Vous êtes sur la page 1sur 47

Mission d’Audit des SI

Foudhaili Aymen
Mastére GP2
Partie I: Notion de systèmes
d’information
Qu’est-ce qu’un SI ?

• « Un système d’information est un


ensemble organisé de ressources (matériel,
logiciel, personnel, données, procédures), permettant
d’acquérir, de traiter, de stocker, de
communiquer des informations dans des
organisations » (Reix, 2004)
– Un système technique (supports matériels)
– Un système social (personnel, flux
d’informations)
Objectifs d’un système d’information
• Pourquoi parler de SI et non de système de
données ?
– Le système d’information apporte des données organisées
pour faciliter le travail
• Davis (1974) : le SI est un « système intégré homme-
machine qui fournit de l’information pour assister les
fonctions opérationnelles, de management et de
prise de décision au sein de l’organisation »
 fournir la bonne information à la bonne personne au
bon moment
Qu’est-ce qu’une bonne
• Pertinence :
information ?
– Exhaustivité
– Absence de bruit
– Précision

• Accessibilité :
– Dans le temps : actualité
– Dans l’espace : forme et facilité d’accès (retrieval)

• Crédibilité
Approche hiérarchique des SI
Rôle des SI hiérarchiques

• Faciliter voire automatiser les opérations


courantes (informatique transactionnelle &
opérationnelle)
• Faciliter la prise de décision (informatique
décisionnelle)
Rôles du SI dans le processus de prise de
décision
• Aider (ou se substituer) à la construction de représentations de
la situation (intelligence)
– Décisions structurées : autodiagnostic, alertes de dysfonctionnement
– Décisions semi-structurées ou non structurées : tableaux de bord, outils de
manipulation de données
• Aider (ou se substituer) à la conception de solutions alternatives
– D.S. : simulateurs
– D.S.S. ou D.N.S. : tableaux de bord, simulations, calculs statistiques…
• Aider (ou se substituer) au choix de la solution
– D.S. : automatisation complète. Ex: DAB
– D.S.S. ou D.N.S. : très rare. Systèmes experts
Fonctions des SI

• Acquérir des données brutes


• Stocker les données acquises
• Traiter les données stockées
• Fournir des informations ou des données
brutes
Partie II: Audit des systèmes
d’information

22/10/15 10/34
Définitions

système d’information :

 L’ensemble des moyens humains, matériels ainsi que des méthodes


visant à acquérir, stocker, traiter et diffuser de l’information.

SI représente un patrimoine essentiel de l’entreprise

la confidentialité et la disponibilité de l’information constitue un enjeu très


important pour la compétitivité de l’entreprise

22/10/15 11/34
Définitions
La sécurité du système d’information :
 ensemble de méthodes, techniques et outils chargés de protéger les
ressources d’un système informatique afin d’assurer :

 la disponibilité des services

 la confidentialité des information

 l’intégrité des systèmes

22/10/15 12/34
Définitions

Les systèmes informatiques sont au cœur des systèmes d´information

Ils sont devenus la cible de ceux qui convoitent l’information

Assurer la sécurité de l’information implique l’assurance la sécurité des systèmes


informatiques.

L’audit de sécurité du système d’information est un examen méthodique d’une


situation liée à la sécurité de l’information en vue de vérifier sa conformité à des
objectifs, à des règles ou à des normes.

La sécurité informatique
La science qui permet de s’assurer que celui qui consulte ou modifie des données
du système en a l’autorisation
22/10/15 13/34
Les raisons
• Voici quelques exemples de questions susceptibles d'être formulée par
le Top management :
– Le système d'information de l'entreprise contribue-t-il à améliorer sa
profitabilité?
– La mise en place d'une nouvelle application, a-t-elle amélioré la
productivité et le service client ?
– La stratégie informatique est-elle conforme à la stratégie de l'entreprise ?
– Peut-on diminuer les coûts des fonctions administratives en dépensant
plus en informatique ?
• Entrainent le besoin de :
– de contrôler les Systèmes d'Information ;
– d'accroître la Sécurité des S.I.
– d'optimiser les S.I.
22/10/15 14
Définition d’audit des SI

• Observation, examen, analyse de faits, situations et informations par


rapport à des référentiels internes (politique de l’entreprise) ou externes
(la réglementation), de manière à mettre en évidence des écarts ou
dysfonctionnements,
dysfonctionnements en rechercher les causes et les conséquences en
termes de risques et de coûts, permettant ainsi à l’auditeur de
présenter dans un rapport des avis et recommandations à court et
moyen terme.

22/10/15 15
Objectifs de l’audit des SI

• l’audit des systèmes d’information permet de vérifier, apprécier et valider :


– la cohérence et l’adéquation de l’organisation des systèmes d’information en
vigueur et de ses composantes,
– la cohérence des systèmes d’information par rapport aux objectifs de
l’Organisation auditée
– l’adéquation des choix et investissements informatiques (hardware et software)
par rapport aux besoins de l’organisation et des différents gestionnaires et
utilisateurs (à tous les niveaux),
– l’existence d’un plan de développement informatique à moyen terme,
– les domaines d’activités couverts par l’informatique et le degré d’informatisation
de ces activités au niveau de l’organisation objet de l’audit,
– l’efficacité et les compétences des services informatiques,
– les performances des matériels et logiciels.

22/10/15 16
Périmètre de l’audit des SI (1/2)

 Un système d’information est une partie intégrante de l’organisation.


C’est un ensemble de procédures permettant le recueil, le traitement,
la mémorisation, la restitution et la communication de l’information à
des acteurs internes ou externes.
 Auditer un système d’information d’une organisation consiste en une
analyse de faits, situations et informations par rapport à des
référentiels internes ou externes, de manière à mettre en évidence les
écarts ou dysfonctionnements tout en recherchant les causes et les
conséquences en termes de risques et de coûts.

22/10/15 17
Périmètre de l’audit des SI (2/2)
• Auditer les systèmes d’information revient à auditer les composantes qui
le constituent, à savoir:
 L’examen de l'organisation de la structure en charge des systèmes
d’information,
 L’examen des procédures liées au développement,
 L’examen des procédures liées à l’exploitation des applications
informatiques
 L’examen des fonctions techniques,
 L’examen des activités de contrôle sur la protection et la confidentialité
des données.

22/10/15 18
Evaluation des risques liés au SI

• Risques liés aux politiques d’organisation et de management


• Risques liés à la séparation des fonctions
• Risques liés aux contrôles d’accès logiques
• Risques liés au contrôle des accès physiques
• Risques liés au contrôle du développement et des modifications des
programmes et du système
• Risques liés à la continuité de l’activité
• Risques liés aux traitements informatiques
• Risques liés aux utilisateurs

22/10/15 19
Documentation nécessaire pour l’audit des SI

L’audit d’un système d’information nécessite, pour l’auditeur, d’avoir à sa


disposition et d’obtenir :
 l’organisation de la structure informatique, et les effectifs qui lui sont allouées,
 le schéma directeur informatique, s’il existe,
 la charte informatique en vigueur au niveau du site audité, si elle existe,
 l’architecture du système d’information et ses composantes,
 la liste des activités et processus,
 le parc informatique (matériel),
 l’inventaire des applications informatiques opérationnelles et leurs descriptifs
succincts.

22/10/15 20
Partie III: Mener une mission
d’audit des systèmes d’information

22/10/15 21/34
Acteurs d’une mission

• L’auditeur :
– Professionnel compétent et indépendant
– Doit respecter les normes et les standards
– Peut être interne et externe

• L’audité :
– Entreprise
– Filiale
– Département
– service

• Le prescripteur :
– Personne qui commande et assure le règlement de la mission d’Audit
22/10/15 22
Démarche d’audit des SI

22/10/15 23
Démarche de l’Audit des SI

• Une approche en 3 phases : Rapport


Rapport
++
Lettre
Lettrede
de
Plan
Pland’action
d’action
Mission
Mission
++
Plan
Plande
de
mission
mission L’Auditeur aide le manager à mieux maîtriser
ses risques et atteindre ses objectifs.

25% Il fait des recommandations pour améliorer les


dispositifs existants.

25%

Programme
Programmede de
travail
travail(ou
(ouplan
plan 50%
d’audit)
d’audit)
24
1- La phase de préparation

• La phase d ’étude permet à l ’auditeur de dresser le plan d ’audit


de la mission (ou programme de travail). Pour ce faire il va devoir :
– Identifier les principaux objectifs de l ’entité et recenser les risques généraux
associés (risque comptable, patrimonial, …)
– Découper le process en procédures élémentaires, ou « objets auditables ».
– Analyser l ’environnement de contrôle interne, et le cas échéant
l ’environnement informatique.
– Évaluer pour chaque étape du process le niveau des risques inhérents à
l ’activité, et apprécier pour ceux qui présentent un niveau significatif leur
degré de maîtrise en évaluant le niveau des risques liés au contrôle (c ’est à
dire le risque que le contrôle mis en œuvre pour maîtriser un risque inhérent
à une procédure ne soit pas suffisant, adapté …)

22/10/15 25
1- La phase de préparation

• Les documents préparatoires :


– Lettre de mission : Mandat donné aux auditeurs par le Manager
pour auditer.
– Lettre d’information : Lettre d ’annonce, information remise à
l’audité par l’auditeur (envoi préalable ou lors de la réunion
d ’ouverture)
– Plan de mission ou cahier des charges ou termes de référence

22/10/15 26
1 - La phase d ’étude : Connaître le process

• L ’étude de l’environnement :
– Il s ’agit de la première étape de la phase de prise de connaissance
Guides – Étape théoriquement facilitée par la mise à disposition de guides de
Guidesde de
contrôle
contrôle contrôle interne :
interne
interne •    les objectifs et les buts de l’activité
•    les indicateurs de performance et les valeurs cibles adossés
Manuels
Manuelsdede • les règles, plans, procédures, lois, réglementations, contrats et
procédures
procédures conventions qui peuvent avoir un impact significatif sur les
opérations, et les rapports.
•     d’éventuelles problématiques importantes
• la littérature technique (normes, bonnes pratiques, directives
techniques…) faisant autorité pour l'activité concernée

22/10/15 27
1 - La phase d ’étude : Connaître le process

• L’étude des chiffres significatifs : Rapport


Rapport
dd’activité
’activité
– Recenser les données propres à la procédure et
connaître leur évolution, à la fois au sein de
l ’entité auditée mais aussi par comparaison à
d ’autres entités
– Se faire expliquer les évolutions significative
Base
Basede
de
( changement de la réglementation,
Données
Données
réorganisation du service, … ) par écrit

22/10/15 28
1 - La phase d ’étude : Connaître le process

• Détermination des risques généraux :


• Identification des différentes étapes du process :
Découper la procédure en étapes générales

Procédure
Etape N

Etape 1
Etape 2
Etape 3

22/10/15 29
1 - La phase d ’étude : Connaître le process

• Identification des acteurs :


– Quels sont les acteurs qui interviennent dans la
procédure? Internes et externes : les recenser tous
– A quel titre interviennent - ils ?
– Quelles sont leurs fonctions ?
– Quels outils utilisent t-ils ?
– Quels comptes ?
– De quelles informations disposent t-ils ?
– Quels sont leurs niveaux d ’habilitation ?

22/10/15 30
1 - La phase d ’étude : Connaître le process

• Matérialisation des flux : pour achever la phase d ’étude et au vu de


l ’ensemble des informations récoltées en amont l ’auditeur dresse un schéma de
circulation des informations lui permettant de comprendre la circulation des flux
d ’information de la procédure dans ses différents lieux. Ce schéma, outre l ’aspect
« outil de synthèse » permet de mettre en avant des points forts, mais aussi des points
de fragilité, et va servir de support à l ’analyse de la validité et de l ’efficacité du
contrôle interne.

22/10/15 31
1 - La phase d ’étude : Connaître le process

• Cartographie des risques : l ’auditeur indique le risque inhérent, c’est à dire avant
contrôle interne à chaque objet auditable du process.
– Le tableau ci-dessous présente un modèle de cartographie. L ’auditeur, à ce stade, va
renseigner les quatre premières colonnes : Procédure, Étape, Objet auditable et
Risque Inhérent

Procédure Etape Objet Risque Cotation Niveau Cequi doit Commentaire


Auditable inhérent du être fait pour sur le niveau
Risque Comptable
Risque Opérationnel
Risque Patrimonial
Risque Juridique
Risque de Fraude
risque maîtriser le du risque
Inhérent risque inhérent
inhérent

– La deuxième partie du tableau


32 sera servie dans l ’étape
Etape 2 : phase du Terrain

22/10/15 33
2 - La phase du Terrain : Evaluer le
dispositif du CI

• L ’évaluation des dispositifs transversaux : le contrôle interne, et


l’informatique:
– Utilisation d ’un questionnaire déroulé dans le cadre d ’un entretien
portant sur les principes suivants :
• Organisation
• Intégration
• Universalité
• Permanence
• L’information et/ou documentation
• Circulation de l ’information

– Approche spécifique de l’environnement informatique

22/10/15 34
2 - La phase du Terrain : Evaluer le
dispositif du CI
– S ’agissant de l ’informatique :
– Sécurités physiques :
• Protection des locaux ( accès sécurisé, salle fermée … )
• Protection des matériels ( incendie, humidité, … )
• Modalité de stockages des supports d ’information ( disques, disquettes -->
armoire ignifuge, stockage externe … )
– Sécurités logiques
• Habilitations / délégations
• Procédures de sauvegardes ( modalités, fréquence, suivi formalisé …. )
• Procédures de restauration des données ( simulations d ’incidents, … )
– Contrôles spécifiques
• Traçabilité des opérations de modification des données ( liste, journal des
modifications … ).

22/10/15 35
2 - La phase du Terrain : Evaluer les
risques
• L ’auditeur doit évaluer le niveau du risque en mesurant sa probabilité et
son impact
• Pour chaque étape de la procédure, les risques inhérents listés sont
qualifiés :
 Bas
 Moyen
 Élevé
• Ce travail d ’évaluation est réalisé en fonction des éléments recueillis lors
de la prise de connaissance ( Étape 1 ), mais aussi lors de l ’évaluation du
dispositif de contrôle interne ( Étape 2 )
• L ’évaluation des risques doit être commentée par l ’auditeur qui doit
formaliser les choix réalisés.

22/10/15 36
2 - La phase du Terrain : Evaluer les
risques
• Pour chaque objet auditable de la procédure, les risques inhérents listés sont qualifiés
– La cartographie pré remplie à la fin de la phase 1, est complétée. La cotation se fait en évaluant le
poids ( Impact X Probabilité ) de chacun des risques généraux selon l ’évaluation suivante :
0 Faible
1 Moyen
2 Élevé
4 Maximum
Procédure Etape Objet Risque Cotation Niveau Cequi doit Commentaire
Auditable inhérent Risque Comptable du être fait pour sur le niveau
Risque Opérationnel

Risque Patrimonial

Risque Juridique

Risque de Fraude
risque maîtriser le du risque
Inhérent risque inhérent
inhérent

XXX XXXX XXXX XXXXXXXXX 2 4 2 4 4 XXXX XXXXXXXX


Elevé

22/10/15 37
• Pour les risques élevés, l ’auditeur indique les contrôles qui doivent être
réalisés, pour permettre leur maîtrise. L ’auditeur indique « ce qui doit être
fait », pour ensuite comparer avec « ce qui est fait » !

Procédure Etape Objet Risque Cotation Niveau Cequi doit Commentaire


Auditable inhérent du être fait pour sur le niveau

Risque Comptable
Risque Opérationnel
Risque Patrimonial
Risque Juridique
Risque de Fraude
risque maîtriser le du risque
Inhérent risque inhérent
inhérent

XXX XXXX XXXX XXXXXXXXX 2 4 2 4 4 XXXX XXXXXXXX


Elevé

22/10/15 38
2 - La phase du Terrain : Evaluer les
risques

• Recenser les contrôles :


– Après avoir évalué le niveau des risques inhérents, l ’auditeur
recense les contrôles réalisés pour déterminer le niveau des
risques de contrôle. Le niveau du risque de contrôle est élevé si le
contrôle mis en œuvre pour maîtriser le risque inhérent élevé
apparaît comme insuffisant.
– L ’auditeur, à partir de la cartographie sert le tableau de
description du process .

22/10/15 39
2 - La phase du Terrain :

• Les papiers du travail dans cette phase :


• documentation des faits recueillis par l ’auditeur et constitutifs de la
preuve d ’audit qui va permettre à l ’auditeur de formuler une
recommandation matérialisée dans une Fiche de révélation et
d ’analyse des problèmes FRAP.
• Éléments mis à la disposition des membres de l ’équipe d ’audit et du
superviseur.

22/10/15 40
FEUILLE DE REVELATION ET D'ANALYSE DE PROBLEME
papiers de travail : FRAP n° : mmm
Problème : …………………………………………………….
……………………………………………………………………

Faits :
-
-
Causes :
-
-
Conséquences :
-
-

Amélioration proposée :
…………………………………………………………
…………………………………………………………….
.
Établie par : Revue par : Soumise à avis de l’audité
le : le : Nom : le :
Les outils de l’audit

22/10/15 42
3- La phase de restitution

• La rédaction des Fiches de Révélation


et d ’Analyse des Problèmes ( FRAP ) : PPr
orob
– La FRAP sert à mettre en avant les sés blèl
insuffisances du dispositif de contrôle et à érire èmm
ieu ee
uxx
formaliser les recommandations qui
figureront dans le rapport d ’audit.
– La FRAP est soumise à l ’approbation de
l’entité auditée
– La FRAP est un document de travail qui
pourra, in fine, être utilisé comme support
technique à la mise en œuvre du plan
d ’action par l ’entité auditée

22/10/15 43
3- La phase de restitution

• Le rapport d ’audit :
– Une synthèse : Points Forts / Points Faible et principales
recommandations
– Un Rapport, qui par objectif de la procédure est articulé de la façon
suivante :
• constats: points forts / points faibles
• analyse des risques
• recommandations
– Des annexes constituées des FRAP.

22/10/15 44
3- La phase de restitution

• La proposition de plan d ’action :


– C ’est un tableau simple réalisé par l ’auditeur et qui permet à l ’audité
d ’indiquer pour chaque recommandation qui fera quoi et quand.

Plan d'action
Personne responsable de la
Recommandat ions Dat e limit e de réalisat ion I ndicat eur
mise en œuvre

N° 1

N° 2

N° n

Servi par l'auditeur Servi par l'audité

22/10/15 45
3- La phase de restitution

• La proposition de plan d ’action : le suivi est réalisé :

– Soit par l ’auditeur


– Soit par une structure indépendante
– Soit par une structure relevant de l ’entité auditée

22/10/15 46
3- La phase de restitution

• La réunion de clôture :
– Présenter les résultats de l ’audit
– Présenter les recommandations et les actions à mettre en œuvre
– Obtenir l ’adhésion.

22/10/15 47