SlideShare une entreprise Scribd logo
Les audits des contrôles de
sociétés de services
SOC I – SOC II – SOC III
31 Mars 2015
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Agenda
1. Historique et compréhension des besoins
2. L’audit des contrôles
3. La description du système de la société de services produite par la
direction
4. L’assertion de la direction
5. Les considérations des sous-traitants de la société de services
6. L’étendue de l’audit
7. Les réserves et les exceptions de l’auditeur
8. L’utilisation des travaux de la fonction d’audit interne
9. L’utilisation des rapports par le « client »
Annexe A ‒ Exemple d'assertion de la direction d'une société de services
1 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Historique et
compréhension des
besoins
2 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Vocabulaire/acronymes du rapport de l’auditeur d’une
société de services
AICPA « American Institute of Certified Public Accountants »
SSAE « Standards for Attestation Engagements »
ISAE « International Standards for Assurance Engagements »
SOC « Service Organizational Controls »
CNVC Conseil des normes de vérification et de certification
NCMC Norme canadienne de missions de certification
3
Normes existantes Nouvelles normes
États-Unis Canada International États-Unis Canada
Les noms des
rapports de
l’auditeur d’une
société de
services
SAS 70 5970 ISAE 3402 SSAE 16 NCMC 3416
Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
La « chaîne » d’interdépendance
Un besoin accru d’établir un lien de confiance avec les parties
prenantes et les partenaires
4 Les audits des contrôles de sociétés de services
ImpartitionTI
Fournisseurs
Organismes
règlementaires
Employés
Clients Société de
services et
partenaires
Direction et
administrateurs
Entité
utilisatrice
ImpartitionTI
Société de
services et
partenaires
Confiance? ConfianceConfiance?
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Quel est l’objectif d’un rapport indépendant sur les
contrôles d’une société de services?
Objectif : Fournir une assurance que les contrôles décrits sont en place
et fournir une opinion sur le fonctionnement des contrôles.
5
Services
Société
de services
Auditeur
de la société
de services
Entité
utilisatrice
A
Entité
utilisatrice
B
Entité
utilisatrice
C
Cibles
Organismes
règlementaires
Rapport
indépendant
sur les contrôles
Auditeur
de l’entité
utilisatrice
C
Auditeur
de l’entité
utilisatrice
B
Auditeur
de l’entité
utilisatrice
A
Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Quels sont les bénéfices d’un rapport sur les contrôles
d’une société de services?
Bénéfices pour la société de services
• Crédibilité
• Marketing
• Avantage concurrentiel
• Gestion de risques
• Réduction des efforts d’audit
Bénéfices pour l’entité utilisatrice
• Confiance
• Gestion de risques
• Satisfaction des auditeurs ou des organismes règlementaires
• Réduction des coûts
6 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Secteurs qui obtiennent des rapports sur les contrôles
d’une société de services?
• Traitement de paiements
• Gestion d’actifs
• Affaires bancaires et marchés boursiers
• Gouvernement et secteur public
• Gestion immobilière
• Hébergement TI
• Télécommunications
• Assurance
• Traitement de la paie
• Impartition du service des finances
• Infonuagique (cloud computing)
• Fournisseur de services applicatifs (SaaS)
7 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’audit des contrôles
8 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’audit des contrôles
• La direction définit les objectifs de contrôle et les contrôles conçus pour
l’atteinte des dits objectifs de contrôle.
• La direction fournit la liste des contrôles complémentaires qui sont
censés être en place dans les entités utilisatrices.
• L’auditeur de la société de services va continuer d’auditer les contrôles.
• L’auditeur de la société de services donne une opinion sur :
˗ Type 1 – la mise en place et la conception des contrôles
˗ Type 2 – la mise en place, la conception et le fonctionnement efficace des
contrôles
• Pour les audits de type 2, l’auditeur de la société de services divulgue
pour chaque contrôle, selon les types de rapports :
˗ Le détail des tests exécutés
˗ Les résultats des tests exécutés
9 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
La description du
système de la société
de services produite
par la direction
10 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
La description du système de la société de services
produite par la direction
Étapes pour établir efficacement une description de système
1. Établir l’étendue
2. Déterminer les objectifs de contrôle
3. Identifier les risques pour chaque objectif de contrôle
4. Déterminer les contrôles
5. Développer une stratégie pour les écarts, le cas échéant
6. Identifier les autres aspects clefs de la description du système
7. Développer le cadre de contrôle à divulguer
a) Environnement de contrôle
b) Évaluation des risques
c) Information et communication
d) Surveillance du contrôle interne
8. Développer les autres divulgations
11 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Critères valables
Qu’entend-t-on par critères valables?
• « Critères » – les normes ou les points de référence utilisés pour mesurer et
présenter l’élément considéré et par rapport auxquels l’auditeur de la société de
services évalue cet élément.
• Le « caractère valable » des critères doit être identifié pour chaque type
d’opinion émise :
1. Opinion sur la présentation fidèle de la description du système produite par la
direction (Type 1 et type 2).
2. Opinion sur l’adéquation de la conception des contrôles (Type 1
et type 2).
3. Opinion sur l’efficacité du fonctionnement des contrôles (Type 2).
12 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’assertion de la
direction
13 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’assertion de la direction
Une assertion écrite de la direction de la société de services
indiquant si, dans tous leurs aspects significatifs, et au regard de
critères adéquats :
1. La description du système de la société de services produite par la direction
donne une image fidèle du système de la société de services tel qu’il a été
conçu et était en place tout au long de la période spécifiée (Type 2) à une date
spécifiée (Type 1).
2. La conception des contrôles correspondant aux objectifs de contrôle
mentionnés dans la description du système de la société de services produite
par la direction était adéquate pour l’atteinte de ces objectifs de contrôle tout au
long de la période spécifiée (Type 2) à une date spécifiée (Type 1).
3. Les contrôles correspondant aux objectifs de contrôle mentionnés dans la
description du système de la société de services produite par la direction ont
fonctionné efficacement tout au long de la période spécifiée pour permettre
d’atteindre ces objectifs de contrôle (Type 2).
L’assertion de la direction est presque analogue à l’opinion de l’auditeur.
14 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’assertion de la direction
• La direction doit toujours fournir une lettre d’affirmation à l’auditeur de la
société de services.
• La lettre d’affirmation doit faire référence à l’assertion de la direction.
15 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’assertion de la direction
• La direction doit avoir une base raisonnable pour supporter l’assertion.
• Les normes NCMC 3416 et SSAE 16 ne prescrivent pas comment la
direction doit supporter son assertion ou ce que constitue une « base
raisonnable ».
• Il y a plusieurs approches possibles et facteurs à considérer, à titre
d’exemples :
˗ Maturité du cadre de contrôle et des risques existants;
˗ Complexité des affaires et le niveau de changement;
˗ Stabilité des processus dans l’étendue;
˗ Historique des erreurs et faiblesses au plan contrôle;
˗ Autres sources internes d’assurance (par exemple, audit interne, tests pour
la certification des contrôles (CEO/CFO), conformité, gestion des risques);
˗ Autres sources externes d’assurance (autre que l’auditeur de la société de
services).
16 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’assertion de la direction
• L’assertion de la direction peut être incorporée à la description du
système ou en annexe à celle-ci.
• Le norme 3416 ne spécifie pas qui de la société de services doit fournir
l’assertion.
• L’auditeur de la société de services doit déterminer les personnes
appropriées en considérant qui détient les responsabilités appropriées
et les connaissances eu égard au sujet.
• Les sociétés de services peuvent choisir d’utiliser un processus de
sous-certification en cascade pour supporter l’assertion.
Bien que l’auditeur de la société de services doit recevoir une lettre
d’assertion signée, la signature n’a pas besoin d’apparaitre dans le
rapport 3416 bien que ce soit une pratique courante de le faire.
17 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’assertion de la direction
Gouvernance : Exemples d’activités
Niveau
d’assertion
Aucune
base
Surveillance
continue
Exemples
de
procédures
• L’auditeur de la
société de services
exécute des tests
et produit un
rapport
• Rapport de la direction
et autres activités de
surveillance
• Évaluation des risques
par la direction
• Tests et surveillance
de l’audit interne
• Examen réglementaire
indépendant
• Évaluation
indépendante des
risques
• Évaluation
indépendante ou
par la direction du
fonctionnement
efficace des
contrôles
Documentation
de support
• Aucune • Documentation de la
surveillance de la
direction
• Documentation de
l’évaluation des
risques de la direction
• Rapports
réglementaires
• Rapports de l’audit
interne
• Résultats de
l’évaluation
indépendante des
risques
• Éléments
probants des
tests sur le
fonctionnement
efficace des
contrôles
*Une combinaison d’une surveillance continue et des évaluations séparées vont habituellement favoriser l’efficacité
des contrôles dans le temps.
Les audits des contrôles de sociétés de services
Tests (SOX)
Évaluations
séparées
Base raisonnable
pour l’assertion de
la direction*
18
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Contrôles − Risque de non-conformité
Importance
x
x
x
x
x
x
x
x
19
• Accès logique
• Gestion des changements
• Privilèges d’accès à haut niveau
x
Risque de non-conformité
Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’assertion de la direction
Les choses à faire et à ne pas faire
• Ce que les sociétés de services ne peuvent pas faire :
˗ S’appuyer uniquement sur le travail de l’auditeur de la société de services.
• Ce que les sociétés de services n’ont pas besoin de faire :
˗ Créer ou utiliser la fonction existante d’audit interne pour exécuter des tests
pour supporter l’assertion de la direction (Fils de SOx).
˗ Mandater un cabinet d’audit pour exécuter des tests.
• Ce qu’il est recommandé de faire :
˗ S’appuyer sur les contrôles de surveillance existants ou en ajouter.
˗ Tirer avantage des pratiques existantes en matière de risques et de
contrôles.
˗ Démontrer une base raisonnable pour l’assertion de la direction.
20 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Les considérations des
sous-traitants de la
société de services
21 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Sous-traitants de la société de services
• Établir si le sous-traitant est important.
˗ Est-ce que les services et les contrôles sont importants pour l’audit des
états financiers de l’entité utilisatrice?
• Si c’est important ça doit être décrit selon l’une ou l’autre des
méthodes suivantes :
˗ méthode d’exclusion;
˗ méthode d’inclusion.
22 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Sous-traitants de la société de services – Méthode
d’exclusion
• Si la méthode d’exclusion est utilisée, la nature des prestations fournies
par le sous-traitant est incluse dans la description du système de la
société de services. Les objectifs de contrôle pertinents du sous-traitant
et ses contrôles correspondants sont toutefois exclus.
• Le sous-traitant est alors exclu de l’étendue de l’audit :
˗ Mention explicite de l’exclusion dans l’opinion de l’auditeur;
˗ Mention explicite dans la description du système produite par la direction;
˗ Mention explicite dans l’assertion de la direction.
Aux États-Unis, dans la majorité des rapports impliquant des sous-
traitants, la méthode d’exclusion est utilisée.
23 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Sous-traitants de la société de services – Méthode
d’inclusion
• Si la méthode d’inclusion est utilisée, la description du système de la
société de services produite par la direction comprend une description
de la nature des prestations fournies par le sous-traitant ainsi que les
objectifs de contrôle et les contrôles correspondants du sous-traitant qui
sont pertinents.
• Les contrôles exercés par le sous-traitant sont inclus dans l’étendue de
l’audit.
• Les contrôles exercés par le sous-traitant sont inclus dans la section du
rapport qui décrit les tests d’audit exécutés et les résultats des tests.
Si la méthode d’inclusion est utilisée, l’assertion de la direction
et une lettre d’affirmation doivent être obtenues de la direction
du sous-traitant. L’assertion de la direction sera incluse
au rapport d’audit.
24 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Sous-traitants de la société de services – Méthode
d’inclusion
• L’expérience à date montre que les sous-traitants ne sont pas prêts à
fournir une assertion de la direction (leur conseiller juridique les avise
de ne pas le faire).
• Conséquemment, la méthode d’exclusion sera probablement celle qui
sera la plus utilisée.
Les sociétés qui ont des sous-traitants doivent décider si elles
veulent utiliser la méthode d’inclusion avant de réaliser les travaux.
Si c’est le cas, les discussions doivent être entreprises avec la
direction des sous-traitants, pour obtenir son accord sur le fait
qu’une assertion de la direction devra être fournie.
25 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’étendue de l’audit
26 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Rapports « Service Organization Control » :
« SOC1 », « SOC2 » et « SOC3 »
Rapports SOC1 Rapports SOC2 Rapports SOC3
Normes
professionnelles
NCMC 3416
SSAE 16
CPA Canada 5025
AT 101
CPA Canada 5025
AT 101
Sujet Contrôles pertinents
pour le contrôle interne
de l’information
financière.
Contrôles pertinents
pour la sécurité,
disponibilité, intégrité
des traitements,
confidentialité ou vie
privée.
Contrôles pertinents
pour la sécurité,
disponibilité, intégrité
des traitements,
confidentialité ou vie
privée.
But Supporter les audits
d’états financiers des
entités utilisatrices.
Fournir une opinion à
savoir si les principes
des services Trust sont
rencontrés.
Fournir une opinion à
savoir si les principes
des services Trust sont
rencontrés.
Entités
utilisatrices
Usage restreint ‒ La
direction de la société
de services, la direction
des entités utilisatrices,
les auditeurs des
entités utilisatrices.
Usage généralement
restreinte ‒ Parties qui
connaissent les
services, les
interactions, le contrôle
interne et les critères.
Rapports à des fins
d’utilisation générale.
27 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Principes Trust (1/2)
Les rapports SOC 2 et SOC 3 répondent à un ou plusieurs des cinq
attributs clés suivants. Ces attributs sont mieux connus comme étant des
principes tel que définis ci-dessous :
1. Sécurité – Le système est protégé contre les accès non autorisés
(physiques et logiques).
2. Disponibilité – Le système est disponible pour les opérations et
l’utilisation tel que convenu ou accepté.
3. Intégrité des traitements – Le traitement du système est complet, exact,
en temps opportun et autorisé.
4. Confidentialité – L’information identifié comme étant confidentielle est
protégé tel que convenu et accepté.
5. Vie privée – L’information personnelle est recueillie, utilisée, conservée,
publiée et détruite selon les ententes de confidentialité (privacy notice) et
selon les critères généralement acceptés concernant la protection des
informations personnelles publiées par l’AICPA et CPA Canada.
28 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Principes Trust (2/2)
Quatre sections récurrentes dans les principes :
1. Définition des politiques
2. Communication des politiques
3. Mise en place des procédures
4. Surveillance
1. Sécurité – Page 7 à 16.
2. Disponibilité – Page 17 à 28.
3. Intégrité des traitements – Page 29 à 46.
4. Confidentialité – Page 47 à 59.
5. Vie privée – Page 59 à 62 .
Référence :
http://www.webtrust.org/principles-and-criteria/item27818.pdf
29 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Quel est le bon rapport SOC pour vous?
Description Réponse
Norme d’audit
applicable
Est-ce que le rapport est requis par les entités utilisatrices et leurs
auditeurs pour planifier et réaliser l’audit des états financiers et/ou la
certification du contrôle interne?
Oui Rapport SOC 1
Est-ce que le rapport est requis par les entités utilisatrices comme
partie intégrante à leur programme de conformité à 52-109 /
Sarbanes-Oxley ou autre règlementation similaire?
Oui Rapport SOC 1
Est-ce que le rapport est utilisé par les entités utilisatrices ou parties
prenantes pour accroître le niveau de confiance et s’appuyer sur les
système de la société de services?
Oui
Rapport SOC 2
Rapport SOC 3
Est-il requis de rendre le rapport accessible au grand public? Oui Rapport SOC 3
Est-ce que les entités utilisatrices nécessitent une compréhension
des processus et des contrôles de la société de services, des tests
réalisés par l’auditeur et des résultats de ce dernier?
Oui Rapport SOC 2
Non Rapport SOC 3
30 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Introduction SOC 2
• Survol
˗ Plusieurs entités impartissent des tâches ou des fonctions entière à des
société de services qui opèrent, collectent, traitent, transmettent, stockent,
organisent, maintiennent et détruisent des informations pour les entités
utilisatrices.
• Étendue et utilisation
˗ Critères prédéfinis.
˗ Exigences et directrice dans « AT Section 101, Attest Engagements, of
Statements on Standards for Attestation Engagements (SSAE) (AICPA,
Professional Standards, vol. 1) » – Équivalent canadien du chapitre 5025
de CPA Canada.
˗ Utilisation restreinte : Contrairement au SOC 1, l’utilisation primaire d’un
rapport SOC 2 n’est pas pour l’utilisation des auditeurs, mais bien pour la
direction de la société de services et la direction des entités utilisatrices.
˗ Rapports de type 1 ou type 2 peuvent être émis.
31 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Introduction SOC 3
• Survol
˗ Les entreprises qui vendent des produits et services par téléphone ou sur
Internet ont des clients qui sont préoccupés par les moyens pris par
l’entreprise pour gérer et traiter l’information des clients.
• Étendue et utilisation
˗ Mêmes critères que SOC 2.
˗ Un rapport SOC 3 est un rapport sommaire à usage général qui ne décrit
pas les procédures d’audit et les résultats.
32 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Les réserves et les
exceptions de
l’auditeur
33 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Les réserves et les exceptions
• Les exceptions notées lors de l’exécution des tests sont divulguées
dans la section « Résultats des tests d’audit » du rapport.
• Les réserves sont reflétées dans l’opinion de l’auditeur.
• Les réserves sont basées sur le jugement professionnel de l’auditeur.
34 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Les réserves – Manuel de CPA Canada
Exemple 1
• Opinion avec réserve dans un rapport de type 2 : la description du système de la
société de services ne donne pas une image fidèle du système dans tous ses aspects
significatifs.
Exemple 2
• Opinion avec réserve : la conception des contrôles n'est pas adéquate pour fournir
l'assurance raisonnable que les objectifs de contrôle énoncés dans la description du
système de la société de services produite par la direction seraient atteints dans
l'hypothèse d'un fonctionnement efficace des contrôles.
Exemple 3
• Opinion avec réserve dans un rapport de type 2 : le fonctionnement des contrôles n'a
pas été efficace tout au long de la période pour permettre l'atteinte des objectifs de
contrôle énoncés dans la description du système de la société de services.
Exemple 4
• Opinion avec réserve : l'auditeur de la société de services est incapable d'obtenir des
éléments probants suffisants et appropriés.
Les audits des contrôles de sociétés de services35
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Les réserves et les exceptions de l’auditeur – Impact sur
l’assertion de la direction
• Un nombre raisonnable d’exceptions non identifiées d’abord par la
direction ne devrait pas poser problème.
• Un nombre excessif d’exceptions non identifiées d’abord par la direction
va amener l’auditeur à s’interroger sur l’efficacité de la surveillance
exercée par la direction et sur la « base raisonnable » de l’assertion de
la direction.
• Si des réserves sont identifiées, elles devront être reflétées dans
l’assertion de la direction et dans l’opinion de l’auditeur.
En pratique, la direction va fournir son assertion une fois que l’audit
est complété et elle devrait refléter les réserves qui sont
mentionnées au rapport d’audit.
36 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’utilisation des
travaux de la fonction
d’audit interne
37 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’utilisation des travaux de la fonction d’audit interne
• Si des travaux de la fonction d’audit interne sont utilisés pour tester des
contrôles, la section « Résultats des tests d’audit » du rapport devra
décrire les travaux exécutés par la fonction d’audit interne de même que
les procédures exécutées par l’auditeur concernant ces travaux.
Les règles relatives à l’utilisation des travaux de la fonction d’audit
interne n’ont pas changé. Le changement est que maintenant c’est
décrit de façon plus transparente au rapport.
38 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
L’utilisation des
rapports par le
« client »
39 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Utilisation du rapport par le « client » – Direction
• S’assurer que les objectifs et activités de contrôles couvrent les risques
pertinents selon les responsabilités de l’organisme de services.
• S’assurer que la production d’un rapport sur les contrôles exercés par
une société de services est prévue au contrat.
• Revoir l’opinion et les résultats des tests de l’auditeur et considérer les
éléments suivants :
˗ Période couverte suffisante
˗ Environnements visés par l’opinion
˗ Réserves
˗ Exception aux procédures de tests
˗ Contrôles complémentaires et travaux additionnels requis
˗ Méthode inclusive ou d’exclusion
˗ La compétence de l’auditeur
40 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Utilisation du rapport par le « client » – Direction
• Description des systèmes :
˗ Changements significatifs en cours d’année ou à venir
˗ Plans d’action ou commentaires sur les exceptions
Est-ce que le rapport répond aux besoins et quel est l’impact
des résultats?
41 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Utilisation du rapport par le « client » ‒ Auditeurs
• En plus des questions au point précédent, l’auditeur externe du
« client » devrait considérer les éléments suivants :
˗ Évaluer l’impact des résultats sur :
 L’approche d’audit interne/externe
 Les efforts requis pour valider les contrôles complémentaire
 Travaux additionnels pour compenser les exceptions/réserves
˗ Processus de communication à l’interne des exceptions/réserves
˗ Suivi des mesures correctives
42 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Questions?
43 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Nos coordonnées
David Liberatore, M.Sc., CPA, CA, CISA, CISSP
Directeur de service | Service Risques d’entreprises
Ligne directe : 514-393-7817
dliberatore@deloitte.ca
44 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Annexe A ‒ Exemple
d'assertion de la
direction d'une
société de services
45 Les audits des contrôles de sociétés de services
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Exemple d'assertion de la direction d'une société de
services *
46 Les audits des contrôles de sociétés de services
L'assertion de la direction de la société de services peut être fournie dans le corps ou en
annexe de la description du système de la société de services.
L’exemple qui suit est un exemple d'assertion destinée à être incluse dans le corps de la
description.
L’exemple d'assertion de la direction qui suit n’est fourni qu'à titre indicatif et il ne se veut ni
exhaustif ni applicable à toutes les situations.
Exemple 1 : Assertion de la direction d'une société de services dans le cas
d'un rapport de type 2
Assertion de la société de services XYZ
Nous avons préparé la description du système [type ou nom du système] (description) de la société de
services XYZ pour les entités utilisatrices du système durant tout ou partie de la période du [date] au
[date] ainsi que pour les auditeurs indépendants de ces entités qui sont dotés d'une compréhension
suffisante pour pouvoir en tenir compte, de pair avec d'autres informations, y compris des informations
sur les contrôles mis en place par les entités utilisatrices du système elles-mêmes, lorsqu'ils évaluent le
risque que les états financiers des entités utilisatrices comportent des anomalies significatives. Nous
confirmons, au mieux de notre connaissance et en toute bonne foi :
* Cet exemple provient de l’annexe 4 de la norme 3416.
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Exemple d'assertion de la direction d'une société de
services (suite)
47 Les audits des contrôles de sociétés de services
a) que la description donne une image fidèle du système [type ou nom du système] mis à
la disposition des entités utilisatrices du système pendant tout ou partie de la période
du [date] au [date] pour le traitement de leurs opérations [ou mention de la fonction
remplie par le système]. Pour pouvoir faire cette assertion, nous nous sommes fondés
sur les critères suivants :
i. la description indique comment le système mis à la disposition des entités utilisatrices a été
conçu et mis en place pour traiter les opérations pertinentes, et fournit notamment les
informations suivantes :
a. les catégories d'opérations traitées,
b. les procédures suivies, tant dans les systèmes manuels que dans les systèmes
automatisés, pour le déclenchement, l'autorisation, l'enregistrement, le traitement et la
correction au besoin des opérations, ainsi que pour leur report dans les rapports transmis
aux entités utilisatrices du système,
c. les enregistrements comptables correspondants, les informations justificatives et les
comptes spécifiques qui sont utilisés pour le déclenchement, l'autorisation,
l'enregistrement, le traitement et la communication par rapport des opérations; cela
comprend la correction des informations erronées et la manière dont les informations sont
reportées dans les rapports transmis aux entités utilisatrices du système,
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Exemple d'assertion de la direction d'une société de
services (suite)
48 Les audits des contrôles de sociétés de services
d. la façon dont le système saisit et traite les situations et les événements importants autres
que les opérations,
e. le processus de préparation des rapports ou des autres documents d'information fournis
aux entités utilisatrices du système,
f. les objectifs de contrôle spécifiés et les contrôles conçus pour les atteindre,
g. les autres aspects de notre environnement de contrôle, de notre processus d'évaluation
des risques, de nos systèmes d'information et de communication (y compris les
processus opérationnels connexes), de nos activités de contrôle et de nos contrôles de
suivi qui sont pertinents pour le traitement et la communication par rapport des opérations
des entités utilisatrices du système,
ii. la description n'omet pas ni ne déforme des informations pertinentes au regard de l'étendue du
système [type ou nom du système], étant toutefois entendu que cette description a été
préparée afin de répondre aux besoins communs d'un grand nombre d'entités utilisatrices du
système et de leurs auditeurs indépendants et qu'il se peut donc qu'elle ne couvre pas tous les
aspects du système [type ou nom du système] que les diverses entités utilisatrices, prises
individuellement, et leur auditeur peuvent juger importants dans le contexte propre à chacune;
b) que la description précise, en fournissant les détails pertinents, les modifications
apportées au système de la société de services pendant la durée de la période
couverte par la description;
© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Exemple d'assertion de la direction d'une société de
services (suite)
49 Les audits des contrôles de sociétés de services
c) que la conception des contrôles correspondant aux objectifs de contrôle énoncés dans
la description était adéquate et leur fonctionnement efficace tout au long de la période
du [date] au [date] pour l'atteinte de ces objectifs de contrôle. Pour pouvoir faire cette
assertion, nous nous sommes fondés sur les critères suivants :
i. les risques pouvant compromettre l'atteinte des objectifs de contrôle énoncés dans la
description ont été identifiés par la société de services;
ii. les contrôles identifiés dans la description sont de nature à fournir, s'ils fonctionnent
conformément à la description, une assurance raisonnable que ces risques n'empêchent pas
l'atteinte des objectifs de contrôle énoncés dans la description;
iii. les contrôles ont été systématiquement appliqués tels qu'ils ont été conçus, et notamment les
contrôles manuels ont été appliqués par des personnes possédant les compétences et
l'autorité requises.
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III

Contenu connexe

Tendances

Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
Ammar Sassi
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
Ammar Sassi
 
La Gouvernance IT
La Gouvernance ITLa Gouvernance IT
La Gouvernance IT
Nicolas PIGNAL
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
soumaila Doumbia
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
Thierry Pertus
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
PECB
 
PCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfPCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdf
ControlCase
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
Bee_Ware
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
Mehari
MehariMehari
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
Cours2 uml usecase
Cours2 uml usecaseCours2 uml usecase
Cours2 uml usecasevangogue
 

Tendances (20)

Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
La Gouvernance IT
La Gouvernance ITLa Gouvernance IT
La Gouvernance IT
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
PCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfPCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdf
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Mehari
MehariMehari
Mehari
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Cours2 uml usecase
Cours2 uml usecaseCours2 uml usecase
Cours2 uml usecase
 

En vedette

Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec Splunk
Ibrahimous
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
ISACA Chapitre de Québec
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
ISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
ISACA Chapitre de Québec
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
ISACA Chapitre de Québec
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
ISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
ISACA Chapitre de Québec
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
ISACA Chapitre de Québec
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
ISACA Chapitre de Québec
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
ISACA Chapitre de Québec
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
ISACA Chapitre de Québec
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
ISACA Chapitre de Québec
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
ISACA Chapitre de Québec
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
ISACA Chapitre de Québec
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
ISACA Chapitre de Québec
 
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust - Cybersecurity as a Service
 

En vedette (20)

Splunk
SplunkSplunk
Splunk
 
Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec Splunk
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FR
 
Programme isaca 2013_2014
Programme isaca 2013_2014Programme isaca 2013_2014
Programme isaca 2013_2014
 

Similaire à Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III

ISO 9001 (1).pptx
ISO 9001 (1).pptxISO 9001 (1).pptx
ISO 9001 (1).pptx
salmagouam
 
qualité S6 chapitre1 .pdf
qualité S6 chapitre1 .pdfqualité S6 chapitre1 .pdf
qualité S6 chapitre1 .pdf
AmjadNiot
 
Partie 1 audit comptable et financier
Partie 1 audit comptable et financierPartie 1 audit comptable et financier
Partie 1 audit comptable et financier
Zouhair Aitelhaj
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
Khouloud Errachedi
 
1675411964246.pdf
1675411964246.pdf1675411964246.pdf
1675411964246.pdf
HAMRANMGCQHSE
 
Conduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Conduite d'un projet informatique - Assurance Qualité et Aspects JuridiquesConduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Conduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Mohamed Sabra
 
audit interne-audit interne-audit interne.pdf
audit interne-audit interne-audit interne.pdfaudit interne-audit interne-audit interne.pdf
audit interne-audit interne-audit interne.pdf
AymenAouainia
 
Présentation asmq
Présentation asmqPrésentation asmq
Présentation asmq
hajar ELouariachi
 
formation Iso 9001
formation Iso 9001formation Iso 9001
formation Iso 9001yassin86
 
9001.pptx
9001.pptx9001.pptx
9001.pptx
WalidHaned2
 
Guide pratique de l'audit financier oec
Guide pratique de l'audit financier oecGuide pratique de l'audit financier oec
Guide pratique de l'audit financier oec
FINALIANCE
 
AUDIT COMPTABLE support 2.pdf
AUDIT COMPTABLE support 2.pdfAUDIT COMPTABLE support 2.pdf
AUDIT COMPTABLE support 2.pdf
helacherif8
 
AUDIT COMPTABLE.pdf
AUDIT COMPTABLE.pdfAUDIT COMPTABLE.pdf
AUDIT COMPTABLE.pdf
Jallal Diane
 
iso9001.pptx
iso9001.pptxiso9001.pptx
iso9001.pptx
WalidHaned2
 
iso_9001_fr.pptx
iso_9001_fr.pptxiso_9001_fr.pptx
iso_9001_fr.pptx
ssuserb160901
 
iso_9001_fr.pptx
iso_9001_fr.pptxiso_9001_fr.pptx
iso_9001_fr.pptx
MohammedBARAHHOU
 

Similaire à Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III (20)

ISO 9001 (1).pptx
ISO 9001 (1).pptxISO 9001 (1).pptx
ISO 9001 (1).pptx
 
audit 2009
 audit 2009 audit 2009
audit 2009
 
Manuel mase
Manuel maseManuel mase
Manuel mase
 
qualité S6 chapitre1 .pdf
qualité S6 chapitre1 .pdfqualité S6 chapitre1 .pdf
qualité S6 chapitre1 .pdf
 
Partie 1 audit comptable et financier
Partie 1 audit comptable et financierPartie 1 audit comptable et financier
Partie 1 audit comptable et financier
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
1675411964246.pdf
1675411964246.pdf1675411964246.pdf
1675411964246.pdf
 
Conduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Conduite d'un projet informatique - Assurance Qualité et Aspects JuridiquesConduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Conduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
 
audit interne-audit interne-audit interne.pdf
audit interne-audit interne-audit interne.pdfaudit interne-audit interne-audit interne.pdf
audit interne-audit interne-audit interne.pdf
 
Présentation asmq
Présentation asmqPrésentation asmq
Présentation asmq
 
formation Iso 9001
formation Iso 9001formation Iso 9001
formation Iso 9001
 
Doc audit
Doc auditDoc audit
Doc audit
 
9001.pptx
9001.pptx9001.pptx
9001.pptx
 
Guide pratique de l'audit financier oec
Guide pratique de l'audit financier oecGuide pratique de l'audit financier oec
Guide pratique de l'audit financier oec
 
AUDIT COMPTABLE support 2.pdf
AUDIT COMPTABLE support 2.pdfAUDIT COMPTABLE support 2.pdf
AUDIT COMPTABLE support 2.pdf
 
AUDIT COMPTABLE.pdf
AUDIT COMPTABLE.pdfAUDIT COMPTABLE.pdf
AUDIT COMPTABLE.pdf
 
Audit2
Audit2Audit2
Audit2
 
iso9001.pptx
iso9001.pptxiso9001.pptx
iso9001.pptx
 
iso_9001_fr.pptx
iso_9001_fr.pptxiso_9001_fr.pptx
iso_9001_fr.pptx
 
iso_9001_fr.pptx
iso_9001_fr.pptxiso_9001_fr.pptx
iso_9001_fr.pptx
 

Plus de ISACA Chapitre de Québec

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
ISACA Chapitre de Québec
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
ISACA Chapitre de Québec
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauISACA Chapitre de Québec
 
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...ISACA Chapitre de Québec
 
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...ISACA Chapitre de Québec
 
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)ISACA Chapitre de Québec
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
ISACA Chapitre de Québec
 
L'adoption de l'agilité: les impacts sur l'organisation
L'adoption de l'agilité: les impacts sur l'organisationL'adoption de l'agilité: les impacts sur l'organisation
L'adoption de l'agilité: les impacts sur l'organisationISACA Chapitre de Québec
 
Sécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatiqueSécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatiqueISACA Chapitre de Québec
 

Plus de ISACA Chapitre de Québec (12)

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
 
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
 
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
 
L'adoption de l'agilité: les impacts sur l'organisation
L'adoption de l'agilité: les impacts sur l'organisationL'adoption de l'agilité: les impacts sur l'organisation
L'adoption de l'agilité: les impacts sur l'organisation
 
Sécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatiqueSécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatique
 
Un virage agile: réalité ou utopie?
Un virage agile: réalité ou utopie?Un virage agile: réalité ou utopie?
Un virage agile: réalité ou utopie?
 

Dernier

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 

Dernier (6)

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 

Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III

  • 1. Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III 31 Mars 2015
  • 2. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Agenda 1. Historique et compréhension des besoins 2. L’audit des contrôles 3. La description du système de la société de services produite par la direction 4. L’assertion de la direction 5. Les considérations des sous-traitants de la société de services 6. L’étendue de l’audit 7. Les réserves et les exceptions de l’auditeur 8. L’utilisation des travaux de la fonction d’audit interne 9. L’utilisation des rapports par le « client » Annexe A ‒ Exemple d'assertion de la direction d'une société de services 1 Les audits des contrôles de sociétés de services
  • 3. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Historique et compréhension des besoins 2 Les audits des contrôles de sociétés de services
  • 4. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Vocabulaire/acronymes du rapport de l’auditeur d’une société de services AICPA « American Institute of Certified Public Accountants » SSAE « Standards for Attestation Engagements » ISAE « International Standards for Assurance Engagements » SOC « Service Organizational Controls » CNVC Conseil des normes de vérification et de certification NCMC Norme canadienne de missions de certification 3 Normes existantes Nouvelles normes États-Unis Canada International États-Unis Canada Les noms des rapports de l’auditeur d’une société de services SAS 70 5970 ISAE 3402 SSAE 16 NCMC 3416 Les audits des contrôles de sociétés de services
  • 5. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. La « chaîne » d’interdépendance Un besoin accru d’établir un lien de confiance avec les parties prenantes et les partenaires 4 Les audits des contrôles de sociétés de services ImpartitionTI Fournisseurs Organismes règlementaires Employés Clients Société de services et partenaires Direction et administrateurs Entité utilisatrice ImpartitionTI Société de services et partenaires Confiance? ConfianceConfiance?
  • 6. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Quel est l’objectif d’un rapport indépendant sur les contrôles d’une société de services? Objectif : Fournir une assurance que les contrôles décrits sont en place et fournir une opinion sur le fonctionnement des contrôles. 5 Services Société de services Auditeur de la société de services Entité utilisatrice A Entité utilisatrice B Entité utilisatrice C Cibles Organismes règlementaires Rapport indépendant sur les contrôles Auditeur de l’entité utilisatrice C Auditeur de l’entité utilisatrice B Auditeur de l’entité utilisatrice A Les audits des contrôles de sociétés de services
  • 7. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Quels sont les bénéfices d’un rapport sur les contrôles d’une société de services? Bénéfices pour la société de services • Crédibilité • Marketing • Avantage concurrentiel • Gestion de risques • Réduction des efforts d’audit Bénéfices pour l’entité utilisatrice • Confiance • Gestion de risques • Satisfaction des auditeurs ou des organismes règlementaires • Réduction des coûts 6 Les audits des contrôles de sociétés de services
  • 8. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Secteurs qui obtiennent des rapports sur les contrôles d’une société de services? • Traitement de paiements • Gestion d’actifs • Affaires bancaires et marchés boursiers • Gouvernement et secteur public • Gestion immobilière • Hébergement TI • Télécommunications • Assurance • Traitement de la paie • Impartition du service des finances • Infonuagique (cloud computing) • Fournisseur de services applicatifs (SaaS) 7 Les audits des contrôles de sociétés de services
  • 9. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’audit des contrôles 8 Les audits des contrôles de sociétés de services
  • 10. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’audit des contrôles • La direction définit les objectifs de contrôle et les contrôles conçus pour l’atteinte des dits objectifs de contrôle. • La direction fournit la liste des contrôles complémentaires qui sont censés être en place dans les entités utilisatrices. • L’auditeur de la société de services va continuer d’auditer les contrôles. • L’auditeur de la société de services donne une opinion sur : ˗ Type 1 – la mise en place et la conception des contrôles ˗ Type 2 – la mise en place, la conception et le fonctionnement efficace des contrôles • Pour les audits de type 2, l’auditeur de la société de services divulgue pour chaque contrôle, selon les types de rapports : ˗ Le détail des tests exécutés ˗ Les résultats des tests exécutés 9 Les audits des contrôles de sociétés de services
  • 11. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. La description du système de la société de services produite par la direction 10 Les audits des contrôles de sociétés de services
  • 12. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. La description du système de la société de services produite par la direction Étapes pour établir efficacement une description de système 1. Établir l’étendue 2. Déterminer les objectifs de contrôle 3. Identifier les risques pour chaque objectif de contrôle 4. Déterminer les contrôles 5. Développer une stratégie pour les écarts, le cas échéant 6. Identifier les autres aspects clefs de la description du système 7. Développer le cadre de contrôle à divulguer a) Environnement de contrôle b) Évaluation des risques c) Information et communication d) Surveillance du contrôle interne 8. Développer les autres divulgations 11 Les audits des contrôles de sociétés de services
  • 13. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Critères valables Qu’entend-t-on par critères valables? • « Critères » – les normes ou les points de référence utilisés pour mesurer et présenter l’élément considéré et par rapport auxquels l’auditeur de la société de services évalue cet élément. • Le « caractère valable » des critères doit être identifié pour chaque type d’opinion émise : 1. Opinion sur la présentation fidèle de la description du système produite par la direction (Type 1 et type 2). 2. Opinion sur l’adéquation de la conception des contrôles (Type 1 et type 2). 3. Opinion sur l’efficacité du fonctionnement des contrôles (Type 2). 12 Les audits des contrôles de sociétés de services
  • 14. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’assertion de la direction 13 Les audits des contrôles de sociétés de services
  • 15. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’assertion de la direction Une assertion écrite de la direction de la société de services indiquant si, dans tous leurs aspects significatifs, et au regard de critères adéquats : 1. La description du système de la société de services produite par la direction donne une image fidèle du système de la société de services tel qu’il a été conçu et était en place tout au long de la période spécifiée (Type 2) à une date spécifiée (Type 1). 2. La conception des contrôles correspondant aux objectifs de contrôle mentionnés dans la description du système de la société de services produite par la direction était adéquate pour l’atteinte de ces objectifs de contrôle tout au long de la période spécifiée (Type 2) à une date spécifiée (Type 1). 3. Les contrôles correspondant aux objectifs de contrôle mentionnés dans la description du système de la société de services produite par la direction ont fonctionné efficacement tout au long de la période spécifiée pour permettre d’atteindre ces objectifs de contrôle (Type 2). L’assertion de la direction est presque analogue à l’opinion de l’auditeur. 14 Les audits des contrôles de sociétés de services
  • 16. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’assertion de la direction • La direction doit toujours fournir une lettre d’affirmation à l’auditeur de la société de services. • La lettre d’affirmation doit faire référence à l’assertion de la direction. 15 Les audits des contrôles de sociétés de services
  • 17. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’assertion de la direction • La direction doit avoir une base raisonnable pour supporter l’assertion. • Les normes NCMC 3416 et SSAE 16 ne prescrivent pas comment la direction doit supporter son assertion ou ce que constitue une « base raisonnable ». • Il y a plusieurs approches possibles et facteurs à considérer, à titre d’exemples : ˗ Maturité du cadre de contrôle et des risques existants; ˗ Complexité des affaires et le niveau de changement; ˗ Stabilité des processus dans l’étendue; ˗ Historique des erreurs et faiblesses au plan contrôle; ˗ Autres sources internes d’assurance (par exemple, audit interne, tests pour la certification des contrôles (CEO/CFO), conformité, gestion des risques); ˗ Autres sources externes d’assurance (autre que l’auditeur de la société de services). 16 Les audits des contrôles de sociétés de services
  • 18. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’assertion de la direction • L’assertion de la direction peut être incorporée à la description du système ou en annexe à celle-ci. • Le norme 3416 ne spécifie pas qui de la société de services doit fournir l’assertion. • L’auditeur de la société de services doit déterminer les personnes appropriées en considérant qui détient les responsabilités appropriées et les connaissances eu égard au sujet. • Les sociétés de services peuvent choisir d’utiliser un processus de sous-certification en cascade pour supporter l’assertion. Bien que l’auditeur de la société de services doit recevoir une lettre d’assertion signée, la signature n’a pas besoin d’apparaitre dans le rapport 3416 bien que ce soit une pratique courante de le faire. 17 Les audits des contrôles de sociétés de services
  • 19. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’assertion de la direction Gouvernance : Exemples d’activités Niveau d’assertion Aucune base Surveillance continue Exemples de procédures • L’auditeur de la société de services exécute des tests et produit un rapport • Rapport de la direction et autres activités de surveillance • Évaluation des risques par la direction • Tests et surveillance de l’audit interne • Examen réglementaire indépendant • Évaluation indépendante des risques • Évaluation indépendante ou par la direction du fonctionnement efficace des contrôles Documentation de support • Aucune • Documentation de la surveillance de la direction • Documentation de l’évaluation des risques de la direction • Rapports réglementaires • Rapports de l’audit interne • Résultats de l’évaluation indépendante des risques • Éléments probants des tests sur le fonctionnement efficace des contrôles *Une combinaison d’une surveillance continue et des évaluations séparées vont habituellement favoriser l’efficacité des contrôles dans le temps. Les audits des contrôles de sociétés de services Tests (SOX) Évaluations séparées Base raisonnable pour l’assertion de la direction* 18
  • 20. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Contrôles − Risque de non-conformité Importance x x x x x x x x 19 • Accès logique • Gestion des changements • Privilèges d’accès à haut niveau x Risque de non-conformité Les audits des contrôles de sociétés de services
  • 21. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’assertion de la direction Les choses à faire et à ne pas faire • Ce que les sociétés de services ne peuvent pas faire : ˗ S’appuyer uniquement sur le travail de l’auditeur de la société de services. • Ce que les sociétés de services n’ont pas besoin de faire : ˗ Créer ou utiliser la fonction existante d’audit interne pour exécuter des tests pour supporter l’assertion de la direction (Fils de SOx). ˗ Mandater un cabinet d’audit pour exécuter des tests. • Ce qu’il est recommandé de faire : ˗ S’appuyer sur les contrôles de surveillance existants ou en ajouter. ˗ Tirer avantage des pratiques existantes en matière de risques et de contrôles. ˗ Démontrer une base raisonnable pour l’assertion de la direction. 20 Les audits des contrôles de sociétés de services
  • 22. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Les considérations des sous-traitants de la société de services 21 Les audits des contrôles de sociétés de services
  • 23. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Sous-traitants de la société de services • Établir si le sous-traitant est important. ˗ Est-ce que les services et les contrôles sont importants pour l’audit des états financiers de l’entité utilisatrice? • Si c’est important ça doit être décrit selon l’une ou l’autre des méthodes suivantes : ˗ méthode d’exclusion; ˗ méthode d’inclusion. 22 Les audits des contrôles de sociétés de services
  • 24. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Sous-traitants de la société de services – Méthode d’exclusion • Si la méthode d’exclusion est utilisée, la nature des prestations fournies par le sous-traitant est incluse dans la description du système de la société de services. Les objectifs de contrôle pertinents du sous-traitant et ses contrôles correspondants sont toutefois exclus. • Le sous-traitant est alors exclu de l’étendue de l’audit : ˗ Mention explicite de l’exclusion dans l’opinion de l’auditeur; ˗ Mention explicite dans la description du système produite par la direction; ˗ Mention explicite dans l’assertion de la direction. Aux États-Unis, dans la majorité des rapports impliquant des sous- traitants, la méthode d’exclusion est utilisée. 23 Les audits des contrôles de sociétés de services
  • 25. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Sous-traitants de la société de services – Méthode d’inclusion • Si la méthode d’inclusion est utilisée, la description du système de la société de services produite par la direction comprend une description de la nature des prestations fournies par le sous-traitant ainsi que les objectifs de contrôle et les contrôles correspondants du sous-traitant qui sont pertinents. • Les contrôles exercés par le sous-traitant sont inclus dans l’étendue de l’audit. • Les contrôles exercés par le sous-traitant sont inclus dans la section du rapport qui décrit les tests d’audit exécutés et les résultats des tests. Si la méthode d’inclusion est utilisée, l’assertion de la direction et une lettre d’affirmation doivent être obtenues de la direction du sous-traitant. L’assertion de la direction sera incluse au rapport d’audit. 24 Les audits des contrôles de sociétés de services
  • 26. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Sous-traitants de la société de services – Méthode d’inclusion • L’expérience à date montre que les sous-traitants ne sont pas prêts à fournir une assertion de la direction (leur conseiller juridique les avise de ne pas le faire). • Conséquemment, la méthode d’exclusion sera probablement celle qui sera la plus utilisée. Les sociétés qui ont des sous-traitants doivent décider si elles veulent utiliser la méthode d’inclusion avant de réaliser les travaux. Si c’est le cas, les discussions doivent être entreprises avec la direction des sous-traitants, pour obtenir son accord sur le fait qu’une assertion de la direction devra être fournie. 25 Les audits des contrôles de sociétés de services
  • 27. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’étendue de l’audit 26 Les audits des contrôles de sociétés de services
  • 28. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Rapports « Service Organization Control » : « SOC1 », « SOC2 » et « SOC3 » Rapports SOC1 Rapports SOC2 Rapports SOC3 Normes professionnelles NCMC 3416 SSAE 16 CPA Canada 5025 AT 101 CPA Canada 5025 AT 101 Sujet Contrôles pertinents pour le contrôle interne de l’information financière. Contrôles pertinents pour la sécurité, disponibilité, intégrité des traitements, confidentialité ou vie privée. Contrôles pertinents pour la sécurité, disponibilité, intégrité des traitements, confidentialité ou vie privée. But Supporter les audits d’états financiers des entités utilisatrices. Fournir une opinion à savoir si les principes des services Trust sont rencontrés. Fournir une opinion à savoir si les principes des services Trust sont rencontrés. Entités utilisatrices Usage restreint ‒ La direction de la société de services, la direction des entités utilisatrices, les auditeurs des entités utilisatrices. Usage généralement restreinte ‒ Parties qui connaissent les services, les interactions, le contrôle interne et les critères. Rapports à des fins d’utilisation générale. 27 Les audits des contrôles de sociétés de services
  • 29. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Principes Trust (1/2) Les rapports SOC 2 et SOC 3 répondent à un ou plusieurs des cinq attributs clés suivants. Ces attributs sont mieux connus comme étant des principes tel que définis ci-dessous : 1. Sécurité – Le système est protégé contre les accès non autorisés (physiques et logiques). 2. Disponibilité – Le système est disponible pour les opérations et l’utilisation tel que convenu ou accepté. 3. Intégrité des traitements – Le traitement du système est complet, exact, en temps opportun et autorisé. 4. Confidentialité – L’information identifié comme étant confidentielle est protégé tel que convenu et accepté. 5. Vie privée – L’information personnelle est recueillie, utilisée, conservée, publiée et détruite selon les ententes de confidentialité (privacy notice) et selon les critères généralement acceptés concernant la protection des informations personnelles publiées par l’AICPA et CPA Canada. 28 Les audits des contrôles de sociétés de services
  • 30. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Principes Trust (2/2) Quatre sections récurrentes dans les principes : 1. Définition des politiques 2. Communication des politiques 3. Mise en place des procédures 4. Surveillance 1. Sécurité – Page 7 à 16. 2. Disponibilité – Page 17 à 28. 3. Intégrité des traitements – Page 29 à 46. 4. Confidentialité – Page 47 à 59. 5. Vie privée – Page 59 à 62 . Référence : http://www.webtrust.org/principles-and-criteria/item27818.pdf 29 Les audits des contrôles de sociétés de services
  • 31. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Quel est le bon rapport SOC pour vous? Description Réponse Norme d’audit applicable Est-ce que le rapport est requis par les entités utilisatrices et leurs auditeurs pour planifier et réaliser l’audit des états financiers et/ou la certification du contrôle interne? Oui Rapport SOC 1 Est-ce que le rapport est requis par les entités utilisatrices comme partie intégrante à leur programme de conformité à 52-109 / Sarbanes-Oxley ou autre règlementation similaire? Oui Rapport SOC 1 Est-ce que le rapport est utilisé par les entités utilisatrices ou parties prenantes pour accroître le niveau de confiance et s’appuyer sur les système de la société de services? Oui Rapport SOC 2 Rapport SOC 3 Est-il requis de rendre le rapport accessible au grand public? Oui Rapport SOC 3 Est-ce que les entités utilisatrices nécessitent une compréhension des processus et des contrôles de la société de services, des tests réalisés par l’auditeur et des résultats de ce dernier? Oui Rapport SOC 2 Non Rapport SOC 3 30 Les audits des contrôles de sociétés de services
  • 32. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Introduction SOC 2 • Survol ˗ Plusieurs entités impartissent des tâches ou des fonctions entière à des société de services qui opèrent, collectent, traitent, transmettent, stockent, organisent, maintiennent et détruisent des informations pour les entités utilisatrices. • Étendue et utilisation ˗ Critères prédéfinis. ˗ Exigences et directrice dans « AT Section 101, Attest Engagements, of Statements on Standards for Attestation Engagements (SSAE) (AICPA, Professional Standards, vol. 1) » – Équivalent canadien du chapitre 5025 de CPA Canada. ˗ Utilisation restreinte : Contrairement au SOC 1, l’utilisation primaire d’un rapport SOC 2 n’est pas pour l’utilisation des auditeurs, mais bien pour la direction de la société de services et la direction des entités utilisatrices. ˗ Rapports de type 1 ou type 2 peuvent être émis. 31 Les audits des contrôles de sociétés de services
  • 33. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Introduction SOC 3 • Survol ˗ Les entreprises qui vendent des produits et services par téléphone ou sur Internet ont des clients qui sont préoccupés par les moyens pris par l’entreprise pour gérer et traiter l’information des clients. • Étendue et utilisation ˗ Mêmes critères que SOC 2. ˗ Un rapport SOC 3 est un rapport sommaire à usage général qui ne décrit pas les procédures d’audit et les résultats. 32 Les audits des contrôles de sociétés de services
  • 34. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Les réserves et les exceptions de l’auditeur 33 Les audits des contrôles de sociétés de services
  • 35. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Les réserves et les exceptions • Les exceptions notées lors de l’exécution des tests sont divulguées dans la section « Résultats des tests d’audit » du rapport. • Les réserves sont reflétées dans l’opinion de l’auditeur. • Les réserves sont basées sur le jugement professionnel de l’auditeur. 34 Les audits des contrôles de sociétés de services
  • 36. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Les réserves – Manuel de CPA Canada Exemple 1 • Opinion avec réserve dans un rapport de type 2 : la description du système de la société de services ne donne pas une image fidèle du système dans tous ses aspects significatifs. Exemple 2 • Opinion avec réserve : la conception des contrôles n'est pas adéquate pour fournir l'assurance raisonnable que les objectifs de contrôle énoncés dans la description du système de la société de services produite par la direction seraient atteints dans l'hypothèse d'un fonctionnement efficace des contrôles. Exemple 3 • Opinion avec réserve dans un rapport de type 2 : le fonctionnement des contrôles n'a pas été efficace tout au long de la période pour permettre l'atteinte des objectifs de contrôle énoncés dans la description du système de la société de services. Exemple 4 • Opinion avec réserve : l'auditeur de la société de services est incapable d'obtenir des éléments probants suffisants et appropriés. Les audits des contrôles de sociétés de services35
  • 37. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Les réserves et les exceptions de l’auditeur – Impact sur l’assertion de la direction • Un nombre raisonnable d’exceptions non identifiées d’abord par la direction ne devrait pas poser problème. • Un nombre excessif d’exceptions non identifiées d’abord par la direction va amener l’auditeur à s’interroger sur l’efficacité de la surveillance exercée par la direction et sur la « base raisonnable » de l’assertion de la direction. • Si des réserves sont identifiées, elles devront être reflétées dans l’assertion de la direction et dans l’opinion de l’auditeur. En pratique, la direction va fournir son assertion une fois que l’audit est complété et elle devrait refléter les réserves qui sont mentionnées au rapport d’audit. 36 Les audits des contrôles de sociétés de services
  • 38. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’utilisation des travaux de la fonction d’audit interne 37 Les audits des contrôles de sociétés de services
  • 39. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’utilisation des travaux de la fonction d’audit interne • Si des travaux de la fonction d’audit interne sont utilisés pour tester des contrôles, la section « Résultats des tests d’audit » du rapport devra décrire les travaux exécutés par la fonction d’audit interne de même que les procédures exécutées par l’auditeur concernant ces travaux. Les règles relatives à l’utilisation des travaux de la fonction d’audit interne n’ont pas changé. Le changement est que maintenant c’est décrit de façon plus transparente au rapport. 38 Les audits des contrôles de sociétés de services
  • 40. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. L’utilisation des rapports par le « client » 39 Les audits des contrôles de sociétés de services
  • 41. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Utilisation du rapport par le « client » – Direction • S’assurer que les objectifs et activités de contrôles couvrent les risques pertinents selon les responsabilités de l’organisme de services. • S’assurer que la production d’un rapport sur les contrôles exercés par une société de services est prévue au contrat. • Revoir l’opinion et les résultats des tests de l’auditeur et considérer les éléments suivants : ˗ Période couverte suffisante ˗ Environnements visés par l’opinion ˗ Réserves ˗ Exception aux procédures de tests ˗ Contrôles complémentaires et travaux additionnels requis ˗ Méthode inclusive ou d’exclusion ˗ La compétence de l’auditeur 40 Les audits des contrôles de sociétés de services
  • 42. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Utilisation du rapport par le « client » – Direction • Description des systèmes : ˗ Changements significatifs en cours d’année ou à venir ˗ Plans d’action ou commentaires sur les exceptions Est-ce que le rapport répond aux besoins et quel est l’impact des résultats? 41 Les audits des contrôles de sociétés de services
  • 43. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Utilisation du rapport par le « client » ‒ Auditeurs • En plus des questions au point précédent, l’auditeur externe du « client » devrait considérer les éléments suivants : ˗ Évaluer l’impact des résultats sur :  L’approche d’audit interne/externe  Les efforts requis pour valider les contrôles complémentaire  Travaux additionnels pour compenser les exceptions/réserves ˗ Processus de communication à l’interne des exceptions/réserves ˗ Suivi des mesures correctives 42 Les audits des contrôles de sociétés de services
  • 44. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Questions? 43 Les audits des contrôles de sociétés de services
  • 45. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Nos coordonnées David Liberatore, M.Sc., CPA, CA, CISA, CISSP Directeur de service | Service Risques d’entreprises Ligne directe : 514-393-7817 dliberatore@deloitte.ca 44 Les audits des contrôles de sociétés de services
  • 46. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Annexe A ‒ Exemple d'assertion de la direction d'une société de services 45 Les audits des contrôles de sociétés de services
  • 47. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Exemple d'assertion de la direction d'une société de services * 46 Les audits des contrôles de sociétés de services L'assertion de la direction de la société de services peut être fournie dans le corps ou en annexe de la description du système de la société de services. L’exemple qui suit est un exemple d'assertion destinée à être incluse dans le corps de la description. L’exemple d'assertion de la direction qui suit n’est fourni qu'à titre indicatif et il ne se veut ni exhaustif ni applicable à toutes les situations. Exemple 1 : Assertion de la direction d'une société de services dans le cas d'un rapport de type 2 Assertion de la société de services XYZ Nous avons préparé la description du système [type ou nom du système] (description) de la société de services XYZ pour les entités utilisatrices du système durant tout ou partie de la période du [date] au [date] ainsi que pour les auditeurs indépendants de ces entités qui sont dotés d'une compréhension suffisante pour pouvoir en tenir compte, de pair avec d'autres informations, y compris des informations sur les contrôles mis en place par les entités utilisatrices du système elles-mêmes, lorsqu'ils évaluent le risque que les états financiers des entités utilisatrices comportent des anomalies significatives. Nous confirmons, au mieux de notre connaissance et en toute bonne foi : * Cet exemple provient de l’annexe 4 de la norme 3416.
  • 48. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Exemple d'assertion de la direction d'une société de services (suite) 47 Les audits des contrôles de sociétés de services a) que la description donne une image fidèle du système [type ou nom du système] mis à la disposition des entités utilisatrices du système pendant tout ou partie de la période du [date] au [date] pour le traitement de leurs opérations [ou mention de la fonction remplie par le système]. Pour pouvoir faire cette assertion, nous nous sommes fondés sur les critères suivants : i. la description indique comment le système mis à la disposition des entités utilisatrices a été conçu et mis en place pour traiter les opérations pertinentes, et fournit notamment les informations suivantes : a. les catégories d'opérations traitées, b. les procédures suivies, tant dans les systèmes manuels que dans les systèmes automatisés, pour le déclenchement, l'autorisation, l'enregistrement, le traitement et la correction au besoin des opérations, ainsi que pour leur report dans les rapports transmis aux entités utilisatrices du système, c. les enregistrements comptables correspondants, les informations justificatives et les comptes spécifiques qui sont utilisés pour le déclenchement, l'autorisation, l'enregistrement, le traitement et la communication par rapport des opérations; cela comprend la correction des informations erronées et la manière dont les informations sont reportées dans les rapports transmis aux entités utilisatrices du système,
  • 49. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Exemple d'assertion de la direction d'une société de services (suite) 48 Les audits des contrôles de sociétés de services d. la façon dont le système saisit et traite les situations et les événements importants autres que les opérations, e. le processus de préparation des rapports ou des autres documents d'information fournis aux entités utilisatrices du système, f. les objectifs de contrôle spécifiés et les contrôles conçus pour les atteindre, g. les autres aspects de notre environnement de contrôle, de notre processus d'évaluation des risques, de nos systèmes d'information et de communication (y compris les processus opérationnels connexes), de nos activités de contrôle et de nos contrôles de suivi qui sont pertinents pour le traitement et la communication par rapport des opérations des entités utilisatrices du système, ii. la description n'omet pas ni ne déforme des informations pertinentes au regard de l'étendue du système [type ou nom du système], étant toutefois entendu que cette description a été préparée afin de répondre aux besoins communs d'un grand nombre d'entités utilisatrices du système et de leurs auditeurs indépendants et qu'il se peut donc qu'elle ne couvre pas tous les aspects du système [type ou nom du système] que les diverses entités utilisatrices, prises individuellement, et leur auditeur peuvent juger importants dans le contexte propre à chacune; b) que la description précise, en fournissant les détails pertinents, les modifications apportées au système de la société de services pendant la durée de la période couverte par la description;
  • 50. © Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées. Exemple d'assertion de la direction d'une société de services (suite) 49 Les audits des contrôles de sociétés de services c) que la conception des contrôles correspondant aux objectifs de contrôle énoncés dans la description était adéquate et leur fonctionnement efficace tout au long de la période du [date] au [date] pour l'atteinte de ces objectifs de contrôle. Pour pouvoir faire cette assertion, nous nous sommes fondés sur les critères suivants : i. les risques pouvant compromettre l'atteinte des objectifs de contrôle énoncés dans la description ont été identifiés par la société de services; ii. les contrôles identifiés dans la description sont de nature à fournir, s'ils fonctionnent conformément à la description, une assurance raisonnable que ces risques n'empêchent pas l'atteinte des objectifs de contrôle énoncés dans la description; iii. les contrôles ont été systématiquement appliqués tels qu'ils ont été conçus, et notamment les contrôles manuels ont été appliqués par des personnes possédant les compétences et l'autorité requises.