MPE - Cours Audit Conseil SI Partie 1 Pres

UE5 - Management des Systèmes
d’Informations
Audit des systèmes d’information, conseil et
reporting
Février 2024
Morgane PELLEN
Document de travail. Toute reproduction sans autorisation est interdite.

01 I Introduction
02 I Définitions et enjeux
2.1 : Présentation d’un SI
2.2 : Normes et référentiels
2.3 : Contrôle interne
2.4 : Risques
03 I Audit des systèmes d’information

3.1 : Démarche
3.2 : Missions
04 I Audit légal
4.1 : Audit par le SI
4.2 : Blockchain
05 I Reporting et analyse de données

5.1 : Traitement des données
06 I Annexes
6.1 : Bibliographie
6.2 : Vocabulaire et acronymes
©2020 Grant Thornton International Ltd. All rights

2 reserved.
Audit des systèmes d’information, conseil et reporting
Objectifs du cours
Normes
Rapport
Contrôle
interne Outils
Données Système
d’information
Obligations
IT légales
Missions Analyse
Contrôle des d’audit
Conseil
comptes Risques

3 reserved.
01 Introduction
©2020 Grant Thornton International Ltd. All rights reserved.

01 I Introduction
Le système d’information
Le système d’information comprend des traitements informatisés, assurés par le système informatique, et des traitements manuels. Le système informatique
est donc une composante du système d’information.
« Le système d'information (SI – IT : Information Technology) est un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer de
l'information, en général grâce à un réseau d'ordinateurs »
L'informatique est devenue le support privilégié du système d'information (données et traitements) dans les organisations.
L’informatique permet notamment :
• L’automatisation des tâches,

• La numérisation des informations de gestion et des pièces justificatives,
• La dématérialisation des processus.
Le système d’information est à la fois objet et moyen au service de l’audit.

5 reserved.
01 I Introduction
Le contrôle interne
Selon la définition de l’Institut Français de l’Audit et du Contrôle Interne (IFACI) :
« Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité.
Il comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques propres de chaque
société qui :
• contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources, et
• doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils soient opérationnels, financiers ou de conformité.
Le dispositif vise plus particulièrement à assurer :

• la conformité aux lois et règlements ;
• l’application des instructions et des orientations fixées par la direction générale ou le directoire ;
• le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs ;
• la fiabilité des informations financières.
Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux seuls processus comptables et financiers.
Il est d’autant plus pertinent qu’il est fondé sur les règles de conduite et d’intégrité portées par les organes de gouvernance et communiquées à tous les
collaborateurs. Il ne saurait en effet se réduire à un dispositif purement formel en marge duquel pourraient survenir des manquements graves à l’éthique des
affaires.
Toutefois, le contrôle interne ne peut fournir une garantie absolue que les objectifs de la société seront atteints. »

6 reserved.
01 I Introduction
Le contrôle interne SI
Une composante du contrôle interne en place dans l’organisation est le contrôle interne relatif aux systèmes d’information (contrôle interne SI).
Celui-ci regroupe :
• Le contrôle interne des processus automatisés ;
• Le contrôle interne des processus de gestion des SI, permettant son évolution, son maintien en conditions opérationnelles, sa sécurité et son exploitation
au quotidien.
Dans le cadre d’un audit des SI supportant les processus métiers et l’élaboration des états financiers, l’objectif est donc d’évaluer le contrôle interne SI.
L'audit IT permet de s'assurer que les SI :

• protègent adéquatement les actifs,
• maintiennent l'intégrité et la disponibilité des données,
• procurent de l'information pertinente et fiable,
• consomment les ressources efficacement,
• procurent une assurance raisonnable que les objectifs d'affaires seront rencontrés,
• permettent de prévenir, détecter et corriger des évènements indésirables,

7 reserved.
01 I Introduction
L’audit de la fonction informatique
L'audit est une activité de contrôle et de conseil qui consiste en une expertise par un agent compétent et impartial et un jugement sur l'organisation, la
procédure, ou une opération quelconque de l'entité.
L'audit est surtout un outil d'amélioration continue car il permet de faire le point sur l'existant (état des lieux) afin d’en dégager les points faibles et/ou non
conformes (suivant les référentiels d'audit). Cela, afin de mener par la suite les actions adéquates qui permettront de corriger les écarts et
dysfonctionnements constatés.
Les audits internes qui sont réalisés par, ou au nom de, l’organisme lui-même pour des raisons internes et peuvent constituer la base d’une auto-déclaration
de conformité.
Les audits externes sont réalisés par des parties, telles que des clients, ayant un intérêt dans l’organisme, ou par d’autres personnes en leur nom. Les audits
de tierce partie sont réalisés par des organismes externes indépendants. De tels organismes, généralement accrédités, fournissent l’enregistrement ou la
certification de conformité à des exigences.

8 reserved.
01 I Introduction
L’audit IT dans le cadre d’un mandat de CAC
Dans le cadre de sa mission de certification des comptes et en application de la « NEP 315 – Connaissance de l'entité et de son environnement et évaluation
du risque d'anomalies significatives , le commissaire aux comptes acquiert une connaissance suffisante de l'entité, y compris des éléments du contrôle
interne pertinents pour l’audit dont le système d’information relatif à l'élaboration de l'information financière.
Par conséquent, une appréciation favorable peut permettre sous certaines conditions, de réduire les procédures substantives à déployer pour fonder son
opinion sur les comptes. »
NEP 315 – Connaissance de l’entité et de son environnement et évaluation du risque d’anomalies significatives :
« Acquérir une connaissance suffisante de l’entité, notamment de son contrôle interne, afin d’identifier et d’évaluer le risque d’anomalies significatives dans
les comptes afin de concevoir et de mettre en œuvre des procédures d’audit permettant de fonder son opinion sur les comptes. »

9 reserved.
01 I Introduction
Audit versus conseil
En France, l'article 104 de la LSF stipule ainsi formellement la séparation de l'audit et du conseil. Autrement dit, un cabinet ne peut pas conseiller un client
dont il certifie déjà les comptes.
Les équipes "audit IT" peuvent intervenir en support d'une équipe d'audit légale (dans le cadre d'une mission de commissariat aux comptes) ou bien réaliser
un audit contractuel (diagnostic IT demandé par un client).
Concernant les métiers du conseil, les collaborateurs n'ont pas vocation à réaliser des travaux de commissariat aux comptes. Le périmètre est bien plus large
que l'audit IT (conseil en stratégie, management, en RSE, en finance, etc.)
Par ailleurs, la prise en compte de l’environnement informatique lors de l’audit des comptes ne doit pas être confondue avec l’audit informatique d’un
système d’information confié à un commissaire aux comptes dans le cadre des prestations en dehors d’une mission légale et pouvant prendre la forme d’un
diagnostic.

10 reserved.
Quizz

11 reserved.
01 I QUIZZ
Questions QCM :
Relative à l’information, le SI permet de :
A. Stocker
B. Alimenter
C. Archiver
D. Traiter
E. Collecter
F. Transmettre
G. Distribuer

12 reserved.
01 I QUIZZ
Questions QCM :
Relative à l’information, le SI permet de :
A. Stocker
B. Alimenter
C. Archiver
D. Traiter
E. Collecter
F. Transmettre
G. Distribuer

13 reserved.
02 Définitions et enjeux

2.2 Présentation d’un SI

Présentation d’un SI
Les SI sont au cœur du développement des entreprises et constituent un facteur clé de performance.
Les applications informatiques demeurent un support essentiel / incontournable sur les applications de gestion des « grandes » fonctions métiers d’une
organisation : achats, production, stocks, ventes, comptabilité, trésorerie, etc.
La mise en place d’un ERP (Entrerprise Ressource Planning) au sein des entreprises a nécessité une appréhension et une maîtrise des risques inhérents
associés :
• Dépassement de délai / de coût des projets informatiques,
• Indisponibilité des SI susceptible de stopper l’activité de l’entreprise,
• Qualité de données comptables issues du SI ne garantissant pas la fiabilité des états financiers,
• Accès non autorisé à des informations confidentielles et risques de fraudes.
Outre les améliorations fonctionnelles / techniques du SI, les nouveaux usages contribuent à pallier ces risques et impactent la manière de le déployer, de
l’utiliser et de le monitorer.
Les nouveaux usages liés aux SI et la mutation profonde de la pratique de l’audit qui en découle doivent être intégrés par les commissaires aux comptes.
• Dans son approche par les risques, l’audit des SI vise à accroître l’efficacité et la pertinence des diligences réalisées lors des différentes phases de la
mission.
• L’intervention de collaborateurs spécialisés (« auditeurs IT »), en support des équipes d’audit financier, est devenu aujourd’hui indispensable
lorsque le SI est qualifié de complexe.

16 reserved.
Organisation d’une fonction informatique
L’organisation type d’une DSI, structurée suivant deux axes :

17 reserved.
Organigramme d’une fonction informatique
Direction
générale
Autres
DSI RSSI
directions …
Etudes Infrastructures,
développements (télécom, systèmes et Exploitation
applicatifs réseaux)
Etudes et Exploitation et gestion

programmation réseaux administrative
Développement (ex : Sécurité et droit Exploitation système

site web, évolution) d’accès métier
Administration base de Parc informatique

Sauvegardes
données

18 reserved.
Directeur des systèmes d’information
Le Directeur des systèmes d'information ou la Direction des systèmes d'information selon qu'il désigne une personne ou une entité d'une organisation.
Il est responsable de l'ensemble des composants matériels (postes de travail, serveurs, équipements de réseau, systèmes de stockage, de sauvegarde et
d'impression, etc) et logiciels du système d'information, ainsi que du choix et de l'exploitation des services de télécommunications mis en œuvre.
Son rôle pour exemple est :

• d'anticiper les évolutions imposées par la stratégie de l'entreprise, les évolutions du contexte, les lois.
• d'avoir un rôle d'assistance à la maîtrise d'ouvrage (et non pas seulement de maîtrise d'oeuvre) de l'informatique dans une organisation.
• de commander les projets auprès des prestataires (éventuellement internes).

19 reserved.
Environnement informatique – Principales couches
La structuration la plus synthétique repose sur trois couches :

20 reserved.
Environnement informatique – Principales couches –
Focus couche Matériel

21 reserved.
Focus couche système d’exploitation « OS »
C’est le premier programme exécuté lors de la mise en marche de l’ordinateur. Il gère :

• Le matériel et reçoit les instructions d’une application ou de l’utilisateur,
• Les processus, la mémoire, les périphériques …
Dominance du marché sur le pc par Microsoft via Windows, sous différentes versions.
Les serveurs d’entreprise sont de type Unix ou Linux, pour lesquels le code source est disponible.

22 reserved.
Focus couche application
Spécifique : application développée sur mesure.
Logiciel du marché (progiciel / off the shelf) : Application

du marché prête à l’emploi → Powerpoint, Internet
Explorer, Retain, iTunes…
ERP (Enterprise Ressource Planning) PGI (Progiciel de

Gestion Intégré) : Progiciel qui permet de gérer l'ensemble
des processus d'une entreprise intégrant l'ensemble de ses
fonctions comme la gestion des ressources humaines, la
gestion financière et comptable, l'aide à la décision, la Logiciel marché ou ERP
vente, la distribution, l'approvisionnement, la production ou Spécifique
encore du e-commerce. → SAP, SAGE X3, Peoplesoft,
Microsoft Dynamics AX…
L’ERP est un système d'information composé de plusieurs applications partageant une seule et même base de données, par le biais d'un système automatisé
prédéfini éventuellement paramétrable (un moteur de workflow).

23 reserved.
Les applications informatiques supportent l’automatisation des processus de l’entreprise.

24 reserved.
Les applications informatiques supportent l’automatisation des processus de l’entreprise.

25 reserved.
Environnement informatique

26 reserved.
Environnement informatique – Nouveaux modes de gestion
L’externalisation informatique Le mode Saas

Consiste à confier à un tiers (externe Il s’agit de la mise à disposition
ou faisant partie du même groupe) d’une application accessible à
des activités informatiques. distance comme un service complet,
En fonction de la stratégie SI, des par le biais d’internet et du web et
fonctions plus ou moins complexes non d’un logiciel installé en interne
peuvent être externalisées : la sur des serveurs du client.
production SI, la gestion des Les clients n’ont pas à se soucier de
infrastructures, la gestion des la plateforme et/ou du matériel qui
centres de données (Data Centers), sont mutualisés avec d’autres
la maintenance applicative et/ou entreprises.
évolutive, les développements. La solution est généralement
facturée par un droit d’usage
périodique si le client n’achète pas
de licence.

27 reserved.
Environnement informatique – Composants du SI
Les systèmes d’information peuvent être considérés comme ayant cinq composants principaux : le matériel, les logiciels, les données, les personnes et les
processus. Les trois premiers sont technologiques.
Les deux derniers composants, les personnes et les processus, séparent l’idée de systèmes d’information des domaines plus techniques, tels que
l’informatique.
Afin de bien comprendre les systèmes d’information, vous devrez comprendre comment tous ces composants fonctionnent ensemble pour apporter de la
valeur à une organisation.

28 reserved.
Les trois premiers sont technologiques.
1/ Le matériel est la partie tangible et physique d’un système d’information – la partie que vous pouvez toucher. Les ordinateurs, les claviers et les lecteurs de
disque sont tous des exemples de matériel des systèmes d’information.
2/ Le logiciel comprend l’ensemble d’instructions qui indiquent au matériel ce qu’il doit faire. Le logiciel n’est pas tangible – il ne peut pas être touché. Les
programmeurs créent des logiciels en tapant une série d’instructions indiquant au matériel ce qu’il doit faire. Les deux catégories principales de logiciels sont
: les systèmes d’exploitation et les logiciels d’application. Le logiciel des systèmes d’exploitation fournit l’interface entre le matériel et le logiciel d’application.
Des exemples de systèmes d’exploitation pour un ordinateur personnel incluent Microsoft Windows et Linux. Le marché des systèmes d’exploitation pour
téléphones mobiles est dominé par Google Android et Apple iOS. Le logiciel d’application permet à l’utilisateur d’effectuer des tâches telles que la création de
documents, l’enregistrement de données dans une feuille de calcul ou l’envoi de messages à un ami.
3/ La troisième composante technologique est la donnée. Vous pouvez considérer les données comme un ensemble de faits. Comme les logiciels, les données
sont intangibles, c’est-à-dire qu’elles sont incapables d’être vues à leur état natif. Des morceaux de données sans rapport entre eux ne sont pas très utiles.
Mais agrégées, indexées et organisées ensemble dans une base de données, les données peuvent devenir un outil puissant pour les entreprises. Les
organisations collectent toutes sortes de données et les utilisent pour prendre des décisions qui peuvent ensuite être analysées quant à leur efficacité.
L’analyse des données est ensuite utilisée pour améliorer la performance de l’organisation.

29 reserved.
Outre les composants technologiques (matériel, logiciel et donnée) qui ont longtemps été considérés comme la technologie de base des systèmes
d’information, il a été suggéré d’ajouter un autre composant : la communication.
Un système d’information peut exister sans pouvoir communiquer – les premiers ordinateurs personnels étaient des machines autonomes qui n’accédaient
pas à Internet. Cependant, dans le monde hyperconnecté d’aujourd’hui, c’est extrêmement rare de trouver un ordinateur qui ne se connecte pas à un autre
appareil ou à un réseau. Techniquement, l’élément de communication en réseau est composé de matériels et de logiciels, mais c’est une caractéristique
tellement essentielle des systèmes d’information actuels qu’il est devenu une catégorie à part entière.
1/ L’étape suivante consiste à se concentrer sur les personnes impliquées dans les systèmes d’information. Du personnel d’assistance pour les utilisateurs de
première ligne, aux analystes d’affaires, aux développeurs, jusqu’au directeur des systèmes d’information (DSI), les personnes impliquées dans les systèmes
d’information constituent un élément essentiel de ces derniers.
2/ Le dernier composant des systèmes d’information est le processus. Un processus est une série d’étapes entreprises pour atteindre un résultat ou un objectif
souhaité. Les systèmes d’information sont de plus en plus intégrés aux processus organisationnels, apportant une plus grande productivité et un meilleur
contrôle de ces processus. Mais il ne suffit pas d’automatiser les activités à l’aide de la technologie : les entreprises qui souhaitent utiliser des systèmes
d’information doivent en faire plus. L’objectif ultime est d’améliorer les processus à la fois internes et externes, en améliorant les interfaces avec les
fournisseurs et les clients. Les termes technologiques à la mode tels que « réingénierie des processus d’affaires (business process re-engineering) », « gestion
des processus d’affaires (business process management) » et « progiciel de gestion intégré (enterprise resource planning) » ont tous trait à l’amélioration
continue de ces procédures d’affaires et à l’intégration de la technologie dans celles-ci. Les entreprises qui espèrent obtenir un avantage concurrentiel sur
leurs concurrents sont très focalisées sur cette composante des systèmes d’information.

30 reserved.
01 I Système d’information
Environnement informatique – Focus Base de données
Une base de données est une collection d’enregistrements structurée et stockée dans un système informatique.
La base de données permet aux utilisateurs et aux applications d’enregistrer et de lire les informations stockées.
Un SGBD (Systèmes de Gestion de BD) est un logiciel système destiné à gérer des bases de données, en garantissant la qualité, la pérennité, et les droits
d’accès aux informations.
Les principaux SGBD : Oracle , DB2, Microsoft SQL Server, mySQL, Informix, Microsoft Access, PostgreSQL
Le DBA (data base administrator) est l’administrateur de bases de données. → Utilise un langage de requêtage de type (SQL)
Autres bases de données : SAP HANA (base de données « In Memory » où l’information est stockée en colonnes)

31 reserved.
Environnement informatique – Communication entre les composants du SI
Interface : procédé permettant de relier deux éléments d’un environnement IT.
Elle peut prendre de nombreuses formes :

1. Entre des applications ou des bases de données ;
2. Entre des applications et le système d’exploitation
3. Entre des réseaux ou entre un réseau et Internet.
Planificateur / Ordonnanceur de tâches

Application (le plus souvent automatique) qui lance des traitements (batch) en tâche de fond.
Les traitements les plus lourd ont souvent lieu la nuit car ils peuvent demander des puissances de calcul importantes et pourraient donc ralentir les
utilisateurs en journée.

32 reserved.
Conclusion - Le rôle des systèmes d’information
Les systèmes d’information ont un certain nombre de composants vitaux, certains tangibles, d’autres intangibles et d’autres encore de nature personnelle.
Ces composants collectent, stockent, organisent et distribuent des données dans toute l’organisation.
L’un des rôles des systèmes d’information est de prendre des données et de les transformer en informations, puis de transformer ces informations en
connaissances organisationnelles.
Au fur et à mesure que la technologie s’est développée, ce rôle est devenu l’épine dorsale de l’organisation, faisant des systèmes d’information une partie
intégrante de pratiquement toutes les entreprises. L’intégration des systèmes d’information dans les organisations a progressé au fil des décennies.

33 reserved.
Quizz

34 reserved.
02 I QUIZZ
Questions QUIZZ :
Question Vrai / Faux

Les compétences d’une DSI sont exclusivement techniques ?
L’infrastructure et les réseaux informatiques sont gérés par le pôle Etudes de la DSI ?
Un organigramme matriciel est particulièrement adapté pour les organisations simples et dotées d’un métier unique ?

35 reserved.
02 I QUIZZ
Questions QUIZZ :
Question Vrai / Faux

Les compétences d’une DSI sont exclusivement techniques Faux - aussi
organisationnelles
L’infrastructure et les réseaux informatiques sont gérés par le pôle Etudes de la DSI Faux - pôle production
Un organigramme matriciel est particulièrement adapté pour les organisations simples et dotées d’un métier unique Faux – organisation de type
projet

36 reserved.
02 I QUIZZ
Questions QCM :
L’objectif d’un ERP étant de centraliser l’ensemble des outils de gestion dont l’entreprise a besoin, quelles peuvent être les avantages :
A. Standardiser les processus

B. Homogénéiser les processus
C. Personnalisation
D. Amélioration des performances de la productivité
E. Optimiser la gestion des activités
F. Amélioration de la collaboration entre les différents services
G. Améliorer la prise de décision

37 reserved.
02 I QUIZZ
Questions QCM :
L’objectif d’un ERP étant de centraliser l’ensemble des outils de gestion dont l’entreprise a besoin, quelles peuvent être les avantages :
A. Standardiser les processus

B. Homogénéiser les processus
C. Personnalisation
D. Amélioration des performances de la productivité
E. Optimiser la gestion des activités
F. Amélioration de la collaboration entre les différents services
G. Améliorer la prise de décision

38 reserved.
02 I QUIZZ
Questions QCM :
Indiquer ce qui peut être de l’ordre d’un composant du SI et nommer sa classification :
A. PC portable
B. L’opérateur
C. Le processus de ventes
D. Élements de paie
E. Cegid

39 reserved.
02 I QUIZZ
Questions QCM :
Indiquer ce qui peut être de l’ordre d’un composant du SI et nommer sa classification : le matériel, les logiciels, les données, les personnes et les processus.
A. PC portable : le matériel
B. L’opérateur : la personne
C. Le processus de ventes : le process
D. Élements de paie : données
E. Cegid : logiciel

40 reserved.
01 I QUIZZ
Questions QCM : Numéro 4
A quel mot peut-on associer SAP ?
A. Hardware.
B. Application.
C. Database.
D. Procédure

41 reserved.
01 I QUIZZ
A quel mot peut-on associer SAP ?
A. Hardware.
B. Application.
C. Database.
D. Procédure
Réponse B.

42 reserved.
01 I QUIZZ
A quoi correspond l’acronyme SaaS ?
A. Systems access and security.

B. Software as a solution.
C. Software as a service.
D. Security and application standards.

43 reserved.
01 I QUIZZ
A quoi correspond l’acronyme SaaS ?
A. Systems access and security.

B. Software as a solution.
C. Software as a service.
D. Security and application standards.
Réponse C. Il s’agit de la mise à disposition d’une application accessible à distance comme un service complet, par le biais d’internet et du web et non d’un
logiciel installé en interne sur les serveurs du client. Les clients n’ont pas à se soucier de la plateforme et/ou du matériel qui sont mutualisés avec d’autres
entreprises. La solution est généralement facturée par un droit d’usage périodique et le client n’achète pas de licence.

44 reserved.
01 I QUIZZ
Mac OS, IOS, Windows sont :
A. Des bases de données.

B. Des ordinateurs puissants qui centralisent les données et les traitements.
C. Le nom de marques d’ordinateurs.
D. Des systèmes d’exploitation.

45 reserved.
01 I QUIZZ
Mac OS, IOS, Windows sont :
A. Des bases de données.

B. Des ordinateurs puissants qui centralisent les données et les traitements.
C. Le nom de marques d’ordinateurs.
D. Des systèmes d’exploitation.
Réponse D.

46 reserved.
01 I QUIZZ
Un planificateur est :
A. Outil collaboratif permettant de planifier des projets, des missions.

B. Un développeur qui élabore des programmes de planifications de .
C. Une application qui lance des traitements en tâche de fond.
D. Un batch.

47 reserved.
01 I QUIZZ
Un planificateur est :
A. Outil collaboratif permettant de planifier des projets, des missions.

B. Un développeur qui élabore des programmes de planifications de .
C. Une application qui lance des traitements en tâche de fond.
D. Un batch.
Réponse C.

48 reserved.
2.2 Normes et référentiels

Normes et référentiels
Référentiels et origines
L'ISACA (Information Systems Audit & Control Association) qui est l'association internationale des auditeurs informatiques (notamment pour son
corpus normatif et son knowledge center) et l'AFAI (Association Française de l'Audit et du conseil Informatique), qui est le chapitre français de l'ISACA,
fournissent de nombreux supports.
Le guide d’audit de la gouvernance du système d’information de l’entreprise numérique est édité par l’AFAI-ISACA (AssociationFrançaise de l’Audit et du
conseil Informatiques dépendant d’une association internationale : l’ISACA (Information Systems Audit and Control Associa-tion), leCIGREF(réseau de
grandes entreprises) et leIFACI (Institut Français de l’Audit et duContrôle Interne).
Selon ses auteurs,« l’ambition du guide d’audit est d’obtenir une vision globale de la gouvernance du SI des entreprises à l’ère du numérique. Ce document
[...]constitue une première étape avant un audit du SI plus poussé qui pourrait nécessiter des référentiels plus complets (CobiT).
Gouvernance du SI en 12 vecteurs :

50 reserved.
L'ISACA (Information Systems Audit & Control Association) qui est l'association internationale des auditeurs informatiques (notamment pour son
corpus normatif et son knowledge center) et l'AFAI (Association Française de l'Audit et du conseil Informatique), qui est le chapitre français de l'ISACA,
fournissent de nombreux supports.
Référentiels
• COBIT : Control Objectives for Information and related Technology. C'est le principal référentiel des auditeurs informatiques.
• COSO : Dispositif de contrôle interne. (partie 2.3)
Mais aussi :
• ISO 27001 – 27002 : Code des bonnes pratiques en matière de management de la sécurité des systèmes d'information.
• CMMI : Capability Maturity Model integration qui est une démarche d'évaluation de la qualité de la gestion de projet informatique.
• ITIL : Recueil des bonnes pratiques concernant les niveaux et de support des services informatiques.

51 reserved.
COBIT
De nombreuses normes s’appliquent aux systèmes d’information et plusieurs référentiels peuvent être mis en œuvre lors d’un audit du SI. Le référentiel le plus
utilisé, faisant référence en la matière au niveau international est le référentiel CobiT.
Ce référentiel de gouvernance des SI propose un modèle de bonnes pratiques, ainsi la conduite des travaux d’audit informatique repose sur le référentiel
Cobit : Control Objectives For Information and Related Technology => Orienté business pour la Gouvernance et la Gestion des Systèmes d’Information de
l’entreprise.
Cobit (Objectifs de contrôle de l’Information et des Technologies Associées), porté en France par l’AFAI (Association pour l’Audit et le conseil Informatique).
Origine
• Ensemble structuré de bonnes pratiques
• Créé par des auditeurs informatiques
• Inspiré fortement de COSO (contrôle interne)
Evolution
• Succès suite à la croissance des exigences de contrôle interne
• Aujourd’hui le standard de gouvernance des SI
• CobiT 2019 s’appuie sur les bases de la version 5 de Cobit en fournissant des orientations complètes et plus pratiques (conseils pratiques, ressources de
mise en œuvre, formations...).
• Certification des praticiens
52 reserved.
COBIT – poser un cadre référentiel
Le périmètre de CobiT englobe non seulement celui dévolu à la DSI mais aussi celui de toutes les parties prenantes des SI dans l’entreprise (directions
générales, directions métiers, actionnaires). Il inclut des objectifs de contrôle (contrôle de qualité minimale), des pratiques de contrôle(mise en œuvre des
objectifs), des directives d’audit (mesure conformité, quantification du risque satisfaisant ou non) et des directives de gestion (évaluation performances des
processus TI).
Le COBIT repose sur 5 principes :
• Répondre aux besoins et exigences des parties prenantes (création de valeur, optimisation de la gestion des ressources et maîtrise des risques) ;
• Couvrir l’intégralité des besoins de l’entreprise en prenant en considération l’ensemble des processus ;
• Appliquer un unique référentiel intégré englobant les autres référentiels ;
• Permettre une approche heuristique et globale prenant en compte plusieurs éléments en interaction ;
• Distinguer gouvernance et gestion (ou management) ; Ces deux disciplines regroupent différents types d’activités, requièrent différentes structures
organisationnelles et servent des objectifs différents.

53 reserved.
COBIT – démarche
La démarche CobiT permet de s’assurer que les ressources informatiques sont gérées par des processus informatiques pour atteindre les objectifs
informatiques qui répondent aux exigences métiers.

54 reserved.
COBIT – modèle de référence
Le modèle de référence de CobiT définit et décrit en détail un certain nombre de processus de gouvernance et de gestion. Il représente tous les processus qui
se trouvent normalement dans une entreprise en matière d’activités liées aux TI.
Le COBIT 5 identifie 37 processus (ensembles organisés de pratiques et d’activités permettant d’atteindre les objectifs) regroupés en cinq domaines :
Définir un plan informatique stratégique

• 2/ Aligner, planifier et organiser :
• Gérer le cadre de gestion des TI
• Gérer la stratégie
Encadrement de l'activité IT - Business
• Gérer l’architecture de l’entreprise
• 1/ Évaluer, diriger, et surveiller :
• Gérer l’innovation
• Assurer la définition et l'entretien d'un référentiel de
• Gérer le portefeuille
gouvernance
• Gérer le budget et les coûts
• Assurer la livraison des bénéfices
• Gérer les relations humaines
• Assurer l’optimisation du risque
• Gérer les relations
• Assurer l’optimisation des ressources
• Gérer les accords de service
• Assurer aux parties prenantes la transparence
• Gérer les fournisseurs
• Gérer la qualité
• Gérer la sécurité
• Gérer le risque

55 reserved.
COBIT – modèle de référence Définir et gérer les niveaux de services

• 4/ Livrer, servir et soutenir :
• Gérer les opérations
Trouver des solutions informatiques • Gérer les demandes de services et les incidents
• 3/ Bâtir, acquérir, et implanter : • Gérer les problèmes
• Gérer les programmes et les projets • Gérer la continuité
• Gérer la définition des exigences • Gérer les services de sécurité
• Gérer l’identification et la construction des solutions • Gérer les contrôles des processus d'affaires
• Gérer la disponibilité et la capacité
• Gérer le changement organisationnel
• Gérer les changements
• Gérer l’acceptation du changement et de la
transition
• Gérer la connaissance Contrôle de l'activité
• Gérer les actifs • 5/ Surveiller, évaluer et mesurer :
• Gérer la configuration • Surveiller, évaluer et mesurer la performance et la
conformité
• Surveiller, évaluer et mesurer le système de contrôles
internes
• Surveiller, évaluer et mesurer la conformité aux
exigences externes

56 reserved.
COBIT – modèle de référence

57 reserved.
COBIT – facilitateurs de mise en œuvre
CobiT 5 définit sept catégories de facilitateurs(tout ce qui peut aider à atteindre les objectifs de l’entreprise) pour appuyer la mise en œuvre d’un système
complet de gouvernance et de gestion :
• Principes, politiques et référentiels : ces outils permettent de traduire les objectifs en

bonnes pratiques de management
• Processus : jeu organisé de bonnes pratiques et d’activités permettant d’atteindre

des objectifs donnés.
• Structures organisationnelles : entités clés dans la prise de décision.
• Culture, éthique et comportement : facteurs de succès souvent sous-estimés.
• Information : indispensable au bon fonctionnement.
• Services, infrastructures et applications : fournissent à l’entreprise les services dont

elles ont besoin.
• Personnel, aptitudes et compétences : capacités et ressources indispensables à la

réalisation des activités et à la prise de décision

58 reserved.
COBIT – étapes de mise en œuvre
Selon l’Isaca, le cycle de vie de la mise en œuvre fournit aux

entreprises une façon d’utiliser CobiT pour aborder la complexité
et les défis qui se présentent généralement lors de sa mise en
œuvre. Les trois éléments interreliés du cycle de vie sont :
• Un processus d’amélioration continue (il ne s’agit pas d’un

projet ponctuel),
• La facilitation du changement (aborder les aspects
comportementaux et culturels),
• La gestion du projet.
CobiT-5 distingue sept étapes dans le cycle de vie d’une

implémentation : l’initialisation du projet, l’identification des
difficultés et des opportunités, la définition des grands axes du
plan d’action, la planification, l’exécution du plan, la réalisation
des bénéfices et la mesure de l’efficacité

59 reserved.
ITIL
D’autres normes et référentiels que CobiT peuvent être utilisées comme le référentiel ITIL (Information Technology Infrastructure Library). Il est une collection
de bonnes pratiques permettant d’améliorer l’efficacité des services informatiques. Il a été développé à l’origine pour le secteur public mais il peut
maintenant être utilisé pour le secteur privé.
Ce référentiel peut également être utilisé dans le cadre d’un audit.
Normes ISO
Les normes ISO (International Organisation for Standardisation)sont les principales normes internationales et s’imposent comme cadre de référence. Nous
pouvons évoquer en quelques mots celles citées dans la zone de couverture de CobiT5. Les normes de la famille ISO 20000 : gestion de services IT. Elles
décrivent les processus de gestion utilisés pour livrer efficacement et de manière efficiente des services informatiques à l’entreprise et à ses clients. Elles
respectent les exigences ITIL.
Les normes de la famille ISO 27000 : La sécurité de l’information et des réseaux. Elles servent de référence pour la mise en place, l’utilisation, la tenue à jour et
la gestion d’une politique de sécurité informatique et de sécurité des systèmes d’information.
Les normes ISO 31000 servent de cadre pour la gestion des risques. Elles peuvent être utilisées par tout type d’organisme afin d’identifier, d’apprécier et
d’atténuer les risques auxquels ils sont confrontés. Cette norme donne des orientations pour les programmes d’audit internes ou externes.
La norme ISO 38500 enfin concerne la gouvernance de la sécurité informatique. Elle concerne la gouvernance des procédures de gestion liées aux services
de communication et d’information utilisés par une organisation. Elle fournit des principes, des définitions et un modèle de bonne gouvernance pour aider les
dirigeants d’entreprises à cerner l’importance des technologies de l’information (IT).Cette liste n’est pas exhaustive car d’autres normes ISO peuvent être
utilisées (la famille ISO 22000 sur la continuité des activités par exemple). Ces normes forment un cadre mais des normes professionnelles existent également
60 reserved.
Référentiels et origines – normes professionnelles
Normes d’audit externe
Le Conseil des normes internationales d’audit et d’assurance (IAASB: International Auditing and Assurance Standards Board) est un organisme international
indépendant qui élabore et publie Assurance Standards Board) les normes internationales ISA. L’élaboration de ces normes requiert la participation entre
autres de l’IAASB, de la Fédération internationale des comptables (IFAC :International Federation of Accountants), d’organisations professionnelles
comptables, d’autorités de réglementation, d’organismes de surveillance, de cabinets, de normalisateurs nationaux, d’organismes publics et d’investisseurs.
Les normes internationales d’audit (ISA) sont reconnues en matière d’audit des comptes et de contrôle de qualité, et sont mises en œuvre au niveau
international. Mais l’évolution constante de l’environnement oblige à la modification des normes ISA. Ainsi, selon l’arrêté du 11 avril 2019 (JO du 3 mai 2019 et
entrée en vigueur le 1erjuillet 2019), dans le cadre des missions d’audit d’états financiers, les experts-comptables disposent d’une version tenant compte des
modifications apportées aux ISA jusqu’en 2016 par l’IFAC. Ainsi une nouvelle norme ISA 701 « Communication des points clés de l’audit dans le rapport de
l’auditeur indépendant »est apparue et plusieurs autres normes ont été révisées (ISA 260, 315, 570, 610, 700, 705,706, 720).

61 reserved.
Normes d’audit interne internationales
Le cadre de référence international des pratiques professionnelles de l’audit interne (CRIPP)comprend les lignes directrices approuvées par l’IlA (Institute of
internal Auditors).
Les normes, ainsi que le code de déontologie, intègrent toutes les dispositions obligatoires du Cadre de référence international des pratiques
professionnelles. L’IFACI (Institut français des auditeurs internes)est l’organisme français qui relaye ce cadre de référence en France.
Les Normes de l’IIA se partagent en deux catégories : les normes de qualification et les normes de fonctionnement :
• Les normes de qualification décrivent les caractéristiques des entités et des personnes qui réalisent les activités d’audit interne. Elles sont numérotées sur
4 chiffres dont le premier commence par un (1000, 1010, 1100, 1110, 1111, 1112, 1120, 1130, 1200, 1210, 1220, 1230,1300 1310, 1311, 1312, 1320, 1321 et 1322).
• Les normes de fonctionnement présentent la nature des activités d’audit interne et définissent des critères de qualité permettant de mesurer leur
performance. Elles sont numérotées sur4 chiffres dont le premier commence par deux (2000, 2010, 2020, 2030, 2040, 2050, 2060,2070, 2100, 2110, 2120,
2130, 2200, 2201, 2210, 2220, 2230, 2240, 2300, 2310, 3320, 2330,2340, 2400, 2410, 2420, 2421, 2430, 2431, 2440, 2450, 2500 et 2600).Enfin, des normes de
mise en œuvre complètent ces deux normes en indiquant les exigences applicables aux missions d’assurance ou de conseil. L’IFACI précise que« Dans le
cadre de missions d’assurance, l’auditeur interne procède à une évaluation objective en vue de formuler des opinions ou des conclusions sur une entité,
une opération, une fonction, un processus, un système ou d’autres domaines »

62 reserved.
Normes d’audit interne nationales
La Commission européenne est habilitée à adopter les ISA pour les rendre applicables à toute l’union européenne. En absence d’adoption des ISA par la
commission, ce sont les NEP (normes d’exercice professionnel)françaises qui s’appliquent en France. Ces NEP sont adoptées par leH3C* (Haut conseil du
commissariat aux comptes) et homologuées par arrêté du garde des Sceaux. Elles sont publiées par la CNCC (Compagnie nationale des commissaires aux
comptes) qui les regroupe en cinq grandes parties :
• Audit des comptes mis en œuvre dans le cadre de la certification des comptes.
• Examen limite en application de dispositions légales et réglementaires.
• Diligences directement liées à la mission du commissaire aux comptes (normes archivées car devenues caduques le 17 juin 2016).
• Interventions en application d’autres dispositions légales ou réglementaires.
• Autres obligations du commissaire aux comptes en application de dispositions légales ou réglementaires.
* H3C devenu le H2A « Haute Autorité de l’Audit » effectif dès le 01 janvier 2024

63 reserved.
COSO
Le référentiel COSO (Committee Of Sponsoring Organizations of the Treadway Commission) définit le contrôle interne comme un processus mis en œuvre
par les dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants :
• l'efficacité et l'efficience des opérations,
• la fiabilité des informations financières,
• la conformité aux lois et règlements.

64 reserved.
Histoire :
Aux scandale financiers (ENRON, Worldcom, etc.) https://www.youtube.com/watch?v=jrEf8uabe7E
Le scandale Enron, ou affaire Enron, est un cas de fraude et de manipulation financière découvert en 2001, qui s’est soldé par la faillite de l’entreprise Enron,
un temps septième capitalisation des USA, et par le démantèlement et la disparition de son auditeur Andersen. Il s'agit à l'époque de la plus grande faillite de
l'histoire américaine.
Aux réglementations Sarbanes-Oxley, bâle II, etc https://www.youtube.com/watch?v=EAndliwkxuY

Aux Etats-Unis, la loi de 2002 sur la réforme de la comptabilité des sociétés cotées et la protection des investisseurs est une loi fédérale, votée par le congrès,
imposant de nouvelles règles sur la comptabilité et la transparence financière. Elle fait suite aux différents scandales financiers révélés dans le pays au
début des années 2000, tels ceux d’Enron et de Worldcom. Le texte est couramment appelé « loi Sarbanes- Oxley », du nom de ses promoteurs : le sénateur
Paul Sarbannes et le député Mike Oxley.

65 reserved.
2.3 Contrôle interne

Contrôle interne
Définition
Plusieurs définitions du contrôle interne existent mais celle qui fait référence est celle proposée par le COSO (Committee Of Sponsoring Organizations). La
commission définit le Contrôle Interne comme étant :
« Un processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable
quant à la réalisation des objectifs suivants :
• la réalisation et l’optimisation des opérations,
• la fiabilité des informations financières et de gestion,
• la conformité aux lois et aux réglementations en vigueur. »
En France, l’AMF (Autorité des marchés financiers) propose la définition suivante dans son cadre de référence : « Le contrôle interne est un dispositif de la
société, défini et mis en œuvre sous sa responsabilité. Il comprend un ensemble de moyens, de comportements, de procédures et d’actions adapté saux
caractéristiques propres de chaque société qui :
• contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources, et
• doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils soient opérationnels, financiers ou de conformité. »
Le dispositif vise plus particulièrement à assurer :

la conformité aux lois et règlements ;
l’application des instructions et des orientations fixées par la direction générale ou le directoire ;
le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs ;
la fiabilité des informations financières.
Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux seuls processus comptables et financiers.

67 reserved.
Contrôle interne
Cadre légal
Le cadre légal et réglementaire est très vaste et évolue en permanence. L’environnement législatif a d’abord évolué aux États-Unis avec la loi Sarbanes Oxley
(SOX) puis en France avec la Loi de sécurité financière, la loi de décembre 2016 relative à la transparence, à la lutte contre la corruption et à la
modernisation de la vie économique (dite loi Sapin II) et la loi de janvier 2017portant statut général des autorités administratives indépendantes et des
autorités publiques indépendantes. La réforme européenne de l’audit et le relèvement des seuils d’audit légal imposent une veille permanente. Quelques
référentiels s’imposent pour guider le contrôle interne.
Le référentiel COSO
Une commission à but non lucratif, le COSO (Committee Of Sponsoring Organizations of theTreadway Commission)est une référence incontournable à
travers le monde dans le domaine du contrôle interne.
Ce référentiel est basé sur trois principes de base :

• Le contrôle interne est un processus qui nécessite l’implication de tous mais n’est pas une finalité.
• Le contrôle interne doit procurer l’assurance raisonnable d’un management et d’une direction respectueuse des lois.
• Le contrôle interne est adapté à la réalisation effective des objectifs.
Le contrôle interne, tel que défini par le COSO, comporte cinq composants qui sont :
• l'environnement de contrôle, qui correspond, pour l'essentiel, aux valeurs diffusées dans l'entreprise,
• l'évaluation des risques dépend de leur importance et de leur fréquence,
• les activités de contrôle, définies comme les règles et procédures mises en œuvre pour traiter les risques, le COSO imposant la matérialisation factuelle
des contrôles,
• l'information et la communication, qu'il s'agit d'optimiser,
• la supervision, c'est-à-dire le « contrôle du contrôle » interne.

68 reserved.
Contrôle interne
Cadre légal
Le référentiel COSO

69 reserved.
Contrôle interne
Cadre légal
Le référentiel COSO 2
En plus des trois catégories d’objectifs d’origine, COSO 2 en propose une quatrième : les objectifs stratégiques. Pour finir, ce référentiel permet l’analyse des
risques pour toutes les strates de l’entreprise (divisions, unités...) en incluant même les filiales et les sous-traitants

70 reserved.
Contrôle interne
Audit SI et contrôle interne
Le contrôle interne doit être mis en place dans l’entreprise pour valider et fiabiliser les procédures permettant de réduire les risques. Lors d’un audit des
systèmes d’information, l’auditeur interne doit évaluer l’efficacité des systèmes de contrôle interne. Pour le CIGREF et l’IFACI, cinq grands principes doivent
être retenus :
• C’est aux managers d’instaurer une culture et une dynamique du contrôle par la mise en place d’une organisation appropriée et d’un système de
management efficace (stratégie, politique, déploiement...).
• Le contrôle interne doit être intégré dans les processus de l’entreprise (achat, vente, production, consolidation, RH...).
• Les SI jouent un rôle clé dans une bonne gouvernance d’entreprise et dans un dispositif efficace de contrôle interne : ils sont non seulement un objet mais
aussi un levier du contrôle interne des processus de l’entreprise.
• Un principe de réalité, de proportionnalité et de granularité doit s’appliquer dans tout dispositif de contrôle interne : il convient de penser à arbitrer entre
le coût et l’efficacité du dispositif.
• Il faut enfin rester conscient du caractère non exhaustif, des limites intrinsèques et des arbitrages nécessaires dans tout dispositif de contrôle.
Le contrôle interne passe par le contrôle du SI de l’entreprise et par le contrôle interne de la DSI.

71 reserved.
Contrôle interne
Contrôle interne de l’entreprise
Le contrôle du SI de l’entreprise concerne en premier lieu les métiers et les processus. Le SI doit être au service des processus. Des indicateurs permettent de
s’assurer de la maîtrise des processus.
Le contrôle du SI passe aussi par la maîtrise des données. La traçabilité et la fiabilité des informations produites sont deux éléments clés qui doivent être
contrôlés en permanence. Le contrôle de l’accès aux données est également primordial pour garantir le principe de confidentialité et assurer la conformité
vis-à-vis de réglementations comme la RGPD. Une cartographie des bases de données est souvent nécessaire pour avoir une vision d’ensemble et détecter
les incohérences (localisation, sauvegardes, droits d’accès...).
L’audit informatique est un outil privilégié du contrôle interne. Il intervient sur trois domaines :la stratégie informatique (pertinence du SI selon ses objectifs),
la fonction informatique (qualité des processus informatiques) et les processus informatisés de l’entreprise (efficacité des contrôles intégrés dans les
applications et sécurité).
Une cartographie applicative peut être réalisée pour contrôler la cohérence entre les fonctions nécessaires à la mise en œuvre des besoins métier et les
applications utilisées dans l’entreprise.
Des contrôles applicatifs doivent également permettre de vérifier la séparation des fonctions. Enfin, le monitoring continu permet grâce à des contrôles
embarqués dans les applications, de s’assurer de contrôles suffisants sur les données saisies, l’exhaustivité des traitements, l’intégrité des bases de données
et des accès

72 reserved.
Contrôle interne
Contrôle interne de la DSI
Le contrôle interne de la DSI lui permet de maîtriser ses risques pour atteindre ses objectifs opérationnels. Il s’agit de s’assurer de la conformité aux
règlements et aux instructions de la direction générale, de contrôler l’efficacité des opérations réalisées en utilisant les ressources de façon optimale, de
l’évaluation et de la maîtrise des risques (sécurité entre autres) et de la garantie de la qualité de l’information. Six processus permettant d’atteindre ces
objectifs seront contrôlés :
• la gestion des compétences,

• les projets et développements,
• la maintenance et la gestion des changements,
• la sécurité logique et la gestion des accès physiques,– la gestion des incidents,
• les contrats d’infogérance et le pilotage de la sous-traitance.
Pour être efficace, le contrôle interne (contrôle du SI ou contrôle interne de la DSI) doit être complété par des outils de suivi de ces contrôles pour garder une
trace des contrôles effectués et des anomalies constatées. Un tableau de bord des contrôles permettra une détection plus efficace de la dégradation du SI
et sera un outil à fournir lors d’un audit interne.

73 reserved.
Quizz

74 reserved.
01 I QUIZZ
Que doit être la PREMIÈRE étape d'une mission d’AI ?
A. Créer un organigramme de décision.

B. Comprendre l'environnement étudié.
C. Effectuer une évaluation des risques.
D. Elaborer le plan d'audit.

75 reserved.
01 I QUIZZ
Que doit être la PREMIÈRE étape d'une mission d’AI ?
A. Créer un organigramme de décision.

B. Comprendre l'environnement étudié.
C. Effectuer une évaluation des risques.
D. Elaborer le plan d'audit.
Réponse B. Un auditeur doit maitriser les processus avant puis effectuer une évaluation des risques. Et sur cette base, l'AI devrait préparer un plan d'audit.

76 reserved.
2.4 Risques
Risques inhérents
Définition
Un risque inhérent est un risque directement lié à l’environnement de l’entreprise. On parle aussi de risque d’activité.
Le risque inhérent peut se produire indépendamment du processus de contrôle interne.
L’identiﬁcation des risques inhérents est complexe.

78 reserved.
Risques inhérents
Exemple 1
Vous devez auditer les stocks de deux entreprises.

La première entreprise œuvre dans le secteur de la fabrication de soudeuses. Elle possède un stock important de produits en cours, soit des soudeuses non
terminées. Le client a estimé le pourcentage d’avancement des stocks de produits en cours et vous avez maintenant à le valider.
La seconde entreprise vend des aspirateurs. Elle a un stock de produits finis, soit des aspirateurs.
Vous avez en main les factures d’achats et le prix de vente au détail de ces stocks. Selon vous, le risque inhérent du poste stocks est-il plus élevé dans
l’entreprise qui produit des soudeuses ou celle qui vend des aspirateurs?

79 reserved.
Risques inhérents
Exemple 1
Vous devez auditer les stocks de deux entreprises.

La première entreprise œuvre dans le secteur de la fabrication de soudeuses. Elle possède un stock important de produits en cours, soit des soudeuses non
terminées. Le client a estimé le pourcentage d’avancement des stocks de produits en cours et vous avez maintenant à le valider.
La seconde entreprise vend des aspirateurs. Elle a un stock de produits finis, soit des aspirateurs.
Vous avez en main les factures d’achats et le prix de vente au détail de ces stocks. Selon vous, le risque inhérent du poste stocks est-il plus élevé dans
l’entreprise qui produit des soudeuses ou celle qui vend des aspirateurs?
Le risque inhérent est plus élevé en ce qui concerne le poste stocks de l’entreprise qui fabrique des soudeuses. En effet, le pourcentage
d’avancement des stocks de produits en cours est ouvert à interprétation. De plus, les calculs sont plus complexes, car on doit imputer de nombreux
frais à ces types de stocks, tels que les frais indirects de fabrication.

80 reserved.
Risques inhérents
Exemple 2
Pour la même entreprise, vous devez auditer le poste « Provision pour mauvaises créances » et le poste « Encaisse ». Selon vous, le risque inhérent
est-il plus élevé pour le poste « Provision pour mauvaises créances » ou pour le poste « Encaisse »?

81 reserved.
Risques inhérents
Exemple 2
Pour la même entreprise, vous devez auditer le poste « Provision pour mauvaises créances » et le poste « Encaisse ». Selon vous, le risque inhérent
est-il plus élevé pour le poste « Provision pour mauvaises créances » ou pour le poste « Encaisse »?
Le poste « Provision pour mauvaises créances » est celui dont le risque inhérent est le plus élevé. En effet, ce poste représente une estimation
comptable. Tant que les encaissements des clients n'ont pas été reçus, nous ne pouvons être certain à 100 % que tous les clients vont payer leurs
comptes. La provision est un pourcentage utilisé et ce pourcentage peut être basé sur les expériences passées. Le poste « Encaisse », quant à lui,
peut être validé à l'aide d'une confirmation bancaire, d'un relevé de banque ou de pièces justificatives comme des chèques et des dépôts en circulation.
Le risque qu'une erreur se retrouve au sein de ce poste est moindre car des preuves tangibles existent. La « Provision pour mauvaises créances »
laisse place au jugement professionnel et est donc discutable.

82 reserved.
Risques liés au SI
Définition risque
Possibilité que se produise un évènement qui aura un impact sur la réalisation des objectifs de l’entreprise. Après avoir identifié la nature de(s) menace(s)
(erreur, fraude, vol…), l’auditeur mesure le risque en termes de conséquences (impact) et de probabilité.
Catégories
L’ évaluation des risques est répartie en 3 catégories et s’obtient en multipliant l’impact par la
probabilité d’occurrence :
• Risque limité : considéré comme acceptable

• Risque modéré : considéré comme acceptable, néanmoins un traitement du risque peut être
nécessaire à long terme
• Risque critique : risque acceptable nécessitant d’être traité dès que possible
Définition risque résiduel
Les risques résiduels sont ceux qui subsistent après les mesures prises par le management pour réduire l’impact et la probabilité d’occurence d’un
évènement défavorable, et notamment après les dispositifs de contrôle mis en place en réponse à un risque.

83 reserved.
Risques liés au SI
Risques liés au SI
En raison du contexte technologique complexe et qui se transforme et change rapidement, de nouveaux risques doivent être pris en comptes :
Identifier 5 risques IT
pouvant avoir un impact sur une entreprise

84 reserved.
Risques liés au SI
Risques liés au SI
En raison du contexte technologique complexe et qui se transforme et change rapidement, de nouveaux risques doivent être pris en comptes :
• Nouveaux outils (e-commerce, mobilité des équipes, digital)

• La dépendance vis-à-vis du SI de l’entreprise et des partenaires
Identifier 5 risques IT
• Problématiques de sécurité
pouvant avoir un impact sur une entreprise • Hausse des abus ou fraudes des SI
• Problèmes liés au contrôle ou à la maintenance des SI
• Complexité des technologies
• Automatisation des processus opérationnels
• Implémentation d’ERP sans réorganisation des processus opérationnels
• Externalisation et sous-traitance d’opérations
• Pas de back-up dans la DSI
• Indisponibilité

85 reserved.
Risques liés au SI
Particularité des ERP
Risque d’audit : De quoi parle-t-on ?

En référence à la NEP 200, le risque d’audit correspond au risque que le commissaire aux comptes exprime une opinion différente de celle qu’il aurait émise
s’il avait identifié toutes les anomalies significatives.
Le risque d’audit se scinde en 2 composantes :
• le risque d’anomales significatives, propre à l’entité,

• le risque de non-détection, propre à la mission d’audit.
La nature complexe et transverse d’un SI entraîne nécessairement la qualification du risque inhérent :

Les risques liés aux contrôles importants doivent nécessairement être identifiés et couverts par les procédures de contrôle interne, afin de permettre à
l’entreprise d’atteindre ses objectifs stratégiques et opérationnels et à l’auditeur de certifier les états financiers.
Risque de dysfonctionnement suite aux évolutions
L’absence de fiabilité ou le dysfonctionnement du SI lors d’une montée de version ou en cas d’ajout de module(s) spécifique(s), en lien avec un paramétrage
défaillant ou des informations manquantes, empêcheront l’entreprise d’atteindre ses objectifs opérationnels, financiers et stratégiques.
L’établissement d’états financiers sincères et réguliers est alors compromise.
En environnement ERP, les tests de fiabilité réalisés par l’éditeur (avant commercialisation) et l’intégrateur (lors de l’implémentation) limiteront la probabilité
de survenance du risque.

86 reserved.
Risques liés au SI
Risque de fraude
Le risque de fraude ou malveillance est majoritairement lié à un cumul d’accès à des transactions critiques ou à la divulgation de données sensibles.
L’occurrence du risque de fraude est accrue dans un environnement SI complexe basé sur un ERP qui concentre les données de l’entreprise et supporte les
processus métiers clés.
Il est intimement lié à la gestion des accès et à la séparation des fonctions paramétrées dans l’ERP, du fait de l’intégration des processus métiers et de
l’existence de bases de données relationnelles interconnectées.
La séparation des fonctions est plus facile à respecter dans une entreprise qui utilise des applicatifs multiples pour supporter ses différents processus
métiers.
Inversement, le regroupement des fonctionnalités au sein d’une même application nécessitent impérativement que les habilitations informatiques définies et
paramétrées garantissent une séparation des fonctions.
La mauvaise séparation des fonctions peut conduire à des pertes indirectement financières, résultant :
• de fraudes perpétrées par des collaborateurs ayant des accès à des fonctionnalités incompatibles avec leur fonction ;
• d’erreurs suite à l’utilisation de transactions sensibles non maîtrisées, notamment en l’absence de contrôles compensatoires « manuels » (ou si
insuffisants).
Ex : Intégration des fonctions Achats / Gestion des stocks / Comptabilité au sein de l’ERP <> En l’absence d’un paramétrage adéquat, cumul potentiel des
transactions Commande d’achat / Réception / Saisie facture / Paiement.

87 reserved.
Risques liés au SI
Risque d’indisponibilité du SI
Probabilité plus faible de ce risque avec un hébergement de SI sur un serveur central (vs plusieurs serveurs pour un SI multi-applications).
En revanche, en cas de survenance du phénomène, l’impact est très préjudiciable car le SI supporte plusieurs voire l’ensemble des processus de l’entreprise.
Risque d’inadéquation du SI aux besoins métiers
La personnalisation significative d’un SI et des applications, avec la création de développements spécifiques pour s’adapter parfaitement aux besoins, peut
altérer sa fiabilité et le rendre plus coûteux.
Risque d’inadéquation des compétences informatiques

Inadéquation des compétences du personnel informatique interne et des utilisateurs finaux, qui n’évaluent pas nécessairement la portée d’une mauvaise
utilisation, d’un paramétrage incorrect de l’ERP sur l’intégrité des données, surtout pour celles qui concourent indirectement aux écritures comptables.
Avec un ERP proposé par un éditeur, les formations dispensées et l’intervention de l’intégrateur réduiront ce risque (vs un développement du SI en interne).
La simplification des interfaces utilisateurs (saisi, visualisation des données), l’amélioration du contrôle des données de base pallieront également le risque
de manque de compétence des utilisateurs.
Risque lié à l’infogérance

Les entreprises faisant appel à un hébergeur externe perdent également la maîtrise de l’implantation de leurs données : Les interfaces inter-applicatives sont
plus difficiles à mettre en œuvre (vs un SI hébergé en interne).
88 reserved.
Quizz

89 reserved.
01 I QUIZZ
Questions QCM
En prévoyant une mission d’AI, l'étape la PLUS critique est l'identification ?
A. Zones à haut risque.

B. Ensemble de compétences des auditeurs.
C. Étapes de test en audit.
D. Temps réparti pour l'audit.

90 reserved.
01 I QUIZZ
Questions QCM
En prévoyant une mission d’AI, l'étape la PLUS critique est l'identification ?
A. Zones à haut risque.

B. Ensemble de compétences des auditeurs.
C. Étapes de test en audit.
D. Temps réparti pour l'audit.
Réponse A. En concevant un plan d'audit, il est important d'identifier les secteurs à haut risque pour déterminer les secteurs à auditer. La compétence de
d'auditeur doit être vérifiée avant de le désigner pour la mission. Les étapes de test ne sont pas aussi critiques que A.

91 reserved.
01 I QUIZZ
Questions QCM : Numéro
La participation de la direction suprême est la PLUS importante dans le développement des :
A. Plans stratégiques.
B. Politiques de SI.
C. Procédures de SI.
D. Normes et directives.

92 reserved.
01 I QUIZZ
Questions QCM
La participation de la direction suprême est la PLUS importante dans le développement des :
A. Plans stratégiques.
B. Politiques de SI.
C. Procédures de SI.
D. Normes et directives.
Réponse A.

93 reserved.
01 I QUIZZ
Le modèle d’audit par les risques propose une équation synthétisant trois risques, qui sont :
A. Risque de cohérence
B. Risque inhérent
C. Risque d’oubli
D. Risque de contrôle
E. Risque de détection
F. Risque de fraude

94 reserved.
01 I QUIZZ
Le modèle d’audit par les risques propose une équation synthétisant trois risques, qui sont :
A. Risque de cohérence
B. Risque inhérent
C. Risque d’oubli
D. Risque de contrôle
E. Risque de détection
F. Risque de fraude
Risque d’audit = risque inhérent * risque de contrôle * risque de détection

95 reserved.
www.grantthornton.fr
Grant Thornton France
Membre français de Grant Thornton International Ltd. Société Anonyme

d'Expertise-Comptable et d’audit inscrite au tableau de l'Ordre
de la région Paris-Ile de France et membre de la Compagnie régionale de Paris.
RCS Paris B 632 013 843 •TVA intracommunautaire FR 01 632 013 843 - APE 6920Z
•Siège social : 29 Rue du Pont 92600 Neuilly sur Seine

Cas pratique n°1
Audit d’un système d’information (partiel) en

rapport avec la stratégie

97 reserved.
Cas pratique n°2
Audit et gouvernance
Cas Bureauvert

98 reserved.
Cas pratique n°3
Cas CFCI

99 reserved.
Cas pratique n°4
Cas Day Time

100 reserved.

MPE - Cours Audit Conseil SI Partie 1 Pres

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

MPE - Cours Audit Conseil SI Partie 1 Pres

Transféré par

Droits d'auteur :

Formats disponibles

UE5 - Management des Systèmes

Document de travail. Toute reproduction sans autorisation est interdite.

03 I Audit des systèmes d’information

05 I Reporting et analyse de données

©2020 Grant Thornton International Ltd. All rights

©2020 Grant Thornton International Ltd. All rights

©2020 Grant Thornton International Ltd. All rights reserved.

L’informatique permet notamment :

• L’automatisation des tâches,

Le système d’information est à la fois objet et moyen au service de l’audit.

©2020 Grant Thornton International Ltd. All rights

Le dispositif vise plus particulièrement à assurer :

©2020 Grant Thornton International Ltd. All rights

L'audit IT permet de s'assurer que les SI :

©2020 Grant Thornton International Ltd. All rights

©2020 Grant Thornton International Ltd. All rights

©2020 Grant Thornton International Ltd. All rights

©2020 Grant Thornton International Ltd. All rights

©2020 Grant Thornton International Ltd. All rights

©2020 Grant Thornton International Ltd. All rights

©2020 Grant Thornton International Ltd. All rights

©2020 Grant Thornton International Ltd. All rights reserved.

2.2 Présentation d’un SI

©2020 Grant Thornton International Ltd. All rights

L’organisation type d’une DSI, structurée suivant deux axes :

©2020 Grant Thornton International Ltd. All rights

Etudes et Exploitation et gestion

Développement (ex : Sécurité et droit Exploitation système

Administration base de Parc informatique

©2020 Grant Thornton International Ltd. All rights

Son rôle pour exemple est :

©2020 Grant Thornton International Ltd. All rights

La structuration la plus synthétique repose sur trois couches :

©2020 Grant Thornton International Ltd. All rights

Focus couche Matériel

©2020 Grant Thornton International Ltd. All rights

Focus couche système d’exploitation « OS »

C’est le premier programme exécuté lors de la mise en marche de l’ordinateur. Il gère :

©2020 Grant Thornton International Ltd. All rights

Focus couche application

Spécifique : application développée sur mesure.

Logiciel du marché (progiciel / off the shelf) : Application

ERP (Enterprise Ressource Planning) PGI (Progiciel de

©2020 Grant Thornton International Ltd. All rights

Focus couche application

Les applications informatiques supportent l’automatisation des processus de l’entreprise.

©2020 Grant Thornton International Ltd. All rights

Focus couche application

Les applications informatiques supportent l’automatisation des processus de l’entreprise.

©2020 Grant Thornton International Ltd. All rights

©2020 Grant Thornton International Ltd. All rights

L’externalisation informatique Le mode Saas

©2020 Grant Thornton International Ltd. All rights

©2020 Grant Thornton International Ltd. All rights

Les trois premiers sont technologiques.

©2020 Grant Thornton International Ltd. All rights

©2020 Grant Thornton International Ltd. All rights

©2020 Grant Thornton International Ltd. All rights

Interface : procédé permettant de relier deux éléments d’un environnement IT.

Elle peut prendre de nombreuses formes :

Planificateur / Ordonnanceur de tâches

©2020 Grant Thornton International Ltd. All rights

©2020 Grant Thornton International Ltd. All rights