5035.2 Identification des risques découlant du recours à l’informatique et des CGI connexes
sept.-2022

Aperçu

Directives du BVG

Dans le cadre de l’acquisition d’une compréhension et de l’évaluation du système de contrôle interne de l’entité, l’auditeur acquiert une compréhension de la façon dont l’entité utilise les technologies de l’information (TI) pertinentes pour la préparation des états financiers et de la façon dont l’entité réagit aux risques découlant du recours à l’informatique, ou il actualise sa compréhension à cet égard. Voir la section BVG Audit 5034 pour de plus amples renseignements sur l’acquisition d’une compréhension de l’environnement informatique lié au système d’information.

Ce n’est qu’après avoir compris la pertinence de l’environnement informatique pour la préparation des états financiers que l’auditeur comprend pleinement les processus, les flux de données et les risques de l’entité, y compris les risques découlant du recours à l’informatique. Voici des exemples de facteurs qui peuvent influencer le besoin d’une entité d’utiliser les technologies de l’information (TI) :

  • le type d’activités (p. ex., une entité qui développe une propriété numérique nécessitant la protection d’une infrastructure informatique complexe);

  • le modèle opérationnel (p. ex., ventes en ligne, activité d’abonnement);

  • la conformité aux lois ou aux règlements (p. ex., lois sur la protection des données ou exigences de dépôt électronique des organismes de réglementation);

  • les risques liés à l’information financière identifiés par l’entité dans le cadre de ses activités qui peuvent être atténués au moyen de la technologie (p. ex., calculs automatisés pour réduire au minimum les erreurs manuelles).

Pourquoi est‑ce important?

C’est en identifiant les applications informatiques et d’autres aspects de l’environnement informatique (p. ex., bases de données, système d’exploitation, réseau) pertinents pour la préparation des états financiers que les équipes de mission sont en mesure d’identifier les risques découlant du recours à l’informatique et les contrôles généraux informatiques (CGI) connexes qui répondent à ces risques. Cela permet à l’équipe de mission de comprendre l’entité, d’identifier et d’évaluer les risques d’anomalies significatives et d’évaluer le risque lié aux contrôles documenté par la détermination par l’auditeur du degré d’appui sur les contrôles (c.‑à‑d. aucun, partiel ou élevé), ainsi que d’élaborer des réponses d’audit efficaces et efficientes à l’égard des risques d’anomalies significatives.

Par conséquent, même si l’auditeur décide plus tard de ne pas tester l’efficacité opérationnelle des CGI ou d’autres contrôles, les risques pour lesquels ces contrôles sont conçus devront être compris dans le cadre de l’évaluation des risques et pris en compte lors de l’élaboration des réponses aux risques d’anomalies significatives. Par exemple, l’entité peut gérer ses comptes clients au moyen d’une application informatique (le « grand livre auxiliaire des créances », qui interagit automatiquement avec l’application de recouvrement des recettes utilisée pour comparer les produits par rapport à la facture) parce qu’il y a un volume important d’opérations relatives aux produits et au recouvrement et que la direction a conclu qu’il est plus efficace que de gérer le processus manuellement à l’aide d’une application de feuille de calcul comme Microsoft Excel. La direction met en place des CGI et d’autres contrôles de traitement de l’information visant à assurer un traitement exact de l’information reflétée dans le grand livre auxiliaire des créances et à en maintenir l’intégrité. Indépendamment de tout plan visant à tester l’efficacité opérationnelle des contrôles portant sur les assertions pertinentes relatives au poste des comptes clients, l’utilisation de cette application informatique comporte des risques, comme le risque que des modifications non autorisées ou non testées, ou que l’omission d’apporter les modifications nécessaires à la configuration de l’application lors de la production d’un rapport généré par le système, comme un rapport chronologique des comptes clients, puisse entraîner un traitement incomplet et inexact des enregistrements de transactions. L’auditeur considère ce risque comme faisant partie de son processus d’évaluation des risques, même s’il a l’intention d’utiliser le rapport uniquement à des fins de tests de corroboration. Si l’auditeur prévoit utiliser le rapport dans le cadre d’un test des contrôles ou de procédures de corroboration, il doit tout de même tenir compte de l’exhaustivité et de l’exactitude des données sources (dans cet exemple, il s’agit des données reçues par l’interface avec l’application de recouvrement des recettes; par conséquent, l’auditeur pourrait devoir tenir compte de l’interface comme une dépendance aux TI et de la logique du rapport).

Dans la rubrique ci‑dessous, Identification des risques découlant du recours à l’informatique, on aborde plus en détail l’identification des risques découlant du recours à l’informatique et, dans la rubrique Identification des CGI de l’entité qui répondent aux risques découlant du recours à l’informatique, on se penche sur l’identification des CGI utilisés pour gérer ces risques, ce qui comprend de façon combinée l’élément « Identifier les risques liés à l’informatique et les contrôles généraux informatiques » du processus d’évaluation des risques du BVG illustré ci‑dessous.

Identification des risques découlant du recours à l’informatique par l’entité et des CGI de l’entité qui répondent à ces risques

Le tableau suivant montre comment on utilise la compréhension des divers éléments du système de contrôle interne d’une entité pour identifier les risques découlant du recours à l’informatique par l’entité et des CGI que l’entité a mis en place pour répondre à ces risques :

Diagramme grandeur réelle

Mise en correspondance de la terminologie de la NCA 315 et du Manuel d’audit du BVG

Contrôles généraux informatiques

La NCA 315 utilise le terme « contrôles généraux informatiques », qui correspond au terme « contrôles généraux informatiques (CGI) » utilisé dans le Manuel d’audit du BVG.

Domaines des CGI

La norme NCA 315 fournit des exigences pertinentes qui répondent au besoin de comprendre les contrôles internes de l’entité et souligne l’importance d’acquérir une compréhension appropriée de l’environnement informatique. Bien que les noms de domaine des CGI utilisés dans le Manuel d’audit du BVG n’aient pas été mis à jour pour correspondre aux noms de domaine des CGI révisés utilisés dans la NCA 315 (révisée), la signification des termes est la même et les procédures connexes sont conçues en vue de l’évaluation de la conception et du test du fonctionnement des CGI pertinents pour les couches relatives au réseau, au système d’exploitation ou aux bases de données, en conformité avec les exigences et les directives de la norme révisée. Ces noms de domaine utilisés dans le Manuel d’audit du BVG pourraient être mis à jour à l’avenir afin que soient éliminés les termes plus restrictifs comme « programmes » ou « programmes et données ». Pour l’instant, le tableau suivant présente une mise en correspondance des noms de domaine des CGI utilisés dans le Manuel d’audit du BVG avec ceux utilisés dans la NCA 315 :

Manuel d’audit du BVG
Nom de domaine des CGI
NCA 315
Nom de domaine des CGI
Commentaires
Accès aux programmes et aux données Gestion de l’accès

Le domaine des CGI « Accès aux programmes et aux données » est utilisé aux fins d’examen de l’accès à l’environnement informatique.

Il correspond au processus de gestion de l’accès de la NCA 315, notamment l’accès aux applications (comme les programmes d’applications), aux bases de données (y compris les données), au système d’exploitation et au réseau.

Modifications aux programmes Gestion des changements

Le domaine des CGI « Modifications aux programmes » est utilisé aux fins d’examen des changements apportés à l’environnement informatique.

Il correspond au processus de gestion des changements de la NCA 315, notamment le processus de gestion des changements touchant les programmes ou d’autres changements apportés à l’environnement informatique (à l’exception des éléments « Élaboration, acquisition ou mise en œuvre des systèmes » et « Conversion des données » – voir la section « Développement de programmes » ci‑dessous).

Développement de programmes* Gestion des changements

Le domaine des CGI « Développement de programmes » est utilisé aux fins d’examen des changements à plus grande échelle, p. ex., de nouvelles applications informatiques ou d’autres aspects informatiques développés, configurés et mis en œuvre au cours de la période.

Il correspond au processus de gestion des changements de la NCA 315, ce qui comprend le processus de gestion des changements touchant les programmes ou d’autres changements apportés à l’environnement informatique, ainsi que les éléments « Élaboration, acquisition ou mise en œuvre des systèmes » et « Conversion des données ».

Opérations informatiques Gestion des opérations informatiques

Le domaine des CGI « Opérations informatiques » est utilisé aux fins d’examen de la gestion continue des opérations informatiques, notamment la planification et le suivi des travaux, la sauvegarde et la récupération, ainsi que la détection des intrusions.

Il correspond au processus de gestion des opérations informatiques de la NCA 315.

*La NCA 315 fait référence à trois processus informatiques : gestion de l’accès, gestion des changements et gestion des opérations informatiques. Les directives du Manuel d’audit du BVG comprennent un quatrième domaine, « Développement de programmes », qui permet à l’auditeur d’identifier et de cibler plus facilement les activités liées au développement au sein de l’entité et les travaux d’audit connexes. De même, si l’entité n’entreprend pas de développement au cours de la période, ce domaine des CGI n’aurait pas besoin d’être évalué, ce qui aide à faciliter des pratiques de travail efficaces et efficientes.

Identification des applications informatiques et d’autres aspects de l’environnement informatique

Exigences des NCA

L’auditeur doit acquérir une compréhension de la composante « activités de contrôle » en mettant en oeuvre des procédures d’évaluation des risques. Pour ce faire, il doit : (NCA 315.26)

b) identifier, en fonction des contrôles identifiés à l’alinéa a), les applications informatiques et les autres aspects de l’environnement informatique qui sont vulnérables aux risques découlant du recours à l’informatique;

Directives des NCA

La compréhension des risques découlant du recours à l’informatique et des contrôles généraux informatiques mis en place par l’entité pour y répondre peut avoir une incidence sur : (NCA 315.A166)

  • la décision de l’auditeur de tester ou non l’efficacité du fonctionnement des contrôles visant à répondre aux risques d’anomalies significatives au niveau des assertions;

Exemple :

Si, en raison d’une conception inefficace ou d’une mise en place inadéquate, les contrôles généraux informatiques ne permettent pas de répondre aux risques découlant du recours à l’informatique (parce qu’ils ne permettent pas de prévenir ou de détecter adéquatement la modification non autorisée des programmes ou l’accès non autorisé aux applications informatiques, par exemple), cela peut influer sur la décision de l’auditeur de s’appuyer ou non sur les contrôles automatisés qui font partie des applications informatiques touchées.

  • l’évaluation par l’auditeur du risque lié au contrôle au niveau des assertions;

Exemple :

Le maintien de l’efficacité du fonctionnement d’un contrôle du traitement de l’information peut dépendre de certains contrôles généraux informatiques qui préviennent ou détectent la modification non autorisée des programmes liés au contrôle du traitement de l’information (c’est-à-dire des contrôles qui préviennent ou détectent la modification de programmes liés aux applications informatiques connexes). L’efficacité (ou l’inefficacité) attendue du fonctionnement des contrôles généraux informatiques peut alors influer sur l’évaluation par l’auditeur du risque lié au contrôle. Ainsi, le risque lié au contrôle est susceptible d’être plus élevé si l’auditeur s’attend à ce que les contrôles généraux informatiques concernés soient inefficaces ou s’il ne prévoit pas de tester ces contrôles.

  • la stratégie que choisit l’auditeur pour tester les informations de l’entité qui sont générées par les applications informatiques de celle‑ci ou produites au moyen d’informations tirées de ces applications;

Exemple :

Lorsque des informations produites par l’entité qui doivent servir d’éléments probants ont été générées par des applications informatiques, l’auditeur peut décider de tester les contrôles afférents aux rapports générés par le système. Pour ce faire, il peut notamment identifier et tester les contrôles généraux informatiques visant à répondre aux risques de modification non autorisée ou inappropriée (qu’il s’agisse de modification des programmes ou de modification directe des données sous-tendant les rapports).

  • l’évaluation par l’auditeur du risque inhérent au niveau des assertions;

Exemple :

Le fait que des modifications importantes doivent être apportées à la programmation d’une application informatique pour tenir compte d’exigences en matière d’information financière nouvelles ou révisées selon le référentiel d’information financière applicable peut être un indicateur de la complexité de ces nouvelles exigences et de leur incidence sur les états financiers de l’entité. De plus, lorsque de telles modifications importantes sont apportées à la programmation ou aux données d’une application informatique, celle‑ci est susceptible d’être vulnérable aux risques découlant du recours à l’informatique.

  • la conception de procédures d’audit complémentaires.

Exemple :

Dans les cas où les contrôles du traitement de l’information dépendent des contrôles généraux informatiques, il se peut que l’auditeur décide de tester l’efficacité du fonctionnement des contrôles généraux informatiques, ce qui nécessitera la conception de tests des contrôles pour ceux‑ci. Si, dans les mêmes circonstances, l’auditeur décide de ne pas tester l’efficacité du fonctionnement des contrôles généraux informatiques, ou qu’il s’attend à ce que ces contrôles soient inefficaces, il peut être nécessaire de répondre aux risques connexes découlant du recours à l’informatique en concevant des procédures de corroboration. Cependant, si ces risques connexes sont liés à des risques pour lesquels les procédures de corroboration ne peuvent fournir à elles seules des éléments probants suffisants et appropriés, il se peut qu’il ne soit pas possible d’y répondre. L’auditeur pourrait alors devoir considérer l’incidence de cette situation sur son opinion d’audit.

En ce qui concerne les applications informatiques qui sont pertinentes au regard du système d’information, la compréhension de la nature et de la complexité des processus informatiques particuliers et des contrôles généraux informatiques que l’entité a mis en place peut aider l’auditeur à identifier les applications informatiques sur lesquelles l’entité s’appuie pour assurer l’exactitude du traitement et le maintien de l’intégrité des informations dans son système d’information. Ces applications informatiques peuvent être vulnérables aux risques découlant du recours à l’informatique. (NCA 315.A167)

L’identification des applications informatiques qui sont vulnérables aux risques découlant du recours à l’informatique implique la prise en considération des contrôles identifiés par l’auditeur, étant donné que le fonctionnement de ces contrôles peut reposer sur le recours à l’informatique, ou en dépendre. L’auditeur peut se concentrer sur la question de savoir si une application informatique comporte des contrôles automatisés qu’il a identifiés et sur lesquels la direction s’appuie, notamment des contrôles visant à répondre aux risques pour lesquels les procédures de corroboration ne peuvent fournir à elles seules des éléments probants suffisants et appropriés. L’auditeur peut aussi considérer la façon dont les informations sont stockées et traitées dans le système d’information en ce qui a trait aux catégories d’opérations importantes, aux soldes de comptes importants et aux informations à fournir importantes, et se demander si la direction s’appuie sur les contrôles généraux informatiques pour assurer le maintien de l’intégrité de ces informations. (NCA 315.A168)

Les contrôles identifiés par l’auditeur peuvent dépendre de rapports générés par le système, auquel cas les applications informatiques qui produisent ces rapports peuvent être jugées vulnérables aux risques découlant du recours à l’informatique. Dans d’autres cas, si l’auditeur ne prévoit pas de s’appuyer sur les contrôles afférents aux rapports générés par le système et qu’il prévoit plutôt de tester directement les données d’entrée et de sortie de ces rapports, il se peut qu’il n’identifie pas les applications informatiques connexes comme étant vulnérables aux risques découlant du recours à l’informatique. (NCA 315.A169)

L’étendue de la compréhension qu’acquiert l’auditeur en ce qui concerne les processus informatiques – notamment en ce qui a trait à la mesure dans laquelle l’entité a mis en place des contrôles généraux informatiques – variera selon la nature et les circonstances de l’entité, son environnement informatique, ainsi que la nature et l’étendue des contrôles identifiés par l’auditeur. Le nombre d’applications informatiques vulnérables aux risques découlant du recours à l’informatique variera aussi en fonction de ces facteurs. (NCA 315.A170)

Exemples :

  • Dans une entité qui utilise un logiciel commercial et qui, faute de pouvoir accéder au code source, ne peut apporter aucune modification au programme, il n’y aura probablement pas de processus établi pour ce type de modification. Il pourrait toutefois y avoir un processus ou des procédures pour la configuration du logiciel (plan de comptes, paramètres de l’information, seuils, etc.) et la gestion des accès à l’application (octroi d’un accès administrateur au logiciel commercial, par exemple). Dans de telles circonstances, il est peu probable que l’entité ait mis en place ou ait besoin de contrôles généraux informatiques en bonne et due forme.

  • En revanche, dans une grande entité, il est possible que le recours à l’informatique soit important, que l’environnement informatique comporte de nombreuses applications informatiques et soit géré au moyen de processus informatiques complexes (par exemple, il peut y avoir un service informatique qui s’occupe du développement et de la mise en oeuvre des modifications apportées aux programmes ainsi que de la gestion des droits d’accès), et que des contrôles généraux informatiques en bonne et due forme aient été mis en place à l’égard des processus informatiques.

  • Si la direction ne s’appuie pas sur des contrôles automatisés ni sur des contrôles généraux informatiques pour le traitement des opérations et le maintien de l’intégrité des données, et qu’aucun contrôle automatisé ni autre contrôle du traitement de l’information (ou contrôle qui dépend des contrôles généraux informatiques) n’est identifié par l’auditeur, il est possible que celui‑ci prévoie de tester directement les informations produites par l’entité qui ont nécessité un recours à l’informatique, et qu’il n’identifie aucune application informatique vulnérable aux risques découlant du recours à l’informatique.

  • Lorsque la direction s’appuie sur une application informatique pour le traitement ou le maintien de l’intégrité des données, que le volume de données est important, et qu’elle s’appuie sur l’application informatique pour l’exécution de contrôles automatisés que l’auditeur a identifiés, il est probable que l’application informatique soit vulnérable aux risques découlant du recours à l’informatique.

Si l’environnement informatique de l’entité est particulièrement complexe, il est probable qu’il soit nécessaire d’inclure dans l’équipe des membres possédant des compétences spécialisées en informatique qui seront appelés à participer à l’identification des applications informatiques et des autres aspects de l’environnement informatique, des risques connexes découlant du recours à l’informatique et des contrôles généraux informatiques. La contribution de ces membres dans un environnement informatique complexe sera sans doute essentielle et possiblement considérable. (NCA 315.A171)

Les autres aspects de l’environnement informatique qui peuvent être vulnérables aux risques découlant du recours à l’informatique comprennent le réseau, le système d’exploitation et les bases de données, ainsi que – dans certaines circonstances – les interfaces entre les applications informatiques. Généralement, si l’auditeur n’identifie pas d’applications informatiques qui sont vulnérables aux risques découlant du recours à l’informatique, il n’identifie pas non plus d’autres aspects de l’environnement informatique. Dans les cas où l’auditeur a identifié des applications informatiques qui sont vulnérables aux risques découlant du recours à l’informatique, il est probable qu’il identifie d’autres aspects de l’environnement informatique (par exemple les bases de données, le système d’exploitation ou le réseau) parce que ceux‑ci soutiennent les applications informatiques identifiées et interagissent avec elles. (NCA 315.A172)

En acquérant une compréhension de la nature et de la complexité de l’environnement informatique de l’entité, notamment de la nature et de l’étendue des contrôles du traitement de l’information, l’auditeur peut déterminer sur quelles applications informatiques s’appuie l’entité pour assurer l’exactitude du traitement et le maintien de l’intégrité de l’information financière. L’identification des applications informatiques sur lesquelles s’appuie l’entité peut influer sur la décision de l’auditeur de tester ou non les contrôles automatisés qui y sont intégrés, dans la mesure où ils visent à répondre aux risques d’anomalies significatives identifiés. Si l’entité ne s’appuie pas sur une certaine application informatique, il est peu probable qu’il soit approprié ou concluant de tester l’efficacité du fonctionnement des contrôles automatisés qui y sont intégrés. Parmi les contrôles automatisés pouvant être identifiés en application de l’alinéa 26 b), il y a les calculs automatisés et les contrôles sur les données d’entrée, le traitement et les données de sortie, tels que le triple rapprochement (bons de commande, bordereaux d’expédition, factures). Lorsqu’il identifie de tels contrôles automatisés et que sa compréhension de l’environnement informatique l’amène à déterminer que l’entité s’appuie sur l’application informatique à laquelle ces contrôles sont intégrés, l’auditeur peut être plus susceptible d’identifier cette application comme étant vulnérable aux risques découlant du recours à l’informatique. (NCA 315.Annexe 5.8)

Pour savoir si les applications informatiques auxquelles sont intégrés les contrôles automatisés que l’auditeur a identifiés sont vulnérables aux risques découlant du recours à l’informatique, l’auditeur tient généralement compte de la mesure dans laquelle la direction peut accéder au code source pour modifier les programmes liés à ces contrôles ou aux applications informatiques. La mesure dans laquelle l’entité modifie les programmes ou la configuration des applications informatiques et la mesure dans laquelle les processus informatiques afférents à ces modifications sont structurés peuvent aussi constituer des éléments pertinents à prendre en considération, tout comme le risque d’accès – ou d’apport de modifications – inapproprié aux données. (NCA 315.Annexe 5.9)

L’auditeur peut vouloir utiliser comme éléments probants des rapports générés par le système, tels que des rapports chronologiques des créances clients ou des rapports d’évaluation des stocks. Afin d’obtenir des éléments probants sur l’exhaustivité et l’exactitude de tels rapports, l’auditeur peut mettre en oeuvre des procédures de corroboration portant sur leurs données d’entrée et de sortie. Dans d’autres cas, il peut avoir l’intention de tester l’efficacité du fonctionnement des contrôles afférents à la préparation et la mise à jour de ces rapports, auquel cas l’application informatique qui génère les rapports fera probablement partie des applications vulnérables aux risques découlant du recours à l’informatique. En plus de tester l’exhaustivité et l’exactitude des rapports, l’auditeur peut également prévoir de tester l’efficacité du fonctionnement des contrôles généraux informatiques visant à répondre aux risques de modification non autorisée ou inappropriée des programmes ou des données sous-tendant les rapports. (NCA 315.Annexe 5.10)

Il peut y avoir une fonction de génération de rapports à même l’application informatique, mais il arrive aussi que l’entité ait recours à une application distincte (générateur de rapports). Dans de tels cas, il peut être nécessaire de déterminer d’où proviennent les rapports générés par le système (c’est-à-dire de trouver l’application qui prépare les rapports ainsi que les sources de données utilisées) pour identifier les applications informatiques qui sont vulnérables aux risques découlant du recours à l’informatique. (NCA 315.Annexe 5.11)

Il se peut que les sources de données utilisées par les applications informatiques soient des bases de données qui sont seulement accessibles par l’intermédiaire de l’application informatique ou dont l’accès est restreint aux membres du personnel du service informatique qui détiennent des droits d’administrateur. Dans d’autres cas, la source de données peut être un entrepôt de données qui est lui‑même considéré comme une application informatique vulnérable aux risques découlant du recours à l’informatique. (NCA 315.Annexe 5.12)

Lorsque l’entité a recours à des procédures sans papier hautement automatisées pour le traitement de ses opérations, ces procédures pouvant reposer sur de nombreuses applications informatiques intégrées, il est possible que l’auditeur identifie un risque pour lequel les procédures de corroboration ne sont pas suffisantes à elles seules. Il y aura alors probablement des contrôles automatisés parmi les contrôles identifiés par l’auditeur. De plus, il se peut que l’entité s’appuie sur des contrôles généraux informatiques pour assurer le maintien de l’intégrité des opérations traitées et des autres informations servant au traitement. Les applications informatiques ayant un rôle dans le traitement et le stockage des informations feront alors probablement partie des applications vulnérables aux risques découlant du recours à l’informatique. (NCA 315.Annexe 5.13)

La capacité de l’entité d’assurer le maintien de l’intégrité des informations qui sont stockées dans le système d’information, ou traitées au moyen de celui‑ci, peut varier selon la complexité et le volume des opérations et des autres informations concernées. Si les données qui étayent une catégorie d’opérations importante, un solde de compte important ou une information à fournir importante sont complexes et volumineuses, il sera d’autant plus difficile pour l’entité d’assurer le maintien de l’intégrité des informations en ayant seulement recours à des contrôles du traitement de l’information (par exemple, des contrôles sur les données d’entrée et de sortie ou des contrôles de revue). Il sera aussi moins probable que l’auditeur soit en mesure d’obtenir des éléments probants sur l’exhaustivité et l’exactitude de ces informations, s’il compte se servir de ces informations comme éléments probants, en ayant seulement recours à des procédures de corroboration. Parfois, lorsque les opérations sont peu complexes et peu volumineuses, la direction peut avoir recours à un contrôle du traitement de l’information qui permet à lui seul de vérifier l’exhaustivité et l’exactitude des données (par exemple, un rapprochement permettant de vérifier la concordance entre les bons de commande individuels qui ont été traités et pour lesquels il existe une facture et les informations se trouvant sur les documents papier d’où proviennent les données qui ont été saisies initialement dans l’application informatique). Lorsque l’entité s’appuie sur des contrôles généraux informatiques pour assurer le maintien de l’intégrité de certaines informations utilisées par les applications informatiques, l’auditeur peut déterminer que ces applications sont vulnérables aux risques découlant du recours à l’informatique. (NCA 315.Annexe 5.15)

Exemples de caractéristiques propres aux applications informatiques qui sont généralement peu vulnérables aux risques découlant du recours à l’informatique Exemples de caractéristiques propres aux applications informatiques qui sont généralement vulnérables aux risques découlant du recours à l’informatique
  • Applications autonomes

  • Volume de données (opérations) peu important

  • Fonctionnalités peu complexes

  • Opérations systématiquement étayées par les originaux papier

  • Applications avec interfaces

  • Volume de données (opérations) important

  • Fonctionnalités complexes, telles que :

    • déclenchement automatique d’opérations;
    • écritures automatisées basées sur un éventail de calculs complexes
  • Raisons pour lesquelles ces applications informatiques sont généralement peu vulnérables aux risques découlant du recours à l’informatique :

  • Le volume de données étant peu important, la direction ne s’appuie pas sur des contrôles généraux informatiques pour traiter ou tenir à jour les données.

  • La direction ne s’appuie pas sur des contrôles automatisés ni sur d’autres fonctionnalités automatisées. L’auditeur n’a pas identifié de contrôles automatisés en application de l’alinéa 26 a).

  • La direction ne s’appuie pas sur les rapports générés par le système, bien qu’elle les utilise à des fins de contrôle. Elle effectue plutôt un rapprochement entre la documentation papier et les rapports, dont elle vérifie aussi les calculs.

  • L’auditeur validera directement les informations produites par l’entité qui serviront d’éléments probants.

Raisons pour lesquelles ces applications informatiques sont généralement vulnérables aux risques découlant du recours à l’informatique :

  • Le volume de données étant important, la direction s’appuie sur des logiciels d’application pour traiter ou tenir à jour les données.

  • La direction s’appuie sur des logiciels d’application pour effectuer des contrôles automatisés que l’auditeur a également identifiés.

Directives du BVG

L’alinéa 26(b) de la NCA 315 exige que l’auditeur identifie les applications informatiques et les autres aspects de l’environnement informatique liés aux contrôles compris au sein de la composante des activités de contrôle du système de contrôle interne de l’entité qui sont vulnérables aux risques découlant du recours à l’informatique (p. ex., les applications informatiques sur lesquelles l’entité s’appuie pour traiter l’information dans le système d’information de l’entité et en maintenir l’intégrité avec exactitude).

Les contrôles qui répondent aux risques d’anomalies significatives identifiés dans la composante des activités de contrôle du système de contrôle interne de l’entité constituent le point de départ. Voir la section BVG Audit 5035.1 pour obtenir de plus amples renseignements sur ces contrôles. L’auditeur examine si ces contrôles reposent sur une ou plusieurs dépendances aux TI.

Lorsque l’auditeur identifie les dépendances aux TI, il identifie l’application informatique ou d’autres aspects de l’environnement informatique qui se rapportent à ces dépendances aux TI et il détermine s’ils sont vulnérables aux risques découlant du recours à l’informatique. Lorsque des risques découlant du recours à l’informatique sont identifiés, l’auditeur acquiert une compréhension des contrôles généraux informatiques (CGI) qui répondent aux risques découlant du recours à l’informatique et évalue la conception et la mise en place de ces CGI.

Lorsqu’un contrôle manuel dépend d’un rapport généré par le système, le rapport est le seul type de dépendance aux TI, et l’auditeur conclut qu’il est en mesure de mettre en œuvre des procédures de corroboration à l’égard de la fiabilité du rapport généré par le système pour chaque cas du contrôle qu’il prévoit tester; il ne considère pas que ce contrôle est « vulnérable aux risques découlant du recours à l’informatique » et n’est donc pas tenu d’évaluer la conception et la mise en place des CGI pertinents pour ce rapport généré par le système. Bien que l’auditeur ne soit pas tenu d’évaluer la conception et la mise en place des CGI pertinents pour les rapports générés par le système lorsque sa stratégie de test consiste à mettre en œuvre des procédures de corroboration portant sur la fiabilité de chaque cas de rapport, il évalue s’il serait plus efficace et efficient de tester les CGI et, le cas échéant, il évaluerait la conception et la mise en place des CGI pertinents.

À l’instar de l’évaluation de la complexité de l’environnement informatique (BVG Audit 5034), l’auditeur pourrait envisager de faire appel à l’Audit des TI pour identifier les applications informatiques et d’autres aspects de l’environnement informatique qui pourraient être vulnérables à des risques découlant du recours à l’informatique. La participation de l’Audit des TI peut aller de la consultation à l’encadrement ou à la réalisation d’une partie de ce travail pour aider l’équipe de mission à prendre ces décisions.

Diagramme grandeur réelle

Notes complémentaires au diagramme :

Dépendances aux TI : L’auditeur identifie les dépendances aux TI au moment d’obtenir une compréhension du système de contrôle interne de l’entité et au moyen de sa compréhension de bout en bout des flux de données, des processus et des contrôles. Cette compréhension constitue une bonne source d’information pour l’identification des applications informatiques et d’autres aspects de l’environnement informatique liés aux contrôles de traitement de l’information de l’entité.

Comme il est expliqué plus en détail dans la section BVG Audit 5034, les dépendances aux TI sont liées à des contrôles automatisés ou manuels ou à des procédures de corroboration prévues qui dépendent des TI, comme les rapports générés par le système, les calculs automatisés dans les applications, la sécurité qui facilite la séparation des tâches ou limite les changements directs de données dans la base de données, ainsi que les interfaces automatisées entre les applications informatiques.

Contrôles manuels : Lorsque les contrôles identifiés n’ont pas de dépendances aux TI (c.‑à‑d. que les contrôles sont entièrement manuels, sans dépendance aux TI), l’auditeur n’est pas tenu d’évaluer la conception et la mise en place des CGI.

Environnement informatique : Lorsqu’on tient compte des dépendances aux TI liées aux contrôles, la NCA 315 oblige l’auditeur à tenir compte de l’ensemble de l’environnement informatique, qui comprend les applications informatiques, les données et d’autres aspects de l’environnement informatique, notamment : l’infrastructure de soutien, plus précisément le réseau et les systèmes d’exploitation sur lesquels les applications fonctionnent, les bases de données sous-jacentes qui contiennent les données utilisées par les applications dans le système d’information et les interfaces entre les applications informatiques.

Rapports générés par les systèmes : Lorsque les seules dépendances aux TI identifiées associées à un contrôle sur lequel l’auditeur a l’intention de s’appuyer sont des rapports générés par le système, à l’égard desquels l’auditeur prévoit tester, au moyen de procédures de corroboration, la fiabilité des informations incluses dans ces rapports (c.‑à‑d. l’exhaustivité et l’exactitude), l’auditeur n’est pas tenu d’évaluer la conception et la mise en place des CGI pertinents pour les rapports générés par le système.

Pour les dépendances aux TI qui ne sont pas liées à un contrôle, mais qui sont pertinentes pour les tests de corroboration prévus (c.‑à‑d. un rapport généré par le système), l’auditeur documente les dépendances aux TI et les aspects connexes de l’environnement informatique, mais il n’a pas besoin d’identifier les applications informatiques ou d’autres aspects de l’environnement informatique comme étant « vulnérables aux risques découlant du recours à l’informatique ». Il se peut néanmoins que l’auditeur ait à évaluer la conception et la mise en place des CGI et à en tester l’efficacité opérationnelle, au besoin, pour traiter la fiabilité d’un rapport généré par le système (voir la section BVG Audit 4028.4 pour obtenir des conseils sur les tests de la fiabilité de l’information générée par des systèmes).

Risques découlant du recours à l’informatique : Lorsqu’il y a des risques pour lesquels les procédures de corroboration à elles seules ne fournissent pas suffisamment d’éléments probants appropriés (c.‑à‑d. l’auditeur s’appuiera sur les CGI), ou s’il y a des dépendances aux TI, autres que les rapports générés par le système que l’auditeur soumettra à des procédures de corroboration, les risques découlant du recours à l’informatique seront alors identifiés. En ce qui concerne les risques liés à l’informatique, l’auditeur identifiera les CGI et évaluera leur conception et leur mise en place.

Le paragraphe 15 de l’annexe 5 de la NCA 315 fournit des exemples de caractéristiques à prendre en compte pour déterminer si les applications informatiques et d’autres aspects de l’environnement informatique peuvent être vulnérables à des risques découlant du recours à l’informatique. Ces caractéristiques comprennent :

  • la nature de l’application (p. ex. applications autonomes, applications avec interfaces);

  • le volume des données;

  • la complexité de l’application;

  • l’appui par la direction sur les applications informatiques pour traiter ou tenir à jour correctement l’intégrité de l’information dans le système d’information de l’entité;

  • la détermination à savoir si la direction s’appuie sur les rapports générés par le système à des fins de contrôle et si l’auditeur prévoit tester directement les intrants et les extrants de ces rapports (plutôt que de s’appuyer sur les contrôles) pour répondre au risque;

  • la mise en œuvre uniquement de tests de corroboration à l’égard de l’information produite.

Outre les applications informatiques vulnérables aux risques découlant du recours à l’informatique (par exemple, les applications informatiques sur lesquelles l’entité s’appuie pour traiter et maintenir avec exactitude l’intégrité de l’information dans le système d’information de l’entité), l’auditeur acquiert une compréhension des autres aspects de l’environnement informatique afin d’examiner comment ils peuvent avoir une incidence sur son évaluation des risques. Les exemples suivants illustrent d’autres aspects de l’environnement informatique d’une entité qui pourraient entraîner des risques découlant du recours à l’informatique :

  • L’auditeur identifie un contrôle automatisé exécuté dans une application informatique qui calcule une conversion des ventes facturées en devises. Le contrôle utilise une base de données tenant compte des taux de change des devises pour la conversion et la comptabilisation de l’opération génératrice de produits dans la devise fonctionnelle de l’entité. Dans ce cas, l’auditeur identifierait à la fois l’application qui effectue le calcul automatisé de la conversion des devises et la base de données des taux de conversion des devises, car les deux éléments pourraient entraîner des risques découlant du recours à l’informatique. En effet, ils sont tous deux utilisés dans ce contrôle automatisé dépendant du recours à l’informatique.

  • Au cours de l’année, l’entité passe d’un processus manuel à une interface automatisée entre l’application A et l’application B. Pour comprendre ce processus de changement, l’auditeur détermine que le client utilise un outil de « billet » informatique pour documenter et gérer l’élaboration de cette demande de changement ainsi qu’un outil de gestion de code logiciel pour permettre la gestion et l’examen des changements de code apportés. L’auditeur identifie les applications A et B associées à la dépendance informatique de l’interface, ainsi que les outils de « billet » et de gestion de code (c.‑à‑d. les applications qui soutiennent la gestion des changements pour les applications A et B). Les applications A et B, l’outil de billet informatique et l’outil de gestion de code peuvent donner lieu à des risques découlant du recours à l’informatique.

  • L’entité utilise des consoles de gestion en nuage et des services de sauvegarde. Ces services infonuagiques libèrent l’entité de la tenue à jour de ses propres logiciels pour surveiller le rendement de l’infrastructure, la consignation des erreurs et la gestion des sauvegardes. Le portail des fournisseurs de l’entité est hébergé sur le nuage, et la majorité des factures des fournisseurs de l’entité, qui alimentent son grand livre auxiliaire des comptes fournisseurs sont reçues au moyen de la fonction libre-service du portail destiné aux fournisseurs. Un problème de rendement du système ou un temps d’arrêt pourrait faire en sorte que les factures soumises par les fournisseurs ne soient pas consignées dans le grand livre auxiliaire des comptes fournisseurs de l’entité en temps opportun ou de façon complète et exacte, ce qui pourrait entraîner une sous-estimation du passif comptabilisé de l’entité. L’entité s’appuie sur les rapports de performance et les journaux d’erreurs de son fournisseur de services infonuagiques pour identifier les problèmes potentiels liés à l’infrastructure infonuagique. Ces services infonuagiques peuvent donner lieu à des risques découlant du recours à l’informatique.

Compréhension de la nature et de l’utilisation de solutions technologiques

Les entités adoptent des solutions technologiques pour automatiser les processus, accroître l’efficacité, analyser les données, accélérer l’identification des problèmes et améliorer la qualité. Dans bien des cas, ces solutions technologiques peuvent avoir une incidence sur l’information financière. Ces technologies peuvent accroître le risque d’anomalies significatives, car certaines d’entre elles sont en développement continu et peuvent nécessiter des compétences spécialisées en vue d’être développées, mises en œuvre, soumises à des tests et exploitées. Il est important que l’auditeur identifie ces technologies, applications ou autres aspects connexes de l’environnement informatique et tienne compte des risques connexes découlant du recours à l’informatique. Bien que les solutions technologiques puissent évoluer, la nécessité d’identifier et de comprendre les CGI qui répondent aux risques identifiés demeure inchangée.

Voici des exemples de solutions technologiques qui peuvent être utilisées par l’entité :

  • Analyse des données – On peut utiliser des solutions technologiques, comme Alteryx et Power Query, pour préparer et combiner des données aux fins d’analyse (p. ex., calcul/rapport utilisé pour l’exécution de contrôles ou de procédures de corroboration) en recueillant, nettoyant et reliant des données de sources multiples. Les résultats des solutions technologiques d’analyse de données (comme un flux de travail Alteryx) peuvent être des feuilles de calcul Excel, lesquelles peuvent ressembler exactement à celles qui ont été créées manuellement.

  • Visualisation (création de rapports) – Les solutions technologiques, comme Tableau, Power BI ou Qlikview, peuvent fournir des visualisations aux fins d’analyse ou de présentation de données. On les utilise pour présenter des données brutes dans un format plus facile à comprendre en permettant aux utilisateurs de présenter facilement des données de diverses sources dans un seul extrant.

  • Automatisation robotisée des processus (ARP) – Les plateformes ARP, comme UiPath, Blue Prism ou Automation Anywhere, sont des solutions technologiques qu’on peut programmer pour automatiser les tâches répétitives. Par exemple, on peut utiliser l’ARP pour extraire des indicateurs clés des états financiers du client ou générer des modèles de crédit et prendre des décisions préliminaires sur les limites de crédit. On peut également utiliser l’ARP pour automatiser la résiliation de l’accès des utilisateurs identifiés lors de la revue périodique de l’accès des utilisateurs.

  • L’intelligence artificielle (IA) – L’IA représente les systèmes informatiques capables d’accomplir des tâches qui nécessitent normalement l’intelligence humaine, comme la perception visuelle, la reconnaissance de la parole, la prise de décisions et la traduction linguistique. Un exemple d’IA pourrait être l’automatisation des rapprochements visant à améliorer la rapidité de résolution des éléments de rapprochement. Par l’apprentissage de la façon dont les personnes associent manuellement les éléments non rapprochés, l’IA peut être formée de manière à exécuter le processus d’association, ce qui permet aux utilisateurs de limiter leur examen aux divergences restantes.

Chaîne de blocs – La chaîne de blocs est un type de technologie de grand livre distribué où les données sont stockées dans des blocs qui sont liés par cryptographie. Un bloc de données est relié aux blocs qui précèdent et qui suivent, chaque bloc supplémentaire renforçant la vérification du bloc précédent. Les chaînes de blocs peuvent être sans autorisation (accessibles au public) ou avec autorisation (accessibles uniquement aux personnes ayant un accès), et peuvent être utilisées aux fins de stockages d’une vaste gamme de données, par exemple, des cryptomonnaies (p. ex., Bitcoin, Ethereum), des jetons non fongibles (p. ex., art numérique) ou une chaîne d’approvisionnement (p. ex., traçabilité des aliments). Les chaînes de blocs ne sont pas toutes créées de façon égale et il est important de comprendre les éléments clés d’une chaîne de blocs, y compris, mais sans s’y limiter, le grand livre distribué, le réseau de participants, le mécanisme de consensus et la cryptographie.

Identification des risques découlant du recours à l’informatique

Exigences des NCA 

L’auditeur doit acquérir une compréhension de la composante « activités de contrôle » en mettant en oeuvre des procédures d’évaluation des risques. Pour ce faire, il doit : (NCA 315.26)

c) identifier, en ce qui concerne les applications informatiques et les autres aspects de l’environnement informatique identifiés à l’alinéa b) :

i)  les risques connexes découlant du recours à l’informatique,

ii) les contrôles généraux informatiques visant à répondre à ces risques;

Directives des NCA

Lors de l’identification des risques découlant du recours à l’informatique, l’auditeur peut prendre en considération la nature des applications informatiques ou des autres aspects de l’environnement informatique qu’il a identifiés ainsi que les raisons pour lesquelles ces applications ou ces autres aspects sont vulnérables aux risques découlant du recours à l’informatique. Pour certaines applications informatiques ou certains autres aspects de l’environnement informatique, il se peut que l’auditeur identifie des risques connexes découlant du recours à l’informatique qui concernent surtout l’accès – ou l’apport de modifications – non autorisé aux programmes, ou la modification inappropriée des données (par exemple, des risques de modification inappropriée des données attribuables à un accès direct aux bases de données ou à la possibilité de manipuler directement les informations). (NCA 315.A173)

L’étendue et la nature des risques connexes découlant du recours à l’informatique varient selon la nature et les caractéristiques des applications informatiques et des autres aspects de l’environnement informatique qui sont identifiés. Certains risques connexes liés à l’informatique peuvent être attribuables au fait que l’entité confie certains aspects identifiés de son environnement informatique à des fournisseurs de services internes ou externes (par exemple, en ayant recours aux services d’hébergement de tiers pour son environnement informatique ou en confiant la gestion de ses processus informatiques au centre de services partagés du groupe auquel elle appartient). Il se peut aussi que l’auditeur identifie des risques connexes découlant du recours à l’informatique qui sont liés à la cybersécurité. Les risques découlant du recours à l’informatique sont généralement d’autant plus nombreux que les contrôles des applications qui sont automatisés sont nombreux ou complexes et que la direction s’appuie fortement sur ces contrôles pour assurer le traitement efficace des opérations ou le maintien efficace de l’intégrité des informations sous-jacentes. (NCA 315.A174)

Les risques découlant du recours à l’informatique comprennent notamment les risques associés à un appui inapproprié sur des applications informatiques qui ne traitent pas les données avec exactitude, qui traitent des données inexactes, ou les deux. Voici des exemples de tels risques : (NCA 315.Annexe 5.18)

  • accès non autorisé aux données pouvant aboutir à des destructions ou modifications inappropriées de données, y compris l’enregistrement d’opérations non autorisées ou inexistantes ou l’enregistrement inexact d’opérations. L’accès de multiples utilisateurs à une base de données commune peut poser des risques particuliers;

  • possibilité que le personnel du service informatique obtienne des privilèges d’accès supérieurs à ceux qui sont nécessaires pour l’exercice de ses fonctions, et que la séparation des tâches se trouve ainsi compromise;

  • modifications non autorisées des données dans les fichiers maîtres;

  • modifications non autorisées d’applications informatiques ou d’autres aspects de l’environnement informatique;

  • non-réalisation de modifications nécessaires d’applications informatiques ou d’autres aspects de l’environnement informatique;

  • interventions manuelles inappropriées;

  • perte possible de données ou incapacité d’accéder aux données requises.

Les risques pris en considération par l’auditeur en ce qui a trait à l’accès peuvent comprendre à la fois les risques d’accès non autorisé par des parties internes et les risques d’accès non autorisé par des parties externes (souvent appelés « risques liés à la cybersécurité »). Ces risques n’ont pas nécessairement d’incidence sur l’information financière, l’environnement informatique de l’entité pouvant également comprendre des applications informatiques et des données connexes répondant à d’autres besoins (exploitation ou conformité, par exemple). Il est important de noter que les cyberincidents surviennent généralement d’abord dans les couches internes et périphériques du réseau, qui sont habituellement à l’écart des applications informatiques, des bases de données et des systèmes d’exploitation qui ont une incidence sur la préparation des états financiers. Par conséquent, s’il prend connaissance d’une intrusion, l’auditeur détermine généralement la mesure dans laquelle celle‑ci est susceptible d’avoir eu une incidence sur l’information financière. S’il est possible que l’intrusion ait eu une incidence sur l’information financière, l’auditeur peut décider d’acquérir une compréhension des contrôles connexes et de tester ces derniers afin de déterminer l’incidence possible ou l’étendue des anomalies potentielles dans les états financiers, ou encore déterminer que l’entité a fourni des informations adéquates sur l’intrusion. (NCA 315.Annexe 5.19)

Par ailleurs, il est possible que les textes légaux et réglementaires pouvant avoir une incidence directe ou indirecte sur les états financiers de l’entité comprennent des dispositions visant la protection des données. Lorsqu’il prend en considération la conformité de l’entité à ces textes légaux et réglementaires, conformément à la NCA 250, l’auditeur peut être amené à acquérir une compréhension des processus informatiques de l’entité et des contrôles généraux informatiques que celle‑ci a mis en place pour se conformer aux textes légaux et réglementaires en question. (NCA 315.Annexe 5.20)

Directives du BVG

La nature des risques découlant du recours à l’informatique dépend de la nature et des caractéristiques des applications informatiques ou d’autres aspects de l’environnement informatique identifiés qui sont vulnérables aux risques découlant du recours à l’informatique (p. ex., application informatique sur laquelle l’entité s’appuie pour traiter et maintenir avec exactitude l’intégrité de l’information dans le système d’information de l’entité). Par exemple, lorsque les opérations génératrices de produits sont traitées en ligne et que l’entité utilise une application informatique pour déclencher et enregistrer ces opérations, l’application informatique est exposée à des risques, comme le traitement inexact des données et la comptabilisation d’opérations non valides si un accès non autorisé à l’application se produit.

D’autres aspects de l’environnement informatique pourraient entraîner des risques découlant du recours à l’informatique. Par exemple, des modifications directes pourraient être apportées aux données de la base de données utilisée par une application, ce qui pourrait entraîner un contournement des contrôles au niveau de l’application. Un autre exemple serait un réseau et un système d’exploitation sur lesquels une application est exécutée et qui ne sont pas dotés de contrôles pour empêcher les utilisateurs non autorisés d’obtenir un accès inapproprié ou qui ne sont pas dotés de contrôles de détection d’intrusion appropriés permettant de déterminer si des données ont fait l’objet d’une copie non autorisée.

Pour chaque application informatique ou autre aspect de l’environnement informatique, l’auditeur identifie les risques découlant du recours à l’informatique. Ces risques sont définis à l’alinéa (i) du paragraphe 12 de la NCA 315 :

La possibilité que la conception ou le fonctionnement des contrôles du traitement de l’information soient inefficaces ou les risques que l’intégrité des informations (c’est-à-dire l’exhaustivité, l’exactitude et la validité des opérations et des autres informations) ne soit pas maintenue au sein du système d’information de l’entité, en raison de l’inefficacité de la conception ou du fonctionnement des contrôles se rapportant aux processus informatiques de l’entité.

Lorsque l’auditeur identifie les risques, il tient compte de la façon dont l’application informatique ou d’autres aspects informatiques sont utilisés pour déclencher, enregistrer, traiter et corriger des opérations, les intégrer au grand livre général et les communiquer dans les états financiers de l’entité. Voir la section BVG Audit 5034 pour de plus amples renseignements sur cette compréhension et sur les risques associés à ces opérations.

Dans le cadre de l’acquisition d’une compréhension de la composante des activités de contrôle, l’auditeur doit tenir compte des risques liés à l’informatique qui se produisent au niveau de l’entité, qui ne sont pas associés aux dépendances aux TI sous-jacentes et qui ne sont pas propres à l’application. Il s’agit de considérations plus larges de l’environnement informatique à l’échelle de l’entité – les « facteurs relatifs à l’ensemble des processus informatiques », et par conséquent, l’auditeur doit déterminer si ces risques à l’échelle de l’entité peuvent être omniprésents et donner lieu à un risque d’anomalies significatives au niveau des états financiers. Voir la section BVG Audit 5043.2 pour de plus amples renseignements. Les deux risques les plus courants liés aux facteurs relatifs à l’ensemble des processus informatiques sont les suivants :

  • Les tâches ne sont pas adéquatement séparées : lorsque des lacunes dans les contrôles indirects (p. ex., les politiques) ont une incidence sur l’environnement informatique global de l’entité.

  • Aucune gouvernance des processus informatiques n’a été établie : Lorsque des lacunes dans les contrôles informatiques généraux de l’entité affectent l’environnement informatique global de l’entité.

Voici quelques exemples de risques découlant du recours à l’informatique pour chaque aspect de l’environnement informatique :

Exemples de risques découlant du recours à l’informatique Aspect de l’environnement informatique Considérations pertinentes par rapport au risque
  • Les utilisateurs finaux des applications contournent les contrôles de la séparation des tâches et de l’autorisation appliqués par les systèmes

  • Des comptes à risque élevé/donnant des pouvoirs (p. ex. super utilisateurs) permettent de contourner les contrôles de la séparation des tâches et de l’autorisation appliqués par les systèmes

  • Application
  • Base de données
  • Système d’exploitation
Une ou des personnes inappropriées pourraient avoir la capacité de modifier la configuration d’une application ou d’un système d’exploitation.
  • À cause de la faiblesse des contrôles des mots de passe ou de la déficience des configurations de sécurité, les droits d’accès peuvent être contournés

  • Application
  • Système d’exploitation
  • Base de données
Les comptes d’utilisateur autorisés pourraient être exploités par un utilisateur non autorisé.
  • Des modifications non autorisées ou non testées, ou l’omission d’apporter les modifications nécessaires empêchent les systèmes de l’environnement informatique de traiter les enregistrements de transactions de manière complète et exacte

  • Présence de changements inappropriés, intervention manuelle ou manquements en rapport avec les traitements des lots

  • Application
  • Base de données
  • Système d’exploitation
  • Réseau

Les changements apportés à la fonctionnalité des applications codées pourraient entraîner une erreur dans un aspect de l’environnement informatique, ou une mise à niveau de l’environnement informatique pourrait compromettre le fonctionnement efficace des fonctions automatisées sur lesquelles l’entité s’appuie.

Des contrôles liés au changement s’appliquent à tous les aspects de l’environnement informatique – p. ex., applications, configurations d’applications, bases de données, systèmes d’exploitation, réseaux, processus par lots.

  • Des changements directs inappropriés sont faits aux enregistrements d’opérations et/ou aux données de base connexes

  • Application
  • Base de données
Les changements directs apportés aux données (p. ex., corrections de données qui contournent les contrôles de l’application et modifient les données directement dans la base de données sous-jacente) peuvent entraîner une anomalie significative.
  • Les systèmes nouvellement implantés (ou améliorés en profondeur) traitent les données de manière incomplète ou inexacte (p. ex. en raison d’erreurs de codage ou de configuration)

  • Application
  • Base de données
Les erreurs de codage ou de configuration lorsqu’un aspect de l’environnement informatique est mis en œuvre ou fait l’objet d’améliorations importantes pendant la période d’audit peuvent entraîner une anomalie significative.
  • Les transactions enregistrées et/ou les données de base ne sont pas transférées en totalité et avec exactitude

  • Application
  • Base de données
Les transactions ou les données du fichier maître significatives peuvent avoir été chargées de façon incorrecte directement dans l’application ou la base de données sous-jacente, contournant ainsi les contrôles standard relatifs à la saisie des données de l’application.
  • Le transfert des transactions enregistrées entre des systèmes est incomplet ou inexact

  • Application
  • Système d’exploitation
  • Base de données
Les interfaces (automatisées) peuvent ne pas être complètes, ou il peut y avoir un manque de correspondance au niveau des champs de données, ce qui peut donner lieu à une anomalie significative.
  • Des transactions enregistrées sont perdues (p. ex., en raison d’une défaillance du système) et des données sont irrécupérables ou corrompues/inscrites en double lors du processus de récupération

  • Base de données
La perte ou la restauration inappropriée des dossiers d’opérations, ou l’incapacité d’y accéder, au besoin, aurait une incidence importante sur l’information financière.
  • Rien n’empêche un accès physique non autorisé aux installations, à l’équipement et aux ressources

  • Application
  • Système d’exploitation
  • Base de données
  • Réseau
L’accès inapproprié aux installations, à l’équipement et aux ressources pourrait avoir une incidence importante sur l’information financière, surtout lorsque l’environnement informatique dans lequel les données sont conservées et traitées s’appuie sur des contrôles relatifs à l’accès physiques.

Voir la rubrique ci‑dessous, Identification des CGI de l’entité qui répondent aux risques découlant du recours à l’informatique, pour obtenir de plus amples renseignements sur l’identification des CGI de l’entité et leur incidence sur l’audit.

Facteurs de risques concernant l’utilisation de solutions technologiques

Le tableau suivant donne des exemples de facteurs de risque qui peuvent être pertinents lorsque l’entité utilise des solutions technologiques :

Solutions technologiques

Exemple de facteurs de risques

Technologies d’analyse et de visualisation des données

Les technologies d’analyse et de visualisation des données peuvent souvent ressembler davantage à des outils informatiques d’utilisateurs finaux. Les facteurs détaillés liés aux risques et aux contrôles dans les outils informatiques d’utilisateurs finaux peuvent être très semblables à bon nombre des risques liés à ces types de solutions technologiques. Lorsqu’on utilise des technologies, ces risques peuvent être plus semblables à ceux des feuilles de calcul qu’à ceux des systèmes informatiques de production. Les personnes qui mettent en œuvre ces solutions technologiques peuvent provenir de l’entreprise – et non des TI – et donc ne pas avoir d’expérience avec les CGI qui doivent être mis en place (p. ex., accès logique, changements apportés aux programmes).

En raison de la nature des solutions technologiques (p. ex., libre accès, saisie manuelle des données) et de la nature de l’environnement dans lequel elles peuvent être élaborées et mises en œuvre (p. ex., élaborées par les utilisateurs, hébergées sur un réseau local ou des lecteurs locaux plutôt que dans un environnement informatique contrôlé), les solutions d’analyse et de visualisation des données peuvent être plus faciles à modifier et il se peut que les contrôles soient insuffisants pour qu’on s’assure que la solution technologique fonctionne de façon constante comme prévu. Il faut tenir compte des risques découlant du recours à ces technologies liés aux changements inappropriés, au contrôle des versions et à l’accès à la technologie. Cela peut entraîner un risque inhérent accru en ce qui a trait aux erreurs suivantes :

  • Erreurs de saisie – le risque que les sources de données soient incorrectes ou que les fichiers téléversés ne soient pas complets.

  • Erreurs de logique – le risque que le flux de travail ne fonctionne pas comme prévu ou que des fonctions utilisées puissent exclure des éléments de façon inappropriée.

  • Autres erreurs – le risque que ces solutions soient probablement créées et maintenues par des personnes qui n’ont pas de connaissances techniques et ne soient pas gérées de façon centralisée, ce qui pourrait les rendre vulnérables aux erreurs liées à une intégration inadéquate avec d’autres solutions technologiques.

Se reporter à la section BVG Audit 2051 concernant l’incidence des contrôles sur l’audit des bases de données et des feuilles de calcul électronique locales pour obtenir des conseils sur la façon de gérer ces risques.

Automatisation robotisée des processus (ARP)

Le processus de développement suivi lors de la mise en œuvre de l’ARP peut être très différent des processus liés aux anciens systèmes, qui sont normalement sous le contrôle des environnements informatiques.

Dans un environnement de développement traditionnel, une demande de changement ou de nouvelle fonctionnalité est faite, approuvée et par la suite élaborée par une personne du groupe des TI. Une fois que les processus et contrôles informatiques appropriés sont suivis, le changement est apporté à l’application, ou la nouvelle application est mise en œuvre. Dans l’environnement traditionnel, cela suit un processus de gestion du changement existant et serait traité par des contrôles de gestion du changement testés par des experts choisis par l’auditeur.

En ce qui concerne l’ARP, cela peut également commencer par une demande de nouvelle automatisation (« robot »).

Cependant, ce sont souvent les utilisateurs opérationnels, et non les développeurs de TI traditionnels, qui sont responsables du développement et de la création du robot. Il est essentiel de comprendre la stratégie d’ARP, y compris les technologies particulières qui sont déployées, pour comprendre les risques pertinents et être en mesure d’évaluer la conception des contrôles et de cerner les lacunes potentielles. Les risques potentiels que l’auditeur peut identifier sont les suivants :

  • traitement de données par automatisation inapproprié ou incomplet en raison d’erreurs dans la configuration de l’automatisation;

  • modifications inappropriées de l’automatisation, ce qui peut s’expliquer par l’intervention de développeurs informatiques non traditionnels.

Solutions technologiques – Intelligence artificielle (IA)

Si les entités utilisent ces technologies dans un domaine qui a une incidence sur l’audit, il faut envisager de faire appel à des experts choisis par l’auditeur pour permettre d’acquérir une compréhension des activités d’IA de l’entité et d’évaluer les risques. Voici quelques exemples de risques possibles :

  • Qualité des données – L’utilisation des technologies est aussi efficace que les données sous-jacentes; l’IA n’est pas différente. Par exemple, si des données transactionnelles incomplètes ou inexactes sont utilisées pour la détection des tendances de fraude, elles auront une incidence sur les résultats de la technologie d’IA et pourraient donner des résultats inexacts ou trompeurs.

  • Objectivité des données – Il s’agit du concept de corrélation des éléments en fonction d’un ensemble de données, mais la corrélation ne reflète pas tous les aspects des données. Par exemple, l’utilisation de l’intelligence artificielle pour appuyer la planification stratégique de la chaîne d’approvisionnement de la direction. Dans le cadre de ce processus, la machine a analysé la répartition des coûts de transport des matières premières liés au dernier trimestre, dont les coûts associés aux matériaux utilisés pour fabriquer le produit A étaient plus élevés en raison de conditions météorologiques défavorables anormales. Par conséquent, les données contiennent une répartition plus élevée des coûts de transport liés au produit A pendant cette période. Dans ce cas, l’algorithme est susceptible de faire des déductions erronées liées à l’estimation des coûts de transport entre les produits (c.‑à‑d. que la machine peut être orientée de manière à estimer de façon inappropriée un niveau plus élevé de coût de transport pour le produit A parce que les données fournies à l’IA comprenaient ces coûts plus élevés). La compréhension de la façon dont l’entité gère ce risque lié à l’objectivité des données est un élément important de l’évaluation du risque d’anomalies significatives découlant de ses algorithmes d’IA.

  • Apprentissage automatique – C’est le concept que l’IA s’enseignera elle-même ses algorithmes de base et les changera à mesure qu’elle traitera plus de données. Bien que l’IA puisse développer des connaissances et s’adapter grâce à l’expérience, à la découverte de données et à la reconnaissance de modèles (ce qui améliore son efficacité dans l’exécution de ses tâches à mesure qu’elle en apprend davantage sur le « monde » dans lequel elle fonctionne), cet apprentissage progressif dépend fortement du cadre de conception. Par exemple, si le cadre de l’IA ne comprend pas une supervision humaine des changements, la machine acquiert des connaissances et prend des décisions dans l’algorithme, et l’IA pourrait en fin de compte prendre des décisions incompatibles avec les intentions de l’entité.

Les connaissances acquises par l’IA et la façon dont elle les acquiert dépendent fortement de facteurs comme la pertinence, la qualité et la profondeur des ensembles de données dont elle peut tirer des leçons; le cadre de règles initial élaboré pour guider la découverte des données et la reconnaissance des modèles; et le niveau de « liberté » conçus dans les algorithmes pour permettre à la machine de s’adapter sans intervention humaine.

Identification des CGI de l’entité qui répondent aux risques découlant du recours à l’informatique

Directives des NCA

Les contrôles généraux informatiques sont des contrôles que l’entité met en place pour répondre aux risques découlant du recours à l’informatique. Pour les identifier, l’auditeur se fonde donc sur la compréhension qu’il a acquise à l’égard des applications informatiques et des autres aspects de l’environnement informatique qu’il a identifiés ainsi que des risques découlant du recours à l’informatique qui sont applicables. Lorsque l’entité utilise les mêmes processus informatiques pour l’ensemble de son environnement informatique ou pour certaines de ses applications informatiques, il est possible que l’auditeur identifie des risques communs découlant du recours à l’informatique et des contrôles généraux informatiques communs. (NCA 315.Annexe 5.21)

En règle générale, il est probable que les contrôles généraux informatiques portant sur les applications informatiques et sur les bases de données seront plus nombreux à être identifiés que ceux portant sur d’autres aspects de l’environnement informatique, puisque les premiers sont plus étroitement liés au traitement et au stockage des informations dans le système d’information de l’entité. Pour identifier les contrôles généraux informatiques, l’auditeur peut tenir compte non seulement des contrôles afférents aux actions posées par les utilisateurs finaux, mais aussi de ceux afférents aux actions posées par le personnel du service informatique ou par des fournisseurs de services informatiques. (NCA 315.Annexe 5.22)

Nature des contrôles généraux informatiques couramment mis en place pour chaque aspect de l’environnement informatique (NCA 315.Annexe 6.1)

a) Applications

Les contrôles généraux informatiques qui sont mis en place au niveau de la couche « applications informatiques » sont fonction de la nature et de l’étendue de la fonctionnalité des applications et des chemins d’accès qu’elles permettent d’emprunter. Ainsi, il y aura généralement plus de contrôles pertinents pour des applications informatiques hautement intégrées comportant des options de sécurité complexes que pour une application informatique patrimoniale qui ne sert que pour un petit nombre de soldes de comptes et dans laquelle l’accès s’effectue uniquement à partir des opérations.

b) Base de données

Les contrôles généraux informatiques qui sont mis en place au niveau de la couche « base de données » visent généralement à répondre aux risques découlant du recours à l’informatique qui concernent les mises à jour non autorisées des informations financières contenues dans la base de données au moyen d’un accès direct à celle‑ci ou de l’exécution d’un script ou d’un programme.

c) Système d’exploitation

Les contrôles généraux informatiques qui sont mis en place au niveau de la couche « système d’exploitation » visent généralement à répondre aux risques découlant du recours à l’informatique qui concernent les droits d’administrateur – droits qui peuvent faciliter le contournement d’autres contrôles. L’usurpation de l’authentifiant d’autres utilisateurs, l’ajout de nouveaux utilisateurs non autorisés, le téléchargement de logiciels malveillants et l’exécution de scripts ou d’autres programmes non autorisés en sont quelques exemples.

d) Réseau

Les contrôles généraux informatiques qui sont mis en place au niveau de la couche « réseau » visent généralement à répondre aux risques découlant du recours à l’informatique qui concernent la segmentation du réseau, l’accès à distance et l’authentification. Les contrôles du réseau peuvent être pertinents lorsque l’entité utilise des applications Web pour la présentation de l’information financière. Ces contrôles peuvent être pertinents lorsque les relations avec les partenaires commerciaux ou les tiers fournisseurs de services occupent une place importante dans les activités de l’entité, car cela peut faire augmenter le volume de données transmises et nécessiter un accès à distance.

Exemples de contrôles généraux informatiques pouvant être mis en place pour chaque type de processus informatique (NCA 315.Annexe 6.2)

a) Processus de gestion de l’accès

○ Authentification

Contrôles consistant à vérifier qu’un utilisateur accède à une application informatique ou à un autre élément de l’environnement informatique au moyen de son propre authentifiant (c’est-à-dire que celui‑ci n’utilise pas l’authentifiant d’un autre utilisateur).

○ Autorisation

Contrôles qui font que les utilisateurs ont uniquement accès aux informations dont ils ont besoin pour s’acquitter des responsabilités rattachées à leur poste, ce qui favorise une séparation des tâches appropriée.

○ Attribution

Contrôles attribuant des droits d’accès aux nouveaux utilisateurs et autorisant la modification des privilèges d’accès des utilisateurs existants.

○ Révocation

Contrôles révoquant les droits d’accès d’un utilisateur en cas de cessation d’emploi ou de mutation.

○ Accès privilégié

Contrôles afférents aux droits d’administrateur ou aux droits des utilisateurs avec pouvoir.

○ Examen des accès utilisateurs

Contrôles visant à évaluer ou à attester de nouveau l’autorisation continue des accès utilisateurs.

○ Paramètres de sécurité

Contrôles dont est généralement dotée chaque technologie consistant en des paramètres de configuration clés permettant de restreindre l’accès à l’environnement informatique.

○ Accès physique

Contrôles afférents à l’accès physique au centre de données et au matériel informatique afin d’éviter que cet accès puisse servir au contournement d’autres contrôles.

b) Processus de gestion des changements touchant les programmes ou d’autres changements apportés à l’environnement informatique

○ Processus de gestion des changements

Contrôles afférents au processus visant la conception, la programmation et la mise à l’essai de changements ainsi qu’à leur intégration à l’environnement de production (utilisateur final).

○ Séparation des tâches dans le cadre de l’intégration des changements à l’environnement de production

Contrôles visant la séparation des droits d’accès aux fins de l’apport de changements et de leur intégration à l’environnement de production.

○ Élaboration, acquisition ou mise en oeuvre des systèmes

Contrôles afférents à l’élaboration ou à la mise en oeuvre initiale des applications informatiques (ou en lien avec d’autres aspects de l’environnement informatique).

○ Conversion des données

Contrôles afférents à la conversion des données durant l’élaboration, la mise en oeuvre ou les mises à niveau de l’environnement informatique.

c) Processus de gestion des opérations informatiques

○ Planification des travaux

Contrôles afférents à l’accès permettant de planifier et de lancer des travaux ou des programmes pouvant avoir une incidence sur l’information financière.

○ Suivi des travaux

Contrôles mis en place pour assurer le suivi des travaux ou des programmes portant sur l’information financière en vue de leur bon déroulement.

○ Sauvegarde et récupération

Contrôles mis en place pour s’assurer que des sauvegardes des données liées à l’information financière ont lieu comme prévu et que ces données sont disponibles et rapidement récupérables en cas de panne ou d’attaque.

○ Détection des intrusions

Contrôles mis en place pour assurer la surveillance des points vulnérables de l’environnement informatique ou le suivi des intrusions dont il fait l’objet.

Directives du BVG

Les contrôles généraux informatiques (CGI) sont des contrôles afférents aux processus informatiques de l’entité qui contribuent à assurer le bon fonctionnement continu de l’environnement informatique, notamment le maintien du fonctionnement efficace des contrôles du traitement de l’information et l’intégrité (c’est-à-dire l’exhaustivité, l’exactitude et la validité) des informations se trouvant dans le système d’information de l’entité. (NCA 315.12(d)). Il est question, par exemple, des restrictions et des droits d’accès prévus dans la conception du système de contrôle interne de l’entité.

Les CGI comprennent habituellement l’octroi et le retrait de droits d’accès d’utilisateurs, l’administration de la sécurité, l’application de contrôles d’authentification (p. ex., mot de passe), la séparation des tâches et la surveillance des activités d’accès direct et de changements à la sécurité à l’intérieur et dans l’ensemble de l’environnement informatique. La présence de déficiences dans les CGI pourrait compromettre l’efficacité des contrôles mis en œuvre par la direction relativement à la séparation des tâches ou à d’autres objectifs de contrôle connexes, en permettant des droits d’accès inappropriés. Cet accès pourrait permettre l’apport de changements inappropriés à l’information conservée dans le système d’information de l’entité. Les risques découlant du recours à l’informatique mènent à la prise en compte des CGI qui répondent à ces risques. Des CGI bien conçus, mis en place et tenus à jour de façon appropriée jettent les bases sur lesquelles d’autres contrôles peuvent s’appuyer aux fins de la gestion de ces risques.

Exemple :

Le risque suivant a été identifié par rapport aux soldes des comptes clients d’une entité : « La méthode (y compris tout modèle), les hypothèses importantes et les données utilisées pour estimer les pertes de crédit attendues ne sont pas appropriées/raisonnables ». Les contrôles suivants répondant au risque ont été identifiés :

Détection, contrôle manuel de détection dépendant des TI : le gestionnaire des finances examine le rapport de classement chronologique des comptes clients généré par le système (qui est configuré de manière à répartir les factures en tranches d’âge) pour déterminer les soldes de clients impayés depuis longtemps et les problèmes connus dans le grand livre auxiliaire des créances ainsi que la provision pour créances douteuses correspondante afin de veiller à ce que les soldes des comptes aient des réserves suffisantes. Les écarts sont examinés et corrigés en temps opportun. L’auditeur applique le diagramme d’illustration dans la rubrique ci‑dessus, Identification des applications informatiques et d’autres aspects de l’environnement informatique, pour identifier les dépendances aux TI, les aspects connexes de l’environnement informatique qui sont vulnérables aux risques découlant du recours à l’informatique et les CGI connexes qui répondent à ces risques :

Dépendance aux TI Aspect de l’environnement informatique Risques découlant du recours à l’informatique CGI répondant à ces risques

Rapport : Rapport chronologique des comptes clients générés par le système

Calcul automatisé : attribution automatisée des factures dans les tranches d’âge

Application ABC utilisée pour gérer les produits et les comptes clients et pour créer le rapport chronologique des comptes clients

Des modifications non autorisées ou non testées, ou l’omission d’apporter les modifications nécessaires à la configuration des applications empêchent l’environnement informatique de traiter les enregistrements de transactions de manière complète et exacte.

Les comptes à risque élevé/donnant des pouvoirs (c.‑à‑d. l’accès des développeurs à l’environnement de production) permettent de contourner les contrôles relatifs aux modifications de programme.

  • Facteurs relatifs à l’ensemble des processus informatiques

  • Maintien à jour des politiques aux fins de la séparation des tâches au sein des TI

  • Modifications aux programmes : Les changements apportés à l’environnement informatique sont adéquatement testés et approuvés avant d’être transférés à l’environnement de production.

  • Accès aux programmes et aux données : Aucune personne ayant un accès de développeur n’a accès à l’environnement de production (ou si aucune séparation des tâches requise par le système n’est en place, il existe des contrôles de surveillance adéquats à l’égard des changements diffusés par les développeurs).

  • Accès aux programmes et aux données : Les opérations ou les activités liées aux applications des super utilisateurs ou des administrateurs et les identificateurs génériques de nature délicate sont soumis à un suivi.

Cet exemple démontre qu’un risque peut être traité par les CGI d’une entité, mais que ceux‑ci ne visent pas à répondre à l’ensemble des risques potentiels découlant du recours à l’informatique.

Il peut y avoir d’autres considérations et contrôles à tester pour permettre de s’appuyer sur ce rapport, selon l’approche de test déterminée. Par exemple, les contrôles en matière de traitement de l’information portant sur la préparation et la tenue à jour du rapport (voir la section BVG Audit 4028.4 pour obtenir des conseils sur les tests de la fiabilité de l’information produite par une application informatique).

Comme l’indique la section BVG Audit 5031, les contrôles au niveau de l’entité (CNE) fonctionnent au niveau de l’entité. Les facteurs relatifs à l’ensemble des processus informatiques sont des contrôles informatiques qui ont une incidence sur plus d’un processus opérationnel et qui sont pris en compte au moment d’évaluer l’efficacité du traitement de l’information ou des contrôles directs au niveau des transactions et au niveau de l’entité dans un processus opérationnel. L’auditeur détermine également si ces facteurs relatifs à l’ensemble des processus informatiques pourraient être liés à des risques généralisés. Voir la rubrique ci‑dessus, Identification des risques découlant du recours à l’informatique.

Les CGI aident à déterminer la fiabilité continue de l’information générée par les applications. Les CGI sont généralement classés dans quatre domaines, comme il est décrit ci‑dessous.

Domaine* Description
Accès aux programmes et aux données (sécurité) L’objectif de ce domaine consiste à veiller à ce que l’accès autorisé aux applications informatiques et à d’autres aspects de l’environnement informatique soit accordé uniquement lorsque l’identité d’un utilisateur est authentifiée. Les contrôles d’accès à l’environnement informatique englobent les processus utilisés par l’entité pour ajouter, supprimer et modifier des noms d’utilisateurs (les utilisateurs des opérations et le personnel informatique) et leurs droits d’accès connexes, selon les objectifs de contrôle établis dans la conception du contrôle (autrement dit, pour atteindre les objectifs de l’entité quant à l’accès restreint et à la séparation des tâches).
Modifications apportées aux programmes L’objectif de ce domaine consiste à veiller à ce que les modifications apportées aux applications informatiques et aux autres aspects de l’environnement informatique soient demandées, autorisées, exécutées, testées et mises en place de manière à atteindre les objectifs de la direction en matière de contrôles informatiques.
Développement de programmes

L’objectif de ce domaine consiste à veiller à ce que les applications informatiques et d’autres aspects de l’environnement informatique soient élaborés, configurés et mis en place de manière à atteindre les objectifs de la direction en matière de contrôle.

Cela comprend des contrôles portant sur des projets de développement, d’acquisition ou de mise en œuvre ainsi que des contrôles relatifs à la conversion de données.

Opérations informatiques L’objectif de ce domaine consiste à veiller à ce que l’information des applications informatiques et d’autres aspects de l’environnement informatique soient traitée de façon exhaustive et exacte, conformément aux objectifs de la direction en matière de contrôle, et à ce que les problèmes de traitement soient détectés et réglés de façon exhaustive et exacte pour assurer l’intégrité des données financières.

*Les domaines des CGI couvrent l’environnement informatique dans son ensemble et se rapportent aux processus informatiques présentés dans la NCA 315, conformément à la mise en correspondance dans la rubrique Aperçu ci‑dessus.

En ce qui concerne les risques découlant du recours à l’informatique par une entité, l’auditeur examine lequel des quatre domaines des CGI peut être pertinent. Par exemple, dans le cas d’une entité qui s’appuie sur un certain nombre d’applications, le domaine Développement de programmes ne peut être pertinent que lorsque des projets importants de développement, de mise en œuvre ou de conversion ont une incidence sur le risque d’anomalies significatives. Se reporter à la rubrique sur les domaines des CGI ci‑dessous pour obtenir des conseils sur chaque domaine des CGI.

Le tableau suivant présente quelques exemples de CGI couramment mis en place en vue de répondre aux risques découlant du recours à l’informatique, classés par domaine informatique.

Exemple de risques découlant du recours à l’informatique Domaine informatique Exemples de CGI mis en place en vue de répondre aux risques découlant du recours à l’informatique
  • Les utilisateurs finaux des applications contournent les contrôles de la séparation des tâches et de l’autorisation appliqués par les systèmes

  • Des comptes à risque élevé/donnant des pouvoirs (p. ex. super utilisateurs) permettent de contourner les contrôles de la séparation des tâches et de l’autorisation appliqués par les systèmes

  • Des changements directs inappropriés sont faits aux enregistrements d’opérations et/ou aux données de base connexes

  • À cause de la faiblesse des contrôles des mots de passe ou de la déficience des configurations de sécurité, les droits d’accès peuvent être contournés

  • Rien n’empêche un accès physique non autorisé aux installations, à l’équipement et aux ressources

Accès aux programmes et aux données
  • Les demandes d’accès à l’application sont examinées avec soin et autorisées par la direction

  • Le caractère approprié des droits d’accès aux applications fait l’objet d’un suivi périodique

  • Les opérations ou les activités liées aux applications des super utilisateurs ou des administrateurs et les identificateurs génériques de nature délicate sont soumis à un suivi

  • Des outils ont été déployés en vue de détecter les événements anormaux et les signaler à l’équipe d’intervention en cas d’incident (p. ex., pour les incidents cybernétiques)

  • Des mesures de sécurité matérielle sont en place

  • Des modifications non autorisées ou non testées, ou l’omission d’apporter les modifications nécessaires empêchent l’environnement informatique de traiter les enregistrements de transactions de manière complète et exacte

  • Des changements directs inappropriés sont faits aux données ou à la structure de base de données

Modifications apportées aux programmes
  • Les changements apportés à l’environnement informatique sont adéquatement testés et approuvés avant d’être transférés à l’environnement de production

  • Le caractère approprié des modifications apportées à l’environnement informatique fait l’objet d’un suivi périodique

Ces contrôles liés au changement s’appliquent à tous les aspects de l’environnement informatique, p. ex., applications, configurations d’applications, bases de données, systèmes d’exploitation, réseaux, processus par lots.

  • Des changements directs de données ou de la structure de base de données sont évités

  • Les systèmes nouvellement implantés (ou améliorés en profondeur) traitent les données de manière incomplète ou inexacte (p. ex. en raison d’erreurs de codage ou de configuration)

  • Les transactions enregistrées et/ou les données de base ne sont pas transférées en totalité et avec exactitude

Développement de programmes
  • Les nouveaux systèmes et les améliorations sont adéquatement testés et approuvés avant d’être transférés à l’environnement de production

  • Une formation appropriée est offerte

  • Présence de changements inappropriés, intervention manuelle ou manquements en rapport avec les traitements des lots

  • Le transfert des transactions enregistrées entre des systèmes est incomplet ou inexact

  • Des transactions enregistrées sont perdues (p. ex., en raison d’une défaillance du système) et des données sont irrécupérables ou corrompues/inscrites en double lors du processus de récupération

  • Rien n’empêche un accès physique non autorisé aux installations, à l’équipement et aux ressources

  • Les cyberattaques et les attaques par rançongiciel exploitent les vulnérabilités, entraînant ainsi la manipulation ou la destruction de données, ce qui compromet les états financiers ou la disponibilité du système et, par le fait même, la présentation de l’information financière en temps opportun

  • Les systèmes non corrigés mènent à l’exploitation de vulnérabilités, entraînant ainsi la manipulation ou la destruction de données, ce qui compromet les états financiers ou la disponibilité du système et, par le fait même, la présentation de l’information financière en temps opportun

  • Les attaques par rançongiciel rendent les systèmes inaccessibles, ce qui a une incidence sur la disponibilité des systèmes et sur la capacité de l’entité à préparer l’information financière en temps opportun

Opérations informatiques
  • Les données sont sauvegardées et récupérables

  • Un programme de prévention et de détection des intrusions est en place pour veiller à ce que les incidents de sécurité soient surveillés et signalés aux parties prenantes pertinentes

  • Un programme de gestion des correctifs est en place pour veiller à ce que les vulnérabilités de sécurité soient traitées, surveillées et signalées

  • Les données financières importantes sont sauvegardées à intervalles appropriés, et la capacité de les récupérer est périodiquement testée

Voir la rubrique Considérations relatives à l’évaluation des risques liés à la cybersécurité ci‑dessous pour un examen plus approfondi des risques et des contrôles liés à la cybersécurité qui pourraient avoir une incidence sur un ou plusieurs des domaines des CGI.

Accès aux programmes et aux données

Directives des NCA

Exemples de contrôles généraux informatiques pouvant être mis en place pour chaque type de processus informatique (NCA 315.Annexe 6.2(a))

Processus de gestion de l’accès :

○ Authentification

Contrôles consistant à vérifier qu’un utilisateur accède à une application informatique ou à un autre élément de l’environnement informatique au moyen de son propre authentifiant (c’est-à-dire que celui‑ci n’utilise pas l’authentifiant d’un autre utilisateur).

○ Autorisation

Contrôles qui font que les utilisateurs ont uniquement accès aux informations dont ils ont besoin pour s’acquitter des responsabilités rattachées à leur poste, ce qui favorise une séparation des tâches appropriée.

○ Attribution

Contrôles attribuant des droits d’accès aux nouveaux utilisateurs et autorisant la modification des privilèges d’accès des utilisateurs existants.

○ Révocation

Contrôles révoquant les droits d’accès d’un utilisateur en cas de cessation d’emploi ou de mutation.

○ Accès privilégié

Contrôles afférents aux droits d’administrateur ou aux droits des utilisateurs avec pouvoir.

○ Examen des accès utilisateurs

Contrôles visant à évaluer ou à attester de nouveau l’autorisation continue des accès utilisateurs.

○ Paramètres de sécurité

Contrôles dont est généralement dotée chaque technologie consistant en des paramètres de configuration clés permettant de restreindre l’accès à l’environnement informatique.

○ Accès physique

Contrôles afférents à l’accès physique au centre de données et au matériel informatique afin d’éviter que cet accès puisse servir au contournement d’autres contrôles.

Des exemples de risques découlant du recours à l’informatique et des exemples de contrôles généraux informatiques qui peuvent être mis en place pour y répondre, selon la nature de l’application informatique concernée, sont présentés dans le tableau ci‑après.

Risques Contrôles Applications informatiques
Exemples de risques découlant du recours à l’informatique Exemples de contrôles généraux informatiques Applicables aux logiciels commerciaux peu complexes? Applicables aux logiciels commerciaux ou aux applications informatiques de moyenne envergure et modérément complexes? Applicables aux applications informatiques de grande envergure ou complexes (par exemple, progiciels de gestion intégrés)?
Privilèges d’accès : Utilisateurs détenant des privilèges d’accès supérieurs à ceux qui sont nécessaires pour l’exercice de leurs fonctions, ce qui peut compromettre la séparation des tâches. La nature et l’étendue des privilèges d’accès modifiés ou nouvellement attribués sont approuvées par la direction, notamment en ce qui concerne les rôles/profils standardisés d’utilisateurs des applications, les opérations donnant lieu à des informations financières critiques et la séparation des tâches. Oui, au lieu de l’examen des accès utilisateurs mentionné ci‑après Oui Oui
Les droits d’accès sont rapidement révoqués ou modifiés en cas de cessation d’emploi ou de mutation de l’utilisateur. Oui, au lieu de l’examen des accès utilisateurs mentionnés ci‑après Oui Oui
Les accès utilisateurs font l’objet d’un examen périodique. Oui, au lieu des contrôles axés sur l’attribution et la révocation des droits d’accès décrits ci‑dessus Oui, pour certaines applications Oui
La séparation des tâches fait l’objet d’un suivi et les droits d’accès incompatibles sont soit abolis, soit mis en correspondance avec des contrôles d’atténuation des risques consignés par écrit et testés. S. O., le système n’est pas doté de fonctionnalités visant à assurer la séparation des tâches Oui, pour certaines applications Oui
Les privilèges d’accès (par exemple, les droits d’administrateurs permettant de gérer la configuration, les données et la sécurité) sont strictement attribués aux utilisateurs autorisés. Oui, mais probablement seulement au niveau de la couche « applications informatiques » Oui, au niveau de la couche « applications informatiques » et de certaines couches « environnement informatique » de la plateforme Oui, à toutes les couches « environnement informatique » de la plateforme
Accès direct aux données : Possibilité de modifier les données financières de façon inappropriée sans qu’une opération soit enregistrée dans une application. L’accès aux fichiers de données des applications ou aux objets, tables ou données des bases de données est limité aux utilisateurs autorisés, en fonction des responsabilités et du rôle qui leur incombent, et cet accès est approuvé par la direction. S. O. Oui, pour certaines applications et bases de données Oui
Configuration des systèmes :
Systèmes qui, faute d’être configurés ou mis à jour de façon adéquate, ne permettent pas de restreindre l’accès aux seuls utilisateurs appropriés et dûment autorisés.
Pour accéder aux systèmes, les utilisateurs doivent s’authentifier au moyen de codes d’utilisateur et de mots de passe uniques ou d’autres mécanismes de validation des droits d’accès. Les paramètres des mots de passe répondent aux normes de l’entreprise ou du secteur (longueur minimale et niveau de complexité exigés, expiration du mot de passe, verrouillage du compte, etc.). Oui, authentification par mot de passe uniquement Oui, authentification par mot de passe et authentification multifactorielle Oui
Les attributs clés des paramètres de sécurité sont mis en place de façon appropriée. S. O., aucun paramètre de sécurité Oui, pour certaines applications et bases de données Oui

Directives du BVG

Accès aux programmes et aux données* – Objectif du domaine :

Veiller à ce que l’accès autorisé aux applications informatiques et à d’autres aspects de l’environnement informatique soit accordé uniquement lorsque l’identité d’un utilisateur est authentifiée. Les contrôles d’accès à l’environnement informatique englobent les processus utilisés par l’entité pour ajouter, supprimer et modifier des noms d’utilisateurs (les utilisateurs des opérations et le personnel informatique) et leurs droits d’accès connexes, selon les objectifs de contrôle établis dans la conception du contrôle (autrement dit, pour atteindre les objectifs de l’entité quant à l’accès restreint et à la séparation des tâches).

*Le domaine Accès aux programmes et aux données couvre l’accès à l’environnement informatique dans son ensemble et se rapporte au domaine « Gestion de l’accès » de la NCA 315, conformément à la mise en correspondance présentée à la rubrique Aperçu ci‑dessus.

Lorsqu’il s’agit de comprendre les contrôles d’accès à l’environnement informatique, l’auditeur cherche généralement à comprendre les risques pour la sécurité de l’entité, la stratégie qu’elle a adoptée en matière de sécurité et les aspects pertinents de son architecture de sécurité propre à l’informatique (p. ex. ouverture de session unique pour se connecter au réseau en comparaison à des mesures de sécurité propres aux applications), et ce, avant de déterminer quelles couches de sécurité et quels contrôles de l’accès sont importants pour répondre aux risques découlant du recours à l’informatique qui ont été identifiés (c.‑à‑d. les risques liés l’informatique pertinents pour la préparation des états financiers).

Les sous-composantes du domaine Accès aux programmes et aux données comportent habituellement les éléments suivants :

  • gestion des activités de sécurité;
  • administration de la sécurité;
  • accès direct aux données (bases de données ou fichiers de données)
  • sécurité du système d’exploitation;
  • programmes utilitaires (p. ex., ordonnanceurs, outils de production de rapports)
  • sécurité du réseau;
  • sécurité du matériel.

Voici des exemples de CGI qui peuvent servir à gérer l’accès à l’environnement informatique : (NCA 315, annexe 6.2(a)):

  • Authentification
  • Autorisation
  • Attribution
  • Révocation
  • Accès privilégié
  • Examens des accès utilisateurs

Lorsqu’il acquiert une compréhension de ce qui précède, l’auditeur doit prendre en compte que certaines sous-composantes et certains CGI peuvent ne pas s’appliquer à chaque entité et que d’autres facteurs de risque peuvent exister. La manière dont l’accès est demandé, autorisé et contrôlé varie d’une entité à l’autre, en fonction de la taille et de la complexité de l’environnement et du volume et des types d’accès traités.

L’auditeur doit envisager d’utiliser les guides pratiques et les programmes de travail de la plateforme technique applicables pour l’aider à évaluer les contrôles d’accès dans le domaine de l’accès aux programmes et aux données.

L’auditeur acquiert cette compréhension des sous-composantes et des CGI pour l’aider à déterminer quelles couches de contrôles de sécurité sont pertinentes pour la préparation des états financiers et obtenir des éléments probants sur la présence et l’application des éléments les plus importants. Par exemple, les contrôles de la sécurité du périmètre ou du piratage, comme les pare‑feu et les systèmes de détection des intrusions, peuvent être pertinents pour la préparation des états financiers s’il existe des risques significatifs liés à l’information financière qui ne sont pas adéquatement couverts par la sécurité au niveau de l’application à elle seule. De plus, si des applications utilitaires comme des ordonnanceurs ou des outils de production de rapports sont utilisés pour appuyer des rapports ou des interfaces clés, ces applications utilitaires peuvent être pertinentes pour la préparation des états financiers. Le graphique suivant illustre les différentes couches de sécurité dans l’environnement informatique :

Diagramme grandeur réelle

Accès direct aux bases de données ou aux fichiers de données

L’accès aux données est un aspect courant et essentiel de l’exploitation de la plupart des systèmes comptables informatisés. Cependant, la direction doit mettre en place un ensemble équilibré de contrôles pour atténuer les risques d’anomalies significatives dans les états financiers provenant de modifications non autorisées ou erronées apportées aux données comptables par l’accès direct aux données. En général, l’auditeur concentre son évaluation des risques liés à l’accès direct aux données sur les couches des bases de données ou des applications. Le risque lié à l’accès direct aux données au niveau du système d’exploitation est généralement moins élevé, car les données ne devraient pas être conservées ni consultées directement au niveau du système d’exploitation. Comme l’illustre la figure ci‑dessus, tous ces éléments se trouvent dans le réseau interne. Le réseau périmétrique et les activités relatives à la sécurité sont les endroits où se produisent les passages à l’environnement informatique externe et à l’environnement Web (p. ex., Internet). Comme il a été mentionné ci‑dessus, c’est dans le réseau périmétrique que les contrôles de prévention et de détection des intrusions et de surveillance sont établis aux fins de prévention des attaques (p. ex., rançongiciel) qui peuvent empêcher l’entité d’accéder à son infrastructure ou à ses données essentielles. D’autres risques et contrôles en matière de cybersécurité peuvent avoir trait à l’accès aux programmes et aux données, ou à d’autres domaines des CGI. Pour obtenir des directives supplémentaires sur les risques et les contrôles en matière de cybersécurité, voir la rubrique Considérations relatives à l’évaluation des risques liés à la cybersécurité ci‑dessous.

Quand l’accès aux données est restreint aux utilisateurs autorisés des services informatiques, les risques opérationnels, tels qu’un arrêt accidentel du système ou la restauration incorrecte de données, d’interfaces ou de programmes, tendent à être plus élevés que les risques d’anomalie intentionnelle ou d’autres types de fraude. Si le personnel responsable de l’information financière (p. ex., le contrôleur financier) peut directement changer des données, l’auditeur pourrait devoir déterminer s’il s’agit d’un indicateur de risque de fraude potentiel. Pour évaluer les risques liés à l’accès privilégié, il faut examiner la probabilité que surviennent ces risques, et non pas uniquement leur ampleur.

Les considérations suivantes peuvent être utiles pour identifier les CGI dans le domaine de l’accès aux programmes et aux données qui répondent aux risques découlant du recours à l’informatique par une entité. Voir la rubrique Identification des risques découlant du recours à l’informatique ci‑dessus pour de plus amples renseignements sur l’identification des risques découlant du recours à l’informatique. Il est à noter que certains points ne sont pas pertinents pour toutes les entités et qu’il y aura peut-être lieu d’examiner d’autres facteurs de risque possibles.

Le tableau ci‑dessous présente des exemples de risques et de points à considérer pour l’audit, répartis par sous-composante et faisant référence aux CGI dont il est question.

Risque* Points à considérer pour l’audit
Les utilisateurs finaux des applications contournent les contrôles de la séparation des tâches et de l’autorisation appliqués par les systèmes.

Administration de la sécurité

  • Les droits d’accès ont‑ils été définis et établis par des gestionnaires des TI et des unités opérationnelles au niveau approprié pour que les objectifs de contrôle pertinents soient réalisés, y compris les objectifs relatifs à la séparation des tâches tant dans les processus informatiques que dans les processus opérationnels? Examiner l’accès à ce qui suit :

    • Applications
    • Données des applications en dehors des applications (p. ex. dans une base de données)
    • Système d’exploitation
    • Autres aspects de l’environnement informatique (p. ex., le réseau, les interfaces entre les applications)
  • Comment la direction a‑t‑elle conçu les contrôles de l’administration de la sécurité pour que les droits d’accès dans les domaines suivants soient correctement accordés, modifiés et supprimés, au besoin, sur approbation donnée par le personnel de direction approprié?

    • Applications
    • Données des applications en dehors des applications (p. ex. dans une base de données)
    • Système d’exploitation
    • Autres aspects de l’environnement informatique (p. ex., dans le réseau)
  • Comment la fonction d’administration de la sécurité facilite-t-elle les examens périodiques des accès des utilisateurs par les gestionnaires des unités pour vérifier que les droits d’accès restent compatibles avec les responsabilités professionnelles dans les domaines suivants?

    • Applications
    • Données des applications en dehors des applications (p. ex. dans une base de données)
    • Système d’exploitation
    • Autres aspects de l’environnement informatique (p. ex., le réseau, les interfaces entre les applications)
  • Comment la direction a‑t‑elle défini les objectifs relatifs à la séparation des tâches à l’intérieur des processus opérationnels et les a‑t‑elle liés aux droits d’accès aux examens périodiques et à l’approbation?

Des comptes à risque élevé/donnant des pouvoirs (p. ex. super utilisateurs) permettent de contourner les contrôles de la séparation des tâches et de l’autorisation appliqués par les systèmes.

Gestion des activités de sécurité

  • Comment la direction s’assure-t-elle que la gestion des unités opérationnelles est dûment incluse dans la fonction de sécurité de l’information du point de vue de la responsabilité des données?

  • Comment la direction a‑t‑elle documenté et communiqué les rôles et les responsabilités en matière de sécurité?

  • Comment la direction a‑t‑elle défini, documenté et communiqué les politiques et les procédures en matière de sécurité qui sont applicables à l’ensemble de l’environnement informatique?

  • Comment la direction s’assure-t-elle que les politiques et les procédures en matière de sécurité sont mises à jour régulièrement au rythme des modifications apportées à l’environnement informatique?

  • Comment la direction forme-t-elle les utilisateurs des TI et des processus opérationnels au sujet de leurs responsabilités en matière de sécurité et au sujet des politiques et des procédures dans ce domaine?

Sécurité du réseau

  • Comment la direction s’assure-t-elle que les contrôles d’authentification (p. ex. les contrôles des mots de passe, l’assignation d’utilisateurs à des groupes, l’accès à distance) sont intégrés dans la configuration du réseau?

  • Comment la direction s’assure-t-elle que les contrôles de sécurité appropriés sont pris en compte pour toutes les modifications à la conception du réseau interne et externe?

  • Comment la direction surveille-t-elle les incidents de sécurité potentiels qui frappent le réseau interne et externe et comment y répond-elle?

Rien n’empêche un accès non autorisé aux installations, à l’équipement et aux ressources.

Sécurité du matériel

Des contrôles de la sécurité pourraient être nécessaires dans certains environnements pour que les systèmes d’une organisation soient protégés contre tout accès physique non autorisé. Il y aurait peut-être lieu de se poser la question suivante :

  • Comment la direction s’assure-t-elle que l’accès physique est restreint pour les installations qui fournissent un accès logique aux aspects de l’environnement informatique identifiés comme étant vulnérables aux risques découlant du recours à l’informatique?

Des changements directs inappropriés sont faits aux enregistrements d’opérations et/ou aux données de base connexes.

Sécurité des données

  • Comment la direction s’assure-t-elle que toutes les méthodes d’accès directs aux données (p. ex. accès de l’extérieur d’une application) ont été définies et prises en compte au moment de concevoir les contrôles d’administration et de surveillance de la sécurité? Facteurs à considérer :

    • Les commandes du système d’exploitation accessibles pour changer l’information dans les fichiers de données ou les bases de données.
    • Les comptes de l’administrateur du système d’exploitation, de l’administrateur des bases de données et d’autres utilisateurs pourvus de privilèges qui peuvent être utilisés pour changer des données, mais qui ne figureraient pas dans les listes des utilisateurs ayant des droits d’accès à certains fichiers de données ou bases de données.
    • Les capacités de l’administration de la sécurité du système d’exploitation et des bases de données qui sont utilisables pour accorder l’accès à certains fichiers de données ou bases de données.
    • Les générateurs de rapport et autres programmes utilitaires qui peuvent être utilisés pour changer les données en dehors des systèmes des applications.
  • Comment la direction s’assure-t-elle que les environnements des données sont configurés de manière à restreindre l’accès comme il se doit aux :

    • fichiers de données et bases de données des applications importantes sur le plan financier;
    • commandes de système d’exploitation qui peuvent être utilisées pour changer l’information dans les fichiers de données et les bases de données;
    • comptes de l’administrateur du système d’exploitation, de l’administrateur des bases de données et d’autres utilisateurs dotés de privilèges qui peuvent être utilisés pour changer des données, mais qui ne figureraient pas dans les listes des utilisateurs ayant des droits d’accès à certains fichiers de données ou bases de données;
    • capacités d’administration de la sécurité du système d’exploitation et des bases de données qui peuvent être utilisées pour accorder l’accès à certains fichiers de données ou bases de données;
    • générateurs de rapport et autres programmes utilitaires qui peuvent être utilisés pour changer les données en dehors des systèmes des applications.
À cause de la faiblesse des contrôles des mots de passe ou de la déficience des configurations de sécurité, les droits d’accès peuvent être contournés. Sécurité des systèmes d’exploitation
  • Comment la direction s’assure-t-elle que les paramètres de configuration de sécurité sont changés de manière contrôlée et restent cohérents avec la conception prévue (p. ex. paramètres de sécurité globaux, paramètres de mot de passe, continuité des services)?

  • Comment la direction revoit-elle périodiquement l’accès au système d’exploitation pour vérifier que le processus d’administration de la sécurité fonctionne comme prévu et que l’accès reste compatible avec les responsabilités professionnelles?

*Voir la rubrique Considérations relatives à l’évaluation des risques liés à la cybersécurité ci‑dessous pour un examen plus approfondi des risques et des contrôles liés à la cybersécurité qui pourraient avoir une incidence sur un ou plusieurs des domaines des CGI.

Modifications apportées aux programmes

Directives des NCA

Exemples de contrôles généraux informatiques pouvant être mis en place pour chaque type de processus informatique (NCA 315.Annexe 6.2(b))

Processus de gestion des changements touchant les programmes ou d’autres changements apportés à l’environnement informatique

○ Processus de gestion des changements

Contrôles afférents au processus visant la conception, la programmation et la mise à l’essai de changements ainsi qu’à leur intégration à l’environnement de production (utilisateur final).

○ Séparation des tâches dans le cadre de l’intégration des changements à l’environnement de production

Contrôles visant la séparation des droits d’accès aux fins de l’apport de changements et de leur intégration à l’environnement de production.

Des exemples de risques découlant du recours à l’informatique et des exemples de contrôles généraux informatiques qui peuvent être mis en place pour y répondre, selon la nature de l’application informatique concernée, sont présentés dans le tableau ci‑après.

Risques Contrôles Applications informatiques
Exemples de risques découlant du recours à l’informatique Exemples de contrôles généraux informatiques Applicables aux logiciels commerciaux peu complexes? Applicables aux logiciels commerciaux ou aux applications informatiques de moyenne envergure et modérément complexes? Applicables aux applications informatiques de grande envergure ou complexes (par exemple, progiciels de gestion intégrés)?
Applications : Modification inappropriée des systèmes/programmes d’application dotés de contrôles automatisés pertinents (paramètres configurables, algorithmes/calculs automatisés, extraction automatisée des données, etc.) ou de fonctionnalités logiques permettant de générer des rapports. Les modifications apportées aux applications sont rigoureusement testées et approuvées avant d’être intégrées à l’environnement de production. S. O., si l’on s’est assuré qu’aucun code source n’est accessible Oui, s’il s’agit de logiciels non commerciaux Oui
La possibilité d’intégrer des changements à l’environnement de production des applications est rigoureusement restreinte et il y a séparation des tâches par rapport à l’environnement de développement. S. O. Oui, s’il s’agit de logiciels non commerciaux Oui
Bases de données : Modification inappropriée de la structure des bases de données et des corrélations entre les données. Les modifications apportées aux bases de données sont rigoureusement testées et approuvées avant d’être intégrées à l’environnement de production. S. O., aucune modification apportée aux bases de données au sein de l’entité Oui, s’il s’agit de logiciels non commerciaux Oui
Logiciels de base : Modification inappropriée des logiciels de base (par exemple, système d’exploitation, réseau, logiciel de gestion des changements, logiciel de contrôle d’accès). Les modifications apportées aux logiciels de base sont rigoureusement testées et approuvées avant d’être intégrées à l’environnement de production. S. O., aucune modification apportée aux logiciels de base au sein de l’entité Oui Oui

Directives du BVG

Modifications aux programmes* - Objectif du domaine :

Veiller à ce que les modifications apportées aux applications informatiques et aux autres aspects de l’environnement informatique soient demandées, autorisées, exécutées, testées et mises en place de manière à atteindre les objectifs de la direction en matière de contrôle.

*Le domaine Modifications aux programmes couvre les changements apportés à l’environnement informatique dans son ensemble et se rapporte au domaine « Gestion des changements » de la NCA 315, conformément à la mise en correspondance présentée à la rubrique Aperçu. Remarque : Le développement et la conversion des données sont abordées dans le domaine du développement de programmes ci‑après.

L’entité doit démontrer, avec une assurance raisonnable, que des contrôles suffisants des modifications sont exécutés de façon constante pour tous les aspects de l’environnement informatique, ce qui comprend les applications informatiques, le réseau, les bases de données ou les systèmes d’exploitation qui sont vulnérables aux risques découlant du recours à l’informatique. Les sous-composantes du domaine Modifications aux programmes comprendraient généralement ce qui suit :

  • gestion des activités de maintenance;
  • caractéristiques, autorisation et suivi des demandes de modification;
  • construction;
  • tests et assurance de la qualité;
  • implantation du programme;
  • documentation et formation;
  • modifications de données;
  • séparation des tâches.

Voici des exemples de CGI qui peuvent servir à la gestion des changements apportés à l’environnement informatique (NCA 315, annexe 6.2(b)) :

  • processus de gestion du changement;
  • séparation des tâches dans le cadre de l’intégration des changements à l’environnement de production.

Lorsqu’il acquiert une compréhension de ce qui précède, l’auditeur doit prendre en compte que certaines sous-composantes et certains CGI peuvent ne pas s’appliquer à chaque entité et que d’autres facteurs de risque peuvent exister. La manière dont les modifications sont relevées, suivies et contrôlées varie d’une entité à l’autre, en fonction de la taille et de la complexité de l’environnement et du volume et des types de modifications traitées. Lorsqu’il détermine son approche pour gérer le risque associé aux modifications apportées au programme, l’auditeur acquiert une compréhension de la nature des modifications apportées pendant la période visée l’audit (p. ex., changements apportés au code source, à la configuration des bases de données ou des systèmes d’exploitation, changements apportés aux données, etc.).

Lorsque l’auditeur examine les risques découlant du recours à l’informatique associés aux changements informatiques, il commence par acquérir une compréhension de la nature des changements apportés au cours de la période visée par l’audit (c’est-à-dire les modifications au code source, à la configuration de la base de données ou des systèmes d’exploitation, etc.) aux applications et à d’autres aspects de l’environnement informatique identifiés. Lorsque les changements ont une incidence sur les dépendances aux TI identifiées, l’auditeur peut choisir de s’appuyer sur les contrôles des modifications pour répondre aux risques découlant du recours à l’informatique. La capacité de l’entité de savoir si un contrôle de traitement de l’information automatisé ou un contrôle manuel dépendant des TI clé a été modifié, et quand il l’a été, constitue un élément important de l’efficacité des contrôles sur les modifications, que l’auditeur ait envisagé ou non de le tester dans le processus de modifications et que les contrôles des modifications aient été appliqués ou non de manière uniforme. Cela exige habituellement qu’un certain lien soit établi entre les activités de modifications informatiques et l’imputabilité et la surveillance dans leur ensemble. Il s’agit aussi d’un critère essentiel, non seulement pour appuyer une stratégie d’étalonnage (comme il est décrit à la section BVG Audit 6054), mais également pour se servir des tests des CGI comme fondement à un appui sur l’efficacité du fonctionnement continu des contrôles du traitement de l’information et des contrôles informatiques manuels durant la période d’audit en cours. On peut restreindre considérablement ou éliminer les tests des contrôles sur les modifications si le risque de modifications importantes à une application clé est faible. Cela peut se faire, par exemple, au cours du processus d’identification des risques où le logiciel standard utilisé par le client n’a pas été personnalisé ou si d’autres éléments probants fiables démontrent qu’un contrôle pertinent automatisé ou un contrôle manuel dépendant des TI n’a pas été modifié depuis la dernière fois où il a fait l’objet de tests (p. ex. un rapport du système ou un élément probant sur lequel figure la date de la dernière modification).

Détermination de la population entière de modifications apportées aux programmes

Lorsque l’environnement informatique de l’entité produit des éléments probants fiables (c.‑à‑d. une piste d’audit) concernant la population entière de modifications, il est plus facile de suivre et de vérifier que toutes les modifications pertinentes ont été soumises aux contrôles sur les modifications de l’entité. Par exemple, si un rapport fiable sur toutes les dates de compilation des modifications mises en production est disponible, il est plus facile pour la direction de démontrer que le processus de contrôle a été suivi pour toutes les modifications.

Cependant, les environnements informatiques ne sont pas tous conçus pour produire des renseignements fiables et automatisés au sujet de la population de modifications. Certains consigneront uniquement la date de la dernière modification. D’autres peuvent consigner toutes les modifications, mais il se peut aussi que les personnes ayant un accès direct à l’environnement de production soient capables de contourner cette procédure ou d’écraser les données enregistrées. L’absence de données générées par l’environnement informatique au sujet des modifications n’empêche pas la direction de démontrer, avec une assurance raisonnable, que les contrôles des modifications de l’entité sont appliqués de façon constante aux modifications pertinentes. Certains facteurs à examiner pour déterminer s’il y a une assurance raisonnable que toutes ces modifications ont été prises en charge correctement comprennent généralement :

  • les types d’applications utilisés, si l’entité a accès au code source et la nature et le volume des modifications courantes;

  • si les modifications font l’objet d’un suivi rigoureux par voie électronique ou manuelle, par des parties indépendantes des personnes qui demandent ou apportent les modifications, au moyen de données ne pouvant être modifiées par ces personnes;

  • si des environnements distincts sont maintenus pour l’élaboration, les tests et la production, et si seules les personnes autorisées ont accès à chacun de ces environnements;

  • si les responsabilités sont réparties adéquatement, de sorte que la personne responsable du repérage, du suivi et de la présentation de l’information sur l’état des demandes de modifications n’assume pas de responsabilités sur le plan comptable ou financier;

  • si un enregistrement automatisé de la « piste d’audit » est activé pour l’environnement informatique.

Les directives ci‑dessous peuvent être prises en compte lors de l’évaluation des risques découlant du recours à l’informatique; voir la rubrique Identification des risques découlant du recours à l’informatique pour obtenir de plus amples renseignements sur l’identification de tels risques. Les points à considérer suivants pourraient guider l’auditeur dans l’identification des CGI dans ce domaine qui répondent aux risques découlant du recours à l’informatique identifiés au sein de l’entité. Il est à noter que certains points ne sont pas pertinents pour toutes les entités et qu’il y aura peut-être lieu d’examiner d’autres facteurs de risque. Par exemple, les risques liés à la cybersécurité et les contrôles connexes peuvent être liés aux modifications de programmes ou à d’autres domaines des CGI. Voir la rubrique Considérations relatives à l’évaluation des risques liés à la cybersécurité pour obtenir des directives supplémentaires sur les risques liés à la cybersécurité et les contrôles connexes.

Le tableau ci‑dessous présente des exemples de risques et de points à considérer pour l’audit, répartis par sous-composante et faisant référence aux CGI dont il est question.

Risque* Points à considérer pour l’audit
Des modifications non autorisées ou non testées, ou l’omission d’apporter les modifications nécessaires à la configuration des applications, aux traitements par lots, au système d’exploitation ou au réseau empêchent les systèmes de traiter les enregistrements de transactions de manière complète et exacte.

Gestion des activités de maintenance

  • Comment la direction s’assure-t-elle qu’un processus contrôlé est suivi pour toutes les modifications apportées aux systèmes pour tous les programmes des applications, composantes d’infrastructure, unités de gestion et emplacements?

  • Comment la direction a‑t‑elle documenté et communiqué les politiques et les procédures de gestion des modifications?

  • Comment la direction a‑t‑elle documenté et communiqué les rôles et les responsabilités en rapport avec la gestion des modifications?

  • Comment la direction surveille-t-elle la conformité aux contrôles des modifications apportées aux programmes?

Caractéristiques, autorisation et suivi des demandes de modification

  • Comment la direction s’assure-t-elle que toutes les demandes de modifications des utilisateurs sont saisies?

  • Comment la direction s’assure-t-elle que toutes les demandes de modifications des utilisateurs portent une preuve qu’elles ont été autorisées au niveau de gestion approprié?

  • Comment la direction s’assure-t-elle que les demandes découlant des activités de résolution des problèmes sont traitées aussi bien que les demandes de modifications des utilisateurs?

  • Comment la direction traite-t-elle l’incidence possible des modifications demandées sur les contrôles internes de l’information financière?

Les contrôles de construction garantissent que les modifications sont élaborées et exécutées en appui à la réalisation des objectifs de contrôle des applications de la direction. Questions à examiner :

  • Comment la direction s’assure-t-elle de l’utilisation des normes de programmation pour les applications maison?

  • Comment la direction s’assure-t-elle qu’un contrôle des versions est en place pour l’ensemble des applications informatiques et des autres aspects de l’environnement informatique?

  • Comment la direction s’assure-t-elle que les dépendances entre et parmi les applications intégrées et les fichiers de données sont définies et prises en compte?

Tests et assurance de la qualité

  • Comment la direction détermine-t-elle la nature et l’étendue des tests pour chaque modification (par exemple, test unitaire, essai par les utilisateurs, test de régression)?

  • Comment la direction s’assure-t-elle que les tests effectués visent à la fois les modifications apportées et les fonctions importantes du système qui ne devaient pas être modifiées?

  • Comment la direction s’assure-t-elle que les bons utilisateurs et gestionnaires participent aux tests afin que l’incidence des modifications sur les contrôles internes de l’information financière soit traitée correctement?

  • Comment la direction obtient-elle la preuve que les modifications ont été acceptées par les utilisateurs avant la mise en production?

  • Comment la direction s’assure-t-elle que la migration du code entre les environnements logiques est contrôlée?

  • Comment la direction s’assure-t-elle que les paramètres de configuration modifiés continuent de répondre aux exigences opérationnelles et de contrôle?

Mise en œuvre

  • Comment la direction s’assure-t-elle que toutes les mises en œuvre sont préalablement approuvées par les utilisateurs opérationnels et/ou les gestionnaires des TI?

  • Comment la direction s’assure-t-elle que la mise en œuvre des modifications dans l’environnement de production se fait selon un processus contrôlé?

  • Comment la direction s’assure-t-elle que les modifications urgentes sont saisies, documentées et approuvées après la mise en œuvre dans l’environnement de production?

  • Comment la direction s’assure-t-elle que seul le personnel approprié et autorisé a le droit de faire passer des modifications dans l’environnement de production?

  • Comment la direction s’assure-t-elle que la version mise en œuvre dans l’environnement de production est la plus récente qui ait été testée et approuvée par les gestionnaires des utilisateurs opérationnels?

  • Si les modifications touchent plusieurs endroits, comment la direction s’assure-t-elle que tous les endroits ont été mis à jour à partir de la bonne version?

Documentation et formation

  • Comment la direction s’assure-t-elle que la documentation technique et la documentation pour l’utilisateur sont mises rapidement à jour à la suite de modifications importantes apportées aux applications informatiques et à d’autres aspects de l’environnement informatique?

  • Comment la direction s’assure-t-elle que les utilisateurs et le personnel des TI reçoivent une formation adéquate sur toute modification majeure apportée aux applications informatiques et à d’autres aspects de l’environnement informatique, y compris les changements en résultant aux contrôles internes de l’information financière?

Séparation des tâches

  • Comment la direction s’assure-t-elle que les responsabilités exercées tout au long du processus des modifications sont réparties de manière adéquate?

  • Comment la direction s’assure-t-elle que des environnements distincts sont maintenus pour les phases de développement, de test et de production, et que seules les bonnes personnes ont accès à chacun de ces environnements?

  • Comment les contrôles relatifs à la séparation des tâches sont‑ils maintenus?

*Voir la rubrique Considérations relatives à l’évaluation des risques liés à la cybersécurité ci‑dessous pour un examen plus approfondi des risques et des contrôles liés à la cybersécurité qui pourraient avoir une incidence sur un ou plusieurs des domaines des CGI.

Développement de programmes

Directives des NCA

Exemples de contrôles généraux informatiques pouvant être mis en place pour chaque type de processus informatique (NCA 315.Annexe 6.2(b))

Processus de gestion des changements touchant les programmes ou d’autres changements apportés à l’environnement informatique

○ Processus de gestion des changements

Contrôles afférents au processus visant la conception, la programmation et la mise à l’essai de changements ainsi qu’à leur intégration à l’environnement de production (utilisateur final).

○ Séparation des tâches dans le cadre de l’intégration des changements à l’environnement de production

Contrôles visant la séparation des droits d’accès aux fins de l’apport de changements et de leur intégration à l’environnement de production.

○ Élaboration, acquisition ou mise en oeuvre des systèmes

Contrôles afférents à l’élaboration ou à la mise en oeuvre initiale des applications informatiques (ou en lien avec d’autres aspects de l’environnement informatique).

○ Conversion des données

Contrôles afférents à la conversion des données durant l’élaboration, la mise en oeuvre ou les mises à niveau de l’environnement informatique.

Des exemples de risques découlant du recours à l’informatique et des exemples de contrôles généraux informatiques qui peuvent être mis en place pour y répondre, selon la nature de l’application informatique concernée, sont présentés dans le tableau ci‑après.

Risques Contrôles Applications informatiques
Exemples de risques découlant du recours à l’informatique Exemples de contrôles généraux informatiques Applicables aux logiciels commerciaux peu complexes? Applicables aux logiciels commerciaux ou aux applications informatiques de moyenne envergure et modérément complexes? Applicables aux applications informatiques de grande envergure ou complexes (par exemple, progiciels de gestion intégrés)?
Applications : Modification inappropriée des systèmes/programmes d’application dotés de contrôles automatisés pertinents (paramètres configurables, algorithmes/calculs automatisés, extraction automatisée des données, etc.) ou de fonctionnalités logiques permettant de générer des rapports. Les modifications apportées aux applications sont rigoureusement testées et approuvées avant d’être intégrées à l’environnement de production. S. O., si l’on s’est assuré qu’aucun code source n’est accessible Oui, s’il s’agit de logiciels non commerciaux Oui
La possibilité d’intégrer des changements à l’environnement de production des applications est rigoureusement restreinte et il y a séparation des tâches par rapport à l’environnement de développement. S. O. Oui, s’il s’agit de logiciels non commerciaux Oui
Bases de données : Modification inappropriée de la structure des bases de données et des corrélations entre les données. Les modifications apportées aux bases de données sont rigoureusement testées et approuvées avant d’être intégrées à l’environnement de production. S. O., aucune modification apportée aux bases de données au sein de l’entité Oui, s’il s’agit de logiciels non commerciaux Oui
Logiciels de base : Modification inappropriée des logiciels de base (par exemple, système d’exploitation, réseau, logiciel de gestion des changements, logiciel de contrôle d’accès). Les modifications apportées aux logiciels de base sont rigoureusement testées et approuvées avant d’être intégrées à l’environnement de production. S. O., aucune modification apportée aux logiciels de base au sein de l’entité Oui Oui
Conversion des données : Introduction d’erreurs dans les données converties à partir de systèmes patrimoniaux ou de versions précédentes en raison de la présence de données incomplètes, redondantes, obsolètes ou inexactes dans ces systèmes ou versions. La direction approuve les résultats de la conversion des données (après avoir rapproché et équilibré les comptes, par exemple) de l’ancien logiciel d’application ou de l’ancienne structure de données au nouveau logiciel d’application ou à la nouvelle structure de données et s’assure que la conversion a été effectuée conformément aux politiques et procédures de conversion établies. S. O., recours à des contrôles manuels Oui Oui

Directives du BVG

Développement de programmes* - Objectif du domaine :

Veiller à ce que les applications informatiques et d’autres aspects de l’environnement informatique soient élaborés, configurés et mis en place de manière à atteindre les objectifs de la direction en matière de contrôle. Cela comprend des contrôles portant sur des projets de développement, d’acquisition ou de mise en œuvre ainsi que des contrôles relatifs à la conversion de données.

* Le domaine Développement de programmes couvre les changements apportés à l’environnement informatique dans son ensemble et se rapporte au domaine « Gestion des changements » de la NCA 315, conformément à la mise en correspondance présentée à la rubrique Aperçu.

Ce domaine est pertinent seulement lorsque d’importants projets d’élaboration, d’implantation ou de conversion sont réalisés ou prévus et que ces projets auront une incidence sur le risque d’anomalies significatives dans les états financiers de l’exercice en cours. Les CGI liés au domaine Développement de programmes seront identifiés en vue de l’identification des risques découlant du recours à l’informatique relatifs aux nouvelles applications informatiques ou à d’autres aspects informatiques élaborés, configurés et déployés au cours de la période. Par exemple, lorsqu’une nouvelle application informatique est utilisée dans le cadre d’un contrôle identifié, il se peut que l’auditeur identifie un risque lié à des données qui sont traitées de façon incomplète ou inexacte dans cette application. Par conséquent, afin de répondre au risque, la direction a mis en place des CGI pour tester et approuver l’application informatique.

La NCA 315 prévoit le développement dans le processus informatique « Gestion des changements ». Comme ci‑dessus, le domaine du développement de programmes n’est pertinent que lorsque l’entité a des projets importants de développement, de mise en œuvre ou de conversion au cours de la période. Des projets de développement peuvent ne pas avoir lieu chaque année. La séparation du développement de programmes et de la modification de programmes aide l’auditeur à évaluer de façon plus détaillée la façon dont le changement se produit dans l’environnement informatique de l’entité. Cela l’aide également à identifier et à évaluer les risques découlant du recours à l’informatique au niveau du domaine :

  • Lorsque l’entité n’entreprend aucun développement au cours de la période, aucun risque lié au domaine Développement de programmes ne découle du recours à l’informatique.

  • Lorsque l’entité entreprend un projet de développement au cours de la période, le domaine Développement de programmes est celui où les risques liés au développement découlant du recours à l’informatique sont documentés.

Les CGI portant sur le développement varieront d’une entité à l’autre et d’un projet à l’autre, selon les risques identifiés. Les contrôles sur le développement de programmes les plus importants ont tendance à être exécutés peu de temps avant la date de l’implantation. L’auditeur surveille et évalue les nouveaux risques qui pourraient découler des activités de développement (c’est-à-dire un accès temporaire de super utilisateur accordé aux employés clés des finances) ainsi que les contrôles que l’entité pourrait mettre en place temporairement pendant la période de conversion.

Par exemple, l’entité compte mettre en place une nouvelle application financière cette année. Ce nouveau système aura une incidence sur les états financiers de l’entité pour l’exercice visé par l’audit. Il est souvent plus efficace et efficient de comprendre les contrôles du traitement de l’information et les conversions de données nouvellement mis en place ou modifiés en examinant les contrôles de l’entité dans les cycles de développement, plutôt que de tester les contrôles uniquement dans l’environnement réel après l’implantation.

L’auditeur doit exercer son jugement professionnel pour déterminer s’il doit acquérir une compréhension des contrôles sur le développement de programmes dans l’exercice en cours, surtout si l’implantation n’aura d’effets directs sur les risques liés à la présentation de l’information financière que lors d’exercices ultérieurs. Se reporter au tableau ci‑dessous pour connaître les facteurs à considérer au moment d’évaluer les risques découlant du recours à l’informatique dans le domaine du développement de programmes. Les CGI liés au développement des programmes sont importants pour de nombreux audits, mais leur pertinence globale est plus étroitement liée au client.

L’auditeur examine les développements importants et évalue les répercussions financières associées aux processus de développement de l’entité lorsque ceux‑ci sont liés à un contrôle identifié dans la composante des activités de contrôle. Par exemple, si une entité déploie une nouvelle application informatique au cours de la période visée par l’audit qui comprend des contrôles et des dépendances aux TI liés à un risque d’anomalies significatives, l’auditeur acquiert une compréhension du processus de déploiement et identifie les risques découlant du recours à l’informatique afin de déterminer si les contrôles relatifs au développement répondent à ces risques. Cette compréhension sert à déterminer s’il est efficient et efficace de tester les contrôles pour obtenir des éléments probants au sujet du nouveau système, du processus de déploiement et de la conversion des données. Dans les cas où le développement est lié à un risque découlant du recours à l’informatique, l’auditeur obtient la documentation à l’appui.

Les sous-composantes du domaine Développement de programmes comprennent généralement ce qui suit :

  • gestion des activités d’élaboration et d’implantation;
  • initiation, analyse et conception de projet;
  • construction/choix du progiciel;
  • tests et assurance de la qualité;
  • conversion des données;
  • implantation du programme;
  • documentation et formation;
  • séparation des tâches.

Voici des exemples de CGI qui peuvent servir à gérer le développement de l’environnement informatique : (NCA 315, annexe 6.2(b)) :

  • processus de gestion des changements;
  • séparation des tâches dans le cadre de l’intégration des changements à l’environnement de production;
  • élaboration, acquisition ou mise en oeuvre des systèmes;
  • conversion des données.

L’auditeur détermine les activités pertinentes et les contrôles en fonction de l’environnement informatique unique de l’entité. Les points à considérer suivants peuvent être utiles pour identifier les CGI dans ce domaine qui répondent aux risques découlant du recours à l’informatique identifiés au sein de l’entité. Voir la rubrique Identification des risques découlant du recours à l’informatique pour de plus amples renseignements sur l’identification de tels risques. Il est à noter que certains points ne sont pas pertinents pour toutes les entités et qu’il y aura peut-être lieu d’examiner d’autres facteurs de risque. Par exemple, les risques liés à la cybersécurité et les contrôles connexes peuvent être liés au développement de programmes ou à d’autres domaines des CGI. Voir la rubrique Considérations relatives à l’évaluation des risques liés à la cybersécurité pour obtenir des directives supplémentaires sur les risques liés à la cybersécurité et les contrôles connexes.

Lorsqu’il acquiert une compréhension de ce qui précède, l’auditeur doit prendre en compte que certaines sous-composantes et certains CGI peuvent ne pas s’appliquer à chaque entité et que d’autres facteurs de risque peuvent exister. Le tableau ci‑dessous présente des exemples de risques et de points à considérer pour l’audit, répartis par sous-composante et faisant référence aux CGI dont il est question.

Risque* Points à considérer pour l’audit
Les systèmes nouvellement implantés (ou améliorés en profondeur) traitent les données de manière incomplète ou inexacte (p. ex. en raison d’erreurs de codage ou de configuration).

Gestion globale des activités de développement

  • L’entité suit-elle une méthodologie officielle et/ou des politiques et des procédures claires régissant les activités de développement?

  • Comment la direction s’assure-t-elle que des plans d’implantation exhaustifs sont élaborés et exécutés pour tous les projets majeurs, concernant notamment les fonctions désirées du système, les contrôles internes de l’information financière et les contrôles de sécurité et d’accès appropriés?

  • Comment la direction a‑t‑elle documenté et communiqué les rôles et les responsabilités aux personnes participant aux activités de développement?

  • Comment la direction s’assure-t-elle que les responsables des opérations et les chefs de projets informatiques appropriés participent à la définition des exigences opérationnelles, des plans de test et des résultats des tests?

  • Comment la direction surveille-t-elle les activités de développement et les contrôles connexes?

Initiation, analyse et conception du projet;

  • Comment la direction s’assure-t-elle que le travail de développement est aligné sur les objectifs généraux opérationnels et de contrôle interne?

  • Comment la direction s’assure-t-elle que chaque équipe de projet possède les compétences opérationnelles et technologiques nécessaires, y compris la connaissance des contrôles internes?

  • Comment la direction s’assure-t-elle que les responsables des opérations et des données sont identifiés pour tous les projets?

  • Comment la direction s’assure-t-elle que les exigences des applications informatiques ou d’autres aspects de l’environnement informatique sont élaborées de manière constante à un niveau de détail suffisant?

  • Comment la direction s’assure-t-elle que les équipes de projets tiennent compte des dépendances entre les applications informatiques et les interfaces, et des exigences de contrôle interne et de sécurité pour chaque projet?

  • Comment la direction s’assure-t-elle que le responsable opérationnel a approuvé le déclenchement de la phase de construction d’un projet?

Construction/choix du progiciel

  • Comment la direction s’assure-t-elle que les applications maison sont développées selon des normes de programmation?

  • Comment la direction s’assure-t-elle qu’un contrôle constant est exercé aux étapes de la sélection, de la personnalisation et de l’implantation d’un progiciel acheté?

  • Comment la direction s’assure-t-elle qu’un contrôle des versions est en place pour toutes les applications?

  • Comment la direction s’assure-t-elle que les dépendances entre et parmi les applications intégrées et les fichiers de données sont définies et prises en compte?

Tests et assurance de la qualité;

  • Comment la direction s’assure-t-elle que les plans de tests sont suffisants pour couvrir les exigences définies à la phase de l’analyse et de la conception?

  • Comment la direction détermine-t-elle la nature et l’étendue des tests (par exemple, test unitaire, essai par les utilisateurs, test de régression)?

  • Comment la direction s’assure-t-elle que les bons tests sont effectués et approuvés par le personnel des TI et/ou de l’unité opérationnelle qui a la compétence en la matière?

  • Comment la direction s’assure-t-elle que la conception et l’efficacité du fonctionnement des contrôles internes nouveaux ou modifiés de l’information financière ont été suffisamment vérifiées pendant les tests?

  • Comment la direction s’assure-t-elle que les applications informatiques ou d’autres aspects de l’environnement informatique ne sont pas modifiés après les tests avant qu’ils soient mis en œuvre dans l’environnement de production?

  • Comment la direction s’assure-t-elle que la migration de code entre les environnements logiques est contrôlée?

  • Comment la direction s’assure-t-elle que les paramètres de configuration sélectionnés pour les progiciels standards répondent aux exigences opérationnelles et de contrôle?

Implantation de programmes

  • Comment la direction s’assure-t-elle que toutes les implantations de programme sont approuvées par les bons responsables opérationnels et gestionnaires des TI?

  • Comment la direction s’assure-t-elle qu’un processus de prise de décisions uniforme est suivi pour choisir le moment de la mise en service (c’est-à-dire plans d’implantation, procédures de reprise, etc.)?

  • Comment la direction s’assure-t-elle que la version lancée en production est la plus récente qui ait été testée et approuvée par les responsables opérationnels?

  • Si le programme est exécuté en plusieurs endroits, comment la direction s’assure-t-elle que tous les endroits ont été mis à jour à partir de la bonne version?

  • Comment la direction s’assure-t-elle que les risques importants associés à l’implantation, en particulier si c’est une implantation complexe, sont contrôlés à l’étape de l’après-mise en œuvre (par exemple, examen d’après la mise en œuvre, contrôles de mise au point, etc.)

Documentation et formation

  • Comment la direction s’assure-t-elle que la documentation technique et celle de l’utilisateur sont préparées et communiquées en temps opportun pour l’ensemble des nouvelles applications informatiques ou d’autres aspects de l’environnement informatique ainsi que les contrôles internes connexes?

  • Comment la direction s’assure-t-elle que les utilisateurs et le personnel des TI reçoivent une formation adéquate sur l’ensemble des nouvelles applications informatiques ou d’autres aspects de l’environnement informatique et les contrôles internes connexes?

Séparation des tâches

  • Comment la direction s’assure-t-elle que les responsabilités exercées tout au long des processus de développement sont réparties de manière adéquate?

  • Comment la direction s’assure-t-elle que des environnements distincts sont maintenus pour les phases de développement, de test et de production?

  • Comment la direction s’assure-t-elle que seules les personnes dûment autorisées ont accès à chacun de ces environnements (contrôles visant la séparation des droits d’accès aux fins de l’apport de changements et de leur intégration à l’environnement de production)?

Les transactions enregistrées et/ou les données de base n’ont pas été transférées en totalité et avec exactitude. Conversion des données
  • Comment la direction s’assure-t-elle que les champs de données sont correctement mis en correspondance entre les anciennes applications informatiques ou autres anciens aspects de l’environnement informatique et les nouveaux?

  • Comment la direction s’assure-t-elle que les données converties restent complètes, exactes et valables?

  • Comment la direction s’assure-t-elle que les interfaces des interfaces cruciales sont prises en compte dans les plans de conversion des données?

*Se reporter à la rubrique Considérations relatives à l’évaluation des risques liés à la cybersécurité pour un examen plus approfondi des risques liés aux incidents de cybersécurité et des contrôles connexes qui pourraient avoir une incidence sur un ou plusieurs des domaines des CGI.

Audit de la mise en place et des mises à niveau des progiciels de gestion intégrés

La mise en place et les modifications ou mises à niveau importantes des progiciels de gestion intégrés (PGI) des clients entraînent souvent des changements dans les processus opérationnels. Par conséquent, en raison de telles modifications, il peut arriver que certaines opérations ne puissent plus être traitées comme elles l’étaient jusqu’alors, que certains rapports doivent être remaniés ou que certaines modifications doivent être apportées aux contrôles. Par exemple, certaines mises à niveau ou certains changements entraînent la migration du PGI vers un environnement infonuagique, ce qui signifie que l’infrastructure de soutien peut changer. Parfois, lorsqu’une entité met à niveau ou modifie son PGI, les contrôles préventifs conventionnels sont mis de côté, et on laisse certains contrôles en faveur de contrôles qui ont des caractéristiques de prévention et de détection :

  • Contrôles en temps réel conçus de manière à éviter un arrêt immédiat qui interrompt les opérations, tout en permettant le fonctionnement de contrôles à l’appui des opérations;

  • Contrôles hybrides ayant des caractéristiques de prévention et de détection.

Lorsque l’auditeur acquiert une compréhension et fait une évaluation de la conception de ces contrôles, il tient compte des caractéristiques de prévention et de détection du contrôle dans la mesure où elles sont adaptées au risque d’anomalies significatives identifié.

Voir la section BVG Audit 5034 pour obtenir des directives et des exemples de différents types de contrôles.

L’auditeur d’états financiers doit tenir compte de l’incidence de ces mises en place ou mises à niveau de PGI dans les risques découlant du recours à l’informatique. Le fait qu’un client possède des systèmes d’une complexité ou d’une étendue suffisante pour justifier les coûts d’implantation d’un PGI aura fort probablement une influence sur la stratégie d’audit. Il doit aussi savoir que la mise en place d’un PGI à grande échelle peut créer un environnement dans lequel il sera probablement impossible de procéder à un audit efficace sans adopter, dans une large mesure, une stratégie axée sur les contrôles.

Chaque mise en place de PGI est unique (p. ex. deux implantations de système SAP ne sont jamais les mêmes). L’auditeur doit donc tenir compte de l’incidence de la mise en place de PGI sur le contrôle interne et déterminer comment mener un audit de façon efficace qui soit adapté à chaque client. En conséquence, les éléments à prendre en compte dans le cas de telles modifications sont les suivants :

  • le recours à l’Audit des TI pour comprendre l’incidence du PGI sur l’environnement de contrôle. De plus, il est normalement prévu que les contrôles généraux informatiques (CGI) soient testés.

  • l’incidence de la mise en œuvre du PGI sur les facteurs de risque inhérent et le processus global d’évaluation des risques nécessaire pour comprendre et auditer la mise en place. Une planification est effectuée très tôt au cours de la première année suivant la mise en place du PGI ou toute mise à niveau importante, pour :

    • identifier les contrôles qui répondent aux risques d’anomalies significatives au niveau des assertions et qui sont touchés par les modules nouveaux ou modifiés du PGI;

    • identifier les autres aspects de l’environnement informatique qui sont vulnérables aux risques découlant du recours à l’informatique, p. ex. :

      • les interfaces (les PGI sont souvent liés à d’autres systèmes, qui nécessitent à leur tour un contrôle pour garantir que tous les intrants sont reçus aux fins de traitement et que tous les extrants sont acheminés comme il se doit);
      • la sécurité au niveau des réseaux, des bases de données et des applications;
      • d’autres risques et CGI connexes (c.‑à‑d. dans ce cas, le domaine des CGI liés au développement de programmes sera probablement important);
    • obtenir le calendrier d’implantation afin d’établir quand et où l’implantation du PGI risque d’avoir une incidence sur l’audit;

  • l’incidence sur les contrôles – a‑t‑on pu acquérir une compréhension de base et effectuer une évaluation initiale du contrôle interne par les moyens ci‑dessous :

    • Examen des audits internes (évaluation des contrôles avant ou après l’implantation);
    • Évaluation de la conception et de la mise en place des contrôles entreprise par le BVG dans le cadre de l’audit;
    • Évaluations par d’autres cabinets réputés;
    • Documentation des contrôles et processus opérationnels pour l’environnement de traitement du nouveau PGI.
  • Quelles sont les attentes de l’entité et du comité d’audit en ce qui a trait à l’audit?

    • L’entité s’attend-elle à ce que l’équipe d’audit du BVG comprenne comment accéder à l’information au moyen du PGI?
    • L’entité s’attend-elle à ce que l’équipe d’audit du BVG se fie au nouvel environnement de traitement et de contrôle interne?
  • Quelle est l’incidence sur les connaissances acquises par l’équipe d’audit du BVG lors d’audits antérieurs?

    • Le PGI a‑t‑il modifié les procédures ou les méthodes d’exécution des processus opérationnels clés ou d’une majorité de processus opérationnels du client? Des processus opérationnels manuels de l’entité ont‑ils été automatisés?
    • L’implantation d’un PGI a‑t‑elle fait évoluer les contrôles internes de l’entité, les faisant passer de contrôles de détection manuels à des contrôles préventifs automatisés, ou à une combinaison des deux?
    • Le PGI a‑t‑il complètement modifié les CGI? Le PGI a‑t‑il remplacé tous les anciens systèmes sur lesquels l’équipe d’audit a fondé sa connaissance et compréhension du contrôle interne?
    • Les diagrammes logiques des systèmes et processus opérationnels clés de l’entité sont‑ils toujours valables?

Directives connexes

Se reporter à la section BVG Audit 3102 pour obtenir des directives quant au recours à l’Audit des TI.

Opérations informatiques

Directives des NCA

Exemples de contrôles généraux informatiques pouvant être mis en place pour chaque type de processus informatique (NCA 315.Annexe 6.2(c)) Processus de gestion des opérations informatiques

○ Planification des travaux

Contrôles afférents à l’accès permettant de planifier et de lancer des travaux ou des programmes pouvant avoir une incidence sur l’information financière.

○ Suivi des travaux

Contrôles mis en place pour assurer le suivi des travaux ou des programmes portant sur l’information financière en vue de leur bon déroulement.

○ Sauvegarde et récupération

Contrôles mis en place pour s’assurer que des sauvegardes des données liées à l’information financière ont lieu comme prévu et que ces données sont disponibles et rapidement récupérables en cas de panne ou d’attaque.

○ Détection des intrusions

Contrôles mis en place pour assurer la surveillance des points vulnérables de l’environnement informatique ou le suivi des intrusions dont il fait l’objet.

Des exemples de risques découlant du recours à l’informatique et des exemples de contrôles généraux informatiques qui peuvent être mis en place pour y répondre, selon la nature de l’application informatique concernée, sont présentés dans le tableau ci‑après.

Risques Contrôles Applications informatiques
Exemples de risques découlant du recours à l’informatique Exemples de contrôles généraux informatiques Applicables aux logiciels commerciaux peu complexes? Applicables aux logiciels commerciaux ou aux applications informatiques de moyenne envergure et modérément complexes? Applicables aux applications informatiques de grande envergure ou complexes (par exemple, progiciels de gestion intégrés)?
Réseau : Possibilité que des utilisateurs non autorisés accèdent aux systèmes d’information. Pour accéder au réseau, les utilisateurs doivent s’authentifier au moyen de codes d’utilisateur et de mots de passe uniques ou d’autres mécanismes de validation des droits d’accès. Les paramètres des mots de passe répondent aux normes et aux politiques de l’entreprise ou de la profession (longueur minimale et niveau de complexité exigés, expiration du mot de passe, verrouillage du compte, etc.). S. O., l’accès au réseau n’est protégé par aucun mécanisme d’authentification distinct Oui Oui
Le réseau est segmenté de manière à isoler les applications Web du réseau interne, où s’effectue l’accès aux applications soumises au contrôle interne à l’égard de l’information financière. S. O., réseau non segmenté Oui, en faisant preuve de jugement Oui, en faisant preuve de jugement
Les gestionnaires du réseau effectuent périodiquement des analyses de vulnérabilité du périmètre du réseau et procèdent à des investigations quant aux vulnérabilités potentielles. S. O. Oui, en faisant preuve de jugement Oui, en faisant preuve de jugement
Des alertes sont générées périodiquement pour signaler les menaces relevées par les systèmes de détection des intrusions. Les gestionnaires du réseau procèdent à des investigations au sujet de ces menaces. S. O. Oui, en faisant preuve de jugement Oui, en faisant preuve de jugement
Des contrôles sont en place pour restreindre l’accès au réseau privé virtuel (RPV) aux seuls utilisateurs autorisés et appropriés. S. O., pas de RPV Oui, en faisant preuve de jugement Oui, en faisant preuve de jugement
Sauvegarde et récupération des données : Impossibilité de récupérer ou de consulter rapidement les données financières en cas de perte de données. Les données financières sont sauvegardées régulièrement selon un calendrier et une fréquence établis. S. O., les données doivent être récupérées manuellement par l’équipe des finances. Oui Oui
Planification des travaux : Traitement inexact, incomplet ou non autorisé des données dans les systèmes, programmes ou travaux de production. Seuls les utilisateurs autorisés peuvent effectuer la mise à jour des travaux par lots (avec ou sans interface) dans le logiciel de planification des travaux. S. O., aucun travail par lots Oui, pour certaines applications Oui
Les systèmes, programmes et travaux essentiels font l’objet d’un suivi et les erreurs de traitement sont corrigées afin d’assurer l’intégrité du traitement. S. O., aucun suivi des travaux Oui, pour certaines applications Oui

Directives du BVG

Opérations informatiques – Objectif du domaine :

Veiller à ce que l’information des applications informatiques et d’autres aspects de l’environnement informatique soient traitée de façon exhaustive et exacte, conformément aux objectifs de la direction en matière de contrôle, et à ce que les problèmes de traitement soient détectés et réglés de façon exhaustive et exacte pour assurer l’intégrité des données financières

*Le domaine Opérations informatiques couvre les opérations informatiques dans l’environnement informatique dans son ensemble et se rapporte au domaine « Gestion des opérations informatiques » de la NCA 315, conformément à la mise en correspondance présentée à la rubrique Aperçu.

Les opérations informatiques présentent souvent un risque opérationnel, et non pas un risque d’anomalies significatives, selon la situation particulière de l’entité. Certains éléments des opérations informatiques pourraient être pertinents pour la préparation des états financiers, surtout s’ils servent non seulement en tant que CGI, mais également en tant que contrôles du traitement de l’information qui appuient directement les assertions pertinentes contenues dans les états financiers. Par exemple, la programmation des travaux est une activité des services informatiques qui pourrait avoir une incidence directe sur l’exhaustivité et l’exactitude des données financières si elle devait ne pas aboutir. De même, les procédures de sauvegarde et de récupération peuvent avoir une incidence importante sur le risque d’anomalie dans les états financiers si les récupérations de données sont fréquentes, par exemple quand les systèmes sont instables ou s’il y a un cyberincident qui limite l’accès à l’environnement réel. Les CGI liés aux opérations informatiques sont importants pour de nombreux audits, mais leur pertinence globale est plus étroitement liée à l’entité. L’auditeur peut identifier les opérations informatiques qui servent de contrôles de traitement de l’information dans le cadre de la composante des activités de contrôle. Les sous-composantes types des opérations informatiques comprennent généralement :

  • la gestion des opérations informatiques;
  • l’ordonnancement et le traitement des lots;
  • le traitement en temps réel;
  • la sauvegarde et la gestion des problèmes
  • le rétablissement après sinistre.

Voici des exemples de CGI qui peuvent servir à gérer les opérations informatiques (NCA 315 annexe 6.2(c)) :

  • planification des travaux;
  • suivi des travaux;
  • sauvegarde et récupération;
  • détection des intrusions.

Les points à considérer suivants peuvent être utiles pour identifier les CGI dans ce domaine qui répondent aux risques découlant du recours à l’informatique identifiés au sein de l’entité. Voir la section Identification des risques découlant du recours à l’informatique pour de plus amples renseignements sur l’identification de tels risques. Il est à noter que certains points ne sont pas pertinents pour toutes les entités et qu’il y aura peut-être lieu d’examiner d’autres facteurs de risque. Par exemple, les risques liés à la cybersécurité et les contrôles connexes peuvent être liés aux opérations informatiques ou à d’autres domaines des CGI. Voir la rubrique Considérations relatives à l’évaluation des risques liés à la cybersécurité pour obtenir des directives supplémentaires sur les risques liés à la cybersécurité et les contrôles connexes.

Lorsqu’il acquiert une compréhension de ce qui précède, l’auditeur doit prendre en compte que certaines sous-composantes et certains CGI peuvent ne pas s’appliquer à chaque entité et que d’autres facteurs de risque peuvent exister. La manière dont les opérations informatiques sont configurées, autorisées et contrôlées varie d’une entité à l’autre, en fonction de la taille et de la complexité de l’environnement et du volume et des types d’opérations traitées. Le tableau ci‑dessous fournit des exemples de risques et de points à considérer pour l’audit, répartis par sous-composante et faisant référence aux CGI en question.

Risque* Points à considérer pour l’audit
Présence de changements inappropriés, intervention manuelle ou manquements en rapport avec les traitements des lots.

Gestion globale des opérations informatiques

  • Comment la direction a‑t‑elle documenté et communiqué ses politiques et ses procédures relatives aux opérations informatiques?

  • Comment la direction a‑t‑elle documenté et communiqué les rôles et les responsabilités en ce qui a trait aux opérations informatiques?

  • Comment la direction a‑t‑elle organisé la fonction des opérations informatiques pour assurer une bonne séparation des tâches?

  • Comment la direction s’assure-t-elle que le personnel des opérations informatiques possède les compétences pour s’acquitter de ses fonctions?

  • Comment la direction surveille-t-elle l’environnement informatique pour vérifier que les problèmes opérationnels potentiels sont relevés et résolus?

Ordonnancement et le traitement des lots;

  • Comment la direction s’assure-t-elle que les ajouts, les modifications et les suppressions à l’ordonnancement des travaux sont autorisés et effectués en temps opportun?

  • Comment la direction s’assure-t-elle que les liens de dépendance entre les travaux et les procédures de redémarrage et de reprise sont documentées pour tous les travaux inscrits au calendrier des lots?

  • Comment la direction surveille-t-elle le traitement des travaux pour vérifier qu’ils sont exécutés selon l’ordonnancement des travaux approuvé?

  • Comment la direction s’assure-t-elle que seul le personnel autorisé a accès à l’outil d’ordonnancement des travaux?

Des transactions enregistrées sont perdues (p. ex., en raison d’une défaillance du système) et des données sont irrécupérables ou corrompues/inscrites en double lors du processus de récupération.

Sauvegarde et gestion des problèmes

  • Comment la direction s’assure-t-elle que les exigences concernant le contenu et la fréquence des sauvegardes de données sont cohérentes avec les objectifs opérationnels?

  • Comment la direction s’assure-t-elle que le support recevant les sauvegardes serait disponible en situation d’urgence (c’est-à-dire alternance des supports hors site)?

  • Comment la direction s’assure-t-elle que les données sont récupérables comme prévu à partir du support de sauvegarde au moment nécessaire?

  • Comment la direction s’assure-t-elle que tous les manquements opérationnels importants sont relevés et résolus de manière complète et exacte en temps opportun?

Le transfert des transactions enregistrées entre des systèmes est incomplet ou inexact.

Traitement en temps réel

  • Comment la direction s’assure-t-elle que les changements à la configuration des composantes du traitement en temps réel (y compris les intergiciels, s’il y a lieu) sont autorisés et exécutés en temps opportun?

  • Comment la direction s’assure-t-elle que les manquements du traitement en temps réel sont saisis et résolus en temps opportun?

  • Comment la direction s’assure-t-elle que seul le personnel autorisé a les droits d’accès pour configurer toute composante technologique utilisée pour faciliter le traitement en temps réel?

Les cyberattaques et les attaques par rançongiciel exploitent les vulnérabilités, entraînant ainsi la manipulation ou la destruction de données, ce qui compromet les états financiers ou la disponibilité du système et, par le fait même, la présentation de l’information financière en temps opportun.
  • Comment la conception du réseau (p. ex. séparation logique des domaines, relations de confiance, connexions externes) garantit-elle que les applications informatiques et d’autres aspects de l’environnement informatique importants sont dûment protégés contre tout accès non autorisé (p. ex. au moyen d’un pare-feu)?

  • Y a‑t‑il un programme de prévention et de détection des intrusions en place pour veiller à ce que les incidents de sécurité soient surveillés et signalés aux parties concernées?

  • Comment la direction surveille-t-elle l’environnement pour détecter toute activité potentiellement non autorisée?

Les applications informatiques ou d’autres aspects de l’environnement informatique non corrigés mènent à l’exploitation de vulnérabilités, entraînant ainsi la manipulation ou la destruction de données, ce qui compromet les états financiers ou la disponibilité du système et, par le fait même, la présentation de l’information financière en temps opportun.
  • Y a‑t‑il un programme de gestion des correctifs en place pour s’assurer que les vulnérabilités relatives à la sécurité sont gérées, surveillées et signalées?

Les attaques par rançongiciel rendent les systèmes inaccessibles, ce qui a une incidence sur la disponibilité des systèmes et sur la capacité de l’entité à préparer l’information financière en temps opportun.
  • Les données dans les applications informatiques et d’autres aspects de l’environnement de TI (c.‑à‑d. les données pertinentes pour la préparation des états financiers) sont-elles sauvegardées de façon appropriée et testées périodiquement aux fins de récupérabilité?

*Voir la rubrique Considérations relatives à l’évaluation des risques liés à la cybersécurité pour un examen plus approfondi des risques et des contrôles liés à la cybersécurité qui pourraient avoir une incidence sur un ou plusieurs des domaines des CGI.

Considérations relatives à l’évaluation des risques liés à la cybersécurité – Aperçu

Directives des NCA

Les risques pris en considération par l’auditeur en ce qui a trait à l’accès peuvent comprendre à la fois les risques d’accès non autorisé par des parties internes et les risques d’accès non autorisé par des parties externes (souvent appelés « risques liés à la cybersécurité »). Ces risques n’ont pas nécessairement d’incidence sur l’information financière, l’environnement informatique de l’entité pouvant également comprendre des applications informatiques et des données connexes répondant à d’autres besoins (exploitation ou conformité, par exemple). Il est important de noter que les cyberincidents surviennent généralement d’abord dans les couches internes et périphériques du réseau, qui sont habituellement à l’écart des applications informatiques, des bases de données et des systèmes d’exploitation qui ont une incidence sur la préparation des états financiers. Par conséquent, s’il prend connaissance d’une intrusion, l’auditeur détermine généralement la mesure dans laquelle celle‑ci est susceptible d’avoir eu une incidence sur l’information financière. S’il est possible que l’intrusion ait eu une incidence sur l’information financière, l’auditeur peut décider d’acquérir une compréhension des contrôles connexes et de tester ces derniers afin de déterminer l’incidence possible ou l’étendue des anomalies potentielles dans les états financiers, ou encore déterminer que l’entité a fourni des informations adéquates sur l’intrusion. (NCA 315 Annexe 5.19)

Directives du BVG

Les considérations relatives à l’évaluation des risques présentées dans la section Considérations relatives à l’évaluation des risques liés à la cybersécurité sont conçues de manière à aider l’auditeur à comprendre, à déterminer et à évaluer la pertinence et l’applicabilité pour l’audit des risques liés à la cybersécurité découlant du recours à l’informatique lorsqu’il conçoit et met en œuvre des procédures pour auditer des états financiers d’une entité.

Les entités peuvent être exposées à un risque lié à la cybersécurité du fait d’un accès non autorisé à des applications d’information financière, à des données et à des actifs électroniques ou numériques comptabilisés au bilan. Toutes ces atteintes pourraient avoir une incidence sur les états financiers. En voici des exemples :

  • Une entité a été victime d’une cyberattaque qui a causé la suppression de l’ensemble de ses données financières. Sans la mise en place de contrôles de sauvegarde et de récupération appropriés, il est possible que l’entité ne soit pas en mesure de communiquer des données financières exhaustives et exactes ou de respecter les délais de présentation des rapports.

  • Une entité a été victime d’une usurpation d’identité d’un dirigeant par courriel lorsqu’elle a reçu une demande de modification des renseignements sur le compte bancaire d’un fournisseur et de versement d’un paiement pour des factures ouvertes. En l’absence de contrôles portant sur les données de base des fournisseurs et permettant de valider l’authenticité de la demande, l’entité peut, par erreur, dégager ses livres d’un passif, ce qui pourrait entraîner une sous-estimation des comptes créditeurs.

  • Une entité spécialisée dans la technologie peut faire l’objet d’un incident de cybersécurité qui entraîne le vol d’une nouvelle technologie brevetée. Si l’entité avait comptabilisé au bilan ce brevet comme une immobilisation incorporelle de valeur significative, elle pourrait avoir subi une dépréciation sans le savoir à la date de clôture si elle n’a pas de contrôles d’intrusion et de détection appropriés.

Aux fins de la présentation de l’information financière, il est également important de tenir compte du risque que les coûts liés aux incidents de cybersécurité ne soient pas comptabilisés, ce qui pourrait comprendre, par exemple, les dédommagements offerts aux clients, les frais juridiques ou les frais liés aux enquêtes judiciaires et aux évaluations réglementaires.

D’autres incidents liés à la cybersécurité peuvent ne pas toucher directement les états financiers. Par exemple, de nombreuses attaques contre la cybersécurité ont pour objectif d’acquérir des informations sensibles sur les clients, y compris les informations des cartes de crédit. Étant donné que ce type de renseignements sur le client n’est normalement pas reconnu comme un actif dans les états financiers d’une entité, le risque est plus susceptible d’être lié à des questions opérationnelles comme l’interruption des activités et les dommages aux relations avec la clientèle, ce qui pourrait compromettre les résultats d’exploitation et les flux de trésorerie futurs. De tels incidents peuvent obliger l’entité à prendre des mesures qui entraînent des coûts supplémentaires devant être comptabilisés, par exemple des coûts liés aux mesures correctives aux fins de dédommagement des clients, ainsi que des coûts supplémentaires découlant de réclamations judiciaires et de mesures réglementaires.

Exemples d’incidents liés à la cybersécurité

Voici d’autres exemples d’incidents liés à la cybersécurité courants. De tels incidents de cybersécurité pourraient donner lieu à des répercussions sur les états financiers et les opérations semblables à celles déjà illustrées dans les exemples ci‑dessus. La nature et l’ampleur des répercussions découlant de tels incidents liés à la cybersécurité varieront en fonction des faits et des circonstances propres à l’entité, ainsi que de la nature de l’incident. Par conséquent, l’auditeur doit examiner les répercussions potentielles des incidents liés à la cybersécurité sur les états financiers d’une entité lorsqu’il acquiert une compréhension de l’entité :

  • Une atteinte importante à la protection des données d’une chaîne d’hôtels a compromis le nom des clients, les informations de voyage, les détails des cartes de crédit et d’autres renseignements personnels (attaque par écoute électronique).

  • Le piratage d’un système informatique de santé a compromis les données consignées dans les dossiers médicaux de patients (attaque par perçage de mots de passe).

  • Un pirate informatique a eu accès aux systèmes de contrôle des services publics d’une entité de services publics (attaque de l’intercepteur ou attaque MITM pour Man‑in-the-middle).

Le service qui est la principale source de recettes de sites Web commerciaux a été la cible d’attaques par déni de service distribué (DDoS), qui vise à rendre les systèmes inaccessibles aux utilisateurs prévus.

  • La compromission d’une banque à la suite d’une atteinte à la cybersécurité, au cours de laquelle l’auteur a eu accès aux informations sur les clients (maliciel de type logiciel espion).

  • Des pirates informatiques accèdent aux serveurs de sociétés spécialisées dans les données et volent la propriété intellectuelle (attaque par injection SQL).

  • L’accès au système d’exploitation d’entités de télécommunications a été bloqué à la suite d’un cryptage de toutes les archives et unités connectées au réseau dans le but d’extorquer de l’argent à la victime. L’auteur a demandé le paiement d’une somme d’argent en échange de l’accès au système (maliciel de type rançongiciel).

  • Une entité du secteur du divertissement et des médias fait l’objet d’une atteinte à la sécurité qui entraîne l’acquisition non autorisée d’actifs numériques ayant des répercussions en aval sur la possibilité de récupérer les données financières (attaque par harponnage).

La sous-section Procédures d’audit liées à la cybersécurité met un accent accru sur la prise en compte du risque lié à la cybersécurité auquel les entités sont de plus en plus exposées et fournit à l’auditeur des points à considérer pour l’aider à déterminer si la cybersécurité peut représenter un risque d’anomalies significatives, notamment :

  • la discussion des responsabilités de l’auditeur à l’égard de l’évaluation des risques et de la cybersécurité, selon les normes d’audit;

  • les points que l’auditeur doit considérer lorsqu’il met en œuvre des procédures d’évaluation des risques afin de déterminer si la cybersécurité peut représenter un risque d’anomalies significatives;

    • des conditions ou des événements qui pourraient accroître les facteurs de risque inhérent, p. ex., l’entité utilise une application tierce dont on a constaté qu’elle présente des vulnérabilités qui sont transmises aux entités si elles appliquent un correctif précis;
    • un risque d’anomalies significatives au niveau des états financiers, p. ex., un rançongiciel malveillant qui bloque l’accès à toutes les données au niveau des transactions dans les environnements de production et de sauvegarde, ce qui aurait une incidence sur chaque élément des états financiers;
    • des risques liés à la cybersécurité découlant du recours à l’informatique, p. ex., le réseau n’empêche pas de façon adéquate les utilisateurs non autorisés d’obtenir un accès inapproprié aux systèmes d’information;
  • d’autres facteurs à considérer pour aider l’auditeur à mieux comprendre les activités et les contrôles en place au sein de l’entité pour répondre aux risques liés à la cybersécurité, y compris des exemples de contrôles;

  • des mesures pour évaluer un cyberincident éventuel afin de déterminer son incidence sur le plan d’audit ainsi que sur l’information financière de l’entité.

Procédures d’audit liées à la cybersécurité

Directives du BVG

La cybersécurité est un risque en évolution dont il faut tenir compte dans le cadre de l’acquisition d’une compréhension de l’environnement informatique et des activités d’évaluation des risques. La compréhension de l’auditeur établit un cadre de référence qui l’aide à planifier les contrôles et les procédures de corroboration. Conformément aux Normes canadiennes d’audit (NCA), l’auditeur doit comprendre les événements, les circonstances et les activités pouvant avoir une incidence importante sur les risques d’anomalies significatives. Les risques d’anomalies significatives peuvent provenir de diverses sources, y compris de facteurs externes, comme des conditions au sein de l’industrie et de l’environnement de l’entité, et de facteurs propres à l’entité, comme la nature de l’entité et de ses activités.

L’auditeur doit notamment acquérir une compréhension de la façon dont l’entité utilise les technologies de l’information afin de pouvoir évaluer les risques liés à la cybersécurité découlant du recours à l’informatique, ce qui lui permet de tenir compte de la fiabilité de l’information financière, des contrôles automatisés, des contrôles généraux informatiques (CGI) et de la fiabilité des données utilisées dans le cadre de l’audit.

L’auditeur obtiendra une compréhension des risques de l’entité liés à la cybersécurité, de son approche à l’égard des risques informatiques et des différents éléments pertinents de son architecture de sécurité en mettant en œuvre des procédures pour comprendre comment l’entité répond aux risques découlant du recours à l’informatique, ce qui comprend l’évaluation de la conception et de la mise en place de certains contrôles. Si l’auditeur identifie des risques liés à la cybersécurité qui donnent lieu à un risque d’anomalies significatives (résultant d’une erreur ou d’une fraude) dans les états financiers, il doit y répondre dans son plan d’audit (p. ex., identifier les contrôles de traitement de l’information et les CGI et tester leur efficacité opérationnelle, ou mettre en œuvre des procédures de corroboration en réponse aux risques identifiés). Il est à noter que tous les risques liés à la cybersécurité ne donneront pas nécessairement lieu à un risque d’anomalies significatives résultant d’une fraude ou d’une erreur, bien qu’il soit important d’évaluer s’il y a des répercussions directes ou indirectes, comme des interruptions des opérations, qui pourraient donner lieu à un risque d’anomalies significatives. Se reporter aux tableaux concernant les points à considérer et les expositions aux risques liés à la cybersécurité dans la section Considérations relatives à l’évaluation des risques liés à la cybersécurité et les exemples de contrôles connexes pour les secteurs à prendre en compte lors de l’évaluation des risques liés à la cybersécurité et des contrôles connexes pour l’entité.

L’auditeur doit d’abord se pencher sur les applications informatiques et d’autres aspects de l’environnement informatique qui gèrent les données des états financiers, comme l’indique le diagramme inclus dans la section Considérations relatives à l’évaluation des risques liés à la cybersécurité – Aperçu qui montre le chemin d’accès habituel à l’environnement informatique, ainsi qu’aux programmes et aux données. Dans le cadre des procédures pour acquérir une compréhension de l’entité et de son environnement informatique, l’auditeur peut obtenir une compréhension de la sécurité de réseau et des contrôles afférents (p. ex. détection d’intrusion) pour identifier les risques d’anomalies significatives liés à la cybersécurité. Lorsqu’il évalue les risques liés à la cybersécurité ou aux attaques informatiques, l’auditeur peut déterminer qu’il y a des signes d’un risque accru d’accès non autorisé à la couche de sécurité du réseau. Les risques liés à la cybersécurité pourraient avoir une incidence sur plus d’un domaine des CGI ou être omniprésents dans l’ensemble de l’entité.

Il faut noter que les incidents liés à la cybersécurité se produisent généralement d’abord dans le réseau périmétrique et le réseau interne, comme l’indique la figure dans la section Accès aux programmes et aux données. Ces couches de sécurité sont généralement éloignées des applications financières qui sont celles qui retiennent généralement l’attention de l’auditeur pendant l’audit.

Les responsables de mission doivent participer suffisamment à l’identification des risques liés à la cybersécurité, à la détermination de l’incidence ou de la portée possible des anomalies possibles dans les états financiers et à la prise en considération de la possibilité que les risques liés à la cybersécurité puissent entraîner des risques d’anomalies significatives. Pour élaborer la stratégie d’audit, le responsable de la mission et le gestionnaire d’équipe doivent comprendre l’entité et son secteur d’activité, examiner l’évaluation des risques de la direction et tenir compte des autres risques. Tous ces éléments sont nécessaires à la réalisation d’une évaluation des risques rigoureuse.

Il est important que les responsables de mission planifient et sollicitent des discussions internes et externes appropriées sur le processus d’évaluation des risques et la façon de voir la cybersécurité comme une considération à l’échelle de l’entreprise au lieu d’une simple question de technologie de l’information. Étant donné que la cybersécurité est un risque important à l’échelle de l’entreprise que la plupart des équipes de direction, des comités d’audit et des conseils d’administration d’entités auront généralement pris en considération, l’évaluation des risques peut être améliorée grâce à une collaboration avec eux sur ce sujet pendant l’étape de planification de l’audit. L’auditeur doit envisager de faire appel à l’Audit des TI ou à d’autres experts en cybersécurité ayant l’expérience requise pour l’aider à évaluer les risques liés à la cybersécurité dans des environnements complexes ou lorsque des incidents de cybersécurité se sont produits.

Considérations relatives à l’évaluation des risques liés à la cybersécurité

Directives du BVG

L’objectif des secteurs et points à considérer concernant l’évaluation des risques liés à la cybersécurité, qui sont indiqués dans le tableau ci‑dessous, est d’aider l’auditeur à recueillir les informations dans le cadre des procédures d’évaluation des risques qui sont nécessaires pour déterminer la nature, le calendrier et l’étendue des procédures d’audit supplémentaires. L’auditeur fait appel à l’Audit des TI lorsqu’il met en œuvre les procédures d’évaluation des risques dans les secteurs décrits ci‑après. Dans des environnements d’une grande complexité, l’auditeur peut aussi faire appel à des experts en matière de cybersécurité.

Les secteurs et points à considérer indiqués dans le tableau ci‑dessous peuvent aussi aider l’auditeur à évaluer si les risques liés à la cybersécurité peuvent représenter un risque d’anomalies significatives et, au bout du compte, à recenser toute répercussion afférente sur l’évaluation des risques ainsi que sur la stratégie et le plan d’audit. Voir la section Identification des risques découlant du recours à l’informatique pour de plus amples renseignements sur l’identification de tels risques. En tenant compte des points à considérer ci‑dessous et de tout autre point pertinent, l’auditeur exerce son jugement professionnel pour déterminer l’incidence de la cybersécurité sur son évaluation des risques et les procédures d’audit prévues. Selon son évaluation, l’auditeur détermine si des changements doivent être apportés à la nature, au calendrier et à l’étendue des procédures prévues, et si :

  • des contrôles pertinents doivent être testés dans le cadre de l’audit;
  • des procédures de corroboration supplémentaires doivent être effectuées en réponse à un risque évalué.

Si l’auditeur identifie des risques importants liés à la cybersécurité, il doit communiquer ces risques conformément à la NCA 260 et à la section BVG Audit 2214.

Réf. Secteur Points à considérer*
1 Évaluation des risques
  • Quels sont les aspects des affaires et des activités de l’entité qui sont exposés à des risques importants liés à la cybersécurité et quels sont les coûts et les conséquences éventuelles de ces risques (y compris les risques propres au secteur d’activité et les risques propres aux fournisseurs tiers et aux fournisseurs de services)?
  • L’entité a‑t‑elle identifié la cybersécurité comme un risque dans le cadre de son évaluation des risques?
  • Comment l’entité a‑t‑elle défini le risque lié à la cybersécurité pour ses activités?
  • L’entité a‑t‑elle fait un inventaire de ses biens informatiques et technologiques?
  • Comment l’entité a‑t‑elle structuré son réseau (p. ex., les composants physiques du réseau et leur configuration fonctionnelle)? L’entité a‑t‑elle établi un inventaire de tous les composants externes ayant une interface avec son environnement informatique?
  • Y a‑t‑il des risques liés à la cybersécurité ayant une incidence sur des contrôles internes qui sont pertinents pour la préparation des états financiers?
  • Quelles sont les mesures prises par l’entité en matière de cybersécurité à la suite de son évaluation des risques?
  • La fonction d’audit interne de l’entité a‑t‑elle entrepris des projets pour évaluer le risque de cybersécurité et quels sont les résultats de ses procédures?
  • L’entité possède-t-elle un programme de cybersécurité axé sur les risques qui est fondé sur une norme reconnue (p. ex. Institut national des normes et technologies [NIST], Organisation internationale de normalisation [ISO], Centre canadien pour la cybersécurité, Institut national chinois de normalisation [CNIS], Institut européen de normalisation des télécommunications [ETSI]) et surveillé par les responsables de la gouvernance?
  • Est‑ce que l’entité évalue périodiquement la conformité à ses politiques de cybersécurité (p. ex. intervention et rétablissement en cas d’incident, destruction des données, support amovible)?
  • Des incidents liés à la cybersécurité se sont‑ils déjà produits? Le cas échéant, quelles en ont été la fréquence et l’incidence?
  • Les coûts, entre autres, des litiges, des enquêtes réglementaires et des mesures correctives associés à des incidents liés à la cybersécurité sont‑ils significatifs?
2 Rôles et responsabilités
  • L’entité a‑t‑elle défini des rôles et des responsabilités en matière de cybersécurité? Qui est responsable (p. ex. le dirigeant principal de l’information et de la sécurité [DPIS], le dirigeant principal de l’information [DPI] ou le responsable des risques liés à la cybersécurité)?
  • Les responsables de la gouvernance ont‑ils discuté des questions de cybersécurité? Dans l’affirmative, l’entité a‑t‑elle pris des mesures pour donner suite aux discussions?
3 Protection des actifs
  • Y a‑t‑il des actifs numériques ou électroniques significatifs comptabilisés au bilan qui sont exposés à un risque lié à la cybersécurité (p. ex. propriété intellectuelle, brevets, objet protégé par un droit d’auteur, secrets commerciaux)? Le cas échéant, quel processus la direction utilise-t-elle pour recenser ces actifs et établir l’ordre de priorité des mesures de protection en fonction du caractère essentiel des actifs ((p. ex., les logiciels générés à l’interne n’ont probablement pas de valeur à l’extérieur de l’organisation)?
  • Les activités de l’entité reposent-elles sur certains actifs, comme une plateforme de négociation d’actifs développée à l’interne qui pourrait avoir une incidence importante sur les résultats d’exploitation en cas d’incident de cybersécurité (p. ex., interruption des opérations ou vol d’actifs de clients)?
  • Comment la direction surveille-t-elle s’il y a eu un accès non autorisé aux actifs numériques ou électroniques et son incidence possible sur l’information financière?
4 Atteintes à la sécurité
  • L’entité dispose-t-elle de contrôles et de procédures qui lui permettent de recenser les risques et les incidents liés à la cybersécurité, d’analyser leur incidence sur les activités de l’entité, d’évaluer l’importance des risques et des incidents ainsi que de déterminer les informations à communiquer en temps opportun (au besoin)?
  • L’entité a‑t‑elle été visée par un incident lié à la cybersécurité ou par une atteinte à la protection des données qui étaient significatifs? Le cas échéant, quelle était la nature de l’incident? Cette attaque a‑t‑elle eu une incidence sur les systèmes qui sont importants sur le plan financier?
  • L’entité s’est-elle dotée d’un plan d’intervention en cas d’incident lié à la sécurité?
5 Informations à fournir aux parties prenantes de l’entité
  • L’entité a‑t‑elle divulgué des renseignements aux parties prenantes concernant les risques liés à la cybersécurité?
  • Quelle est la nature des risques présentés?
  • Y a‑t‑il des risques qui sont liés aux informations financières ou qui pourraient avoir une incidence sur ces dernières?

Voici des exemples d’éléments qui influent sur l’information financière :

  • charges liées aux enquêtes, aux avis d’atteinte à la protection des données, aux mesures correctives et aux litiges, y compris les frais juridiques et honoraires pour d’autres services professionnels;
  • perte de revenus, mesures incitatives destinées aux clients ou perte de la valeur des actifs liés aux relations clients;
  • réclamations au titre des garanties, un manquement à un contrat, rappel ou remplacement de produits, non‑conformité aux règlements en matière de protection des données, indemnisations versées à des contreparties et hausse de la prime d’assurance;
  • réduction des flux de trésorerie futurs, dépréciation d’actifs intellectuels, d’immobilisations incorporelles ou d’autres actifs, comptabilisation de passifs ou augmentation des coûts de financement.

*Les points à considérer propres à l’évaluation des risques liés à l’accès aux informations des clients, à la protection des renseignements personnels et à la sécurité matérielle sont expressément exclus de cette évaluation des risques, car ils ne sont pas habituellement liés aux risques d’anomalies significatives dans les états financiers.

Le tableau suivant comprend les expositions courantes aux risques liés à la cybersécurité. L’auditeur doit tenir compte de ces expositions courantes dans le cadre des procédures d’évaluation des risques et documenter cette prise en compte dans la procédure de planification pertinente concernant l’acquisition d’une compréhension des risques liés à la cybersécurité se rapportant à l’audit. Dans la mesure où l’un ou l’autre de ces risques liés à la cybersécurité représente un risque d’anomalies significatives dans les états financiers, l’auditeur doit tenir compte de l’incidence sur le plan d’audit, y compris l’ajustement du plan de test des contrôles, au besoin.

Secteur Considérations relatives aux risques Considérations relatives aux contrôles Exemples de contrôles
Information et communication au niveau de l’entité Communications électroniques frauduleuses ou compromises provenant d’expéditeurs se faisant passer pour des cadres d’entreprise ou des fournisseurs et contenant des instructions de virement de fonds qui donnent lieu à des paiements qui ne sont pas comptabilisés de manière appropriée
  • Des contrôles sont en place au niveau de l’entité visant les communications aux responsables de la gestion des finances au sujet des possibles stratagèmes de cybercriminels et des mécanismes d’information et de communication afin de diffuser les pratiques de gestion du risque lié à la cybersécurité

L’entité tient à jour et examine périodiquement des politiques et des procédures relatives à la gestion du risque lié à la cybersécurité, y compris des mécanismes d’information et de communication visant à renseigner les responsables de la gestion des finances sur les possibles stratagèmes de cybercriminels.

Les employés suivent périodiquement un programme de formation complet sur la sensibilisation à la sécurité qui traite entre autres des pratiques de gestion du risque lié à la cybersécurité (p. ex. les campagnes d’hameçonnage).

Configuration ou modification des données sur les fournisseurs Dans certains cas d’hameçonnage par courriel, des individus se faisant passer pour des membres du personnel autorisé d’un fournisseur ont demandé de modifier les renseignements sur un compte bancaire ou d’autres renseignements clés sur le fournisseur. Des entités ont malencontreusement envoyé des fonds à ces individus et ainsi réduit indûment le montant du passif dû au fournisseur réel, ce qui s’est répercuté dans les états financiers (perte de liquidité et charge connexe, et nécessité de rétablir le montant de la dette à payer au fournisseur).
  • Des politiques ou des procédures sont en place concernant la mise à jour des données de base sur les fournisseurs
  • Les modifications aux données de base sur les fournisseurs sont approuvées
  • Les processus automatisés de traitement des modifications aux données de base sur les fournisseurs fonctionnent comme prévu (y compris le flux des travaux dans le système)
  • Des méthodes d’authentification autorisées sont utilisées pour confirmer la validité des demandes de modification aux données de base sur les fournisseurs, comme le rappel automatique ou d’autres procédures de vérification
L’entité procède à une évaluation périodique des risques liés aux renseignements clés sur les fournisseurs. La configuration et la modification des renseignements clé sur les fournisseurs (p. ex. les renseignements sur les comptes bancaires) sont autorisées avant la mise à jour dans le système de gestion des fournisseurs (entre autres au moyen du rappel automatique ou d’autres procédures de vérification).
Virements électroniques de fonds (aussi appelés « transferts électroniques de fonds » ou « virements télégraphiques ») Comme en ce qui a trait aux modifications des données sur les fournisseurs mentionnées ci‑dessus, des stratagèmes informatiques liés à des demandes frauduleuses de virements télégraphiques ont eu lieu dans le cadre de transactions commerciales et de paiements des fournisseurs, ainsi que des demandes frauduleuses qui semblent provenir d’institutions financières demandant le décaissement de comptes d’actifs de clients.
  • Des politiques ou des procédures sont en place pour le traitement des virements télégraphiques, y compris l’établissement et l’approbation des virements télégraphiques et le déblocage des fonds correspondants.
  • La séparation des tâches est maintenue et l’accès est restreint de façon appropriée, de sorte que des personnes différentes sont responsables de l’établissement, de l’approbation et de l’exécution d’un transfert.
  • Les méthodes d’authentification autorisées sont utilisées, y compris les procédures de rappel ou d’authentification à deux facteurs.
  • L’automatisation (y compris les flux de travail du système) utilisée pour le traitement des virements télégraphiques fonctionne comme prévu.
L’entité a mis en œuvre des politiques et procédures relatives aux virements en espèces et aux virements télégraphiques – et les revoit périodiquement – pour s’assurer que tous les versements sont autorisés par du personnel indépendant et approprié.
Prévention/détection et surveillance des intrusions Des attaques par intrusion (p. ex., rançongiciel) peuvent se produire, empêchant l’entité d’accéder à son infrastructure ou à ses données essentielles.
  • Des politiques ou des procédures sont en place relativement au programme de surveillance des incidents de sécurité de l’entité.
  • Des registres sont configurés pour identifier les incidents de sécurité potentiels.
  • Un processus est en place pour évaluer et catégoriser les incidents en matière de sécurité identifiés.

L’entité examine périodiquement les outils de prévention ou de détection des intrusions pour s’assurer que les outils sont configurés de manière à surveiller les actifs essentiels sur le plan financier.

Les incidents liés à des menaces potentielles à la sécurité sont identifiés au moyen d’outils de prévention ou de détection des intrusions et gérés de manière à y remédier en temps opportun.

Gestion des correctifs

Des cyberattaques et des rançongiciels exploitant des vulnérabilités en matière de sécurité connues entraînent la manipulation ou la destruction de données, ce qui a une incidence sur les états financiers ou sur la disponibilité du système, ainsi que sur la présentation de l’information financière en temps opportun.

Les vulnérabilités connues en matière de sécurité sont exploitées dans le cadre de cyberattaques, ce qui donne lieu à l’exploitation d’un bon nombre des secteurs exposés décrits ci‑dessus. L’exploitation des vulnérabilités en matière de sécurité connues peut être causée par des correctifs non appliqués.

  • Des politiques et/ou procédures sont en place en lien avec le programme de gestion des correctifs de l’entité.
  • Un programme de gestion des correctifs est en place pour qu’on s’assure que les vulnérabilités en matière de sécurité sont traitées, surveillées et signalées.
  • Les vulnérabilités identifiées attribuables aux correctifs non exécutés ou non appliqués sont traitées conformément aux politiques et/ou procédures.
  • Les cadres responsables de la technologie sont informés de façon périodique de l’état du programme de gestion des correctifs.

L’entité maintient et revoit périodiquement les politiques et procédures relatives à la gestion des correctifs.

Les correctifs liés aux vulnérabilités en matière de sécurité potentielles sont mis en œuvre en temps opportun pour répondre aux vulnérabilités identifiées.

Des analyses périodiques sont effectuées pour permettre l’identification des vulnérabilités potentielles attribuables à des correctifs de sécurité non exécutés ou non appliqués.

Sauvegarde et récupération Absence de procédures efficaces de sauvegarde et de récupération entraînant des incidents liés à la cybersécurité qui rendent les systèmes inutilisables (p. ex., attaques par rançongiciel), ce qui peut menacer la capacité de l’entité à préparer les états financiers ou à les déposer en temps opportun.
  • Les processus de sauvegarde et les modifications apportées aux configurations de sauvegarde sont surveillés.
  • Les défaillances et/ou les erreurs identifiées liées aux sauvegardes sont traitées conformément aux politiques et aux procédures.
  • Les objectifs de temps de récupération et les objectifs de point de rétablissement sont revus périodiquement.
  • Les processus de rétablissement sont testés de façon périodique pour qu’on s’assure que les systèmes essentiels sur le plan financier nécessaires à la présentation de l’information financière en temps opportun peuvent être rétablis conformément aux objectifs de temps de récupération et aux objectifs de point de rétablissement.

L’entité examine périodiquement les objectifs de temps de récupération concernant les systèmes essentiels sur le plan financier qui sont nécessaires à la présentation de l’information financière en temps opportun.

L’entité teste périodiquement les processus de sauvegarde et de récupération afin de s’assurer que les systèmes essentiels sur le plan financier nécessaires à la présentation de l’information financière en temps opportun peuvent être rétablis conformément aux objectifs de temps de récupération et aux objectifs de point de rétablissement en cas de cyberattaque.

Incidents liés à la cybersécurité

Directives du BVG

Les incidents liés à la cybersécurité pourraient avoir une incidence sur l’évaluation des risques. Selon le type d’incident et la réponse de l’entité, cela pourrait avoir une incidence sur un petit secteur visé par l’audit, par exemple, nécessitant un test de cheminement plus détaillé à l’égard des contrôles de l’entité relatifs à la détection des intrusions. Certains incidents liés à la cybersécurité pourraient être plus répandus et avoir une incidence sur l’ensemble des transactions financières, par exemple, une attaque par rançongiciel qui menace la capacité de l’entité de préparer les états financiers. Les directives suivantes peuvent aider l’auditeur à mener des discussions initiales avec les clients audités lorsqu’il est informé de la possibilité d’une corruption des données, d’atteintes à la sécurité ou d’autres incidents liés à la sécurité :

Étape Mesures prises par l’équipe de mission
1

Comprendre l’incident (quoi, quand, où et comment?)

  • Envisager de recourir à des experts en matière de cybersécurité et l’Audit des TI.
  • Examiner les questions du tableau ci‑après pour se préparer aux discussions avec le client.
  • La séance d’information initiale avec le client peut comprendre des discussions avec les spécialistes de la comptabilité judiciaire et l’avocat externe du client.
  • Comprendre si le client prévoit divulguer l’incident dans un rapport public.
2

Demander des informations auprès du client

  • Élaborer des demandes d’informations (c.‑à‑d. une liste des documents préparés par le client).
3

Analyser les informations reçues, examiner les constatations et déterminer l’incidence sur l’information financière (p. ex. systèmes touchés, déficiences possibles des contrôles)

  • Examiner les informations reçues à l’étape 2 (p. ex. principaux détails de l’incident, comme les hôtes compromis et les maliciels utilisés) et déterminer si des mesures d’enquête additionnelles doivent être prises.
  • Obtenir des informations auprès de la direction ou de ressources tierces engagées par la direction afin de comprendre les répercussions sur les applications, les bases de données et les serveurs liés à l’information financière.
  • Tenir compte de l’incidence sur les procédures d’audit prévues (p. ex., procédures supplémentaires pour vérifier l’intégralité et l’exactitude des données de sauvegarde récupérées).
  • Communiquer avec des experts en cybersécurité et l’Audit des TI afin de déterminer l’incidence sur l’information financière.
4

Documenter la compréhension et la réponse de l’auditeur (s’il y a lieu)

  • Les experts en cybersécurité peuvent résumer les détails de l’incident dans une note de service.
  • L’auditeur peut envisager de consulter l’Audit des TI lorsqu’un incident important lié à la cybersécurité se produit.

Comme il est indiqué à l’étape 1, les questions ci‑après peuvent être soulevées avec le client pour aider l’auditeur à mieux comprendre l’incident :

Étape de l’incident Points à considérer
Détection
  • Quel type d’incident s’est produit? Des applications informatiques et des données ont‑elles été visées par l’incident lié à la cybersécurité?
  • Comment la direction a‑t‑elle pris connaissance de l’incident lié à cybersécurité? Comment l’auditeur a‑t‑il été informé?
  • L’atteinte à la sécurité a‑t‑elle été signalée à la direction par un organisme externe (p. ex. les services de police) ou a‑t‑elle été détectée à l’interne?
  • Quand l’incident est‑il survenu? À quel moment la direction a‑t‑elle constaté l’incident? Quand le processus d’enquête ou de rétablissement (le cas échéant) a‑t‑il commencé? Quand l’auditeur a‑t‑il été informé de l’incident?
Évaluation
  • Des enquêtes internes ou externes ont‑elles été réalisées ou sont-elles en cours? Le cas échéant, qui mène l’enquête? Ces activités sont-elles effectuées par une équipe interne ou par un tiers?
  • Y a‑t‑il un rapport judiciaire que l’auditeur peut examiner?
  • L’entité a‑t‑elle retenu les services d’un avocat externe? L’incident est‑il visé par le secret professionnel de l’avocat?
  • Une enquête menée par les services de police est‑elle en cours?
  • L’incident lié à la cybersécurité a‑t‑il entraîné la modification d’informations ou de données?
  • Des informations ont‑elles été volées? Le cas échéant, quelle a été la nature des informations ou des données volées?
  • Des hôtes et des comptes d’utilisateurs ont‑ils été compromis? Le cas échéant, combien?
  • L’auteur de la menace, l’attaquant ou l’adversaire a‑t‑il été identifié? Était‑il à l’intérieur ou à l’extérieur de l’organisation?
  • Quel était le vecteur d’attaque ou le mécanisme utilisé pour porter atteinte à la sécurité (p. ex. maliciel, hameçonnage, fichiers infectés ou défaut de l’application)?
  • Certaines activités de l’entité ont‑elles été compromises?
  • Quelles mesures ont été prises afin qu’aucun autre système ne soit perturbé?
  • L’entité a‑t‑elle mis en place un processus de surveillance dans le but de détecter des incidents similaires?
  • Cet incident est‑il lié à une vulnérabilité qui avait déjà été détectée?
Intervention
  • L’entité avait-elle un plan d’intervention en cas d’incident? A t il fonctionné comme prévu?
  • Quelles sont les mesures prises par l’entité pour maîtriser les effets de l’atteinte à la sécurité ou de l’incident, bloquer tout autre accès et atténuer les dommages?
  • Des activités d’intervention, d’éradication ou de confinement sont-elles toujours en cours?
  • Quels sont les coûts (individuels ou pris collectivement) occasionnés par l’incident? Sont ils significatifs par rapport aux états financiers ou aux informations à fournir?
  • En cas d’attaque par rançongiciel, l’organisation a‑t‑elle payé la rançon? Dans l’affirmative, quel a été le montant total payé pour la rançon?
  • Quelles sont les informations que la direction a présentées aux responsables de la gouvernance?
  • La direction prévoit elle divulguer l’incident à l’interne? Le cas échéant, quelles informations la direction prévoit elle divulguer, et à qui?
  • La direction prévoit-elle divulguer l’incident publiquement? Le cas échéant, quelles informations la direction prévoit elle rendre publiques : des informations à fournir dans les états financiers, des informations réglementaires ou publiques (c. à d. avis aux clients, communiqué de presse)?
  • L’auditeur doit‑il obtenir des déclarations de la direction particulières?
Rétablissement
  • Comment la direction a‑t‑elle déterminé si le risque lié à la cybersécurité représentait un risque d’anomalies significatives au niveau des états financiers?
  • Quelle évaluation du contrôle interne la direction a t elle effectuée et quelles en étaient les conclusions?
  • Quelles sont les déficiences dans l’environnement (systèmes, politiques, procédures ou formation) qui ont permis à l’atteinte à la sécurité ou à l’incident de se produire?
    • Un contrôle est‑il manquant? Y a t il un problème lié à la conception des contrôles existants? Y a t il une déficience dans le fonctionnement des contrôles?
    • La déficience a t elle une incidence sur l’efficacité du fonctionnement de toutes les activités de contrôle dans les secteurs recensés ou de seulement certaines activités de contrôle?
    • Y a‑t‑il eu d’autres défaillances générales des contrôles, surtout compte tenu de la cause profonde de la déficience et d’autres répercussions éventuelles, y compris tous les éléments du cadre du cadre de contrôle interne (p. ex. évaluation des risques, environnement de contrôle)?
  • Les mesures de rétablissement prises par la direction à la suite de l’incident (voir ci dessus) sont-elles signe d’un contrôle manquant ou défaillant?