application (network process to application)
- Plus les hackers sont proches du « physique » plus il sera discret => souvent entre 3-4
- Cloud storage permet aux organisations de stocker, d’accéder et de gérer les données afin
qu’elles n’aient pas besoins de posséder et d’exploiter leurs propres centres de données, en
déplaçant les dépenses d’un modèle de dépenses en capital à un modèle opérationnel. Le
stockage dans le cloud est évolutif, ce qui permet aux organisations d’étendre ou de réduire
leur empreinte de donneés en fonction de leurs besoins.
- Logiciel de gestion intégrée regroupant l’ensemble des fonctions utilisées par plusieurs
métiers concourant à la gestion de l’ensemble des processus au sein d’une entreprise tel que
la gestion des stocks, gestion des achats, la vente, la distribution, la gestion des RH, la
comptabilité etc..
Gestion de projet
- Équilibrer les ressources, et le temps pour atteindre un objectif
- La gestion de projet est le processus de gestion du travail d’une équipe pour atteindre les
objectifs du projet dans les limites des contraintes données. Ces informations sont
généralement décrites dans la documentation du projet, créée au début du processus de
développement
- Les principales contraintes sont la portée, le temps et le budget. Le défi secondaire est
d’optimiser l’allocation des ressources nécessaires et de les appliquer pour atteindre des
objectifs prédéfinis
- Les projets peuvent être gérés dans des PMO (project management office) et les chefs de
projets peuvent être diplômées PMP (Project Management Professionals)
- La gouvernance des données est une forme d’optimisation dont le but est de permettre à
une organisation de conserver des données de qualité, grace à des contrôles adéquats tout
au long de la vie de la donnée
- Il y a toujours plus de données à gérer (SISO = shit in, shit out) => data life mal gérée dans les
entreprises (mail jamais supprimé par exemple)
Future of IT
Intelligence artificielle :
- Au milieu des années 1950, avec le développement de l’informatique naquit l’ambition de
créer des machines à penser semblabes dans leur fonctionnement à l’esprit humain. L’IA vise
donc à reproduire au mieux, à l’aide de machines, des activités mentales, qu’elles soient de
l’ordre de la compréhension, de la perception, ou de la décision. Par la même, l’IA est
distincte de l’informatique, qui traite, trie et stocke les données et leurs algorithmes. Le
terme « intelligence » recouvre ici une signification adaptative, comme en psychologie
animale. Il s’agira souvent de modéliser la résolution d’un problème, qui peut être inédit, par
un organisme. Si les concepteurs de systèmes experts veulent identifier les savoirs
nécessaires à la résolution de problème complexes par des professionnels, les chercheurs,
travaillant sur les réseaux neuronaux et les robots, essaieront de s’inspirer du système
nerveux et du psychisme animal.
-
- Le monitoring est très important => il doit être possible de « tirer la prise si l‘IA pose
problème
IOT :
- The internet of things refers to systems that involve computation, sensing, communication
and actuation (as presented in NIST special publication). IOT involves the connection
between humans, non-human physical objects and cyber objects, enabling monitoring,
automation, and decision making
- IOT presents specifically high cyber security risks. NIST is developing industry standards to
protect IoT.
Climate & IT :
- L’informatique verte, également appelée informatique verte ou éco-TIC (technologie de
l’information et de la communication), vise à réduire l’impact environnemental des sytème
de technologie de l’information ainsi qu’à améliorer la durabilité grâce à leur utilisation
DDOS :
- A denial-of-service technique that uses numerous hosts to perform the attack
- Une entreprise étant attaquées plusieurs fois par des DDOS sans trouver de résolution peut
créer une réserve à l’opinion lors de l’audit car cela pourrait remettre en causes la continuité
d’exploitation en devenant ingérable.
Cours 2 – 14.03 – Démarche d’audit des systèmes d’information
Vocabulaire 2
- Facteurs d’influence : les facteurs permettent de connaître la profondeur de l’audit à faire, 5
facteurs :
o SCI
o Caractères significatifs : à mettre en relation avec le volume => matérialité
o Technologie de l’information
o Résultat de l’analyse des comptes annuels
o violations
- Risques inhérents : on met des contrôles dessus et si le contrôle ne l’identifie pas on aura un
risque de non détection
o E.g amazon : Cyber-attaque => engagement de hacker pour tester si le site est bien
protégé
- Risque d’erreur : découle du risque lié au contrôle qui découle du risque d’entreprise
comprenant également le risque inhérent
- Risque de non-détection : risque qui après le contrôle de l’auditeur et du SCI n’est pas
détecté
- Planification de l’audit : étapes préalables aux contrôles d’audit afin d’identifier les risques
d’audits
- Stratégie d’audit : combine des procédures et des objectifs liés tant aux systèmes qu'aux
résultats réduira le risque de parvenir à une conclusion erronée, fournira une meilleure
assurance et permettra aux auditeurs de donner une image plus complète de la situation.
Éléments clés :
- Organisation d’un audit au sein d’un audit
- Informatique d’entreprise
- Future de l’IT
- Bases légales, normes, règlements connaître les objectifs des normes pour examen
- Approches risques
- Processus métiers
Approche d’audit IT
Composantes de l’audit IT :
- Le contexte
o Bases légales
o Normes de l’industrie (COBIT) – propre à l’IT
o Réglementations nationales et internationales (RGPD)
o Évaluation des risques et de planification de l’audit (quels sont mes risques depuis
les risques on peut planifier l’audit)
- La démarche – composantes
o Les différents acteurs (contacts clés : CFO, chefs comptable, compliance, RH etc…)
IT-GC & IT-AC => au moins 2 contacts
o Collecte de données et analyse (processus salaire => important que se soit bien
sécurisé => responsabilité de l’auditeur)
RGPD => la loi dit qu’il faut que ça soit sécurisé
2. Conformité à la norme ISA 315 (les activités de contrôles ne peuvent pas être décorrélée de
l’informatique => il faut contrôler tout, notamment l’environnement informatique => si
constatation information (IT-GC) => IT à revoir ainsi que tous les autres contrôles
a. Environnement de production = environnement réel (États financiers etc.. => on ne
peut pas les manipuler => sinon aucun contrôle est valable
3. Efficacité
a. Tout ce qu’on récupère chez le client sera un produit informatique MAIS il faut
s’assurer que ce soit juste => si juste on gagne en efficacité
Référentiel standards :
- Committee of Sponsoring Organizations of the Treadway Commission (COSO)
- Information Technology Infrastructure Library (ITIL) => normes d’excellence pour les helps
desks => similaires au LVMH
- Norme la plus connu : elle spécifie les exigences relatives aux systèmes de management de la
sécurité des informations (ISO 27001)
- National Institute of Standards and Technology (NIST) => agence américaines qui est une
série de référentiel => entitié qui va publier des référentiels et donner des explications quand
hacking de grandes ampleur
- Charge au niveau IT important a check pour voir si ca correspond à l’IT actuel pour être sur
qu’on peut rely on
L’environnement de l’entreprise
Lien entre l’informatique et les autorités très important => notamment dans les banques ou les
systèmes sont reliés avec les autorités
- But : creuser jusqu’à trouver à quel moment l’erreur se trouve pour pouvoir valider le
rapport d’audit
Processus métiers
Modélisation des processus
- Validité : on regarde dans une facture que ce soit exact mais le chiffre qu’on a est valable ou
non (TVA 19% en suisse => pas valide car TVA = 7.7%)
Règles de bases
- Art. 957 CO
- Art. 2 al 2 OLICO
o Comptabilité régulière pas à la fin de l’année => comptabilité fidèle et systématique
o Justification de chaque enregistrement par une pièce comptable
o Clarté
o Traçabilités : permet de savoir quel est le processus de A à Z
o Adaptation à la nature et la taille de l’entreprise
o IT-GC => système de production qu’on peut verrouiller afin de bloquer les risques de
délimitation périodique
Approche risques (IT)
Selon les NAS
- NAS 315 ch.18 : l’influence de l’informatique dans l’analyse des risques lors de la
planification d’un audit peut être très importante
Types de risques
Exercices
Risque de contrôle => pour être sur que les risques inhérent sont suivi et protégé => mettre des
contrôles adapté aux risques
M&A augmente le risque inhérent car diversification des activités et donc plus de risque inhérent
Risque de non-détection : l’auditeur est passé à côté d’un risque inhérent et l’année suivante la
société fait faillite à cause d’une erreur dans les comptes
Cours 3 – 28.03 – Systèmes de contrôles des SI
Retour sur la session 2 :
Processus métiers
- Un auditeur SI doit comprendre et être en mesure d’évaluer les processus d’affaires de
l’organisation qui font l’objet d’une vérification. Cela comprend un test et une évaluation de
la conception et de la mise en œuvre de l’exploitation des contrôles ainsi que la surveillance
et la mise à l’essai des éléments probants pour s’assurer que les contrôles internes au sein de
l’entreprise sont en œuvre
- Devrait être à un niveau suffisamment élevé dans une organisation pour avoir le pouvoir
d’engager des ressources
De manière générale, les processus sont solides à la base mais vers la fin du processus ils sont moins
bons => plus gros risques de fraudes => vérifier aussi les petites agences qui sont moins significatives
Vocabulaire 3
- Audit interne vs contrôle interne: Audit interne : très indépendant, rattaché au CADM
Contrôle interne : intérieur de l’entreprise fait partie du SCI (risk & compliance)
- Gestion de l’exploitation: comment on fait pour que les ordinateurs aient de l’electricité,
soit protéger du feu, de l’eau
Éléments clés 3
- Business process – intro
- Système de contrôle interne : contrôles au niveau de l’entreprise (ELC), contrôles des
processus (Process Control) et contrôles informatiques généraux (ITGC) => NAS 890
o Contrôle applicatif : fait partie du contrôle des processus sauf que c’est plus restreint
- COSO
- Bases légales
Définition du SCI
Un SCI qui est pas connu par les employés pourrait être considéré comme inexistant => à discuter
avec l’entreprise
Objectifs du SCI:
- Gestion régulière et efficace (y compris respect des politiques de gestion); si système
d’information ne fonctionne pas => SCI devient not rely
- Sauvegarde des actifs, prévention et détection des fraudes; protection des actifs, si fraude,
l’entreprise est responsable (e.g : vol d’or) si on est pas capable de prouver que c’est bien
Monsieur X qui est le seul a pouvoir modifier SAP avec un badge le juge ne pourra pas plaider
en faveur de l’entreprise
- Exactitude et intégralité des enregistrements comptables; en théorie oui, mais ça dépend
des paramètres (accès superadministrateur)
- Respect des lois et prescriptions (on pourrait dire qu’il n’y a pas de lien avec l’informatique
sauf 1-2 lois notamment RGDP ou LPD)
- Besoins comptables
- Le but de l’entreprise
- Archivage, reproduction
- Les contrôles manuels, automatiques, séparation des taches etc.. : les contrôles sont 1
éléments parmi d’autres ce n’est pas la globalité
Quiz menti :
Quels facteurs ont un lien avec l’informatique :
- Ils ont tous un lien avec l’informatique
NAS 890 : définition du contrôle clés par la loi => donner 3 caractéristique d’un contrôle clés
- Contrôle qui empêche une anomalie significative et qui a un impact important touchant
plusieurs cycles en même temps
- Il peut contrôler un ou plusieurs risque majeurs => couvrent plusieurs chose en même temps
Comprendre le SCI
S’assurer que:
L'ensemble des comportements, les degrés de sensibilisation et l’action de la direction, des cadres et
collaborateurs concernant le système de contrôle interne et si les fonctions de contrôle sont en place
conformément à ce qui est prévu.
- Réaliser des questionnaires sur les facteurs déterminants : Matrice RASI : défini les roles et
responsabilité
3 objectifs :
1. Fiabilité des états financiers : légales et obligatoires
2. Rentabilité et efficience de l’exploitation : + intéressant pour la société
3. Respect des normes et prescriptions
Le contrôle interne est un processus exercé par le conseil d'administration, le management et par
d'autres collaborateurs de l'entreprise, propre à apporter une assurance raisonnable que les objectifs
suivants sont atteints
Cube COSO
Coso integrated framework 17 principles
o Il rapporte dans l'annexe au bilan sur la gestion des risques (663b CO)
- Management
o Mise en oeuvre des décisions du conseil d'administration
- Organe de révision
o Audite le SCI. Au sens strict il ne fait pas partie du SCI
- Audit interne
o De manière ponctuelle, il audite le SCI. Au sens strict il ne fait pas partie du SCI
NAS 890
Normes d’audit sur la vérification du SCI
Points principaux
- La responsabilité d’un SCI et d’une gestion des risques appropriés incombe au Conseil
d’administration
- La responsabilité de la mise en place incombe à la Direction
- Le SCI est désormais explicitement désigné dans la loi comme objet de vérification
- Le SCI se rapporte au « rapport financier »
- L'étendue et la conception du SCI dépendent de la taille et de la complexité de l’activité de
l’entreprise
- Le SCI peut être structuré comme suit: contrôles au niveau de l’entreprise (ELC), contrôles
des processus (PC) et contrôles informatiques généraux (ITGC) => comprendre et évaluer
- OelDI : Ordonnance du DFF concernant les données et les informations qui sont transmises
par voie électronique
- Objectif de contrôle :
o Les modifications et développements sont uniquement transférés à l‘environnement
de production si les éléments suivants sont présents:
Développement/Changement autorisé
Adéquatement testé et accepté par les utilisateurs
Documenté et conforme aux directives de développement et de qualité.
- Domaines très sensible et tres formalisé et le développeur ne pourra pas travailler sur le
produits finis notamment pour éviter la fraude
- Aujourd’hui « dev-ops » boucle entre les 4 étapes pour aller plus vite mais génère des erreurs
o Gestion des changements (de l’existant) : programme déjà crée qu’on change
o Gestion des opérations / exploitation : comment on fait pour que les ordinateurs
aient de l’electricité, soit protéger du feu, de l’eau
Là-dedans on met les logiciels et processus et autour on mes les OLC (organisation, informatique et
controles
Gestion du développement
- Dépendance aux fournisseurs : 1 seul développeur informatique externe => peut poser
problème si absent ou si erreur de sa part
- Absence de savoir-faire en matière d’applications IT
- Développement des applications comptables en interne
- Applicatifs Excel ou Access installées par certains utilisateurs sur leur ordinateurs personnel,
Leur fonctionnement et, souvent, leur utilisation (en particulier concernant les chiffres clés et
le MIS) dépendent entièrement de cette seule personne
Gestion du changements :
- Indisponibilité des systèmes fréquent => si quand il y a des changements ce n’est pas assez
stable il faut auditée et voir le problème
- Pas de documentation
Gestion de la sécurité
- Qui a accès à quoi dans l’ensemble de l’entreprise
- Absence de tests de restauration (pour restaurer les données après un incident grave)
Quiz menti :
Si nous parlons d’indisponibilité du système de réservation, de quel type de risque s’agit-il ?
- Risque inhérent
Si nous parlons d’erreurs dans les programmes du système de réservation, de quel risque s’agit-il ?
- Risque inhérent
o En cas d’appui sur ces états, l’auditeur devra également s’interroger sur
l’environnement de contrôle « informatique » mis en œuvre autour des applications
concernées pour évaluer la pérennité des contrôles, traitements, calculs, états dans
le temps
Il devra tester les contrôles généraux informatiques
- Exploitation informatique :
o Supervision des traitements planifiés
o Gestion des incidents
o Sauvegardes et continuité d’activité (important concernant la cybersécurité)
- Sécurité physique :
o Création / modification / blocage des accès
o Protection face aux risques environnementaux (incendie, inondation,…)
Clauses du besoin : donner accès à quelqu’un à uniquement ce dont il a besoin pour le quotidien du
travail
Test de non regression : on fait des tests afin de voir si le test est meilleur ou du moins pas pire
Vocabulaire 4
- Outsourcing :
o On premise : opposé de outsourcing, tout se passe en interne
- SOC : Systems and Organization Control SOC 1 assessment: composé d’objectifs de contrôle
utilisés pour représenter avec exactitude le contrôle interne en matière de rapports
financiers (CIRF).
- SOC2 assessment: est basé sur les critères de service de confiance. À l’échelle internationale
pour les rapports SOC2, la norme internationale sur les missions d’assurance (ISAE 3000) est
utilisée pour rendre compte des critères des services de confiance en matière de sécurité, de
confidentialité, de disponibilité, de confidentialité et d’intégrité du traitement, y compris la
description des services fournis et des tests de contrôle.
- SOC3 assessment: Service Organizations: Trust Services Criteria for General Use Report est
une version abrégée et publique du rapport d’attestation SOC 2 Type 2 pour les utilisateurs
qui ont besoin d’assurances sur les contrôles de l’organisation de services en matière de
sécurité, de disponibilité, d’intégrité du traitement, de confidentialité ou de confidentialité,
mais qui n’ont pas besoin d’un rapport SOC 2 complet. Étant donné que les rapports SOC 3
sont des rapports d’utilisation générale, ils peuvent être distribués gratuitement.
- SSAE 16: Standards for Attestation Engagements
- SLA Service Level Agreement: une partie de contrat de service entre un prestataire
informatique et son client qui définit le niveau de service attendu et les garanties associées
- COBIT (Control Objectives for Information and Related Technology) : est un cadre de
contrôles de gouvernance IT aidant les entreprises à faire face aux enjeux commerciaux dans
les domaines de la conformité règlementaire, de la gestion des risques et de l’alignement de
la stratégie IT avec des objectifs organisationnels.
- PCA Plan de continuité d’activité ou BCP Business Continuity Plan : concerne l’atténuation
des pertes en cas de catastrophe et le récupération pour l’ensemble de l’organisation
- DRP Disaster Recovery Plan: plan de “secours” en cas de désastre pour récupérer se
concentre uniquement sur la récupération des systèmes informatiques après une crise
Éléments clés 4
- ITGC vs contrôles applications : connaître les différences
- Outsourcing (cloud, SaaS, etc)
- Normes (référentiels légaux, normes informatiques
- Exploitation informatiques (vocs, département informatique) —> comment ça marche.net
- Sécurité vs Résilience : sécurité à 100% impossible, comment gérer ca
- La direction informatique peut sous-traiter ses travaux mais pas ses responsabilités
o Le réviseur doit savoir ce qui se passe chez son client même si il sous-traite
o Exemple du hacking de la chaine de magasin Target en 2013 par une faiblesse du
serveur de ventilation
- Impossible pour les outsourcers de se laisser auditer par tous leurs clients
- Rapports SOC1 et SOC2, SOC3 —> un auditeur central qui va établir ces rapports
o Dans les normes SSAE18, une distinction est faite entre une évaluation SOC (Systems
and Organization Control) 1 et une évaluation SOC 2.
o Un rapport SOC 1 est composé d’objectifs de contrôle utilisés pour représenter avec
exactitude le contrôle interne en matière de rapports financiers (CIRF).
o Un rapport SOC2 est basé sur les critères de service de confiance. À l’échelle
internationale pour les rapports SOC2, la norme internationale sur les missions
d’assurance (ISAE 3000) est utilisée pour rendre compte des critères des services de
confiance en matière de sécurité, de confidentialité, de disponibilité, de
confidentialité et d’intégrité du traitement, y compris la description des services
fournis et des tests de contrôle.
o SOC 3 SOC for Service Organizations: Trust Services Criteria for General Use Report
est une version abrégée et publique du rapport d’attestation SOC 2 Type 2 pour les
utilisateurs qui ont besoin d’assurances sur les contrôles de l’organisation de services
en matière de sécurité, de disponibilité, d’intégrité du traitement, de confidentialité
ou de confidentialité, mais qui n’ont pas besoin d’un rapport SOC 2 complet. Étant
donné que les rapports SOC 3 sont des rapports d’utilisation générale, ils peuvent
être distribués gratuitement.
Monitoring (réponse fausse) : dans le cadre COSO c’est la surveillance de l’ensemble du processus
COSO et pas de l’activité de l’entreprise
- L’impact sur les coûts, sur la gestion des imprévus ou des crises, la visibilité (monitoring) peut
avoir des conséquences sur la révision des comptes.
Gouvernance IT
- Gouvernance : multiples definitions, pour l’IT :
- La gouvernance informatique vise 3 objectifs via la mise en place d’une structure chargée
des informations, des processus opérationnels, des applications et des infrastructures:
o Générer de la valeur commerciale
o Monitorer les performances de gestion
o Atténuer les risques liés à la technologie de l’information
Indicateurs de faiblesse
- Disponibilité des systèmes non prévisible
- Intégrité des données impactée
- Efficacité/efficience du service aux utilisateurs
- Nombre d’interruptions ou d’erreurs qui impactent les opérations de l’entreprise
- Nombre d’heures d’interruptions en raison des incidents
- Analyse de
o Suivi des performances du SI
o Disponibilité du SI
o Fonction d’exploitation
o Historique de surveillance des activités
- Site chaud : totalement transparent pour l’utilisateur (d’autres serveurs prennent le relai en
cas de panne) réplique la situation sans interruption pour l’utilisateur coût bcp plus
élevés que pour un site froid
- Site froid : toute les machines sont dans une pièce, on doit venir avec des bandes de
sauvegardes afin de charger et mettre à jour les programmes dans le serveur puis charger les
données
- Site tiede : on maintien tous les programmes à jour et on vient que avec les données (entre
chaud et froid)
Sécurité IT
Cyber or not cyber :
- Classification des données confidentielles —> focus sur ce qui est vraiment clé
- La cybersécurité n’est pas toute la sécurité !
o Sécurité Logique ET Sécurité Physique sont clés
o Gestion des accès • Ségrégation des réseaux
o Patch/update des systèmes
o Formation des users
o Classification des données confidentielles
o Respect des lois (GDPR)
o Archivage et back up
o Résilience
Cas 2 – Mastartup.com SA
Citez les risques que vous identifiez et précisez s’il s’agit de RI ou RC
- Risque incendie : RI
- Cyberattaque : RI
- Pas de protection des données : RC
- Sécurité : RC
Lorsque l’on prend le SCI dans son ensemble, il s’agit d’un problème de :
- Contrôle généraux IT – Environnement de contrôle
- Contrôle généraux IT – Gestion des accès
- Contrôle généraux IT – sécurité des données
- Pour réduire la « confiance implicite », les contrôles doivent devenir réguliers, dynamiques et
granulaires (référence 1) :
o L’accès aux ressources doit être accordé sur la base du besoin d’en connaître
o L’accès doit être donné sur la base du plus faible niveau de privilège nécessaire pour
réaliser la tâche
o Les demandes d’accès doivent être contrôlées de la même manière quelles que
soient leurs origines (le périmètre « intérieur » ou « extérieur » de l’entité)
o L’entité doit veiller à la sécurité de tous ses actifs à l’occasion des demandes d’accès
et de manière récurrente durant l’usage
Outsourcing ou l’externalisation
Audit de l’outsourcing
- Droits d’accès
- Séparation des environnements
- Sécurité physique
- Réglementation
- Protection des données (Privacy)
- Disponibilité
- Audit
o Elevé : Il n’y a pas de contrat entre le fournisseur et le client. Les processus ne sont
pas connus par les utilisateurs en cas d’interruption de service. L’impact en cas
d’interruption n’est pas connu Les risques d’interruption du service sont possibles
sans connaissances de l’impact sur l’entreprise cliente
Elements clés 5
- Audit d’une application
- Make or Buy
- DevOps
- Applications pratiques
Audit d’une application
- Les 8 étapes de la méthode de verification
o Analyse du bilan et du compte de résultat
o Identification des processus opérationnels et flux de données
o Identification des applications clés et interfaces
o Identification des risques et controles clés
o Test de cheminement
o Évaluation de la conception du contrôle
o Évaluation du fonctionnement du contrôle
o Appréciation globale
Introduction
- Identification du risque
- La fiabilité de l’ensemble du système de contrôle repose sur l’identification correcte des
risques
Test de cheminement :
- Contenu et objectifs :
o Exécution et documentation des processus / types de transactions pertinentes
o Sert à vérifier la compréhension du processus concerné et à confirmer l'analyse
précédente
- Contexte
o Vérification des processus et du traitement
o Estimation de la consistance / pertinence de la documentation et des diagrammes
disponibles
o Confirmation de l'existence des contrôles pertinents
o Les objectifs de contrôle peuvent-ils être atteints par les contrôles mis en place?
- Objet
o Évaluation globale de l'adéquation du système de contrôle intégral: Qualité adéquate
avec le moins d'utilisation possible
Appréciation globale
- Definition des objectifs
o Les résultats des différentes étapes de l'audit sont évalués et synthétisés dans une
appréciation globale en fonction de leur influence sur les rapports financiers.
- Critères d’évaluation
o S'agit-il d'un fait qui affecte l'état financier?
o S'agit-il d'une violation de la loi ou des statuts?
o S'agit-il d'un élément qui affecte l'opinion d'audit?
- Lors de l'évaluation de l'impact sur l'opinion d'audit, l'auditeur évalue la possibilité de couvrir
l'impact possible des contrôles inopérants par des procédures d'audit substantives
Annexes
Appréciation gloable
- Déduction de l’appréciation globale
o Dans quelle mesure l'application contrôlée supporte le processus métier (conception
des contrôles, fonctionnement des contrôles)
- Principe :
o Lorsque les faiblesses des contrôles applicatifs peuvent influencer significativement
l'exactitude des assertions dans les états financiers, et que ce risque ne peut pas
être compensé par d'autres contrôles (p. ex. des contrôles manuels détectifs),
l'impact de ces faiblesses sur le rapport annuel doit être évalué.
- Présentation de l’information
o L'auditeur établit à l'intention de la direction, outre son opinion d'audit, une
synthèse de la situation des risques au niveau des processus et des applications
contrôlés.
- Évaluation du SCI conformément à la NAS 890, à la loi SOX 404 et pour l'audit :
o Dans le cadre de la vérification de l'existence du SCI suivant la NAS 890, l'auditeur
peut effectuer les révisions des étapes 1 à 6, qui sont nécessaires pour confirmer
l'existence du SCI requise par la loi. A cet effet, l'opinion est effective au jour de
clôture.
o Aux étapes 7 et 8, l'auditeur obtient la preuve de l'efficacité des contrôles considérés
sur toute la période d'audit et peut suivre une stratégie d'audit basée sur les
contrôles.
o Conformément au droit suisse, il n'est pas tenu de le faire sur l'ensemble du SCI,
mais il peut décider dans sa stratégie d'audit dans quels domaines il souhaite tester
le fonctionnement des contrôles et ainsi suivre une stratégie d'audit basée sur les
contrôles, et pour quels domaines il choisit une stratégie d'audit orientée résultat.
o Dans le cadre d'une évaluation selon SOX 404, l'auditeur doit exécuter l'ensemble
des étapes (design assessment et operational testing), mais émet une opinion au jour
de clôture. Ainsi, des corrections (y c. nouveau design assessment et operational
testing) sont possibles avant la fin de l'exercice.
Cas statica
Analyse du problème
1. Quels sont les risques inhérents, de contrôle, de non détection ?
2. Quel type de données est impacté
3. Quel est l’impact pour les états financiers
4. Comment adaptez vous votre stratégie d’audit
Cas Devops
Vous êtes un auditeur des systèmes d'information dans une entreprise qui a adopté la méthodologie
DEVOPS pour le développement et le déploiement de ses applications. Votre mission consiste à
auditer les pratiques DEVOPS de l'entreprise pour déterminer leur conformité aux normes de
sécurité et de qualité.
Décrivez brièvement la méthodologie DEVOPS et expliquez les avantages qu'elle peut offrir à une
entreprise.
Identifiez les risques potentiels associés à l'adoption de la méthodologie DEVOPS dans l'entreprise
et expliquez comment ces risques peuvent être gérés.
Évaluez la qualité du processus de développement et de déploiement des applications DEVOPS
dans l'entreprise en examinant les pratiques suivantes :
- Les contrôles de version des codes sources
- Les tests unitaires, d'intégration et fonctionnels automatisés
- Les pratiques de gestion de configuration et d'infrastructure en tant que code
- Les pratiques de gestion des incidents et de résolution des problèmes
- Les mesures de performance et de surveillance des applications
Évaluez la conformité de l'entreprise aux normes de sécurité et de qualité pour les applications
DEVOPS, telles que les normes ISO 27001, PCI DSS etc.
TV 5 monde :
De quel risque s’agit-il ? —> risque de contrôle, pas de mise en place de contrôle (e.g des mots de
passe affichés sur le mur lors de l’interview)
Lequel des domaines de contrôles est faible ? —> Contrôles généraux IT – environnement de
contrôle (le plus important dans l’ensemble c’est l’environnement de contrôle de l’entreprise —>
dans TV 5 Monde on peut juger que personne n’est sensible aux contrôles —> Tone at the Top
Quel est l’impact sur les états financiers (fort, moyen, faible, inexistant)—> faible, car cette attaque
la a seulement rendu indisponible les services pendant 1 jour donc sur le revenue pub comparé à
toutes l’année c’est seulement faible donc ce n’est pas inexistant ni fort
- Attention aux provisions potentielles suite aux éventuelles problèmes de réputation
Quel type de contrôles mettre en place ? —> sécurisation des MDP, mettre à jour la charte IT, stress
test d’une attaque informatique, sensibiliser le personnel (politique de sécurité)
Quels chapitres du cours ? —> SCI
Contexte
Techniques et outils d’audit
- Audit :
o Analyse, vérification, tests
o Détections
o Systèmes experts
- Bases de connaissances :
o Veille
o Connaissances
o Alertes
- Documentation:
o le manuel suisse d'audit (MSA)
o Les normes d’audit suisses (NAS)
o CNCC
o CobiT
Processus ETL :
- Extract : retrieves and verifies data from various sources
- Transform : processses and organizes extracted data so it is usable
- Load : moves transformed data to a data repository
- Lorsque l'auditeur principal envisage d'utiliser les travaux d'un autre auditeur, il doit évaluer
la compétence professionnelle de cet auditeur dans le cadre de la mission spécifique.
- L'auditeur principal doit mettre en oeuvre des procédures afin de réunir des éléments
probants suffisants et adéquats montrant que le travail de l'autre auditeur répond aux
objectifs de l'auditeur principal, dans le cadre de sa mission spécifique.
- L'auditeur principal doit prendre en compte les résultats significatifs de l'audit réalisé par
l'autre auditeur.
- Lorsque l'auditeur principal conclut que les travaux de l'autre auditeur ne peuvent pas être
utilisés et qu'il n'a pas été en mesure de mettre en oeuvre des procédures complémentaires
suffisantes sur les informations financières du secteur de l'entreprise auditée par l'autre
auditeur, il doit formuler une opinion avec réserve dans la mesure où une opinion peut être
délivrée (cf. NAS 700 Rapport de l'auditeur sur les états financiers). Il s'agit ici d'une
limitation de l'étendue des travaux d'audit.
- Si l'auditeur principal procède ainsi, son rapport devra le faire clairement ressortir, en
indiquant la taille relative de la partie des états financiers vérifiée par l'autre auditeur.
- L'auditeur externe doit acquérir une connaissance suffisante des activités de l'audit interne
pour planifier l'audit et élaborer une approche d'audit efficace.
- Lors de la planification de l'audit (cf. NAS 300 Planification des travaux), l'auditeur externe
doit procéder à une évaluation préliminaire de la fonction d'audit interne lorsqu'il s'avère
que celle-ci peut être utile à certains aspects spécifiques de l'audit externe des états
financiers.
- Lorsque l'auditeur externe a l'intention d'utiliser des travaux spécifiques de l'audit interne, il
doit évaluer et revoir ces travaux pour confirmer leur adéquation avec ses propres objectifs.
- Lorsque l'auditeur envisage d'utiliser les travaux d'un expert, il doit déterminer la
compétence professionnelle de ce dernier.
- L'auditeur doit évaluer l'objectivité de l'expert.
- L'auditeur doit réunir des éléments probants suffisants et adéquats montrant que l'étendue
des travaux de l'expert répond aux objectifs de l'audit.
- L'auditeur doit déterminer si les travaux de l'expert peuvent constituer un élément probant
concernant l'appréciation de l'assertion spécifique sous-tendant l'établissement des états
financiers.
- Le texte standard du rapport de l'auditeur ne fait pas état des travaux de l'expert.
Annexes :
Dans quelle phase utiliser les outils d’audit
- Permet de lancer une requête sur la majorité des bases de données sans contrainte de
langage propriétaire
Cas devops
ATTENTION : si un identifiant de produit est à double et ne reflète pas le même produit c’est le plus
gros risque d’erreur
Dans un stock le plus important c’est de compté le nb produit (intégralité), ensuite enregistrement
doit être exact (enregistrement), ensuite intégrité, on compte juste (intégrité) puis évaluation puis
disponibilité (on parle de disponibilité des systèmes) et droits d’accès qui sont des problèmes
intervenants plus tard
Données statiques ont des impacts fiscaux et au niveau des sanctions aussi c’est pourquoi on fait ces
contrôles de saisie
Un set de données pour tester un système bancaire acheté est transmis au fournisseur de la
solution. Pour être utilisables, ces données doivent être :
- Anonymisées
o Comme on est dans le système bancaire, les données clients doivent être
absolument anonymisées
Parmi les facteurs d’influence suivants quel(s) est / sont l’(es) intrus
- COSO
- Quand on est dans SAP, on peut délimiter des périodes et des parametres sur taux de
change, TVA, groupement de compte concernant la séparation, regarder les retours
Méthode à appliquer
- Approche générale et démontre comment intégrer l'IT dans l'audit
- Considérer un ou plusieurs facteurs d'influence de la stratégie d'audit ( SCI, caractère
significatifs, technologie d'information, résultats d'analys des EF, Violations)
- Introduit les risques leurs appréciation dans la démarche
- Introduit au sens large le SCI de l'entreprise (Contrôle entreprise, contrôle généraux IT,
contrôles applicatifs)
- Décomposer les contrôles généraux IT (dev, chgt, sec phy, sec log, ops)
- Décomposition des contrôles applicatifs (mention des assertions et/ou objectifs de contrôle,
sur type de données: flux, base, paramètres)
- Les lois et obligations qui peuvent s'appliquer (NAS, FINMA, SOX, etc.)
- Démarche est toujours : Objectifs / Risques / Mitigations / SCI
- Considérer adéquatement aux risques et aux possibles mitigations
C- Vous êtes réviseur de la société de vente par correspondance RENATE SA, spécialisée dans la vente
par correspondance d’article électroménagers, de bijoux et de mobilier. Le système informatique
comprend une base de données contenant des informations sur les clients, les débiteurs et les
stocks.
Vous devez vous assurer que le système informatique comporte les contrôles nécessaires pour
réduire trois types de risques lors de la saisie des commandes :
- Inexactitude de la saisie ou incohérence de la commande,
- Insolvabilité du client,
- Impossibilité de livrer.
A : exactitude : taxer juste, dans les temps, dans la loi, au bon taux
- Contrôle à la saisie avec format d’insertion de texte prédéfini
C:
- Inexactitude de la saisie ou incohérence de la commande contrôle à la saisie
- Insolvabilité du client check des rappels ou des clients déjà en poursuite, limite de crédit
- Impossibilité de livrer. Vérifier les adresses si elles sont correctes, contrôle des stocks si on
a les pièces à disposition
- Si le client a une démarche ITIL (information technology infrastructure library) cela fait-il une
différence ?
o On s’assure que le niveau de service est bien fait
o Plutôt non
Transferts de données
- Un interface relie automatiquement l’application A à l’application B. Vous comparez les
données entre ces deux applications informatiques à l’aide d’un programme d’analyse des
données et vous constatez des différences.
- (Distinguer notamment les données de base, les données de flux et les paramètres de
l’application, ainsi que les contrôles applicatifs et les contrôles IT généraux).
- Si votre analyse est correcte, quelles peuvent être les explications de ces différences ?
- Dans quels cas, à quelle occasion une entreprise doit-elle transférer des données ?
o Changement de systèmes
o Fusion de 2 entreprises
o Filiale vers un groupe
o Migration
Outsourcing
Particularités de l’audit en situation d’outsourcing
Votre client a outsourcé les salaires et introduit des contrôles programmés afin d'être conforme à ses
obligations. Votre client a outsourcé son logiciel de paie dans le Cloud Microsoft and a délégué la
gestion de la paie à une société externe
1. Quelle démarche d’audit faut-il faire pour s'assurer que tout est conforme ? ISAE 3402 se
reposer sur le rapport
2. A quels nouveaux risques s’expose votre client ? anonymisé les données, risques
règlementaires (RGPD), perte de savoir-faire, regarder les contrats
3. A quels nouveaux risques êtes vous exposé en tant qu’auditeur ? obligation supplémentaire de
vérifier le rapport d’outsourcing ISAE 3402
Challenges
- Un auditeur externe constate une différence entre le total des factures dans le système de
facturation et le montant total des factures dans la comptabilité générale.
- D’où peut provenir cette différence ? problème d’interface,
o Cut-off en fin d’année
o Si ERP : problème de configuration dans l’ERP
Rupture de transaction lors de l’interruption