Lutilisation de CobiT par les cabinets daudit et dexpertise comptable

Avez-vous un plan ? Marchal Montgomery Jos Bouaniche, CIA, CISA, est auditeur interne au sein du Groupe Caisse des Dpts. Il a t auparavant consultant interne en qualit des logiciels et en gestion de projet, et responsable scurit informatique. Il tait antrieurement informaticien. Membre de lIFACI et de lAFAI, il a particip au groupe AFAI de traduction de CobiT version 3.

Cet article continue lexploration de CobiT (voir articles prcdents), en sintressant son utilisation par les cabinets daudit externes et en prenant pour exemple les travaux de lAICPA (American Institute of Certified Public Accountant).

Les nouvelles offres de prestation des cabinets daudit externe.

Au dbut des annes 90, lAICPA a constat que laudit comptable et financier ralis par ses affilis ne rpondait plus lattente du march. En effet, certains cabinets ralisaient des bnfices importants grce loffre de nouvelles prestations. Eloignes du cadre purement comptable, ces prestations traitaient de la performance de lentreprise, de sa capacit innover ou du respect de lenvironnement par exemple. A compter de 1992, lAICPA a mis en place des comits chargs de suivre les pratiques des cabinets et de proposer, aux adhrents et la profession, les prestations1 qui semblaient les plus porteuses en terme de march et les plus proches du mtier dexpert-comptable. Certaines de ces prestations sont dj assures par les services daudit interne, que lAICPA identifie clairement comme des concurrents directs. Une des prestations porteuses identifies par lAICPA est dailleurs lexternalisation des services daudit interne. Rien nempche cependant les services daudit interne de sinspirer en retour de ces travaux, qui sont en effet particulirement intressants : ils sont orients client ils rpondent de vritables besoins des directions des entreprises, mais aussi des autres parties prenantes : actionnaires, clients, employs, usagers ou citoyens. Ils sont structurs en offres de service.

LAICPA a identifi 6 catgories de prestations dun potentiel de revenus annuels total compris entre 500 M$ et 5 Md$ : Lvaluation du risque ( risk assessment ) : cette catgorie de prestations doit permettre de garantir, aux directions et/ou aux investisseurs, que le profil de risques tabli est complet et que lentreprise a mis en place les dispositifs appropris pour grer ces risques. La mesure de la performance de lentreprise ( business performance measurement ) : cette catgorie de prestations a pour but de dterminer si le systme de mesures de performance dune entit dispose des mesures adquates et fiables pour valuer le niveau datteinte des buts et
Pour en savoir plus, voir AICPA, "New Assurance Services", www.aicpa.org

objectifs de lentreprise, et de quelle manire cette performance est compare celle de ses comptiteurs. La fiabilit des systmes dinformation ( information system reliability ) : cette catgorie de prestations doit permettre dvaluer si les systmes dinformation (financiers et non financiers) dune entreprise fournissent de manire fiable les informations ncessaires la prise de dcision oprationnelle et financire. Le commerce lectronique ( electronic commerce ) : Lobjectif de cette catgorie de prestations est dvaluer si les systmes et outils mis en uvre pour le commerce lectronique fournissent au niveau appropri la fiabilit, la confidentialit, la protection de la vie prive ( privacy ) et lintgrit des donnes. La mesure de la performance du systme de sant ( health care performance measurement ) : cette catgorie de prestations fournit la garantie que les prestations de sant dlivres par les hopitaux, cliniques, mdecins, etc. sont efficientes. Le systme de prise en charge des personnes ges : la prestation ElderCare value si les buts assigns aux soins aux personnes ges sont atteints.

LAICPA a ralis pour chacune de ces 6 grandes catgories de prestations des business plans dtaills. Ils fournissent entre autres une valuation du potentiel du march et dcrivent les diffrentes tapes suivre pour que les experts comptables soient en mesure doffrir ces services. De plus, lAICPA dcrit, sans les dtailler, sept autres catgories de prestations au potentiel intressant, comme par exemple ; la conformit la politique de lentreprise ; laudit interne externalis ; les fusions et acquisitions ; la certification ISO 9000.

Enfin les enqutes rcurrentes auprs des cabinets daudit comptable permettent didentifier plus de 200 autres prestations, que nous nvoquerons pas ici.

Construire des prestations daudit et dvaluation avec CobiT.

LAICPA a aussi mis en place des comits qui suivent les volutions et identifient les possibilits lies aux technologies de linformation et de la communication. Dans ce cadre, des tudes ont t menes sur la mise en place pratique des nouvelles prestations lies aux technologies de linformation, notamment par lutilisation raisonne de CobiT. Une de leurs conclusions a t de souligner que, pour russir la mise en uvre de ces nouvelles prestations, les cabinets daudit ont besoin de la participation dauditeurs informatiques. Un article introductif nous servira de fil conducteur pour tenter de montrer la dmarche suivie par lAICPA pour utiliser CobiT. New assurance service opportunities for information systems auditors 2 a pour objet dattirer lattention des auditeurs informatiques sur ces nouvelles prestations, et de montrer la cohrence de la dmarche en lappliquant sur la prestation dapprciation dvaluation du risque lie aux technologies de linformation. Les auteurs rappellent dabord que, parmi les nouvelles prestations tudies par lAICPA, quatre sont particulirement ddies aux systmes d'information :
2

J. E. Hunton, C. Frownfelter-Lohrke, and G. L Holstrum, "New Assurance Service Opportunities for Information Systems Auditors", IS Audit & Control Journal, Vol IV, 1999

2/8

Apprciation des capacits matriser lvaluation du risque (risk assessement assurance) Dtermination de la qualit des services lis au commerce lectronique3 (Electronic commerce assurance) Evaluation de la fiabilit des systmes d'information (Systems reliability assurance) Certificat WebTrust4 : prestation relative au commerce lectronique B to C (business to consumer) qui garantit que les sites web de commerce lectronique sont conformes des normes sur : La protection des informations du consommateur ; Lintgrit de la transaction ; Les pratiques commerciales saines.

Ces prestations ne sont pas indpendantes, car chacune peut jouer un rle dans lapprciation de lautre. Ainsi les risques et contrles lis au commerce lectronique sintgrent au contexte plus gnral de matrise des risques de lentreprise. De mme, la prestation de certification WebTrust s'intresse la qualit des services lis au commerce lectronique ainsi qu' la fiabilit des systmes d'information (voir figure 1).

Risques stratgiques

valuation du risque : * risques d environnement oprationnel * risques lis l information

Commerce lectronique

Assurance de fiabilit des systmes webtrust d information Risques stratgiques

Figure 1

Concernant lutilisation de CobiT pour les prestations AICPA lies au commerce lectronique, on consultera S. Ayers, C. FrownfelterLohrke and J. E. Hunton, " Opportunities in Electronic Commerce Assurance for Information Systems Auditors ", IS Audit & Control Journal, Vol VI, 1999 Pour en savoir plus, voir WebTrust France CNCC / OEC - Principes et critres WebTrust pour le commerce lectronique entre entreprises et consommateurs consultable sur les sites ICCA (http://www.icca.ca), AICPA (http://www.aicap.org) et http://www.WebTrust .fr

3/8

Utiliser CobiT pour qualifier les dispositifs dvaluation du risque.

LAICPA dfinit le risque dentreprise comme la menace quun vnement ou une action affecte ngativement une capacit/aptitude de lorganisation atteindre ses objectifs (business objectives) et raliser ses stratgies. Dans le cadre de la prestation dapprciation de lvaluation du risque lie aux technologies de linformation, les auteurs soulignent que deux dispositifs sont au pralable tudier. Les auditeurs doivent en effet systmatiquement sassurer que : 1- lentreprise utilise un cadre de rfrence pour lanalyse de ses risques. Les auteurs soulignent que celui illustr par CobiT (voir figure 2) peut servir de guide aux auditeurs ; 2- le processus de communication des directives et orientations de la direction est globalement matris. Cette problmatique est prise en compte par CobiT dans le 6me objectif de contrle gnral du domaine Planification & Organisation (PO6). Les objectifs de contrle dtaills permettent aux auditeurs de concevoir un plan daudit afin dvaluer si les politiques et directives de la direction sont correctement communiques dans lentreprise (voir tableau 1).

Cadre d'analyse des risques illustr par CobiT valorisation des biens valuation des menaces contres mesures

valuation des vulnrabilits

valuation des risques

valuation du contrle

plan d'actions

risque rsiduel

Le modle dbute par une valorisation des biens. Dans CobiT, ces biens sont les informations - et naturellement l'ensemble des ressources associes - dont les critres d'efficacit, de disponibilit ou d'intgrit, etc. sont essentiels pour atteindre les objectifs de l'entreprise. L'tape suivante est l'analyse de vulnrabilit des processus, qui permet d'identifier les faiblesses par les critres d'information ; un processus peut par exemple tre vulnrable la perte d'intgrit. L'analyse des menaces, tape suivante, doit permettre de lister l'ensemble des menaces et de voir quelles vulnrabilits elles pourraient exploiter. L'analyse des risques va combiner la probabilit de la menace, le degr de vulnrabilit et le niveau de svrit de l'impact. Il faut alors raliser l'analyse du contrle en exhibant une srie de contre mesures et en valuant leur efficacit face aux risques. Un plan d'actions est alors mis en uvre et le cycle peut recommencer.
Figure 2

4/8

Com munication des objectifs et des orientation de la direction (PO 6) :

O bjectifs de contrle dtaills : 1. Environnem ent positif du contrle de l information 2. Responsabilit du m anagem ent vis--vis des politiques 3. Comm unication des politiques de l organisation 4. Ressources utilises pour la mise en uvre de la politique 5. M aintenance des politiques 6. Conform it aux politiques, aux procdures et aux standards 7. Engagement vis--vis de la qualit 8. Cadre en m atire de scurit et de contrle interne 9. Droits relatifs la proprit intellectuelle 10. Politiques spcifiques 11. Sensibilisation la scurit inform atique Pour le plan daudit associ, voir le volume G uide d audit page 51, de CobiT G ouvernance, C ontrle et Audit de l Information et des Technologies Associes , 2m e dition, A FAI / ISA CF

Tableau 1

Selon lAICPA, le risque dentreprise appartient trois catgories (voir figure 1), qui peuvent, elles aussi, tre apprcies au travers dun plan daudit labor avec CobiT : 1- Risques lis lenvironnement stratgique, constitus de menaces exognes significatives comme des changements dans le got des consommateurs, lapparition de produits de substitution, des changements dans l'environnement politique, juridique ou de la capacit capitalistique. 2- Risques lis lenvironnement oprationnel : Ce sont des menaces gnres par des processus inefficaces ou inefficients pour lacquisition, la transformation ou la mise sur le march de biens et de services, gnrant la perte de biens ou dactifs physiques, financiers, informationnels, intellectuels, , ou encore la perte de marchs, dopportunits ou de rputation. 3- Risques lis linformation : Menaces gnres par lutilisation dinformations de mauvaise qualit, nuisant la prise de dcision oprationnelle, financire ou stratgique

Apprcier la matrise des risques lis lenvironnement stratgique

Pour lapprciation de lvaluation des risques lis lenvironnement stratgique, les auteurs proposent (voir tableau 2) de sintresser : A lintgralit du processus de dfinition du plan informatique, tel que dfini par CobiT (PO1) ; Au positionnement stratgique de linformatique et de son pilotage (objectifs 1, 2 et 3 de PO4) ; A la qualit de la veille technologique et rglementaire (PO8) ; A la prise en compte de cette veille pour dterminer lorientation technologique (objectif n2 de PO3).

5/8

Evaluation des risques lis lenvironnement stratgique : objectifs de contrle de haut niveau et dtaills applicables
Dfinir un plan informatique stratgique (PO1) : 1. Intgration de l informatique au plan long et court terme de l organisation 2. Le plan informatique long terme 3. Approche et structure de la planification informatique long terme 4. Les modifications du plan informatique long terme 5. Planification court terme de la fonction informatique 6. Evaluation des systmes existants Dterminer l orientation technologique (PO3) : 2. Surveillance des tendances et de la rglementation Dfinir l organisation et les relations de travail de la fonction informatique (PO4) : 1. Le comit de planification ou de pilotage de la fonction informatique 2. Position de la fonction informatique au sein de l organisation 3. Rvision des ralisations de l organisation S assurer de la conformit aux exigences externes (PO8) : 1. Revue des impratifs externes 2. Les pratiques et procdures pour se conformer aux exigences externes 3. Conformit en matire de scurit et d ergonomie 4. Vie prive, proprit intellectuelle et transfert de donnes 5. Commerce lectronique 6. Conformit des contrats d assurance Pour plus d informations sur les objectifs de contrle et le plan daudit associ, voir CobiT Gouvernance, Contrle et Audit de l Information et des Technologies Associes, 2me dition, AFAI / ISACF. Seuls les objectifs de contrle les plus applicables sont voqusici.

Tableau 2

Apprcier la matrise des risques lis lenvironnement oprationnel

Selon les auteurs, nous sommes ici dans le fond de commerce de lauditeur informatique qui : 1- apprcie la part prise par les technologies de linformation dans lefficacit et lefficience des processus de lentreprise ; 2- dtermine les risques et value les contrles associs. Ainsi, lauditeur informatique sintressera (voir tableau 3) : dabord lvaluation de la scurit physique et logique, en utilisant les objectifs de contrle PO4 ( dfinir lorganisation et les relations de travail de la fonction informatique ), DS5 ( garantir de la scurit des systmes ) et DS12 ( grer les installations ) notamment ; Ensuite lapprciation de la bonne utilisation des ressources humaines pour raliser au mieux les activits informatiques, avec lobjectif PO7 ( grer les ressources humaines ) ; Enfin lestimation des dispositifs lis lvaluation des risques de lentreprise (PO9) et particulirement au risque dinterruption de service.

6/8

Evaluation des risques lis l environnement oprationnel : objectifs de contrle gnraux et dtaills applicables
Dfinir l organisation et les relations de travail de la fonction informatique (PO4) : 6. Responsabilit de la scurit physique et logique 7. Statuts de propritaire et de gardien 8. Proprit des donnes et du systme 9. Supervision 10. Sparation des tches Grer les ressources humaines (PO7) : 1. Recrutement et promotion du personnel 2. Qualification du personnel 3. Formation 4. Organisation des remplacements ou formations croises Evaluer les risques (PO9) : 1. Evaluation du risque d entreprise Pour plus d informations sur les objectifs de contrle et le plan daudit associ, voir CobiT Gouvernance, Contrle et Audit de l Information et des Technologies Associes, 2me dition, AFAI / ISACF. Seuls les objectifs de contrle les plus applicables sont voqus ici.

Tableau 3

Apprcier la matrise des risques lis linformation

Pour apprcier la matrise des risques lis linformation, les auteurs considrent que lauditeur informatique doit valuer (voir tableau 4) : Dabord la bonne affectation des rles et responsabilits (PO4, objectif dtaill 4), et notamment celles lies lassurance qualit (PO4, objectif dtaill 5) quil approfondira avec PO11 grer la qualit ; Ensuite la qualit de lvaluation des risques en se basant sur les objectifs dtaill 2 6 de PO9 valuer les risques .

7/8

Evaluation des risques lis l information : objectifs de contrle gnraux et dtaills applicables
Dfinir l organisation et les relations de travail de la fonction informatique (PO4) : 4. Rles et responsabilits 5. Responsabilits de l assurance qualit Evaluer les risques (PO9) : 2. Approche de l valuation des risques 3. Identification des risques 4. Estimation du risque 5. Plan d actions pour parer aux risques 6. Acceptation des risques Pour plus d informations sur les objectifs de contrle et le plan daudit associ, voir CobiT Gouvernance, Contrle et Audit de l Information et des Technologies Associes, 2me dition, AFAI / ISACF. Seuls les objectifs de contrle les plus applicables sont voqus ici.

Tableau 4

Les auteurs de New assurance service opportunities for information systems auditors ont montr la capacit de CobiT sappliquer des prestations daudit particulirement labores. Rien ne nous empche de ltendre dautres types de prestations5, ou de ladapter notre environnement. Concernant par exemple la prestation dvaluation de la matrise des risques lie linformation, dautres objectifs de contrle peuvent servir de vecteurs dinvestigation comme AMP6 grer les changements ou encore DS10 ( grer les problmes et les incidents ).

* * *
Les prestations dassurance tudies par lAICPA intressent lauditeur interne plus dun titre : Elles sont utilises comme instrument de dveloppement commercial des cabinets daudit, et permettent entre autres de concurrencer les services daudit interne ; Elles peuvent en retour inspirer les services daudit interne qui, par la mise en place de prestations daudit types, gagnent en crdibilit sinon en professionnalisme ; Elles illustrent, pour celles ayant trait aux technologies de linformation, lutilisation de CobiT.

On en aura un exemple en consultant " Opportunities in Electronic Commerce Assurance for Information Systems Auditors ", IS Audit & Control Journal, Vol VI, 1999, dj cit.

8/8