Bien qu'il soit peu probable que la sécurité soit au premier plan des préoccupations des décideurs des cabinets d'audit lors de l'adoption de nouveaux outils technologiques, elle est l'un des éléments les plus critiques à prendre en compte lors de l'examen des outils des fournisseurs à intégrer dans les audits.
La confiance autour de l'intégrité des données dans les audits est vitale. Les praticiens doivent donc avoir l'assurance totale que les données des transactions sont exactes et complètes, et qu'elles n'ont pas été altérées. En fin de compte, la responsabilité incombe à l'associé qui signe le travail une fois celui-ci terminé.
Il existe plusieurs normes de certification de sécurité différentes dans le monde qui s'alignent globalement sur des principes similaires, à quelques nuances près.
Cela vaut la peine de prendre le temps de comprendre pourquoi la sécurité est importante et ce qu'il faut rechercher chez les fournisseurs, car cela permet de réduire les risques liés aux audits et est essentiel pour déterminer avec quels fournisseurs de logiciels d'audit travailler.
Qu'est-ce que la sécurité ?
La sécurité des données couvre trois principes essentiels : la confidentialité, l'intégrité et la disponibilité.
1. Confidentialité
Les logiciels d'entreprise doivent assurer la confidentialité des données qu'ils traitent pour éviter qu'elles ne tombent entre de mauvaises mains et pour donner aux acheteurs l'assurance que les données ne seront pas détournées.
S'ils ne le font pas, ils s'exposent à des risques de litige et à une atteinte à la réputation de la marque. Les sociétés cotées en bourse peuvent être particulièrement touchées par ce phénomène en raison de l'évolution défavorable du cours de leurs actions.
Au sein de l'UE, la confidentialité des données détenues et traitées par les fournisseurs de logiciels doit être protégée par le GDPR. Son non-respect peut entraîner des amendes de 4 % du chiffre d'affaires annuel mondial de l'entreprise ou de 20 millions de dollars, le montant le plus élevé étant retenu.
2. Intégrité
Dans le contexte de la sécurité des données, l'intégrité signifie que les utilisateurs doivent pouvoir compter sur l'exactitude et la validité des données traitées par les logiciels d'entreprise.
Les données doivent être exactes et cohérentes tout au long de leur cycle de vie, faute de quoi les entreprises ne peuvent s'y fier.
Sur le plan pratique, cela signifie que des systèmes doivent être mis en place pour vérifier l'absence d'erreurs dans les données afin de prouver qu'il n'y a pas eu de compromis. En outre, les données devront faire l'objet de procédures de validation pour s'assurer qu'elles n'ont pas été modifiées lors des transferts dans et hors des systèmes.
3. Disponibilité
La disponibilité est essentielle à la sécurité des données, car les systèmes et les applications doivent rendre les données disponibles chaque fois que les utilisateurs en ont besoin.
Le logiciel doit être suffisamment robuste pour résister aux attaques par déni de service afin que les utilisateurs puissent accéder aux données sans interruption à tout moment.
Le déni de service peut rendre les applications non opérationnelles ou, dans des circonstances graves, amener les systèmes dans un état dangereux.
Comment ces principes de sécurité répondent-ils aux besoins des auditeurs ?
La sécurité doit être un élément clé dans la sélection des fournisseurs pour les auditeurs. Ces principes sont des éléments fondamentaux pour les contrôles de sécurité des logiciels qui soutiennent les contrôles internes pour l'audit des états financiers.
Les auditeurs doivent s'appuyer sur ces contrôles de sécurité pour mener à bien leur travail avec les niveaux d'assurance appropriés.
Par exemple, ils doivent se fier entièrement à l'intégrité des confirmations des soldes bancaires en fin d'année pour prouver que les soldes ont été rapprochés correctement.
En outre, lorsque des transactions bancaires postérieures à la fin de l'année sont demandées à des fins de post-bilan, les auditeurs doivent s'assurer que les données fournies satisfont au champ d'application et que les données proviennent d'une partie autorisée et n'ont pas été altérées.
Le fait de ne pas avoir confiance dans la sécurité des données utilisées dans ces processus nuit à la capacité des partenaires à signer les audits.
Une autre raison pour laquelle les auditeurs doivent s'appuyer sur la sécurité pour les technologies d'audit est l'efficacité des ressources humaines et la rationalisation des processus. Les avantages des nouveaux outils technologiques d'audit comprennent des fonctions d'automatisation qui permettent de gagner du temps sur les flux de travail d'audit de base et de fournir des niveaux d'assurance dépassant les capacités des auditeurs humains. Par exemple, cela peut inclure l'analyse de 100 % des transactions pour rechercher des anomalies.
Il est également essentiel que les cabinets d'audit puissent compter sur la sécurité de leurs fournisseurs de logiciels pour utiliser l'automatisation afin d'aider et de compléter les efforts du personnel. Si les partenaires d'audit ne peuvent pas être sûrs de la sécurité sous-jacente des outils utilisés, les travaux devront s'appuyer sur davantage d'efforts manuels et humains et occuperont des ressources humaines supplémentaires. Ils prendront également plus de temps à livrer, ce qui érodera les marges bénéficiaires.
L'étalon-or à surveiller
Pour satisfaire aux exigences de sécurité, les cabinets d'audit doivent au moins adopter des fournisseurs disposant d'un système de gestion de la sécurité de l'information (SGSI) dont la portée est large et complète. Celui-ci doit aborder tous les risques et menaces liés à la confidentialité, l'intégrité et la disponibilité.
Tout comme les normes de certification des états financiers, il existe des certifications internationales en matière de sécurité. L'adoption de fournisseurs disposant de ces certifications devrait rassurer les auditeurs sur le fait qu'ils respectent les niveaux de sécurité les plus élevés.
Les normes les plus utilisées sont SOC2 (plus répandue aux États-Unis) et ISO 27001 (plus utilisée en Europe).
Les deux certifications garantissent le respect des niveaux de sécurité les plus élevés. Les deux se chevauchent, mais il existe quelques différences. Il s'agit notamment de leur mode de gestion (l'American Institute of Certified Public Accountants pour SOC2 et l'ANSI-ASQ National Accreditation Board pour ISO 27001), et ISO 27001 est considérée comme une certification plus difficile à obtenir pour les fournisseurs.
En fin de compte, les auditeurs sont susceptibles d'adopter des fournisseurs qui appliquent les certifications dans les lieux géographiques de leurs clients.
Examinez la sécurité de vos fournisseurs actuels dès aujourd'hui
Si vous travaillez déjà avec des fournisseurs de technologies d'audit, examinez leur approche de la sécurité pour vous assurer qu'elle est suffisamment adaptée. S'il n'existe pas d'accréditation officielle, contactez les fournisseurs et assurez-vous qu'ils ont mis en place un SMSI.
Chez Circit, notre sécurité répond aux normes les plus élevées pour nous et nos clients. En plus d'être officiellement certifiée ISO 27001, la plateforme est entièrement conforme au GDPR, et tout notre contenu est crypté. Nous sommes actuellement en cours d'accréditation SOC2.
La sécurité des données est renforcée par la création d'une piste d'audit complète et immuable, entre toutes les parties, y compris les cabinets d'audit et leurs clients, qui comprend des horodatages des adresses IP et des informations sur l'utilisateur final.
Learnmore about our approach here.
