Académique Documents
Professionnel Documents
Culture Documents
Avez-vous un plan ? Marchal Montgomery Jos Bouaniche, CIA, CISA, est auditeur interne au sein du Groupe Caisse des Dpts. Il a t auparavant consultant interne en qualit des logiciels et en gestion de projet, et responsable scurit informatique. Il tait antrieurement informaticien. Membre de lIFACI et de lAFAI, il a particip au groupe AFAI de traduction de CobiT version 3.
Cet article continue lexploration de CobiT (voir articles prcdents), en sintressant son utilisation par les cabinets daudit externes et en prenant pour exemple les travaux de lAICPA (American Institute of Certified Public Accountant).
LAICPA a identifi 6 catgories de prestations dun potentiel de revenus annuels total compris entre 500 M$ et 5 Md$ : Lvaluation du risque ( risk assessment ) : cette catgorie de prestations doit permettre de garantir, aux directions et/ou aux investisseurs, que le profil de risques tabli est complet et que lentreprise a mis en place les dispositifs appropris pour grer ces risques. La mesure de la performance de lentreprise ( business performance measurement ) : cette catgorie de prestations a pour but de dterminer si le systme de mesures de performance dune entit dispose des mesures adquates et fiables pour valuer le niveau datteinte des buts et
Pour en savoir plus, voir AICPA, "New Assurance Services", www.aicpa.org
objectifs de lentreprise, et de quelle manire cette performance est compare celle de ses comptiteurs. La fiabilit des systmes dinformation ( information system reliability ) : cette catgorie de prestations doit permettre dvaluer si les systmes dinformation (financiers et non financiers) dune entreprise fournissent de manire fiable les informations ncessaires la prise de dcision oprationnelle et financire. Le commerce lectronique ( electronic commerce ) : Lobjectif de cette catgorie de prestations est dvaluer si les systmes et outils mis en uvre pour le commerce lectronique fournissent au niveau appropri la fiabilit, la confidentialit, la protection de la vie prive ( privacy ) et lintgrit des donnes. La mesure de la performance du systme de sant ( health care performance measurement ) : cette catgorie de prestations fournit la garantie que les prestations de sant dlivres par les hopitaux, cliniques, mdecins, etc. sont efficientes. Le systme de prise en charge des personnes ges : la prestation ElderCare value si les buts assigns aux soins aux personnes ges sont atteints.
LAICPA a ralis pour chacune de ces 6 grandes catgories de prestations des business plans dtaills. Ils fournissent entre autres une valuation du potentiel du march et dcrivent les diffrentes tapes suivre pour que les experts comptables soient en mesure doffrir ces services. De plus, lAICPA dcrit, sans les dtailler, sept autres catgories de prestations au potentiel intressant, comme par exemple ; la conformit la politique de lentreprise ; laudit interne externalis ; les fusions et acquisitions ; la certification ISO 9000.
Enfin les enqutes rcurrentes auprs des cabinets daudit comptable permettent didentifier plus de 200 autres prestations, que nous nvoquerons pas ici.
J. E. Hunton, C. Frownfelter-Lohrke, and G. L Holstrum, "New Assurance Service Opportunities for Information Systems Auditors", IS Audit & Control Journal, Vol IV, 1999
2/8
Apprciation des capacits matriser lvaluation du risque (risk assessement assurance) Dtermination de la qualit des services lis au commerce lectronique3 (Electronic commerce assurance) Evaluation de la fiabilit des systmes d'information (Systems reliability assurance) Certificat WebTrust4 : prestation relative au commerce lectronique B to C (business to consumer) qui garantit que les sites web de commerce lectronique sont conformes des normes sur : La protection des informations du consommateur ; Lintgrit de la transaction ; Les pratiques commerciales saines.
Ces prestations ne sont pas indpendantes, car chacune peut jouer un rle dans lapprciation de lautre. Ainsi les risques et contrles lis au commerce lectronique sintgrent au contexte plus gnral de matrise des risques de lentreprise. De mme, la prestation de certification WebTrust s'intresse la qualit des services lis au commerce lectronique ainsi qu' la fiabilit des systmes d'information (voir figure 1).
Risques stratgiques
Commerce lectronique
Figure 1
Concernant lutilisation de CobiT pour les prestations AICPA lies au commerce lectronique, on consultera S. Ayers, C. FrownfelterLohrke and J. E. Hunton, " Opportunities in Electronic Commerce Assurance for Information Systems Auditors ", IS Audit & Control Journal, Vol VI, 1999 Pour en savoir plus, voir WebTrust France CNCC / OEC - Principes et critres WebTrust pour le commerce lectronique entre entreprises et consommateurs consultable sur les sites ICCA (http://www.icca.ca), AICPA (http://www.aicap.org) et http://www.WebTrust .fr
3/8
Cadre d'analyse des risques illustr par CobiT valorisation des biens valuation des menaces contres mesures
valuation du contrle
plan d'actions
risque rsiduel
Le modle dbute par une valorisation des biens. Dans CobiT, ces biens sont les informations - et naturellement l'ensemble des ressources associes - dont les critres d'efficacit, de disponibilit ou d'intgrit, etc. sont essentiels pour atteindre les objectifs de l'entreprise. L'tape suivante est l'analyse de vulnrabilit des processus, qui permet d'identifier les faiblesses par les critres d'information ; un processus peut par exemple tre vulnrable la perte d'intgrit. L'analyse des menaces, tape suivante, doit permettre de lister l'ensemble des menaces et de voir quelles vulnrabilits elles pourraient exploiter. L'analyse des risques va combiner la probabilit de la menace, le degr de vulnrabilit et le niveau de svrit de l'impact. Il faut alors raliser l'analyse du contrle en exhibant une srie de contre mesures et en valuant leur efficacit face aux risques. Un plan d'actions est alors mis en uvre et le cycle peut recommencer.
Figure 2
4/8
Tableau 1
Selon lAICPA, le risque dentreprise appartient trois catgories (voir figure 1), qui peuvent, elles aussi, tre apprcies au travers dun plan daudit labor avec CobiT : 1- Risques lis lenvironnement stratgique, constitus de menaces exognes significatives comme des changements dans le got des consommateurs, lapparition de produits de substitution, des changements dans l'environnement politique, juridique ou de la capacit capitalistique. 2- Risques lis lenvironnement oprationnel : Ce sont des menaces gnres par des processus inefficaces ou inefficients pour lacquisition, la transformation ou la mise sur le march de biens et de services, gnrant la perte de biens ou dactifs physiques, financiers, informationnels, intellectuels, , ou encore la perte de marchs, dopportunits ou de rputation. 3- Risques lis linformation : Menaces gnres par lutilisation dinformations de mauvaise qualit, nuisant la prise de dcision oprationnelle, financire ou stratgique
5/8
Evaluation des risques lis lenvironnement stratgique : objectifs de contrle de haut niveau et dtaills applicables
Dfinir un plan informatique stratgique (PO1) : 1. Intgration de l informatique au plan long et court terme de l organisation 2. Le plan informatique long terme 3. Approche et structure de la planification informatique long terme 4. Les modifications du plan informatique long terme 5. Planification court terme de la fonction informatique 6. Evaluation des systmes existants Dterminer l orientation technologique (PO3) : 2. Surveillance des tendances et de la rglementation Dfinir l organisation et les relations de travail de la fonction informatique (PO4) : 1. Le comit de planification ou de pilotage de la fonction informatique 2. Position de la fonction informatique au sein de l organisation 3. Rvision des ralisations de l organisation S assurer de la conformit aux exigences externes (PO8) : 1. Revue des impratifs externes 2. Les pratiques et procdures pour se conformer aux exigences externes 3. Conformit en matire de scurit et d ergonomie 4. Vie prive, proprit intellectuelle et transfert de donnes 5. Commerce lectronique 6. Conformit des contrats d assurance Pour plus d informations sur les objectifs de contrle et le plan daudit associ, voir CobiT Gouvernance, Contrle et Audit de l Information et des Technologies Associes, 2me dition, AFAI / ISACF. Seuls les objectifs de contrle les plus applicables sont voqusici.
Tableau 2
6/8
Evaluation des risques lis l environnement oprationnel : objectifs de contrle gnraux et dtaills applicables
Dfinir l organisation et les relations de travail de la fonction informatique (PO4) : 6. Responsabilit de la scurit physique et logique 7. Statuts de propritaire et de gardien 8. Proprit des donnes et du systme 9. Supervision 10. Sparation des tches Grer les ressources humaines (PO7) : 1. Recrutement et promotion du personnel 2. Qualification du personnel 3. Formation 4. Organisation des remplacements ou formations croises Evaluer les risques (PO9) : 1. Evaluation du risque d entreprise Pour plus d informations sur les objectifs de contrle et le plan daudit associ, voir CobiT Gouvernance, Contrle et Audit de l Information et des Technologies Associes, 2me dition, AFAI / ISACF. Seuls les objectifs de contrle les plus applicables sont voqus ici.
Tableau 3
7/8
Evaluation des risques lis l information : objectifs de contrle gnraux et dtaills applicables
Dfinir l organisation et les relations de travail de la fonction informatique (PO4) : 4. Rles et responsabilits 5. Responsabilits de l assurance qualit Evaluer les risques (PO9) : 2. Approche de l valuation des risques 3. Identification des risques 4. Estimation du risque 5. Plan d actions pour parer aux risques 6. Acceptation des risques Pour plus d informations sur les objectifs de contrle et le plan daudit associ, voir CobiT Gouvernance, Contrle et Audit de l Information et des Technologies Associes, 2me dition, AFAI / ISACF. Seuls les objectifs de contrle les plus applicables sont voqus ici.
Tableau 4
Les auteurs de New assurance service opportunities for information systems auditors ont montr la capacit de CobiT sappliquer des prestations daudit particulirement labores. Rien ne nous empche de ltendre dautres types de prestations5, ou de ladapter notre environnement. Concernant par exemple la prestation dvaluation de la matrise des risques lie linformation, dautres objectifs de contrle peuvent servir de vecteurs dinvestigation comme AMP6 grer les changements ou encore DS10 ( grer les problmes et les incidents ).
* * *
Les prestations dassurance tudies par lAICPA intressent lauditeur interne plus dun titre : Elles sont utilises comme instrument de dveloppement commercial des cabinets daudit, et permettent entre autres de concurrencer les services daudit interne ; Elles peuvent en retour inspirer les services daudit interne qui, par la mise en place de prestations daudit types, gagnent en crdibilit sinon en professionnalisme ; Elles illustrent, pour celles ayant trait aux technologies de linformation, lutilisation de CobiT.
On en aura un exemple en consultant " Opportunities in Electronic Commerce Assurance for Information Systems Auditors ", IS Audit & Control Journal, Vol VI, 1999, dj cit.
8/8