TRANSITION NUMERIQUE, QUELLES INCIDENCES ?

Diligences et vigilance du CAC

N.M. 08-2017 1

SUJETS ABORDES

Transition numérique : une réalité dans notre quotidien et … chez nos clients aussi !

Prendre conscience de l’évolution des risques de fraude

Adapter notre démarche et … nos outils !

Développer nos compétences pour sécuriser nos missions

N.M. 08-2017 2

RISQUES DE FRAUDE DANS L’ENTREPRISE NUMÉRIQUE :

DILIGENCES ET VIGILANCE DU CACContexte Transition numérique de l’économie et des entreprises : une réalité

Evolution des modes de production, de communication et d’information

La fraude se dématérialise avec les données

Le CAC dans l’entreprise numérique La prise de connaissance des systèmes d’information : un préalable

indispensable

Le recours à un éventuel expert

N.M. 08-2017 3

RISQUES DE FRAUDE DANS L’ENTREPRISE NUMÉRIQUE :

DILIGENCES ET VIGILANCE DU CAC

Menaces et vulnérabilités de l’entreprise numérique Adapter la démarche d’audit à l’environnement dématérialisé

Cartographier le risque

Evaluer les PRA- PCA (continuité d’exploitation NEP 570)

RGPD : la sécurité des données => une obligation !

N.M. 08-2017 4

CONTEXTE

Transition numérique de l’économie et des entreprises : une réalité

N.M. 08-2017 5

FOCUS SUR L’IMPACT DU DIGITAL DANS L’ÉCONOMIE

N.M. 08-2017 6

PROCESSUS AUTOMATISÉS, INFORMATISÉS, PLATEFORMES

Puces RFIDObjets connectésImprimantes 3DBIG DATA & IAréseaux sociauxFintech

N.M. 08-2017 7

DÉMATÉRIALISATION DES FLUX (PAIEMENTS, FACTURES)

EDI fiscal (TVA IS IRPP…)

DSN

Bulletins de salaires et factures dématérialisés

Apple pay etc…

N.M. 08-2017 8

DE LA TPE AUX GRANDES ENTREPRISES : TOUTES CONCERNÉES

Site internet

Cloud

ERP

N.M. 08-2017 9

• Interface bancaire• GED• LCR dématérialisée

CONTEXTE

Evolution des modes de production, de communication et d’information

N.M. 08-2017 10

ENTREPRISES ET SALARIÉS INTERCONNECTÉS

Quand les réseaux sociaux font et défont les marques Quand le droit du travail impose un droit à la déconnexionQuand la génération Y bouscule nos réflexes de management

Des repères qui disparaissent

Des nouveaux modes de production

N.M. 08-2017 11

N.M. 08-2017 12

DÉPLOIEMENT DES ERP … QUI PRODUIT L’INFORMATION COMPTABLE ?

N.M. 08-2017 13

Quand SAP gère mal les AN… exemple vécu !

Explication donnée par le client :

voici le grand livre des comptes avec les AN. Cependant, vous constaterez que SAP reprend les écritures antérieures à 2017 sur les comptes 6 et 7. Il conviendrait de prendre ce fichier uniquement pour les comptes de bilan et prendre mon précédent envoi pour les comptes de résultat.

LA FRAUDE SE DÉMATERIALISEAVEC LES DONNEES

N.M. 08-2017 17

EVOLUTION DES FRAUDES

N.M. 08-2017 18

N.M. 08-2017 19

N.M. 08-2017 20

COMMENT ACCOMPAGNER LES ENTREPRISES ?

N.M. 08-2017 21

COMMENT ACCOMPAGNER LES ENTREPRISES ?

N.M. 08-2017 22

LES PRINCIPALES MENACES

LE CAC DANS L’ENTREPRISE NUMÉRIQUE

N.M. 08-2017 23

INCIDENCE DU NUMÉRIQUE SUR LES COMPOSANTES DU RISQUE

N.M. 08-2017 24

Quelques risques spécifiques ….

Transactions en crypto-monnaies

Multiplication des applications ouvertes

Développement de l’infogérance

Recours aux data center, au cloud

Mobilité des hommes

TRANSFORMATION NUMÉRIQUE DES ENTREPRISES

N.M. 08-2017 25

RÉALISER DES CONTRÔLES GÉNÉRAUX DU SYSTÈME INFORMATIQUE

N.M. 08-2017 26

Prise de connaissanceIdentification des postes informatiques, des logiciels, des systèmes d’exploitation, des règles de mises à jour et de maintenanceCartographie des systèmes et des liensAnalyse des volumétries

SAVOIR UTILISER DES COMPÉTENCES EXTERNES

Pour sécuriser la démarche d'évaluation des risques et d'évaluation du contrôle interne de l'entité => appel à un expert externe

NEP 620

N.M. 08-2017 27

UTILISER LES BASES DE DONNÉES DE L’ENTREPRISE

Ne pas faire l’impasse sur la compréhension de ces technologies

Intégrer des outils de « data mining pour accroître le degré d’assurance sur la population testée.

N.M. 08-2017 28

POPULATION TOTALE # ÉCHANTILLON

Travailler sur des bases dedonnées (intégralité de lapopulation) ne signifie pasla fin des sondages !tests et sondages sur les anomalies relevées pour : Déterminer des catégories d’écart

Eliminer les faux positifs

N.M. 08-2017 29

EXISTENCE DE LOGICIELS D’ANALYSE DE DONNÉES

Volumétrie : capacité de traitement des bases de données de taille quasi illimitée

Traçabilité : conservation des traitement et opérations effectuées sur le fichier (piste d’audit)

Intangibilité des données :Impossibilité de modifier les données intégrées

Reprise et conversion des données : grand nombre de formats

Facilité d’utilisation : existence de commandes permettant d’exécuter la plupart des traitements ;

Automatisation des travaux récurrents : programmes standardisés (productivité)

N.M. 08-2017 30

CONTRÔLE POUVANT ÊTRE RÉALISÉ AVEC EXCEL RECHERCHE DE DOUBLONS

Doublon sur n° pièce (achat -vente – banque)

Doublon sur référence article (stock)

Doublon sur n° SS

Doublon sur RIB fournisseurs ou salariés

N.M. 08-2017 31

CONTRÔLE POUVANT ÊTRE RÉALISÉ AVEC EXCEL ANALYSE SEQUENTIELLE

Repérer les « manquants », les factures faites à postériori

N.M. 08-2017 32

CONTRÔLE POUVANT ÊTRE RÉALISÉ AVEC EXCEL VALEURS SUSPECTES

Stock : Valeurs négatives (quantité –prix), prix unitaire anormal (variation / N-1), règle dépréciation discordante, etc ….

RH : prime ancienneté incohérente avec ancienneté salarié

Factures - avoirs : montant suspect

Somme « ronde » dans les flux financiers …

Utiliser les tris

Utiliser les filtres

Utiliser les fonctions min – max

N.M. 08-2017 33

CONTRÔLE POUVANT ÊTRE RÉALISÉ AVEC EXCEL ENREGISTREMENTS ATYPIQUES

Utiliser le TCD sur le FEC pour rechercher des écritures comptabilisées par la banque dans des comptes de charges -produits

Utiliser les filtres pour rechercher les annulation - correction … (libellé)

Repérer des écritures comptabilisées le WE et les jours fériés (log de connexion)

Distinguer les autorisations (log de connexion)

Utiliser les requêtes du SMART FEC (notamment pour les OD)

N.M. 08-2017 34

CONTRÔLE POUVANT ÊTRE RÉALISÉ AVEC EXCEL CROISEMENTS DE FICHIERS

S’assurer que toutes les sorties de stock sont facturées

S’assurer que toutes les ventes de marchandises correspondent à une sortie de stock

Extraction des lignes de sorties de stock (gestion stock)

Extraction des lignes de ventes (gestion commerciale)

Rapprochement sur le n°du BL avec un TCD

N.M. 08-2017 35

CONTRÔLE POUVANT ÊTRE RÉALISÉ AVEC EXCEL CROISEMENTS DE FICHIERS

S’assurer que toutes les ventes sont comptabilisées

S’assurer que le CA correspond aux factures de ventes

Extraction du journal de vente

Extraction des lignes de ventes (gestion commerciale)

Rapprochement sur le n°de facture avec un TCD

N.M. 08-2017 36

CARTOGRAPHIER LE RISQUE DE FRAUDE NUMERIQUE

N.M. 08-2017 37

FOCUS SUR LES 3 FACTEURS DE RISQUE : INCITATIONS/PRESSIONS, OPPORTUNITÉS, JUSTIFICATION

Eviter le passage à l’acte par la vigilance

Une politique anti –fraude repose sur :Des procédures / contrôle

interne

Ethique

Exemplarité

Formation

N.M. 08-2017 38

IDENTIFIER LES DONNÉES :STRATÉGIQUES - SENSIBLES - COURANTES

Système d’information

Ensemble des moyens nécessaires à l’élaboration, au traitement, au stockage, à l’acheminement et à l’exploitation des informations

N.M. 08-2017 39

Confidentialité + disponibilité de l’information + continuité de service = enjeu important

IDENTIFIER LES DONNÉES :STRATÉGIQUES - SENSIBLES - COURANTES

N.M. 08-2017 40

IDENTIFIER CE QUI DOIT ÊTRE PROTÉGÉ

INTÉGRITÉ – DISPONIBILITÉ –CONFIDENTIALITÉ -TRAÇABILITÉ

N.M. 08-2017 42

CARTOGRAPHIER LE RISQUE DE FRAUDE

Gravité d’un risque =

probabilité x impact

N.M. 08-2017 43

+

-Probabilité

Imp

act

CARTOGRAPHIER LE RISQUE DE FRAUDE

Risques # Maîtrise

N.M. 08-2017 44

MENACES ET VULNÉRABILITÉS DE L’ENTREPRISE NUMÉRIQUE

N.M. 08-2017 45

POINTS DE VIGILANCE

N.M. 08-2017 46

CHARTE INFORMATIQUE – SAUVEGARDE … QUELQUES RÈGLES DE BASE

Prévoir une charte informatique pour définir les droits et obligations, notamment :

- En matière d’accès et stockage de données ;

- En matière de diffusion et de protection

- En matière de téléchargement

- En matière d’usage pro - perso

- Etc

Vérifier les procédures de sauvegarde (fréquence, support, test de réimplantation, durée d’archivage)

Vérifier la qualité des supports et leur localisation

N.M. 08-2017 47

FORMATION - INFORMATION DE LA DIRECTION ET DES UTILISATEURS

« un utilisateur averti en vaut 2 »

La plus grande zone de risque se situe entre le siège et le clavier

Valeur d’exemple de la direction

Sensibiliser les collaborateurs notamment sur les mots de passe, le respect de la charte informatique

Sanctionner tout manquement

N.M. 08-2017 48

EXISTENCE - COHÉRENCE - EFFICIENCE

N.M. 08-2017 49

RGPD : SÉCURITÉ DES DONNEES

N.M. 08-2017 50

OUTILS A VOTRE DISPOSITION

N.M. 08-2017 51

OUTILS A VOTRE DISPOSITION

N.M. 08-2017 52

SAISIR LES OPPORTUNITES DU NUMERIQUE

Un nouvel outils pour les CAC sur la cyber sécurité => présenté aux Assises

Une formation spécifique

Une mission packagée

Pas besoin d’être DSI pour aborder la sécurité des systèmes d’information avec nos clients.

Le RGPD inclut un volet sécurité des données => sensibilisation des chefs d’entreprise par les CAC

N.M. 53

DES QUESTIONS

N.M. 08-2017 54