Académique Documents
Professionnel Documents
Culture Documents
Audit Contrôle Interne
Audit Contrôle Interne
Contrle interne
et
systme
d'information
2me dition
Version valide
Version 2.2
Groupe de travail Contrle Interne de l'AFAI :
Nicolas Bonnet
Laurent Gobbi
Jean-Florent Girault
Jean-Michel Mathieu
Vincent Manire
Gina Gulla-Menez
Franois Renault
Claude Salzman
Serge Yablonsky
Groupe de validation :
Pascal Antonini
Maryvone Cronnier
Renaud Guillemot
Michel Leger
Stphane Lipski
Bertrand Maguet
Philippe Trouchaud
Paris, 6 juillet 2008
V 2.2
Sommaire
1
Prface ........................................................................................................................... 5
Introduction ............................................................................................................... 6
7.2
7.3
7.4
10
11
12
12.1
12.2
12.3
12.4
12.5
Mettre en place des mesures a minima concernant lactivit
informatique.............................................................................................................................. 40
12.6
12.7
Mettre en place un systme d'information ddi aux contrles
et au suivi des anomalies.................................................................................................. 42
12.8
12.9
13
Annexes................................................................................................................... 45
AFAI
3
1 - Application du cadre de l'AMF aux systmes d'information ........ 46
2 - Le COSO appliqu aux systmes d'information................................... 48
3 - Bibliographie............................................................................................................. 54
AFAI
1 Executive Summary
Aux Etats-Unis la loi Sarbanes-Oxley et en France la loi sur la Scurit
Financire ont rendu obligatoire la mise en place de dispositifs de contrle
interne. Cette contrainte a eu un effet positif. L'exprience a montr que
le renforcement des procdures a eu un certain cot mais, si cette
dmarche est bien manage, elle peut en rapporter encore plus. C'est un
investissement rentable en rationalisation et en renforcement de
l'efficacit de l'entreprise. L'allgement des structures est devenu un enjeu
primordial. L'amlioration des processus les rend plus performantes. Il est
pour cela ncessaire de disposer de procdures internes efficaces et de
matriser les risques.
La mise en place de dispositif de contrle interne repose en grande partie
sur le contrle de l'informatique. C'est un point de passage oblig. En
effet, dans la plupart des grandes et des moyennes entreprises, la quasitotalit des procdures repose aujourd'hui sur des traitements
informatiques, des serveurs, des bases de donnes, . La mise en place
de diffrents dispositifs de contrle interne efficaces se fait et se fera de
plus en plus l'aide de systmes d'information conus cet effet. Toutes
les applications informatiques existantes doivent en tenir compte et le cas
chant doivent tre revues pour prendre en compte des rgles de
contrle interne et pour, ventuellement, corriger d'ventuelles fragilits
des dispositifs de contrle interne en place.
La loi fait aujourd'hui obligation de mettre en place et de dvelopper des
dispositifs de contrle interne. Ceci exige danalyser et de perfectionner
les principaux processus de l'entreprise et de mettre en place des
dispositifs de contrle interne. C'est le cur de la dmarche. Il est aussi
ncessaire de renforcer le contrle des donnes car l'exprience montre
que c'est un domaine encore fragile qui ncessite des dispositifs de
contrle rigoureux.
Il est pour cela ncessaire de plonger dans les applications informatiques
et des bases de donnes de faon imaginer des solutions plus sres,
plus efficaces, plus productives, C'est le rle de l'audit informatique.
C'est un des moyens les plus efficaces pour s'assurer que les bonnes
pratiques en matire de systme d'information sont effectivement
appliques. Cette dmarche garantit que les contrles et les scurits
ncessaires sont en place et donnent les rsultats attendus.
Le dveloppement du contrle interne va donc se faire, en grande partie,
grce au renforcement les dmarches de contrle et d'audit informatique.
Il faut s'y prparer et s'organiser en consquence. Il est pour cela
ncessaire de mettre en place un programme de renforcement des
pratiques grce un plan d'action qui doit tre planifi et men dans la
dure.
AFAI
Prface
Franois Renault
Prsident de l'AFAI
AFAI
3 Introduction
On assiste depuis quelques annes au renforcement de la notion de
contrle interne. Elle s'est rapidement impose la suite de divers
incidents qui ont fait apparatre des fragilits croissantes dans les
processus de reporting financier des grandes entreprises elles-mmes
dues en grande partie des fragilits organisationnelles. Lexigence de
contrle interne sest renforce la suite de la sur-communication de ces
insuffisances. Les dirigeants dentreprises sont d'autant plus sensibles
ces recommandations que depuis plusieurs annes les lgislateurs
s'efforcent d'imposer aux entreprises une plus grande transparence.
Simultanment, on constate le dveloppement acclr des systmes
d'information pousss par les progrs rapides des technologies
informatiques. Ils sont devenus l'ossature des entreprises. La plupart des
oprations effectues se font l'aide des outils informatiques disponibles.
Les applications de gestion, en particulier les ERP, structurent
profondment la manire de travailler et dterminent la manire dont se
font les changes avec les diffrents partenaires. Elles contribuent la
structuration des processus de l'entreprise.
On a ainsi progressivement pris conscience de l'importance de leur rle
dans le fonctionnement de l'entreprise. Traditionnellement les oprations
taient analyses par fonction : les comptables, les gestionnaires du
personnel, les acheteurs, le planning de production, les mthodes,
Progressivement les processus ont structur les oprations de faon les
enchaner de manire transverse. C'est une mutation majeure dans
l'approche classique des organisations. Au lieu de structurer les oprations
par les fonctions, elles sont organises par processus. Cela permet d'avoir
une vision d'ensemble des activits de l'entreprise.
Pour cela il est ncessaire de suivre le flux des donnes d'un bout l'autre
de l'entreprise et mettre en place des contrles d'tape en tape. Il est
aussi possible de contrler les bases de donnes qui stockent ces
informations. C'est le cur de la dmarche de contrle interne des
systmes d'information.
Son but est de s'assurer que tout se passe bien. C'est aussi le rle de
l'audit informatique. Les dmarches mettre en uvre sont trs voisines.
Les entreprises doivent mettre en place des procdures adaptes. Elles
interviennent de trois manires diffrentes :
-
AFAI
1 - Voir annexe 2.
2 - CobiT : Gouvernance, Contrle et Audit de lInformation et des technologies associes
ITGI (IT Gouvernance Institute) dition franaise AFAI. CobiT est le rfrentiel d'audit
informatique le plus largement reconnu.
AFAI
AFAI
9
En ce qui concerne les contrles manuels raliss partir dtats issus de
systmes informatiques, ils ne seront efficaces que si ces tats sont
fiables. On en revient donc des proccupations voisines de celles
relatives aux contrles automatiss :
- Lorigine de linformation est-elle pertinente ?
- Les applications produisant les tats sont-elles valides ?
- Les donnes peuvent-elles tre altres avant leur impression ou
leur affichage ?
Do limportance du rle des systmes dinformation dans le dispositif de
contrle interne, souligne par les auteurs du cadre de rfrence dans la
description de la premire composante du contrle interne, lorganisation.
Les objectifs relatifs aux systmes dinformation sont les suivants : ils
doivent tre conus et mis en uvre dans le but de traiter et dlivrer en
temps voulu, en toute circonstance, une information fiable et adapte aux
besoins de lorganisation. Ils doivent assurer la protection des
informations contre laltration et la divulgation des tiers non autoriss.
Ils doivent galement permettre de reconstituer les oprations effectues.
Lvolution de ces systmes doit tre matrise et conforme aux objectifs
de lorganisation.
Lusage de systmes informatiss impose le respect de lois spcifiques et
introduit de nouveaux risques, quil faut identifier et traiter. Nous citerons,
par exemple, les risques suivants :
- l'excs de confiance dans des systmes ou des applications traitant
incorrectement les donnes, ou traitant des donnes incorrectes, ou
les deux la fois ;
- l'accs non autoris des donnes, pouvant entraner laltration ou
la destruction dinformation, lenregistrement de transactions
frauduleuses ou le passage dcritures comptables errones ;
- les droits d'accs accords au personnel informatique aux systmes
pouvant entraner une violation du principe de sparation des
fonctions ou du principe de besoin den connatre ;
- la modification non autorise de donnes de rfrence ;
- la modification non autorise de programmes ou de paramtres ;
- l'incapacit apporter les modifications requises dans les systmes
et les programmes ;
- les interventions manuelles intempestives dans les systmes ;
- la perte de donnes ou l'incapacit accder aux donnes lorsque
c'est ncessaire.
Lenvironnement de contrle interne de lorganisation doit intgrer
linformatique. Trop souvent on considre linformatique comme une
activit spare des mtiers et son environnement de contrle est
dconnect de celui de lorganisation. Or, on l'a vu, linformatique peut
introduire de nouveaux risques, qui exigent des contrles compensatoires
nouveaux ou amliors. Lattribution de la responsabilit des contrles est
parfois peu claire entre linformatique et les mtiers.
AFAI
10
AFAI
11
Explorer
B
E
S
O
I
N
S
C
L
I
E
N
T
S
Analyser et
identifier le(s)
march(s)
Evaluer flux
potentiels
Optimiser
la chane
logistique
Dvelopper
Mettre les
produits
disposition
Dvelopper
l'approche
marketing
Produire
Vendre
au client
Grer le
march
Distribuer
les produits
Processus oprationnels
Systmes d'information
Finances Contrle de gestion
Ressources humaines
Juridique
Processus support
AFAI
S
A
T
I
S
F
A
C
T
I
O
N
C
L
I
E
N
T
12
Dans une logique de march on peut, comme lillustre cet exemple,
regrouper les processus en trois grandes familles :
1. Les processus oprationnels vont de la conception la ralisation
des produits et des services que lentreprise fournit ses clients.
Ceux-ci comprennent par exemple les achats, la production, la
logistique, la vente et le support aprs-vente. Le bon
fonctionnement
de
ces
processus
conditionne
lexcellence
oprationnelle de la socit et exige une vigilance toute particulire
en matire de contrle interne.
2. Les processus support regroupent toutes les fonctions de soutien
la mise en uvre et lexploitation des processus lis aux produits
et services de lentreprise ainsi que ceux destins au bon
fonctionnement de celle-ci. Ce sont notamment la gestion des
ressources humaines, la gestion financire, la gestion des
connaissances, linformatique, le juridique.
3. Les processus de direction et de pilotage o vont tre
concentres toutes les responsabilits et les autorits relevant de la
direction, en particulier tous les aspects lis la stratgie de
dveloppement de lentreprise et son dploiement oprationnel, la
stratgie produit-service ainsi qu la mise disposition de toutes les
ressources ncessaires, et au pilotage de lensemble sous les angles
financiers, humains, technologiques, industriels, commerciaux et
qualit, ainsi, bien sr que de contrle. Ce sont par exemple : la
dfinition des orientations stratgiques, la culture et lthique, les
dlgations de pouvoirs, les contrles et les valuations,.
Ces diffrents processus interagissent en permanence selon des cycles
trs variables, rythms par diffrents vnements, que ce soit la dcision
dinvestissement dans une nouvelle gamme de produits et de prestations,
la mise disposition dun produit, ou encore la fin dun exercice fiscal, etc.
Certains de ces processus sexercent en continu et sont lis des activits
rcurrentes, dautres sont momentans, lis une action ponctuelle ou
relvent de la conduite de projet.
Matriser un processus, cest dabord le documenter en tenant compte de
sa complexit. Il faut pour cela procder en trois tapes :
1. Le schma global des processus permet d'avoir une vision
d'ensemble de lactivit et du fonctionnement de lentreprise. Cette
approche est la mme que pour une dmarche qualit, un schma
directeur informatique, une cartographie des risques
2. La reprsentation dtaille de chacun des processus met en
vidence lenchanement des activits et les principaux flux
dinformations.
3. Lanalyse dtaille des processus documente les tches
manuelles et automatises et prcise leurs enchanements sous
AFAI
13
forme de diagrammes. Cet exercice de diffrenciation des tches
informatises et manuelles fait apparatre pour de nombreux
processus de l'entreprise que le systme dinformation en constitue
en fait la colonne vertbrale. Do limportance majeure accorde au
systme dinformation en matire de contrle interne.
Cette reprsentation permet :
- de dterminer les points de contrle : type, localisation,
- de mesurer lefficacit du contrle.
La forme la plus aboutie de contrle interne devrait permettre en dfinitive
dvaluer :
- les performances internes du processus : le processus sexcute
bien et de faon rptable et efficace sous le contrle de la direction
de l'entreprise ;
- les performances externes du processus : le processus fournit un
niveau de performance cohrent avec celui des autres processus
pour atteindre des objectifs gnraux de lentreprise.
Ainsi les processus deviennent le langage commun de tous les acteurs qui
pratiquent le pilotage, lorganisation, la conception des systmes
dinformation ou laudit dans lentreprise.
C'est par ce langage commun que peut tre mis en place un dialogue
damlioration permanente au sein de lentreprise. Il lui garantit la
prennisation de ces processus mais aussi de rester agile pour adapter en
permanence son organisation l'volution de son environnement et des
besoins de ses clients. A cet gard, le contrle interne est un outil
essentiel la dtection le plus en amont possible des besoins d'volutions
des processus.
AFAI
14
Dfinir
la politique
crdit Client
Prospecter
& grer contacts Clients
Politique crdit
Informations Client
Mettre jour
Base Clients
Limites crdit Client
Prendre la commande
Bon de commande
Client
Client
Biens et Services livrs
Livrer
Confirmation
contenu livraison
Facture
Facturer
Elments comptabiliser
Paiement recevoir
Paiement
Comptabiliser
Encaisser
AFAI
15
Socit, mais aussi dventuels incidents constats sur ses
paiements ;
Comptabilit
- Trsorerie
Service
Commercial
Service
Administration des Ventes
Service
Crdit Client
Tenir jour
la Base Clients
Identifier le Client
dans la Base Clients
Fax ou courrier
KO
OK
Enregistrer le
nouveau Client
Enregistrer
la commande du Client
Tenir jour
les comptes clients
et les paiements
Vrifier la capacit
crdit du Client
et le paiement
des dernires factures
Client
Client
KO
OK
Vrifier
la disponibilit
des marchandises
Traiter lincident
avec le Client
KO
OK
Proposer au client
la modification
de commande
ou de dlai
Vrifier et valider
la commande et engager
la livraison
Transmettre le bon
de commande valid
au Magasin
Emettre laccus
de rception
AFAI
A/R
16
Pour matriser les risques qui leur sont attachs, la mise en uvre de ces
tches saccompagne de rgles de gestion et de contrles tels que :
- naccepter que les commandes compltes et autorises par les
personnes habilites,
- vrifier que l'ensemble des commandes et des annulations de
commandes est enregistr de manire correcte,
- rejeter les commandes de tout client en dfaut de paiement,
- traiter les commandes uniquement dans les limites de crdit
autorises.
De la mme faon, concernant les autres activits, des rgles de gestion
et des contrles appropris devront tre mis en place :
AFAI
17
les
applications
et
dterminent
leurs
AFAI
18
Commandes
Base clients
Bon de
livraison
Facture
Base Produits
Comptes
clients
Archivage
AFAI
19
-
20
AFAI
21
Contrles au niveau de
lentit
Contrles dapplications
Processus Mtier
Logistique
Processus Mtier
Formation
Production
Processus Mtier
Politiques et procdures
Finance
Direction Gnrale
Processus Mtier
Assurance qualit
Audit interne
Fonction informatique
lexhaustivit
lexactitude
lexistence et lapprobation
le dtail pour fournir linformation dans
lannexe
Contrles gnraux
informatiques
Contrles intgrs dans les processus de la fonction
informatique qui permettent un environnement de
traitement fiable et qui permettent aussi un
droulement adquat des contrles dapplication.
Ces contrles couvrent notamment:
le dveloppement des applications
les modifications des applications
laccs aux donnes et aux programmes
les traitements informatiques
AFAI
22
Les trois familles de contrle sont donc :
- les contrles au niveau de lentit,
- les contrles gnraux informatiques,
- les contrles applicatifs qui sont partie prenante du contrle interne
des processus mtier.
A partir de l'analyse des principaux processus il est donc possible :
- didentifier le flux d'oprations traites et les principales bases de
donnes concernes,
- de dcider des contrles mettre en place pour s'assurer que les
traitements se font conformment aux objectifs du contrle interne,
- de vrifier ensuite que les contrles souhaitables ont t mis en
place et qu'ils fonctionnent correctement, ce qui constitue la mission
de l'auditeur.
De tels contrles existent depuis plusieurs dcennies. Il apparat
aujourdhui qu'il est ncessaire de les renforcer. Ceci est d la
conjonction de plusieurs facteurs :
-
AFAI
23
qui tait prvu. Les contrles possibles sont trs varis. Ils peuvent
tre globaux ou analytiques, manuels ou informatiques, .
-
AFAI
24
AFAI
25
Autres
dmarches
de contrle
interne
Fonction informatique
Processus informatiss
Audit comptable
Audit interne
Audit de scurit
Audit Qualit
AFAI
26
un rle majeur au service du contrle interne.
27
GV1
GV2
GV3
GV4
GV5
GV6
GV7
GV8
GV9
GV10
GV11
Gouvernance
Gouvernance
de
delalavaleur
valeur
(GV)
(GV)
Gestion
Gestion
de
delinvestissement
linvestissement
(GI)
(GI)
Gestion
Gestion
du
duportefeuille
portefeuille
(GP)
(GP)
GP1
GP2
GP3
GP4
GP5
GP6
GP7
GP8
GP9
GP10
GP11
GP12
GP13
GP14
GI1
GI2
GI3
GI4
GI5
GI6
GI7
GI8
GI9
GI10
GI11
GI12
GI13
GI14
GI15
AFAI
28
acteurs externes (diteurs, prestataires et fournisseurs) qui contribuent au
bon fonctionnement du systme dinformation.
Il faut galement souligner que la capacit du systme informatique bien
fonctionner doit intgrer sa capacit voluer et notamment pour prendre
en compte les changements propres linformatique : volutions des
technologies, nouveaux logiciels et progiciels, changements de versions,
La qualit de fonctionnement et lefficacit actuelles et futures des
processus de lentreprise dpendent ainsi troitement de la qualit des
processus de la fonction informatique. Laudit de la fonction informatique
constitue ds lors un point d'action essentiel du contrle interne.
Le rfrentiel majeur de ce second type daudit informatique est CobiT :
Control Objectives for Information and related Technology. CobiT V4.1
identifie les 4 grands domaines et les 34 processus, voir Figure 8. Il dcrit
de faon dtaille les objectifs, les indicateurs, et les bonnes pratiques
associs chacun de ces processus, et propose les modles de maturit
associs.
Pour une grande part, ces bonnes pratiques dfinissent les rponses qui
doivent tre apportes par la fonction informatique aux proccupations qui
sont celles du contrle interne.
Cest notamment le cas pour :
- les processus PO 4, PO 5, PO 8, PO 9, et PO 10 du domaine Planifier
et Organiser (Voir Figure 8),
- les processus AI5 et AI6 du domaine Acqurir et Implmenter,
- les processus DS4, DS5, DS8, DS10 et DS11 du domaine Dlivrer et
Supporter,
- lensemble des processus du domaine Surveiller et valuer, qui
portent sur le contrle interne des autres processus.
Lauditeur doit slectionner, en fonction de ses objectifs, et des
caractristiques particulires de lentreprise et de ses systmes
informatiques, quels processus doivent tre analyss de faon plus
approfondie.
AFAI
29
SE1
SE2
SE3
SE4
PO1
PO2
PO3
PO4
PO5
PO6
PO7
PO8
PO9
PO10
Surveiller
et Evaluer
Pilotage
Planifier
Planification
et organisation
& organiser
Dlivrer
Mise
disposition
& supporter
& support
Acqurir &
Acquisition
&mise
implmenter
en place
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
AI1
AI2
AI3
AI4
AI4
AI5
AI6
AFAI
30
messagerie, ) est devenu le point dentre dattaques incessantes.
La sret du fonctionnement informatique doit donc tre apprcie sous
tous ses aspects (disponibilit des systmes, continuit de service,
fiabilit, scurit, maintenabilit), et ici encore en sintressant non
seulement la situation actuelle, mais aussi aux risques lis aux
volutions futures.
Ainsi, lissue de ce survol rapide des trois domaines de laudit
informatique, limportance des objectifs de contrle confirme son apport
essentiel au contrle interne.
AFAI
31
32
-
Les indicateurs utilisables dans une dmarche CCM sont de nature trs
varis et dtermins en fonction des objectifs de contrle poursuivis. Ce
sont par exemple :
- passage de seuil : achats suprieurs 100.000 ,
- accs aux transactions sensibles : liste des utilisateurs concerns,
- changements interdits dans les fichiers matres : modification de
coordonnes bancaires,
- transactions interdites : dblocage dun paiement indu,
- doublons : clients en double dans les fichiers,
- enregistrements mal renseigns : absence de code TVA,
- mauvaise sgrgation de fonction : possibilit de crer un client et
de payer sa facture,
- cohrence des dates : rception des biens le jour mme de la
cration de la commande.
Rares sont encore les entreprises franaises avoir adopt des approches
densemble pour le CCM, mme si beaucoup dentre elles sont en
recherche doutils et de solutions.
La dmarche CCM porte ses fruits si lentreprise constate que son
environnement de contrle est renforc de manire durable, avec un gain
defficacit, une automatisation visible des alertes, beaucoup de
prvention, et moins danomalies dtectes au cours des audits.
AFAI
33
AFAI
34
Dmarche de laudit
Les actions sur site de la mission daudit portent alors sur les points
suivants :
- tude de la documentation existante : organigramme, processus,
tableaux de bord,
- entretiens avec les acteurs cls du dpartement Services gnraux,
- entretiens avec la Direction Comptable afin de caractriser les
lourdeurs et les dysfonctionnements induits par le processus
existant et didentifier les axes damlioration,
- entretiens avec la Direction Informatique afin de comprendre les
principes de lapplication informatique utilise, et dapprcier les
possibilits dvolution technique de cette solution, ainsi que les
processus supports de lapplication,
- analyse des risques et des contrles prsents au sein du processus
manuel ou de l'application informatique,
- analyse de la sparation des tches au sein du processus et
vrification de l'alignement des droits d'accs des utilisateurs
l'application informatique,
- tests d'efficacit des contrles en place.
Constats et faits marquants
Ces analyses font apparatre un certain nombre de dysfonctionnements :
- nombre lev de commandes hors circuit ou hors budget ,
- pas de suivi en temps rel du budget des achats des directions,
- dlai excessif entre la rception physique et lapprobation de la
direction acheteuse,
- paiements raliss en labsence dapprobation formelle,
- htrognit du processus dapprobation et du niveau hirarchique
des approbateurs suivant les directions acheteuses,
- sparation
de
fonctions
insuffisante
dans
le
processus
dapprobation : la personne qui commande est souvent la mme
que celle qui approuve,
- absence de limites dachat suivant la nature des biens commands
et le niveau hirarchique de lauteur de la commande.
Par ailleurs des opportunits dautomatisation du processus mritent
dtre explores :
- mise en uvre dun workflow dapprobation,
- traabilit des approbations de chaque commande,
- archivage des preuves dapprobation.
AFAI
35
Recommandations
Laudit se conclut par les trois recommandations suivantes.
-
AFAI
36
12 Guide oprationnel
Le renforcement des pratiques (4) de contrle interne des systmes
d'information ncessite de dfinir un plan d'action. La dmarche mettre
en uvre est itrative. Elle doit tre planifie et mene dans la dure. Elle
peut inclure les neuf domaines suivants qui peuvent tre traits dans
l'ordre le plus adapt par les entreprises :
1.
2.
3.
4.
5.
6.
7.
8.
9.
4 - Compte tenu de la situation actuelle, nous n'avons pas pris en compte le cas d'une
entreprise qui souhaiterait allger les dispositifs de contrle interne se trouvant dans son
systme d'information. C'est actuellement un cas d'cole. Par contre il est possible que
certaines entreprises ressentent le besoin de rendre ces dispositifs moins contraignants et
moins lourds.
AFAI
37
contrle interne.
-
AFAI
38
externes
prcdemment
A la fin de ces travaux, une cartographie des risques est tablie qui
prsente les risques majeurs ainsi identifis. Ils doivent tre
priodiquement rvalus.
AFAI
39
A l'issue de ces travaux une charte de contrle interne doit tre tablie
et on doit s'assurer qu'elle comprend le systme d'information.
40
processus mtiers mais aussi les processus informatiques.
L'objectif est de dtecter des fragilits et des contrles
insuffisants.
Comme on le voit, ces dmarches demandent un premier niveau de
maturit. Pour russir cette tape il est ncessaire d'avoir parfaitement
matriser l'tape n1 : Dvelopper l'approche par les processus.
AFAI
41
les temps de rponse,
la disponibilit,
les cots de l'application,
les effectifs utilisant l'application,
la productivit (comme le nombre de dossiers par jour et par
personne),
o la charge de maintenance,
o
o
o
o
o
o
AFAI
42
rfrence recensant tous les types de contrles possibles : on
dcide ensuite les contrles qui doivent tre mis en uvre en
fonction du niveau de risque constat.
-
s'assurer que tous les contrles prvus dans les applications et sur
les bases de donnes sont rellement effectus. Pour cela, au fur et
mesure qu'ils s'excutent, on alimente une base de donnes des
contrles effectus, et lorsque des anomalies sont dtectes on
enregistre les codes d'anomalies correspondants. Priodiquement
cette base est analyse et une statistique des types d'anomalies est
tablie.
AFAI
43
d'information.
-
AFAI
44
AFAI
45
13 Annexes
AFAI
46
AFAI
47
donnes permettent de s'assurer de
l'exactitude et l'exhaustivit (intgrit) des
donnes en entre et en sortie du systme
d'information. Ces contrles ne sont pas
ncessairement inclus dans les dispositifs
de scurit.
Gestion des autorisations (la diffusion
dinformation ncessite de mettre en place
des mcanismes daccs et dautorisation
dont la gestion incombe gnralement aux
mtiers)
GESTION DES RISQUES
un systme visant recenser, analyser
les principaux risques identifiables au
regard des objectifs de la socit et
sassurer de lexistence de procdures de
gestion des risques
ACTIVITES DE CONTROLES
des activits de contrles proportionns
aux enjeux propres chaque processus et
conus pour sassurer que les mesures
ncessaires sont prises en vue de matriser
les risques susceptibles daffecter la
ralisation des objectifs. Les activits de
contrles sont prsentes partout dans
lorganisation, tout niveau et dans toute
fonction quil sagisse de contrles orients
vers la prvention ou la dtection, de
contrle manuels ou informatiques ou
encore de contrles hirarchiques.
En tout tat de cause, les activits de
contrle doivent tre dtermines en
fonction de la nature des objectifs auxquels
elles se rapportent et tre proportionnes
aux enjeux de chaque processus. Dans ce
cadre, une attention toute particulire
devrait tre porte aux contrles des
processus de construction et de
fonctionnement des systmes
dinformation
SURVEILLANCE
Une surveillance permanente portant sur
le dispositif de contrle interne ainsi quun
examen rgulier de son fonctionnement
AFAI
48
AFAI
49
Objectifs
ns
tio
rm
fo
ra
n
pe
o
C
O
Environnement de Contrle
n
io
at ire
rm c
fo an
In Fin
Composants
Activit
Entit
Site
it
Information et Communication
Supervision
l'environnement de contrle,
AFAI
50
Lenvironnement de contrle et le systme dinformation (SI)
Ce composant constitue le fondement de tous les autres composants du
contrle interne ; il tablit the tone at the top. L'environnement du
contrle contient notamment l'intgrit et les valeurs thiques d'une
organisation, la philosophie et le style de la direction, la manire dont les
comptences et les responsabilits sont attribues.
Le contrle interne informatique sappuie sur lenvironnement de contrle
de lorganisation et concerne l'attribution de l'autorit et de la
responsabilit des activits. Les solutions de gestion des identits et des
accs sont un lment essentiel du dispositif.
Compte tenu des caractristiques intrinsques du systme dinformation,
une attention particulire est porte l'alignement mtier du systme
dinformation, aux rles et responsabilits, aux politiques et procdures et
aux comptences techniques. Par exemple, les points de vigilance
adresser sont :
-
il peut conduire un niveau de dpendance significatif sur la soustraitance dans le cas o des processus ou des composants du
systme d'information seraient externaliss.
AFAI
51
Lvaluation des risques intervient :
-
AFAI
52
53
composantes de la gestion du risque lchelle de lentreprise et
lorganisation de lentreprise.
Selon le COSO II (8), le management des risques traite des risques et des
opportunits ayant une incidence sur la cration ou la prservation de la
valeur. Il se dfinit comme suit :
Le management des risques est un processus mis en uvre par le
conseil dadministration, la direction gnrale, le management et
l'ensemble des collaborateurs de l'organisation.
Il est pris en compte dans l'laboration de la stratgie ainsi que dans
toutes les activits de l'organisation. Il est conu pour identifier les
vnements potentiels susceptibles daffecter l'organisation et pour
grer les risques dans les limites de son apptence
pour le
risque(9). Il vise fournir une assurance raisonnable quant
l'atteinte des objectifs de l'organisation.
La gestion des risques doit tre considre dans une optique de pilotage :
quels risques veut-on absolument viter, quels risques sont inutiles, quels
risques est-on prt prendre pour profiter de quelles opportunits ou
conserver quel avantage ?
AFAI
54
3 - Bibliographie
1. CobiT : Gouvernance, Contrle et Audit de lInformation et des
technologies associes ITGI dition franaise AFAI Version 4.1
Mars 2008 : www.isaca.org et www.afai.fr
2. Val IT : Cration de valeur pour l'entreprise : la gouvernance des
systmes d'information ITGI - dition franaise AFAI Version 4.1
2006 : : www.isaca.org et www.afai.fr
3. IT control Objectives for Sarbanes-Oxley Version 2 septembre
2006- Ce texte est tlchargeable partir du site : www.itgi.org et
www.isaca.org
4. Prise en compte de lenvironnement informatique et incidence sur la
dmarche daudit - Compagnie Nationale des Commissaires aux
Comptes (avec la participation de lAFAI)
5. Approche et mthode de la mission de diagnostic du contrle interne
ou comment rpondre aux obligations de la loi sur la scurit
financire Conseil Suprieur de lOrdre des Experts Comptables
(encours avec la participation de lAFAI)
6. La nouvelle pratique du contrle interne Traduction du COSO
Report (version 1) IFACI. Editions d'organisation. 1994
7. Le management des risques de lentreprise - Cadre de Rfrence
Techniques dapplication Traduction du COSO II - IFACI. Editions
d'Organisation. 2005
8. Le dispositif de contrle interne : Cadre de rfrence AMF (Autorit
des Marchs Financiers) dit par l'IFACI et disponible sur le site
de l'AMF : www.amf-france.org
9. An audit of Internal Control Over Financial Reporting Performed in
Conjunction with An Audit of Financial Statements Auditing Standard
N2 PCAOB (The Public Compagny Accouting Oversight Board)
Aot 2007 : www.pcaobus.org
10.
An audit of Internal Control Over Financial Reporting That Is
Integrated with An Audit of Financial Statements Auditing Standard
N5 PCAOB (The Public Company Accounting Oversight Board)
Juin 2007 : www.pcaobus.org
11.
AFAI
55
Standards for Management Assessment and Audit concerning
Internal Control Over Financial Reporting - Business Accounting
Council Fvrier 2007
12.
Mise en oeuvre d'un contrle interne efficace via un ERP : LSF,
SOX, 8e Directive europenne, US GAAP, IFRS - Pascal Kerebel
AFNOR
13.
Contrle interne - Frdric Bernard, Rmi Gayraud,
Laurent Rousseau Maxima, 2006
14.
Livre blanc "Scurit Financire et Systme d'Information" Jean-Yves Galley, Pierre Bernassau
15.
L'approche processus mode d'emploi- ditions Organisation Septembre 2006 - 2me dition
16.
Audit 2me dition. Gestion des risques dentreprise et
contrle interne. Hamzaoui - Pearson Education France.
17.
Sarbanes-Oxley IT Compliance Using Open Source Tools, 2nd
Edition 2007 - Christian B. Lahti, Roderick Peterson- ISACA
18.
Sarbanes-Oxley Guide for Finance and Information Technology
Professionals, 2nd Edition - Sanjay Anand - 2006- ISACA
Manager's Guide to Sarbanes-Oxley Act: Improving Internal
19.
Control to Prevent Fraud - Scott Green 2004- ISACA
20.
IT Control Objectives for BASEL II: The Importance of
Governance and Risk Management for Compliance - IT Governance
Institute 2007 ISACA
21.
Information Technology Audits - Lynford Graham, Xenia Ley
Parker 2007 ISACA
AFAI