1

Contrle interne et Systme d'information

Document de travail Version 6.3 provisoire

Groupe de Travail Contrle Interne de l'AFAI : Philippe Berna Nicolas Bonnet Renaud Guillemot Grard Pomper Claude Salzman Philippe Trouchaud Serge Yablonsky

Document de travail Version 6.3 provisoire

Commission Contrle Interne de l'AFAI

Paris, novembre 2003 V.6.3

Document de travail Version 6.3 provisoire

Sommaire Aux Etats-Unis la loi Sarbanes-Oxley et plus prs de nous, en France, la loi Perben ont rendu le contrle interne obligatoire. Cette contrainte a du bon. Ce renforcement des procdures va coter de l'argent mais, si cette dmarche est bien manage, elle peut en rapporter. C'est un investissement en rationalisation et en renforcement de l'efficacit de l'entreprise qui va tre rentable. Toutes les entreprises sont la recherche de gains de productivit et d'efficacit. L'allgement des structures est devenu un enjeu primordial. Il est pour cela ncessaire de disposer de procdures internes performantes et matrisant les risques. La russite de cette dmarche repose, en bonne partie sur le contrle de l'informatique. C'est un point de passage oblig. En effet, dans la plupart des grandes entreprises, la quasi-totalit des procdures repose aujourd'hui sur des traitements informatiques, des serveurs, des bases de donnes, . La mise en place de diffrents dispositifs de contrle interne efficaces se fait et se fera de plus en plus l'aide de systmes d'information conus cet effet. Toutes les applications informatiques existantes doivent en tenir compte et le cas chant doivent tre revues pour prendre en compte des rgles de contrle interne et pour, ventuellement, dtecter d'ventuelles fragilits du contrle interne. La loi fait aujourd'hui obligation de mettre en place et de dvelopper des dispositifs de contrle interne. On va, pour cela, s'attacher analyser et perfectionner les principaux processus de l'entreprise. Dans ce but on va plonger dans le dtail des programmes informatiques et des bases de donnes de faon imaginer des solutions plus sres, plus efficaces, plus productives, C'est le rle de l'audit informatique. C'est le meilleur moyen permettant de s'assurer que les bonnes pratiques en matire de systme d'information sont effectivement appliques. Cette dmarche garantie que les contrles et les scurits ncessaires sont en place et donnent les rsultats attendus. C'est le rle du rfrentiel CobiT. Le dveloppement du contrle interne va donc se faire, en grande partie, grce l'audit informatique. Il faut s'y prparer et s'organiser en consquence.

Document de travail Version 6.3 provisoire

Commission Contrle Interne de l'AFAI

Prface Le contrle interne revient sur le devant de la scne par la loi ! Certains y verront de nouvelles contraintes, mais la majorit saura y trouver de nouvelles opportunits. Lobjet de ce fascicule est de montrer quil est ncessaire d'valuer le contrle interne embarqu dans le systme dinformation et celui de la fonction informatique. Les processus oprationnels des entreprises sont informatiss et le systme dinformation est le support des principales procdures de contrle interne. Les auditeurs informatiques sont les acteurs cls dans ce domaine. Du contrle interne la gouvernance dentreprise, les objectifs sont identiques : il s'agit de mesurer et d'optimiser des performances dans un environnement scuris et en conformit avec les lois et rglements. La gouvernance informatique et lapplication de son rfrentiel CobiT rpondent aux besoins des entreprises comme ceux de leurs actionnaires en intgrant performance et scurit.

Serge Yablonsky Prsident de l'AFAI

Sommaire Executive Summary 1 Prface 2 Introduction 3 De multiples dmarches coordonner 4 Les processus au cur de ces dmarches 5 L'audit informatique outil privilgi du contrle interne 6 Exemple 7 Guide Oprationnel Bibliographie Document de travail Version 6.3 provisoire

5 2 Introduction En dpit de la publicit faite actuellement autour du contrle interne, on accorde peu dattention au rle du systme dinformation en la matire. Cest regrettable dans la mesure o lactivit mme des entreprises tout comme la production de leurs tats financiers sont lourdement dpendantes dun systme dinformation bien contrl. La loi de scurit financire du 2 aot 2003 entrane la ncessit pour les dirigeants dentreprise davoir un regard nouveau sur le contrle interne. Le prsident de toute socit anonyme ( conseil dadministration ou conseil de surveillance), cote ou non cote, doit, en effet, ds les exercices ouverts compter du 1er janvier 2003, prsenter un rapport joint au rapport de gestion sur les conditions de prparation et dorganisation des travaux du conseil ainsi que des procdures de contrle interne mises en place par la socit. Ce rapport fera en outre lobjet dun rapport du commissaire aux comptes, joint au rapport gnral et portant sur les procdures de contrle interne relatives llaboration et au traitement de linformation comptable et financire. Pour les socits cotes aux Etats-Unis, le Sarbanes-Oxley Act de 2002 rpond aux mmes objectifs. Les entreprises ont donc lobligation de rendre compte des procdures de contrle interne et, ce titre, le systme dinformation intervient trois niveaux. Tout d'abord par la prise en compte de l'informatique comme domaine de gouvernance de l'entreprise, ensuite par la prise en compte des contrles embarqus dans les processus automatiss et enfin au niveau des contrles propres la fonction informatique, y compris les procdures de scurit. Il est urgent de sensibiliser les dirigeants dentreprises sur limportance du systme dinformation tendu au contrle interne. Lactualit de ces dernires annes a amen le lgislateur imposer aux entreprises une plus grande transparence vis--vis des tiers. Le contrle interne fait partie des outils de transparence de lorganisation. L'IT Governance Institute a publi rcemment un guide IT Control Objectives for SarbanesOxley (1) auquel on peut se reporter pour une approche dtaille de lvaluation du contrle interne du systme dinformation. Ce guide sappuie bien sr sur CobiT, le rfrentiel de gouvernance des systmes dinformation publi par l'IT Governance Institute. Il liste les objectifs de contrle de la fonction informatique ainsi que les principales applications informatiques qui supportent les processus de lentreprise. Lobjectif du prsent document est de montrer la manire de mettre en uvre une dmarche danalyse des procdures de contrle interne appliqu notre environnement.

1 - Voir www.itgi.org Document de travail Version 6.3 provisoire

Commission Contrle Interne de l'AFAI 3 De multiples dmarches coordonner

On n'a pas attendu les lois Sarbanes-Oxley et Perben pour s'intresser au contrle interne. Depuis une vingtaine d'annes de nombreuses entreprises ont fait des efforts importants dans ce domaine. Mais, trs souvent, ces efforts taient faits sparment par les diffrents responsables chargs des activits de contrle dans l'entreprise. A ce titre les oprations couramment identifies sont les suivantes : L'audit comptable. Ces missions sont gnralement effectues par le service d'audit interne, par les commissaires aux comptes et, le cas chant, par les autorits de tutelle. L'audit interne. Ce sont toutes les missions allant de l'inspection l'audit de gestion en passant par l'audit oprationnel. Elles ont pour but de permettre aux directions gnrales d'avoir l'assurance d'un niveau de scurit patrimonial suffisant. L'analyse des risques. Il est fortement recommand d'valuer priodiquement le niveau des risques oprationnels et des risques bilanciels des entreprises. L'audit informatique. C'est un ensemble de missions dont l'objectif est de s'assurer du bon fonctionnement des systmes informatiques, des projets, des applications oprationnelles et plus gnralement du systme d'information de l'entreprise. L'audit scurit. Il a pour but de s'assurer que les dispositifs de scurit matriels et logiciels fonctionnent correctement. L'audit qualit. Il est ncessaire de s'assurer que les dispositifs d'assurance qualit sont oprationnels, efficaces et permettent de garantir un niveau de qualit satisfaisant. Le cloisonnement de ces diffrentes dmarches n'a pas permis de tirer la pleine valeur ajoute de l'ensemble de ces missions. Il est aujourd'hui ncessaire de changer de dimension et d'avoir une dmarche globale concernant tous les acteurs concerns. Dans ce but, on va s'efforcer de rapprocher ces diffrentes dmarches et de les coordonner. A terme, il est certain qu'elles devront tre intgres, mais pour l'instant on va s'attacher organiser la coopration entre ces diffrents mtiers voisins, connexes mais spars. Toutes ces dmarches sont voisines, mais elles sont en mme temps diffrentes. Elles peuvent tre menes pour les besoins de la direction de l'entreprise, pour le compte des actionnaires ou pour le compte de tiers. Elles sont menes en interne ou en externe. Elles ont chacune tendance privilgier leurs approches, leurs mthodes et leurs points de contrle. Le rsultat est que chacun a tendance voir midi sa porte. Ce n'est certainement pas la meilleure approche. Pour rpondre aux attentes imposes par le nouveau cadre lgal, il est ncessaire de rendre ces efforts cohrents et complmentaires.

Document de travail Version 6.3 provisoire

7 4 Les processus au cur de ces dmarches Une grande partie des fragilits, et mme, dans certaines circonstances, des difficults constates en matire de contrle interne sont dues au fait que ces audits ne couvrent qu'une partie du domaine contrler. C'est la consquence de la manire dont se sont dveloppes ces diffrentes mthodes d'audit et d'analyse. Ces approches donnent des visions diffrentes de l'entreprise. A l'origine les audits concernaient principalement les chiffres comptables de l'entreprise et se concentrent surtout sur la qualit et la fiabilit des chiffres. Progressivement l'audit a pris une nouvelle dimension en s'intressant de plus en plus aux processus et leurs objectifs. Cependant ces progrs ont t lents et pour l'instant, ces dmarches ne couvrent que d'une manire assez imparfaite les approches de contrle interne. Pour tre plus efficace, il faut avoir une dmarche d'ensemble reposant sur une vision globale de l'ensemble de l'activit de l'entreprise. Dans ce but, il est ncessaire d'tablir une cartographie de l'ensemble des processus. On va pour cela s'attacher identifier les diffrents processus en distinguant ceux qui traitent l'activit principale de l'entreprise et ceux qui assurent un rle de support. Dans une entreprise il faut vendre, acheter, produire, il existe moins de dix processus principaux, pas plus. A cela s'ajoutent les processus de service dont le nombre est infrieur quinze. Il existe diffrentes manires de reprsenter et de modliser une entreprise et ses processus. Dans une logique de march on peut, par exemple, regrouper les processus en trois grandes familles : 1. Les processus de management ou de gouvernance o vont tre concentres toutes les responsabilits et les autorits relevant de la direction, en particulier tous les aspects lis la stratgie de dveloppement de lentreprise et son dploiement oprationnel, la stratgie produit-service ainsi qu la mise disposition de toutes les ressources ncessaires, et de pilotage de lensemble sous les angles financiers, humains, technologiques, industriels, commerciaux et qualit, ainsi, bien sr que de contrle. 2. Les processus de soutien regroupant toutes les fonctions de support destines la mise en uvre et lexploitation des processus lis aux produits et services de lentreprise ainsi que ceux destins au bon fonctionnement de celle-ci, avec la contrainte de capitalisation et de valorisation du patrimoine de lentreprise. 3. Les processus clients articuls autour de la conception et de lvolution des produits et des services que lentreprise fournit ses clients, la vente et au support aprs vente. Cest au travers de lenchanement de ces processus que la relation directe avec les clients sexerce. Ces processus interagissent en permanence les uns avec les autres selon des cycles trs variables, synchroniss par diffrents vnements propres chacune des fonctions, que ce soit la dcision dinvestissement dans une nouvelle gamme de produits et de prestations, la mise disposition dun produit, ou encore la fin dun exercice fiscal. Certains de ces processus sexercent en continu et sont lis des activits rcurrentes, dautres sont momentans, lis une action ponctuelle et relvent de la conduite de projet. De la mme manire, les flux associs chaque processus et accdant aux mmes ressources imposent des lectures diffrentes de leurs tats selon les questions poses. Une fois que les processus ont t identifis, il est ncessaire d'tablir un schma des processus qui montre leurs impacts sur les diffrentes fonctions de l'entreprise. Ce document permet d'avoir une vision d'ensemble de son activit et son fonctionnement. Cette approche est la Document de travail Version 6.3 provisoire

Commission Contrle Interne de l'AFAI

mme que celle que l'on devrait trouver dans l'approche qualit ou dans le schma directeur informatique de l'entreprise. Une fois ce travail effectu il est ncessaire s'intresser chacun de ces processus. Il est pour cela ncessaire de vrifier que chaque processus est : Document. On va dans ce but dcomposer le processus en tches, manuelles et automatises, et prciser leurs enchanements. Une reprsentation graphique sous forme de diagramme de flux faisant clairement apparatre l'enchanement des tches, qu'elles soient manuelles ou automatises, permet de rendre plus concret l'ensemble des oprations. Rpt. Une procdure efficace doit tre stabilise. Il faut qu'elle puisse s'excuter de manire rgulire sans difficult et sans intervention particulire. C'est un ensemble de traitements qui doit fonctionner de manire priodique. Mesur. Il est ncessaire que diffrents indicateurs mesurent l'activit du processus et permettent d'valuer ces performances. Un processus qui n'est pas mesur n'est pas pilotable et il y a de forts risques qu'il ne soit pas efficace. A l'inverse, chaque processus doit tre associ un niveau de performance en rapport avec les objectifs gnraux de lentreprise. Manag. Il faut qu'un dirigeant de l'entreprise soit responsable de chaque processus. On doit tre responsable de l'ensemble du processus de bout en bout. Ces responsabilits doivent tre clairement dfinies et il faut pouvoir les distinguer des responsabilits fonctionnelles qui sont dtermines par domaine : la comptabilit, les achats, le commercial, la production,. Concrtement un processus, cest dans un premier temps sinterroger sur son niveau de documentation, mettre en regard de sa criticit, de sa complexit et du degr de comptence des intervenants sur ce processus. C'est ensuite analyser la faon dont le processus est appliqu par les intervenants afin de pouvoir mesurer son efficacit et son degr damlioration. Cest enfin sinterroger sur sa capacit contribuer latteinte des objectifs de lentreprise, en fonction du niveau de performance attendu et mesur du processus. Finalement, ce qu'on doit valuer, ce sont les performances internes du processus (le processus sexcute bien et de faon rptable et efficace sous le contrle de la direction de l'entreprise) mais aussi ses performances externes (le processus fournit un niveau de performance cohrent avec celui des autres processus pour atteindre des objectifs gnraux de lentreprise). A ce stade, il est ncessaire de disposer dune cartographie des processus, et de connatre prcisment les interactions des processus les uns avec les autres. Il est galement indispensable de connatre le niveau de performance global attendu, et celui fix pour chaque processus, afin danalyser la cohrence de lensemble au travers des diffrents objectifs assigns chaque processus. Cest ce moment que laudit prend toute sa dimension, quelle soit comptable, technique, informatique, orient vers la scurit ou encore de qualit ou de conformit. En effet, quelle que soit cette dimension, pour qu'un audit soit pertinent, il est ncessaire de comprendre larticulation des processus, leur rle, leur capacit, leur maturit et leur performance. Document de travail Version 6.3 provisoire

Il parait alors videment ncessaire de faire des processus le langage commun de toutes les personnes qualifies qui pratiquent laudit dans lentreprise afin de : 1. Coordonner leurs efforts respectifs (laudit dans son ensemble relve galement dun processus soumis amlioration et une certaine performance) au travers dune planification globale et optimise de tous les audits de lentreprise ; 2. Crer un ensemble de pratiques communes (en particulier sur la conduite de laudit proprement dit) qui facilite lchange dinformations entre les diffrents auditeurs ; 3. Aboutir une relle coopration de tous les auditeurs, dont une des illustrations pourrait tre la constitution dquipes mixtes (finance et qualit, ou technique et scurit) travaillant ensemble, dans leur propre intrt, celui des audits et enfin de lentreprise. Cest ce prix que la direction pourra exercer un management efficace sur lensemble des processus de lentreprise, apprcier les risques auxquels elle doit faire face, et pouvoir ainsi dcider.

5 - L'audit informatique outil privilgi du contrle interne

Le systme dinformation peut fournir les donnes ncessaires pour l'identification, la traabilit et la vrification des processus. Il est donc indispensable d'instrumenter chaque processus dans cette logique, d'assurer la pertinence de cette instrumentation et son maintien en bonnes conditions de fonctionnement. La matrise des processus de lentreprise et la matrise du systme dinformation deviennent totalement imbriques et relvent dune mme approche de surveillance. C'est pour cette raison que laudit informatique constitue un pilier indispensable la matrise du contrle interne. On peut en effet identifier trois domaines diffrents d'audit informatique : Stratgique. Il s'agit, par exemple, d'assurer la pertinence du systme dinformation, son adquation aux objectifs de lentreprise, son alignement ses stratgies. Tactique. C'est entre autre d'assurer la qualit des processus mis en uvre par la fonction informatique, quil sagisse dexploitation quotidienne, du dveloppement de nouvelles applications, dvolution du systme dinformation existant, ou de la prparation de lavenir ; Oprationnel. C'est par exemple d'assurer la sret du fonctionnement quotidien de linformatique ; Dans chacune de ces trois domaines, laudit informatique joue un rle majeur dans le dveloppement du contrle interne. On va pour cela les analyser en dtail afin de dgager leurs caractristiques.

Document de travail Version 6.3 provisoire

Commission Contrle Interne de l'AFAI

10

Il ne suffit pas d'avoir des processus matriss et conformes aux rgles de lart pour produire le systme dinformation pertinent. Force est de constater quil sagit encore dun mtier plus artisanal quindustriel, car fortement li lorganisation et la culture de lentreprise. Aussi laudit informatique, dans son acception la plus complte, doit analyser la pertinence du systme dinformation lui-mme, cest--dire lefficacit de lappui quil fournit aux processus de toute lentreprise. Les applications informatiques sont en effet le support de lensemble des rgles de gestion, des flux dinformation internes et externes, des modes opratoires de la plupart des postes de travail. Lvaluation du risque dune opration bancaire, la liquidation des droits dun retrait, la facturation dun oprateur tlcom, la prise en charge dun client dans un centre dappels, la prparation dune livraison par un entrept ne seront efficaces que si le systme dinformation mis en uvre satisfait exactement les multiples contraintes : dlais, rgles lgales et contractuelles, rgles de gestion de lentreprise, conservation, disponibilit et accessibilit des informations, etc. A travers le systme dinformation, cest une grande part des processus oprationnels et des processus de pilotage de lentreprise dont on peut analyser et mesurer lefficacit et la pertinence. Dautant plus que le systme dinformation constitue souvent la seule trace concrte et auditable du fonctionnement rel. Cependant, le systme informatique en place nest pas stable. Sa mission volue en permanence et de plus en plus vite, pour rpondre de multiples facteurs de changement : Les exigences des clients, en termes de qualit des produits et des services, dinformation, de personnalisation du produit, et les ambitions symtriques des entreprises en matire de personnalisation de la relation client ; La recherche daugmentation permanente de la productivit des ressources, et les efforts dautomatisation qui laccompagnent, plus gnralement la matrise de technologies de production de plus en plus sophistiques ; La prise en compte dans les systmes informatiques de lenvironnement de lentreprise, la spcialisation et la multiplication des changes, la connexion oprationnelle entre les diffrents acteurs de la chane de valeur ajoute, internes ou externes ; Les lois et les rglementations qui sadditionnent, pas ncessairement de faon cohrente, pour faire face de nouveaux besoins ou de nouvelles situations, souvent du fait dexigences de caractre politique ou conjoncturel.

A tout cela sajoute l'impact des volutions propres linformatique : volutions des technologies, nouveaux logiciels et progiciels, changements de versions, Document de travail Version 6.3 provisoire

11 Aussi la capacit du systme informatique bien fonctionner doit intgrer sa capacit bien voluer : un pilotage de projets performant, la prise en charge ractive des nouvelles demandes des utilisateurs internes et externes, des comptences adaptes aux nouvelles technologies, lanticipation stratgique des besoins de lentreprise et des volutions des technologies informatiques, une politique rigoureuse dachat et de relations avec les fournisseurs, sont autant de cls influenant la capacit de progrs du systme informatique, et donc son efficacit court et moyen terme. Dans ces domaines, qui sont par excellence ceux du rfrentiel CobiT (2), cest bien la qualit des processus de la fonction informatique, dans son ensemble, qui constitue lobjet de laudit informatique, et au-del ils devient un des principaux point d'action du contrle interne. La sret du fonctionnement de l'outil informatique est devenue une des conditions cls de la continuit des activits de l'entreprise pouvant aller jusqu mettre en cause sa survie : Ses pannes causent des dommages directs. Ce sont par exemple l'accumulation de clients en attente un guichet, un automate, ou un rpondeur tlphonique, la perte de chiffre daffaires due lincapacit dun site Internet traiter les commandes, etc. Les pertes de donnes accidentelles sont gnralement irrparables si des sauvegardes suffisantes nont pas t mises en uvre. Plus grave, le rseau informatique, ncessairement ouvert au monde extrieur (relations clients et fournisseurs, utilisation gnralise de la messagerie, ) est devenu le cheval de Troie dattaques incessantes plus ou moins cibles : logiciels malins, tentatives dintrusion, bombardement de sites Internet, La contamination dun serveur de messagerie par un virus, par exemple, peut paralyser lentreprise. Seule une prvention trs organise et systmatique constitue une parade efficace.

La sret du fonctionnement de l'informatique, devenue lun des dterminants majeurs de la continuit du fonctionnement de lentreprise, constitue une des premires proccupations du contrle interne.

Dans ces conditions, laudit informatique devient un alli privilgi du contrle interne.

2 - CobiT : Gouvernance, Contrle et Audit de lInformation et des technologies associes ITGI (IT Gouvernance Institut) dition franaise AFAI. CobiT est le rfrentiel d'audit informatique le plus largement reconnu. Document de travail Version 6.3 provisoire

Commission Contrle Interne de l'AFAI 6 Exemple

12

Ds sa nomination le nouveau directeur gnral dune grande institution nationale payant des prestations ses clients a souhait faire raliser un audit gnral de ses processus, de faon identifier les lments ncessitant une attention particulire de sa part. Pour rpondre cette commande l'ensemble des diffrents intervenants au sein de l'entreprise effectuant des missions d'audit dcide de constituer une quipe unique runissant les diffrentes comptences ncessaires pour apprcier les diffrents aspects des processus. La coordination est confie un auditeur extrieur. La dmarche suivie a consist : Acqurir une connaissance des particularits de l'entreprise et de son environnement juridique, technique et rglementaire ; Recenser les principaux processus de lentreprise afin den tablir une cartographie ; Effectuer une analyse du risque de faon reprer les processus les plus fragiles. Il est ainsi possible de fixer des priorits. Dcomposer chacun des processus principaux et identifier les tches manuelles et informatises, avec leurs caractristiques et le rle de chaque fonction de lentreprise, Apprcier le contrle interne de chacune de ces procdures afin de s'assurer de son efficacit, au travers de lidentification des oprations sensibles de la validation des droits d'accs, de tests de conformit sur les contrles raliss, et de tests informatiss de cohrence et d'anomalie sur les diffrentes bases de donnes, La dmarche a t axe pour une large part sur l'audit de l'environnement informatique, compte tenu de son importance dans le fonctionnement courant de lentreprise, et de son rle majeur dans le traitement des donnes oprationnelles. Cette dmarche a permis de faire ressortir le constat suivant : 1. L'organisation et les procdures en place couvrent de faon satisfaisante l'ensemble des activits de lentreprise. Nanmoins certaines amliorations sont possibles en terme d'efficacits des procdures : Amliorer la sparation des tches de back office, de comptabilit et de trsorerie ; Regrouper certaines tches au sein dun mme service, afin dviter un nombre excessif danomalies et daller-retour ; Refondre les procdures de gestion du portefeuille. 2. Le systme informatique remplit les principales fonctions attendues et parat globalement fiable. Nanmoins, les applications sont relativement anciennes, ce qui entrane une difficult satisfaire l'volution des besoins. En effet, la maintenance est lourde, les possibilits de restitution et d'analyse sont limites. Le systme volue difficilement. Ce constat a amen lentreprise lancer un schma directeur informatique, en vue Document de travail Version 6.3 provisoire

13 d'amliorer la ractivit de son outil informatique, apporter un meilleur service aux clients et largir les possibilits de restitution et d'analyse. 3. Les travaux mens sur les procdures n'ont pas fait ressortir d'anomalie ou de faiblesse majeure. Nanmoins, ils ont permis de dtecter la ncessit d'effectuer un certain nombre d'amliorations pour mieux matriser les risques. Ce sont, titre dexemple : Amliorer la surveillance de certaines oprations grce linformatisation de leur suivi et ldition de statistiques centralises ; Renforcer les contrles de cohrence de certains processus en contrlant les flux d'entre et de sortie ; 4. Les contrles en place sont satisfaisants dans leurs principes. Ce sont titre dexemple : Un mcanisme toff de gestion des accs de faon protger les oprations sensibles sur le systme informatique ; Un contrle "mutuel" par une autre personne est prvu lorsque l'opration est effectue par un agent peu expriment ; Un contrle hirarchique systmatique est mis en place pour certaines oprations sensibles au-del de certains seuils ; Un contrle alatoire est effectu sur certaines oprations ; Des contrles rcurrents ont t dfinis ; Un service d'audit interne existe. La dmarche mene a permis de faire ressortir que l'efficacit de ces contrles est attnue par les points suivants : Les droits sur le systme informatique sont trop largement distribus et ne font pas l'objet d'un contrle suffisant (changement de domiciliation bancaire, ) ; Certains contrles majeurs ne sont pas effectus avec une rgularit suffisante par l'audit interne (contrle sur les doublons nom et prnom ou le RIB, paiements suprieurs certains seuils, contrle des allocataires centenaires, ) ; Les contrles des oprations sensibles font l'objet de dlgations trop importantes, certaines oprations devraient faire l'objet de contrles hirarchiques sans seuil ; La bonne application des contrles nest pas suffisamment vrifie elle-mme et il apparat que certains d'entre eux ne sont pas effectus tels que prvu. A l'issu de ces travaux un rapport a t tabli. Il a permis de dcrire l'tat rel des processus et des contrles mis en uvre. Il a fait apparatre un certain nombre de points faibles et de points forts ce qui a permis de dgager un certain nombre de recommandations prcises. Une prsentation a t faite devant la direction gnrale et le comit de direction. Un support d'une quinzaine de slides a t tabli cet effet. Ce constat a amen la direction gnrale renforcer le service daudit interne et redfinir son rle en llargissant au "sur-contrle" (vrification de la bonne application des contrles oprationnels sur la base d'une slection alatoire de dossiers). Par ailleurs, la proccupation du contrle a t considre comme devant tre intgre de faon forte dans le cadre du futur systme informatique. Une rflexion gnrale a t engage sur les principes de contrles (telles transactions, tels seuils, ) avant de reconduire lexistant, et les fonctionnalits permettant d'assurer le suivi des contrles effectus ont t ajoutes aux traitements.

Document de travail Version 6.3 provisoire

Commission Contrle Interne de l'AFAI

14

Ainsi cet audit coordonn et conjoint a permis de rassurer le nouveau directeur gnral sur l'efficacit globale de l'organisation en place, et sur la matrise des risques propres lactivit de son entreprise. Il a permis aussi didentifier les amliorations apporter afin de renforcer lefficacit des procdures et des systmes. Il a par ailleurs permis de documenter les procdures de contrle interne. Il est ds lors facile lentreprise de fournir le rapport demand par la loi Perben. 7 Guide Oprationnel Compte tenu de l'urgence, il est ncessaire de procder en deux temps : 1. Mesures court terme Il est ncessaire d'avoir une solution rapide de faon respecter l'obligation lgale ds cette anne et de montrer la bonne volont de l'entreprise ds le dbut de l'anne prochaine. Il est pour cela recommand de mettre en uvre les mesures suivantes : Reprer les processus fort niveau de risque. On va s'attacher identifier : Les applications informatiques mises en uvre dans le processus. Les donnes et particulirement leur qualit et leur fiabilit. L'efficacit de l'organisation en place. Evaluer les risques en se basant sur les diffrents audits prcdemment effectus et valider ces rsultats par les services chargs du contrle dans l'entreprise. Evaluer la maturit de l'ensemble des processus par un expert comptent, et apprciation de la pertinence des mesures prises. Documenter minima les processus majeurs de l'entreprise en dtaillant notamment l'environnement de contrle. Identifier les risques majeurs et les contrles cls mis en uvre pour diminuer l'impact de ces risques, Effectuer, si c'est ncessaire, un audit informatique destin s'assurer de la sret de fonctionnement des diffrents systmes en place. Lancer sans attendre des actions d'urgence sur les processus risque par des mesures comme : Renforcer les sauvegardes. Mesurer l'activit. Nommer un responsable de chaque processus. Mettre en place d'un dispositif qualit. Analyser systmatiquement les incidents et rechercher des causes. Il est ainsi possible d'avoir l'assurance que l'ensemble des processus est sous contrle et qu'il n'y a pas de graves dysfonctionnements.

2. Mesures moyen terme. A moyen terme l'objectif est de valider de faon plus approfondie les processus. On va pour cela effectuer un travail de fond : Nommer un responsable gnral des processus. Il a la responsabilit du bon fonctionnement des processus. Ce peut tre une personne ou une instance Document de travail Version 6.3 provisoire

15 collective dfinir. Ce responsable a pour mission d'organiser la coopration des diffrentes personnes, interne ou en externe, concernes. Ce sont les comptables, les contrleurs internes, les responsables qualit, Dfinir l'acquisition d'un savoir commun, un tronc commun et un langage commun destins toutes les personnes concernes par le contrle interne de l'entreprise. C'est la fois un problme d'organisation et de contrle interne. Evaluer les grands processus par un expert de haut niveau de type consultant, en distinguant les processus mtiers et les processus informatiques. Homogniser l'ensemble des documentations des procdures, et de les complter, de les mettre en cohrence si c'est ncessaire. Rapprocher les processus et les systmes informatiques. Il faut s'attacher : Revalider ce qui existe. Remettre en cause certaines procdures, si c'est ncessaire. Scuriser les oprations. Elever le niveau des exigences et des spcifications de contrle interne en regard du niveau de performance attendue. Rle du CobiT, du CISA et du modle CMM. Mettre en place une valuation priodique (tous les 2 ou 3 ans) de tous les grands processus. Ces oprations sont lies aux audits d'application. Etablir un tableau de bord des indicateurs de performance des principales procdures.

Bibliographie 1. CobiT : Gouvernance, Contrle et Audit de lInformation et des technologies associes ITGI dition franaise AFAI 2. IT control Objectives for Sarbanes-Oxley tlchargeable partir du site : www.itgi.org 3. Prise en compte de lenvironnement informatique et incidence sur la dmarche daudit - Compagnie Nationale des Commissaires aux Comptes (avec la participation de lAFAI) 4. Approche et mthode de la mission de diagnostic du contrle interne ou comment rpondre aux obligations de la loi sur la scurit financire Conseil Suprieur de lOrdre des Experts Comptables (encours avec la participation de lAFAI) 5. La Pratique du Contrle Interne - COSO Report - IFACI

Document de travail Version 6.3 provisoire