La certification au-delà des états financiers : Rapports sur les contrôles des systèmes et des organisations

Pourquoi réalise-t-on des missions de certification? Les raisons sont multiples. Par exemple, les sociétés de services peuvent se voir demander par leurs clients de faire certifier, entre autres, les contrôles au niveau de leurs systèmes qui concernent l’information financière, les données des utilisateurs et l’intégrité des systèmes. Ou encore, les clients, les investisseurs ou d’autres parties prenantes d’organisations de tous genres et de toutes tailles peuvent chercher à comprendre comment une entité atténue les risques liés à la cybersécurité.

Les CPA peuvent aider

Les CPA sont en mesure de préparer des rapports de certification qui procurent à leurs utilisateurs les informations nécessaires pour évaluer les risques associés aux services fournis par une entité, et y répondre. En appliquant les Normes canadiennes de missions de certification (NCMC), ils peuvent réaliser un large éventail de missions sur une grande variété de sujets autres que les états financiers historiques, y compris des missions visant la délivrance de rapports System and Organization Controls (SOC).

Délivrés par des CPA indépendants, ces rapports sur le contrôle interne (qui portent sur les services fournis par une société de services ou sur les contrôles qu’une entité a mis en place) sont utiles pour :

• évaluer l’efficacité des contrôles liés aux services fournis par une société de services
• comprendre comment une société de services assure la surveillance des tiers qui fournissent des services aux clients
• réduire le fardeau en matière de conformité, car ils réunissent en un seul document des informations qui répondent aux besoins communs de différents utilisateurs
• attirer et fidéliser les clients

CPA Canada a préparé des guides à l’intention des professionnels en exercice sur les divers rapports SOC :

Guide SOC 1 – Rapports sur les contrôles d’une société de services

Portant spécifiquement sur les contrôles d’une société de services qui sont pertinents dans le contexte des états financiers des entités utilisatrices, les rapports SOC 1 sont exclusivement destinés, aux fins d’information et d’utilisation, aux entités utilisatrices actuelles (par exemple, les clients actuels de la société de services), aux auditeurs qui auditent leurs états financiers et à la direction de la société de services. Ils permettent aux auditeurs des entités utilisatrices de mettre en œuvre des procédures d’évaluation des risques et d’obtenir des éléments probants sur l’efficacité du fonctionnement des contrôles de la société de services. L’utilisation de ces rapports est limitée à la direction de la société de services, aux entités utilisatrices et aux auditeurs de ces dernières.

Guide SOC 2 – Rapports sur les contrôles d’une société de services pertinents pour la sécurité, l’accessibilité, l’intégrité du traitement, la confidentialité ou la protection des renseignements personnels (comprend SOC 3 – Rapports à usage général sur les contrôles d’une société de services : Critères des services Trust)

Ces rapports traitent des contrôles qui sont pertinents pour certains aspects du système auquel a recours la société de services pour le traitement des données, à savoir la sécurité, l’accessibilité et l’intégrité du traitement, ainsi que pour la confidentialité et la protection des données traitées par ce système. Leur niveau de détail est suffisant pour répondre aux besoins des entités utilisatrices en matière de gestion des risques liés à leurs fournisseurs, et leur utilisation est limitée à des parties spécifiées qui ont une connaissance et une compréhension adéquates du système de la société de services et de la nature des services qu’elle offre. Généralement, il s’agit de la direction de la société de services, des entités utilisatrices du système, de partenaires d’affaires, de CPA travaillant pour le compte des entités utilisatrices ou des partenaires d’affaires, et des autorités de réglementation.

Tout comme les rapports SOC 2, les rapports SOC 3 portent sur les contrôles qui sont pertinents pour la sécurité, l’accessibilité, l’intégrité du traitement, la confidentialité ou la protection des renseignements personnels. Par contre, ils ne sont pas aussi détaillés, ce qui fait qu’ils sont considérés comme des rapports à usage général qui peuvent être distribués sans restriction.

Guide SOC for Cybersecurity – Rapports sur la cybersécurité

Ces rapports donnent des informations sur l’efficacité du programme de gestion des risques d’une organisation en matière de cybersécurité, notamment sur les contrôles dont la conception, la mise en place et le fonctionnement ont pour but d’atténuer les menaces auxquelles sont exposés les systèmes et les données sensibles de l’entité. Leur utilisation peut être générale ou limitée à des utilisateurs spécifiés.

POURSUIVONS LA CONVERSATION

Vous a-t-on déjà demandé des rapports SOC ou d’autres rapports sur le contrôle interne? Aviez-vous entendu parler du nouveau rapport SOC for Cybersecurity? Selon vous, quelles ressources aideraient les professionnels en exercice à proposer ou à réaliser ces types de missions?

Je vous invite à publier vos commentaires ci-dessous ou à m’écrire directement.

Conversations sur la qualité de l’audit se veut un forum d’échange concernant les faits et problèmes nouveaux survenant à l’international en matière de qualité de l’audit et leur incidence au Canada.

Avertissement

Les opinions et les points de vue exprimés dans cet article sont ceux de l’auteure et ne représentent pas nécessairement ceux de CPA Canada.