1

Contrle interne
et
systme
d'information
2me dition
Version valide
Version 2.2
Groupe de travail Contrle Interne de l'AFAI :
Nicolas Bonnet
Laurent Gobbi
Jean-Florent Girault
Jean-Michel Mathieu
Vincent Manire
Gina Gulla-Menez
Franois Renault
Claude Salzman
Serge Yablonsky
Groupe de validation :
Pascal Antonini
Maryvone Cronnier
Renaud Guillemot
Michel Leger
Stphane Lipski
Bertrand Maguet
Philippe Trouchaud
Paris, 6 juillet 2008
V 2.2

Sommaire
1

Executive Summary ............................................................................................... 4

Prface ........................................................................................................................... 5

Introduction ............................................................................................................... 6

4 Le contrle interne en environnement informatis : le rle du

cadre de l'AMF ................................................................................................................... 8
5

Les processus au cur de ces dmarches ............................................. 11

Exemple pratique d'un processus................................................................ 14

La matrise des donnes ................................................................................... 17

7.1

Identifier les flux de donnes ........................................................................... 17

7.2

Contrler ces donnes ........................................................................................... 18

7.3

Obtenir une cartographie des bases de donnes .................................. 19

7.4

Vrifier lexistence de chemins de rvision .............................................. 20

8 Stratgie de mise en uvre du contrle interne en milieu

informatis ........................................................................................................................ 21
9

L'audit informatique outil privilgi du contrle interne.............. 24

9.1 Les dmarches de contrle et de supervision au sein de
l'entreprise................................................................................................................................. 24
9.2 Les trois domaines de laudit informatique et leur apport au
contrle interne ...................................................................................................................... 26

10

Importance des contrles continus........................................................ 31

11

Cas dune mission daudit du processus dachats ......................... 33

12

Guide oprationnel ........................................................................................... 36

12.1

Dvelopper l'approche par les processus .............................................. 36

12.2

Identifier les domaines fort niveau de risques............................... 37

12.3

valuer les dispositifs de contrle interne de l'entreprise.......... 38

12.4

Matriser l'approche par les processus.................................................... 39

12.5
Mettre en place des mesures a minima concernant lactivit
informatique.............................................................................................................................. 40
12.6

Renforcer les dispositifs de contrle intgrs .................................... 41

12.7
Mettre en place un systme d'information ddi aux contrles
et au suivi des anomalies.................................................................................................. 42
12.8

valuer la qualit et l'efficacit des contrles en place ................ 43

12.9

Renforcer les processus informatiques................................................... 44

13

Annexes................................................................................................................... 45

AFAI

3
1 - Application du cadre de l'AMF aux systmes d'information ........ 46
2 - Le COSO appliqu aux systmes d'information................................... 48
3 - Bibliographie............................................................................................................. 54

Table des illustrations

Figure 1 Exemple de cartographie des processus de l'entreprise .............. 11
Figure 2 - Description du processus clients ............................................................ 14
Figure 3 - Description de l'activit "Prendre la commande"............................. 15
Figure 4 - Diagramme de flux d'une facturation ................................................... 18
Figure 5 - Familles de contrle du Systme d'Information............................... 21
Figure 6 - Relations de l'audit informatique au contrle interne .................... 25
Figure 7 - Le rfrentiel ValIT ...................................................................................... 27
Figure 8 - Les 34 processus de CobiT
29
Figure 9 - Recommandations de l'AFAI sur le cadre de rfrence de l'AMF
.................................................................................................................................................. 47
Figure 10 - Le cube du COSO, 1re version 1 ......................................................... 49
Figure 11 - Le cube du COSO, 2me version ............................................................ 52

AFAI

1 Executive Summary
Aux Etats-Unis la loi Sarbanes-Oxley et en France la loi sur la Scurit
Financire ont rendu obligatoire la mise en place de dispositifs de contrle
interne. Cette contrainte a eu un effet positif. L'exprience a montr que
le renforcement des procdures a eu un certain cot mais, si cette
dmarche est bien manage, elle peut en rapporter encore plus. C'est un
investissement rentable en rationalisation et en renforcement de
l'efficacit de l'entreprise. L'allgement des structures est devenu un enjeu
primordial. L'amlioration des processus les rend plus performantes. Il est
pour cela ncessaire de disposer de procdures internes efficaces et de
matriser les risques.
La mise en place de dispositif de contrle interne repose en grande partie
sur le contrle de l'informatique. C'est un point de passage oblig. En
effet, dans la plupart des grandes et des moyennes entreprises, la quasitotalit des procdures repose aujourd'hui sur des traitements
informatiques, des serveurs, des bases de donnes, . La mise en place
de diffrents dispositifs de contrle interne efficaces se fait et se fera de
plus en plus l'aide de systmes d'information conus cet effet. Toutes
les applications informatiques existantes doivent en tenir compte et le cas
chant doivent tre revues pour prendre en compte des rgles de
contrle interne et pour, ventuellement, corriger d'ventuelles fragilits
des dispositifs de contrle interne en place.
La loi fait aujourd'hui obligation de mettre en place et de dvelopper des
dispositifs de contrle interne. Ceci exige danalyser et de perfectionner
les principaux processus de l'entreprise et de mettre en place des
dispositifs de contrle interne. C'est le cur de la dmarche. Il est aussi
ncessaire de renforcer le contrle des donnes car l'exprience montre
que c'est un domaine encore fragile qui ncessite des dispositifs de
contrle rigoureux.
Il est pour cela ncessaire de plonger dans les applications informatiques
et des bases de donnes de faon imaginer des solutions plus sres,
plus efficaces, plus productives, C'est le rle de l'audit informatique.
C'est un des moyens les plus efficaces pour s'assurer que les bonnes
pratiques en matire de systme d'information sont effectivement
appliques. Cette dmarche garantit que les contrles et les scurits
ncessaires sont en place et donnent les rsultats attendus.
Le dveloppement du contrle interne va donc se faire, en grande partie,
grce au renforcement les dmarches de contrle et d'audit informatique.
Il faut s'y prparer et s'organiser en consquence. Il est pour cela
ncessaire de mettre en place un programme de renforcement des
pratiques grce un plan d'action qui doit tre planifi et men dans la
dure.

AFAI

Prface

Le dveloppement du contrle interne est une ncessit. Si certains y

voient encore la multiplication de contraintes sans contrepartie, la
majorit considre dsormais que la mise en uvre dun contrle interne
efficace est indissociable dune bonne gouvernance des entreprises.
Lobjet de ce document est de montrer limportance, dans une dmarche
de revue du niveau de contrle interne, d'valuer le contrle interne
embarqu dans le systme dinformation et le rle capital de laudit
informatique dans cette dmarche.
Les processus oprationnels des entreprises tant pour la plupart
informatiss, le systme dinformation est le support de nombreuses
procdures de contrle interne. Il est ncessaire de garantir que les
contrles ncessaires sont en place dans les applications et les systmes,
quils sont efficaces et quils le resteront dans le temps.
Le maintien dun dispositif de contrle interne efficace dans le temps ne
peut tre obtenu que par une bonne gouvernance des systmes
dinformation, intgrant la matrise des risques et la conformit aux lois et
rglements. Le rfrentiel CobiT, aujourdhui dans sa quatrime version,
apporte aux organisations et leurs parties prenantes les notions et les
outils leur permettant de gouverner efficacement leur systme
dinformation et, de l, de contribuer linstauration dun bon niveau de
contrle interne par linformatique, en alliant performance et scurit.

Franois Renault
Prsident de l'AFAI

AFAI

3 Introduction
On assiste depuis quelques annes au renforcement de la notion de
contrle interne. Elle s'est rapidement impose la suite de divers
incidents qui ont fait apparatre des fragilits croissantes dans les
processus de reporting financier des grandes entreprises elles-mmes
dues en grande partie des fragilits organisationnelles. Lexigence de
contrle interne sest renforce la suite de la sur-communication de ces
insuffisances. Les dirigeants dentreprises sont d'autant plus sensibles
ces recommandations que depuis plusieurs annes les lgislateurs
s'efforcent d'imposer aux entreprises une plus grande transparence.
Simultanment, on constate le dveloppement acclr des systmes
d'information pousss par les progrs rapides des technologies
informatiques. Ils sont devenus l'ossature des entreprises. La plupart des
oprations effectues se font l'aide des outils informatiques disponibles.
Les applications de gestion, en particulier les ERP, structurent
profondment la manire de travailler et dterminent la manire dont se
font les changes avec les diffrents partenaires. Elles contribuent la
structuration des processus de l'entreprise.
On a ainsi progressivement pris conscience de l'importance de leur rle
dans le fonctionnement de l'entreprise. Traditionnellement les oprations
taient analyses par fonction : les comptables, les gestionnaires du
personnel, les acheteurs, le planning de production, les mthodes,
Progressivement les processus ont structur les oprations de faon les
enchaner de manire transverse. C'est une mutation majeure dans
l'approche classique des organisations. Au lieu de structurer les oprations
par les fonctions, elles sont organises par processus. Cela permet d'avoir
une vision d'ensemble des activits de l'entreprise.
Pour cela il est ncessaire de suivre le flux des donnes d'un bout l'autre
de l'entreprise et mettre en place des contrles d'tape en tape. Il est
aussi possible de contrler les bases de donnes qui stockent ces
informations. C'est le cur de la dmarche de contrle interne des
systmes d'information.
Son but est de s'assurer que tout se passe bien. C'est aussi le rle de
l'audit informatique. Les dmarches mettre en uvre sont trs voisines.
Les entreprises doivent mettre en place des procdures adaptes. Elles
interviennent de trois manires diffrentes :
-

L'informatique est un lment cl de la gouvernance de l'entreprise.

Pour amliorer son efficacit, on doit s'efforcer de renforcer la
matrise de l'informatique.

AFAI

Les contrles propres l'informatique, y compris les procdures de

scurit, permettent d'amliorer la qualit et l'efficacit des
diffrentes activits de l'entreprise.

On insre de plus en plus souvent des contrles embarqus dans

la plupart des traitements informatiss. Ces contrles permettent de
mieux matriser les oprations gres par l'entreprise et donc
d'amliorer son efficacit.

Face ces proccupations, le cadre lgislatif a volu : LSF (Loi sur la

Scurit Financire), SOX (Sarbanes-Oxley Act), J-SOX (SOX japonais).
On assiste au dveloppement de dmarches sur la base de cadres de
rfrence, comme celui de l'AMF (Autorit des Marchs Financiers) ou celui
du COSO, Committee of Sponsoring Organizations of the Treadway
Commission (1). Pour linformatique, on utilise le CobiT, Control Objectives
for Information and related Technology (2).
Pour rpondre ces attentes nous allons examiner les points suivants :
Chapitre 4.
Les contrles internes en environnement informatis.
Chapitre 5.
Les processus au cur de ces dmarches.
Chapitre 6.
Un exemple de processus clients.
Chapitre 7.
La matrise des donnes .
Chapitre 8.
Les stratgies de mise en uvre du contrle interne en
milieu informatis.
Chapitre 9.
L'audit informatique, outil privilgi du contrle interne.
Chapitre 10. L'importance des contrles continus.
Chapitre 11. Le cas d'une mission d'audit d'un processus.
Chapitre 12. Un guide oprationnel, qui propose un certain nombre de
recommandations.
Ce rapport est complt par trois annexes :
1. Application du cadre de l'AMF aux systmes d'information.
2. Le COSO appliqu aux systmes d'information. Il est important de
comprendre les concepts sous-jacents la premire et la
deuxime version de ce document de rfrence.
3. Une bibliographie sur le sujet.

1 - Voir annexe 2.
2 - CobiT : Gouvernance, Contrle et Audit de lInformation et des technologies associes
ITGI (IT Gouvernance Institute) dition franaise AFAI. CobiT est le rfrentiel d'audit
informatique le plus largement reconnu.
AFAI

4 Le contrle interne en environnement

informatis : le rle du cadre de l'AMF
Le cadre de rfrence de lAMF dfinit le contrle interne par ses
objectifs :
- veiller la conformit aux lois et rglements ,
- assurer lapplication des instructions et des orientations fixes par
la Direction gnrale ou le Directoire de l'entreprise,
- maintenir le bon fonctionnement des processus internes de la
socit, notamment ceux concourant la sauvegarde de ses
actifs ,
- garantir la fiabilit des informations financires .
Le contrle interne comprend cinq composantes :
- une organisation, sappuyant sur des systmes dinformation
appropris,
- une diffusion efficace de linformation pertinente,
- un dispositif didentification, de suivi et de gestion des risques,
- des activits de contrle proportionnes aux enjeux,
- une surveillance permanente du dispositif de contrle interne.
Le fait que lentreprise soit informatise ou non na pas d'influence sur la
dfinition du contrle interne. Cependant, cela a un impact fort sur
certaines de ces composantes. (Voir l'analyse dtaille dans lannexe 1
"Application du cadre de l'AMF aux systmes d'information").
Aujourdhui, les systmes informatiques sont un des lments cls des
processus des organisations. Ils constituent la base des activits de
contrle. C'est la quatrime composante du contrle interne.
Ces contrles peuvent tre :
- manuels,
- automatiss,
- manuels partir dtats produits par des systmes informatiques.
En ce qui concerne les contrles automatiss, ils sont cods dans des
applications qui retranscrivent les logiques mtiers. Il est donc
indispensable, pour que le contrle interne soit efficace, de vrifier que :
- les contrles automatiss sont pertinents, adapts, correctement
implments et prennes,
- seules les versions valides des applications sont mises en
production,
- les contrles automatiss ne peuvent pas tre contourns au moyen
dutilitaires, que ce soit au niveau des bases de donnes, du
middleware, du systme dexploitation ou du rseau.

AFAI

9
En ce qui concerne les contrles manuels raliss partir dtats issus de
systmes informatiques, ils ne seront efficaces que si ces tats sont
fiables. On en revient donc des proccupations voisines de celles
relatives aux contrles automatiss :
- Lorigine de linformation est-elle pertinente ?
- Les applications produisant les tats sont-elles valides ?
- Les donnes peuvent-elles tre altres avant leur impression ou
leur affichage ?
Do limportance du rle des systmes dinformation dans le dispositif de
contrle interne, souligne par les auteurs du cadre de rfrence dans la
description de la premire composante du contrle interne, lorganisation.
Les objectifs relatifs aux systmes dinformation sont les suivants : ils
doivent tre conus et mis en uvre dans le but de traiter et dlivrer en
temps voulu, en toute circonstance, une information fiable et adapte aux
besoins de lorganisation. Ils doivent assurer la protection des
informations contre laltration et la divulgation des tiers non autoriss.
Ils doivent galement permettre de reconstituer les oprations effectues.
Lvolution de ces systmes doit tre matrise et conforme aux objectifs
de lorganisation.
Lusage de systmes informatiss impose le respect de lois spcifiques et
introduit de nouveaux risques, quil faut identifier et traiter. Nous citerons,
par exemple, les risques suivants :
- l'excs de confiance dans des systmes ou des applications traitant
incorrectement les donnes, ou traitant des donnes incorrectes, ou
les deux la fois ;
- l'accs non autoris des donnes, pouvant entraner laltration ou
la destruction dinformation, lenregistrement de transactions
frauduleuses ou le passage dcritures comptables errones ;
- les droits d'accs accords au personnel informatique aux systmes
pouvant entraner une violation du principe de sparation des
fonctions ou du principe de besoin den connatre ;
- la modification non autorise de donnes de rfrence ;
- la modification non autorise de programmes ou de paramtres ;
- l'incapacit apporter les modifications requises dans les systmes
et les programmes ;
- les interventions manuelles intempestives dans les systmes ;
- la perte de donnes ou l'incapacit accder aux donnes lorsque
c'est ncessaire.
Lenvironnement de contrle interne de lorganisation doit intgrer
linformatique. Trop souvent on considre linformatique comme une
activit spare des mtiers et son environnement de contrle est
dconnect de celui de lorganisation. Or, on l'a vu, linformatique peut
introduire de nouveaux risques, qui exigent des contrles compensatoires
nouveaux ou amliors. Lattribution de la responsabilit des contrles est
parfois peu claire entre linformatique et les mtiers.

AFAI

10

Enfin, il est de plus en plus frquent que des processus informatiss ou

des composants informatiques soient externaliss. Dans ce cas,
lorganisation garde la responsabilit du contrle interne des activits
externalises et doit prendre des mesures visant garantir le maintien du
niveau de contrle interne de bout en bout, y compris chez les tiers.

AFAI

11

5 Les processus au cur de ces dmarches

La mise en place d'un contrle interne efficace passe par la comprhension
dtaille, de bout en bout, des activits de l'entreprise. A cette fin, la
reprsentation des processus s'impose comme un outil performant. La
cartographie des processus distingue ceux qui:
- concernent l'activit principale de l'entreprise,
- assurent un rle de support,
- remplissent un rle de pilotage.
Dans une entreprise il faut vendre, acheter, produire,.et aussi tenir la
comptabilit et grer les ressources humaines.
Il existe diffrentes
manires de reprsenter et de modliser une entreprise et ses processus.
La figure 1 ci-dessous nen est quune illustration gnrale. Chaque
entreprise tant diffrente, la cartographie de ses processus lui est
spcifique.
Processus de direction / pilotage
Piloter l'activit

Explorer

B
E
S
O
I
N
S
C
L
I
E
N
T
S

Analyser et
identifier le(s)
march(s)

Evaluer flux
potentiels

Optimiser
la chane
logistique

Dvelopper

Mettre les
produits
disposition

Dvelopper
l'approche
marketing

Produire

Vendre
au client

Grer le
march

Distribuer
les produits

Processus oprationnels

Systmes d'information
Finances Contrle de gestion
Ressources humaines
Juridique

Processus support

Figure 1 Exemple de cartographie des processus de l'entreprise

AFAI

S
A
T
I
S
F
A
C
T
I
O
N
C
L
I
E
N
T

12
Dans une logique de march on peut, comme lillustre cet exemple,
regrouper les processus en trois grandes familles :
1. Les processus oprationnels vont de la conception la ralisation
des produits et des services que lentreprise fournit ses clients.
Ceux-ci comprennent par exemple les achats, la production, la
logistique, la vente et le support aprs-vente. Le bon
fonctionnement
de
ces
processus
conditionne
lexcellence
oprationnelle de la socit et exige une vigilance toute particulire
en matire de contrle interne.
2. Les processus support regroupent toutes les fonctions de soutien
la mise en uvre et lexploitation des processus lis aux produits
et services de lentreprise ainsi que ceux destins au bon
fonctionnement de celle-ci. Ce sont notamment la gestion des
ressources humaines, la gestion financire, la gestion des
connaissances, linformatique, le juridique.
3. Les processus de direction et de pilotage o vont tre
concentres toutes les responsabilits et les autorits relevant de la
direction, en particulier tous les aspects lis la stratgie de
dveloppement de lentreprise et son dploiement oprationnel, la
stratgie produit-service ainsi qu la mise disposition de toutes les
ressources ncessaires, et au pilotage de lensemble sous les angles
financiers, humains, technologiques, industriels, commerciaux et
qualit, ainsi, bien sr que de contrle. Ce sont par exemple : la
dfinition des orientations stratgiques, la culture et lthique, les
dlgations de pouvoirs, les contrles et les valuations,.
Ces diffrents processus interagissent en permanence selon des cycles
trs variables, rythms par diffrents vnements, que ce soit la dcision
dinvestissement dans une nouvelle gamme de produits et de prestations,
la mise disposition dun produit, ou encore la fin dun exercice fiscal, etc.
Certains de ces processus sexercent en continu et sont lis des activits
rcurrentes, dautres sont momentans, lis une action ponctuelle ou
relvent de la conduite de projet.
Matriser un processus, cest dabord le documenter en tenant compte de
sa complexit. Il faut pour cela procder en trois tapes :
1. Le schma global des processus permet d'avoir une vision
d'ensemble de lactivit et du fonctionnement de lentreprise. Cette
approche est la mme que pour une dmarche qualit, un schma
directeur informatique, une cartographie des risques
2. La reprsentation dtaille de chacun des processus met en
vidence lenchanement des activits et les principaux flux
dinformations.
3. Lanalyse dtaille des processus documente les tches
manuelles et automatises et prcise leurs enchanements sous
AFAI

13
forme de diagrammes. Cet exercice de diffrenciation des tches
informatises et manuelles fait apparatre pour de nombreux
processus de l'entreprise que le systme dinformation en constitue
en fait la colonne vertbrale. Do limportance majeure accorde au
systme dinformation en matire de contrle interne.
Cette reprsentation permet :
- de dterminer les points de contrle : type, localisation,
- de mesurer lefficacit du contrle.
La forme la plus aboutie de contrle interne devrait permettre en dfinitive
dvaluer :
- les performances internes du processus : le processus sexcute
bien et de faon rptable et efficace sous le contrle de la direction
de l'entreprise ;
- les performances externes du processus : le processus fournit un
niveau de performance cohrent avec celui des autres processus
pour atteindre des objectifs gnraux de lentreprise.
Ainsi les processus deviennent le langage commun de tous les acteurs qui
pratiquent le pilotage, lorganisation, la conception des systmes
dinformation ou laudit dans lentreprise.
C'est par ce langage commun que peut tre mis en place un dialogue
damlioration permanente au sein de lentreprise. Il lui garantit la
prennisation de ces processus mais aussi de rester agile pour adapter en
permanence son organisation l'volution de son environnement et des
besoins de ses clients. A cet gard, le contrle interne est un outil
essentiel la dtection le plus en amont possible des besoins d'volutions
des processus.

AFAI

14

6 Exemple pratique d'un processus

Pour bien comprendre limportance des processus dans la dmarche de

contrle interne, prenons par exemple la reprsentation simplifie dun
processus commercial, couvrant les tches allant de la prospection des
clients au paiement des factures.

Dfinir
la politique
crdit Client

Prospecter
& grer contacts Clients

Politique crdit

Qualit paiements Client

Informations Client

Mettre jour
Base Clients
Limites crdit Client

Encours crdit Client

Prendre la commande

Bon de commande

Client
Client
Biens et Services livrs

Livrer
Confirmation
contenu livraison

Facture

Facturer
Elments comptabiliser

Paiement recevoir

Paiement

Comptabiliser

Encaisser

Figure 2 - Description du processus clients

Ce schma rsume les 3 grandes tapes du processus :

AFAI

La prospection et lenrichissement de la base Clients :

par la cration de nouveaux clients ou prospects,
par la mise jour de la politique de crdit pour chaque
prospect ou client, en fonction de la situation financire de sa

15
Socit, mais aussi dventuels incidents constats sur ses
paiements ;

La prise de commande (tenant compte des limites de crdit du

client et des encours de paiement recevoir) et la livraison ;

Le suivi administratif de la vente qui se traduit par :

ldition de la facture,
la comptabilisation du chiffre daffaires correspondant en
comptabilit clients,
le suivi du paiement effectif, et la dtection des retards ou
incidents de paiement.

Chaque activit de ce processus peut tre elle-mme dcompose en

tches lmentaires, affectes aux diffrents acteurs ou services de
lentreprise, de faon dfinir une procdure de travail.
Par exemple, les tches du Service dadministration des ventes,
concernant lactivit Prendre la commande , peuvent tre dveloppes
selon le schma ci-dessous.

Comptabilit
- Trsorerie

Service
Commercial

Service
Administration des Ventes

Service
Crdit Client

Tenir jour
la Base Clients

Identifier le Client
dans la Base Clients

Fax ou courrier

KO
OK

Enregistrer le
nouveau Client

Enregistrer
la commande du Client

Tenir jour les

plafonds crdit

Tenir jour
les comptes clients
et les paiements

Vrifier la capacit
crdit du Client
et le paiement
des dernires factures

Client
Client

KO
OK

Vrifier
la disponibilit
des marchandises

Traiter lincident
avec le Client
KO

OK

Proposer au client
la modification
de commande
ou de dlai

Vrifier et valider
la commande et engager
la livraison

Transmettre le bon
de commande valid
au Magasin

Emettre laccus
de rception

Figure 3 - Description de l'activit "Prendre la commande"

AFAI

A/R

16
Pour matriser les risques qui leur sont attachs, la mise en uvre de ces
tches saccompagne de rgles de gestion et de contrles tels que :
- naccepter que les commandes compltes et autorises par les
personnes habilites,
- vrifier que l'ensemble des commandes et des annulations de
commandes est enregistr de manire correcte,
- rejeter les commandes de tout client en dfaut de paiement,
- traiter les commandes uniquement dans les limites de crdit
autorises.
De la mme faon, concernant les autres activits, des rgles de gestion
et des contrles appropris devront tre mis en place :

l'activit Mettre jour la Base Clients comprend :

vrification et justification de toute information cre ou
modifie dans la base clients,
accs autoriss et limits la base clients,
approbation des limites de crdit,
contrle et validation des conditions de paiement,
vrification de l'unicit du client et du compte client.

lactivit Livrer comprend :

rapprochement du bon de commande avec les marchandises
ou les prestations livres (quantit & qualit),
validation par le client de la compltude de la commande
livre,
contrle de l'exhaustivit des bons de livraison retourns.

les activits Facturer et Comptabiliser comprend :

conformit de la facture par rapport aux conditions des bons
de commande et des contrats (conditions gnrales de vente,
prix, conditions de paiement,),
justification des factures (bon de commande, bon de livraison),
contrle de lexhaustivit de la facturation,
enregistrement correct des factures et avoirs dans la priode
comptable approprie,
validation et justification des avoirs mis,
rapprochement des comptes auxiliaires et des comptes
gnraux,
validation du calcul et de lenregistrement des taxes (TVA).

lactivit Encaisser comprend :

affectation correcte du rglement client au compte client
associ et suivi des rglements non affects,
contrle du bordereau de remise de chques,
analyse des impays,
contrle des carts de rglement,
suivi des acomptes reus,
enqute financire pour les clients risque,
contrle de la sortie des clients douteux du compte 411,
contrle du calcul de la provision pour clients douteux,
justification
des
passages
en
pertes
sur
crances
irrcouvrables,
suivi des dossiers contentieux.

AFAI

17

7 La matrise des donnes

La traabilit et la fiabilit des informations produites sont deux lments
cls du concept de transparence financire, tel quil est dvelopp par les
nouvelles rglementations relatives llaboration et la production de
linformation financire (notamment le Sarbanes Oxley Act aux Etats-Unis,
la Loi sur la Scurit Financire en France).
Pour rpondre ces exigences, il est ncessaire de matriser les quatre
points suivants :
- Identifier les flux de donnes,
- Contrler ces donnes,
- Obtenir une cartographie des bases de donnes,
- Vrifier lexistence de chemins de rvision.
Ces exigences structurent
caractristiques essentielles.

les

applications

et

dterminent

leurs

7.1 Identifier les flux de donnes

Pour dterminer les contrles mettre en place, il est ncessaire d'avoir
une vue globale de la circulation des donnes tout au long de la chane
des traitements, allant de la saisie initiale des donnes jusqu' leur
archivage final, en passant par leurs modifications et leurs mises jour,
leurs stockages, leurs ditions, .
Cette vue globale dcoule, en grande partie, dune analyse des
processus ; mais celle-ci, au lieu de s'attacher dtailler les traitements,
se concentre sur les donnes. Elle a pour objectif d'identifier l'ensemble
des bases de donnes mises en uvre, et les oprations qui sont faites
pour transfrer les donnes d'une base l'autre.
Prenons pour illustration le cas d'une application commerciale. Comme le
montre la Figure 4 ci-dessous, on commence par saisir les commandes
des clients, et on constitue une premire base de donnes comprenant les
bons de commande. Aprs contrle des informations saisies par rapport
la base produits, un premier traitement permet de crer les bons de
livraison. Une fois le client livr, un second traitement tablit les factures,
qui sont ensuite dverses dans la comptabilit clients. Une fois qu'elles
sont soldes, ces critures sont archives fin de contrle.
Comme on le voit, cette circulation des donnes nest pas simplement un
dversement des donnes d'une base dans l'autre mais un enchanement
de contrles, de traitements et d'agrgations de donnes.

AFAI

18

Commandes

Base clients
Bon de
livraison

Facture
Base Produits
Comptes
clients

Archivage

Figure 4 - Diagramme de flux d'une facturation

7.2 Contrler ces donnes

L'ensemble des donnes doit tre contrl tout au long de cette
circulation. Le niveau des contrles est dtermin en fonction des niveaux
des risques estims. Il faut prvoir suffisamment de contrles sans pour
autant verser dans une prolifration excessive. Par exemple, dans le cas
d'une base de donnes clients, il faut avant tout veiller ne pas avoir de
doublon et vacuer le plus vite les clients inactifs depuis plusieurs annes.
Par contre, il ne sert rien de vrifier les numros de tlphone ou de
tlcopie.
Les donnes sont normalement contrles au moment de la saisie. Le but
est de dtecter des anomalies comme des codes errons, des totaux
inexacts, des oublis significatifs, Les concepteurs veillent mettre tous
ces contrles en dbut de traitement de faon ne pas avoir
ultrieurement de rejets. Par exemple, dans le cas d'une facturation, il ne
faut pas rejeter une commande au moment de l'dition. Les contrles
doivent avoir t faits prcdemment.
Mais ce n'est pas suffisant. Il est ensuite ncessaire d'effectuer des
contrles lors des diffrents traitements pour s'assurer que les oprations
se droulent normalement. Dans le cas d'une application commerciale, on
va, par exemple, s'assurer que :
- toutes les commandes saisies ont donn lieu l'mission d'un
bon de livraison,

AFAI

19
-

toutes les livraisons faites se sont traduites par le transfert de

ces donnes vers la facturation,
toutes les factures sont justifies par un ou plusieurs bons de
commandes,
toutes les factures mises sont dverses en comptabilit clients,
toutes les critures soldes ayant plus de X mois d'anciennet
sont archives,

De mme, les principales bases de donnes, comme les bases clients et

produits, doivent tre priodiquement contrles pour s'assurer que :
- tous les clients et tous les produits existent : dans le cas des
clients y a-t-il une circularisation ? Est-elle suffisante ? Dans le
cas des produits existe-t-il des doublons, des erreurs de
codification ou de localisation ?
- toutes les mises jour faites sur ces bases sont traces : ceci
concerne les donnes saisies, mais aussi les transferts de
donnes, les mises jour des bases au cours des traitements,
- les bases de donnes sont exhaustives : il faut tre capable de
dtecter des disparitions accidentelles ou volontaires de donnes.
- lintgrit des donnes stockes a t protge, et par exemple
certains cumuls nont pas pu tre fausss la suite de fausses
manuvres,
- le chanage des informations entre diffrentes bases est complet
et fonctionne correctement,
- .
L'exprience montre ici encore que les contrles actuels ne sont
pas suffisants et qu'il est ncessaire de les renforcer.

7.3 Obtenir une cartographie des bases de donnes

Pour expliquer et analyser les incohrences potentielles, il est ncessaire
de disposer dun document identifiant les principales bases de donnes de
lentreprise et les relations qu'elles ont entre elles. Il ne sagit pas du
modle de donnes logique mais bien du modle physique.
Ce schma doit faire apparatre un certain nombre d'informations
fondamentales pour matriser le systme :
- la localisation des donnes : serveur ou systme disque o les
donnes sont stockes,
- le volume de la base : nombre d'occurrences, taille thorique,
taille relle,
- le type de sauvegarde des bases et la priodicit des
sauvegardes,
- l'ventuelle recopie des donnes des bases sur le systme
disque,
- la journalisation des mises jour, en indiquant leur lieu de
stockage,
- la duplication ou la synchronisation des donnes,
-
AFAI

20

Le but de la cartographie est de faciliter la connaissance

oprationnelle et la localisation des bases de donnes et de
s'assurer que les sauvegardes sont suffisantes compte tenu du
niveau de risque.

7.4 Vrifier lexistence de chemins de rvision

Lobjectif est de retrouver une information ou une donne partir dune
autre, issue dune application informatique logiquement et physiquement
loigne. Il est ainsi possible, par exemple, de remonter d'un compte du
bilan au dtail des comptes puis aux critures et, le cas chant, aux
pices justificatives.
Il faut pour cela mmoriser le parcours suivi par une information. Cest ce
que permet le chemin de rvision aussi appel piste d'audit ou
audit trail .
Ce parcours doit tre enregistr l'aide de pointeurs ou d'index. Il peut
aussi tre inscrit sur la carte didentit de la donne. Il est aussi
possible de stocker ces donnes dans un datawarehouse ou entrept de
donnes. Pour retrouver les donnes, il est ncessaire de disposer de
logiciels permettant de remonter des cumuls vers les dtails justificatifs.
Le dfaut de chemins de rvision doit tre considr comme une
fragilit certaine des procdures de contrle interne.

En conclusion, la matrise des donnes est un point fondamental de la

dmarche de contrle interne. Elle impose de prvoir des dispositifs
adapts, notamment la gestion des flux de donnes, leur contrle,
l'tablissement de la cartographie des bases de donnes et l'existence de
chemins de rvision.

AFAI

21

8 Stratgie de mise en uvre du contrle interne

en milieu informatis
Pour effectuer la mise en place de leur systme de contrle interne, la
plupart des entreprises ont recours au rfrentiel COSO (voir en annexe
2) et notamment pour assurer :
- La dfinition de lenvironnement de contrle,
- Lvaluation des risques,
- La dfinition des activits de contrle,
- Linformation et la communication,
- La supervision des contrles.
Ce rfrentiel ne traite pas spcifiquement les Systmes dInformation ce
qui a conduit lISACA et lITGI proposer de localiser le contrle interne
du systme dinformation comme prsent sur le schma suivant en
mettant au cur de lentreprise les processus mtier.

Contrles au niveau de
lentit

Contrles dapplications

Ces contrles donnent le ton et

transmettent la culture de
lentreprise.

Ces contrles ont pour objectifs:

Etc.

Processus Mtier

Logistique

Processus Mtier

Formation

Production

Evaluation des risques

Processus Mtier

Politiques et procdures

Finance

Stratgies et plans daction

Direction Gnrale

Processus Mtier

Les contrles informatiques font

parties de ces contrles qui
comprennent:

Contrles intgrs dans les applications

grant les processus mtier et qui
participent aux contrles financiers. Ces
contrles sont prsents dans la plupart
des applications de gestion y compris
dans les systmes importants style SAP
et Oracle comme dans ceux par TPE.

Assurance qualit
Audit interne

Fonction informatique

lexhaustivit
lexactitude
lexistence et lapprobation
le dtail pour fournir linformation dans
lannexe

(systme exploitation, telecom, continuit, rseau)

Contrles gnraux
informatiques
Contrles intgrs dans les processus de la fonction
informatique qui permettent un environnement de
traitement fiable et qui permettent aussi un
droulement adquat des contrles dapplication.
Ces contrles couvrent notamment:
le dveloppement des applications
les modifications des applications
laccs aux donnes et aux programmes
les traitements informatiques

Figure 5 - Familles de contrle du Systme d'Information

AFAI

22
Les trois familles de contrle sont donc :
- les contrles au niveau de lentit,
- les contrles gnraux informatiques,
- les contrles applicatifs qui sont partie prenante du contrle interne
des processus mtier.
A partir de l'analyse des principaux processus il est donc possible :
- didentifier le flux d'oprations traites et les principales bases de
donnes concernes,
- de dcider des contrles mettre en place pour s'assurer que les
traitements se font conformment aux objectifs du contrle interne,
- de vrifier ensuite que les contrles souhaitables ont t mis en
place et qu'ils fonctionnent correctement, ce qui constitue la mission
de l'auditeur.
De tels contrles existent depuis plusieurs dcennies. Il apparat
aujourdhui qu'il est ncessaire de les renforcer. Ceci est d la
conjonction de plusieurs facteurs :
-

la taille des entreprises et le degr de dcentralisation de

l'entreprise. Il y a une vingtaine d'annes, seules quelques trs
grandes entreprises de taille mondiale dpassant le milliard d'euros
de chiffre d'affaires, toutes amricaines, avaient des politiques de
contrle interne. Aujourd'hui, des centaines, voire des milliers sont
concernes partout dans le monde. Il est vital de savoir ce qui se
passe rellement dans les trs nombreuses entits qui composent
ces entreprises, dont les mtiers sont souvent trs htrognes.

l'internationalisation des activits. La part de l'activit domestique

de ces entreprises va en dcroissant, et il faut aujourdhui mettre
sous contrle des filiales prsentes sur les cinq continents, afin de
matriser leur gestion et leurs rsultats, mais aussi de s'assurer
qu'elles respectent toutes les rgles de contrle interne du groupe.

le dveloppement des systmes d'information. L'informatique est

aujourd'hui au cur de la plupart des processus de lentreprise, les
ordinateurs de l'entreprise travaillent en liaison directe avec ceux de
ses clients et de ses fournisseurs. Il est fondamental de rguler et
de coordonner l'ensemble de ces systmes.

Il est donc ncessaire de mettre en place un certain nombre de contrles

permettant de matriser l'ensemble des processus. Pour les structurer,
plusieurs types d'approches sont possibles. Un modle simple consiste
faire apparatre quatre niveaux de contrle :
-

Les contrles oprationnels : c'est le premier niveau de contrle.

Ils sont mis en uvre par les quipes oprationnelles. Ils
permettent de reprer les erreurs et de limiter les fraudes. Ce sont
pour l'essentiel des contrles applicatifs dont le but est de s'assurer
que des donnes errones ne se sont pas glisses dans celles qui
ont t saisies et que les traitements effectus sont conformes ce

AFAI

23
qui tait prvu. Les contrles possibles sont trs varis. Ils peuvent
tre globaux ou analytiques, manuels ou informatiques, .
-

Les contrles d'ensemble. Le deuxime niveau est assur par les

responsables encadrant les oprationnels, dont la mission est
double : s'assurer que tout se passe bien et que les flux sont sous
contrle, dtecter les situations anormales et prendre les mesures
ncessaires pour les corriger.

La dtection des situations anormales. C'est le troisime

niveau. Il fait appel diffrentes fonctions de contrle spcialises
comme la gestion de la scurit, le contrle de gestion, la gestion
de la qualit, Toutes ces fonctions ont la fois une mission
technique spcialise, comme d'amliorer la qualit ou le niveau de
la scurit, et une mission de surveillance gnrale du
fonctionnement des principaux processus.

L'audit. Enfin, le niveau de contrle ultime est assur par l'audit,

interne ou externe. A ce niveau, l'audit informatique, et notamment
l'audit des applications, est le moyen le plus efficace pour matriser
les principaux processus de l'entreprise.

Comme on le voit, il existe une hirarchie des lignes de dfense. A la base

il y a les contrles oprationnels assurs par les personnes charges des
oprations courantes et au sommet de l'difice il y a les audits et
notamment les audits informatiques.
L'ensemble de ce dispositif repose, en grande partie, sur l'engagement du
management qui est charg de mettre en place des outils de contrle
ncessaires et de s'assurer de leur utilisation correcte : une faiblesse ou
une dfaillance de l'encadrement peut avoir des consquences
importantes.

AFAI

24

9 L'audit informatique outil privilgi du contrle

interne
Laudit informatique constitue dans ces conditions un pilier du contrle
interne. La matrise des processus de lentreprise et la matrise du
systme dinformation deviennent imbriques et relvent dune mme
approche du contrle interne.
Nous analyserons dabord ici les synergies entre laudit informatique et les
autres dmarches contribuant au contrle interne. Puis nous examinerons
de faon plus approfondie les apports des trois domaines couverts par
laudit informatique : la stratgie informatique, la fonction informatique et
les processus informatiss.

9.1 Les dmarches de contrle et de supervision au sein de

l'entreprise
Les dmarches mises en uvre en matire de contrle interne sont :
-

l'audit comptable : son objectif est de garantir la sincrit des

comptes ; les missions daudit comptable sont souvent effectues
par le service d'audit interne, par les commissaires aux comptes ou,
le cas chant, par les autorits de tutelle ;

l'audit interne : ses missions, allant de l'inspection l'audit de

gestion en passant par l'audit oprationnel, ont pour but de
permettre aux directions gnrales d'avoir l'assurance d'un niveau
de scurit adapt chacun de ses processus ;

la gestion des risques : elle permet dvaluer priodiquement le

niveau des risques oprationnels et des risques bilanciels des
entreprises ;

la scurit des systmes d'information : elle a pour but de

s'assurer que les dispositifs de scurit organisationnels, matriels
et logiciels fonctionnent correctement ;

laudit informatique a pour but d'valuer l'efficacit des activits

telle que l'exploitation, les tudes, la gestion de projets,

l'audit du systme d'information permet de s'assurer que les

ressources informatiques consommes contribuent l'efficacit de
l'entreprise.

AFAI

25

l'audit qualit : il vrifie que les dispositifs d'assurance qualit

sont oprationnels, efficaces et permettent de garantir un niveau de
qualit satisfaisant.

Chacune de ces approches a naturellement tendance privilgier ses

mthodes et ses points de contrle.
Mais pour en tirer la pleine valeur ajoute, et mieux rpondre aux attentes
imposes par le nouveau cadre lgal, il est ncessaire dassurer leur
cohrence et leur complmentarit, notamment par une meilleure
utilisation de laudit informatique au service des autres dmarches de
contrle interne. Il sagit dorganiser la coopration entre les mtiers et les
comptences connexes mais bien distincts, lis au contrle interne et
laudit informatique.
Plus prcisment, lobservation des missions daudit informatique, il est
possible de les segmenter en trois grands domaines :
-

Stratgie informatique de lentreprise : les missions daudit de

ce type ont pour but de sassurer de la pertinence du systme
dinformation, de son adquation aux objectifs de lentreprise, et
de son alignement sur ses stratgies globales ;

Fonction informatique de lentreprise : ces audits portent sur la

qualit des processus informatiques, cest--dire des processus
mis en uvre par la fonction informatique elle-mme ;

Processus informatiss de lentreprise : ce dernier domaine

couvre les audits portant sur lefficacit des contrles intgrs
dans les applications, et la sret du fonctionnement
quotidien de linformatique.

La Figure 6 montre les principaux apports potentiels de chacun de ces

domaines de laudit informatique aux cinq autres dmarches de contrle
interne rappeles ci-dessus.
Champs de l'audit informatique
Stratgie informatique

Autres
dmarches
de contrle
interne

Fonction informatique

Processus informatiss

Audit comptable

Audit interne

Analyse des risques

Audit de scurit

Audit Qualit

Figure 6 - Relations de l'audit informatique au contrle interne

Ainsi, travers ses trois domaines dintervention, laudit informatique joue

AFAI

26
un rle majeur au service du contrle interne.

9.2 Les trois domaines de laudit informatique et leur apport

au contrle interne
Il est possible de prciser ce rle et ces apports de laudit informatique au
contrle interne, en approfondissant les objectifs et les caractristiques de
chacun de ces trois domaines dintervention : stratgie informatique,
fonction informatique et processus informatiss.
Audit de la stratgie informatique
Lobjectif de ce type daudit est de sassurer que le systme dinformation
est en ligne avec la stratgie de lentreprise, avec ses enjeux et ses
risques spcifiques. Il ne suffit pas d'avoir des processus matriss et
conformes aux rgles de lart pour produire le systme dinformation
pertinent. Force est de constater que ce rsultat est fortement li
lorganisation de lentreprise, sa culture et la maturit de la fonction
informatique.
Aussi laudit informatique, dans son acception la plus complte, doit-il
analyser la pertinence du systme dinformation lui-mme, cest-dire lefficacit de lappui quil fournit aux diffrents processus de
lentreprise, et la pertinence des efforts et des investissements consentis
pour le faire voluer et ladapter aux besoins nouveaux ou futurs.
Le rfrentiel ValIT (3) fournit un cadre trs utile, pour analyser la qualit
des processus de dcision et de suivi des investissements lis aux projets
de systmes dinformation. Il dfinit en effet 40 bonnes pratiques lies
aux trois grands processus de gouvernance de la valeur (GV), de gestion
du portefeuille de projets SI (GP), et de gestion de linvestissement
consenti sur chaque projet (GI). Voir Figure 7.
Par contre, il nexiste pas de rfrentiel permettant de mesurer
directement la pertinence du systme dinformation dune entreprise. En
effet, les besoins et les enjeux prendre en compte sont spcifiques
chaque entreprise, car fonctions de son domaine dactivit et de ses
mtiers, mais aussi de sa culture, de son positionnement stratgique et de
son environnement.
Pour cela, on va valuer au cas par cas les applications informatiques, en
tant que support de lensemble des rgles de gestion, des flux
dinformation internes et externes, des modes opratoires de la plupart
des postes de travail.

3 - Val IT : Cration de valeur pour lentreprise : La Gouvernance des Systmes

dInformations ITGI (IT Gouvernance Institute) dition franaise AFAI
AFAI

27

GV1
GV2
GV3
GV4
GV5
GV6
GV7
GV8
GV9
GV10
GV11

Assurer un leadership inform et engag

Dfinir et mettre en uvre les processus
Dfinir les rles et les responsabilits
Assurer une responsabilit sur les rsultats adapte et accepte
Dfinir les besoins dinformation
tablir les besoins de reporting
Crer les structures organisationnelles
Donner les orientations stratgiques
Dfinir les catgories dinvestissements
Dterminer la composition du portefeuille cible
Dfinir les critres dvaluation par catgorie

Gouvernance
Gouvernance
de
delalavaleur
valeur
(GV)
(GV)

Gestion
Gestion
de
delinvestissement
linvestissement
(GI)
(GI)

Gestion
Gestion
du
duportefeuille
portefeuille
(GP)
(GP)
GP1
GP2
GP3
GP4
GP5
GP6
GP7
GP8
GP9
GP10
GP11
GP12
GP13
GP14

Tenir linventaire des ressources humaines

Identifier les besoins en ressources
Raliser une analyse dcart
Dvelopper un plan des ressources
Piloter les besoins en ressources et leur utilisation
Grer les besoins de financement dans un cadre donn
valuer le business case amont du programme
valuer et attribuer un score relatif au business case du programme
Crer une vue globale du portefeuille
Prendre et communiquer la dcision dinvestissement
Faire franchir les jalons aux programmes choisis (et les financer)
Optimiser les performances du portefeuille
Revoir les priorits du portefeuille
Piloter et rendre compte des performances du portefeuille

GI1
GI2
GI3
GI4
GI5
GI6
GI7
GI8
GI9
GI10
GI11
GI12
GI13
GI14
GI15

Prsenter de faon synthtique lopportunit

laborer un business case amont du programme
Favoriser une comprhension claire des programmes proposs
Analyser des alternatives
Dvelopper un plan de programme
Dvelopper un plan de ralisation des bnfices
Identifier les cots et bnfices du cycle complet de vie
Dvelopper un business case dtaill du programme
Attribuer clairement la responsabilit datteinte des rsultats
Initier, planifier et lancer le programme
Grer le programme
Grer/suivre les bnfices
Mettre jour le business case
Piloter et rendre compte de la performance du programme
Clturer le programme

Source : IT Governance Institute, 2006

Figure 7 - Le rfrentiel ValIT

Inversement, lanalyse du systme dinformation constitue une cl

majeure pour analyser et mesurer lefficacit et la pertinence dune grande
partie des processus oprationnels et des processus de pilotage de
lentreprise : le systme dinformation constitue en effet bien souvent la
seule trace concrte et auditable de leur fonctionnement rel.
Audit de la fonction informatique
Lobjectif de laudit de la fonction informatique est de sassurer que son
organisation et ses processus sont pertinents et conformes aux rgles de
lart, quil sagisse des processus de planification, de pilotage, de
dveloppement de nouvelles applications, de mise disposition des
services ou de support.
Notons que la fonction informatique et les processus prendre en compte
englobent, bien au-del des quipes informatiques internes, lintervention
des dirigeants et des matrises douvrage mtiers, et lensemble des

AFAI

28
acteurs externes (diteurs, prestataires et fournisseurs) qui contribuent au
bon fonctionnement du systme dinformation.
Il faut galement souligner que la capacit du systme informatique bien
fonctionner doit intgrer sa capacit voluer et notamment pour prendre
en compte les changements propres linformatique : volutions des
technologies, nouveaux logiciels et progiciels, changements de versions,
La qualit de fonctionnement et lefficacit actuelles et futures des
processus de lentreprise dpendent ainsi troitement de la qualit des
processus de la fonction informatique. Laudit de la fonction informatique
constitue ds lors un point d'action essentiel du contrle interne.
Le rfrentiel majeur de ce second type daudit informatique est CobiT :
Control Objectives for Information and related Technology. CobiT V4.1
identifie les 4 grands domaines et les 34 processus, voir Figure 8. Il dcrit
de faon dtaille les objectifs, les indicateurs, et les bonnes pratiques
associs chacun de ces processus, et propose les modles de maturit
associs.
Pour une grande part, ces bonnes pratiques dfinissent les rponses qui
doivent tre apportes par la fonction informatique aux proccupations qui
sont celles du contrle interne.
Cest notamment le cas pour :
- les processus PO 4, PO 5, PO 8, PO 9, et PO 10 du domaine Planifier
et Organiser (Voir Figure 8),
- les processus AI5 et AI6 du domaine Acqurir et Implmenter,
- les processus DS4, DS5, DS8, DS10 et DS11 du domaine Dlivrer et
Supporter,
- lensemble des processus du domaine Surveiller et valuer, qui
portent sur le contrle interne des autres processus.
Lauditeur doit slectionner, en fonction de ses objectifs, et des
caractristiques particulires de lentreprise et de ses systmes
informatiques, quels processus doivent tre analyss de faon plus
approfondie.

AFAI

29

SE1
SE2
SE3
SE4

Surveiller et valuer la performance des SI

Surveiller et valuer le contrle interne
Sassurer de la conformit rglementaire
Mettre en place la gouvernance des SI

PO1
PO2
PO3
PO4
PO5
PO6
PO7
PO8
PO9
PO10

Dfinir un Plan informatique stratgique

Dfinir larchitecture de lInformation
Dterminer lorientation technologique
Dfinir les processus, lorganisation et les relations de travail
Grer les investissements informatiques
Faire connatre les buts et les orientations du management
Grer les Ressources Humaines de linformatique
Grer la qualit
valuer et grer les risques
Grer les Projets

Surveiller
et Evaluer
Pilotage

Planifier
Planification
et organisation
& organiser

Dlivrer
Mise
disposition
& supporter
& support

Acqurir &
Acquisition
&mise
implmenter
en place

DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13

Dfinir et grer les niveaux de service

Grer les services tiers
Grer la performance et la capacit
Assurer un service continu
Assurer la scurit des systmes
Identifier et imputer les cots
Instruire et former les utilisateurs
Grer le service dassistance client et les incidents
Grer la configuration
Grer les problmes
Grer les donnes
Grer lenvironnement physique
Grer lexploitation

AI1
AI2
AI3
AI4
AI4
AI5
AI6

Trouver les solutions informatiques

Acqurir des applications et en assurer la maintenance
Acqurir une infrastructure technique et en assurer la maintenance
Faciliter le fonctionnement et lutilisation
Acqurir des ressources informatiques
Grer les changements
Installer et valider les solutions et les modifications

Source : ISACA / IT Governance Institute

Figure 8 - Les 34 processus de CobiT

Audit des processus informatiss de lentreprise

Enfin, ce troisime domaine de laudit informatique a pour objectif de
sassurer que le systme dinformation est sr : les missions menes dans
ce domaine portent principalement sur la sret de fonctionnement, et les
contrles embarqus dans les applications (dvelopps au chapitre
suivant), devenus des points dattention majeurs du contrle interne.
La sret du fonctionnement de l'outil informatique est en effet une des
conditions cls de la continuit des activits de l'entreprise, certaines
dfaillances pouvant aller jusqu mettre en cause sa survie :
-

Les pannes informatiques causent des dommages directs.

Les pertes de donnes accidentelles sont gnralement irrparables

si des sauvegardes suffisantes nont pas t mises en uvre.

Le rseau informatique, ncessairement ouvert au monde extrieur

(relations clients et fournisseurs, utilisation gnralise de la

AFAI

30
messagerie, ) est devenu le point dentre dattaques incessantes.
La sret du fonctionnement informatique doit donc tre apprcie sous
tous ses aspects (disponibilit des systmes, continuit de service,
fiabilit, scurit, maintenabilit), et ici encore en sintressant non
seulement la situation actuelle, mais aussi aux risques lis aux
volutions futures.
Ainsi, lissue de ce survol rapide des trois domaines de laudit
informatique, limportance des objectifs de contrle confirme son apport
essentiel au contrle interne.

AFAI

31

10 Importance des contrles continus

La plupart des entreprises qui tirent le bilan des travaux de contrle
interne mens dans le cadre de la loi Sarbanes-Oxley ou de la loi de
Scurit Financire constatent :
- un degr encore excessif des contrles manuels,
- un cot lev de mise niveau,
- trop derreurs encore dtectes lors daudits internes ou externes,
- plus de contrles dtectifs que de prventifs,
- beaucoup trop dexceptions et de dtournements de contrles,
- une insuffisante prise en compte des risques oprationnels.
Lobjectif est ici de mettre en place un contrle permanent, selon une
dmarche appele aujourdhui CCM, pour Continuous Control
Monitoring .
Dans cette dmarche, les contrles embarqus dans les applications
constituent un des points cls permettant de sassurer de contrles
suffisants :
- des donnes saisies,
- de lexhaustivit des traitements,
- de lintgrit des bases de donnes,
- des accs.
Avant dengager une telle dmarche, il est intressant de mesurer le
degr de maturit du contrle interne de lentreprise sur une chelle
quatre niveaux, en fonction du degr dautomatisation des contrles et de
leur valeur ajoute :
- traditionnel : contrles manuels essentiellement,
- intermittent : contrles manuels ou automatiss raliss de faon
espace,
- priodique : contrles en grande partie automatiss et rcurrents,
- continu : contrles trs automatiss, raliss au fil de leau.
Pour se situer dans ce modle de maturit, lentreprise doit donc se poser
les questions suivantes :
- quel est le niveau dautomatisation des contrles ?
- sont-ils trs variables en fonction des processus ou des units
considres ?
- quelle est la valeur ajoute de ces contrles, et la Direction
souhaite-t-elle la renforcer ?
Le champ dapplication peut tre trs variable dans lentreprise ellemme, et concerner les systmes suivants :
- ERP : SAP, Oracle, JD Edwards, Peoplesoft,
AFAI

32
-

autres systmes applicatifs : Supply Chain, Customer Relationship

Management,
systmes techniques : scurit rseau, infrastructure, help desk,
contrles daccs,

Les indicateurs utilisables dans une dmarche CCM sont de nature trs
varis et dtermins en fonction des objectifs de contrle poursuivis. Ce
sont par exemple :
- passage de seuil : achats suprieurs 100.000 ,
- accs aux transactions sensibles : liste des utilisateurs concerns,
- changements interdits dans les fichiers matres : modification de
coordonnes bancaires,
- transactions interdites : dblocage dun paiement indu,
- doublons : clients en double dans les fichiers,
- enregistrements mal renseigns : absence de code TVA,
- mauvaise sgrgation de fonction : possibilit de crer un client et
de payer sa facture,
- cohrence des dates : rception des biens le jour mme de la
cration de la commande.
Rares sont encore les entreprises franaises avoir adopt des approches
densemble pour le CCM, mme si beaucoup dentre elles sont en
recherche doutils et de solutions.
La dmarche CCM porte ses fruits si lentreprise constate que son
environnement de contrle est renforc de manire durable, avec un gain
defficacit, une automatisation visible des alertes, beaucoup de
prvention, et moins danomalies dtectes au cours des audits.

AFAI

33

11 Cas dune mission daudit du processus

dachats
Pour apprcier l'importance et la richesse des audits de processus
notamment pour renforcer les rgles de contrle interne, il est intressant
de dcrire une mission d'audit d'un processus d'achats. C'est un domaine
complexe et souvent les outils informatiques et les dmarches mises en
uvre sont fragiles et peuvent tre amliores.
Contexte de l'intervention
Dans le cadre du plan daudit annuel de cette grande socit, il est prvu
de raliser un audit du processus dachats de frais gnraux, qui inclut :
- les fournitures diverses,
- les petits matriels informatiques et leur maintenance,
- lentretien des locaux,
- lorganisation dvnements au sein de lentreprise.
Cet audit se justifie en raison des enjeux lis la nature et au volume de
ces achats, et aux risques inhrents, notamment de fraude. Par ailleurs,
les utilisateurs se plaignent dun manque de fiabilit des applications
informatiques correspondantes.
Les commandes de services gnraux sont ralises de faon transverse
par lensemble des Directions de la socit. Le responsable des achats
souhaite amliorer ce processus, dans ses diffrentes composantes et
leurs imbrications :
- commande,
- approbation,
- rception physique,
- rception de la facture,
- bon payer,
- paiement.
Lobjectif fix laudit consiste :
- caractriser les forces et les faiblesses du processus de gestion des
achats de services gnraux et des applications le supportant,
- tablir un diagnostic de lexistant en termes de contrle interne,
- amliorer lefficacit gnrale du processus,
- identifier les points de contrle cls mettre en uvre.

AFAI

34
Dmarche de laudit
Les actions sur site de la mission daudit portent alors sur les points
suivants :
- tude de la documentation existante : organigramme, processus,
tableaux de bord,
- entretiens avec les acteurs cls du dpartement Services gnraux,
- entretiens avec la Direction Comptable afin de caractriser les
lourdeurs et les dysfonctionnements induits par le processus
existant et didentifier les axes damlioration,
- entretiens avec la Direction Informatique afin de comprendre les
principes de lapplication informatique utilise, et dapprcier les
possibilits dvolution technique de cette solution, ainsi que les
processus supports de lapplication,
- analyse des risques et des contrles prsents au sein du processus
manuel ou de l'application informatique,
- analyse de la sparation des tches au sein du processus et
vrification de l'alignement des droits d'accs des utilisateurs
l'application informatique,
- tests d'efficacit des contrles en place.
Constats et faits marquants
Ces analyses font apparatre un certain nombre de dysfonctionnements :
- nombre lev de commandes hors circuit ou hors budget ,
- pas de suivi en temps rel du budget des achats des directions,
- dlai excessif entre la rception physique et lapprobation de la
direction acheteuse,
- paiements raliss en labsence dapprobation formelle,
- htrognit du processus dapprobation et du niveau hirarchique
des approbateurs suivant les directions acheteuses,
- sparation
de
fonctions
insuffisante
dans
le
processus
dapprobation : la personne qui commande est souvent la mme
que celle qui approuve,
- absence de limites dachat suivant la nature des biens commands
et le niveau hirarchique de lauteur de la commande.
Par ailleurs des opportunits dautomatisation du processus mritent
dtre explores :
- mise en uvre dun workflow dapprobation,
- traabilit des approbations de chaque commande,
- archivage des preuves dapprobation.

AFAI

35
Recommandations
Laudit se conclut par les trois recommandations suivantes.
-

Il propose dabord de rationaliser le processus et les seuils

dapprobation des commandes via la mise en place dun workflow :
identification pour chaque flux de commande dun approbateur et
dun dlgu (lassistant de lapprobateur, le plus souvent),
mise en uvre de seuils dapprobation automatiss et ajouts
dapprobateurs supplmentaires au-del dun certain montant de
commandes,
prservation des preuves dapprobation lectroniques, dans la
solution.

Il recommande de vrifier la sparation de fonctions, en sappuyant sur

cet outil de workflow, par la mise en place de contrles applicatifs :
laboration et intgration dans la solution dune matrice
dapprobation par direction acheteuse afin dviter lautoapprobation,
mise en uvre de nouvelles habilitations dans le module achat et
dans le module comptabilit fournisseurs de lapplication : accs
limit la fonction de rception physique, et limite daccs la
consultation suivant les natures de commandes.

Enfin, laudit recommande dallger le processus dapprobation et de

mieux intgrer processus dachat de frais gnraux avec les processus
budgtaire et fournisseurs:
dcrmentation du budget des directions acheteuses ds
linitialisation de la commande,
dclenchement du bon payer lors de la saisie de la rception dans
lapplication.

Ainsi, cet audit a contribu :

- optimiser ce processus et rationaliser la gestion des
approbations,
- mieux coordonner ce processus et les processus budgtaire
et fournisseurs,
- renforcer le contrle interne sur le processus.

AFAI

36

12 Guide oprationnel
Le renforcement des pratiques (4) de contrle interne des systmes
d'information ncessite de dfinir un plan d'action. La dmarche mettre
en uvre est itrative. Elle doit tre planifie et mene dans la dure. Elle
peut inclure les neuf domaines suivants qui peuvent tre traits dans
l'ordre le plus adapt par les entreprises :
1.

dvelopper l'approche par les processus,

2.

identifier les domaines fort niveau de risques,

3.

valuer les dispositifs de contrle interne de l'entreprise,

4.

matriser l'approche par les processus,

5.

mettre en place des mesures a minima concernant lactivit

informatique,

6.

renforcer les dispositifs de contrle intgrs,

7.

mettre en place un systme d'information ddi aux contrles,

8.

valuer la qualit et l'efficacit des contrles en place,

9.

renforcer les processus informatiques.

Comme on le voit, les efforts ncessaires pour renforcer les contrles et

avoir un systme d'information fiable et conforme sont importants et
doivent tre soigneusement valus et planifi.

12.1 Dvelopper l'approche par les processus

L'amlioration des contrles repose pour une bonne partie sur une
approche permettant de mettre sous contrle l'ensemble des processus,
de bout en bout :
-

s'assurer que les principaux processus de l'entreprise ont t

identifis, analyss et correctement documents, et si ce n'est pas
le cas, le faire d'urgence : c'est un des principes de base du

4 - Compte tenu de la situation actuelle, nous n'avons pas pris en compte le cas d'une
entreprise qui souhaiterait allger les dispositifs de contrle interne se trouvant dans son
systme d'information. C'est actuellement un cas d'cole. Par contre il est possible que
certaines entreprises ressentent le besoin de rendre ces dispositifs moins contraignants et
moins lourds.
AFAI

37
contrle interne.
-

rapprocher l'analyse des processus et les systmes informatiques

en place. Il faut s'attacher :
o revalider les documents existants d'analyse des processus et
des systmes informatiques ; une attention particulire doit
tre porte la conformit de l'application informatique et des
procdures par rapport aux besoins, au cahier des charges et
la documentation,
o si c'est ncessaire remettre en cause certaines parties de
processus, notamment si on a le sentiment qu'il existe des
dfauts graves. Il ne faut pas hsiter les corriger.

tablir un tableau de bord des indicateurs de performance pour

chaque processus, et un tableau de synthse pour les principaux
processus : c'est l'outil de gestion indispensable pour matriser les
flux, dtecter les engorgements, mesurer la dgradation des dlais,
Ce n'est pas a priori un outil de contrle interne, mais cela
permet de s'assurer que les processus sont sous contrle, et le cas
chant didentifier les zones de risques.

Ces trois points sont la base d'une dmarche d'amlioration de matrise

des processus et donc du contrle interne.

12.2 Identifier les domaines fort niveau de risques

Trop souvent on contrle l o il y a de la lumire et on laisse de ct
les zones d'ombres. Cette dmarche est coteuse et peu efficace. Il est de
loin prfrable de choisir les domaines mettre sous contrle en fonction
d'une valuation des risques. L'effort sera plus adapt et le rsultat plus
sr.
Parmi toutes les fonctions et tous les processus, certains supportent des
niveaux de risques particulirement importants alors que d'autres
bnficient de niveaux nettement plus faibles. Il est dans ces conditions
ncessaire de s'assurer que les principaux risques sont sous contrle et
que des parades ont t mises en place afin de les matriser. Pour
identifier ces domaines haut risque, diffrentes approches peuvent tre
utilises :
-

chaque incident constat doit tre enregistr dans un journal par le

responsable des risques et le responsable de la scurit
informatique, qui dcrivent sa cause, ses impacts et les parades
adoptes.

les domaines risques des systmes dinformation doivent avoir t

identifis : impact financier potentiel, confidentialit des donnes,
rgles d'accrditation, risques de fraude, .

AFAI

38

des analyses de risques doivent tre effectues notamment en ce

qui concerne la scurit des systmes informatiques. Ceci concerne
aussi les PC, les serveurs, le rseau, les logiciels, . Il est
ncessaire que ces valuations soient priodiquement effectues.
On doit s'assurer que des mesures sont prises pour diminuer
limpact de ces risques.

les rsultats des audits internes et

effectus doivent tre pris en compte.

externes

prcdemment

A la fin de ces travaux, une cartographie des risques est tablie qui
prsente les risques majeurs ainsi identifis. Ils doivent tre
priodiquement rvalus.

12.3 valuer les dispositifs de contrle interne de l'entreprise

Pour rduire ces risques, il est ncessaire de s'assurer du niveau de
matrise par le management de l'entreprise des dispositifs de contrle
interne, en valuant les diffrents dispositifs actuellement en place :
-

analyser les documents dfinissant les dispositifs de contrle interne

de l'entreprise et leur mise en uvre, en se concentrant sur les
diffrents composants du systme d'information : quipements
informatiques, applications, donnes et scurit.

s'entretenir avec quelques dirigeants de l'entreprise pour valuer

leur niveau de connaissance des dispositifs de contrle interne et
notamment du rle des systmes d'information dans le contrle.
Leur demander les instructions qu'ils ont donnes dans ce domaine
leurs collaborateurs et aux dveloppeurs informatiques.

en cas de doute, effectuer des audits permettant d'valuer la qualit

des contrles et des dispositifs de scurit mis en place,
notamment :
o les donnes saisies,
o l'intgrit et le contenu des bases de donnes,
o les traitements effectus,
o les sorties : ditions et consultations,
o les rgles et les modalits de la conservation des donnes,
o la disponibilit du systme.

s'assurer que le personnel de l'entreprise partage un savoir

commun la dmarche de contrle interne. Il faut un tronc
commun et un langage commun destins toutes les personnes
concernes par le contrle interne de l'entreprise. C'est la fois un
problme d'organisation et de contrle interne.

AFAI

39

A l'issue de ces travaux une charte de contrle interne doit tre tablie
et on doit s'assurer qu'elle comprend le systme d'information.

12.4 Matriser l'approche par les processus

Le dveloppement des mesures de contrle interne repose en grande
partie sur le renforcement des processus de l'entreprise et
notamment la mise en place de contrles plus puissants et plus
efficaces. Il faut pour cela :
reprer les processus ayant un niveau de risque lev. On va
pour cela s'attacher identifier :
les applications informatiques mises en uvre dans le
processus.
les donnes et particulirement leur qualit et leur
fiabilit.
l'efficacit de l'organisation en place.
sassurer de la qualit de la documentation des processus et
des contrles mis en place. Si cest ncessaire il faut la faire
complter. L'absence de documentation des processus est un
facteur de risque important. On doit homogniser l'ensemble
des documentations des procdures, les complter et, si
ncessaire, les mettre en cohrence.
valuer la maturit de l'ensemble des processus de
l'entreprise. Cette valuation doit tre faite par un expert
comptent et indpendant. Il doit en particulier s'attacher
apprcier la pertinence des dispositifs de contrle interne mis
en uvre.
nommer un responsable de chaque processus, charg de
surveiller en permanence son fonctionnement, de dtecter des
dysfonctionnements et le cas chant de prendre des mesures
permettant d'amliorer l'efficacit des dispositifs de contrle
interne.
s'assurer qu'un membre du comit de direction a la
responsabilit de l'ensemble des processus. Il doit s'assurer du
fonctionnement rgulier et efficace de l'ensemble des
processus. Il a pour mission d'organiser la coopration des
diffrentes personnes concernes, internes ou externes,
comme les comptables, les contrleurs de gestion, les
auditeurs internes, les responsables qualit,
faire auditer les principaux processus par des experts
indpendants ou par des auditeurs. Ceci concerne les
AFAI

40
processus mtiers mais aussi les processus informatiques.
L'objectif est de dtecter des fragilits et des contrles
insuffisants.
Comme on le voit, ces dmarches demandent un premier niveau de
maturit. Pour russir cette tape il est ncessaire d'avoir parfaitement
matriser l'tape n1 : Dvelopper l'approche par les processus.

12.5 Mettre en place des mesures a minima concernant

lactivit informatique
Un certain nombre de mesures simples peuvent tre prises sur les
activits informatiques elles-mmes pour renforcer les dispositifs de
contrle interne, comme par exemple :
-

renforcer les sauvegardes et vrifier qu'elles sont exploitables. En

cas de doute demander qu'une simulation de redmarrage soit faite
sur le site de secours.

s'assurer que toutes les transactions sont enregistres (existence

d'un log), notamment les crations ou les mises jour des bases de
donnes, et qu'il est possible de redmarrer aprs un incident avec
des bases de donnes jour.

pour les applications stratgiques ou fort enjeu, s'assurer que les

conditions de la continuit de service sont garanties :
o les matriels sont redondants, y compris les disques,
o les bases de donnes sont simultanment mises jour,
o les liaisons de tlcommunication sont doubles,
o les alimentations lectriques ne sont pas branches sur le
mme rseau et il existe une alimentation de secours,
o ...

amliorer les mesures d'activit, et tablir un tableau de bord des

principales fonctions informatiques :
o les tudes,
o les projets critiques,
o l'exploitation,
o la maintenance,
o le help-desk,
o

dfinir un tableau de bord par application, rassemblant des

indicateurs tels que :
o les volumes traiter (par mois, par jour, par heure, par
minute,),

AFAI

41
les temps de rponse,
la disponibilit,
les cots de l'application,
les effectifs utilisant l'application,
la productivit (comme le nombre de dossiers par jour et par
personne),
o la charge de maintenance,
o
o
o
o
o
o

enregistrer toutes les anomalies dtectes dans une base de

donnes spcifique. Les analyser systmatiquement et rechercher
leurs causes. C'est le meilleur moyen de comprendre les fragilits
du systme d'information et ses risques potentiels. Il est sur cette
base possible de prendre des mesures afin de corriger ces dfauts.

priodiquement, tous les mois par exemple, effectuer une synthse

de ces anomalies et diffuser un bref compte rendu des problmes
dtects.

Ces mesures sont ncessaires afin d'assurer un niveau de contrle

minimum. Si elles ne sont pas appliques il est recommand de remonter
une alerte la direction gnrale car l'entreprise est probablement en
situation de risque majeur.

12.6 Renforcer les dispositifs de contrle intgrs

Pour aller plus loin dans la mise en place de mesures de contrle interne,
il faut sintresser aux contrles automatiss embarqus dans les
programmes permettant de s'assurer que les oprations se droulent
normalement. Ils concernent :
- les donnes saisies : les contrles mis en place par les
programmeurs sont-ils suffisants ? Faut-il les renforcer ?
- les donnes se trouvant dans les bases de donnes, qui doivent tre
vrifies pour s'assurer qu'elles ne comprennent pas d'erreurs,
d'oublis ou d'informations inutiles,
- le contrle des traitements pour s'assurer qu'il ne survient aucune
erreur, ni oubli ni doublon : ceci concerne surtout les traitements
batch mais on peut aussi effectuer ces contrles sur les traitements
transactionnels,
- le contrle des ditions et des consultations d'informations : il faut
s'assurer que l'ensemble des tats dits est complet et qu'aucun
document ne manque. C'est notamment le cas de l'dition de la
paie, de la facturation, .
On sattachera en particulier aux actions suivantes :
-

tablir la liste des contrles existants et dfinir les contrles

mettre en place. Il est ncessaire de disposer dun document de

AFAI

42
rfrence recensant tous les types de contrles possibles : on
dcide ensuite les contrles qui doivent tre mis en uvre en
fonction du niveau de risque constat.
-

tous les contrles internes figurant dans les programmes alimentent

automatiquement une base de donnes spcifique quels que soient
leurs statuts (positif ou ngatif). Priodiquement, tous les mois par
exemple, une analyse des contrles effectus au cours de la priode
est ralise et un compte-rendu synthtique est rdig.

dfinir et mettre au point des programmes de contrle des

principales bases de donnes pour s'assurer de la qualit des
informations qu'elles contiennent. Il est pour cela possible d'utiliser
des progiciels d'aide l'audit. Ces programmes analysent une une
toutes les occurrences de la base et s'il y a des liaisons entre bases
ils analysent chaque chanage. Chaque zone doit tre contrle.

tous les contrles de donnes doivent tre faits au moment de la

saisie. Dans les traitements ultrieurs des anomalies peuvent tre
constates. Il faut dans ce cas grer ces rejets et les recycler pour
ne pas perdre d'information.

prvoir des contrles globaux pour s'assurer de l'intgrit des

donnes au cours de la priode, et notamment qu'aucune donne
n'a t perdue au cours des traitements, que toutes les donnes ont
t saisies et que les bases de donnes ont t mises jour.

Ceci correspond une volution des systmes de contrle. Voir Chapitre

10 : "Importance des contrles continus".

12.7 Mettre en place un systme d'information ddi aux

contrles et au suivi des anomalies
Pour s'assurer de l'efficacit des dispositifs de contrle mis en place, il est
ncessaire de dvelopper des outils de suivi des contrles effectus,
permettant de garder trace des anomalies constates :
-

s'assurer que tous les contrles prvus dans les applications et sur
les bases de donnes sont rellement effectus. Pour cela, au fur et
mesure qu'ils s'excutent, on alimente une base de donnes des
contrles effectus, et lorsque des anomalies sont dtectes on
enregistre les codes d'anomalies correspondants. Priodiquement
cette base est analyse et une statistique des types d'anomalies est
tablie.

mettre en place un tableau de bord des contrles en place

permettant de dtecter rapidement une dgradation du systme

AFAI

43
d'information.
-

mettre en place un test de non-rgression pour s'assurer que tous

les contrles dfinis sont effectivement en place et fonctionnent de
manire correcte.

effectuer priodiquement un traitement de contrle des principales

bases de donnes en contrlant tous les items et tous les chanages
entre bases.

crer des bases de donnes (datawarehouse) alimentes par les

grands processus : achats, ventes, production, A l'aide de
logiciels d'audit, il sera possible d'effectuer des analyses du
contenu, de la qualit et de la compltude de ces donnes.

12.8 valuer la qualit et l'efficacit des contrles en place

Il est ncessaire de rgulirement s'assurer que les contrles en place
sont suffisants et efficaces. Si on constate une multiplication des incidents
dus des dfauts de contrle, il faudra renforcer les contrles en place.
-

effectuer priodiquement une analyse des incidents dus des

dfauts de contrle. Les premiers concerns sont les utilisateurs.
Ds qu'ils constatent une anomalie, ils doivent la signaler et la
dcrire. Elles sont normalement analyses et les dfauts constats
sont corrigs. Parmi ces anomalies, les dfauts de contrle doivent
tre particulirement pris en compte. Cette revue peut tre
conduite dans un domaine applicatif donn ou pour l'ensemble de
l'entreprise.

dans le cas o un domaine ou un processus a rencontr des dfauts

de contrle rcurrents, il est recommand d'effectuer un audit. C'est
le meilleur moyen d'apprcier la qualit et l'efficacit des contrles
en place. Laudit va faire apparatre les points faibles et des points
forts permettant de dgager des recommandations.

effectuer tous les 2 ou 3 ans une valuation de tous les processus

de lentreprise dans le cadre des audits d'applications.

AFAI

44

12.9 Renforcer les processus informatiques

Il est ncessaire de :
-

s'assurer que le service informatique connat et applique CobiT. Ceci

peut se faire de diffrentes manires et notamment en vrifiant que
les principaux objectifs des processus CobiT sont appliqus. Si
ncessaire, valuer leur degr de maturit.

vrifier qu'il existe un systme de management par la qualit

conforme un rfrentiel tel que la norme ISO 9001 : 2000.

mettre en place l'exploitation le rfrentiel ITIL et si on constate

des fragilits d'exploitation, amliorer les pratiques.

mettre en place aux tudes le rfrentiel CMMi et si on constate des

fragilits dans le domaine des projets, amliorer les pratiques.

lever le niveau des exigences et des spcifications de contrle

interne en regard du niveau des performances attendues. La
dmarche consiste augmenter progressivement le niveau des
standards, de faon amliorer le niveau de contrle interne. La
rfrence est CobiT, mais on peut aussi sappuyer sur ITIL et CMMi.

AFAI

45

13 Annexes

Annexe 1 : Application du cadre de l'AMF aux systmes d'information

Annexe 2 : Le COSO appliqu aux systmes d'information

Annexe 3 : Bibliographie

AFAI

46

1 - Application du cadre de l'AMF aux systmes

d'information
Les systmes dinformation participent aux 5 composantes du contrle
interne telles que dfinies par le cadre de l'AMF (Chapitre 4 "Le contrle
interne en environnement informatique : le rle du cadre de l'AMF"). Le
tableau ci-aprs indique, pour chacun des thmes abords dans le cadre
de l'AMF, les recommandations faites par AFAI prcisant la faon dont ces
thmes peuvent tre pris en compte.
Cadre de l'AMF
Composante Organisation
Une organisation sappuyant sur des
systmes dinformation appropris . des
systmes dinformation adapts aux
objectifs actuels de lorganisation et conus
de faon pouvoir supporter ses objectifs
futurs. Les systmes informatiquesdoivent
tre protgs efficacement tant au niveau
de leur scurit physique que logique afin
dassurer la conservation des informations
stockes
leur continuit dexploitation doit tre
assure au moyen de procdures de
secours
les informations relatives aux analyses,
la programmation et lexcution des
traitements doivent faire lobjet dune
documentation
des procdures ou modes opratoires qui
prcisent la manire dont devrait
saccomplir une action ou un processus
des outils ou instruments de travail
(bureautique, informatique) qui doivent
tre adapts au besoin de chacun et
auxquels chaque utilisateur devrait tre
dment form
DIFFUSION DINFORMATION
La diffusion en interne dinformations
pertinentes, fiables, dont la connaissance
permet chacun dexercer..

AFAI

Composante systme d'information

prendre en compte
C'est le thme de la gouvernance des
systmes d'information (alignement entre
les systmes dinformation et les besoins
utilisateurs, prise en compte des besoins
futurs)

Scurit des systmes d'information

(protections logiques et physiques des
systmes informatiques, continuit
dexploitation / plan de secours)
Qualit des processus informatiques
(documentation des processus de
dveloppement et de production ,
ainsi que les procdures de gestion des
modifications )
Fiabilit des oprations supportes par le
systme d'information (description des
processus et modes opratoires lien troit
avec les systmes d'information)
Fiabilit des oprations supportes par le
systme d'information (formation des
utilisateurs aux outils)

Scurit des systmes d'informations (le

systme d'information est le principal
circuit de diffusion des informations au sein
dune organisation, travers
linfrastructure existante et les outils mis
en place. Ces lments doivent rpondre
des objectifs de fiabilit, de confidentialit
et de disponibilit la traabilit est
galement importante).
Des dispositifs de contrle des flux de

47
donnes permettent de s'assurer de
l'exactitude et l'exhaustivit (intgrit) des
donnes en entre et en sortie du systme
d'information. Ces contrles ne sont pas
ncessairement inclus dans les dispositifs
de scurit.
Gestion des autorisations (la diffusion
dinformation ncessite de mettre en place
des mcanismes daccs et dautorisation
dont la gestion incombe gnralement aux
mtiers)
GESTION DES RISQUES
un systme visant recenser, analyser
les principaux risques identifiables au
regard des objectifs de la socit et
sassurer de lexistence de procdures de
gestion des risques

ACTIVITES DE CONTROLES
des activits de contrles proportionns
aux enjeux propres chaque processus et
conus pour sassurer que les mesures
ncessaires sont prises en vue de matriser
les risques susceptibles daffecter la
ralisation des objectifs. Les activits de
contrles sont prsentes partout dans
lorganisation, tout niveau et dans toute
fonction quil sagisse de contrles orients
vers la prvention ou la dtection, de
contrle manuels ou informatiques ou
encore de contrles hirarchiques.
En tout tat de cause, les activits de
contrle doivent tre dtermines en
fonction de la nature des objectifs auxquels
elles se rapportent et tre proportionnes
aux enjeux de chaque processus. Dans ce
cadre, une attention toute particulire
devrait tre porte aux contrles des
processus de construction et de
fonctionnement des systmes
dinformation
SURVEILLANCE
Une surveillance permanente portant sur
le dispositif de contrle interne ainsi quun
examen rgulier de son fonctionnement

Risk Management des systmes

d'information ( Recenser, Analyser et
grer les risques doit se dcliner au
niveau des systmes d'information : le
risque informatique sous toutes ses
formes reste une proccupation forte ;
les points rgler font encore dbat : o
faut-il localiser la fonction, quelle mthode,
quel rfrentiel choisir ? Le risque
informatique nest pas encore assez bien
pris en compte)
Fiabilit des oprations (activits de
contrles automatises : contrles
inhrents au systme d'information,
contrles paramtrs dans le systme
d'information, contrles fonds sur des
informations fournies par le systme
d'information, autorisations)

Surveillance mise en uvre par la Direction

Gnrale sur les systmes d'information
grce :
- l'audit interne informatique,
- l'assurance qualit faite par la
direction qualit de la DSI,
- la surveillance exerce par le
Comit dAudit.

Figure 9 - Recommandations de l'AFAI sur le cadre de rfrence de

l'AMF

AFAI

48

2 - Le COSO appliqu aux systmes d'information

En octobre 1985, la Treadway Commission (5) a constitu aux USA un
groupe de travail runissant les grandes entreprises, les cabinets daudit
et les associations professionnelles afin dtablir les rgles de contrle
financier interne efficaces et d'amliorer la qualit des reportings
financiers.
Le COSO, (Committee of Sponsoring Organizations of the Treadway
Commission) est le nom donn ce groupe de travail et qui, sur la base
de ses recommandations, a rdig le COSO Framework ou rfrentiel
COSO publi en 1992.
Limportance accorde ce rfrentiel sest accrue lorsque la loi
amricaine Sarbanes Oxley (SOX Act) a t adopte en juillet 2002 par le
Congrs. SOX ne fournit pas de directives spcifiques quant la dfinition
du contrle interne appropri, ce dernier pouvant varier sensiblement
d'une entreprise l'autre.
Cependant, dans ses rgles dictes en juin 2003, la SEC a identifi
l'infrastructure de contrle interne COSO en tant qu'infrastructure
rpondant ses critres en matire de recommandations pour l'valuation
et le dveloppement des contrles.
Par ailleurs, le COSO donne peu d'informations concernant les contrles
spcifiques du systme dinformation. Par consquent, nombreuses sont
les entreprises qui ont choisi CobiT (6) comme tant la meilleure voie pour
rendre le systme d'information conforme aux exigences du COSO.
Le cube COSO
Le rfrentiel COSO a donn naissance un cube dont les 3 faces visibles
reprsentent les 3 objectifs, les 5 composants et les activits de
l'entreprise.
Dans cette approche en cube , chaque activit contribue la ralisation
des 3 objectifs. Pour chacune delle, et pour chacun de ces 3 objectifs, il
sagit danalyser les 5 composantes du contrle interne.
5 - Treadway est le snateur qui a dirig la commission. Il a t membre de la Securities and
Exchange Commission et le premier prsident du COSO.
6 - Voir IT Control Objectives for Sarbanes-Oxley publies par lIT Governance Institute.
Ce document reprend les lments du COBIT et du COSO, dans le but de rpondre aux
exigences du SOX Act.

AFAI

49

Objectifs

ns
tio

rm
fo
ra
n
pe
o
C
O
Environnement de Contrle

n
io
at ire
rm c
fo an
In Fin

Composants

Evaluation des risques

Activits de contrle

Activit
Entit
Site

it

Information et Communication
Supervision

Figure 10 - Le cube du COSO, 1re version 1

La combinaison des trois objectifs, des cinq composants et des diffrentes
activits de l'entreprise, vue comme trois axes d'analyse distincts, donne
la base des valuations raliser: Evaluer dans toute entit et pour
toute activit la faon dont chacun des 5 composants du contrle interne
participe chacun des 3 objectifs .
Les trois objectifs
Le COSO dfinit le contrle interne comme un processus mis en uvre par
les dirigeants tous les niveaux de lentreprise et destin fournir une
assurance raisonnable quant la ralisation des trois objectifs suivants :
-

la ralisation et l'optimisation des oprations,

la fiabilit des informations financires,

la conformit aux lois et rglements.

Les cinq composants

Les cinq composants ont pour objectif lamlioration du systme du
contrle interne de lorganisation et ils sont interconnects. Il sagit de :
-

l'environnement de contrle,

l'valuation des risques,

les activits de contrle,

l'information et la communication, qu'il s'agit d'optimiser,

la surveillance, c'est--dire le contrle du contrle interne.

AFAI

50
Lenvironnement de contrle et le systme dinformation (SI)
Ce composant constitue le fondement de tous les autres composants du
contrle interne ; il tablit the tone at the top. L'environnement du
contrle contient notamment l'intgrit et les valeurs thiques d'une
organisation, la philosophie et le style de la direction, la manire dont les
comptences et les responsabilits sont attribues.
Le contrle interne informatique sappuie sur lenvironnement de contrle
de lorganisation et concerne l'attribution de l'autorit et de la
responsabilit des activits. Les solutions de gestion des identits et des
accs sont un lment essentiel du dispositif.
Compte tenu des caractristiques intrinsques du systme dinformation,
une attention particulire est porte l'alignement mtier du systme
dinformation, aux rles et responsabilits, aux politiques et procdures et
aux comptences techniques. Par exemple, les points de vigilance
adresser sont :
-

le systme dinformation est souvent considr comme une

organisation spare des mtiers ce qui conduit, tort, tablir un
environnement de contrle spar.

il est complexe, non seulement en ce qui concerne ses composants

techniques, mais aussi en termes dintgration dans le systme de
contrle interne de lorganisation.

il peut exposer lorganisation des risques spcifiques qui exigent

des activits de contrle adquates pour rduire les risques.

il exige des comptences spcialises qui peuvent tre rares.

il peut conduire un niveau de dpendance significatif sur la soustraitance dans le cas o des processus ou des composants du
systme d'information seraient externaliss.

Evaluation des risques et le systme dinformation

Toute organisation s'expose une multitude de risques tant externes
qu'internes. L'analyse de risques est le processus qui identifie et value
ces risques par rapport aux objectifs de l'organisation et forme ds lors la
base pour le contrle des risques.
La multiplication des risques li au contrle interne est probablement plus
importante en ce qui concerne les systmes d'information que dans
d'autres secteurs de l'organisation.

AFAI

51
Lvaluation des risques intervient :
-

au niveau de lorganisation avec des campagnes dvaluation des

risques des systmes d'information couvrant le management, la
scurit des donnes, et le dveloppement.

au niveau de chaque activit : l'exploitation des infrastructures, les

processus de modification dune application,

Activits de contrle et systme dinformation

Les activits de contrle rpondent au besoin de politiques, de procdures
et d'actions spcifiques pour sassurer que les objectifs mtiers sont
atteints. Elles sont mises en uvre pour traiter les risques. Le COSO
imposant la matrialisation factuelle des contrles.
Il s'agit ici dactivits tout les niveaux de l'organisation : approbations,
comptences, vrifications, rconciliations, valuations de prestations
oprationnelles, surveillance de l'actif et sparation des fonctions.
COSO identifie deux grands groupes dactivits de contrle informatique :
les contrles gnraux et les contrles applicatifs (7).
Les contrles gnraux se rapportent au contrle interne appliqu la
fonction informatique. Ils concernent les points suivants :
-

la planification et l'organisation gnrale de l'activit informatique,

la conception et le dveloppement des applications (les procdures

de documentation, les revues, les tests et l'approbation des
systmes ou des programmes et des changements qui y sont
apports),

la maintenance des applications et des systmes,

les accs aux ressources matrielles et informationnelles (donnes

et programmes),

les autres contrles de donnes et les procdures affectant les

oprations informatiques globales.

Les contrles applicatifs sont les contrles automatiss relatifs des

tches ralises par le systme d'information. Associs aux contrles
manuels, les contrles applicatifs apportent une assurance que les
enregistrements, les traitements et le reporting des donnes sont
correctement raliss.
7 - GLEIM Partie III

AFAI

52

Information- communication et systme dinformation

Ce composant vise assurer que linformation pertinente est identifie,
recueillie et diffuse dans les dlais appropris afin que lensemble du
personnel puisse assumer ses responsabilits.
Pour cela, les systmes dinformation doivent garantir que toutes les
informations importantes sont collectes de manire fiable et ponctuelle et
diffuses convenablement.
Par exemple, le systme dInformation intervient en support pour
identifier et communiquer des vnements significatifs laide du courrier
lectronique ou des systmes d'aide la dcision.
Surveillance et systme dinformation
Les systmes de contrle interne doivent tre superviss pour valuer leur
qualit et leur performance dans le temps.
Cest le contrle du contrle , qui couvre diffrents types de suivi : le
contrle continu, les valuations spares ou une combinaison des deux.
Le contrle continu correspond la supervision normale du
management oprationnel. La ncessit de conduire des valuations
spares (tant en ce qui concerne le contenu que la dure) dpend des
rsultats de l'analyse de risques et des activits de surveillance continue.
Deuxime version du COSO

Figure 11 - Le cube du COSO, 2me version

Publi en 2004, le COSO II Enterprise Risk Management Framework
tient lieu de standard dans le cadre de la gestion des risques dentreprise.
Le cube COSO visualise la gestion du risque en trois dimensions : du
point de vue des objectifs de lentreprise tels le contrle interne, les
AFAI

53
composantes de la gestion du risque lchelle de lentreprise et
lorganisation de lentreprise.
Selon le COSO II (8), le management des risques traite des risques et des
opportunits ayant une incidence sur la cration ou la prservation de la
valeur. Il se dfinit comme suit :
Le management des risques est un processus mis en uvre par le
conseil dadministration, la direction gnrale, le management et
l'ensemble des collaborateurs de l'organisation.
Il est pris en compte dans l'laboration de la stratgie ainsi que dans
toutes les activits de l'organisation. Il est conu pour identifier les
vnements potentiels susceptibles daffecter l'organisation et pour
grer les risques dans les limites de son apptence
pour le
risque(9). Il vise fournir une assurance raisonnable quant
l'atteinte des objectifs de l'organisation.
La gestion des risques doit tre considre dans une optique de pilotage :
quels risques veut-on absolument viter, quels risques sont inutiles, quels
risques est-on prt prendre pour profiter de quelles opportunits ou
conserver quel avantage ?

8 - www.coso.org : Le management des risques de l'entreprise - Cadre de Rfrence

9 - Apptence

AFAI

au risque : niveau de risque souhait pour atteindre les objectifs de lentreprise

54

3 - Bibliographie
1. CobiT : Gouvernance, Contrle et Audit de lInformation et des
technologies associes ITGI dition franaise AFAI Version 4.1
Mars 2008 : www.isaca.org et www.afai.fr
2. Val IT : Cration de valeur pour l'entreprise : la gouvernance des
systmes d'information ITGI - dition franaise AFAI Version 4.1
2006 : : www.isaca.org et www.afai.fr
3. IT control Objectives for Sarbanes-Oxley Version 2 septembre
2006- Ce texte est tlchargeable partir du site : www.itgi.org et
www.isaca.org
4. Prise en compte de lenvironnement informatique et incidence sur la
dmarche daudit - Compagnie Nationale des Commissaires aux
Comptes (avec la participation de lAFAI)
5. Approche et mthode de la mission de diagnostic du contrle interne
ou comment rpondre aux obligations de la loi sur la scurit
financire Conseil Suprieur de lOrdre des Experts Comptables
(encours avec la participation de lAFAI)
6. La nouvelle pratique du contrle interne Traduction du COSO
Report (version 1) IFACI. Editions d'organisation. 1994
7. Le management des risques de lentreprise - Cadre de Rfrence
Techniques dapplication Traduction du COSO II - IFACI. Editions
d'Organisation. 2005
8. Le dispositif de contrle interne : Cadre de rfrence AMF (Autorit
des Marchs Financiers) dit par l'IFACI et disponible sur le site
de l'AMF : www.amf-france.org
9. An audit of Internal Control Over Financial Reporting Performed in
Conjunction with An Audit of Financial Statements Auditing Standard
N2 PCAOB (The Public Compagny Accouting Oversight Board)
Aot 2007 : www.pcaobus.org
10.
An audit of Internal Control Over Financial Reporting That Is
Integrated with An Audit of Financial Statements Auditing Standard
N5 PCAOB (The Public Company Accounting Oversight Board)
Juin 2007 : www.pcaobus.org
11.
AFAI

Japan SOX : On the Setting of the Standard and Practice

55
Standards for Management Assessment and Audit concerning
Internal Control Over Financial Reporting - Business Accounting
Council Fvrier 2007
12.
Mise en oeuvre d'un contrle interne efficace via un ERP : LSF,
SOX, 8e Directive europenne, US GAAP, IFRS - Pascal Kerebel
AFNOR
13.
Contrle interne - Frdric Bernard, Rmi Gayraud,
Laurent Rousseau Maxima, 2006
14.
Livre blanc "Scurit Financire et Systme d'Information" Jean-Yves Galley, Pierre Bernassau
15.
L'approche processus mode d'emploi- ditions Organisation Septembre 2006 - 2me dition
16.
Audit 2me dition. Gestion des risques dentreprise et
contrle interne. Hamzaoui - Pearson Education France.
17.
Sarbanes-Oxley IT Compliance Using Open Source Tools, 2nd
Edition 2007 - Christian B. Lahti, Roderick Peterson- ISACA
18.
Sarbanes-Oxley Guide for Finance and Information Technology
Professionals, 2nd Edition - Sanjay Anand - 2006- ISACA
Manager's Guide to Sarbanes-Oxley Act: Improving Internal
19.
Control to Prevent Fraud - Scott Green 2004- ISACA
20.
IT Control Objectives for BASEL II: The Importance of
Governance and Risk Management for Compliance - IT Governance
Institute 2007 ISACA
21.
Information Technology Audits - Lynford Graham, Xenia Ley
Parker 2007 ISACA

AFAI