Université de Cocody UFRMI

FC

AUDIT INFORMATIQUE - EXAMEN 2è

session
Oct. 2009 02 Heures

La Banque DAULARD

Selon la publicité de votre client, « La Banque DAULARD est une banque privée suisse
issue d’une longue tradition et qui opère dans le monde entier. Satisfaire nos clients,
telle est l’essence même de notre activité: nous les conseillons de manière
personnalisée et individualisée, nous mettons toute notre compétence à leur service,
nous leur proposons des prestations de qualité.
Nos activités se concentrent sur la gestion de fortune, le conseil en placement, les
opérations sur fonds de placement et le négoce de valeurs mobilières. Un choix de
services commerciaux de premier ordre vient compléter ces prestations.
En tant qu’entreprise économiquement indépendante, elle est également attachée à
l’économie de marché et à un système concurrentiel sain, tout en assumant ses
responsabilités à l’égard de ses clients, de ses collaboratrices et collaborateurs et du
public dans son ensemble. Elle entretient et respecte des pratiques commerciales
équitables.
Ses prestations se caractérisent par une haute exigence de qualité. Dans ses relations
avec la clientèle, la confiance, la discrétion et le conseil personnalisé jouent un rôle de
premier plan. »

Toutes les opérations de la banque sont gérées par le logiciel bancaire SPORTIF.

page 1
Problème 1.1
Audit des systèmes de surveillance des transactions au sens de l’art. 12 OBA-CFB dans
le cadre de la mise en œuvre de l’ordonnance de la CFB sur le blanchiment

Vous êtes chargés de vérifier l’efficacité du système de surveillance des transactions mis
en place par la banque. Le système devrait reprendre les exigences suivantes :

Art. 12 Systèmes de surveillance des transactions

1. L’intermédiaire financier veille à la mise en place d’une surveillance efficace

des transactions et utilise un système informatique aidant à détecter les
transactions présentant des risques accrus selon l’art. 8, al. 1, al. 2 et al. 3, let.
a.
2. Les transactions détectées par le système de surveillance doivent être
examinées dans un délai raisonnable. Au besoin, des clarifications
complémentaires selon l’art. 17 doivent être entreprises.

Art. 8 Transactions présentant des risques accrus

1. L’intermédiaire financier fixe des critères de détection des transactions

présentant des risques juridiques et des risques de réputation accrus.
2. Entrent notamment en considération, selon le domaine d’activité de
l’intermédiaire financier, les critères suivants:
a. l’importance des entrées et sorties de valeurs patrimoniales;
b. l’existence de divergences significatives par rapport à la nature, au
volume ou à la fréquence des transactions pratiquées habituellement
dans le cadre de la relation d’affaires;
c. l’existence de divergences significatives par rapport à la nature, au
volume ou à la fréquence des transactions pratiquées habituellement
dans le cadre de relations d’affaires comparables.
3. Sont considérées dans tous les cas comme présentant des risques accrus, les
transactions:
a. dans le cadre desquelles, au début d’une relation d’affaires, des valeurs
patrimoniales d’une contre-valeur supérieure à 100 000 francs sont
apportées physiquement en une fois ou de manière échelonnée;
b. qui présentent des indices de blanchiment (annexe).

Exemple d’indices de blanchiment selon annexe de l’OBA

A17
Retraits fréquents de gros montants en espèces, sans que l’activité du client ne
justifie de telles opérations.
A19
Comptes utilisés de manière intensive pour des paiements, alors que lesdits
comptes ne reçoivent pas ou reçoivent peu de paiements habituellement.
A20
Structure économiquement absurde des relations d’affaires entre un client et la
banque (grand nombre de comptes auprès du même établissement, transferts
fréquents entre différents comptes, liquidités excessives, etc.).
A22
Virements vers une autre banque sans indication du bénéficiaire.
A23

page 2
 Acceptation de transferts de fonds d’autres banques sans indication du nom ou
du numéro de compte du bénéficiaire ou du donneur d’ordre.
A24
Virements répétés de gros montants à l’étranger avec instruction de payer le
bénéficiaire en espèces.
A25
Virements importants et répétés en direction ou en provenance de pays
producteurs de drogue.
A27
Versements en espèces par un grand nombre de personnes différentes sur un
seul et même compte.

Dans le domaine de la gestion de fortune, le logiciel SPORTIF dispose d’un filtre bloquant
automatiquement les entrées et sorties de fonds sous forme de transferts bancaires ou
de chèques, lorsque ces transactions dépassent certains seuils. L’exécution ne peut
avoir lieu qu’après documentation de la transaction par le gestionnaire ou, au-delà d’un
certain montant, après acceptation par une seconde personne (visas électroniques). Les
seuils sont différenciés en fonction de l’existence ou non d’un lien entre la transaction et
un pays à risques accrus. Dans le domaine de la banque commerciale, des seuils
différents sont prévus et les clarifications peuvent être effectuées a posteriori. Il n’y a
donc pas de blocage de la transaction.

De plus, le logiciel SPORTIF dispose d’un module destiné à détecter les transactions
répondant à des critères de détection des fraudes et des opérations de blanchiment.
Une fois par mois, soit a posteriori, toutes les transactions effectuées sont filtrées par
cet outil. A partir d’une combinaison de paramètres , ce dernier sélectionne
automatiquement des comptes devant être analysés par le contrôle interne.

Questions

a) Décomposez cette activité de surveilance: quels sont les différents processus et

les principales étapes de ces processus ?

b) Quelles sont les applications informatiques impliquées dans ces processus ?

c) Quels sont les risques de non-compliance ?

d) Pour chaque risque identifié, quels contrôles peuvent-ils être imaginés ? Précisez
s’il s’agit d’un contrôle manuel, hybride ou automatique.

page 3
Problème 1.2
Audit de conformité de la Banque DAULARD Private Bank concernant l'outsourcing de
l'informatique
Votre client a décidé d'externaliser l'exploitation de son informatique à ITOPER, un
prestataire de service reconnu dans le monde bancaire. Le réviseur responsable vous
charge de vérifier la conformité de DAULARD aux dispositions légales en vigueur en
matière d'Outsourcing.

Le contrat qui a été conclu entre DAULARD et ITOPER stipule que les éléments suivants
feront partie des services externalisés à ITOPER:

 Gestion de l'exploitation du progiciel SPORTIF de FSJ BANCAIRE sur le système AS/400

- Gestion de la capacité
- Gestion de la performance et de la disponibilité du système
- Surveillance de l'exploitation ("monitoring")
- Sauvegardes et archivage des informations
- Gestion des problèmes en exploitation
 Exploitation et maintenance du réseau informatique reliant le site de ITOPER aux
deux sites de la Banque (site principal et agence)
 Support premier et deuxième niveaux pour le progiciel bancaire et les outils de
bureautique
 Administration des accès aux systèmes et au progiciel bancaire
 Gestion des changements (mise en production de nouvelles versions du système
d'exploitation et du progiciel bancaire)
 Maintenance de l'infrastructure informatique
 Mise à disposition et maintenance d'un site de secours informatique équipé d'un
serveur AS/400 et des liaisons réseaux avec un deuxième site de la Banque.

Mission
L'associé chargé du mandat de révision vous demande de préparer une approche d'audit
spécifique vous permettant d'émettre une opinion sur la conformité de la Banque.
L'approche devrait être structurée selon la circulaire 99/2 de la Commission fédérale des
banques déclinant les objectifs de contrôle, les tâches d'audit et les évidences à
collecter pour chacun des neuf principes. L'associé précise également qu'il souhaite
disposer d'une approche spécifiquement adaptée aux services externalisés par DAU-
LARD.

Vous avez décidé d'utiliser le guide d'audit de CobiT en tant que base pour l'élaboration
du programme d'audit, afin de disposer d'un cadre de référence pour les travaux d'audit
que vous allez entreprendre.

Descriptif de la société de service ITOPER

page 4
"L'infogérance des systèmes d'information est aujourd'hui l'un des premiers métiers de
ITOPER. La fidélité de nos Clients est pour vous la meilleure garantie que nous tenons
nos engagements.

Modulaire et évolutive, cette offre concerne toutes les composantes de votre système
d'information, des infrastructures et applications jusqu'à l'infogérance globale, la
prestation allant jusqu'à couvrir une partie significative d'un domaine métier tel que les
achats. Nous pouvons ainsi prendre en charge de façon progressive ces différentes "
briques " en tenant compte de vos priorités. La panoplie des services couvre en
particulier :
 le " help-desk ", centre d'appels,
 la gestion de la sécurité,
 la mise à disposition d'infrastructures informatiques puissantes et mutualisées,
 l'hébergement, la gestion, l'évolution fonctionnelle, l'exploitation, la maintenance
des architectures et des applications " business " et internet,
 la gestion des parcs et applications bureautiques ainsi que des stations de travail
techniques,
 la gestion, l'exploitation et l'administration des architectures, des serveurs
d'application et des systèmes sur les sites Client,
 la gestion des communications, des réseaux locaux " LAN " (Local Area Network) et
réseaux étendus " WAN " (Wide Area Network),
 la gestion de la téléphonie,
 le conseil métier pour la mise en œuvre d'une fonctionnalité clé du système
d'information
 …"

Questions
a) Différences en matière de surveillance et en matière d'audit

L'audit interne de ITOPER a remis en question le bien fondé de votre mission d'audit.
Dans leur compréhension il n'est pas nécessaire d'auditer les services externalisés dès
le moment que la banque est couverte par un contrat de service signé.

Préparez un argumentaire synthétique qui répond aux points suivants en se référant à la

circulaire 99/2 de la Commission fédérale des banques:

 Est-ce que ITOPER est soumise à la réglementation bancaire?

 A l'égard de l'autorité de surveillance (la Commission fédérale des banques), qui est
responsable pour le domaine externalisé?

 Par quel biais l'auditeur peut-il avoir accès au domaine d'activités transféré?

page 5
b) Etablissement d'un programme d'audit

Etablissez un programme d'audit basé sur CobiT pour les principes 4 et 5 de la circulaire
99/2 de la Commission fédérale des banques. Décrivez votre approche en deux étapes:
1. Elaborez un tableau synoptique des exigences en matière de contrôle contenu
dans la circulaire et liez-les à des processus CobiT.
Exemple:
Principe Exigences en matière Processus CobiT
de contrôle
4: Sécurité L'entreprise et le DS5, assurer la sécurité
délégataire définissent des systèmes
les exigences que le
délégataire doit remplir
en matière de sécurité.

2. Pour chacun des services externalisés par DAULARD (cf. description des
services dans l'introduction), exposez les objectifs de contrôle correspondants
Exemple:
Service Processus CobiT Objectif de contrôle
Gestion de la capacité DS3, gérer la Un processus est établi
performance et la qui assure la revue
capacité régulière des critères de
performance relatifs à la
gestion de la
performance et de la
capacité.

page 6