Vous êtes sur la page 1sur 28
MASTER 2 CCA UE 1.1.5 : ANALYSE ET AUDIT DES SYSTEMES D ’ INFORMATION COMPTABLES

MASTER 2 CCA

MASTER 2 CCA UE 1.1.5 : ANALYSE ET AUDIT DES SYSTEMES D ’ INFORMATION COMPTABLES ET
MASTER 2 CCA UE 1.1.5 : ANALYSE ET AUDIT DES SYSTEMES D ’ INFORMATION COMPTABLES ET

UE 1.1.5 : ANALYSE ET AUDIT DES SYSTEMES DINFORMATION COMPTABLES ET FINANCIERS

Introduction (compléments en Freemind) Freemind à installer à partir de :
Introduction (compléments en Freemind) Freemind à installer à partir de :
Introduction (compléments en Freemind) Freemind à installer à partir de :
Introduction (compléments en Freemind)
Introduction
(compléments en Freemind)

Freemind à installer à partir de :

Google : Freemind sourceforge 1.0.1 all inculsive embedded

de : http://freemind.sourceforge.net/wiki/index.php/Download Google : Freemind sourceforge 1.0.1 all inculsive embedded
Classification des audits et Relation SI Classe Objectif Relation SI Audit financier Évalue l’exactitude
Classification des audits et Relation SI
Classification des audits et Relation SI

Classe

Objectif

Relation SI

Audit financier

Évalue l’exactitude des informations financières

Intégrité

Fiabilité

Audit

Évalue la structure de contrôle

Contrôle d’application

opérationnel

interne

Sécurité logique

Audit intégré

 

Audit financier

Sauvegarde des biens Efficacité Conformité

+

Audit opérationnel

Audit

Évaluation de la productivité

Conception des SI

administratif

Exploitation des actifs TI

Audit spécialisé

Catégorie de l’audit SI

Réseau, ERP, …

Audit judiciaire

Découverte des fraudes et crimes

cybercrime

 Rôles des outils Outils – S ’ imprégner du contexte de l ’ organisation

Rôles des outils

Outils

 Rôles des outils Outils – S ’ imprégner du contexte de l ’ organisation et

Simprégner du contexte de lorganisation et évitant les contresens et faux-sens

Être le plus exhaustif possible

Mise en œuvre des différents outils

Collecte des documents

Déroulement des interviews

Outils de modélisation des processus

Diagramme de processus

Diagramme dIshikawa

Diagramme de séquence

Diagrammes de flux de données

Diagramme de Gantt

MCD (Modèle conceptuel de données), MCT (MC de Traitements),

Architecture matériel

Cartographie

 

Cas : Audit de conformité 5

Cas : Audit de conformité

Cas : Audit de conformité 5
Cas : Audit de conformité 5
Test Substantif vs Test de Conformité  Contrôle de conformité: Identification des points clés au

Test Substantif vs Test de Conformité

Contrôle de conformité:

vs Test de Conformité  Contrôle de conformité: Identification des points clés au sein d ’

Identification des points clés au sein dun contrôle de conformité permet

à lAI de développer la démarche du contôle à suivre:

Contrôle de procédures,

Évaluation de lintégrité,

Transactions

Données

Contrôle de suivie de la politique (ex. source, exécutable)

Procédure de test de programmes (habilitation des modifications, de validation, de transfert en production)

Contrôle substantif

Contrôle lintégrité du traitement

Effectue les tests chiffrés et quantifiables (ex. solde de compte)

Nécessité dun échantillonnage (risque déchantillonnage)

Relations et attributs des éléments de l'analyse des risques
Relations et attributs des éléments de l'analyse des risques
Relations et attributs des éléments de l'analyse des risques AFAI 7
Relations et attributs des éléments de l'analyse des risques AFAI 7

AFAI

auto-évaluation des contrôles (CSA)  Les employés, sensibilisés aux risques, conduisent périodiquement des auto-
auto-évaluation des contrôles (CSA)
auto-évaluation des contrôles (CSA)

Les employés, sensibilisés aux risques, conduisent périodiquement des auto- évaluations des risques.

Pour les entreprises, réparties géographiquement, un contrôle hybride est

recommandé.

   

0.

Identifier les processus et les objectifs

Action et Compte-rendu

Action et Compte-rendu  
 
 

1.

Identifier et mesurer les risques

 
 
2. Identifier et mesurer les contrôles

2.

Identifier et mesurer les contrôles

 
 
 

3.

Développer le(s) questionnaires(s)

 
 
   

4.

Collecte et analyse des questionnaire

   
   

Besoins et Formation

    4. Collecte et analyse des questionnaire     Besoins et Formation Recommandé par SOX
    4. Collecte et analyse des questionnaire     Besoins et Formation Recommandé par SOX
    4. Collecte et analyse des questionnaire     Besoins et Formation Recommandé par SOX

Recommandé par SOX

CSA (control self-assessment)- Avantage vs inconvénients
CSA (control self-assessment)- Avantage vs inconvénients

Avantages

Inconvénients

Détection rapide des risques

Remplace, par erreur, l’audit

Implication du personnel

Trop de rapports

Communication opération DG

Limitation dans la détection des

Réduction des coûts de contrôle

risques (par le personnel)

Demandé par la réglementation SOX

Exactitudes des résulats si pas de suivi

SOX  Exactitudes des résulats si pas de suivi Audit traditionnel vs CSA (control self-assessment) Audit
SOX  Exactitudes des résulats si pas de suivi Audit traditionnel vs CSA (control self-assessment) Audit
SOX  Exactitudes des résulats si pas de suivi Audit traditionnel vs CSA (control self-assessment) Audit
SOX  Exactitudes des résulats si pas de suivi Audit traditionnel vs CSA (control self-assessment) Audit

Audit traditionnel vs CSA (control self-assessment)

Audit Traditionnel

CSA

Affectation tâche /Supervision

Tout le monde contrôle

Orienté politique-règle

Amélioration continue & formation

Participation limitée

Participation exaustive

Observation de la vue descendante

Contribution dans le tableau de bord

Spécialiste en audit

Contrôle primaire

Contrôles internes  Politiques, procédures, pratiques et structures organisationnelles permettant la restriction des
Contrôles internes
Contrôles internes
Contrôles internes  Politiques, procédures, pratiques et structures organisationnelles permettant la restriction des

Politiques, procédures, pratiques et structures organisationnelles permettant la restriction des risques.

Classification des contrôles

Classe

Fonction

Exemple

Préventif

• Détecter les problèmes avant qu’ils ne surviennent

Qualification du personnel

Séparation des tâches

Prévoir les problèmes potentiels

• Contrôle d’accès au SI

Prévenir une erreur, omission ou acte

Cryptage

malveillant

Détectif

Détecte une erreur ou un dysfonctionnement et aviser les concernés

Calcul des totaux

Pointage de contrôle

• Contrôle d’écho

 

Double saisie

• Rapport d’audit interne

Révision des log

Correctif

• Minimiser l’impact de la menace

Plan de continuité

Remédier au problème

Procédure de backup

Identifier les causes

Procédure de retour

• Corriger l’erreur

Modifier le traitement

Contrôles et méthodes d’implémentation ² Méthode   d’implémentation Exemples    
Contrôles et méthodes d’implémentation
Contrôles et méthodes d’implémentation

²

Méthode

 

d’implémentation

Exemples

   

Contrôle back-office, séparation des tâches, formation, organigrammes,

Administrative

descriptions des fonctions, manuel des procédures, contrats, lois et règlements,

gestion des risques, gestion des projets, Qualité de Service, documentation

Préventif

 

Chargement de signature de virus, système de haute disponibilité, encryptage, listes de contrôle d'accès, processus de certification

«stop»

Technique

Physique

Contrôle d'accès, verrouillage, barrières, étiquettes de propriété, gardes de sécurité, panneaux d'avertissement

   

Audit, journaux système, périodes obligatoires de congés, raports d'exception,

Administrative

totaux, nombres de contrôle, Auto-contrôle (CSA), évaluation des risques, témoignage oral

Détectif

 

Système de détection anti-intrusion (IDS), système de signalisation, CAAT, contrôle des totaux, vérification des signatures électroniques, biométrie, balayage du réseau, examen judiciaire, diagnostiques

«trouver»

Technique

Physique

Inventaire physique, systèmes d'alarme (vol, fumée, eau, température, feu, bris de glace), empreintes digitales, reçus et factures

Correctif

Administrative

Procédures d'arrêt, plan de continuité de service, outsourcing, insourcing, application des recommandations d'audit, expérience, assurance

«corrigé»

Technique

Haute disponibilité du système, utilitaire de réparation des fichiers

Physique

Site de sauvegarde, extincteur, climatiseur, contrôle d'humidité

Structure d ’ une Direction Informatique Test et développement Source (Compilation) Objet Documentation Séparation
Structure d ’ une Direction Informatique Test et développement Source (Compilation) Objet Documentation Séparation

Structure dune Direction Informatique

Test et développement
Test et
développement
Source (Compilation) Objet
Source
(Compilation)
Objet
Documentation
Documentation
Séparation DI des tâches Production Etude et Développement Exploitation Analyse Système Conception Réseau
Séparation
DI
des tâches
Production
Etude et
Développement
Exploitation
Analyse
Système
Conception
Réseau
Sécurité
Programmation
Maintenance
Installation
Objet
Structure d ’ une Direction des Système d ’ Information / 199X Direction des services
Structure d ’ une Direction des Système d ’ Information / 199X Direction des services

Structure dune Direction des Système dInformation / 199X

d ’ une Direction des Système d ’ Information / 199X Direction des services de l

Direction des services de linformation / 201X

Direction SI Infrastructure Étude & Développement Politique & Procédure SI RH Sécurité Service et
Direction SI
Infrastructure
Étude &
Développement
Politique &
Procédure SI
RH
Sécurité
Service et
Gouvernance SI
Management SI
support SI
Catalogue des
services
Fourniture de
service
Gouvernance Stratégie 5: Optimisé 4: Maîtrisé 3: Défini 2: Reproductible 1: Initial 0: Inexistant Critères

Gouvernance

Gouvernance Stratégie 5: Optimisé 4: Maîtrisé 3: Défini 2: Reproductible 1: Initial 0: Inexistant Critères de
Stratégie
Stratégie
Gouvernance Stratégie 5: Optimisé 4: Maîtrisé 3: Défini 2: Reproductible 1: Initial 0: Inexistant Critères de
Gouvernance Stratégie 5: Optimisé 4: Maîtrisé 3: Défini 2: Reproductible 1: Initial 0: Inexistant Critères de

5: Optimisé

4: Maîtrisé

3: Défini 2: Reproductible 1: Initial 0: Inexistant

Critères de qualité

Efficacité

Efficience

Disponibilité

Integrité

Confidentialité

Fiabilité

Conformité

P A D C
P
A
D
C

Infrastructure

Données

Applications

RH

Les trois modèles de relations DG-DM-DSI Focalisation principale des interactions McKinsey 15

Les trois modèles de relations DG-DM-DSI

Les trois modèles de relations DG-DM-DSI Focalisation principale des interactions McKinsey 15
Les trois modèles de relations DG-DM-DSI Focalisation principale des interactions McKinsey 15

Focalisation principale des interactions

McKinsey

Les 4 modèles d’alignements stratégiques Ex3: BI  Analyse + Stratégie Stratégie extraction de connaissance

Les 4 modèles d’alignements stratégiques

Ex3: BI  Analyse + Stratégie Stratégie extraction de connaissance Entreprise SI Ex2: satisfaction de
Ex3: BI  Analyse +
Stratégie
Stratégie
extraction de
connaissance
Entreprise
SI
Ex2: satisfaction de la
clientèle en
alélioration des
2
DG
3
délais du SAV: 
site web + Service
Desk
DSI
DM
4
1
Ex1: informatiser le
Processus
Processus
rapprochement
Métier
Informatique
Ex4: VoIP 
amélioration de la
communication
(visio conférence)
bancaire
Schéma directeur - contenu 17
Schéma directeur - contenu 17

Schéma directeur - contenu

Schéma directeur - contenu 17
Bonnes pratiques  Tenir sur un format A4, utiliser le crayon de bois  Conserver

Bonnes pratiques

Tenir sur un format A4, utiliser le crayon de bois

Conserver un fond de carte unique

Exploiter les deux dimensions :

Vertical :

du client au support (client fournisseur)

De la technologie à l’utilisateur

Du concret à l’abstrait

 

Horizontal :

enchaînement séquentiel

Dépendance fonctionnelle

Cycle de vie

 

fonctionnelle – Cycle de vie –   …  Respecter l’intuition : centre, cœur de métier,

Respecter l’intuition : centre, cœur de métier, périphérie l’éco-système, haut le destinataire, bas l’infrastructure,…

Adjoindre la documentation nécessaire en annexes

Illustration de la procédure d ’ urbanisation  enchaînement séquentiel   Cycle de vie

Illustration de la procédure durbanisation

enchaînement séquentiel

Cycle de vie

Dépendance fonctionnelle

  Cycle de vie Dépendance fonctionnelle Feuille A4 Référentiel Séquentialité Echange Cœur du

Feuille A4

Référentiel Séquentialité Echange Cœur du Métier Pilotage Support
Référentiel
Séquentialité
Echange
Cœur du Métier
Pilotage
Support

du client au support (client fournisseur)

De la technologie à l’utilisateur

Du concret à l’abstrait

Solution – Q3-3 Echanges REFERENTIELS Pilotage Client Profils Produits Fournisseurs Contrôle des Workflow

Solution Q3-3

Solution – Q3-3 Echanges REFERENTIELS Pilotage Client Profils Produits Fournisseurs Contrôle des Workflow
Echanges REFERENTIELS Pilotage Client Profils Produits Fournisseurs Contrôle des Workflow Processus Risques
Echanges
REFERENTIELS
Pilotage
Client
Profils
Produits
Fournisseurs
Contrôle
des
Workflow
Processus
Risques
Échanges
Clients
Devis
Gestion Commerciale
Logistique / Production
Compta
Livraison
Budget.
Échange
Besoins MP
Appro.
Fournis-
Commande
Facturation
seurs
Ordre Fab.
QMS
Contrôle
de
Gestion
Transformation
Pilotage
Web
Activité
Messa
Pilotage
gerie
Producti
on
Supports
B2G
Audit
RH
SI
Comptabilité
E2B
Exécution de la mission d’audit SI  L’auditeur SI évalue les fonctions et systèmes liés
Exécution de la mission d’audit SI
Exécution de la mission d’audit SI
Exécution de la mission d’audit SI  L’auditeur SI évalue les fonctions et systèmes liés à

L’auditeur SI évalue les fonctions et systèmes liés à la TI, sous différentes vues:

Sécurité (confidentialité, intégrité, disponibilité)

Qualité (efficacité, exactitude)

Fiduciaire (conformité, fiabilité)

Service

Capacité

Les 10 étapes

1. Compréhension du champ d’audit

2. Évaluation des risques

3. Planification

4. Revue préalable du champ d’audit

5. Évaluation du sujet d’audit

6. Vérification de la conception d’audit

7. Test de conformité (procédures)

8. Test substantif (valeurs)

9. Compte-rendu (communication des résultats)

10.Suivi (follow-up)

Connaissance des besoins métier Planification des besoins métier Connaissance du métier Objectifs stratégiques
Connaissance des besoins métier
Connaissance des besoins métier
Connaissance des besoins métier Planification des besoins métier Connaissance du métier Objectifs stratégiques
Planification des besoins métier Connaissance du métier Objectifs stratégiques Objectifs financiers Objectifs
Planification des
besoins métier
Connaissance
du métier
Objectifs stratégiques
Objectifs financiers
Objectifs opérationnels
(orientation et structure)
(ROI)
(contrôle interne)
Règlements métier
Cycle métier
Organisation SI
Besoin en Reporting
Plans SI
Processus critiques
Rapports d'audits
Test des équipements
Interview
Plans de revue
Objectifs SI
Buts SI
Capital et dépenses
Gestion de patrimoine
Attribution de coût
Budget et prévisions
Politiques et procédures
Audit administratif
Mesure de performance
Plan stratégique (2-3+ ans)
Objectifs de reporting
Plan tactique (1-2 ans)
Maintenance (an 0-1)
Besoins d'intégrité
Continuité d'affaires
Contrôles d'accès
Plan d'urgence
Administrateur système
Réseau
Audit système
Personnel
Les 7 principes de la sécurité informatique
Les 7 principes de la sécurité informatique
Les 7 principes de la sécurité informatique 1. Il n’y a pas de sécurité absolue 2.

1. Il n’y a pas de sécurité absolue

2. Objectifs de la sécurité

Confidentialité (protection des données confidentielles)

Intégrité (protection contre les menaces externes et les modifications)

Disponibilité (Le système doit être disponible à ceux qui en ont besoin)

Conformité (Le fonctionnement du système doit être conforme aux règles

définies)

Fiabilité (Le SI doit être fiable)

3. La défense en profondeur

4. Sans encadrement, les décisions d’une personne ont tendance à être

mauvaises face à la sécurité

5. La sécurité via l’obscurité n’est pas une solution

6. Sécurité = gestion du risque

7. 3 types de contrôle de sécurité

Prévention

Détection

Correction

Le mot de passe Le premier moyen de pirater un ordinateur – Règles d ’

Le mot de passe

Le mot de passe Le premier moyen de pirater un ordinateur – Règles d ’ activation

Le premier moyen de pirater un ordinateur

Règles dactivation

Un mot de passe par utilisateur

Minimum de huit caractères alphanumériques

Crypté et non identifié par les informaticiens

Doit être gardé secret (pas écrit, utilisation par un autre )

Doit être changé tous les 90 jours

Mot de passe initial dès la 1ère ouverture de session

Validation du mot de passe

A ne pas utiliser les 10 derniers mots de passe

Règle dutilisation

Accès renié après trois essais infructueux

Session suspendu après 15 minutes de non utilisation

Si un mot de passe na pas été utilisé depuis x période de temps, il

devrait être aboli

Entrée du temps de début et de fin de session

Quelques acronymes … / PCA  DRP : Disaster Recovery Planning  « Plan de

Quelques acronymes/ PCA

Quelques acronymes … / PCA  DRP : Disaster Recovery Planning  « Plan de secours

DRP : Disaster Recovery Planning

« Plan de secours »

Souvent lié historiquement au service informatique

(Salles de secours, backups, etc.)

BCP : Business Continuity Planning

« Plan de continuité dactivité », ou PCA

Beaucoup plus souvent lié à la gestion globale du risque

(Aspects juridiques, financiers, ressources humaines, processus métiers, communication, informatique, etc.)

Méthodologie PCA 1. Mettre en place un comité de pilotage. 2. Recenser les activités et

Méthodologie PCA

Méthodologie PCA 1. Mettre en place un comité de pilotage. 2. Recenser les activités et processus

1.

Mettre en place un comité de pilotage.

2.

Recenser les activités et processus vitaux.

3.

Faire une étude de risque.

4.

Proposer des solutions de secours.

5.

Rédiger le plan de continuité.

6.

Impliquer le personnel de l’entreprise.

7.

Tester le PCA.

8.

Retourner à l’étape 2.

Etapes d ’ audit assisté par ordinateur Étape 1 - Récupération des fichiers informatiques Après
Etapes d ’ audit assisté par ordinateur Étape 1 - Récupération des fichiers informatiques Après

Etapes daudit assisté par ordinateur

Étape 1 - Récupération des fichiers informatiques

Après la prise de connaissance de l'entité et de son environnement et la revue générale du système d'information, la conduite de la revue d'application permet d'évaluer:

· la conformité du paramétrage et des traitements applicatifs avec les règles de gestion arrêtées par l'entité et les règles légales en vigueur ;

· l'intégration ou l'interfaçage des applications;

· l'efficacité des contrôles programmés par l'entité auditée permettant

d'avoir une assurance satisfaisante sur l'exhaustivité, la réalité,

l'intégrité, la confidentialité et la disponibilité des données traitées.

Après ces activités, le CAC:

· identifie les risques; définit les données à exploiter (contenues dans des fichiers ou des bases de données) ; récupère les fichiers et les

bases de données nécessaires à la réalisation des tests informatiques

utiles à l'audit, dans un format et sur un support adaptés pour la récupération dans l'environnement informatique de l'auditeur. Compte tenu de la diversité des technologies et des formats existants ainsi que du volume des données, la récupération n'est pas aisée.

Etapes d ’ audit assisté par ordinateur Étape 2 - Validation des fichiers La validation
Etapes d ’ audit assisté par ordinateur Étape 2 - Validation des fichiers La validation

Etapes daudit assisté par ordinateur

Étape 2 - Validation des fichiers

La validation des fichiers importés par l'auditeur nécessite de rapprocher ces fichiers avec la comptabilité de l'entité afin de s'assurer que les données récupérées n'ont subi aucune modification lors de l'extraction et de l'intégration dans l'environnement informatique de l'auditeur.

Étape 3 - Réalisation des tests

Une fois le contrôle des fichiers réalisé, les tests peuvent être lancés. Ils permettent à l'auditeur, d'une part, de confirmer, sur la base d'éléments tangibles, exhaustifs et incontestables, ses évaluations et, d'autre part, d'accéder à l'audit de systèmes complexes de traitement, non contrôlables sans le recours à des

outils informatiques. En raison de leur importance, il est essentiel que les tests

réalisés puissent être reproduits ultérieurement et que toutes les étapes intermédiaires soient sauvegardées. Il est recommandé que le logiciel de traitement des données génère un journal des tests effectués.

Cette étape aboutit à la constitution d'un dossier contenant les résultats des tests. Ils peuvent prendre des formes variables en fonction des objectifs, de l'étendue

des tests réalisés et de l'exploitation qui en sera faite.

Étape 4 - Analyse et synthèse Cette dernière étape consiste à analyser et à interpréter les résultats des tests. Un rapport de synthèse est alors rédigé, décrivant notamment les tests réalisés et les recommandations qui en découlent.