Contrôles informatiques dans le cadre de l audit l des états financiers Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec 1
Objectifs de la présentation Identifier le rôle de l auditeur l externe et les points de contrôles informatiques relatifs aux processus financiers 2
Déroulement de la présentation Mandat du Vérificateur V général g Audit des états financiers Risques informatiques Contrôles informatiques Impacts d un d audit Conclusion 3
Mandat du Vérificateur généralg 4
Mandat du Vérificateur V généralg 2 types de mandat Attestation financière Vérification d optimisation des ressources (VOR) Réf.: www.vgq.qc.ca 5
Mandat du Vérificateur V général g (suite) Depuis juin 2008, des modifications à la Loi* permettent au VGQ d entreprendre, à sa discrétion, des travaux de vérification financière auprès d entités associées aux réseaux de l éducation et de la santé Vérification des entités du réseau de l éducation 2009 : 4 entités 2010 : 3 entités Intervention prévue actuellement d une durée de 2 ans par entité Répondant ultime : l Assemblée nationale * Loi sur le vérificateur général (L.R.Q., chapitre V-5.01, articles 30.1 et 43) 6
Audit des états financiers dans un contexte informatique 7
Audit des états financiers Balance Bilan Sheet État Income des résultats Statemen États financiers Flux de trésorerie SCFP Notes Autres Other Processus administratifs & cycles comptables Processus A Processus B Processus C Contrôles d application Contrôles informatiques généraux : Accès logiques, Gestion des modifications Application A Applications financières Application B Réseau & Équipements Système d exploitation Base de données Application C Objectifs : Exactitude Intégralité Autorisation etc. Source (adaptée) : IT Contrôle Objectives for Sarbanes-Oxley 8
Audit des états financiers (suite) Objectif premier des interventions Émettre une opinion sur les états financiers* Autres exigences (ex. MELS) Systèmes importants pour l auditeur externe : Financiers D autres systèmes sont importants pour les entités, mais ces systèmes n ont pas financiers * Selon les Normes Canadiennes d Audit (NCA) 9
Audit des états financiers (suite) 2 principales stratégies d audit possibles Axé contrôle ou axé non contrôle? Le contrôle inclus la sécurité informatique Profondeur d intervention varie selon l entité, les systèmes et la stratégie retenue Durée et période d intervention Nombre de tests Nature des procédés 10
Audit des états financiers (suite) Indépendance de l auditeur Documentation : information probante! Responsabilité vis-à-vis la fraude Approche : Questionnaires et passages témoins Tests détaillés Logiciels spécialisés de vérification Récurrence 11
Risques informatiques 12
Risques informatiques Risques et contrôles Extrêmement probable Probabilité de matérialisation du risque Contrôle nécessaire Peu probable Contrôle non ou peu nécessaire Négligeable Désastreux Conséquence 13
Risques informatiques (suite) DisponibilitéD IntégritéI C Confidentialité Authentification Irrévocabilité commerce électronique Source : Services gouvernementaux du Québec Directive sur la sécurité de l information gouvernementale, 2006 14
Risques informatiques (suite) Dépendance à la technologie Accès non autorisés interne et externe Modification non autorisée Erreur humaine Faille dans la piste de contrôle Défaillance technique Fraude, vol, vandalisme Continuité d exploitation La force d une d chaîne est égale à celle de son maillon le plus faible 15
Contrôles informatiques 16
Audit des états financiers (suite) Catégorie de contrôles informatique Contrôles informatiques Applicatifs Intégr grés s et spécifiques au logiciel applicatif Généraux * Visent normalement l ensemble des applications 17
Contrôles informatiques Contrôles d applicatifs Contrôles informatiques spécifiques intégrés à chaque application. On retrouve ces contrôles aux : l intérieur de Intrants Traitements Extrants Exemple : Validations informatiques Ex. : Contrôle de limite Contrôle d intégralité Contrôle de logique Chiffre d autocontrôle Autorisation électronique des transactions Ex. : Bon commande d achat Interfaces automatisés contrôlés entre applications 18
Contrôles informatiques Contrôles généraux A. Gestion de l informatique et de la sécurité B. Gestion des accès C. Gestion des modifications D. Gestion des opérations 19
A. Gestion de l informatique l et de la sécurits curité Structure du service informatique et impartition Logiciels et équipements (en lien avec les applications importantes) Stratégies et planification en informatique Activités de surveillance ou de reddition de comptes à l égard de la sécurité - ex. Comité de sécurité ou de son équivalent Gestion des risques Le niveau d importance influence la directement la sécurité à mettre en place! 20
A. Gestion de l informatique l et la sécurité (suite) Politique de sécurité de l information Mise à jour périodiquement Approuvée par la haute direction Rôles et responsabilités des principaux intervenants Systèmes couverts par la politique Communiquée aux employés Appuyée par des normes et procédures Sensibilisé à la sécurité de l information Activités de sensibilisation périodique Ex. Responsabilité de la confidentialité des mots de passe Vise spécifiquement la nature humaine! 21
B. Gestion des accès S assurer que l accès aux équipements ainsi que l accès aux programmes et aux données sont limités aux personnes autorisées 22
B. Gestion des accès Accès physiques Équipements situés dans des locaux dont l accès est limité aux personnes autorisées Salle des serveurs et postes de travail Comment? Accès limité : Porte verrouillé Qui et pourquoi? Liste d accès restreinte et autorisée Autres éléments de l environnement : Protection contre le feu, l eau 23
Accès logiques B. Gestion des accès Moyen d identification et d authentification pour accéder aux programmes et aux données Identification : code identificateur Authentification : mot de passe Autres méthodes : jeton et biométrie 24
B. Gestion des accès (suite) Chemins d accd accès Accès Réseau Windows, Accès indirect Bases de données Oracle, DB2, Applications BD Accès Applications Grics et autres Accès Systèmes d exploitation Windows, Unix, 25
B. Gestion des accès Mot de passe : 2 points à retenir Paramètres globaux Administration des droits d accès 26
B. Gestion des accès Paramètres globaux Mot de passe favorisant la confidentialité Paramètres globaux, caractéristiques minimales : Nombre de caractères minimaux Complexité obligatoire Tentatives d accès infructueuses limitées Historique des derniers mots de passe Modification périodique obligatoire Encrypté et masqué Quelles sont les caractéristiques optimales? Vise les bonnes pratiques actuelles du marché 27
B. Gestion des accès Mot de passe : Unique par usager afin de favoriser l imputabilité Éviter les comptes de groupe Éviter les comptes génériques Choix de l usager et non de l administrateur Autres points : Désactivation après une période d inactivité Écran de veille Rapport sur les tentatives d accès infructueuses 28
B. Gestion des accès Gestion des droits Processus d octroi de modification et de révocation Processus d autorisation des codes et des droits d accès par les personnes responsables Droits d accès attribués aux contractuels ou aux employés qui ont quitté l entité sont annulés promptement Vise le principe de la bonne séparation des tâches 29
B. Gestion des accès Gestion des droits (suite) Processus de révision des accès Personnel visé : tous ceux qui ont des accès Utilisateur final Informatique Incluant les privilèges spéciaux Qu est-ce qui doit être révisé périodiquement? Existence Droits d accès : Fonction des responsabilités Fonction de la bonne séparation des tâches Facteur de succès : collaboration des intervenants 30
B. Gestion des accès Sécurité du réseaur Qui peut accéder de l externe? Employés, consultants, fournisseurs externes Comment l accès est-il possible? Accessible de l externe, par modem, VPN, Internet, Citrix ou par un réseau sans fil Quelles ressources peuvent-ils accéder? 31
Autres points B. Gestion des accès Sécurité du réseaur seau (suite) Quels sont les contrôles? Est-ce que le périmètre de sécurité est contrôlé : Pare-feu Antivirus (serveurs et postes de travail) Outils de détection et/ou de prévention d intrusion (IDS) Encryptions Évaluation indépendante de la sécurité de son réseau Ex. validation des paramètres des pare-feu et test d intrusion Correctifs (patchs) des fournisseurs appliqués en temps opportun 32
C. Gestion des modifications Acquisitions, développements et modifications S assurer que les modifications apportées aux systèmes financiers sont contrôlées et documentées 33
C. Gestion des modifications Acquisitions, développements et modifications Types de modification Régulière ou urgente Programmation de l application Configuration de l application Données dans les fichiers et les bases de données Systèmes d exploitation Sources de modification Service informatique interne Fournisseur externe (contrat) Interrupteur actif ou non actif 34
Départ C. Gestion des systèmes Contrôles de modification R E S P O N S A B I L I T É a. Méthodologie : développement & maintenance? S d. Environnement distinct? U I V I b. Registre des modifications? c. Demandes autorisées? e. Modifications documentées? Il s agit s d une d activité continue 35 1 Suite
C. Gestion des systèmes Contrôles de modification R E S P O N S A B I L I T É mes (suite) 1 Suite f. Tests sur les modifications? Environnement d essai S U g. Autorisation des mises en production? Séparation des tâches I V h. Contrôle pour les migrations en production? Mécanisme de suivi des mises en production I Production 36
D. Gestion de l exploitationl S assurer que tous les programmes de production nécessaires au traitement des transactions sont exécutés normalement et complètement 37
D. Gestion de l exploitationl Procédures de sauvegarde des données et des programmes Identification Fréquence Responsable (gestion des absences) Entreposage (interne et externe) Test (planifié) Suivi des copies de sécurité Rétention Relève informatique Bilan du dernier test 38
D. Gestion de l exploitationl (suite) Mécanismes de gestion des incidents Au niveau applicatif, technologique et sécurité Procédure, responsabilité, enregistrement, suivi et signalement Gestion de la cédule de production Gestion des tâches cédulées ou traitées en lot Autres points Licence pour tous les logiciels Logiciel personnel sur les postes de travail 39
Impact d un d audit des états financiers 40
Impact d un d audit Le contrôle interne est une combinaison de contrôles (incluant la sécurité) formant un tissu imperméable aux erreurs et fraudes Contrôles informatiques et leur interrelation Les contrôles généraux sont normalement nécessaires au bon fonctionnement des contrôles d application Influence le choix de la stratégie de l auditeur Favorise l utilisation des contrôles Limite l utilisation des contrôles 41
Impact d un d audit (suite) Amène des recommandations Perception des recommandations Essentielles ou points d amélioration La recommandation est-elle pertinente lorsqu une entité est dépendante du fournisseur de logiciel? Bulletin et/ou aide à l amélioration! Destinataires A + Suivi annuel 42
Facteurs de succès Conclusion Risques & Contrôles informatiques Documentation Communication Merci de votre attention! 43