2265U08 ? Audit Systèmes Informatiques M. Jérôme BRZEZINSKI ...
5/ Audit de la sécurité informatique ? 8 février 2007 ... 8/ Examen ? 8 mars 2007
...... flux et des procédures de l'entreprise (comptabilité et finances, logistique,
paie et ...... Problème : risque de multiplication des audits sur un même sujet pour
le ...
part of the document
2265U08 Audit Systèmes Informatiques
M. Jérôme BRZEZINSKI
Management Global Gestion et Informatique
Formation à laudit informatique
- Synopsis
Organisation des cours daudit informatique
1/ Introduction 11 janvier 2007
La notion de risque
Les types de risque
Le management des risques
Les risques liés aux systèmes dinformation
Impact sur la démarche générale
2/ Revue générale informatique 18 janvier 2007
La politique informatique
Lorganisation et les équipes du service informatique
La configuration matérielle et réseau
La cartographie applicative
Les contrôles généraux informatiques
La gestion de la sécurité informatique
La gestion des changements informatiques
Le développement informatique
Lexploitation informatique
Exemples
3/ Revue dapplications informatique 25 janvier 2007
Historique et insertion de lapplication dans larchitecture globale
Couverture fonctionnelle & dysfonctionnements
Schéma des traitements et matrice de contrôle
Identification des risques
Approfondissement des risques identifiés
Analyse des aspects « qualitatifs »
4/ Test informatiques 1er février 2007
Avantages des tests informatiques
Situations amenant à procéder à des test informatiques
Typologie des tests informatiques
Démarche dans le cadre dune mission CAC
Les facteurs de réussite
Présentation de loutil « IDEA »
5/ Audit de la sécurité informatique 8 février 2007
Etat des lieux
Continuité de service
Confidentialité des informations et risques de fraude
Risques derreur et de dysfonctionnement
Méthode MARION
6/ Contrôle interne / SOX 22 février 2007
Contexte
Démarche SOX
Dimension Systèmes dinformation
Cas des processus externalisés
7/ Audit en environnement ERP 15 février 2007
Impacts des ERP sur les risques liés au SI
Lapproche spécifique daudit des ERP
Exemple de flux SAP
La fraude et les méthodes de prévention de détection
8/ Examen 8 mars 2007
Questionnaire à choix multiple de type CISA
Introduction
Notion de risque
Définition
Risque
« Danger, inconvénient plus ou moins probable auquel on est exposé. » (Larousse)
Les implications directes
Risque pour qui ?
Rq : en fonction de lactivité (ex : industries, banques, etc.) et de la taille (ex : régionale, nationale, internationale) des entreprises, les risques ne sont pas les mêmes.
Importance relative / impact ?
Probabilité doccurrence ?
Les concepts associés
�
Risque
Fonction de la menace et de la vulnérabilité
Caractérisé par une probabilité et un impact
Un peu dhistoire
De la perception de lavenir
Jusquà lépoque de la Renaissance, lavenir est entre les mains dune force supérieure, et lhomme agit dans une perspective déternité ;
La notion de « Progrès » bouleverse le rapport au temps : le présent est dorénavant occupé à construire lavenir
A la perspective du risque
La théorie des probabilités date du milieu du XVIIème siècle (Pascal / Fermat) ;
En cinquante ans, les bases de la probabilité du risque sont posées, entraînant lémergence des métiers de la finance, de lassurance, etc. ;
La dernière pierre est posée au XXème siècle, avec la mesure du retour sur investissement, ouvrant la voie au « risk management ».
Les types de risque
Multiplicité des risques
Risque pays
Risque de taux
Risque de crédit
Risque de vol
Risque dapprovisionnement
Risque de change
Risque social
Risque environnemental
Risque fiscal
Rq : fraude fiscale
Le risque fiscal est sous-estimé en France.
Risque dexploitation
Risque de catastrophe
Rq : inondation du 1910 à Paris
Risque stratégique
Risque dintrusion
Mode de classification
Par type de menace :
Risques de marché
Risque de taux
Risque de change
Risque de crédit
Risque pays
Risques stratégiques
Risque dimage
Risque dalliance
Concurrence
investisseurs
Risques opérationnels
Risque dapprovisionnement
Risque social
Risque de malveillance
Risque fiscal
Risques de catastrophe
Catastrophes naturelles
Risque juridique catastrophe boursière
Risque terroriste
Par moyen de protection :
Risque global
Risque acceptable
Risque social
Risque fiscal
Risque couvrable
Risque de taux
Risque de cours
Risque de change
Risque assurable
Risque de vol
Risque de catastrophe
Risque dexploitation
Risque diversifiable
Risque dapprovisionnement
Risque dexploitation
La règle du « sur mesure »
Il nexiste pas de classification universelle des risques, pas plus que de système de gestion prêt à lemploi
Chaque entreprise se doit de réaliser sa propre classification, en fonction notamment de :
Son secteur dactivité
Sa position concurrentielle
Son organisation
Etc.
Par propriété pour lentreprise :
� SHAPE \* MERGEFORMAT ����
Rq : « plan de secours » est le plan dorganisation et de réaction prévu en cas du risque concerné survenu.
�
Le management des risques
Démarche générale
Stratégie
Définition et qualification des risques
Stratégie daudit
Evaluation des vulnérabilités
Evaluation de vulnérabilités
Plan daction
Moyens de protection
Mise en uvre des moyens de protection
Plan de communication et de formation
Actions de suivi
Mesure de la conformité
Plan daudit
Stratégie de risque
Définition et qualification des risques :
Identifier lensemble des risques
Inhérents à lactivité et au secteur
Propres à lorganisation
Etablir une classification (par impact,
)
Obtenir la validation de la Direction Générale
Elaboration de la stratégie daudit :
concevoir une charte daudit
attribuer les responsabilités
allouer les ressources
Evaluation des risques
Evaluation des vulnérabilités :
définir les outils et les moyens dinvestigation
évaluer les dispositifs en place
détection et prévention
protection
transfert
établir la cartographie du risque résiduel
Conception du plan dactions :
objectifs claires et mesurables
Rq : plus il est simple, plus il marcherait mieux.
responsabilités et moyens identifiés
Rq : avant tout (càd les moyens de sécurités), la gestion des risques est une mise en place dune politique de démarches de contrôle.
Mise en uvre
Mise en uvre opérationnelle :
conception et déploiement des solutions
mode projet incluant les opérationnels
mesure defficacité
respect des moyens alloués
intégration dans les processus existant
Communication et formation :
diffuser les référentiels
Rq : « comment on mesure et classer les risques ? »
intégrer la gestion du risque dans les objectifs individuels
Système dassurance
Mesurer la conformité :
suivi de la réalisation du plan dactions
tableau de bord de la gestion des risques
Etablir le programme daudit :
revue périodique des vulnérabilités
contrôles spécifiques
Pérenniser la démarche :
industrialiser les outils
maintenir la communication interne
Vers une vision dynamique
Evolution des enjeux et objectifs de lentreprise :
amélioration de la performance
modification des contraintes réglementaires
apparition de nouveaux concepts :
développement durable
Rq : « social », « environnemental » et « économique »
éthique
recours aux nouvelles technologies
étendue du champ de certification
Trois cycles de gestion des risques :
�
Rq : les systèmes ont une auto-évaluation et remontent les informations à travers le système de management des risques qui fait la synthèse.
La position des organisations
Le « business model » de lentreprise
Processus de lexécutif : stratégie, organisation, pilotage,
Processus opérationnels : production, achat, vente,
Processus support :
Gestion comptable et financière
Gestion des ressources humaines
Système dinformation
Fonction juridique
�
Rq : en fonction de leurs niveaux différents, on communique sur de différents termes.
Les structures de gestion des risques
Niveau 1 : responsabilité implicite
va de paire avec la fonction
absence de processus de suivi
Niveau 2 : responsabilité définie
délégation formelle
intégration à l'organigramme
Niveau 3 : responsabilité globale
Comité ou direction des Risques
Risk Manager
tendances :
gestion du risque liée aux contraintes réglementaires (organismes de crédit)
notion de gestion intégrée :
responsabilité transversale
optimisation des polices d'assurance
Rq : il faut intégrer tout cela dans les pratiques quotidiennes.
évolutions des pratiques liées au gouvernement d'entreprise
communication externe sur la gestion des risques
Les risques liés au système dinformation
Des risques à la hauteur des enjeux
Définition de la notion de systèmes dinformation
Le systèmes dInformation : une fonction transversale
participe à tous les processus de l'entreprise
reflet de la stratégie
... à hauts risques
évolution des technologies
ouverture sur l'extérieur / image
risques inhérents
�
Coût des pertes supérieur à 2 milliards d'¬
Progression forte de la malveillance au cours des dix dernière années
Les types de risques
En utilisant les projets à la mise en conformité des contraintes externes& :
Fraude
Malveillance
Contrôle interne
Légal
Continuité
& on cherche de plus une performance meilleure :
Maîtrise
Coûts
Efficacité
Efficience
Le positionnement de la DSI
La tendance à la nomination de RSSI mais avec des difficultés de positionnement hiérarchique
La possibilité du RSSI qui a la capacité d'évoluer vers un poste de RS
Recours à des expertises externes: schéma directeur, pilotage de projets, sécurité...
Rq : « schéma directeur » : une déclinaison informatique et business des acteurs opérationnels
Evolution des moyens mis en uvre
Les tendances observées :
utilisation de normes et méthodes reconnues (Afnor, Clusif,
) et des best practices
niveau de formalisation plus élevé
Rq : la quantité des documentations augmente
compréhension et traduction des besoins utilisateurs
niveau de service, performances, satisfaction : évolution vers des relations de type client / fournisseur
Les méthodes dinvestigation
Couverture des risques inhérents :
Revue Générale Informatique
la politique informatique
l'organisation et les équipes du service informatique
la configuration matérielle et réseau
la cartographie applicative
la gestion de la sécurité informatique
le développement informatique
l'exploitation informatique
Audit sécurité: sécurité physique et logique, continuité d'exploitation
Couverture des risques liés aux processus externes :
revue d'application
application "traditionnelle"
Audit des flux versus audit des traitements
approche ERP
audit du paramétrage
certification de sites de commerce électronique
�
tests informatique
tests de valeur
tests de détection d'anomalies
tests de recoupement de bases
tests de simulation
outils d'audit : WinIdea, ACL,
respect des contraintes réglementaires :
article 103
environnement de contrôle fonction de la réglementation en vigueur
Synthèse
En matière de gestion de risque, la pratique n'évolue pas au même rythme que la théorie
La France reste globalement en retard par rapport aux pays anglo-saxons
Les freins souvent observés :
sensibilisation de la DG
appréciation de l'impact et de la probabilité
vision dynamique
lacunes de compétences ad hoc
Impact sur la démarche générale
Conséquence de l« informatisation » pour lauditeur
Apparition de nouveaux risques
Augmentation des volumes
Dématérialisation de l'information
Barrière technique
Automatisation des processus
Évolution du périmètre du contrôle interne
Objectif
Intégrer les travaux d'audit informatique dans l'approche de la mission pour participer à l'émission de l'opinion sur les comptes de la société
Cette étape doit permettre de mesurer les risques liés à la présence de traitements automatisés
La démarche vise à évaluer en particulier les risques suivants
principalement les risques "E", "e", "V" et dans une moindre mesure "A"
Rq : « E » : exhaustive (« doit-on retraiter toutes les informations ? »)
« e » : existante (« y a-t-il des informations fictives, ex : RIB des Frs ? »)
« V » : valorisation
« A » : appartenance (« lécriture appartient-elle à lentreprise ? »)
et au delà:
pérennité
fiabilité
sécurité (confidentialité)
disponibilité
Moyens
�
Préliminaire��Prise de connaissances de lenvironnement informatique (PCEI)�Identification des grandes zones de risques liées à lutilisation de linformatique��Revue générale informatique (RGI)�Analyse des risques liés à la maîtrise des systèmes dinformation (les hommes et les systèmes utilisés)��
Intérim��Revue générale informatique (RGI)�Analyse des risques liés à la maîtrise des systèmes dinformation (les hommes et les systèmes utilisés)��Revue dapplication (RDA)�Evaluation du contrôle interne de lenvironnement informatiques pour un cycle donné��Tests informatique (IF)�Assistance à la réalisation de tests par la mise en place dinterrogations de fichiers
Tests de bouclage des chaines de gestion amont avec le logiciel comptable��Sécurité�Physique, logique, continuité dexploitation, moyens de paiement��Normes et respect des contraintes réglementaire���
Missions spécifiques
La maîtrise des coûts informatiques
Laudit de la politique informatique
Laudit des études
Laudit de lexploitation
Laudit sécurité(cf. audit de la sécurité informatique)
Laudit du respect des contraintes fiscales
Laudit de réseau
etc.
Les acteurs
Tous les «grands»cabinets daudit et de conseil ont mis en place des démarches daudit informatique en support à laudit comptable s'appuyant sur des experts généralistes et des spécialistes
CISA (Certified Information System Auditor)
CISM (Certified Information Security Manager)
Les S.S.I.I. réalisent également des audits informatiques mais dans un cadre moins réglementés
expertise technique
expertise fonctionnelle
2007-01-18
Formation à laudit informatique
- Revue générale informatique
La politique informatique
Rappel : le schéma directeur (R. ACKOFF)
� Rq :
Une volonté dexistence : un projet dentreprise à long terme
Rq : cest un plan stratégique
Des scénarios à moyen terme
Rq : en fonction du projet à long terme, on liste des scénarios à moyen terme qui sont susceptibles de le réaliser.
Un plan à court terme
Un business intelligence system axé sur limmédiat
Lentreprise dispose-t-elle dune stratégie en matière de système dinformation et doutil informatique ?
Le plan informatique combine-t-il au mieux les ressources disponibles pour traduire les orientations en programmes dactions ?
Principaux problèmes rencontrés
Absence de schéma directeur
Absence de méthodologie pour la réalisation du schéma directeur
Recensement des besoins des utilisateurs sans véritable relation avec les objectifs généraux et informatiques de lentreprise
Chantier étalé dans le temps : difficulté à réaliser les objectifs énoncés dans le schéma directeur
Le schéma directeur est souvent une proposition du département informatique sans véritable adhésion de lentreprise
Lorganisation et les équipes du service informatique
Risques liés au positionnement du service informatique
Indépendance trop importante du service informatique
Non respect des procédures
Non prise en compte de la dimension stratégique des systèmes dinformation
Mauvaise utilisation de loutil informatique
Cumul de fonctions incompatibles
Organisation du service informatique
Unicité du savoir de nature à causer des préjudices graves en cas dindisponibilité des personnes
Suivi insuffisant des travaux effectués et de la qualité des services rendus
Turn-over des équipes
Rq : un fort Turn-over représente un risque de pertes des savoirs dans lentreprise.
Absence de suivi transversal des projets
Formation des équipes
Séparation des fonctions
Procédures en place
Compétence fonctionnelle
La configuration matérielle et réseau
Appel à des techniques ou à des technologies difficiles à maintenir / faire évoluer
Cohérence d'ensemble
Rq : à travers des interfaces supplémentaires (ex : couche web), on arrive à faire marcher plusieurs systèmes différents qui ne se sont pas communiqués avant.
Concentration des informations sensibles sur des matériels uniques
Suivi de l'évolution des capacités disponibles
Répétition intempestive de pannes
Fournisseur en difficulté financière
Établir l'architecture du système informatique (y compris réseau et équipement bureautique) de façon à :
identifier les risques éventuels :
complexité/hétérogénéité relative du système
matériels clés sensibles (réseau,
)
interconnexions avec d'autres systèmes (clients, fournisseurs, prestataires, ...)
disponibilité
incidents répertoriés
apprécier le degré de modernité
machines centrales, postes de travail et réseau
La cartographie applicative
Les objectifs
Quelles sont les principales applications composant le système d'information ?
Comment la comptabilité est-elle alimentée ?
Quelle est la nature et la périodicité des interfaces ?
Tous les flux sont-ils informatisés ?
Mieux connaître les liens qui existent entre les domaines, afin de mieux positionner une application dans son contexte global
Etapes à suivre
Recensement des divers domaines dactivité de lentreprise
Inventaire des systèmes applicatifs
Identification des liens entre systèmes applicatifs et description de la nature des interfaces existantes
Formalisation de lensemble des informations recueillies :
Tableau récapitulatif
Schéma dintégration global
Identification des risques
Couverture des besoins de lentreprise
Intégration ou interfaçage entre les applications
Différence : « intégré » & « interfacé »
Cohérence densemble
Appel à des progiciels ou à des prestataires de service qui rencontrent des difficultés financières
Identification des applications sensibles
poids financier et stratégique
Rq : en fonction de leurs impacts financiers et stratégiques.
données sensibles (financières, commerciales ou techniques ...)
fragilité (développement spécifique,
)
Exemple : Schéma dintégration globale
�
Les chaînes garantie, publicité, CSI et services généraux exploitent des données issues de la nouvelle chaîne commerciale qui transitent via lancienne chaîne commerciale. Ces données sont relatives aux fichiers Clients et Produits pour lessentiel.
La MAJ du fichier des clients dans les applications périphériques est réalisée après chaque modification dans la nouvelle chaîne commerciale. En revanche, la MAJ du fichier des véhicules nest réalisée quune seule fois par semaine. Cette procédure a pour inconvénient de ne pas assurer lhomogénéité des données exploitées à un instant « t ». néanmoins, cette MAJ peut être réalisée selon une périodicité plus courte.
La chine Pièces Détachées exploite ses propres fichiers clients et produits, cel qui ne garantit pas lhomogénéité des données traitées
Les contrôles généraux informatiques
Présentation
Définition des IT General Controls : Ensemble des procédures de contrôles contribuant à assurer un bon fonctionnement continu des systèmes dinformation.
Principe des travaux :
Identification des contrôles en place
Evaluation du design et de lefficacité de ces contrôles par la réalisation de tests (entretiens, collecte et revue de documentation
)
�1. Access to programs and data
1.A Implementation of security practices
1.B Logical and physical access to IT computing resources
1.C Segregation of duties
2. Program changes
�2.A Changes have been authorized, documented and tested
2.B System and application configuration changes
�2.C Migration of changes into production
3. Program development
3.A Authorization, development, and testing of new systems and applications
4. Computer operations
�4.A Implementation backup and recovery procedures
4.B Problem management procedures
4.C Accuracy, completeness, and timely processing of systems jobs
5. End-user computing
�5.A IT general controls applied to end-user computing environments
Spreadsheets and other user developed programs
Common in financial consolidation, reporting and disclosures
Document and test in relevant Audit Program
La gestion de la sécurité informatique
Présentation
La sécurité logique
informations confidentielles ou sensibles
gestion des droits d'accès
différents mécanismes en place
modalités de gestion des identifiants et mots de passe
procédures d'attribution des droits
(les droits d'accès en place font a priori partie de la revue d'application)
La sécurité physique et la continuité d'exploitation
protection des matériels
procédures de sauvegarde
plan de secours
plan de fonctionnement dégradé
Démarche
Identification des contrôles en place par entretien et revue de documentation
Thème�Contrôles à tester��Accès aux programmes et aux données���Implementation of security practices�Une politique de sécurité de l'information existe, a été approuvée par le management et communiquée aux utilisateurs.���Des standards de sécurité ont été mis en place afin d'atteindre les objectifs définis dans la politique de sécurité. Ces standards doivent couvrir les thèmes suivants :
- Organigramme de la fonction sécurité
- Rôles et responsabilités
- Sécurité physique et environnementale
- Sécurité des OS
- Sécurité des réseaux
- Sécurité des applications
- Sécurité des bases de données���Un plan de sécurité IT existe et est en ligne avec le plan stratégique IT.���Le plan de sécurité IT est mis à jour des changements apportés à l'environnement IT ainsi que des besoins identifiés en terme de sécurité pour les systèmes.��Segregation of duties�Des contrôles existent lors du processus de demande et de création des droits utilisateurs afin de garantir le principe de séparation de fonction.���Les applications et les systèmes hébergeant les données sont correctement configurés pour autoriser l'accès aux utilisateurs selon leurs besoins (consultation, création, modification ou suppression des données).��Logical and physical access to IT computing resources�Des procédures existent et sont suivies afin de :
- garantir l'efficacité des mécanismes d'accès et d'authentification
- s'assurer que tous les utilisateurs sont authentifiés par le système garantissant ainsi la validité des transactions passées.���Un processus de contrôle est en place afin d'effectuer une revue périodique des droits d'accès et de s'assurer de leur correcte attribution.���Des procédures sont mises en place et suivies pour s'assurer que les comptes utilisateurs sont créés, modifiés, suspendus et fermés en temps et en heure.���Des contrôles appropriés, incluant les Firewalls, la détection d'intrusion, l'évaluation des vulnérabilités existent et sont utilisés pour se prémunir des accès non-autorisés à partir des connectivités réseaux.���Des logs tracent les opérations liées à la sécurité des OS, des applications et des bases de données. La revue de ces logs permet d'identifier les violations de sécurité et de les remonter au management.���S'assurer que l'accès aux salles IT est restreint et que les règles de sécurité sont définies et
appliquées.
Des procédures d'accès sont en place pour les employés, les contractants et les équipes de maintenance.���Des moyens de protection physiques permettent de maintenir les systèmes en fonctionnement et d'assurer la disponibilité des données (messages d' alarmes pour l' eau, le feu, les intrusions, extincteurs, air conditionné, groupes électrogènes
).
Seules les logiciels autorisés sont utilisés par les utilisateurs.���Des tests périodiques sont effectués pour s'assurer que l'infrastructure matérielle et logicielle est configurée de façon appropriée.���La direction Informatique a défini des procédures permettant de protéger le système d'information et les équipements informatiques des virus informatiques��
La gestion des changements
Démarche
Thème�Objectif de contrôle��Changement applicatifs���Changes have been authorized, documented and tested�Les demandes de :
- changement des programmes,
- maintenance des systèmes (incluant les changements apportés aux OS),
- changement des infrastructures,
sont standardisées, tracées, approuvées, documentées et respectent les procédures de gestion es changements.���Les procédures de gestion des changements tiennent compte des changements urgents effectués directement en environnement de production.
Comme tous changements, les changements dits urgents sont documentés de la même manière a postériori.��Migration of changes into production�Des contrôles sont en place afin que les migrations des programmes dans l'environnement de production soient limitées aux seules personnes autorisées.��System and application configuration changes�La Direction Informatique garantit que l'implémentation des logiciels et systèmes ne met pas en danger la sécurité des données et des programmes des systèmes.��
Le développement informatique
Rappel des phases de la gestion de projet
Étude d'opportunité et de faisabilité
conception fonctionnelle (spécifications générales, spécifications détaillées)
conception technique
développement (programmation)
Tests
Recette
mise en production
maintenance
Les principaux risques par phase de développement
Identification des risques par une revue des méthodologies de développement
Etude d'opportunité et de faisabilité
implication de la direction dans linitialisation du projet
étape de validation de la faisabilité technique et économique
Conception
participation des utilisateurs,
découpage du projet en plusieurs étapes
intégration de thèmes relatifs à :
la sécurité
les contrôles programmés
la piste d'audit
Les principaux risques par phase de développement
Réalisation
outils utilisés,
bugs rencontrés
En moyenne, un "bug" pour cent lignes de code produites
Tous les bugs ne peuvent être détectés avant la mise en production
Le coût de la correction est évidemment plus élevé lorsque l'application est en service
Absence ou non respect des normes de programmation
Test / Recette
Existence de tests unitaires d'intégration et tests de non-régression
adéquation de la solution au besoin (recette fonctionnelle)
non création d un échantillon représentatif
non suivi des incidents
Maintenance
perte de connaissance de lapplication
absence de documentation
turn-over
versions successives non gérées
absence de base de test (ou base non à jour)
mise en exploitation non contrôlée
Démarche
Thème�Objectif de contrôle��Gestion des développements���Authorization, development, and testing of new systems and applications�Lorganisation dispose dune méthodologie de cycle de vie de développement de système (SDLC) intégrant les besoins de lorganisation en terme de sécurité et dintégrité des données et traitements���Les politiques et procédures SDLC considèrent le développement et l'acquisition de nouveaux systèmes ainsi que les évolutions majeures apportées aux systèmes existants.���La méthodologie de cycle de vie de développement de système (SDLC) assure que les systèmes d'information sont conçus pour inclure les contrôles applicatifs qui garantissent que les traitements sont complets, exacts, autorisés, et valides, et que tous les composants (programmes et données) fonctionnent ensemble sans erreur.���L'organisation dispose d'un processus d'acquisition et de planification en cohérence avec les orientations stratégiques d'ensemble.���La Direction Informatique garantit que les utilisateurs sont impliqués de manière appropriée dans la conception des applications, la sélection des progiciels, et leurs tests afin de garantir un environnement fiable.��Authorization, development, and testing of new systems and applications�L'organisation acquiert les logiciels et systèmes conformément à ses processus d'acquisition, de développement et de planification.���L'organisation a défini des politiques et procédures pour la gestion des développements et évolutions applicatifs, revues périodiquement, mises à jour et approuvées par le management.���L'organisation développe, maintient et utilise ses systèmes et ses applications en accord avec les politiques et procédures qu'elle a définie.���Des revues de post-implémentation sont effectuées afin de vérifier l'efficacité des contrôles implémentés.���Il existe une stratégie de test pour tous les changements applicatifs et technologiques significatifs, qui garantissent que les systèmes déployés fonctionnent comme prévu.
Les tests sont réalisés à différents niveaux :
- tests unitaires,
- tests d'intégration,
- tests utilisateurs.���Les tests de chargement et de stress sont réalisés conformément au plan de test et aux standards de tests établis.���Les interfaces avec les autres systèmes sont testées afin de s'assurer de l'exhaustivité, l'exactitude et l'intégrité des données interfacées.���La conversion des données est testée (rapprochement entre leur état original et final) afin de s'assurer de l'exhaustivité, l'exactitude et l'intégrité des données converties.��
Lexploitation informatique
Gestion des travaux
Gestion des moyens
Procédures de mise en exploitation
Gestion des travaux et des moyens
Gestion des travaux
Planning
Documentation
Gestion des incidents
Contrôle de la production
Distribution des restitutions
Gestion des moyens
Gestion des matériels
Plan de secours
Procédures de sauvegarde
Gestion
Procédures de mise en exploitation
Implication de lexploitation lors du développement de nouvelles applications
Evaluation de limpact sur le planning de traitements
Procédure dapprobation des transferts de programmes en exploitation
Séparation bien établie des fonctions avec les études
Existence de plusieurs environnements ?
Environnement de développement
Environnement de test
Environnement de production
Points dattention liés à la gestion des travaux
Existence dune planification automatique
Existence dune procédure formalisée pour les travaux exceptionnels non planifiés?
Existence de procédures écrites
Conservation de la maîtrise de lenchaînement des traitements
Standardisation du dossier dexploitation
Les opérateurs ont-ils accès aux logiciels de production? Aux données de production?
Peuvent-ils modifier les programmes sources ?
Rotation des fonctions entre les opérateurs?
Utilisation de moyens permettant de contrôler la bonne exécution des traitements
Procédure de suivi des incidents?
Définition dun niveau de gravité des incidents?
Revue périodique des incidents non clos?
Identification des sorties sensibles?
Points dattention liés à la gestion des moyens
Maintenance
suivi des performances
suivi de l espace disque disponible
suivi des consommations
le plan de secours couvre-t-il tous les sites ? Toutes les applications?
s appuie-t-il sur une analyse des risques associés à l indisponibilité des différentes applications?
Tests réguliers du plan de secours?
Conservation à l extérieur du centre informatique des copies de fichiers de données et des programmes de production?
Contrôle du contenu des sauvegardes avec les fichiers en production?
Restauration périodique des sauvegardes?
Refacturation aux utilisateurs
Démarche
Thème�Objectif de contrôle��Exploitation���Accuracy, completeness, and timely processing of systems jobs�Des contrats de service internes et externes (Service Level Agreement) sont définis et gérés afin de répondre aux besoins des systèmes de reporting financier. Ces contrats définissent les rôles
et responsabilités de chacune des parties et explicitent les services fournis et attendus.���Pour gérer les contrats de service aussi bien internes qu'externes, des indicateurs clés de performance sont définis.���Un responsable est nommé afin de suivre régulièrement les critères de performance des prestataires.���La sélection des fournisseurs de services d'outsourcing est réalisée conformément à la politique de l'organisation en matière de gestion des fournisseurs.���Les fournisseurs pressentis sont correctement qualifiés au travers d'une démonstration de leur capacité à fournir le service demandé et de leur solidité financière.���Les contrats avec les tiers définissent les risques identifiés, les contrôles et procédures de sécurité mis en place pour les systèmes et réseaux concernés.���Des procédures existent et sont suivies afin qu'un contrat formel soit défini et convenu pour tous les services tiers avant le début des travaux, y compris la définition des exigences de contrôle
interne et l'acceptation des politiques et procédures de l'entreprise���Des revues régulières des prestataires sont effectuées au travers d'audits (exemple : SAS 70).���Des politiques et procédures existent pour gérer la distribution et la rétention des données ainsi que pour les rapports.���Des contrôles de fin de traitement sont réalisés par la DSI afin de vérifier l'exactitude, la complétude et la validité des traitements informatiques.��Problem management procedures�La Direction Informatique a défini et mis en place un système de gestion des problèmes et incidents de telle manière que les incidents liés à l'intégrité des données et aux contrôles d'accès
sont enregistrés, analysés, résolus en temps et en heure et remonter au management le cas échéant.���Le système de gestion des problèmes assure la piste d'audit entre le problème ou l'incident relevé jusqu'à la cause identifiée.���Un processus de réponse aux incidents de sécurité existe afin de mettre en place les actions correctives dans les meilleurs délais et d'analyser les opérations non-autorisées.��Implementation backup and recovery procedures�Le management protège les informations sensibles - logique et physique -, dans leur stockage et durant leur transmission, contre les accès ou les modifications non-autorisés.���La période de rétention et les conditions de stockage sont définis pour les documents, les données, les programmes et les messages (entrants/sortants) ainsi que pour les données (clés, certificats) utilisées pour leur encryption et authentification.���Le management a implémenté une stratégie de backup des données et des programmes.���Des procédures existent et sont suivies pour tester périodiquement l'efficacité du processus de restauration et la qualité des bandes de sauvegarde.���Les historiques d'événements des systèmes sont conservées assez longtemps pour générer une chronologie et un journal qui permettront de contrôler, examiner et reconstruire le système et le
traitement des données.���Les changements apportées à la structure des données sont autorisés et implémentés en accord avec les spécifications, et en temps et en heure.���La Direction Informatique a défini des procédures standards pour l'exécution des travaux IT y compris l'ordonnancement, la gestion, la surveillance et la réaction aux incidents de sécurité, la disponibilité et l'intégrité des traitements.��
Exemple
Entreprise commerciale sur AS400
Thèmes présentés
1) L'équipe informatique
2) La configuration matérielle
3) La cartographie applicative
4) La politique informatique
5) La gestion de la sécurité informatique
6) Le développement informatique
7) L'exploitation informatique
Equipes
Existant
Function�Age�Formation�Experience�Ancienneté�Langage��DI�54�BTS�37�01/04/95�COBOL��CPI�46�Secondaires�12�23/06/94�GAP/COBOL/ODYSSEE��CP2�35�Niveau BAC�14�02/08/96�COBOL��AP1�41�BAC D�13�14/05/95�GAP/COBOL/ODYSSEE��AP2�31�BAC C BTS�3�28/10/96�COBOL��P1�37�BAC�7�16/11/92���P2�25�BEP BAC�5�27/07/96���MOY�38�-BAC�13�3 ans���
Configuration matérielle
Existant
Un IBM AS 400 B 60
équipé de :
96 MO de mémoire centrale et 10,2 GO de disques
108 écrans, 4 PC connectés, 30 imprimantes
charge de l'AS400 :
fonction de collecte des mesures de performances non utilisée en interne
temps de réponse mauvais
UC occupé à plus de 85 % dans la journée
espace disque occupée à 68 %
héberge actuellement gestion commerciale, la comptabilité générale, la paye et la trésorerie (étude et production)
acheté en leasing
acquisition d'un AS400 E10 envisagé pour supporter la comptabilité
64 micros ordinations
ratio nombre de licences achetées / nombre d'utilisateurs pouvant être estimé à 50%
absence de normes pour les applications bureautiques du type tableur et traitement de texte
Excel, Multiplan et Lotus pour les tableurs
Cartographie applicative
Existant
Applications significatives
Comptabilité�Logiciel spécifique « maison » (1)��Gestion commerciale�Progiciel ANTALIA de PRISME��Paye�Progiciel PMP 38 de PROLAND��Trésorerie�CONCEPT��
(1) Application développée en 1982 sur IBM 36. Les informations à lorigine du développement ne font plus partie de lentreprise.
La documentation est quasi inexistante même après divers évolutions majeures de lapplication (an 2000 et euro)
SIG
�
Politique informatique
Existant
Linformatique évolue au fil de leau
Sécurité logique
Existant
accès aux applications
les utilisateurs possèdent a priori des identifiants et des mots de passe
il existe un mécanisme de sécurité propre à "PRISME"
les autres applications noffrent pas de mécanisme propre de gestion de la confidentialité
accès au système
le niveau de sécurité choisi au sein du système = 20
la clef (keylog Switch de l AS 400 est sur la position « Normal »)
Sécurité physique
Existant
Quatre niveaux de sauvegarde sont effectués :
tous les soirs :
Les neuf bibliothèques de données applicatives, de disque à disque, et sur cartouche
une société extérieure récupère les sauvegardes de l'avant-veille et les stocke dans ses locaux trois fois par semaine
une fois par semaine :
l'ensemble des bibliothèques systèmes (sauvegardées sur bande)
après chaque traitement mensuel :
les neuf bibliothèques de données statistiques, les cartouches étant conservées sur place
à chaque modification :
le système d'exploitation
Back-up
contrat de back-up signé en 1989 avec une société extérieure prévoyant la mise à disposition en cas d'incident majeur
Etudes Développement informatique
Existant
Rôle des équipes
Les quatre développeurs se partagent la maintenance (M) des applications et les nouveaux développements (ND) de la façon suivante :
�
Une seule personne (CP2) intervient sur la comptabilité
La documentation existante est quasi nulle
Certains mécanisme de la gestion commerciale sont inconnus de l'équipe en place en l'absence de documentation et de liens avec le fournisseur
Exploitation informatique
Existant
Maîtrise des travaux batch
les travaux liés à certaines applications sont lancés manuellement
les incidents ne sont pas répertoriés
il n y a pas d historique des incidents
les travaux sont insuffisamment documentés (fichiers en E/S, traitements effectués,
)
des contrôles par totaux sont effectués
Maîtrise des environnements
il n'y a pas d'environnement de test
les tests sont effectués sur les données réelles
2007-01-25
Formation à laudit informatique
- Revue dapplication informatique
Historique et insertion de lapplication dans larchitecture globale
Historique de lapplication
prise de connaissance des interventions précédentes
Rq : on peut demander à des collègues qui ont des expériences sur le logiciel pour savoir des difficultés quon rencontre souvent, etc.
gestion du projet
Rq : « accouchement difficile » ? passage sans difficultés ?
développement interne / externe
cahier des charges
maîtrise de lexistant-notion de "boîte noire"
Rq : est-ce que le client a suffisamment dinformations pour maitriser le logiciel ?
gestion des évolutions
Insertion de lapplication dans larchitecture globale
référence à la RGI
établir un schéma dintégration global
Couverture fonctionnelle
Liste des fonctionnalités
Rq : il peut quen fonction de lactivité de lentreprise, elle retient de telles fonctionnalités, mais pas dautres.
Schémas des traitements
Rq : par ce schéma, on essaie de savoir comment initialiser, enregistrer (par qui, comment), traiter (de quelle manière : séquentielle, continue, etc.), valider et contrôler.
Revue des documentations (utilisation, conception, exploitation)
Rq : manuel dutilisateur
A partir du manuel dutilisation, il faut intégrer la formation dutilisation.
Identification des utilisateurs
Rq : informaticiens, MOA, contrôleur daccès, les stagiaires, etc.
Identification des informaticiens
...
Schéma des traitements et matrice de contrôle
La démarche à suivre est la suivante
découpage de l'application en phases logiques de traitement
élaboration d'un schéma de flux sur lequel sont présentés :
les phases logiques de traitement
les principaux fichiers ou tables concernées
pour chaque phase logique, établissement d'une matrice de contrôle comprenant :
les informations reprises du schéma de flux (phase logique de traitement, entrées, fichiers de référence, sorties)
la description du traitement effectué
la liste des contrôles programmés ou d'exploitation et les objectifs des contrôles
la liste des contrôles effectués par les utilisateurs sur la base des restitutions disponibles et les objectifs des contrôles opérés
Identification des risques
Fiabilité des interfaces
les contrôles effectués
les procédures de recyclage des rejets (ou anomalies)
la nature et la fréquence des rejets
Contrôle interne applicatif
le contrôle interne applicatif ne diffère en rien du contrôle interne manuel
il se décline de la manière suivante :
autorisation :toutes les transactions, font-elles l'objet d'un autorisation en accord avec la politique de délégation (contrôle daccès et séparation des fonctions)?
Exhaustivité : les données entrées dans l'application sont-elles bien disponibles dans les bases de données?
Absence de perte de données aux différents niveaux de traitement?
Existence de contrôle de flux?
exactitude :
L'application permet-elle de garantir la non altération des données ?
Existe-t-il des contrôles de valorisation (tests en production, requêtes, simulation
)?
Paramétrage
identification des tables
procédures et fréquences des mises à jour
vérification du code (séparation données/traitements)
personnes concernées
...
Pour apprécier si une application est "facile à exploiter", il convient d'étudier :
les fiches d'incident tenus par l'exploitation informatique et/ou par les utilisateurs
le dossier d'exploitation de l'application pour apprécier l'existence de points de reprise en cas d'incident
les procédures utilisateurs pour le recyclage des anomalies
le planning d'exploitation pour apprécier si une attention particulière est donnée à l'application
Approfondissement des risques identifiés
Procédures palliatives
contrôles par les utilisateurs
existence d'une cellule de pilotage et de contrôle des données produites
proposer la mise en uvre de contrôles complémentaires
Mise en place éventuelle de tests informatiques ciblés
identification des risques
réalisation dun cahier des charges
mise en place des tests
Rq : distinguer les anomalies intrinsèques ou les anomalies engendrées par la mauvaise construction ou interprétation des tests.
réunion de synthèse
Analyse des aspects « qualitatifs »
L'adéquation fonctionnelle
La satisfaction des utilisateurs
L'évolutivité
Le bilan économique
Les performances
L'adéquation fonctionnelle
Étude des points suivants :
implication des utilisateurs dans les choix et/ou développements informatiques
cohérence et stabilité de la demande exprimée : collecter les demandes de mise à jour de l'application
apprécier la fréquence de maintenance corrective sur l'application
vérifier que les restitutions produites par l'application sont effectivement utilisées
apprécier si les retraitements ou remaniements manuels d'informations issues de l'application ne pourraient pas être informatisés
Rq : plus lentreprise est grosse, plus on a des traitements manuels pour remonter les informations, plus on a des incertitudes sur lexactitude et lexhaustivité des informations.
La satisfaction des utilisateurs
Par entretien avec les utilisateurs, obtenir les motifs d'insatisfaction éventuels, ils pourront résulter :
dun manque de communication entre utilisateurs et informaticiens
de retard dans les travaux de maintenance évolutive ou corrective
dun manque de formation des utilisateurs
de contraintes techniques
L'évolutivité
La capacité d'une application à évoluer selon les souhaits de l'entreprise se mesure suivant les critères suivants :
qualité de la programmation
pertinence des choix techniques
qualité de la documentation
pertinence de l'analyse fonctionnelle
externalisation du paramétrage
Le bilan économique
L'établissement d'un bilan économique nécessite l'étude des points suivants :
le coût réel d'acquisition ou de développement et de mise en place de l'application / coût prévu au plan informatique
le coût de l'application développée ou acquise par rapport à des progiciels équivalents du marché
les gains de productivité
le coût de fonctionnement
les coûts de maintenance
Les performances
Les performances d'une application peuvent s'apprécier selon les points de contrôle suivants :
fréquence de réorganisation des bases de données ou fichiers accédés par l'application
reporting sur le délai moyen de restitution des réponses attendues et évolution dans le temps
fréquence et nombre de passages batch sur de gros volumes de fichiers séquentiels
interactions entre applications
Exemple :
Audit dune application de comptage et de facturation
Etapes de traitement :
"contrôle syntaxique" :
contrôle de présence des informations nécessaires à la valorisation
" contrôle logique" :
éclatement des événements unitaires selon leur nature
rapprochement au contrat et valorisation
prise en compte des produits (services inclus dans le contrat) et des acomptes
facturation :
des consommations
des abonnements
des PFA (Produits Facturés à l'Acte)
calcul de la facture
calcul des lignes de chiffre daffaires et des écritures de cut-off
Risques étudiés :
exhaustivité de la remontée ?
Existe-t-il des contrôles de l'exhaustivité de la prise en compte de l'ensemble des bandes magnétiques remontant de compteurs ?
En l'absence de numérotation des événements unitaires, peut-on s'assurer de l'exhaustivité de la présence de ces derniers ?
exhaustivité du recyclage ?
deux faiblesses recensées :
perte de quelques tickets en anomalie de type 'I'
non recyclage des anomalies de type 'W'
exhaustivité du traitement des lots de facturation ?
Absence de vérification par tests programmés
exhaustivité de la facturation des contrats ?
Absence de vérification par tests programmés
Unicité du numéro de facture ?
non séquentialité des numéros de facture
l'unicité du couple contrat-numéro de facture dépend de l'unicité des numéros de contrat
Risques financiers identifiés :
exhaustivité de la facturation des ventes ?
manque de fiabilité des compteurs d'événements unitaires
comptabilisation des prestations ?
existence de contrats ayant un plan tarifaire nul
Rq : comment traiter les contrats ayant une valeur nulle ?
valorisation des prestations ?
utilisation du coût minimum en cas d'anomalie
diminution non justifiée du compte client ?
émission de 500 KF d'avoirs chaque mois
Rq : il faut vérifier que soient bien justifiés les avoirs qui sont une source de fraude
à valider à partir des tests effectués
cut-off
non respecté en cas de retard dans la remontée des tickets
Rq : on vérifie le délai entre la date de ticket et la date de facturation.
provision pour dépréciation des clients mal calculée
reste à valider à partir des tests effectués
Formation à laudit informatique
- La fraude : méthodes de prévention et détection
La fraude et les méthodes de prévention et détection
Caractéristiques de la fraude: un phénomène affectant lensemble des entreprises 34%
�
Part des entreprises ayant subi de la fraude par région géographique
�
Part des entreprises ayant subi de la fraude par secteur dactivité
Caractéristiques de la fraude: un phénomène affectant lensemble des entreprises
�
Part des entreprises ayant subi de la fraude par secteur dactivité
Caractéristiques de la fraude: un coût élevé
�
Coût moyen du préjudice par type de fraude en 2003-2004 (aux US)
Caractéristiques de la fraude: un profil type
Un homme (53% des cas)
Niveau employé (67% des cas)
Âgé dune quarantaine dannées
Sans antécédent juridique (83% des cas)
Facteurs aggravant limpact de la fraude :
le niveau hiérarchique (de 62k$ pour un employé à 900k$ pour un dirigeant)
le salaire élevé
lâge, lancienneté
le niveau universitaire.
Les moyens de lutte contre la fraude
�
Modes de détection de la fraude (évolution 2002 2004)
Impact des dispositifs anti-fraudes sur le coût moyen de la fraude
�
La protection des flux dinformations critiques de lentreprise (sécurité des réseaux, tests dintrusions, cryptographie des message
)
Exemple de fraude : Lespionnage industriel peut se faire par lécoute téléphonique mais également par «lécoute»des communications Internet au sein de la société où vers lextérieur (mail, échange de fichiers électroniques
). Laccès au réseau dune entreprise par une personne malveillante peut également aboutir à des situations de chantage et de tentative dextorsion comme la société Softbank dont la base de données clients avait été copiée en février 2004 par un «hacker»et qui menaçait de publier des informations confidentielles.
Rôle de lauditeur en SI : spécialiste en sécurité des réseaux, il peut effectuer des tests dintrusion sur les réseaux des entreprises afin de tester leur vulnérabilité et didentifier les éventuelles failles.
La protection anti-virus (sécurité des réseaux, tests dintrusions, cryptographie des message
)
Exemple de fraude : Les entreprises sont quotidiennement soumises à des centaines, voire à des milliers dattaques virales. Ces virus peuvent engendrer des mises en indisponibilité de leurs systèmes dinformation, des pertes de données, des destructions matérielles qui peuvent également faire lobjet de chantage par des personnes malveillantes (ex, «I love you»). Les virus peuvent aussi être utilisés par des tiers pour prendre le contrôle du système dinformation et ainsi copier, modifier ou supprimer des données sensibles et/ou confidentielles.
Rôle de lauditeur en SI : spécialiste dans les procédures de protection des données, il peut par exemple effectuer des tests sur le système de gestion des virus de lentreprise afin de sassurer notamment de la mise à jour au moins quotidiennes des signatures de virus sur les PC et la bonne protection des postes nomades.
Le contrôle des développements informatiques
Exemple de fraude : des personnes malveillantes internes ou externes peuvent insérer au sein des applications informatiques de programmes destinés à détourner des fonds. Ainsi, les techniques dites «salamis»consistent à tronquer une somme dune ou plusieurs décimales sur chaque transaction puis de virer cet argent sur un compte bancaire.
Rôle de lauditeur en SI : spécialiste dans la gestion des projets de développements information, il peut évaluer la méthodologie de gestion de projet (par exemple «SDLC System Development Life Cycle»). Il peut également vérifier la séparation des fonctions entre les développeurs et les personnes migrant en environnement de production les programmes, lexistence dun dispositif automatique de traçage des modifications sur le code informatique en environnement de production («Library Management System»avec le suivi et la documentation des versions du code source
)...
Le contrôle des accès aux données et aux programmes
Exemple de fraude : Un individu ayant un profil de «super-utilisateur »sur un ERP, cest à dire avec des droits daccès très étendus, contourne les contrôles mis en place et fraude (par exemple, création dun fournisseur ou dun client fictif, création dun paiement injustifié, contre-passation de charges
)
Rôle de lauditeur en SI : spécialiste dans la sécurité logique des ERP, il peut effectuer des revues dhabitations informatiques afin didentifier dune part les utilisateurs présentant des droits daccès à des fonctionnalités critiques de manière injustifiée et, dautre part, les utilisateurs dont les droits daccès présentent des conflits de séparation de fonctions (cf. section 4.2). Par exemple, un même utilisateur ne doit pas pouvoir créer un fournisseur, une commande dachat, une réception de stock, une facture et un paiement.
Lidentification de comportements susceptibles de se rapporter à la fraude
Exemple de fraude n°1 : La majorité des cas de fraudes liées à la falsification des états financiers concernent la surestimation des comptes clients.
Rôle de lauditeur en SI : Identification des factures clients non justifiées par un flux vente classique (commandes et /ou bon de livraison). Ces factures clients créées directement en comptabilité devraient être extrêmement rares et il est donc nécessaire détablir leur liste afin de les revoir ligne par ligne avec un Responsable approprié
Lidentification de comportements susceptibles de se rapporter à la fraude
Exemple de fraude n°2 : Le processus achats présente de nombreux risques puisquil engendre la sortie dargent. La collusion avec un fournisseur est un cas de fraude fréquent dans les sociétés.
Rôle de lauditeur en SI : Identification des factures fournisseurs non justifiées par un flux achat classique (commandes achat et /ou bon de réception). Ces factures clients créées directement en comptabilité devraient être liés à des types de dépense clairement identifiés (impôts, cas durgence
) et il est donc nécessaire détablir leur liste afin de les revoir ligne par ligne avec un Responsable approprié.
Lidentification de comportements susceptibles de se rapporter à la fraude
Exemple de fraude n°3 : De nombreux comportements suspects des employés sont des indicateurs de fraude potentielle.
Rôle de lauditeur en SI
Identification des employés ayant accédé au système informatique et ayant créé des documents de gestion et / ou des pièces comptables en dehors des horaires normaux de travail (par exemple, la nuit, les week-end, les jours fériés
).
Identification des utilisateurs ayant des droits daccès étendus et ayant créé des factures et/ ou des paiements fournisseurs très ponctuellement (par exemple, moins de 10 en 1 an).
Identification des utilisateurs ayant créé des pièces tout le long dun processus à la fois dans les systèmes de gestion et dans les systèmes comptables (exemple de la création du fournisseur, de la commande et du paiement de la facture).
Formation à laudit informatique
- Tests Informatiques
Mme. Ezan
Sommaire
Pourquoi réaliser des tests informatiques ?
Avantages des interrogations de fichiers
Situation amenant à procéder à des interrogations de fichiers
Typologie des test informatiques
Démarche de mise en uvre
Les facteurs de réussite
Outils de traitement
Pourquoi réaliser des tests informatiques
Justification fondamentale : la dématérialisation des écritures ou des documents de gestion ne doit pas constituer un obstacle au travail de lauditeur
Plus pragmatiquement, trois avantages essentiels :
Efficacité de laudit
Productivité des travaux
Meilleure compréhension des systèmes
Avantages des interrogations de fichiers
Efficacité de laudit
Représentativité des échantillons testés
lautomatisation des tâches permet de ne plus travaille sur un échantillon de la population mais sur sa totalité et daccroître la pertinence et la productivité des travaux
les erreurs de contrôle interne, difficile à déceler de par leur caractère exceptionnel, peuvent être découvertes par un examen systématique des données
Validation des calculs complexes
il est possible deffectuer des calculs complexes ou des simulations qui apportent une valeur probante de certaines hypothèses sur le résultat comptable
Productivité des travaux
Réutilisation des travaux
dans le cas de missions récurrentes, les tests informatiques ou autre programmes développés (macros) sont utilisables sur plusieurs exercices moyennant une mise à jour peu coûteuse
« Batterie de tests » standards
une série de tests développée pour une société ou un site peut être réutilisée pour tout autre client disposant dun stockage magnétique dinformation conçu selon la même structure
Meilleure compréhension des systèmes
évite leffet « boîte noire » des systèmes
plus généralement, lintervention de « spécialistes de linformatique » permet délargir la perception des métiers de lintervenant
Situation amenant à procéder à des interrogations de fichiers
Volume dinformations trop important pour permettre des contrôles manuels significatifs
Travaux récurrents sur des données stockées dans les fichiers de lentreprise
Données en entrée et en sortie dune chaîne de traitement non approchables aisément
Contrôle manuel nécessaire sur un échantillon à tirer aléatoirement
Typologie des tests informatiques
Tests de recoupement
Objectifs des tests
effectuer un recoupement entre deux fichiers
établir un recoupement entre des états séparés par une rupture du chemin daudit fonctionnel
reconstituer des données lorsquelles sont issues dinformations très nombreuses
Nature des tests
réconciliation simple
rapprocher le total déléments calculés stockés dans un fichier avec le chiffre audité
réconciliation complexe
le résultat des calculs na pas été conservé dans un fichier. Il convient donc de procéder au recalcul des opérations, ou de reconstituer les données à une date donnée. Le chiffre ainsi obtenu est rapproché du chiffre audité.
Exemples
reconstitution du chiffre daffaires à partir des fichiers quantités facturées, tarifs et conditions particulières
rapprochement des commandes clients avec les factures émises
rapprochement des temps imputés sur comptes rendus dactivité et des temps facturés
réconciliation entre les charges sociales enregistrées en comptabilité et les différentes rubriques enregistrées dans la paie
cumul des soldes des contrats créditeurs et débiteurs au 31/12/N
Tests de détection danomalies
Objectifs et natures des tests
tester lexhaustivité et la réalité dun fichier : sassurer que le fichier ne présente ni manque, ni sur-ajout dinformations
faire ressortir les trous de séquence ou les doublons dans une numérotation séquentielle
Rq : « trous de séquence » => il sagit généralement de la numérotation des factures.
tester lintégrité dun fichier (exactitude) : sassurer de la cohérence, dans labsolu, des données de la base et de la mécanique de certains calculs
contrôler lintégrité de chacune des données dun fichier, prises individuellement
rechercher des incohérences entre deux, ou plusieurs données, soit au sein dun même fichier, soit dans plusieurs fichiers distincts
tester la conformité dun fichier (exactitude) : sassurer que les données respectent les règles de calcul ou les principes comptables de la société
appliquer les règles de calcul aux données stockées et comparer le résultat obtenu au réel
Exemples
édition de la liste des factures dont la référence apparaît deux fois (ou plus) dans un fichier, ce qui peut signifier que ces factures ont été enregistrées plusieurs fois
détection de bulletins de salaries pour lesquels le taux moyen de charges sociales est aberrant
recherche des clients dont le taux de remise ne correspond pas au niveau de chiffre daffaires
recherche de données dont la valeur ne correspond pas à celle que lon attend :
quantité négative en stock
date à zéro
prix unitaires nuls
ventes sans date de sortie
prix de vente inférieur au prix de revient
vérification quun prix total dans un fichier est bien égal au prix unitaire multiplié par la quantité, etc.
Extraction de données
Objectifs et natures des tests
sondages statistiques : sélection dun certain nombre de données selon des règles statistiques, afin de procéder à ne extrapolation des anomalies rencontrées
interrogations ciblées : faire ressortir certains cas « limites » par rapport à un risque identifié afin de restreindre le champ dinvestigation et ainsi augmenter la productivité des travaux
une telle approche permet de se concentrer sur les cas les plus intéressants
Extraction de données
Exemples
extraction de factures payées afin de contrôler le respect des conditions fournisseur
contrôle décarts importants dun exercice sur lautre (en quantité ou en valeur) darticles en stock
extraction de factures présentant un écart important entre la date de comptabilisation et la date de facturation
détection de taux de remise accordés supérieurs au seuil défini
application de la méthode de sondage pour le contrôle de la provision sur créances douteuses
extraction des relances gelées
Simulations
Objectifs et natures des tests
recalcul de certaines données
recalcul de certains éléments avec variation des paramètres de calcul
évaluation rétroactive déléments dont les modalités de calcul étaient erronées, afin de chiffrer lécart avec le réel
établissement de données prévisionnelles
Exemples
calculs damortissements selon différentes méthodes (linéaire, dégressif,
), afin den étudier limpact financier sur plusieurs exercices
reconstituer la valeur dinventaire dun stock
contrôle de la quantité et de la valorisation dun stock
Démarche de mise en uvre
Les grandes étapes
Etude de faisabilité
Positionnement des données auditées au sein de lenvironnement informatique
Définition des tests à effectuer :
Données en entrée
Critères de sélection
Type de test
Restitutions
Récupération des fichiers
Réalisation des tests
Bouclage sur réalisation (ajustement des critères, suppression ou ajouts de tests)
Le lien avec la démarche daudit
Préliminaire
planification de la mission et information du client
étude de faisabilité technique
Intérim
définition des objectifs et des tests à réaliser
prise de connaissance des applications et de la structure des fichiers du client
formalisation de lengagement du client pour la mise à disposition des données
Final
développement des programmes
réalisation des tests et exploitation
remontée aux auditeurs financiers des anomalies rencontrées lors de lexploitation pour adaptation des tests futures
Les facteurs de réussite
Les principaux points dattention
La réussite et la pertinence des tests informatiques dépendent en grande partie de lattention accordée à la préparation de la mission
les intervenants étant multiples, la coordination des différents acteurs est essentielle
aucune des principales étapes qui composent la démarche des interrogations de fichiers, depuis la prise de connaissance du système jusquà lexploitation des résultats ne doit être négligée
le planning des tâches concourant à la mise en uvre dinterrogations de fichiers respecte les mêmes phases que celui dune intervention traditionnelle et doit être prévu dans le plan de mission global
La phase de préparation
La phase de préparation doit inclure une étude du système informatique pour éviter notamment des interrogations de fichier inutiles ou nayant pas de signification
elle doit permettre de connaître avec exactitude le contenu des fichiers, notamment la définition des champs
il faut être attentif à lorigine de données des fichiers : ne pas chercher par exemple à recouper deux fichiers issus de la même base de données
ne conserver que les tests réellement pertinents
sassurer que les fichiers contiennent bien les informations recherchées
contrôler lexactitude des fichiers clients en les rapprochant des sources « externes » disponibles
La phase dexploitation
Première exploitation commune des résultats par les auditeurs informatiques et les auditeurs financiers pour valider les résultats du test avant de les remettre au client
Les tests mis en uvre permettent-ils de répondre aux interrogations du CAC ?
Les auditeurs financiers et informatiques doivent vérifier a posteriori que le travail des premiers répond à lattente des seconds
Les tests mise en uvre sont-ils utiles ?
Préparation de la saison suivante : supprimer certains tests que lexpérience a rendu inutiles, ou au contraire en rajouter dautres plus pertinents, ou complémentaires
Les tests sont-ils fiables ?
Malgré tout le professionnalisme des auditeurs, il se peut que les résultats des tests informatiques ne soient pas pertinents du fait derreurs qui se seraient glissées dans les programmes dextraction
Un audit de laudit informatique simpose ; attention aux conclusions trop hâtives
Outils de traitement
Les outils dinterrogation de fichiers sont trop nombreux pour dresser ici une liste exhaustive. Nous avons retenu les principaux outils commercialisés :
Sur micro-ordinateur :
IDEA (Interactive Data Extraction and Analysis) : outil développé par linstitut canadien des experts comptables agréés et utilisé par KPMG
ACL (Audit Command Language) : outil américain développé avec le concours de PWC
Sur gros système IBM :
Panaudit + : outil basé sur le langage Easytrieve de la société Pansophic
EDP/Auditor : outil basé sur le langage Cullprit de la société Computer Associates
2007-02-08
Formation à laudit informatique
- Audit de la sécurité
Sommaire
Rappel du contexte
Continuité de service
Confidentialité des informations et risques de fraude
Risques derreur et de dysfonctionnement
Méthode MARION
Rappel du contexte
Objectif
La sécurité du SI a pour objectif de participer à la continuité de lactivité de lentreprise (« Business Oriented »)
Pour ce faire, son rôle est de protéger le SI de toute dégradation de service sur 3 axes majeurs :
Confidentialité
Intégrité
Disponibilité
Elle peut parfois être un facteur de qualité supplémentaire, voire participer au développement de lactivité (exigences commerciales)
Le coût
Le remboursement des sinistres informatiques coûte chaque année progression constante (+15% par an)
Les pertes réelles des entreprises sont certainement beaucoup plus importantes si on considère :
les pertes et délits non déclarés
les pertes de crédibilité
Les principaux risques
�
Les secteurs dactivité les plus touchés
Part des différents secteurs dans les sinistres déclarés :
Banque Finance Assurances�Industrie�Services�Distribution�Secteur public��43%�22%�15%�14%�5%��
Part des différents risques de malveillance pour certains secteurs :
�Banque Finance Assurances�Industrie�Services�Distribution�Secteur public��Fraude�59%�35%�13%�17%�10%��Sabotages�29%�28%�56%�38%�30%��
Les protections mises en place par les entreprises
Ces dépenses des entreprises liées à la sécurité se répartissent de la façon suivante :
Logiciels�Matériels�Etudes�Réseaux��65%�10%�10%�7%����Logique�Physique�Audit�Autres�����26%�14%�24%�36%���
Cela ne représente que 1% des budgets informatiques des entreprises
La sécurité, une préoccupation majeure
Linformatique est un outil stratégique
Les Directions Générales sont particulièrement sensibles aux conséquences dun éventuel sinistre
Un sinistre important peut remettre en cause la survie de lentreprise : les risques doivent être évalués
Les principes fondamentaux
Composants�Description��Confidentialité�Protection des données et systèmes sensibles contre toute divulgation non autorisée��Intégrité�Préservation de lexactitude et de la cohérence des données, des systèmes et des logiciels��Disponibilité�Garantie daccès aux données et aux systèmes dans des conditions satisfaisantes��
Les bonnes pratiques
Mise en place dun poste de RSSI
Définition dune politique de sécurité
Plan de sécurité IT (analyse des risques, plan daction)
Définition des standards en matières de sécurité
Mise en place de procédures de sécurité (physique, logique, applications, réseaux
)
Définition dune charte de sécurité signée par les collaborateur
Suivis des incidents de sécurité
Audit périodique de la sécurité (test dintrusion
)
Définition de niveau de service (SLA)
Continuité de service
Les risques
Un serveur tombe en panne
Un fichier important est détruit
Un Boeing 747 sécrase sur le site
La Seine déborde
Une grève bloque laccès
Le fournisseur dépose le bilan
Les protections en place
contre lincendie
Alarmes, gaz Inergen, sprintler, extincteurs,
contre les dégâts des eaux
Faux plancher, salle informatique à létage, pompes,
contre les intrusions
contrôle daccès physique par badge,
contre les pannes électriques
Onduleurs, serveurs redondants, mirroring
contre les pannes matérielles
stock de rechange, délai dintervention, de remplacement,
Les procédures de sauvegarde
Les fichiers nécessaires au fonctionnement de lentreprise sont-ils sauvegardés régulièrement ?
données
sources des programmes
applications systèmes
Quelle est la fréquence des sauvegardes ?
Les supports de sauvegarde sont-ils lisibles ?
Les lieux de stockage sont-ils sûrs ?
Coffre ignifugé, stockage hors site
Quelle est lampleur de la perte en cas de nécessité de restauration sur un site externe ?
Le site de secours
Existe-t-il un site de back-up ?
Si oui :
De quel type (salle blanche, salle équipée,
) ?
Nombre dadhérents
Durée possible dutilisation ?
Les sauvegardes sont-elles sur place ?
Peut-on sy connecter ?
Si non :
Quelle est la solution prévue ?
Quel est le délai de renouvellement du matériel ?
Le plan de reprise
Les applications ont-elles été classées selon leur caractère stratégique ?
Les actions à entreprendre ont-elles été formalisées :
nomination dun responsable ?
priorisation des actions à mener ?
affectation des tâches ?
Le plan de reprise est-il testé régulièrement ?
Le temps de reprise est-il acceptable ?
Les procédures de fonctionnement dégradé
Les procédures de fonctionnement en cas de panne prolongée de linformatiques ont-elles été définies ?
Si non :
Les protections en place permettent-elles daffirmer que le risque est faible ?
Quel serait limpact en cas de réalisation du risque ?
Si oui :
Les procédures sont-elles pertinentes ?
Exemple : une entreprise du secteur de la presse
Objectifs de départ
Evaluer les risques significatifs darrêt de linformatique de production
Recenser les solutions permettant de couvrir ces risques en évaluant les investissements nécessaires
Envisager en priorité les solutions économiques couvrant les risques coûteux
Etre concret : ne pas viser seulement à se donner bonne conscience
Démarche suivie :
� SHAPE \* MERGEFORMAT ����
Moyens de protection en place
un matériel fiabilisé :
redondance (2 unités centrales)
mirroring (2 copies sur disque)
matériels standards
une salle informatique bien équipée
Accès gaz Inergen
climatisation
des sauvegardes régulières et testées
Risques recensés
Risque de panne du réseau local
Lensemble des communications de lentreprise sur un seul câble
Plan de câblage non à jour
Risque de « crash » informatique pour une des publications
Pas de site de back-up
Délai de 5 semaines pour obtenir une nouvelle machine
Risque de dégât des eaux
Circuit dalimentation dune photocomposeuse dans la salle machine
Risque de non parution dun numéro
Epuration des fichiers avant impression réelle chez limprimeur
Impossibilité de reconstituer lensemble de la mise en page
Plusieurs actions à mener hiérarchisées et panifiées
quelques solutions simples, d� un coût cumulé inférieur à 15k¬ , courant 50% des risques, à mettre en place dans les trois mois
duplication des sauvegardes
mise à jour du plan du réseau
isolation de la photocomposeuse, &
quelques solutions, plus lourdes
mise en place d� une deuxième nS�ud du réseau,&
une solution complexe à mettre en S�uvre, d� un coût évalué à plus de 100 k¬ , portant le taux de couverture à 80%, à mener dans les 2 ans
définition d� un plan de secours croisé avec une autre filiale du même groupe (même outils,
)
Autres types dinterventions envisageables
Assistance à la définition du plan de reprise
Assistance à la définition du plan de fonctionnement dégradé
Recherche dune solution de secours extérieure
Revue des assurances
Confidentialité et risque de fraude
Les risques
La concurrence accède au fichier client
Un informaticien modifie un paramètre
Un utilisateur accède au fichier des virements
Des agents accèdent à des fonctionnalités sensibles
Un « hackers » se connecte sur la machine centrale
Un salarié accède à la paye et augmente son salaire
Le trésorier détourne 1 millions dEuros
Un informaticien détourne les arrondis à son profit
Un visiteur vole les lettres chèques
Les solutions existantes
Authentification
Mots de passe
Reconnaissance vocale, biométrique,
Identification par carte à puce
Droits daccès logiques
Clés de chiffrement
Protection du réseau interne :
DMZ (isolation des accès Internet)
VPN
Serveur Proxy (centralise les requêtes Internet, blocage des utilisateurs)
Firewall (autorisation des accès, analyse des flux)
Routeur filtrants (routage des requêtes et des réponses)
Contrôles a priori et a posteriori
Les thèmes à étudier
Recensement des données confidentielles
Il sagit de recenser :
Les données dont la divulgation porterait préjudice à lentreprise
Les transactions / fonctionnalités dont lusage doit être restreint
Les zones à risques (virements, lettres-chèques,
)
Ce recensement doit avoir été effectué par lentreprise ou doit être effectué en collaboration avec elle
Couche système
Un utilisateur se connectant doit sidentifier et sauthentifier
Déconnection automatique, nombre maximum de tentatives infructueuses
Gestion des accès aux objets sous MVS : RACF, Top Secret
Gestion des autorisations sous AS/400 : OS400
Mécanisme interne à lapplication
Gestion de profils
Certains fichiers et transactions sont réservés à des utilisateurs définis
Les mots de passe (application, bases de données, OS) :
Sont-ils régulièrement modifiés ?
Intègrent-ils des critères de complexité suffisants ?
Les thèmes à étudier
La procédure de demande dautorisation est-elle formalisée ?
Les accès et les droits sont-ils accordés par des responsables définis ?
Les départs de personnels donnent-ils lieu à des suppressions des droits accordés ?
Des audits des droits accordés sont-ils régulièrement effectués ?
Les comptes génériques sont-ils limités. Les comptes techniques sont-ils correctement sécurisés ?
Contrôles a posteriori : trace des accès
Revue de lutilisation des super utilisateurs
Revue des tentatives daccès infructueuses
Les contrôles daccès physiques
Bâtiment, bureaux, armoires
Badges, digicodes
Les procédures organisationnelles
Séparation des fonctions
Procédure dautorisations dengagement de dépenses (seuil)
Contrôle de gestion
Suivi des volumes versés, recoupements,
Analyse des écritures comptables (OD-opérations diverses)
Analyse des opérations répondant à certains critères (seuils, montant ronds, écritures passées le week-end
)
Traces des accès
Possibilité de retrouver lensemble des manipulations effectuées tel jour, par tel agent, sur tel dossier,
Application des patchs de sécurité sur les firewalls et les routeurs
Sécurisation des mots de passe daccès au routeur/firewall
Les thèmes à étudier : les accès des informaticiens
Les informaticiens constituent une population à risque
Ils maîtrisent les traitements autant sous leurs aspects fonctionnels que techniques
Ils sont capables de cerner sil y a ou non une possibilité de détection
Ils sont quelquefois en mesure deffacer les traces de leurs manipulations
Il est donc nécessaire de :
Leur interdire laccès direct à lenvironnement de production
Mettre en place une procédure de contrôle des mises en production des programmes
Exemple dans le secteur de la distribution
Objectifs de départ
Dans le secteur de la distribution, les ristournes accordés par les fournisseurs sont des informations stratégiques et donc très confidentielles
Les risques de divulgation à lextérieur sont-ils faibles ?
Comment améliorer encore la protection ?
Démarche suivie
� SHAPE \* MERGEFORMAT ����
Moyens de protection en place
un service dédié à la gestion des ristournes
des mots de passe
une procédure dhabilitation étoffée
Risque recensés
Risque organisationnel
Les agents du service ont accès chacun à lensemble des informations (pas de séparation des fonctions)
Les documents émis sont nombreux et trop largement diffusés
Risque informatique
Au sein du service, les mots de passe sont connus de tous
Des sites éloignés auraient la possibilité daccéder aux informations sensibles
Les fichiers sensibles sont accessibles
Risques de dysfonctionnement
Les risques
Une fonctionnalité récente, mal « testée », génère des erreurs
Une application ne traite pas bien un cas particulier
Une erreur de saisie entraîne un approvisionnement dix fois supérieur à ce qui est nécessaire
Incidents majeurs dexploitation
Un virus se propage dans le système
Les solutions existantes
Méthodes de développement
MERISE, AXIAL,
Recette
Contrôles à la saisie
Détecteur de virus
Automatisation de lexploitation
Assurance qualité
MAQ, INCAS-MESSIE
Les thèmes à étudier
Les « Etudes »
L « Exploitation »
La fiabilité des applications
Les mécanismes et procédures de détection
?
Linformatique évolue « au fil de leau »
La société doit évaluer à chaque évolution si les traitements peuvent être entachés de dysfonctionnements de nature à perturber gravement la bonne marche de lentreprise ?
Risques recensés
Développement
Développement « anarchique » autour du progiciel
Acquisition de nouvelles versions impossible
Pas de séparation des environnements
Mise directe en exploitation
Exploitation
Documentation insuffisante
Maîtrise difficile
Exemple : les fichiers liés à une filiale vendue à lextérieur, était toujours traités
Suivi peu étoffé, pas de gestionnaire de travaux
Pas détat synthétique
Eclairage : les virus
Différentes terminologies existent :
« chevaux de Troie » : fonction illicite dans un programme
« bombes logiques » : déclenchement différé
« vers » : déplacement en mémoire
« virus » : multiplication en mémoire
Les « virus » sont dangereux car :
ils sauto-reproduisent
ils peuvent détruire les fichiers sur disque
Une dizaine seulement de « virus » est responsables de 99% des infections
ils sont détectables, car connus
Méthode « MARION »
Les intérêts de la méthode
Permet de donner un avis sur le niveau de sécurité existant dune entreprise
Evalue les risques potentiels
Ne sintéresse pas exclusivement à linformatique
Mais à lensemble des facteurs qui contribuent à la sécurité
Quantifie les enjeux financiers
Met laccent sur la quantification financière des pertes
Débouche, après arbitrage, sur un plan daction
Larbitrage entre les pertes financières prévisibles et les investissements envisagés :
� SHAPE \* MERGEFORMAT ����
Les principes de la méthode
Questionnaire de 640 questions se rapportant à 27 thèmes
Chaque réponse est notée de 0 à 4 et est pondérée en fonction de limportance du thème concerné
Parallèlement les risques sont identifiés
leur probabilité dapparition est estimée
leurs conséquences sont évalués
Le rapprochement des points de faiblesse et des risques permet le recensement des solutions envisageables
Ses modalités
Lapplication « pure et dure » de la méthode est lourde et nécessite une étude de plus de trois mois
Mais il paraît envisageable de mener de « mini-études » MARION, surtout axées sur lutilisation du questionnaire
Exemple
�
2007-02-15
Formation à laudit informatique
- Audit en environnement ERP
Plan :
Présentation des ERP et introduction à SAP
Impacts des ERP sur les risques liés au SI
Lapproche spécifique daudit des ERP
Exemple des flux SAP
Présentation des ERP et introduction à SAP
Présentation des ERP
Définition
Ensemble de logiciels intégrant les principales fonctions nécessaires à la gestion des flux et des procédures de l'entreprise (comptabilité et finances, logistique, paie et ressources humaines, etc.). Tous ces logiciels accèdent à des ressources communes, en particulier des bases de données (et donc des données de base).
Segments du marché des ERP
Le marché des ERP comporte plusieurs segments primaires par taille de clients, auxquels correspondent des éditeurs différents :
grands comptes :SAP, Oracle/PeopleSoft
grosses PME :Microsoft, Lawson, SSA Global, Geac, SAP, Oracle/PeopleSoft,
petites PME :Microsoft, Epicor, Exacta, Sage, NetSuite, SAP BusinessOne,
petites entreprises :Sage, Intuit, ACCPAC, NetSuite.
Taille du marché français des ERP en 2004 : 3,4 Milliards dEuros
Les principaux acteurs du marché ERP en France :
�
�
Rq : en décembre 2004, Oracle a racheté PeopleSoft pour 10 milliards de $
Les tendances du marché ERP en France :
� (Source : IDC, 2004)
�
Introduction à SAP
SAP : signification ?
Système
Application
Produit
SAP : créé en Allemagne à Walldorf en 1972
SAP : leader mondial des ERP*
12 millions dutilisateurs dans plus de 50 pays
91 500 installations
1500 partenaires
Les chiffres clés du CA mondial de SAP en 2004
�
�
Le produit SAP
Original product was SAP R/2 on the mainframe introduced in 1974
SAP R/3 introduced for smaller platforms using 3-tier architecture in October 1992
SAP code is written in a proprietary fourth generation (4GL) programming language developed by SAP known as Advanced Business Application Programming or ABAP/4
SAP has bought other software companies to supplement its own, e.g. HR module was not originally SAPs
Les versions SAP
2.2h 1970s, 1980s
3.0d, 3.0e, 3.0f 1996/1997
3.1g, 3.1h, 3,1i1997/1998
4.0b1998
4.5a,b1999
4.6a,b,c2000/2001
4.70 (Enterprise)2004
Les versions non maintenues par SAP : jusquà la 4.0b => risque pour le client
Larchitecture du système SAP
�
�
La structure modulaire de SAP
Les modules SAP
Le module Finance (FI)
General Ledger (FI-GL)
Accounts Receivable (FI-AR)
Accounts Payable (FI-AP)
Tax and Financial Reports
Special Purpose Ledger
Special Purpose Ledger
Legal Consolidations
Financial Applications
Le module Contrôle de Gestion (CO)
Cost Center Accounting
Profit Center Accounting
Product Cost Controlling
Profitability Analysis
Activity Cost Management
Internal Orders
Financial Applications
Le module Gestion des Immobilisation (FI-AA)
Depreciation
Property Values
Insurance Policies
Capital Investment Grants
Financial Applications
Le module Gestion des Achats (MM)
Procurement
Inventory Management
Vendor Evaluation
Invoice Verification
Warehouse Management
Logistics Applications
Le module Gestion de la Production (PP)
Sales & Operations Planning
Demand Management
Material Requirements Planning
Production Activity Control
Capacity Planning
Logistics Applications
Le module Gestion des Ventes (SD)
Quotations
Sales Order Management
Pricing
Delivery
Invoicing
Logistics Applications
Le module Gestion des Ressources Humaines (HR)
Personnel Administration
Payroll, Benefits
Time Management
Planning and Development
Organisation Management
Human Resources
Impacts des ERP sur les risques liés au SI
Facteurs de risques aggravés en environnement intégré:
Traitements basés sur des données fondamentales erronées (tarifs, conditions de paiement
)
Partage en temps réel dinformations erronées (niveau de stock, encours des projets dinvestissement
)
Accès illicite à des informations confidentielles ou à des transactions sensibles
Absence de séparation de fonctions
Manque de fiabilité des traitements automatisés
Utilisation non adéquate du système
Contournement des contrôles programmés
Effet «boîte noire»
Organisation, processus, rôles
�
Les contrôles se transforment et se déplacent
Le découpage en processus est défini par lERP
Les contrôles au sein des programmes sont de plusieurs types :
Contrôles inhérents
Contrôles paramétrés
Séparation des fonctions
Etats dexceptions/KPI
�
Il existe souvent un Core Model, décliné (adapté) ensuite localement
Lapproche spécifique daudit des ERP
Les missions daudit en environnement ERP doivent inclure :
Pour les revues de sécuritélogique :
Une revue détaillée des autorisations
Une revue de la correcte mise en oeuvre de la séparation des fonctions
Pour les revues de processus :
Une revue de la correcte implémentation des contrôles totalement automatisés (contrôles paramétrés)
Une revue de la correcte appréhension/réalisation par les utilisateurs des contrôles partiellement automatisés (revue détats danomalies)
4 pavés :
�
Revue autorisations & séparation des fonctions
Objectif : couvrir les risques de diffusion dinformations confidentielles et daccès à des transactions critiques
Lévaluation des contrôles mis en place pour assurer la sécurisation des actifs et le respect de la confidentialité des informations les plus sensibles au sein de SAP se déroule en 3 étapes :
analyse de la politique générale de sécurité logique et des procédures sous-jacentes de gestion
analyse des accès aux fonctionnalités SAP les plus critiques au regard des définitions de poste des utilisateurs concernés
revue des risques de non séparation des fonctions au sein du système dinformation (par exemple, utilisateurs pouvant créer un fournisseur, créer une facture et déclencher le paiement)
Les fondamentaux de la sécurité:
Plusieurs sociétés
Plusieurs organisations commerciales, sites de production
Plusieurs milliers de transactions en standard
Plusieurs milliers dutilisateurs
Plusieurs environnements
Plusieurs millions de combinaisons possibles
�Concept complexe et difficile à maintenir et auditer
Pour quun utilisateur puisse réaliser une opération, il doit avoir accès à lensemble des objets requis par la transaction associée :
Ce concept est répété pour plus de 8000 transactions avec environ 600 objets de sécurité contrôlés
Définition dun référentiel de séparation des fonctions adapté à lentité et au système SAP
Réalisation des tests, quel que soit loutil utilisé, par ou avec lassistance dune personne disposant des compétences techniques adéquates
�
�
Il existe de nombreux outils permettant dauditer les autorisations et la séparation des fonctions en environnement SAP.
Le module «Audit Information System (AIS)»de SAP
Et des outils du marché:
Virsa: «SAP® Compliance Suite ®»
CSI : «CSI Authorization Auditor®»
Bindview: «bv-Control® for SAP®»
Approva: «BizRights ®»
�
Remote security monitoring
OBJECTIFS
Permettre un monitoring continue du niveau de sécurité dun système SAP grâce à un dispositif de contrôle récurrent
Satisfaire aux nouvelles obligations en matière de contrôle interne en évaluant les sécurités SAP au niveau Groupe
Réduire la charge de testing dun groupe soumis aux obligations Sarbanes-Oxley 404 grâce à la réalisation au niveau Groupe de tests automatisés avec participation limitée des filiales
Mettre à disposition des «security officers SAP» un moyen de pilotage et de contrôle fiable et simple à utiliser
�
�Définition du scope des revues
Scoping des entités / sociétés
Sélection des (sous-)processus critiques à tester
Définition de la fréquence des revues
Analyse du système SAP
Identification des transactions utilisées et/ou utilisables (par sous-processus)
Définition du niveau de détail des tests (transactions ou objets)
Définition des critères de test par transaction
�Testingsuivant une fréquence à définir :
Extraction des tables de sécurité SAP
Traitement de ces données à laide dun des outils du marché
Création dun matrice de droits daccès par entité
Identification par les security officers de chacune des entités, des accès non justifiés par user
�
Évaluation des résultats obtenus
Calcul de KPI sécurité aux niveaux entité et Groupe
Identification des Best in class au sein du Groupe
Suivi de lévolution des résultats période après période
Reporting
Formalisation dun rapport synthétique par entité
Reporting graphique pour le Groupe / Comité dAudit
�
�
Evaluation de la fiabilité des processus
OBJECTIFS
Identifier et tester lensemble des contrôles clés dun processus et notamment ceux automatisé
Augmenter la pertinence des tests réalisés en sappuyant sur le système et les contrôles paramétrés
Augmenter le degré de précision des tests grâce à des populations de test plus larges (exhaustive)
Gagner en efficacité grâce à lautomatisation des tests
Exemples de contrôles
Global system settings�Les structures organisationnelles (sociétés, controlling area, organisation dachat, usines, divisions
) ont été définies de manière à refléter lorganisation du Groupe���Le log des modifications sur les tables sensibles a été activé��Achats�Des champs sensibles ont été définis sur les fiches fournisseurs requérant une validation par une tierce personne pour toute modification���Le flag « Contrôle des factures en doublons » est actif pour tous les groupes de fournisseurs���Les tolérances lors du contrôle facture ont été paramétrées de manière à blouer au paiement toute facture au-delà dun écart de prix de +2%���Les stratégies de validation paramétrées sur les demandes dachat et les commandes respectent la délégation de pouvoirs en vigueur���Les structures décran définissant les champs obligatoires à la saisie des demandes dachat / commandes ont été définis et adaptés pour les différents types de pièce en fonction des diverses typologies / scénarios dachat��
Exemples de contrôles
Achats�Sur une commande, les champs X, Y, Z sont hérités de la demande dachat et ne sont pas modifiables���Les tolérances sur les réceptions ont été paramétrées de manière à bloquer toute entrée de marchandise avec un écart de +5% sur la quantité commandée���Les conditions de paiement ne sont pas modifiables sur la facture fournisseur���Les factures FI (sans engagement) sont systématiquement bloquées au paiement���Les avoirs sont paramétrés de telle sorte que la référence à la facture dorigine est obligatoire��Ventes�Le paramétrage requiert quune expédition ait été réalisée avant tout émission de facture���Les fonctionnalités de relance automatique ont été activées dans SAP���Des limités de crédit ont été paramétrées pour lensemble des clients. Le système bloque toute commande au-delà des limites de crédit paramétrées��
Exemples de contrôles
Stocks�Le code mouvement 561 permettant de modifier directement la valeur des articles en stock est bloqué.���Les stocks négatifs ne sont pas autorisés.��Immobilisations�Les modes et les durées damortissement ont été paramétrés sur les différents tableaux dévaluation en fonction des règles Groupe et ne peuvent pas être modifiés sur la fiche immobilisations��Comptabilité�Les comptes alimentés par les comptabilités auxiliaires Clients, Fournisseurs, Immobilisations ont été définis en tant que compte de réconciliation���Les comptes alimentés par des processus automatisés ont été définis comme tel en vue de bloquer toute imputation manuelle��
LA DEMARCHE
Les processus étant standardisés, la majorité des contrôles est connue, et le temps nécessaire à leur identification réduit de manière très significative
La phase de préparation de la mission daudit peut être renforcée par :
Une analyse du système SAP
Le lancement détats dexceptions
Des extractions de données et réalisation de requêtes
et ainsi permettre de concentrer le temps dintervention terrain sur lanalyse de résultats de tests
Nécessité dintégrer dans léquipe daudit des auditeurs spécialisés ERP
Les données étant structurées en tables dans les ERP, de nombreux tests peuvent être réalisés à partir dextractions de données puis retraitements et requêtes (SQL, Access, IDEA
)
Ex : tables SAP relatives aux commandes dachats
�
AUGMENTER LA PERTINENCE DES TESTS
Diminution du nombre de tests réalisés par échantillonnage au profit de tests réalisés sur des bases exhaustives. Exemple :
lexistence dune commande pour chaque facture fournisseur peut être vérifiée par échantillonnage et retour aux pièces justificatives
mais aussi àlaide de requêtes SAP sur une base exhaustive.
La connaissance technique de SAP permet dévaluer des contrôles critiques programmés au sein de lERP. Exemple :
lefficacité du «3-way match»(rapprochement commande / réception et facture fournisseur) peut être évaluée suite à une revue du paramétrage SAP (clés de tolérances entre autres) et à lanalyse détats dexceptions produits à laide de queries (factures pour lesquelles le «3-way match»a été contourné).
GAGNER EN EFFICACITE
Lauditeur a accès de manière «immédiate»aux informations qui lui sont nécessaires
Automatisation des tests auparavant réalisés manuellement :
Recherche des factures fournisseurs saisies/payées en double
Validation par un niveau hiérarchique adéquat des engagements de dépenses
Cohérence entre les délais de paiement indiqués sur les factures clients et les délais de paiement enregistrés dans les «master data»
Validation de la provision pour factures à recevoir
Capitalisation des «outils/requêtes»de tests créés lors dun premier audit
Mise en place et utilisation dindicateurs de performance du contrôle interne automatiquement calculés dans SAP (utilisables lors des phases de scoping et/ou de testing)
Les outils pour évaluer la fiabilité des processus
Le contrôle interne nétant pas une priorité pour les éditeurs de progiciels ni les intégrateurs, il existe sur le marché peu doutils référençant lensemble des points de contrôles existant dans les ERP (SAP, Oracle Applications, JD Edwards
)
Les cabinets daudit, de par leur expérience, ont pour la plupart développés des bases de connaissance en la matière.
Les méthodologies propriétaires des cabinets daudit
Les «Controls Catalogs»sont des référentiels de contrôles attendus en environnement ERP basés sur notre connaissance des faiblesses les plus fréquemment constatées, et des fonctionnalités de contrôle proposées en standard par les différents ERP.
Ces controls catalog sexistent pour les ERP suivants : SAP R/3, Oracle et JD Edwards.
Les méthodologies propriétaires des cabinets daudit
�
�
La valeur ajoutée
Avoir une vision complète et exacte des contrôles au sein des processus
Permettre une couverture plus large des risques
Être capable de proposer des recommandations précises grâce àla connaissance technique du système et des possibilités de contrôles quil offre
Identifier des axes doptimisation du contrôle interne
Augmenter le niveau dassurance et renforcer limage de lAudit Interne
�
KPI de monitoring du contrôle interne
La démarche KPI
La mise en place et le fonctionnement durable dun système se caractérise par la recherche :
Dun niveau dutilisation optimale
Tout en disposant dun niveau de fiabilité satisfaisant
�Le niveau dutilisation peut se mesurer à partir des volumes de transactions:
Les fonctions implémentées sont-elles utilisées ?
Le niveau de fiabilité peut se mesurer en suivant les erreurs et les rejets :
Les fonctions sont-elles utilisées correctement ?
Démarche de mise en uvre
Définition des objectifs (utilisation du système, fiabilité des processus, optimisation
)
Élaboration et tests des KPI en liaison avec le ROI attendu
Validation des KPI sur un Pilote
Élaboration dun Tableau de bord KPI
Les outils
Il existe de nombreux outils de type «contenant» permettant un monitoring à laide de KPIs à développer / renseigner mais peu avec du contenu
Les outils du marché:
Virsa Confident Compliance"!
KPMG Business Controls Monitor"!& Ces KPIs peuvent aussi faire l� objet de développements spécifiques (mais nécessite des compétences techniques très poussées) :
Le module AIS de SAP regroupe un certain nombre d� états d� exception pouvant servir de base à l� élaboration de tels KPIs
Lorsquil est implémenté le module BW offre des possibilités de reporting
Multiples
Exemple dautomatisation des KPI
�
Exemples de flux SAP
Sous-processus du processus Achats
�
Procédures de tests
A1�Risque�Des paiements sont effectués à des fournisseurs non autorisés selon les règles de société���Objectif de contrôle�Lutilisation du code fournisseur générique (#999) est limitée aux achats ponctuels (Ù5�6�\�]���h��@��hö�*��h�á��h^W��h�á�h�á5�6�\�]���h�á5�6�\�]���hê< ��hC�x��h³����h��Ü��h¼o��hø Ô��h¶�}��h^@ã�hê< 5�6�\�]���h^@ã5�6�\�]���hÊ �hP�5�\���hÊ 5�\���hÍ�Ý��h
?��h
?�H*���h
?���h:~���hO}9��hÍ�Ý�hÍ�Ý5�6�\�]�%Õ�`�Ñ�í�>�Ì�O�P�d�}���©�·�Ò�ã�ñ�����*�V�l��ôôéÞÞÞÖÖÖËËËËËËËËË¿¿ËË��$��h�^h�a$�gd¼o��$�
&�F�a$�gd¶�}��$�a$�gdê< ��$�
&��F�a$�gd
?���$�
&�F�a$�gdO}9��$�
&��F�a$�gdO}9��¢�µ�È�É�à�õ�����'�8�D�Y�h�z���ª�Å�Ó�ê�ø���'�óèèàààÕÊÊÊÊÕÊÊÊÊÕÊÊÊÊÕÊ��$�
&��F�a$�gd^W��$�
&�F�a$�gd^W��$�a$�gdê< ��$�
&�F�a$�gd¶�}��$��h�^h�a$�gdC�x�'�N�`�a�{���©�·�È�×�ç�ø� ���-�C�X�s���¥���n�ôôìììáÖÖáÖÖÖáÖÖÖáÖÖììËË��$�
&�F�a$�gdJ>��$�
&��F�a$�gd��@��$�
&�F�a$�gd��@��$�a$�gdê< ��$�
&��F�a$�gd^W�¤�¥�����µ�¶�¹�Ú�Û�Ü�Ý�ô�õ�ö�÷�ø�ù�d�e�f�g�����¸�¹�Í�ö�÷�����Ö�×�*�óïëïçïãßÛÓÏÓ¿·Ó۳ߥß}yukuduyu`u��hø Ô��h×1Ë�h×1Ë��h×1Ë5�6�\�]���h×1Ë��hÙ����h��Å�hê< 5�6�\�]���h��Å5�6�\�]���hÊ �hê< 5�\���hÊ 5�\���j�hñk�U��mH�nH�u����h&�ª��j �h&�ªU����j�hppaU��_HT�mH�nH�u����hppa��j�hppaU����hÒ8
��hM'ª��h_D|��h�ö��hö�*��hJ>Ù��hJ>Ù�hJ>Ù5�6�\�]�"n�
�¡�²�¸�¹�Û�Ü�ù�e�g����Å�×�õ��� �5�\���«�¸�ôôôôììììììììáÖÖáÖÖáÖÖáÖÖ��$�
&��F�a$�gd����$�
&�F�a$�gdÙ����$�a$�gdê< ��$�
&��F�a$�gdJ>Ù�¸�¹�Í�÷���>�W��±�×�ô���)�*�A�a��³�Ë�Ö�à���÷÷÷ìááááÙÎÎÎÙÙÙÃø¸¸Ã��$�
&��F�a$�gdÄJj��$�
&�F�a$�gdÄJj��$�
&�F�a$�gd×1Ë��$�a$�gdê< ��$�
&��F�a$�gd×1Ë��$�
&�F�a$�gdÙ����$�a$�gd×1Ë�*�@�A�a���)�*�J�}�¢�±�Ï�è�ð�'�(�)�6�7�U�V�� � 3 g ¤ ¥ ¸ ¹ Ð Ñ Ô!Õ!î!ï!""#"¦"Ý"*#öéåáåáåáÝáÙÕÙÕÑÙÍÀ³¯Í¯Í¯«¯Í¡~qmmim��h7W��hÍ ��h_/ö�h?#ô5�6�\�]���h_/ö5�6�\�]���h?#ô��hßWw��hfVz��hfVz�hßWw5�6�\�]���hfVz5�6�\�]���hÌ1è��h¥�H��hõ�c�hÄ�?{??Ä?Å?/@®@Î@ê@*A¨A�BBBB¸B¹BðB%C@CóèóèèàÕÕÕÊÊÊÊÊààà··��$�
&�F�a$�gdèHÒ��$�a$�gdr@"��$�
&��F�a$�gd·���$�
&�F�a$�gdf@��$�a$�gdê< ��$�
&�F�a$�gdc3���$��Ä�^Ä�a$�gdd?dyd{ddddd dÕdùd�e eýeþeafcfïfðfÿf�g#g$g~gg¼gègégHhIhhhùõùõùîùõùîùõùçàÖçÌ¿»°¨°¡»¡»¡»¡xq��h\Cå�h5ué��hÞ/�h\CåmH �sH ���h\Cå��h\Cå�h\Cå��h\CåmH �sH ���h¹c}�h\CåmH �sH ���h�¶�h�¶��h�¶mH �sH ���h�¶�h�¶mH �sH ���h�¶��h�¶�h5ué5�6�\�]���h�¶5�6�\�]���hÒvÑ�h5ué5�\���hÒvÑ5�\���hÞ/�h5ué��h�vÓ�h�vÓ��h�vÓ��hÞ/�h�vÓ*ScTcUcÛcth��$��$�If�a$�gd�vÓ��$��$�If�a$�gdê< kdA,��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�yt@BÕ�ÛcÜcÝcxdth��$��$�If�a$�gd�vÓ��$��$�If�a$�gdê< kd®,��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�yt@BÕ�xdydzd{ddd d¦d»dxxxxxll��$��$�If�a$�gdX8���$�a$�gdê< kd�-��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�yt@BÕ�»d¼dÓdÔdtt��$��$�If�a$�gdX8�kd-��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü#�D
��
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytX8��ÔdÕd e�e8ee¡e�fthhhhh��$��$�If�a$�gd�¶��$��$�If�a$�gdX8�kdû-��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü#�D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytX8���f�f�ffþf~rff��$��$�If�a$�gd�¶��$��$�If�a$�gdX8�kdn.��$��$�If��F�4��Ö��������������&��Ö0�ÿØ Ü#à�D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytX8��þfÿf$g»g~rf��$��$�If�a$�gd\Cå��$��$�If�a$�gdX8�kdå.��$��$�If��F�4��Ö��������������&��Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytX8��»g¼géghsg��$��$�If�a$�gd\Cå��$��$�If�a$�gdX8�kdV/��$��$�If��F�Ö��������������&��Ö0�ÿØ Ü#�D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytX8��hhhh©hªhÔhúhIi^i|iiiwwwwwllllll��$�
&�F�a$�gdb��$�a$�gdê< kdÅ/��$��$�If��F�Ö��������������¢��Ö0�ÿØ Ü#�D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�yt\Cå�hh¨h©hªhÓhÔh-i.i¨iªiÛiÜi'j(jukwk¨k©kÝlÞlyn{nnn²n³n½nüõëçÝÐÉÅÉÅ»®ª£zslh^TPLP��h¢�l��hó-à��h¤�85�6�\�]���h3y�5�6�\�]���h¤�8��h¤�8�h¤�8��h/}b�häi+��h/}b�h/}b��h/}b�h/}b5�6�\�]���h/}b5�6�\�]���hX8���hX8��hX8���hb�hü:º��hü:º��hü:º�hb5�6�\�]���hü:º5�6�\�]���hb��hb�hb��h*x¼�h�;C5�6�\�]���h*x¼5�6�\�]���h�;C��h 0�h�;C5�\���h 05�\���h5ué�ii©iªiÜi(jNjjÈjÓjõj�k@kLkekvkwk©kµkÈkØkôôìììáÖÖáÖÖÖËËËÃø��$�
&��F�a$�gd/}b��$�
&�F�a$�gd/}b��$�a$�gdX8���$�
&��F�a$�gdX8���$�
&��F�a$�gdX8���$�
&�F�a$�gdX8���$�a$�gdb��$�
&�F�a$�gdb�Øk�lSl«lÞlíl3momm´mÀmçmn
n*nWnzn{nnnnôôôéÞÓÓÓÓÞÓÈÈÓÓÓÀÀ´´��$��$�If�a$�gdÂ^��$�a$�gd¤�8��$�
&��F�a$�gd¤�8��$�
&��F�a$�gd¤�8��$�
&�F�a$�gd¤�8��$�
&��F�a$�gdäi+��$�
&��F�a$�gd/}b�n n»n¼ntt��$��$�If�a$�gdÂ^kd40��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü#�D
��
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�¼n½n�oÉoth��$��$�If�a$�gdÂ^��$��$�If�a$�gdÂ^kd§0��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü#�D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�½næn�o�oËo&p'ptpvpÐpÑp*q+qqq»q½q�r�rArCr¤r¥r�s�s�s�scsdsÄsÅsçsèsésêsDtEt¡t¢t£t¤t�u�u2u3u4u5uuuu u¡u¢uùuúu¼v½v¾v¿v�w�w1w2w3w4wwwÂwÃwÄwõíõéâéâéâéâéâéâéâéâéâéâéâéÚÏÈÄȽ¶¯ÈÄȽ¶¯ÈÄȽ¶¯ÈÄȽ¶¯ÈÄȽ¶¯ÈÄȽ¶¯ÈÄȽ¶��h�vÓ�hó-à��hÞ/�hó-à��hzi#�hó-à��hzi#��hzi#�hzi#��hÞ/�hó-àmH �sH ���hpMomH �sH ���hxÄ�hxÄ��hxÄ��hxÄmH �sH ���hó-à�hxÄmH �sH �EÉoÊoËotpth��$��$�If�a$�gdxÄ��$��$�If�a$�gdÂ^kd�1��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü#à�D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�tpupvp»qth��$��$�If�a$�gdxÄ��$��$�If�a$�gdÂ^kd1��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�»q¼q½qArth��$��$�If�a$�gdxÄ��$��$�If�a$�gdÂ^kdú1��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�ArBrCr�sth��$��$�If�a$�gdxÄ��$��$�If�a$�gdÂ^kdg2��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^��s�sdsèsth��$��$�If�a$�gdzi#��$��$�If�a$�gdÂ^kdÔ2��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�èsésês¢tth��$��$�If�a$�gdzi#��$��$�If�a$�gdÂ^kdG3��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü#à�D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�¢t£t¤t3uth��$��$�If�a$�gdzi#��$��$�If�a$�gdÂ^kdº3��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�3u4u5u uth��$��$�If�a$�gdzi#��$��$�If�a$�gdÂ^kd'4��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^� u¡u¢uNv}vv§v½vthhhhh��$��$�If�a$�gdzi#��$��$�If�a$�gdÂ^kd4��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�½v¾v¿v2wth��$��$�If�a$�gdzi#��$��$�If�a$�gdÂ^kd�5��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�2w3w4wÃwth��$��$�If�a$�gdzi#��$��$�If�a$�gdÂ^kdn5��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�ÃwÄwÅwuxth��$��$�If�a$�gdzi#��$��$�If�a$�gdÂ^kdÛ5��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�ÄwÅw#x$xuxvxxxxx§x¨xÞxßxy�yÕy÷yøy8z9z³z´zo{q{¡{¢{I~J~K~z~{~ùòîòçãÜÒÎÊÎÊÀ³¯¥vokg]P��hÜoô�hÜoô5�6�\�]���hÜoô5�6�\�]���hÜoô��h¢=S��h¢=S�h¢=S��hh?��h:v·5�6�\�]���hh?�5�6�\�]���h:v·��h:v·�h:v·��hon��hzÔ5�6�\�]���hon�5�6�\�]���hzÔ��hzÔ�h¤�85�6�\�]���hzÔ5�6�\�]���h¤�8��h^l��h�ê�h�ê5�\���h�ê5�\���hö,Ö��hÞ/�hzi#��hzi#��hzi#�hzi#��h�vÓ�hzi#�uxvxwxxxx¨x»xÞxßx�y�y~vvvkkkccX��$�
&�F�a$�gdzÔ��$�a$�gdê< ��$�
&�F�a$�gdê< ��$�a$�gd¤�8kdH6��$��$�If��F�4��Ö��������������ù��Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^
�y�y,yBy\yzyy£y³yÌyÔyÕyøyFz|zÁz÷z�{>{T{p{q{¢{ôôôôôéôôôôááÖËÖÖÖËËËÃÃ��$�a$�gd:v·��$�
&��F�a$�gd:v·��$�
&�F�a$�gd:v·��$�a$�gdê< ��$�
&�F�a$�gdz��$�
&��F�a$�gdzÔ�¢{Ì{�|?|}|§|ü|*}W}¨}Ê}û}$~J~K~{~~~Ã~Û~$¯%j²ôôôôôôôôôôôôôììááááááááááá��$�
&�F�a$�gdßG��$�a$�gdÜoô��$�
&�F�a$�gd¢=S�{~|}
�±²³»¼ç$%01BD º¼�� "½¿��deÄÅ�
�
�
g
h
����&pqrìíîKL
¤ýùõùõùõñçÚÖÎü¸¼¸¼¸¼¸¼¸¼¸¼¸¼¸¼¸¼¸¼¸¼¸¼±ª¼¸¼±Î¼£¼±ª¼±Î¼¸¼±��h%Ö�h�:ó��h�:ómH �sH ���h%Ö�hçm\��h�:ó�h%Ö��hÞ/�h%Ö��h%Ö��h%Ö�h%Ö��hó-à�h%ÖmH �sH ���h%ÖmH �sH ���h�:ó��hU*�h_�5�6�\�]���hU*5�6�\�]���h_���hßG��hßG�hßG:²³¼Â×Øåæ÷÷ëëlëëkd¹6��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü#�D
��
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^��$��$�If�a$�gdÂ^��$�a$�gd_��æç%çBthh��$��$�If�a$�gd%Ö��$��$�If�a$�gdÂ^kd,7��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü#�D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�BCDºth��$��$�If�a$�gd%Ö��$��$�If�a$�gdÂ^kd7��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü#à�D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�º»¼ th��$��$�If�a$�gd%Ö��$��$�If�a$�gdÂ^kd�8��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^� !"½th��$��$�If�a$�gd%Ö��$��$�If�a$�gdÂ^kd8��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�½¾¿dth��$��$�If�a$�gd%Ö��$��$�If�a$�gdÂ^kdì8��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�def�
th��$��$�If�a$�gd%Ö��$��$�If�a$�gdÂ^kdY9��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^��
�
�
É
�thh��$��$�If�a$�gd%Ö��$��$�If�a$�gdÂ^kdÌ9��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^����pth��$��$�If�a$�gd%Ö��$��$�If�a$�gdÂ^kd?:��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�pqrìth��$��$�If�a$�gd%Ö��$��$�If�a$�gdÂ^kd²:��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�ìíî
th��$��$�If�a$�gd%Ö��$��$�If�a$�gdÂ^kd%;��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�
¤cÆthh��$��$�If�a$�gd%Ö��$��$�If�a$�gdÂ^kd;��$��$�If��F�4��Ö��������������Ö0�ÿØ Ü# �D
���
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytÂ^�ýþ¼½ÆÇ#$HIJ¦§úû()×ØÙÚ45ÓÔÕÖ'()*¾¿ÀÁ��ôõ&'()luéê���!üõüõîõüõîçõüõîßÔÍüÍõîÆÍüÍüÍõîÆÍõîÆÍüÍõîÆÍüÍõîÆÍüÍõî¿Í¸ÍüÍüͱ¦��h�q^5�\���hU*��hÞ/�h%Ö��h%Ö�h{H��h�vÓ�h%Ö��h�vÓ�h�:ó��h%Ö�h%Ö��hÞ/�h�:ómH �sH ���h�:ómH �sH ���h�:ó�h�:ó��hÞ/�h�:ó��h%Ö�h�:ó��h%Ö>ÆÇÈHth��$��$�If�a$�gd%Ö��$��$�If�a$�gdÂ^kd���hU{� �hW½>*���hW½��hî�Õ�hb-�5�6�\�]���hî�Õ5�6�\�]���h§�=�h§�=5�\���h§�=5�\���h ub��h$Ü�h$Ü��h$Ü5�6�\�]���h$Ü��h+Þ��hí*���hì�Á��heq?5�6�\�]���hËRà��h�J��h;��hvZ���hsÔ��h{-N�h{-N5�6�\�]���h{-N5�6�\�]���h{-N��h*�# �h*�#>*�*�w��Ë��Ì��Í��â��|�������p����Ñ��$��%��0��1��R��i��j��s������Ò��û��
��ôôìììììááìááìììÙÙììÎÎÎÎÎ��$�
&�F�a$�gdO×��$�a$�gdU¼��$�
&�F�a$�gdìL±��$�a$�gdê< ��$�
&��F�a$�gd,�ö�%��/��0��1��Q��S��T��h��i��j��r��s��
����
�����������&��'������¯��¶��·��������|������¹��Ï��ôéåÚÒÚÒÈåÁ·³¯³¯¨¯ylh¯hdhdZ��hîl5�6�\�]���hîl��hU�P��h��¦�h �B �C �óóó)ÉkdH3��$��$�If��F�Ö��������������Ö�ÿ²�,�Ò�P�)�Ý%����z��¦��~��Ù��´�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�I&�6��ö��ö��Ö�ÿÿÿÿÿÿ�Ö�ÿÿÿÿÿÿ�Ö�ÿÿÿÿÿÿ�Ö�ÿÿÿÿÿÿ4Ö����4Ö��
�laö�yt#�Ì��$��$�If�a$�gd#�Ì�C �M �Q �U �Y �] �a �óóóóóó��$��$�If�a$�gd#�Ì�a �b �c � �5--��$�a$�gdê< Ékd�4��$��$�If��F�Ö��������������Ö�ÿ²�,�Ò�P�)�Ý%����z��¦��~��Ù��´�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�I&�6��ö��ö��Ö�ÿÿÿÿÿÿ�Ö�ÿÿÿÿÿÿ�Ö�ÿÿÿÿÿÿ�Ö�ÿÿÿÿÿÿ4Ö����4Ö��
�laö�yt#�Ì� �î �ø ��
�
��
��
�ôèèèèD£kdÂ4��$��$�If��F�Ö��������������Ö\���Ö�±�%�£ �Î��Û��t��~�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿÿÿ�Ö�ÿÿÿÿ�Ö�ÿÿÿÿ�Ö�ÿÿÿÿ4Ö����4Ö��
�laö�t�ytðGV��$��$�If�a$�gdcsÈ��$�
&�F�a$�gd¥sã��
��
��
��
�!
�"
�#
�$
�óóçóBóó¥kdX5��$��$�If��F�4��Ö��������������Ö\���Ö�±�%�£ à�Î�à�Û��t�à�~�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿÿÿ�Ö�ÿÿÿÿ�Ö�ÿÿÿÿ�Ö�ÿÿÿÿ4Ö����4Ö��
�laö�t�ytðGV��$��$�If�a$�gdcsÈ��$��$�If�a$�gdk-�$
�,
�5
�;
�B
�C
�óóóóç��$��$�If�a$�gdOC§��$��$�If�a$�gdk-�C
�D
�E
�!���$��$�If�a$�gdk-Þkd�6��$��$�If��F�4��Ö��������������Ö���Ö�±�!�â�U�%�£ �Î� �Û��p��Á��s��Ð� �~�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿÿÿÿÿÿ�Ö�ÿÿÿÿÿÿÿ�Ö�ÿÿÿÿÿÿÿ�Ö�ÿÿÿÿÿÿÿ4Ö����4Ö��
�laö�t�ytðGV�E
�F
�J
�N
�R
�V
�W
�óóóóóç��$��$�If�a$�gdOC§��$��$�If�a$�gdk-�W
�X
�Y
�!���$��h�^h�a$�gdOC§Þkdö6��$��$�If��F�4��Ö��������������Ö���Ö�±�!�â�U�%�£ �Î� �Û��p��Á��s��Ð� �~�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿÿÿÿÿÿ�Ö�ÿÿÿÿÿÿÿ�Ö�ÿÿÿÿÿÿÿ�Ö�ÿÿÿÿÿÿÿ4Ö����4Ö��
�laö�t�ytðGV�Y
�Z
�
�
�Æ
�î
�O��¹��º��Õ��à��ì��óèààÕÕÕÍÍÁÁ��$��$�If�a$�gd.ð��$�a$�gdJ���$�
&�F�a$�gd�(:��$�a$�gdê< ��$�
&�F�a$�gd¥sã��$��h�^h�a$�gdOC§�í
�î
�¹��º��Ô��Õ��í��ü��ý��P��R��¸���
��
�,
�-
�M
�N
�ï��ð��������������+��,��º��Ò��Ó��ä��å��0��g��}��¤��Â��ì��í��üøôêÝÙÕÙÕÙÕÑÙǺ¶²¶²«¡xkggcgcg_c��hQU��hP��h÷����h~3��hORp��h:Z���hbf��h�/¸��h«�ó�h�|&5�6�\�]���h«�ó5�6�\�]���hÔs¤��h'N��hc�(��hO�û��hH³�hJ�FJ�OJ�YJ�qJ�ôôôôôèÝÒÒÒÒÒÆÝ»»»»»¯��$��h�^h�a$�gd[Ä��$�
&��F�a$�gd,2��$��h�^h�a$�gdD��$�
&��F�a$�gdt=¬��$�
&�F�a$�gdWI´��$��h�^h�a$�gdÏ6Þ��$�
&��F�a$�gd6���qJ� J�¹J�ËJ�ÛJ�ôJ��K��K��K�IK�K�ÛK�BL�L�·L�çL��M�2M�FM�GM�fM�hM�ôéééééÝÕÕÊ¿¿¿¿¿¿¿¿·ÊÕ��$�a$�gdH_���$�
&��F�a$�gdVV®��$�
&�F�a$�gdVV®��$�a$�gd)�ï��$��h�^h�a$�gd(=è��$�
&��F�a$�gd�b]��$�
&�F�a$�gdWI´�fM�gM�hM�iM�M�M�ÇM�_N�`N�aN�¥N�¦N�§N�ÍN�-O�.O�SO�TO�O�O�¹O�ºO��P��P�ªP�³P�´P�µP�·P�åP�æP�=Q�>Q�ÌQ�ÍQ�ER�FR�xR�yR�óR�ôR�®S�ÎS�ÏS�áS�ôíéåéáÝÒËÇÿ¸±±±±±±©¿©|||||uqu��h¥aO��h¥aO�h¥aO��hI'��hI'�hI'��h}O�h� 5�6�\�]���h}O5�6�\�]���jc��h� �h� U����h� ��h°M5��h°M5�h°M5��hÃeQ5�\���hÃeQ��h�b]��h^ä��h^ä�h^ä��j¶_��h^ä�h^äU����hr�J��hVV®��h���h¶l���h�?�h¶l���j���h�?�h�?U��,hM�iM�M�ÇM��N��N�/N�HN�_N�aN�¦N�§N�ÍN� O�.O�TO�O�ºO��P�©P�÷ìììááááÙÎÆƾ³¨¨³¨¨��$�
&��F�a$�gd°M5��$�
&�F�a$�gd°M5��$�a$�gd°M5��$�a$�gdÃeQ��$�
&�F�a$�gdWI´��$�a$�gd^ä��$�
&��F�a$�gdr�J��$�
&�F�a$�gdVV®��$�a$�gd)�ï�©P�ªP�´P�¶P�·P�æP�YQ��R�yR�ôR�S�®S�ÏS�âS��T�LT�nT�T�´T�êT�ëT�rU�ÖU�÷ïïïïççÜÜÜçÔÉÉÉÉɾ¾ïïï��$�
&�F�a$�gdÂAG��$�
&�F�a$�gd¥aO��$�a$�gd¥aO��$�
&�F�a$�gdI'��$�a$�gdI'��$�a$�gdÃeQ��$�a$�gd°M5�áS�âS��T��T�KT�LT�mT�nT�T�T�³T�´T�µT�êT�ëT�rU�ÖU�×U�2V�3V�¿V�ÂV�ÃV�ÅV�ÆV�ÇV�ÈV�W�W�¢W�£W�«W�¬W�ÄW�ÅW�ÎW�ÏW�åW�æW�ïW�ðW��X��X��X��X� X�üõüõüõüõüõñãÛ×ÓÏËÇËÿ´¿©¢¿xt��hÕ1���hï�mH �sH ���hb#ÒmH �sH ���hï��hï�mH �sH ���hï���hb#Ò��hï��hï���hÞ�~�h-],��js �hÞ�~�hÞ�~U����jg
�h-],�h-],U����h-],��h´�Û��hs�Ô��hT���hbaÂ��h´z2��h¸
¿��hê+r�h¥aO>*���j�hT�U��mH�nH�u����hÂAG��h¥aO�h¥aO��h¥aO-ÖU�×U�3V�ÀV�ÁV�ÂV�ÄV�ÅV�ÇV�ÈV�AW�rW�W�¬W�ÏW�ðW��X� X�
X��X�
X�(X�2X�¦X��Y�÷÷÷÷÷÷÷÷÷ïïïäääääïïïïÜÑÑ��$�
&�F�a$�gdw���$�a$�gdw���$�
&�F�a$�gdï���$�a$�gdï���$�a$�gdÃeQ� X�
X��X�
X�'X�(X�2X�hX�iX�X�X�¥X�¦X��Y��Y�5Y�6Y�sY�tY�ÐY�ÑY�ÙY�ÚY�óY�ôY�üY�ýY��Z��Z�8Z�9Z�BZ�CZ�DZ�EZ�FZ�GZ�HZ�
Z�Z�°Z�±Z�·Z�¸Z�F[�G[�[�[�º[�»[�¼[�üñíãÔÌÅÁÅÁÅÁÅÁÅÁÅÁÅÁŽŽŽŽŽŹ®Á¹¥��h1z��h^}���h^}��h^}���j�h±}§U��mH�nH�u����h^}��h^}�aJ(��j~�
�h¨#å�h¨#åU����h¨#å��h¾?ù��hw�Õ��hw�Õ�hw�Õ��hw�Õ�hw�Õ>*���hùzn�h£Q÷5�6�\�]�aJ(��hùzn5�6�\�]���h£Q÷��j¨ �h£Q÷�h£Q÷U����hï�2�Y�ÑY�BZ�CZ�EZ�FZ�GZ�gZ�Z�¸Z�ÞZ�ßZ�öZ�G[�[�¹[�º[�»[�æ[��\�I\�|\�Þ\�ôôììììäÙÙÙääÙÙÙäÑɾ¾¾¾��$�
&�F�a$�gd
"°��$�a$�gd
"°��$�a$�gdÃeQ��$�
&�F�a$�gd^}���$�a$�gd^}���$�a$�gdw���$�
&�F�a$�gdw�Õ�¼[�Û[�Ü[��\��\��\��\�'\�(\�H\�I\�{\�|\�\�\�¤\�¥\�Þ\�ß\��]��]�*]�+]�4]�5]�W]�X]�i]�j]�ß]�à]��^��^��^��^��^��^��^��^��^��^��^�E^�F^�®^�¯^��_��_�%_�&_�D_�E_�u_�ùõùõùñùõùñùñùõùõùãÜØÜØÜØÜØÜØÜÔÜÐÜǼظ´©¢´¢´¢´¢
¢
¢��h÷q��hz ��hé{`5�6�\�]�aJ(��hz �5�6�\�]���hüxÄ�hüxÄ��j�ß��hüxÄ�hüxÄU����hüxÄ��hé{`��j¨
�hé{`�hé{`U����hh¥�h±}§aJ(��h4bS��h¢�à��h±}§��h±}§�h±}§��j�hh¥U��mH�nH�u����h
"°��h4r)��h
"°�h
"°4Þ\�à\��]�5]�j]�£]�¤]�®]�à]��^��^��^��^��^��^��^��^�F^�P^�¯^��_�v_�®_�¯_�÷÷ììì÷÷áá÷ÙÙÙÙÙÙÙÑÆÆÆÆÑ��$�
&�F�a$�gdüxÄ��$�a$�gdüxÄ��$�a$�gd
"°��$�
&�F�a$�gd¢�à��$�
&�F�a$�gd±}§��$�a$�gd±}§�u_�v_�_�_�_�_�®_�¯_�Å_�Í`�Î`�¬c�c�Ãc�Êc�,d�/d�Xd�Yd�qd�rd�ºd�»d�Äd�Çd��e��e�ce�de�fe�¢e�£e�Çe�Èe�Ðe��f��f�)f�*f�,f�^f�_f�pf�qf�sf�f�f�âf�ãf��g��g��g��g��g�#g�$g�g�g�µg�·g�Æg�Çg�ög�÷g�
h�h�h�h�úh�ûh�üõñõñõüíéâéíÛ×Ð×Ð×Ð×Ð×Ð×Ð×ÐÉ×Ð×ÐÉ×Ð×ÐÉ×Ð×ÐÉ×É×É×Éמº¾º¾º¾º¾º¾º¾º³¯³¯��hsL��h/�hsL��h/��h/�h/��h�=��h
�6�hx?���hâ&�hx?���hx?���hâ&�hâ&��hu�A�hu�A��hu�A��h)\j��h÷q��hüxÄ�hüxÄ��hüxÄE¯_�Å_�Ü_�
`�`�`�Æ`�÷ëß`ßßkdÅV��$��$�If��F�4��Ö��������������Ö0�ÿb Ü#à�Î �z�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytu�A��$��$�If�a$�gdüxÄ��$��$�If�a$�gdu�A��$�a$�gdüxÄ�Æ`�Ç`�Î`�Xa�th��$��$�If�a$�gdüxÄ��$��$�If�a$�gdu�Akd8W��$��$�If��F�4��Ö��������������Ö0�ÿb Ü# �Î �z�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�yt®�ó�Xa�Ya�Za�¸a�tt��$��$�If�a$�gdüxÄkd¥W��$��$�If��F�4��Ö��������������Ö0�ÿb Ü#à�Î �z�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytu�A�¸a�¹a�ºa�Fb�tt��$��$�If�a$�gdüxÄkd�X��$��$�If��F�4��Ö��������������Ö0�ÿb Ü# �Î �z�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�yt®�ó�Fb�Gb�Hb�Ëb�tt��$��$�If�a$�gdüxÄkd
X��$��$�If��F�4��Ö��������������Ö0�ÿb Ü# �Î �z�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�yt®�ó�Ëb�Ìb�Íb�«c�tt��$��$�If�a$�gdüxÄkdòX��$��$�If��F�4��Ö��������������Ö0�ÿb Ü# �Î �z�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�yt®�ó�«c�¬c�c�Ãc�Êc�-d�xpdX��$��$�If�a$�gdÃeQ��$��$�If�a$�gdx?���$�a$�gdâ&��$�a$�gdüxÄkd_Y��$��$�If��F�4��Ö��������������Ö0�ÿb Ü# �Î �z�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�yt®�ó�-d�.d�/d�Åd�tt��$��$�If�a$�gdÃeQkdÌY��$��$�If��F�4��Ö��������������Ö0�ÿ�Ü#à�ë��]
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytx?��Åd�Æd�Çd��e�tt��$��$�If�a$�gdÃeQkd?Z��$��$�If��F�4��Ö��������������Ö0�ÿ�Ü# �ë��]
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytâ&��e��e��e�de�tt��$��$�If�a$�gdÃeQkd¬Z��$��$�If��F�4��Ö��������������Ö0�ÿ�Ü# �ë��]
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytâ&�de�ee�fe�Èe�tt��$��$�If�a$�gdÃeQkd�[��$��$�If��F�4��Ö��������������Ö0�ÿ�Ü# �ë��]
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytâ&�Èe�Ée�Ðe�*f�th��$��$�If�a$�gdÃeQ��$��$�If�a$�gdx?�kd[��$��$�If��F�4��Ö��������������Ö0�ÿ�Ü# �ë��]
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytâ&�*f�+f�,f�qf�tt��$��$�If�a$�gdÃeQkdó[��$��$�If��F�4��Ö��������������Ö0�ÿ�Ü#à�ë��]
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytx?��qf�rf�sf��g�tt��$��$�If�a$�gdÃeQkdf\��$��$�If��F�4��Ö��������������Ö0�ÿ�Ü# �ë��]
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytâ&��g��g��g��g�$g�g�xpdX��$��$�If�a$�gd/��$��$�If�a$�gd/��$�a$�gd/��$�a$�gdÃeQkdÓ\��$��$�If��F�4��Ö��������������Ö0�ÿ�Ü# �ë��]
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�ytâ&�g�g�g�¶g�tt��$��$�If�a$�gd/kd@]��$��$�If��F�4��Ö��������������Ö0�ÿ�Ü#à�ð��X�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�yt/�¶g�·g�Çg�h�th��$��$�If�a$�gd/��$��$�If�a$�gd/kd³]��$��$�If��F�4��Ö��������������Ö0�ÿ�Ü# �ð��X�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�yt/�h�h�h�(i�ui��$��$�If�a$�gd/��$��$�If�a$�gd/}kd ^��$��$�If��F�Ö��������������Ö0�ÿ�Ü#�ð��X�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�yt/�ûh�'i�)i�*i�ei�fi�£i�¤i�¥i�¦i�ài�ái��j��j�j�j�¯j�°j�Ñj�Òj�vk�wk�¶k�·k��l��l�kl�l�l�l�l�l�Åm�Æm�n�n�çn�èn�+o�,o�Uo�Vo�go�ho�o�o�£o�¤o�
p�p�Ïp�Ðp�Uq�Vq�q�q�nr�or�¥r�¦r�³r�´r�àr�ár�-s�.s�ùõùîõîùõêãßãßãßãßãßãßãßØÔØÐÔżµ®ª®ª®ª®ª®ª®ª®ª®¦®ª®ª®ª®ª®ª®ª®ª®ª®ª��hHT��hÉÓ��hÉÓ�hHT��h/�h/��hó9,�hó9,aJ(��jq_��hó9,�hó9,U����hó9,��hôR���hôR��hôR���hJ^���hJ^��hJ^���h/��hsL�hsL��hsL��h/�hsLA(i�)i�*i�¤i�th��$��$�If�a$�gd/��$��$�If�a$�gd/kd^��$��$�If��F�4��Ö��������������Ö0�ÿ�Ü#à�ð��X�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�yt/�¤i�¥i�¦i�§i�³i�Mj�j�°j�Òj��k�mk�¶k�xppppeeepp��$�
&�F�a$�gdJ^���$�a$�gdJ^���$�a$�gd/kdþ^��$��$�If��F�4��Ö��������������Ö0�ÿ�Ü# �ð��X�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö��6��ö��ö��Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ�Ö�ÿÿ4Ö����4Ö��
�laö�yt/�¶k�·k�kl�l�l�l� l�Âl�?m�Æm��n��n�un�¤o�¥o�ºo�
p�Ip�p�Ðp�Vq�q�q�×q�r�´r�÷ï÷÷÷çççÜÜççÜççççÜÜÜÜçççç��$�
&�F�a$�gdÉÓ��$�a$�gdÉÓ��$�a$�gdôR���$�a$�gd/�.s�§s�¨s�Rt�St�`t�at�Hu�Iu�]u�^u�u� u�Õu�Öu�Øu�Ùu�5v�6v�ev�fv�ôv�õv�+w�,w�uw�vw�xw�w�w�®w�¯w��x��x�.x�/x�Yx�Zx�fx�gx�hx�x�x�µx�¶x�çx�èx�þx�ÿx�5y�6y�gy�hy�|y�y�y�½y�¾y�Ûy�Üy��z��z�ùõùõùõùõùõùîùãùØùÔùÔùÔùÔùÉù¼ùµ±µ±µ±µ±µ±£µ±µ±µ±µ±µ±µõµ±µ±µ±µ±��hÉÓ�hP�?��j�hùKuU��mH�nH�u����hP�?��hÉÓ�hÉÓ��hP�?�hHT5�6�\�]���j�9��hÉÓ�hP�?U����h9_¶��j«v��hÉÓ�h9_¶U����jí
�hÉÓ�h9_¶U����hÉÓ�hsL��hÉÓ��hÉÓ�hHT=´r�¨s��t�St�Iu�u� u�Õu�×u�Øu�Úu�Ûu�Üu�îu�6v�fv�õv�,w�tw�uw�ww�xw�w�w�¯w��x�ôôìôôììììììììáôôôôììììììì��$�
&�F�a$�gd9_¶��$�a$�gdÉÓ��$�
&�F�a$�gdÉÓ��x�/x�gx�¶x�èx�6y�hy�y�Üy��z�9z�_z�`z�kz�ùz��{��|�B}��~�c~�d~�n~�o~�~�~�ôôìôìôäôôôôäääääÙÙÎäääää��$�
&�F�a$�gd
���$�
&�F�a$�gdçY��$�a$�gdÉÓ��$�a$�gdP�?��$�
&�F�a$�gdP�?��z�8z�9z�jz�kz�z�z�¶z�·z�Åz�Æz�Çz�Èz�øz�ùz��{��{��{��{��|��|�0|�2|�T|�V|�@}�B}�ú}�ü}��~��~�1~�2~�C~�c~�d~�m~�n~�~�~�~�~�~�~�©~�ª~�«~�Í~�Î~�Ï~�Ð~�Ñ~�Ò~�å~�æ~�|�ùõùñùñùñùñùñùñùñùñùñùñùñùñùñùñùñùíéùâùÞÓùÌÈÁ·³¯« «��h �ç��hý�æ��hEF%��h �ç�hºeæ��jÀ¹��h �ç�h �çU����hºeæ��hgh2��h�b]��hr)¥�h�=5�\���hr)¥5�\���h
�6��h
�6�h/��j_±��hÉÓ�hÉÓU����hÉÓ��hÉÓ�h/��hYSg��h
�Ä��hçY��hP�?��hÉÓ�hÉÓ7~�~�~�~�ª~�«~�Î~�Ð~�Ñ~�Ò~�æ~�é~�ð~�J�÷ïççßßßßßßÓÓÇ��$��$�If�a$�gdWI´��$��$�If�a$�gdEF%��$�a$�gdWI´��$�a$�gdÃeQ��$�a$�gd
�6��$�a$�gdÉÓ
J�K�L�a���.�P�maUaUE��$�
&�F��$�If�a$�gd¸����$��$�If�a$�gdEF%��$��$�If�a$�gdWI´kd;b��$��$�If��F�4��Ö��������������ÖF�ÿ°�³�Ü#à�������)�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�H$�6��ö��ö��Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ4Ö����4Ö��
�laö�ytEF%�P�R�T�|�G;/��$��$�If�a$�gdEF%��$��$�If�a$�gdWI´¸kdÄb��$��$�If��F�4��Ö��������������Ör�ÿ°�³�=�M�Ü# �������������
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�H$�6��ö��ö��Ö�ÿÿÿÿÿ�Ö�ÿÿÿÿÿ�Ö�ÿÿÿÿÿ�Ö�ÿÿÿÿÿ4Ö����4Ö��
�laö�ytEF%�|�ú�ü�Ú�Ü�H�I������� ���µ�7�V�k�z�{����×�Ø�â�ã�
�!
�i
�j
�¼
�½
�î
�ï
�7�8�f�g� �"�,����ù�ú�
���-�.�M�N�c�ä�å�±�²�E�ùõùõùõùõùõñêñõãßõãßãõñØÔØÔØÔØÔØÔØÔØÔØÔØñÐÉÐÅÉÅÁŽŽÅж²¶¶%�hÊQ×�hÊQ×B*�OJ�QJ�^J�_HT�ph��hÊQ×��hÊQ×�hÊQ×��h2WÊ��hx-ê��hTT��h2WÊ�h2WÊ��h�b?��h�|��h«3B�h�|��h�U���h�U��h�U���h�É�h�É��h>î��hEF%��h�[¼�hEF%:|�ü�Ü�I�������ïïïßMA��$��$�If�a$�gdEF%kdc��$��$�If��F�4��Ö��������������ÖF�ÿ°�³�Ü# �������)�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�H$�6��ö��ö��Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ4Ö����4Ö��
�laö�ytEF%��$�
&�F��$�If�a$�gdWI´��$�
&�F��$�If�a$�gdÉrí��� ��� �µ�W�k�óçUIóçI��$��$�If�a$�gdEF%kd�d��$��$�If��F�4��Ö��������������ÖF�ÿ°�³�Ü#à�������)�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�H$�6��ö��ö��Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ4Ö����4Ö��
�laö�yt_�2��$��$�If�a$�gdWI´��$��$�If�a$�gd_�2�k�{���ïß'¸kdd��$��$�If��F�4��Ö��������������Ör�ÿ°�³�=�M�Ü# �������������
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�H$�6��ö��ö��Ö�ÿÿÿÿÿ�Ö�ÿÿÿÿÿ�Ö�ÿÿÿÿÿ�Ö�ÿÿÿÿÿ4Ö����4Ö��
�laö�ytEF%��$�
&�F��$�If�a$�gdWI´��$�
&�F��$�If�a$�gd�U�����j
�½
�g�!�óç×××Ç��$�
&�F��$�If�a$�gdWI´��$�
&�F��$�If�a$�gd�|��$��$�If�a$�gd_�2��$��$�If�a$�gdEF%�!�"�%�,��maUI��$��$�If�a$�gdWI´��$��$�If�a$�gd_�2��$��$�If�a$�gdTTkdLe��$��$�If��F�4��Ö��������������ÖF�ÿ°�³�Ü# �������)�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�H$�6��ö��ö��Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ4Ö����4Ö��
�laö�yt_�2�����ú���.�maUaI9��$�
&�F��$�If�a$�gd2WÊ��$��$�If�a$�gdx-ê��$��$�If�a$�gd_�2��$��$�If�a$�gdWI´kdÕe��$��$�If��F�4��Ö��������������ÖF�ÿ°�³�Ü#à�������)�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�H$�6��ö��ö��Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ4Ö����4Ö��
�laö�yt_�2�.�M�N�O�ï7+��$��$�If�a$�gdWI´¸kd^f��$��$�If��F�4��Ö��������������Ör�ÿ°�³�=�M�Ü# �������������
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�H$�6��ö��ö��Ö�ÿÿÿÿÿ�Ö�ÿÿÿÿÿ�Ö�ÿÿÿÿÿ�Ö�ÿÿÿÿÿ4Ö����4Ö��
�laö�ytx-ê��$�
&�F��$�If�a$�gd2WÊ�O�c�å�²�F�G�H�óããÓA9��$�a$�gdWI´kd�g��$��$�If��F�4��Ö��������������ÖF�ÿ°�³�Ü# �������)�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�H$�6��ö��ö��Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ4Ö����4Ö��
�laö�yt_�2��$�
&�F��$�If�a$�gdWI´��$�
&�F��$�If�a$�gdÊQ×��$��$�If�a$�gd_�2�E�F�G�H�u�v�Ñ��£�ù�ú�'�(�=�@�A�P�Q�R�T�i�j�l�5�7��� �¡�«�¬��Í�Ï�Ð���ìèáÝÙÝÕÑÕÑÕÍÕÉÅÉÑÁÑÕÁÕ½µ½Ý¢{php`��*��h©u5�\���*��hw�x5�\���*��hÍ-³�hw�x5�\���hÊ7Î��håx�hÊQ×B*�phÿ��håx�hÊ7ÎB*�phÿ��hÊQ×�hÊQ×OJ�QJ�_HT�%�hÊQ×�hÊQ×B*�OJ�QJ�^J�_HT�ph��hJyR�hJyR>*���hJyR��häT¦��h3���hw����hxÛ��h$�"��h¦0¡��hWZn��h¤&&��hWZn�h¸����h�b?%�hÊQ×�h�b?B*�OJ�QJ�^J�_HT�ph#H�v�y��á�â�ã�ø�¢�÷ëëßMßëßkd¢g��$��$�If��F�4��Ö��������������ÖF�ÿ
�
�Ü#à�v�����Ï�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�H$�6��ö��ö��Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ4Ö����4Ö��
�laö�yt¦0¡��$��$�If�a$�gd_�2��$��$�If�a$�gd_�2��$�a$�gdWI´�¢�¶�¸�¹�º�Î�óó;/ó��$��$�If�a$�gd_�2¸kd+h��$��$�If��F�4��Ö��������������Ör�ÿ
�
�{��Ü# �v�����n�����Q�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�H$�6��ö��ö��Ö�ÿÿÿÿÿ�Ö�ÿÿÿÿÿ�Ö�ÿÿÿÿÿ�Ö�ÿÿÿÿÿ4Ö����4Ö��
�laö�yt¦0¡��$��$�If�a$�gd_�2�Î�Ð�Ñ�Õ�Ü��óaUóI��$��$�If�a$�gd_�2��$��$�If�a$�gd$�"kdæh��$��$�If��F�4��Ö��������������ÖF�ÿ
�
�Ü# �v�����Ï�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�H$�6��ö��ö��Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ4Ö����4Ö��
�laö�yt¦0¡��$��$�If�a$�gd_�2����£�ú�=�Q�maUEE9��$��$�If�a$�gd3���$�
&�F��$�If�a$�gd¦0¡��$��$�If�a$�gd_�2��$��$�If�a$�gd_�2kdoi��$��$�If��F�4��Ö��������������ÖF�ÿ
�
�Ü#à�v�����Ï�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�H$�6��ö��ö��Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ4Ö����4Ö��
�laö�yt¦0¡�Q�S�T�U�ó;/��$��$�If�a$�gd_�2¸kdøi��$��$�If��F�4��Ö��������������Ör�ÿ
�
�{��Ü# �v�����n�����Q�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�H$�6��ö��ö��Ö�ÿÿÿÿÿ�Ö�ÿÿÿÿÿ�Ö�ÿÿÿÿÿ�Ö�ÿÿÿÿÿ4Ö����4Ö��
�laö�ytäT¦��$��$�If�a$�gdäT¦�U�i�k�l�p�w�Ü�óçUóóI��$��$�If�a$�gd_�2kd³j��$��$�If��F�4��Ö��������������ÖF�ÿ
�
�Ü# �v�����Ï�
t¿�Ö0ÿ��ÿ��ÿ��ÿ��ÿ��ÿ���ö�H$�6��ö��ö��Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ�Ö�ÿÿÿ4Ö����4Ö��
�laö�ytäT¦��$��$�If�a$�gdäT¦��$��$�If�a$�gd_�2�Ü�Ý�Þ�ó�o��
�maUIUU��$��$�If�a$�gdJyR��$��$�If�a$�gd_�2��$��$�If�a$�gd_�2kdaö��hvh{�h>aö5�\���hvh{�h�È5�\���h¥��h¥�5�\���h¥��h�È5�\���h�È��h�©��h¥���hÓ&~��h{���h�È�h�È��hÜw!G$¨�e¨�{¨�¨�ø¨��©��©�A©�T©�k©�·©�¸©�á©�â©��ª�_ª�Ū�êª��«�=«�j«�«�«�¸«�ôéééééééééááááÖËËËËËËËË��$�
&�F�a$�gd���$�
&�F�a$�gd>aö��$�a$�gd�È��$�
&��F�a$�gd���$�
&��F�a$�gd¥��ÿ©�^ª�_ª�Ī�Ū�éª�êª��«��«�aö��h�È�h�ÈG¸«�î«��¬�,¬�-¬�.¬�I¬�j¬�l¬�m¬�µ¬�¶¬�Û¬���I��ë�í�î��®�@®�B®�C®�k®�ôôôììììììììììØØØììììììì��$�
&��F�
�� ������^�a$�gd�i��$�a$�gd���$�
&�F�a$�gd�È�k®�®�Å®�é®��¯�
