Contrôle Interne Et Système D'information: 2 Édition

1
Contrle interne et systme d'information

2me dition
Version valide Version 2.2
Groupe de travail Contrle Interne de l'AFAI : Nicolas Bonnet Laurent Gobbi Jean-Florent Girault Jean-Michel Mathieu Vincent Manire Gina Gulla-Menez Franois Renault Claude Salzman Serge Yablonsky Groupe de validation : Pascal Antonini Maryvone Cronnier Renaud Guillemot Michel Leger Stphane Lipski Bertrand Maguet Philippe Trouchaud Paris, 6 juillet 2008 V 2.2
Sommaire
1 2 3 Executive Summary ............................................................................................... 4 Prface ........................................................................................................................... 5 Introduction ............................................................................................................... 6
4 Le contrle interne en environnement informatis : le rle du cadre de l'AMF ................................................................................................................... 8 5 6 7 Les processus au cur de ces dmarches ............................................. 11 Exemple pratique d'un processus................................................................ 14 La matrise des donnes ................................................................................... 17
7.1 7.2 7.3 7.4 Identifier les flux de donnes ........................................................................... 17 Contrler ces donnes ........................................................................................... 18 Obtenir une cartographie des bases de donnes .................................. 19 Vrifier lexistence de chemins de rvision .............................................. 20
8 Stratgie de mise en uvre du contrle interne en milieu informatis ........................................................................................................................ 21 9 L'audit informatique outil privilgi du contrle interne .............. 24
9.1 Les dmarches de contrle et de supervision au sein de l'entreprise ................................................................................................................................. 24 9.2 Les trois domaines de laudit informatique et leur apport au contrle interne ...................................................................................................................... 26
10 11 12
Importance des contrles continus........................................................ 31 Cas dune mission daudit du processus dachats ......................... 33 Guide oprationnel ........................................................................................... 36
Dvelopper l'approche par les processus .............................................. 36 Identifier les domaines fort niveau de risques............................... 37 valuer les dispositifs de contrle interne de l'entreprise .......... 38 Matriser l'approche par les processus .................................................... 39
12.1 12.2 12.3 12.4
12.5 Mettre en place des mesures a minima concernant lactivit informatique.............................................................................................................................. 40 12.6 Renforcer les dispositifs de contrle intgrs .................................... 41
12.7 Mettre en place un systme d'information ddi aux contrles et au suivi des anomalies .................................................................................................. 42 12.8 12.9 valuer la qualit et l'efficacit des contrles en place ................ 43 Renforcer les processus informatiques ................................................... 44
13
Annexes ................................................................................................................... 45
AFAI
3 1 - Application du cadre de l'AMF aux systmes d'information ........ 46 2 - Le COSO appliqu aux systmes d'information ................................... 48 3 - Bibliographie............................................................................................................. 54
Table des illustrations

Figure 1 Exemple de cartographie des processus de l'entreprise .............. 11 Figure 2 - Description du processus clients ............................................................ 14 Figure 3 - Description de l'activit "Prendre la commande" ............................. 15 Figure 4 - Diagramme de flux d'une facturation ................................................... 18 Figure 5 - Familles de contrle du Systme d'Information ............................... 21 Figure 6 - Relations de l'audit informatique au contrle interne .................... 25 Figure 7 - Le rfrentiel ValIT ...................................................................................... 27 Figure 8 - Les 34 processus de CobiT 29 Figure 9 - Recommandations de l'AFAI sur le cadre de rfrence de l'AMF .................................................................................................................................................. 47 Figure 10 - Le cube du COSO, 1re version 1 ......................................................... 49 Figure 11 - Le cube du COSO, 2me version ............................................................ 52
AFAI
1 Executive Summary
Aux Etats-Unis la loi Sarbanes-Oxley et en France la loi sur la Scurit Financire ont rendu obligatoire la mise en place de dispositifs de contrle interne. Cette contrainte a eu un effet positif. L'exprience a montr que le renforcement des procdures a eu un certain cot mais, si cette dmarche est bien manage, elle peut en rapporter encore plus. C'est un investissement rentable en rationalisation et en renforcement de l'efficacit de l'entreprise. L'allgement des structures est devenu un enjeu primordial. L'amlioration des processus les rend plus performantes. Il est pour cela ncessaire de disposer de procdures internes efficaces et de matriser les risques. La mise en place de dispositif de contrle interne repose en grande partie sur le contrle de l'informatique. C'est un point de passage oblig. En effet, dans la plupart des grandes et des moyennes entreprises, la quasitotalit des procdures repose aujourd'hui sur des traitements informatiques, des serveurs, des bases de donnes, . La mise en place de diffrents dispositifs de contrle interne efficaces se fait et se fera de plus en plus l'aide de systmes d'information conus cet effet. Toutes les applications informatiques existantes doivent en tenir compte et le cas chant doivent tre revues pour prendre en compte des rgles de contrle interne et pour, ventuellement, corriger d'ventuelles fragilits des dispositifs de contrle interne en place. La loi fait aujourd'hui obligation de mettre en place et de dvelopper des dispositifs de contrle interne. Ceci exige danalyser et de perfectionner les principaux processus de l'entreprise et de mettre en place des dispositifs de contrle interne. C'est le cur de la dmarche. Il est aussi ncessaire de renforcer le contrle des donnes car l'exprience montre que c'est un domaine encore fragile qui ncessite des dispositifs de contrle rigoureux. Il est pour cela ncessaire de plonger dans les applications informatiques et des bases de donnes de faon imaginer des solutions plus sres, plus efficaces, plus productives, C'est le rle de l'audit informatique. C'est un des moyens les plus efficaces pour s'assurer que les bonnes pratiques en matire de systme d'information sont effectivement appliques. Cette dmarche garantit que les contrles et les scurits ncessaires sont en place et donnent les rsultats attendus. Le dveloppement du contrle interne va donc se faire, en grande partie, grce au renforcement les dmarches de contrle et d'audit informatique. Il faut s'y prparer et s'organiser en consquence. Il est pour cela ncessaire de mettre en place un programme de renforcement des pratiques grce un plan d'action qui doit tre planifi et men dans la dure.
AFAI
Prface
Le dveloppement du contrle interne est une ncessit. Si certains y voient encore la multiplication de contraintes sans contrepartie, la majorit considre dsormais que la mise en uvre dun contrle interne efficace est indissociable dune bonne gouvernance des entreprises. Lobjet de ce document est de montrer limportance, dans une dmarche de revue du niveau de contrle interne, d'valuer le contrle interne embarqu dans le systme dinformation et le rle capital de laudit informatique dans cette dmarche. Les processus oprationnels des entreprises tant pour la plupart informatiss, le systme dinformation est le support de nombreuses procdures de contrle interne. Il est ncessaire de garantir que les contrles ncessaires sont en place dans les applications et les systmes, quils sont efficaces et quils le resteront dans le temps. Le maintien dun dispositif de contrle interne efficace dans le temps ne peut tre obtenu que par une bonne gouvernance des systmes dinformation, intgrant la matrise des risques et la conformit aux lois et rglements. Le rfrentiel CobiT, aujourdhui dans sa quatrime version, apporte aux organisations et leurs parties prenantes les notions et les outils leur permettant de gouverner efficacement leur systme dinformation et, de l, de contribuer linstauration dun bon niveau de contrle interne par linformatique, en alliant performance et scurit.
Franois Renault Prsident de l'AFAI
AFAI
3 Introduction
On assiste depuis quelques annes au renforcement de la notion de contrle interne. Elle s'est rapidement impose la suite de divers incidents qui ont fait apparatre des fragilits croissantes dans les processus de reporting financier des grandes entreprises elles-mmes dues en grande partie des fragilits organisationnelles. Lexigence de contrle interne sest renforce la suite de la sur-communication de ces insuffisances. Les dirigeants dentreprises sont d'autant plus sensibles ces recommandations que depuis plusieurs annes les lgislateurs s'efforcent d'imposer aux entreprises une plus grande transparence. Simultanment, on constate le dveloppement acclr des systmes d'information pousss par les progrs rapides des technologies informatiques. Ils sont devenus l'ossature des entreprises. La plupart des oprations effectues se font l'aide des outils informatiques disponibles. Les applications de gestion, en particulier les ERP, structurent profondment la manire de travailler et dterminent la manire dont se font les changes avec les diffrents partenaires. Elles contribuent la structuration des processus de l'entreprise. On a ainsi progressivement pris conscience de l'importance de leur rle dans le fonctionnement de l'entreprise. Traditionnellement les oprations taient analyses par fonction : les comptables, les gestionnaires du personnel, les acheteurs, le planning de production, les mthodes, Progressivement les processus ont structur les oprations de faon les enchaner de manire transverse. C'est une mutation majeure dans l'approche classique des organisations. Au lieu de structurer les oprations par les fonctions, elles sont organises par processus. Cela permet d'avoir une vision d'ensemble des activits de l'entreprise. Pour cela il est ncessaire de suivre le flux des donnes d'un bout l'autre de l'entreprise et mettre en place des contrles d'tape en tape. Il est aussi possible de contrler les bases de donnes qui stockent ces informations. C'est le cur de la dmarche de contrle interne des systmes d'information. Son but est de s'assurer que tout se passe bien. C'est aussi le rle de l'audit informatique. Les dmarches mettre en uvre sont trs voisines. Les entreprises doivent mettre en place des procdures adaptes. Elles interviennent de trois manires diffrentes : L'informatique est un lment cl de la gouvernance de l'entreprise. Pour amliorer son efficacit, on doit s'efforcer de renforcer la matrise de l'informatique.
AFAI
Les contrles propres l'informatique, y compris les procdures de scurit, permettent d'amliorer la qualit et l'efficacit des diffrentes activits de l'entreprise. On insre de plus en plus souvent des contrles embarqus dans la plupart des traitements informatiss. Ces contrles permettent de mieux matriser les oprations gres par l'entreprise et donc d'amliorer son efficacit.
Face ces proccupations, le cadre lgislatif a volu : LSF (Loi sur la Scurit Financire), SOX (Sarbanes-Oxley Act), J-SOX (SOX japonais). On assiste au dveloppement de dmarches sur la base de cadres de rfrence, comme celui de l'AMF (Autorit des Marchs Financiers) ou celui du COSO, Committee of Sponsoring Organizations of the Treadway Commission (1). Pour linformatique, on utilise le CobiT, Control Objectives for Information and related Technology (2). Pour rpondre ces attentes nous allons examiner les points suivants : Chapitre 4. Les contrles internes en environnement informatis. Chapitre 5. Les processus au cur de ces dmarches. Chapitre 6. Un exemple de processus clients. Chapitre 7. La matrise des donnes . Chapitre 8. Les stratgies de mise en uvre du contrle interne en milieu informatis. Chapitre 9. L'audit informatique, outil privilgi du contrle interne. Chapitre 10. L'importance des contrles continus. Chapitre 11. Le cas d'une mission d'audit d'un processus. Chapitre 12. Un guide oprationnel, qui propose un certain nombre de recommandations. Ce rapport est complt par trois annexes : 1. Application du cadre de l'AMF aux systmes d'information. 2. Le COSO appliqu aux systmes d'information. Il est important de comprendre les concepts sous-jacents la premire et la deuxime version de ce document de rfrence. 3. Une bibliographie sur le sujet.
1 - Voir annexe 2. 2 - CobiT : Gouvernance, Contrle et Audit de lInformation et des technologies associes ITGI (IT Gouvernance Institute) dition franaise AFAI. CobiT est le rfrentiel d'audit informatique le plus largement reconnu. AFAI
4 Le contrle interne en environnement informatis : le rle du cadre de l'AMF

Le cadre de rfrence de lAMF dfinit le contrle interne par ses objectifs : - veiller la conformit aux lois et rglements , - assurer lapplication des instructions et des orientations fixes par la Direction gnrale ou le Directoire de l'entreprise, - maintenir le bon fonctionnement des processus internes de la socit, notamment ceux concourant la sauvegarde de ses actifs , - garantir la fiabilit des informations financires . Le contrle interne comprend cinq composantes : - une organisation, sappuyant sur des systmes dinformation appropris, - une diffusion efficace de linformation pertinente, - un dispositif didentification, de suivi et de gestion des risques, - des activits de contrle proportionnes aux enjeux, - une surveillance permanente du dispositif de contrle interne. Le fait que lentreprise soit informatise ou non na pas d'influence sur la dfinition du contrle interne. Cependant, cela a un impact fort sur certaines de ces composantes. (Voir l'analyse dtaille dans lannexe 1 "Application du cadre de l'AMF aux systmes d'information"). Aujourdhui, les systmes informatiques sont un des lments cls des processus des organisations. Ils constituent la base des activits de contrle. C'est la quatrime composante du contrle interne. Ces contrles peuvent tre : - manuels, - automatiss, - manuels partir dtats produits par des systmes informatiques. En ce qui concerne les contrles automatiss, ils sont cods dans des applications qui retranscrivent les logiques mtiers. Il est donc indispensable, pour que le contrle interne soit efficace, de vrifier que : - les contrles automatiss sont pertinents, adapts, correctement implments et prennes, - seules les versions valides des applications sont mises en production, - les contrles automatiss ne peuvent pas tre contourns au moyen dutilitaires, que ce soit au niveau des bases de donnes, du middleware, du systme dexploitation ou du rseau.
AFAI
9 En ce qui concerne les contrles manuels raliss partir dtats issus de systmes informatiques, ils ne seront efficaces que si ces tats sont fiables. On en revient donc des proccupations voisines de celles relatives aux contrles automatiss : - Lorigine de linformation est-elle pertinente ? - Les applications produisant les tats sont-elles valides ? - Les donnes peuvent-elles tre altres avant leur impression ou leur affichage ? Do limportance du rle des systmes dinformation dans le dispositif de contrle interne, souligne par les auteurs du cadre de rfrence dans la description de la premire composante du contrle interne, lorganisation. Les objectifs relatifs aux systmes dinformation sont les suivants : ils doivent tre conus et mis en uvre dans le but de traiter et dlivrer en temps voulu, en toute circonstance, une information fiable et adapte aux besoins de lorganisation. Ils doivent assurer la protection des informations contre laltration et la divulgation des tiers non autoriss. Ils doivent galement permettre de reconstituer les oprations effectues. Lvolution de ces systmes doit tre matrise et conforme aux objectifs de lorganisation. Lusage de systmes informatiss impose le respect de lois spcifiques et introduit de nouveaux risques, quil faut identifier et traiter. Nous citerons, par exemple, les risques suivants : - l'excs de confiance dans des systmes ou des applications traitant incorrectement les donnes, ou traitant des donnes incorrectes, ou les deux la fois ; - l'accs non autoris des donnes, pouvant entraner laltration ou la destruction dinformation, lenregistrement de transactions frauduleuses ou le passage dcritures comptables errones ; - les droits d'accs accords au personnel informatique aux systmes pouvant entraner une violation du principe de sparation des fonctions ou du principe de besoin den connatre ; - la modification non autorise de donnes de rfrence ; - la modification non autorise de programmes ou de paramtres ; - l'incapacit apporter les modifications requises dans les systmes et les programmes ; - les interventions manuelles intempestives dans les systmes ; - la perte de donnes ou l'incapacit accder aux donnes lorsque c'est ncessaire. Lenvironnement de contrle interne de lorganisation doit intgrer linformatique. Trop souvent on considre linformatique comme une activit spare des mtiers et son environnement de contrle est dconnect de celui de lorganisation. Or, on l'a vu, linformatique peut introduire de nouveaux risques, qui exigent des contrles compensatoires nouveaux ou amliors. Lattribution de la responsabilit des contrles est parfois peu claire entre linformatique et les mtiers.
AFAI
10
Enfin, il est de plus en plus frquent que des processus informatiss ou des composants informatiques soient externaliss. Dans ce cas, lorganisation garde la responsabilit du contrle interne des activits externalises et doit prendre des mesures visant garantir le maintien du niveau de contrle interne de bout en bout, y compris chez les tiers.
AFAI
11
5 Les processus au cur de ces dmarches

La mise en place d'un contrle interne efficace passe par la comprhension dtaille, de bout en bout, des activits de l'entreprise. A cette fin, la reprsentation des processus s'impose comme un outil performant. La cartographie des processus distingue ceux qui: - concernent l'activit principale de l'entreprise, - assurent un rle de support, - remplissent un rle de pilotage. Dans une entreprise il faut vendre, acheter, produire,.et aussi tenir la comptabilit et grer les ressources humaines. Il existe diffrentes manires de reprsenter et de modliser une entreprise et ses processus. La figure 1 ci-dessous nen est quune illustration gnrale. Chaque entreprise tant diffrente, la cartographie de ses processus lui est spcifique.
Processus de direction / pilotage
Piloter l'activit
Explorer
B E S O I N S C L I E N T S
Evaluer flux potentiels
Dvelopper
Produire
Grer le march
Analyser et identifier le(s) march(s)
Optimiser la chane logistique
Mettre les produits disposition
Dvelopper l'approche marketing
Vendre au client
Distribuer les produits
S A T I S F A C T I O N C L I E N T
Processus oprationnels
Systmes d'information Finances Contrle de gestion Ressources humaines Juridique
Processus support
Figure 1 Exemple de cartographie des processus de l'entreprise
AFAI
12 Dans une logique de march on peut, comme lillustre cet exemple, regrouper les processus en trois grandes familles : 1. Les processus oprationnels vont de la conception la ralisation des produits et des services que lentreprise fournit ses clients. Ceux-ci comprennent par exemple les achats, la production, la logistique, la vente et le support aprs-vente. Le bon fonctionnement de ces processus conditionne lexcellence oprationnelle de la socit et exige une vigilance toute particulire en matire de contrle interne. 2. Les processus support regroupent toutes les fonctions de soutien la mise en uvre et lexploitation des processus lis aux produits et services de lentreprise ainsi que ceux destins au bon fonctionnement de celle-ci. Ce sont notamment la gestion des ressources humaines, la gestion financire, la gestion des connaissances, linformatique, le juridique. 3. Les processus de direction et de pilotage o vont tre concentres toutes les responsabilits et les autorits relevant de la direction, en particulier tous les aspects lis la stratgie de dveloppement de lentreprise et son dploiement oprationnel, la stratgie produit-service ainsi qu la mise disposition de toutes les ressources ncessaires, et au pilotage de lensemble sous les angles financiers, humains, technologiques, industriels, commerciaux et qualit, ainsi, bien sr que de contrle. Ce sont par exemple : la dfinition des orientations stratgiques, la culture et lthique, les dlgations de pouvoirs, les contrles et les valuations,. Ces diffrents processus interagissent en permanence selon des cycles trs variables, rythms par diffrents vnements, que ce soit la dcision dinvestissement dans une nouvelle gamme de produits et de prestations, la mise disposition dun produit, ou encore la fin dun exercice fiscal, etc. Certains de ces processus sexercent en continu et sont lis des activits rcurrentes, dautres sont momentans, lis une action ponctuelle ou relvent de la conduite de projet. Matriser un processus, cest dabord le documenter en tenant compte de sa complexit. Il faut pour cela procder en trois tapes : 1. Le schma global des processus permet d'avoir une vision d'ensemble de lactivit et du fonctionnement de lentreprise. Cette approche est la mme que pour une dmarche qualit, un schma directeur informatique, une cartographie des risques 2. La reprsentation dtaille de chacun des processus met en vidence lenchanement des activits et les principaux flux dinformations. 3. Lanalyse dtaille des processus documente les tches manuelles et automatises et prcise leurs enchanements sous AFAI
13 forme de diagrammes. Cet exercice de diffrenciation des tches informatises et manuelles fait apparatre pour de nombreux processus de l'entreprise que le systme dinformation en constitue en fait la colonne vertbrale. Do limportance majeure accorde au systme dinformation en matire de contrle interne. Cette reprsentation permet : - de dterminer les points de contrle : type, localisation, - de mesurer lefficacit du contrle. La forme la plus aboutie de contrle interne devrait permettre en dfinitive dvaluer : - les performances internes du processus : le processus sexcute bien et de faon rptable et efficace sous le contrle de la direction de l'entreprise ; - les performances externes du processus : le processus fournit un niveau de performance cohrent avec celui des autres processus pour atteindre des objectifs gnraux de lentreprise. Ainsi les processus deviennent le langage commun de tous les acteurs qui pratiquent le pilotage, lorganisation, la conception des systmes dinformation ou laudit dans lentreprise. C'est par ce langage commun que peut tre mis en place un dialogue damlioration permanente au sein de lentreprise. Il lui garantit la prennisation de ces processus mais aussi de rester agile pour adapter en permanence son organisation l'volution de son environnement et des besoins de ses clients. A cet gard, le contrle interne est un outil essentiel la dtection le plus en amont possible des besoins d'volutions des processus.
AFAI
14
6 Exemple pratique d'un processus
Pour bien comprendre limportance des processus dans la dmarche de contrle interne, prenons par exemple la reprsentation simplifie dun processus commercial, couvrant les tches allant de la prospection des clients au paiement des factures.
Dfinir la politique crdit Client

Politique crdit
Prospecter & grer contacts Clients

Informations Client
Qualit paiements Client
Mettre jour Base Clients

Limites crdit Client
Encours crdit Client
Prendre la commande
Bon de commande
Client Client
Biens et Services livrs
Livrer
Confirmation contenu livraison
Facture
Facturer
Elments comptabiliser Paiement recevoir
Paiement
Comptabiliser
Encaisser
Figure 2 - Description du processus clients
Ce schma rsume les 3 grandes tapes du processus : La prospection et lenrichissement de la base Clients : par la cration de nouveaux clients ou prospects, par la mise jour de la politique de crdit pour chaque prospect ou client, en fonction de la situation financire de sa
AFAI
15 Socit, mais aussi dventuels incidents constats sur ses paiements ; La prise de commande (tenant compte des limites de crdit du client et des encours de paiement recevoir) et la livraison ; Le suivi administratif de la vente qui se traduit par : ldition de la facture, la comptabilisation du chiffre daffaires correspondant en comptabilit clients, le suivi du paiement effectif, et la dtection des retards ou incidents de paiement.
Chaque activit de ce processus peut tre elle-mme dcompose en tches lmentaires, affectes aux diffrents acteurs ou services de lentreprise, de faon dfinir une procdure de travail. Par exemple, les tches du Service dadministration des ventes, concernant lactivit Prendre la commande , peuvent tre dveloppes selon le schma ci-dessous.
Comptabilit - Trsorerie
Service Commercial
Tenir jour la Base Clients
Service Crdit Client
Service Administration des Ventes
Identifier le Client dans la Base Clients

KO OK
Fax ou courrier
Enregistrer le nouveau Client
Enregistrer la commande du Client
Tenir jour les plafonds crdit
Tenir jour les comptes clients et les paiements
Vrifier la capacit crdit du Client et le paiement des dernires factures

KO OK
Client Client
Traiter lincident avec le Client

KO
Vrifier la disponibilit des marchandises
OK
Proposer au client la modification de commande ou de dlai
Vrifier et valider la commande et engager la livraison
Transmettre le bon de commande valid au Magasin
Emettre laccus de rception
A/R
Figure 3 - Description de l'activit "Prendre la commande"
AFAI
16 Pour matriser les risques qui leur sont attachs, la mise en uvre de ces tches saccompagne de rgles de gestion et de contrles tels que : - naccepter que les commandes compltes et autorises par les personnes habilites, - vrifier que l'ensemble des commandes et des annulations de commandes est enregistr de manire correcte, - rejeter les commandes de tout client en dfaut de paiement, - traiter les commandes uniquement dans les limites de crdit autorises. De la mme faon, concernant les autres activits, des rgles de gestion et des contrles appropris devront tre mis en place : l'activit Mettre jour la Base Clients comprend : vrification et justification de toute information cre ou modifie dans la base clients, accs autoriss et limits la base clients, approbation des limites de crdit, contrle et validation des conditions de paiement, vrification de l'unicit du client et du compte client. lactivit Livrer comprend : rapprochement du bon de commande avec les marchandises ou les prestations livres (quantit & qualit), validation par le client de la compltude de la commande livre, contrle de l'exhaustivit des bons de livraison retourns. les activits Facturer et Comptabiliser comprend : conformit de la facture par rapport aux conditions des bons de commande et des contrats (conditions gnrales de vente, prix, conditions de paiement,), justification des factures (bon de commande, bon de livraison), contrle de lexhaustivit de la facturation, enregistrement correct des factures et avoirs dans la priode comptable approprie, validation et justification des avoirs mis, rapprochement des comptes auxiliaires et des comptes gnraux, validation du calcul et de lenregistrement des taxes (TVA). lactivit Encaisser comprend : affectation correcte du rglement client au compte client associ et suivi des rglements non affects, contrle du bordereau de remise de chques, analyse des impays, contrle des carts de rglement, suivi des acomptes reus, enqute financire pour les clients risque, contrle de la sortie des clients douteux du compte 411, contrle du calcul de la provision pour clients douteux, justification des passages en pertes sur crances irrcouvrables, suivi des dossiers contentieux.
AFAI
17
7 La matrise des donnes

La traabilit et la fiabilit des informations produites sont deux lments cls du concept de transparence financire, tel quil est dvelopp par les nouvelles rglementations relatives llaboration et la production de linformation financire (notamment le Sarbanes Oxley Act aux Etats-Unis, la Loi sur la Scurit Financire en France). Pour rpondre ces exigences, il est ncessaire de matriser les quatre points suivants : - Identifier les flux de donnes, - Contrler ces donnes, - Obtenir une cartographie des bases de donnes, - Vrifier lexistence de chemins de rvision. Ces exigences structurent caractristiques essentielles. les applications et dterminent leurs
7.1 Identifier les flux de donnes

Pour dterminer les contrles mettre en place, il est ncessaire d'avoir une vue globale de la circulation des donnes tout au long de la chane des traitements, allant de la saisie initiale des donnes jusqu' leur archivage final, en passant par leurs modifications et leurs mises jour, leurs stockages, leurs ditions, . Cette vue globale dcoule, en grande partie, dune analyse des processus ; mais celle-ci, au lieu de s'attacher dtailler les traitements, se concentre sur les donnes. Elle a pour objectif d'identifier l'ensemble des bases de donnes mises en uvre, et les oprations qui sont faites pour transfrer les donnes d'une base l'autre. Prenons pour illustration le cas d'une application commerciale. Comme le montre la Figure 4 ci-dessous, on commence par saisir les commandes des clients, et on constitue une premire base de donnes comprenant les bons de commande. Aprs contrle des informations saisies par rapport la base produits, un premier traitement permet de crer les bons de livraison. Une fois le client livr, un second traitement tablit les factures, qui sont ensuite dverses dans la comptabilit clients. Une fois qu'elles sont soldes, ces critures sont archives fin de contrle. Comme on le voit, cette circulation des donnes nest pas simplement un dversement des donnes d'une base dans l'autre mais un enchanement de contrles, de traitements et d'agrgations de donnes.
AFAI
18
Commandes
Base clients Bon de livraison
Facture Base Produits Comptes clients
Archivage
Figure 4 - Diagramme de flux d'une facturation
7.2 Contrler ces donnes

L'ensemble des donnes doit tre contrl tout au long de cette circulation. Le niveau des contrles est dtermin en fonction des niveaux des risques estims. Il faut prvoir suffisamment de contrles sans pour autant verser dans une prolifration excessive. Par exemple, dans le cas d'une base de donnes clients, il faut avant tout veiller ne pas avoir de doublon et vacuer le plus vite les clients inactifs depuis plusieurs annes. Par contre, il ne sert rien de vrifier les numros de tlphone ou de tlcopie. Les donnes sont normalement contrles au moment de la saisie. Le but est de dtecter des anomalies comme des codes errons, des totaux inexacts, des oublis significatifs, Les concepteurs veillent mettre tous ces contrles en dbut de traitement de faon ne pas avoir ultrieurement de rejets. Par exemple, dans le cas d'une facturation, il ne faut pas rejeter une commande au moment de l'dition. Les contrles doivent avoir t faits prcdemment. Mais ce n'est pas suffisant. Il est ensuite ncessaire d'effectuer des contrles lors des diffrents traitements pour s'assurer que les oprations se droulent normalement. Dans le cas d'une application commerciale, on va, par exemple, s'assurer que : - toutes les commandes saisies ont donn lieu l'mission d'un bon de livraison,
AFAI
19 toutes les livraisons faites se sont traduites par le transfert de ces donnes vers la facturation, toutes les factures sont justifies par un ou plusieurs bons de commandes, toutes les factures mises sont dverses en comptabilit clients, toutes les critures soldes ayant plus de X mois d'anciennet sont archives,
De mme, les principales bases de donnes, comme les bases clients et produits, doivent tre priodiquement contrles pour s'assurer que : - tous les clients et tous les produits existent : dans le cas des clients y a-t-il une circularisation ? Est-elle suffisante ? Dans le cas des produits existe-t-il des doublons, des erreurs de codification ou de localisation ? - toutes les mises jour faites sur ces bases sont traces : ceci concerne les donnes saisies, mais aussi les transferts de donnes, les mises jour des bases au cours des traitements, - les bases de donnes sont exhaustives : il faut tre capable de dtecter des disparitions accidentelles ou volontaires de donnes. - lintgrit des donnes stockes a t protge, et par exemple certains cumuls nont pas pu tre fausss la suite de fausses manuvres, - le chanage des informations entre diffrentes bases est complet et fonctionne correctement, - . L'exprience montre ici encore que les contrles actuels ne sont pas suffisants et qu'il est ncessaire de les renforcer.
7.3 Obtenir une cartographie des bases de donnes

Pour expliquer et analyser les incohrences potentielles, il est ncessaire de disposer dun document identifiant les principales bases de donnes de lentreprise et les relations qu'elles ont entre elles. Il ne sagit pas du modle de donnes logique mais bien du modle physique. Ce schma doit faire apparatre un certain nombre d'informations fondamentales pour matriser le systme : - la localisation des donnes : serveur ou systme disque o les donnes sont stockes, - le volume de la base : nombre d'occurrences, taille thorique, taille relle, - le type de sauvegarde des bases et la priodicit des sauvegardes, - l'ventuelle recopie des donnes des bases sur le systme disque, - la journalisation des mises jour, en indiquant leur lieu de stockage, - la duplication ou la synchronisation des donnes, - AFAI
20
Le but de la cartographie est de faciliter la connaissance oprationnelle et la localisation des bases de donnes et de s'assurer que les sauvegardes sont suffisantes compte tenu du niveau de risque.
7.4 Vrifier lexistence de chemins de rvision

Lobjectif est de retrouver une information ou une donne partir dune autre, issue dune application informatique logiquement et physiquement loigne. Il est ainsi possible, par exemple, de remonter d'un compte du bilan au dtail des comptes puis aux critures et, le cas chant, aux pices justificatives. Il faut pour cela mmoriser le parcours suivi par une information. Cest ce que permet le chemin de rvision aussi appel piste d'audit ou audit trail . Ce parcours doit tre enregistr l'aide de pointeurs ou d'index. Il peut aussi tre inscrit sur la carte didentit de la donne. Il est aussi possible de stocker ces donnes dans un datawarehouse ou entrept de donnes. Pour retrouver les donnes, il est ncessaire de disposer de logiciels permettant de remonter des cumuls vers les dtails justificatifs. Le dfaut de chemins de rvision doit tre considr comme une fragilit certaine des procdures de contrle interne.
En conclusion, la matrise des donnes est un point fondamental de la dmarche de contrle interne. Elle impose de prvoir des dispositifs adapts, notamment la gestion des flux de donnes, leur contrle, l'tablissement de la cartographie des bases de donnes et l'existence de chemins de rvision.
AFAI
21
8 Stratgie de mise en uvre du contrle interne en milieu informatis

Pour effectuer la mise en place de leur systme de contrle interne, la plupart des entreprises ont recours au rfrentiel COSO (voir en annexe 2) et notamment pour assurer : - La dfinition de lenvironnement de contrle, - Lvaluation des risques, - La dfinition des activits de contrle, - Linformation et la communication, - La supervision des contrles. Ce rfrentiel ne traite pas spcifiquement les Systmes dInformation ce qui a conduit lISACA et lITGI proposer de localiser le contrle interne du systme dinformation comme prsent sur le schma suivant en mettant au cur de lentreprise les processus mtier.
Contrles au niveau de lentit

Ces contrles donnent le ton et transmettent la culture de lentreprise. Les contrles informatiques font parties de ces contrles qui comprennent: Stratgies et plans daction Politiques et procdures Evaluation des risques Formation Assurance qualit Audit interne
Fonction informatique
(systme exploitation, telecom, continuit, rseau)
Contrles dapplications
Contrles intgrs dans les applications grant les processus mtier et qui participent aux contrles financiers. Ces contrles sont prsents dans la plupart des applications de gestion y compris dans les systmes importants style SAP et Oracle comme dans ceux par TPE. Ces contrles ont pour objectifs:
Etc.
Direction Gnrale
Processus Mtier
Processus Mtier
Processus Mtier
Processus Mtier
Production
Logistique
Finance
lexhaustivit lexactitude lexistence et lapprobation le dtail pour fournir linformation dans lannexe
Contrles gnraux informatiques

Contrles intgrs dans les processus de la fonction informatique qui permettent un environnement de traitement fiable et qui permettent aussi un droulement adquat des contrles dapplication. Ces contrles couvrent notamment: le dveloppement des applications les modifications des applications laccs aux donnes et aux programmes les traitements informatiques
Figure 5 - Familles de contrle du Systme d'Information
AFAI
22 Les trois familles de contrle sont donc : - les contrles au niveau de lentit, - les contrles gnraux informatiques, - les contrles applicatifs qui sont partie prenante du contrle interne des processus mtier. A partir de l'analyse des principaux processus il est donc possible : - didentifier le flux d'oprations traites et les principales bases de donnes concernes, - de dcider des contrles mettre en place pour s'assurer que les traitements se font conformment aux objectifs du contrle interne, - de vrifier ensuite que les contrles souhaitables ont t mis en place et qu'ils fonctionnent correctement, ce qui constitue la mission de l'auditeur. De tels contrles existent depuis plusieurs dcennies. Il apparat aujourdhui qu'il est ncessaire de les renforcer. Ceci est d la conjonction de plusieurs facteurs : la taille des entreprises et le degr de dcentralisation de l'entreprise. Il y a une vingtaine d'annes, seules quelques trs grandes entreprises de taille mondiale dpassant le milliard d'euros de chiffre d'affaires, toutes amricaines, avaient des politiques de contrle interne. Aujourd'hui, des centaines, voire des milliers sont concernes partout dans le monde. Il est vital de savoir ce qui se passe rellement dans les trs nombreuses entits qui composent ces entreprises, dont les mtiers sont souvent trs htrognes. l'internationalisation des activits. La part de l'activit domestique de ces entreprises va en dcroissant, et il faut aujourdhui mettre sous contrle des filiales prsentes sur les cinq continents, afin de matriser leur gestion et leurs rsultats, mais aussi de s'assurer qu'elles respectent toutes les rgles de contrle interne du groupe. le dveloppement des systmes d'information. L'informatique est aujourd'hui au cur de la plupart des processus de lentreprise, les ordinateurs de l'entreprise travaillent en liaison directe avec ceux de ses clients et de ses fournisseurs. Il est fondamental de rguler et de coordonner l'ensemble de ces systmes.
Il est donc ncessaire de mettre en place un certain nombre de contrles permettant de matriser l'ensemble des processus. Pour les structurer, plusieurs types d'approches sont possibles. Un modle simple consiste faire apparatre quatre niveaux de contrle : Les contrles oprationnels : c'est le premier niveau de contrle. Ils sont mis en uvre par les quipes oprationnelles. Ils permettent de reprer les erreurs et de limiter les fraudes. Ce sont pour l'essentiel des contrles applicatifs dont le but est de s'assurer que des donnes errones ne se sont pas glisses dans celles qui ont t saisies et que les traitements effectus sont conformes ce
AFAI
23 qui tait prvu. Les contrles possibles sont trs varis. Ils peuvent tre globaux ou analytiques, manuels ou informatiques, . Les contrles d'ensemble. Le deuxime niveau est assur par les responsables encadrant les oprationnels, dont la mission est double : s'assurer que tout se passe bien et que les flux sont sous contrle, dtecter les situations anormales et prendre les mesures ncessaires pour les corriger. La dtection des situations anormales. C'est le troisime niveau. Il fait appel diffrentes fonctions de contrle spcialises comme la gestion de la scurit, le contrle de gestion, la gestion de la qualit, Toutes ces fonctions ont la fois une mission technique spcialise, comme d'amliorer la qualit ou le niveau de la scurit, et une mission de surveillance gnrale du fonctionnement des principaux processus. L'audit. Enfin, le niveau de contrle ultime est assur par l'audit, interne ou externe. A ce niveau, l'audit informatique, et notamment l'audit des applications, est le moyen le plus efficace pour matriser les principaux processus de l'entreprise.
Comme on le voit, il existe une hirarchie des lignes de dfense. A la base il y a les contrles oprationnels assurs par les personnes charges des oprations courantes et au sommet de l'difice il y a les audits et notamment les audits informatiques. L'ensemble de ce dispositif repose, en grande partie, sur l'engagement du management qui est charg de mettre en place des outils de contrle ncessaires et de s'assurer de leur utilisation correcte : une faiblesse ou une dfaillance de l'encadrement peut avoir des consquences importantes.
AFAI
24
9 L'audit informatique outil privilgi du contrle interne

Laudit informatique constitue dans ces conditions un pilier du contrle interne. La matrise des processus de lentreprise et la matrise du systme dinformation deviennent imbriques et relvent dune mme approche du contrle interne. Nous analyserons dabord ici les synergies entre laudit informatique et les autres dmarches contribuant au contrle interne. Puis nous examinerons de faon plus approfondie les apports des trois domaines couverts par laudit informatique : la stratgie informatique, la fonction informatique et les processus informatiss.
9.1 Les dmarches de contrle et de supervision au sein de l'entreprise

Les dmarches mises en uvre en matire de contrle interne sont : l'audit comptable : son objectif est de garantir la sincrit des comptes ; les missions daudit comptable sont souvent effectues par le service d'audit interne, par les commissaires aux comptes ou, le cas chant, par les autorits de tutelle ; l'audit interne : ses missions, allant de l'inspection l'audit de gestion en passant par l'audit oprationnel, ont pour but de permettre aux directions gnrales d'avoir l'assurance d'un niveau de scurit adapt chacun de ses processus ; la gestion des risques : elle permet dvaluer priodiquement le niveau des risques oprationnels et des risques bilanciels des entreprises ; la scurit des systmes d'information : elle a pour but de s'assurer que les dispositifs de scurit organisationnels, matriels et logiciels fonctionnent correctement ; laudit informatique a pour but d'valuer l'efficacit des activits telle que l'exploitation, les tudes, la gestion de projets, l'audit du systme d'information permet de s'assurer que les ressources informatiques consommes contribuent l'efficacit de l'entreprise.
AFAI
25
l'audit qualit : il vrifie que les dispositifs d'assurance qualit sont oprationnels, efficaces et permettent de garantir un niveau de qualit satisfaisant.
Chacune de ces approches a naturellement tendance privilgier ses mthodes et ses points de contrle. Mais pour en tirer la pleine valeur ajoute, et mieux rpondre aux attentes imposes par le nouveau cadre lgal, il est ncessaire dassurer leur cohrence et leur complmentarit, notamment par une meilleure utilisation de laudit informatique au service des autres dmarches de contrle interne. Il sagit dorganiser la coopration entre les mtiers et les comptences connexes mais bien distincts, lis au contrle interne et laudit informatique. Plus prcisment, lobservation des missions daudit informatique, il est possible de les segmenter en trois grands domaines : Stratgie informatique de lentreprise : les missions daudit de ce type ont pour but de sassurer de la pertinence du systme dinformation, de son adquation aux objectifs de lentreprise, et de son alignement sur ses stratgies globales ; Fonction informatique de lentreprise : ces audits portent sur la qualit des processus informatiques, cest--dire des processus mis en uvre par la fonction informatique elle-mme ; Processus informatiss de lentreprise : ce dernier domaine couvre les audits portant sur lefficacit des contrles intgrs dans les applications, et la sret du fonctionnement quotidien de linformatique.
La Figure 6 montre les principaux apports potentiels de chacun de ces domaines de laudit informatique aux cinq autres dmarches de contrle interne rappeles ci-dessus.
Champs de l'audit informatique Stratgie informatique Audit comptable Autres dmarches de contrle interne Audit interne Analyse des risques Audit de scurit Audit Qualit Fonction informatique Processus informatiss
X X X X X X X
X X X X X
Figure 6 - Relations de l'audit informatique au contrle interne
Ainsi, travers ses trois domaines dintervention, laudit informatique joue
AFAI
26 un rle majeur au service du contrle interne.
9.2 Les trois domaines de laudit informatique et leur apport au contrle interne
Il est possible de prciser ce rle et ces apports de laudit informatique au contrle interne, en approfondissant les objectifs et les caractristiques de chacun de ces trois domaines dintervention : stratgie informatique, fonction informatique et processus informatiss. Audit de la stratgie informatique Lobjectif de ce type daudit est de sassurer que le systme dinformation est en ligne avec la stratgie de lentreprise, avec ses enjeux et ses risques spcifiques. Il ne suffit pas d'avoir des processus matriss et conformes aux rgles de lart pour produire le systme dinformation pertinent. Force est de constater que ce rsultat est fortement li lorganisation de lentreprise, sa culture et la maturit de la fonction informatique. Aussi laudit informatique, dans son acception la plus complte, doit-il analyser la pertinence du systme dinformation lui-mme, cest-dire lefficacit de lappui quil fournit aux diffrents processus de lentreprise, et la pertinence des efforts et des investissements consentis pour le faire voluer et ladapter aux besoins nouveaux ou futurs. Le rfrentiel ValIT (3) fournit un cadre trs utile, pour analyser la qualit des processus de dcision et de suivi des investissements lis aux projets de systmes dinformation. Il dfinit en effet 40 bonnes pratiques lies aux trois grands processus de gouvernance de la valeur (GV), de gestion du portefeuille de projets SI (GP), et de gestion de linvestissement consenti sur chaque projet (GI). Voir Figure 7. Par contre, il nexiste pas de rfrentiel permettant de mesurer directement la pertinence du systme dinformation dune entreprise. En effet, les besoins et les enjeux prendre en compte sont spcifiques chaque entreprise, car fonctions de son domaine dactivit et de ses mtiers, mais aussi de sa culture, de son positionnement stratgique et de son environnement. Pour cela, on va valuer au cas par cas les applications informatiques, en tant que support de lensemble des rgles de gestion, des flux dinformation internes et externes, des modes opratoires de la plupart des postes de travail.
3 - Val IT : Cration de valeur pour lentreprise : La Gouvernance des Systmes dInformations ITGI (IT Gouvernance Institute) dition franaise AFAI AFAI
27
GV1 GV2 GV3 GV4 GV5 GV6 GV7 GV8 GV9 GV10 GV11
Assurer un leadership inform et engag Dfinir et mettre en uvre les processus Dfinir les rles et les responsabilits Assurer une responsabilit sur les rsultats adapte et accepte Dfinir les besoins dinformation tablir les besoins de reporting Crer les structures organisationnelles Donner les orientations stratgiques Dfinir les catgories dinvestissements Dterminer la composition du portefeuille cible Dfinir les critres dvaluation par catgorie
Gouvernance Gouvernance de dela lavaleur valeur (GV) (GV)
Gestion Gestion du duportefeuille portefeuille (GP) (GP)

GP1 GP2 GP3 GP4 GP5 GP6 GP7 GP8 GP9 GP10 GP11 GP12 GP13 GP14 Tenir linventaire des ressources humaines Identifier les besoins en ressources Raliser une analyse dcart Dvelopper un plan des ressources Piloter les besoins en ressources et leur utilisation Grer les besoins de financement dans un cadre donn valuer le business case amont du programme valuer et attribuer un score relatif au business case du programme Crer une vue globale du portefeuille Prendre et communiquer la dcision dinvestissement Faire franchir les jalons aux programmes choisis (et les financer) Optimiser les performances du portefeuille Revoir les priorits du portefeuille Piloter et rendre compte des performances du portefeuille GI1 GI2 GI3 GI4 GI5 GI6 GI7 GI8 GI9 GI10 GI11 GI12 GI13 GI14 GI15
Gestion Gestion de delinvestissement linvestissement (GI) (GI)

Prsenter de faon synthtique lopportunit laborer un business case amont du programme Favoriser une comprhension claire des programmes proposs Analyser des alternatives Dvelopper un plan de programme Dvelopper un plan de ralisation des bnfices Identifier les cots et bnfices du cycle complet de vie Dvelopper un business case dtaill du programme Attribuer clairement la responsabilit datteinte des rsultats Initier, planifier et lancer le programme Grer le programme Grer/suivre les bnfices Mettre jour le business case Piloter et rendre compte de la performance du programme Clturer le programme
Source : IT Governance Institute, 2006
Figure 7 - Le rfrentiel ValIT
Inversement, lanalyse du systme dinformation constitue une cl majeure pour analyser et mesurer lefficacit et la pertinence dune grande partie des processus oprationnels et des processus de pilotage de lentreprise : le systme dinformation constitue en effet bien souvent la seule trace concrte et auditable de leur fonctionnement rel. Audit de la fonction informatique Lobjectif de laudit de la fonction informatique est de sassurer que son organisation et ses processus sont pertinents et conformes aux rgles de lart, quil sagisse des processus de planification, de pilotage, de dveloppement de nouvelles applications, de mise disposition des services ou de support. Notons que la fonction informatique et les processus prendre en compte englobent, bien au-del des quipes informatiques internes, lintervention des dirigeants et des matrises douvrage mtiers, et lensemble des
AFAI
28 acteurs externes (diteurs, prestataires et fournisseurs) qui contribuent au bon fonctionnement du systme dinformation. Il faut galement souligner que la capacit du systme informatique bien fonctionner doit intgrer sa capacit voluer et notamment pour prendre en compte les changements propres linformatique : volutions des technologies, nouveaux logiciels et progiciels, changements de versions, La qualit de fonctionnement et lefficacit actuelles et futures des processus de lentreprise dpendent ainsi troitement de la qualit des processus de la fonction informatique. Laudit de la fonction informatique constitue ds lors un point d'action essentiel du contrle interne. Le rfrentiel majeur de ce second type daudit informatique est CobiT : Control Objectives for Information and related Technology. CobiT V4.1 identifie les 4 grands domaines et les 34 processus, voir Figure 8. Il dcrit de faon dtaille les objectifs, les indicateurs, et les bonnes pratiques associs chacun de ces processus, et propose les modles de maturit associs. Pour une grande part, ces bonnes pratiques dfinissent les rponses qui doivent tre apportes par la fonction informatique aux proccupations qui sont celles du contrle interne. Cest notamment le cas pour : - les processus PO 4, PO 5, PO 8, PO 9, et PO 10 du domaine Planifier et Organiser (Voir Figure 8), - les processus AI5 et AI6 du domaine Acqurir et Implmenter, - les processus DS4, DS5, DS8, DS10 et DS11 du domaine Dlivrer et Supporter, - lensemble des processus du domaine Surveiller et valuer, qui portent sur le contrle interne des autres processus. Lauditeur doit slectionner, en fonction de ses objectifs, et des caractristiques particulires de lentreprise et de ses systmes informatiques, quels processus doivent tre analyss de faon plus approfondie.
AFAI
29
PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 Dfinir un Plan informatique stratgique Dfinir larchitecture de lInformation Dterminer lorientation technologique Dfinir les processus, lorganisation et les relations de travail Grer les investissements informatiques Faire connatre les buts et les orientations du management Grer les Ressources Humaines de linformatique Grer la qualit valuer et grer les risques Grer les Projets
SE1 SE2 SE3 SE4
Surveiller et valuer la performance des SI Surveiller et valuer le contrle interne Sassurer de la conformit rglementaire Mettre en place la gouvernance des SI
Surveiller et Evaluer Pilotage
Planifier Planification et organisation & organiser
Dlivrer Mise disposition & supporter & support

DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 Dfinir et grer les niveaux de service Grer les services tiers Grer la performance et la capacit Assurer un service continu Assurer la scurit des systmes Identifier et imputer les cots Instruire et former les utilisateurs Grer le service dassistance client et les incidents Grer la configuration Grer les problmes Grer les donnes Grer lenvironnement physique Grer lexploitation AI1 AI2 AI3 AI4 AI4 AI5 AI6
Acqurir & Acquisition & implmenter mise en place

Trouver les solutions informatiques Acqurir des applications et en assurer la maintenance Acqurir une infrastructure technique et en assurer la maintenance Faciliter le fonctionnement et lutilisation Acqurir des ressources informatiques Grer les changements Installer et valider les solutions et les modifications
Source : ISACA / IT Governance Institute
Figure 8 - Les 34 processus de CobiT
Audit des processus informatiss de lentreprise Enfin, ce troisime domaine de laudit informatique a pour objectif de sassurer que le systme dinformation est sr : les missions menes dans ce domaine portent principalement sur la sret de fonctionnement, et les contrles embarqus dans les applications (dvelopps au chapitre suivant), devenus des points dattention majeurs du contrle interne. La sret du fonctionnement de l'outil informatique est en effet une des conditions cls de la continuit des activits de l'entreprise, certaines dfaillances pouvant aller jusqu mettre en cause sa survie : Les pannes informatiques causent des dommages directs. Les pertes de donnes accidentelles sont gnralement irrparables si des sauvegardes suffisantes nont pas t mises en uvre. Le rseau informatique, ncessairement ouvert au monde extrieur (relations clients et fournisseurs, utilisation gnralise de la
AFAI
30 messagerie, ) est devenu le point dentre dattaques incessantes. La sret du fonctionnement informatique doit donc tre apprcie sous tous ses aspects (disponibilit des systmes, continuit de service, fiabilit, scurit, maintenabilit), et ici encore en sintressant non seulement la situation actuelle, mais aussi aux risques lis aux volutions futures. Ainsi, lissue de ce survol rapide des trois domaines de laudit informatique, limportance des objectifs de contrle confirme son apport essentiel au contrle interne.
AFAI
31
10 Importance des contrles continus

La plupart des entreprises qui tirent le bilan des travaux de contrle interne mens dans le cadre de la loi Sarbanes-Oxley ou de la loi de Scurit Financire constatent : - un degr encore excessif des contrles manuels, - un cot lev de mise niveau, - trop derreurs encore dtectes lors daudits internes ou externes, - plus de contrles dtectifs que de prventifs, - beaucoup trop dexceptions et de dtournements de contrles, - une insuffisante prise en compte des risques oprationnels. Lobjectif est ici de mettre en place un contrle permanent, selon une dmarche appele aujourdhui CCM, pour Continuous Control Monitoring . Dans cette dmarche, les contrles embarqus dans les applications constituent un des points cls permettant de sassurer de contrles suffisants : - des donnes saisies, - de lexhaustivit des traitements, - de lintgrit des bases de donnes, - des accs. Avant dengager une telle dmarche, il est intressant de mesurer le degr de maturit du contrle interne de lentreprise sur une chelle quatre niveaux, en fonction du degr dautomatisation des contrles et de leur valeur ajoute : - traditionnel : contrles manuels essentiellement, - intermittent : contrles manuels ou automatiss raliss de faon espace, - priodique : contrles en grande partie automatiss et rcurrents, - continu : contrles trs automatiss, raliss au fil de leau. Pour se situer dans ce modle de maturit, lentreprise doit donc se poser les questions suivantes : - quel est le niveau dautomatisation des contrles ? - sont-ils trs variables en fonction des processus ou des units considres ? - quelle est la valeur ajoute de ces contrles, et la Direction souhaite-t-elle la renforcer ? Le champ dapplication peut tre trs variable dans lentreprise ellemme, et concerner les systmes suivants : - ERP : SAP, Oracle, JD Edwards, Peoplesoft, AFAI
32 autres systmes applicatifs : Supply Chain, Customer Relationship Management, systmes techniques : scurit rseau, infrastructure, help desk, contrles daccs,
Les indicateurs utilisables dans une dmarche CCM sont de nature trs varis et dtermins en fonction des objectifs de contrle poursuivis. Ce sont par exemple : - passage de seuil : achats suprieurs 100.000 , - accs aux transactions sensibles : liste des utilisateurs concerns, - changements interdits dans les fichiers matres : modification de coordonnes bancaires, - transactions interdites : dblocage dun paiement indu, - doublons : clients en double dans les fichiers, - enregistrements mal renseigns : absence de code TVA, - mauvaise sgrgation de fonction : possibilit de crer un client et de payer sa facture, - cohrence des dates : rception des biens le jour mme de la cration de la commande. Rares sont encore les entreprises franaises avoir adopt des approches densemble pour le CCM, mme si beaucoup dentre elles sont en recherche doutils et de solutions. La dmarche CCM porte ses fruits si lentreprise constate que son environnement de contrle est renforc de manire durable, avec un gain defficacit, une automatisation visible des alertes, beaucoup de prvention, et moins danomalies dtectes au cours des audits.
AFAI
33
11 Cas dune mission daudit du processus dachats

Pour apprcier l'importance et la richesse des audits de processus notamment pour renforcer les rgles de contrle interne, il est intressant de dcrire une mission d'audit d'un processus d'achats. C'est un domaine complexe et souvent les outils informatiques et les dmarches mises en uvre sont fragiles et peuvent tre amliores. Contexte de l'intervention Dans le cadre du plan daudit annuel de cette grande socit, il est prvu de raliser un audit du processus dachats de frais gnraux, qui inclut : - les fournitures diverses, - les petits matriels informatiques et leur maintenance, - lentretien des locaux, - lorganisation dvnements au sein de lentreprise. Cet audit se justifie en raison des enjeux lis la nature et au volume de ces achats, et aux risques inhrents, notamment de fraude. Par ailleurs, les utilisateurs se plaignent dun manque de fiabilit des applications informatiques correspondantes. Les commandes de services gnraux sont ralises de faon transverse par lensemble des Directions de la socit. Le responsable des achats souhaite amliorer ce processus, dans ses diffrentes composantes et leurs imbrications : - commande, - approbation, - rception physique, - rception de la facture, - bon payer, - paiement. Lobjectif fix laudit consiste : - caractriser les forces et les faiblesses du processus de gestion des achats de services gnraux et des applications le supportant, - tablir un diagnostic de lexistant en termes de contrle interne, - amliorer lefficacit gnrale du processus, - identifier les points de contrle cls mettre en uvre.
AFAI
34 Dmarche de laudit Les actions sur site de la mission daudit portent alors sur les points suivants : - tude de la documentation existante : organigramme, processus, tableaux de bord, - entretiens avec les acteurs cls du dpartement Services gnraux, - entretiens avec la Direction Comptable afin de caractriser les lourdeurs et les dysfonctionnements induits par le processus existant et didentifier les axes damlioration, - entretiens avec la Direction Informatique afin de comprendre les principes de lapplication informatique utilise, et dapprcier les possibilits dvolution technique de cette solution, ainsi que les processus supports de lapplication, - analyse des risques et des contrles prsents au sein du processus manuel ou de l'application informatique, - analyse de la sparation des tches au sein du processus et vrification de l'alignement des droits d'accs des utilisateurs l'application informatique, - tests d'efficacit des contrles en place. Constats et faits marquants Ces analyses font apparatre un certain nombre de dysfonctionnements : - nombre lev de commandes hors circuit ou hors budget , - pas de suivi en temps rel du budget des achats des directions, - dlai excessif entre la rception physique et lapprobation de la direction acheteuse, - paiements raliss en labsence dapprobation formelle, - htrognit du processus dapprobation et du niveau hirarchique des approbateurs suivant les directions acheteuses, - sparation de fonctions insuffisante dans le processus dapprobation : la personne qui commande est souvent la mme que celle qui approuve, - absence de limites dachat suivant la nature des biens commands et le niveau hirarchique de lauteur de la commande. Par ailleurs des opportunits dautomatisation du processus mritent dtre explores : - mise en uvre dun workflow dapprobation, - traabilit des approbations de chaque commande, - archivage des preuves dapprobation.
AFAI
35 Recommandations Laudit se conclut par les trois recommandations suivantes. Il propose dabord de rationaliser le processus et les seuils dapprobation des commandes via la mise en place dun workflow : identification pour chaque flux de commande dun approbateur et dun dlgu (lassistant de lapprobateur, le plus souvent), mise en uvre de seuils dapprobation automatiss et ajouts dapprobateurs supplmentaires au-del dun certain montant de commandes, prservation des preuves dapprobation lectroniques, dans la solution. Il recommande de vrifier la sparation de fonctions, en sappuyant sur cet outil de workflow, par la mise en place de contrles applicatifs : laboration et intgration dans la solution dune matrice dapprobation par direction acheteuse afin dviter lautoapprobation, mise en uvre de nouvelles habilitations dans le module achat et dans le module comptabilit fournisseurs de lapplication : accs limit la fonction de rception physique, et limite daccs la consultation suivant les natures de commandes. Enfin, laudit recommande dallger le processus dapprobation et de mieux intgrer processus dachat de frais gnraux avec les processus budgtaire et fournisseurs: dcrmentation du budget des directions acheteuses ds linitialisation de la commande, dclenchement du bon payer lors de la saisie de la rception dans lapplication.
Ainsi, cet audit a contribu : - optimiser ce processus et rationaliser la gestion des approbations, - mieux coordonner ce processus et les processus budgtaire et fournisseurs, - renforcer le contrle interne sur le processus.
AFAI
36
12 Guide oprationnel
Le renforcement des pratiques (4) de contrle interne des systmes d'information ncessite de dfinir un plan d'action. La dmarche mettre en uvre est itrative. Elle doit tre planifie et mene dans la dure. Elle peut inclure les neuf domaines suivants qui peuvent tre traits dans l'ordre le plus adapt par les entreprises : 1. 2. 3. 4. 5. 6. 7. 8. 9. dvelopper l'approche par les processus, identifier les domaines fort niveau de risques, valuer les dispositifs de contrle interne de l'entreprise, matriser l'approche par les processus, mettre en place des mesures a minima concernant lactivit informatique, renforcer les dispositifs de contrle intgrs, mettre en place un systme d'information ddi aux contrles, valuer la qualit et l'efficacit des contrles en place, renforcer les processus informatiques.
Comme on le voit, les efforts ncessaires pour renforcer les contrles et avoir un systme d'information fiable et conforme sont importants et doivent tre soigneusement valus et planifi.
12.1 Dvelopper l'approche par les processus

L'amlioration des contrles repose pour une bonne partie sur une approche permettant de mettre sous contrle l'ensemble des processus, de bout en bout : s'assurer que les principaux processus de l'entreprise ont t identifis, analyss et correctement documents, et si ce n'est pas le cas, le faire d'urgence : c'est un des principes de base du
4 - Compte tenu de la situation actuelle, nous n'avons pas pris en compte le cas d'une entreprise qui souhaiterait allger les dispositifs de contrle interne se trouvant dans son systme d'information. C'est actuellement un cas d'cole. Par contre il est possible que certaines entreprises ressentent le besoin de rendre ces dispositifs moins contraignants et moins lourds. AFAI
37 contrle interne. rapprocher l'analyse des processus et les systmes informatiques en place. Il faut s'attacher : o revalider les documents existants d'analyse des processus et des systmes informatiques ; une attention particulire doit tre porte la conformit de l'application informatique et des procdures par rapport aux besoins, au cahier des charges et la documentation, o si c'est ncessaire remettre en cause certaines parties de processus, notamment si on a le sentiment qu'il existe des dfauts graves. Il ne faut pas hsiter les corriger. tablir un tableau de bord des indicateurs de performance pour chaque processus, et un tableau de synthse pour les principaux processus : c'est l'outil de gestion indispensable pour matriser les flux, dtecter les engorgements, mesurer la dgradation des dlais, Ce n'est pas a priori un outil de contrle interne, mais cela permet de s'assurer que les processus sont sous contrle, et le cas chant didentifier les zones de risques.
Ces trois points sont la base d'une dmarche d'amlioration de matrise des processus et donc du contrle interne.
12.2 Identifier les domaines fort niveau de risques

Trop souvent on contrle l o il y a de la lumire et on laisse de ct les zones d'ombres. Cette dmarche est coteuse et peu efficace. Il est de loin prfrable de choisir les domaines mettre sous contrle en fonction d'une valuation des risques. L'effort sera plus adapt et le rsultat plus sr. Parmi toutes les fonctions et tous les processus, certains supportent des niveaux de risques particulirement importants alors que d'autres bnficient de niveaux nettement plus faibles. Il est dans ces conditions ncessaire de s'assurer que les principaux risques sont sous contrle et que des parades ont t mises en place afin de les matriser. Pour identifier ces domaines haut risque, diffrentes approches peuvent tre utilises : chaque incident constat doit tre enregistr dans un journal par le responsable des risques et le responsable de la scurit informatique, qui dcrivent sa cause, ses impacts et les parades adoptes. les domaines risques des systmes dinformation doivent avoir t identifis : impact financier potentiel, confidentialit des donnes, rgles d'accrditation, risques de fraude, .
AFAI
38
des analyses de risques doivent tre effectues notamment en ce qui concerne la scurit des systmes informatiques. Ceci concerne aussi les PC, les serveurs, le rseau, les logiciels, . Il est ncessaire que ces valuations soient priodiquement effectues. On doit s'assurer que des mesures sont prises pour diminuer limpact de ces risques. les rsultats des audits internes et effectus doivent tre pris en compte. externes prcdemment
A la fin de ces travaux, une cartographie des risques est tablie qui prsente les risques majeurs ainsi identifis. Ils doivent tre priodiquement rvalus.
12.3 valuer les dispositifs de contrle interne de l'entreprise

Pour rduire ces risques, il est ncessaire de s'assurer du niveau de matrise par le management de l'entreprise des dispositifs de contrle interne, en valuant les diffrents dispositifs actuellement en place : analyser les documents dfinissant les dispositifs de contrle interne de l'entreprise et leur mise en uvre, en se concentrant sur les diffrents composants du systme d'information : quipements informatiques, applications, donnes et scurit. s'entretenir avec quelques dirigeants de l'entreprise pour valuer leur niveau de connaissance des dispositifs de contrle interne et notamment du rle des systmes d'information dans le contrle. Leur demander les instructions qu'ils ont donnes dans ce domaine leurs collaborateurs et aux dveloppeurs informatiques. en cas de doute, effectuer des audits permettant d'valuer la qualit des contrles et des dispositifs de scurit mis en place, notamment : o les donnes saisies, o l'intgrit et le contenu des bases de donnes, o les traitements effectus, o les sorties : ditions et consultations, o les rgles et les modalits de la conservation des donnes, o la disponibilit du systme. s'assurer que le personnel de l'entreprise partage un savoir commun la dmarche de contrle interne. Il faut un tronc commun et un langage commun destins toutes les personnes concernes par le contrle interne de l'entreprise. C'est la fois un problme d'organisation et de contrle interne.
AFAI
39
A l'issue de ces travaux une charte de contrle interne doit tre tablie et on doit s'assurer qu'elle comprend le systme d'information.
12.4 Matriser l'approche par les processus

Le dveloppement des mesures de contrle interne repose en grande partie sur le renforcement des processus de l'entreprise et notamment la mise en place de contrles plus puissants et plus efficaces. Il faut pour cela : reprer les processus ayant un niveau de risque lev. On va pour cela s'attacher identifier : les applications informatiques mises en uvre dans le processus. les donnes et particulirement leur qualit et leur fiabilit. l'efficacit de l'organisation en place. sassurer de la qualit de la documentation des processus et des contrles mis en place. Si cest ncessaire il faut la faire complter. L'absence de documentation des processus est un facteur de risque important. On doit homogniser l'ensemble des documentations des procdures, les complter et, si ncessaire, les mettre en cohrence. valuer la maturit de l'ensemble des processus de l'entreprise. Cette valuation doit tre faite par un expert comptent et indpendant. Il doit en particulier s'attacher apprcier la pertinence des dispositifs de contrle interne mis en uvre. nommer un responsable de chaque processus, charg de surveiller en permanence son fonctionnement, de dtecter des dysfonctionnements et le cas chant de prendre des mesures permettant d'amliorer l'efficacit des dispositifs de contrle interne. s'assurer qu'un membre du comit de direction a la responsabilit de l'ensemble des processus. Il doit s'assurer du fonctionnement rgulier et efficace de l'ensemble des processus. Il a pour mission d'organiser la coopration des diffrentes personnes concernes, internes ou externes, comme les comptables, les contrleurs de gestion, les auditeurs internes, les responsables qualit, faire auditer les principaux processus par des experts indpendants ou par des auditeurs. Ceci concerne les AFAI
40 processus mtiers mais aussi les processus informatiques. L'objectif est de dtecter des fragilits et des contrles insuffisants. Comme on le voit, ces dmarches demandent un premier niveau de maturit. Pour russir cette tape il est ncessaire d'avoir parfaitement matriser l'tape n1 : Dvelopper l'approche par les processus.
12.5 Mettre en place des mesures a minima concernant lactivit informatique

Un certain nombre de mesures simples peuvent tre prises sur les activits informatiques elles-mmes pour renforcer les dispositifs de contrle interne, comme par exemple : renforcer les sauvegardes et vrifier qu'elles sont exploitables. En cas de doute demander qu'une simulation de redmarrage soit faite sur le site de secours. s'assurer que toutes les transactions sont enregistres (existence d'un log), notamment les crations ou les mises jour des bases de donnes, et qu'il est possible de redmarrer aprs un incident avec des bases de donnes jour. pour les applications stratgiques ou fort enjeu, s'assurer que les conditions de la continuit de service sont garanties : o les matriels sont redondants, y compris les disques, o les bases de donnes sont simultanment mises jour, o les liaisons de tlcommunication sont doubles, o les alimentations lectriques ne sont pas branches sur le mme rseau et il existe une alimentation de secours, o ... amliorer les mesures d'activit, et tablir un tableau de bord des principales fonctions informatiques : o les tudes, o les projets critiques, o l'exploitation, o la maintenance, o le help-desk, o dfinir un tableau de bord par application, rassemblant des indicateurs tels que : o les volumes traiter (par mois, par jour, par heure, par minute,),
AFAI
41 les temps de rponse, la disponibilit, les cots de l'application, les effectifs utilisant l'application, la productivit (comme le nombre de dossiers par jour et par personne), o la charge de maintenance, o o o o o o enregistrer toutes les anomalies dtectes dans une base de donnes spcifique. Les analyser systmatiquement et rechercher leurs causes. C'est le meilleur moyen de comprendre les fragilits du systme d'information et ses risques potentiels. Il est sur cette base possible de prendre des mesures afin de corriger ces dfauts. priodiquement, tous les mois par exemple, effectuer une synthse de ces anomalies et diffuser un bref compte rendu des problmes dtects.
Ces mesures sont ncessaires afin d'assurer un niveau de contrle minimum. Si elles ne sont pas appliques il est recommand de remonter une alerte la direction gnrale car l'entreprise est probablement en situation de risque majeur.
12.6 Renforcer les dispositifs de contrle intgrs

Pour aller plus loin dans la mise en place de mesures de contrle interne, il faut sintresser aux contrles automatiss embarqus dans les programmes permettant de s'assurer que les oprations se droulent normalement. Ils concernent : - les donnes saisies : les contrles mis en place par les programmeurs sont-ils suffisants ? Faut-il les renforcer ? - les donnes se trouvant dans les bases de donnes, qui doivent tre vrifies pour s'assurer qu'elles ne comprennent pas d'erreurs, d'oublis ou d'informations inutiles, - le contrle des traitements pour s'assurer qu'il ne survient aucune erreur, ni oubli ni doublon : ceci concerne surtout les traitements batch mais on peut aussi effectuer ces contrles sur les traitements transactionnels, - le contrle des ditions et des consultations d'informations : il faut s'assurer que l'ensemble des tats dits est complet et qu'aucun document ne manque. C'est notamment le cas de l'dition de la paie, de la facturation, . On sattachera en particulier aux actions suivantes : tablir la liste des contrles existants et dfinir les contrles mettre en place. Il est ncessaire de disposer dun document de
AFAI
42 rfrence recensant tous les types de contrles possibles : on dcide ensuite les contrles qui doivent tre mis en uvre en fonction du niveau de risque constat. tous les contrles internes figurant dans les programmes alimentent automatiquement une base de donnes spcifique quels que soient leurs statuts (positif ou ngatif). Priodiquement, tous les mois par exemple, une analyse des contrles effectus au cours de la priode est ralise et un compte-rendu synthtique est rdig. dfinir et mettre au point des programmes de contrle des principales bases de donnes pour s'assurer de la qualit des informations qu'elles contiennent. Il est pour cela possible d'utiliser des progiciels d'aide l'audit. Ces programmes analysent une une toutes les occurrences de la base et s'il y a des liaisons entre bases ils analysent chaque chanage. Chaque zone doit tre contrle. tous les contrles de donnes doivent tre faits au moment de la saisie. Dans les traitements ultrieurs des anomalies peuvent tre constates. Il faut dans ce cas grer ces rejets et les recycler pour ne pas perdre d'information. prvoir des contrles globaux pour s'assurer de l'intgrit des donnes au cours de la priode, et notamment qu'aucune donne n'a t perdue au cours des traitements, que toutes les donnes ont t saisies et que les bases de donnes ont t mises jour.
Ceci correspond une volution des systmes de contrle. Voir Chapitre 10 : "Importance des contrles continus".
12.7 Mettre en place un systme d'information ddi aux contrles et au suivi des anomalies
Pour s'assurer de l'efficacit des dispositifs de contrle mis en place, il est ncessaire de dvelopper des outils de suivi des contrles effectus, permettant de garder trace des anomalies constates : s'assurer que tous les contrles prvus dans les applications et sur les bases de donnes sont rellement effectus. Pour cela, au fur et mesure qu'ils s'excutent, on alimente une base de donnes des contrles effectus, et lorsque des anomalies sont dtectes on enregistre les codes d'anomalies correspondants. Priodiquement cette base est analyse et une statistique des types d'anomalies est tablie. mettre en place un tableau de bord des contrles en place permettant de dtecter rapidement une dgradation du systme
AFAI
43 d'information. mettre en place un test de non-rgression pour s'assurer que tous les contrles dfinis sont effectivement en place et fonctionnent de manire correcte. effectuer priodiquement un traitement de contrle des principales bases de donnes en contrlant tous les items et tous les chanages entre bases. crer des bases de donnes (datawarehouse) alimentes par les grands processus : achats, ventes, production, A l'aide de logiciels d'audit, il sera possible d'effectuer des analyses du contenu, de la qualit et de la compltude de ces donnes.
12.8 valuer la qualit et l'efficacit des contrles en place

Il est ncessaire de rgulirement s'assurer que les contrles en place sont suffisants et efficaces. Si on constate une multiplication des incidents dus des dfauts de contrle, il faudra renforcer les contrles en place. effectuer priodiquement une analyse des incidents dus des dfauts de contrle. Les premiers concerns sont les utilisateurs. Ds qu'ils constatent une anomalie, ils doivent la signaler et la dcrire. Elles sont normalement analyses et les dfauts constats sont corrigs. Parmi ces anomalies, les dfauts de contrle doivent tre particulirement pris en compte. Cette revue peut tre conduite dans un domaine applicatif donn ou pour l'ensemble de l'entreprise. dans le cas o un domaine ou un processus a rencontr des dfauts de contrle rcurrents, il est recommand d'effectuer un audit. C'est le meilleur moyen d'apprcier la qualit et l'efficacit des contrles en place. Laudit va faire apparatre les points faibles et des points forts permettant de dgager des recommandations. effectuer tous les 2 ou 3 ans une valuation de tous les processus de lentreprise dans le cadre des audits d'applications.
AFAI
44
12.9 Renforcer les processus informatiques

Il est ncessaire de : s'assurer que le service informatique connat et applique CobiT. Ceci peut se faire de diffrentes manires et notamment en vrifiant que les principaux objectifs des processus CobiT sont appliqus. Si ncessaire, valuer leur degr de maturit. vrifier qu'il existe un systme de management par la qualit conforme un rfrentiel tel que la norme ISO 9001 : 2000. mettre en place l'exploitation le rfrentiel ITIL et si on constate des fragilits d'exploitation, amliorer les pratiques. mettre en place aux tudes le rfrentiel CMMi et si on constate des fragilits dans le domaine des projets, amliorer les pratiques. lever le niveau des exigences et des spcifications de contrle interne en regard du niveau des performances attendues. La dmarche consiste augmenter progressivement le niveau des standards, de faon amliorer le niveau de contrle interne. La rfrence est CobiT, mais on peut aussi sappuyer sur ITIL et CMMi.
AFAI
45
13 Annexes
Annexe 1 : Application du cadre de l'AMF aux systmes d'information
Annexe 2 : Le COSO appliqu aux systmes d'information Annexe 3 : Bibliographie
AFAI
46
1 - Application du cadre de l'AMF aux systmes d'information

Les systmes dinformation participent aux 5 composantes du contrle interne telles que dfinies par le cadre de l'AMF (Chapitre 4 "Le contrle interne en environnement informatique : le rle du cadre de l'AMF"). Le tableau ci-aprs indique, pour chacun des thmes abords dans le cadre de l'AMF, les recommandations faites par AFAI prcisant la faon dont ces thmes peuvent tre pris en compte.
Cadre de l'AMF Composante Organisation Une organisation sappuyant sur des systmes dinformation appropris . des systmes dinformation adapts aux objectifs actuels de lorganisation et conus de faon pouvoir supporter ses objectifs futurs. Les systmes informatiquesdoivent tre protgs efficacement tant au niveau de leur scurit physique que logique afin dassurer la conservation des informations stockes leur continuit dexploitation doit tre assure au moyen de procdures de secours les informations relatives aux analyses, la programmation et lexcution des traitements doivent faire lobjet dune documentation des procdures ou modes opratoires qui prcisent la manire dont devrait saccomplir une action ou un processus des outils ou instruments de travail (bureautique, informatique) qui doivent tre adapts au besoin de chacun et auxquels chaque utilisateur devrait tre dment form DIFFUSION DINFORMATION La diffusion en interne dinformations pertinentes, fiables, dont la connaissance permet chacun dexercer.. Composante systme d'information prendre en compte C'est le thme de la gouvernance des systmes d'information (alignement entre les systmes dinformation et les besoins utilisateurs, prise en compte des besoins futurs)
Scurit des systmes d'information (protections logiques et physiques des systmes informatiques, continuit dexploitation / plan de secours) Qualit des processus informatiques (documentation des processus de dveloppement et de production , ainsi que les procdures de gestion des modifications ) Fiabilit des oprations supportes par le systme d'information (description des processus et modes opratoires lien troit avec les systmes d'information) Fiabilit des oprations supportes par le systme d'information (formation des utilisateurs aux outils)
Scurit des systmes d'informations (le systme d'information est le principal circuit de diffusion des informations au sein dune organisation, travers linfrastructure existante et les outils mis en place. Ces lments doivent rpondre des objectifs de fiabilit, de confidentialit et de disponibilit la traabilit est galement importante). Des dispositifs de contrle des flux de
AFAI
47
donnes permettent de s'assurer de l'exactitude et l'exhaustivit (intgrit) des donnes en entre et en sortie du systme d'information. Ces contrles ne sont pas ncessairement inclus dans les dispositifs de scurit. Gestion des autorisations (la diffusion dinformation ncessite de mettre en place des mcanismes daccs et dautorisation dont la gestion incombe gnralement aux mtiers) GESTION DES RISQUES un systme visant recenser, analyser les principaux risques identifiables au regard des objectifs de la socit et sassurer de lexistence de procdures de gestion des risques Risk Management des systmes d'information ( Recenser, Analyser et grer les risques doit se dcliner au niveau des systmes d'information : le risque informatique sous toutes ses formes reste une proccupation forte ; les points rgler font encore dbat : o faut-il localiser la fonction, quelle mthode, quel rfrentiel choisir ? Le risque informatique nest pas encore assez bien pris en compte) Fiabilit des oprations (activits de contrles automatises : contrles inhrents au systme d'information, contrles paramtrs dans le systme d'information, contrles fonds sur des informations fournies par le systme d'information, autorisations)
ACTIVITES DE CONTROLES des activits de contrles proportionns aux enjeux propres chaque processus et conus pour sassurer que les mesures ncessaires sont prises en vue de matriser les risques susceptibles daffecter la ralisation des objectifs. Les activits de contrles sont prsentes partout dans lorganisation, tout niveau et dans toute fonction quil sagisse de contrles orients vers la prvention ou la dtection, de contrle manuels ou informatiques ou encore de contrles hirarchiques. En tout tat de cause, les activits de contrle doivent tre dtermines en fonction de la nature des objectifs auxquels elles se rapportent et tre proportionnes aux enjeux de chaque processus. Dans ce cadre, une attention toute particulire devrait tre porte aux contrles des processus de construction et de fonctionnement des systmes dinformation SURVEILLANCE Une surveillance permanente portant sur le dispositif de contrle interne ainsi quun examen rgulier de son fonctionnement
Surveillance mise en uvre par la Direction Gnrale sur les systmes d'information grce : - l'audit interne informatique, - l'assurance qualit faite par la direction qualit de la DSI, - la surveillance exerce par le Comit dAudit.
Figure 9 - Recommandations de l'AFAI sur le cadre de rfrence de l'AMF
AFAI
48
2 - Le COSO appliqu aux systmes d'information

En octobre 1985, la Treadway Commission (5) a constitu aux USA un groupe de travail runissant les grandes entreprises, les cabinets daudit et les associations professionnelles afin dtablir les rgles de contrle financier interne efficaces et d'amliorer la qualit des reportings financiers. Le COSO, (Committee of Sponsoring Organizations of the Treadway Commission) est le nom donn ce groupe de travail et qui, sur la base de ses recommandations, a rdig le COSO Framework ou rfrentiel COSO publi en 1992. Limportance accorde ce rfrentiel sest accrue lorsque la loi amricaine Sarbanes Oxley (SOX Act) a t adopte en juillet 2002 par le Congrs. SOX ne fournit pas de directives spcifiques quant la dfinition du contrle interne appropri, ce dernier pouvant varier sensiblement d'une entreprise l'autre. Cependant, dans ses rgles dictes en juin 2003, la SEC a identifi l'infrastructure de contrle interne COSO en tant qu'infrastructure rpondant ses critres en matire de recommandations pour l'valuation et le dveloppement des contrles. Par ailleurs, le COSO donne peu d'informations concernant les contrles spcifiques du systme dinformation. Par consquent, nombreuses sont les entreprises qui ont choisi CobiT (6) comme tant la meilleure voie pour rendre le systme d'information conforme aux exigences du COSO. Le cube COSO Le rfrentiel COSO a donn naissance un cube dont les 3 faces visibles reprsentent les 3 objectifs, les 5 composants et les activits de l'entreprise. Dans cette approche en cube , chaque activit contribue la ralisation des 3 objectifs. Pour chacune delle, et pour chacun de ces 3 objectifs, il sagit danalyser les 5 composantes du contrle interne.
5 - Treadway est le snateur qui a dirig la commission. Il a t membre de la Securities and Exchange Commission et le premier prsident du COSO. 6 - Voir IT Control Objectives for Sarbanes-Oxley publies par lIT Governance Institute. Ce document reprend les lments du COBIT et du COSO, dans le but de rpondre aux exigences du SOX Act.
AFAI
49
Objectifs
rm fo ra n pe o C O Environnement de Contrle
it
ns tio
n io at ire rm c fo an In Fin
Composants
Evaluation des risques Activits de contrle Information et Communication Supervision
Figure 10 - Le cube du COSO, 1re version 1 La combinaison des trois objectifs, des cinq composants et des diffrentes activits de l'entreprise, vue comme trois axes d'analyse distincts, donne la base des valuations raliser: Evaluer dans toute entit et pour toute activit la faon dont chacun des 5 composants du contrle interne participe chacun des 3 objectifs . Les trois objectifs Le COSO dfinit le contrle interne comme un processus mis en uvre par les dirigeants tous les niveaux de lentreprise et destin fournir une assurance raisonnable quant la ralisation des trois objectifs suivants : la ralisation et l'optimisation des oprations, la fiabilit des informations financires, la conformit aux lois et rglements.
Les cinq composants Les cinq composants ont pour objectif lamlioration du systme du contrle interne de lorganisation et ils sont interconnects. Il sagit de : l'environnement de contrle, l'valuation des risques, les activits de contrle, l'information et la communication, qu'il s'agit d'optimiser, la surveillance, c'est--dire le contrle du contrle interne.
AFAI
Activit Entit Site
50 Lenvironnement de contrle et le systme dinformation (SI) Ce composant constitue le fondement de tous les autres composants du contrle interne ; il tablit the tone at the top. L'environnement du contrle contient notamment l'intgrit et les valeurs thiques d'une organisation, la philosophie et le style de la direction, la manire dont les comptences et les responsabilits sont attribues. Le contrle interne informatique sappuie sur lenvironnement de contrle de lorganisation et concerne l'attribution de l'autorit et de la responsabilit des activits. Les solutions de gestion des identits et des accs sont un lment essentiel du dispositif. Compte tenu des caractristiques intrinsques du systme dinformation, une attention particulire est porte l'alignement mtier du systme dinformation, aux rles et responsabilits, aux politiques et procdures et aux comptences techniques. Par exemple, les points de vigilance adresser sont : le systme dinformation est souvent considr comme une organisation spare des mtiers ce qui conduit, tort, tablir un environnement de contrle spar. il est complexe, non seulement en ce qui concerne ses composants techniques, mais aussi en termes dintgration dans le systme de contrle interne de lorganisation. il peut exposer lorganisation des risques spcifiques qui exigent des activits de contrle adquates pour rduire les risques. il exige des comptences spcialises qui peuvent tre rares. il peut conduire un niveau de dpendance significatif sur la soustraitance dans le cas o des processus ou des composants du systme d'information seraient externaliss.
Evaluation des risques et le systme dinformation Toute organisation s'expose une multitude de risques tant externes qu'internes. L'analyse de risques est le processus qui identifie et value ces risques par rapport aux objectifs de l'organisation et forme ds lors la base pour le contrle des risques. La multiplication des risques li au contrle interne est probablement plus importante en ce qui concerne les systmes d'information que dans d'autres secteurs de l'organisation.
AFAI
51 Lvaluation des risques intervient : au niveau de lorganisation avec des campagnes dvaluation des risques des systmes d'information couvrant le management, la scurit des donnes, et le dveloppement. au niveau de chaque activit : l'exploitation des infrastructures, les processus de modification dune application,
Activits de contrle et systme dinformation Les activits de contrle rpondent au besoin de politiques, de procdures et d'actions spcifiques pour sassurer que les objectifs mtiers sont atteints. Elles sont mises en uvre pour traiter les risques. Le COSO imposant la matrialisation factuelle des contrles. Il s'agit ici dactivits tout les niveaux de l'organisation : approbations, comptences, vrifications, rconciliations, valuations de prestations oprationnelles, surveillance de l'actif et sparation des fonctions. COSO identifie deux grands groupes dactivits de contrle informatique : les contrles gnraux et les contrles applicatifs (7). Les contrles gnraux se rapportent au contrle interne appliqu la fonction informatique. Ils concernent les points suivants : la planification et l'organisation gnrale de l'activit informatique, la conception et le dveloppement des applications (les procdures de documentation, les revues, les tests et l'approbation des systmes ou des programmes et des changements qui y sont apports), la maintenance des applications et des systmes, les accs aux ressources matrielles et informationnelles (donnes et programmes), les autres contrles de donnes et les procdures affectant les oprations informatiques globales.
Les contrles applicatifs sont les contrles automatiss relatifs des tches ralises par le systme d'information. Associs aux contrles manuels, les contrles applicatifs apportent une assurance que les enregistrements, les traitements et le reporting des donnes sont correctement raliss.
7 - GLEIM Partie III
AFAI
52
Information- communication et systme dinformation Ce composant vise assurer que linformation pertinente est identifie, recueillie et diffuse dans les dlais appropris afin que lensemble du personnel puisse assumer ses responsabilits. Pour cela, les systmes dinformation doivent garantir que toutes les informations importantes sont collectes de manire fiable et ponctuelle et diffuses convenablement. Par exemple, le systme dInformation intervient en support pour identifier et communiquer des vnements significatifs laide du courrier lectronique ou des systmes d'aide la dcision. Surveillance et systme dinformation Les systmes de contrle interne doivent tre superviss pour valuer leur qualit et leur performance dans le temps. Cest le contrle du contrle , qui couvre diffrents types de suivi : le contrle continu, les valuations spares ou une combinaison des deux. Le contrle continu correspond la supervision normale du management oprationnel. La ncessit de conduire des valuations spares (tant en ce qui concerne le contenu que la dure) dpend des rsultats de l'analyse de risques et des activits de surveillance continue. Deuxime version du COSO
Figure 11 - Le cube du COSO, 2me version Publi en 2004, le COSO II Enterprise Risk Management Framework tient lieu de standard dans le cadre de la gestion des risques dentreprise. Le cube COSO visualise la gestion du risque en trois dimensions : du point de vue des objectifs de lentreprise tels le contrle interne, les AFAI
53 composantes de la gestion du risque lchelle de lentreprise et lorganisation de lentreprise. Selon le COSO II (8), le management des risques traite des risques et des opportunits ayant une incidence sur la cration ou la prservation de la valeur. Il se dfinit comme suit : Le management des risques est un processus mis en uvre par le conseil dadministration, la direction gnrale, le management et l'ensemble des collaborateurs de l'organisation. Il est pris en compte dans l'laboration de la stratgie ainsi que dans toutes les activits de l'organisation. Il est conu pour identifier les vnements potentiels susceptibles daffecter l'organisation et pour grer les risques dans les limites de son apptence pour le risque(9). Il vise fournir une assurance raisonnable quant l'atteinte des objectifs de l'organisation. La gestion des risques doit tre considre dans une optique de pilotage : quels risques veut-on absolument viter, quels risques sont inutiles, quels risques est-on prt prendre pour profiter de quelles opportunits ou conserver quel avantage ?
8 - www.coso.org : Le management des risques de l'entreprise - Cadre de Rfrence

9 - Apptence
au risque : niveau de risque souhait pour atteindre les objectifs de lentreprise
AFAI
54
3 - Bibliographie
1. CobiT : Gouvernance, Contrle et Audit de lInformation et des technologies associes ITGI dition franaise AFAI Version 4.1 Mars 2008 : www.isaca.org et www.afai.fr 2. Val IT : Cration de valeur pour l'entreprise : la gouvernance des systmes d'information ITGI - dition franaise AFAI Version 4.1 2006 : : www.isaca.org et www.afai.fr 3. IT control Objectives for Sarbanes-Oxley Version 2 septembre 2006- Ce texte est tlchargeable partir du site : www.itgi.org et www.isaca.org 4. Prise en compte de lenvironnement informatique et incidence sur la dmarche daudit - Compagnie Nationale des Commissaires aux Comptes (avec la participation de lAFAI) 5. Approche et mthode de la mission de diagnostic du contrle interne ou comment rpondre aux obligations de la loi sur la scurit financire Conseil Suprieur de lOrdre des Experts Comptables (encours avec la participation de lAFAI) 6. La nouvelle pratique du contrle interne Traduction du COSO Report (version 1) IFACI. Editions d'organisation. 1994 7. Le management des risques de lentreprise - Cadre de Rfrence Techniques dapplication Traduction du COSO II - IFACI. Editions d'Organisation. 2005 8. Le dispositif de contrle interne : Cadre de rfrence AMF (Autorit des Marchs Financiers) dit par l'IFACI et disponible sur le site de l'AMF : www.amf-france.org 9. An audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements Auditing Standard N2 PCAOB (The Public Compagny Accouting Oversight Board) Aot 2007 : www.pcaobus.org 10. An audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements Auditing Standard N5 PCAOB (The Public Company Accounting Oversight Board) Juin 2007 : www.pcaobus.org 11. AFAI Japan SOX : On the Setting of the Standard and Practice
55 Standards for Management Assessment and Audit concerning Internal Control Over Financial Reporting - Business Accounting Council Fvrier 2007 12. Mise en oeuvre d'un contrle interne efficace via un ERP : LSF, SOX, 8e Directive europenne, US GAAP, IFRS - Pascal Kerebel AFNOR 13. Contrle interne - Frdric Bernard, Rmi Gayraud, Laurent Rousseau Maxima, 2006 14. Livre blanc "Scurit Financire et Systme d'Information" Jean-Yves Galley, Pierre Bernassau 15. L'approche processus mode d'emploi- ditions Organisation Septembre 2006 - 2me dition 16. Audit 2me dition. Gestion des risques dentreprise et contrle interne. Hamzaoui - Pearson Education France. 17. Sarbanes-Oxley IT Compliance Using Open Source Tools, 2nd Edition 2007 - Christian B. Lahti, Roderick Peterson- ISACA 18. Sarbanes-Oxley Guide for Finance and Information Technology Professionals, 2nd Edition - Sanjay Anand - 2006- ISACA Manager's Guide to Sarbanes-Oxley Act: Improving Internal 19. Control to Prevent Fraud - Scott Green 2004- ISACA 20. IT Control Objectives for BASEL II: The Importance of Governance and Risk Management for Compliance - IT Governance Institute 2007 ISACA 21. Information Technology Audits - Lynford Graham, Xenia Ley Parker 2007 ISACA
AFAI

Contrôle Interne Et Système D'information: 2 Édition

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Contrôle Interne Et Système D'information: 2 Édition

Transféré par

Droits d'auteur :

Formats disponibles

1

Contrle interne et systme d'information

12.1 12.2 12.3 12.4

Table des illustrations

Franois Renault Prsident de l'AFAI

4 Le contrle interne en environnement informatis : le rle du cadre de l'AMF

5 Les processus au cur de ces dmarches

Evaluer flux potentiels

Analyser et identifier le(s) march(s)

Optimiser la chane logistique

Mettre les produits disposition

Dvelopper l'approche marketing

Distribuer les produits

Systmes d'information Finances Contrle de gestion Ressources humaines Juridique

Figure 1 Exemple de cartographie des processus de l'entreprise

6 Exemple pratique d'un processus

Dfinir la politique crdit Client

Prospecter & grer contacts Clients

Qualit paiements Client

Mettre jour Base Clients

Encours crdit Client

Figure 2 - Description du processus clients

Service Crdit Client

Service Administration des Ventes

Identifier le Client dans la Base Clients

Enregistrer le nouveau Client

Enregistrer la commande du Client

Tenir jour les plafonds crdit

Tenir jour les comptes clients et les paiements

Vrifier la capacit crdit du Client et le paiement des dernires factures

Traiter lincident avec le Client

Vrifier la disponibilit des marchandises

Proposer au client la modification de commande ou de dlai

Vrifier et valider la commande et engager la livraison

Transmettre le bon de commande valid au Magasin

Emettre laccus de rception

Figure 3 - Description de l'activit "Prendre la commande"

7 La matrise des donnes

7.1 Identifier les flux de donnes

Base clients Bon de livraison

Facture Base Produits Comptes clients

Figure 4 - Diagramme de flux d'une facturation

7.2 Contrler ces donnes

7.3 Obtenir une cartographie des bases de donnes

7.4 Vrifier lexistence de chemins de rvision

8 Stratgie de mise en uvre du contrle interne en milieu informatis

Contrles au niveau de lentit

Contrles gnraux informatiques

Figure 5 - Familles de contrle du Systme d'Information

9 L'audit informatique outil privilgi du contrle interne

9.1 Les dmarches de contrle et de supervision au sein de l'entreprise

Figure 6 - Relations de l'audit informatique au contrle interne

Ainsi, travers ses trois domaines dintervention, laudit informatique joue

26 un rle majeur au service du contrle interne.

Gouvernance Gouvernance de dela lavaleur valeur (GV) (GV)

Gestion Gestion du duportefeuille portefeuille (GP) (GP)

Gestion Gestion de delinvestissement linvestissement (GI) (GI)

Source : IT Governance Institute, 2006

Figure 7 - Le rfrentiel ValIT

SE1 SE2 SE3 SE4

Surveiller et Evaluer Pilotage

Planifier Planification et organisation & organiser

Dlivrer Mise disposition & supporter & support