Quelles sont les perspectives futures de l’expertise comptable en 2024 ?

Les perspectives futures de l’expertise comptable révèlent une transformation radicale due aux nouvelles technologies de l’information. Cette étude met en lumière comment ces évolutions redéfinissent les missions traditionnelles et soulignent l’urgence d’une adaptation proactive pour rester compétitif dans l’économie numérique.

Sous-Section 2 : La certification de la fiabilité des systèmes d’information : la mission SysTrust³

Dans cette sous-section, nous procéderons d’abord à une présentation du service (§1) ainsi que des « principes et critères » (§2) SysTrust. Ensuite, nous tenterons de décrire la conduite d’une mission SysTrust (§3). Enfin, nous procéderons à une comparaison entre une mission SysTrust et une mission WebTrust (§4).

¹ Observation effectuée vers la mi-2001.

² Selon P. REMOND. « Les sites marchands français incapables de décrocher le label WebTrust ». Article publié en avril 2001 sur le site www.journaldunet.com.

³ Les développements ci-après s’appuient sur le document AICPA-ICCA. Systrust. Principes et critères de fiabilité des systèmes (Exposé-sondage). 2000. L’AICPA a fait enregistrer le nom « SysTrust » comme marque déposée et marque de service (service mark) aux États-Unis, et l’ICCA l’a fait enregistrer comme marque déposée au Canada.

§1. Présentation

Le développement rapide des technologies permet aux entreprises d’avoir accès à des systèmes d’information toujours plus puissants à coût constant voire moindre. Désormais, ces systèmes dépassent largement la simple tenue de compte pour investir tous les process de gestion y compris la communication avec les clients et les partenaires commerciaux (B to C et B to B).

Dans leur quête de nouveaux marchés, d’un meilleur service à la clientèle et d’une meilleure productivité, les entreprises cherchent à l’extérieur de leurs frontières conventionnelles et s’appuient sur les systèmes d’information d’autres entités dans le cadre d’opérations de sous-traitance, de partenariats ou d’autres types d’opérations conjointes.

Mais le choix d’un partenaire dont les systèmes ne sont pas fiables peut avoir des incidences déplorables sur ses propres process. « Comme le maillon faible d’une chaîne, un système non fiable peut avoir des conséquences sur toute une série d’événements touchant l’entreprise, ses clients, ses fournisseurs et ses partenaires commerciaux »¹. La dépendance grandissante des entreprises à l’égard des technologies de l’information fait que les systèmes peu sûrs sont de moins en moins tolérés.

En conséquence, l’AICPA et l’ICCA ont mis au point un nouveau service professionnel de certification de la fiabilité des systèmes d’information. Ce service appelé « SysTrust » vise à accroître la confiance de la direction, des clients et des partenaires commerciaux à l’égard des systèmes sur lesquels repose une entreprise ou une activité particulière.

Pour comprendre l’objet de la mission, nous commençons par définir les systèmes sur lesquels elle porte. Un système est généralement défini comme un ensemble d’éléments structurés en vue d’atteindre un objectif précis. Les systèmes d’information reposent sur les cinq éléments suivants pour traiter et transformer les données :

Infrastructure – Les composantes physiques et matérielles d’un système, comprenant les installations, les ordinateurs centraux, les serveurs, les réseaux et les composantes connexes. Logiciels – Les programmes et le logiciel d’exploitation d’un système, comprenant les systèmes d’exploitation, les utilitaires et les logiciels d’applications commerciales, comme les ERP et les modules financiers.

Personnes – Le personnel exploitant et utilisant un système, comprenant le personnel des technologies de l’information (comme les programmeurs et les opérateurs), ainsi que les utilisateurs et la direction.

Procédures – Les procédures automatisées et manuelles utilisées pour l’exploitation d’un système, comprenant les procédures informatisées (comme les procédures de sauvegarde et de maintenance), et les procédures exécutées par les utilisateurs, telles que celles relatives à la saisie de données.

Données – Les données utilisées et prises en charge par un système, comprenant les flux de transactions, les fichiers, les bases de données et les tables.

Un système peut être très simple et consister, par exemple, en une seule application de traitement de la paie sur un ordinateur personnel ayant un seul utilisateur. Par contre, il peut être d’une grande complexité, notamment dans le cas d’un système bancaire multi-application et multi-ordinateur, auquel peuvent accéder un nombre quasi illimité d’utilisateurs internes ou externes.

§2. Les principes et critères SysTrust

Les principes et critères SysTrust ont été élaborés par un groupe de travail mixte AICPA-ICCA sur la fiabilité des systèmes. Les recherches menées sur plus de deux ans par ce groupe de travail¹ indiquent que les systèmes non fiables présentent certains ou l’ensemble des symptômes suivants : défaillances et pannes fréquentes qui empêchent les utilisateurs internes et externes d’accéder à des services essentiels, incapacité d’empêcher les accès non autorisés au système ; ce qui le rend vulnérable aux virus, au piratage et à la perte de données confidentielles, atteinte à l’intégrité des données, notamment l’apparition de données corrompues, incomplètes et fictives ; et de graves problèmes de maintenance qui produisent des effets secondaires négatifs et involontaires.

À partir de ces indicateurs, le Groupe de travail a défini la fiabilité au moyen de 4 principes et de 58 critères qu’il est possible de respecter par la mise en place de fonctions de contrôle essentielles. En d’autres termes, le rapport de certification est l’expression d’une opinion à l’égard des contrôles de la fiabilité d’un système. Pour qu’une opinion sans réserve soit émise à l’égard d’un système, celui-ci doit satisfaire à tous les principes et critères SysTrust.

Un système est considéré comme fiable s’il respecte les principes ci-après :

1. Disponibilité. le système est disponible aux fins d’exploitation et d’utilisation aux heures établies dans les énoncés ou les ententes sur le niveau de service.
2. Sécurité. le système est protégé contre tout accès physique ou logique non autorisé.
3. Intégrité. le traitement effectué par le système est complet, exact, rapide et autorisé¹.
4. Maintenabilité. le système peut, au besoin, être mis à jour d’une façon qui n’en compromet pas la disponibilité, la sécurité et l’intégrité.

Les critères SysTrust permettent aux praticiens d’évaluer la mesure dans laquelle les principes ci-dessus sont respectés. Ces critères portent sur les éléments suivants :

1. La définition et la documentation des objectifs de performance, des politiques et des normes de l’entité relatives aux performances attendues du système et à l’engagement de l’entité quant au niveau de service à offrir, et la communication de ces objectifs, politiques et normes au personnel concerné. Les objectifs de performance, les politiques et les normes reflètent la sensibilisation de la direction et son engagement à l’égard d’un niveau de performance et de contrôle au sein de l’entité.
2. Les procédures mises en œuvre par l’entité pour toutes les composantes du système dans le but d’atteindre ses objectifs de performance, conformément à ses politiques et à ses normes.
3. Les activités de surveillance du système et de l’environnement permettant à l’entité d’identifier toute dégradation potentielle de la fiabilité du système et de prendre les mesures appropriées pour assurer la conformité aux objectifs, aux politiques et aux normes.

Pour qu’un système soit considéré comme fiable, tous les critères SysTrust doivent être respectés pour le ou les principes faisant l’objet de la vérification². Dans le cadre d’une analyse visant à déterminer si une dérogation à un critère particulier est importante ou non, on doit prendre en considération les utilisateurs éventuels de l’information et les types de décisions attendues d’eux en fonction des informations fournies par le système.

¹ Même si l’intégrité du système et l’intégrité des données sont inter reliées, la mission SysTrust vise essentiellement l’intégrité du système qui n’implique pas automatiquement que les données stockées dans ce système sont complètes, exactes, actuelles et autorisées. La mission SysTrust étant axée sur les contrôles, le praticien ne recueille habituellement pas assez d’éléments probants pour pouvoir fournir le niveau d’assurance requis pour une vérification de l’intégrité des données.

² Le rapport peut ne pas porter sur tous les principes SysTrust. Dans ce cas, il doit mentionner les principes qui n’ont pas été couverts par la vérification.

§3. Conduite d’une mission SysTrust

Le service SysTrust comprend :

• une description et une délimitation du système ;
• une assertion de la direction précisant les contrôles qu’elle a exercés pour assurer la fiabilité du système ;
• un rapport de certification produit par le professionnel fondé sur les principes et critères SysTrust.

Au cours d’une mission SysTrust, le praticien recueille les éléments probants permettant de savoir si les contrôles ont été suffisamment efficaces au cours de la période couverte par la vérification pour que le système satisfasse aux critères se rattachant aux principes faisant l’objet du rapport. Si le praticien juge que tel est le cas, il sera en mesure de délivrer un rapport sans réserve.

L’efficacité d’un contrôle est fonction de la pertinence de sa conception, de la façon dont il est appliqué, de la rigueur avec laquelle il est appliqué et des personnes qui en assurent l’application. La fiabilité d’un système est ainsi basée sur l’ensemble des contrôles mis en place par l’entité. Ces contrôles s’inscrivent dans le cadre des critères ; ces derniers permettant d’évaluer si les principes ont été respectés. Nous présentons en annexe à ce mémoire (annexe n° 4) un tableau détaillant les critères SysTrust en une sélection de sous-critères constituant un cadre de contrôles-type permettant d’assurer le respect des 4 principes SysTrust.

Les compétences requises pour la prestation du service SysTrust sont semblables à celles permettant la prestation du service WebTrust : compétences générales d’auditeur (notamment la planification), connaissances et compétences et informatique et en audit des systèmes d’information. Toutefois, si les compétences en technologies Internet et en réseaux de communication sont souhaitables pour la conduite des missions WebTrust, les missions SysTrust seraient mieux accomplies par des professionnels compétents en audit des sécurités informatiques.

§4. Comparaison entre une mission SysTrust et une mission WebTrust

La promotion de ces deux services pourrait nécessiter de préciser leurs similitudes et différences pour que les acheteurs et les utilisateurs éventuels puissent en apprécier l’applicabilité respective ainsi que la capacité à répondre aux besoins des clients éventuels en matière de certification.

Les noms mêmes de ces services laissent entendre qu’il y a un lien entre eux. En effet, la structure et même le contenu des services WebTrust et SysTrust comportent un certain nombre de ressemblances. Outre la similitude au niveau des compétences requises (paragraphe précédent), on note que les deux services sont basés sur les normes de certification existantes et établissent des principes qui déterminent le niveau d’assurance que fournissent les normes de certification et les procédés spécifiés. De plus, tant les principes et les critères WebTrust que les principes et les critères SysTrust ne servent pas exclusivement à des fins de rapport externe ; ils sont également destinés à servir de cadre pour la conception et la mise en application des systèmes.

S’agissant des divergences, les missions WebTrust concernent les seuls systèmes à accès Internet, tandis que les missions SysTrust visent tous les types de systèmes. En outre, alors que les services WebTrust portent principalement sur les contrôles exercés sur les opérations exécutées par Internet, les services SysTrust s’attachent à la fiabilité d’ensemble des systèmes. Enfin, le service WebTrust est un programme assorti d’un sceau. Ce n’est pas le cas du service SysTrust.

________________________

¹ Observation effectuée vers la mi-2001. ↑

² Selon P. REMOND. « Les sites marchands français incapables de décrocher le label WebTrust ». Article publié en avril 2001 sur le site www.journaldunet.com. ↑

³ Les développements ci-après s’appuient sur le document AICPA-ICCA. Systrust. Principes et critères de fiabilité des systèmes (Exposé-sondage). 2000. L’AICPA a fait enregistrer le nom « SysTrust » comme marque déposée et marque de service (service mark) aux États-Unis, et l’ICCA l’a fait enregistrer comme marque déposée au Canada. ↑

Questions Fréquemment Posées

Qu’est-ce que la mission SysTrust dans le contexte de l’expertise comptable?

La mission SysTrust est un service professionnel de certification de la fiabilité des systèmes d’information, visant à accroître la confiance de la direction, des clients et des partenaires commerciaux à l’égard des systèmes sur lesquels repose une entreprise.

Quels sont les éléments constitutifs d’un système d’information selon la mission SysTrust?

Les systèmes d’information reposent sur cinq éléments : l’infrastructure, les logiciels, les personnes, les procédures et les données.

Pourquoi la fiabilité des systèmes d’information est-elle cruciale pour les entreprises?

La dépendance grandissante des entreprises à l’égard des technologies de l’information fait que les systèmes peu sûrs sont de moins en moins tolérés, car un système non fiable peut avoir des conséquences déplorables sur les processus de l’entreprise et ses relations avec les clients et partenaires.