Académique Documents
Professionnel Documents
Culture Documents
d’Informations
Audit des systèmes d’information, conseil et
reporting
Février 2024
Morgane PELLEN
02 I Définitions et enjeux
2.1 : Présentation d’un SI
2.2 : Normes et référentiels
2.3 : Contrôle interne
2.4 : Risques
04 I Audit légal
4.1 : Audit par le SI
4.2 : Blockchain
06 I Annexes
6.1 : Bibliographie
6.2 : Vocabulaire et acronymes
Normes
Rapport
Contrôle
interne Outils
Données Système
d’information
Obligations
IT légales
Missions Analyse
Contrôle des d’audit
Conseil
comptes Risques
« Le système d'information (SI – IT : Information Technology) est un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer de
l'information, en général grâce à un réseau d'ordinateurs »
L'informatique est devenue le support privilégié du système d'information (données et traitements) dans les organisations.
« Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité.
Il comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques propres de chaque
société qui :
• contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources, et
• doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils soient opérationnels, financiers ou de conformité.
Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux seuls processus comptables et financiers.
Il est d’autant plus pertinent qu’il est fondé sur les règles de conduite et d’intégrité portées par les organes de gouvernance et communiquées à tous les
collaborateurs. Il ne saurait en effet se réduire à un dispositif purement formel en marge duquel pourraient survenir des manquements graves à l’éthique des
affaires.
Toutefois, le contrôle interne ne peut fournir une garantie absolue que les objectifs de la société seront atteints. »
Celui-ci regroupe :
• Le contrôle interne des processus automatisés ;
• Le contrôle interne des processus de gestion des SI, permettant son évolution, son maintien en conditions opérationnelles, sa sécurité et son exploitation
au quotidien.
Dans le cadre d’un audit des SI supportant les processus métiers et l’élaboration des états financiers, l’objectif est donc d’évaluer le contrôle interne SI.
L'audit est surtout un outil d'amélioration continue car il permet de faire le point sur l'existant (état des lieux) afin d’en dégager les points faibles et/ou non
conformes (suivant les référentiels d'audit). Cela, afin de mener par la suite les actions adéquates qui permettront de corriger les écarts et
dysfonctionnements constatés.
Les audits internes qui sont réalisés par, ou au nom de, l’organisme lui-même pour des raisons internes et peuvent constituer la base d’une auto-déclaration
de conformité.
Les audits externes sont réalisés par des parties, telles que des clients, ayant un intérêt dans l’organisme, ou par d’autres personnes en leur nom. Les audits
de tierce partie sont réalisés par des organismes externes indépendants. De tels organismes, généralement accrédités, fournissent l’enregistrement ou la
certification de conformité à des exigences.
Par conséquent, une appréciation favorable peut permettre sous certaines conditions, de réduire les procédures substantives à déployer pour fonder son
opinion sur les comptes. »
NEP 315 – Connaissance de l’entité et de son environnement et évaluation du risque d’anomalies significatives :
« Acquérir une connaissance suffisante de l’entité, notamment de son contrôle interne, afin d’identifier et d’évaluer le risque d’anomalies significatives dans
les comptes afin de concevoir et de mettre en œuvre des procédures d’audit permettant de fonder son opinion sur les comptes. »
Les équipes "audit IT" peuvent intervenir en support d'une équipe d'audit légale (dans le cadre d'une mission de commissariat aux comptes) ou bien réaliser
un audit contractuel (diagnostic IT demandé par un client).
Concernant les métiers du conseil, les collaborateurs n'ont pas vocation à réaliser des travaux de commissariat aux comptes. Le périmètre est bien plus large
que l'audit IT (conseil en stratégie, management, en RSE, en finance, etc.)
Par ailleurs, la prise en compte de l’environnement informatique lors de l’audit des comptes ne doit pas être confondue avec l’audit informatique d’un
système d’information confié à un commissaire aux comptes dans le cadre des prestations en dehors d’une mission légale et pouvant prendre la forme d’un
diagnostic.
A. Stocker
B. Alimenter
C. Archiver
D. Traiter
E. Collecter
F. Transmettre
G. Distribuer
A. Stocker
B. Alimenter
C. Archiver
D. Traiter
E. Collecter
F. Transmettre
G. Distribuer
Les applications informatiques demeurent un support essentiel / incontournable sur les applications de gestion des « grandes » fonctions métiers d’une
organisation : achats, production, stocks, ventes, comptabilité, trésorerie, etc.
La mise en place d’un ERP (Entrerprise Ressource Planning) au sein des entreprises a nécessité une appréhension et une maîtrise des risques inhérents
associés :
• Dépassement de délai / de coût des projets informatiques,
• Indisponibilité des SI susceptible de stopper l’activité de l’entreprise,
• Qualité de données comptables issues du SI ne garantissant pas la fiabilité des états financiers,
• Accès non autorisé à des informations confidentielles et risques de fraudes.
Outre les améliorations fonctionnelles / techniques du SI, les nouveaux usages contribuent à pallier ces risques et impactent la manière de le déployer, de
l’utiliser et de le monitorer.
Les nouveaux usages liés aux SI et la mutation profonde de la pratique de l’audit qui en découle doivent être intégrés par les commissaires aux comptes.
• Dans son approche par les risques, l’audit des SI vise à accroître l’efficacité et la pertinence des diligences réalisées lors des différentes phases de la
mission.
• L’intervention de collaborateurs spécialisés (« auditeurs IT »), en support des équipes d’audit financier, est devenu aujourd’hui indispensable
lorsque le SI est qualifié de complexe.
Direction
générale
Autres
DSI RSSI
directions …
Etudes Infrastructures,
développements (télécom, systèmes et Exploitation
applicatifs réseaux)
Le Directeur des systèmes d'information ou la Direction des systèmes d'information selon qu'il désigne une personne ou une entité d'une organisation.
Il est responsable de l'ensemble des composants matériels (postes de travail, serveurs, équipements de réseau, systèmes de stockage, de sauvegarde et
d'impression, etc) et logiciels du système d'information, ainsi que du choix et de l'exploitation des services de télécommunications mis en œuvre.
Dominance du marché sur le pc par Microsoft via Windows, sous différentes versions.
Les serveurs d’entreprise sont de type Unix ou Linux, pour lesquels le code source est disponible.
L’ERP est un système d'information composé de plusieurs applications partageant une seule et même base de données, par le biais d'un système automatisé
prédéfini éventuellement paramétrable (un moteur de workflow).
Les systèmes d’information peuvent être considérés comme ayant cinq composants principaux : le matériel, les logiciels, les données, les personnes et les
processus. Les trois premiers sont technologiques.
Les deux derniers composants, les personnes et les processus, séparent l’idée de systèmes d’information des domaines plus techniques, tels que
l’informatique.
Afin de bien comprendre les systèmes d’information, vous devrez comprendre comment tous ces composants fonctionnent ensemble pour apporter de la
valeur à une organisation.
1/ Le matériel est la partie tangible et physique d’un système d’information – la partie que vous pouvez toucher. Les ordinateurs, les claviers et les lecteurs de
disque sont tous des exemples de matériel des systèmes d’information.
2/ Le logiciel comprend l’ensemble d’instructions qui indiquent au matériel ce qu’il doit faire. Le logiciel n’est pas tangible – il ne peut pas être touché. Les
programmeurs créent des logiciels en tapant une série d’instructions indiquant au matériel ce qu’il doit faire. Les deux catégories principales de logiciels sont
: les systèmes d’exploitation et les logiciels d’application. Le logiciel des systèmes d’exploitation fournit l’interface entre le matériel et le logiciel d’application.
Des exemples de systèmes d’exploitation pour un ordinateur personnel incluent Microsoft Windows et Linux. Le marché des systèmes d’exploitation pour
téléphones mobiles est dominé par Google Android et Apple iOS. Le logiciel d’application permet à l’utilisateur d’effectuer des tâches telles que la création de
documents, l’enregistrement de données dans une feuille de calcul ou l’envoi de messages à un ami.
3/ La troisième composante technologique est la donnée. Vous pouvez considérer les données comme un ensemble de faits. Comme les logiciels, les données
sont intangibles, c’est-à-dire qu’elles sont incapables d’être vues à leur état natif. Des morceaux de données sans rapport entre eux ne sont pas très utiles.
Mais agrégées, indexées et organisées ensemble dans une base de données, les données peuvent devenir un outil puissant pour les entreprises. Les
organisations collectent toutes sortes de données et les utilisent pour prendre des décisions qui peuvent ensuite être analysées quant à leur efficacité.
L’analyse des données est ensuite utilisée pour améliorer la performance de l’organisation.
Outre les composants technologiques (matériel, logiciel et donnée) qui ont longtemps été considérés comme la technologie de base des systèmes
d’information, il a été suggéré d’ajouter un autre composant : la communication.
Un système d’information peut exister sans pouvoir communiquer – les premiers ordinateurs personnels étaient des machines autonomes qui n’accédaient
pas à Internet. Cependant, dans le monde hyperconnecté d’aujourd’hui, c’est extrêmement rare de trouver un ordinateur qui ne se connecte pas à un autre
appareil ou à un réseau. Techniquement, l’élément de communication en réseau est composé de matériels et de logiciels, mais c’est une caractéristique
tellement essentielle des systèmes d’information actuels qu’il est devenu une catégorie à part entière.
1/ L’étape suivante consiste à se concentrer sur les personnes impliquées dans les systèmes d’information. Du personnel d’assistance pour les utilisateurs de
première ligne, aux analystes d’affaires, aux développeurs, jusqu’au directeur des systèmes d’information (DSI), les personnes impliquées dans les systèmes
d’information constituent un élément essentiel de ces derniers.
2/ Le dernier composant des systèmes d’information est le processus. Un processus est une série d’étapes entreprises pour atteindre un résultat ou un objectif
souhaité. Les systèmes d’information sont de plus en plus intégrés aux processus organisationnels, apportant une plus grande productivité et un meilleur
contrôle de ces processus. Mais il ne suffit pas d’automatiser les activités à l’aide de la technologie : les entreprises qui souhaitent utiliser des systèmes
d’information doivent en faire plus. L’objectif ultime est d’améliorer les processus à la fois internes et externes, en améliorant les interfaces avec les
fournisseurs et les clients. Les termes technologiques à la mode tels que « réingénierie des processus d’affaires (business process re-engineering) », « gestion
des processus d’affaires (business process management) » et « progiciel de gestion intégré (enterprise resource planning) » ont tous trait à l’amélioration
continue de ces procédures d’affaires et à l’intégration de la technologie dans celles-ci. Les entreprises qui espèrent obtenir un avantage concurrentiel sur
leurs concurrents sont très focalisées sur cette composante des systèmes d’information.
Une base de données est une collection d’enregistrements structurée et stockée dans un système informatique.
La base de données permet aux utilisateurs et aux applications d’enregistrer et de lire les informations stockées.
Un SGBD (Systèmes de Gestion de BD) est un logiciel système destiné à gérer des bases de données, en garantissant la qualité, la pérennité, et les droits
d’accès aux informations.
Les principaux SGBD : Oracle , DB2, Microsoft SQL Server, mySQL, Informix, Microsoft Access, PostgreSQL
Le DBA (data base administrator) est l’administrateur de bases de données. → Utilise un langage de requêtage de type (SQL)
Autres bases de données : SAP HANA (base de données « In Memory » où l’information est stockée en colonnes)
Les systèmes d’information ont un certain nombre de composants vitaux, certains tangibles, d’autres intangibles et d’autres encore de nature personnelle.
Ces composants collectent, stockent, organisent et distribuent des données dans toute l’organisation.
L’un des rôles des systèmes d’information est de prendre des données et de les transformer en informations, puis de transformer ces informations en
connaissances organisationnelles.
Au fur et à mesure que la technologie s’est développée, ce rôle est devenu l’épine dorsale de l’organisation, faisant des systèmes d’information une partie
intégrante de pratiquement toutes les entreprises. L’intégration des systèmes d’information dans les organisations a progressé au fil des décennies.
L’infrastructure et les réseaux informatiques sont gérés par le pôle Etudes de la DSI ?
Un organigramme matriciel est particulièrement adapté pour les organisations simples et dotées d’un métier unique ?
Un organigramme matriciel est particulièrement adapté pour les organisations simples et dotées d’un métier unique Faux – organisation de type
projet
A. PC portable
B. L’opérateur
C. Le processus de ventes
D. Élements de paie
E. Cegid
A. PC portable : le matériel
B. L’opérateur : la personne
C. Le processus de ventes : le process
D. Élements de paie : données
E. Cegid : logiciel
A. Hardware.
B. Application.
C. Database.
D. Procédure
A. Hardware.
B. Application.
C. Database.
D. Procédure
Réponse B.
Réponse C. Il s’agit de la mise à disposition d’une application accessible à distance comme un service complet, par le biais d’internet et du web et non d’un
logiciel installé en interne sur les serveurs du client. Les clients n’ont pas à se soucier de la plateforme et/ou du matériel qui sont mutualisés avec d’autres
entreprises. La solution est généralement facturée par un droit d’usage périodique et le client n’achète pas de licence.
Réponse D.
Réponse C.
L'ISACA (Information Systems Audit & Control Association) qui est l'association internationale des auditeurs informatiques (notamment pour son
corpus normatif et son knowledge center) et l'AFAI (Association Française de l'Audit et du conseil Informatique), qui est le chapitre français de l'ISACA,
fournissent de nombreux supports.
Le guide d’audit de la gouvernance du système d’information de l’entreprise numérique est édité par l’AFAI-ISACA (AssociationFrançaise de l’Audit et du
conseil Informatiques dépendant d’une association internationale : l’ISACA (Information Systems Audit and Control Associa-tion), leCIGREF(réseau de
grandes entreprises) et leIFACI (Institut Français de l’Audit et duContrôle Interne).
Selon ses auteurs,« l’ambition du guide d’audit est d’obtenir une vision globale de la gouvernance du SI des entreprises à l’ère du numérique. Ce document
[...]constitue une première étape avant un audit du SI plus poussé qui pourrait nécessiter des référentiels plus complets (CobiT).
Gouvernance du SI en 12 vecteurs :
L'ISACA (Information Systems Audit & Control Association) qui est l'association internationale des auditeurs informatiques (notamment pour son
corpus normatif et son knowledge center) et l'AFAI (Association Française de l'Audit et du conseil Informatique), qui est le chapitre français de l'ISACA,
fournissent de nombreux supports.
Référentiels
• COBIT : Control Objectives for Information and related Technology. C'est le principal référentiel des auditeurs informatiques.
• COSO : Dispositif de contrôle interne. (partie 2.3)
Mais aussi :
• ISO 27001 – 27002 : Code des bonnes pratiques en matière de management de la sécurité des systèmes d'information.
• CMMI : Capability Maturity Model integration qui est une démarche d'évaluation de la qualité de la gestion de projet informatique.
• ITIL : Recueil des bonnes pratiques concernant les niveaux et de support des services informatiques.
COBIT
De nombreuses normes s’appliquent aux systèmes d’information et plusieurs référentiels peuvent être mis en œuvre lors d’un audit du SI. Le référentiel le plus
utilisé, faisant référence en la matière au niveau international est le référentiel CobiT.
Ce référentiel de gouvernance des SI propose un modèle de bonnes pratiques, ainsi la conduite des travaux d’audit informatique repose sur le référentiel
Cobit : Control Objectives For Information and Related Technology => Orienté business pour la Gouvernance et la Gestion des Systèmes d’Information de
l’entreprise.
Cobit (Objectifs de contrôle de l’Information et des Technologies Associées), porté en France par l’AFAI (Association pour l’Audit et le conseil Informatique).
Origine
• Ensemble structuré de bonnes pratiques
• Créé par des auditeurs informatiques
• Inspiré fortement de COSO (contrôle interne)
Evolution
• Succès suite à la croissance des exigences de contrôle interne
• Aujourd’hui le standard de gouvernance des SI
• CobiT 2019 s’appuie sur les bases de la version 5 de Cobit en fournissant des orientations complètes et plus pratiques (conseils pratiques, ressources de
mise en œuvre, formations...).
• Certification des praticiens
©2020 Grant Thornton International Ltd. All rights
52 reserved.
02 I Définitions et enjeux
Normes et référentiels
Référentiels et origines
Le périmètre de CobiT englobe non seulement celui dévolu à la DSI mais aussi celui de toutes les parties prenantes des SI dans l’entreprise (directions
générales, directions métiers, actionnaires). Il inclut des objectifs de contrôle (contrôle de qualité minimale), des pratiques de contrôle(mise en œuvre des
objectifs), des directives d’audit (mesure conformité, quantification du risque satisfaisant ou non) et des directives de gestion (évaluation performances des
processus TI).
• Répondre aux besoins et exigences des parties prenantes (création de valeur, optimisation de la gestion des ressources et maîtrise des risques) ;
• Couvrir l’intégralité des besoins de l’entreprise en prenant en considération l’ensemble des processus ;
• Appliquer un unique référentiel intégré englobant les autres référentiels ;
• Permettre une approche heuristique et globale prenant en compte plusieurs éléments en interaction ;
• Distinguer gouvernance et gestion (ou management) ; Ces deux disciplines regroupent différents types d’activités, requièrent différentes structures
organisationnelles et servent des objectifs différents.
COBIT – démarche
La démarche CobiT permet de s’assurer que les ressources informatiques sont gérées par des processus informatiques pour atteindre les objectifs
informatiques qui répondent aux exigences métiers.
Le modèle de référence de CobiT définit et décrit en détail un certain nombre de processus de gouvernance et de gestion. Il représente tous les processus qui
se trouvent normalement dans une entreprise en matière d’activités liées aux TI.
Le COBIT 5 identifie 37 processus (ensembles organisés de pratiques et d’activités permettant d’atteindre les objectifs) regroupés en cinq domaines :
CobiT 5 définit sept catégories de facilitateurs(tout ce qui peut aider à atteindre les objectifs de l’entreprise) pour appuyer la mise en œuvre d’un système
complet de gouvernance et de gestion :
ITIL
D’autres normes et référentiels que CobiT peuvent être utilisées comme le référentiel ITIL (Information Technology Infrastructure Library). Il est une collection
de bonnes pratiques permettant d’améliorer l’efficacité des services informatiques. Il a été développé à l’origine pour le secteur public mais il peut
maintenant être utilisé pour le secteur privé.
Ce référentiel peut également être utilisé dans le cadre d’un audit.
Normes ISO
Les normes ISO (International Organisation for Standardisation)sont les principales normes internationales et s’imposent comme cadre de référence. Nous
pouvons évoquer en quelques mots celles citées dans la zone de couverture de CobiT5. Les normes de la famille ISO 20000 : gestion de services IT. Elles
décrivent les processus de gestion utilisés pour livrer efficacement et de manière efficiente des services informatiques à l’entreprise et à ses clients. Elles
respectent les exigences ITIL.
Les normes de la famille ISO 27000 : La sécurité de l’information et des réseaux. Elles servent de référence pour la mise en place, l’utilisation, la tenue à jour et
la gestion d’une politique de sécurité informatique et de sécurité des systèmes d’information.
Les normes ISO 31000 servent de cadre pour la gestion des risques. Elles peuvent être utilisées par tout type d’organisme afin d’identifier, d’apprécier et
d’atténuer les risques auxquels ils sont confrontés. Cette norme donne des orientations pour les programmes d’audit internes ou externes.
La norme ISO 38500 enfin concerne la gouvernance de la sécurité informatique. Elle concerne la gouvernance des procédures de gestion liées aux services
de communication et d’information utilisés par une organisation. Elle fournit des principes, des définitions et un modèle de bonne gouvernance pour aider les
dirigeants d’entreprises à cerner l’importance des technologies de l’information (IT).Cette liste n’est pas exhaustive car d’autres normes ISO peuvent être
utilisées (la famille ISO 22000 sur la continuité des activités par exemple). Ces normes forment un cadre mais des normes professionnelles existent également
©2020 Grant Thornton International Ltd. All rights
60 reserved.
02 I Définitions et enjeux
Normes et référentiels
Référentiels et origines – normes professionnelles
Le Conseil des normes internationales d’audit et d’assurance (IAASB: International Auditing and Assurance Standards Board) est un organisme international
indépendant qui élabore et publie Assurance Standards Board) les normes internationales ISA. L’élaboration de ces normes requiert la participation entre
autres de l’IAASB, de la Fédération internationale des comptables (IFAC :International Federation of Accountants), d’organisations professionnelles
comptables, d’autorités de réglementation, d’organismes de surveillance, de cabinets, de normalisateurs nationaux, d’organismes publics et d’investisseurs.
Les normes internationales d’audit (ISA) sont reconnues en matière d’audit des comptes et de contrôle de qualité, et sont mises en œuvre au niveau
international. Mais l’évolution constante de l’environnement oblige à la modification des normes ISA. Ainsi, selon l’arrêté du 11 avril 2019 (JO du 3 mai 2019 et
entrée en vigueur le 1erjuillet 2019), dans le cadre des missions d’audit d’états financiers, les experts-comptables disposent d’une version tenant compte des
modifications apportées aux ISA jusqu’en 2016 par l’IFAC. Ainsi une nouvelle norme ISA 701 « Communication des points clés de l’audit dans le rapport de
l’auditeur indépendant »est apparue et plusieurs autres normes ont été révisées (ISA 260, 315, 570, 610, 700, 705,706, 720).
Le cadre de référence international des pratiques professionnelles de l’audit interne (CRIPP)comprend les lignes directrices approuvées par l’IlA (Institute of
internal Auditors).
Les normes, ainsi que le code de déontologie, intègrent toutes les dispositions obligatoires du Cadre de référence international des pratiques
professionnelles. L’IFACI (Institut français des auditeurs internes)est l’organisme français qui relaye ce cadre de référence en France.
Les Normes de l’IIA se partagent en deux catégories : les normes de qualification et les normes de fonctionnement :
• Les normes de qualification décrivent les caractéristiques des entités et des personnes qui réalisent les activités d’audit interne. Elles sont numérotées sur
4 chiffres dont le premier commence par un (1000, 1010, 1100, 1110, 1111, 1112, 1120, 1130, 1200, 1210, 1220, 1230,1300 1310, 1311, 1312, 1320, 1321 et 1322).
• Les normes de fonctionnement présentent la nature des activités d’audit interne et définissent des critères de qualité permettant de mesurer leur
performance. Elles sont numérotées sur4 chiffres dont le premier commence par deux (2000, 2010, 2020, 2030, 2040, 2050, 2060,2070, 2100, 2110, 2120,
2130, 2200, 2201, 2210, 2220, 2230, 2240, 2300, 2310, 3320, 2330,2340, 2400, 2410, 2420, 2421, 2430, 2431, 2440, 2450, 2500 et 2600).Enfin, des normes de
mise en œuvre complètent ces deux normes en indiquant les exigences applicables aux missions d’assurance ou de conseil. L’IFACI précise que« Dans le
cadre de missions d’assurance, l’auditeur interne procède à une évaluation objective en vue de formuler des opinions ou des conclusions sur une entité,
une opération, une fonction, un processus, un système ou d’autres domaines »
La Commission européenne est habilitée à adopter les ISA pour les rendre applicables à toute l’union européenne. En absence d’adoption des ISA par la
commission, ce sont les NEP (normes d’exercice professionnel)françaises qui s’appliquent en France. Ces NEP sont adoptées par leH3C* (Haut conseil du
commissariat aux comptes) et homologuées par arrêté du garde des Sceaux. Elles sont publiées par la CNCC (Compagnie nationale des commissaires aux
comptes) qui les regroupe en cinq grandes parties :
• Audit des comptes mis en œuvre dans le cadre de la certification des comptes.
• Examen limite en application de dispositions légales et réglementaires.
• Diligences directement liées à la mission du commissaire aux comptes (normes archivées car devenues caduques le 17 juin 2016).
• Interventions en application d’autres dispositions légales ou réglementaires.
• Autres obligations du commissaire aux comptes en application de dispositions légales ou réglementaires.
* H3C devenu le H2A « Haute Autorité de l’Audit » effectif dès le 01 janvier 2024
COSO
Le référentiel COSO (Committee Of Sponsoring Organizations of the Treadway Commission) définit le contrôle interne comme un processus mis en œuvre
par les dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants :
• l'efficacité et l'efficience des opérations,
• la fiabilité des informations financières,
• la conformité aux lois et règlements.
Histoire :
Aux scandale financiers (ENRON, Worldcom, etc.) https://www.youtube.com/watch?v=jrEf8uabe7E
Le scandale Enron, ou affaire Enron, est un cas de fraude et de manipulation financière découvert en 2001, qui s’est soldé par la faillite de l’entreprise Enron,
un temps septième capitalisation des USA, et par le démantèlement et la disparition de son auditeur Andersen. Il s'agit à l'époque de la plus grande faillite de
l'histoire américaine.
Plusieurs définitions du contrôle interne existent mais celle qui fait référence est celle proposée par le COSO (Committee Of Sponsoring Organizations). La
commission définit le Contrôle Interne comme étant :
« Un processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable
quant à la réalisation des objectifs suivants :
• la réalisation et l’optimisation des opérations,
• la fiabilité des informations financières et de gestion,
• la conformité aux lois et aux réglementations en vigueur. »
En France, l’AMF (Autorité des marchés financiers) propose la définition suivante dans son cadre de référence : « Le contrôle interne est un dispositif de la
société, défini et mis en œuvre sous sa responsabilité. Il comprend un ensemble de moyens, de comportements, de procédures et d’actions adapté saux
caractéristiques propres de chaque société qui :
• contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources, et
• doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils soient opérationnels, financiers ou de conformité. »
Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux seuls processus comptables et financiers.
Le cadre légal et réglementaire est très vaste et évolue en permanence. L’environnement législatif a d’abord évolué aux États-Unis avec la loi Sarbanes Oxley
(SOX) puis en France avec la Loi de sécurité financière, la loi de décembre 2016 relative à la transparence, à la lutte contre la corruption et à la
modernisation de la vie économique (dite loi Sapin II) et la loi de janvier 2017portant statut général des autorités administratives indépendantes et des
autorités publiques indépendantes. La réforme européenne de l’audit et le relèvement des seuils d’audit légal imposent une veille permanente. Quelques
référentiels s’imposent pour guider le contrôle interne.
Le référentiel COSO
Une commission à but non lucratif, le COSO (Committee Of Sponsoring Organizations of theTreadway Commission)est une référence incontournable à
travers le monde dans le domaine du contrôle interne.
Le contrôle interne, tel que défini par le COSO, comporte cinq composants qui sont :
• l'environnement de contrôle, qui correspond, pour l'essentiel, aux valeurs diffusées dans l'entreprise,
• l'évaluation des risques dépend de leur importance et de leur fréquence,
• les activités de contrôle, définies comme les règles et procédures mises en œuvre pour traiter les risques, le COSO imposant la matérialisation factuelle
des contrôles,
• l'information et la communication, qu'il s'agit d'optimiser,
• la supervision, c'est-à-dire le « contrôle du contrôle » interne.
Le référentiel COSO
Le référentiel COSO 2
En plus des trois catégories d’objectifs d’origine, COSO 2 en propose une quatrième : les objectifs stratégiques. Pour finir, ce référentiel permet l’analyse des
risques pour toutes les strates de l’entreprise (divisions, unités...) en incluant même les filiales et les sous-traitants
Le contrôle interne doit être mis en place dans l’entreprise pour valider et fiabiliser les procédures permettant de réduire les risques. Lors d’un audit des
systèmes d’information, l’auditeur interne doit évaluer l’efficacité des systèmes de contrôle interne. Pour le CIGREF et l’IFACI, cinq grands principes doivent
être retenus :
• C’est aux managers d’instaurer une culture et une dynamique du contrôle par la mise en place d’une organisation appropriée et d’un système de
management efficace (stratégie, politique, déploiement...).
• Le contrôle interne doit être intégré dans les processus de l’entreprise (achat, vente, production, consolidation, RH...).
• Les SI jouent un rôle clé dans une bonne gouvernance d’entreprise et dans un dispositif efficace de contrôle interne : ils sont non seulement un objet mais
aussi un levier du contrôle interne des processus de l’entreprise.
• Un principe de réalité, de proportionnalité et de granularité doit s’appliquer dans tout dispositif de contrôle interne : il convient de penser à arbitrer entre
le coût et l’efficacité du dispositif.
• Il faut enfin rester conscient du caractère non exhaustif, des limites intrinsèques et des arbitrages nécessaires dans tout dispositif de contrôle.
Le contrôle interne passe par le contrôle du SI de l’entreprise et par le contrôle interne de la DSI.
Le contrôle du SI de l’entreprise concerne en premier lieu les métiers et les processus. Le SI doit être au service des processus. Des indicateurs permettent de
s’assurer de la maîtrise des processus.
Le contrôle du SI passe aussi par la maîtrise des données. La traçabilité et la fiabilité des informations produites sont deux éléments clés qui doivent être
contrôlés en permanence. Le contrôle de l’accès aux données est également primordial pour garantir le principe de confidentialité et assurer la conformité
vis-à-vis de réglementations comme la RGPD. Une cartographie des bases de données est souvent nécessaire pour avoir une vision d’ensemble et détecter
les incohérences (localisation, sauvegardes, droits d’accès...).
L’audit informatique est un outil privilégié du contrôle interne. Il intervient sur trois domaines :la stratégie informatique (pertinence du SI selon ses objectifs),
la fonction informatique (qualité des processus informatiques) et les processus informatisés de l’entreprise (efficacité des contrôles intégrés dans les
applications et sécurité).
Une cartographie applicative peut être réalisée pour contrôler la cohérence entre les fonctions nécessaires à la mise en œuvre des besoins métier et les
applications utilisées dans l’entreprise.
Des contrôles applicatifs doivent également permettre de vérifier la séparation des fonctions. Enfin, le monitoring continu permet grâce à des contrôles
embarqués dans les applications, de s’assurer de contrôles suffisants sur les données saisies, l’exhaustivité des traitements, l’intégrité des bases de données
et des accès
Le contrôle interne de la DSI lui permet de maîtriser ses risques pour atteindre ses objectifs opérationnels. Il s’agit de s’assurer de la conformité aux
règlements et aux instructions de la direction générale, de contrôler l’efficacité des opérations réalisées en utilisant les ressources de façon optimale, de
l’évaluation et de la maîtrise des risques (sécurité entre autres) et de la garantie de la qualité de l’information. Six processus permettant d’atteindre ces
objectifs seront contrôlés :
Pour être efficace, le contrôle interne (contrôle du SI ou contrôle interne de la DSI) doit être complété par des outils de suivi de ces contrôles pour garder une
trace des contrôles effectués et des anomalies constatées. Un tableau de bord des contrôles permettra une détection plus efficace de la dégradation du SI
et sera un outil à fournir lors d’un audit interne.
Réponse B. Un auditeur doit maitriser les processus avant puis effectuer une évaluation des risques. Et sur cette base, l'AI devrait préparer un plan d'audit.
2.4 Risques
©2020 Grant Thornton International Ltd. All rights reserved.
02 I Définitions et enjeux
Risques inhérents
Définition
Un risque inhérent est un risque directement lié à l’environnement de l’entreprise. On parle aussi de risque d’activité.
La seconde entreprise vend des aspirateurs. Elle a un stock de produits finis, soit des aspirateurs.
Vous avez en main les factures d’achats et le prix de vente au détail de ces stocks. Selon vous, le risque inhérent du poste stocks est-il plus élevé dans
l’entreprise qui produit des soudeuses ou celle qui vend des aspirateurs?
La seconde entreprise vend des aspirateurs. Elle a un stock de produits finis, soit des aspirateurs.
Vous avez en main les factures d’achats et le prix de vente au détail de ces stocks. Selon vous, le risque inhérent du poste stocks est-il plus élevé dans
l’entreprise qui produit des soudeuses ou celle qui vend des aspirateurs?
Le risque inhérent est plus élevé en ce qui concerne le poste stocks de l’entreprise qui fabrique des soudeuses. En effet, le pourcentage
d’avancement des stocks de produits en cours est ouvert à interprétation. De plus, les calculs sont plus complexes, car on doit imputer de nombreux
frais à ces types de stocks, tels que les frais indirects de fabrication.
Pour la même entreprise, vous devez auditer le poste « Provision pour mauvaises créances » et le poste « Encaisse ». Selon vous, le risque inhérent
est-il plus élevé pour le poste « Provision pour mauvaises créances » ou pour le poste « Encaisse »?
Pour la même entreprise, vous devez auditer le poste « Provision pour mauvaises créances » et le poste « Encaisse ». Selon vous, le risque inhérent
est-il plus élevé pour le poste « Provision pour mauvaises créances » ou pour le poste « Encaisse »?
Le poste « Provision pour mauvaises créances » est celui dont le risque inhérent est le plus élevé. En effet, ce poste représente une estimation
comptable. Tant que les encaissements des clients n'ont pas été reçus, nous ne pouvons être certain à 100 % que tous les clients vont payer leurs
comptes. La provision est un pourcentage utilisé et ce pourcentage peut être basé sur les expériences passées. Le poste « Encaisse », quant à lui,
peut être validé à l'aide d'une confirmation bancaire, d'un relevé de banque ou de pièces justificatives comme des chèques et des dépôts en circulation.
Le risque qu'une erreur se retrouve au sein de ce poste est moindre car des preuves tangibles existent. La « Provision pour mauvaises créances »
laisse place au jugement professionnel et est donc discutable.
Possibilité que se produise un évènement qui aura un impact sur la réalisation des objectifs de l’entreprise. Après avoir identifié la nature de(s) menace(s)
(erreur, fraude, vol…), l’auditeur mesure le risque en termes de conséquences (impact) et de probabilité.
Catégories
L’ évaluation des risques est répartie en 3 catégories et s’obtient en multipliant l’impact par la
probabilité d’occurrence :
Les risques résiduels sont ceux qui subsistent après les mesures prises par le management pour réduire l’impact et la probabilité d’occurence d’un
évènement défavorable, et notamment après les dispositifs de contrôle mis en place en réponse à un risque.
En raison du contexte technologique complexe et qui se transforme et change rapidement, de nouveaux risques doivent être pris en comptes :
Identifier 5 risques IT
pouvant avoir un impact sur une entreprise
En raison du contexte technologique complexe et qui se transforme et change rapidement, de nouveaux risques doivent être pris en comptes :
L’absence de fiabilité ou le dysfonctionnement du SI lors d’une montée de version ou en cas d’ajout de module(s) spécifique(s), en lien avec un paramétrage
défaillant ou des informations manquantes, empêcheront l’entreprise d’atteindre ses objectifs opérationnels, financiers et stratégiques.
L’établissement d’états financiers sincères et réguliers est alors compromise.
En environnement ERP, les tests de fiabilité réalisés par l’éditeur (avant commercialisation) et l’intégrateur (lors de l’implémentation) limiteront la probabilité
de survenance du risque.
Risque de fraude
Le risque de fraude ou malveillance est majoritairement lié à un cumul d’accès à des transactions critiques ou à la divulgation de données sensibles.
L’occurrence du risque de fraude est accrue dans un environnement SI complexe basé sur un ERP qui concentre les données de l’entreprise et supporte les
processus métiers clés.
Il est intimement lié à la gestion des accès et à la séparation des fonctions paramétrées dans l’ERP, du fait de l’intégration des processus métiers et de
l’existence de bases de données relationnelles interconnectées.
La séparation des fonctions est plus facile à respecter dans une entreprise qui utilise des applicatifs multiples pour supporter ses différents processus
métiers.
Inversement, le regroupement des fonctionnalités au sein d’une même application nécessitent impérativement que les habilitations informatiques définies et
paramétrées garantissent une séparation des fonctions.
La mauvaise séparation des fonctions peut conduire à des pertes indirectement financières, résultant :
• de fraudes perpétrées par des collaborateurs ayant des accès à des fonctionnalités incompatibles avec leur fonction ;
• d’erreurs suite à l’utilisation de transactions sensibles non maîtrisées, notamment en l’absence de contrôles compensatoires « manuels » (ou si
insuffisants).
Ex : Intégration des fonctions Achats / Gestion des stocks / Comptabilité au sein de l’ERP <> En l’absence d’un paramétrage adéquat, cumul potentiel des
transactions Commande d’achat / Réception / Saisie facture / Paiement.
Risque d’indisponibilité du SI
Probabilité plus faible de ce risque avec un hébergement de SI sur un serveur central (vs plusieurs serveurs pour un SI multi-applications).
En revanche, en cas de survenance du phénomène, l’impact est très préjudiciable car le SI supporte plusieurs voire l’ensemble des processus de l’entreprise.
La personnalisation significative d’un SI et des applications, avec la création de développements spécifiques pour s’adapter parfaitement aux besoins, peut
altérer sa fiabilité et le rendre plus coûteux.
Avec un ERP proposé par un éditeur, les formations dispensées et l’intervention de l’intégrateur réduiront ce risque (vs un développement du SI en interne).
La simplification des interfaces utilisateurs (saisi, visualisation des données), l’amélioration du contrôle des données de base pallieront également le risque
de manque de compétence des utilisateurs.
Réponse A. En concevant un plan d'audit, il est important d'identifier les secteurs à haut risque pour déterminer les secteurs à auditer. La compétence de
d'auditeur doit être vérifiée avant de le désigner pour la mission. Les étapes de test ne sont pas aussi critiques que A.
A. Plans stratégiques.
B. Politiques de SI.
C. Procédures de SI.
D. Normes et directives.
A. Plans stratégiques.
B. Politiques de SI.
C. Procédures de SI.
D. Normes et directives.
Réponse A.
A. Risque de cohérence
B. Risque inhérent
C. Risque d’oubli
D. Risque de contrôle
E. Risque de détection
F. Risque de fraude
A. Risque de cohérence
B. Risque inhérent
C. Risque d’oubli
D. Risque de contrôle
E. Risque de détection
F. Risque de fraude
Audit et gouvernance
Cas Bureauvert
Cas CFCI