LES TI et L'audit Flashcards
comment pourrait être questionés
- Les TI seront intégrées davantage dans l’examen. Possible dans les 3 jours
- Cela peut toucher les différents volets de la grille, particulièrement la gestion, l’audit et la stratégie-gouvernance
Vous avez eu un cours de 1 crédit afin de vous donner des connaissances techniques plus poussées
Comment cela pourra-t-il être questionné en audit:
* Impact sur l’audit (planification, procédures (dont TAAO))
* Impact sur les contrôles informatiques
* Environnements informatiques particuliers
Sujets
* Gouvernance des TI
* Impact de l’informatisation sur les contrôles internes
* Types de contrôles informatisés
* Échange de données informatisées (EDI)
* Chaînes de blocs (nouveau)
mandat spéciaux TI
Webtrust et systrust (MANDATS SPÉCIAUX)
Achat, conversion/implantation d’un système informatique
Compréhension de l’impact des TI sur les différents rôles à l’EFC
* Rôle d’auditeur incluant TAAO
* Rôle de conseiller ou à l’interne de l’entreprise
* Gouvernance des TI
* TI à intégrer dans la réflexion stratégique de l’entreprise
gouvernance et TI
Compétences des gens qui gèrent les TI. QUI? LESQUELLES?
* Pouvoir décisionnel au niveau des TI. QUI?
* Planification à moyen et long terme selon les besoins. Vision au sujet des TI. PAR QUI? COMMENT?
* Gouvernance sera différente selon la taille de l’entreprise et l’importance et/ou la dépendance de l’entreprise relativement aux TI. Bien s’adapter dans un cas!!!
Impact de l’informatisation sur les contrôles internes ( Niveau A pour tous)
* L’importance des contrôles
* En contexte informatique, l’importance des contrôles est accrue, à la saisie, à la préparation et à la transmission des données.
Les contrôles assurent entre autres que :
* Tout ce qui doit être enregistré l’est
* C’est enregistré correctement
* Que toutes les opérations sont autorisées et révisées
* Que les données demeurent intégrales lors du traitement
* Que les erreurs sont détectées et corrigées…
les risques et les TI
2 RISQUES D’AFFAIRES IMPORTANTS… À GÉRER ET/OU IMPACT SUR L’AUDIT
* Fraudes informatiques-cyberattaques
* Pannes
Risque: fraudes informatiques et cyberattaques
* Détournements de fonds
* Vol d’informations confidentielles
* Piratage, cyberattaques, virus( externe prend le contrôle d’un système…)
* Vol de matériel informatique
Il est essentiel d’instaurer de bons contrôles!
* S’il y un risque élevé au niveau des fraudes informatiques,
* Le tout aura un incidence pour l’a uditeur externe sur le plan de la stratégie qu’il utilisera
* Ainsi que le type et la quantité de travail qu’il fera.
* Considérer les exigences de la NCA240.
Risque : panne majeure du systèmeCONSÉQUENCES:
* Arrêt des opérations
* Perte de revenus peut être importante
* Insatisfaction de la clientèle
* Plan d’urgence doit être existant ( à jour, opérationnel et connu de tous)
* Il est essentiel d’instaurer de bons contrôles!
* Le gestionnaire veut minimiser la fréquence et la durée des pannes.
- S’il y un risque élevé au niveau des pannes informatiques,
- le tout aura un incidence pour l’auditeur externe sur le plan de la stratégie qu’il utilisera ainsi que le type et la quantité de travail qu’il fera.
- Dépendamment de QUAND la panne est survenue ( saison forte ou non? et LA PÉRIODE pendant laquelle la panne a durée…)
les controle et les TI
Différents contrôles
Les contrôles sont instaurés pour gérer des risques d’affaires. Il est important d’être apte à identifier ces risques afin de suggérer des façons concrètes pour se protéger.
* Coupe‐feu :
o Pour empêcher les accès non autorisés au réseau
* Système de détection d’intrusion :
o Au cas où quelqu’un réussirait tout de même à pénétrer notre réseau.
* Antivirus :
o Pour empêcher les indésirables de faire des dommages à nos ordinateurs, réseaux, fichiers… DOIT ÊTRE À JOUR
* Encryptage :
o Pour coder l’information lors d’un transfert et ainsi éviter que des personnes non autorisées puissent lire le contenu. CONFIDENTIALITÉ
* Validations :
o Relatives aux entrées de données… Afin de s’assurer de réduire au maximum les erreurs et omissions lors de l’entrée des données.
* Totaux de contrôles :
o Relatifs aux transferts afin de s’assurer qu’il n’y a aucune perte ou modification d’information.
Exemples de contrôles programmés
* Contrôles de validation (accès, limite, logique, historique…)
* Contrôles de séquence :
o Assure que les données suivent un ordre numérique
o Alphabétique,
o Chronologique ou autre.
* Contrôles d’intégralité :
o une transaction ne peut être acceptée si elle est incomplète.
* Contrôles de logique :
o Assure que les enregistrements ne contiennent pas d’éléments d’information incompatibles
o Ex : validation de l’âge ou du sexe de la personne vs sa demande…
* Chiffre d’autocontrôle :
o Assure l’authenticité de certains numéros.
o Un bon exemple est le numéro d’assurance sociale.
o En connaissant la formule appropriée,
o il est possible de vérifier la validité du numéro.
* Demande de confirmation d’information avant acceptation :
o L’ordinateur demande automatiquement de reconfirmer les informations avant de pouvoir poursuivre…
Totaux de contrôles réels ou bidon ou du nombre d’enregistrements.
faiblesse fréquentes
3 TYPES DE FAIBLESSES FRÉQUENTES:
1) Personnel
2) Documentation
3) Sauvegarde
Problèmes reliés au personnel
* Personnel TI débordé, non disponible
* Personnel TI incompétent
* Personnel TI insuffisant
* Personnel ne respecte pas les consignes reliées aux TI
* Employés ne connaissent pas le système ( manque de formation)
* Employés font de nombreuses erreurs
* Réticence au changement
* Tous ces problèmes doivent être gérés à l’interne et ces situations auront aussi un impact sur l’audit (risques, procédures)
Problèmes reliés à la documentation
* Documentation absente
* Documentation pas à jour ( attention si changement de système, expansion de l’entreprise…)
* Documentation incomprise car non adaptée aux besoins des utilisateurs concernés
* Documentation disponible pour du personnel non concerné par celle-ci
* Documentation sur:
* Programmes, matériel ( équipe technique)
* Opération du système
* Utilisation du système par l’usager de base
ATTENTION : QUI DÉVELOPPE LA DOCUMENTATION?
Il faut limiter l’accès à la documentation aux personnes concernées
Problèmes reliés aux sauvegardes
* Absence de sauvegarde
* Sauvegardes pas assez fréquentes
* Sauvegardes conservées dans un endroit non sécuritaire
* Sauvegardes conservées à l’intérieur de l’entreprise
* Sauvegardes faites par des personnes inappropriées
IMPORTANT:
* QUI FAIT LES SAUVEGARDES? QUAND? ET COMMENT? + CONSERVATION DE CELLES-CI
type de controles informatisés
Types de contrôles informatisés
* Entrée des données
* Mise en place de contrôles programmés:
o Dire quoi valider et comment selon les faits du cas
* Validation d’accès (code d’utilisateurs et mots de passe)
* Validation de limite (politique de crédit, de rémunération)
* Validation de logique (qté négative, # document en double, date inexistante, etc. )
* Validation d’historique, de vraisemblance (commande de 100 unités vs 1000 unités)
* Validation de séquence
* Validation d’intégralité
* Chiffre d’auto contrôle
* Demande de confirmation
* Objectifs des validations :
* Refus de la transaction
* Refus catégorique ou autorisation nécessaire.
* Autorisation nécessaire
Ex : Si la commande dépasse la limite de crédit du client.
rapport d’exceptions
Rapport d’exception
* EFC : Attention si personne ne regarde les rapports d’exception
* Rapport d’exception et mise en attente de la transaction
* Problèmes reliées aux données (saisie et traitement)
Cela peut engendrer des erreurs dans l’information pour la prise de décision, et aussi au niveau des é/fs
* Quantité de travail pour corriger les erreurs peut être élevée et le tout peut être coûteux…
* Du point de vue de l’audit, le tout augmentera la quantité de tests à faire
Exemples:
* Manquer de stock
* Payer un employé en trop
* Vendre un produit au mauvais prix
* Vendre à un client qui a dépassé sa limite
Échange de données informatisé ( EDI)
Qu’est-ce que l’EDI? :
* Échange de documents commerciaux présentés selon un format normalisé entre les ordinateurs de partenaires commerciaux.
* Ex : fournisseurs pour les achats, clients commerciaux pour les ventes, transfert électronique de fonds…
CELA CONCERNE DONC 2 ENTREPRISES !!! Un particulier peut aussi acheter sur le WEB… On ne parle alors pas d’EDI
* On pourrait vous demander de: (pertinent aussi pour d’autres types d’environnements)
* Discuter si c’est un environnement adéquat selon les besoins de l’entreprise (conseiller)
* Implanter l’EDI dans l’entreprise (conseiller)
* Faire l’audit dans un environnement EDI (planification, procédures)
Avantages :
* Réduit notablement les interventions humaines dans le traitement de l’information, et donc de le rend effectivement plus rapide et plus fiable
* Diminue les risques d’erreurs (car info entrée qu’une seule fois, par moins de personne donc cela diminue le risque d’erreurs)
* Avantage concurrentiel : meilleur service à la clientèle
* Augmentation de l’efficience de la production
* Économie au niveau des frais d’entreposage si JAT
* Etc.
Désavantages :
* Long et coûteux à implanter
* Implique de forcer ses partenaires à devenir EDI
* Demande un bon support informatique
* Dépendance totale envers les systèmes et ses partenaires
* Augmentation des risques au niveau de la confidentialité
* Etc.
DONC ANALYSER LES AVANTAGES ET DÉSAVANTAGES AVANT DE PRENDRE UNE DÉCISION D’AFFAIRES. AU PRÉALABLE, BIEN DÉFINIR LES BESOINS DE L’ENTREPRISE
* Réseau virtuel privé et fermé (RPV/VPN)
* Plus de contrôle des normes et des partenaires, mais est très coûteux.
* Réseau à valeur ajoutée ( infos dans le nuage)
* Il y a une société de services (intermédiaire) entre les deux.
* Plus sécuritaire qu’Internet et moins coûteux que réseau privé, mais dépendance envers une société de services, dépendance au niveau de ses contrôles à lui.
Demander un NCMC 3416 : rapport de l’auditeur sur les contrôles d’une société de services afin de s’assurer que services fiables et contrôles efficaces
Il y a des frais de service à assumer.
EDI EFC
- Attention au « dumping théorique ».
- Intégrer les différentes notions et proposer des procédures d’audit vs les assertions risquées (comme d’habitude).
- Planification :
o Possibilité de parler d’expert en T.I. - Procédures :
o on devra probablement recourir aux TAAO car tout se passe de façon électronique
o Exemples de contrôles pouvant s’appliquer à l’EDI :
o Signature électronique pour s’assurer de l’authentification.
o Chiffrement, encryptage, cryptographie afin de protéger la confidentialité des informations.
o Accusé de réception à conserver afin d’assurer la non répudiation : l’émetteur ne peut renier être l’auteur. - Obtention d’un rapport NCMC3416 si réseau à valeur ajoutée (RVA).
- Coupe-feu, antivirus, plan de continuité ( d’urgence), copie de sécurité.
- Contrôles de validation à l’entrée des données.
- Etc.
Transactions via internet - Le particulier fera plutôt des transactions avec les entreprises via le web
- Sites doivent être sécurisés
- Protection de la confidentialité de l’information est essentielle
- Paiements doivent pouvoir se faire de façon sécuritaire
ATTENTION aux sites bizarres…. S’ASSURER QUE VRAI SITE POUR UNE ENTREPRISE EXISTANTE
Les entreprises doivent rassurer leur clients afin qu’ils leur fassent confiance pour transiger. FACTEUR CLÉ DE SUCCÈS ET AUSSI CRUCIAL POUR LA RÉPUTATION !!!
Chaînes de blocs - Qu’est-ce qu’une chaîne de blocs? : ( voir document explicatif sur Moodle)
o Échange d’informations entre des ordinateurs participants.
o Il y a consensus sur les opérations.
o Les blocs forment un registre qu’on appelle chaîne de blocs
o Attention au choix des partenaires commerciaux. - Ex : cryptomonnaie, facturation aux clients via des contrats intelligents ( contrat ayant un code logiciel avec logique commerciale)
Avantages : - Sécurité des données
- Aucun intermédiaire
- Temps quasi réel
- Conformité réglementaire simplifiée
- Transactions rapides et moins coûteuses
- Risques: donc contrôles à instaurer
- Piratage, fraude, cyberattaque
- Erreurs dans la saisie des données
- Accès non autorisées à des données personnelles ( surtout si chaînes publiques)
- Difficultés d’intégration dans les organisations
- Chaînes de blocs-Fondements
- Chiffrement (données encryptées)
- Blocs sont horodatés (existence et moment des transactions)
- Opérations sont enregistrées de façon permanente ( irréversibles lorsque dans le bloc)
- Validation expéditeur, destinataire et valeur avec des clés ( publique-privée)
- Chaîne de blocs peut être sans permission (publique tel Bitcoin), avec permissions ( privée avec accès limités aux participants autorisés) ou par consortium ( exemple le secteur bancaire)
- L’avenir de l’audit et les
chaînes de blocs - Clés numériques pour les auditeurs externes afin d’accéder aux chaînes de blocs
- Recours accru aux TAAO
Webtrust
1) Webtrust
o Certification CPA
o Assurance site web transactionnelle sur la qualités de la sécurités entourant le site
o Procédures : pas exigence particulière fréquence et la nature
o Basé sur le jugement du praticiens
o Maximum 1 an entre les audits
o Rapport permanant dans le contexte risqué : donc les praticiens effectuèrent régulièrement du travail
o Impossible d’avoir un rapport avec une réserve
2) Systrust
o Rapport sur la fiabilité du système, délivré par un cpa
o Concernant la fiabilité des système en général et non seulement ce qui est rélié a internet
o Par exemple, recours à EDI si les système de leurs partenaires ne sont pas fiable, cela peut avoir de grandes conséquences sur leurs propres affaires sur les affaire de leurs clients et leurs clients fournisseurs..
o Impossibilité d’avoir un rapport avec une réserve
Les critères trust
o Sécurité : Vos systèmes sont-ils protégés contre les accès non autorisés?
o Protection des renseignements personnels : Les renseignements personnels sur vos clients sont-ils traités de manière appropriée?
o Intégrité du traitement : Les opérations sont-elles traitées correctement?
o Accessibilité : Vos systèmes sont-ils accessibles aux fins d’exploitation et d’utilisation, promises ou convenues?
o Confidentialité : Les renseignements confidentiels sur vos clients sont-ils traités de manière appropriée?
Concrètement : SITES SÉCURISÉS POUR EFFECTUER DES TRANSACTIONS SUR LE WEB AVEC OU SANS PAIEMENT
Choix-achat, conversion et implantation d’un système informatique (rôle de conseiller Niveau A pour tous)
1er étape choix système
Comprendre les besoins et les objectifs :
Faire l’étude des besoins financiers et besoins d’affaires (primordial) QUI FAIT CELA?
Tenir compte des objectifs de l’entreprise (ex : si elle prévoit prendre de l’expansion) LESQUELS?
Compatibilité :
o Il est également important que le système soit capable d’interagir avec ceux que l’entreprise possède déjà et/ou ceux de ses partenaires commerciaux reliés.
o Comprendre le contrat de service : ( pour matériel, logiciel, société de services, etc…)
o Vérifier les clauses contractuelles
o Mises à jour et soutien technique
o Petites vs grandes entreprises-Contexte
o Volume et complexité des transactions
o Quantité et compétence des ressources TI
o Système sur mesure développé à l’interne, par un consultant , ou encore utilisation d’un logiciel standard
o Utilisation de l’informatique en nuage ( hotmail, dropbox, facebook…)
impartitions des service
Impartition de certains services:
À qui? Quoi?
NCMC3416
o pour choisir une société de services ou s’assurer de la fiabilité du fournisseur de services
Attention à la confidentialité des données et leur sécurité
* Le choix, la conversion et l’implantation d’un système se fera de façon très différente selon la taille de l’entreprise.
* La grande entreprise peut disposer d’un département formel de TI et d’auditeurs internes qui pourront superviser le projet
* La petite entreprise devra souvent se faire assister par son auditeur externe. Attention aux conflits d’intérêts. L’auditeur externe ne doit pas trop s’impliquer dans l’implantation du système car il ne sera plus objectif pour l’auditer par la suite. (problème possible d’indépendance)
