Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III

Les audits des contrôles de
sociétés de services
SOC I – SOC II – SOC III
31 Mars 2015

© Deloitte S.E.N.C.R.L./s.r.l. et ses sociétés affiliées.
Agenda
1. Historique et compréhension des besoins
2. L’audit des contrôles
3. La description du système de la société de services produite par la
direction
4. L’assertion de la direction
5. Les considérations des sous-traitants de la société de services
6. L’étendue de l’audit
7. Les réserves et les exceptions de l’auditeur
8. L’utilisation des travaux de la fonction d’audit interne
9. L’utilisation des rapports par le « client »
Annexe A ‒ Exemple d'assertion de la direction d'une société de services
1 Les audits des contrôles de sociétés de services

Historique et
compréhension des
besoins

Vocabulaire/acronymes du rapport de l’auditeur d’une
société de services
AICPA « American Institute of Certified Public Accountants »
SSAE « Standards for Attestation Engagements »
ISAE « International Standards for Assurance Engagements »
SOC « Service Organizational Controls »
CNVC Conseil des normes de vérification et de certification
NCMC Norme canadienne de missions de certification
3
Normes existantes Nouvelles normes
États-Unis Canada International États-Unis Canada
Les noms des
rapports de
l’auditeur d’une
société de
services
SAS 70 5970 ISAE 3402 SSAE 16 NCMC 3416
Les audits des contrôles de sociétés de services

La « chaîne » d’interdépendance
Un besoin accru d’établir un lien de confiance avec les parties
prenantes et les partenaires
ImpartitionTI
Fournisseurs
Organismes
règlementaires
Employés
Clients Société de
services et
partenaires
Direction et
administrateurs
Entité
utilisatrice
ImpartitionTI
Société de
services et
partenaires
Confiance? ConfianceConfiance?

Quel est l’objectif d’un rapport indépendant sur les
contrôles d’une société de services?
Objectif : Fournir une assurance que les contrôles décrits sont en place
et fournir une opinion sur le fonctionnement des contrôles.
5
Services
Société
de services
Auditeur
de la société
de services
Entité
utilisatrice
A
Entité
utilisatrice
B
Entité
utilisatrice
C
Cibles
Organismes
règlementaires
Rapport
indépendant
sur les contrôles
Auditeur
de l’entité
utilisatrice
C
Auditeur
de l’entité
utilisatrice
B
Auditeur
de l’entité
utilisatrice
A

Quels sont les bénéfices d’un rapport sur les contrôles
d’une société de services?
Bénéfices pour la société de services
• Crédibilité
• Marketing
• Avantage concurrentiel
• Gestion de risques
• Réduction des efforts d’audit
Bénéfices pour l’entité utilisatrice
• Confiance
• Gestion de risques
• Satisfaction des auditeurs ou des organismes règlementaires
• Réduction des coûts

Secteurs qui obtiennent des rapports sur les contrôles
d’une société de services?
• Traitement de paiements
• Gestion d’actifs
• Affaires bancaires et marchés boursiers
• Gouvernement et secteur public
• Gestion immobilière
• Hébergement TI
• Télécommunications
• Assurance
• Traitement de la paie
• Impartition du service des finances
• Infonuagique (cloud computing)
• Fournisseur de services applicatifs (SaaS)

L’audit des contrôles

L’audit des contrôles
• La direction définit les objectifs de contrôle et les contrôles conçus pour
l’atteinte des dits objectifs de contrôle.
• La direction fournit la liste des contrôles complémentaires qui sont
censés être en place dans les entités utilisatrices.
• L’auditeur de la société de services va continuer d’auditer les contrôles.
• L’auditeur de la société de services donne une opinion sur :
˗ Type 1 – la mise en place et la conception des contrôles
˗ Type 2 – la mise en place, la conception et le fonctionnement efficace des
contrôles
• Pour les audits de type 2, l’auditeur de la société de services divulgue
pour chaque contrôle, selon les types de rapports :
˗ Le détail des tests exécutés
˗ Les résultats des tests exécutés

La description du
système de la société
de services produite
par la direction

La description du système de la société de services
produite par la direction
Étapes pour établir efficacement une description de système
1. Établir l’étendue
2. Déterminer les objectifs de contrôle
3. Identifier les risques pour chaque objectif de contrôle
4. Déterminer les contrôles
5. Développer une stratégie pour les écarts, le cas échéant
6. Identifier les autres aspects clefs de la description du système
7. Développer le cadre de contrôle à divulguer
a) Environnement de contrôle
b) Évaluation des risques
c) Information et communication
d) Surveillance du contrôle interne
8. Développer les autres divulgations

Critères valables
Qu’entend-t-on par critères valables?
• « Critères » – les normes ou les points de référence utilisés pour mesurer et
présenter l’élément considéré et par rapport auxquels l’auditeur de la société de
services évalue cet élément.
• Le « caractère valable » des critères doit être identifié pour chaque type
d’opinion émise :
1. Opinion sur la présentation fidèle de la description du système produite par la
direction (Type 1 et type 2).
2. Opinion sur l’adéquation de la conception des contrôles (Type 1
et type 2).
3. Opinion sur l’efficacité du fonctionnement des contrôles (Type 2).

L’assertion de la
direction

L’assertion de la direction
Une assertion écrite de la direction de la société de services
indiquant si, dans tous leurs aspects significatifs, et au regard de
critères adéquats :
1. La description du système de la société de services produite par la direction
donne une image fidèle du système de la société de services tel qu’il a été
conçu et était en place tout au long de la période spécifiée (Type 2) à une date
spécifiée (Type 1).
2. La conception des contrôles correspondant aux objectifs de contrôle
mentionnés dans la description du système de la société de services produite
par la direction était adéquate pour l’atteinte de ces objectifs de contrôle tout au
long de la période spécifiée (Type 2) à une date spécifiée (Type 1).
3. Les contrôles correspondant aux objectifs de contrôle mentionnés dans la
description du système de la société de services produite par la direction ont
fonctionné efficacement tout au long de la période spécifiée pour permettre
d’atteindre ces objectifs de contrôle (Type 2).
L’assertion de la direction est presque analogue à l’opinion de l’auditeur.

• La direction doit toujours fournir une lettre d’affirmation à l’auditeur de la
société de services.
• La lettre d’affirmation doit faire référence à l’assertion de la direction.

• La direction doit avoir une base raisonnable pour supporter l’assertion.
• Les normes NCMC 3416 et SSAE 16 ne prescrivent pas comment la
direction doit supporter son assertion ou ce que constitue une « base
raisonnable ».
• Il y a plusieurs approches possibles et facteurs à considérer, à titre
d’exemples :
˗ Maturité du cadre de contrôle et des risques existants;
˗ Complexité des affaires et le niveau de changement;
˗ Stabilité des processus dans l’étendue;
˗ Historique des erreurs et faiblesses au plan contrôle;
˗ Autres sources internes d’assurance (par exemple, audit interne, tests pour
la certification des contrôles (CEO/CFO), conformité, gestion des risques);
˗ Autres sources externes d’assurance (autre que l’auditeur de la société de
services).

• L’assertion de la direction peut être incorporée à la description du
système ou en annexe à celle-ci.
• Le norme 3416 ne spécifie pas qui de la société de services doit fournir
l’assertion.
• L’auditeur de la société de services doit déterminer les personnes
appropriées en considérant qui détient les responsabilités appropriées
et les connaissances eu égard au sujet.
• Les sociétés de services peuvent choisir d’utiliser un processus de
sous-certification en cascade pour supporter l’assertion.
Bien que l’auditeur de la société de services doit recevoir une lettre
d’assertion signée, la signature n’a pas besoin d’apparaitre dans le
rapport 3416 bien que ce soit une pratique courante de le faire.

Gouvernance : Exemples d’activités
Niveau
d’assertion
Aucune
base
Surveillance
continue
Exemples
de
procédures
• L’auditeur de la
exécute des tests
et produit un
rapport
• Rapport de la direction
et autres activités de
surveillance
• Évaluation des risques
par la direction
• Tests et surveillance
de l’audit interne
• Examen réglementaire
indépendant
• Évaluation
indépendante des
risques
• Évaluation
indépendante ou
par la direction du
fonctionnement
efficace des
contrôles
Documentation
de support
• Aucune • Documentation de la
surveillance de la
direction
• Documentation de
l’évaluation des
risques de la direction
• Rapports
réglementaires
• Rapports de l’audit
interne
• Résultats de
l’évaluation
indépendante des
risques
• Éléments
probants des
tests sur le
fonctionnement
efficace des
contrôles
*Une combinaison d’une surveillance continue et des évaluations séparées vont habituellement favoriser l’efficacité
des contrôles dans le temps.
Tests (SOX)
Évaluations
séparées
Base raisonnable
pour l’assertion de
la direction*
18

Contrôles − Risque de non-conformité
Importance
x
x
x
x
x
x
x
x
19
• Accès logique
• Gestion des changements
• Privilèges d’accès à haut niveau
x
Risque de non-conformité

Les choses à faire et à ne pas faire
• Ce que les sociétés de services ne peuvent pas faire :
˗ S’appuyer uniquement sur le travail de l’auditeur de la société de services.
• Ce que les sociétés de services n’ont pas besoin de faire :
˗ Créer ou utiliser la fonction existante d’audit interne pour exécuter des tests
pour supporter l’assertion de la direction (Fils de SOx).
˗ Mandater un cabinet d’audit pour exécuter des tests.
• Ce qu’il est recommandé de faire :
˗ S’appuyer sur les contrôles de surveillance existants ou en ajouter.
˗ Tirer avantage des pratiques existantes en matière de risques et de
contrôles.
˗ Démontrer une base raisonnable pour l’assertion de la direction.

Les considérations des
sous-traitants de la

Sous-traitants de la société de services
• Établir si le sous-traitant est important.
˗ Est-ce que les services et les contrôles sont importants pour l’audit des
états financiers de l’entité utilisatrice?
• Si c’est important ça doit être décrit selon l’une ou l’autre des
méthodes suivantes :
˗ méthode d’exclusion;
˗ méthode d’inclusion.

Sous-traitants de la société de services – Méthode
d’exclusion
• Si la méthode d’exclusion est utilisée, la nature des prestations fournies
par le sous-traitant est incluse dans la description du système de la
société de services. Les objectifs de contrôle pertinents du sous-traitant
et ses contrôles correspondants sont toutefois exclus.
• Le sous-traitant est alors exclu de l’étendue de l’audit :
˗ Mention explicite de l’exclusion dans l’opinion de l’auditeur;
˗ Mention explicite dans la description du système produite par la direction;
˗ Mention explicite dans l’assertion de la direction.
Aux États-Unis, dans la majorité des rapports impliquant des sous-
traitants, la méthode d’exclusion est utilisée.

d’inclusion
• Si la méthode d’inclusion est utilisée, la description du système de la
société de services produite par la direction comprend une description
de la nature des prestations fournies par le sous-traitant ainsi que les
objectifs de contrôle et les contrôles correspondants du sous-traitant qui
sont pertinents.
• Les contrôles exercés par le sous-traitant sont inclus dans l’étendue de
l’audit.
• Les contrôles exercés par le sous-traitant sont inclus dans la section du
rapport qui décrit les tests d’audit exécutés et les résultats des tests.
Si la méthode d’inclusion est utilisée, l’assertion de la direction
et une lettre d’affirmation doivent être obtenues de la direction
du sous-traitant. L’assertion de la direction sera incluse
au rapport d’audit.

d’inclusion
• L’expérience à date montre que les sous-traitants ne sont pas prêts à
fournir une assertion de la direction (leur conseiller juridique les avise
de ne pas le faire).
• Conséquemment, la méthode d’exclusion sera probablement celle qui
sera la plus utilisée.
Les sociétés qui ont des sous-traitants doivent décider si elles
veulent utiliser la méthode d’inclusion avant de réaliser les travaux.
Si c’est le cas, les discussions doivent être entreprises avec la
direction des sous-traitants, pour obtenir son accord sur le fait
qu’une assertion de la direction devra être fournie.

L’étendue de l’audit

Rapports « Service Organization Control » :
« SOC1 », « SOC2 » et « SOC3 »
Rapports SOC1 Rapports SOC2 Rapports SOC3
Normes
professionnelles
NCMC 3416
SSAE 16
CPA Canada 5025
AT 101
CPA Canada 5025
AT 101
Sujet Contrôles pertinents
pour le contrôle interne
de l’information
financière.
Contrôles pertinents
pour la sécurité,
disponibilité, intégrité
des traitements,
confidentialité ou vie
privée.
Contrôles pertinents
pour la sécurité,
disponibilité, intégrité
des traitements,
confidentialité ou vie
privée.
But Supporter les audits
d’états financiers des
entités utilisatrices.
Fournir une opinion à
savoir si les principes
des services Trust sont
rencontrés.
Fournir une opinion à
savoir si les principes
des services Trust sont
rencontrés.
Entités
utilisatrices
Usage restreint ‒ La
direction de la société
de services, la direction
des entités utilisatrices,
les auditeurs des
entités utilisatrices.
Usage généralement
restreinte ‒ Parties qui
connaissent les
services, les
interactions, le contrôle
interne et les critères.
Rapports à des fins
d’utilisation générale.

Principes Trust (1/2)
Les rapports SOC 2 et SOC 3 répondent à un ou plusieurs des cinq
attributs clés suivants. Ces attributs sont mieux connus comme étant des
principes tel que définis ci-dessous :
1. Sécurité – Le système est protégé contre les accès non autorisés
(physiques et logiques).
2. Disponibilité – Le système est disponible pour les opérations et
l’utilisation tel que convenu ou accepté.
3. Intégrité des traitements – Le traitement du système est complet, exact,
en temps opportun et autorisé.
4. Confidentialité – L’information identifié comme étant confidentielle est
protégé tel que convenu et accepté.
5. Vie privée – L’information personnelle est recueillie, utilisée, conservée,
publiée et détruite selon les ententes de confidentialité (privacy notice) et
selon les critères généralement acceptés concernant la protection des
informations personnelles publiées par l’AICPA et CPA Canada.

Principes Trust (2/2)
Quatre sections récurrentes dans les principes :
1. Définition des politiques
2. Communication des politiques
3. Mise en place des procédures
4. Surveillance
1. Sécurité – Page 7 à 16.
2. Disponibilité – Page 17 à 28.
3. Intégrité des traitements – Page 29 à 46.
4. Confidentialité – Page 47 à 59.
5. Vie privée – Page 59 à 62 .
Référence :
http://www.webtrust.org/principles-and-criteria/item27818.pdf

Quel est le bon rapport SOC pour vous?
Description Réponse
Norme d’audit
applicable
Est-ce que le rapport est requis par les entités utilisatrices et leurs
auditeurs pour planifier et réaliser l’audit des états financiers et/ou la
certification du contrôle interne?
Oui Rapport SOC 1
Est-ce que le rapport est requis par les entités utilisatrices comme
partie intégrante à leur programme de conformité à 52-109 /
Sarbanes-Oxley ou autre règlementation similaire?
Oui Rapport SOC 1
Est-ce que le rapport est utilisé par les entités utilisatrices ou parties
prenantes pour accroître le niveau de confiance et s’appuyer sur les
système de la société de services?
Oui
Rapport SOC 2
Rapport SOC 3
Est-il requis de rendre le rapport accessible au grand public? Oui Rapport SOC 3
Est-ce que les entités utilisatrices nécessitent une compréhension
des processus et des contrôles de la société de services, des tests
réalisés par l’auditeur et des résultats de ce dernier?
Oui Rapport SOC 2
Non Rapport SOC 3

Introduction SOC 2
• Survol
˗ Plusieurs entités impartissent des tâches ou des fonctions entière à des
société de services qui opèrent, collectent, traitent, transmettent, stockent,
organisent, maintiennent et détruisent des informations pour les entités
utilisatrices.
• Étendue et utilisation
˗ Critères prédéfinis.
˗ Exigences et directrice dans « AT Section 101, Attest Engagements, of
Statements on Standards for Attestation Engagements (SSAE) (AICPA,
Professional Standards, vol. 1) » – Équivalent canadien du chapitre 5025
de CPA Canada.
˗ Utilisation restreinte : Contrairement au SOC 1, l’utilisation primaire d’un
rapport SOC 2 n’est pas pour l’utilisation des auditeurs, mais bien pour la
direction de la société de services et la direction des entités utilisatrices.
˗ Rapports de type 1 ou type 2 peuvent être émis.

Introduction SOC 3
• Survol
˗ Les entreprises qui vendent des produits et services par téléphone ou sur
Internet ont des clients qui sont préoccupés par les moyens pris par
l’entreprise pour gérer et traiter l’information des clients.
• Étendue et utilisation
˗ Mêmes critères que SOC 2.
˗ Un rapport SOC 3 est un rapport sommaire à usage général qui ne décrit
pas les procédures d’audit et les résultats.

Les réserves et les
exceptions de
l’auditeur

Les réserves et les exceptions
• Les exceptions notées lors de l’exécution des tests sont divulguées
dans la section « Résultats des tests d’audit » du rapport.
• Les réserves sont reflétées dans l’opinion de l’auditeur.
• Les réserves sont basées sur le jugement professionnel de l’auditeur.

Les réserves – Manuel de CPA Canada
Exemple 1
• Opinion avec réserve dans un rapport de type 2 : la description du système de la
société de services ne donne pas une image fidèle du système dans tous ses aspects
significatifs.
Exemple 2
• Opinion avec réserve : la conception des contrôles n'est pas adéquate pour fournir
l'assurance raisonnable que les objectifs de contrôle énoncés dans la description du
système de la société de services produite par la direction seraient atteints dans
l'hypothèse d'un fonctionnement efficace des contrôles.
Exemple 3
• Opinion avec réserve dans un rapport de type 2 : le fonctionnement des contrôles n'a
pas été efficace tout au long de la période pour permettre l'atteinte des objectifs de
contrôle énoncés dans la description du système de la société de services.
Exemple 4
• Opinion avec réserve : l'auditeur de la société de services est incapable d'obtenir des
éléments probants suffisants et appropriés.
Les audits des contrôles de sociétés de services35

Les réserves et les exceptions de l’auditeur – Impact sur
l’assertion de la direction
• Un nombre raisonnable d’exceptions non identifiées d’abord par la
direction ne devrait pas poser problème.
• Un nombre excessif d’exceptions non identifiées d’abord par la direction
va amener l’auditeur à s’interroger sur l’efficacité de la surveillance
exercée par la direction et sur la « base raisonnable » de l’assertion de
la direction.
• Si des réserves sont identifiées, elles devront être reflétées dans
l’assertion de la direction et dans l’opinion de l’auditeur.
En pratique, la direction va fournir son assertion une fois que l’audit
est complété et elle devrait refléter les réserves qui sont
mentionnées au rapport d’audit.

L’utilisation des
travaux de la fonction
d’audit interne

L’utilisation des travaux de la fonction d’audit interne
• Si des travaux de la fonction d’audit interne sont utilisés pour tester des
contrôles, la section « Résultats des tests d’audit » du rapport devra
décrire les travaux exécutés par la fonction d’audit interne de même que
les procédures exécutées par l’auditeur concernant ces travaux.
Les règles relatives à l’utilisation des travaux de la fonction d’audit
interne n’ont pas changé. Le changement est que maintenant c’est
décrit de façon plus transparente au rapport.

L’utilisation des
rapports par le
« client »

Utilisation du rapport par le « client » – Direction
• S’assurer que les objectifs et activités de contrôles couvrent les risques
pertinents selon les responsabilités de l’organisme de services.
• S’assurer que la production d’un rapport sur les contrôles exercés par
une société de services est prévue au contrat.
• Revoir l’opinion et les résultats des tests de l’auditeur et considérer les
éléments suivants :
˗ Période couverte suffisante
˗ Environnements visés par l’opinion
˗ Réserves
˗ Exception aux procédures de tests
˗ Contrôles complémentaires et travaux additionnels requis
˗ Méthode inclusive ou d’exclusion
˗ La compétence de l’auditeur

Utilisation du rapport par le « client » – Direction
• Description des systèmes :
˗ Changements significatifs en cours d’année ou à venir
˗ Plans d’action ou commentaires sur les exceptions
Est-ce que le rapport répond aux besoins et quel est l’impact
des résultats?

Utilisation du rapport par le « client » ‒ Auditeurs
• En plus des questions au point précédent, l’auditeur externe du
« client » devrait considérer les éléments suivants :
˗ Évaluer l’impact des résultats sur :
 L’approche d’audit interne/externe
 Les efforts requis pour valider les contrôles complémentaire
 Travaux additionnels pour compenser les exceptions/réserves
˗ Processus de communication à l’interne des exceptions/réserves
˗ Suivi des mesures correctives

Questions?

Nos coordonnées
David Liberatore, M.Sc., CPA, CA, CISA, CISSP
Directeur de service | Service Risques d’entreprises
Ligne directe : 514-393-7817
dliberatore@deloitte.ca

Annexe A ‒ Exemple
d'assertion de la
direction d'une

Exemple d'assertion de la direction d'une société de
services *
L'assertion de la direction de la société de services peut être fournie dans le corps ou en
annexe de la description du système de la société de services.
L’exemple qui suit est un exemple d'assertion destinée à être incluse dans le corps de la
description.
L’exemple d'assertion de la direction qui suit n’est fourni qu'à titre indicatif et il ne se veut ni
exhaustif ni applicable à toutes les situations.
Exemple 1 : Assertion de la direction d'une société de services dans le cas
d'un rapport de type 2
Assertion de la société de services XYZ
Nous avons préparé la description du système [type ou nom du système] (description) de la société de
services XYZ pour les entités utilisatrices du système durant tout ou partie de la période du [date] au
[date] ainsi que pour les auditeurs indépendants de ces entités qui sont dotés d'une compréhension
suffisante pour pouvoir en tenir compte, de pair avec d'autres informations, y compris des informations
sur les contrôles mis en place par les entités utilisatrices du système elles-mêmes, lorsqu'ils évaluent le
risque que les états financiers des entités utilisatrices comportent des anomalies significatives. Nous
confirmons, au mieux de notre connaissance et en toute bonne foi :
* Cet exemple provient de l’annexe 4 de la norme 3416.

services (suite)
a) que la description donne une image fidèle du système [type ou nom du système] mis à
la disposition des entités utilisatrices du système pendant tout ou partie de la période
du [date] au [date] pour le traitement de leurs opérations [ou mention de la fonction
remplie par le système]. Pour pouvoir faire cette assertion, nous nous sommes fondés
sur les critères suivants :
i. la description indique comment le système mis à la disposition des entités utilisatrices a été
conçu et mis en place pour traiter les opérations pertinentes, et fournit notamment les
informations suivantes :
a. les catégories d'opérations traitées,
b. les procédures suivies, tant dans les systèmes manuels que dans les systèmes
automatisés, pour le déclenchement, l'autorisation, l'enregistrement, le traitement et la
correction au besoin des opérations, ainsi que pour leur report dans les rapports transmis
aux entités utilisatrices du système,
c. les enregistrements comptables correspondants, les informations justificatives et les
comptes spécifiques qui sont utilisés pour le déclenchement, l'autorisation,
l'enregistrement, le traitement et la communication par rapport des opérations; cela
comprend la correction des informations erronées et la manière dont les informations sont
reportées dans les rapports transmis aux entités utilisatrices du système,

services (suite)
d. la façon dont le système saisit et traite les situations et les événements importants autres
que les opérations,
e. le processus de préparation des rapports ou des autres documents d'information fournis
aux entités utilisatrices du système,
f. les objectifs de contrôle spécifiés et les contrôles conçus pour les atteindre,
g. les autres aspects de notre environnement de contrôle, de notre processus d'évaluation
des risques, de nos systèmes d'information et de communication (y compris les
processus opérationnels connexes), de nos activités de contrôle et de nos contrôles de
suivi qui sont pertinents pour le traitement et la communication par rapport des opérations
des entités utilisatrices du système,
ii. la description n'omet pas ni ne déforme des informations pertinentes au regard de l'étendue du
système [type ou nom du système], étant toutefois entendu que cette description a été
préparée afin de répondre aux besoins communs d'un grand nombre d'entités utilisatrices du
système et de leurs auditeurs indépendants et qu'il se peut donc qu'elle ne couvre pas tous les
aspects du système [type ou nom du système] que les diverses entités utilisatrices, prises
individuellement, et leur auditeur peuvent juger importants dans le contexte propre à chacune;
b) que la description précise, en fournissant les détails pertinents, les modifications
apportées au système de la société de services pendant la durée de la période
couverte par la description;

services (suite)
c) que la conception des contrôles correspondant aux objectifs de contrôle énoncés dans
la description était adéquate et leur fonctionnement efficace tout au long de la période
du [date] au [date] pour l'atteinte de ces objectifs de contrôle. Pour pouvoir faire cette
assertion, nous nous sommes fondés sur les critères suivants :
i. les risques pouvant compromettre l'atteinte des objectifs de contrôle énoncés dans la
description ont été identifiés par la société de services;
ii. les contrôles identifiés dans la description sont de nature à fournir, s'ils fonctionnent
conformément à la description, une assurance raisonnable que ces risques n'empêchent pas
l'atteinte des objectifs de contrôle énoncés dans la description;
iii. les contrôles ont été systématiquement appliqués tels qu'ils ont été conçus, et notamment les
contrôles manuels ont été appliqués par des personnes possédant les compétences et
l'autorité requises.

Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III

Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III

Similaire à Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III (20)

Plus de ISACA Chapitre de Québec

Plus de ISACA Chapitre de Québec (14)

Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III