AUDIT INFORMATIQUE : TOUS CONCERNÉS !

LE GUIDE PRATIQUE COMPLET

TRO
INTRODUCTION COMMENT SENSIBILISER
LES PROFESSIONNELS ?
IN
AUDIT INFORMATIQUE, Data mining, Data processing, sécurité informatique, contrôle informatisé…

TOUS CONCERNÉS ! Un jargon de plus en plus courant dans nos échanges, sans pour autant être toujours
maitrisé. Le groupe de travail est donc là pour réfléchir à de nouvelles manières de
présenter ces concepts et de les rendre accessibles à tous.

Notre groupe a donc travaillé à l’élaboration de ce guide pratique dans l’objectif de :

Notre profession accompagne des entreprises de plus en plus informatisées, collectant
 de sensibiliser nos confrères à l’intégration des systèmes d’information
et traitant des millions de données. Elle se doit donc d’évoluer pour conserver le contrôle
dans leur démarche et à l’utilisation de ces techniques lors de leurs missions
des données financières analysées dans un contexte de cas de fraude en croissance
permanente. Après une série de conférences sur le rôle du commissaire aux comptes  de détailler les enjeux réglementaires qui y sont liés
dans la lutte anti- fraude organisées dès 2015, la CRCC de Paris, sous l’impulsion  d’apporter des réponses et une méthodologie applicable directement
de Frédéric Burband, vice-président, a décidé de créer le groupe de travail “Audit dans leurs missions
informatique”, en partenariat avec l’AFAI, qui rassemble des spécialistes du contrôle
 de leur permettre de développer une offre de services d’audit informatique
interne informatique et de l’analyse de données informatiques.

POURQUOI UN GROUPE DE TRAVAIL L’AUDIT INFORMATIQUE, CE N’EST DONC PAS

SUR L’AUDIT INFORMATIQUE ? QUE POUR LES ETI ET LES GRANDS COMPTES ?

Notre objectif depuis 2016 est d’ouvrir nos consœurs et confrères à l’utilisation des Et bien non. Si nous prenons l’exemple du FEC, le Fichier des Ecritures Comptables,
outils d’analyse de données répondant au double objectif de sécurisation de leur demandé désormais par l’administration fiscale et qui contient l’ensemble des écritures
mission et d’efficacité dans les réponses à apporter aux besoins des entreprises que d’une entreprise, il concerne toutes les entreprises françaises qui tiennent leur
nous accompagnons. comptabilité de manière informatisée. Il soulève d’ailleurs souvent des questions de la
Par ailleurs, il est également nécessaire de les sensibiliser sur les risques de la part des entreprises, malheureusement trop tard lorsque le vérificateur s’y intéresse...
digitalisation des processus de l’entreprise tels que la perte de continuité d’activité ou
encore la perte d’intégrité des données si celles-ci ne sont pas suffisamment sécurisées :
soit parce que les accès aux systèmes sont trop étendus, soit parce que les programmes EN QUOI EST-CE UN OUTIL OPÉRATIONNEL ?
informatiques peuvent être modifiés sans contrôle en amont. La transition numérique
actuelle engagée par les pouvoirs publics (FEC, DSN, facture électronique, Chorus…) Au-delà d’une présentation des bonnes pratiques et du rattachement aux NEP
n’est donc pas un obstacle, mais bien l’opportunité pour les professionnels que nous concernées, des questionnaires simples permettent au commissaire aux comptes de
sommes, de donner du poids à nos contrôles. conduire les entretiens avec son client pour mesurer son niveau d’ouverture sur le
numérique et d’exposition aux risques.

6 7
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !

-
LE GUIDE PRATIQUE COMPLET

M
La synthèse de cartographie des risques, sous forme de rosace, traduit

TRO SO IRE
N MA
visuellement ces niveaux et facilite la communication avec le client.
Elle l’aide à prendre des décisions de mise en œuvre de missions plus
pointues sur un ou plusieurs domaines dans le cadre de services autres
que la certification des comptes.
I
Un glossaire est fourni pour ne rien manquer des termes techniques applicables ainsi
que des références pour aller plus loin dans le domaine concerné.

PARTIE 1 : FICHES PRATIQUES AUDIT INFORMATIQUE

COMMENT UTILISER CE GUIDE ?
FICHE 01 I Ouverture sur la transformation numérique 12
FICHE 02 I Gouvernance des systèmes d’information 18
11 DOMAINES ABORDÉS :
FICHE 03 I Contrôle des accès 30
10 QUESTIONNAIRES DE CONDUITE D’ENTRETIEN ET 11 SACC POUR
DEVELOPPER VOTRE OFFRE DE SERVICE EN AUDIT DES SI FICHE 04 I Conduite de projets 38

Afin d’avoir une vision globale de son système d’informations et lui présenter une FICHE 05 I Utilisation des outils d’audit de données 46
cartographie exhaustive des risques (cf. rosace), il est recommandé d’aborder tous les FICHE 06 I Protection des données personnelles 52
domaines avec son client. Néanmoins, chaque questionnaire peut être utilisé FICHE 07 I Législation fiscale et SI 58
indépendamment des autres.
FICHE 08 I Exploitation des systèmes d’information 66
FICHE 09 I Plan de continuité d’activité 72
Des versions Word des fiches seront téléchargeables sur le site de la CRCC de Paris.
FICHE 1 0 I Cybersécurité 78
La mise en œuvre des SACC dépendra de la teneur de l’entretien avec le chef d’entreprise
et du niveau de risque détecté. SYNTHÈSE DE LA CARTOGRAPHIE DES RISQUES I 84

STRUCTURE DU GUIDE PARTIE 2 : SACC AUDIT INFORMATIQUE

GOUVERNANCE D’ENTREPRISE FICHE 01 I Ouverture sur la transformation numérique 92

Ouverture sur la transformation numérique FICHE 02 I Gouvernance des systèmes d’information 98

Gouvernance des systèmes d’information FICHE 03 I Contrôle des accès 104
Audit de services externalisés FICHE 04 I Conduite de projets 110
FICHE 05 I Utilisation des outils d’audit de données 116
RISQUES OPÉRATIONNELS
FICHE 06 I Protection des données personnelles 118
Contrôle des accès
FICHE 07 I Législation fiscale et SI 126
Conduite de projets
FICHE 08 I Exploitation des systèmes d’information 132
Exploitation des systèmes d’information
FICHE 09 I Plan de continuité d’activité 138
Plan de continuité d’activité
Cybersécurité - Cybercriminalité FICHE 1 0 I Cybercriminalité 144

FICHE 1 1 I Audit de services externalisés 152

ACTIVITÉS DE CONTRÔLE
GLOSSAIRE I 158
Utilisation des outils d’audit de données
Protection des données personnelles POUR ALLER PLUS LOIN I 166
Législation fiscale et SI

8 9
 -
AUDIT INFORMATIQUE : TOUS CONCERNÉS !

R
10 FICHES PRATIQUES POUR RÉUSSIR

PA 1
TIE

10 FICHES
PARTIE 1 PRATIQUES
POUR RÉUSSIR

11
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

FICHE 01
OUVERTURE SUR
LA TRANSFORMATION
NUMÉRIQUE
01

OUVERTURE SUR LA TRANSFORMATION NUMÉRIQUE

CONTEXTE ET ENJEUX

Qu’est-ce que la transformation numérique ? La transformation numérique encore appelée

transformation digitale est la création, l’utilisation et le partage de données numériques en vue
de création de nouveaux services à usage externe ou interne. C’est donc le processus permettant
aux entreprises d’intégrer l’usage de toutes les technologies digitales relatives à leurs activités. Elle

OUVERTURE
a impacté les offres aux consommateurs tout comme la pratique des consommateurs, ainsi que
la culture d’entreprise en modifiant les mentalités et ses processus. L’adaptation à cette évolution
digitale est l’une des priorités majeures pour les entreprises voulant rester compétitives, d’autant que
cette révolution ne semble pas ralentir, bien au contraire.

SUR LA Le numérique s’impose comme un enjeu stratégique majeur de vie ou de mort pour les entreprises.
Pourquoi ? Parce que les implications sont multiples ; elles touchent les offres et les business model,

TRANSFORMATION
les modes de management, les fonctionnements entre les collaborateurs, les relations avec les clients
et les fournisseurs, et les technologies.

Le numérique est souvent comparé à la bulle internet dans l’informatique des années 90. Mais il

NUMÉRIQUE n’en est rien. Cette fois, l’évolution n’est pas seulement technologique, elle implique de reconsidérer
l’ensemble en profondeur : l’homme, sa culture, l’organisation, les processus et les méthodes. Le
numérique fait apparaitre de nouvelles questions éthiques touchant le traitement des données
personnelles des différentes parties prenantes (origine, transmission, vente, exploitation,
transformation, …) dont les usages ne sont pas toujours prévisibles et contrôlés.

Le pilier technologique de la transformation digitale comprend le déploiement de différentes

techniques telles que le cloud, la réalité virtuelle et l’intelligence artificielle. Une transformation
numérique réussie doit intégrer l’ensemble de ces volets afin de mieux exploiter les données
accumulées depuis des années par les entreprises.

Au-delà des opportunités et des perspectives positives que le numérique apporte, les changements
génèrent aussi des risques nouveaux pour l’entreprise.

NEP ET TEXTES DE RÉFÉRENCE

 NEP 315 : Connaissance de l’entité et de son environnement et évaluation du risque d’anomalies

significatives.

 Doctrine de la CNCC relative aux prestations entrant dans le cadre des Services Autres que la
Certification des Comptes (SACC).

12 13
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

01
FICHE 01
OUVERTURE SUR
LA TRANSFORMATION NUMÉRIQUE

ANALYSE DES RISQUES ET CRITICITÉ

Les facteurs clefs de criticité qui en ressortent sont les suivants :
Les enjeux sont multiples :
Certaines entreprises sont nées de cette révolution numérique et sont devenues des leaders
Economique : Depuis l’an 2000, plus d’une entreprise sur deux du classement Fortune 500 a (Google, Apple, Facebook, Amazon) et d’autres ont su se transformer (Accor, Michelin…). D’autres
disparu ou a fait faillite. ont mal pris le virage du numérique (NOKIA, KODAK…). En tant que Dirigeants, les impacts
La condition sine qua non de mener à bien sa transformation numérique réside dans liés à cette transformation doivent être anticipés, maitrisés, et les investissements nécessaires
l’engagement indéfectible du Dirigeant et des ses managers. effectués.

OUVERTURE SUR LA TRANSFORMATION NUMÉRIQUE

La mesure de la performance doit être évaluée de façon globale y compris sur la transformation
numérique de l’entreprise. Cette approche pousse à décomposer l’analyse de la performance selon différents angles :

Stratégique : Le numérique n’est pas un effet de mode. Il doit être utilisé comme le moyen de  Comment déployer le numérique en tenant compte de la réalité du terrain ? Comment anticiper
redéfinir l’offre et l’organisation, et donc de piloter l’entreprise autrement et plus efficacement les nouvelles tendances sur son marché ? Les projets numériques sont-ils bien en prise avec les
dans l’économie d’aujourd’hui. Le numérique est au service de la stratégie de l’entreprise. dernières innovations ?

 Comment l’entreprise intègre-t-elle les évolutions de son environnement dans son organisation ?
Concurrentiel : Sur de nombreux secteurs, la mise en place d’une aide robotisée, de la mise en La veille sur les évolutions technologiques est cruciale, car elle évite les décalages.
place d’objets connectés, de la meilleure connaissance des clients par la « data » permettent
d’augmenter la compétitivité des entreprises et de mieux contribuer à son écosystème.  Quels sont les impacts des décisions sur l’environnement et sur l’ensemble des parties prenantes ? Le
Une meilleure connaissance du client passe par une meilleure exploitation de la data qui numérique redistribue la valeur économique en se concentrant davantage sur le service rendu
reste une source d’informations précieuses en matière de transformation digitale. Il est au client final.
judicieux de faire parler les données accumulées depuis plusieurs années.
 Quelles sont les mesures prises pour s’assurer que ses offres collent aux émotions et attentes
Ce constat est important, car la bataille du rapport qualité/prix touche désormais tous les
de ses clients ?
secteurs (y compris les professionnels du chiffre) et en devient une obligation cruciale pour
la survie des entreprises.  Comment sont mesurées les performances opérationnelles des différentes lignes de produits
et services ?
Écologique : L’empreinte écologique fait désormais partie de notre quotidien, tant sur des
plans personnels que professionnels. L’action écologique ne se limite donc plus au tri des
déchets ménagers mais à la définition au sein même des entreprises d’une véritable stratégie
prenant en compte la dimension écologique.
QUESTIONNAIRE
Cette dimension impact les nouvelles réglementations qui permettent désormais :
(Source : cahier 33 Mesure globale de la performance durable [Link])
• De stocker des justificatifs sous un format électronique sécurisé plutôt que la
version papier
• De fournir une comptabilité dématérialisée en cas de contrôle Enjeu / Interlocuteur
Thème / Question Réponse attendue
• D’envoyer des factures dématérialisées plutôt que par courrier Risque associé concerné
• Etc…
Le DG, OUI
L’entreprise a-t-elle mis en place un projet de
Continuité le marketing, - Mobilité
Ces évolutions ne peuvent pas être négligées car elles nécessitent une transformation de la transformation numérique dans les deux
d’exploitation la DSI, la DRH, - Vente multi canal
dernières années ?
culture des entreprises mais également des approches de travail plus collaboratives. Elles ne la DAF (clic and collect)
peuvent donc pas se conduire en quelques mois et doivent s’inscrire durablement dans la
Est-ce que l’entreprise a étudié les opportuni-
stratégie de chaque entité. tés en matière de marketing, de connaissance Le DG, OUI
de ses clients, de création de nouveaux Continuité le marketing, - Objets connectés
services, de changement de Business Model, d’exploitation la DSI, la DRH, - Réseaux sociaux
d’amélioration des processus de production et la DAF
de logistique ?

L’entreprise est-elle accompagnée dans ses

Fiabilité des données
projets de transformation par des experts/ DG OUI
Conformité
consultants ?

14 15
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

01
FICHE 01
OUVERTURE SUR
LA TRANSFORMATION NUMÉRIQUE

Enjeu / Interlocuteur Enjeu / Interlocuteur

Thème / Question Réponse attendue Thème / Question Réponse attendue
Risque associé concerné Risque associé concerné

Les responsables opérationnels ont-ils OUI OUI

OUVERTURE SUR LA TRANSFORMATION NUMÉRIQUE

compris les enjeux et les contraintes du - Utilisation Les processus sont documentés et partagés au
- Cartographie
numérique ? (nouveautés, changements de Continuité d’activité DG des outils niveau de la Direction Générale et des
Le DG, des processus
relations inter-personnelles, rythme des collaboratifs décideurs opérationnels en charge de l’offre _
La DSI – approche
évolutions , ...) - MOOC et s’ajustent avec l’environnement grâce au
transversale
numérique.
Culture projet
OUI
L’informatique numérique dispose de res- - Méthodes agiles
Le DG, la DSI, OUI
sources spécifiques, en termes de finance, de - Budget d’inves- Le numérique développe une capacité
Continuité d’activité Chief Digital - Dashboarding
gestion de la complexité, de maitrise de l’agilité tissement nouvelle de suivi des objectifs de qualité, coûts,
Officer _ Le DG, la DSI - Données de
et des interactions, d’équipes; - Pizza team délais (agilité, vélocité …) des produits et
workflow
services.
- Objets connectés

OUI OUI
Le parcours numérique du client est au cœur
- Mise en place - RFID
du pilotage de la performance opérationnelle - Le DG, la DSI
du Big Data / - Géolocalisation
(CRM,…) Le numérique améliore la gestion de la
Analytics - Drive dans
production, de la distribution et de la _ _
la grande
personnalisation de l’offre.
distribution
OUI Impression 3D
L’accès, la transformation et la diffusion des - Application
données personnelles sont pris en compte - Le DG, la DSI GDPR (cf. fiche
dans les projets numériques ? données person-
nelles)
MATURITÉ DE L’ENTREPRISE EN MATIÈRE DE TRANSFORMATION NUMÉRIQUE :
OUI
Ce tableau sera repris dans la synthèse globale de cartographie des risques en fin de première
- Bureau dyna-
La culture de l’entreprise est propice à la mique partie.
- Le DG, la DSI
transformation numérique - Innovation
favorisée
Le niveau de risque sera noté comme suit :
 1 : Faible
OUI
Les évolutions numériques intègrent les  2 : Moyen
- Plan d’audit sur
exigences de gestion des risques, de contrôle
- Le DG, la DSI les projets de  3 : Elevé
et d’audit en lien avec les pratiques réglemen-
transformation
taires et éthiques
numérique
Evaluation du risque Niveau de risque Commentaire

OUI
Incidence
Les nouvelles pratiques commerciales - Guidage du par-
numériques sont revues systématiquement en cours clients
tenant compte des circuits multicanaux, de - Le DG, la DSI - Proposition Probabilité d’occurence
l’intégration des réseaux sociaux et du Big d’achats sur les
Data plateformes

EXEMPLES DE BONNES PRATIQUES :

OUI
- Mise en place (Source : cahier 33 Mesure globale de la performance durable [Link]
L’entreprise dispose d’un plan d’intégration
d’API  Intégrer la digitalisation dans la stratégie globale de l’entreprise
des technologies dont elle aura besoin pour
- Schéma
anticiper les évolutions de son marché et se  Mettre le client au centre de ses préoccupations
- Le DG, la DSIui directeur
différencier de la concurrence (celui-ci peut
technique  Ne pas négliger la data et s’équiper pour la collecter
passer par des start-up, des équipes projets,
- Open innova-
des experts externes,….)  Former le personnel au numérique
tion

16 17
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

FICHE 02
GOUVERNANCE
DES SYSTÈMES
D’INFORMATION
02
Pourquoi parler de gouvernance des SI ? Parce qu’à une époque où les systèmes d’information sont

GOUVERNANCE DES SYSTÈMES D’INFORMATION

omniprésents et de plus en plus automatisés, leur alignement avec les objectifs, l’organisation et
les process de l’entreprise est un indicateur clé, voire le garant, de la fiabilité de l’information et
en particulier de l’information comptable et financière.
L’alignement du système d’information avec les besoins métiers de l’entreprise est au cœur
même du référentiel COBIT.

En effet, le COBIT promeut un SI, à travers les technologies de l’information, cohérent avec les

GOUVERNANCE
objectifs et la stratégie de l’entité. Ainsi, il donne une liste détaillée de plusieurs objectifs (300)
sur lequel l’auditeur des systèmes d’information doit s’appuyer pour vérifier cet alignement.

Permettant une évaluation de la maturité des processus et de la maitrise du système d’information,

DES SYSTÈMES le COBIT est donc un outil de dialogue entre la direction et le directeur du système d’information
(DSI).

D’INFORMATION
Le COBIT peut permettre de mettre en place un modèle de gouvernance du système d’information
qui lui permettra d’identifier les axes d’amélioration et les pistes de progrès.
La gouvernance des SI recouvre de multiples dimensions. Dans une perspective d’audit, nous en
avons retenu quatre :

LES RÔLES ET RESPONSABILITÉS VIS-À-VIS DU SI

LA GOUVERNANCE DES DONNÉES
LE CONTRÔLE INTERNE DES SI
LA COUVERTURE ET LA COHÉRENCE DU SYSTÈME D’INFORMATION

RÔLES & RESPONSABILITÉS

CONTEXTE ET ENJEUX

La répartition des rôles dans l’organisation et le pilotage du système d’information est un sujet
crucial au sein des organisations dans la mesure où elle conditionne la bonne maîtrise de
l’information qui est produite.
Comprendre les différentes fonctions de management des opérations liées aux applications
comme la propriété des applications et des données est un point central de l’appréhension des
risques constitutifs de l’information comptable et financière.

18 19
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

02
FICHE 02
GOUVERNANCE DES SYSTÈMES D’INFORMATION

NEP ET TEXTES DE RÉFÉRENCE QUESTIONNAIRE

A. ORGANISATION ET PILOTAGE
 NEP 315 : Connaissance de l’entité et de son environnement et évaluation du risque
d’anomalies significatives. Interlo-
Enjeu / Réponse
 COBIT (Common Objectives for Business Information Technology) qui a pour but Thème / Question
Risque associé
cuteur
attendue
l’alignement des objectifs et la stratégie de l’organisation avec les technologies de cible

l’information. Connaissance des parties

prenantes afin d’appré-
Un organigramme de la fonction cier la maîtrise de :

GOUVERNANCE DES SYSTÈMES D’INFORMATION

informatique est-il formalisé et actualisé • Rôles et responsabilités DSI OUI
ANALYSE DES RISQUES ET CRITICITÉ
de manière régulière ? des actions
et des contrôles
Le management des systèmes d’information fait partie intégrante du management de l’entreprise. • Séparation des tâches
C’est l’une des composantes de la gouvernance des SI. • Centralisation des
décisions en lien avec la
De manière globale, la direction générale est la propriétaire du système d’information et doit stratégie de l’entreprise
Le management de la fonction informatique
• Mise en place DG OUI
s’assurer du bon fonctionnement de celui-ci mais aussi de sa pérennité, comprenant sa bonne est-il attribué à une personne dédiée ?
de points de contrôle
évolution et sa sécurité. et de reporting par la
direction

Au regard des risques comptables et financiers, c’est le DAF qui porte in fine la responsabilité
Si oui, à qui cette personne est-elle rattachée Identification
de la validité et de l’exhaustivité de l’information produite quelle que soit l’assertion, mais il DG DG
hiérarchiquement ? du niveau de contrôle
appartient également à chaque propriétaire d’application et chaque propriétaire de données,
qu’il s’agisse de fonction métier ou transverse, de veiller à la disponibilité de l’information Maîtrise et coordination Comité
des actions de d’audit ;
produite. Un responsable de la sécurité informatique
sensibilisation et de DG audit
a-t-il été nommé au sein de l’organisation ?
surveillance de la interne ;
Afin de bien distinguer les deux fonctions : sécurité de l’information DG

 Les propriétaires d’applications sont responsables du correct fonctionnement Le directeur financier a-t-il défini des points Appréciation du niveau
de contrôle permettant de superviser la de maîtrise du système
de l’application, de l’adéquation aux besoins métiers et de la continuité d’exploitation. DAF OUI
production de l’information comptable et d’information par le
financière ? directeur financier
 Les propriétaires de données sont responsables de l’autorisation des accès,
de l’exactitude des traitements, de l’intégrité des données et de leur disponibilité.

B. MANAGEMENT ET RESPONSABILITÉ
La distinction entre les deux fonctions n’impose pas une stricte séparation entre les deux rôles de
responsables d’application et de responsable de données. Il convient en revanche que l’auditeur
Interlo-
identifie bien l’attribution de l’ensemble des rôles pour chaque application et chaque donnée, Enjeu / Réponse
Thème / Question cuteur
surtout dans le cadre d’organisation matricielle. Risque associé attendue
cible

Les fiches de poste des collaborateurs en Maîtrise des RACI

De fait, les principaux enjeux et risques associés sont : charge de la fonction informatique sont-elles Principe de non- DRH OUI
formalisées ? répudiation renforcée
Chaque acteur doit être identifié en lien avec ses attributions réelles afin d’appréhender
Les fiches de postes des managers Maîtrise des RACI
correctement les risques liés au système d’information.
précisent-elles leur responsabilité Principe de non- DRH OUI
relative au système d’information ? répudiation renforcée
Les opérations, les risques et les contrôles associés doivent être rattachés à des acteurs dûment
DAF, DSI,
nommés afin de ne pas laisser d’inconnue ou de « trous » dans le système de contrôle interne. Maîtrise du fonctionne-
Pour chaque application, un responsable DG,
ment des applications OUI
d’application est-il nommé ? Direction
et de leur évolution
En cas d’incertitude, une absence de contrôle ou des prises de décision inappropriées pourraient métier

mettre en péril la chaîne de production de l’information comptable et financière.

DAF, DSI,
Maîtrise des inventaires,
Pour chaque donnée critique, un propriétaire DG,
Par ailleurs, la bonne identification des rôles et responsabilités est indispensable à l’attribution des flux et des traite- OUI
de données est-il nommé ? Direction
ments de données
des actions de surveillance et/ou de sécurisation dans le cadre du processus d’amélioration métier
continue.

20 21
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

02
FICHE 02
GOUVERNANCE DES SYSTÈMES D’INFORMATION

GOUVERNANCE DES DONNÉES QUESTIONNAIRE

Pourquoi parler de gouvernance des données ? Parce que tout est donnée ! Toute entreprise,
Enjeu / Interlocuteur Réponse
indépendamment de sa taille, de son activité ou de son volume d’affaires, s’appuie sur un SI. Thème / Question
Risque associé cible attendue
Son activité économique est traduite comptablement en enregistrant des transactions dans des
livres comptables informatisés. Personne en charge
Fiabilité et intégrité des > identifier selon la
Les référentiels inclus dans le périmètre de
données auditées. Ex. : taille et l’activité de OUI
Raisonner donnée ! l’audit sont-ils uniques ?
fiche client en doublon l’entreprise : DSI, DAF,
DG, autre…

GOUVERNANCE DES SYSTÈMES D’INFORMATION

Un nombre
CONTEXTE ET ENJEUX • Fiabilité et intégrité des limité
Qui est habilité à créer, supprimer, mettre à
données d’utilisateurs
Toute information enregistrée sur un support numérique est composée de données. jour les données référentielles (création d’un
• Risque de fraude si la fonctionnels
nouveau fournisseur, modification d’une
Les données peuvent être regroupées en deux grandes familles : SOD n’est pas respectée (mais pas un
fiche client, etc.) ?
individu
 Les données référentielles : clients, fournisseurs, plan comptable, nomenclature, etc. unique)

 Les données transactionnelles : factures, devis, bons de commandes, etc. Qui valide les spécifications lors d’un projet • Exhaustivité
(changement de logiciel comptable par • Fiabilité
DAF
exemple) ? Comment sont formalisées ces Ex : reprise de données
A l’échelle de l’entreprise, chaque type de donnée doit être identifiée, enregistrée et mise à jour spécifications ?
de manière unique et adéquate en regard de l’activité.
Fiabilité des données si
les rôles et responsabili- La DG doit être
Les données peuvent être stockées sur des serveurs possédés et/ou hébergés par l’entreprise, ou tés ne sont pas définis impliquée sur ce
Cette responsabilité est-elle formalisée dans
et/ou communiqués, ce point, quelle que soit OUI
bien à l’extérieur, comme dans le cas du SaaS ou du cloud. Dans ces cas, il convient de contrôler une charte ou une politique d’entreprise ?
qui introduit de la taille et l’activité
les dispositions de conformité et/ou les dispositions contractuelles. l’ambigüité de l’entreprise
> nécessité d’un RACI

• Exhaustivité (plan de
NEP ET TEXTES DE RÉFÉRENCE continuité d’activité)
Existe-t-il un registre de classification des • Conformité
 NEP 315 : Connaissance de l’entité et de son environnement et évaluation Responsables métiers OUI
données ? • Ex. : quelles données
du risque d’anomalies significatives sauvegarder, archiver et
restaurer en priorité ?
 NEP 330 : Procédures d’audit mises en œuvre par le commissaire aux comptes
• Disponibilité des
à l’issue de son évaluation des risques Le logiciel comptable est-il hébergé en données
interne ou bien est-il géré par un tiers, voire • Conformité Selon cas
 Doctrine de la CNCC relative aux prestations entrant dans le cadre des Services dans le cloud ? • Ex. : clause
Autres que la Certification des Comptes (SACC) d’auditabilité

• Disponibilité des
 COBIT (Common Objectives for Business Information Technology) qui a pour but Si le logiciel est géré par un tiers, les disposi- données
l’alignement des objectifs et la stratégie de l’organisation avec les technologies de tions contractuelles prévoient-elles les • Conformité OUI
l’information conditions de mise à disposition des données ? • Ex. : clause
d’auditabilité

• Disponibilité des
ANALYSE DES RISQUES ET CRITICITÉ données
Ces dispositions sont-elles testées et mesurées
• Conformité OUI
régulièrement ?
Une gouvernance des données pas ou mal définie a des conséquences directes sur la fiabilité • Ex. : clause
d’auditabilité
des données : référentiels clients, fournisseurs, comptables incohérents, incomplets, redondants,
nomenclatures multiples, identifiants manquants, silotage entre applications, problèmes
Y a-t-il un projet RGPD dans l’entreprise ? Conformité OUI
d’interfaces… La piste d’audit est directement impactée lorsque les données référentielles ne sont
pas sous une responsabilité unique et mise à jour en fonction des besoins opérationnels ou
• Exhaustivité
règlementaires. Quelles sont les dispositions en matière de
• Fiabilité
sécurisation des données ? Sont-elles testées OUI
• Risque de fraude
et à quelle fréquence ?

22 23
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

02
FICHE 02
GOUVERNANCE DES SYSTÈMES D’INFORMATION

CONTRÔLE INTERNE DES SI EXEMPLES

CONTEXTE ET ENJEUX • SOD : capacité à générer un ordre d’achat et à le valider, ou saisie d’une facture fournisseur
et validation du paiement associé.
Le contrôle interne propre aux SI est appelé contrôles généraux informatiques (ITGC ou
Information Technology General Controls en anglais). Ces contrôles sont regroupés en six • Modification non tracée d’une séquence de code en RPG (AS/400) qui modifie la règle de calcul
familles principales qui couvrent le cycle de vie de la donnée : sur une dépréciation de stock.

• RGPD : non respect des dispositions légales présentes et à venir.

 La gestion des accès : infrastructure, applications, et donnée,

GOUVERNANCE DES SYSTÈMES D’INFORMATION

 Le cycle de développement applicatif, • Perte de données financières ou demande de rançon liées à une attaque.
 La maintenance évolutive et corrective,
 La sécurité physique des Data centers, QUESTIONNAIRE
 Les procédures de sauvegardes et de restauration,
 Les contrôles liés à l’exploitation : réseau, OS, bases de données, mise en production.
Enjeu / Interlocuteur Réponse
Thème / Question
Dans le cadre des travaux de vérification, il est indispensable de considérer ces dimensions car Risque associé cible attendue
le niveau de risque et de sécurisation a un impact direct sur la fiabilité et l’exhaustivité des
Existe-t-il une matrice de définition des rôles
données financières. Séparation des fonctions DSI OUI
utilisateurs dans l’entreprise ?

NEP ET TEXTES DE RÉFÉRENCE Analyse des comporte-

Les autorisations d’accès font-elles l’objet de ments des utilisateurs
DSI OUI
 NEP 315 : Connaissance de l’entité et de son environnement et évaluation revues qualitatives et quantitatives ? dans le cadre de la
prévention des fraudes
du risque d’anomalies significatives
Vérification des autori-
 NEP 330 : Procédures d’audit mises en œuvre par le commissaire aux comptes sations accordées en lien
Les demandes d’évolution sur le SI financier
à l’issue de son évaluation des risques avec chaque modifica-
sont-elles tracées ? Si oui, comment ? DSI OUI
tion pour prévenir
Quel est le processus de validation ?
 Doctrine de la CNCC relative aux prestations entrant dans le cadre des Services l’introduction de biais
dans les applications
Autres que la Certification des Comptes (SACC)
Revue des rôles et
 COBIT (Common Objectives for Business Information Technology) qui a pour but responsabilités en lien
Qui met en production les développements ?
l’alignement des objectifs et la stratégie de l’organisation avec les technologies de avec la surveillance du DSI OUI
Suivant quelle procédure ?
l’information respect de la séparation
des fonctions

Les procédures de sauvegarde sont-elles

formalisées ? Si cloud, les clauses contrac- Garantie de reprise et de
ANALYSE DES RISQUES ET CRITICITÉ DSI et DAF OUI
tuelles sont-elles conformes aux besoins de continuité d’activité
l’entreprise (RPO, RTO) ?
Un système d’information qui n’est pas suffisamment sécurisé est exposé à plusieurs risques :
Des tests de restauration sont-ils menés ? Sur
 Non-respect de la SOD Garantie de reprise et de
quel périmètre, avec quelles parties prenantes DSI et DAF OUI
continuité d’activité
 Altération, modification de données et fraude et avec quelle fréquence ?

 Non-conformité
 Cyberattaque

24 25
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

02
FICHE 02
GOUVERNANCE DES SYSTÈMES D’INFORMATION

COUVERTURE ET COHÉRENCE DU SYSTÈME D’INFORMATION

CONTEXTE ET ENJEUX
QUESTIONNAIRE
Le système d’information est l’épine dorsale de l’activité de l’entreprise dans la mesure où il
supporte tout ou partie des processus métier et de gestion.
Interlo-
Il est de fait indispensable de bien connaitre les zones de couverture du SI et les liens entre Enjeu / Réponse
Thème / Question cuteur
Risque associé attendue
chacune des applications. cible
Cette connaissance doit également être mesurée auprès du management de l’entreprise. Personne

GOUVERNANCE DES SYSTÈMES D’INFORMATION

Les risques ainsi supportés par chaque zone du SI permettront d’identifier en amont les • Niveau d’intégration du en charge
principaux flux constitutifs de l’information comptable et financière. système d’information > identi-
fier selon
A. Composantes du SI • Nombre importants
la taille et
NEP ET TEXTES DE RÉFÉRENCE Le système d’information est-il basé sur un d’interface à contrôler
l’activité OUI
ERP ?
• Exposition à la conta- de
gion des anomalies en l’entre-
 NEP 315 : Connaissance de l’entité et de son environnement et évaluation du risque cas de faiblesse de prise : DSI,
d’anomalies significatives. contrôle DAF, DG,
 COBIT (Common Objectives for Business Information Technology) qui a pour but autre…
l’alignement des objectifs et la stratégie de l’organisation avec les technologies de A. Composantes du SI
• Continuité d’activité et
l’information. Une dépendance forte existe-t-elle entre les
capacité d’évolution du
DSI et/ou
OUI
applications, les choix technologiques et les DAF
SI
choix d’infrastructures ?
ANALYSE DES RISQUES ET CRITICITÉ
• Accès aux données :
Chaque processus de l’entreprise est traductible en information qui doit soit répondre à des fichiers extra-système
A. Composantes du SI
besoins de pilotage, soit traduire la réalité économique. peu sécurisés DSI et/ou
Existe-t-il des applications dites « périphé- OUI
• Intégrité : données et DAF
Afin de bien comprendre le cheminement de l’information et les traitements qu’elle subit, il est riques » de type Excel ou Access ?
calculs ouverts et non
indispensable de bien recenser les différentes applications et de les rattacher à chaque processus protégés
ou sous-processus.
B. Connaissance du SI et couverture • Connaissance des
fonctionnelle applications sources et
DSI et/ou
Par ailleurs, les dites applications sont également plus ou moins interconnectées (ou interfacées) Une cartographie du système d’information des traitements
DAF
OUI
est-elle formalisée et maintenue à jour de • Maitrise des risques liés
faisant apparaître soit des zones de transfert et/ou de transformation des données, soit des zones
manière régulière ? aux évolutions du SI
de ruptures nécessitant des opérations de ressaisies manuelles.
B. Connaissance du SI et couverture • Connaissance des
fonctionnelle applications sources et
DSI et/ou
Les flux ayant un impact sur l’information des traitements OUI
DAF
comptable et financière sont-ils identifiés ? • Maitrise des risques liés
aux évolutions du SI

• Connaissance des
B. Connaissance du SI et couverture
applications sources et
fonctionnelle DSI et/ou
des traitements OUI
Une matrice de couverture des processus par DAF
• Maitrise des risques liés
les applications est-elle renseignée ?
aux évolutions du SI

26 27
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

02
FICHE 02
GOUVERNANCE DES SYSTÈMES D’INFORMATION

QUESTIONNAIRE

MATURITÉ DE L’ENTREPRISE EN MATIÈRE DE GOUVERNANCE SI :

Interlo-
Enjeu / Réponse Ce tableau sera repris dans la synthèse globale de cartographie des risques en fin de première
Thème / Question cuteur
Risque associé attendue
cible partie.
• Mise en place de
C. Cohérence et évolution du SI
contrôles automatiques Le niveau de risque sera noté comme suit :
Si certains processus ne sont pas couverts par DSI et/ou
et sécurisation des OUI
le système d’information, est-il envisagé de DAF  1 : Faible
calculs et de l’accès aux
l’informatiser à court ou moyen terme ?
données  2 : Moyen

GOUVERNANCE DES SYSTÈMES D’INFORMATION

• Mise en place de  3 : Elevé
C. Cohérence et évolution du SI contrôles automatiques
DSI et/ou
Les évolutions métiers sont-elles prises en et sécurisation des OUI
DAF Evaluation du risque Niveau de risque Commentaire
compte dans le système d’information ? calculs et de l’accès aux
données
Incidence
• Accès au données : Les
D. Interfaces applicatives données sont sécurisées
Certaines interfaces reposent sur la généra- et ne peuvent être DSI et/ou Probabilité d’occurence
OUI
tion de fichiers de transfert stockés dans des accédées ni modifiées DAF
répertoires de travail ? dans le cadre de
l’interface
EXEMPLES DE BONNES PRATIQUES :
• Intégrité et exhaustivité  Formaliser l’organigramme de la fonction informatique et l’actualiser de manière régulière ;
des données : les
D. Interfaces applicatives  Formaliser et maintenir à jour la cartographie du système d’information ;
données issues des DSI et/ou
Les interfaces les plus critiques font l’objet de OUI
interfaces sont DAF  Définir les rôles et responsabilités de chaque membre de la direction SI et formaliser les
contrôle manuels ou par analyse de données ?
complètes et n’ont pu
être corrompues fiches de poste ;
 Formaliser les politiques et les procédures liées à la gouvernance du SI y compris les différents
comités et les modalités afférentes (fréquence, participants…) ;
 Formaliser toutes les demandes d’évolution du SI et conserver toutes les procédures de
validation ;
 S’assurer que les SI permettent de faciliter la mise en œuvre de la stratégie de l’entreprise.

28 29
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

FICHE 03
CONTRÔLE
DES ACCÈS
03
CONTEXTE ET ENJEUX

En informatique, le droit d’accès est, d’une façon générale, le droit nécessaire à un utilisateur
pour accéder à des ressources : ordinateur, données, imprimante, etc.
Les bonnes pratiques recommandent d’accorder le minimum de droits, en fonction des besoins
d’accès des utilisateurs (règle dite du « need to know » ou « besoin de connaître »)
Les droits d’accès visent à garantir :
• la sécurité des actifs (code secret, mot de passe, clés, etc.)

CONTRÔLE DES ACCÈS

• un niveau de sécurité approprié pour les transactions qui requièrent l’utilisation d’un système
d’information (comptabilisation d’une opération, déclenchement d’un paiement, approbation, etc.)

CONTRÔLE En conséquence, les accès et leur contrôle constituent un élément du dispositif de contrôle
interne de l’entité. Le pilotage des accès au patrimoine applicatif de l’entité dépend à la fois du

DES ACCÈS
service des ressources humaines (connaissance du profil et du niveau de responsabilité) et de
la DSI (connaissance des outils et de leurs fonctionnalité), ce qui suppose une communication
permanente pour une mise à jour des profils utilisateurs et droits d’accès correspondant en
fonction de l’évolution des effectifs (entrées / sorties) au sein de l’entité.

POINTS D’ATTENTION PARTICULIERS :

 Faire le lien avec la cartographie des principaux systèmes d’information qui concourent à la
construction des états financiers (logiciels comptables, logiciels de gestion, logiciels métier) ;
 Prendre en considération l’existence d’un environnement informatique ouvert (ERP) ;
 Tenir compte de la volumétrie des transactions et du nombre d’intervenants sur un ou
plusieurs cycles ;
 Prendre en compte l’incompatibilité des fonctions de développement informatique, de tests
et d’exploitation.

NEP ET TEXTES DE RÉFÉRENCES

 NEP 240 : Prise en considération de la possibilité de fraudes lors de l’audit des comptes
 NEP 250 : Prise en compte du risque d’anomalies significatives dans les comptes résultant
du non-respect des textes légaux et réglementaires
 NEP 265 : Communication des faiblesses du contrôle
 NEP 315 : Connaissance de l’entité et de son environnement et évaluation du risque d’anomalies
significatives
 NEP 330 : Procédures d’audit mises en œuvre par le commissaire aux comptes à l’issue de
son évaluation des risques
 Norme ISO CEI 27001 : Gestion de la Sécurité des Systèmes d’Information
 COBIT : Control Objectives for IT (référentiel de gouvernance des Systèmes d’Information)

30 31
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

03
FICHE 03
CONTRÔLE DES ACCÈS

ANALYSE DES RISQUES ET CRITICITÉ

ILLUSTRATION SUR LE CYCLE DES VENTES :
DROITS D’ACCÈS ET SÉPARATION DES TÂCHES

Le droit d’accès à un actif, une ressource ou un système d’information doit par principe être
proportionnel au niveau de responsabilité et à la place dans une organisation hiérarchisée. Il Droit d’accès requis Faible Moyen Elevé
doit par ailleurs prendre en compte l’aspect relatif à la séparation des tâches pour, quel que
soit le niveau de droit d’accès autorisé, éviter une situation d’auto-approbation, contraire aux Changer un taux de TVA X
principes élémentaires du contrôle interne.
Autoriser un avoir / une remise X
Pour rappel, les avantages liés à une séparation des tâches satisfaisante résident dans la
facilitation de la détection des erreurs (involontaires ou frauduleuses). Créer / modifier / supprimer un RIB client X

Plus l’organisation de l’entité est complexe (flux, SI, sites, etc.), plus la matrice de séparation des Créer / modifier / supprimer une fiche produit / article X
tâches est complexe et plus son suivi et sa mise à jour requièrent une volumétrie de travail
Réaliser / contrôler une opération d’encaissement X
élevée et régulière dans le temps.

CONTRÔLE DES ACCÈS

Effectuer / contrôler un état de rapprochement
X
En conséquence, plus le niveau hiérarchique est élevé / important, plus le niveau de droits bancaire
d’accès est élevé, comme l’illustrent les quelques exemples présentés ci-après pour les principaux
Faire une relance client X
cycles.

Lettrer une balance auxiliaire / balance âgée X

ILLUSTRATION SUR LE CYCLE DES ACHATS :
Valider une expédition X

Droit d’accès requis Faible Moyen Elevé

Changer un taux de TVA X POINTS D’ATTENTION PARTICULIERS :

Déclencher un paiement X  Les tâches incompatibles entre elles par nature requièrent de disposer de droits d’accès
séparés et/ou distincts.
Créer / modifier / supprimer un RIB fournisseur X
 Le CAC doit procéder à une appréciation de l’adéquation entre les droits d’accès octroyés et
Autoriser un investissement X la prise en compte de la séparation des tâches au sein de l’entité. Cette appréciation doit en
outre se fonder sur la connaissance acquise de l’environnement de contrôle interne.
Passer une commande X
Les deux matrices suivantes illustrent les tâches incompatibles entre elles pour le cycle des
Contrôler une réception X
achats et le cycle des ventes. Elles sont un exemple concret des tâches qui ne doivent pas être
réalisées par les mêmes personnes.
Comptabiliser une facture X

Toutefois, l’organisation de l’entité et le jugement professionnel du commissaire aux comptes

Lettrer un compte fournisseur X
doit être pris en considération pour adapter ces matrices à l’environnement applicable (NEP 315).

Saisir une réception X

Scanner une information X

32 33
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

03
FICHE 03
CONTRÔLE DES ACCÈS

e
eu

ir
ca
ss

r
eu

an

eu
ni
DROITS D’ACCÈS ET RISQUE DE FRAUDE (NEP 240)

ur

ss

tb

ss
de

G
ni

ni
fo

/B
en
an

r
ur

ur
eu
e

em

A
m
ch

fo

fo
ss

tB
Pour rappel, la fraude se définit comme une erreur intentionnelle. Lors des phases de planification

m
fi

ch
ni
re

e
r

en
co

pt
eu
e

r
tu

ro
un

ou

m
et de réalisation de l’audit, le CAC doit apprécier le risque d’anomalie significative résultant de

em
de
ss

pp
fa

tf

co
d’

ni

ch
ra
on

en
CYCLE DES ACHATS

io

le
on

ur
fraude.

ge

ro
de
ti

rô
pt

em
fo
ti

ra
sa

pp
nt
ce
éa

at

tt
B

i
Co

Ra
Ré
Pa

Pa

Le
Cr

RI

Ét
L’environnement informatique, la volumétrie des flux et transactions et tous les éléments du
1 Création d’une fiche fournisseur dispositif de contrôle interne sont par essence des éléments qui doivent être pris en compte par
le CAC lors de son appréciation du risque de fraude. Quelques exemples de fraude dont l’origine
2 RIB fournisseur
est un dysfonctionnement en termes de droit d’accès à une application informatique :
 Paiement déclenché à tort dans un ERP ayant entraîné une sortie trésorerie significative
3 Passation de commande
 Fraude au Président
 Création d’un salarié fictif / fournisseur fictif dans un système informatique
4 Réception

Les droits d’accès au patrimoine applicatif de l’entité sont une composante essentielle de
5 Contrôle facture fournisseur
l’environnement de contrôle interne.

CONTRÔLE DES ACCÈS

6 Paiement fournisseur
Outre le respect de la séparation des fonctions des utilisateurs, une règle essentielle
7 État de rapprochement bancaire en matière de contrôle interne informatique impose de séparer également
strictement les fonctions de développement informatique, de tests et de production.
8 Lettrage compte fournisseur
POINT D’ATTENTION PARTICULIER :
9 Rapprochement BA / BG

 Le risque associé au non-respect de cette règle serait la création et l’utilisation de fonctions

secrètes, connues du concepteur des applications, qui en est également l’utilisateur, et
permettant la fraude.
nt
ie

G
ts

/B
cl

nt
en
s
re
e

ie
m

A
ch

tu

cl

tB
se

QUESTIONNAIRE
s
fi

ir
e
is
fa

en
pt

o
e

t
ca

n
un

Les points ci-après sont issus, pour la plupart, de la norme ISO27002 (système de gestion de la
av
m
s

em

ie
de

en

d’
co
d’

Cl

CYCLE DES VENTES

nt

ch
on

on

sécurité de l’information).
s
on

ge
de

e
ie

ro

nc
si

si
ti

ra
cl

pp
i
is

is
éa

iv

la
tt
B

Em

Em

Ra
Su

Re
Le
Cr

RI

Enjeux / Interlocuteur Réponse

Question
1 Création d’une fiche client Risques associés concerné attendue

2 RIB client L’organisation auditée a-t-elle documenté sa

Accès non autorisés,
politique de contrôle d’accès et tient-elle à DG OUI
fraudes…
jour une matrice des autorisations ?
3 Emission des factures
Concernant la gestion des droits d’accès :
4 Suivi des encaissements - Qui décide de l’attribution / retrait des droits Liste limitée
d’accès ? Accès non autorisés, de décideurs
DG, DSI
- Qui saisit la création / suppression des droits fraudes… et d’opéra-
5 Lettrage compte client d’accès ? teurs

6 Emission d’avoirs
Une procédure formelle d’attribution / retrait
des droits d’accès par utilisateur est-elle Accès non autorisés, DG, DSI, chefs
OUI
7 Rapprochement BA / BG définie, avec circulation d’informations entre fraudes… de services
les services concernés ?
8 Relance client

RISQUE SIGNIFICATIF

RISQUE MOYEN

RISQUE ACCEPTABLE
34 35
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

03
FICHE 03
CONTRÔLE DES ACCÈS

QUESTIONNAIRE QUESTIONNAIRE

Enjeux / Interlocuteur Réponse Enjeux / Interlocuteur Réponse

Question Question
Risques associés concerné attendue Risques associés concerné attendue

Analyses
L’attribution des droits d’accès se fait-elle Les journaux de connexions sont-ils examinés :
Aucun accès Détection des tentatives régulières,
selon la règle : - régulièrement ? DSI
Droits d’accès trop larges sauf de piratages. alertes
«Aucun accès sauf autorisations explicites» DSI - Les échecs de connexion sont-ils analysés ?
Fraudes autorisation automatiques
Ou
spécifique
«Accès à tout sauf interdictions explicites» ?
Politique de
Existe-t-il une politique de chiffrement des
Vol de données, accès chiffrement
données sensibles (mots de passe, supports DSI
OUI, règle- non autorisé, fraude définie et
nomades…) ?
ment respectée
Les utilisateurs ont-ils l’interdiction de Accès non autorisés, intérieur,
divulguer, communiquer, partager leur mot fraudes DG charte Dans la liste des utilisateurs du SI, les comptes
de passe ? informatique Supervision
d’administration ont tous les droits.

CONTRÔLE DES ACCÈS

signée par les Accès non autorisé, des comptes
- Comment ces comptes sont-ils supervisés ? DSI
utilisateurs… fraude d’administra-
- Leurs actions sont-elles enregistrées et
tion
surveillées ?

Les mots de passe ont-ils une obligation de

Accès non autorisés,
complexité (longueur minimum, 3 types de DSI OUI Les fonctions de développement informatique,
fraudes
caractères différents…) ? de tests et d’exploitation sont-elles séparées, Fraude DSI OUI
avec du personnel différent ?

Les postes de travail se verrouillent-ils

Accès non autorisés,
automatiquement après quelques minutes DSI OUI MATURITÉ DE L’ENTREPRISE EN MATIÈRE DE CONTRÔLE DES ACCÈS :
fraudes
d’inutilisation?
Ce tableau sera repris dans la synthèse globale de cartographie des risques en fin de première
partie.
Tout équipement (ordinateur, tablette,
smartphone), connecté au système d’informa- Accès non autorisés,
DSI OUI Le niveau de risque sera noté comme suit :
tion a-t-il fait l’objet d’une procédure fraudes
formelle et préalable d’approbation ?  1 : Faible
 2 : Moyen
Accès non autorisés, vol  3 : Elevé
Le réseau wifi est-il connecté au réseau de
de données, sabotage, DSI NON
production ?
fraude
Evaluation du risque Niveau de risque Commentaire

Les points d’accès au système d’information Incidence

Accès non autorisés, vol
(serveurs, postes de travail, imprimantes,
de données et de
scanners…) font-ils l’objet d’une sécurité DSI OUI Probabilité d’occurence
matériel, sabotage,
physique appropriée (porte avec verrou et
fraude
badge d’entrée, surveillance, caméras…) ?

Si connexions distantes, depuis l’extérieur, EXEMPLES DE BONNES PRATIQUES :

Accès non autorisés, vol
existe-t-il des mesures de sécurité complé-
de données, sabotage, DSI OUI
 Bien choisir son mot de passe : Longueur minimal de 8 caractères avec des caractères de
mentaires, comme authentification à deux
fraude types différents (majuscules, minuscules, chiffres, caractères spéciaux et n’ayant aucun lien
facteurs, limitation adresses IP entrantes…?
avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire ;
 Modifier régulièrement les mots de passe (tous les 3 mois par exemple) ;
Les ressources de l’entreprise, accessibles en
Accès non autorisés, vol  Mettre en place une double authentification pour les accès sensibles (administrateur, …) ;
ligne par le public, font-elles l’objet de
de données, sabotage, DSI OUI
mesures de sécurité spécifiques, régulière-
fraude
 Avoir une politique claire de gestion des droits d’accès (attribution / création / retrait /
ment auditées ? suppression des droits d’accès) ;
 Interdire aux collaborateurs de préenregistrer/ communiquer/ partager ou mettre sur un
post-it leurs mots de passe ;
 Avoir une politique claire de chiffrement des données ;
36  Sécuriser l’accès wifi de votre entreprise, avec un réseau spécifique pour les invités. 37
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

FICHE 04
CONDUITE
DE PROJETS
04
CONTEXTE ET ENJEUX

Pourquoi parler de conduite de projets ? Parce qu’en moyenne, 30% du budget d’une entreprise
est consacré à des projets. Cela participe de l’évolution, de l’adaptation et de la transformation
de toute entreprise relatif aux systèmes d’information en croissance ou non. Les projets SI ont
très souvent un impact direct ou indirect sur les états financiers. Le pilotage des projets et leur
réussite ou leur échec peuvent avoir des conséquences graves sur l’activité de l’entreprise.

CONDUITE DE PROJETS
Vis-à-vis des projets, le CAC doit donc s’assurer d’au moins deux choses :

CONDUITE
 En termes d’approche : les projets ont été menés selon les règles de l’art et respectent un
cadre de contrôle interne suffisant.
 En termes de données : les données et états financiers impactés ou produits à l’issue des

DE PROJETS
projets sont exhaustifs, fiables, et correctement comptabilisés.

Qu’est-ce qu’un projet ? Un projet est une entreprise temporaire décidée, engagée et financée
dans le but de créer un produit, un service ou un résultat unique.

Exemples : conception d’un nouveau véhicule, mise en place d’un ERP. Le projet impacte plusieurs
dimensions de l’entreprise, qu’il s’agisse de process, d’organisation, de SI ou des trois à la fois, ce
qui est bien souvent le cas.

De manière triviale, on peut comparer un projet à un chantier de construction de maison

(à noter qu’une grande partie du vocabulaire lié au SI est hérité du monde du BTP). Il s’agit
de connaître le besoin, de le spécifier fonctionnellement, puis techniquement, de construire
l’édifice, de tester, puis de valider la conformité avant de l’habiter.

S’agissant d’audit, les projets les plus directement impactants sont ceux touchant le SI financier,
que cela soit dans le cadre d’un changement de logiciel, d’une migration de version, d’une
intégration ou d’une cession d’activité. Ce sont là les exemples les plus évidents, mais cela ne
signifie pas que les autres projets ne concernent pas le CAC !

38 39
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

04
FICHE 04
CONDUITE DE PROJETS

Un projet se pilote et s’articule autour de trois dimensions fondamentales, assorties de plusieurs

attributs : Les phases du projet :
 Le livrable (ou solution) : c’est le résultat à atteindre qui se décline en plusieurs livrables Comme n’importe quel chantier, un projet est découpé en phases logiques. L’enchaînement, la
intermédiaires. Exemple de livrables : mise en place d’un nouveau logiciel comptable, durée et l’ordonnancement de ces phases varient en fonction de la méthodologie utilisée (cycle
migration de version, réorganisation de la fonction financière, définition d’un processus de en V, agile, hybride,…). Mais leur nature demeure identique afin de respecter un ordre logique de
reporting dans le cadre d’un rachat. conception : Expression du besoin > modélisation détaillée > paramétrage > tests > cycle
 Le budget attribué au projet, qui doit être piloté pour respecter le business case dudit projet. de validation de conformité > mise en production.
 Le planning : la durée prévue du projet et la date arrêtée pour le démarrage de la solution A chaque phase correspondent des risques spécifiques, (cf. tableau pour exemples).
cible.
Autour de ces trois dimensions structurantes, il est indispensable de piloter les composantes du QUESTIONNAIRE
projet : périmètre, ressources, risques, conformité et tiers externes, etc.
Réponse
Interlo- attendue
Enjeu /
Thème / Question cuteur ou
NEP ET TEXTES DE RÉFÉRENCE Risque associé
cible éléments
à collecter
 PRINCE2

CONDUITE DE PROJETS
 PMBOK Implication suffisante
Quels sont les projets en cours ou prévus Liste des
 COBIT5 au cours de l’exercice fiscal ?
des équipes DSI, DAF
projets
comptabilité/finance

ANALYSE DE RISQUES ET CRITICITÉ Une

Impact réponse
Ces projets ont-ils un impact sur les process
sur la certification DAF claire et
Le RACI est un outil de formalisation des rôles et responsabilités de chaque partie prenante au et/ou les états financiers ?
des comptes argumen-
projet. Cet outil est indispensable pour établir les attendus vis-à-vis de chaque partie prenante tée
et ainsi lever toute ambiguïté dans les processus de décision.
Toutes
Ambiguïté sur le les parties
Pour chaque projet, une charte a-t-elle été
 R : Responsable, ou Réalisateur écrite, partagée et acceptée par les parties
résultat attendu et les prenantes
OUI
 A : Approbateur (« accountable » en anglais) rôles et responsabilités et en
prenantes ?
des parties prenantes particulier
 C : Consulté DAF et DSI.
 I : Informé
Il ne peut y avoir qu’un seul A par tâche. Début
d’exercice
Périmètre de l’audit DAF
Quelle est la date cible de livraison du projet ? ou en
Cut-off et DSI.
cours
EXEMPLES d’exercice
Directeur
Description de l’activité DAF DSI Intégrateur Ambiguïté sur le
comptable
Existe-t-il un RACI ? Si oui, a-t-il été formalisé résultat attendu et les Sponsor du
OUI
Tâche 1 A R C I et communiqué à toutes les parties prenantes ? rôles et responsabilités projet
des parties prenantes
Tâche 2 R A C I
DAF, DG
Tâche 3 C R A I Equipe ou toute
Impact sur les process comptable personne
Tâche 4 I R C A Qui valide les spécifications et de quelle et/ou les états finan- DAF ayant
manière ? ciers (ex. : refonte de la Equipe l’autorité
clé comptable) projet de valiser
les process
cibles

Equipe
comptable
Qui valide la reprise de données et Exhaustivité, fiabilité,
avec DAF, DG
de quelle manière ? intégrité des données
responsabi-
lité du DAF

40 41
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

04
FICHE 04
CONDUITE DE PROJETS

QUESTIONNAIRE

Réponse
Interlo- QUESTIONNAIRE
Enjeu / attendue
Thème / Question cuteur
Risque associé ou élément
cible
à collecter
Réponse
Interlo-
• Cut-off Enjeu / attendue
La mise en production du nouveau logiciel Thème / Question cuteur
• Reprise des encours en Equipe Démarrage si Risque associé ou élément
comptable a-t-elle lieu au démarrage du cible
cours d’exercice projet possible à collecter
nouvel exercice ou bien en cours d’exercice ?
Documenta-
• Risque d’exhaustivité
tion
et d’intégrité des
Le DAF participe-t-il effectivement au comité • Sponsor suffisant en Conservation
DAF OUI données reprises dans Equipe
de pilotage ? termes de management Phase : Reprise de données des éléments
le nouveau système projet
• Nettoyage des données à reprendre techniques
• Exactitude des DAF/DC
• Transcodification des règles et référentiels temporaires
schémas comptables, Equipe SI
Conformité comptables (base pivot,
Si migration vers une solution cloud, le Equipe projet exhaustivité, auditabi-
Délai d’accès aux fichiers
contrat prévoit-il les clauses ad hoc (auditabi- DAF OUI lité
données sur demande intermé-
lité, réversibilité, RGPD) ? Juridique diaires)
du CAC.

CONDUITE DE PROJETS
Retard du projet. Phase : Recette
Cahier de
Phase : Cadrage Complexité d’un DAF, Quelle est l’organisation de la recette en
OUI DAF, DC, recette
• Le planning est-il réaliste ? démarrage en cours DSI termes de :
respon-
d’exercice. • Recetteurs
Fiabilité des processus sable PV de
• Données de recette
fonction- réception
Détection et communica- • Remontée et traitement des anomalies
nel dûment signé
tion des risques projet. (outil de ticketing)
Phase : Cadrage Equipe projet
Rôles et responsabilités • Formalisation de l’acceptation
• Un Plan d’Asurrance Qualité a-t-il été écrit DAF OUI
des parties prenantes.
et validé par les parties prenantes ? DSI Absence de sponsor
Arbitrage.
Gestion des litiges. Conduite du changement Implication insuffisante
• Quelles sont les actions de communication des utilisateurs.
OUI + et d’accompagnement ? DG Démarche
Non respect des règles
demander • Quelle est la répartition de ces actions sur Echec du projet
de gestion, des procé-
Phase : Spécifications Equipe projet l’accès le planning projet ? Inadéquation de
dures et des principes de
• La définition des processus est-elle conforme Utilisateurs aux la solution.
séparation des fonctions.
au besoin ? spécifications
Non conformité Risque de perte de
fonction-
nelles traçabilité de l’informa-
Phase : Mise en production
tion. Perte d’accès aux Politique
• Quelle est la politique d’archivage DAF
Phase : Paramétrage Non respect des règles informations utiles à formalisée
de l’historique ?
• La solution est-elle utilisée dans sa version de gestion. DAF Proportion l’activité ou réglemen-
standard ? Difficulté de mainte- DSI de tairement requises.
• Sinon, quelle est la proportion de développe- nance de migration customisations
ments spécifiques ? future. Sécurité de l’environ-
nement informatique :
Phase : Support post-production
Exhaustivité et fiabilité risque de perte de
• Quelle est l’organisation en place pour
des données : risque de maîtrise dans les Description
traiter les anomalies et répondre aux
Phase : Paramétrage déficience des méca- DSI processus de gestion de
questions des utilisateurs pendant et après la
• Combien y a-t-il d’interfaces entrantes et nismes d’alimentation et Equipe projet Cartographie des anomalies, des DSI l’organisation
mise en production (n.b. : sujet concernant
sortantes autour de la nouvelle solution ? de déversement des technique des interfaces incidents, de la du support
également la recette et la conduite du
• Quel est le niveau d’intégration global ? données en entrée et en sécurité de l’application
changement)
sortie de la nouvelle et de l’exploitation
application. informatique

Stratégie Documentation
Phase : Tests Chef de projet
Exhaustivité de tests • La documentation liée au projet est-elle
• Quelle est la stratégie de tests ? DSI,
Fiabilité des données suffisante en qualité et en quantité ? Auditabilité du projet DG, DAF, Accès à la
• Sur quel volume de données sont-ils réalisés ? responsable
Régression fonctionnelle Scénarios Exemples : expression des besoins, planning, Conformité DSI documentation
• Qui a rédigé les scénarios ? informatique
de tests note de cadrage, spécifications (fonction-
nelles et techniques), cahier de recette,…

42 43
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

04
FICHE 04
CONDUITE DE PROJETS

QUESTIONNAIRE
MATURITÉ DE L’ENTREPRISE EN MATIÈRE DE CONDUITE DE PROJETS :

Réponse
Ce tableau sera repris dans la synthèse globale de cartographie des risques en fin de première
Interlo-
Enjeu / attendue partie.
Thème / Question cuteur
Risque associé ou élément
cible
à collecter
Le niveau de risque sera noté comme suit :
Exactitude de la
comptabilisation des  1 : Faible
coûts liés au projet Détail de la  2 : Moyen
(opex vs. capex). comptabilisa-
Amortissement
Run/build et risque de DG, DAF tion des  3 : Elevé
Le projet fait-il l’objet d’un amortissement ?
finir le projet en bascu- dépenses
lant les coûts en Tierce liées au projet Evaluation du risque Niveau de risque Commentaire
Maintenance Applica-
tive
Incidence
Subventions

CONDUITE DE PROJETS
Le projet fait-il l’objet d’un Crédit d’impôt Correcte imputation En fonction Probabilité d’occurence
DG, DAF
recherche ? des subventions de la réponse

EXEMPLES DE BONNES PRATIQUES :

 Mettre en place une équipe pour chaque projet et nommer un responsable de projet ;
 Définir les rôles et responsabilité de chaque partie prenante (formaliser par exemple un RACI) ;
 Formaliser par écrit une charte par projet et la faire approuver par l’ensemble des parties
prenantes ;
 Documenter chaque projet (expression des besoins, planning, spécifications fonctionnelles
et techniques, cahier de recette…) ;
 Faciliter la communication et la coopération entre les différentes parties prenantes ;
 Effectuer un suivi périodique de l’avancement du projet ;
 Adopter une démarche d’amélioration continue.

44 45
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

FICHE 05
UTILISATION
DES OUTILS D’AUDIT
DE DONNÉES
05
CONTEXTE ET ENJEUX

UTILISATION DES OUTILS D’AUDIT DE DONNÉES

La prise en compte de l’environnement informatique par le commissaire aux comptes est
un facteur clé de réussite des missions d’audit, en particulier lorsque l’entité à auditer a un
recours extensif aux applications informatiques et lorsqu’elle est confrontée à une volumétrie

UTILISATION de transaction importante.

Les outils informatiques d’audit de données facilitent le travail du commissaire aux comptes

DES OUTILS
et permettent une atteinte plus aisée de l’assurance raisonnable ainsi qu’une documentation
appropriée de l’approche d’audit par les risques. L’analyse des données constitue alors une
approche qualitative qui permet au commissaire aux comptes de s’assurer de la correcte
traduction dans les comptes des données qui peuvent parfois se déverser de manière automatique

D’AUDIT dans les différents systèmes de gestion de l’entreprise.

En outre, c’est un moyen de répondre au risque de fraude tel qu’il est défini dans la NEP 240.

DE DONNÉES
 Plus la volumétrie des transactions est importante, moins l’approche substantive (tests) est
pertinente
 Plus la volumétrie des transactions est importante, plus l’utilisation d’outils adaptés à
l’analyse des données est pertinente
Enfin, l’analyse des données crédibilise le commissaire aux comptes, améliore son image et lui
offre des opportunités de missions spécifiques à forte valeur ajoutée vis-à-vis du client.

NEP ET TEXTES DE RÉFÉRENCE

 NEP 240 : Prise en considération de la possibilité de fraudes et d’erreurs lors de l’audit des
comptes
 NEP 250 : Prise en compte du risque d’anomalies significatives dans les comptes.
Le CAC doit s’enquérir auprès de la direction du respect des textes et prendre connaissance
des correspondances reçues des autorités administratives et de contrôles. On ne peut pas
obliger le client à fournir le FEC.
 NEP 265 : Communication des faiblesses du contrôle interne
 NEP 315 : Prise de connaissance de l’entité et de son environnement. Cela implique notamment
l’environnement réglementaire et numérique.
 NEP 330 : Procédures d’audit mises en œuvre par le commissaire aux comptes à l’issue de
son évaluation des risques.

46 47
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

05
FICHE 05
UTILISATION DES OUTILS D’AUDIT DE DONNÉES

ANALYSE DES RISQUES ET CRITICITÉ

Les fonctionnalités nécessaires des outils d’analyse :

Les principaux outils du marché (Caseware Idea et ACL) sont une réponse appropriée à la mise
Afin de permettre l’analyse des données intégrées dans l’outil, et la rendre pertinente pour
en œuvre par l’auditeur de l’analyse des données. Le maniement de ces outils reste adapté à un
le client, les fonctionnalités suivantes ont été identifiées comme nécessaires pour rendre
professionnel n’ayant pas nécessairement de formation informatique spécifique.
l’analyse pertinente et une restitution appropriée des travaux au client :

Ci-dessous un tableau de comparaison des principaux outils d’analyse de données :

• Récupération de données disponibles dans de multiples formats
• Tris et index
• Sélection d’enregistrements
BASE DE DON-

UTILISATION DES OUTILS D’AUDIT DE DONNÉES

Critères ACL IDEA EXCEL
NÉES
• Jointures entre fichiers
• Analyses de corrélation
Capacité volumé- Limitée à 65 536 • Fonctions de calcul des données (dates, chiffres, textes)
Illimitée Illimitée Illimitée
trique lignes • Contrôles de conformité
• Recherche de doublons, ruptures de séquences numériques
Capacité de
Suffisante Suffisante Limitée Illimitée • Recherches en « logique floue »
traitement
• Analyses statistiques
Type de fichier Tout type de Tout type de Majorité des Majorité des • Stratification
importé fichier fichier fichiers ASCII fichiers ASCII
• Balances âgées
Intégrité des • Analyse selon la loi de Benford
Garantie Garantie Impossible A réaliser
données • Totalisations
• Représentation graphique des données
Piste d’audit Garantie Garantie Impossible A réaliser • Sélection aléatoire d’un échantillon de données
• Automatisation des contrôles
Investissement
financier
Elevé Elevé Faible Elevé • Piste d’audit

Requête d’extrac- Les outils d’analyse de données par l’auditeur permettent également une restitution des travaux
Recherche Extract Extract Copier/coller
tion d’audit novatrice auprès des clients. Ce sont donc des outils de sensibilisation du chef d’entreprise
en lien avec le risque de fraude ou de transaction non fondée.

Les fichiers sources possibles : L’analyse des données peut être envisagée soit :

 Fichier des Ecritures comptables (FEC) : l’utilisation du FEC comme fichier source  Lors de l’intérim : cibler les zones à risques ou éliminer les risques hypothétiques non
possible d’un outil d’analyse de données permet une vérification exhaustive des écritures avérés ;
comptables enregistrées par l’entité y compris les écritures manuelles (OD). A ce titre, leur  Lors de la phase finale : apporter des constats chiffrés et étayer l’opinion du commissaire
analyse devient plus aisée avec la possibilité de faire des tris et sélections sur la base de aux comptes.
critères jugés pertinents par le commissaire aux comptes (jour et heure, personne habilitée,
montant, etc.).

 Fichier contenant les écritures comptables au format texte, Excel, ou base de données :
Ces formats d’export sont présents chez tous les éditeurs de logiciel et d’ERP. L’utilisation
de ce type d’exports nécessite une bonne maîtrise dans le traitement des fichiers car des
retraitements sont, la plupart du temps, nécessaires avant d’effectuer une analyse à l’aide
d’un des logiciels cités précédemment.

 Fichier contenant des données opérationnelles (stocks, factures, expéditions, référentiels) :

Ces données vont permettre à l’auditeur de valider les procédures de contrôle interne, détecter
des indices de fraude et être un complément à l’analyse des écritures comptables.

48 49
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

05
FICHE 05
UTILISATION DES OUTILS D’AUDIT DE DONNÉES

QUESTIONNAIRE QUESTIONNAIRE

Enjeux Interlocuteur Enjeux Interlocuteur

Thème / Question Réponse attendue Thème / Question Réponse attendue
et Risques associés concerné et Risques associés concerné

Obtenir la cartographie des SI de l’entreprise : Cartographie claire Mise en œuvre des contrôles :
Présenter au client
identifier les applications et les interfaces Ne pas identifier les DSI, des différents - réaliser les tests tels que définis durant
la liste des anomalies
gérant les données entrant dans le périmètre SI sources de Directeur logiciels et ERP la phase de préparation ;
DSI, identifiées en
de l’audit de l’exercice et compte tenu de l’information comptable utilisés par le client - analyser chaque anomalie afin d’identifier
Directeur expliquant les
votre analyse des risques financières ou DG et des exports les faux positifs. Conclusion erronée
comptable enjeux. Transmettre
possibles de données Transmettre à la société pour analyse les

UTILISATION DES OUTILS D’AUDIT DE DONNÉES

ou DG les informations
anomalies identifiées par les contrôles mis
nécessaires à
Réponses à obtenir : en œuvre.
Sur la base de votre analyse des risques, de l’analyse par le client
- Liste des accès
la cartographie des SI et des conclusions de
aux données et
votre revue du contrôle interne, déterminer :
procédures
- les risques à couvrir DSI,
- Contrôle du
- les fichiers et champs à obtenir Comprendre les Directeur
caractère inaltérable
- la nature de contrôle à réaliser données disponibles comptable MATURITÉ DE L’ENTREPRISE EN MATIÈRE D’UTILISATION DES OUTILS D’AUDIT DES
des données saisies
- les formats de fichiers à vous transmettre ou DG
- Liste des champs DONNÉES :
- les paramètres d’extraction (bornes des
exportables
périodes, SI source, champs, etc.) Ce tableau sera repris dans la synthèse globale de cartographie des risques en fin de première
- Formats d’export autre
sque PDF ou papier partie.

- Obtenir les mêmes

éléments que ceux Le niveau de risque sera noté comme suit :
Pour chaque contrôle à réaliser, obtenez
présents dans l’ERP  1 : Faible
les informations suivantes :
- Fichiers / données ou le logiciel
- le(s) fichier(s) source(s) nécessaire(s) DSI,  2 : Moyen
non conformes aux - S’assurer que les
- les principes de codifications des champs Directeur
de codes (N° client, d’article etc.)
demandes
comptable
fichiers sont bien  3 : Elevé
exploitables et que
- les totaux de contrôles à vous transmettre ou DG
- Données invalides l’ensemble des
avec le fichier (nombre d’enregistrements, Evaluation du risque Niveau de risque Commentaire
données y est
totaux à retrouver, etc.)
présenté
Incidence

Validation des fichiers transmis avant Probabilité d’occurence

analyse.
Pour chaque fichier reçu, vérifier les points
S’assurer de la
suivants :
conformité du
- conformité avec votre demande (période, EXEMPLES DE BONNES PRATIQUES :
- Fichiers / données fichier avant de
champs, format des champs, etc.)
non conformes aux DSI, réaliser des tests plus  Déterminer le périmètre et les objectifs de contrôle ;
- rapprochement des totaux des champs
demandes Directeur approfondis.
numériques avec les documents / totaux de
comptable Si non, demander de  Identifier les fichiers nécessaires et respecter certaines règles quant à l’extraction de ces
contrôles transmis
- Données invalides ou DG nouveaux fichiers en fichiers ;
- valeurs suspectes (valeur à zéro, montants
investiguant les  Anticiper la demande des fichiers suffisamment à l’avance de manière officielle (par mail
négatifs, dates hors période, codifications
raisons de leur non
hors normes) par exemple) ;
conformité.
- contrôles de cohérence (répartition par
mois, jour de la semaine, valeur moyenne,
 Toujours contrôler l’intégrité des fichiers obtenus lors de l’importation (« butée de contrôle » :
mini, maxi …) obtenir au moment de l’extraction, un état ou une copie d’écran qui totalise la population
auditée extraite du SI de l’entreprise).
Les différents
fichiers analysés
Préparation des données pour l’analyse :
doivent s’harmoniser
- harmoniser les champs entre les différents
pour garantir une
fichiers obtenus (type de champ, format des
bonne analyse.
dates / heures etc.)
- isoler les enregistrements atypiques DSI,
Fiabilité Par exemple : si les
pouvant perturber les analyses à venir Directeur
et pertinence dates sont dans des
- identifier les travaux spécifiques à mener comptable
des tests réalisés formats différents,
spécifiquement sur ces anomalies ou DG
l’harmonisation est
- identifier et analyser des doublons
le seul moyen de
anormaux.
garantir l’analyse de
- Ajouter les champs à calculer qui seront
100% des dates
nécessaires aux tests à venir
présentes dans le
fichier.
50 51
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

FICHE 06
PROTECTION
DES DONNÉES
PERSONNELLES
06
CONTEXTE ET ENJEUX

PROTECTION DES DONNÉES PERSONNELLES

Le Règlement général sur la protection des données s’inscrit dans un contexte Européen. Entré
en vigueur depuis le 25 mai 2018, le RGPD a pour objectif de :
 Renforcer les droits des personnes (portabilité des données personnelles, droit à l’oubli avec
preuve, consentement sur les traitements, information si violation…) ;
 Responsabiliser les acteurs traitants les données (renversement de la charge de la preuve,
obligation de notifier les violations du RGPD à la CNIL et aux personnes concernées…) ;

PROTECTION
 Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection
des données des Etats membres, qui pourront notamment adopter des décisions communes
lorsque les traitements de données seront transnationaux, et des sanctions renforcées.

DES DONNÉES Rappelons qu’une donnée à caractère personnel est toute information se rapportant à une
personne physique identifiée ou identifiable.

PERSONNELLES
Les données peuvent être directement identifiantes (nom, prénom, numéro sécurité sociale…) ou
indirectement identifiantes (localisation, empreinte digitale, plaque d’immatriculation…).

Toute entreprise est soumise au RGPD en cas de possession des données à caractère personnel et
quel que soit le mode de traitement (informatisé ou manuel).
Ainsi, elle sera tenue de maintenir un registre des traitements et de désigner un délégué à
la protection des données - DPO¹ (data protection officer) dans les mêmes conditions qu’un
responsable de traitement.
Cette tenue de registre obligatoire remplace les déclarations à la CNIL et permet de consigner les
mêmes informations que dans la déclaration.

De par le RGPD, l’entreprise est responsable de la sécurité informatique nécessaire au respect de

la protection des données. La sécurité informatique devient ainsi une obligation légale.

L’entreprise devient garante du respect de la vie privée.

¹ Selon l’article 37 du RGPD, la désignation est obligatoire dans les cas suivants :
• Être une autorité ou un organisme public ;
• Avoir une activité nécessitant un suivi régulier et systématique des personnes à grande échelle ;
• Traiter de données sensibles comme celles qui se rattachent à l’origine raciale, aux opinions politiques, philosophiques ou
religieuses, à la santé, vie sexuelle etc.

A noter que la désignation d’un DPO est encouragée par le CNIL et les autorités Européennes
52 53
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

06
FICHE 06
PROTECTION DES DONNÉES
PERSONNELLES

Cette nouvelle réglementation Européenne apporte une protection plus forte mais des contraintes
et des responsabilités plus lourdes pour les entreprises.

Un transfert, vers un pays tiers (hors UE et EEE) de données à caractère personnel qui
Les risques sont importants et nécessitent une analyse particulière de la part du commissaire
sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu qu’à
aux comptes, ce qui pourrait apporter une forte valeur ajoutée au client.
condition d’assurer un niveau de protection des données suffisant et approprié, y compris
La non-conformité au RGPD est sanctionnée de 10 à 20 millions d’euros ou de 2 à 4% du chiffre
pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers
d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu en
vers un autre pays tiers.
fonction de la gravité du non-respect du règlement.
De plus, l’entreprise peut être confrontée à un risque accru sur la réputation et l’image (perte de
A noter que la CNIL et le G29 (l’ensemble des CNIL européennes) émettent régulièrement
clientèle) et un droit à réparation dans le cadre d’une action collective intentée par les personnes
des interprétations et des recommandations concernant le RGPD.
concernées.

PROTECTION DES DONNÉES PERSONNELLES

L’AFAI a réalisé un modèle de maturité des entreprises dans l’application du RGPD. Les
Attention, à l’instar d’autres réglementations, c’est maintenant à l’entreprise de démontrer qu’elle
questions ci-après sont une synthèse de ce modèle.
est en conformité. Le RGPD introduit aussi une obligation de notification par les responsables de
traitement en cas de violations de données à caractère personnel. Ils doivent alerter la Cnil dans
les meilleurs délais, si possible dans les 72 heures après en avoir pris connaissance. BILAN 1 AN APRÈS L’ENTRÉE EN APPLICATION :
 2 044 notifications de violation de données en France et 89 271 au niveau européen ;
Autres obligations, le « privacy by design » et le « privacy by default ». Le premier vise à prendre  Une augmentation considérable des plaintes adressées à la CNIL : plus de 11 900
en compte le respect de la vie privée dès la conception des systèmes d’information, et le second plaintes en France (+ 30 %) et 144 376 plaintes au niveau européen ;
vise par défaut à respecter un niveau très élevé de protection avant le lancement de tout nouveau  Plus de 19 000 délégués à la protection des données (personnes physiques ou morales)
traitement. Les risques d’atteinte à la vie privée doivent être analysés, et des analyses d’impact ont été désignés par plus de 53 000 organismes ;
réalisées et documentées lorsque les risques sont avérés.  70 % des Français se disent aujourd’hui plus sensibles aux problématiques de
protection des données.
Les citoyens de l’UE doivent donner un consentement positif et explicite afin que leurs données
soient recueillies. Une personne peut solliciter la suppression de données personnelles dans
certains cas, comme par exemple lorsqu’un organisme recueillant des données n’est pas conforme TEXTES DE RÉFÉRENCE :
aux conditions prévues par le RGPD. Les personnes concernées doivent également être tenues
informées de toute violation de leurs données personnelles si tel était le cas. Les citoyens de l’UE  NEP 250 : Prise en compte de risques d’anomalies significatives dans les comptes résultants
peuvent transférer leurs données d’un système à un autre, et ce sans que l’organisme contrôlant du non respect des textes légaux et réglementaires
les données, représenté par le délégué à la protection des données, ne puisse intervenir. Les  NEP 315 : Connaissance de l’entité et de son environnement et évaluation du risque
délégués à la protection des données devront explicitement fournir aux particuliers le délai d’anomalies significatives
de détention de leurs données personnelles. De ce fait, les citoyens acquièrent plus de droits
leur permettant de contester des décisions les concernant qui seraient basées sur un ensemble  Nouveau règlement européen sur la protection des données personnelles paru au journal
d’algorithmes. officiel de l’Union européenne qui est entré en application le 25 mai 2018.

Le règlement s’applique à la fois aux entreprises établies dans l’Union européenne mais aussi
aux entreprises établies en dehors de l’UE qui traitent les données relatives aux activités des
entreprises et des organisations de l’UE. Les sociétés non-européennes sont également soumises
au règlement si elles ciblent les résidents de l’UE. Ainsi, une entreprise américaine possédant
une succursale au sein de l’Union (ou une entreprise faisant affaire avec des citoyens de l’Union
européenne) est soumise à ces mêmes régulations.

54 55
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

06
FICHE 06
PROTECTION DES DONNÉES
PERSONNELLES

ANALYSE DES RISQUES ET FACTEURS DE CRITICITÉ :

Risque de non-conformité avec des sanctions très lourdes en cas de manquements
aggravés.
MATURITÉ DE L’ENTREPRISE EN MATIÈRE DE DONNÉES PERSONNELLES :
QUESTIONS POUR ÉVALUER LES RISQUES : Ce tableau sera repris dans la synthèse globale de cartographie des risques en fin de première
Ce questionnaire peut être réalisé en phase intérimaire comme en phase finale. partie.

Réponse et Le niveau de risque sera noté comme suit :

Thématique Question Interlocuteurs
niveau de risque  1 : Faible
 2 : Moyen

PROTECTION DES DONNÉES PERSONNELLES

La société effectue-t-elle des traite-
RGPD applicabilité
ments sur des données sensibles ou DPO DSI OUI  3 : Elevé
des traitements à grande échelle ?

Demande d’accord
Les données personnelles ont-elles été Evaluation du risque Niveau de risque Commentaire
exprès sur les sites
collectées de manière loyale, licite et
Enquête de satisfaction
transparente ? DPO DSI
Gouvernance / Localisation des Data Incidence
L’objectif de la collecte et du traite- Directions
déontologie Center en Union
ment de la donnée est-il légitime ? métiers
Européenne, sinon
Les données sont-elles accessibles en Probabilité d’occurence
accord de respect du
dehors de l’Union européenne ?
RGPD

L’entreprise elle-même
Les responsables des traitements EXEMPLES DE BONNES PRATIQUES :
est désignée comme
ont-ils été identifiés et peuvent-ils
responsable des  Sensibiliser les utilisateurs aux enjeux en matière de sécurité et de vie privée ;
être sollicités en cas de demande par
traitements.  Rédiger une charte informatique et lui conférer une force contraignante ;
l’intéressé ?
La finalité du traitement, les catégo-  Documenter et mettre à jour de manière régulière toutes les procédures d’exploitation
DPO DSI Information expresse
ries et sources de données ont-elles
Information
été portées à la connaissance de
Directions Documentation des de données personnelles ;
métiers traitements et des  Mettre à niveau les contrats avec les prestataires pour préciser leurs responsabilités.
l’intéressé ?
catégories de données
Les droits attribués à l’intéressé
Réponse aux demandes
lui-ont-ils été communiqués (accès,
d’effacement.
rectification, opposition, effacement,
Portabilité des informations
portabilité) ?
au niveau des banques.

La collecte des données a-t-elle reçue Demande d’accord

Autorisation DPO DSI
le consentement de son intéressé ? exprès

Les modalités du droit à l’information Formalisation de

sont-elles établies et appliquées ? procédures
Un registre des données et des Nomination d’un DPO
traitements par finalité est-il formali- Tenue du registre
sé et tenu à jour ? Nouveaux contrats de
Les responsabilités en termes de sous-traitance
Management DPO DSI
gestion des données personnelles dans Procédure de commu-
l’entreprise et par les sous-traitants nication sur les
sont-elles établies ? informations volées
En cas d’incidents, un processus de pour les personnes
recensement et de communication concernées et la CNIL
est-il prévu ?

Security by design, la sécurité est-elle Prise en compte de la

prévue dans le cadre de la conduite de sécurité et du respect
projet ? des données person-
Les accès aux traitements et aux CIL DPO DSI nelles dans la
Sécurité
données sont-ils tracés et analysés ? RSSI méthodologie projet.
Des mesures spécifiques sont-elles Logs des traitements et
prises pour assurer la confidentialité, des accès.
la continuité, l’intégrité des données ?

56 57
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR
10 FICHES PRATIQUES POUR RÉUSSIR

FICHE 07
LÉGISLATION
FISCALE ET SI
07
CONTEXTE ET ENJEUX

Depuis le 01 janvier 2014, le contribuable doit satisfaire à une obligation de représentation

de la comptabilité en remettant une copie des fichiers des écritures comptables sous forme
dématérialisée répondant aux normes fixées par l’article A. 47 A-1 du LPF. Cette modification
dans les échanges avec l’administration fiscale n’est pas sans danger pour les entreprises. Cette
réglementation s’inscrit dans une politique de modernisation et d’automatisation du contrôle
fiscal. Les contrôles des professionnels doivent donc évoluer de la même manière.

LÉGISLATION FISCALE ET SI
Depuis 2014, ce sujet est approfondi, faisant apparaître de plus en plus d’enjeux :
 La fourniture d’une piste d’audit fiable et sa documentation ;
 Obligation de faire certifier son logiciel de caisse ;

LÉGISLATION
 Fourniture du fichier FEC à date à la demande du vérificateur ;
 Conformité au règlement eIDAS¹ en matière de signature électronique ;
 Conformité aux règles d’archivage numérique ;
Pour l’ensemble de ces sujets, les sociétés sont souvent trop peu informées, accompagnées et

FISCALE & SI sensibilisées

NEP ET TEXTES DE RÉFÉRENCE

 NEP 250 : Prise en compte du risque d’anomalies significatives dans les comptes. Le CAC
doit s’enquérir auprès de la direction du respect des textes et prendre connaissance des
correspondances reçues des autorités administratives et de contrôles. On ne peut pas obliger
le client à fournir le FEC.
 NEP 315 : Prise de connaissance de l’entité et de son environnement. Cela implique notamment
l’environnement réglementaire et numérique.
 Le respect des principes de tenue des comptabilités manuelles ou informatisées constitue « la
condition nécessaire du caractère régulier, sincère et probant des comptabilités informatisées »
(BOI-BIC-DECLA-30-10-20-40-20131213 § 40).
 Les livres comptables, la documentation comptable et les pièces justificatives, doivent respecter
ces principes, qui ont leur traduction dans le FEC.
 PCG, art. 921-3 : Le caractère définitif des enregistrements du livre-journal et du livre d’inventaire
est assuré, pour les comptabilités tenues au moyen de systèmes informatisés, par une procédure
de validation, qui interdit toute modification ou suppression de l’enregistrement
 Une comptabilité est dite « informatisée », dès lors qu’elle est tenue, même partiellement, à l’aide d’une
application informatique ou d’un système informatisé (BOFIP-BIC-DECLA-30-10-20-40- §30-13/12/2013).
 Article L.13 du LPF (Livre des Procédures Fiscales) modifié par la loi de finance 1990, article
L.102B du LPF : l’administration fiscale a la possibilité d’effectuer un contrôle portant sur
« les informations, données et traitements informatiques, qui concourent directement ou
indirectement, à la formation des résultats comptables ou fiscaux ainsi que sur la documentation
relative aux analyses, à la programmation et à l’exécution des traitements ».

¹ Le règlement eIDAS s’applique à l’identification électronique, aux services de confiance et aux documents électroniques au sein du marché
58 Européen. 59
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

07
FICHE 07
LÉGISLATION FISCALE ET SI

 Analyse des données comptables simplifiée avec l’exploitation du FEC :

• Exhaustivité des analyses même sur de grands volumes de données ;
 L’administration fiscale tolère que la date de comptabilisation soit la date mentionnée sur
• Concentration des travaux sur les exceptions et anomalies détectées ;
la pièce justificative.
• Amélioration de la documentation et de la valeur probante des travaux.
 Le CFCI (Contrôle Fiscal des Comptabilités Informatisé) est souvent sous-estimé par les
entreprises, or il ne se limite pas à la fourniture d’un FEC mais s’inscrit avant tout dans une
 Factures électroniques : démarche de documentation du système d’information et d’assurance de la continuité de la
• Conservation pendant 6 ans (LPF art. 102 B) et restitution à l’identique (CGI, annexe II - piste d’audit.
art.96 I bis) ;  Le CFCI englobe le FEC et l’ensemble des extractions des données opérationnelles présent
• Déclaration du lieu de stockage au SIE (LPF, L. 102 C) si stockage hors de France (dans un dans le système d’information de l’entreprise (Stocks, factures, …)
pays ayant signé une convention d’assistance mutuelle).
Sanctions en cas de non-utilisation d’un logiciel de caisse certifié :

 Archivage numérique : facture papier numérisée dans les conditions fixées à l’article A. 102  Amende de 7 500 € et une régularisation dans les 60 jours.

LÉGISLATION FISCALE ET SI
B-2 du LPF.
S’agissant de la signature électronique, elle est régie par le règlement n° 910/2014/UE, adopté le
23 juillet 2014, sur l’identification électronique et les services de confiance pour les transactions
ANALYSE DES RISQUES ET CRITICITÉ électroniques au sein du marché intérieur.
Selon le règlement, un moyen d’identification doit :
Sanctions en cas de remise d’un FEC non conforme ou d’absence de remise d’un FEC :
 Avoir été délivré conformément à un schéma d’identification électronique notifié par l’Etat
 Amende de 5.000 € par exercice non conforme (y compris l’exercice en cours) ; membre concerné et figurant sur la liste publiée par la Commission.
 Si le montant des rectifications est plus élevé, une majoration de 10 % des droits est mise à Selon le règlement, un schéma d’identification électronique est un système pour l’identification
la charge du contribuable ; électronique en vertu duquel des moyens d’identification électronique peuvent être délivrés
 Rejet possible de la comptabilité ; à des personnes physiques ou morales. Les États membres peuvent notifier des schémas
 Numérotation des écritures continue : plusieurs rejets de FEC pour absence de numérotation d’identification électronique depuis le 29 septembre 2015.
continue des écritures.  Avoir un niveau de garantie égal ou supérieur à celui requis par l’organisme du secteur
public concerné pour accéder à ce service en ligne, à condition que ce niveau soit substantiel ou
élevé. Cette reconnaissance mutuelle ne concerne ainsi que les organismes du secteur public
Les éléments clefs à connaître sur le FEC :
qui exigent, pour accéder à l’un de leurs services en ligne, une identification électronique
 En cas de changement de logiciel en cours d’année, il est possible de remettre le FEC de répondant au moins aux exigences du niveau substantiel.
l’exercice concerné sous la forme de deux fichiers distincts ; le premier fichier étant produit
S’agissant de l’archivage numérique, il est régit par l’article A. 102 B-2 du LPF.
par l’ancien logiciel et le second par le nouveau. Ces deux fichiers doivent être remis de
manière simultanée et respecter le format défini à l’article A. 47 A-1 du LPF.
Afin de garantir l’intégrité des fichiers issus de la numérisation, chaque document ainsi
 Les principaux éditeurs de logiciels comptables garantissent un FEC respectant la législation, numérisé est conservé sous format PDF (Portable Document Format) ou sous format PDF A/3
mais attention aux versions anciennes des logiciels qui ne sont pas forcément toutes FEC -
(ISO 19005-3) et est assorti :
compatibles, les mises à jour devant absolument avoir été faites.
 Soit d’un cachet serveur fondé sur un certificat conforme, au moins, au référentiel général
 Il convient de faire attention aux logiciels de gestion, qui sont la plupart du temps accessibles de sécurité (RGS) de niveau une étoile ;
en mode SaaS (via internet). Vous devez vous assurer qu’ils respectent bien les normes du FEC.
 Soit d’une empreinte numérique ;
Si ce n’est pas le cas, en fin d’exercice vous serez dans l’impossibilité de générer votre fichier FEC !
 Soit d’une signature électronique fondée sur un certificat conforme, au moins, au référentiel
 Le logiciel doit nécessairement proposer soit un outil, soit une fonction permettant de général de sécurité (RGS) de niveau une étoile ;
générer un FEC. Si ce n’est pas le cas, alors risque !
 Soit de tout dispositif sécurisé équivalent fondé sur un certificat délivré par une autorité
 Deux journaux différents ne doivent pas avoir le même libellé (exemple BQ1 = Banque et BQ2 = de certification figurant sur la liste de confiance française (Trust-service Status List -TSL).
Banque).
 Attention à l’utilisation de libellés pouvant attirer l’attention (anomalie, inexistant, …)
Chaque fichier est horodaté, au moins au moyen d’une source d’horodatage interne, afin de
 Les cumuls ne peuvent pas être repris s’ils proviennent d’un fichier de type tableur.
dater les différentes opérations réalisées.
Les opérations doivent être saisies en détail. Le seul cas où la reprise d’un cumul est possible
est lorsque les cumuls proviennent d’un logiciel métier indépendant de la comptabilité.

60 61
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

07
FICHE 07
LÉGISLATION FISCALE ET SI

QUESTIONNAIRE
QUESTIONNAIRE QUESTIONS SUR LE CONTRÔLE DU SI – APPROFONDISSEMENT
QUESTIONS SUR LE CONTRÔLE DU SI – INDISPENSABLE

Enjeux / Interlocuteur Réponse

Enjeux / Interlocuteur Réponse Question
Question Risques associés concerné attendue
Risques associés concerné attendue

La société utilise-t-elle un logiciel standard

DSI, Non-conformité / DSI,
Non-conformité / ou un ERP ? En cas d’utilisation d’un ERP, il est
La dernière mise à jour de votre logiciel est- Directeur Amende et/ou rejet de la Directeur comptable Standard
Amende et/ou rejet OUI conseillé de faire appel à un spécialiste pour
elle antérieure à 2016 ? comptable comptabilité ou DG
de la comptabilité analyser le FEC.
ou DG

Non-conformité / DSI, Redressement fiscal

DSI,
Est-il possible de générer le FEC pour les Amende et/ou rejet Directeur La cohérence des dates et particulièrement de et/ou rejet
OUI Directeur comptable OUI
périodes concernées ? de la comptabilité comptable la date de validation a-t-elle été vérifiée ? de la comptabilité
ou DG
ou DG

DSI, La présence d’une numérotation continue et Redressement fiscal DSI,

LÉGISLATION FISCALE ET SI
Non-conformité / chronologique des écritures comptables et/ou rejet Directeur comptable OUI
La conformité formelle du FEC a-t-elle été Directeur
Amende et/ou rejet OUI validées a-t-elle été vérifiée ? de la comptabilité ou DG
vérifiée ? comptable
de la comptabilité
ou DG
La saisie des écritures comprend-t-elle la Redressement fiscal DSI,
En cas de vérification formelle du FEC, NON référence aux pièces justificatives (piste et/ou rejet Directeur comptable OUI
des anomalies significatives ont-elles été DSI, 1. Numéro SIREN + d’audit) ? de la comptabilité ou DG
Non-conformité /
relevées ? Directeur mention FEC + date de
Amende et/ou rejet Redressement fiscal DSI,
1. Le nom du FEC est-il conforme ? comptable clôture de l’exercice La concordance du FEC avec la déclaration
de la comptabilité et/ou rejet Directeur comptable OUI
2. Les champs obligatoires sont-ils remplis à ou DG 2. 100% pour chaque fiscale annuelle a-t-elle été vérifiée ?
100% ? colonne de la comptabilité ou DG

OUI Redressement fiscal DSI,

Impossibilité de modifier ou supprimer les
1. Cohérence entre les dates et/ou rejet Directeur comptable OUI
écritures comptables validées ?
des pièces comptables, de de la comptabilité ou DG
comptabilisation et de
Avez-vous vérifié la cohérence des données validation des écritures La cohérence des dates entre elles et par Redressement fiscal DSI,
de votre FEC : 2. Vérifier si ces écritures rapport au calendrier des jours fériés (anoma- et/ou rejet Directeur comptable OUI
n’ont pas été modifiées lies de procédures ?) a-t-elle été vérifiée ? de la comptabilité ou DG
1. Cohérence des dates entre elles et comprendre pourquoi
DSI, elles sont à 0 L’analyse des schémas d’écritures utilisés afin Redressement fiscal DSI,
Non-conformité /
2. Montant au débit ou crédit nul Directeur 3. La liasse fiscale étant d’identifier ceux ne respectant pas le PCG et la et/ou rejet Directeur comptable OUI
Amende et/ou rejet
comptable constituée à partir de la doctrine comptable a-t-elle été vérifiée ? de la comptabilité ou DG
de la comptabilité
3. Le FEC cadre-t-il avec la balance générale ou DG balance générale, il est
et avec la liasse fiscale ? important de valider la Redressement fiscal DSI,
cohérence des soldes de La recherche de doublons de factures ou de
et/ou rejet Directeur comptable OUI
4. Les numéros de comptes respectent-t-ils la balance avec ceux paiements a-t-elle été vérifiée ?
de la comptabilité ou DG
le PCG ? reconstitués à partir du FEC
4. Les numéros de La vérification du respect des délais de Redressement fiscal DSI,
comptes doivent paiement fournisseurs et clients a-t-elle été et/ou rejet Directeur comptable OUI
respecter les numéros effectuée ? de la comptabilité ou DG
définis dans le PCG
Redressement fiscal DSI,
DSI, L’analyse de la caisse fait-elle apparaître des
L’organisation comptable, les processus Non-conformité / et/ou rejet Directeur comptable NON
Directeur mouvements supérieurs à 3 K€ ?
comptables et le système d’information Amende et/ou rejet OUI de la comptabilité ou DG
comptable
ont-ils été documentés ? de la comptabilité
ou DG

DSI,
Les modalités de classement et d’archivage Non-conformité /
Directeur
des pièces justificatives (plan d’archivage) Amende et/ou rejet OUI
comptable
sont-elles claires et écrites ? de la comptabilité
ou DG

DSI,
L’archivage des factures électroniques Non-conformité /
Directeur
permet-elle une consultation des pièces Amende et/ou rejet OUI
comptable
pendant 6 ans ? de la comptabilité
ou DG

62 63
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

07
FICHE 07
LÉGISLATION FISCALE ET SI

QUESTIONNAIRE
MATURITÉ DE L’ENTREPRISE EN MATIÈRE DE LÉGISLATION FISCALE ET SI :
QUESTIONS SUR LE CONTRÔLE DU SI – APPROFONDISSEMENT
Ce tableau sera repris dans la synthèse globale de cartographies des risques en fin de première
partie.

Enjeux / Interlocuteur Réponse

Question Le niveau de risque sera noté comme suit :
Risques associés concerné attendue
 1 : Faible
Existent-ils des écritures ayant un compte de Redressement fiscal DSI,  2 : Moyen
TVA déductible et un libellé contenant et/ou rejet Directeur comptable NON
 3 : Elevé
«voiture », « hôtel », « cadeau » ? de la comptabilité ou DG

OUI Evaluation du risque Niveau de risque Commentaire

Les exports du
FEC et des

LÉGISLATION FISCALE ET SI
données Incidence
La société est-elle capable d’extraire les Redressement fiscal DSI, opération-
données opérationnelles en cas de demande et/ou rejet Directeur comptable nelles (Stocks, Probabilité d’occurence
dans le cadre d’un CFCI ? de la comptabilité ou DG factures, …)
sont stockés
et sécurisés
sur le serveur EXEMPLES DE BONNES PRATIQUES :
de l’entreprise

OUI  Effectuer une cartographie du SI ;

Le document  Vérifier les dernières mises à jour des logiciels utilisés (intégrant le FEC) ;
doit
permettre  Effectuer une clôture de caisse quotidienne avec ventilation des recettes par TVA et par
d’identifier nature, ventilation par mode d’encaissement, justification des écarts de caisse… ;
Redressement fiscal DSI, les clefs entre  Créer une stratégie d’archivage des données pérenne et en respectant notamment le RGPD ;
Une cartographie claire permet-elle d’identi-
et/ou rejet Directeur comptable les différents
fier les liens entre les fichiers ?  Documenter le traitement et la comptabilisation des données.
de la comptabilité ou DG fichiers afin
de garantir
l’intégralité
de la piste
d’audit

64 65
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

FICHE 08
EXPLOITATION
DES SYSTÈMES
D’INFORMATION
08

EXPLOITATION DES SYSTÈMES D’INFORMATION

CONTEXTE, PÉRIMÈTRE ET ENJEUX

L’exploitation des systèmes d’information est la fonction qui permet de maintenir l’efficacité,
l’efficience, la confidentialité, l’intégrité, la disponibilité, la conformité, la fiabilité et la sécurité
du système d’information, aussi bien dans ses éléments matériels (serveurs, postes de travail,
smartphones, équipements réseau et télécom…) qu’immatériels (logiciels standards, logiciels
spécifiques, systèmes d’exploitation, données…).

EXPLOITATION LES BASES

DES SYSTÈMES
Les procédures d’exploitation doivent être documentées.
Les changements apportés aux matériels, aux logiciels, aux systèmes d’exploitation doivent être
contrôlés et approuvés.

D’INFORMATION
Les fonctions et les équipements de développement, de tests et d’exploitation doivent être
rigoureusement séparés.
La prestation de services par des tiers doit être encadrée et gérée.
L’évolution des besoins liés à la croissance des volumes ou à la modification des règles de
traitement doit être anticipée et planifiée.
L’intégrité des systèmes et la confidentialité des données doivent être préservées par une
protection appropriée contre les codes informatiques non autorisés et/ou malveillants, présents
sur les équipements de l’entreprise et sur les équipements personnels des utilisateurs, connectés
au système d’information.
Les données doivent être sauvegardées, au minimum tous les jours. Le bon fonctionnement
des sauvegardes est suivi selon une procédure formelle. Des tests de restauration sont menés
régulièrement.
La sécurité des réseaux doit être assurée, par un contrôle des équipements autorisés à se
connecter et par un filtrage des données. Les connexions distantes, depuis l’extérieur, font l’objet
de mesures de sécurité complémentaires.
Les supports amovibles font l’objet d’une procédure d’autorisation et d’un suivi, pour préserver
la confidentialité des données.
Les ressources de l’entreprise accessibles en ligne par le public, font l’objet de mesures de sécurité
spécifiques, régulièrement auditées.
L’ensemble des systèmes fait l’objet d’une surveillance, avec analyse régulière et permanente des
logs et des alertes générés automatiquement par les équipements informatiques.

66 67
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

08
FICHE 08
EXPLOITATION
DES SYSTÈMES D’INFORMATION

NORMES ET RÉFÉRENTIELS APPLICABLES QUESTIONNAIRE

 NEP 240 pour la prise en compte de la possibilité de fraude L’audit de la fonction « exploitation des systèmes d’information » peut être réalisé en phase
 NEP 330 pour l’évaluation du contrôle interne, d’intérim.
 NEP 620 pour les experts tiers, Il faut commencer par identifier la ou les personnes en charge de l’exploitation. Dans les petites
 SSAE18 structures, les responsabilités et les tâches liées à l’exploitation des systèmes d’information sont
 SOC1 peu ou mal définies. Par commodité, la personne en charge de l’exploitation est désignée “DSI”
 SOC2 dans le questionnaire ci-dessous.

EXPLOITATION DES SYSTÈMES D’INFORMATION

 ISAE3402 pour l’externalisation de tout ou partie du SI
 ISO27001 pour la gestion de la sécurité.

Thème / Question Enjeu / Risque Interlocuteur Réponse attendue

ANALYSE DES RISQUES ET FACTEURS DE CRITICITÉ
Idéalement : OUI
Les risques découlant d’une fonction “exploitation des systèmes” mal gérée sont : interruption Les procédures d’exploitation sont-elles Interruption de services,
DG, DSI Mais rare dans les
des services, fraude, perte et vol de données, intrusion, perte de contrôle des coûts, inadaptation documentées ? fuite de données
petites structures
des outils et démotivation des utilisateurs.
Les changements apportés aux matériels, aux
Inadaptation des outils
logiciels, aux systèmes d’exploitation sont-ils
informatiques, achats DG OUI
contrôlés et approuvés, selon une procédure
QUELQUES EXEMPLES inutiles, perte de temps
formelle ?

 Augmentation des volumes non anticipée et sans surveillance : Les fonctions de développement, de tests et
Fraude DG OUI
Saturation des disques et interruption de services. d’exploitation sont-elles séparées ?

 Pas de séparation des tâches développement/exploitation : Les équipements de développement, de tests

Idéalement : OUI
Fraude DG Mais rare dans les
Création de fonctions secrètes par le développeur, dans les logiciels. Ces fonctions secrètes et d’exploitation sont-ils séparés ?
petites structures
peuvent être utilisées par lui pour commettre des fraudes qui échapperont aux procédures de
contrôle interne. La prestation de services par des tiers est-elle Fraude, coûts inutiles,
DG OUI
encadrée et gérée ? vol de données
 Pas de protection contre les codes informatiques non autorisés et/ou malveillants :
Dans un environnement à fort enjeu de sécurité et de confidentialité (par exemple, un bureau Externalisation, sous-traitance, Cloud… : les
Fraude, coûts inutiles,
d’études dans une entreprise de haute technologie), un utilisateur pourrait chercher à installer vol ou perte de données,
risques associés sont-ils évalués et des clauses DG OUI.
interruption
un logiciel de contrôle à distance, pour voler des données en dehors des heures de travail, en de réversibilité sont-elles prévues ?
de services….
toute discrétion. Risque aussi de virus sur les matériels personnels des utilisateurs.
L’évolution des besoins liés à la croissance des
Interruption
 Pas de sécurité des réseaux : volumes ou à la modification des règles de DG, DSI OUI
de services, coûts
traitements est-elle anticipée et planifiée ?
Un réseau wifi connecté au réseau de production est une porte ouverte pour les pirates. Casser
une clé wifi est un jeu d’enfant ! Existe-il un antivirus sur tous les équipe- Interruption de services,
DG, DSI OUI
ments de l’organisation auditée ? vol de données…
 Pas de suivi des sauvegardes et pas de tests de restauration :
Cas fréquent d’une sauvegarde mal paramétrée : le compte rendu affiché indique : « 0 erreur de
sauvegarde ». La personne en charge du suivi est satisfaite. Mais juste au-dessus de « 0 erreurde
sauvegarde », il est noté « 0 fichier sauvegardé – 0 octet sauvegardé » ! En cas de panne ou de vol
du serveur, la perte de données est certaine.

 Pas de surveillance des «logs» ou des alertes :

Si un des deux disques en miroir sur un serveur est en panne, le serveur fonctionne quand
même ! Si la panne du premier disque n’est pas détectée et remédiée, la panne du deuxième
disque entrainera une interruption des services. Autre exemple : le journal de sécurité du
serveur indique un échec de connexion, avec erreur de mot de passe, plusieurs fois par seconde.
Cela signifie qu’un piratage est en cours, avec recherche automatique du mot de passe par tests
de toutes les combinaisons de caractères possibles. Si ce piratage n’est pas détecté, au bout de
quelques jours ou de plusieurs mois, le mot de passe pourra être trouvé par le pirate.

68 69
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

08
FICHE 08
EXPLOITATION
DES SYSTÈMES D’INFORMATION

QUESTIONNAIRE MATURITÉ DE L’ENTREPRISE EN MATIÈRE D’EXPLOITATION DES SYSTÈMES

INFORMATIQUES :
Ce tableau sera repris dans la synthèse globale de cartographie des risques en fin de première
Thème / Question Enjeu / Risque Interlocuteur Réponse attendue partie.

Existe-t-il une gestion centralisée et une Le niveau de risque sera noté comme suit :
Interruption de services,

EXPLOITATION DES SYSTÈMES D’INFORMATION

remontée automatique d’alertes pour les DG, DSI OUI
vol de données…  1 : Faible
antivirus ?
 2 : Moyen
L’existence d’un antivirus est-elle exigée sur
les équipements personnels des utilisateurs, Interruption de services,  3 : Elevé
DG OUI
avant autorisation de se connecter au système vol de données…
d’information ? Evaluation du risque Niveau de risque Commentaire
Tout logiciel présent sur les équipements
connectés au système d’information a-t-il fait Incidence
Vol de données, fraude… DG OUI
l’objet d’une procédure formelle et préalable
d’approbation ? Probabilité d’occurence
Perte de données,
Les données sont-elles sauvegardées automa-
indisponibilité des DG, DSI Obligatoirement OUI
tiquement au moins une fois par jour ?
systèmes EXEMPLES DE BONNES PRATIQUES :
Perte de données,
 Documenter les procédures d’exploitation ;
Le bon fonctionnement des sauvegardes est-il  Documenter et approuver tous les changements apportés aux matériels, aux logiciels, aux
indisponibilité des DG, DSI Obligatoirement OUI
suivi selon une procédure formelle ?
systèmes systèmes d’exploitation ;
Perte de données,  Définir une politique d’utilisation des services externalisés (prestation par des tiers,
Des tests de restauration sont-ils menés
régulièrement ?
indisponibilité des DG, DSI Obligatoirement OUI externalisation, cloud…) ;
systèmes
 Séparer les fonctions et les équipements/environnements de développement, de tests et
Tout équipement (ordinateur, tablette, d’exploitation;
Vol de données,
smartphone) connecté au système d’informa-  Effectuer des sauvegardes et des tests de restauration de manière régulière.
interruption de services, DG, DSI OUI
tion a-t-il fait l’objet d’une procédure
fraude…
formelle et préalable d’approbation ?

Vol de données,
La connexion à Internet est-elle sécurisée par
interruption de services, DG, DSI OUI
un pare feu suivi et administré ?
fraude…

NON.
Si OUI, justifier
Vol de données,
Le réseau wifi est-il connecté au réseau de pourquoi et évaluer
interruption de services, DG, DSI
production ? les mesures
fraude…
de sécurité
compensatoires.

Si connexions distantes, depuis l’extérieur,

Vol de données,
existe-t-il des mesures de sécurité complé-
interruption de services, DG, DSI OUI
mentaires, comme authentification à deux
fraude…
facteurs, limitation adresses IP entrantes…?

Les supports amovibles font-ils l’objet d’une

Vol de données DG, DSI OUI
procédure d’autorisation et d’un suivi ?

Les ressources de l’entreprise accessibles en

Vol de données,
ligne par le public font-elles, l’objet de
interruption de services, DG, DSI OUI
mesures de sécurité spécifiques, régulière-
fraude…
ment auditées ?

Les logs, les journaux, les alertes générés

Vol de données,
automatiquement par les équipements
interruption de services, DG, DSI OUI
informatiques font-ils l’objet d’un suivi
fraude…
70 régulier et permanent ? 71
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

FICHE 09
PLAN DE CONTINUITÉ
D’ACTIVITÉ
09
CONTEXTE ET ENJEUX

Le plan de continuité d’activité (PCA ou Business Continuity Plan – BCP) vise à établir un plan
d’actions pour assurer la continuité des activités de l’entreprise en cas de sinistre important. Il
intègre un volet informatique souvent appelé le plan de secours informatique.

PLAN DE CONTINUITÉ D’ACTIVITÉ

Le PCA doit permettre à une entité la reprise et la continuité de ses activités à la suite d’un
sinistre ou d’un événement perturbant gravement son fonctionnement normal. Il doit également

PLAN DE
permettre à l’organisation de répondre à ses obligations externes (réglementaires, contractuelles)
ou internes (survie de l’entreprise, risque d’image, risque de perte de marché, etc.) et de tenir ses
objectifs.

CONTINUITÉ Les questions suivantes ont tout intérêt à être soulevées lors de l’entretien avec le dirigeant ou le
responsable du système d’information :
 Combien de temps l’entreprise peut-elle fonctionner si l’outil informatique est hors de service ?

D’ACTIVITÉ
 Quelles sont les applications les plus indispensables dans l’entreprise ?
 Comment opérationnellement s’effectuerait la restauration du système informatique ?
 Combien couterait la remise en place d’un système informatique en cas de sinistre ?
 Existe-il des procédures dégradées pour fonctionner temporairement en mode manuel ou
avec un système d’information limité ?

La démarche d’un plan de continuité d’activité n’a de sens que si elle est formalisée et testée de
manière régulière.

NEP ET TEXTES DE RÉFÉRENCE

 NEP 315 : Connaissance de l’entité et de son environnement et évaluation du risque

d’anomalies significatives
 NEP 570 : Continuité d’exploitation
 ISAE 3402 : dans le cadre de l’externalisation de l’exploitation du système d’information, un
rapport ISAE 3402 est souvent fourni par le prestataire informatique aux auditeurs pour leur
permettre d’avoir une assurance raisonnable sur les contrôles effectués chez le fournisseur.
L’analyse de ce rapport constitue un premier niveau de contrôle mais des tests de procédures
peuvent être diligentés pour conforter cette analyse.

72 73
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

09
FICHE 09
PLAN DE CONTINUITÉ D’ACTIVITÉ

ANALYSE DES RISQUES ET CRITICITÉ

QUESTIONNAIRE
Pour cerner les facteurs de criticité d’un PCA, l’auditeur doit en connaître la démarche
d’élaboration. Elle s’organise généralement en 5 étapes. 1. Définir le contexte : identifier les objectifs et les activités essentielles

 Etape 1 : Identifier les objectifs et les activités essentielles Thème / Question Enjeu / Risque Interlocuteur Réponse attendue
Lors de cette étape, l’entreprise a dû identifier les activités qui sont nécessaires à l’atteinte de ses
objectifs, préciser les apports de ces activités pour le fonctionnement de l’organisation et décrire La direction est-elle fortement impliquée ? Opérationnel DG OUI
les objectifs de chaque activité essentielle.
Un chef de projet doté des compétences, de
l’autorité et de l’autonomie nécessaire, a-t-il Opérationnel DSI OUI
 Etape 2 : Déterminer les attentes de sécurité pour tenir les objectifs
été nommé ?
Lors de cette étape, les besoins de continuité ont été recensés et formalisés. Il en existe 6 catégories :
disponibilité, intégrité, confidentialité, traçabilité, évolutivité et sûreté. La quantification du niveau Les objectifs, les activités essentielles,
les flux et les ressources critiques ont-ils été Opérationnel DSI OUI préciser
du besoin de continuité est effectuée selon 3 indicateurs : niveau de service minimum, niveau identifiés ?

PLAN DE CONTINUITÉ D’ACTIVITÉ

d’indisponibilité minimum, ressources restant indispensables.
Les ressources restant indispensables ont dû être identifiées avec précision. Il existe 5 catégories Les flux entre les systèmes d’information
Opérationnel DSI Préférable
supportant les processus ont-ils été cartographiés ?
de ressources : infrastructures, systèmes d’information, ressources humaines, ressources
intellectuelles / informations et prestations externes.

2. Déterminer les attentes de sécurité pour tenir les objectifs

 Etape 3 : Identifier, analyser, évaluer et traiter les risques
Le recensement des risques a été effectué suivant 4 catégories : risques de nature stratégique,
Thème / Question Enjeu / Risque Interlocuteur Réponse attendue
risques opérationnels, risques liés à la gouvernance et risques juridiques. L’évaluation des risques
a consisté à hiérarchiser les risques en tenant compte de leur probabilité et de leur impact Les systèmes de téléphonie, serveurs de
fichiers et messagerie ont-ils été intégrés dans Opérationnel DSI Préférable
potentiel sur les activités essentielles.
les systèmes critiques de l’organisation ?
Les scenarii de sinistre à prendre en compte ont été recensés. Ils ont été formalisés en indiquant
s’il y a les mesures particulières de prévention, les impacts principaux sur l’organisation et ses Les ressources critiques matérielles ont-elles
Opérationnel DSI OUI
été prises en compte ?
capacités, les indices permettant d’identifier le début de la crise et les critères permettant de
mesurer l’ampleur du sinistre. Les niveaux de fonctionnement en mode Opérationnel/
dégradé sont-ils explicités ? Ont-ils été validés DSI OUI Préférable
en liaison avec les clients ? Image / Juridique
 Etape 4 : Définir la stratégie de continuité d’activité
Les niveaux dégradés de prestations des
Des objectifs de continuité ont été fixés compte tenu des besoins dans l’absolu et des scenarii de Opérationnel DG/DSI Préférable
fournisseurs ont-ils été pris en compte ?
sinistre retenus. Ces objectifs portent sur les activités et donc sur les processus et les ressources
critiques.
Pour répondre aux objectifs de continuité, les exigences sur les ressources nécessaires au PCA, y 3. Identifier, analyser, évaluer et traiter les risques
compris celles des partenaires, ont été définies.
Thème / Question Enjeu / Risque Interlocuteur Réponse attendue

 Etape 5 : Mettre en œuvre et assurer l’appropriation L’analyse des risques a-t-elle permis d’identifier
Après validation par la direction, le PCA a été transmis à chaque responsable de ressource critique ceux contre lesquels il est prioritaire de se Opérationnel DSI Préférable
protéger ?
pour définir ce qui est attendu (disponibilité de certains composants, délais de bascule, etc.). Ces
responsables ont dû confirmer les modalités de mise en œuvre : délais, coûts, arbitrages, etc. qui Le PCA prend-t-il en compte les risques
opérationnels pour lesquels l’interruption
ont été consolidés pour validation par la direction. Il a été ensuite demandé aux responsables Opérationnel DSI OUI
d’activité résulte de la perte de ressources
des processus concernés par les activités essentielles de décliner les actions dans leurs propres critiques ?
processus.
Les partenaires susceptibles d’être concernés Opérationnel /
DG/DSI Préférable
par les scenarii ont-ils été identifiés ? Image / Juridique
Une cellule de crise a été définie : composition et gouvernance de la cellule de crise, procédures ,
etc. Enfin, le maintien du PCA en condition opérationnelle a été prévu : vérifications périodiques,
exercices et entraînement, etc.

74 75
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !

09
10 FICHES PRATIQUES POUR RÉUSSIR

FICHE 09
PLAN DE CONTINUITÉ D’ACTIVITÉ

4. Définir la stratégie de continuité d’activité

Thème / Question Enjeu / Risque Interlocuteur Réponse attendue

La stratégie a-t-elle été validée par la direction ? Opérationnel / Image DG OUI MATURITÉ DE L’ENTREPRISE EN MATIÈRE DE PLAN DE CONTINUITÉ D’ACTIVITÉ :
Ce tableau sera repris dans la synthèse globale de cartographie des risques en fin de première
Les objectifs de continuité en mode dégradé
et pour la reprise d’activité sont- ils cohérents Opérationnel DSI OUI partie.
avec les scénarii de risques retenus ?

L’ordre de priorité des procédures, des Le niveau de risque sera noté comme suit :
ressources, de la reprise et du basculement
Opérationnel DSI OUI  1 : Faible
progressif sur les systèmes normaux est-il
identifié ?  2 : Moyen
Les exigences vis-à-vis des partenaires  3 : Elevé
Opérationnel /
ont-elles été prises en compte de manière DG/DSI Préférable
réciproque ? Image / Juridique
Evaluation du risque Niveau de risque Commentaire

PLAN DE CONTINUITÉ D’ACTIVITÉ

Incidence
5. Mettre en oeuvre et assurer l’appropriation
Probabilité d’occurence
Thème / Question Enjeu / Risque Interlocuteur Réponse attendue

Les actions de communication nécessaires au

lancement, à l’appropriation et à la mise en Opérationnel DG/DSI OUI
œuvre du PCA ont-elle été prévues ?
EXEMPLES DE BONNES PRATIQUES :
Les mesures à mettre en œuvre et les procédures
Opérationnel DG OUI
associées sont-elles simples et accessibles ?  Définir une étude d’impact du métier (Business Impact Analysis : BIA) ;
 Définir et formaliser un plan de continuité d’activité ;
Les personnels responsables sont-ils désignés, Opérationnel
informés et formés aux procédures prévues DG OUI  Définir une stratégie de sauvegarde ;
Réglementaire
dans le PCA ?  Effectuer des sauvegardes régulières (quotidiennes ou hebdomadaires) ;
Les procédures de sauvegarde/récupération et  Effectuer des tests périodiques de restauration des sauvegardes ;
Opérationnel
moyens critiques du PCA sont-ils contrôlés DSI OUI  En cas de sauvegardes sur bandes, ranger les supports utilisés pour la sauvegarde dans des
périodiquement ? Réglementaire
endroits sécurisés (coffres ignifugés et antimagnétiques) ou suffisamment éloignés (domicile
du responsable des sauvegardes) ;
 Nommer un responsable des sauvegardes afin qu’il s’assure du correct déroulement des
sauvegardes.

76 77
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

FICHE 10
CYBERSÉCURITÉ 10
CONTEXTE ET ENJEUX

La cybersécurité permet de lutter contre la cybercriminalité qui désigne les délits perpétrés à
distance par des systèmes de communication comme Internet. La cybercriminalité concerne non
seulement les formes traditionnelles de criminalité, opérées via Internet, mais aussi l’atteinte à
la confidentialité, l’intégrité et la disponibilité des systèmes d’information.
Une cyberattaque est donc un acte malveillant destiné à perturber le bon fonctionnement d’un
système d’information.

LES DEUX CATÉGORIES DE CYBERATTAQUES

Elles peuvent être distinguées :

CYBERSÉCURITÉ
 L’attaque technique par le canal internet : ces attaques exploitent une faille technique du
site web ou du réseau de l’entreprise pour ensuite s’introduire dans son système d’information
ou installer des logiciels malveillants. Ce type d’attaque nécessite des outils informatiques

CYBERSÉCURITÉ capables de contourner les dispositifs de sécurité du système d’information.

 L’ingénierie sociale : ces attaques exploitent les failles humaines, le maillon faible de la
sécurité informatique. Grâce à des techniques manipulatoires, les cybercriminels amènent
les collaborateurs de l’entreprise à compromettre la sécurité du système d’information.

NEP ET TEXTES DE RÉFÉRENCE

 NEP 240 : Conformément à cette norme, le commissaire aux comptes doit évaluer les risques
d’anomalies significatives dans les comptes résultant de ce type de fraude. La cybercriminalité
a toutes les caractéristiques de la fraude telles que définies par cette norme.
 Doctrine de la CNCC relative aux prestations entrant dans le cadre des Services Autres que
la Certification des Comptes (SACC)
 CobiT dont les défaillances peuvent rendre l’entité vulnérable aux cyberattaques :

APO12 Gérer le risque

APO13 Gérer la sécurité

LSS04 Gérer la continuité

LSS05 Gérer les services de sécurité

Surveiller, évaluer et mesurer le système
SEM02
de contrôles internes
Surveiller, évaluer et mesurer la
SEM03
conformité aux exigences externes

78 79
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

10
FICHE 10
CYBERSÉCURITÉ

ANALYSE DES RISQUES ET FACTEURS DE CRITICITÉ

Les failles usuellement exploitées par les attaques techniques concernent principalement la
sécurité des applications Web. Trois raisons peuvent en être à l’origine : QUESTIONNAIRE
1. La gestion incorrecte de l’authentification, des habilitations et du contrôle d’accès.
Le contrôle le plus difficile et le plus sensible est sans doute celui relatif à la prise en compte
2. L’injection de données qui est une technique consistant à insérer des données en entrée d’un
des risques de cybercriminalité par la direction générale. Le plus difficile, car l’exercice fait appel
programme informatique afin de les détourner de leur fonction d’origine.
à la subjectivité des dirigeants. Le plus sensible, car de cette prise de conscience dépendent les
3. Les fuites d’information si les fonctionnalités ou composants internes à une application ne
investissements informatiques et les mesures mises en œuvre. Ce contrôle peut être mené en
sont pas suffisamment « cloisonnés ».
phase d’interim.
Certes l’ingénierie sociale tire profit de la naïveté et de la crédulité de ses victimes,mais plusieurs
autres facteurs de criticité sont de nature à favoriser ce type de cyberattaques :
Thème / Question Enjeu / Risque Interlocuteur Réponse attendue
1. La facilité d’accès aux informations décrivant l’organisation de l’entreprise
2. L’accès aux informations personnelles des collaborateurs via les réseaux sociaux
La direction générale a-t-elle mobilisé les
3. L’utilisation par les collaborateurs de technologies non sécurisées OUI
compétences requises pour comprendre les Opérationnel
4. L’utilisation par les collaborateurs d’équipements personnels dans un contexte professionnel DG en précisant
risques de cybercriminalité et déterminer si le Juridique
lesquelles
(BYOD : Bring Your Own Device ou AVEPC en français : Apportez Votre Equipement Personnel management prend les actions appropriées ?
de Communication). La direction générale bénéficie-t-elle d’un
5. La complexité et la décentralisation des organisations retour direct du responsable de la sécurité Opérationnel
pour lui expliquer en des « termes opération- Juridique DG OUI
6. Le nomadisme professionnel et le télétravail

CYBERSÉCURITÉ
nels et stratégiques » les cyberrisques et leur Image
7 Le manque d’exemplarité des dirigeants prévention ?
8. Et bien évidemment, le manque de contrôle interne et de formations associées.
Une attention suffisante est-elle aussi bien
consacrée à la défense a priori contre les
attaques qu’aux opérations de remise en état Opérationnel
QUELQUES EXEMPLES DE CYBERATTAQUE : des systèmes a posteriori ? Juridique DG OUI
La DG a-t-elle mis en place un reporting pour Image
 Hameçonnage (phishing) ou harponnage (spear phising) centraliser et suivre les différentes tentatives
 Logiciel malveillant (malware) de fraude au sein de l’organisation ?
 Cassage de mot de passe Les fonctions essentielles de l’entreprise
 Attaques par déni de service (DoS) et par déni de service distribué (DDoS) ont-elles été sécurisées pour préserver la Opérationnel DG OUI
résilience de l’entreprise en cas d’attaque ?

La DG a-t-elle mis en place une cartographie

QUELQUES EXEMPLES RÉCENTS des risques ? La DG a-t-elle identifié les
scénarios possibles en fonction des types
Opérationnel
d’attaques ? Les données sensibles sont-elles
Juridique DG OUI
 Wannacry identifiées et protégées ? Les plans d’actions en
Image
cas de crise sont-ils effectivement mis à jour en
Considéré comme l’une des plus importantes attaques informatiques de l’histoire, le wannacry fonction des évolutions technologiques ou
(logiciel malveillant ou malware) a pris en otage plusieurs centaines de milliers d’ordinateurs opérationnelles ?
dans le monde en s’attaquant aux données personnelles.
 Virus Cryptolocker
Un mail intitulé « relance facture impayée » est envoyé au comptable d’une entreprise. Le
document joint contient un virus qui va chiffrer toutes les données accessibles par l’ordinateur
contaminé et les rendre inutilisables. La clé de déchiffrement est fournie contre le paiement
d’une rançon.
 Fraude aux virements
Un important groupe industriel français a reçu un avis de changement de RIB, expédié soit
disant par un fournisseur, juste avant le règlement d’échéances importantes. Cette escroquerie
a permis de dérober 1,6 M€ à la victime.
 Espionnage économique
Un Ministère français a fait l’objet d’une intrusion informatique et d’un vol de données. Le
point de départ a été l’ouverture de fichiers contaminés par des utilisateurs manipulés et
crédules.

80 81
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHES PRATIQUES POUR RÉUSSIR

10
FICHE 10
CYBERSÉCURITÉ

Après avoir analysé la prise en compte des risques par la direction générale, l’auditeur pourra se
consacrer à l’évaluation des dispositifs de prévention de l’entreprise avec des questions telles que :

Thème / Question Enjeu / Risque Interlocuteur Réponse attendue MATURITÉ DE L’ENTREPRISE EN MATIÈRE DE CYBERSÉCURITÉ :
Ce tableau sera repris dans la synthèse globale de cartographie des risques en fin de première
Existe-t-il une structure dédiée à la gestion
de la sécurité de l’information : un comité sécurité, un partie.
Opérationnel DSI OUI
responsable de la sécurité du système d’information
(RSSI) et des correspondants sécurité dans les unités ?
Le niveau de risque sera noté comme suit :
Existe-t-il une attribution claire des responsabilités  1 : Faible
pour la mise en œuvre et le suivi des évolutions à Opérationnel DSI OUI
apporter en matière de sécurité du SI ?  2 : Moyen
 3 : Elevé
Existe-t-il des procédures d’autorisation de nouveaux
Opérationnel DSI OUI
matériels ou logiciels ?
Evaluation du risque Niveau de risque Commentaire
Existe-t-il des procédures applicables à l’accès aux
Opérationnel DSI OUI
informations par des tiers ?
Incidence
Existe-t-il des modalités de réaction aux incidents de
sécurité et aux défauts de fonctionnement : Probabilité d’occurence
• signalement rapide des incidents de sécurité

CYBERSÉCURITÉ
Opérationnel DSI OUI
• signalement dysfonctionnements de logiciels
• capitalisation sur la résolution d’incidents
• processus disciplinaire
EXEMPLES DE BONNES PRATIQUES :
Les connexions à distance sont-elles réalisées de manière
Opérationnel DSI OUI
sécurisée ? (VPN par exemple)  Nommer un responsable de la sécurité du système d’information (RSSI) ;
Les échanges d’informations sont-ils réalisés de manière
 Définir des procédures d’autorisation de nouveaux matériels ou logiciels, d’accès aux
Opérationnel DSI OUI
chiffrée ? informations par des tiers ;
 Avoir une politique de cryptage des données ;
Les ordinateurs de bureau et les serveurs de l’organisation
Opérationnel DSI OUI  Choisir un mot de passe fort (longueur minimale de 8 caractères avec des caractères de
sont-ils tous protégés par un anti-virus ?
types différents) et le mettre à jour de manière régulière (tous les 3 mois) ;
L’organisation s’assure-t-elle que tous les anti-virus sont à  Mettre à jour de manière régulière les logiciels, les anti-virus et configurer le pare-feu ;
jour et fonctionnent correctement ? Si possible de façon Opérationnel DSI OUI
centralisée, sinon selon une procédure documentée.  Sécuriser l’accès wifi de votre entreprise ;
 Différencier les usages personnels des usages professionnels ;
Les règles de contrôle d’accès sont-elles formalisées dans
un format « tout est interdit sauf » plutôt que  Sensibiliser et former le personnel à la question de la cybersécurité.
Opérationnel DSI OUI
« tout est permis sauf » ?
Ces règles sont-elles transmises aux salariés ?

La gestion des mots de passe et les systèmes de déconnexion

automatique vérifient-ils les règles suivantes :
• tout compte utilisateur doit être protégé par un mot de passe ;
• engagement des utilisateurs à ne pas divulguer leur mot
de passe ; ne pas écrire leur mot de passe de façon trop
évidente ; ne pas stocker leur mot de passe dans une procé-
dure automatique ; changer leur mot de passe dès qu’ils le
soupçonnent d’être compromis ;
• contrôle qu’un mot de passe temporaire est envoyé pour
Opérationnel DSI OUI
la première utilisation et qu’il est bien changé par
l’utilisateur dès la première utilisation ;
• contrôle que les mots de passe temporaires sont
transmis aux utilisateurs de manière sûre ;
• contrôle que le système impose un changement régulier
du mot de passe ;
• contrôle que le système impose le choix de mots de
passe robustes ;
• déconnexion automatique en cas d’inactivité prolongée.

82 83
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !

-
10 FICHES PRATIQUES POUR RÉUSSIR

O
R CE
MODE D’EMPLOI SA
La rosace ci-dessous a été constituée grâce à l’ensemble des différentes synthèses par fiche.
Le niveau de risque inhérent et la probabilité d’occurence sont notés comme suit :
 1 : Faible
 2 : Moyen
 3 : Elevé
Le risque global est une moyenne de ces 2 éléments.

Le fichier de synthèse (téléchargeable ici) a été complété en guise d’exemple afin de montrer la
maturité d’une entreprise en matière de SI.
Cette maturité peut être visualisée sous forme d’un radar avec 10 extrémités représentant
l’ensemble des thématiques des fiches.

SYNTHÈSE DE LA Thématique N° Fiche Nom de la fiche

Risque
inhérent
Probabilité
d’occurence
Risque

CARTOGRAPHIE
Activités de contrôle Fiche 5 Exploitation des SI 3 1 2

Activités de contrôle Fiche 6 PCA 2 2 2

Activités de contrôle Fiche 7 Cybersécurité 3 3 3

Gouvernance entreprise Fiche 2 Gouvernance des SI 2 2 2

DES RISQUES Gouvernance entreprise

Risques opérationnels

Risques opérationnels
Fiche 1

Fiche 3

Fiche 4
Ouverture sur la transformation
numérique
Contrôles des accès

Conduite de projet
2

2
2

3
2

2.,5
Utilisation des outils d’audit des
Risques opérationnels Fiche 8
données
2 1 1,.5

Risques opérationnels Fiche 9 RGPD 3 3 3

Risques opérationnels Fiche 10 Législation fiscale et SI 1 2 1.,5

Risques opérationnels
Exploitation des SI
3
Législation fiscale et SI 2,5 PCA
2
1,5
RGPD 1 Cybersécurité
0,5
0

Utilisation des outils d'audit des données Gourvernace des SI

Conduite de projets TÉLÉCHARGER LE FICHIER

Ouverture sur la transformation
numérique

Controles des accès

84 85
 -
AUDIT INFORMATIQUE : TOUS CONCERNÉS !

R
SERVICES AUTRE QUE LA CERTIFICATION DES COMPTES

PA 2
TIE

DES SACC
POUR
DÉVELOPPER
PARTIE 2 VOTRE OFFRE
DE MISSIONS
AUDIT DES SI

86 87
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE AUTRE QUE LA CERTIFICATION DES COMPTES

RO
INTRODUCTION CONTEXTE DE LA DEMANDE
INT
07. Le commissaire aux comptes se fait préciser le contexte de la demande pour s’assurer :
 que la mission demandée respecte les conditions requises par le présent document ;
01. L’article L. 823-10-1 du Code de commerce énonce que la mission de certification  et que les conditions de son intervention et l’utilisation prévue de son rapport
des comptes du commissaire aux comptes ne consiste pas à garantir la viabilité ou sont compatibles avec les dispositions du code de déontologie de la profession.
la qualité de la gestion de la personne ou entité contrôlée. A ce titre, le commissaire
aux comptes définit la nature et l’étendue des diligences qu’il juge nécessaires compte 08. Le commissaire aux comptes s’assure que les conditions de son intervention,
tenu des prescriptions légales et des normes d’exercice professionnel pour prendre en notamment les délais pour mettre en œuvre ses travaux, sont compatibles avec les
considération de façon transversale le risque d’anomalies significatives dans les comptes. ressources dont il dispose.
Le présent document propose des travaux d’investigation complémentaire des éventuels
risques d’anomalies significatives induits par le système d’information de l’entité. 09. Dans tous les cas, le commissaire aux comptes peut refuser l’intervention.

02. Le commissaire aux comptes d’une entité peut être amené à réaliser, à la demande
de cette dernière, des travaux en vue de délivrer des rapports pour répondre à des
besoins spécifiques relatifs à la gouvernance et à la sécurité du système d’information TRAVAUX DU COMMISSAIRE AUX COMPTES
de l’entité.
10. Le commissaire aux comptes applique les dispositions de la norme d’exercice
03. Le cadre déontologique implique le respect strict des interdictions prévues par professionnel relative à la lettre de mission pour définir les termes et conditions de cette
l’article L822-11 du code de commerce ainsi que les principes d’intégrité, d’impartialité, intervention. Si nécessaire, il établit une nouvelle lettre ou une lettre complémentaire,
d’indépendance et de scepticisme professionnel tels que définis par le code de conformément aux principes de la norme susmentionnée.
déontologie. A cet égard, l’article 5 du code de déontologie précise que « l’indépendance
du commissaire aux comptes s’apprécie en réalité et en apparence. Elle se caractérise 11. Le commissaire aux comptes utilise sa connaissance de l’entité concernée et de son
par l’exercice en toute objectivité des pouvoirs et des compétences qui sont conférés environnement et les travaux qu’il a déjà réalisés pour les besoins de la certification des
par la loi. Elle garantit qu’il émet des conclusions exemptes de tout parti pris, conflit comptes, et met en œuvre les travaux complémentaires qu’il estime nécessaires pour
d’intérêts, risque d’autorévision ou influence liée à des liens personnels, financiers ou obtenir l’assurance modérée que les informations fournies par l’entité, prises dans leur
professionnels. » ensemble, ne comportent pas d’anomalies significatives.

04. L’entité, en dehors de ses obligations légales, peut avoir besoin de produire des 12. Les travaux consistent à évaluer les risques en tenant compte de l’identification des
informations ayant fait l’objet d’un contrôle externe, afin de renforcer la crédibilité risques potentiels et du système de contrôle interne mis en place par l’entreprise, et à
de ces dernières. Elle demande un rapport dans lequel le commissaire aux comptes en déduire la nature et l’étendue des contrôles substantifs à mener, afin de maintenir
formule des constats ou une conclusion à l’issue de diligences lui ayant permis le risque d’audit à un niveau faible acceptable dans les domaines suivants :
d’obtenir une « assurance modérée », c’est-à-dire une assurance moins élevée que • la gouvernance du système d’information ;
celle obtenue dans le cadre d’un audit des comptes, que les informations fournies • le contrôle des accès informatiques ;
au commissaire aux comptes ne comportent pas d’anomalies significatives. • la conduite des projets informatiques ;
• la protection des données personnelles ;
05. La mission confiée au commissaire aux comptes permet de donner un avis ou • l’exploitation du système d’information ;
de fournir des éléments d’information. Il nécessite la mise en œuvre de travaux • le plan de continuité d’activité informatique ;
non requis pour la mission de certification. Les avis peuvent être assortis de • la protection de la confidentialité, de l’intégrité et de la disponibilité des
recommandations qui contribuent à l’amélioration de la qualité et de la sécurité données, autrement dit la sécurité du système d’information.
du système d’information de l’entité. Il est destiné à l’usage propre de l’entité.

06. Le présent document a pour objet de définir les conditions dans lesquelles le
commissaire aux comptes peut réaliser la mission demandée, les travaux qu’il met en
œuvre pour ce faire et la forme sous laquelle celui-ci sera communiqué à l’entité.

88 89
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE AUTRE QUE LA CERTIFICATION DES COMPTES

RO RO
Conformément au Règlement européen de l’audit, ces travaux
INT INT
17. En formulant une observation, le commissaire aux comptes attire l’attention sur une
constituent des services autres que la certification des comptes. information fournie dans une annexe ou dans des notes explicatives. Il ne peut pas
dispenser d’informations dont la diffusion relève de la responsabilité des dirigeants.
Pour mener ces travaux, le commissaire aux comptes définit le référentiel de travail sur
lequel il va se fonder. Par exemple : 18. Les observations sont formulées dans un paragraphe distinct.
 les NEP ou les normes ISA pour la vérification des données informatisées ;
 le COSO pour l’audit du contrôle interne ; 19. Le commissaire aux comptes formule systématiquement une observation en cas
 le COBIT pour l’audit du système d’information et de la gouvernance informatique. d’incertitude sur la continuité de l’exploitation.

La CNCC a publié une mise à jour de son guide sur les SACC en novembre 2018,
précisant les normes ou doctrines auxquelles faire référence lors de la réalisation des
services autres que la certification des comptes. Dans le cas des travaux évoqués ici, les CONCLUSIONS DE L’EXAMEN LIMITÉ
prestations suivantes sont envisageables :
 des procédures convenues qui donneront lieu à des constats ;
20. Les conclusions de l’examen limité sont normées par la NEP 2410.
 des travaux qui permettront d’émettre une attestation avec éventuellement des
observations ;
 un examen limité qui permettra la formulation soit d’une conclusion sans
observation, soit d’une conclusion avec observation(s), soit d’une impossibilité de FORME DU RAPPORT DÉLIVRÉ
conclure.

13. Le commissaire aux comptes, à partir des éléments vérifiés lors de l’évaluation des 21. Le commissaire aux comptes établit un rapport qui comporte les informations
risques, se concentre sur les risques de niveau modéré ou élevé, afin de déterminer la suivantes :
nature et l’étendue des contrôles substantifs à mener et s’il est pertinent, pour ce faire,  un titre qui indique la nature des prestations réalisées ;
de recourir aux techniques d’audit assistées par ordinateur.  l’identité du destinataire du rapport au sein de l’entité ou l’indication de l’organe
auquel le rapport est destiné ;
14. Après avoir effectué les contrôles substantifs nécessaires et disposant des éléments  le rappel de la qualité de commissaire aux comptes ;
probants suffisants et appropriés recherchés, le commissaire aux comptes formule  l’identification de l’entité concernée ;
les résultats de ses travaux sur la qualité du système d’information de l’entreprise.  la nature des informations qui font l’objet du rapport et sont jointes à ce dernier ;
La formulation des résultats est fonction notamment du caractère significatif des  la période concernée ;
 les rôles respectifs de la direction ou de l’organe compétent de l’entité concernée
anomalies éventuellement relevées.
pour établir les informations et du commissaire aux comptes pour formuler ses
résultats ;
CONSTATS DE LA PROCÉDURE CONVENUE  la nature et l’étendue des travaux mis en œuvre dans le cadre de l’audit ;
 les constats ou les conclusions du commissaire aux comptes ;
 le cas échéant, ses observations ;
15. Les constats du commissaire aux comptes doivent permettre à l’entité de tirer
 la date du rapport ;
ses propres conclusions des procédures convenues. Pour mémoire, les procédures  l’identification et la signature du commissaire aux comptes.
convenues ne conduisent pas à une opinion d’audit, à une conclusion d’examen limité
ou à une attestation du commissaire aux comptes.

CO-COMMISSARIAT AUX COMPTES

OBSERVATION DE L’ATTESTATION
22. Il appartient au commissaire aux comptes qui établit seul le rapport :
16. Lorsqu’il émet une attestation, le commissaire aux comptes formule, s’il y a lieu,  d’informer préalablement les autres commissaires aux comptes de l’objet de la
toutes observations utiles. mission;
 de leur communiquer une copie du rapport.

90 91
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

FICHE 01
OUVERTURE SUR
TRANSFORMATION
NUMÉRIQUE
LA TRANSFORMATION
NUMÉRIQUE
01

OUVERTURE
PROPOSITION D’UN PÉRIMÈTRE D’INTERVENTION

TRANSFORMATION
OBJECTIFS DE LA PRESTATION

Une entité peut souhaiter confier à son commissaire aux comptes une intervention sur la
maturité numérique de son entreprise : où en est ma société au sujet de la transformation
numérique ?

SUR LA TRANSFORMATION
La transformation numérique que l’on appelle parfois aussi transformation digitale, désigne
le processus qui permet aux entreprises d’intégrer les technologies numériques disponibles au

TRANSFORMATION
sein de leur activité.

NUMÉRIQUE
Toutes les entités sont concernées. Il s’agit d’un phénomène sociétal qui touche aussi bien notre
vie privée que notre vie professionnelle. L’introduction de nouvelles technologies et l’apparition

NUMÉRIQUE de nouveaux usages ont bouleversé notre monde d’un point de vue culturel, structurel et
organisationnel.

Les travaux ont pour objet, à la demande de l’entité :

 de fournir un support permettant de comprendre ce qu’est la transformation numérique,
la convergence entre le monde professionnel et le numérique, les enjeux et leurs impacts ;
 ou de fournir un support de formation concernant des textes, des projets de textes ou des

NUMÉRIQUE
pratiques contribuant à la bonne compréhension des obligations de l’entité en matière de
transformation numérique ;
 ou de donner un avis sur la maturité numérique de l’entité ;
 ou de donner un avis sur la manière dont l’entité à engager sa transformation numérique ;
 ou donner un avis sur la prise en compte par l’entité des 4 axes fondamentaux de la
transformation numérique (innovation, excellence opérationnelle, management et
l’écosystème) ;

Les avis peuvent être assortis de recommandations portant sur des éléments du contrôle
interne, objets de la consultation et contribuant à l’amélioration des traitements de l’information
financière.

92 93
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

01
FICHE 01
OUVERTURE SUR NUMÉRIQUE
TRANSFORMATION
LA TRANSFORMATION NUMÉRIQUE

Dans les Entités d’Intérêt Public, les travaux du commissaire aux comptes ne peuvent pas inclure RAPPORT ET DOCUMENTATION
la participation¹ :
 à la conception et la mise en œuvre de la transformation numérique ou de gestion des Le commissaire aux comptes consigne dans son dossier de travail :
risques en rapport avec la préparation et/ou le contrôle de l’information financière ;  l’analyse de la maturité, des forces et des faiblesses de l’entité en matière transformation
 au choix de la solution ; numérique ;
 aux services liés à la fonction d’audit interne de l’entité contrôlée.  l’identification des étapes de la transformation numérique de l’entité ;
 un management de la transformation numérique,
 une culture d’entreprise repensée,

OUVERTURE
La prestation décrite dans le présent document est un Service Autre que la Certification des
Comptes (SACC) : il ne s’agit pas d’une mission de certification des comptes.  une technologie mise à jour pour être agile,

TRANSFORMATION
 la maîtrise des données,
Dans tous les cas, le commissaire aux comptes peut refuser l’intervention.  les aspects marketing qui doivent répondre aux nouvelles attentes du client,
 la mesure de la performance.
 le calendrier, les entretiens, les tests sur le management, les documents relatifs à la culture
PÉRIMÈTRE D’INVESTIGATION d’entreprise, la technologie, les données, le marketing et la mesure de la performance.

SUR LA TRANSFORMATION
La CNCC a publié une mise à jour de son guide sur les SACC en novembre 2018 précisant les Le commissaire aux comptes émet un rapport avec les résultats des travaux qu’il a réalisés.
normes ou doctrines auxquelles faire référence lors de la réalisation des services autres que Le rapport prend la forme d’un document daté et signé par le commissaire aux comptes et
la certification des comptes. Dans le cas des travaux évoqués ici, les prestations suivantes sont comporte selon les cas :
envisageables :  son analyse de la situation et des faits avec, le cas échéant, les références aux textes
 des procédures convenues qui donneront lieu à des constats ;

NUMÉRIQUE
légaux et réglementaires, à la doctrine, à la pratique ou à un référentiel international sur la
 des travaux qui permettront d’émettre une attestation avec éventuellement des observations ; transformation numérique ;
 un examen limité qui permettra la formulation soit d’une conclusion sans observation,  son avis sur la maturité numérique ou ses recommandations éventuelles ;
soit d’une conclusion avec observation(s), soit d’une conclusion défavorable, soit d’une  les éléments d’informations et commentaires sur les textes qui font l’objet de la demande
impossibilité de conclure. de l’entité.

Pour répondre aux demandes de l’entité, le commissaire aux comptes met en œuvre toutes les
diligences possibles dans le cadre d’une obligation de moyens.

Les travaux du commissaire aux comptes portent sur :

NUMÉRIQUE
 la planification de la transformation numérique,
 les tests mis en place,
 les déploiements et optimisations.

¹ Dans les entités non EIP, en vertu de la loi Pacte, ces services ne sont plus interdits mais doivent faire l’objet d’une approche « risques / sauvegarde »

94 95
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

01
FICHE 01
OUVERTURE SUR NUMÉRIQUE
TRANSFORMATION
LA TRANSFORMATION NUMÉRIQUE

PROPOSITION D’UNE DÉMARCHE MÉTHODOLOGIQUE Les données

 Le volume de traitement des données ;
IDENTIFICATION DES ZONES DE RISQUES
 La maîtrise du client ;
 La maîtrise des enjeux légaux ;
Suite à la revue du contrôle interne, il convient dans un premier temps d’identifier au sein
 La maîtrise des enjeux de sécurité ;
de l’entité, les cycles et les processus les plus exposés ; puis, dans un second temps, d’évaluer
 La maîtrise des enjeux éthiques ;
les risques. Les investigations sont ensuite organisées en fonction des risques qui ont pu être
 Le déploiement des données à chaque niveau de l’organisation ;
identifiés.

OUVERTURE
 L’optimisation Big Data et de l’Intelligence Artificielle.
 la compréhension et vision du digital ;
 la culture d’entreprise et les compétences ;

TRANSFORMATION
L’expérience clients et le marketing 2.0
 l’écosystème et l’architecture ;  La connaissance du client ;
 le Big Data ;  La manière dont est repensée l’approche marketing.
 la connaissance des clients ;
 les bonnes pratiques. La mesure de la performance

SUR LA TRANSFORMATION
 Les bonnes pratiques de la mesure de la performance ;
 La définition des indicateurs clés de la mesure ;
CHOIX DES TESTS À RÉALISER
 Le déploiement du Tableaux de bord ;
 L’optimisation du benchmark.
Le leadership et le management
 La compréhension et la vision du nouveau monde du numérique ;

NUMÉRIQUE
 La planification d’une nouvelle stratégie : simplification des processus et diffusion des ANALYSE DES RÉSULTATS
savoirs-faire digitaux ;
 La mise en place d’un projet test ; Les résultats des tests vont permettre de repérer les forces et faiblesses de la mise en place de la
 Le déploiement et les processus d’amélioration continue. transformation numérique de l’entité.

La culture et l’organisation L’analyse des faiblesses nécessite d’affiner encore les tests sur un périmètre plus restreint.
 Le niveau d’acculturation au numérique ;
 La planification des compétences en numérique ;
 L’organisation mise en place pour digitaliser l’entité ;

NUMÉRIQUE
 L’efficacité du CDO (Chief Digital Officer ou manager de la transformation numérique) ;
 L’agilité au sein de l’organisation ;
 Le déploiement de la formation ;
 Optimiser la collaboration.

Les technologies
 L’écosystème et les architectures ;
 La planification de l’Intégration de la Direction des Systèmes d’Information ;
 Le déploiement du Cloud, de l’approche SAAS ou API ;
 L’optimisation de l’agilité.

96 97
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

FICHE 02
GOUVERNANCE
DES SYSTÈMES
D’INFORMATION
02
PROPOSITION D’UN PÉRIMÈTRE D’INTERVENTION

GOUVERNANCE DES SYSTÈMES D’INFORMATION

OBJECTIFS DE LA PRESTATION

Une entité peut souhaiter confier à son commissaire aux comptes une intervention
tendant à la qualité de la gouvernance de son système d’information. Les travaux ont pour objet,
à la demande de l’entité :
 de donner un avis quant aux rôles et responsabilités vis-à-vis du système d’information ;
 de donner un avis sur la pertinence de la gouvernance des données ;

GOUVERNANCE  de donner un avis sur le contrôle interne du système d’information ;

 de donner un avis sur la couverture et la cohérence du système d’information.

DES SYSTÈMES
Les avis peuvent être assortis de recommandations qui visent à contribuer à l’amélioration
des traitements de l’information financière et qui portent sur des éléments du contrôle
interne objets de la consultation.

D’INFORMATION Dans les Entités d’Intérêt Public, les travaux du commissaire aux comptes ne peuvent pas inclure
la participation¹ :
 à la conception et la mise en œuvre de procédures de contrôle interne ou de gestion des
risques en rapport avec la préparation et/ou le contrôle de l’information financière ;
 à la conception et la mise en œuvre de systèmes techniques relatifs à l’information
financière ;
 aux services liés à la fonction d’audit interne de l’entité contrôlée.

La prestation décrite dans le présent document est un Service autre que la certification des
comptes (SACC) : il ne s’agit pas d’une mission de certification des comptes.

Dans tous les cas, le commissaire aux comptes peut refuser l’intervention.

¹ Dans les entités non EIP, en vertu de la loi Pacte, ces services ne sont plus interdits mais doivent faire l’objet d’une approche « risques/sauvegarde »

98 99
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

02
FICHE 02
GOUVERNANCE DES SYSTÈMES D’INFORMATION

PÉRIMÈTRE D’INVESTIGATION RAPPORT ET DOCUMENTATION

La CNCC a publié une mise à jour de son guide sur les SACC en novembre 2018, précisant les Le commissaire aux comptes consigne dans son dossier de travail :
normes ou doctrines auxquelles faire référence lors de la réalisation des services autres que  l’analyse des forces et des faiblesses de l’organisation et des systèmes examinés en matière
la certification des comptes. Dans le cas des travaux évoqués ici, les prestations suivantes sont de gouvernance du SI ;
envisageables :  l’analyse des forces et des faiblesses de la gouvernance des données ;
 des procédures convenues qui donneront lieu à des constats ;  l’analyse des forces et des faiblesses du contrôle interne du SI ;
 des travaux qui permettront d’émettre une attestation avec éventuellement des observations ;  l’identification et l’analyse des zones de risques ;
 un examen limité qui permettra la formulation soit d’une conclusion sans observation,  l’identification et l’analyse des processus peu ou mal couverts par le SI ;

GOUVERNANCE DES SYSTÈMES D’INFORMATION

soit d’une conclusion avec observation(s) soit d’une impossibilité de conclure.  les conclusions des tests éventuels.

Pour répondre aux demandes de l’entité, le commissaire aux comptes met en œuvre les diligences Le commissaire aux comptes émet un rapport avec les résultats des travaux qu’il a réalisés.
nécessaires à son jugement professionnel, dans le cadre d’une obligation de moyens. Le rapport prend la forme d’un document daté et signé par le commissaire aux comptes et
Il se réfère notamment à COBIT qui est le référentiel international de gouvernance des SI. comporte selon les cas :
 son analyse de la situation et des faits avec, le cas échéant, les références aux textes légaux et
Les travaux du commissaire aux comptes portent sur : réglementaires, à la doctrine, à la pratique ou à un référentiel international de gouvernance
 la répartition des responsabilités au sein de la DSI et notamment sur la séparation des informatique ;
tâches entre développement et exploitation;  son avis quant à la maturité de l’entreprise en matière de gouvernance du SI et ses
 la répartition des responsabilités entre la DSI, le DAF, les « propriétaires » d’applications et recommandations éventuelles ;
les « propriétaires » de données ;  les éléments d’informations et commentaires sur les textes qui font l’objet de la demande
 les tâches principales de contrôle qui doivent être dûment attribuées afin d’assurer la de l’entité.
surveillance et de sécurisation du SI dans un cycle d’amélioration continue;
 le contrôle de la gouvernance des données et notamment pour les données « référentielles»
ou données maître afin d’assurer leur intégrité et la traçabilité des modifications par des
personnes dûment autorisées. Les données référentielles et les interfaces sont la base de la
piste d’audit ;
 La maturité en matière de contrôle interne propre au SI dans ses 6 composantes :
 La gestion des accès : infrastructure, applications, et donnée,
 Le cycle de développement applicatif,
 La maintenance évolutive et corrective,
 La sécurité physique des Data centers,
 Les procédures de sauvegardes et de restauration
 Les contrôles liés à l’exploitation : réseaux, systèmes d’exploitation, bases de données,
mise en production.
 La maturité en matière de RGPD ;
 La couverture fonctionnelle par rapport à la cartographie des processus métiers, en
distinguant les applications gérées en interne et celles qui sont externalisées.

Le commissaire aux comptes utilise également sa connaissance du contexte et du tissu

économique dans lesquels évolue l’entité.

100 101
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

02
FICHE 02
GOUVERNANCE DES SYSTÈMES D’INFORMATION

PROPOSITION D’UNE DÉMARCHE MÉTHODOLOGIQUE ANALYSE DES RÉSULTATS

IDENTIFICATION DES ZONES DE RISQUES

Les résultats de la mission vont permettre :
 de parfaire la compréhension du SI par rapport aux processus de l’entreprise,
Suite à la revue du contrôle interne, il convient dans un premier temps d’identifier au sein
 de mesurer l’adéquation de l’organisation de la DSI mais aussi des rôles et responsabilités
de l’entité, les cycles et les processus les plus exposés puis, dans un second temps, d’évaluer
des utilisateurs métier,
les risques. Les investigations sont ensuite organisées en fonction des risques qui ont pu être
 d’évaluer la sensibilité des données et de leur gouvernance,
identifiés.
 de mesurer la maturité en termes de contrôle interne du SI.

GOUVERNANCE DES SYSTÈMES D’INFORMATION

Dans le cas spécifique de la gouvernance du SI, par définition tous les processus COBIT sont
concernés, mais avec un focus particulier sur les processus « EVALUER, DIRIGER, SURVEILLER»
et « SURVEILLER, EVALUER, MESURER »
Les tests de procédures et les contrôles de substance sont identiques à ceux mis en œuvre par
un audit traditionnel.

CHOIX DES TESTS À RÉALISER

S’agissant d’organisation et de procédures, les tests sont principalement des tests de compréhension
et de procédures. Seule des cartographies du SI en termes d’infrastructure, d’applications
et de flux permettent d’évaluer les besoins de gouvernance. Sur la base de ces cartographies,
les responsabilités sont identifiées et testées, les données et les traitements évalués et les flux
mesurés en termes de traçabilité et intégrité.

En fonction du secteur d’activité de l’entité auditée, l’auditeur doit définir les types de tests à
réaliser. Par exemple, dans le secteur de l’industrie, l’auditeur peut vérifier le bouclage du « bilan
matière » et la cohérence des stocks avec les flux d’achats et ventes.

Concernant le contrôle interne, l’analyse doit identifier les domaines où la maturité est moindre
et donc l’existence de risques qui peuvent faire l’objet d’extension de missions afin d’effectuer
des tests plus détaillés des procédures concernées.

102 103
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

FICHE 03
CONTRÔLE
DES ACCÈS
03
PROPOSITION D’UN PÉRIMÈTRE D’INTERVENTION

OBJECTIFS DE LA PRESTATION

Une entité peut souhaiter confier à son commissaire aux comptes une intervention tendant à la
revue des droits d’accès de son système d’information.
Les travaux peuvent avoir pour objet, à la demande de l’entité :
 de donner un avis quant au processus d’attribution des droits d’accès aux applications et

CONTRÔLE DES ACCÈS

infrastructures sous jacentes ;
 de revoir la politique des mots de passe et son application ainsi que les règles

CONTRÔLE
d’authentification ;
 de revoir la conception des rôles et profils mis en œuvre dans les applications pour
s’assurer notamment de leur conformité en terme de séparation de fonctions ;
 de revoir l’attribution de ces rôles et profils aux utilisateurs afin de s’assurer qu’ils ne

DES ACCÈS cumulent pas des droits incompatibles ;

 de s’assurer qu’un process est en place de revue périodique des utilisateurs et des rôles et
profils.

Les avis peuvent être assortis de recommandations visant à contribuer à l’amélioration des
traitements de l’information financière et qui portent sur des éléments du contrôle interne
objets de la consultation.

Dans les Entités d’Intérêt Public, les travaux du commissaire aux comptes ne peuvent pas inclure
la participation¹ :
 à la conception et la mise en œuvre de procédures de contrôle interne ou de gestion des
risques en rapport avec la préparation et/ou le contrôle de l’information financière ;
 à la conception et la mise en œuvre de systèmes techniques relatifs à l’information
financière ;
 aux services liés à la fonction d’audit interne de l’entité contrôlée.

La prestation décrite dans le présent document est un Service autre que la certification des
comptes (SACC) : il ne s’agit pas d’une mission de certification des comptes.

Dans tous les cas, le commissaire aux comptes peut refuser l’intervention.

¹ Dans les entités non EIP, en vertu de la loi Pacte, ces services ne sont plus interdits mais doivent faire l’objet d’une approche « risques/sauvegarde »

104 105
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

03
FICHE 03
CONTRÔLE DES ACCÈS

PÉRIMÈTRE D’INVESTIGATION PROPOSITION D’UNE DÉMARCHE MÉTHODOLOGIQUE

IDENTIFICATION DES ZONES DE RISQUES

La CNCC a publié une mise à jour de son guide sur les SACC en novembre 2018, précisant les
normes ou doctrines auxquelles faire référence lors de la réalisation des services autres que
Suite à la revue du contrôle interne, il convient dans un premier temps d’identifier au sein de
la certification des comptes. Dans le cas des travaux évoqués ici, les prestations suivantes sont
l’entité, les cycles et les processus les plus exposés puis, dans un second temps, d’évaluer ces
envisageables :
risques. Les investigations seront ensuite organisées en fonction des risques qui auront pu être
 des procédures convenues qui donneront lieu à des constats ;
identifiés et appliqués au système d’information supportant ces cycles et processus.
 des travaux qui permettront d’émettre une attestation avec éventuellement des observations ;
 un examen limité qui permettra la formulation soit d’une conclusion sans observation,
Dans le cadre de la revue des droits d’accès, une attention particulière sera évidemment consacrée
soit d’une conclusion avec observation(s) soit d’une impossibilité de conclure.
aux cycles « Ventes – Clients », « Achats – Fournisseurs », « Trésorerie », « Immobilisations » et
«Comptabilité » qui pourront faire l’objet de tests de procédure et de contrôle de substance.
Pour répondre aux demandes de l’entité, le commissaire aux comptes met en œuvre toutes
les diligences possibles dans le cadre d’une obligation de moyens.
Dans le cas spécifique de la revue des droits d’accès, nous avons recensé les processus CobiT dont
les défaillances peuvent rendre l’entité vulnérable aux cyber-attaques :
Les travaux du commissaire aux comptes portent sur :

CONTRÔLE DES ACCÈS

 les applications, infrastructures et couches basses ;
 des éléments du contrôle interne relatifs au traitement des opérations de l’entité ; APO12 Gérer le risque
 le système d’information en général, et les traitements informatisés des données financières
APO13 Gérer la sécurité
en particulier.
LSS05 Gérer les services de sécurité
Le commissaire aux comptes utilise également sa connaissance du contexte et du tissu Surveiller, évaluer et mesurer le système
économique dans lesquels évolue l’entité. SEM02
de contrôles internes

Le cas échéant, ces processus feront l’objet de tests de procédure.

RAPPORT ET DOCUMENTATION

Le commissaire aux comptes consigne dans son dossier de travail :

 l’analyse des forces et des faiblesses de l’organisation et des systèmes évalués en matière de
gestion des droits d’accès ;
 l’identification et l’analyse des zones de risques de fraude ;
 le calendrier et les tests de revues des droits et des utilisateurs, conçus et mis en œuvre en
réponse à son évaluation des risques.

Le commissaire aux comptes émet un rapport avec les résultats des travaux qu’il a réalisés. Le
rapport prendrait la forme d’un document daté et signé par le commissaire aux comptes et
comporterait selon les cas :
 son analyse de la situation et des faits avec, le cas échéant, les références aux textes légaux et
réglementaires, à la doctrine, à la pratique ou à un référentiel international de gouvernance
informatique ;
 son avis quant à l’existence de failles de sécurité au sein des applications ou ses
recommandations éventuelles ;
 les éléments d’informations et commentaires sur les textes qui font l’objet de la demande
de l’entité.

106 107
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

03
FICHE 03
CONTRÔLE DES ACCÈS

CHOIX DES TESTS À RÉALISER ANALYSE DES RÉSULTATS

Les travaux sont de différentes natures : Les résultats des tests vont permettre de repérer des anomalies dans les transactions
opérationnelles, financières et comptables. L’analyse de ces anomalies nécessitera d’affiner
Processus de gestion des droits d’accès encore les tests sur un périmètre plus restreint, après stratification ou requêtes spécifiques,
 Analyse de politique des mots de passe et son application ; afin de déterminer si les opérations passées par l’utilisateur (en cas de droits d’accès large ou
 Analyse de la procédure de gestion des droits et de la matrice de séparation des fonctions supérieurs à la fiche de poste de l’utilisateur) sont légitimes.
intra et inter applications ; Il faut en effet garder à l’esprit que toutes les opérations présentant des risques en terme
 Réalisation de tests d’efficacité sur les contrôles opérés dans la procédure : sde séparation des fonction peuvent être justifiées du fait de l’organisation, d’équipe réduite,
 Validation d’une demande d’attribution des droits par une personne habilitée ; d’événements exceptionnels (maladie, etc…) . Il est nécessaire de corroborer les données
 Séparation des fonctions dans le processus entre celui qui demande, crée les informatiques avec d’autres éléments de preuve, comme les justificatifs papier par exemple. Le
utilisateurs et les droits et attribue les droits aux utilisateurs ; jugement professionnel demeure primordial.
 Validation de la déconnexion des utilisateurs et des droits attachés lors du départ
d’un collaborateur ;
 Validation de la modification des droits d’un utilisateur lors d’un mouvement interne

CONTRÔLE DES ACCÈS

au sein de l’entreprise ;
 Mise en place d’une revue périodique des utilisateurs et des droits attachés.

Revue des profils et des droits attachés aux utilisateurs

 Analyse du contenu des profils pour identifier la correcte conception du profil en fonction
des besoins métiers et des risques intra-profils en termes de séparation des fonctions (cumul
de fonctionnalités incompatibles les unes avec les autres – par exemple – saisir une facture –
effectuer un règlement) ;
 Analyse de l’affectation des profils aux utilisateurs pour s’assurer de l’adéquation du profil
avec la fiche de poste ;
 Analyse que le cumul de profils ne donne pas des cumuls de fonctionnalités incompatibles
– risques inter-profils.

108 109
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

FICHE 04
CONDUITE
DE PROJETS
04
PROPOSITION D’UN PÉRIMÈTRE D’INTERVENTION

OBJECTIFS DE LA PRESTATION

Une entité peut souhaiter confier à son commissaire aux comptes une intervention tendant à
évaluer le dispositif de la conduite des projets informatiques.
Toutes les entités peuvent être concernées par l’évaluation de leur dispositif de conduite de

CONDUITE DE PROJETS
projet, mais cette intervention s’inscrit en premier lieu dans un contexte de projet de migration¹.
Les travaux ont pour objet, à la demande de l’entité, de s’assurer de :

CONDUITE
 la conformité du nouvel environnement avec les exigences comptables et réglementaires
françaises,
 l’efficacité des procédures de contrôles mises en place pour la reprise des données,

DE PROJETS
 l’exhaustivité et l’intégrité de la migration des données,
 l’adéquation des nouveaux outils avec le processus d’arrêté des comptes,
 la validation de la persistance de la qualité des informations produites dans le cadre du
processus d’arrêté.

Les avis peuvent être assortis de recommandations visant à contribuer à l’amélioration des
traitements de l’information financière et qui portent sur des éléments du contrôle interne,
objets de la consultation.

Dans les Entités d’Intérêt Public, les travaux du commissaire aux comptes ne peuvent pas inclure
la participation² :
 à la conception et la mise en œuvre de procédures de contrôle interne ou de gestion des
risques en rapport avec la préparation et/ou le contrôle de l’information financière ;
 à la conception et la mise en œuvre de systèmes techniques relatifs à l’information
financière ;
 aux services liés à la fonction d’audit interne de l’entité contrôlée.

La prestation décrite dans le présent document est un Service autre que la certification des
comptes (SACC) : il ne s’agit pas d’une mission de certification des comptes.

Dans tous les cas, le commissaire aux comptes peut refuser l’intervention.

¹Par migration, il est sous-entendu projet de mise en place d’un nouvel outil ; montée de version d’un outil existant ; changement
d’infrastructure technique.

² Dans les entités non EIP, en vertu de la loi Pacte, ces services ne sont plus interdits mais doivent faire l’objet d’une approche risques / sauvegarde »
110 111
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

04
FICHE 04
CONDUITE DE PROJETS

PÉRIMÈTRE D’INVESTIGATION

La CNCC a publié une mise à jour de son guide sur les SACC en novembre 2018, précisant les
normes ou doctrines auxquelles faire référence lors de la réalisation des services autres que Une phase de post-migration au cours de laquelle les travaux du commissaire aux comptes
la certification des comptes. Dans le cas des travaux évoqués ici, les prestations suivantes sont portent sur :
envisageables :  La revue du processus de mise en production.
 des procédures convenues qui donneront lieu à des constats ;  La revue ciblée des contrôles de reprises de données, permettant d’assurer l’exhaustivité et
 des travaux qui permettront d’émettre une attestation avec éventuellement des observations ; l’intégrité des données migrées.
 un examen limité qui permettra la formulation soit d’une conclusion sans observation,  La revue de la gestion des droits utilisateurs implémentés et le respect du principe de
soit d’une conclusion avec observation(s), soit d’une conclusion défavorable, soit d’une séparation des tâches.
impossibilité de conclure.  La revue des tests réalisés sur la correcte implémentation des schémas comptables.
 La revue des tests de bout en bout réalisés par l’équipe projet et les key-users.
Pour répondre aux demandes de l’entité, le commissaire aux comptes met en œuvre toutes les
diligences possibles dans le cadre d’une obligation de moyens. Les comptes concernent un exercice complet ou une autre période définie, le recours à des
techniques d’investigation assistées par ordinateur permet d’effectuer des tests exhaustifs
En fonction de l’état d’avancement du projet, les travaux peuvent être scindés en deux phases : notamment sur les reprises de données.
Le commissaire aux comptes utilise également sa connaissance du contexte et du tissu

CONDUITE DE PROJETS
Une phase de pré-migration au cours de laquelle les travaux du commissaire aux comptes économique dans lesquels évolue l’entité.
portent sur :
 La revue du dispositif de gouvernance et du pilotage du projet.
 La revue du dispositif d’analyse des risques liés au projet. RAPPORT ET DOCUMENTATION
 La prise de connaissance des principaux processus impactés par les migrations.
 La revue des principaux livrables liés à l’expression de besoins et aux spécifications Le commissaire aux comptes consigne dans son dossier de travail :
fonctionnelles.  L’analyse des forces et des faiblesses de l’organisation et des systèmes évalués en matière de
 La revue de la stratégie de migration de données. la gestion de projet ;
 La revue de la stratégie de tests, de recette et de gestion des anomalies (critères de Go/ No-  L’identification et l’analyse des zones de risques liées au projet ;
go).  Le détail des tests conçus et mis en œuvre en réponse à son évaluation des risques.
 La revue ciblée de l’impact de la migration sur les schémas comptables.
 La revue du dispositif prévu en matière de séparation des tâches. Le commissaire aux comptes émet un rapport avec les résultats des travaux qu’il a réalisés.
 La revue ciblée de la conception des interfaces et de la supervision des flux, le cas échéant. Le rapport prend la forme d’un document daté et signé par le commissaire aux comptes et
 La revue du dispositif de formation des utilisateurs. comporte selon les cas :
 Son analyse de la situation et des faits avec, le cas échéant, les références aux textes légaux
et réglementaires, à la doctrine, à la pratique ou à un référentiel international de gestion des
projets informatiques ;
 Son avis quant à l’existence de failles dans le dispositif de gestion de projet ou ses
recommandations éventuelles ;
 Les éléments d’informations et commentaires sur les textes qui font l’objet de la demande
de l’entité.

112 113
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

04
FICHE 04
CONDUITE DE PROJETS

PROPOSITION D’UNE DÉMARCHE MÉTHODOLOGIQUE Evaluation de la préparation de la reprise des données

 Analyser le périmètre des données à reprendre ;
IDENTIFICATION DES ZONES DE RISQUES  Analyser la méthodologie de reprise des données pour les différents types de données
(règles métier, prérequis en matière de nettoyage et d’enrichissement, règles d’extraction et
Suite à la revue du contrôle interne, il convient dans un premier temps d’identifier au sein de de formatage des données) ;
l’entité, les cycles et les processus les plus exposés puis, dans un second temps, d’évaluer ces  En cas d’utilisation d’un outil de reprise (Interface Standard de Migration des données),
risques. Les investigations sont ensuite organisées en fonction des risques qui auront pu être fournie par l’éditeur ou développement spécifique, analyse des spécifications ou de la
identifiés. documentation des outils utilisés ;
 Analyse de la documentation des contrôles lors du nettoyage des données, le cas échéant ;
Dans le cas spécifique de la conduite des projets informatiques, nous avons recensé les processus
 Analyse des règles de conversion des données et des tables de Trans codification, le cas
COBIT suivants :
échéant.

BAI01 Gérer les programmes et les projets Recette fonctionnelle

BAI02 Gérer la définition des exigences  S’assurer de l’existence d’un environnement dédié, différent de l’environnement de
production pour la réalisation des tests ;
Gérer l’identification et la conception des

CONDUITE DE PROJETS
BAI03  Prendre connaissance du plan de recette et s’assurer d’un niveau de couverture suffisant
solutions
(fonctionnalités / états de contrôle, interfaces) ;
BAI04 Gérer la disponibilité et la capacité  Analyse de la documentation des tests réalisés sur les schémas comptables ;
BAI05 Gérer le changement organisationnel  S’assurer de la correcte implémentation des droits utilisateurs conformément à la matrice
de séparation des rôles de l’entreprise.
BAI06 Gérer les changements
Gérer l’acceptation du changement et de Phase de migration
BAI07
la transition  Analyser l’état des anomalies rencontrées lors de la bascule réelle ;
BAI08 Gérer la connaissance  Analyser les critères de GO/NO GO ;
 Analyser les documents attestant la validation formelle de la reprise de données par les
BAI09 Gérer les actifs responsables appropriés.
BAI10 Gérer la configuration
Phase de post-implémentation
 Analyser le dispositif de recensement et remontée des anomalies (outils utilisés, procédures
de correction, etc.) ;
CHOIX DES TESTS À RÉALISER  Examiner le tableau de bord de suivi des anomalies ;
 Analyser les PV de validation relatifs aux tests cibles réalisés sur les données migrées (afin
Les tests à réaliser peuvent varier en fonction du contexte et du périmètre des projets. Ceux-ci de s’assurer de l’exhaustivité et exactitude de celles-ci).
peuvent être réalisés par thématique :

Prise de connaissance du projet ANALYSE DES RÉSULTATS

 Evaluer le dispositif de gouvernance et de pilotage de projet (comitologie, suivi budgétaire,
organisation de l’équipe projet, analyse des risques liés au projet, etc.) ; Les résultats de la mission vont permettre de :
 Evaluer le dispositif de conduite du changement (plan de communication, plan de  Parfaire la compréhension du dispositif de conduite de projet de l’entité ;
formation).  Mesurer l’adéquation de ce dispositif aux bonnes pratiques en la matière ;
 Evaluer l’exhaustivité, la fiabilité et l’intégrité des données comptables et financières.

114 115
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

FICHE 05
UTILISATION
DES OUTILS D’AUDIT
DE DONNÉES
05

UTILISATION DES OUTILS D’AUDIT DE DONNÉES

En cours de rédaction ...

UTILISATION
DES OUTILS
D’AUDIT
DE DONNÉES

116 117
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

FICHE 06
PROTECTION
DES DONNÉES
PERSONNELLES
06
PROPOSITION D’UN PÉRIMÈTRE D’INTERVENTION

PROTECTION DES DONNÉES PERSONNELLES

OBJECTIFS DE LA PRESTATION

Une entité peut souhaiter confier à son commissaire aux comptes une intervention sur les
obligations prévues par le Règlement Général sur la Protection des Données (RGPD).

Les travaux peuvent alors avoir pour objet, à la demande de l’entité :

PROTECTION
 de donner un avis sur sa conformité RGPD ;
 de donner un avis sur la gouvernance des données ;
 de donner un avis sur le contrôle interne du traitement des données ;
 de donner un avis sur la sécurité des données.

DES DONNÉES Les avis peuvent être assortis de :

 recommandations qui contribuent à répondre aux obligations de l’entité prévues par la

PERSONNELLES
loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus connue
sous le nom de loi informatique et libertés ainsi qu’aux obligations de l’entité prévues par le
RGPD ;
 recommandations visant à contribuer à l’amélioration des traitements et de la sécurité des
données personnelles.

Dans les Entités d’Intérêt Public, les travaux du commissaire aux comptes ne peuvent pas inclure
la participation¹ :
 à la conception et la mise en œuvre de procédures de contrôle interne ou de gestion des
risques en rapport avec la préparation et/ou le contrôle de l’information financière ;
 à la conception et la mise en œuvre de systèmes techniques relatifs à l’information
financière ;
 aux services liés à la fonction d’audit interne de l’entité contrôlée.

La prestation décrite dans le présent document est un Service autre que la certification des
comptes (SACC) : il ne s’agit pas d’une mission de certification des comptes.

Dans tous les cas, le commissaire aux comptes peut refuser l’intervention.

¹ Dans les entités non EIP, en vertu de la loi Pacte, ces services ne sont plus interdits mais doivent faire l’objet d’une approche risques / sauvegarde »

118 119
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

06
FICHE 06
PROTECTION DES DONNÉES
PERSONNELLES

PÉRIMÈTRE D’INVESTIGATION RAPPORT ET DOCUMENTATION

La CNCC a publié une mise à jour de son guide sur les SACC en novembre 2018, précisant les Le commissaire aux comptes consigne dans son dossier de travail :
normes ou doctrines auxquelles faire référence lors de la réalisation des services autres que  l’analyse des forces et des faiblesses de gouvernance des données ;
la certification des comptes. Dans le cas des travaux évoqués ici, les prestations suivantes sont  l’analyse des données et des traitements de données ;
envisageables :  l’identification et l’analyse des zones de risques pour l’ensemble des données et
 des procédures convenues qui donneront lieu à des constats ; l’ensemble des traitements ;
 des travaux qui permettront d’émettre une attestation avec éventuellement des observations ;  l’analyse des forces et des faiblesses des procédures internes pour répondre aux
 un examen limité qui permettra la formulation soit d’une conclusion sans observation, obligations RGPD ;
soit d’une conclusion avec observation(s), soit d’une conclusion défavorable, soit d’une  l’identification et l’analyse des zones de risques des systèmes d’information, des
impossibilité de conclure.

PROTECTION DES DONNÉES PERSONNELLES

transferts de données et de la sécurité des données.
 l’analyse du niveau de conformité RGPD ;
Pour répondre aux demandes de l’entité, le commissaire aux comptes met en œuvre les diligences  les conclusions des tests éventuels.
nécessaires à son jugement professionnel, dans le cadre d’une obligation de moyens.
Il se réfère notamment : Le commissaire aux comptes émet un rapport avec les résultats des travaux qu’il a réalisés.
 Aux NEP ou aux normes ISA pour la vérification des données ; Le rapport prend la forme d’un document daté et signé par le commissaire aux comptes
 Au COBIT qui est le référentiel international de gouvernance des systèmes d’information ; et comporte selon les cas :
 Au COSO pour l’analyse du contrôle interne ;  son analyse de la situation et des faits avec, le cas échéant, les références aux textes
 À la norme ISAE 3000 (l’International Standard on Assurance Engagements 3000) qui légaux et réglementaires, à la doctrine, à la pratique ou à un référentiel international ;
détermine les principes de base et les procédures à mettre en œuvre lors de l’exécution d’une  son avis quant au niveau de conformité RGPD de l’entreprise et de sa maturité en
mission d’attestation autre qu’un audit ou une revue d’informations financières historiques. matière de gouvernance du système d’information et ses recommandations éventuelles,
à la date de son rapport ;
Les travaux du commissaire aux comptes consistent à :  les éléments d’informations et commentaires sur les textes qui font l’objet de la
 S’entretenir avec tous les interlocuteurs de la structure en lien avec la gestion et le demande de l’entité.
traitement des données personnelles y compris le Délégué à la Protection des Données (DPO)
ou le Référent si celui-ci a été nommé, afin d’identifier toutes les données et les traitements
des données ;
 Réaliser une analyse des systèmes d’information et des transferts de données hors de
France ;
 Réaliser une analyse de risques pour l’ensemble des données et l’ensemble des traitements ;
 Réaliser une revue critique de l’analyse des risques effectuée par l’entité dans le cadre de
ses obligations RGPD ;
 Réaliser un examen des analyses d’impact éventuellement effectuée par l’entité ;
 Réaliser une revue des clauses et mentions obligatoires d’information relative à la
protection des données personnelles (site Internet, contrat de travail, règlement intérieur,
charte informatique, formulaire de collecte de données personnelles, CGV et CGA …) ;
 Réaliser une revue critique du registre des traitements de données si celui-ci existe ;
 Réaliser une revue des procédures internes de la structure afin de répondre aux droits des
personnes (droit à l’information, droit d’opposition, droits d’accès et de rectification, droit à
l’oubli, droit d’effacement, droit à la modification, droit à la limitation du traitement, droit à
la portabilité, droit au déréférencement).
 Réaliser une revue des procédures de notification de violation des données personnelles ;
 Réaliser un examen des clauses prévues dans les contrats de prestation et de sous-traitance ;
 Et enfin, réaliser une analyse de la sécurité des données.

Le commissaire aux comptes utilise également sa connaissance du contexte et du tissu

économique dans lesquels évolue l’entité.

120 121
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

06
FICHE 06
PROTECTION DES DONNÉES
PERSONNELLES

PROPOSITION D’UNE DÉMARCHE MÉTHODOLOGIQUE CHOIX DES TESTS À RÉALISER

IDENTIFICATION DES ZONES DE RISQUES S’agissant d’organisation et de procédures, les tests sont principalement des tests de
compréhension et de procédures. Des cartographies du système d’information en termes
Suite à la revue du contrôle interne, il convient dans un premier temps d’identifier au sein de d’infrastructure, d’applications, de flux de données et de traitements de données permettent
l’entité, les données, les traitements ainsi que les processus les plus exposés puis, dans un second d’évaluer la réponse aux obligations RGPD. Sur la base de ces cartographies, les responsabilités
temps, d’évaluer ces risques. Les investigations sont ensuite organisées en fonction des risques sont identifiées et testées, les données et les traitements évalués et les flux mesurés en termes
qui auront pu être identifiés. de traçabilité et intégrité.

Dans le cas spécifique du RGPD, les processus COBIT : EDS01, EDS03, EDS05 , AP012, AP013, BAI06, Les tests suivants peuvent être proposés :
LSS02, LSS03, LSS04, LSS05 sont concernés, mais avec un focus particulier sur les processus de

PROTECTION DES DONNÉES PERSONNELLES

« SURVEILLER, EVALUER, MESURER » : SEM01, SEM02 et SEM03. Tests sur les données, processus et support
 sur les données traitées
Les tests de procédures et les contrôles de substance sont identiques à ceux mis en œuvre par  déroulement du cycle de vie (fonctionnement)
un audit traditionnel.  supports des données (réseau, logiciel…)

Tests sur la proportionnalité et nécessité

 les finalités et légitimité des traitements des données
 licéité des traitements
 adéquations, pertinences des traitements et leurs limites
 exactitudes des traitements et de leurs mises à jour
 durée de conservation des données

Tests sur les mesures protectrices des droits

 droit à l’information
 droit d’accès à l’information
 droit de rectification
 droit d’effacement
 droit de portabilité
 droit d’opposition

Tests sur les risques

 sur les mesures existantes ou prévues
 contrat de sous-traitance
 sensibilisation des collaborateurs

Accès illégitimes à des données

 Impacts sur les personnes concernées
 Principales menaces
 Les sources de risques
 Les mesures pour traiter les risques
 Estimation de la gravité du risque
 Vraisemblance des risques

Modifications non désirées de données

 Impacts sur les personnes concernées
 Principales menaces
 Les sources de risques
 Les mesures pour traiter les risques
 Estimation de la gravité du risque
 Vraisemblance des risques
122 123
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

06
FICHE 06
PROTECTION DES DONNÉES
PERSONNELLES

ANALYSE DES RÉSULTATS

Disparition des données
 Impacts sur les personnes concernées Les résultats de la mission vont permettre :
 Principales menaces  de parfaire la compréhension du système d’information par rapport aux processus de
 Les sources de risques l’entreprise ;
 Les mesures pour traiter les risques  de mesurer l’adéquation de l’organisation de la DSI mais aussi des rôles et responsabilités
 Estimation de la gravité du risque des utilisateurs métier ;
 Vraisemblance des risques  d’évaluer la sensibilité des données, des traitements et de leur gouvernance,
 de mesurer la maturité en termes de contrôle interne du système d’information et des
Tests sur la sécurité des données obligations RGPD ;

PROTECTION DES DONNÉES PERSONNELLES

 de mesurer le niveau de sécurité des données ;
Tester l’impact du RGPD sur les différents services (RH, marketing, financier….) enfin et surtout, de mesurer le niveau de conformité RGPD de la structure.
 Marketing
 Données personnelles
 Permissions
 Processus
 Technologie
 Indicateurs
 Personnes
 RH
 Cartographie des données
 Collecte des données
 Informations des candidats et employés
 Stocker et sécuriser les données

Tests sur la confiance numérique (le CLOUD)

Tests sur le DPO

 Choix d’un DPO : interne, externe, mutualisé
 L’organisation de la mission

Tests sur les transferts de données hors UE

 Compréhension de cette notion de transfert
 Respect des conditions de la licéité d’un transfert de données hors de l’UE

Tester la gestion et l’anticipation des sanctions

En fonction du secteur d’activité de l’entité auditée, l’auditeur doit définir les types de tests à
réaliser. Concernant le contrôle interne, l’analyse doit identifier les domaines où la maturité
est moindre et donc l’existence de risques qui peuvent faire l’objet d’extension de missions
afin d’effectuer des tests plus détaillés des procédures concernées.

124 125
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
AUDIT INFORMATIQUE : TOUS CONCERNÉS ! SERVICE AUTRE QUE LA CERTIFICATION DES COMPTES

07
10 FICHES PRATIQUES POUR RÉUSSIR

FICHE 07
LÉGISLATION
FISCALE ET SI

PROPOSITION D’UN PÉRIMÈTRE D’INTERVENTION

OBJECTIFS DE LA PRESTATION

Une entité peut souhaiter confier à son commissaire aux comptes une intervention tendant à
évaluer le dispositif relatif à la transmission à l’administration fiscale :
 des éléments requis dans le cadre d’un contrôle fiscal des comptabilités informatisées
(CFCI),
 du fichier des écritures comptables (FEC),

LÉGISLATION FISCALE ET SI
 des éléments contribuant à la piste d’audit fiable.

Toutes les entités peuvent être concernées par l’évaluation de leur dispositif de conformité aux

LÉGISLATION
obligations fiscales mais cette intervention s’adresse en premier lieu aux entités soumises aux
déclarations de TVA et soumises à l’IS. L’administration fiscale demeure toutefois souveraine
dans ses demandes.

FISCALE & SI Les travaux ont pour objet, à la demande de l’entité de s’assurer de :
 La conformité du corpus documentaire au regard des obligations requises par
l’administration fiscale,
 La mise à disposition d’un fichier des écritures comptables ou des données nécessaires
dans le cadre d’un contrôle fiscal des comptabilités informatisées,
 La conformité de ce fichier des écritures comptable au regard des spécifications requises
par l’administration fiscale (format et contenu),
 La capacité de l’organisation à prouver la piste d’audit fiable en matière de facturation pour
garantir l’authenticité de l’origine, l’intégrité du contenu, la lisibilité de la facture.

Les avis peuvent être assortis de recommandations visant à contribuer à l’amélioration de la

transmission, de la documentation et des traitements de l’information financière et fiscale.

Dans les Entités d’Intérêt Public, les travaux du commissaire aux comptes ne peuvent pas inclure
la participation¹ :
 à la conception et la mise en œuvre de procédures de contrôle interne ou de gestion des
risques en rapport avec la préparation et/ou le contrôle de l’information financière ;
 à la conception et la mise en œuvre de systèmes techniques relatifs à l’information
financière ;
 aux services liés à la fonction d’audit interne de l’entité contrôlée.

La prestation décrite dans le présent document est un Service autre que la certification des
comptes (SACC) : il ne s’agit pas d’une mission de certification des comptes.

Dans tous les cas, le commissaire aux comptes peut refuser l’intervention.

¹ Dans les entités non EIP, en vertu de la loi Pacte, ces services ne sont plus interdits mais doivent faire l’objet d’une approche risques / sauvegarde »

126 127
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

07
FICHE 07
LÉGISLATION FISCALE ET SI

PÉRIMÈTRE D’INVESTIGATION RAPPORT ET DOCUMENTATION

La CNCC a publié une mise à jour de son guide sur les SACC en novembre 2018, précisant les Le commissaire aux comptes consigne dans son dossier de travail :
normes ou doctrines auxquelles faire référence lors de la réalisation des services autres que  L’analyse des forces et des faiblesses de l’organisation et des systèmes évalués en matière
la certification des comptes. Dans le cas des travaux évoqués ici, les prestations suivantes sont d’obligations fiscales ;
envisageables :  L’identification et l’analyse des zones de risques ;
 des procédures convenues qui donneront lieu à des constats ;  Le détail des tests conçus et mis en œuvre en réponse à son évaluation des risques.
 des travaux qui permettront d’émettre une attestation avec éventuellement des observations ;
 un examen limité qui permettra la formulation soit d’une conclusion sans observation, Le commissaire aux comptes émet un rapport avec les résultats des travaux qu’il a réalisés.
soit d’une conclusion avec observation(s), soit d’une conclusion défavorable, soit d’une Le rapport prend la forme d’un document daté et signé par le commissaire aux comptes et
impossibilité de conclure comporte selon les cas :
 Son analyse de la situation et des faits avec, le cas échéant, les références aux textes
Pour répondre aux demandes de l’entité, le commissaire aux comptes met en œuvre toutes les légaux et réglementaires, à la doctrine, à la pratique du marché ;
diligences possibles dans le cadre d’une obligation de moyens.  Son avis quant à l’existence de failles dans la mise en place d’un dispositif répondant

LÉGISLATION FISCALE ET SI
aux exigences fiscales ou ses recommandations éventuelles ;
Les travaux du commissaire aux comptes portent sur :  Les éléments d’informations et commentaires sur les textes qui font l’objet de la demande
 La revue de la documentation relative à la piste d’audit fiable, à la constitution du FEC et de l’entité.
aux autres données identifiées par l’entreprise dans le cadre d’un CFCI.
 La conformité du FEC, tant dans sa structure que dans son contenu et la capacité de
l’organisation à fournir une piste d’audit fiable
 Pour ce faire, réalisation de tests afin d’identifier des risques d’anomalies sur les informations
fiscales par des techniques d’investigation assistées par ordinateur.

Le commissaire aux comptes utilise également sa connaissance du contexte et du tissu

économique dans lesquels évolue l’entité.

128 129
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

07
FICHE 07
LÉGISLATION FISCALE ET SI

PROPOSITION D’UNE DÉMARCHE MÉTHODOLOGIQUE CHOIX DES TESTS À RÉALISER

IDENTIFICATION DES ZONES DE RISQUES Les tests à réaliser seront de différentes natures. Ceux-ci peuvent être réalisés par thématique :

Suite à la revue du contrôle interne, il convient dans un premier temps d’identifier au sein de Gouvernance et revue de la documentation
l’entité, les cycles et les processus les plus exposés puis, dans un second temps, d’évaluer ces  Evaluer le dispositif de gouvernance pour répondre aux exigences fiscales
risques. Les investigations sont ensuite organisées en fonction des risques qui auront pu être  Analyser la documentation requise dans le cadre de contrôles fiscaux
identifiés.  Description de l’environnement informatique
 Cartographie applicative et matérielle
Dans le cas spécifique des obligations aux exigences fiscales, nous avons recensé les processus  Description du modèle de données
COBIT suivants :  Dossier de conception générale et détaillée, fiche de paramétrage / développement
 Dossier explicatif de la constitution du FEC (Annexe)
 Documentation de la piste d’audit fiable
BAI01 Gérer les programmes et les projets
 Dossier d’archivage

LÉGISLATION FISCALE ET SI
BAI02 Gérer la définition des exigences  Etc.
Gérer l’identification et la conception des
BAI03 Conformité du FEC
solutions
 Réalisation de contrôles sur la conformité du FEC
BAI04 Gérer la disponibilité et la capacité
 Structure du FEC
BAI05 Gérer le changement organisationnel  Valeurs renseignées dans les zones de l’écriture / analyse du contenu
 Cohérence des données comptables
BAI08 Gérer la connaissance

BAI09 Gérer les actifs Tests de la piste d’audit fiable

 Analyse des processus par segmentation d’achats / ventes et de leur fiabilité
BAI10 Gérer la configuration  Evaluation du niveau de conformité / caractérisation des cas de non-conformité sur la base
d’échantillons de tests

ANALYSE DES RÉSULTATS

Les résultats de la mission vont permettre de :

 Comprendre le dispositif de mise en conformité aux exigences fiscales,
 Mesurer l’adéquation de ce dispositif aux bonnes pratiques en la matière et aux
exigences requises,
 D’évaluer les zones de risques liées à un contrôle de l’administration fiscale.

130 131
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !

08
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

FICHE 08
EXPLOITATION
DES SYSTÈMES
D’INFORMATION

EXPLOITATION DES SYSTÈMES D’INFORMATION

PROPOSITION D’UN PÉRIMÈTRE D’INTERVENTION

OBJECTIFS DE LA PRESTATION

Une entité peut souhaiter confier à son commissaire aux comptes une intervention visant à
évaluer la fonction « exploitation des systèmes informatiques ». Cette fonction essentielle permet
de maintenir l’efficacité, la confidentialité, l’intégrité, la disponibilité, la conformité, la fiabilité et

EXPLOITATION
la sécurité du système informatique.

Toutes les entités qui utilisent un système informatique sont concernées : le fonctionnement

DES SYSTÈMES
des entités et parfois même leur survie, dépendent de plus en plus du bon fonctionnement de
leur système informatique.

Les travaux ont pour objet, à la demande de l’entité :

D’INFORMATION
 de donner un avis sur les forces et faiblesses dans les procédures en place, relatives à
l’exploitation du système informatique de l’entité ;
 d’identifier des vulnérabilités qui pourraient compromettre le bon fonctionnement du
système informatique de l’entité ;
 fournir un support de formation sur les bonnes pratiques en matière d’exploitation des
systèmes informatiques.

Les avis peuvent être assortis de recommandations visant à contribuer à améliorer l’efficacité,
la confidentialité, l’intégrité, la disponibilité, la conformité, la fiabilité et la sécurité du système
informatique de l’entité.

Dans les Entités d’Intérêt Public, les travaux du commissaire aux comptes ne pourront pas
inclure la participation¹ :
 à la conception et la mise en œuvre de procédures d’exploitation.
 à la conception et la mise en œuvre de systèmes d’information de gestion.
 aux services liés à la fonction d’audit interne de l’entité contrôlée.

La prestation décrite dans le présent document est un Service Autre que la Certification des
Comptes (SACC) : il ne s’agit pas d’une mission de certification des comptes.

Dans tous les cas, le commissaire aux comptes peut refuser l’intervention.

¹ Dans les entités non EIP, en vertu de la loi Pacte, ces services ne sont plus interdits mais doivent faire l’objet d’une approche risques / sauvegarde »
132 133
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

08
FICHE 08
EXPLOITATION
DES SYSTÈMES D’INFORMATION

PÉRIMÈTRE D’INVESTIGATION
RAPPORT ET DOCUMENTATION

La CNCC a publié une mise à jour de son guide sur les SACC en novembre 2018, précisant les
Le commissaire aux comptes consigne dans son dossier de travail :
normes ou doctrines auxquelles faire référence lors de la réalisation des services autres que
 l’analyse des forces et des faiblesses dans les procédures en place relatives à l’exploitation
la certification des comptes. Dans le cas des travaux évoqués ici, les prestations suivantes sont
du système informatique;
envisageables :
 l’identification de vulnérabilités et de zones de risques qui pourraient compromettre le bon
 des procédures convenues qui donneront lieu à des constats ;
fonctionnement du système informatique,
 des travaux qui permettront d’émettre une attestation avec éventuellement des observations ;
 les comptes rendus des tests de conformité réalisés sur les procédures d’exploitation
 un examen limité qui permettra la formulation soit d’une conclusion sans observation, soit
existantes,

EXPLOITATION DES SYSTÈMES D’INFORMATION

d’une conclusion avec observation(s) soit d’une impossibilité de conclure.
 les comptes rendus des tests de restauration de données et de reprise d’activité après sinistre,
 la synthèse sur les tests réalisés avec la mise en évidence des éléments de non-conformité
Pour répondre aux demandes de l’entité, le commissaire aux comptes met en œuvre les diligences
et des vulnérabilités ou autres facteurs de risques qui pourraient compromettre le bon
qu’il juge nécessaires dans le cadre d’une obligation de moyens.
fonctionnement du système informatique.

Il se réfèrera notamment à COBIT qui est le référentiel international de gouvernance des SI.
Le commissaire aux comptes émet un rapport avec les résultats des travaux qu’il a réalisés.
Le rapport prend la forme d’un document daté et signé par le commissaire aux comptes et
Les travaux du commissaire aux comptes portent sur :
comporte selon les cas :
 la documentation des procédures d’exploitation,
 son analyse de la situation et des faits avec, le cas échéant, les références aux textes légaux et
 les comptes rendus des tests de conformité réalisés sur les procédures existantes par l’entité
réglementaires, à la doctrine, à la pratique ou à un référentiel international de gouvernance
et / ou des tests de conformité réalisés par le commissaire aux comptes lui-même,
informatique ;
 les comptes rendus des tests de restauration de données réalisés par l’entité,
 son avis quant à l’existence de vulnérabilités ou autres facteurs de risques et ses
 les comptes rendus des tests de reprise d’activité après sinistre réalisés par l’entité,
recommandations éventuelles ;
 les journaux (logs) produits automatiquement par les systèmes informatiques,
 les éléments d’informations et commentaires sur les textes qui font l’objet de la demande
 les contrats conclus avec des tiers auprès de qui tout ou partie de l’exploitation du système
de l’entité.
informatique est sous-traitée,
 les comptes relatifs aux actifs immobilisés (investissements en infrastructure informatique)
et aux charges liées au fonctionnement du système informatique,
 le système d’information en général, et les traitements informatisés des données de gestion
en particulier.

Le commissaire aux comptes utilise également sa connaissance du contexte et le cas échéant,

son expérience acquise en matière de gestion des risques informatiques.

134 135
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHESAUTRE
SERVICE PRATIQUES POUR
QUE LA RÉUSSIR
CERTIFICATION DES COMPTES

08
FICHE 08
EXPLOITATION
DES SYSTÈMES D’INFORMATION

PROPOSITION D’UNE DÉMARCHE MÉTHODOLOGIQUE CHOIX DES TESTS À RÉALISER

IDENTIFICATION DES ZONES DE RISQUES L’évaluation de la fonction «exploitation des systèmes informatiques» s’appuie sur l’évaluation
des procédures d’exploitation et l’identification des risques qui peuvent remettre en cause
Suite à la revue du contrôle interne, et en particulier suite aux tests de conformité réalisés sur l’efficacité du système d’information, la confidentialité et l’intégrité des données, la disponibilité
les procédures d’exploitation existantes, il convient dans un premier temps d’identifier au sein du système informatique et donc la continuité d’activité de l’entité, la conformité, la fiabilité et
de l’entité, les cycles et les processus les plus exposés puis, dans un second temps, d’évaluer la sécurité du système d’information.
les risques. Les investigations sont ensuite organisées en fonction des risques qui ont pu être
identifiés. On peut citer :

EXPLOITATION DES SYSTÈMES D’INFORMATION

Lecture et analyse critique des procédures d’exploitation existantes
Dans le cas spécifique de l’évaluation de la fonction «exploitation des systèmes informatiques»,
nous avons recensé les processus COBIT dont les défaillances pourraient rendre l’entité Tests de conformité sur les procédures d’exploitation
vulnérable en cas de défaillance de son système informatique.
Évaluation du contrôle interne de la fonction informatique et en particulier recherche des
A noter : L’exploitation des systèmes informatiques est une fonction transverse, pour autant réponses aux questions suivantes :
nous avons délimité son domaine par rapport aux autres fiches :  Les fonctions de développement, de tests et d’exploitation sont-elles séparées ?
 Les équipements de développement, de tests et d’exploitation sont-ils séparés ?
BAI04 Gérer la disponibilité et la capacité
Analyse des contrats d’externalisation, de sous-traitance, d’hébergement, de Cloud….
BAI10 Gérer la configuration Évaluation des risques associés et des clauses de réversibilité.

LSS01 Gérer les opérations

Analyse des solutions de sécurité informatique (antivirus, pare feu, antispam, gestion
Gérer les demandes de services et les centralisée des mises à jour et des alertes…). Évaluation de la pertinence et de l’exhaustivité
LSS02
incidents des solutions de sécurité.
LSS06 Gérer les contrôles des processus métier
Surveiller, évaluer et mesurer la Évaluation des procédures de sauvegarde et de restauration. Lecture des comptes rendus
SEM01 des tests de restauration.
performance et la conformité

Le cas échéant, ces processus font l’objet de tests de procédure. Évaluation de la procédure de reprise d’activité après sinistre. Lecture critique des comptes
rendus rédigés à l’issue des tests de reprise d’activité.
Les tests de procédures et les contrôles de substance sont identiques à ceux mis en œuvre par
un audit traditionnel. Analyse des mesures de sécurité protégeant les connexions distantes au système
d’information.

Analyse des procédures de gestion pour les supports et les équipements mobiles, pouvant
contenir des données sensibles.

Évaluation de la procédure d’analyse et de surveillance des journaux (logs) produits

automatiquement par les composantes du système informatique (serveurs, pare feu,
antivirus….)

ANALYSE DES RÉSULTATS

Les résultats de la mission vont permettre :

 d’évaluer, sous l’angle des opérations de tous les jours, l’efficacité, la confidentialité, l’intégrité,
la disponibilité, la conformité, la fiabilité et la sécurité du système informatique de l’entité
 d’identifier des vulnérabilités qui pourraient compromettre le bon fonctionnement du
système informatique de l’entité
 de mesurer la maturité en termes de contrôle interne du SI.
136 137
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHESAUTRE
SERVICE PRATIQUES POUR
QUE LA RÉUSSIR
CERTIFICATION DES COMPTES

FICHE 09
PLAN DE CONTINUITÉ
D’ACTIVITÉ
09
PROPOSITION D’UN PÉRIMÈTRE D’INTERVENTION

OBJECTIFS DE LA PRESTATION

Une entité peut souhaiter confier à son commissaire aux comptes une intervention tendant à la

PLAN DE CONTINUITÉ D’ACTIVITÉ

revue du Plan de Secours et/ou du Plan de la Continuité d’Activité.

Le plan de continuité d’activité (PCA) doit permettre à une entité la reprise et la continuité de ses

PLAN DE
activités à la suite d’un sinistre ou d’un événement perturbant gravement son fonctionnement
normal. Le Plan de Secours (PS) ne concerne que la reprise des actifs informatiques et
informationnels alors que le Plan de Continuité d’Activité comprend les procédures dégradées
(ou pas) mises en œuvre par le « métier » en cas de sinistre. Il doit également permettre à

CONTINUITÉ l’organisation de répondre à ses obligations externes (réglementaires, contractuelles) ou internes

(survie de l’entreprise, risque d’image, risque de perte de marché, etc.) et de tenir ses objectifs.

D’ACTIVITÉ
Les travaux ont pour objet, à la demande de l’entité :
 De revoir le dispositif de reprise des actifs informatiques et informationnels ;
 De revoir les procédures pour s’assurer d’une reprise d’activité de l’entreprise suite à un
sinistre majeur.

Les avis peuvent être assortis de recommandations qui visent à contribuer à l’amélioration des
traitements de l’information financière et qui portent sur des éléments du contrôle interne
objets de la consultation.

Dans les Entités d’Intérêt Public, les travaux du commissaire aux comptes ne peuvent pas inclure
la participation¹ :
 à la conception et la mise en œuvre de procédures de contrôle interne ou de gestion des
risques en rapport avec la préparation et/ou le contrôle de l’information financière ;
 à la conception et la mise en œuvre de systèmes techniques relatifs à l’information
financière ;
 aux services liés à la fonction d’audit interne de l’entité contrôlée.

La prestation décrite dans le présent document est un Service autre que la certification des
comptes (SACC) : il ne s’agit pas d’une mission de certification des comptes.

Dans tous les cas, le commissaire aux comptes peut refuser l’intervention.

¹ Dans les entités non EIP, en vertu de la loi Pacte, ces services ne sont plus interdits mais doivent faire l’objet d’une approche risques / sauvegarde »

138 139
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !

09
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

FICHE 09
PLAN DE CONTINUITÉ D’ACTIVITÉ

PÉRIMÈTRE D’INVESTIGATION RAPPORT ET DOCUMENTATION

La CNCC a publié une mise à jour de son guide sur les SACC en novembre 2018, précisant les Le commissaire aux comptes consigne dans son dossier de travail :
normes ou doctrines auxquelles faire référence lors de la réalisation des services autres que  L’analyse des forces et des faiblesses de l’organisation et des systèmes évalués en matière de
la certification des comptes. Dans le cas des travaux évoqués ici, les prestations suivantes sont plan de secours et de continuité d’activité ;
envisageables :  L’identification et l’analyse des zones de risques liés à la continuité d’exploitation ;
 des procédures convenues qui donneront lieu à des constats ;  Les tests de Plan de Secours, conçus et mis en œuvre en réponse à son évaluation des
 des travaux qui permettront d’émettre une attestation avec éventuellement des observations ; risques.
 un examen limité qui permettra la formulation soit d’une conclusion sans observation,
soit d’une conclusion avec observation(s), soit d’une conclusion défavorable, soit d’une Le commissaire aux comptes émet un rapport avec les résultats des travaux qu’il a réalisés.
impossibilité de conclure. Le rapport prend la forme d’un document daté et signé par le commissaire aux comptes et
comporte selon les cas :
Pour répondre aux demandes de l’entité, le commissaire aux comptes met en œuvre toutes les  son analyse de la situation et des faits avec, le cas échéant, les références aux textes légaux et

PLAN DE CONTINUITÉ D’ACTIVITÉ

diligences possibles dans le cadre d’une obligation de moyens. réglementaires, à la doctrine, à la pratique ou à un référentiel international de gouvernance
informatique ;
Il se réfère notamment à COBIT qui est le référentiel international de gouvernance des SI.  son avis quant à l’existence de failles de disponibilité du système d’information ou ses
Les travaux du commissaire aux comptes peuvent porter sur : recommandations éventuelles ;
 les applications, infrastructures et couches basses ;  les éléments d’informations et commentaires sur les textes qui font l’objet de la demande
 des éléments du contrôle interne relatifs au traitement des opérations de l’entité ; de l’entité.
 le système d’information en général, et les traitements informatisés des données financières
en particulier.

Le commissaire aux comptes utilise également sa connaissance du contexte et du tissu

économique dans lesquels évolue l’entité.

140 141
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !

09
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

FICHE 09
PLAN DE CONTINUITÉ D’ACTIVITÉ

PROPOSITION D’UNE DÉMARCHE MÉTHODOLOGIQUE CHOIX DES TESTS À RÉALISER

IDENTIFICATION DES ZONES DE RISQUES Les travaux sont de différentes natures :

Suite à la revue du contrôle interne, il convient dans un premier temps d’identifier au sein Revue de la « Business Impact Analysis » (Analyse d’Impact Métier) qui s’assure que les
de l’entité, les cycles et les processus les plus exposés puis, dans un second temps, d’évaluer éléments critiques essentiels de l’entité ont bien été identifiés et qu’une classification /
ces risques. Les investigations sont ensuite organisées en fonction des risques qui ont pu être priorisation a bien été réalisée ;
identifiés et appliqués au système d’information supportant ces cycles et processus.
Analyse des politiques de Sauvegarde et d’Archivage ;
Dans le cadre de la revue du plan de continuité d’activité, une attention particulière est évidemment
consacrée aux données et cycles ayant un impact fort sur la continuité d’exploitation de l’entité. Analyse du Plan de Secours pour les actifs informatiques et informationnels ;
Cela peut concerner dans le cadre d’une entreprise industrielle les systèmes et données de la
Analyse du Plan de Continuité d’Activité

PLAN DE CONTINUITÉ D’ACTIVITÉ

chaine de production.

Dans le cas spécifique de la revue de continuité d’activité, nous avons recensé les processus Dans les deux cas (PS et PCA), les analyses concernent :
COBIT dont les défaillances peuvent rendre l’entité vulnérable :  Identification des objectifs et les activités essentielles
 Identification du SI sous jacent
 Détermination et attentes de disponibilité / sécurité pour tenir des objectifs
EDS03 Assurer l’optimisation du risque
 Identification, analyse, évaluation et traitement des risques
APO09 Gérer les accords de services  Définition de la stratégie de continuité d’activité
 Mise en œuvre et appropriation
APO10 Gérer les fournisseurs
 Test périodique
APO12 Gérer le risque
Revue des tests périodiques du Plan de Secours et du Plan de Continuité d’Activité
BAI10 Gérer la configuration

LSS04 Gérer la continuité Analyse des plans d’actions

Surveiller, évaluer et mesurer le système de
SEM02
contrôle interne
ANALYSE DES RÉSULTATS
Le cas échéant, ces processus font l’objet de tests de procédure.
Les résultats des tests vont permettre de repérer des anomalies dans la disponibilité des
transactions opérationnelles, financières et comptables.
Dans le cadre d’identification de zones de risques sur des données essentielles critiques, des
plans d’actions sont recommandés.

142 143
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

FICHE 10
CYBERCRIMINALITÉ
CYBERSÉCURITÉ 10
PROPOSITION D’UN PÉRIMÈTRE D’INTERVENTION

OBJECTIFS DE LA PRESTATION

Une entité peut souhaiter confier à son commissaire aux comptes une intervention tendant à la
détection de fraudes externes dans les comptes de l’entité.

Toutes les entités sont concernées par la détection de fraudes externes mais cette intervention
s’adresse en premier lieu aux opérateurs visés par la loi de programmation militaire 2014-2019 et
aux entreprises sous-traitantes de ces opérateurs.

Les travaux ont pour objet, à la demande de l’entité :

CYBERCRIMINALITÉ
 de donner un avis quant à la probabilité d’existence de fraudes externes dans les comptes

CYBERSÉCURITÉ
et les informations financières dans le périmètre d’investigation ;
 ou de fournir un support de formation concernant des textes, des projets de textes ou des

CYBERCRIMINALITÉ
pratiques contribuant à la bonne compréhension des obligations de l’entité en matière de
lutte contre la fraude externe ;
 ou de donner un avis sur les forces et faiblesses d’éléments du contrôle interne ou du
système d’information en place.

Les avis peuvent être assortis de recommandations visant à contribuer à l’amélioration des
traitements de l’information financière et qui portent sur des éléments du contrôle interne
objets de la consultation.

Dans les Entités d’Intérêt Public, les travaux du commissaire aux comptes ne peuvent pas inclure
la participation :
 à la conception et la mise en œuvre de procédures de contrôle interne ou de gestion des
risques en rapport avec la préparation et/ou le contrôle de l’information financière ;
 à la conception et la mise en œuvre de systèmes techniques relatifs à l’information
financière ;
 aux services liés à la fonction d’audit interne de l’entité contrôlée.

La prestation décrite dans le présent document est un Service autre que la certification des
comptes (SACC) : il ne s’agit pas d’une mission de certification des comptes.

Dans tous les cas, le commissaire aux comptes peut refuser l’intervention.

¹ Dans les entités non EIP, en vertu de la loi Pacte, ces services ne sont plus interdits mais doivent faire l’objet d’une approche risques / sauvegarde »
144 145
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHESAUTRE
SERVICE PRATIQUES POUR
QUE LA RÉUSSIR
CERTIFICATION DES COMPTES

10
FICHE 10
CYBERCRIMINALITÉ
CYBERSÉCURITÉ

PÉRIMÈTRE D’INVESTIGATION
RAPPORT ET DOCUMENTATION
La CNCC a publié une mise à jour de son guide sur les SACC en novembre 2018, précisant les
normes ou doctrines auxquelles faire référence lors de la réalisation des services autres que la Le commissaire aux comptes consigne dans son dossier de travail :
certification des comptes. Dans le cas des travaux évoqués ici, les prestations suivantes sont  l’analyse des forces et des faiblesses de l’organisation et des systèmes évalués en matière de lutte
envisageables : contre la fraude externe ;
 des procédures convenues qui donneront lieu à des constats ;  l’identification et l’analyse des risques de fraude externe ;
 des travaux qui permettront d’émettre une attestation avec éventuellement des observations ;  le calendrier et les tests de détection de fraudes, conçus et mis en œuvre en réponse à son
 un examen limité qui permettra la formulation soit d’une conclusion sans observation, soit évaluation des risques de fraude externe ;
d’une conclusion avec observation(s), soit d’une conclusion défavorable, soit d’une impossibilité  les conclusions des tests de détection d’éventuelles fraudes externes.
de conclure.
Le commissaire aux comptes émet un rapport avec les résultats des travaux qu’il a réalisés. Le rapport
Pour répondre aux demandes de l’entité, le commissaire aux comptes met en œuvre toutes les prend la forme d’un document daté et signé par le commissaire aux comptes et comporte selon les cas :
diligences qu’il juge nécessaires dans le cadre d’une obligation de moyens.  son analyse de la situation et des faits avec, le cas échéant, les références aux textes légaux et
réglementaires, à la doctrine, à la pratique ou à un référentiel international de gouvernance
Les travaux du commissaire aux comptes portent sur : informatique ;
 des comptes, états comptables ou éléments des comptes de l’entité ;  son avis quant à l’existence de fraudes externes ou ses recommandations éventuelles ;

CYBERCRIMINALITÉ
 l’exhaustivité des écritures comptables et des transactions de l’entité grâce à des outils  les éléments d’informations et commentaires sur les textes qui font l’objet de la demande de

CYBERSÉCURITÉ
d’analyse de gros volumes de données ; l’entité.
 des informations, données ou documents de l’entité ayant un lien avec la comptabilité ou
les données sous-tendant celle-ci ;
 des éléments du contrôle interne relatifs au traitement comptable et financier de l’entité ;
 le système d’information en général, et les traitements informatisés des données financières
en particulier.

Les comptes concernent un exercice complet ou une autre période définie. Le recours à des
techniques d’investigation assistées par ordinateur permet d’effectuer des tests exhaustifs sur
des opérations traitées électroniquement ou des fichiers informatiques.

Le commissaire aux comptes utilise également sa connaissance du contexte et du tissu

économique dans lesquels évolue l’entité.

146 147
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

10
FICHE 10
CYBERCRIMINALITÉ
CYBERSÉCURITÉ

PROPOSITION D’UNE DÉMARCHE MÉTHODOLOGIQUE

IDENTIFICATION DES ZONES DE RISQUES CHOIX DES TESTS À RÉALISER

Suite à la revue du contrôle interne, il convient dans un premier temps d’identifier au sein de Seule l’exhaustivité des contrôles comptables est de nature à permettre l’identification des transactions
l’entité, les cycles et les processus les plus exposés puis, dans un second temps, d’évaluer les atypiques qui, dans un deuxième temps, feront l’objet d’investigations plus approfondies. Les logiciels
risques. Les investigations sont ensuite organisées en fonction des risques qui ont pu être de fouille de données (« data mining ») proposent un large panel de tests utiles à la détection de
identifiés. S’agissant de détection de fraudes, une attention particulière est évidemment consacrée fraudes :
aux cycles « Ventes – Clients », « Achats – Fournisseurs », « Trésorerie » et « Immobilisations » qui  Analyse de corrélation pour déterminer la relation entre plusieurs variables parmi des données
pourront faire l’objet de tests de procédures et de contrôle de substance. brutes. Des corrélations aberrantes ou absentes permettront de présumer d’une dissimulation de
Dans le cas spécifique des cyber-fraudes, nous recensons les processus COBITT dont les fraude.
défaillances peuvent rendre l’entité vulnérable aux cyber-attaques :  Analyse de la conformité des opérations aux seuils fixés par le contrôle interne.
 Stratification (par montant, par dates, etc.) pour connaître les caractéristiques des données
analysées : montants les plus élevés, montants les plus petits, etc.
APO12 Gérer le risque
 Sélection des données spécifiques et des exceptions (montants légèrement en deçà des seuils,
APO13 Gérer la sécurité petits montants, montants ronds, etc.) pour investigations approfondies.
 Comparaison de fichiers pour identifier les données communes et les données différentes (listes
LSS04 Gérer la continuité

CYBERCRIMINALITÉ
de fournisseurs, listes d’assurés bénéficiant de remboursement, etc.)
LSS05 Gérer les services de sécurité

CYBERSÉCURITÉ
 Rapprochement de données appartenant à des fichiers différents
Surveiller, évaluer et mesurer le système  Recherche de doublons (redondance des petits prélèvements, unique fournisseur avec deux
SEM02
de contrôles internes relevés différents de coordonnées bancaires) ou de «trous» dans les séquences (rupture sur les
Surveiller, évaluer et mesurer la numéros de chèque, sur les numéros d’enregistrement, etc.)
SEM03
conformité aux exigences externes  Test de la loi de Benford

Le cas échéant, ces processus feront l’objet de tests de procédures. En fonction du secteur d’activité de l’entité auditée et compte tenu des schémas de fraude à détecter,
l’auditeur doit définir les types de tests à réaliser. Par exemple, dans le secteur du crédit à la
Les tests de procédures et les contrôles de substance sont identiques à ceux mis en œuvre par un consommation, des tests de corrélation sont mis en œuvre sur les incidents de remboursement de prêt.
audit traditionnel. Néanmoins, pour permettre la détection de fraudes, ils doivent être exhaustifs
plutôt qu’être réalisés par sondage. Concernant le contrôle interne, la détection de fraudes doit privilégier la recherche des exceptions
(montants légèrement en deçà des seuils, petits montants, montants ronds, etc.) et leur analyse, car ce
sont elles qui favorisent la fraude en permettant de contourner les procédures en place. Là encore, ces
exceptions doivent faire l’objet de tests exhaustifs de procédures.

148 149
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !
10 FICHESAUTRE
SERVICE PRATIQUES POUR
QUE LA RÉUSSIR
CERTIFICATION DES COMPTES

10
FICHE 10
CYBERCRIMINALITÉ
CYBERSÉCURITÉ

L’audit technique doit permettre de fournir un avis sur le niveau de sécurité atteint par le
système d’information.

Il pourra notamment intégrer les contrôles suivants :

Tests d’intrusion pour évaluer la sécurité du système d’information de l’entreprise. Ils sont
réalisables soit sans information préalable (« boîte noire ») ; soit en ayant des accès limités, une
Audit des choix d’architecture (authentification, échange de données, protection des
connaissance relative de la topologie du système d’information, ou en ayant un compte avec un
données, sauvegarde, etc.) et des choix de configuration sur un échantillon d’équipements
accès limité (« boîte grise ») ; soit enfin, en ayant des accès étendus ou une connaissance documentée
(système d’exploitation, système de gestion de bases de données relationnelles (SGBDR),
de la topologie réseau ou des applicatifs (« boîte blanche ») ;
serveur de messagerie, pare-feun etc.). Il s’agit notamment de s’assurer de l’application des
derniers correctifs de sécurité, du respect de la politique des mots de passe, de l’absence de
Tests d’intrusion Wi-Fi en tentant de récupérer des clés Wi-Fi, d’usurper l’identité d’un utilisateur
protocoles non sécurisés comme Telnet ou FTP ;
identifié, etc.

Audit de la gestion de l’authentification des utilisateurs pour s’assurer de l’existence de :

 Sécurisation des connexions
ANALYSES DES RÉSULTATS
 Stockage chiffré des mots de passes (fonction de hachage)
 Transmission des informations d’authentification (requête POST) Les résultats des tests permettent de repérer des anomalies dans les transactions financières et
 Protection contre les attaques de type « force brute » (CAPTCHA, mécanismes de blocage comptables. L’analyse de ces anomalies nécessite d’affiner encore les tests sur un périmètre plus

CYBERCRIMINALITÉ
des accès en « force brute », avec verrouillage automatique des comptes après un nombre restreint, après stratification ou requêtes spécifiques, afin de déterminer si le schéma de fraude

CYBERSÉCURITÉ
prédéfini d’erreurs dans le mot de passe) recherché est avéré ou non.
 Gestion du renouvellement de mots de passe
 Contraintes sur le format des mots de passe Il faut en effet garder à l’esprit que tout ce qui ressemble à une fraude n’en est pas forcément une et
 Gestion de traces lors des authentifications réussies / échouées. qu’il est nécessaire de corroborer les données informatiques avec d’autres éléments de preuve, comme
les justificatifs papier par exemple. Le jugement professionnel demeure primordial dans la détection
Audit de la gestion des sessions applicatives pour s’assurer de la : de fraude.
 Sécurité horizontale des comptes utilisateurs (un utilisateur ne peut pas consulter les
informations d’un autre utilisateur ayant le même profil au sein de l’application)
 Sécurité verticale des comptes utilisateurs (un utilisateur ayant des droits restreints ne peut
pas obtenir de droits d’administration sur l’application)
 Prise en charge de la gestion des cookies et de leur durée de vie

Audit des pratiques cryptographiques pour s’assurer de l’existence de :

 Choix et implémentation d’algorithmes cryptographiques
 Contraintes sur la taille des clés
 Stockage des clés de chiffrement

Audit de la protection des données des applications développées en interne pour s’assurer
des points suivants :
 Aucune information sensible au sein des commentaires du code de l’application
 Séparation des fonctions entre utilisateurs et développeurs
 Stockage des informations sensibles de manière chiffrée
 Echange sécurisé des informations entre le client et le serveur (protocole TLS par exemple)

150 151
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !

11
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

FICHE 11
AUDIT DE
SERVICES
EXTERNALISÉS

PROPOSITION D’UN PÉRIMÈTRE D’INTERVENTION

OBJECTIFS DE LA PRESTATION

AUDIT DE SERVICES EXTERNALISÉS

Les clients d’un prestataire, auprès de qui ils ont externalisé des services impactant leurs états
financiers, ont besoin d’obtenir des assurances et évaluations sur le contrôle interne des

AUDIT DE
processus associés à ces prestations¹. Dans ce cas, le prestataire a, en pratique, la possibilité de
confier une mission ISAE 3402² à un auditeur de son choix (c’est l’objet du présent SACC), ou de
laisser l’auditeur du client effectuer lui-même cet audit.

SERVICES Une entité peut souhaiter confier à son commissaire aux comptes une intervention tendant à la
formalisation d’un rapport ISAE 3402 dans le cadre de prestations de services externalisées que
l’entité opère pour ses clients. Ces prestations de services peuvent concerner des services

EXTERNALISÉS
informatiques (hébergement, exploitation informatique, développement informatique, etc.) ou
des prestations intellectuelles (paie, comptabilité, etc.). Le rapport peut être décliné en deux
types :
 Type 1 : seuls la revue de la conception et le test d’implémentation du dispositif de contrôle
sont effectués.
 Type 2 : en plus de la revue de conception et du test d’implémentation du dispositif de
contrôle, des tests d’efficacité opérationnelle sont effectués pour évaluer le caractère
systématique du contrôle.

Les travaux ont alors pour objet, à la demande de l’entité :

De revoir le dispositif de contrôle interne relatif à ces prestations de services
 Environnement de contrôle
 Activités de contrôle sur les processus des prestations de services.

Évaluer la conception du dispositif de contrôle (test de Design & Implémentation).

Évaluer l’efficacité opérationnelle du dispositif de contrôles.

¹ Cette situation inclut également le cas d’un centre de services partagés (CSP) vis-à-vis des filiales du groupe (voir en ce sens la note
d’information CNCC n°19)

152 ² Les rapports ISAE 3402 concernent les contrôles qui ont un impact sur l’établissement des états financiers.
153
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !

11
SERVICE
10 FICHESAUTRE QUE LA
PRATIQUES CERTIFICATION
POUR RÉUSSIR DES COMPTES

FICHE
FICHE 11
09
AUDIT
PLAN DEDECONTINUITÉ
SERVICES EXTERNALISÉS
D’ACTIVITÉ

Les avis peuvent être assortis de plans d’actions émis par le prestataire qui visent à contribuer RAPPORT ET DOCUMENTATION
à l’amélioration des traitements de l’information financière et qui portent sur des éléments du
contrôle interne objets de la présente mission. Le commissaire aux comptes consigne dans son dossier de travail :
 le référentiel de contrôle mis en place par l’entité ;
Dans les Entités d’Intérêt Public, les travaux du commissaire aux comptes ne peuvent pas inclure  les preuves des contrôles testés ;
la participation³ :  l’analyse des forces et des faiblesses du dispositif de contrôle interne sur le périmètre
 à la conception et la mise en œuvre de procédures de contrôle interne ou de gestion des de travail ;
risques en rapport avec la préparation et/ou le contrôle de l’information financière ;  les plans d’actions ou les contrôles compensatoires pouvant couvrir les risques
 à la conception et la mise en œuvre de systèmes techniques relatifs à l’information identifiés.
financière ;
 aux services liés à la fonction d’audit interne de l’entité contrôlée. Le commissaire aux comptes émet un rapport avec les résultats des travaux qu’il a réalisés.
Le rapport prend la forme d’un document daté et signé par le commissaire aux comptes et
La prestation décrite dans le présent document est un Service autre que la certification des comporte selon les types de rapport (type 1 ou 2) :
comptes (SACC) : il ne s’agit pas d’une mission de certification des comptes.  La lettre d’opinion de l’auditeur (Independant Service Auditor’s report) ;

AUDIT DE SERVICES EXTERNALISÉS

 La lettre du Management (Group Management Assertion) ;
Dans tous les cas, le commissaire aux comptes peut refuser l’intervention.  La description de l’entité et des services (type 1) ;
 La description des tests, des objectifs de contrôles et des résultats (type 2) ;
 Autres informations fournies par l’entité.
PÉRIMÈTRE D’INVESTIGATION

PROPOSITION D’UNE DÉMARCHE MÉTHODOLOGIQUE

La CNCC a publié une mise à jour de son guide sur les SACC en novembre 2018, précisant les
normes ou doctrines auxquelles faire référence lors de la réalisation des services autres que
la certification des comptes. Dans le cas des travaux évoqués ici, les prestations suivantes sont IDENTIFICATION DES ZONES DE RISQUES
envisageables :
 des procédures convenues qui donneront lieu à des constats ; Il convient dans un premier temps d’identifier au sein de l’entité, les périmètre et critères
 des travaux qui permettront d’émettre une attestation avec éventuellement des observations ; d’évaluation qui sont inclus dans le cadre de la revue puis, dans un second temps, d’évaluer
 un examen limité qui permettra la formulation soit d’une conclusion sans observation, soit le dispositif de contrôle (conception et application).
d’une conclusion avec observation(s) soit d’une impossibilité de conclure.
De nombreux processus COBIT peuvent être revus. Nous avons recensé les processus COBIT
Pour répondre aux demandes de l’entité, le commissaire aux comptes met en œuvre les diligences les plus couramment testés :
nécessaires à son jugement professionnel, dans le cadre d’une obligation de moyens.
EVALUER, DIRIGER, SURVEILLER
Il se réfère notamment à COBIT qui est le référentiel international de gouvernance des SI. Assurer la définition et le suivi d’un
EDS01
référentiel de gouvernance
Les travaux du commissaire aux comptes portent sur : EDS
EDS03 Assurer l’optimisation du risque
 les processus en lien avec les prestations externalisées réalisées pour le compte des clients
de l’entité ; Assurer la transparence aux parties
EDS05
 des éléments du contrôle interne relatifs au traitement des opérations de l’entité incluant prenantes
,le cas échéantn le système d’information et les traitements informatisés.

Le commissaire aux comptes utilise également sa connaissance du contexte et du tissu

économique dans lesquels évolue l’entité.

³ Dans les entités non EIP, en vertu de loi “pacte”, ces services ne sont plus interdits mais doivent faire l’objet d’une approche “risques/
sauvegarde”.
154 155
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !

11
10 FICHESAUTRE
SERVICE PRATIQUES POUR
QUE LA RÉUSSIR
CERTIFICATION DES COMPTES

FICHE
FICHE 11
09
AUDIT
PLAN DEDECONTINUITÉ
SERVICES EXTERNALISÉS
D’ACTIVITÉ

ALIGNER, PLANIFIER, ORGANISER LIVRER, SERVIR, SOUTENIR

APO01 Gérer le cadre de gestion des SI LSS01 Gérer les opérations

APO03 Gérer l’architecture d’entreprise Gérer les demandes de services et les

LSS02
incidents
APO06 Gérer les budgets et les coûts LSS LSS03 Gérer les problèmes
APO07 Gérer les ressources humaines
LSS04 Gérer la continuité
APO
APO08 Gérer les relations
LSS05 Gérer les services de sécurité
APO10 Gérer les fournisseurs
LSS06 Gérer les contrôles des processus métier
APO11 Gérer la qualité

AUDIT DE SERVICES EXTERNALISÉS

APO12 Gérer le risque

APO13 Gérer la sécurité SURVEILLER, EVALUER, MESURER

Surveiller, évaluer et mesurer la

SEM01
performance et la conformité
SEM Surveiller, évaluer et mesurer le système
SEM02
BATIR, ACQUERIR, IMPLEMENTER de contrôle interne
Surveiller, évaluer et mesurer la
BAI01 Gérer les programmes et les projets SEM03
conformité aux exigences externes
BAI02 Gérer la définition des exigences
Gérer l’identification et la conception des
BAI03
solutions
CHOIX DES TESTS À RÉALISER
BAI04 Gérer la disponibilité et la capacité
Les travaux sont de différentes natures :
BAI BAI05 Gérer le changement organisationel

BAI06 Gérer les changements (SI) Revue du dispositif de contrôle interne relatif à ces prestations de services
Gérer l’acceptation du changement et de  Environnement de contrôle (organisation, gouvernance, etc.)
BAI07
la transition  Activités de contrôle sur les processus des prestations de services.
BAI08 Gérer la connaissance
Évaluation de la conception du dispositif de contrôle (test de Design &
BAI09 Gérer les actifs Implémentation) au travers d’une revue documentaire et d’un test de cheminement
BAI10 Gérer la configuration
Évaluation de l’efficacité opérationnelle du dispositif de contrôles au travers de tests
par échantillonnage dépendant de la fréquence de réalisation du contrôle

Formalisation du rapport

156 157
 FICHES SACC N° DE
TERME DÉFINITION
AI** AI** PAGE

L’Agence nationale de la sécurité des systèmes d’information est un

service à compétence nationale rattaché au Secrétaire général de la
défense et de la sécurité nationale (SGDSN), autorité chargée d’assis-
ter le Premier ministre dans l’exercice de ses responsabilités en
matière de défense et de sécurité nationale. L’agence assure la
mission d’autorité nationale en matière de sécurité des systèmes
ANSSI 10 -*
d’information. À ce titre, elle est chargée de proposer les règles à
appliquer pour la protection des systèmes d’information de l’État et
de vérifier l’application des mesures adoptées. Dans le domaine de la
défense des systèmes d’information, elle assure un service de veille,
de détection, d’alerte et de réaction aux attaques informatiques,
notamment sur les réseaux de l’État.

Pour « Applications Programming Interface », désigne la program-

mation d’une interface entre deux applications/logiciels/outils pour
API échanger des données. Ce système a pour but de faciliter les 1 1 16, 96
échanges d’informations entre différents outils pour faciliter
l’expérience utilisateur.

Pour « Advanced Persistent Threat ». Une attaque furtive via le canal

APT 10 -
Internet ciblant une entité en particulier.

Programme informatique dissimulé qui offre aux pirates un accès

Internet vers une machine cible, en toute discrétion. Ces backdoors
s’installent rapidement, par n’importe quel utilisateur ayant accès à
BACKDOOR l’équipement informatique, ne serait-ce qu’une seule fois. Intérêt : se 10 -
connecter à l’ordinateur compromis afin de voler des données, ou
pour « pivoter » (action de se connecter à une seconde machine
depuis la première) et ainsi remonter dans tout le réseau.

GLOSSAIRE
Le Big data est le terme qui désigne les très grands volumes de
données. La multiplication des données à gérer et stocker par les
BIG DATA / entreprises à donner naissance à ce terme. Afin de maîtriser et
1 1 16, 96, 97
ANALYTICS analyser ces volumes, il est nécessaire de faire appel à des techniques
d’Analytics qui désigne les techniques informatiques permettant de
contrôler ces données.

Des espaces où les salariés n’ont plus de poste de travail attitré ni

BUREAU
d’espace personnel. On parle également de salariés « sans bureau 1 16
DYNAMIQUE
fixe».

Une analyse d’impact sur les entreprises (BIA) est un processus qui
Business Impact
identifie et évalue les effets potentiels d’événements naturels ou pro- 9 9 77, 143
Analysis
voqués par l’homme sur les opérations commerciales de l’entité.

Test requis pour accéder à certains services sur Internet, qui consiste
CAPTCHA à saisir une courte séquence visible sur une image, afin de différen- 10 150
cier les utilisateurs humains d’éventuels robots malveillants.

Document permettant d’avoir une vision exhaustive et actualisée en

permanence du SI de l’entreprise : infrastructure, logiciels, découpage 27, 29, 31,
CARTOGRAPHIE 2, 3, 5 et
fonctionnel, description des processus, interface etc. Il permet 2, 5 et 6 50, 102,
DES SI 7
également de comprendre les interactions entre les différents 123
acteurs – utilisateurs – département.

Pour « Chief Digital Officer ou manager de la transformation

CDO numérique ». Son rôle est de piloter et d’accélérer la transformation 1 96
numérique d’une organisation.

70
158 159
 FICHES N° DE FICHES N° DE
TERME DÉFINITION SACC AI TERME DÉFINITION SACC AI
AI PAGE AI PAGE

Réseau anonymisé et encrypté, de plus ou moins grande taille, qui

31, 64, concurrence le Web. Le trafic y est souvent lent et les usagers
CFCI Contrôle fiscal des comptabilités informatisées 7 7
127, 128 insaisissables. Citons ainsi les réseaux Tor, I2P ou encore FreeNet qui
DARKNET sont particulièrement plébiscités pour leur capacité à héberger des 10 -
La Charte d’utilisation des systèmes d’information s’inscrit dans la services cachés (« hidden services »). Autrement dit, il s’agit de sites
PSSI. La charte définit les règles d’usage des ressources informatiques Internet dont l’adresse IP n’est pas référencée par les fournisseurs de
CHARTE d’une organisation, dans le respect des lois et de la vie privée, pour 36, 57, noms de domaine (DNS Providers).
3, 6 et 10 6
INFORMATIQUE protéger les intérêts de l’organisation et préciser les responsabilités 120
Le dashboarding est l’activité ou le dispositif de création de tableaux
de chaque utilisateur. Le non-respect de cette charte engage norma-
de bord à vocation commerciale ou marketing. Il est souvent visuel
lement la responsabilité personnelle de l’utilisateur. DASHBOARDING 1 17
et permet une meilleure lisibilité d’une situation et de l’environne-
Un cheval de Troie est un logiciel en apparence légitime, mais qui ment afin de facilité la prise de décision.
Cheval de Troie contient une fonctionnalité malveillante. Le rôle du cheval de Troie
10 - Un data center ou centre de données, est une infrastructure compo-
informatique est de faire entrer ce parasite sur l’ordinateur et de l’y installer à
l’insu de l’utilisateur. sée d’un réseau d’ordinateurs et d’espaces de stockage. Cette in-
frastructure peut être utilisée par les entreprises pour organiser,
traiter, stocker et entreposer de grandes quantités de données.
24, 56,
CIL Correspondant Informatique et Libertés 6 56 Data center Un data center est composé d’un centre de données basique qui 6 et 8 2
69, 100
regroupe des serveurs, des sous-systèmes de stockage, des commuta-
teurs de réseau, des routeurs, des firewalls, et bien entendu des câbles
Ce terme désigne l’action de commander son produit en ligne et de et des racks physiques permettant d’organiser et d’interconnecter
CLIC AND
le récupérer dans un point de vente choisi. Ce procédé a pour but de 1 15 tout cet équipement informatique.
COLLECT
limiter le temps d’attente en caisse.

13, 22, 23, Ou fouille de données, est une technique informatique d’exploration
Le cloud computing, ou l’informatique en nuage, est l’exploitation de de données à même de trouver des structures originales et des
25, 42,
CLOUD la puissance de calcul ou de stockage de serveurs informatiques 1, 2, 4 et 8 1, 6 et 8 corrélations informelles entre les données. Elle permet de mieux
69, 71, 96, Data mining 10 149
distants par l’intermédiaire d’un réseau, généralement internet. comprendre les liens entre des phénomènes en apparence distincts,
124, 137
voire d’anticiper des tendances encore peu discernables. C’est
Le FEC doit répondre à un certain nombre de critères pour être pourquoi, elle est très utilisée dans la détection de fraudes.
conforme. Parmi les principaux critères, le FEC doit contenir au
minimum 18 colonnes (pour un BIC) dont la plupart doivent être Remplacement de formulaires imprimés, de documents matériels ou
Conformité
renseignées à 100%, le fichier doit être au format texte, … L’ensemble 7 62 Dématérialisation de processus utilisant du papier par des traitements numériques 1 -
formelle du FEC
de ces critères sont listés dans l’article A. 47 A-1 du LPF et complétés avec l’utilisation de fichiers et d’outils informatiques.
par les questions réponses publiées sur le site de l’administration Numérisation de documents afin de les sauvegarder sur un support
fiscale. Digitalisation informatique. Tous les types de documents peuvent être digitalisés, 1 1 17
Pour « Customer Relationship Management » ou Gestion de la papiers, vidéos, photographiques ou bandes sonores.
Relation Client. Ce terme désigne l’ensemble des sujets liés au Pour « Data Protection Officer ». Il s’agit généralement de l’individu
marketing, support et relation client. On parle régulièrement de DPO en charge de la protection des données personnelles et du respect de 6 6
53, 56,
CRM 1 16
logiciel CRM qui désigne donc un logiciel permettant de suivre ou la réglementation relative à ces données au sein d’une organisation.
124
d’animer la relation avec le client (gestion des devis, relances clients,
base d’information client, support technique, etc.). Directeur des systèmes d’information. Il est responsable de l’ensemble
des composants matériels (postes de travail, serveurs, équipements de
Un crypto-verrouilleur ou ransomware est une classe de logiciel DSI réseau, systèmes de stockage, de sauvegarde et d’impression, etc.) et Ensemble du document
malveillant. Ce type de rançongiciel se diffuse principalement via logiciels du système d’information, ainsi que du choix et de l’exploi-
des courriels infectés, déguisés en factures. Une fois activé, il chiffre tation des services de télécommunications mis en œuvre.
les données personnelles de l’utilisateur avec une clé secrète – stoc-
kée sur des serveurs pirates – et demande une rançon (payable en Pour « Enterprise Resource Planning », désigne les logiciels paramé-
CRYPTOLOCKER 10 80
bitcoins ou par des services externes) pour les rendre à nouveau trables et adaptables à l’environnement de l’entreprise. Ces logiciels
accessibles. Le message d’alerte s’accompagne d’un compte à rebours font donc l’objet d’un déploiement et d’une adaptation aux contextes
de 72 ou 100 heures qui menace de supprimer les données si la 27, 31, 35,
des entreprises. Ils sont donc plus ouverts que les logiciels standards 2, 3, 4, 5
rançon n’est pas payée. En fait, une fois arrivé à zéro, il augmente ERP 39, 48,
du marché et doivent donc faire l’objet d’un contrôle renforcé pour et 7
fortement le montant de la rançon. 50, 63
s’assurer qu’ils respectent bien la réglementation et que certaines
adaptations au contexte de l’entreprise ne le rendent pas non
La cybercriminalité désigne les délits perpétrés à distance par des conforme.
systèmes de communication comme Internet. La cybercriminalité
Cybercriminalité concerne non seulement les formes traditionnelles de criminalité, 10 10 79, 81
opérées dans le cas d’espèce via Internet, mais aussi l’atteinte à la
confidentialité, l’intégrité et la disponibilité des systèmes d’information.

160 161
 FICHES N° DE FICHES N° DE
TERME DÉFINITION SACC AI TERME DÉFINITION SACC AI
AI PAGE AI PAGE

La facture électronique est désignée par le fait de stocker une pièce Pour « Massive Open Online Courses », désigne les formations en
comptable sous la forme dématérialisée. Attention, cependant, à ne ligne ouvertes à n’importe quel participant, autrement dit des cours
MOOC 1 16
Facture pas confondre : il ne suffit pas de stocker une facture scannée ou au en ligne. L’avantage étant la possibilité de réunir un grand nombre
7 60, 62
électronique format PDF pour qu’elle soit certifiée « facture électronique ». Il de personnes sans limite géographique.
existe des logiciels spécifiques qui garantissent la conformité de la
facture et son caractère inviolable. Innovation ouverte. Elle désigne des modes d’innovation fondés sur
Open Innovation le partage et la collaboration dans les domaines de la recherche et du 1 16
Fichier des Ecritures Comptables. Fichier informatique standard qui développement.
peut être exporté à partir de n’importe quel logiciel comptable
compatible avec la réglementation française et qui est exigé par 31, 62, 64, Le travail collaboratif désigne un mode de travail qui ne tient pas
FEC l’administration fiscale en cas de contrôle fiscal. Ce fichier doit 5 et 7 7 127, 128, compte de l’organisation hiérarchique traditionnel dans une
Outils
respecter certaines normes sous peine d’amende ou de rejet de la 131 entreprise. Les outils collaboratifs sont donc l’ensemble des outils qui 1 16
collaboratifs
comptabilité. Il sera bientôt à déposer en même temps que la liasse permettent de simplifier cet échange collaboratif ou chaque partici-
fiscale. pant peut donner son avis et défendre son point de vue.

Un serveur FTP (File Transfer Protocol) est un logiciel utilisé dans le Le Plan de continuité d’activité s’inscrit dans la PSSI. Le PCA doit
transfert de fichiers entre deux ordinateurs. Il est, avec le client FTP, permettre à une organisation la reprise et la continuité de ses
FTP 10 150 activités à la suite d’un sinistre ou d’un événement perturbant 73, 74, 75,
l’une des deux composantes d’un transfert de fichiers via le langage
FTP. PCA gravement son fonctionnement normal. Il doit permettre à l’organi- 9 9 76, 139,
sation de répondre à ses obligations externes (réglementaires, 143
ou Groupe de travail Article 29 sur la protection des données (en contractuelles) ou internes (survie de l’entreprise, risque d’image,
anglais Article 29 Data Protection Working Party) est un organe risque de perte de marché etc.) et de tenir ses objectifs.
G29 6 55
consultatif européen indépendant sur la protection des données et
de la vie privée. Désigne la facilité avec laquelle le vérificateur peut remonter d’une
Piste d’audit écriture comptable à la pièce comptable d’origine. Cette « piste 59, 127,
7 7
La condition ou l’état d’opérabilité d’un composant ou d’un système : fiable d’audit fiable » nécessite d’être documentée et de respecter un 128, 131
Go / No go « go », se traduisant par un fonctionnement correct ; ou « no-go » 4 - certain nombre de critères de stockage des documents.
comme ne fonctionnant pas correctement.
Concept d’organisation de projet informatique venant d’Amazon. Il
De l’anglais « Social Engineering ». Ensemble des techniques de définit une taille idéale de l’équipe pour développer un projet
manipulation consistant à exploiter la faiblesse humaine dans le but efficace : celle-ci ne doit pas dépasser le nombre que l’on peut
Pizza team 1 16
Ingénierie sociale d’obtenir des informations sensibles. Les pirates trouvent par la 10 - nourrir avec deux pizzas, soit 8 personnes. Les membres doivent être
persuasion une faille qui mène vers une ressource convoitée : mots suffisamment nombreux pour que l’équipe soit créative, mais pas au
de passe, données bancaires, fichiers clients, brevets, etc. point que la cohésion et la communication se perdent.

Attaque technique par le canal Internet consistant à insérer des Le Plan de reprise d’activité s’inscrit dans le PCA. Il permet, en cas de
Injection crise majeure ou sinistre, de pouvoir assurer les activités essentielles
données en entrée d’un programme informatique afin de le détour- 10 80
de données en basculant, pendant une durée déterminée, sur un système de
ner de sa fonction d’origine. PRA 9 -
relève qui fournira les services nécessaires à la survie de l’entreprise.
Lier deux fichiers sur la base d’un ou de plusieurs champs communs. De façon transitoire, pendant la bascule sur le système de relève, le
Exemple : jointure entre le fichier des bons d’expédition avec les PRA peut autoriser une coupure intégrale du service.
Jointures entre
factures de vente sur la base du numéro du bon d’expédition pour 5 5 49
fichiers Principe de non
identifier les expéditions non facturées et les factures sans bon
d’expédition. répudiation Capacité à s’assurer de l’authenticité de l’émetteur d’un message. 2 21
renforcée
Ou super utilisateur. Dans la conduite d’un projet informatique, les
super utilisateurs sont des ressources désignées dans l’organisation La Politique sécurité des systèmes d’information est un plan d’actions
KEY USER 4 - et un ensemble de règles définies par une organisation pour
pour apprendre le fonctionnement du nouveau système et transférer PSSI 9 -
ses connaissances aux utilisateurs finaux. maintenir ses systèmes d’information à un certain niveau de
sécurité.
Démarche ne se basant pas sur une égalité parfaite mais avec un
Logique floue degré variable de concordance. Exemple : « Jean » est comparable à « 5 5 49 Le RACI est un outil de formalisation des rôles et responsabilités
Jan ». pour chaque partie prenante au projet. Cet outil est indispensable
pour établir les attendus vis-à-vis de chaque partie prenante et ainsi
Journal des évènements, enregistré automatiquement par un lever toute ambiguïté dans les processus de décision.
67, 68, 70,
Logs système informatique (serveur, équipement télécom…). Précieux pour 6 et 8 8 21, 23, 4,
134, 137 • R : Responsable, ou Réalisateur
le diagnostic des pannes et la détection des anomalies. RACI 2 et 4
41, 45
• A : Approbateur (« Accountable » en anglais).
Désigne l’ensemble des méthodes qui permettent dans un projet de • C : Consulté
prendre en considération au maximum le besoin initial du client et • I : Informé
Méthodes agiles 1 16
les contraintes qu’impose le projet pour permettre une plus grande
réactivité à ses demandes. Il ne peut y avoir qu’un seul A par tâche.

162 163
 FICHES N° DE FICHES N° DE
TERME DÉFINITION SACC AI TERME DÉFINITION SACC AI
AI PAGE AI PAGE

Pour « Radio Frequency Identification », désigne la technologie Un virus informatique est un automate autoréplicatif conçu pour se
permettant de scanner des produits en masse sans avoir à les voir ni propager à d’autres ordinateurs en s’insérant dans des logiciels
RFID 1 17
les toucher. Cette technologie d’identification automatique permet légitimes, appelés « hôtes ». Il peut perturber plus ou moins grave-
ainsi un gain de temps dans le stockage et la recherche de produits. ment le fonctionnement de l’ordinateur infecté. Il peut se répandre
par tout moyen d’échange de données numériques comme les
53, 54, Virus
réseaux informatiques et les cédéroms, les clefs USB, les disques durs, 10 68, 80
56, 65, informatique
etc.
Règlement général sur la protection des données du 27 avril 2016 1, 2, 4, 6 100, 119, Les virus informatiques ne doivent pas être confondus avec les vers
RGPD 2 et 6
(Règlement UE 2016/679). et 7 120, 121, informatiques, qui sont des programmes capables de se propager et
122, 123, de se dupliquer par leurs propres moyens sans contaminer le
124, 125 programme hôte.
Pour « Recovery Point Objective » ou Perte de Données Maximale Se dit d’une faille dans un logiciel ou système d’exploitation qui n’a
Admissible. Cet indicateur désigne la durée maximale d’enregistre- pas encore été publiée sur Internet et qui, par conséquent, n’est
RPO ment des données qu’il est acceptable de perdre lors d’une panne. Ce 2 et 9 9 25 Zero Day connue que de quelques-uns. Dès lors, ces initiés peuvent exercer un 10 -
critère définit l’état dans lequel doit se trouver le nouveau système chantage en menaçant les entreprises qui utilisent l’applicatif
après basculement. vulnérable de publier la faille sur des sites spécialisés.
Pour « Recovery Time Objective » ou Durée maximale d’interruption
admissible. C’est le délai de rétablissement d’un processus, à la suite
RTO d’un incident majeur, pour éviter des conséquences importantes 2 et 9 9 25
associées à une rupture de la continuité d’activité. Il définit le temps -* non présent dans le document, donné à titre informatif.
** AI : Audit Informatique
alloué pour faire le basculement vers le nouveau système.

Pour « software as a service », ou logiciel en tant que service, est un

modèle d’exploitation commerciale des logiciels dans lequel ceux-ci
Saas 2 et 7 1 22, 60, 96
sont installés sur des serveurs distants plutôt que sur la machine de
l’utilisateur.

Schéma directeur du système d’information. Il planifie et organise

sur le long terme les évolutions du système d’information en accord
SDSI avec la stratégie d’entreprise pour aboutir à un modèle de développe- -
ment optimal. Ce document de synthèse est établi par la direction
informatique et validé par la direction générale de l’organisation.

Pour « Security Information Management System ». Dispositif situé

entre la périphérie et le cœur du réseau local où sont hébergées les
données sensibles. L’outil centralise et enregistre l’activité des
SIEM utilisateurs pour consultation ultérieure et traquer les événements 10 -
qui surviennent. Le SIEM exploite le fait qu’une attaque informatique
laisse toujours des traces au sein des différents journaux d’activités
du système.

Pour « Segregration of duties » ou séparation des droits et accès. Il

s’agit de séparer les responsabilités entre plusieurs personnes afin
SOD d’éviter les risques de conflits d’intérêts et de fraudes. Une seule 2 et 3 23, 24, 25
personne ne peut effectuer ou masquer seule des actions de fraude
ou des erreurs.

Protocole standard d’Internet autorisant les communications entre

un client et un serveur. Celui-ci relie un système composé d’un
clavier et d’un affichage à un interpréteur de commande. En
TELNET 10 150
pratique, le protocole Telnet permet à un utilisateur d’accéder à des
données stockées sur Internet ou d’utiliser des applications depuis
son propre ordinateur.

Protocole assurant la confidentialité des échanges entre les applica-

tions de communication et les utilisateurs sur Internet. Lorsqu’un
TLS serveur et un client communiquent, TLS s’assure qu’aucun tiers ne 10 150
peut intercepter ni falsifier un message. TLS succède notamment au
protocole SSL (Secure Sockets Layer).

Le canal étant une interface par laquelle le client passe à l’acte

d’achat, le multi canal se caractérise par le fait de pouvoir vendre son
Vente multi canal 1 15
produit par plusieurs canaux (magasins, site e-commerce, application
pour téléphone…).

164 165
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !

FORMATIONS

 Formation professionnelle spécialisée : Master Systèmes d’Information de l’Entreprise Etendue

à Dauphine
 Formation en ligne : MOOC ANSSI (Agence nationale de sécurité des systèmes d’information)
et MOOC CNIL, «L’Atelier RGPD»
 Formation CNCC (Compagnie nationale des commissaires aux comptes) : CyberAudit - «Evaluer
l’exposition aux risques cyber».

TRANSFORMATION NUMÉRIQUE

 L’Academie, cahier 33 - Mesure globale de la performance durable

 La revue fiduciaire comptable, La maturité « numérique » : signe de la performance de
l’entreprise

GOUVERNANCE DES SYSTÈMES D’INFORMATION

 AFAI : Association Française de l’Audit et du conseil informatique

 COBIT 5
 CIGREF : Les référentiels de la DSI

POUR ALLER CONTRÔLE DES ACCÈS ET CYBERSÉCURITÉ

PLUS LOIN ...  CYBERMALVEILLANCE

 La Hack academy
 AFAI
 ANSSI :
• Entreprise - les bonnes pratiques
• Particulier - formations : la Secnumacademie
 Office central de lutte contre la criminalité liée aux technologies de l’information et de la
communication (Police nationale)
 SISSE : Service de l’information stratégique et de la sécurité économiques
 CERT-FR : Centre gouvernemental de la veille, d’alerte et de réponse aux attaques informatiques
 CIGREF : Association de grandes entreprises et d’administrations publiques françaises
 CLUSIF : Club de la sécurité de l’information français
 CSOEC et CNCC : Conseil supérieur de l’ordre des experts-comptables et Compagnie nationale
des commissaires aux comtpes, «10 commandements pour se prémunir de la cybercriminalité «
 CNCC : CyberAudit

CONDUITE DE PROJETS

 Méthodologies et référentiels :
• PMBOK
• PRINCE2
• Méthodes AGILE

70
166 167
 AUDIT INFORMATIQUE : TOUS CONCERNÉS !

PROTECTION DES DONNÉES PERSONNELLES  Personnel

• Modifications du fichier du personnel (quoi, qui, quand)
 AFAI : Association Française de l’Audit et du conseil informatique - Modèle de maturité • Rapprochement des feuilles de temps-badgeuses et rubriques des fiches de paie
 CNIL : Commission nationale de l’informatique et des libertés de France • Stratification des salaires par catégorie de personnel, âge, localisation etc.
• Guide pratique de sensibilisation au RGPD • Recalcul des commissions sur ventes selon les contrats de travail
• La sécurité des données personnelles • Numéro de SS erroné ou en doublon
 Académie des sciences et techniques comptables, cahier 35 - Gouvernance des données • Rapprochement feuilles de temps / badgeuses et fichier du personnel
personnelles et analyse d’impact • Employés sans fiche de paie – fiches de paie non rapprochées avec le registre du personnel
• Ecritures manuelles sur les comptes de personnel (tiers et charges)
• Règlements multiples à un même employé le même mois
LÉGISLATION FISCALE ET SI
• Pas de retenue des charges sociales ou erronées
• Employés sans évolution de salaires N/N-1
 FEC : Fichiers des écritures comptables - Extrait de l’article A 47A-1 du LPF qui détaille les dix-
• Employés sans prise de congés ou insuffisants
huit informations obligatoires fixée par l’administration.
• Employés sans augmentation de salaire
 Questions - réponses du groupe de travail entre l’Ordre des experts comptables et la DGFiP
(direction générale des Finances publiques) sur le FEC
 Autres outils mis à disposition :  Fournisseurs – Achats
• Totalisation des achats en quantité et en valeur par fournisseur, acheteur
• Smart FEC – outil de la CNCC, en téléchargement sur son site
• Stratification des paiements et ceux proches des seuils de validation
• L’académie : le contrôle fiscale informatisé, comment s’y préparer ?
• Transactions avec montants arrondis
 ANSSI - Signature électronique
• % d’appels d’offres gagnés par rapport aux appels d’offres répondus par fournisseur

PLAN DE CONTINUITÉ D’ACTIVITÉ  Clients – ventes - stocks

• Stratification des factures de vente par tranches proches des seuils de validation
 ANSSI - Externalisation et sécurité des systèmes d’information : un guide pour maîtriser les • Rapprochement des adresses de livraison aux clients avec celles des employés de l’entité
risques auditée et de ceux du groupe
• Recherche d’encaissements clients non cohérents avec les factures (lettrage multiple et non
par paire)
UTILISATION DES OUTILS D’AUDIT DES DONNÉES
• Quantités en stocks excessives par rapport aux ventes de la période
EXEMPLES D’AUDIT DE DONNÉES
• Stocks d’articles obsolètes
• Calcul et analyse du prix unitaire par article
 Contrôles transversaux • Ruptures de séquence numérique et de dates (bons d’expédition, factures …)
• Schémas comptables atypiques (ventes/achats passés directement par comptes de trésorerie,
écritures de régularisation …)  Comptes de trésorerie
• Nombre d’écritures de régularisation ou d’ajustement par utilisateur • Rupture des séquences numériques des chèques émis enregistrés dans les comptes
• Rapprochements des comptes mouvementés par des écritures d’individus et leur bancaires
département / fonction de rattachement • Rapprochement des écritures comptables passées dans les comptes de trésorerie avec les
• Recherche textuelle dans le libellé des transactions / écritures / notes de frais / mails flux enregistrés par les banques
• Balances âgées des comptes de tiers clients, fournisseurs, personnel, organismes sociaux, • Contreparties anormales des écritures dans les comptes de trésorerie
état • Ecritures manuelles dans les comptes de trésorerie
• Calcul de ratios financiers et comparaison avec ceux du secteur, comptes N-1

 Etats financiers
• Rapprochement budgets/réalisations et analyse des écarts
• Calcul des variations N / N-1 et analyse des variations anormales
• Recalcul des états de synthèse, balances générales depuis les écritures détaillées et
rapprochement avec les états publiés, déclarations fiscales
• Ecritures manuelles passées le dernier jour de clôture périodique (« test de 11H »)
• Ecritures passées à des dates, jours ou heures inhabituels (jours fériés, le WE, hors heures
d’ouverture, jours de fermeture)
• Ecritures manuelles dans des comptes usuellement mouvementés par interface
• Ecritures avec des montants multiples de 1 000, 10 000 etc.
• Ecritures manuelles dans des comptes normalement alimentés automatiquement
• Cohérence entre séquences des numéros d’écritures et les dates comptables
• Ecritures passées les derniers jours de clôture de fin de période

168 169
Notre profession accompagne des entreprises de plus en plus
informatisées, collectant et traitant des millions de données. Elle se
doit donc d’évoluer pour conserver le contrôle des données financières
analysées dans un contexte de cas de fraude en croissance permanente.
Après une série de conférences sur le rôle du commissaire aux comptes
dans la lutte anti- fraude organisées dès 2015, la CRCC de Paris, sous
l’impulsion de Frédéric Burband, vice-président, a décidé de créer
le groupe de travail “Audit informatique”, en partenariat avec l’AFAI,
qui rassemble des spécialistes du contrôle interne informatique et de
l’analyse de données informatiques.

50, RUE DE LONDRES

75008 PARIS
01 53 83 94 33
[Link]