Cours 3 - Les risques en milieu informatique Flashcards

1
Q

Qu’est-ce qu’un risque?

A

Risque inhérent:
Risque qui existe «naturellement»

Risque résiduel:
Risque qui demeure suite à la mise en place d’un ou plusieurs contrôles

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Définition d’un risque d’affaire

A

Le risque résultant soit de conditions, de circonstances, d’actions, d’inactions ou d’événements importants qui pourraient compromettre la capacité de l’entité d’atteindre ses objectifs et de mettre à exécution ses stratégies, soit de l’établissement d’objectifs et de stratégies inappropriés;

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Sous-catégorie des risques d’affaires

A
  • Risques stratégiques (risque de gestion, de position du marché)
  • Risques opérationnels (liés aux processus, liés aux SI et liés au RH)
  • Risques financiers (risque de crédit, de liquidité)
  • Risques légaux (conformité)
  • Autres risques (désastre natruels …)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Définition de Risque d’audit

A

Risque que l’auditeur exprime une opinion inappropriée sur des états financiers comportant des anomalies significatives. Le risque d’audit est fonction des risques d’anomalies significatives et du risque de non-détection.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Sous-catégories des risques d’audit

A

-Risque d’anomalies significatives:
Risques inhérents
Risques liés au non- contrôle
-Risque de non détection

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Description des risques d’anomalies significatives

A
  • Risque que les états financiers comportent des anomalies significatives avant l’audit. Ce risque comprend deux composantes, définies comme suit au niveau des assertions :
  • le risque inhérent, soit la possibilité qu’une assertion portant sur une catégorie d’opérations, un solde de compte ou une information à fournir comporte une anomalie qui pourrait être significative, individuellement ou cumulée avec d’autres, avant prise en considération des contrôles y afférents;
  • le risque lié au contrôle, soit le risque qu’une anomalie qui pourrait se produire au niveau d’une assertion portant sur une catégorie d’opérations, un solde de compte ou une information à fournir et qui pourrait être significative, individuellement ou cumulée avec d’autres, ne soit ni prévenue ni détectée et corrigée en temps voulu par le contrôle interne de l’entité. NCA Glossaire
  • Risques liés aux assertions aux états-financiers
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Conséquences d’un risque

A
  • Ne pas atteindre ses objectifs
  • Perte de temps et d’argent
  • Perte de clientèle
  • Perte de réputation
  • Prise de mauvaise décision
  • Perte d’opportunité

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Risque liés aux systèmes d’information (7)

A

-Perte de confidentialité (accès ou sécurité)
-Perte d’intégrités des données
Perte de disponibilité du système
-Risque lié à l’investissement ou la dépense
-Risque lié à la pertinence de l’information
-Risque lié à l’infrastructure
-Risque lié à la gestion de projet

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Risque de Perte de confidentialité - Description, source et conséquence

A
  • Diffusion non autorisée d’informations confidentielles
  • L’information peut être divulguée ou rendue disponible à des gens qui n’en ont pas l’autorité
  • La protection de la vie privée et des informations personnelles est un des aspect de ce risque. Plusieurs pays ont des lois sur la protection de la vie privée.

Sources du risque:
*Politique de mot de passe/sécurité inadéquate
*Protection inadéquate du réseau
*Protection des données inadéquate

Conséquences du risque:
*Perte de réputation qui peut entrainer perte de revenus
*Perte d’avantage compétitif qui peut entrainer l’augmentation de la compétition
*Exposition à des poursuites judiciaires

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Risque d’Intégrité des données -Description, source et conséquence

A

Risque que l’information soit incomplète, non autorisée ou inexacte.

Sources du risque:
- Erreurs humaines:
*Peuvent être causées par un accès inadéquat (accès
*Peuvent être causées par l’absence de contrôles comptables ou des contrôles comptables inefficace
- Erreurs de traitement de l’information:
*Peuvent être causées par des erreurs de configuration ou des erreurs dans l’application
- Fraudes:
*Peuvent être causées par une mauvaise séparation des tâches (tâches incompatibles
3 conditions nécessaires à une fraude: Opportunité, motivation ou pression et rationalisation

Conséquences du risque: -Prise de mauvaises décisions qui peuvent entraîner des pertes pour l’entreprise

  • Divulgation de mauvaises informations qui peuvent affecter les décisions d’investisseurs potentiels
  • Perte d’opportunités
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Risque de Disponibilité du système - description, sources et conséquences

A

Risque d’interruption de l’activité (le système n’est pas disponible quand on en a besoin)

Sources du risque
Pannes (au niveau de l’équipement)
Pannes de courant
Bogues
Attaques externe (virus, vers…)

Conséquences:

  • Perte de clientèle / revenus
  • Incapacité de prendre des décisions en temps opportun si l’information nécessaire n’est pas disponible
  • Perte d’opportunité
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Risque lié à l’investissement ou la dépense - description, source et conséquences

A

Risque que les investissements ou les dépenses en TI ne fournissent pas les avantages escomptés
*Investissements:
Ex: achat de logiciels et de matériel
*Dépenses:
Ex: Salaires des employés qui entretiennent les TI

Sources du risque
-Mauvaise identification des besoins
-Utilisateurs clés non consultés
-Investissements en TI qui ne correspondent pas aux objectifs / stratégies de l’entreprise

Conséquences du risque:
-Perte de temps et d’argent
-Système qui ne fournit pas les informations nécessaires à la prise de décision, ce qui peux causer la prise de mauvaises décisions
-Incapacité de faire face / répondre à la compétition

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Risque lié à la pertinence de l’information - description, source et conséquences

A

Risque que la mauvaise information soit remise aux mauvaises personnes au mauvais temps

Sources du risque
-Mauvaise définition des besoins en information
-Erreurs

Conséquences du risque:
Mauvaises décisions qui peuvent entrainer la perte de temps, d’argent ou d’opportunités

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Risque lié à l’infrastructure - description, source et conséquences

A

Risque que l’infrastructure des technologies de l’information d’une organisation ne puisse pas soutenir efficacement les besoins courants et futurs d’une façon efficiente, économique et contrôlée
*L’infrastructure inclus les réseaux, le matériel, les logiciels, les personnes et les procédures

Sources du risque:

  • Mauvaise planification des besoin en TI
  • Manque d’implication du conseil d’administration où manque de compétence TI au sein du conseil d’administration
  • Infrastructure désuète

Conséquences du risque:
-Incapacité de faire face à la compétition
-Perte d’opportunité

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Risque lié à la gestion de projet - description, source et conséquences

A

Risque d’échec des projets en technologies d’information
*Un projet en TI est le développement et la mise en place de nouvelles TI (souvent dans le contexte de l’implantation d’un nouveau SI)
Exemple: Le projet d’implantation du logiciel SAP pour remplacer l’ancien système comptable

Sources du risque -Mauvaise gestion/planification du projet
-Manque d’implication de personnel clé
-Manque de temps

Conséquences du risque:
-Système qui ne réponds pas aux besoins
-Perte de temps, d’argent ou d’opportunités
-Délais dans l’implantation du projet qui peut entraîner des pertes d’argent

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Principales raisons de l’exposition aux risques liés aux SI

A
  1. Gouvernance des TI inefficace
  2. Complexité non contrôlée
  3. Inattention au risque
17
Q
  1. Gouvernance des TI inefficace - Description
A

Gouvernance des TI:
Spécification des droits sur les décisions et du cadre de responsabilité qui encourage un bon comportement dans l’utilisation des TI (traduit de Weill and Ross 2004)

  • Décisions localement optimisée peuvent créer des risques d’entreprise:
    Décisions à court terme
  • Manque d’implication des gestionnaires de l’entreprise:
    Sans l’implication des gestionnaire de l’entreprise, les gestionnaires des TI peuvent faire les mauvaises hypothèses quant à l’identification des risques les plus important pour l’entreprise
18
Q
  1. Complexité non contrôlée - description
A

-Combinaisons de systèmes incompatibles

  • Interdépendance entre de nombreux systèmes:
  • Utilisation de plusieurs différentes applications au lieu d’une solution de gestion intégrée (ERP)
  • Personnalisation extrême
19
Q
  1. Inattention au risque - description
A
  • Connaissances manquantes ou inadéquates
  • Mauvaise gestion de l’infrastructure
  • Ignorance, négligence ou malfaisance des employés
  • Systèmes qui ne peuvent pas reconnaître des activités dangereuses
20
Q

Risque d’audit - Risque inhérent

A

Risque qui existe «naturellement» dans l’audit.

La possibilité qu’une assertion portant sur une catégorie d’opérations, un solde de compte ou une information à fournir comporte une anomalie qui pourrait être significative, individuellement ou cumulée avec d’autres, avant prise en considération des contrôles y afférents.

21
Q

Risque d’audit - risque lié au contrôle

A

Risque qu’une anomalie qui pourrait se produire au niveau d’une assertion portant sur une catégorie d’opérations, un solde de compte ou une information à fournir et qui pourrait être significative, individuellement ou cumulée avec d’autres, ne soit ni prévenue ni détectée et corrigée en temps voulu par le contrôle interne de l’entité;

22
Q

Risque d’audit - Risque d’anomalie significative

A

Risque qu’il y ait une erreur importante aux états financiers

Une anomalie significative aux états financiers est une erreur comptable (erreur dans la comptabilisation et la présentation des opérations comptables)

23
Q

Risque d’audit - Risque de non détection

A

Risque que les procédures mises en œuvre par l’auditeur pour ramener le risque d’audit à un niveau suffisamment faible ne lui permettent pas de détecter une anomalie existante et susceptible d’être significative, individuellement ou cumulée avec d’autres anomalies.

24
Q

L’informatisation peut réduire les risques

A
  • Diminution des risques d’erreurs dans les comptes (et donc dans les états financiers) :
  • Réduction de l’intervention humaine, traitement logique sur résultat final.
  • Augmentation de l’uniformité du traitement (attention aux modifications de système)
  • Réduction de l’accès non autorisé (données, traitement)
  • Réduction du ralentissement lorsque le volume de transactions augmente

-Centralisation des données et séparation des tâches
*Permet une meilleure qualité des opérations
Ex: Création de bon de commande, facture de vente, bordereau de réception via la base de données…et par le fait même, validation des données et suivis.

  • Autorisation des opérations
  • Système manuel: on doit procéder à diverses autorisations pour donner des escomptes ou rabais…
  • Système informatisé: possibilité de programmer le système en fonction des dates par exemple…meilleur contrôle ou non ???
25
Q

L’informatisation peut augmenter les risques

A
  • Complexité technologique
  • Plus un système est complexe, plus les risques augmentent…
  • Nouvelle technologie
  • Utilisation de nouvelles technologies n’ayant pas fait leur preuves

-Risque d’erreurs humaines dans la conception et le développement de systèmes informatisés

-L’informatisation implique et nécessite la création de contrôles internes spécifiques et généraux. Sans quoi, les risques sont augmentés.
Ex. Système informatisé non contrôlé, disponible à tous vs un système manuel disponible à certaines personnes seulement.