FINANCES PERSONNELLES
+ L’achat d’une propriété aux États-Unis
+ Inquiétudes post-emploi
+ Plus
PME
+ En mode survie
+ 10 services valeur ajoutée
+ Marchés étrangers
+ La juste evaluation
+ Faire croître ma PME
+ Vos actifs à la rescousse
+ Plus
IFRS et ISA
+ Sept normes côte à côte
+ Normes canadiennes d'audit
+ Pour réussir le passage obligé
+ Plus
TECHNOLOGIES
+ Systèmes CRM
+ Gestion de performance
+ Enquête 2011 sur les logiciels
+ Plus
LIEU DE TRAVAIL
+ Profession plurielle
+ La RSE : vraiment gagnante
+ Santé et productivité
+ Prévention de la fraude
+ CV chronologique gagnant
+ Gare aux fausses notes
+ Générations et objectifs
+ Les primes gardent la cote
+ Plus
ÉTUDIANTS CA
+ Certifié entreprise
+ Destination: CA
EXPERTISE
+ Les prix de transfert
+ Plus
+ Informations et contacts
RSS
+ Recevez les nouvelles qui vous intéressent
NOUVELLES EN LIGNE
+ Notre cyberlettre mensuelle
L'efficacité des contrôles d'application
Par Chris Anderson
Illustration : Baiba Black
La cohérence, la fiabilité et l’intégrité sont au cœur de la réussite des contrôles d’application dans un environnement sûr
Les gestionnaires des finances et des technologies de l’information sont aux prises avec des normes et des indications contradictoires et complexes sur la façon d’évaluer l’efficacité de la conception et du fonctionnement des contrôles d’application. Un contrôle d’application, comme une limite applicable au traitement des opérations par un utilisateur, doit être mis en œuvre dans un cadre informatique (réseau, serveurs et systèmes d'exploitation) sécurisé et fiable, critères auquel ce contrôle doit répondre pour être jugé efficace.
Les opinions et les indications divergent quant à savoir si des contrôles informatiques généraux (CIG) bien conçus et efficaces sont un préalable à des contrôles d’application dignes de confiance et fournissant des contrôles internes clés à l’égard de l’information financière. Les dirigeants d’entreprise, les CA, les membres des comités de vérification et les professionnels de la sécurité et du contrôle des TI doivent discuter des exigences minimales des CIG permettant de conclure qu’un contrôle a été bien conçu et mis en œuvre.
Un problème conceptuel et pratique surgit lorsque des contrôles d’application en apparence solides sont mis en œuvre dans un environnement informatique où les contrôles généraux sont faibles. Cela survient, par exemple, lorsqu’un progiciel comptable est installé sur un serveur lié à un réseau local, mais que les règles de mots de passe du réseau local, le système d’exploitation serveur et le système de gestion de base de données manquent de rigueur, que les procédures de connexion et d’examen des activités non autorisées sont sommaires ou inexistantes et que trop d’utilisateurs détiennent des privilèges d’administration du réseau local et du serveur. Il arrive que ces situations se produisent dans les PME et dans les grandes entreprises.
L’importance des CIG
On trouve, d’une part, le point de vue énoncé dans le FEI Internal Control Evaluation Framework publié en décembre 2004 et incorporé au document Staff Questions and Answers : Auditing Internal Control over Financial Reporting, publié par le PCAOB le 22 novembre 2004. La question 35 de ce document indique que les contrôles informatiques généraux, par leur nature, n’ont pas d’incidence directe sur les états financiers de l’entreprise. D'autre part, on trouve aussi le point de vue suivant :
- Le paragraphe .054 du chapitre 5141 du Manuel de l’ICCA dit : «L’acquisition d’une compréhension du contrôle interne implique l’évaluation de la conception de contrôles particuliers et la question de savoir s’ils ont été mis en œuvre. Pour évaluer la conception d’un contrôle, il faut se demander si le contrôle, considéré individuellement ou en association avec d’autres, permet de prévenir ou de détecter et corriger efficacement les inexactitudes importantes.»
- Le paragraphe .060 du chapitre 5141 du Manuel de l’ICCA note que les TI présentent certains risques pour le contrôle interne d’une entité, comme la dépendance à l’égard de systèmes ou programmes ne traitant pas correctement les données et/ou traitant des données inexactes, l’accès non autorisé aux données pouvant aboutir à la destruction de données ou à des modifications abusives de données (y compris l'enregistrement d’opérations non autorisées ou factices ou l’enregistrement erroné d’opérations et, surtout, des modifications non autorisées de systèmes ou programmes ou des modifications nécessaires de systèmes ou programmes non effectuées).
- L’AU Section 319, traitant de l’examen du contrôle interne d’une vérification d’états financiers, indique aussi que les risques liés aux CIG doivent être pris en considération dans l’évaluation de l’efficacité de la conception des contrôles d’application. Il conclut que la nature et les caractéristiques de l’utilisation des TI dans le système d’information d’une entité ont une incidence sur le contrôle interne de celle-ci.
- Les auteurs de l’ouvrage de l’ICCA intitulé La gestion du contrôle de l’information (3e édition) sont eux aussi en désaccord avec l’approche proposée par le groupe de travail dans le cadre d’évaluation : «Pour que les dirigeants et les vérificateurs puissent véritablement s’appuyer sur des contrôles entièrement automatisés ou des contrôles assistés par ordinateur, il faut d’abord que des contrôles généraux liés à l’informatique aient été mis en œuvre et qu’ils fonctionnent de manière cohérente et fiable. Si ce n’est pas le cas, on n'aura aucune assurance que les contrôles entièrement automatisés et les contrôles assistés par ordinateur permettent d’atteindre le but visé, car ils ne compensent pas des contrôles généraux liés à l'informatique peu rigoureux. Par conséquent, quand on n’a pas de contrôles généraux suffisamment efficaces, on doit recourir davantage aux contrôles manuels qui, eux, ne sont pas tributaires des premiers.»
- En juillet 2004, le Comité consultatif sur les technologies de l’information de l’ICCA a publié un dossier d'information intitulé Évaluation du contrôle des TI dans le contexte des attestations du chef de la direction et du chef des finances dans lequel il est indiqué ce qui suit : «Les contrôles des TI sont fondamentaux pour la fiabilité et pour l’intégrité de l’information traitée par les systèmes automatisés dont la plupart des organisations sont tributaires pour le traitement de leurs opérations commerciales et financières, et le fait de négliger ou de minimiser leur importance engendre un risque significatif [...] L’efficacité des autres contrôles, en particulier des contrôles manuels, découle elle aussi, le plus souvent, de l’efficacité des contrôles des TI.»
Il ne faut surtout pas supposer qu’un contrôle d’application est en soi exact ou intègre (les données recueillies depuis 50 ans sur les bogues et erreurs humaines nous indiquent que, dans le meilleur des cas, on compte un minimum de trois erreurs par tranche de 1 000 lignes de code). De plus, la cohérence inhérente du traitement informatique ne doit pas être tenue pour acquise car cela suppose que les contrôles d’application doivent être mis en œuvre dans un environnement de traitement bien géré et non hostile.
On doit éviter de s’appuyer sur de telles hypothèses lorsqu’on essaie d’obtenir un niveau d’assurance élevé à l'égard de l’intégrité d’un contrôle d’application pour les états financiers. Le point de vue selon lequel les contrôles des TI sont forcément plus cohérents que le comportement humain n’est pas nécessairement vrai. Le risque inhérent d’erreur humaine est toujours présent, pas dans le traitement manuel quotidien des opérations, mais dans le code qui traite automatiquement les opérations et, éventuellement, dans le fonctionnement du système informatique. Le caractère inégal du comportement humain ne fait que se déplacer du traitement manuel des opérations aux processus de conception, de codage et d’exploitation qui automatisent les étapes et intègrent le code de l’application à une infrastructure technologique suffisante pour lui prêter vie. Il existe de solides arguments pour faire valoir que le code d’application n’a en soi aucune vie propre; il ne représente en effet que quelques lignes de caractères figurant sur une page (code source) ou une chaîne de zéros et de uns (code exécutable).
Conception, mise en œuvre et environnement sûr
Pour qu’une application assurant le contrôle interne, par exemple une liste des anomalies, soit bien conçue, celle-ci doit être mise en œuvre adéquatement. Mais où doit-on mettre en œuvre le code? Dans le cas d’un système informatique type, comprenant un système d’exploitation, un système de gestion de base de données et une forme ou une autre de connexion réseau, il ne faut pas tenir pour acquise la cohérence inhérente du traitement informatique à terme, à moins que le contrôle d’application se trouve dans un environnement de traitement bien géré et non hostile. L’hypothèse du traitement adéquat et cohérent d’une application de TI n’est valide que si les conditions suivantes sont réunies :
- des CIG assurent que la logique du code d’application est intègre de par des processus adéquats de conception, de codage et d’essai;
- la sécurité du code d’application est assurée par des contrôles d’exploitation efficaces des modifications faites et par l’accès aux données que le code manipule pour produire le résultat escompté.
Il faut avoir confiance dans les systèmes d’application et avoir l’assurance que l’infrastructure de TI protégera les données et les programmes des modifications non autorisées et non vérifiées. Les contrôles automatisés doivent être mis en œuvre dans un endroit sûr. Si une évaluation adéquate de l’efficacité de la conception du contrôle interne nécessite que ce contrôle visé soit bien conçu sur papier et aussi mis en œuvre, il le sera forcément dans un environnement informatique. Les contrôles d’application ne fonctionnent pas en vase clos. Un système d’exploitation doit traduire les instructions des applications en instructions machine, effectuer des opérations arithmétiques et logiques et réacheminer le résultat à l’application. Le code d’application ne fonctionne pas non plus en vase clos. Un endroit sûr est nécessaire pour que le système d’application réponde aux besoins des utilisateurs, tous les éléments étant réunis au moyen d’une architecture de contrôle.
Comment décomposer le problème
Le diagramme de la page 39 a été préparé par l’IT Governance Institute (www.ITGI.org) dans un document intitulé IT Control Objectives for Sarbanes-Oxley, qui donne des indications sur la façon de planifier et de délimiter l'évaluation des contrôles informatiques généraux dans un cadre d’information financière.
Le diagramme présente une perspective en couches du processus d’information financière pour aider les membres de la direction et les vérificateurs à décomposer le traitement de l’information pour produire les rapports financiers. Elle dissocie technologie et processus pour en faciliter la compréhension et l’évaluation.
Ce diagramme présente les différentes couches nécessaires aux interactions entrant dans la production de rapports financiers intègres. La direction et les vérificateurs externes peuvent documenter et évaluer chaque couche du diagramme et réunir les résultats dans une sorte d’approche horizontale. Ils peuvent aussi voir le système d’information comme une tranche verticale de chacune de ces couches.
Les données sont alors saisies dans un système connu qui comprend l’application et ses systèmes sous-jacents de gestion de base de données et d’exploitation. Les composantes pertinentes du réseau sont évaluées globalement pour déterminer si le système fonctionne correctement et si les contrôles d’application pertinents ont été conçus efficacement. Cette approche verticale permet d’analyser le système d’information et le contrôle interne qui s’y rattache.
Qu’il s’agisse de l’approche verticale ou horizontale, toutes les applications importantes pour l’information financière ou à toute autre fin et l’infrastructure sous-jacente devront être évaluées pour comprendre les risques de non-contrôle.
Toutes les applications nécessitent une infrastructure de TI fiable (systèmes d’exploitation, systèmes de gestion de base de données, réseaux) pour servir les fins auxquelles elles sont destinées et prêter vie aux lignes de code. L’infrastructure générale (perspective horizontale) ou propre à une application (perspective verticale) permet aux applications de fonctionner de façon sûre et fiable. Cela exige l’authentification des utilisateurs, la gestion des contrôles d’accès ou privilèges et le contrôle des modifications apportées aux systèmes. Les organisations qui continuent de mettre au point, d’acquérir et de mettre en œuvre de nouveaux systèmes d'application pour répondre à l’évolution des besoins des utilisateurs doivent disposer d’un ensemble évolué de processus et de technologies d’infrastructure de TI. Ceux-ci assurent un environnement de traitement sûr pour toutes les applications. Ils dotent le chef de l’information et l’organisation d’un moyen efficient et efficace d'établir des systèmes d’application fiables, répondant aux exigences de la direction et des autorités de réglementation.
Du point de vue du vérificateur, on ne doit pas évaluer les contrôles d’application sans s’assurer au préalable que les CIG importants, portant notamment sur le mode des changements effectués et les accès dont disposent les utilisateurs et le personnel des TI, sont exempts de faiblesses importantes et fonctionnent efficacement.
Chris Anderson, CA (Nouvelle-Zélande), CISA, CMC, CISSP, est associé chez Grant Thornton Consulting à Toronto.
Yves Godbout, CA•TI, CA•CISA, est directeur, service des TI, au Bureau du vérificateur général du Canada. Il préside l'Alliance pour l’excellence en technologies de l’information de l’ICCA et dirige cette rubrique.
