Tableaux Fiches Guide Audit Informatique v. Juin 2017

Audit informatique : tous concernés !
10 fiches pratiques pour réussir
Modèles de questionnaires d’entretien proposés par le GT Audit informatique de la CRCC de Paris

v. juin 2017
FICHE 01
OUVERTURE SUR LA TRANSFORMATION NUMÉRIQUE 2
FICHE 02 GOUVERNANCE DES SYSTÈMES D’INFORMATION_______________________________4
FICHE 03 CONTRÔLE DES ACCÈS__________________________________________________________9
FICHE 04 CONDUITE DE PROJETS________________________________________________________11
FICHE 05 UTILISATION DES OUTILS D’AUDIT DE DONNÉES_______________________________14
FICHE 06 PROTECTION DES DONNÉES PERSONNELLES___________________________________16
FICHE 07 LÉGISLATION FISCALE ET SI___________________________________________________18
FICHE 08 EXPLOITATION DES SYSTÈMES D’INFORMATION_______________________________21
FICHE 09 PLAN DE CONTINUITÉ D’ACTIVITÉ_____________________________________________23
FICHE 10 CYBERSÉCURITÉ______________________________________________________________25
Avertissement : La CRCC de Paris ne peut aucunement être tenue responsable de l'utilisation des modèles et documents mis en
ligne ; ceux-ci n'ont qu'un caractère indicatif et doivent être adaptés strictement en fonction de chaque contexte d'intervention et
n'ont pas pour but de traiter les aspects spécifiques de toutes les missions.
FICHE 01
OUVERTURE SUR LA TRANSFORMATION
NUMÉRIQUE
QUESTIONNAIRE
Enjeu / Interlocuteur
Thème / Question Réponse attendue
Risque associé concerné
OUI
Le DG,
- Mobilité
L’entreprise a-t-elle mis en place un projet de Continuité le marketing,
- Vente multi canal (clic and
transformation numérique dans les deux dernières années ? d’exploitation la DSI, la DRH, la
collect)
DAF
Est-ce que l’entreprise a étudié les opportunités en matière

Le DG, OUI
de marketing, de connaissance de ses clients, de création de
Continuité le marketing, - Objets connectés
nouveaux services, de changement de Business Model,
d’exploitation la DSI, la DRH, la - Réseaux sociaux
d’amélioration des processus de production et de
DAF
logistique ?
L’entreprise est-elle accompagnée dans ses projets de Fiabilité des données

DG OUI
transformation par des experts/consultants ? Conformité
OUI
Les responsables opérationnels ont-ils compris les enjeux et
- Utilisation
les contraintes du numérique ? (nouveautés, changements Continuité d’activité DG
des outils collaboratifs
de relation interpersonnelles, rythme des évolutions,...)
- MOOC
OUI
L’informatique numérique dispose-t-elle de
- Méthodes agiles
ressources spécifiques, en termes de finance, de gestion de la Le DG, la DSI, Chief
Continuité d’activité - Budget d’investissement
complexité, de maitrise de l’agilité et des interactions, Digital Officer
- Pizza team
d’équipes ?
OUI
Le parcours numérique du client est-il au cœur du pilotage - Mise en place du Big Data
_ Le DG, la DSI
de la performance opérationnelle (CRM,…) ? / Analytics
OUI
L’accès, la transformation et la diffusion des données
- Application GDPR (cf.
personnelles sont-ils pris en compte dans les projets _ Le DG, la DSI
fiche données personnelles)
numériques ?
OUI
La culture de l’entreprise est-elle propice à la - Bureau dynamique
_ Le DG, la DSI
transformation numérique ? - Innovation favorisée
2
Enjeu /
Interlocuteur
Thème / Question Risque Réponse attendue
concerné
associé
OUI
Les évolutions numériques intègrent-elles les exigences de gestion des - Plan d’audit sur les
risques, de contrôle et d’audit en lien avec les pratiques réglementaires et _ Le DG, La DSI projets de transformation
éthiques ? numérique
OUI
- Guidage du
Les nouvelles pratiques commerciales numériques sont-elles revues
parcours clients
systématiquement en tenant compte des circuits multicanaux, de _ Le DG, La DSI
- Proposition d’achats sur
l’intégration des réseaux sociaux et du Big Data ?
les plateformes
OUI
L’entreprise dispose-t-elle d’un plan d’intégration des technologies dont - Mise en place d’API
elle aura besoin pour anticiper les évolutions de son marché et se - Schéma directeur
_ Le DG, La DSI
différencier de la concurrence (celui-ci peut passer par des start-up, des technique
équipes projets, des experts externes,….) - Open innovation
OUI
- Cartographie des
Les processus sont-ils documentés et partagés au niveau de la Direction
Le DG, processus
Générale et des décideurs opérationnels en charge de l’offre et s’ajustent- _
La DSI – approche transversale
ils avec l’environnement grâce au numérique ?
Culture projet
OUI
Le numérique développe-t-il une capacité nouvelle de suivi des objectifs de - Dashboarding
_ Le DG, la DSI
qualité, coûts, délais (agilité, vélocité …) des produits et services ? - Données de workflow
- Objets connectés
OUI
- RFID
- Géolocalisation
Le numérique améliore-t-il la gestion de la production, de la distribution
_ _ - Drive dans
et de la personnalisation de l’offre ?
la grande distribution
Impression 3D
3
FICHE 02
GOUVERNANCE DES SYSTÈMES D’INFORMATION
RÔLES & RESPONSABILITÉS
QUESTIONNAIRE
A. ORGANISATION ET PILOTAGE
Enjeu / Interlocuteur Phase

Risque associé cible d’audit
Connaissance des parties prenantes afin

Un organigramme de la fonction d’apprécier la maîtrise de :
informatique est-il formalisé et • Rôles et responsabilités des actions et DSI OUI Intérim
actualisé de manière régulière ? des contrôles
• Séparation des tâches
• Centralisation des décisions en lien

Le management de la fonction
avec la stratégie de l’entreprise
informatique est attribué à une personne DG OUI Intérim
• Mise en place de points de contrôle et
dédiée ?
de reporting par la direction
Si oui, à qui est rattachée Identification

DG DG Intérim
hiérarchiquement cette personne ? du niveau de contrôle
Un responsable de la sécurité Maîtrise et coordination des actions

Comité d’audit ;
informatique est nommé au sein de de sensibilisation et de surveillance de DG Intérim
audit interne ; DG
l’organisation ? la sécurité de l’information
Le directeur financier a défini des points

Apprécier le niveau de maîtrise du
de contrôle permettant de superviser la
système d’information par le directeur DAF OUI Intérim
production de l’information comptable et
financier
financière ?
B. MANAGEMENT ET RESPONSABILITÉ
Enjeu / Interlocuteur Réponse Phase

Thème / Question
Risque associé cible attendue d’audit
Les fiches de poste des collaborateurs en

Maîtrise des RACI
charge de la fonction informatique sont-elles DRH OUI Intérim
Principe de non-répudiation renforcée
formalisées ?
Les fiches de postes des managers

Maîtrise des RACI
précisent-elles leur responsabilité DRH OUI Intérim
Principe de non-répudiation renforcée
relative au système d’information ?
Pour chaque application, un responsable Maîtrise du fonctionnement des DAF, DSI, DG,
OUI Intérim
d’application est-il nommé ? applications et de leur évolution Direction métier
Pour chaque donnée critique, un propriétaire Maîtrise des inventaires, des flux et des DAF, DSI, DG,
OUI Intérim
de données est-il nommé ? traitements de données Direction métier
GOUVERNANCE DES DONNÉES
QUESTIONNAIRE
Enjeu / Interlocuteur Réponse

Thème / Question
Risque associé cible attendue
4
Personne en charge
Les référentiels inclus dans le Fiabilité et intégrité des données > identifier selon la taille et
OUI
périmètre de l’audit sont-ils uniques ? auditées. Ex. : fiche client en doublon l’activité de l’entreprise :
DSI, DAF, DG, autre…
Qui est habilité à créer, supprimer, • Fiabilité et intégrité des données Un nombre limité
mettre à jour les données référentielles • Risque de fraude si la SOD n’est pas d’utilisateurs fonctionnels
(création d’un nouveau fournisseur, respectée (mais pas un individu
modification d’une fiche client, etc.) ? unique)
Qui valide les spécifications lors d’un • Exhaustivité

projet (changement de logiciel • Fiabilité
DAF
comptable par exemple) ? Comment Ex : reprise de données
sont formalisées ces spécifications ?
Fiabilité des données si les rôles et

La DG doit être impliquée
Cette responsabilité est-elle formalisée responsabilités ne sont pas définis
sur ce point, quelle que soit
dans une charte ou une politique et/ou communiqués, ce qui introduit OUI
la taille et l’activité de
d’entreprise ? de l’ambigüité
l’entreprise
> nécessité d’un RACI
• Exhaustivité (plan de continuité

d’activité)
Existe-t-il un registre de classification
• Conformité Responsables métiers OUI
des données ?
• Ex. : quelles données sauvegarder,
archiver et restaurer en priorité ?
Le logiciel comptable est-il hébergé en • Disponibilité des données

interne ou bien est-il géré par un tiers, • Conformité Selon cas
voire dans le cloud ? • Ex. : clause d’auditabilité
Si le logiciel est géré par un tiers, les

• Disponibilité des données
dispositions contractuelles prévoient-
• Conformité OUI
elles les conditions de mise à
• Ex. : clause d’auditabilité
disposition des données ?
• Disponibilité des données

Ces dispositions sont-elles testées et
• Conformité OUI
mesurées régulièrement ?
• Ex. : clause d’auditabilité
Y a-t-il un projet GDPR dans

Conformité OUI
l’entreprise ?
Quelles sont les dispositions en • Exhaustivité

matière de sécurisation des données ? • Fiabilité
OUI
Sont-elles testées et à quelle • Risque de fraude
fréquence ?
CONTRÔLE INTERNE DES SI
QUESTIONNAIRE
Enjeu / Interlocuteur Réponse

Thème / Question
Risque associé cible attendue
Existe-t-il une matrice de définition des rôles

Séparation des fonctions DSI OUI
utilisateurs dans l’entreprise ?
Les autorisations d’accès font-elles l’objet de Analyse des comportements des utilisateurs dans
DSI OUI
revues qualitative et quantitative ? le cadre de la prévention des fraudes
Les demandes d’évolution sur le SI financier sont- Vérification des autorisations accordées en lien
elles tracées ? Si oui, comment ? avec chaque modification pour prévenir DSI OUI
Quel est le processus de validation ? l’introduction de biais dans les applications
5
Revue des rôles et responsabilités en lien avec la

Qui met en production les développements ?
surveillance du respect de la séparation des DSI OUI
Suivant quelle procédure ?
fonctions
Les procédures de sauvegarde sont-elles

formalisées ? Si cloud, les clauses contractuelles
Garantie de reprise et de continuité d’activité DSI et DAF OUI
sont-elles conformes aux besoins de l’entreprise
(RPO, RTO) ?
Des tests de restauration sont-ils menés ? Sur quel

périmètre, avec quelles parties prenantes et avec Garantie de reprise et de continuité d’activité DSI et DAF OUI
quelle fréquence ?
COUVERTURE ET COHERENCE DU SYSTEME D’INFORMATION
QUESTIONNAIRE
Enjeu / Interlocuteur Réponse Phase

Thème / Question
Risque associé cible attendue d’audit
• Niveau d’intégration du
système d’information
A. Composantes du SI Personne en charge > identifier
• Nombre importants
Le système d’information est-il basé sur un selon la taille et l’activité de
d’interface à contrôler OUI Intérim
ERP ? l’entreprise : DSI, DAF, DG,
• Exposition à la contagion
autre…
des anomalies en cas de
faiblesse de contrôle
A. Composantes du SI
Une dépendance forte existe entre les
• Continuité d’activité et
applications, les choix technologiques et les DSI et/ou DAF OUI Intérim
capacité d’évolution du SI
choix d’infrastructures
• Accès aux données :

fichiers extra-système peu
A. Composantes du SI
sécurisés
Existe-t-il des applications dites « DSI et/ou DAF OUI Intérim
• Intégrité : données et
périphériques » de type Excel ou Access ?
calculs ouverts et non
protégés
B. Connaissance du SI et • Connaissance des

couverture fonctionnelle applications sources et des
Une cartographie du système d’information traitements
DSI et/ou DAF OUI Intérim
est formalisée et maintenue à jour de manière • Maitrise des risques liés
régulière ? aux évolutions du SI
• Connaissance des
B. Connaissance du SI et couverture
applications sources et des
fonctionnelle.
traitements
Les flux ayant un impact sur l’information DSI et/ou DAF OUI Intérim
• Maitrise des risques liés
comptable et financière sont identifiés ?
aux évolutions du SI
6
• Connaissance des DSI et/ou DAF OUI Intérim

B. Connaissance du SI et couverture applications sources et des
fonctionnelle. traitements
Une matrice de couverture des processus par • Maitrise des risques liés
les applications est renseignée aux évolutions du SI
C. Cohérence et évolution du SI
• Mise en place de contrôles
Si certains processus ne sont pas couverts par le
automatiques et sécurisation des DSI et/ou DAF OUI Intérim
système d’information, il est envisagé de
calculs et de l’accès aux données
l’informatiser à court ou moyen terme
C. Cohérence et évolution du SI • Mise en place de contrôles

Les évolutions métiers sont prises en compte automatiques et sécurisation des DSI et/ou DAF OUI Intérim
dans le système d’information calculs et de l’accès aux données
D. Interfaces applicatives • Accès aux données : Les données

Certaines interfaces reposent sur la génération de sont sécurisées et ne peuvent être
DSI et/ou DAF OUI Intérim
fichiers de transfert stockés dans des répertoires accédées ni modifiées dans le cadre
de travail ? de l’interface
• Intégrité et exhaustivité des données

D. Interfaces applicatives
: les données issues des interfaces
Les interfaces les plus critiques font l’objet de DSI et/ou DAF OUI Intérim
sont complètes et n’ont pu être
contrôle manuels ou par analyse de données ?
corrompues
7
FICHE 03
CONTRÔLE DES ACCÈS
QUESTIONNAIRE
Enjeux / Interlocuteur
Question Réponse attendue
Risques associés concerné
L’organisation auditée a-t-elle documenté sa politique

de contrôle d’accès et tient-elle à jour une matrice des Accès non autorisés,
DG OUI
autorisations ? fraudes…
Concernant la gestion des droits d’accès :

- Qui décide de l’attribution / retrait des droits d’accès
? Accès non autorisés, Liste limitée de décideurs et
DG, DSI
- Qui saisit la création / suppression des droits d’accès fraudes… d’opérateurs
?
Une procédure formelle d’attribution /retrait des droits

Accès non autorisés, DG, DSI, chefs de
d’accès par utilisateur est-elle définie, avec circulation OUI
fraudes… services
d’informations entre les services concernés ?
L’attribution des droits d’accès se fait elle par :

Droits d’accès trop
- Aucun accès sauf autorisations explicites Aucun accès sauf
larges DSI
Ou autorisation spécifique
Fraudes
- Accès à tout sauf interdictions explicites
Accès non autorisés, OUI, règlement intérieur, charte

Les utilisateurs ont-ils l’interdiction de divulguer,
fraudes DG informatique signée par les
communiquer, partager leur mot de passe ?
utilisateurs…
Les mots de passe ont-ils une obligation de

Accès non autorisés,
complexité (longueur mini, 3 types de caractères DSI OUI
fraudes
différents…)
Les postes de travail se verrouillent-ils

automatiquement après quelques minutes DSI OUI
fraudes
d’inutilisation ?
Tout équipement (ordinateur, tablette, smartphone),

connecté au système d’information a-t-il fait l’objet DSI OUI
fraudes
d’une procédure formelle et préalable d’approbation ?

Le réseau wifi est-il connecté au réseau de
vol de données, DSI NON
production ?
sabotage, fraude
Les points d’accès au système d’information

(serveurs, postes de travail, imprimantes, scanners…)
vol de données et de
font ils l’objet d’une sécurité physique appropriée DSI OUI
matériel, sabotage,
(porte avec verrou et badge d’entrée, surveillance,
fraude
caméras…) ?
Si connexions distantes, depuis l’extérieur, existe-t-il

des mesures de sécurité complémentaires, comme
vol de données, DSI OUI
authentification à deux facteurs, limitation adresses IP
sabotage, fraude
entrantes…?
Les ressources de l’entreprise, accessibles en ligne par Accès non autorisés,

le public, font elles l’objet de mesures de sécurité vol de données, DSI OUI
spécifiques, régulièrement auditées ? sabotage, fraude
Les journaux de connexions sont-ils examinés : Détection des tentatives DSI Analyses régulières, alertes
- régulièrement ? de piratages. automatiques
8
- Les échecs de connexion sont-ils analysés ?
Existe-t-il une politique de chiffrement des données Vol de données, accès Politique de chiffrement définie
DSI
sensibles (mots de passe, supports nomades…) ? non autorisé, fraude et respectée
Dans la liste des utilisateurs du SI, les comptes

d’administration ont tous les droits. Accès non autorisé, Supervision des comptes
DSI
- Comment ces comptes sont-ils supervisés ? fraude d’administration
- Leurs actions sont-elles enregistrées et surveillées ?
Les fonctions de développement informatique, de tests

et d’exploitation sont-elles séparées, avec du Fraude DSI OUI
personnel différent ?
9
FICHE 04
CONDUITE DE PROJETS
QUESTIONNAIRE
Réponse attendue
Enjeu / Interlocuteur Phase
Thème / Question ou éléments
Risque associé cible d’audit
à collecter
Quels sont les projets en cours ou

Implication suffisante des
prévus DSI, DAF Liste des projets Intérim
équipes comptabilité/finance
au cours de l’exercice fiscal ?
Ces projets ont-ils un impact sur les Impact sur la certification des Une réponse claire et
DAF Intérim
process et/ou les états financiers ? comptes argumentée
Ambiguïté sur le résultat Toutes

Pour chaque projet, une charte a-t-
attendu et les rôles et les parties prenantes et
elle été écrite, partagée et acceptée oui Intérim
responsabilités des parties en particulier DAF et
par les parties prenantes ?
prenantes DSI.
Quelle est la date cible de livraison DAF Début d’exercice ou en

Périmètre de l’audit Cut-off Intérim
du projet ? et DSI. cours d’exercice
Ambiguïté sur le résultat

Existe-t-il un RACI ? Si oui, a-t-il été
attendu et les rôles et
formalisé et communiqué à toutes les Sponsor du projet OUI Intérim
responsabilités des parties
parties prenantes ?
prenantes
Equipe comptable DAF, DG ou toute

Impact sur les process et/ou les
Qui valide les spécifications et de DAF personne ayant
états financiers (ex. : refonte de Intérim
quelle manière ? Equipe projet l’autorité de valiser les
la clé comptable)
process cibles
Qui valide la reprise de données et de Exhaustivité, fiabilité, intégrité Equipe comptable avec
DAF, DG Intérim
quelle manière ? des données responsabilité du DAF
La mise en production du nouveau Cut-off

logiciel comptable a-t-elle lieu au Reprise des encours en cours Démarrage
Equipe projet Intérim
démarrage du nouvel exercice ou d’exercice si possible
bien en cours d’exercice ?
Le DAF participe-t-il effectivement Sponsor suffisant en termes de

DAF OUI Intérim
au comité de pilotage ? management
Si migration vers une solution cloud, Conformité Equipe projet

le ctt prévoit-il les clauses ad hoc Délai d’accès aux données sur DAF Oui Intérim
(auditabilité, réversibilité, GDPR) ? demande du CAC. Juridique
Retard du projet.
Phase : cadrage DAF,
Complexité d’un démarrage Oui Intérim
Le planning est-il réaliste ? DSI
en cours d’exercice.
Détection et communication
des risques projet.
Phase : cadrage Equipe projet
Rôles et responsabilités des
Un PAQ a-t-il été écrit et validé par DAF Oui Intérim
parties prenantes.
les parties prenantes ? DSI
Arbitrage.
Gestion des litiges.
Phase : Spécifications Non respect des règles de Equipe projet Oui + demander l’accès Intérim
La définition des processus est-elle gestion, des procédures et des Utilisateurs aux
conforme au besoin ? principes de séparation des spécifications
fonctions. fonctionnelles
Non conformité
10
Phase : Paramétrage
Non respect des règles de
La solution est-elle utilisée dans sa DAF Proportion
gestion.
version standard ? DSI de Intérim
Difficulté de maintenance de
Sinon, quelle est la proportion de customisations
migration future.
développements spécifiques
Phase : Paramétrage Exhaustivité et fiabilité des

Combien y a-t-il d’interfaces données : risque de déficience DSI
entrantes et sortantes autour de la des mécanismes d’alimentation Equipe projet Cartographie
Intérim
nouvelle solution ? et de déversement des données technique des interfaces
Quel est le niveau d’intégration en entrée et en sortie de la
global ? nouvelle application.
Phase : Tests Stratégie

• Quelle est la stratégie de tests ? Exhaustivité Chef de projet de tests
• Sur quel volume de données sont- Fiabilité des données DSI, responsable Intérim
ils réalisés ? Régression fonctionnelle informatique Scénarios
• Qui a rédigé les scénarios ? de tests
Risque d’exhaustivité et
d’intégrité des données reprises Documentation
Phase : Reprise de données
dans le nouveau système. Equipe projet Conservation des
Nettoyage des données à reprendre.
DAF/DC éléments techniques Intérim
Transcodification des règles et
Exactitude des schémas Equipe SI temporaires (base pivot,
référentiels comptables
comptables, exhaustivité, fichiers intermédiaires)
auditabilité.
Le DAF participe-t-il effectivement Sponsor suffisant en termes de

DAF OUI Intérim
au comité de pilotage ? management.
Phase : Recette
Quelle est l’organisation de la
recette en termes de : Cahier de recette
• Recetteurs
DAF, DC, responsable
• Données de recette Fiabilité des processus PV de réception Intérim
fonctionnel
• Remontée et traitement des dûment signé
anomalies (outil de ticketing)
• Formalisation de l’acceptation
Absence de sponsor
Conduite du changement
Implication insuffisante des
• Quelles sont les actions de
utilisateurs.
communication et
DG Démarche Intérim
d’accompagnement ?
Echec du projet Inadéquation
• Quelle est la répartition de ces
de la solution.
actions sur le planning projet ?
Risque de perte de traçabilité

Phase : mise en production de l’information. Perte d’accès
Quelle est la politique d’archivage aux informations utiles à DAF Politique formalisée Intérim
de l’historique ? l’activité ou réglementairement
requises.
Phase : support post-production

Sécurité de l’environnement
Quelle est l’organisation en place
informatique : risque de perte
pour traiter les anomalies et
de maîtrise dans les processus Description de
répondre aux questions des
de gestion des anomalies, des l’organisation du Intérim
utilisateurs pendant et après la mise DSI
incidents, de la sécurité de support
en production (nb. : sujet concernant
l’application et de
également la recette et la conduite
l’exploitation informatique
du changement)
Documentation Auditabilité du projet DG, DAF, DSI Accès à la Intérim

La documentation liée au projet est- Conformité documentation
elle suffisante en qualité et en
quantité.
Exemples : expression des besoins,
planning, note de cadrage,
spécifications (fonctionnelles et
11
techniques), cahier de recette,…
Exactitude de la
comptabilisation des coûts liés
Amortissement Détail de la
au projet (opex vs. capex).
Le projet fait-il l’objet d’un DG, DAF comptabilisation des Intérim
Run/build et risque de finir le
amortissement ? dépenses liées au projet
projet en basculant les coûts en
TMA.
Subventions
Correcte imputation En fonction de la
Le projet fait-il l’objet d’un CIR ? DG, DAF Intérim
des subventions réponse
12
FICHE 05
UTILISATION DES OUTILS D’AUDIT
DE DONNÉES
QUESTIONNAIRE
Enjeux Interlocuteur
et Risques associés concerné
Obtenir la cartographie des SI de l’entreprise :

DSI,
identifier les applications et les interfaces gérant Ne pas identifier les SI Cartographie claire des différents
Directeur
les données entrant dans le périmètre de l’audit sources de l’information logiciels et ERP utilisés par le client et
comptable
de l’exercice et compte tenu de votre analyse financières des exports possibles de données
ou DG
des risques
Sur la base de votre analyse des risques, de la

cartographie des SI et des conclusions de votre
Réponses à obtenir :
revue du contrôle interne, déterminer :
- Liste des accès
- les risques à couvrir DSI,
aux données et procédures
- les fichiers et champs à obtenir Comprendre les données Directeur
- Contrôle du caractère inaltérable des
- la nature de contrôle à réaliser disponibles comptable
données saisies
- les formats de fichiers à vous transmettre ou DG
- Liste des champs exportables
- les paramètres d’extraction (bornes des
- Formats d’export autre que PDF ou papier
périodes, SI source, champs etc…)
Pour chaque contrôle à réaliser, obtenez

les informations suivantes : - Obtenir les mêmes éléments que ceux
- Fichiers / données non
- le(s) fichier(s) source(s) nécessaire(s) DSI, présents dans l’ERP ou le logiciel
conformes aux
- les principes de codifications des champs de Directeur - S’assurer que les fichiers sont bien
demandes
codes (N° client, d’article etc.) comptable exploitables et que l’ensemble des
- les totaux de contrôles à vous transmettre avec ou DG données y sont présentés
- Données invalides
le fichier (nombre d’enregistrements, totaux à
retrouver etc.)
Validation des fichiers transmis avant analyse.

Pour chaque fichier reçu, vérifier les points
suivants :
- conformité avec votre demande (période,
champs, format des champs etc.) - Fichiers / données non S’assurer de la bonne conformité du
- rapprochement des totaux des champs conformes aux DSI, fichier avant de réaliser des tests plus
numériques avec les documents / totaux de demandes Directeur approfondis.
contrôles transmis comptable Si non, demander de nouveaux fichiers
- valeurs suspectes (valeur à zéro, montant - Données invalides ou DG en investiguant les raisons de leur non
négatifs, dates hors période, codifications hors conformité.
normes) …
- contrôles de cohérence (répartition par mois,
jour de la semaine, valeur moyenne, mini, maxi
…)
Préparation des données pour l’analyse :

- harmoniser les champs entre les différents
Les différents fichiers analysés doivent
fichiers obtenus (type de champ, format des
s’harmoniser pour garantir une bonne
dates /heures etc.)
analyse.
- isoler les enregistrements atypiques pouvant DSI,
Fiabilité
perturber les analyses à venir Directeur
et pertinence Par exemple : si les dates sont dans des
- identifier les travaux spécifiques à mener comptable
des tests réalisés formats différents, l’harmonisation est
spécifiquement sur ces anomalies ou DG
le seul moyen de garantir l’analyse de
- identification et analyse des doublons
100% des dates présentes dans le
anormaux.
fichier.
Ajouter les champs à calculer qui seront
nécessaires aux tests à venir
Mise en œuvre des contrôles : Conclusion erronée DSI, Présenter au client la liste des
13
- réaliser les tests tels que défini durant

la phase de préparation
- analyser chaque anomalie afin d’identifier les
Directeur anomalies identifiées en expliquant les
faux positifs.
comptable enjeux. Transmettre les informations
Transmettre à la société pour analyse les
ou DG nécessaires à l’analyse par le client
anomalies identifiées par les contrôles mis en
œuvre.
14
FICHE 06
PROTECTION DES DONNÉES
PERSONNELLES
QUESTIONNAIRE
Réponse
Thématique Question Interlocuteurs
et niveau de risque
La société effectue-t-elle des traitements sur

RGPD applicabilité
des données sensibles ou des traitements à CIL DPO DSI OUI
grande échelle ?
Les données personnelles ont été collectées Demande d’accord expresse sur les sites
de manière loyale, licite et transparente ? Enquête de satisfaction
Gouvernance / L’objectif de la collecte et du traitement de CIL DPO DSI Localisation des Data Center en Union
déontologie la donnée est-il légitime ? Directions métiers Européenne, sinon accord de respect du
Les données sont-elles accessibles en dehors RGPD
de l’Union européenne ?
Le(s) responsable(s) des traitements ont-ils L’entreprise elle-même est désignée comme
été identifiés et peuvent être sollicités en cas responsable des traitements.
de demande par l’intéressé ?
La finalité du traitement, les catégories et Information expresse
CIL DPO DSI
Information sources de données ont-elles été portées à la Documentation des traitements et des
Directions métiers
connaissance de l’intéressé ? catégories de données
Les droits attribués à l’intéressé lui-ont-ils Réponse aux demandes d’effacement.
été communiqués (accès, rectification, Portabilité des informations au niveau des
opposition, effacement, portabilité) ? banques.
Accès non autorisé, fraude La collecte des

Autorisation données a reçu le consentement de son CIL DPO DSI Demande d’accord express
intéressé ?
Les modalités du droit à l’information sont-

elles établies et appliquées ? Formalisation de procédures
Un registre des données et des traitements Nomination d’un DPO
par finalité est formalisé et tenu à jour ? Tenue du registre
Les responsabilités en termes de gestion des Nouveaux contrats de sous-traitance
Management CIL DPO DSI
données personnelles dans l’entreprise et par Procédure de communication sur les
les sous-traitants sont-elles établies ? informations volées pour les personnes
En cas d’incidents, un processus de concernées et la CNIL
recensement et de communication est-il
prévu ?
Security by design, la sécurité est-elle

prévue dans le cadre de la conduite de projet
? Prise en compte de la sécurité et du respect
Les accès aux traitements et aux données des données personnelles dans la
Sécurité sont-ils tracés et analysés ? CIL DPO DSI RSSI méthodologie projet.
Des mesures spécifiques sont-elles prises Logs des traitements et des accès.
pour assurer la confidentialité, la continuité,
l’intégrité des données ?
15
FICHE 07
LÉGISLATION FISCALE ET SI
QUESTIONNAIRE
QUESTIONS SUR LE CONTROLE DU SI – INDISPENSABLE
Enjeux / Interlocuteur Réponse

Question
Risques associés concerné attendue
DSI,
Non-conformité /
La dernière mise à jour de votre Directeur
Amende et/ou rejet de la OUI
logiciel est-elle antérieure à 2016 ? comptable
comptabilité
ou DG
Non-conformité / DSI,
Est-il possible de générer le FEC Amende et/ou rejet de la Directeur
OUI
pour les périodes concernées ? comptabilité comptable
ou DG
DSI,
Non-conformité /
La conformité formelle du FEC a-t- Directeur
elle été vérifiée ? comptable
comptabilité
ou DG
En cas de vérification formelle du

FEC, NON
DSI,
des anomalies significatives ont- Non-conformité / 1. Numéro SIREN + mention FEC + date de
Directeur
elles été relevées ? Amende et/ou rejet de la clôture de l’exercice
comptable
1. Le nom du FEC est-il conforme ? comptabilité 2. 100% pour chaque colonne
ou DG
2. Les champs obligatoires sont-ils
remplis à 100% ?
Avez-vous vérifié la cohérence des

OUI
données de votre FEC :
1. Cohérence entre les dates des pièces comptables, de
comptabilisation et de validation des écritures
1. Cohérence des dates entre elles
2. Vérifier si ces écritures n’ont pas été modifiées
DSI,
Non-conformité / et comprendre pourquoi elles sont à 0
2. Montant au débit ou crédit nul Directeur
Amende et/ou rejet de la 3. La liasse fiscale étant constituée à partir de la
comptable
comptabilité balance générale, il est important de valider la
3. Le FEC cadre-t-il avec la balance ou DG
cohérence des soldes de la balance avec ceux
générale et avec la liasse fiscale ?
reconstitués à partir du FEC
4. Les numéros de comptes doivent respecter les
4. Les numéros de comptes
numéros définis dans le PCG
respectent-t-ils le PCG ?
L’organisation comptable, les DSI,

Non-conformité /
processus comptables et le système Directeur comptable
d’information ont-ils été
comptabilité
documentés ? ou DG
Les modalités de classement et

DSI,
d’archivage Non-conformité /
Directeur comptable
des pièces justificatives (plan Amende et/ou rejet de la OUI
d’archivage) sont-elles claires et comptabilité
ou DG
écrites ?
L’archivage des factures DSI,

Non-conformité /
électroniques permet-elle une Directeur comptable
consultation des pièces pendant 6
comptabilité
ans ? ou DG
QUESTIONS SUR LE CONTROLE DU SI – APPROFONDISSEMENT
Enjeux / Interlocuteur Réponse

Question
Risques associés concerné attendue
16
La société utilise-t-elle un logiciel standard ou un ERP ? En cas Non-conformité / Amende DSI,

d’utilisation d’un ERP, il est conseillé de faire appel à un et/ou rejet de la Directeur Standard
spécialiste pour analyser le FEC. comptabilité comptable ou DG
Redressement fiscal
DSI,
La cohérence des dates et particulièrement de la date de et/ou rejet
Directeur OUI
validation a-t-elle été vérifiée ? de la comptabilité
comptable ou DG
Redressement fiscal DSI,

La présence d’une numérotation continue et chronologique des
et/ou rejet Directeur OUI
écritures comptables validées a-t-elle été vérifiée ?
de la comptabilité comptable ou DG

La saisie des écritures comprend-t-elle la référence aux pièces
justificatives (piste d’audit) ?

La concordance du FEC avec la déclaration fiscale annuelle a-t-
elle été vérifiée ?

Impossibilité de modifier ou supprimer les écritures comptables
validées ?

Cohérence des dates entre elles et par rapport au calendrier des
jours fériés (anomalies de procédures ?)

Analyse des schémas d’écritures utilisés afin d’identifier ceux
ne respectant pas le PCG et la doctrine comptable

Recherche de doublons de factures ou de paiements et/ou rejet Directeur OUI

Vérification du respect des délais de paiement fournisseurs et
clients

Analyse de la caisse : mouvements supérieurs à 3 K€ ? et/ou rejet Directeur NON

Présence d’écritures ayant un compte de TVA déductible et un
et/ou rejet Directeur NON
libellé contenant « voiture », « hôtel », « cadeau »
OUI
Les exports du FEC et
des données
Redressement fiscal DSI, opérationnelles
La société est-elle capable d’extraire les données opérationnelles
et/ou rejet Directeur (Stocks, factures, …)
en cas de demande dans le cadre d’un CFCI ?
de la comptabilité comptable ou DG sont stockés et
sécurisés sur le
serveur de l’entreprise
OUI
Le document doit
permettre d’identifier
Redressement fiscal DSI, les clefs entre les
Une cartographie claire permet-elle d’identifier les liens entre
et/ou rejet Directeur différents fichiers afin
les fichiers ?
de la comptabilité comptable ou DG de garantir
l’intégralité de la piste
d’audit
17
FICHE 08
EXPLOITATION DES SYSTÈMES
D’INFORMATION
QUESTIONNAIRE
L’audit de la fonction « exploitation des systèmes d’information » peut être réalisé en phase d’intérim.
Il faut commencer par identifier la ou les personnes en charge de l’exploitation. Dans les petites structures, les responsabilités et les tâches
liées à l’exploitation des systèmes d’information sont peu ou mal définies.
Par commodité, la personne en charge de l’exploitation est désignée “DSI” dans le questionnaire ci-dessous.
Thème / Question Enjeu / Risque Interlocuteur Réponse attendue
Idéalement : OUI
Interruption de services, fuite
Les procédures d’exploitation sont-elles documentées ? DG, DSI Mais rare dans les petites
de données
structures
Les changements apportés aux matériels, aux logiciels, Inadaptation des outils
aux systèmes d’exploitation sont-ils contrôlés et informatiques, achats inutiles, DG OUI
approuvés, selon une procédure formelle ? perte de temps
Les fonctions de développement, de tests et

Fraude DG OUI
d’exploitation sont-elles séparées ?
Idéalement : OUI Mais

Les équipements de développement, de tests et
Fraude DG rare dans les petites
d’exploitation sont-ils séparés ?
structures
La prestation de services par des tiers est-elle encadrée Fraude, coûts inutiles, vol de
DG OUI
et gérée ? données
Externalisation, sous-traitance, Cloud… : les risques Fraude, coûts inutiles, vol ou

associés sont-ils évalués et des clauses de réversibilité perte de données, interruption DG OUI.
sont-elles prévues ? de services….
L’évolution des besoins liés à la croissance des volumes

Interruption
ou à la modification des règles de traitements est-elle DG, DSI OUI
de services, coûts
anticipée et planifiée ?
Existe-il un antivirus sur tous les équipements de Interruption de services, vol de

DG, DSI OUI
l’organisation auditée ? données…
Existe-t-il une gestion centralisée et une remontée Interruption de services, vol de

DG, DSI OUI
automatique d’alertes pour les antivirus ? données…
L’existence d’un antivirus est-elle exigée sur les

Interruption de services, vol de
équipements personnels des utilisateurs, avant DG OUI
données…
autorisation de se connecter au système d’information ?
Tout logiciel présent sur les équipements connectés au

système d’information a-t-il fait l’objet d’une procédure Vol de données, fraude… DG OUI
formelle et préalable d’approbation ?
Les données sont-elles sauvegardées automatiquement Perte de données,

DG, DSI Obligatoirement OUI
au moins une fois par jour ? indisponibilité des systèmes
Le bon fonctionnement des sauvegardes est-il suivi selon Perte de données,

DG, DSI Obligatoirement OUI
une procédure formelle ? indisponibilité des systèmes
Perte de données,
Des tests de restauration sont-ils menés régulièrement ? DG, DSI Obligatoirement OUI
indisponibilité des systèmes
18
Tout équipement (ordinateur, tablette, smartphone) Vol de données,

connecté au système d’information a-t-il fait l’objet interruption de services, DG, DSI OUI
d’une procédure formelle et préalable d’approbation ? fraude…
Vol de données,
La connexion à Internet est-elle sécurisée par un pare feu
interruption de services, DG, DSI OUI
suivi et administré ?
fraude…
NON.
Si OUI, justifier
Vol de données,
pourquoi et évaluer les
Le réseau wifi est-il connecté au réseau de production ? interruption de services, DG, DSI
mesures
fraude…
de sécurité
compensatoires.
Si connexions distantes, depuis l’extérieur, existe-t-il des

Vol de données,
mesures de sécurité complémentaires, comme
interruption de services, DG, DSI OUI
authentification à deux facteurs, limitation adresses IP
fraude…
entrantes…?
Les supports amovibles font-ils l’objet d’une procédure

Vol de données DG, DSI OUI
d’autorisation et d’un suivi ?
Les ressources de l’entreprise accessibles en ligne par le Vol de données,

public, font-elles l’objet de mesures de sécurité interruption de services, DG, DSI OUI
spécifiques, régulièrement auditées ? fraude…
Les logs, les journaux, les alertes générés Vol de données,

automatiquement par les équipements informatiques interruption de services, DG, DSI OUI
font-ils l’objet d’un suivi régulier et permanent ? fraude…
19
FICHE 09
PLAN DE CONTINUITÉ D’ACTIVITÉ
1. Définir le contexte : identifier les objectifs et les activités essentielles
Réponse
Thème / Question Enjeu / Risque Interlocuteur
attendue
La direction est-elle fortement impliquée ? Opérationnel DG OUI
Un chef de projet doté des compétences, de l’autorité et de l’autonomie

Opérationnel DSI OUI
nécessaire a-t-il été nommé ?
Les objectifs, les activités essentielles,

Opérationnel DSI OUI préciser
les flux et les ressources critiques ont-ils été identifiés ?
Les flux entre les systèmes d’information supportant les processus ont-ils été
Opérationnel DSI Préférable
cartographiés ?
2. Déterminer les attentes de sécurité pour tenir les objectifs
Réponse
attendue
Les systèmes de téléphonie, serveurs de fichiers et messagerie ont-ils été

intégrés dans les systèmes critiques de l’organisation ?
Les ressources critiques matérielles ont-elles été prises en compte ? Opérationnel DSI OUI
Les niveaux de fonctionnement en mode dégradé sont-ils explicités ? Ont- Opérationnel/

DSI OUI Préférable
ils été validés en liaison avec les clients ? Image / Juridique
Les niveaux dégradés de prestations des fournisseurs ont-ils été pris en

Opérationnel DG/DSI Préférable
compte ?
3. Identifier, analyser, évaluer et traiter les risques
Réponse
attendue
L’analyse des risques a-t-elle permis d’identifier ceux contre lesquels il est
prioritaire de se protéger ?
Le PCA prend-t-il en compte les risques opérationnels pour lesquels

l’interruption d’activité résulte de la perte de ressources critiques ?
Les partenaires susceptibles d’être concernés par les scenarii ont-ils été Opérationnel /
DG/DSI Préférable
identifiés ? Image / Juridique
4. Définir la stratégie de continuité d’activité
Réponse
attendue
20
La stratégie a-t-elle été validée par la direction ? Opérationnel /Image DG OUI
Les objectifs de continuité en mode dégradé et pour la reprise d’activité

sont- ils cohérents avec les scénarii de risques retenus ?
L’ordre de priorité des procédures, des ressources, de la reprise et du

basculement progressif sur les systèmes normaux est-il identifié ?
Les exigences vis à vis des partenaires ont-elles été prise en compte de Opérationnel /
DG/DSI Préférable
manière réciproque ? Image / Juridique
5. Mettre en œuvre et assurer l’appropriation
Réponse
attendue
Les actions de communication nécessaires au lancement, à l’appropriation et à la

Opérationnel DG/DSI OUI
mise en œuvre du PCA ont-elles été prévues ?
Les mesures à mettre en œuvre et les procédures associées sont-elles simples et

Opérationnel DG OUI
accessibles ?
Les personnels responsables sont-ils désignés, informés et formés aux Opérationnel

DG OUI
procédures prévues dans le PCA ? Réglementaire
Les procédures de sauvegarde/récupération et moyens critiques du PCA sont-ils Opérationnel

DSI OUI
contrôlés périodiquement ? Réglementaire
21
FICHE 10
CYBERSÉCURITÉ
Réponse
attendue
La direction générale a-t-elle mobilisé les compétences requises pour OUI

Opérationnel
comprendre les risques de cybercriminalité et déterminer si le management DG en précisant
Juridique
prend les actions appropriées ? lesquelles
La direction générale bénéficie-t-elle d’un retour direct du responsable de la Opérationnel

sécurité pour lui expliquer en des « termes opérationnels et stratégiques » les Juridique DG OUI
cyberrisques et leur prévention ? Image
Une attention suffisante est-elle aussi bien consacrée à la défense a priori contre
Opérationnel
les attaques qu’aux opérations de remise en état des systèmes a posteriori ?
Juridique DG OUI
La DG a-t-elle mis en place un reporting pour centraliser et suivre les différentes
Image
tentatives de fraude au sein de l’organisation ?
Les fonctions essentielles de l’entreprise ont-elles été sécurisées pour préserver

Opérationnel DG OUI
la résilience de l’entreprise en cas d’attaque ?
La DG a-t-elle mis en place une cartographie des risques ? La DG a-t-elle identifié

les scénarios possibles en fonction des types d’attaques ? Les données sensibles Opérationnel
sont-elles identifiées et protégées ? Les plans d’actions en cas de crise sont-ils Juridique DG OUI
effectivement mis à jour en fonction des évolutions technologiques ou Image
opérationnelles ?
Réponse
attendue
Existe-t-il une structure dédiée à la gestion

de la sécurité de l’information : un comité sécurité, un responsable de la sécurité Opérationnel DSI OUI
du système d’information (RSSI) et des correspondants sécurité dans les unités ?
Existe-t-il une attribution claire des responsabilités pour la mise en œuvre et le

suivi des évolutions à apporter en matière de sécurité du SI ?
Existe-t-il des procédures d’autorisation de nouveaux matériels ou logiciels ? Opérationnel DSI OUI
Existe-t-il des procédures applicables à l’accès aux informations par des tiers ? Opérationnel DSI OUI
Existe-t-il des modalités de réaction aux incidents de sécurité et aux défauts de

fonctionnement :
• signalement rapide des incidents de sécurité
• signalement dysfonctionnements de logiciels
• capitalisation sur la résolution d’incidents
• processus disciplinaire
Les connexions à distance sont-elles réalisées de manière sécurisée ? (VPN par Opérationnel DSI OUI
22
exemple)
Les échanges d’informations sont-ils réalisés de manière chiffrée ? Opérationnel DSI OUI
Les PC et les serveurs de l’organisation sont-ils tous protégés par un anti-virus ? Opérationnel DSI OUI
L’organisation s’assure-t-elle que tous les anti-virus sont à jour et fonctionnent

correctement ? Si possible de façon centralisée, sinon selon une procédure Opérationnel DSI OUI
documentée.
Les règles de contrôle d’accès sont-elles formalisées dans un format

« tout est interdit sauf » plutôt que « tout est permis sauf » ? Opérationnel DSI OUI
Ces règles sont-elles transmises aux salariés ?
La gestion des mots de passe et les systèmes de déconnexion automatique vérifient-ils

les règles suivantes :
• tout compte utilisateur doit être protégé par un mot de passe ;
• engagement des utilisateurs à ne pas divulguer leur mot de passe ; ne pas écrire
leur mot de passe de façon trop évidente ; ne pas stocker leur mot de passe dans une
procédure automatique ; changer leur mot de passe dès qu’ils le soupçonnent d’être
compromis ;
• contrôle qu’un mot de passe temporaire est envoyé pour la première utilisation et
qu’il est bien changé par l’utilisateur dès la première utilisation ;
• contrôle que les mots de passe temporaires sont transmis aux utilisateurs de
manière sûre ;
• contrôle que le système impose un changement régulier du mot de passe ;
• contrôle que le système impose le choix de mots de passe robustes ;
• déconnexion automatique en cas d’inactivité prolongée.
23

Tableaux Fiches Guide Audit Informatique v. Juin 2017

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Tableaux Fiches Guide Audit Informatique v. Juin 2017

Transféré par

Droits d'auteur :

Formats disponibles

Audit informatique : tous concernés !

10 fiches pratiques pour réussir

Modèles de questionnaires d’entretien proposés par le GT Audit informatique de la CRCC de Paris

FICHE 02 GOUVERNANCE DES SYSTÈMES D’INFORMATION_______________________________4

FICHE 03 CONTRÔLE DES ACCÈS__________________________________________________________9

FICHE 04 CONDUITE DE PROJETS________________________________________________________11

FICHE 05 UTILISATION DES OUTILS D’AUDIT DE DONNÉES_______________________________14

FICHE 06 PROTECTION DES DONNÉES PERSONNELLES___________________________________16

FICHE 07 LÉGISLATION FISCALE ET SI___________________________________________________18

FICHE 08 EXPLOITATION DES SYSTÈMES D’INFORMATION_______________________________21

FICHE 09 PLAN DE CONTINUITÉ D’ACTIVITÉ_____________________________________________23

Est-ce que l’entreprise a étudié les opportunités en matière

L’entreprise est-elle accompagnée dans ses projets de Fiabilité des données

Enjeu / Interlocuteur Phase

Connaissance des parties prenantes afin

• Centralisation des décisions en lien

Si oui, à qui est rattachée Identification

Un responsable de la sécurité Maîtrise et coordination des actions

Le directeur financier a défini des points

Enjeu / Interlocuteur Réponse Phase

Les fiches de poste des collaborateurs en

Les fiches de postes des managers

GOUVERNANCE DES DONNÉES

Enjeu / Interlocuteur Réponse

Qui valide les spécifications lors d’un • Exhaustivité

Fiabilité des données si les rôles et

• Exhaustivité (plan de continuité

Le logiciel comptable est-il hébergé en • Disponibilité des données

Si le logiciel est géré par un tiers, les

• Disponibilité des données

Y a-t-il un projet GDPR dans

Quelles sont les dispositions en • Exhaustivité

CONTRÔLE INTERNE DES SI

Enjeu / Interlocuteur Réponse

Existe-t-il une matrice de définition des rôles

Revue des rôles et responsabilités en lien avec la

Les procédures de sauvegarde sont-elles

Des tests de restauration sont-ils menés ? Sur quel

COUVERTURE ET COHERENCE DU SYSTEME D’INFORMATION

Enjeu / Interlocuteur Réponse Phase

• Accès aux données :

B. Connaissance du SI et • Connaissance des

• Connaissance des DSI et/ou DAF OUI Intérim

C. Cohérence et évolution du SI • Mise en place de contrôles

D. Interfaces applicatives • Accès aux données : Les données

• Intégrité et exhaustivité des données

L’organisation auditée a-t-elle documenté sa politique

Concernant la gestion des droits d’accès :

Une procédure formelle d’attribution /retrait des droits

L’attribution des droits d’accès se fait elle par :

Accès non autorisés, OUI, règlement intérieur, charte

Les mots de passe ont-ils une obligation de

Les postes de travail se verrouillent-ils

Tout équipement (ordinateur, tablette, smartphone),

Accès non autorisés,

Les points d’accès au système d’information

Si connexions distantes, depuis l’extérieur, existe-t-il

Les ressources de l’entreprise, accessibles en ligne par Accès non autorisés,

- Les échecs de connexion sont-ils analysés ?

Dans la liste des utilisateurs du SI, les comptes

Les fonctions de développement informatique, de tests

Quels sont les projets en cours ou

Ambiguïté sur le résultat Toutes