1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 1

Automatisierte KontrollenTagung der EXPERTsuisse

Stéphane Kury & Emmanuel HofmannContrôle fédéral des finances – Réviseur Informatique

2

Agenda• Différents types de contrôles IT

Ø Vue généraleØ Approche d’audit

• Définition des types de contrôles• Risque d’erreurs sur les contrôles applicatifs• Contrôles applicatifs (Documentation, Exemple,

Analyse)• Stratégie de test des contrôles automatiques• Types d’erreur de saisie• Système de transport (Risques et contrôles)

1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 2

3Les différents types decontrôles IT – Vue générale

Les différents modèles, les NAS et la loi Sarbanes-Oxley distinguent trois sortes de contrôlesinformatiques:• les contrôles à l’échelon de l’entreprise• les contrôles applicatifs (liés aux processus métiers

et aux applications qui les supportent)• les contrôles généraux informatiques (liés aux

processus informatiques)

4Les différents types decontrôles IT – Vue générale

1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 3

5

Approched‘audit desprocédures decontrôle enmilieuinformatisé

Infrastructure IT

Bases de donnéesSystèmes d‘exploitation

hardware , réseaux

Applications informatiques

application A application B . . .

Processus métiers / transactionsprocessus A processus B . . .

Positions significatives des états financiers

bilan Compte de résultats . . .

Contrôles généraux IT• environnement• maintenance programmes• configuration• exploitation• sécurité logique• sécurité physique• surveillance• continuité exploitation

Contrôles applicatifs• intégralité• exactitude• validité• autorisation• séparation des fonctions

Priorité aux contrôles applicatifsVérifier les contrôles généraux IT nécessaires au bon fonctionnement des

applications

Les différents types decontrôles IT – Approche d‘audit

6

ManuelleKontrollen

AutomatisierteKontrollen

(Rein) ManuelleKontrollen

ApplikatorischeKontrollen

IT-unterstützeManuelle Kontrollen

Generelle IT Kontrollen (IT General Controls)

DetektiveKontrollen

PräventiveKontrollen

Zusammenhang generelle IT-Kontrollen undapplikatorische Kontrollen

Les différents types decontrôles IT – Approche d‘audit

1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 4

7Les différents types decontrôles IT – Approche d‘audit

Zusammenhang generelle IT-Kontrollen undapplikatorische Kontrollen

8

Les différents types de contrôlesq Définition des 3 types de contrôles

• Les contrôles applicatifs/automatiques• Les contrôles manuels• Les contrôle hybrides

q Ces types de contrôles peuvent être• Préventifs: à priori• Détectifs: à posteriori

q Les contrôles peuvent encore être• Bloquant• Signalant

Définition des types de contrôles

1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 5

9

Définition:

Les contrôles applicatifs sont des contrôlesintrinsèques (inhärent) ou intégrés directement dansles applications transactionnelles.

Les applications supportant les processus d’entreprise engendrentdes risques pour l’organisation qui peuvent compromettre l’intégrité,l’exhaustivité, la rapidité d’exécution et la disponibilité des donnéesfinancières ou opérationnelles. Les contrôles applicatifspermettent en partie de réduire ces risques.

Contrôle applicatif - Définition

10

Quatre types de contrôles applicatifsØ Les contrôles d’accès à l’application -

ZugriffskontrolleØ Les contrôles de saisie des données - Kontrollen

bei der Eingabe von DatenØ Les contrôles de traitement - Kontrollen bei der

DatenverarbeitungØ Les contrôles de sortie - Kontrollen bei der

Datenausgabe

Risque d’erreurs sur lescontrôles applicatifs

1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 6

11

Contrôles d’accès à l’application

Risque d’erreurs sur lescontrôles applicatifs (Suite)

12

Contrôles de saisies des données

Risque d’erreurs sur lescontrôles applicatifs (Suite)

1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 7

13

Contrôles de traitement

Risque d’erreurs sur lescontrôles applicatifs (Suite)

14

Contrôles de sortie

Risque d’erreurs sur lescontrôles applicatifs (Suite)

1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 8

15Risque d’erreurs sur lescontrôles applicatifs - Exemple

16

Dokumentation applikatorischerKontrollenFür automatische Kontrollen ist es wichtig zu verstehen und zu

dokumentieren,1. welche Business Rules die Kontrolle sicherstellen soll2. welche Design-Entscheide im Hinblick auf die Implementierung

der Kontrolle zu treffen waren3. welche Parameter oder Customizing Einstellungen relevant

waren (technische Voraussetzungen, damit die Kontrolle sofunktionieren kann wie die Business Rule vorschreibt).

Contrôle applicatifs -Documentation

1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 9

17

Beispiel3-Way Match Berechtigungsverwaltung

Business Rule Es werden keine Rechnung bezahlt,ohne dass Bestellung, Lieferschein undRechnung in einer wertmässigenToleranz von 10% übereinstimmen

Funktionentrennung zwischenDebitoren- und Kreditorenbuchhaltern.

Niemand der Rechnungen zahlt, darfneue Lieferanten aufsetzen

Design Referenz auf die 3-way-MatchFunktionalität des ERP

Separate Rollen für Debitoren- undKreditorenbuchhalter und fürStammdatenunterhalt.

Dokumentationeiner SOD Matrix

Customizing & Parameter Einstellungen Toleranz

Parameter: 10%

Link von Personen zu Funktionen,Rollen, Transaktionen undBerechtigungen innerhalb derTransaktion

Contrôle applicatifs - Exemple

18

18

Contrôle applicatifs – Exemples

Exemples de contrôles automatiques:

Þ Limite de crédit clientÞ Sélection limitée d’imputation comptable et analytiqueÞ Workflow de validation (principe des 4 yeux)Þ Impossibilité de choisir ou de modifier les prix de venteÞ Règles d’amortissement selon type d’immobilisationÞ Coûts standards (eg. modifier une fois par année)Þ Taux de conversion des devisesÞ Réconciliation ledger & SubledgerÞ Impossibilité de modifier ses propres données RHÞ Etc.

1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 10

19

1. Einmaltest (Test-of-One) : Eine programmierte Kontrolle mussprinzipiell nur ein einziges Mal getestet werden. Danach kann,unter der Voraussetzung einer stabilen IT-Umgebung, davonausgegangen werden, dass sie immer gleich effektivfunktioniert.

2. Direktes Testen : Die Funktionsweise der Kontrolle wirdmittels einer Stichprobe oder durch Analyse vonTransaktionsdaten überprüft.

:

Prüfstrategien bei Anwendungskontrollen

Automated controls testingstrategies

20

3. Baselining / Benchmarking : die Resultate der Tests einerAnwendungskontrolle in nachfolgende Prüfperiodenweitergezogen. Die Tests in der ersten Prüfperiode dienen alssogenannte Verankerung. Unter der Voraussetzung, dass inden folgenden Perioden nachweisbar keine Änderungen an derAnwendungskontrolle vorgenommen und die relevantengenerellen IT-Kontrollen erfolgreich getestet wurden

4. Datenanalyse : Die Wirksamkeit einer Kontrolle wird mittelsder computergestützten Analyse von Anwendungsdatenüberprüft, wobei idealerweise die Gesamtheit der relevantenDaten in die Analyse einbezogen werden sollte.

:20

Prüfstrategien bei Anwendungskontrollen

Automated controls testingstrategies

HahnHahn

1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 11

21

Testing strategies for automated and IT dependent manualcontrols are depending on the effectiveness of ITGC

Testing Strategy for automatedcontrols

ITGC effective / ineffective

Test of one Depending on effective ITGC

Baselining / Benchmarking Depending on effective ITGC

Direct testing of controls / DataAnalysis

Not depending on effective ITGC

Automated controls testingstrategies and ITGC impact

22

Dans le cadre du SCI, l’efficacité «du contrôle» peut être laconjonction de plusieurs contrôles !!!

Exemple: Limite de crédit client

ÞTest que toutes les commandes client > CHF 10’000sont bloquées (contrôle automatique)

ÞTest que les personnes ayant créé la commande nepeuvent les valider également (contrôle automatique)

ÞValidation des commandes par un supérieur autorisé dupoint de vue organisationnel (contrôle manuel)

Automated controls testing

1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 12

23

Vorteile der Anwendungskontrollen

Zuverlässigkeit : die möglichen Steuerfehler aufgrund menschlichenEingreifens vermeiden -> Sichereit

Zeitersparnis und Kosteneinsparung : Stichprobenumfang,Korrekturmassnahme.

Beratung : Mehrwert bringen -> Den Mitarbeitenden derOrganisation helfen, während der Umsetzung – oder der Erneuerung –von Fachsanwendungen entsprechende Kontrollen einzurichten(Beispiel : gemäss IKS, Einhaltung Rechtlinien, etc.)

Avantage des contrôlesautomatiques

24Types d’erreur de saisie

Pour quel type de données une erreur desaisie sera-t-elle la plus grave?

1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 13

25

1. Erreur systématique: peut se réaliser à cause de la mauvaisesaisie d’un paramètre dans le système. Il en résultera une erreurglobale et à chaque fois.

2. Erreur répétitive: un cas en particulier à cause d’une mauvaisesaisie. Cependant, si l’entreprise ne s’en rend pas compte assezrapidement, l’erreur peut se répéter pour ce cas, jusqu’à cequ’elle soit découverte.

3. Erreur unique : erreur de saisie par exemple. Elle ne remet pasen cause la fiabilité des outputs du système d’informations.

Explication des erreurs de saisie

Types d’erreur de saisie

26Transport System -Mechanismen

Transfert en production

1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 14

27

DE1

1

QA1 PR1

34

OS

2

Transport System -Mechanismen

Transports – Import of Transport Request

28

Risks :Access to migrate application program changes to the productionenvironment or perform development functions in production is grantedto unauthorized personnelReason for Controls:1. As transports should originate from the development system, the

CTS controls the transport path and client settings preventstransports originating from non-development systems.

2. Access in development needs to be controlled. Wide access mayenable a user to maintain roles and profiles and indirectly assigningthemselves wide access in production.

3. Development and testing should not occur in production due to dataintegrity issues. Thus, a dedicated development and testingenvironment is required.

4. The function of creating a change in development and importing itinto production should be segregated to ensure that unauthorised /invalid changes are not imported into production.

Transport System - Risks

1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 15

29

Audit procedure :At least 3 systems are involved in Transport Path covering DEV, QA& PRD . Gain an understanding of:

1. Whether 3 systems are involved in the transport path (DEV,QA, and PRD). Obtain all transport routes.

2. Whether transports flow from DEV to QA to PRD. Thedevelopment systems are not directly connected to theproduction environment

3. Whether the transport path has changed throughout the auditperiod

Transport System - Controls

30

Contrôles applicatifs éléments à retenir:• Avantages en terme de coût et sécurisation des processus• Les contrôles applicatifs permettent en partie de réduire les

risques d’erreur• Les 4 différents types de contrôles applicatifs sont les contrôles:

• d’accès à l’application - Zugriffskontrolle• de saisie des données - Kontrollen bei der Eingabe von Daten• de traitement - Kontrollen bei der Datenverarbeitung• de sortie - Kontrollen bei der Datenausgabe

• Les différentes stratégies de tests sont :Testing Strategy for automated controls ITGC effective / ineffective

Test of one Depending on effective ITGC

Baselining / Benchmarking Depending on effective ITGC

Direct testing of controls / Data Analysis Not depending on effective ITGC

1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung 16

31

Emmanuel Hofmann +41 58 463 48 66emmanuel.hofmann@efk.admin.ch

Stéphane Kury +41 58 463 10 37stephane.kury@efk.admin.ch

Ansprechpartner

32

Fragen