Les audits des contrôles de
sociétés de services
SOC I – SOC II – SOC III
31 Mars 2015
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Agenda
1. Historique et compréhension des besoins
2. L’audit des...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Historique et
compréhension des
besoins
2 Les audits des contrôl...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Vocabulaire/acronymes du rapport de l’auditeur d’une
société de ...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
La « chaîne » d’interdépendance
Un besoin accru d’établir un lie...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Quel est l’objectif d’un rapport indépendant sur les
contrôles d...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Quels sont les bénéfices d’un rapport sur les contrôles
d’une so...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Secteurs qui obtiennent des rapports sur les contrôles
d’une soc...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’audit des contrôles
8 Les audits des contrôles de sociétés de ...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’audit des contrôles
• La direction définit les objectifs de co...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
La description du
système de la société
de services produite
par...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
La description du système de la société de services
produite par...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Critères valables
Qu’entend-t-on par critères valables?
• « Crit...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’assertion de la
direction
13 Les audits des contrôles de socié...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’assertion de la direction
Une assertion écrite de la direction...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’assertion de la direction
• La direction doit toujours fournir...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’assertion de la direction
• La direction doit avoir une base r...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’assertion de la direction
• L’assertion de la direction peut ê...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’assertion de la direction
Gouvernance : Exemples d’activités
N...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Contrôles − Risque de non-conformité
Importance
x
x
x
x
x
x
x
x
...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’assertion de la direction
Les choses à faire et à ne pas faire...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Les considérations des
sous-traitants de la
société de services
...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Sous-traitants de la société de services
• Établir si le sous-tr...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Sous-traitants de la société de services – Méthode
d’exclusion
•...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Sous-traitants de la société de services – Méthode
d’inclusion
•...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Sous-traitants de la société de services – Méthode
d’inclusion
•...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’étendue de l’audit
26 Les audits des contrôles de sociétés de ...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Rapports « Service Organization Control » :
« SOC1 », « SOC2 » e...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Principes Trust (1/2)
Les rapports SOC 2 et SOC 3 répondent à un...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Principes Trust (2/2)
Quatre sections récurrentes dans les princ...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Quel est le bon rapport SOC pour vous?
Description Réponse
Norme...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Introduction SOC 2
• Survol
˗ Plusieurs entités impartissent des...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Introduction SOC 3
• Survol
˗ Les entreprises qui vendent des pr...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Les réserves et les
exceptions de
l’auditeur
33 Les audits des c...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Les réserves et les exceptions
• Les exceptions notées lors de l...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Les réserves – Manuel de CPA Canada
Exemple 1
• Opinion avec rés...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Les réserves et les exceptions de l’auditeur – Impact sur
l’asse...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’utilisation des
travaux de la fonction
d’audit interne
37 Les ...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’utilisation des travaux de la fonction d’audit interne
• Si de...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’utilisation des
rapports par le
« client »
39 Les audits des c...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Utilisation du rapport par le « client » – Direction
• S’assurer...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Utilisation du rapport par le « client » – Direction
• Descripti...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Utilisation du rapport par le « client » ‒ Auditeurs
• En plus d...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Questions?
43 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Nos coordonnées
David Liberatore, M.Sc., CPA, CA, CISA, CISSP
Di...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Annexe A ‒ Exemple
d'assertion de la
direction d'une
société de ...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Exemple d'assertion de la direction d'une société de
services *
...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Exemple d'assertion de la direction d'une société de
services (s...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Exemple d'assertion de la direction d'une société de
services (s...
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Exemple d'assertion de la direction d'une société de
services (s...
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Prochain SlideShare
Chargement dans…5
×

Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III

1 678 vues

Publié le

Les audits des contrôles de sociétés de services
SOC I – SOC II – SOC III
Par M. David Liberatore – Directeur vérification TI, Deloitte
le 31 mars 2015, ISACA-Québec

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 678
Sur SlideShare
0
Issues des intégrations
0
Intégrations
286
Actions
Partages
0
Téléchargements
74
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III

  1. 1. Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III 31 Mars 2015
  2. 2. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Agenda 1. Historique et compréhension des besoins 2. L’audit des contrôles 3. La description du système de la société de services produite par la direction 4. L’assertion de la direction 5. Les considérations des sous-traitants de la société de services 6. L’étendue de l’audit 7. Les réserves et les exceptions de l’auditeur 8. L’utilisation des travaux de la fonction d’audit interne 9. L’utilisation des rapports par le « client » Annexe A ‒ Exemple d'assertion de la direction d'une société de services 1 Les audits des contrôles de sociétés de services
  3. 3. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Historique et compréhension des besoins 2 Les audits des contrôles de sociétés de services
  4. 4. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Vocabulaire/acronymes du rapport de l’auditeur d’une société de services AICPA « American Institute of Certified Public Accountants » SSAE « Standards for Attestation Engagements » ISAE « International Standards for Assurance Engagements » SOC « Service Organizational Controls » CNVC Conseil des normes de vérification et de certification NCMC Norme canadienne de missions de certification 3 Normes existantes Nouvelles normes États-Unis Canada International États-Unis Canada Les noms des rapports de l’auditeur d’une société de services SAS 70 5970 ISAE 3402 SSAE 16 NCMC 3416 Les audits des contrôles de sociétés de services
  5. 5. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. La « chaîne » d’interdépendance Un besoin accru d’établir un lien de confiance avec les parties prenantes et les partenaires 4 Les audits des contrôles de sociétés de services ImpartitionTI Fournisseurs Organismes règlementaires Employés Clients Société de services et partenaires Direction et administrateurs Entité utilisatrice ImpartitionTI Société de services et partenaires Confiance? ConfianceConfiance?
  6. 6. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Quel est l’objectif d’un rapport indépendant sur les contrôles d’une société de services? Objectif : Fournir une assurance que les contrôles décrits sont en place et fournir une opinion sur le fonctionnement des contrôles. 5 Services Société de services Auditeur de la société de services Entité utilisatrice A Entité utilisatrice B Entité utilisatrice C Cibles Organismes règlementaires Rapport indépendant sur les contrôles Auditeur de l’entité utilisatrice C Auditeur de l’entité utilisatrice B Auditeur de l’entité utilisatrice A Les audits des contrôles de sociétés de services
  7. 7. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Quels sont les bénéfices d’un rapport sur les contrôles d’une société de services? Bénéfices pour la société de services • Crédibilité • Marketing • Avantage concurrentiel • Gestion de risques • Réduction des efforts d’audit Bénéfices pour l’entité utilisatrice • Confiance • Gestion de risques • Satisfaction des auditeurs ou des organismes règlementaires • Réduction des coûts 6 Les audits des contrôles de sociétés de services
  8. 8. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Secteurs qui obtiennent des rapports sur les contrôles d’une société de services? • Traitement de paiements • Gestion d’actifs • Affaires bancaires et marchés boursiers • Gouvernement et secteur public • Gestion immobilière • Hébergement TI • Télécommunications • Assurance • Traitement de la paie • Impartition du service des finances • Infonuagique (cloud computing) • Fournisseur de services applicatifs (SaaS) 7 Les audits des contrôles de sociétés de services
  9. 9. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’audit des contrôles 8 Les audits des contrôles de sociétés de services
  10. 10. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’audit des contrôles • La direction définit les objectifs de contrôle et les contrôles conçus pour l’atteinte des dits objectifs de contrôle. • La direction fournit la liste des contrôles complémentaires qui sont censés être en place dans les entités utilisatrices. • L’auditeur de la société de services va continuer d’auditer les contrôles. • L’auditeur de la société de services donne une opinion sur : ˗ Type 1 – la mise en place et la conception des contrôles ˗ Type 2 – la mise en place, la conception et le fonctionnement efficace des contrôles • Pour les audits de type 2, l’auditeur de la société de services divulgue pour chaque contrôle, selon les types de rapports : ˗ Le détail des tests exécutés ˗ Les résultats des tests exécutés 9 Les audits des contrôles de sociétés de services
  11. 11. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. La description du système de la société de services produite par la direction 10 Les audits des contrôles de sociétés de services
  12. 12. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. La description du système de la société de services produite par la direction Étapes pour établir efficacement une description de système 1. Établir l’étendue 2. Déterminer les objectifs de contrôle 3. Identifier les risques pour chaque objectif de contrôle 4. Déterminer les contrôles 5. Développer une stratégie pour les écarts, le cas échéant 6. Identifier les autres aspects clefs de la description du système 7. Développer le cadre de contrôle à divulguer a) Environnement de contrôle b) Évaluation des risques c) Information et communication d) Surveillance du contrôle interne 8. Développer les autres divulgations 11 Les audits des contrôles de sociétés de services
  13. 13. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Critères valables Qu’entend-t-on par critères valables? • « Critères » – les normes ou les points de référence utilisés pour mesurer et présenter l’élément considéré et par rapport auxquels l’auditeur de la société de services évalue cet élément. • Le « caractère valable » des critères doit être identifié pour chaque type d’opinion émise : 1. Opinion sur la présentation fidèle de la description du système produite par la direction (Type 1 et type 2). 2. Opinion sur l’adéquation de la conception des contrôles (Type 1 et type 2). 3. Opinion sur l’efficacité du fonctionnement des contrôles (Type 2). 12 Les audits des contrôles de sociétés de services
  14. 14. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’assertion de la direction 13 Les audits des contrôles de sociétés de services
  15. 15. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’assertion de la direction Une assertion écrite de la direction de la société de services indiquant si, dans tous leurs aspects significatifs, et au regard de critères adéquats : 1. La description du système de la société de services produite par la direction donne une image fidèle du système de la société de services tel qu’il a été conçu et était en place tout au long de la période spécifiée (Type 2) à une date spécifiée (Type 1). 2. La conception des contrôles correspondant aux objectifs de contrôle mentionnés dans la description du système de la société de services produite par la direction était adéquate pour l’atteinte de ces objectifs de contrôle tout au long de la période spécifiée (Type 2) à une date spécifiée (Type 1). 3. Les contrôles correspondant aux objectifs de contrôle mentionnés dans la description du système de la société de services produite par la direction ont fonctionné efficacement tout au long de la période spécifiée pour permettre d’atteindre ces objectifs de contrôle (Type 2). L’assertion de la direction est presque analogue à l’opinion de l’auditeur. 14 Les audits des contrôles de sociétés de services
  16. 16. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’assertion de la direction • La direction doit toujours fournir une lettre d’affirmation à l’auditeur de la société de services. • La lettre d’affirmation doit faire référence à l’assertion de la direction. 15 Les audits des contrôles de sociétés de services
  17. 17. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’assertion de la direction • La direction doit avoir une base raisonnable pour supporter l’assertion. • Les normes NCMC 3416 et SSAE 16 ne prescrivent pas comment la direction doit supporter son assertion ou ce que constitue une « base raisonnable ». • Il y a plusieurs approches possibles et facteurs à considérer, à titre d’exemples : ˗ Maturité du cadre de contrôle et des risques existants; ˗ Complexité des affaires et le niveau de changement; ˗ Stabilité des processus dans l’étendue; ˗ Historique des erreurs et faiblesses au plan contrôle; ˗ Autres sources internes d’assurance (par exemple, audit interne, tests pour la certification des contrôles (CEO/CFO), conformité, gestion des risques); ˗ Autres sources externes d’assurance (autre que l’auditeur de la société de services). 16 Les audits des contrôles de sociétés de services
  18. 18. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’assertion de la direction • L’assertion de la direction peut être incorporée à la description du système ou en annexe à celle-ci. • Le norme 3416 ne spécifie pas qui de la société de services doit fournir l’assertion. • L’auditeur de la société de services doit déterminer les personnes appropriées en considérant qui détient les responsabilités appropriées et les connaissances eu égard au sujet. • Les sociétés de services peuvent choisir d’utiliser un processus de sous-certification en cascade pour supporter l’assertion. Bien que l’auditeur de la société de services doit recevoir une lettre d’assertion signée, la signature n’a pas besoin d’apparaitre dans le rapport 3416 bien que ce soit une pratique courante de le faire. 17 Les audits des contrôles de sociétés de services
  19. 19. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’assertion de la direction Gouvernance : Exemples d’activités Niveau d’assertion Aucune base Surveillance continue Exemples de procédures • L’auditeur de la société de services exécute des tests et produit un rapport • Rapport de la direction et autres activités de surveillance • Évaluation des risques par la direction • Tests et surveillance de l’audit interne • Examen réglementaire indépendant • Évaluation indépendante des risques • Évaluation indépendante ou par la direction du fonctionnement efficace des contrôles Documentation de support • Aucune • Documentation de la surveillance de la direction • Documentation de l’évaluation des risques de la direction • Rapports réglementaires • Rapports de l’audit interne • Résultats de l’évaluation indépendante des risques • Éléments probants des tests sur le fonctionnement efficace des contrôles *Une combinaison d’une surveillance continue et des évaluations séparées vont habituellement favoriser l’efficacité des contrôles dans le temps. Les audits des contrôles de sociétés de services Tests (SOX) Évaluations séparées Base raisonnable pour l’assertion de la direction* 18
  20. 20. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Contrôles − Risque de non-conformité Importance x x x x x x x x 19 • Accès logique • Gestion des changements • Privilèges d’accès à haut niveau x Risque de non-conformité Les audits des contrôles de sociétés de services
  21. 21. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’assertion de la direction Les choses à faire et à ne pas faire • Ce que les sociétés de services ne peuvent pas faire : ˗ S’appuyer uniquement sur le travail de l’auditeur de la société de services. • Ce que les sociétés de services n’ont pas besoin de faire : ˗ Créer ou utiliser la fonction existante d’audit interne pour exécuter des tests pour supporter l’assertion de la direction (Fils de SOx). ˗ Mandater un cabinet d’audit pour exécuter des tests. • Ce qu’il est recommandé de faire : ˗ S’appuyer sur les contrôles de surveillance existants ou en ajouter. ˗ Tirer avantage des pratiques existantes en matière de risques et de contrôles. ˗ Démontrer une base raisonnable pour l’assertion de la direction. 20 Les audits des contrôles de sociétés de services
  22. 22. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Les considérations des sous-traitants de la société de services 21 Les audits des contrôles de sociétés de services
  23. 23. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Sous-traitants de la société de services • Établir si le sous-traitant est important. ˗ Est-ce que les services et les contrôles sont importants pour l’audit des états financiers de l’entité utilisatrice? • Si c’est important ça doit être décrit selon l’une ou l’autre des méthodes suivantes : ˗ méthode d’exclusion; ˗ méthode d’inclusion. 22 Les audits des contrôles de sociétés de services
  24. 24. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Sous-traitants de la société de services – Méthode d’exclusion • Si la méthode d’exclusion est utilisée, la nature des prestations fournies par le sous-traitant est incluse dans la description du système de la société de services. Les objectifs de contrôle pertinents du sous-traitant et ses contrôles correspondants sont toutefois exclus. • Le sous-traitant est alors exclu de l’étendue de l’audit : ˗ Mention explicite de l’exclusion dans l’opinion de l’auditeur; ˗ Mention explicite dans la description du système produite par la direction; ˗ Mention explicite dans l’assertion de la direction. Aux États-Unis, dans la majorité des rapports impliquant des sous- traitants, la méthode d’exclusion est utilisée. 23 Les audits des contrôles de sociétés de services
  25. 25. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Sous-traitants de la société de services – Méthode d’inclusion • Si la méthode d’inclusion est utilisée, la description du système de la société de services produite par la direction comprend une description de la nature des prestations fournies par le sous-traitant ainsi que les objectifs de contrôle et les contrôles correspondants du sous-traitant qui sont pertinents. • Les contrôles exercés par le sous-traitant sont inclus dans l’étendue de l’audit. • Les contrôles exercés par le sous-traitant sont inclus dans la section du rapport qui décrit les tests d’audit exécutés et les résultats des tests. Si la méthode d’inclusion est utilisée, l’assertion de la direction et une lettre d’affirmation doivent être obtenues de la direction du sous-traitant. L’assertion de la direction sera incluse au rapport d’audit. 24 Les audits des contrôles de sociétés de services
  26. 26. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Sous-traitants de la société de services – Méthode d’inclusion • L’expérience à date montre que les sous-traitants ne sont pas prêts à fournir une assertion de la direction (leur conseiller juridique les avise de ne pas le faire). • Conséquemment, la méthode d’exclusion sera probablement celle qui sera la plus utilisée. Les sociétés qui ont des sous-traitants doivent décider si elles veulent utiliser la méthode d’inclusion avant de réaliser les travaux. Si c’est le cas, les discussions doivent être entreprises avec la direction des sous-traitants, pour obtenir son accord sur le fait qu’une assertion de la direction devra être fournie. 25 Les audits des contrôles de sociétés de services
  27. 27. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’étendue de l’audit 26 Les audits des contrôles de sociétés de services
  28. 28. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Rapports « Service Organization Control » : « SOC1 », « SOC2 » et « SOC3 » Rapports SOC1 Rapports SOC2 Rapports SOC3 Normes professionnelles NCMC 3416 SSAE 16 CPA Canada 5025 AT 101 CPA Canada 5025 AT 101 Sujet Contrôles pertinents pour le contrôle interne de l’information financière. Contrôles pertinents pour la sécurité, disponibilité, intégrité des traitements, confidentialité ou vie privée. Contrôles pertinents pour la sécurité, disponibilité, intégrité des traitements, confidentialité ou vie privée. But Supporter les audits d’états financiers des entités utilisatrices. Fournir une opinion à savoir si les principes des services Trust sont rencontrés. Fournir une opinion à savoir si les principes des services Trust sont rencontrés. Entités utilisatrices Usage restreint ‒ La direction de la société de services, la direction des entités utilisatrices, les auditeurs des entités utilisatrices. Usage généralement restreinte ‒ Parties qui connaissent les services, les interactions, le contrôle interne et les critères. Rapports à des fins d’utilisation générale. 27 Les audits des contrôles de sociétés de services
  29. 29. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Principes Trust (1/2) Les rapports SOC 2 et SOC 3 répondent à un ou plusieurs des cinq attributs clés suivants. Ces attributs sont mieux connus comme étant des principes tel que définis ci-dessous : 1. Sécurité – Le système est protégé contre les accès non autorisés (physiques et logiques). 2. Disponibilité – Le système est disponible pour les opérations et l’utilisation tel que convenu ou accepté. 3. Intégrité des traitements – Le traitement du système est complet, exact, en temps opportun et autorisé. 4. Confidentialité – L’information identifié comme étant confidentielle est protégé tel que convenu et accepté. 5. Vie privée – L’information personnelle est recueillie, utilisée, conservée, publiée et détruite selon les ententes de confidentialité (privacy notice) et selon les critères généralement acceptés concernant la protection des informations personnelles publiées par l’AICPA et CPA Canada. 28 Les audits des contrôles de sociétés de services
  30. 30. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Principes Trust (2/2) Quatre sections récurrentes dans les principes : 1. Définition des politiques 2. Communication des politiques 3. Mise en place des procédures 4. Surveillance 1. Sécurité – Page 7 à 16. 2. Disponibilité – Page 17 à 28. 3. Intégrité des traitements – Page 29 à 46. 4. Confidentialité – Page 47 à 59. 5. Vie privée – Page 59 à 62 . Référence : http://www.webtrust.org/principles-and-criteria/item27818.pdf 29 Les audits des contrôles de sociétés de services
  31. 31. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Quel est le bon rapport SOC pour vous? Description Réponse Norme d’audit applicable Est-ce que le rapport est requis par les entités utilisatrices et leurs auditeurs pour planifier et réaliser l’audit des états financiers et/ou la certification du contrôle interne? Oui Rapport SOC 1 Est-ce que le rapport est requis par les entités utilisatrices comme partie intégrante à leur programme de conformité à 52-109 / Sarbanes-Oxley ou autre règlementation similaire? Oui Rapport SOC 1 Est-ce que le rapport est utilisé par les entités utilisatrices ou parties prenantes pour accroître le niveau de confiance et s’appuyer sur les système de la société de services? Oui Rapport SOC 2 Rapport SOC 3 Est-il requis de rendre le rapport accessible au grand public? Oui Rapport SOC 3 Est-ce que les entités utilisatrices nécessitent une compréhension des processus et des contrôles de la société de services, des tests réalisés par l’auditeur et des résultats de ce dernier? Oui Rapport SOC 2 Non Rapport SOC 3 30 Les audits des contrôles de sociétés de services
  32. 32. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Introduction SOC 2 • Survol ˗ Plusieurs entités impartissent des tâches ou des fonctions entière à des société de services qui opèrent, collectent, traitent, transmettent, stockent, organisent, maintiennent et détruisent des informations pour les entités utilisatrices. • Étendue et utilisation ˗ Critères prédéfinis. ˗ Exigences et directrice dans « AT Section 101, Attest Engagements, of Statements on Standards for Attestation Engagements (SSAE) (AICPA, Professional Standards, vol. 1) » – Équivalent canadien du chapitre 5025 de CPA Canada. ˗ Utilisation restreinte : Contrairement au SOC 1, l’utilisation primaire d’un rapport SOC 2 n’est pas pour l’utilisation des auditeurs, mais bien pour la direction de la société de services et la direction des entités utilisatrices. ˗ Rapports de type 1 ou type 2 peuvent être émis. 31 Les audits des contrôles de sociétés de services
  33. 33. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Introduction SOC 3 • Survol ˗ Les entreprises qui vendent des produits et services par téléphone ou sur Internet ont des clients qui sont préoccupés par les moyens pris par l’entreprise pour gérer et traiter l’information des clients. • Étendue et utilisation ˗ Mêmes critères que SOC 2. ˗ Un rapport SOC 3 est un rapport sommaire à usage général qui ne décrit pas les procédures d’audit et les résultats. 32 Les audits des contrôles de sociétés de services
  34. 34. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Les réserves et les exceptions de l’auditeur 33 Les audits des contrôles de sociétés de services
  35. 35. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Les réserves et les exceptions • Les exceptions notées lors de l’exécution des tests sont divulguées dans la section « Résultats des tests d’audit » du rapport. • Les réserves sont reflétées dans l’opinion de l’auditeur. • Les réserves sont basées sur le jugement professionnel de l’auditeur. 34 Les audits des contrôles de sociétés de services
  36. 36. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Les réserves – Manuel de CPA Canada Exemple 1 • Opinion avec réserve dans un rapport de type 2 : la description du système de la société de services ne donne pas une image fidèle du système dans tous ses aspects significatifs. Exemple 2 • Opinion avec réserve : la conception des contrôles n'est pas adéquate pour fournir l'assurance raisonnable que les objectifs de contrôle énoncés dans la description du système de la société de services produite par la direction seraient atteints dans l'hypothèse d'un fonctionnement efficace des contrôles. Exemple 3 • Opinion avec réserve dans un rapport de type 2 : le fonctionnement des contrôles n'a pas été efficace tout au long de la période pour permettre l'atteinte des objectifs de contrôle énoncés dans la description du système de la société de services. Exemple 4 • Opinion avec réserve : l'auditeur de la société de services est incapable d'obtenir des éléments probants suffisants et appropriés. Les audits des contrôles de sociétés de services35
  37. 37. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Les réserves et les exceptions de l’auditeur – Impact sur l’assertion de la direction • Un nombre raisonnable d’exceptions non identifiées d’abord par la direction ne devrait pas poser problème. • Un nombre excessif d’exceptions non identifiées d’abord par la direction va amener l’auditeur à s’interroger sur l’efficacité de la surveillance exercée par la direction et sur la « base raisonnable » de l’assertion de la direction. • Si des réserves sont identifiées, elles devront être reflétées dans l’assertion de la direction et dans l’opinion de l’auditeur. En pratique, la direction va fournir son assertion une fois que l’audit est complété et elle devrait refléter les réserves qui sont mentionnées au rapport d’audit. 36 Les audits des contrôles de sociétés de services
  38. 38. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’utilisation des travaux de la fonction d’audit interne 37 Les audits des contrôles de sociétés de services
  39. 39. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’utilisation des travaux de la fonction d’audit interne • Si des travaux de la fonction d’audit interne sont utilisés pour tester des contrôles, la section « Résultats des tests d’audit » du rapport devra décrire les travaux exécutés par la fonction d’audit interne de même que les procédures exécutées par l’auditeur concernant ces travaux. Les règles relatives à l’utilisation des travaux de la fonction d’audit interne n’ont pas changé. Le changement est que maintenant c’est décrit de façon plus transparente au rapport. 38 Les audits des contrôles de sociétés de services
  40. 40. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’utilisation des rapports par le « client » 39 Les audits des contrôles de sociétés de services
  41. 41. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Utilisation du rapport par le « client » – Direction • S’assurer que les objectifs et activités de contrôles couvrent les risques pertinents selon les responsabilités de l’organisme de services. • S’assurer que la production d’un rapport sur les contrôles exercés par une société de services est prévue au contrat. • Revoir l’opinion et les résultats des tests de l’auditeur et considérer les éléments suivants : ˗ Période couverte suffisante ˗ Environnements visés par l’opinion ˗ Réserves ˗ Exception aux procédures de tests ˗ Contrôles complémentaires et travaux additionnels requis ˗ Méthode inclusive ou d’exclusion ˗ La compétence de l’auditeur 40 Les audits des contrôles de sociétés de services
  42. 42. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Utilisation du rapport par le « client » – Direction • Description des systèmes : ˗ Changements significatifs en cours d’année ou à venir ˗ Plans d’action ou commentaires sur les exceptions Est-ce que le rapport répond aux besoins et quel est l’impact des résultats? 41 Les audits des contrôles de sociétés de services
  43. 43. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Utilisation du rapport par le « client » ‒ Auditeurs • En plus des questions au point précédent, l’auditeur externe du « client » devrait considérer les éléments suivants : ˗ Évaluer l’impact des résultats sur :  L’approche d’audit interne/externe  Les efforts requis pour valider les contrôles complémentaire  Travaux additionnels pour compenser les exceptions/réserves ˗ Processus de communication à l’interne des exceptions/réserves ˗ Suivi des mesures correctives 42 Les audits des contrôles de sociétés de services
  44. 44. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Questions? 43 Les audits des contrôles de sociétés de services
  45. 45. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Nos coordonnées David Liberatore, M.Sc., CPA, CA, CISA, CISSP Directeur de service | Service Risques d’entreprises Ligne directe : 514-393-7817 dliberatore@deloitte.ca 44 Les audits des contrôles de sociétés de services
  46. 46. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Annexe A ‒ Exemple d'assertion de la direction d'une société de services 45 Les audits des contrôles de sociétés de services
  47. 47. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Exemple d'assertion de la direction d'une société de services * 46 Les audits des contrôles de sociétés de services L'assertion de la direction de la société de services peut être fournie dans le corps ou en annexe de la description du système de la société de services. L’exemple qui suit est un exemple d'assertion destinée à être incluse dans le corps de la description. L’exemple d'assertion de la direction qui suit n’est fourni qu'à titre indicatif et il ne se veut ni exhaustif ni applicable à toutes les situations. Exemple 1 : Assertion de la direction d'une société de services dans le cas d'un rapport de type 2 Assertion de la société de services XYZ Nous avons préparé la description du système [type ou nom du système] (description) de la société de services XYZ pour les entités utilisatrices du système durant tout ou partie de la période du [date] au [date] ainsi que pour les auditeurs indépendants de ces entités qui sont dotés d'une compréhension suffisante pour pouvoir en tenir compte, de pair avec d'autres informations, y compris des informations sur les contrôles mis en place par les entités utilisatrices du système elles-mêmes, lorsqu'ils évaluent le risque que les états financiers des entités utilisatrices comportent des anomalies significatives. Nous confirmons, au mieux de notre connaissance et en toute bonne foi : * Cet exemple provient de l’annexe 4 de la norme 3416.
  48. 48. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Exemple d'assertion de la direction d'une société de services (suite) 47 Les audits des contrôles de sociétés de services a) que la description donne une image fidèle du système [type ou nom du système] mis à la disposition des entités utilisatrices du système pendant tout ou partie de la période du [date] au [date] pour le traitement de leurs opérations [ou mention de la fonction remplie par le système]. Pour pouvoir faire cette assertion, nous nous sommes fondés sur les critères suivants : i. la description indique comment le système mis à la disposition des entités utilisatrices a été conçu et mis en place pour traiter les opérations pertinentes, et fournit notamment les informations suivantes : a. les catégories d'opérations traitées, b. les procédures suivies, tant dans les systèmes manuels que dans les systèmes automatisés, pour le déclenchement, l'autorisation, l'enregistrement, le traitement et la correction au besoin des opérations, ainsi que pour leur report dans les rapports transmis aux entités utilisatrices du système, c. les enregistrements comptables correspondants, les informations justificatives et les comptes spécifiques qui sont utilisés pour le déclenchement, l'autorisation, l'enregistrement, le traitement et la communication par rapport des opérations; cela comprend la correction des informations erronées et la manière dont les informations sont reportées dans les rapports transmis aux entités utilisatrices du système,
  49. 49. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Exemple d'assertion de la direction d'une société de services (suite) 48 Les audits des contrôles de sociétés de services d. la façon dont le système saisit et traite les situations et les événements importants autres que les opérations, e. le processus de préparation des rapports ou des autres documents d'information fournis aux entités utilisatrices du système, f. les objectifs de contrôle spécifiés et les contrôles conçus pour les atteindre, g. les autres aspects de notre environnement de contrôle, de notre processus d'évaluation des risques, de nos systèmes d'information et de communication (y compris les processus opérationnels connexes), de nos activités de contrôle et de nos contrôles de suivi qui sont pertinents pour le traitement et la communication par rapport des opérations des entités utilisatrices du système, ii. la description n'omet pas ni ne déforme des informations pertinentes au regard de l'étendue du système [type ou nom du système], étant toutefois entendu que cette description a été préparée afin de répondre aux besoins communs d'un grand nombre d'entités utilisatrices du système et de leurs auditeurs indépendants et qu'il se peut donc qu'elle ne couvre pas tous les aspects du système [type ou nom du système] que les diverses entités utilisatrices, prises individuellement, et leur auditeur peuvent juger importants dans le contexte propre à chacune; b) que la description précise, en fournissant les détails pertinents, les modifications apportées au système de la société de services pendant la durée de la période couverte par la description;
  50. 50. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Exemple d'assertion de la direction d'une société de services (suite) 49 Les audits des contrôles de sociétés de services c) que la conception des contrôles correspondant aux objectifs de contrôle énoncés dans la description était adéquate et leur fonctionnement efficace tout au long de la période du [date] au [date] pour l'atteinte de ces objectifs de contrôle. Pour pouvoir faire cette assertion, nous nous sommes fondés sur les critères suivants : i. les risques pouvant compromettre l'atteinte des objectifs de contrôle énoncés dans la description ont été identifiés par la société de services; ii. les contrôles identifiés dans la description sont de nature à fournir, s'ils fonctionnent conformément à la description, une assurance raisonnable que ces risques n'empêchent pas l'atteinte des objectifs de contrôle énoncés dans la description; iii. les contrôles ont été systématiquement appliqués tels qu'ils ont été conçus, et notamment les contrôles manuels ont été appliqués par des personnes possédant les compétences et l'autorité requises.

×