View
0
Download
0
Category
Preview:
Citation preview
AUDIT ET SECURITE DES SYSTEMES D'INFORMATION
May 18, 20051
Les nouvelles exigences de sécurité
L’impact du cadre réglementaire
Thierry Jardin Ernst & Young
Les nouvelles exigences de sécurité
L’impact du cadre réglementaire
Thierry Jardin Ernst & Young
AUDIT ET SECURITE DES SYSTEMES D'INFORMATION
May 18, 20052
Contrôle interne et système d’informationContrôle interne et système d’information
May 18, 20053
• Définition*• " le contrôle interne est un processus, défini et mis en œuvre par le conseil d'administration, le
management et le personnel de l'entreprise visant à fournir une assurance raisonnable que lesobjectifs suivants sont atteints :- fiabilité de l'information comptable et financier ,- efficacité et efficience de la conduite des opérations de l'entreprise, - respect des lois et de la réglementation applicable."
• Des enjeux importants : – La protection et la sauvegarde des actifs– L’application des instructions, plans et procédures de gestion sous
la responsabilité des dirigeants de l’entreprise – La qualité et l’homogénéité de l’information financière ainsi que la
conformité aux lois et réglementations
* Source de la définition : Committee of Sponsoring Organizations of the Treadway Commission – COSO
Contrôle interne : rappel des fondamentauxContrôle interne : rappel des fondamentaux
May 18, 20054
Un environnement en pleine mutationUn environnement en pleine mutation
ELODIECGCG
C. AnaC. Ana
C. AuxC. Aux
PAYESIGA PAYE
PAYESIGA PAYE
CIELLiasse Fiscale
CIELLiasse Fiscale
Module deRapprochements
bancaires
Module deRapprochements
bancaires
Prix de revientMatériel BOSPrix de revientMatériel BOS
Outil de TrésorerieOutil de Trésorerie
Extraction
Paye/coût M.O.
AcomptesPersonnel
Commandeset M à J.
Flux Manuel
Client-server(Windows NT)Challenger (siège)
Flux automatique
Micro
Tables de référence
Tables de référence
CI
CD
CA
ImmobilisationsImmobilisations
Position /localis.Du matériel
Position /localis.Du matériel
Gestion du Matériel (développé par DEAL)
Facturationinterne
Amortiss. /codes matériel
Cours dechange /ops.Encaissements
Ordre de virements /Encaissements
BanquesBanques
Fichier desextraits decomptes
GAOBOSpointages
GAOBOSpointages
Fichier Facturationinterne
JULIECommandes etfactures clients
JULIECommandes etfactures clients
ACHATSAcquisitions / Livraisons
PROCUR
ACHATSAcquisitions / Livraisons
PROCUR
* Code Destination** Code Analytique
R/3R/3Client / Client / ServerServer
ABAP/4ABAP/4
FIFIComptabilitéComptabilité
FinancièreFinancière
COCOManagementManagement
controlcontrolAMAM
FixedFixedassetsassets
PSPSProjectProject
managementmanagement
WFWFWorkflowWorkflow
ISISIndustryIndustry
solutionssolutions
MMMMInventoryInventory
managementmanagement
HRHRHumanHuman
resourcesresources
SDSDSalesSales
PPPPProductionProduction
QMQMQualityQuality
assurancassurancee PMPM
MaintenanceMaintenance
FIFIComptabilitéComptabilité
FinancièreFinancière
COCOManagementManagement
controlcontrolAMAM
FixedFixedassetsassets
PSPSProjectProject
managementmanagement
WFWFWorkflowWorkflow
ISISIndustryIndustry
solutionssolutions
MMMMInventoryInventory
managementmanagement
HRHRHumanHuman
resourcesresources
SDSDSalesSales
PPPPProductionProduction
QMQMQualityQuality
assurancassurancee PMPM
MaintenanceMaintenance
ERPERP
De fortes évolutions technologiques rendent plus complexe la mise en oeuvre du contrôle interne :
– Migration et concentration des systèmes d’information
– Architectures informatiques structurantespour l’organisation et le fonctionnement de l’entreprise
– Échanges de données entre partenaires– Partages d’applications– Outsourcing / Infogérance
May 18, 20055
Pratiques d’évaluation desrisquesPratiques d’évaluation desrisques
Etude Ernst & Young 2004
Il est nécessaire d’élaborer une cartographie des risquesafin de définir un plan d’action en matière d’auditet de contrôle interne des systèmes d’information.
May 18, 20056
• Le contrôle interne est devenu primordial dans les organisations car :
– Les autorités de contrôle cherchent à répondre à la crise de confiance des marchés financiers
– La qualité du contrôle interne dépend de l’action conjointe des dirigeants, du comité d’audit et du conseil d’administration, sur la base des travaux de l’audit interne et externe
– La réglementation internationale devient de plus en plus contraignante
En conclusionEn conclusion
AUDIT ET SECURITE DES SYSTEMES D'INFORMATION
May 18, 20057
Loi sur la Sécurité Financière etSarbanes Oxley Act
Loi sur la Sécurité Financière etSarbanes Oxley Act
May 18, 20058
Cadre réglementaire (1/2)Cadre réglementaire (1/2)
ResponsablesDG et DAF
ResponsablePrésident du Comité d’Administration ou du Conseil de
Surveillance
Niveau d’assurance donné par l’auditeur :Assurance positive
Niveau d’assurance donné par le CAC :Observations sur le rapport du Président
Article 117 et 122 (L225-37 et L225-68 du code de commerce)
Obligation d’établir un rapport dans lequel celui-ci « rend compte » des procédures de contrôle interne
mises en place par la sociétéPas de contenu normalisé
Rapport joint au rapport de gestionsur les comptes sociaux et/ou les comptes consolidés
Article 120 (L225-235 du code de commerce)
Obligation d’établir un rapport sur la partie du rapport du Président couvrant les procédures de
contrôle interne relatives à l’élaboration et au traitement de l’information comptable et financière
Rapport sur la sincérité des informations contenues
Rapport joint au rapport général ou au rapport sur les comptes consolidés (donc publicité au greffe)
Diligences duCommissaire Aux Comptes
Section 404« Management assessment of internal
controls »Obligation d’établir un rapport de contrôle
interne pour les rapports annuels La société doit documenter et formaliser cette
structure et ces procédures.
Obligation de fournir une attestation sur le rapport émis par les dirigeants, sur la base
du dossier formalisé par l’entreprise et de diligences spécifiques.
Diligences de l’entreprise
Sarbanes-OxleyLSF
May 18, 20059
Cadre réglementaire (2/2)Cadre réglementaire (2/2)
SECPCAOBAMF, HCCC, MEDEF, CNCC, IFACI…Groupes de place /
régulateurs
FinancierFinancier
OpérationnelConformité aux lois
Domaines
Exercice comptable clos à partir du :
•15 juillet 2005 pour les « accelerated filers »
•15 juillet 2006 pour les « all otherissuers » => sociétés étrangères
Exercice comptable ouvertà partir du 1er janvier 2003Date d’application
SEC registrants
=> les sociétés cotées
Toutes les SAayant leur siège social en France
Toutes les personnes faisant appel public à l’épargne
Cibles
Référentiel COSOAucune définition dans la loi
Absence de référentiel normatif en France
Référentiel CI
Sarbanes-OxleyLSF
May 18, 200510
Un périmètre différentUn périmètre différent
üConformité aux lois
üRespecter ou Justifier
üAppliquerPhilosophie
üPrésident du Conseil d’Administration
üManagementResponsabilité principale
üOpérationnel
üüFinancier
üüConseil d’administrationChamp d’application
FranceUSA
May 18, 200511
Mapping suivant le référentieldu COSOMapping suivant le référentieldu COSO
Au plus haut niveau: intégrité, éthique, style de management, délégation de pouvoir, politique RH, stratégie de sécurité,…
Qualité de la communication entre les parties prenantes aux activités de contrôle
conformité
Opérations
Informatio
n
financière
GrOUPe
Entités
Environnement de contrôle
Évaluation des risques
Activités de contrôle
Information & communication
Pilotage
L’amélioration continue du processus de contrôle interne
Le fonctionnement effectif des procédures et contrôles sensés prévenir ou détecter les erreurs
LSF SOA
La cartographie des risques et l’adéquation des contrôles
AUDIT ET SECURITE DES SYSTEMES D'INFORMATION
May 18, 200512
Bale IIBale II
May 18, 200513
La réforme Bale IILa structureLa réforme Bale IILa structure
Renouvellement des exigences minimales de fonds propresafin de mieux tenir compte de l'ensemble des risques bancaires
et de leur réalité économiquePILIER 1
Renforcement de la surveillance prudentielle par les superviseurs nationaux PILIER 2
Utilisation de la communication d'informations financières afin d'améliorer la discipline de marché PILIER 3
May 18, 200514
Le comité de Bâle et le risque opérationnelLe comité de Bâle et le risque opérationnel
Comité de Bâle
• Prise en compte du risque opérationnelØ Une définition du risque opérationnel et d’une typologie de risqueØ Une approche par ligne métier
McDonough
• Rien sur le risqueopérationnel
Ratio Cooke
Ø Une méthode quantitativeØ Une réduction des risques prise en compte : externalisation, assurance, environnement de contrôle...
May 18, 200515
Trois approches du risqueopérationnel
Trois approches du risqueopérationnel
Fraude externe
Fraude interne
Méthodes salariales et sécurité des locaux
Pratiques clients, produits,services
Dommages causés surdes actifs
Interruption d’activité et pannes de système
Management des processusd'exécution du service
Risques
Activités de marché
Finance d’entreprise
Banque de détail
Banque commerciale
Banque de flux
Services financiers
Gestion d’actifs
Activités de courtage
Ligne d’activitéDefinition
« Risque de pertes résultant de procédures
internes inadéquates ou défaillantes,
du personnel, des systèmes ou
d'événements extérieurs »
PILIER 1
May 18, 200516
Qu’est-ce que le risque opérationnel ?
Systèmes
§Fraude des employés
§Activités non autorisées
§Mouvements sociaux
§Absence / manque de personnel compétent
§Risque politique / souverain
§Catastrophes naturelles
§Activités criminelles
§Maîtrise des processus clés
§Conformité des opérations
§Management du changement
Evénements extérieurs
Processus
Risque opérationnel
§Investissements technologiques
§Développement et mise en oeuvre de systèmes.
§Pannes / défaillances des systèmes
§Sécurité, capacité des systèmes
Personnes
AUDIT ET SECURITE DES SYSTEMES D'INFORMATION
May 18, 200517
Constats sur les contrôlesConstats sur les contrôles
May 18, 200518
Cas type : contrôle interne et système d’informationCas type : contrôle interne et système d’information
Des éléments incontournables :
- Environnement et fonction informatique
- Processus informatisés et applications informatiques
- Projet « Système d’information »
Contraintes réglementaires
Processus / Applications informatiques
Données Commande Livraison Encaissement
SécurisationSécurisation
Facturation
Règles de gestion
Comptabilisation
SécurisationSécurisation
Environnement général informatique
May 18, 200519
Cas type : Analyse du processus achatCas type : Analyse du processus achatProcessus AchatsProcessus Achats
Paiements fournisseursPaiements
fournisseurs
Gestion des activités Achat(Contrat, offres,
évaluation fournisseurs)
Gestion des activités Achat(Contrat, offres,
évaluation fournisseurs)
Données de base(Articles,
Fournisseurs, Fiches info-achat)
Données de base(Articles,
Fournisseurs, Fiches info-achat)
Contraintes locales légales
(TVA,…)
Contraintes locales légales
(TVA,…)
Réception des
marchandises
Réception des
marchandisesVérification
factureVérification
factureCommande
d’achatCommande
d’achatDemande d’achat
Demande d’achat
Comptabilité fournisseursComptabilité fournisseurs
Sécurisation des données et des traitementsSécurisation des données et des traitements
11
2233 44 55 66 77 88 99
1010
Légende :Niveau de risque faible
Niveau de risque moyen
Niveau de risque élevé
Légende :Niveau de risque faible
Niveau de risque moyen
Niveau de risque élevé
Gestion des achats
Gestion des achats
Gestion de stocksGestion de stocks ComptabilitéFournisseur
ComptabilitéFournisseurAPPLICATIONS
May 18, 200520
• Sécurité logique : gestion des accès et des profils
• Procédures de reprise de données• Back up et plan de continuité
• Risque sur la sécurité et l’intégrité des données
Sécurisation des données et des
traitements
• Contrôle des autorisations liées au paiement
• Risque de paiement non-autorisé
• Risque de double-paiement
Paiements fournisseurs
• Risque de non-conformité avec les réglementations en vigueur
• Risque de doublons • Risque liée à la confidentialité
• Contrôle du paramétrage de la TVA• Contrôle des éditions de la documentation légale (DEB, Fiscal, …)
Contraintes légales locales
• Contrôle sur les doublons• Gestion des habilitationsDonnées de base
11
22
99
1010
Cas type : Les constatsCas type : Les constats
May 18, 200521
Mauvais paramétrage des droits d'accès 84%
Mauvaise gestion des profils 60%
Mauvaise ségrégation des tâches 95%
Source interne Ernst &Young.
Quelques constats sur la gestion des identitésQuelques constats sur la gestion des identités
22
Constats plus généraux.
• Inadéquation des solutions informatiques,• Mauvais paramétrage des règles de gestion,• Non respect du principe de séparation des tâches,• Indisponibilité des systèmes, • Rupture de la piste d’audit,• Non respect des contraintes réglementaires,• …
Stratégie de l’entreprise
Stratégie de l’entreprise
Enjeux métiersEnjeux métiers
Processus opérationnels
Processus opérationnels
AUDIT ET SECURITE DES SYSTEMES D'INFORMATION
May 18, 200523
Merci de votre attention
Thierry Jardintel: 01 46 93 68 52mèl: thierry.jardin@fr.ey.com
Merci de votre attention
Thierry Jardintel: 01 46 93 68 52mèl: thierry.jardin@fr.ey.com
Recommended