Table des matières

Le cadre ISAE 3402 pour les contrôles informatiques

ISAE 3402.35 établit que l'auditeur de l'organisation de services doit identifier les risques d'anomalies significatives liés aux contrôles informatiques. Cette identification détermine l'étendue des tests nécessaires. La norme ne fait pas de distinction entre contrôles manuels et automatisés pour les exigences de test, mais elle reconnaît que les contrôles informatiques présentent des caractéristiques uniques qui affectent la nature des procédures de test.
ISAE 3402.A53 précise que pour les contrôles automatisés, une fois qu'ils sont correctement paramétrés, ils fonctionnent de manière cohérente. Cette cohérence modifie l'approche de test. Contrairement aux contrôles manuels qui nécessitent des tests sur plusieurs périodes, les contrôles automatisés peuvent souvent être testés par inspection du paramétrage initial et test d'un échantillon d'opérations.

Pourquoi les contrôles informatiques sont différents


Les contrôles informatiques dans un rapport ISAE 3402 fonctionnent en couches. Les contrôles généraux informatiques (accès, changements, développement, exploitation) soutiennent les contrôles d'application (validations, calculs, interfaces). Si les CGTI échouent, tous les contrôles d'application qu'ils supportent deviennent non fiables, même si ces contrôles d'application fonctionnent techniquement.
Cette interdépendance signifie que votre stratégie de test doit commencer par les CGTI avant de passer aux contrôles d'application. ISAE 3402.A69 l'exige implicitement en demandant des tests sur "les contrôles sur lesquels l'auditeur compte s'appuyer".

Comprendre la hiérarchie des contrôles informatiques

Contrôles généraux informatiques (CGTI)


Les CGTI forment la base. Ils incluent quatre catégories principales selon ISAE 3402.A55 :
Contrôles d'accès logique : qui peut accéder aux systèmes, applications et données. Cela couvre l'authentification, l'autorisation, l'administration des comptes et la revue des accès privilégiés.
Contrôles de gestion des changements : comment les modifications des systèmes sont approuvées, testées et déployées. Incluant le contrôle des versions, les environnements de développement séparés et les approbations de changement.
Contrôles de développement et acquisition de systèmes : comment les nouveaux systèmes et applications sont développés, achetés et implémentés.
Contrôles d'exploitation informatique : surveillance des systèmes, sauvegarde et récupération, gestion des incidents et performance des systèmes.

Contrôles d'application


Les contrôles d'application opèrent au niveau des processus métier spécifiques. Dans un environnement de service, ils incluent souvent :
Contrôles de saisie : validation des données, vérifications de complétude, contrôles de format et éditions d'exhaustivité.
Contrôles de traitement : calculs automatisés, mises à jour de fichiers maîtres, correspondances entre systèmes et rapprochements automatiques.
Contrôles de sortie : distribution des rapports, contrôles de totalisation et revues d'exceptions.
La différence critique pour les tests ISAE 3402 : les contrôles d'application ne peuvent être considérés comme fiables que si les CGTI qui les supportent fonctionnent efficacement.

Exemple pratique : Test de contrôles dans un environnement SaaS

> Contexte :

Systèmes Financiers Rousseau SAS est un prestataire de services de paie pour des PME européennes. Ils traitent 45 000 bulletins de paie mensuels via leur plateforme SaaS propriétaire. Chiffre d'affaires annuel : 8,2 M EUR. Vous menez votre première mission ISAE 3402 de Type II pour la période du 1er janvier au 31 décembre 2024.

Étape 1 : Identification des contrôles informatiques clés


Vous identifiez trois contrôles d'application critiques :
Documentation : Liste des contrôles d'application dans l'onglet "Contrôles identifiés" avec référence aux processus métier supportés

Étape 2 : Identification des CGTI sous-jacents


Pour chaque contrôle d'application, vous identifiez les CGTI qui le supportent :
Documentation : Matrice de dépendance CGTI/contrôles d'application dans l'onglet "Hiérarchie contrôles"

Étape 3 : Test des CGTI


Test d'accès logique : Vous sélectionnez 25 comptes utilisateur sur 180 comptes actifs. Pour chaque compte, vous vérifiez l'autorisation initiale, la revue semestrielle et la révocation en cas de départ. Vous découvrez 3 comptes d'anciens employés toujours actifs mais sans accès aux fonctions sensibles.
Documentation : Détail des tests dans l'onglet "Tests CGTI" avec captures d'écran des revues d'accès et justificatifs des révocations
Test de gestion des changements : Vous examinez les 12 changements de barèmes de cotisations de l'année 2024. Chaque changement montre l'approbation RH, les tests en environnement de recette et l'approbation de déploiement. Un changement d'octobre présente des tests incomplets mais a été corrigé avant déploiement.
Documentation : Registre des changements avec preuves d'approbation pour chaque modification

Étape 4 : Test des contrôles d'application


Une fois les CGTI validés (avec réserves mineures), vous testez les contrôles d'application :
Calcul des cotisations : Vous recalculez manuellement 40 bulletins de paie sur l'année, couvrant différents profils (cadres, non-cadres, temps partiel, heures supplémentaires). Tous les calculs sont exacts selon les barèmes URSSAF en vigueur.
Documentation : Feuille de recalcul avec formules et références aux barèmes officiels URSSAF pour chaque mois testé
Interface comptable : Vous retracez 30 écritures comptables du système de paie vers les systèmes clients. Tous les montants, dates et comptes correspondent. L'interface fonctionne correctement.
Documentation : Rapprochement détaillé des écritures avec captures d'écran des deux systèmes

Conclusion de l'exemple


Les contrôles d'application fonctionnent efficacement, supportés par des CGTI globalement fiables malgré quelques défaillances mineures sur la gestion des accès. Le rapport ISAE 3402 peut être émis avec mention des exceptions identifiées et de leur impact limité sur les contrôles testés.

  • Calcul automatique des cotisations sociales selon les barèmes français
  • Interface automatisée entre le système de paie et le système comptable client
  • Génération automatique des déclarations URSSAF
  • Accès aux paramètres de calcul des cotisations (limité aux administrateurs système)
  • Contrôles de changement sur les tables de barèmes (approbation RH + IT requise)
  • Contrôles d'accès aux interfaces systèmes (authentification par certificat)

Checklist pratique des tests de contrôles informatiques

  • Cartographier la hiérarchie des contrôles avant de commencer les tests. Identifiez quels CGTI supportent quels contrôles d'application selon ISAE 3402.A69. Cette cartographie détermine l'ordre et l'étendue de vos tests.
  • Tester les CGTI en premier et documenter toute défaillance avant de passer aux contrôles d'application. Une défaillance majeure des CGTI peut rendre inutiles les tests de contrôles d'application.
  • Utiliser l'inspection et la ré-exécution pour les contrôles automatisés selon ISAE 3402.A86. L'observation directe est généralement impossible pour les contrôles informatiques. L'inspection des paramètres combinée à la ré-exécution sur un échantillon produit l'assurance nécessaire.
  • Documenter les preuves électroniques avec des captures d'écran horodatées, exports de bases de données et journaux système. ISAE 3402.57 exige des preuves d'audit appropriées. Les preuves électroniques nécessitent une documentation plus rigoureuse que les preuves papier.
  • Tester la continuité de fonctionnement sur toute la période couverte. Pour les contrôles automatisés, cela signifie vérifier qu'aucun changement non autorisé n'a été apporté et que les contrôles ont fonctionné sans interruption.
  • L'échec d'un CGTI compromet tous les contrôles d'application qu'il supporte. C'est la règle la plus critique pour les tests informatiques en ISAE 3402. Ne tentez pas de compenser une défaillance CGTI par des tests renforcés sur les contrôles d'application.

Erreurs courantes qui invalident les tests

Tester les contrôles d'application sans valider d'abord les CGTI sous-jacents : Cette approche inverse la logique de l'ISAE 3402. Les contrôles d'application ne peuvent être fiables que si leurs CGTI fonctionnent.
Confondre inspection unique et test de fonctionnement effectif : Vérifier qu'un contrôle existe n'est pas équivalent à tester qu'il fonctionne pendant toute la période. ISAE 3402.39 exige des tests sur le fonctionnement effectif.
Échantillonner des contrôles automatisés comme des contrôles manuels : Les contrôles automatisés ne nécessitent pas d'échantillonnage temporel étalé. Une fois validés et sans changement, ils fonctionnent de manière cohérente selon ISAE 3402.A53.

Contenu connexe

Glossaire ISAE 3402 : Définitions des termes techniques et exigences de la norme pour les missions d'assurance sur les contrôles.
Calculateur de matérialité ISAE 3402 : Outil pour déterminer les seuils de signification appropriés dans les missions d'assurance sur les contrôles internes.
Guide des contrôles généraux informatiques : Approche détaillée pour identifier et tester les CGTI dans différents environnements technologiques.

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.