AUDIT ET SECURITE DES SYSTEMES D'INFORMATION

May 18, 20051

Les nouvelles exigences de sécurité

L’impact du cadre réglementaire

Thierry Jardin Ernst & Young

Les nouvelles exigences de sécurité

L’impact du cadre réglementaire

Thierry Jardin Ernst & Young

AUDIT ET SECURITE DES SYSTEMES D'INFORMATION

May 18, 20052

Contrôle interne et système d’informationContrôle interne et système d’information

May 18, 20053

• Définition*• " le contrôle interne est un processus, défini et mis en œuvre par le conseil d'administration, le

management et le personnel de l'entreprise visant à fournir une assurance raisonnable que lesobjectifs suivants sont atteints :- fiabilité de l'information comptable et financier ,- efficacité et efficience de la conduite des opérations de l'entreprise, - respect des lois et de la réglementation applicable."

• Des enjeux importants : – La protection et la sauvegarde des actifs– L’application des instructions, plans et procédures de gestion sous

la responsabilité des dirigeants de l’entreprise – La qualité et l’homogénéité de l’information financière ainsi que la

conformité aux lois et réglementations

* Source de la définition : Committee of Sponsoring Organizations of the Treadway Commission – COSO

Contrôle interne : rappel des fondamentauxContrôle interne : rappel des fondamentaux

May 18, 20054

Un environnement en pleine mutationUn environnement en pleine mutation

ELODIECGCG

C. AnaC. Ana

C. AuxC. Aux

PAYESIGA PAYE

PAYESIGA PAYE

CIELLiasse Fiscale

CIELLiasse Fiscale

Module deRapprochements

bancaires

Module deRapprochements

bancaires

Prix de revientMatériel BOSPrix de revientMatériel BOS

Outil de TrésorerieOutil de Trésorerie

Extraction

Paye/coût M.O.

AcomptesPersonnel

Commandeset M à J.

Flux Manuel

Client-server(Windows NT)Challenger (siège)

Flux automatique

Micro

Tables de référence

Tables de référence

CI

CD

CA

ImmobilisationsImmobilisations

Position /localis.Du matériel

Position /localis.Du matériel

Gestion du Matériel (développé par DEAL)

Facturationinterne

Amortiss. /codes matériel

Cours dechange /ops.Encaissements

Ordre de virements /Encaissements

BanquesBanques

Fichier desextraits decomptes

GAOBOSpointages

GAOBOSpointages

Fichier Facturationinterne

JULIECommandes etfactures clients

JULIECommandes etfactures clients

ACHATSAcquisitions / Livraisons

PROCUR

ACHATSAcquisitions / Livraisons

PROCUR

* Code Destination** Code Analytique

R/3R/3Client / Client / ServerServer

ABAP/4ABAP/4

FIFIComptabilitéComptabilité

FinancièreFinancière

COCOManagementManagement

controlcontrolAMAM

FixedFixedassetsassets

PSPSProjectProject

managementmanagement

WFWFWorkflowWorkflow

ISISIndustryIndustry

solutionssolutions

MMMMInventoryInventory

managementmanagement

HRHRHumanHuman

resourcesresources

SDSDSalesSales

PPPPProductionProduction

QMQMQualityQuality

assurancassurancee PMPM

MaintenanceMaintenance

FIFIComptabilitéComptabilité

FinancièreFinancière

COCOManagementManagement

controlcontrolAMAM

FixedFixedassetsassets

PSPSProjectProject

managementmanagement

WFWFWorkflowWorkflow

ISISIndustryIndustry

solutionssolutions

MMMMInventoryInventory

managementmanagement

HRHRHumanHuman

resourcesresources

SDSDSalesSales

PPPPProductionProduction

QMQMQualityQuality

assurancassurancee PMPM

MaintenanceMaintenance

ERPERP

De fortes évolutions technologiques rendent plus complexe la mise en oeuvre du contrôle interne :

– Migration et concentration des systèmes d’information

– Architectures informatiques structurantespour l’organisation et le fonctionnement de l’entreprise

– Échanges de données entre partenaires– Partages d’applications– Outsourcing / Infogérance

May 18, 20055

Pratiques d’évaluation desrisquesPratiques d’évaluation desrisques

Etude Ernst & Young 2004

Il est nécessaire d’élaborer une cartographie des risquesafin de définir un plan d’action en matière d’auditet de contrôle interne des systèmes d’information.

May 18, 20056

• Le contrôle interne est devenu primordial dans les organisations car :

– Les autorités de contrôle cherchent à répondre à la crise de confiance des marchés financiers

– La qualité du contrôle interne dépend de l’action conjointe des dirigeants, du comité d’audit et du conseil d’administration, sur la base des travaux de l’audit interne et externe

– La réglementation internationale devient de plus en plus contraignante

En conclusionEn conclusion

AUDIT ET SECURITE DES SYSTEMES D'INFORMATION

May 18, 20057

Loi sur la Sécurité Financière etSarbanes Oxley Act

Loi sur la Sécurité Financière etSarbanes Oxley Act

May 18, 20058

Cadre réglementaire (1/2)Cadre réglementaire (1/2)

ResponsablesDG et DAF

ResponsablePrésident du Comité d’Administration ou du Conseil de

Surveillance

Niveau d’assurance donné par l’auditeur :Assurance positive

Niveau d’assurance donné par le CAC :Observations sur le rapport du Président

Article 117 et 122 (L225-37 et L225-68 du code de commerce)

Obligation d’établir un rapport dans lequel celui-ci « rend compte » des procédures de contrôle interne

mises en place par la sociétéPas de contenu normalisé

Rapport joint au rapport de gestionsur les comptes sociaux et/ou les comptes consolidés

Article 120 (L225-235 du code de commerce)

Obligation d’établir un rapport sur la partie du rapport du Président couvrant les procédures de

contrôle interne relatives à l’élaboration et au traitement de l’information comptable et financière

Rapport sur la sincérité des informations contenues

Rapport joint au rapport général ou au rapport sur les comptes consolidés (donc publicité au greffe)

Diligences duCommissaire Aux Comptes

Section 404« Management assessment of internal

controls »Obligation d’établir un rapport de contrôle

interne pour les rapports annuels La société doit documenter et formaliser cette

structure et ces procédures.

Obligation de fournir une attestation sur le rapport émis par les dirigeants, sur la base

du dossier formalisé par l’entreprise et de diligences spécifiques.

Diligences de l’entreprise

Sarbanes-OxleyLSF

May 18, 20059

Cadre réglementaire (2/2)Cadre réglementaire (2/2)

SECPCAOBAMF, HCCC, MEDEF, CNCC, IFACI…Groupes de place /

régulateurs

FinancierFinancier

OpérationnelConformité aux lois

Domaines

Exercice comptable clos à partir du :

•15 juillet 2005 pour les « accelerated filers »

•15 juillet 2006 pour les « all otherissuers » => sociétés étrangères

Exercice comptable ouvertà partir du 1er janvier 2003Date d’application

SEC registrants

=> les sociétés cotées

Toutes les SAayant leur siège social en France

Toutes les personnes faisant appel public à l’épargne

Cibles

Référentiel COSOAucune définition dans la loi

Absence de référentiel normatif en France

Référentiel CI

Sarbanes-OxleyLSF

May 18, 200510

Un périmètre différentUn périmètre différent

üConformité aux lois

üRespecter ou Justifier

üAppliquerPhilosophie

üPrésident du Conseil d’Administration

üManagementResponsabilité principale

üOpérationnel

üüFinancier

üüConseil d’administrationChamp d’application

FranceUSA

May 18, 200511

Mapping suivant le référentieldu COSOMapping suivant le référentieldu COSO

Au plus haut niveau: intégrité, éthique, style de management, délégation de pouvoir, politique RH, stratégie de sécurité,…

Qualité de la communication entre les parties prenantes aux activités de contrôle

conformité

Opérations

Informatio

n

financière

GrOUPe

Entités

Environnement de contrôle

Évaluation des risques

Activités de contrôle

Information & communication

Pilotage

L’amélioration continue du processus de contrôle interne

Le fonctionnement effectif des procédures et contrôles sensés prévenir ou détecter les erreurs

LSF SOA

La cartographie des risques et l’adéquation des contrôles

AUDIT ET SECURITE DES SYSTEMES D'INFORMATION

May 18, 200512

Bale IIBale II

May 18, 200513

La réforme Bale IILa structureLa réforme Bale IILa structure

Renouvellement des exigences minimales de fonds propresafin de mieux tenir compte de l'ensemble des risques bancaires

et de leur réalité économiquePILIER 1

Renforcement de la surveillance prudentielle par les superviseurs nationaux PILIER 2

Utilisation de la communication d'informations financières afin d'améliorer la discipline de marché PILIER 3

May 18, 200514

Le comité de Bâle et le risque opérationnelLe comité de Bâle et le risque opérationnel

Comité de Bâle

• Prise en compte du risque opérationnelØ Une définition du risque opérationnel et d’une typologie de risqueØ Une approche par ligne métier

McDonough

• Rien sur le risqueopérationnel

Ratio Cooke

Ø Une méthode quantitativeØ Une réduction des risques prise en compte : externalisation, assurance, environnement de contrôle...

May 18, 200515

Trois approches du risqueopérationnel

Trois approches du risqueopérationnel

Fraude externe

Fraude interne

Méthodes salariales et sécurité des locaux

Pratiques clients, produits,services

Dommages causés surdes actifs

Interruption d’activité et pannes de système

Management des processusd'exécution du service

Risques

Activités de marché

Finance d’entreprise

Banque de détail

Banque commerciale

Banque de flux

Services financiers

Gestion d’actifs

Activités de courtage

Ligne d’activitéDefinition

« Risque de pertes résultant de procédures

internes inadéquates ou défaillantes,

du personnel, des systèmes ou

d'événements extérieurs »

PILIER 1

May 18, 200516

Qu’est-ce que le risque opérationnel ?

Systèmes

§Fraude des employés

§Activités non autorisées

§Mouvements sociaux

§Absence / manque de personnel compétent

§Risque politique / souverain

§Catastrophes naturelles

§Activités criminelles

§Maîtrise des processus clés

§Conformité des opérations

§Management du changement

Evénements extérieurs

Processus

Risque opérationnel

§Investissements technologiques

§Développement et mise en oeuvre de systèmes.

§Pannes / défaillances des systèmes

§Sécurité, capacité des systèmes

Personnes

AUDIT ET SECURITE DES SYSTEMES D'INFORMATION

May 18, 200517

Constats sur les contrôlesConstats sur les contrôles

May 18, 200518

Cas type : contrôle interne et système d’informationCas type : contrôle interne et système d’information

Des éléments incontournables :

- Environnement et fonction informatique

- Processus informatisés et applications informatiques

- Projet « Système d’information »

Contraintes réglementaires

Processus / Applications informatiques

Données Commande Livraison Encaissement

SécurisationSécurisation

Facturation

Règles de gestion

Comptabilisation

SécurisationSécurisation

Environnement général informatique

May 18, 200519

Cas type : Analyse du processus achatCas type : Analyse du processus achatProcessus AchatsProcessus Achats

Paiements fournisseursPaiements

fournisseurs

Gestion des activités Achat(Contrat, offres,

évaluation fournisseurs)

Gestion des activités Achat(Contrat, offres,

évaluation fournisseurs)

Données de base(Articles,

Fournisseurs, Fiches info-achat)

Données de base(Articles,

Fournisseurs, Fiches info-achat)

Contraintes locales légales

(TVA,…)

Contraintes locales légales

(TVA,…)

Réception des

marchandises

Réception des

marchandisesVérification

factureVérification

factureCommande

d’achatCommande

d’achatDemande d’achat

Demande d’achat

Comptabilité fournisseursComptabilité fournisseurs

Sécurisation des données et des traitementsSécurisation des données et des traitements

11

2233 44 55 66 77 88 99

1010

Légende :Niveau de risque faible

Niveau de risque moyen

Niveau de risque élevé

Légende :Niveau de risque faible

Niveau de risque moyen

Niveau de risque élevé

Gestion des achats

Gestion des achats

Gestion de stocksGestion de stocks ComptabilitéFournisseur

ComptabilitéFournisseurAPPLICATIONS

May 18, 200520

• Sécurité logique : gestion des accès et des profils

• Procédures de reprise de données• Back up et plan de continuité

• Risque sur la sécurité et l’intégrité des données

Sécurisation des données et des

traitements

• Contrôle des autorisations liées au paiement

• Risque de paiement non-autorisé

• Risque de double-paiement

Paiements fournisseurs

• Risque de non-conformité avec les réglementations en vigueur

• Risque de doublons • Risque liée à la confidentialité

• Contrôle du paramétrage de la TVA• Contrôle des éditions de la documentation légale (DEB, Fiscal, …)

Contraintes légales locales

• Contrôle sur les doublons• Gestion des habilitationsDonnées de base

11

22

99

1010

Cas type : Les constatsCas type : Les constats

May 18, 200521

Mauvais paramétrage des droits d'accès 84%

Mauvaise gestion des profils 60%

Mauvaise ségrégation des tâches 95%

Source interne Ernst &Young.

Quelques constats sur la gestion des identitésQuelques constats sur la gestion des identités

22

Constats plus généraux.

• Inadéquation des solutions informatiques,• Mauvais paramétrage des règles de gestion,• Non respect du principe de séparation des tâches,• Indisponibilité des systèmes, • Rupture de la piste d’audit,• Non respect des contraintes réglementaires,• …

Stratégie de l’entreprise

Stratégie de l’entreprise

Enjeux métiersEnjeux métiers

Processus opérationnels

Processus opérationnels

AUDIT ET SECURITE DES SYSTEMES D'INFORMATION

May 18, 200523

Merci de votre attention

Thierry Jardintel: 01 46 93 68 52mèl: thierry.jardin@fr.ey.com

Merci de votre attention

Thierry Jardintel: 01 46 93 68 52mèl: thierry.jardin@fr.ey.com