Table des matières
1. Le cadre ISAE 3402 pour les contrôles informatiques 2. Comprendre la hiérarchie des contrôles informatiques 3. Exemple pratique : test de contrôles dans un environnement SaaS 4. Checklist pratique des tests de contrôles informatiques 5. Erreurs courantes qui invalident les tests
Le cadre ISAE 3402 pour les contrôles informatiques
ISAE 3402.35 établit que l'auditeur de l'organisation de services doit identifier les risques d'anomalies significatives liés aux contrôles informatiques. Cette identification détermine l'étendue des tests nécessaires. La norme ne fait pas de distinction entre contrôles manuels et automatisés pour les exigences de test, mais elle reconnaît que les contrôles informatiques présentent des caractéristiques uniques qui affectent la nature des procédures de test.
ISAE 3402.A53 précise que pour les contrôles automatisés, une fois qu'ils sont correctement paramétrés, ils fonctionnent de manière cohérente. Cette cohérence modifie l'approche de test. Contrairement aux contrôles manuels qui nécessitent des tests sur plusieurs périodes, les contrôles automatisés peuvent souvent être testés par inspection du paramétrage initial et test d'un échantillon d'opérations.
Pourquoi les contrôles informatiques sont différents
Les contrôles informatiques dans un rapport ISAE 3402 fonctionnent en couches. Les contrôles généraux informatiques (accès, changements, développement, exploitation) soutiennent les contrôles d'application (validations, calculs, interfaces). Si les CGTI échouent, tous les contrôles d'application qu'ils supportent deviennent non fiables. Peu importe que ces contrôles d'application fonctionnent techniquement.
Nous commençons systématiquement par les CGTI avant de passer aux contrôles d'application. ISAE 3402.A69 l'exige implicitement en demandant des tests sur "les contrôles sur lesquels l'auditeur compte s'appuyer". Si vous inversez l'ordre, vous risquez de tester des contrôles d'application dont la base est compromise.
Comprendre la hiérarchie des contrôles informatiques
Contrôles généraux informatiques (CGTI)
Les CGTI forment la base. Ils incluent quatre catégories principales selon ISAE 3402.A55 :
Les contrôles d'accès logique déterminent qui peut accéder aux systèmes, applications et données. Cela couvre l'authentification, l'autorisation, l'administration des comptes et la revue des accès privilégiés.
Les contrôles de gestion des changements encadrent comment les modifications des systèmes sont approuvées, testées et déployées, y compris le contrôle des versions, les environnements de développement séparés et les approbations de changement.
Les contrôles de développement et acquisition de systèmes régissent comment les nouveaux systèmes et applications sont développés, achetés et implémentés.
Les contrôles d'exploitation informatique couvrent la surveillance des systèmes, la sauvegarde et récupération, la gestion des incidents et la performance des systèmes.
Contrôles d'application
Les contrôles d'application opèrent au niveau des processus métier spécifiques. Dans un environnement de service, ils incluent souvent :
Les contrôles de saisie assurent la validation des données, les vérifications de complétude, les contrôles de format et les éditions d'exhaustivité.
Les contrôles de traitement gèrent les calculs automatisés, les mises à jour de fichiers maîtres, les correspondances entre systèmes et les rapprochements automatiques.
Les contrôles de sortie portent sur la distribution des rapports, les contrôles de totalisation et les revues d'exceptions.
Ce qu'il faut retenir pour les tests ISAE 3402 : les contrôles d'application ne peuvent être considérés comme fiables que si les CGTI qui les supportent fonctionnent efficacement.
Exemple pratique : test de contrôles dans un environnement SaaS
> Contexte : > > Systèmes Financiers Rousseau SAS est un prestataire de services de paie pour des PME européennes. Ils traitent 45 000 bulletins de paie mensuels via leur plateforme SaaS propriétaire. Chiffre d'affaires annuel : 8,2 M EUR. Vous menez votre première mission ISAE 3402 de Type II pour la période du 1er janvier au 31 décembre 2024.
Etape 1 : identification des contrôles informatiques clés
Nous identifions trois contrôles d'application critiques : - Calcul automatique des cotisations sociales selon les barèmes français - Interface automatisée entre le système de paie et le système comptable client - Génération automatique des déclarations URSSAF
Documentation : Liste des contrôles d'application dans l'onglet "Contrôles identifiés" avec référence aux processus métier supportés
Etape 2 : identification des CGTI sous-jacents
Pour chaque contrôle d'application, nous identifions les CGTI qui le supportent : - Accès aux paramètres de calcul des cotisations (limité aux administrateurs système) - Contrôles de changement sur les tables de barèmes (approbation RH + IT requise) - Contrôles d'accès aux interfaces systèmes (authentification par certificat)
Documentation : Matrice de dépendance CGTI/contrôles d'application dans l'onglet "Hiérarchie contrôles"
Etape 3 : test des CGTI
Nous sélectionnons 25 comptes utilisateur sur 180 comptes actifs pour le test d'accès logique. Pour chaque compte, nous vérifions l'autorisation initiale, la revue semestrielle et la révocation en cas de départ. Nous découvrons 3 comptes d'anciens employés toujours actifs mais sans accès aux fonctions sensibles.
Documentation : Détail des tests dans l'onglet "Tests CGTI" avec captures d'écran des revues d'accès et justificatifs des révocations
Nous examinons ensuite les 12 changements de barèmes de cotisations de l'année 2024 pour le test de gestion des changements. Chaque changement montre l'approbation RH, les tests en environnement de recette et l'approbation de déploiement. Un changement d'octobre présente des tests incomplets mais a été corrigé avant déploiement.
Documentation : Registre des changements avec preuves d'approbation pour chaque modification
Etape 4 : test des contrôles d'application
Une fois les CGTI validés (avec réserves mineures), nous testons les contrôles d'application :
Nous recalculons manuellement 40 bulletins de paie sur l'année pour le calcul des cotisations, couvrant différents profils (cadres, non-cadres, temps partiel, heures supplémentaires). Tous les calculs sont exacts selon les barèmes URSSAF en vigueur.
Documentation : Feuille de recalcul avec formules et références aux barèmes officiels URSSAF pour chaque mois testé
Nous retraçons 30 écritures comptables du système de paie vers les systèmes clients pour l'interface comptable. Tous les montants, dates et comptes correspondent. L'interface fonctionne correctement.
Documentation : Rapprochement détaillé des écritures avec captures d'écran des deux systèmes
Les contrôles d'application fonctionnent efficacement, supportés par des CGTI globalement fiables malgré quelques défaillances mineures sur la gestion des accès. Le rapport ISAE 3402 peut être émis avec mention des exceptions identifiées et de leur impact limité sur les contrôles testés.
Checklist pratique des tests de contrôles informatiques
1. Cartographiez la hiérarchie des contrôles avant de commencer les tests. Identifiez quels CGTI supportent quels contrôles d'application selon ISAE 3402.A69. Cette cartographie détermine l'ordre et l'étendue de vos tests.
2. Testez les CGTI en premier et documentez toute défaillance avant de passer aux contrôles d'application. Une défaillance majeure des CGTI peut rendre inutiles les tests de contrôles d'application.
3. Utilisez l'inspection et la ré-exécution pour les contrôles automatisés selon ISAE 3402.A86. L'observation directe est généralement impossible pour les contrôles informatiques. L'inspection des paramètres combinée à la ré-exécution sur un échantillon produit l'assurance nécessaire.
4. Documentez les preuves électroniques avec des captures d'écran horodatées, exports de bases de données et journaux système. ISAE 3402.57 exige des preuves d'audit appropriées. Les preuves électroniques nécessitent une documentation plus rigoureuse que les preuves papier.
5. Testez la continuité de fonctionnement sur toute la période couverte. Pour les contrôles automatisés, cela signifie vérifier qu'aucun changement non autorisé n'a été apporté et que les contrôles ont fonctionné sans interruption.
6. L'échec d'un CGTI compromet tous les contrôles d'application qu'il supporte. Chez nos clients, nous constatons régulièrement des équipes qui tentent de compenser une défaillance CGTI par des tests renforcés sur les contrôles d'application. Ce n'est pas ce que la norme prévoit.
Erreurs courantes qui invalident les tests
Tester les contrôles d'application sans valider d'abord les CGTI sous-jacents. Cette approche inverse la logique de l'ISAE 3402. Les contrôles d'application ne peuvent être fiables que si leurs CGTI fonctionnent. C'est pourtant l'erreur la plus fréquente que nous rencontrons, et c'est frustrant parce qu'elle rend des semaines de travail inutiles.
Confondre inspection unique et test de fonctionnement effectif. Vérifier qu'un contrôle existe n'est pas équivalent à tester qu'il fonctionne pendant toute la période. ISAE 3402.39 exige des tests sur le fonctionnement effectif.
Échantillonner des contrôles automatisés comme des contrôles manuels. Les contrôles automatisés ne nécessitent pas d'échantillonnage temporel étalé. Une fois validés et sans changement, ils fonctionnent de manière cohérente selon ISAE 3402.A53. Si vous appliquez un échantillonnage statistique classique à un contrôle automatisé, vous construisez une usine à gaz de documentation pour rien.
Contenu connexe
- Glossaire ISAE 3402 : Définitions des termes techniques et exigences de la norme pour les missions d'assurance sur les contrôles.
- Calculateur de matérialité ISAE 3402 : Outil pour déterminer les seuils de signification appropriés dans les missions d'assurance sur les contrôles internes.
- Guide des contrôles généraux informatiques : Approche détaillée pour identifier et tester les CGTI dans différents environnements technologiques.