Académique Documents
Professionnel Documents
Culture Documents
Année universitaire
2020/2021
Objectifs du cours:
2
1
2021-12-11
Sujets abordés
3
•Dès le 3ème siècle avant JC, nomination de questeurs ayant pour mission de
contrôler les comptabilités par les gouverneurs romains et à cette époque qui
Historique: apparut le terme audit du latin «audire»;
•Jusqu'à la fin du 19ème siècle, la finalité d'audit était la détection des fraudes
sous la demande des pouvoirs publics, ainsi les modes de contrôle se basaient sur la
vérification détaillée et exhaustive des pièces comptables;
2
2021-12-11
Une entreprise souhaite un audit d’une de ses fonctions parce que ses
responsables y perçoivent un dysfonctionnement ou des possibilités
d’amélioration, ou bien veulent comprendre la « vraie » réalité de
cette fonction, c'est-à-dire au-delà de ce qui en est dit ou de ce
qu'elle paraît être.
3
2021-12-11
Le contrôle Vs l’audit
Pourquoi?
Nécessité de confirmer la validité des informations données par
l’entreprise.
4
2021-12-11
Types d’audit
Types d’audit Autres audits spécifiques
Audit financier Audit intégré (combinant les aspects financiers et
opérationnels);
Audit Audit administratifs (évaluation de l'efficacité
opérationnel opérationnelle /productivité);
Audit qualité Audit du système d'information;
Audit social Audit spécialisé (domaine spécifique, démarche
standardisée,...);
5
2021-12-11
Le système d’information
6
2021-12-11
Un système
Le mot système vient du bas latin systema et du grec sustêma qui signifie «
organisation, ensemble ».
Cependant le terme système quel que soit le domaine dans lequel il est
employé possède plus ou moins le même sens : il s’agit d’un ensemble
d’éléments interagissant entre eux selon certains principes ou règles.
Une information
Information vient du verbe latin informare qui signifie « donner
forme ou se former une idée de ».
7
2021-12-11
Un Système d’Information
Le système d’information
16
8
2021-12-11
9
2021-12-11
1. Évaluation indépendante
2. Assistance du management
10
2021-12-11
11
2021-12-11
12
2021-12-11
13
2021-12-11
Acteur l’audit SI
Tous les «grands» cabinets d’audit et de conseil ont mis en place des
démarches d’audit informatique en support à l’audit comptable
s'appuyant sur des experts généralistes et des spécialistes :
CISA (Certified Information System Auditor)
CISM (Certified Information Security Manager)
Les S.S.I.I. (Société de Services et d'Ingénierie en Informatique)
réalisent également des audits informatiques mais dans un cadre moins
réglementés
expertise technique
expertise fonctionnelle
14
2021-12-11
L'urbanisation du SI consiste à :
Rationaliser les moyens pour réaliser des économies d’échelle
en mutualisant les ressources matérielles et logicielles, et
pour faciliter la transformation continue du système
d’information.
a) La vision Métier
b) La vision fonctionnelle
c) La vision Informatique
15
2021-12-11
16
2021-12-11
17
2021-12-11
Mesure de la Création de
performance valeur
La
gouvernance
des SI
36
18
2021-12-11
37
38
19
2021-12-11
Elle a pour but de comprendre les risques et les contrôles liés aux
systèmes informatiques et;
Elle doit permettre de déterminer comment les systèmes clés
contribuent à la production de l’information.
Elle se fait sur la base de 3 aspects notamment :
1. L’organisation de la fonction informatique
2. Les caractéristiques des systèmes informatiques
3. La cartographie des applications
20
2021-12-11
21
2021-12-11
22
2021-12-11
23
2021-12-11
Le Schéma Directeur
Le Schéma Directeur
24
2021-12-11
25
2021-12-11
Une fois ces risques recensés, l’auditeur devra évaluer les contrôles
mis en place par l’entreprise pour gérer ces risques.
26
2021-12-11
Fraudes informatiques
Pannes
27
2021-12-11
28
2021-12-11
Une fois ces risques recensés, l’auditeur devra évaluer les contrôles
mis en place par l’entreprise pour gérer ces risques.
29
2021-12-11
30
2021-12-11
Autorisation nécessaire
Ex : Si la commande dépasse la limite de crédit du client.
Rapport d’exception
Attention si personne ne regarde les rapports d’exception
Différents contrôles
31
2021-12-11
Personnel
Documentation
Sauvegarde
32
2021-12-11
33
2021-12-11
Exemples:
Manquer de stock
Payer un employé en trop
Vendre un produit au mauvais prix
Vendre à un client qui a dépassé sa limite
34
2021-12-11
35
2021-12-11
36
2021-12-11
L’auditeur doit obéir une déontologie certaine. C’est ainsi qu’il doit :
37
2021-12-11
38
2021-12-11
39
2021-12-11
Infrastructures et applications
Connaître et apprécier:
Service rendu par les serveurs d’infrastructure,
Objectifs: Niveau de sécurité des services,
Adaptation au métier de l’entreprise,
Adaptation aux orientations informatiques,
Liste des serveurs,
Documentation Liste des services,
requise Politique de sécurité,
Configurations,
Super positions des services,
Les personnes
à rencontrer Les responsables informatique (management,
déploiement, installation, helpdesk,…)
40
2021-12-11
sauvegarde
Connaître et apprécier:
Méthodes mise en œuvre,
Objectifs: La gestion des sauvegardes,
documentation et archivage
Connaître et apprécier:
Gestion de la documentation,
Objectifs: Gestion de l’archivage,
Moyens de partage des connaissances,
Sécurité des accès,
Confidentialité des données (niveaux de sécurité),
Procédure de gestion des documents,
Documentation Procédure d’archivage,
requise Echantillon représentatives des documents,
Echantillon représentatives des archives,
Les personnes
à rencontrer Les responsables de la fonction informatique
41
2021-12-11
42
2021-12-11
Plan de continuité
Connaître et apprécier:
Évaluer les mesure en œuvre pour assurer la continuité des
Objectifs: services,
Analyser les Services Level Agreement (SLA),
Evaluer les plans de reprise en cas d’incident majeur,
Documentation
requise Procédure plan de continuité,
Les personnes
à rencontrer Les responsables de la fonction informatique,
43
2021-12-11
87
Objectif:
Améliorer le degré de maitrise des SI;
44
2021-12-11
Une méthodologie est une démarche structurante pour réaliser une tâche donnée
Objectif:
Améliorer la gouvernance des systèmes d’information et notamment les
méthodes d’audit informatique
45
2021-12-11
Référentiels de management du SI
Les référentiels de management du système d'information sont internationaux.
Ils sont généralement orientés vers une problématique particulière :
Définition :
46
2021-12-11
ITIL: Objectifs
Aligner les services liés aux technologies de l’information avec les
besoins présents et futurs des métiers de l’entreprise et de ses
clients
Améliorer la qualité des services liés aux technologies de
l’information
Réduire à long terme les coûts liés aux prestations de services
Utiliser les ressources humaines et les produits de manière
efficace, rentable et économique de sorte que les services liés aux
technologies de l'information soient innovants, de haute qualité et
adaptés aux processus de l'entreprise
47
2021-12-11
48
2021-12-11
Définition :
Une méthodologie d’évaluation des services informatiques au sein de
l’entreprise.
Référentiel de gouvernance des systèmes d'information qui décompose tout
système informatique.
Fournit aux gestionnaires, auditeurs et utilisateurs de TIC (Technologies de
l'information et de la communication), des indicateurs, des processus et des
bonnes pratiques pour les aider à maximiser les avantages issus du recours
à des techniques informatiques et à l'élaboration de la gouvernance et du
contrôle d'une entreprise.
Se focalise sur ce que l’entreprise a besoin de faire et non sur la façon dont
elle doit le faire.
49
2021-12-11
Il comporte 10 processus :
1 Définir un plan stratégique pour 6 Communiquer les buts et les
le SI; orientations de la direction
2 Définir l’architecture en 7 Gérer les ressources humaines
information; du SI
3 Déterminer l’évolution technique; 8 Gérer la qualité
4 Définir les processus et 9 Evaluer et gerer les risques du
l’organisation du SI; SI
5 Gérer les investissements en SI; 10 Gérer les projets
50
2021-12-11
Il comporte 7 processus :
1 Définir les solutions automatisées;
2 Acquérir et entretenir les logiciels applicatifs;
3 Acquérir et entretenir la plate-forme technique;
4 Permettre l'exploitation et l'utilisation;
5 Gérer les achats;
6 Gérer les évolutions;
7 Installer et recetter les solutions et les changements;
51
2021-12-11
Il comporte 13 processus :
1 Définition des niveaux de service; 7 Formation des utilisateurs;
2 Gestion des services aux tiers; 8 Assistance des utilisateurs;
3 Gestion des performances et des 9 Gestion de la configuration;
capacités;
4 Garantie de la poursuite des 10 Gestion des incidents;
traitements;
5 Garantie de la sécurité des systèmes; 11 Gestion des données et des
applications;
6 Identification et attribution des 12 Sécurité physique du
coûts; système;
13 Gestion de l'exploitation.
52
2021-12-11
Il comporte 4 processus :
1 Surveillance des processus;
2 Appréciation du contrôle interne;
3 Certification par un organisme indépendant ;
4 Audit par un organisme indépendant.
53
2021-12-11
COBIT : Avantages
COBIT : avantages
1 Des processus plus simples et plus compréhensibles;
2 Une vision compréhensible par les métiers de ce que fait l’informatique;
3 De la valeur ajoutée des systèmes d’information;
4 Un meilleur alignement de l’informatique sur l’activité de l’entreprise (orientation
métier);
5 Une attribution claire des responsabilités (approche par processus);
6 Une aide à la décision, aux choix, aux investissements;
7 Une possibilité d’élaborer son propre standard COBIT afin d’être encore plus en
phase avec les objectifs de l’entreprise en terme de systèmes d’information;
8 Une auto évaluation;
9 Une comparaison avec d’autres entreprises ayant un même domaine métier;
10 Couverture d’utilisation internationale;
11 Capable de s’intégrer à d’autres référentiels tels qu’ISO 27000, ITIL.
54
2021-12-11
55
2021-12-11
Définition :
56
2021-12-11
Définition :
L'audit des projets informatiques est un audit dont le but est de
s'assurer :
Que le projet informatique se déroule normalement et
que l'enchaînement des opérations se fait de manière logique et
efficace de façon qu'on ait de fortes chances d'arriver à la fin de la
phase de développement à une application qui sera performante et
opérationnelle.
57
2021-12-11
58
2021-12-11
Définition :
Le but de l'audit d'une application opérationnelle est de donner au
management une assurance raisonnable sur son fonctionnement. Ces
contrôles sont, par exemple, réalisés par le Commissaire aux
Comptes dans le cadre de sa mission légale d'évaluation des
comptes d'une entreprise : est-ce que le logiciel utilisé est sûr,
efficace et adapté ?
59
2021-12-11
Définition :
L'audit de la sécurité informatique a pour but de donner au
management une assurance raisonnable du niveau de risque de
l'entreprise lié à des défauts de sécurité informatique.
60
2021-12-11
61
2021-12-11
Mesurer les impacts : Le RSSI doit établir une cartographie des risques
associés au système d'information. Il est alors envisageable de construire
des scénarios d'agression et d'évaluer les points de vulnérabilité ;
Définir les parades : Pour diminuer le niveau des risques il est nécessaire de
prévoir les dispositifs comme des contrôles d'accès, le chiffrement des
données, le plan de secours,…
124
62
2021-12-11
63
2021-12-11
Approche méthodologique
Les spécificités de l’environnement informatique, dans un cadre
commissariat aux comptes, sont prises en compte dans les
principales étapes de la démarche d’audit proposée, à savoir :
Orientation et planification de la mission d’audit SI
Évaluation des risques SI
Obtention des éléments probants
Approche méthodologique
Phase 1 : Orientation et planification de la Phase 2 : Evaluation des risques Phase 3 : Obtention des éléments probants
mission d’audit du système d’information
Prise de connaissance de l’informatique Incidence sur le risque inhérent Méthodes de mise en œuvre des
de l’entreprise Incidence de la fonction informatique procédures d’audit Détermination du
Appréciation de l’importance de (conception/achat, exploitation, sécurité, caractère suffisant et approprié des
l’informatique dans l’entreprise et de son et maintenance informatique),
impact dans l’élaboration des comptes éléments probants obtenus et lien
transverse aux activités de l’entreprise,
avec l’opinion des comptes
sur le risque inhérent
64
2021-12-11
Les entreprises ont donc l’obligation de rendre compte des procédures de contrôle
interne et, à ce titre, le système d’information est concerné à trois niveaux :
la prise en compte de l’informatique comme domaine de gouvernance de l’entreprise ;
les contrôles propres à la fonction informatique, y compris les procédures de
sécurité ;
l’insertion de contrôles « embarqués » dans les processus automatisés.
65
2021-12-11
66
2021-12-11
Cette approche permet de mieux appréhender les risques des processus en effectuant des
tests sur l’exhaustivité de la population étudiée.
La démarche utilise des contrôles standards qu’il est nécessaire d’adapter au contexte du
client en fonction des contraintes de son système d’information, des objectifs de contrôle
fixés et des attentes :
recherche d’erreurs et de fraudes par l’analyse du journal des écritures comptables :
identification des schémas d’écritures de fraudes, oubli de déduction de TVA ou TVA
déduite à tort, personnes non habilitées à la saisie de certains types d’écritures
comptables, etc. ;
vérification de la fiabilité du processus des stocks : analyse qualitative (stocks négatifs
et doublons par exemple), calcul de la rotation des stocks et mise en relation avec la
provision pour dépréciation, vérification de l’équation de stock au niveau de chaque
article ;
contrôle de l’exhaustivité des appels de facturation : organismes de logements sociaux,
associations, etc.
67
2021-12-11
Les éléments à considérer pour apprécier la stratégie informatique sont les suivants :
Implication des entités opérationnelles dans la détermination de la stratégie informatique
Niveau de connaissance de la direction concernant le SI
Satisfaction des besoins courants par le SI
Cette appréciation peut s’effectuer par :
L’obtention de documents préalables à l’intervention
L’entretien avec un représentant de la direction de l’obtention de documents
complémentaires :
Une confirmation des informations obtenues lors des entretiens avec la direction
Les entretiens avec les utilisateurs clés représentatifs des différentes entités
opérationnelles
Une communication des projets en cours ou prévus (part du budgets informatique
dans le budget total de la structure )
68
2021-12-11
69
2021-12-11
Compétences informatiques
incidence sur la fiabilité du Système d'Information
Faible Modérée Elevée
Niveau de Personnel qualifié et motivé à tous Personnel inégalement Personnel inexpérimenté
compétence les niveaux de la hiérarchie. qualifié et personnel et peu formé.
Programme de formation défini en nouvellement embauché. Démotivation
accord avec la stratégie de Budget de formation défini
l'entreprise pour l'acquisition de
nouvelles compétences et la
conservation du personnel
Charge de travail Ressources humaines suffisantes Ressources suffisantes Déficit en ressources. Pas
pour couvrir les besoins actuels. pour les besoins actuels. de mesures des besoins.
Revue des ressources réalisée Estimation informelle des Dépendance vis-à-vis des
périodiquement pour s'assurer de futures charges de travail. personnes clés. Absence
l'adéquation avec les besoins Heures supplémentaires de budget pour augmenter
régulièrement nécessaires les ressources
70
2021-12-11
Sensibilité de Utilisation limitée de l'informatique Peu Informations importantes Information très sensibles et
l'informatique d'informations sensibles stockées dans (données personnelles, détails des hautement confidentielles gérées
les systèmes produits et des services) par le système d'information.
conservées dans le système Nombreux contrôles nécessaires
d'information
Indisponibilité informatique non nécessaire à l'activité Entreprise dépendante de Entreprise hautement dépendante
de l'entreprise. Possibilité de revenir à l'informatique de l'informatique. Des pertes
une organisation uniquement basée sur Traitements clés nécessaires pour importantes pouvant mettre en
le papier maintenir les ressources de péril la survie de l'entreprise,
l'entreprise après une période pourraient survenir en cas
d'interruption d'indisponibilité supérieure à
quelques heures
71
2021-12-11
72
2021-12-11
L’évaluation des risques n’est pas seulement influencée par les seules
applications informatiques. En effet , l’incidence de l’environnement
informatique sur le risque inhérent et le risque lié au contrôle ne peut être
appréciée sans prendre en compte la notion de flux d’information ou
processus.
Le commissaire aux comptes ne s’intéresse pas a l’ensemble des processus
existant au sein de l’entreprise, mais uniquement à ceux contribuant
directement ou indirectement à la production des comptes.
Seules les applications (et leurs interrelations) qui interviennent dans ces
processus méritent de faire l’objet d’une étude dans le cadre de la démarche
d’audit
73
2021-12-11
Selon l’importance du rôle joué par les applications et les interfaces dans
chaque processus, le commissaire aux comptes sélectionne les processus à
analyser dans le cadre de son évaluation du risque
Processus 1 * * * * *
Processus 2 * * *
Processus 3 * * *
74
2021-12-11
Évaluation du risque
La phase évaluation des risques à pour objectif la prise en compte
de l’environnement informatique sur le risque inhérent et le risque
lié au contrôle.
Évaluation du risque
On distingue plusieurs domaines dans une approche d’audit SI dans un
cadre commissariat aux comptes :
Stratégie et organisation des systèmes d’information
Exploitation informatique
Relations avec les prestataires de services externes
Mise en place et maintenance des applications et des bases de
données
Plan de continuité d’activité
Sécurité des systèmes d’information et gestion du réseaux
Gestion du matériel informatique
75
2021-12-11
76
2021-12-11
Gestion de Un programme de formation à Les utilisateurs sont prévenus par Aucune information ni
changement l'ensemble des utilisateurs est note interne des changements formation provenant de la
mis en place. Des notes occasionnés par le nouvel outil sans direction n'est dispensée aux
utilisateurs Risque de mauvaise
internes de sensibilisation aux organiser un programme de
utilisation des nouveaux outils
impacts du nouvel outil sont formation. Risque que les mis à la disposition des
envoyées à l'ensemble du utilisateurs ne se sentent pas utilisateurs
personnel. Une cellule de concernés ou qu'il ne disposent pas
support aux utilisateurs à été de la totalités des données
créée pour répondre à leurs nécessaires
interrogations
77
2021-12-11
Disponibilité du Un outil informatique permet les indisponibilités du système sont Les indisponibilités du
système de recenser l'ensemble des occasionnelles mais ne sont pas système sont de plus en
temps d'indisponibilité du expliquées.Risque d'anomalie grave plus fréquentes mais ne
système. Les causes de non décelée pouvant générer des sont pas surveillées.
l'indisponibilité sont expliquées pannes et des pertes de données Risque de panne
bloquante et de perte
de données
78
2021-12-11
Supervision des activités Les sous traitants doivent Le contrat décrit le type de prestation Le contrat ne représente pas les
du sous traitant systématiquement remettre des demandée, mais aucun niveau de service obligations des deux parties, ni les
comptes rendus d'intervention et n'est demandé. Risque que la responsabilité modalités de fin de prestation. Le contrat
d'avancement. A chaque du sous traitant ne soit pas invoquée en cas est signée par une personne non habilitée
intervention la conformité du d'insuffisance du niveau de prestation à engager l'entreprise. Risque que le
résultat attendu par rapport aux contrat soit considéré comme nul en cas
travaux demandés est vérifiée de la mise en cause de la responsabilité
d'une des deux partie dans l'hypothèse
d'une mésentente
79
2021-12-11
80
2021-12-11
Antivirus L'entreprise dispose d'un antivirus mis à L'antivirus installé par l'entreprise ne fait pas Des postes de travail avec lecteurs de
jour en ligne automatiquement, installé sur objet de mise à jour de manière fréquente disquette (USB) ou cd rom est accès à
tous les postes ne pouvant être désactivé (aucun configuration n'est faite dans ce l'Internet ne disposant pas d'un antivirus.
par l'utilisateur sens)Risque de contamination du réseau de Risque d'importation de virus et de
l'entreprise du fait du dépassement des contamination du réseau de l'entreprise
signatures de l'antivirus
Protection du réseau Le réseau est protégé de l'extérieur par Le réseau est relié à Internet, les flux L'entreprise détient des données sensibles
des Firewall et les accès utilisateurs font entrants et sortants sont répertoriés, mais et aucun flux entrant ou sortant du réseau
l'objet d'un suivi aucun Firewall n'en assure la protectionRisque n'est répertorié : les éventuelles attaques
d'attaques logiques provenant d'Internet dont l'entreprise pourraient être la cible
ne peuvent pas être détectées . Risque
d'attaques logiques provenant d'Internet
ne pouvant pas être identifiés
81
2021-12-11
Merci de
votre
attention
82