3.2. Les contrôles généraux
informatiquess testés
Les contrôles généraux informatiquess sont
des règles et procédures utilisées pour assurer le
fonctionnement efficace des applications, des entrepôts de données
et des générateurs de rapports. Ils permettent de s'assurer du
fonctionnement efficace des contrôles automatisés
intégrés aux applications, de l'intégrité des
rapports générés par les applications ou les
rédacteurs de rapports et de la sécurité des
données hébergées dans les applications ou les
entrepôts de données.
Ils incluent donc des contrôles dans trois domaines : la
sécurité d'accès, la gestion des changements et la
protection des données.
Les contrôles généraux
informatiquess sur la sécurité d'accès
Les contrôles généraux informatiquess
liés à la sécurité d'accès comprennent des
contrôles d'accès logiques pour empêcher ou détecter
l'utilisation non autorisée et les modifications de données, de
systèmes ou de programmes, ainsi que l'établissement d'une
séparation des tâches informatisées. Le risque que ces
contrôles doivent couvrir est celui qu'un utilisateur ait des
accès à des systèmes ou applications dont il n'a pas
normalement l'usage pour son activité courante qui puisse lui donner la
possibilité de modifier volontairement ou involontairement une
donnée financière ou d'annihiler les effets des contrôles
internes et conduire à des anomalies dans les états
financiers.
Afin de couvrir ce risque, le commissaire aux comptes doit
veiller à ce que l'expert doit s'assurer à minima de
l'existence et de l'efficacité opérationnelle des
procédures de contrôle suivantes :
- une politique de séparation des rôles et des
responsabilités qui entraînent une séparation des
tâches entre les utilisateurs des applications mises en place par la
direction ;
- des procédures d'authentification avant l'utilisation
du système informatique accompagnées de mesures pour maintenir
l'efficacité des mécanismes d'authentification et d'accès
(par exemple, des changements de mot de passe réguliers) ;
- des procédures de demande, d'établissement, de
délivrance, de suspension et de fermeture des comptes d'utilisateurs
;et
- un processus de revue et d'approbation périodique des
droits d'accès.
Les contrôles généraux sur la
protection des données
Les contrôles généraux informatiquess
portant sur la protection des données comprennent des contrôles
visant à assurer l'intégrité de l'information telle
qu'elle est traitée, stockée ou communiquée par les
éléments du système informatique. Ils doivent fournir une
assurance raisonnable que les données enregistrées,
traitées et reportées restent complètes, exactes et
valides. Les risques attachés aux informations financières
à couvrir sont :
- le risque d'une incapacité à
récupérer les données financières critiques suite
à une catastrophe ;
- le risque de manque d'intégrité des
données ou de perte de données stratégiques ; et
- le risque d'une modification malveillante ou accidentelle de
données financières sensibles.
Afin de couvrir ces risques, l'expert doit s'assurer de
l'existence et de l'efficacité opérationnelle des
procédures de contrôle suivantes :
- des tests périodiques de l'efficacité du
processus de restauration des données et de la qualité des
supports de sauvegarde ;
- des sauvegardes cycliques des données et des
programmes afin d'assurer une récupération rapide et
précise des données ;
- une politique de protection des informations sensibles,
à la fois informatiquement et physiquement contre tout accès ou
modification non autorisé ; et
- un contrôle des accès au centre de
données par une identification et une authentification
appropriées et une revue périodique des accès.
Les contrôles généraux
informatiquess sur la gestion des changements
Les contrôles généraux informatiquess
portant sur les modifications du système comprennent les contrôles
relatifs aux changements, à l'acquisition, la modification ou à
la maintenance des programmes, des logiciels ou
applications. Les principaux risques qu'ils cherchent à
couvrir sont :
- l'existence de modifications imprévues ou
effectuées dans l'urgence qui pourraient produire des écritures
erronées dans les états financiers,
- la transmission de rapports générés par
le système utilisés pour effectuer un contrôle interne qui
ne seraient pas précis ou complets.
Afin de couvrir ces risques, l'expert doit s'assurer de
l'existence et de l'efficacité opérationnelle des
procédures de contrôle suivantes :
- la soumission à des procédures formelles de
contrôle des modifications des demandes de changement de système
et d'infrastructure qui incluent une procédure d'approbation, des essais
avant la mise en production et des contrôles périodiques de suivi
post mise en production;
- la limitation du nombre de personnes pouvant approuver la
mise en production de changements ; et
- L'annexe 10 donne des exemples de contrôles
généraux informatiquess pertinents devant être mis en place
dans une ETT
l'existence de contrôles périodiques de
l'exactitude et de l'exhaustivité des rapports
générés par le système.
| 
