Par Andrée Lavigne et Caroline Émond
UN GROUPE D'ÉTUDE EXAMINE LES PROBLÈMES AUXQUELS LE VÉRIFICATEUR EST CONFRONTÉ LORSQU'IL RECUEILLE DE L'INFORMATION ÉLECTRONIQUE À TITRE DE PREUVE
Le recours à la technologie et aux systèmes informatisés pour recueillir, traiter, transmettre, enregistrer et présenter l'information n'est pas nouveau, mais il prend aujourd'hui une nouvelle dimension. Alors que l'automatisation touchait certaines parties du traitement de l'information, on assiste maintenant au développement et à la convergence des technologies de l'information (TI) et à l'intégration des systèmes d'information (SI) permettant le flux transparent de l'information. Dans un environnement de SI intégrés, l'information est échangée de façon dématérialisée, sans contrainte physique de distance ou de frontières, et transmise d'une application à une autre, d'une entité à une autre, d'un pays à un autre, par l'entremise de réseaux électroniques.
La dématérialisation de l'information est une réalité omniprésente et le vérificateur est confronté à un environnement où les informations qu'il doit recueillir à titre d'éléments probants existent sous forme électronique. Mais qu'entend-on par éléments probants électroniques? Quelles sont les caractéristiques de ces preuves et en quoi diffèrent-elles des éléments probants traditionnels? Quelles sont les incidences liées à leur utilisation, notamment sur la stratégie de vérification? Quels en sont les risques et quels sont les contrôles qui peuvent contribuer à réduire ces risques? Voilà certaines des questions sur lesquelles un groupe d'étude de l'ICCA, présidé par Caroline Émond, CA, se penche actuellement. À la demande du Conseil des normes de certification et du Comité consultatif sur les technologies de l'information de l'ICCA, le groupe d'étude prépare un rapport de recherche sur les questions relatives aux éléments probants électroniques.
Les questions soulevées par les éléments probants électroniques touchent d'abord la fiabilité des éléments probants, mais aussi la compétence professionnelle, la connaissance des activités de l'entité, la stratégie de vérification, la détection des inexactitudes et des illégalités ainsi que la documentation des éléments probants. Le rapport de recherche étudiera ces questions et proposera des recommandations visant à ce que les normes de certification fournissent des directives à ce sujet. Les risques engendrés par les éléments probants électroniques, les contrôles et les technologies qui contribuent à réduire ces risques, ainsi que les questions juridiques posées par le document et la signature électroniques y seront examinés. Les paragraphes qui suivent abordent brièvement quelques-unes de ces questions.
Les éléments probants électroniques sont les informations créées, transmises, traitées, enregistrées et/ou conservées de façon électronique sur lesquelles le vérificateur s'appuie pour étayer son rapport. De plus, elles ne sont accessibles qu'à l'aide d'équipement et de technologies pertinentes, comme un ordinateur, une imprimante, un numériseur, un capteur ou un média magnétique. La forme des informations électroniques peut varier; par exemple, il peut s'agir de textes, d'images, de vidéos ou d'enregistrements audio, etc. Les éléments probants électroniques incluent les comptes, notamment les journaux et le grand livre, les documents sources et autres pièces justificatives comme les contrats électroniques, les documents électroniques relatifs à la facturation, à l'approvisionnement et au paiement (souvent électroniques eux aussi), les confirmations électroniques et toutes autres données ou informations sous forme électronique utiles à la vérification.
De par leurs attributs, les éléments probants électroniques diffèrent des éléments probants traditionnels à plusieurs égards. En effet, les éléments probants électroniques comportent des informations dématérialisées, sous forme numérique, dont la structure logique du format est indépendante de l'information. De plus, les données renseignant sur l'origine, la destination et les dates d'envoi et de réception des informations (les métadonnées) ne font pas partie intégrante du document (ou message ou autre format de l'information) électronique. Le Tableau 1 résume les distinctions entre les éléments probants papier et les éléments probants électroniques.
|
Tableau 1
Distinctions entre les éléments probants papier et les éléments probants électroniques |
| Éléments probants papier |
Éléments probants électroniques |
Source
La preuve de l'origine est facile à établir à partir du document papier.
|
La preuve de l'origine est difficile à établir à l'examen de l'information électronique. Elle s'établit à l'aide de contrôles et de techniques de sécurité permettant d'assurer l'authentification et la non-répudiation. |
Altération
Les altérations laissent des traces qui peuvent habituellement être décelées à l'examen du document papier. |
Il est difficile sinon impossible de déceler les altérations à l'examen de l'information électronique. L'intégrité de l'information s'établit à l'aide de contrôles et de techniques de sécurité fiables. |
Approbation
La preuve de l'approbation peut s'établir par l'inspection du document papier. |
La preuve de l'approbation est difficile à établir à partir de l'inspection de l'information électronique. Elle s'établit à l'aide de contrôles et de techniques de sécurité. |
Intégralité
Le même document contient habituellement l'ensemble des informations pertinentes à une opération. |
Les informations pertinentes à une opération sont souvent contenues dans plusieurs enregistrements ou fichiers de données. |
Lecture
La lecture ne requiert aucun équipement. |
La lecture requiert souvent l'usage de technologies et d'équipements. |
Format
Le format fait partie intégrante du document. |
Le format est distinct des données et peut être modifié. |
Disponibilité et accessibilité
La disponibilité et l'accessibilité ne constituent habituellement pas une contrainte pour la vérification. |
La piste de vérification des informations électroniques peut ne pas être disponible au moment de la vérification, et il peut être plus difficile d'accéder aux données. |
Signature
L'apposition et l'examen d'une signature manuscrite est simple. |
L'émission d'une signature électronique fiable et la vérification d'une telle signature nécessitent l'usage de technologies appropriées. |
Risques de vérification
Plus les SI sont intégrés, et plus les opérations commerciales sont conclues et documentées uniquement par voie électronique. C'est donc dans un environnement de SI intégrés, à l'interne et/ou à l'externe, par exemple un environnement de systèmes ERP, de commerce électronique ou d'affaires électroniques que le vérificateur est le plus susceptible d'être confronté à des éléments probants électroniques. Les risques particuliers associés à ces environnements comprennent : la dépendance de l'entité à ses SI, à ceux de ses partenaires commerciaux et des tiers fournisseurs de services, ainsi que les risques de défaillance qui s'ensuivent à chacun de ces niveaux; la perte d'intégrité, la non-authentification, la répudiation et le non-respect de la confidentialité des données; la perte d'une piste de vérification adéquate; et les incertitudes juridiques.
Fiabilité des éléments probants électroniques
Afin d'évaluer le caractère suffisant et adéquat des éléments probants électroniques recueillis pour étayer le rapport du vérificateur, le vérificateur doit considérer les risques particuliers que comportent les informations (documentaires) dématérialisées. Le vérificateur ne peut évaluer ces risques en se fiant uniquement à l'examen de la preuve documentaire, comme il peut habituellement le faire dans le cas d'un document papier. Une sortie imprimée d'informations électroniques, ou la lecture à l'écran de ces informations, ne constitue qu'un format possible des informations et ne permet pas d'en établir la source, l'autorisation, l'intégrité, ou l'intégralité. Pour ce faire, le vérificateur doit plutôt s'assurer que les contrôles et les technologies mis en place pour créer, traiter, transmettre et conserver les informations électroniques sont suffisants pour en assurer la fiabilité. Le Tableau 2 présente des critères qui devraient être considérés pour évaluer la fiabilité d'une information électronique à titre d'élément probant1. L'importance attachée à chacun de ces critères dans l'évaluation de la fiabilité d'une information électronique dépend de sa nature, de sa source et de l'usage que l'on prévoit en faire aux fins de la vérification. En plus d'établir la fiabilité des éléments probants, le vérificateur est intéressé par la disponibilité des éléments probants électroniques pour la vérification. Par ailleurs, la confidentialité des données intéresse le vérificateur dans la mesure où un bris de confidentialité représente un risque d'affaires pouvant avoir des répercussions sur la situation financière de l'entité.
|
Tableau 2 – Critères de fiabilité des informations électroniques recueillies à titre d'éléments probants |
| Authentification |
Possibilité de confirmer l'identité de la personne ou de l'entité qui a initié l'information. |
| Intégrité |
Caractère complet, exact, actuel et valide de l'information. L'intégrité est l'assurance que l'information a été validée et qu'elle n'a subi aucune altération ou destruction volontaire ou accidentelle tout au long de son cycle de vie, soit à la création, au traitement, à la transmission, à la conservation et/ou à l'archivage. |
| Autorisation |
Les informations ont été préparées, traitées, modifiées, corrigées, expédiées, reçues et lues par des personnes ayant le droit ou la responsabilité d'accomplir ces tâches. |
|
Non-répudiation |
Une partie, une personne ou une entité, ayant émis ou reçu une information, ne peut nier avoir participé à cet échange et ne peut nier le contenu de l'information. On parle de non-répudiation de l'origine, de non-répudiation de la réception ou de non-répudiation du contenu, selon qu'il existe une preuve irréfutable quant à l'origine, à la réception ou au contenu d'une information électronique. |
Stratégie de vérification
La fiabilité des informations électroniques est tributaire de la fiabilité des SI et des technologies dont elles émanent. Dans les cas où des informations importantes à l'appui d'une ou plusieurs assertions des états financiers sont recueillies, traitées, enregistrées et/ou conservées sous une forme électronique, il peut être impossible de réduire le risque de non-détection à un niveau acceptable pour une ou plusieurs assertions en se fondant uniquement sur l'application de procédés de corroboration. En effet, dans ces situations, le risque de ne pouvoir détecter des inexactitudes dans les informations électroniques recueillies à titre d'éléments probants est alors trop important. Afin de réunir des éléments probants suffisants et adéquats, il sera alors vraisemblablement nécessaire d'opter pour une stratégie mixte et d'effectuer des tests des contrôles afin de réduire le risque de non-contrôle.
Signature électronique
La signature des documents prend une nouvelle dimension dans un contexte électronique et constitue un des éléments particuliers sur lequel on doit se pencher. L'objectif premier d'une signature est d'être un symbole permettant d'indiquer l'intention du signataire et d'authentifier un document. La signature manuscrite sur un document papier est apposée par une personne identifiable et sert principalement à authentifier l'intention associée au document signé. Dans un monde virtuel, il est impossible d'identifier visuellement l'auteur d'une signature. La signature doit donc non seulement permettre de confirmer le consentement du signataire, mais également servir à l'identifier. Par ailleurs, la signature manuscrite est apposée sur un support papier et elle est pour ainsi dire fusionnée avec lui. Puisque les informations dématérialisées migrent aisément d'un support à un autre, la signature et le document électroniques sont indépendants. Il faut donc être en mesure de lier la signature à un document particulier et de démontrer l'intégrité du document. Ces objectifs visent également à réduire l'incertitude juridique concernant l'admissibilité de la signature électronique. Le Tableau 3 résume les critères que la signature électronique devrait satisfaire pour en assurer la fiabilité.
| |
|
Tableau 3 – Critères de fiabilité d'une signature électronique |
| |
| |
|
|
| |
Authentification |
- identification du signataire
- signature unique à l'utilisateur
- authentification du document signé
|
| |
Autorisation |
- confirmation du consentement; le mécanisme permettant d'incorporer la signature est sous la seule responsabilité du signataire
|
| |
Intégrité |
- confirmation de l'intégrité du document signé
|
| |
Non-répudiation |
- confirmation du lien entre le document et la signature
- maintien du lien entre le document et le signataire depuis la signature
- au besoin, confirmation de la provenance et de la destination du document
|
Types de signatures électroniques
Le terme «signature électronique» est un générique qui désigne une signature effectuée par un moyen électronique et représentée de façon binaire, mais qui est neutre quant à la technologie employée. Une signature électronique peut prendre différentes formes et être créée de diverses façons. Il peut s'agir :
- d'une signature sans aucun contrôle, par exemple un nom simplement tapé à la fin d'un document;
- d'une signature créée à l'aide de techniques de sécurité non cryptographiques, par exemple en ayant recours à un mot de passe, un code secret, un numéro d'identification personnel, une carte à puce, une identification biométrique ou une signature numérisée (digitized signature);
- d'une signature créée à l'aide de techniques de sécurité cryptographiques, par exemple en ayant recours à la cryptographie symétrique ou à clé secrète, à la cryptographie asymétrique ou à clé publique ou à la signature numérique (digital signature).
Pour atteindre les objectifs spécifiés au Tableau 3, la signature électronique doit être pourvue des contrôles et des technologies pertinentes. Les techniques de sécurité non cryptographiques, essentiellement fondées sur l'usage d'un secret partagé, contribuent surtout à contrôler l'authentification et l'autorisation de la signature et du document électroniques. Ces techniques de sécurité comportent cependant des limitations importantes. L'authentification par le recours à une technique fondée sur un secret partagé présume que les parties ont déjà échangé des informations afin de convenir de ce secret. De plus, un secret n'est efficace que s'il n'est pas oublié, divulgué ou découvert. En outre, les techniques de sécurité non cryptographiques n'offrent pas de sécurité concernant la non-répudiation, l'intégrité ou la confidentialité des documents et des signatures électroniques. Les techniques de sécurité cryptographiques, selon l'usage qui en est fait, permettent d'assurer de façon sécuritaire l'authentification, la non-répudiation, l'intégrité et/ou la confidentialité des documents et des signatures électroniques. Les techniques de sécurité non cryptographiques et cryptographiques sont souvent utilisées conjointement, car elles sont complémentaires pour assurer un niveau élevé de fiabilité.
Signature numérique
La signature numérique recourt à la cryptographie asymétrique ou à clé publique; il s'agit d'une technique qui, à l'aide d'une fonction mathématique, génère une paire de clés, l'une étant dérivée de l'autre, permettant de chiffrer ou de déchiffrer des données. L'une des clés est gardée secrète par son détenteur et l'autre est affichée publiquement. La signature numérique consiste à calculer un condensé du message original (message digest) et de le crypter avec la clé privée du signataire. Le condensé de message est une séquence de caractères qui représente d'une façon unique un message, dont la valeur est calculée par un algorithme de hachage. Le condensé de message permet de représenter un message de taille variable en un code unique de petite taille. Si un seul caractère du message original est changé, le condensé du message modifié n'est plus équivalent à celui du message original. Si la valeur du condensé du message reçu correspond à celle du condensé du message original2, on peut prouver l'authentification du message, sa non-répudiation ainsi que son intégrité. Cependant, l'assurance de l'identité du signataire dépend en grande partie des contrôles mis en place pour garantir la sécurité de la clé privée du signataire ainsi que de la confiance que l'on a que l'identité qui est associée à la clé publique est authentique. Une infrastructure à clés publiques est une solution permettant d'assurer une bonne gestion des clés et d'obtenir une assurance quant à l'identité de la signature numérique.
Incidences juridiques
Des progrès importants ont été réalisés au Canada et à l'échelle internationale concernant la reconnaissance juridique du document et de la signature électroniques en matière de preuve. À l'instar de nombreux pays, le gouvernement fédéral et la plupart des provinces canadiennes ont adopté des lois en matière de commerce électronique et ont modifié leurs lois sur la preuve afin de donner effet à la reconnaissance du document et de la signature électroniques et d'établir des critères d'admissibilité concernant ces preuves. Malgré ces progrès importants, il subsiste des incertitudes juridiques concernant les documents électroniques. Il existe notamment d'importantes ambiguïtés quant à la classification d'une situation juridique et à la délimitation des champs d'application des lois en ce qui concerne les opérations conclues dans le cyberespace. Il subsiste également des incertitudes quant aux conditions d'admissibilité du document et de la signature électroniques en vertu des lois applicables au Canada.
Il incombe à la personne qui cherche à faire admettre un document électronique en preuve d'établir son authenticité et son intégrité au moyen d'éléments de preuve permettant de conclure que le document est bien ce qu'il paraît être. Il revient à la cour de décider si, dans un cas donné, la preuve est admissible. Dans le cas où l'admissibilité d'un document électronique serait remise en cause, la personne voulant faire admettre le document en preuve devra démontrer son intégrité et son authenticité. La meilleure façon pour une entité de minimiser les risques juridiques liés à l'admissibilité des documents électroniques est d'instaurer et de maintenir des SI fiables et de recourir aux technologies appropriées permettant de démontrer l'intégrité des données. Des conditions peuvent aussi être imposées concernant l'admissibilité de la signature électronique : la technologie adoptée doit permettre d'identifier le signataire, et le lien entre la signature et le document électronique doit être établi de façon à permettre de vérifier si le document a été modifié depuis la signature. En outre, plusieurs lois comportent des normes ou règles pouvant exiger l'usage de technologies ou la mise en place de procédures particulières.
Comme on peut le constater, les informations électroniques soulèvent de nombreuses questions importantes qui intéresseront sans aucun doute tant les gestionnaires qui désirent une information décisionnelle fiable que les vérificateurs qui doivent s'appuyer sur cette information pour réunir des éléments probants suffisants et adéquats afin d'étayer le rapport du vérificateur.
| 1 |
Les critères pourraient être utilisés pour évaluer la fiabilité de toute information documentaire, sous forme papier ou électronique. Le rapport de recherche traitera des contrôles et des technologies qui peuvent contribuer à assurer l'authentification, l'intégrité, l'autorisation et la non-répudiation de l'information électronique. |
| 2 |
Afin de connaître la valeur du condensé de message original, le récepteur décrypte la signature numérique à l'aide de la clé publique du signataire. |
Andrée Lavigne, CA, est directrice de projets, Monographies, à l'ICCA.
Caroline Émond, CA, est associée, Groupe mondial des solutions pour la gestion des risques, chez PricewaterhouseCoopers à Montréal.
Cette rubrique est dirigée par Robert T. Rutherford, FCA, vice-président, Normalisation, à l'ICCA. |
