www.pwc.

com

Les Contrles Gnraux

Informatiques
Information Technology
General Controls (ITGC)
Prsentation des ITGC
Dfinition

1. Les ITGC sont des contrles qui garantissent que le systme dinformation
dune organisation fonctionne comme prvu par son management.
2.Les ITGC assurent que les donnes traites par le systme dinformation de
lorganisation sont :
-.Intgres ;
-.Disponibles ; et
-.Scurises.
3.Les ITGC comportent 4 domaines, qui sont :
Le dveloppement informatique (Program Development) ;
La gestion des changements (Program Change) ;
Lexploitation informatique (Computer Operations) ;
Laccs aux donnes et aux applications (Access to program and data).

PwC 2
 Prsentation des ITGC
Exemple

Risque de Les Risque de

Assertions Sous IT General
Process
financire
la
Processus activit de lutilisation de
transaction lIT Controls
contrle

Accs non
Input : Prix Contrle de Program
Exhaustivit Commande autoris
incorrect commande Development
lapplication
Prix correct
Input : Mauvaise
Chiffre Cut-off Quantit Livraison conception des
Incorrect rapports Program
daffaire Change
Accs direct
Calcul Contrle de
Exactitude Facturation aux bases de
incorrect Facturation
donnes Computer
Prix correct Operations
Compte
Perte de
Existence comptable Encaissement
donnes
Incorrect
Access to
Ajustement et program and
clture de data
periode

PwC 3
Program Development
Project
Initiation,
Analysis and
Design

Segregation of Construction
duties

Objectif:
Sassurer que les systmes sont correctement
Dvelopps, paramtrs et implments
afin datteindre les
Documentati objectifs du management en matire de Testing and
on and Quality
training contrle applicatif.
Assurance

Program Data
Implementation Conversion

PwC 4
 Program Development
Project Initiation, Analysis and Design
Objectifs:
Project
Initiation, Sassurer que les phases de
Analysis and planification et mobilisation de
Design ressources sont assez efficaces pour
Segregation
atteindre les objectifs du management
Construction
of duties en matire de contrle applicatif.
Examiner les points suivants:
Autorisation de lancement des
travaux par les sponsors du projet ;
Composition de lquipe projet ;
Documenta Testing and
tion and Quality Identification des applications
training Assurance owners et des data owners ;

Program
Data
Implementa
Conversion
tion

PwC 5
 Program Development
Construction
Objectifs:
Project
Initiation, Sassurer que les programmes
Analysis and dvelopps en interne (in-house
Design development) sont crits de la manire
Segregation
saligner avec les objectifs du
Construction
of duties management.
Examiner les points suivants :
Utilisation dun standard interne de
dveloppement logiciel ;
Mise en place dun systme de
Documenta Testing and Contrle des versions (Versionning);
tion and Quality
training Assurance Sparation entre les applications et
les donnes ;

Program
Data
Implementa
Conversion
tion

PwC 6
 Program Development
Testing and Quality Assurance
Objectifs:
Project
Initiation, Sassurer que les travaux de tests ont
Analysis and t correctement planifis, prpars et
Design excuts par les ressources adquates
Segregation
afin de sassurer que le nouveau
Construction
of duties systme fonctionne comme prvu
durant la phase danalyse.
Examiner les points suivants :
Sassurer que ltendu du plan de test
saligne avec les attentes des
Documenta Testing and utilisateurs finaux ;
tion and Quality
training
Sassurer que le nouveau programme
Assurance
na pas subi de modification aprs la
phase de test ;

Program
Data
Implementa
Conversion
tion

PwC 7
 Program Development
Data Conversion
Objectifs:
Project
Initiation, Sassurer que les donnes ont t
Analysis and correctement migres depuis lancien
Design systme vers le nouveau systme afin
Segregation
de prserver lintgrit des donnes.
Construction
of duties Examiner les points suivants :
Sassurer que les donnes ont t
correctement mappes de lancien
systme vers le nouveau systme ;
Sassurer que les donnes ont t
Documenta Testing and migres dune manire exhaustive et
tion and Quality
training Assurance
intgre ;

Program
Data
Implementa
Conversion
tion

PwC 8
 Program Development
Program Implementation
Objectifs:
Project
Initiation, Sassurer que le nouveau systme a t
Analysis and correctement implment dans
Design lenvironnement de production.
Segregation Construction Examiner les points suivants :
of duties
Les travaux de tests ont t
convenablement excut ;
Le plan de retour la normal est
document avant la mise en
exploitation ;
Documenta Testing and
tion and Quality Lapprobation du business owner est
training Assurance matrialis par une autorisation de
mise en production ;
La version de lapplication installe
correspond celle qui a t teste ;
Program
Data
Implementa
Conversion
tion

PwC 9
 Program Development
Documentation and Training
Objectifs:
Project
Initiation, Sassurer que la documentation
Analysis and technique et que le guide dutilisation
Design du nouveau programme est disponible
Segregation
aux utilisateurs de lapplication.
Construction
of duties Examiner les points suivants :
Disponibilit de la documentation
technique et du guide dutilisation.

Documenta Testing and

tion and Quality
training Assurance

Program
Data
Implementa
Conversion
tion

PwC 10
 Program Development
Segregation of duties
Objectifs:
Project
Initiation, Sassurer de la sparation des tches
Analysis and incompatibles durant tous le processus
Design de dveloppement.
Segregation Construction Examiner les points suivants :
of duties
Sassurer que les tches incompatibles
du domaine Program
Development ont t clairement
identifi ;
S assurer de la sparation entre les
Documenta Testing and environnements de dveloppement, de
tion and Quality
training Assurance
test et de production.

Program
Data
Implementa
Conversion
tion

PwC 11
Program Change
Specification,
authorization and
tracking of change
requests

Segregation of Construction
duties
Objectifs:

Sassurer que les changements apports aux

systmes et linfrastructure sont autoriss,
construits, tests, et implments afin
datteindre les objectifs du management en
matire de contrle applicatif.
Documentatio Testing and
n and training Quality
Assurance

Program
Implementation

PwC 12
Program change
Specification, authorization and tracking of change requests
Objectifs:
Specification,
authorization Sassurer que les demandes de
and tracking of changements (Change Request) sont
change requests
enregistres, autorises et priorises.

Segregation of
Examiner les points suivants :
Construction
duties Sassurer que toutes les demandes de
changements ont t enregistres dans
un systme automatique ou manuel ;
Sassurer que toutes les demandes de
changements sont les rsultantes.

Documentati Testing and

on and Quality
training Assurance
(*) les autres tapes sont identiques celle
du domaine Program Devlopment
Program
Implementation

PwC 13
Computer Operations

Batch scheduling and Real-time processing

processing
Computer
Operation

Backup and Problem Disaster Recovery

Management

Objectifs:
Sassurer que les systmes en production sont entrain de fonctionner de manire atteindre les
objectifs du management, et que tous les problmes sont identifis, enregistrs et rsolus afin de
garantir lintgrit de linformation financire.

PwC 14
 Computer Operations
Batch scheduling and processing
Objectifs:
Sassurer que les travaux batch sont
Batch scheduling and correctement planifis et excut afin
Real-time processing
processing datteindre les objectifs du
management.
Computer
Tester les points suivants :
Operation
Sassurer que tout changement au
Backup and Problem Disaster Recovery niveau de des travaux Batch a t
Management initi et autoris ;
Sassurer de la documentation des
procdures et des politiques ;
Sassurer que seuls les utilisateurs
concerns ont accs aux outils de
traitement Batch ;

PwC 15
 Computer Operations
Real Time Processing
Objectifs:
Sassurer que les donnes transfres
Batch scheduling and via les Real Time Processing
Real-time processing
processing applicationssont exactes et
exhaustives.
Computer
Examiner les points suivants :
Operation
Comment le management sassure
Backup and Problem Disaster Recovery que tout changement apport aux
Management interface a t autoris par un
responsable ;
Comment sassurer que les
problmes et les incidents dus au
fonctionnement de linterface sont
capturs et traits;
Comment sassurer que seules les
personnes habilites ont le droit de
modifier les les Real Time
PwC
Processing applications . 16
 Computer Operations
Backup and Problem Management
Objectifs:
Sassurer que les donnes sont
Batch scheduling and disponibles en cas de panne ou
Real-time processing
processing incident informatique et que tous
problmes dexploitations sont
Computer identifi, catgoriss, prioriss et
Operation rsolus temps.
Examiner les points suivants:
Backup and Problem Disaster Recovery
Management Comment sassurer que toutes les
donnes critiques ont t au niveau
du plan de sauvegarde ;
Comment sassurer que les supports
de stockage sont placs dans un
emplacement scuris et disponible ;
Comment sassurer que les incidents
et les problmes informatiques sont
identifis et rsolus temps.
PwC 17
 Computer Operations
Disaster Recovery
Objectifs:
Sassurer que lorganisation a mis en
Batch scheduling and place un plan de continuit dactivit
Real-time processing
processing qui permet de reprendre lactivit de
lentreprise en cas de dsastre ou de
Computer problme informatique grave.
Operation
Examiner les points suivants :
Backup and Problem Disaster Recovery Sassurer que le primtre externe et
Management lenceinte interne de lentreprise sont
scuriss par les dispositifs de
scurit adquats (dtecteur de feu,
eau, humidit, fume, temprature,
) ;
Sassurer qu une analyse dimpact
ou une valuation des risques a t
mene par lentreprise ;
Sassurer que le plan de reprise
PwC
dactivit est test rgulirement18;
Access to Programs and Data

Management
Security
of Security
administration
Activities

Operating
System and
Data Security
Network
Security

Objectifs:
Sassurer que seuls les personnes autorises accder aux donnes et aux applications sont habilites
le faire moyennant un systme didentification ou dauthentification.

PwC 19
Access to Programs and Data
Management of Security Activities
Objectifs:
Management Sassurer que lorganisation a
Security
of Security dvelopp sa politique de scurit
administration
Activities informatique afin de prserver
lintgrit et la confidentialit de ses
donnes.
Examiner les points suivants :
La dfinition et la communication
Operating des responsabilits en matire de
System and scurit informatique ;
Data Security
Network Le dveloppement et la mise jour
Security de la politique de scurit
informatique et des procdures
oprationnelles.

PwC 20
Access to Programs and Data
Security administration
Objectifs:
Management Sassurer que les droits daccs
Security
of Security affects aux utilisateurs
administration
Activities (applications, donnes et systmes
dexploitation ) correspondent leurs
responsabilits.
Examiner les points suivants :
Sassurer que les droits daccs ont
Operating t dfinis par les business unit
System and management afin dviter le cumul
Data Security
Network de taches incompatibles ;
Security Sassurer que lorganisation dispose
des procdures suivantes :
Procdure de gestion des droits
daccs ( obtention,
changement, suppression,)
Procdure de revue priodique
PwC
des droits daccs est 21
dveloppe.
Access to Programs and Data
Data Security
Objectifs:
Management Sassurer que les accs directs aux
Security
of Security bases de donnes sont surveills afin
administration de dtecter tout accs non autoriss.
Activities
Examiner les points suivants :
Sassurer que toutes les mthodes
daccs directs la base de donnes
ont t dfinies ;
Operating Sassurer que les SGBD* ont t
System and configurs afin de restreindre laccs
Data Security
Network directs aux donnes critiques
Security (financires, fichiers systmes,) ;
Sassurer que lorganisation dispose
dune procdure de revue priodique
des accs directs aux bases de
donnes.

PwC 22
* : Systme de Gestion des Base de Donnes
Access to Programs and Data
Operating System and Network Security
Objectifs:
Management Sassurer que les accs aux systmes
Security
of Security dexploitation ainsi quau rseau nest
administration autoris quaux utilisateurs internes
Activities
de lorganisation.
Sassurer que la configuration des
systmes dexploitation et du rseau
ne permet laccs quaux utilisateurs
internes de lorganisation ;
Operating
System and Sassurer que le rseau informatique
Data Security est conu de manire scuriser les
Network
Security donnes critiques ;
Sassurer que lorganisation dispose
des moyens techniques ncessaires
afin de dtecter toutes activits non
autorises.

PwC 23
Les contrles applicatifs
Les types de contrles applicatifs

Les contrles automatiques : Cest un contrle qui a t conu au

sein dun logiciel.
Exemple : Jointure Bon de commande et Facture
Les contrles manuels : Cest un contrle qui ne se base pas sur la
composante informatique.
Exemple: Un rapprochement entre le chiffre d'affaires ralis et le
chiffre d'affaires budgtis.
Les procdures comptables automatises : Calculs, estimations,
affectations comptables ou toutes autres procdures comptables qui ne
ncessites pas une intervention manuelle.
Exemple : La comptabilisation dune vente du module commercial vers
le module comptable.

PwC 24
Les contrles applicatifs
Processus de test dun contrle applicatif

1.Prendre connaissance du processus mtier et de la de conception des

contrles applicatifs ;
2. Evaluer la conception des contrles applicatifs ;
3. Prparer et excuter les tests de cheminements (walkthroughs) ;
4. Documenter les travaux.

PwC 25
Les contrles applicatifs
Processus de test dun contrle applicatif

1.Prendre connaissance du processus mtier et de la de conception des

contrles applicatifs :

Identification des transactions ( oprations) significatives du

processus tester Process flow of transactions
Identification des contrles mis en place ;

Support : Les composantes COSO

PwC 26
Les contrles applicatifs
Processus de test dun contrle applicatif

2.Evaluer la conception des contrles applicatifs ;

Rapprochement entre les risques daudit et les contrles

identifis ;
Nature du contrle ;
Frquence du contrle ;
Priode couverte par le contrle ;
Exprience et qualifications des intervenants dans le
processus de contrle applicatif ;
Evaluation de la sparation des tches incompatibles ;

PwC 27
Les contrles applicatifs
Processus de test dun contrle applicatif

3. Prparer les tests de cheminements (walkthroughs) ;

Valider notre comprhension du process flow of transactions et des

contrles applicatifs ;
Evaluer lefficacit et la pertinence des contrles applicatifs ;

PwC 28
Les contrles applicatifs
Processus de test dun contrle applicatif

4. Documenter des travaux

. Documenter les travaux de tests ;

. Communiquer les constats aux personnes appropries ;

PwC 29
Thank you for your attention

WARNING: The following disclaimer and copyright notices

must be customised for your local territory - if you need
assistance with appropriate wording, contact your local
Risk Management or Office of General Counsel.

This publication has been prepared for general guidance on matters of interest only, and does
not constitute professional advice. You should not act upon the information contained in this
publication without obtaining specific professional advice. No representation or warranty
(express or implied) is given as to the accuracy or completeness of the information contained
in this publication, and, to the extent permitted by law, [insert legal name of the PwC firm], its
members, employees and agents do not accept or assume any liability, responsibility or duty
of care for any consequences of you or anyone else acting, or refraining to act, in reliance on
the information contained in this publication or for any decision based on it.

2010 [insert legal name of the PwC firm]. All rights reserved. In this document, PwC refers
to [insert legal name of the PwC firm] which is a member firm of PricewaterhouseCoopers
International Limited, each member firm of which is a separate legal entity.