Cours 3 - Les risques en milieu informatique Flashcards
Qu’est-ce qu’un risque?
Risque inhérent:
Risque qui existe «naturellement»
Risque résiduel:
Risque qui demeure suite à la mise en place d’un ou plusieurs contrôles
Définition d’un risque d’affaire
Le risque résultant soit de conditions, de circonstances, d’actions, d’inactions ou d’événements importants qui pourraient compromettre la capacité de l’entité d’atteindre ses objectifs et de mettre à exécution ses stratégies, soit de l’établissement d’objectifs et de stratégies inappropriés;
Sous-catégorie des risques d’affaires
- Risques stratégiques (risque de gestion, de position du marché)
- Risques opérationnels (liés aux processus, liés aux SI et liés au RH)
- Risques financiers (risque de crédit, de liquidité)
- Risques légaux (conformité)
- Autres risques (désastre natruels …)
Définition de Risque d’audit
Risque que l’auditeur exprime une opinion inappropriée sur des états financiers comportant des anomalies significatives. Le risque d’audit est fonction des risques d’anomalies significatives et du risque de non-détection.
Sous-catégories des risques d’audit
-Risque d’anomalies significatives:
Risques inhérents
Risques liés au non- contrôle
-Risque de non détection
Description des risques d’anomalies significatives
- Risque que les états financiers comportent des anomalies significatives avant l’audit. Ce risque comprend deux composantes, définies comme suit au niveau des assertions :
- le risque inhérent, soit la possibilité qu’une assertion portant sur une catégorie d’opérations, un solde de compte ou une information à fournir comporte une anomalie qui pourrait être significative, individuellement ou cumulée avec d’autres, avant prise en considération des contrôles y afférents;
- le risque lié au contrôle, soit le risque qu’une anomalie qui pourrait se produire au niveau d’une assertion portant sur une catégorie d’opérations, un solde de compte ou une information à fournir et qui pourrait être significative, individuellement ou cumulée avec d’autres, ne soit ni prévenue ni détectée et corrigée en temps voulu par le contrôle interne de l’entité. NCA Glossaire
- Risques liés aux assertions aux états-financiers
Conséquences d’un risque
- Ne pas atteindre ses objectifs
- Perte de temps et d’argent
- Perte de clientèle
- Perte de réputation
- Prise de mauvaise décision
- Perte d’opportunité
…
Risque liés aux systèmes d’information (7)
-Perte de confidentialité (accès ou sécurité)
-Perte d’intégrités des données
Perte de disponibilité du système
-Risque lié à l’investissement ou la dépense
-Risque lié à la pertinence de l’information
-Risque lié à l’infrastructure
-Risque lié à la gestion de projet
Risque de Perte de confidentialité - Description, source et conséquence
- Diffusion non autorisée d’informations confidentielles
- L’information peut être divulguée ou rendue disponible à des gens qui n’en ont pas l’autorité
- La protection de la vie privée et des informations personnelles est un des aspect de ce risque. Plusieurs pays ont des lois sur la protection de la vie privée.
Sources du risque:
*Politique de mot de passe/sécurité inadéquate
*Protection inadéquate du réseau
*Protection des données inadéquate
…
Conséquences du risque:
*Perte de réputation qui peut entrainer perte de revenus
*Perte d’avantage compétitif qui peut entrainer l’augmentation de la compétition
*Exposition à des poursuites judiciaires
…
Risque d’Intégrité des données -Description, source et conséquence
Risque que l’information soit incomplète, non autorisée ou inexacte.
Sources du risque:
- Erreurs humaines:
*Peuvent être causées par un accès inadéquat (accès
*Peuvent être causées par l’absence de contrôles comptables ou des contrôles comptables inefficace
- Erreurs de traitement de l’information:
*Peuvent être causées par des erreurs de configuration ou des erreurs dans l’application
- Fraudes:
*Peuvent être causées par une mauvaise séparation des tâches (tâches incompatibles
3 conditions nécessaires à une fraude: Opportunité, motivation ou pression et rationalisation
Conséquences du risque: -Prise de mauvaises décisions qui peuvent entraîner des pertes pour l’entreprise
- Divulgation de mauvaises informations qui peuvent affecter les décisions d’investisseurs potentiels
- Perte d’opportunités
Risque de Disponibilité du système - description, sources et conséquences
Risque d’interruption de l’activité (le système n’est pas disponible quand on en a besoin)
Sources du risque Pannes (au niveau de l’équipement) Pannes de courant Bogues Attaques externe (virus, vers…)
Conséquences:
- Perte de clientèle / revenus
- Incapacité de prendre des décisions en temps opportun si l’information nécessaire n’est pas disponible
- Perte d’opportunité
Risque lié à l’investissement ou la dépense - description, source et conséquences
Risque que les investissements ou les dépenses en TI ne fournissent pas les avantages escomptés
*Investissements:
Ex: achat de logiciels et de matériel
*Dépenses:
Ex: Salaires des employés qui entretiennent les TI
Sources du risque
-Mauvaise identification des besoins
-Utilisateurs clés non consultés
-Investissements en TI qui ne correspondent pas aux objectifs / stratégies de l’entreprise
…
Conséquences du risque:
-Perte de temps et d’argent
-Système qui ne fournit pas les informations nécessaires à la prise de décision, ce qui peux causer la prise de mauvaises décisions
-Incapacité de faire face / répondre à la compétition
Risque lié à la pertinence de l’information - description, source et conséquences
Risque que la mauvaise information soit remise aux mauvaises personnes au mauvais temps
Sources du risque
-Mauvaise définition des besoins en information
-Erreurs
…
Conséquences du risque:
Mauvaises décisions qui peuvent entrainer la perte de temps, d’argent ou d’opportunités
Risque lié à l’infrastructure - description, source et conséquences
Risque que l’infrastructure des technologies de l’information d’une organisation ne puisse pas soutenir efficacement les besoins courants et futurs d’une façon efficiente, économique et contrôlée
*L’infrastructure inclus les réseaux, le matériel, les logiciels, les personnes et les procédures
Sources du risque:
- Mauvaise planification des besoin en TI
- Manque d’implication du conseil d’administration où manque de compétence TI au sein du conseil d’administration
- Infrastructure désuète
Conséquences du risque:
-Incapacité de faire face à la compétition
-Perte d’opportunité
…
Risque lié à la gestion de projet - description, source et conséquences
Risque d’échec des projets en technologies d’information
*Un projet en TI est le développement et la mise en place de nouvelles TI (souvent dans le contexte de l’implantation d’un nouveau SI)
Exemple: Le projet d’implantation du logiciel SAP pour remplacer l’ancien système comptable
Sources du risque -Mauvaise gestion/planification du projet
-Manque d’implication de personnel clé
-Manque de temps
…
Conséquences du risque:
-Système qui ne réponds pas aux besoins
-Perte de temps, d’argent ou d’opportunités
-Délais dans l’implantation du projet qui peut entraîner des pertes d’argent
…
Principales raisons de l’exposition aux risques liés aux SI
- Gouvernance des TI inefficace
- Complexité non contrôlée
- Inattention au risque
- Gouvernance des TI inefficace - Description
Gouvernance des TI:
Spécification des droits sur les décisions et du cadre de responsabilité qui encourage un bon comportement dans l’utilisation des TI (traduit de Weill and Ross 2004)
- Décisions localement optimisée peuvent créer des risques d’entreprise:
Décisions à court terme - Manque d’implication des gestionnaires de l’entreprise:
Sans l’implication des gestionnaire de l’entreprise, les gestionnaires des TI peuvent faire les mauvaises hypothèses quant à l’identification des risques les plus important pour l’entreprise
- Complexité non contrôlée - description
-Combinaisons de systèmes incompatibles
- Interdépendance entre de nombreux systèmes:
- Utilisation de plusieurs différentes applications au lieu d’une solution de gestion intégrée (ERP)
- Personnalisation extrême
- Inattention au risque - description
- Connaissances manquantes ou inadéquates
- Mauvaise gestion de l’infrastructure
- Ignorance, négligence ou malfaisance des employés
- Systèmes qui ne peuvent pas reconnaître des activités dangereuses
Risque d’audit - Risque inhérent
Risque qui existe «naturellement» dans l’audit.
La possibilité qu’une assertion portant sur une catégorie d’opérations, un solde de compte ou une information à fournir comporte une anomalie qui pourrait être significative, individuellement ou cumulée avec d’autres, avant prise en considération des contrôles y afférents.
Risque d’audit - risque lié au contrôle
Risque qu’une anomalie qui pourrait se produire au niveau d’une assertion portant sur une catégorie d’opérations, un solde de compte ou une information à fournir et qui pourrait être significative, individuellement ou cumulée avec d’autres, ne soit ni prévenue ni détectée et corrigée en temps voulu par le contrôle interne de l’entité;
Risque d’audit - Risque d’anomalie significative
Risque qu’il y ait une erreur importante aux états financiers
Une anomalie significative aux états financiers est une erreur comptable (erreur dans la comptabilisation et la présentation des opérations comptables)
Risque d’audit - Risque de non détection
Risque que les procédures mises en œuvre par l’auditeur pour ramener le risque d’audit à un niveau suffisamment faible ne lui permettent pas de détecter une anomalie existante et susceptible d’être significative, individuellement ou cumulée avec d’autres anomalies.
L’informatisation peut réduire les risques
- Diminution des risques d’erreurs dans les comptes (et donc dans les états financiers) :
- Réduction de l’intervention humaine, traitement logique sur résultat final.
- Augmentation de l’uniformité du traitement (attention aux modifications de système)
- Réduction de l’accès non autorisé (données, traitement)
- Réduction du ralentissement lorsque le volume de transactions augmente
-Centralisation des données et séparation des tâches
*Permet une meilleure qualité des opérations
Ex: Création de bon de commande, facture de vente, bordereau de réception via la base de données…et par le fait même, validation des données et suivis.
- Autorisation des opérations
- Système manuel: on doit procéder à diverses autorisations pour donner des escomptes ou rabais…
- Système informatisé: possibilité de programmer le système en fonction des dates par exemple…meilleur contrôle ou non ???
L’informatisation peut augmenter les risques
- Complexité technologique
- Plus un système est complexe, plus les risques augmentent…
- Nouvelle technologie
- Utilisation de nouvelles technologies n’ayant pas fait leur preuves
-Risque d’erreurs humaines dans la conception et le développement de systèmes informatisés
-L’informatisation implique et nécessite la création de contrôles internes spécifiques et généraux. Sans quoi, les risques sont augmentés.
Ex. Système informatisé non contrôlé, disponible à tous vs un système manuel disponible à certaines personnes seulement.