Techniques d’audit assisté par ordinateur Les techniques d'audit ponctuel L'audit assisté par ordinateur mobilise principalement des logiciels de traitement des données (excel, SQL, TOAD …) permettant l'interrogation de fichiers ou de bases de données et la réalisation de différents types de tests, dont les plus fréquemment utilisés en audit sont: · les tests de totalisation; · les tests de calculs; · les tests de comparaison de fichiers ou de bases de données; · ….. D'un audit ponctuel à un audit continu Les techniques d'audit assisté par ordinateur permettent de réaliser un glissement d'un audit ponctuel à un audit continu qui améliore la capacité des auditeurs internes et externes à répondre aux obligations relatives au contrôle interne : En multipliant les points de contrôle (sondes ) du système d’information En augmentant la périodicité de contrôle des processus ou des systèmes qui présentent un niveau de risque . En évitant la réalisation des risques avec la détection et l’alerte automatisée des déficiences ou l’automatisation de l’action corrective En présentant des tableaux de bord de suivi Selon l'AFI, « l'audit continu est une démarche d'audit caractérisée par l'usage intensif de CAATs(computer assisted audit technique), exercés avec une fréquence proportionnée aux événements ou risques à traiter ». Plusieurs approches et outils (GRC) d'audit continu assisté par ordinateur existent.

Techniques d’audit assisté par ordinateur Les avantages de l'audit assisté par ordinateur A partir des données intégrées dans ces logiciels, il est possible de paramétrer des requêtes permettant la recherche d'anomalies. Des contrôles automatisés et continus (ou séquencés périodiquement) peuvent donc être conduits à partir de ces solutions. De plus, ces logiciels produisent des alertes et/ou des tableaux de bord avec la conservation des historiques. Les méthodes et les logiciels de type GRC permettent de superviser, d’alerter (reporting..) et de piloter en continu le système informatique : les composants de l’infrastructure (réseau, serveurs..) les composants de stockage des données (base de données..) Les composants d’exploitation (batchs-sauvegardes_interfaces) les composants applicatifs (applications, interfaces, ERP ..) Ces automatismes permettent d’abaisser les seuils d’alerte et d’anticiper davantage le plan d’action pour éviter la réalisation des risques

La Solution RVM pour la maîtrise des risques

La Solution SAP pour la maîtrise des risques Détection des risques Etablissement des rapports Elimination des risques documenter Analyses d’impact SAP Calibratror INDENTIFIER CORRIGER Réduction des Super Users Traçabilité des actions des Supers Users SAP firefighter Gestion des rôles et cycle de vie ( Workflow d’approbation ) documentation des rôles Prévention des risques et impacts sur les rôles Role expert PREVENIR GERER Gestion du cycle de vie des utilisateurs Documenter Prévention des risques avant les changements sur les rôles Alerter ( Workflow ) Access Enforcer

La Solution SAP pour la maîtrise des risques GRC Foundation Risk & Control Repository Risk & Control Documentation Mobile Analytics Duet GRC Applications Authorization Model Authorization Data Users & Groups Access Controls Transaction Data Log Data Process Controls Workflow Access Rules Process Rules Normalized Access Control Model Normalized Process Control Model xApps Adaptor Framework (RFC, JDBC, FTP, SOAP) mySAP … … LDAP IDM…

La Solution Oracle pour la maîtrise des risques Governance, Risk, and Compliance GRC Intelligence GRC Processes GRC Controls Finance Operations Credit-to-Cash Procure-to-Pay Financial Control & Reporting Cash & Treasury Management Travel & Expense Management Travel & Expense Management Asset Lifecycle & Real Estate Mgmt 6

La Solution Oracle pour la maîtrise des risques Pre-built dashboards aggregate information from all sources Combine performance & risk information Respond to KRI’s and issues Produce attestations and disclosures GRC Reporting & Analytics Dashboards Reporting KRI & Alerts GRC Process Management GRC system of record End-to-end GRC process management Integrated control management Closed-loop issue remediation Management Assessment Issue & Remediation Event & Loss Mgmt Audit GRC Application Controls SOD & Access Application Configuration Transaction Monitoring Continuous controls monitoring and enforcement Preventive and detective controls Automated controls testing Best practice controls across key process flows Protect sensitive data Enforce configurations and change management Reduce risk of legal liability Oracle is committed to an open and comprehensive suite of GRC applications that supports all mandates and regulations. Comprehensive in the sense that this suite manages your controls and risks from end to end, but open because each component is designed as a complete, purpose-built business solution for any GRC key initiative. The combined solution is also pre-integrated with Oracle applications such as the E-Business Suite, PeopleSoft, Siebel, Hyperion, and JD Edwards but can also be deployed in heterogeneous enterprise environments, including SAP and other non-Oracle environments. GRC Infrastructure Controls Identity Mgmt Data Security Systems Mgmt Content & Records Mgmt Digital Rights Custom or Legacy Applications 7