Bien qu'il soit peu probable que la sécurité soit la priorité absolue des décideurs au sein des cabinets d'audit lors de l'adoption de nouveaux outils technologiques, c'est l'un des éléments les plus critiques à prendre en compte lors de l'évaluation des outils fournisseurs à intégrer dans les audits.
La confiance dans l'intégrité des données d'audit est vitale, les professionnels doivent donc avoir l'assurance totale que les données de transaction sont exactes, complètes et n'ont pas été altérées. En fin de compte, la responsabilité incombera à l'associé qui validera le travail une fois terminé.
Il existe plusieurs normes de certification de sécurité différentes dans le monde entier qui s'alignent globalement sur des principes similaires, avec seulement quelques nuances.
Il est utile de prendre le temps de comprendre pourquoi la sécurité est importante et ce qu'il faut rechercher chez les fournisseurs, car cela réduira les risques des audits et sera essentiel lors de l'évaluation des fournisseurs de logiciels d'audit avec lesquels travailler.
Qu'est-ce que la sécurité ?
La sécurité des données repose sur trois piliers essentiels : la confidentialité, l'intégrité et la disponibilité.
1. Confidentialité
Les logiciels d'entreprise doivent maintenir la confidentialité des données qu'ils traitent afin d'éviter qu'elles ne tombent entre de mauvaises mains et de donner aux acheteurs l'assurance que les données ne seront pas détournées.
Ne pas le faire expose les utilisateurs professionnels à des risques de litige et à des atteintes à la réputation de la marque. Les sociétés cotées en bourse peuvent être particulièrement touchées par cela en raison des mouvements défavorables de leur cours boursier.
Au sein de l'UE, la confidentialité des données détenues et traitées par les éditeurs de logiciels doit être protégée par le RGPD. Le non-respect de cette règle peut entraîner des amendes de 4 % du chiffre d'affaires annuel mondial de l'entreprise, ou de 20 millions de dollars, le montant le plus élevé étant retenu.
2. Intégrité
L'intégrité, dans le contexte de la sécurité des données, signifie que les utilisateurs doivent pouvoir se fier à l'exactitude et à la validité des données traitées par les logiciels d'entreprise.
Les données doivent être exactes et cohérentes tout au long de leur cycle de vie, car un manquement à cette exigence signifie que les entreprises ne peuvent pas s'y fier.
Concrètement, cela signifie que des systèmes doivent être mis en place pour vérifier les données afin de détecter les erreurs et de prouver qu'il n'y a pas eu de compromissions. De plus, des procédures de validation devront être appliquées aux données pour s'assurer qu'elles n'ont pas été modifiées lors des transferts entrants et sortants des systèmes.
3. Disponibilité
La disponibilité est essentielle à la sécurité des données, car les systèmes et les applications doivent rendre les données accessibles chaque fois que les utilisateurs en ont besoin.
Les logiciels doivent être suffisamment robustes pour résister aux attaques par déni de service afin que les utilisateurs puissent accéder aux données sans interruption à tout moment.
Un déni de service peut rendre les applications inopérantes ou, dans des circonstances graves, peut amener les systèmes à un état dangereux.
Comment ces principes de sécurité répondent aux besoins des auditeurs
La sécurité doit être un élément essentiel dans le choix des fournisseurs pour les auditeurs. Ces principes sont des éléments fondamentaux pour les contrôles de sécurité des logiciels qui soutiennent les contrôles internes pour l'audit des états financiers.
Les auditeurs doivent s'appuyer sur ces contrôles de sécurité pour mener à bien leurs missions avec les niveaux d'assurance pertinents.
Par exemple, ils doivent se fier entièrement à l'intégrité des confirmations de soldes bancaires à la clôture de l'exercice pour prouver que les soldes ont été correctement rapprochés.
De plus, lorsque des transactions bancaires post-clôture sont demandées à des fins de post-bilan, les auditeurs doivent s'assurer que les données fournies respectent le périmètre et qu'elles proviennent d'une partie autorisée et n'ont pas été altérées.
Le manque de confiance dans la sécurité des données utilisées dans ces processus compromet la capacité des associés à certifier les audits.
Une autre raison pour laquelle les auditeurs doivent s'appuyer sur la sécurité des technologies d'audit est liée aux gains d'efficacité en matière de gestion des ressources humaines et de rationalisation des processus. Les avantages des nouveaux outils technologiques d'audit incluent des fonctionnalités d'automatisation qui permettent de gagner du temps sur les flux de travail d'audit essentiels et d'offrir des niveaux d'assurance dépassant les capacités des auditeurs humains. Par exemple, cela peut inclure l'analyse de 100 % des transactions pour détecter les anomalies.
Il est également essentiel pour les cabinets d'audit de pouvoir se fier à la sécurité de leurs fournisseurs de logiciels pour utiliser l'automatisation afin d'assister et de compléter les efforts du personnel. Si les associés d'audit ne peuvent pas être sûrs de la sécurité sous-jacente des outils utilisés, les missions devront s'appuyer sur des efforts plus manuels et humains et nécessiteront des ressources humaines supplémentaires. Elles prendront également plus de temps à être réalisées, érodant ainsi les marges bénéficiaires.
Les normes d'excellence à rechercher
Pour satisfaire aux exigences de sécurité, au minimum, les cabinets d'audit devraient choisir des fournisseurs dotés d'un Système de Management de la Sécurité de l'Information (SMSI) dont le périmètre est large et complet. Celui-ci doit couvrir tous les risques et menaces liés à la confidentialité, à l'intégrité et à la disponibilité.
De manière similaire aux normes d'assurance des états financiers, il existe des certifications internationales pour la sécurité. Choisir des fournisseurs qui les possèdent devrait apporter aux auditeurs une assurance supplémentaire qu'ils respectent les niveaux de sécurité les plus élevés.
Les normes les plus utilisées sont SOC2 (plus répandue aux États-Unis) et ISO 27001 (plus couramment utilisée en Europe).
Ces deux certifications garantissent le respect des niveaux de sécurité les plus élevés. Il existe un chevauchement entre les deux, mais aussi quelques différences. Celles-ci incluent leur mode de gouvernance (l'American Institute of Certified Public Accountants pour SOC2 et l'ANSI-ASQ National Accreditation Board pour ISO 27001), et ISO 27001 est considérée comme une certification plus difficile à obtenir pour les fournisseurs.
En fin de compte, les auditeurs sont susceptibles de choisir des fournisseurs qui appliquent des certifications dans les zones géographiques de leurs clients.
Examinez la sécurité de vos fournisseurs actuels dès aujourd'hui
Si vous travaillez déjà avec des fournisseurs de technologies d'audit, examinez leur approche en matière de sécurité pour vous assurer qu'elle est suffisamment adaptée à l'usage prévu. Si des accréditations formelles ne sont pas détenues, contactez les fournisseurs et assurez-vous qu'ils ont un SMSI en place.
Chez Circit, notre sécurité répond aux normes les plus élevées pour nous-mêmes et pour nos clients. En plus d'être officiellement certifiée ISO 27001, la plateforme est entièrement conforme au RGPD, et tout notre contenu est chiffré. Nous sommes actuellement en cours d'accréditation SOC2.
La sécurité des données est renforcée par la création d'une piste d'audit complète et immuable, entre toutes les parties, y compris les cabinets d'audit et leurs clients, qui intègre des horodatages, des adresses IP et des informations sur l'utilisateur final.
Découvrez-en plus sur notre approche ici.
