Post on 16-Jun-2022
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 1
Automatisierte KontrollenTagung der EXPERTsuisse
Stéphane Kury & Emmanuel HofmannContrôle fédéral des finances – Réviseur Informatique
2
Agenda• Différents types de contrôles IT
Ø Vue généraleØ Approche d’audit
• Définition des types de contrôles• Risque d’erreurs sur les contrôles applicatifs• Contrôles applicatifs (Documentation, Exemple,
Analyse)• Stratégie de test des contrôles automatiques• Types d’erreur de saisie• Système de transport (Risques et contrôles)
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 2
3Les différents types decontrôles IT – Vue générale
Les différents modèles, les NAS et la loi Sarbanes-Oxley distinguent trois sortes de contrôlesinformatiques:• les contrôles à l’échelon de l’entreprise• les contrôles applicatifs (liés aux processus métiers
et aux applications qui les supportent)• les contrôles généraux informatiques (liés aux
processus informatiques)
4Les différents types decontrôles IT – Vue générale
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 3
5
Approched‘audit desprocédures decontrôle enmilieuinformatisé
Infrastructure IT
Bases de donnéesSystèmes d‘exploitation
hardware , réseaux
Applications informatiques
application A application B . . .
Processus métiers / transactionsprocessus A processus B . . .
Positions significatives des états financiers
bilan Compte de résultats . . .
Contrôles généraux IT• environnement• maintenance programmes• configuration• exploitation• sécurité logique• sécurité physique• surveillance• continuité exploitation
Contrôles applicatifs• intégralité• exactitude• validité• autorisation• séparation des fonctions
Priorité aux contrôles applicatifsVérifier les contrôles généraux IT nécessaires au bon fonctionnement des
applications
Les différents types decontrôles IT – Approche d‘audit
6
ManuelleKontrollen
AutomatisierteKontrollen
(Rein) ManuelleKontrollen
ApplikatorischeKontrollen
IT-unterstützeManuelle Kontrollen
Generelle IT Kontrollen (IT General Controls)
DetektiveKontrollen
PräventiveKontrollen
Zusammenhang generelle IT-Kontrollen undapplikatorische Kontrollen
Les différents types decontrôles IT – Approche d‘audit
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 4
7Les différents types decontrôles IT – Approche d‘audit
Zusammenhang generelle IT-Kontrollen undapplikatorische Kontrollen
8
Les différents types de contrôlesq Définition des 3 types de contrôles
• Les contrôles applicatifs/automatiques• Les contrôles manuels• Les contrôle hybrides
q Ces types de contrôles peuvent être• Préventifs: à priori• Détectifs: à posteriori
q Les contrôles peuvent encore être• Bloquant• Signalant
Définition des types de contrôles
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 5
9
Définition:
Les contrôles applicatifs sont des contrôlesintrinsèques (inhärent) ou intégrés directement dansles applications transactionnelles.
Les applications supportant les processus d’entreprise engendrentdes risques pour l’organisation qui peuvent compromettre l’intégrité,l’exhaustivité, la rapidité d’exécution et la disponibilité des donnéesfinancières ou opérationnelles. Les contrôles applicatifspermettent en partie de réduire ces risques.
Contrôle applicatif - Définition
10
Quatre types de contrôles applicatifsØ Les contrôles d’accès à l’application -
ZugriffskontrolleØ Les contrôles de saisie des données - Kontrollen
bei der Eingabe von DatenØ Les contrôles de traitement - Kontrollen bei der
DatenverarbeitungØ Les contrôles de sortie - Kontrollen bei der
Datenausgabe
Risque d’erreurs sur lescontrôles applicatifs
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 6
11
Contrôles d’accès à l’application
Risque d’erreurs sur lescontrôles applicatifs (Suite)
12
Contrôles de saisies des données
Risque d’erreurs sur lescontrôles applicatifs (Suite)
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 7
13
Contrôles de traitement
Risque d’erreurs sur lescontrôles applicatifs (Suite)
14
Contrôles de sortie
Risque d’erreurs sur lescontrôles applicatifs (Suite)
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 8
15Risque d’erreurs sur lescontrôles applicatifs - Exemple
16
Dokumentation applikatorischerKontrollenFür automatische Kontrollen ist es wichtig zu verstehen und zu
dokumentieren,1. welche Business Rules die Kontrolle sicherstellen soll2. welche Design-Entscheide im Hinblick auf die Implementierung
der Kontrolle zu treffen waren3. welche Parameter oder Customizing Einstellungen relevant
waren (technische Voraussetzungen, damit die Kontrolle sofunktionieren kann wie die Business Rule vorschreibt).
Contrôle applicatifs -Documentation
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 9
17
Beispiel3-Way Match Berechtigungsverwaltung
Business Rule Es werden keine Rechnung bezahlt,ohne dass Bestellung, Lieferschein undRechnung in einer wertmässigenToleranz von 10% übereinstimmen
Funktionentrennung zwischenDebitoren- und Kreditorenbuchhaltern.
Niemand der Rechnungen zahlt, darfneue Lieferanten aufsetzen
Design Referenz auf die 3-way-MatchFunktionalität des ERP
Separate Rollen für Debitoren- undKreditorenbuchhalter und fürStammdatenunterhalt.
Dokumentationeiner SOD Matrix
Customizing & Parameter Einstellungen Toleranz
Parameter: 10%
Link von Personen zu Funktionen,Rollen, Transaktionen undBerechtigungen innerhalb derTransaktion
Contrôle applicatifs - Exemple
18
18
Contrôle applicatifs – Exemples
Exemples de contrôles automatiques:
Þ Limite de crédit clientÞ Sélection limitée d’imputation comptable et analytiqueÞ Workflow de validation (principe des 4 yeux)Þ Impossibilité de choisir ou de modifier les prix de venteÞ Règles d’amortissement selon type d’immobilisationÞ Coûts standards (eg. modifier une fois par année)Þ Taux de conversion des devisesÞ Réconciliation ledger & SubledgerÞ Impossibilité de modifier ses propres données RHÞ Etc.
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 10
19
1. Einmaltest (Test-of-One) : Eine programmierte Kontrolle mussprinzipiell nur ein einziges Mal getestet werden. Danach kann,unter der Voraussetzung einer stabilen IT-Umgebung, davonausgegangen werden, dass sie immer gleich effektivfunktioniert.
2. Direktes Testen : Die Funktionsweise der Kontrolle wirdmittels einer Stichprobe oder durch Analyse vonTransaktionsdaten überprüft.
:
Prüfstrategien bei Anwendungskontrollen
Automated controls testingstrategies
20
3. Baselining / Benchmarking : die Resultate der Tests einerAnwendungskontrolle in nachfolgende Prüfperiodenweitergezogen. Die Tests in der ersten Prüfperiode dienen alssogenannte Verankerung. Unter der Voraussetzung, dass inden folgenden Perioden nachweisbar keine Änderungen an derAnwendungskontrolle vorgenommen und die relevantengenerellen IT-Kontrollen erfolgreich getestet wurden
4. Datenanalyse : Die Wirksamkeit einer Kontrolle wird mittelsder computergestützten Analyse von Anwendungsdatenüberprüft, wobei idealerweise die Gesamtheit der relevantenDaten in die Analyse einbezogen werden sollte.
:20
Prüfstrategien bei Anwendungskontrollen
Automated controls testingstrategies
HahnHahn
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 11
21
Testing strategies for automated and IT dependent manualcontrols are depending on the effectiveness of ITGC
Testing Strategy for automatedcontrols
ITGC effective / ineffective
Test of one Depending on effective ITGC
Baselining / Benchmarking Depending on effective ITGC
Direct testing of controls / DataAnalysis
Not depending on effective ITGC
Automated controls testingstrategies and ITGC impact
22
Dans le cadre du SCI, l’efficacité «du contrôle» peut être laconjonction de plusieurs contrôles !!!
Exemple: Limite de crédit client
ÞTest que toutes les commandes client > CHF 10’000sont bloquées (contrôle automatique)
ÞTest que les personnes ayant créé la commande nepeuvent les valider également (contrôle automatique)
ÞValidation des commandes par un supérieur autorisé dupoint de vue organisationnel (contrôle manuel)
Automated controls testing
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 12
23
Vorteile der Anwendungskontrollen
Zuverlässigkeit : die möglichen Steuerfehler aufgrund menschlichenEingreifens vermeiden -> Sichereit
Zeitersparnis und Kosteneinsparung : Stichprobenumfang,Korrekturmassnahme.
Beratung : Mehrwert bringen -> Den Mitarbeitenden derOrganisation helfen, während der Umsetzung – oder der Erneuerung –von Fachsanwendungen entsprechende Kontrollen einzurichten(Beispiel : gemäss IKS, Einhaltung Rechtlinien, etc.)
Avantage des contrôlesautomatiques
24Types d’erreur de saisie
Pour quel type de données une erreur desaisie sera-t-elle la plus grave?
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 13
25
1. Erreur systématique: peut se réaliser à cause de la mauvaisesaisie d’un paramètre dans le système. Il en résultera une erreurglobale et à chaque fois.
2. Erreur répétitive: un cas en particulier à cause d’une mauvaisesaisie. Cependant, si l’entreprise ne s’en rend pas compte assezrapidement, l’erreur peut se répéter pour ce cas, jusqu’à cequ’elle soit découverte.
3. Erreur unique : erreur de saisie par exemple. Elle ne remet pasen cause la fiabilité des outputs du système d’informations.
Explication des erreurs de saisie
Types d’erreur de saisie
26Transport System -Mechanismen
Transfert en production
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 14
27
DE1
1
QA1 PR1
34
OS
2
Transport System -Mechanismen
Transports – Import of Transport Request
28
Risks :Access to migrate application program changes to the productionenvironment or perform development functions in production is grantedto unauthorized personnelReason for Controls:1. As transports should originate from the development system, the
CTS controls the transport path and client settings preventstransports originating from non-development systems.
2. Access in development needs to be controlled. Wide access mayenable a user to maintain roles and profiles and indirectly assigningthemselves wide access in production.
3. Development and testing should not occur in production due to dataintegrity issues. Thus, a dedicated development and testingenvironment is required.
4. The function of creating a change in development and importing itinto production should be segregated to ensure that unauthorised /invalid changes are not imported into production.
Transport System - Risks
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 15
29
Audit procedure :At least 3 systems are involved in Transport Path covering DEV, QA& PRD . Gain an understanding of:
1. Whether 3 systems are involved in the transport path (DEV,QA, and PRD). Obtain all transport routes.
2. Whether transports flow from DEV to QA to PRD. Thedevelopment systems are not directly connected to theproduction environment
3. Whether the transport path has changed throughout the auditperiod
Transport System - Controls
30
Contrôles applicatifs éléments à retenir:• Avantages en terme de coût et sécurisation des processus• Les contrôles applicatifs permettent en partie de réduire les
risques d’erreur• Les 4 différents types de contrôles applicatifs sont les contrôles:
• d’accès à l’application - Zugriffskontrolle• de saisie des données - Kontrollen bei der Eingabe von Daten• de traitement - Kontrollen bei der Datenverarbeitung• de sortie - Kontrollen bei der Datenausgabe
• Les différentes stratégies de tests sont :Testing Strategy for automated controls ITGC effective / ineffective
Test of one Depending on effective ITGC
Baselining / Benchmarking Depending on effective ITGC
Direct testing of controls / Data Analysis Not depending on effective ITGC
1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 16
31
Emmanuel Hofmann +41 58 463 48 66emmanuel.hofmann@efk.admin.ch
Stéphane Kury +41 58 463 10 37stephane.kury@efk.admin.ch
Ansprechpartner
32
Fragen