audit interne informatique

7/22/2019 Audit Interne Informatique

1/55

1

Contrle interneet

systmed'information

2medition

Version valideVersion 2.2

Groupe de travail Contrle Interne de l'AFAI :Nicolas BonnetLaurent GobbiJean-Florent GiraultJean-Michel MathieuVincent Manire

Gina Gulla-MenezFranois RenaultClaude SalzmanSerge Yablonsky

Groupe de validation :Pascal AntoniniMaryvone CronnierRenaud GuillemotMichel LegerStphane LipskiBertrand MaguetPhilippe Trouchaud

Paris, 6 juillet 2008V 2.2


2/55

AFAI

2

Sommaire

1 Executive Summary............................................................................................... 4

2 Prface........................................................................................................................... 5

3 Introduction ...............................................................................................................6

4 Le contrle interne en environnement informatis : le rle ducadre de l'AMF................................................................................................................... 8

5 Les processus au cur de ces dmarches............................................. 11

6 Exemple pratique d'un processus................................................................14

7 La matrise des donnes ................................................................................... 17

7.1 Identifier les flux de donnes ........................................................................... 177.2 Contrler ces donnes ........................................................................................... 18

7.3 Obtenir une cartographie des bases de donnes .................................. 19

7.4 Vrifier lexistence de chemins de rvision .............................................. 20

8 Stratgie de mise en uvre du contrle interne en milieuinformatis........................................................................................................................ 21

9 L'audit informatique outil privilgi du contrle interne.............. 24

9.1 Les dmarches de contrle et de supervision au sein de

l'entreprise................................................................................................................................. 249.2 Les trois domaines de laudit informatique et leur apport aucontrle interne ...................................................................................................................... 26

10 Importance des contrles continus........................................................ 31

11 Cas dune mission daudit du processus dachats ......................... 33

12 Guide oprationnel........................................................................................... 36

12.1 Dvelopper l'approche par les processus .............................................. 36

12.2 Identifier les domaines fort niveau de risques............................... 37

12.3 valuer les dispositifs de contrle interne de l'entreprise .......... 38

12.4 Matriser l'approche par les processus .................................................... 39

12.5 Mettre en place des mesures a minima concernant lactivitinformatique.............................................................................................................................. 40

12.6 Renforcer les dispositifs de contrle intgrs .................................... 41

12.7 Mettre en place un systme d'information ddi aux contrleset au suivi des anomalies .................................................................................................. 42

12.8 valuer la qualit et l'efficacit des contrles en place ................ 43

12.9 Renforcer les processus informatiques................................................... 4413 Annexes................................................................................................................... 45


3/55

AFAI

3

1 - Application du cadre de l'AMF aux systmes d'information........ 46

2 - Le COSO appliqu aux systmes d'information................................... 48

3 - Bibliographie.............................................................................................................54

Table des illustrations

Figure 1 Exemple de cartographie des processus de l'entreprise .............. 11Figure 2 - Description du processus clients ............................................................ 14Figure 3 - Description de l'activit "Prendre la commande" ............................. 15Figure 4 - Diagramme de flux d'une facturation ................................................... 18Figure 5 - Familles de contrle du Systme d'Information ............................... 21

Figure 6 - Relations de l'audit informatique au contrle interne ....................25Figure 7 - Le rfrentiel ValIT ......................................................................................27Figure 8 - Les 34 processus de CobiT 29Figure 9 - Recommandations de l'AFAI sur le cadre de rfrence de l'AMF.................................................................................................................................................. 47

Figure 10 - Le cube du COSO, 1reversion 1 ......................................................... 49Figure 11 - Le cube du COSO, 2meversion ............................................................ 52


4/55

AFAI

4

1 Executive Summary

Aux Etats-Unis la loi Sarbanes-Oxley et en France la loi sur la ScuritFinancire ont rendu obligatoire la mise en place de dispositifs de contrleinterne. Cette contrainte a eu un effet positif. L'exprience a montr quele renforcement des procdures a eu un certain cot mais, si cettedmarche est bien manage, elle peut en rapporter encore plus. C'est uninvestissement rentable en rationalisation et en renforcement del'efficacit de l'entreprise. L'allgement des structures est devenu un enjeuprimordial. L'amlioration des processus les rend plus performantes. Il estpour cela ncessaire de disposer de procdures internes efficaces et de

matriser les risques.La mise en place de dispositif de contrle interne repose en grande partiesur le contrle de l'informatique. C'est un point de passage oblig. Eneffet, dans la plupart des grandes et des moyennes entreprises, la quasi-totalit des procdures repose aujourd'hui sur des traitementsinformatiques, des serveurs, des bases de donnes, . La mise en placede diffrents dispositifs de contrle interne efficaces se fait et se fera deplus en plus l'aide de systmes d'information conus cet effet. Toutesles applications informatiques existantes doivent en tenir compte et le caschant doivent tre revues pour prendre en compte des rgles decontrle interne et pour, ventuellement, corriger d'ventuelles fragilitsdes dispositifs de contrle interne en place.

La loi fait aujourd'hui obligation de mettre en place et de dvelopper desdispositifs de contrle interne. Ceci exige danalyser et de perfectionnerles principaux processus de l'entreprise et de mettre en place desdispositifs de contrle interne. C'est le cur de la dmarche. Il est aussincessaire de renforcer le contrle des donnes car l'exprience montreque c'est un domaine encore fragile qui ncessite des dispositifs decontrle rigoureux.

Il est pour cela ncessaire de plonger dans les applications informatiques

et des bases de donnes de faon imaginer des solutions plus sres,plus efficaces, plus productives, C'est le rle de l'audit informatique.C'est un des moyens les plus efficaces pour s'assurer que les bonnespratiques en matire de systme d'information sont effectivementappliques. Cette dmarche garantit que les contrles et les scuritsncessaires sont en place et donnent les rsultats attendus.

Le dveloppement du contrle interne va donc se faire, en grande partie,grce au renforcement les dmarches de contrle et d'audit informatique.Il faut s'y prparer et s'organiser en consquence. Il est pour celancessaire de mettre en place un programme de renforcement des

pratiques grce un plan d'action qui doit tre planifi et men dans ladure.


5/55

AFAI

5

2 Prface

Le dveloppement du contrle interne est une ncessit. Si certains yvoient encore la multiplication de contraintes sans contrepartie, lamajorit considre dsormais que la mise en uvre dun contrle interneefficace est indissociable dune bonne gouvernance des entreprises.

Lobjet de ce document est de montrer limportance, dans une dmarchede revue du niveau de contrle interne, d'valuer le contrle interne embarqu dans le systme dinformation et le rle capital de lauditinformatique dans cette dmarche.

Les processus oprationnels des entreprises tant pour la plupartinformatiss, le systme dinformation est le support de nombreusesprocdures de contrle interne. Il est ncessaire de garantir que lescontrles ncessaires sont en place dans les applications et les systmes,quils sont efficaces et quils le resteront dans le temps.

Le maintien dun dispositif de contrle interne efficace dans le temps nepeut tre obtenu que par une bonne gouvernance des systmesdinformation, intgrant la matrise des risques et la conformit aux lois et

rglements. Le rfrentiel CobiT, aujourdhui dans sa quatrime version,apporte aux organisations et leurs parties prenantes les notions et lesoutils leur permettant de gouverner efficacement leur systmedinformation et, de l, de contribuer linstauration dun bon niveau decontrle interne par linformatique, en alliant performance et scurit.

Franois RenaultPrsident de l'AFAI


6/55

AFAI

6

3 Introduction

On assiste depuis quelques annes au renforcement de la notion decontrle interne. Elle s'est rapidement impose la suite de diversincidents qui ont fait apparatre des fragilits croissantes dans lesprocessus de reporting financier des grandes entreprises elles-mmesdues en grande partie des fragilits organisationnelles. Lexigence decontrle interne sest renforce la suite de la sur-communication de cesinsuffisances. Les dirigeants dentreprises sont d'autant plus sensibles ces recommandations que depuis plusieurs annes les lgislateurss'efforcent d'imposer aux entreprises une plus grande transparence.

Simultanment, on constate le dveloppement acclr des systmesd'information pousss par les progrs rapides des technologiesinformatiques. Ils sont devenus l'ossature des entreprises. La plupart desoprations effectues se font l'aide des outils informatiques disponibles.Les applications de gestion, en particulier les ERP, structurentprofondment la manire de travailler et dterminent la manire dont sefont les changes avec les diffrents partenaires. Elles contribuent lastructuration des processus de l'entreprise.

On a ainsi progressivement pris conscience de l'importance de leur rle

dans le fonctionnement de l'entreprise. Traditionnellement les oprationstaient analyses par fonction : les comptables, les gestionnaires dupersonnel, les acheteurs, le planning de production, les mthodes, Progressivement les processus ont structur les oprations de faon lesenchaner de manire transverse. C'est une mutation majeure dansl'approche classique des organisations. Au lieu de structurer les oprationspar les fonctions, elles sont organises par processus. Cela permet d'avoirune vision d'ensemble des activits de l'entreprise.

Pour cela il est ncessaire de suivre le flux des donnes d'un bout l'autrede l'entreprise et mettre en place des contrles d'tape en tape. Il estaussi possible de contrler les bases de donnes qui stockent cesinformations. C'est le cur de la dmarche de contrle interne dessystmes d'information.

Son but est de s'assurer que tout se passe bien. C'est aussi le rle del'audit informatique. Les dmarches mettre en uvre sont trs voisines.Les entreprises doivent mettre en place des procdures adaptes. Ellesinterviennent de trois manires diffrentes :

- L'informatique est un lment cl de la gouvernance de l'entreprise.Pour amliorer son efficacit, on doit s'efforcer de renforcer lamatrise de l'informatique.


7/55

AFAI

7

- Les contrles propres l'informatique, y compris les procdures descurit, permettent d'amliorer la qualit et l'efficacit desdiffrentes activits de l'entreprise.

- On insre de plus en plus souvent des contrles embarqus dansla plupart des traitements informatiss. Ces contrles permettent demieux matriser les oprations gres par l'entreprise et doncd'amliorer son efficacit.

Face ces proccupations, le cadre lgislatif a volu : LSF (Loi sur laScurit Financire), SOX (Sarbanes-Oxley Act), J-SOX (SOX japonais).On assiste au dveloppement de dmarches sur la base de cadres derfrence, comme celui de l'AMF (Autorit des Marchs Financiers) ou celuidu COSO, Committee of Sponsoring Organizations of the Treadway

Commission (1). Pour linformatique, on utilise le CobiT, Control Objectivesfor Information and related Technology (2).

Pour rpondre ces attentes nous allons examiner les points suivants :Chapitre 4. Les contrles internes en environnement informatis.Chapitre 5. Les processus au cur de ces dmarches.Chapitre 6. Un exemple de processus clients.Chapitre 7. La matrise des donnes .Chapitre 8. Les stratgies de mise en uvre du contrle interne en

milieu informatis.

Chapitre 9. L'audit informatique, outil privilgi du contrle interne.Chapitre 10. L'importance des contrles continus.Chapitre 11. Le cas d'une mission d'audit d'un processus.Chapitre 12. Un guide oprationnel, qui propose un certain nombre de

recommandations.

Ce rapport est complt par trois annexes :

1. Application du cadre de l'AMF aux systmes d'information.2. Le COSO appliqu aux systmes d'information. Il est important de

comprendre les concepts sous-jacents la premire et ladeuxime version de ce document de rfrence.

3. Une bibliographie sur le sujet.

1 - Voir annexe 2.

2 - CobiT : Gouvernance, Contrle et Audit de lInformation et des technologies associes ITGI (IT Gouvernance Institute) dition franaise AFAI. CobiT est le rfrentiel d'auditinformatique le plus largement reconnu.


8/55

AFAI

8

4 Le contrle interne en environnementinformatis : le rle du cadre de l'AMF

Le cadre de rfrence de lAMF dfinit le contrle interne par sesobjectifs :

- veiller la conformit aux lois et rglements ,- assurer lapplication des instructions et des orientations fixes par

la Direction gnrale ou le Directoire de l'entreprise,- maintenir le bon fonctionnement des processus internes de la

socit, notamment ceux concourant la sauvegarde de sesactifs ,

- garantir la fiabilit des informations financires .

Le contrle interne comprend cinq composantes :- une organisation, sappuyant sur des systmes dinformation

appropris,- une diffusion efficace de linformation pertinente,- un dispositif didentification, de suivi et de gestion des risques,- des activits de contrle proportionnes aux enjeux,- une surveillance permanente du dispositif de contrle interne.

Le fait que lentreprise soit informatise ou non na pas d'influence sur ladfinition du contrle interne. Cependant, cela a un impact fort surcertaines de ces composantes. (Voir l'analyse dtaille dans lannexe 1"Application du cadre de l'AMF aux systmes d'information").

Aujourdhui, les systmes informatiques sont un des lments cls desprocessus des organisations. Ils constituent la base des activits decontrle. C'est la quatrime composante du contrle interne.

Ces contrles peuvent tre :- manuels,- automatiss,- manuels partir dtats produits par des systmes informatiques.

En ce qui concerne les contrles automatiss, ils sont cods dans desapplications qui retranscrivent les logiques mtiers. Il est doncindispensable, pour que le contrle interne soit efficace, de vrifier que :

- les contrles automatiss sont pertinents, adapts, correctementimplments et prennes,

- seules les versions valides des applications sont mises enproduction,

- les contrles automatiss ne peuvent pas tre contourns au moyendutilitaires, que ce soit au niveau des bases de donnes, dumiddleware, du systme dexploitation ou du rseau.


9/55

AFAI

9

En ce qui concerne les contrles manuels raliss partir dtats issus desystmes informatiques, ils ne seront efficaces que si ces tats sontfiables. On en revient donc des proccupations voisines de cellesrelatives aux contrles automatiss :

- Lorigine de linformation est-elle pertinente ?

-Les applications produisant les tats sont-elles valides ?

- Les donnes peuvent-elles tre altres avant leur impression ouleur affichage ?

Do limportance du rle des systmes dinformation dans le dispositif decontrle interne, souligne par les auteurs du cadre de rfrence dans ladescription de la premire composante du contrle interne, lorganisation.

Les objectifs relatifs aux systmes dinformation sont les suivants : ilsdoivent tre conus et mis en uvre dans le but de traiter et dlivrer entemps voulu, en toute circonstance, une information fiable et adapte aux

besoins de lorganisation. Ils doivent assurer la protection desinformations contre laltration et la divulgation des tiers non autoriss.Ils doivent galement permettre de reconstituer les oprations effectues.Lvolution de ces systmes doit tre matrise et conforme aux objectifsde lorganisation.

Lusage de systmes informatiss impose le respect de lois spcifiques etintroduit de nouveaux risques, quil faut identifier et traiter. Nous citerons,par exemple, les risques suivants :

- l'excs de confiance dans des systmes ou des applications traitantincorrectement les donnes, ou traitant des donnes incorrectes, ou

les deux la fois ;- l'accs non autoris des donnes, pouvant entraner laltration ou

la destruction dinformation, lenregistrement de transactionsfrauduleuses ou le passage dcritures comptables errones ;

- les droits d'accs accords au personnel informatique aux systmespouvant entraner une violation du principe de sparation desfonctions ou du principe de besoin den connatre ;

- la modification non autorise de donnes de rfrence ;- la modification non autorise de programmes ou de paramtres ;- l'incapacit apporter les modifications requises dans les systmes

et les programmes ;- les interventions manuelles intempestives dans les systmes ;- la perte de donnes ou l'incapacit accder aux donnes lorsque

c'est ncessaire.

Lenvironnement de contrle interne de lorganisation doit intgrerlinformatique. Trop souvent on considre linformatique comme uneactivit spare des mtiers et son environnement de contrle estdconnect de celui de lorganisation. Or, on l'a vu, linformatique peutintroduire de nouveaux risques, qui exigent des contrles compensatoires

nouveaux ou amliors. Lattribution de la responsabilit des contrles estparfois peu claire entre linformatique et les mtiers.


10/55

AFAI

10

Enfin, il est de plus en plus frquent que des processus informatiss oudes composants informatiques soient externaliss. Dans ce cas,lorganisation garde la responsabilit du contrle interne des activitsexternalises et doit prendre des mesures visant garantir le maintien du

niveau de contrle interne de bout en bout, y compris chez les tiers.


11/55

AFAI

11

5 Les processus au cur de ces dmarches

La mise en place d'un contrle interne efficace passe par la comprhensiondtaille, de bout en bout, des activits de l'entreprise. A cette fin, lareprsentation des processus s'impose comme un outil performant. Lacartographie des processus distingue ceux qui:

- concernent l'activit principale de l'entreprise,- assurent un rle de support,- remplissent un rle de pilotage.

Dans une entreprise il faut vendre, acheter, produire,.et aussi tenir lacomptabilit et grer les ressources humaines. Il existe diffrentes

manires de reprsenter et de modliser une entreprise et ses processus.La figure 1 ci-dessous nen est quune illustration gnrale. Chaqueentreprise tant diffrente, la cartographie de ses processus lui estspcifique.

Analyser etidentifier le(s)

march(s)

Optimiserla chanelogistique

Mettre lesproduits disposition

Dvelopperl'approchemarketing

Vendreau client

Distribuerles produits

Piloter l'activit

Systmes d'information

Finances Contrle de gestion

Ressources humaines

Juridique

BESOINS

CLIENT

S

SA

TISFACTI

ON

CLI

ENT

Processus de direction / pilotage

Processus support

Processus oprationnels

ExplorerEvaluer fluxpotentiels

Dvelopper ProduireGrer lemarch

Figure 1 Exemple de cartographie des processus de l'entreprise


12/55

AFAI

12

Dans une logique de march on peut, comme lillustre cet exemple,regrouper les processus en trois grandes familles :

1. Les processus oprationnelsvont de la conception la ralisationdes produits et des services que lentreprise fournit ses clients.

Ceux-ci comprennent par exemple les achats, la production, lalogistique, la vente et le support aprs-vente. Le bonfonctionnement de ces processus conditionne lexcellenceoprationnelle de la socit et exige une vigilance toute particulireen matire de contrle interne.

2. Les processus supportregroupent toutes les fonctions de soutien la mise en uvre et lexploitation des processus lis aux produitset services de lentreprise ainsi que ceux destins au bonfonctionnement de celle-ci. Ce sont notamment la gestion desressources humaines, la gestion financire, la gestion desconnaissances, linformatique, le juridique.

3. Les processus de direction et de pilotage o vont treconcentres toutes les responsabilits et les autorits relevant de ladirection, en particulier tous les aspects lis la stratgie dedveloppement de lentreprise et son dploiement oprationnel, lastratgie produit-service ainsi qu la mise disposition de toutes lesressources ncessaires, et au pilotage de lensemble sous les anglesfinanciers, humains, technologiques, industriels, commerciaux etqualit, ainsi, bien sr que de contrle. Ce sont par exemple : ladfinition des orientations stratgiques, la culture et lthique, lesdlgations de pouvoirs, les contrles et les valuations,.

Ces diffrents processus interagissent en permanence selon des cyclestrs variables, rythms par diffrents vnements, que ce soit la dcisiondinvestissement dans une nouvelle gamme de produits et de prestations,la mise disposition dun produit, ou encore la fin dun exercice fiscal, etc.Certains de ces processus sexercent en continu et sont lis des activitsrcurrentes, dautres sont momentans, lis une action ponctuelle ourelvent de la conduite de projet.

Matriser un processus, cest dabord le documenter en tenant compte de

sa complexit. Il faut pour cela procder en trois tapes :1.Le schma global des processus permet d'avoir une vision

d'ensemble de lactivit et du fonctionnement de lentreprise. Cetteapproche est la mme que pour une dmarche qualit, un schmadirecteur informatique, une cartographie des risques

2.La reprsentation dtaille de chacun des processus met envidence lenchanement des activits et les principaux fluxdinformations.

3.Lanalyse dtaille des processus documente les tchesmanuelles et automatises et prcise leurs enchanements sous


13/55

AFAI

13

forme de diagrammes. Cet exercice de diffrenciation des tchesinformatises et manuelles fait apparatre pour de nombreuxprocessus de l'entreprise que le systme dinformation en constitueen fait la colonne vertbrale. Do limportance majeure accorde ausystme dinformation en matire de contrle interne.

Cette reprsentation permet :- de dterminer les points de contrle : type, localisation,- de mesurer lefficacit du contrle.

La forme la plus aboutie de contrle interne devrait permettre en dfinitivedvaluer :

- les performances internes du processus : le processus sexcutebien et de faon rptable et efficace sous le contrle de la directionde l'entreprise ;

- les performances externes du processus : le processus fournit unniveau de performance cohrent avec celui des autres processuspour atteindre des objectifs gnraux de lentreprise.

Ainsi les processus deviennent le langage commun de tous les acteurs quipratiquent le pilotage, lorganisation, la conception des systmesdinformation ou laudit dans lentreprise.

C'est par ce langage commun que peut tre mis en place un dialoguedamlioration permanente au sein de lentreprise. Il lui garantit la

prennisation de ces processus mais ausside rester agilepour adapter enpermanence son organisation l'volution de son environnement et desbesoins de ses clients. A cet gard, le contrle interne est un outilessentiel la dtection le plus en amont possible des besoins d'volutionsdes processus.


14/55

AFAI

14

6 Exemple pratique d'un processus

Pour bien comprendre limportance des processus dans la dmarche decontrle interne, prenons par exemple la reprsentation simplifie dunprocessus commercial, couvrant les tches allant de la prospection desclients au paiement des factures.

Figure 2 - Description du processus clients

Ce schma rsume les 3 grandes tapes du processus :

La prospection et lenrichissement de la base Clients : par la cration de nouveaux clients ou prospects, par la mise jour de la politique de crdit pour chaqueprospect ou client, en fonction de la situation financire de sa

Dfinirla politique

crdit Client

Prendre la commande

Prospecter& grer contacts Clients

Mettre jourBase Clients

Livrer

Politique crdit Informations Client

Limites crdit Client

Bon de commande

Facturer

ClientClient

Facture

Confirmation

contenu livraison

EncaisserComptabiliser

Biens et Services livrs

Paiement

Elments comptabiliser Paiement r ecevoir

Qualit paiements Client

Encours crdit Client

Dfinirla politique

crdit Client

Prendre la commande

Prospecter& grer contacts Clients

Mettre jourBase Clients

Livrer

Politique crdit Informations Client

Limites crdit Client

Bon de commande

FacturerFacturer

ClientClient

Facture

Confirmation

contenu livraison

EncaisserEncaisserComptabiliserComptabiliser

Biens et Services livrs

Paiement

Elments comptabiliser Paiement r ecevoir

Qualit paiements Client

Encours crdit Client


15/55

AFAI

15

Socit, mais aussi dventuels incidents constats sur sespaiements ;

La prise de commande (tenant compte des limites de crdit duclient et des encours de paiement recevoir) et la livraison ;

Le suivi administratif de la vente qui se traduit par : ldition de la facture, la comptabilisation du chiffre daffaires correspondant en

comptabilit clients, le suivi du paiement effectif, et la dtection des retards ou

incidents de paiement.

Chaque activit de ce processus peut tre elle-mme dcompose entches lmentaires, affectes aux diffrents acteurs ou services delentreprise, de faon dfinir une procdure de travail.

Par exemple, les tches du Service dadministration des ventes,concernant lactivit Prendre la commande , peuvent tre dveloppesselon le schma ci-dessous.

Figure 3 - Description de l'activit "Prendre la commande"

Enregistrer

la commande du Client

Identifier le Client

dans la Base Clients

Vrifier la capacit

crdit du Client

et le paiement

des dernires factures

OK

ClientClient

A/R

Vrifier

la disponibilitdes marchandises

Fax ou courrier

KO

OK

KO

OK

Transmettre le bon

de commande valid

au Magasin

Emettre laccus

de rception

KO

ServiceAdministration des Ventes

ServiceCommercial

ServiceCrdit Client

Enregistrer le

nouveau Client

Traiter lincidentavec le Client

Tenir jour les

plafonds crdit

Comptabilit- Trsorerie

Tenir jour

la Base Clients

Tenir jour

les comptes clients

et les paiements

Proposer au clientla modificationde commande

ou de dlai

Vrifier et valider

la commande et engager

la livraison

Enregistrer

la commande du Client

Identifier le Client

dans la Base Clients

Vrifier la capacit

crdit du Client

et le paiement

des dernires factures

OK

ClientClient

A/R

Vrifier

la disponibilitdes marchandises

Fax ou courrier

KO

OK

KO

OK

Transmettre le bon

de commande valid

au Magasin

Emettre laccus

de rception

KO

ServiceAdministration des Ventes

ServiceCommercial

ServiceCrdit Client

Enregistrer le

nouveau Client

Traiter lincidentavec le Client

Tenir jour les

plafonds crdit

Comptabilit- Trsorerie

Tenir jour

la Base Clients

Tenir jour

les comptes clients

et les paiements

Proposer au clientla modificationde commande

ou de dlai

Vrifier et valider

la commande et engager

la livraison


16/55

AFAI

16

Pour matriser les risques qui leur sont attachs, la mise en uvre de cestches saccompagne de rgles de gestion et de contrles tels que :

- naccepter que les commandes compltes et autorises par lespersonnes habilites,

- vrifier que l'ensemble des commandes et des annulations de

commandes est enregistr de manire correcte,- rejeter les commandes de tout client en dfaut de paiement,- traiter les commandes uniquement dans les limites de crdit

autorises.De la mme faon, concernant les autres activits, des rgles de gestionet des contrles appropris devront tre mis en place :

l'activit Mettre jour la Base Clients comprend : vrification et justification de toute information cre ou

modifie dans la base clients, accs autoriss et limits la base clients,

approbation des limites de crdit, contrle et validation des conditions de paiement, vrification de l'unicit du client et du compte client.

lactivit Livrer comprend : rapprochement du bon de commande avec les marchandises

ou les prestations livres (quantit & qualit), validation par le client de la compltude de la commande

livre, contrle de l'exhaustivit des bons de livraison retourns.

les activits Facturer et Comptabiliser comprend : conformit de la facture par rapport aux conditions des bonsde commande et des contrats (conditions gnrales de vente,

prix, conditions de paiement,), justification des factures (bon de commande, bon de livraison), contrle de lexhaustivit de la facturation, enregistrement correct des factures et avoirs dans la priode

comptable approprie, validation et justification des avoirs mis, rapprochement des comptes auxiliaires et des comptes

gnraux, validation du calcul et de lenregistrement des taxes (TVA).

lactivit Encaisser comprend : affectation correcte du rglement client au compte client

associ et suivi des rglements non affects, contrle du bordereau de remise de chques, analyse des impays, contrle des carts de rglement, suivi des acomptes reus, enqute financire pour les clients risque, contrle de la sortie des clients douteux du compte 411, contrle du calcul de la provision pour clients douteux, justification des passages en pertes sur crances

irrcouvrables, suivi des dossiers contentieux.


17/55

AFAI

17

7 La matrise des donnes

La traabilit et la fiabilit des informations produites sont deux lmentscls du concept de transparence financire, tel quil est dvelopp par lesnouvelles rglementations relatives llaboration et la production delinformation financire (notamment le Sarbanes Oxley Act aux Etats-Unis,la Loi sur la Scurit Financire en France).

Pour rpondre ces exigences, il est ncessaire de matriser les quatrepoints suivants :

- Identifier les flux de donnes,- Contrler ces donnes,- Obtenir une cartographie des bases de donnes,- Vrifier lexistence de chemins de rvision.

Ces exigences structurent les applications et dterminent leurscaractristiques essentielles.

7.1 Identifier les flux de donnes

Pour dterminer les contrles mettre en place, il est ncessaire d'avoirune vue globale de la circulation des donnes tout au long de la chanedes traitements, allant de la saisie initiale des donnes jusqu' leurarchivage final, en passant par leurs modifications et leurs mises jour,leurs stockages, leurs ditions, .

Cette vue globale dcoule, en grande partie, dune analyse desprocessus ; mais celle-ci, au lieu de s'attacher dtailler les traitements,se concentre sur les donnes. Elle a pour objectif d'identifier l'ensembledes bases de donnes mises en uvre, et les oprations qui sont faitespour transfrer les donnes d'une base l'autre.

Prenons pour illustration le cas d'une application commerciale. Comme lemontre la Figure 4 ci-dessous, on commence par saisir les commandesdes clients, et on constitue une premire base de donnes comprenant lesbons de commande. Aprs contrle des informations saisies par rapport la base produits, un premier traitement permet de crer les bons delivraison. Une fois le client livr, un second traitement tablit les factures,qui sont ensuite dverses dans la comptabilit clients. Une fois qu'ellessont soldes, ces critures sont archives fin de contrle.

Comme on le voit, cette circulation des donnes nest pas simplement un

dversement des donnes d'une base dans l'autre mais un enchanementde contrles, de traitements et d'agrgations de donnes.


18/55

AFAI

18

Base Produits

Archivage

Comptesclients

Bon delivraison

CommandesBase clients

Facture

Figure 4 - Diagramme de flux d'une facturation

7.2Contrler ces donnes

L'ensemble des donnes doit tre contrl tout au long de cette

circulation. Le niveau des contrles est dtermin en fonction des niveauxdes risques estims. Il faut prvoir suffisamment de contrles sans pourautant verser dans une prolifration excessive. Par exemple, dans le casd'une base de donnes clients, il faut avant tout veiller ne pas avoir dedoublon et vacuer le plus vite les clients inactifs depuis plusieurs annes.Par contre, il ne sert rien de vrifier les numros de tlphone ou detlcopie.

Les donnes sont normalement contrles au moment de la saisie. Le butest de dtecter des anomalies comme des codes errons, des totaux

inexacts, des oublis significatifs, Les concepteurs veillent mettre tousces contrles en dbut de traitement de faon ne pas avoirultrieurement de rejets. Par exemple, dans le cas d'une facturation, il nefaut pas rejeter une commande au moment de l'dition. Les contrlesdoivent avoir t faits prcdemment.

Mais ce n'est pas suffisant. Il est ensuite ncessaire d'effectuer descontrles lors des diffrents traitements pour s'assurer que les oprationsse droulent normalement. Dans le cas d'une application commerciale, onva, par exemple, s'assurer que :

- toutes les commandes saisies ont donn lieu l'mission d'unbon de livraison,


19/55

AFAI

19

- toutes les livraisons faites se sont traduites par le transfert deces donnes vers la facturation,

- toutes les factures sont justifies par un ou plusieurs bons decommandes,

- toutes les factures mises sont dverses en comptabilit clients,

-toutes les critures soldes ayant plus de X mois d'anciennetsont archives,

-

De mme, les principales bases de donnes, comme les bases clients etproduits, doivent tre priodiquement contrles pour s'assurer que :

- tous les clients et tous les produits existent : dans le cas desclients y a-t-il une circularisation ? Est-elle suffisante ? Dans lecas des produits existe-t-il des doublons, des erreurs decodification ou de localisation ?

- toutes les mises jour faites sur ces bases sont traces : ceciconcerne les donnes saisies, mais aussi les transferts dedonnes, les mises jour des bases au cours des traitements,

- les bases de donnes sont exhaustives : il faut tre capable dedtecter des disparitions accidentelles ou volontaires de donnes.

- lintgrit des donnes stockes a t protge, et par exemplecertains cumuls nont pas pu tre fausss la suite de faussesmanuvres,

- le chanage des informations entre diffrentes bases est completet fonctionne correctement,

- .

L'exprience montre ici encore que les contrles actuels ne sont

pas suffisants et qu'il est ncessaire de les renforcer.

7.3Obtenir une cartographie des bases de donnes

Pour expliquer et analyser les incohrences potentielles, il est ncessairede disposer dun document identifiant les principales bases de donnes delentreprise et les relations qu'elles ont entre elles. Il ne sagit pas dumodle de donnes logique mais bien du modle physique.

Ce schma doit faire apparatre un certain nombre d'informationsfondamentales pour matriser le systme :- la localisation des donnes : serveur ou systme disque o les

donnes sont stockes,- le volume de la base : nombre d'occurrences, taille thorique,

taille relle,- le type de sauvegarde des bases et la priodicit des

sauvegardes,- l'ventuelle recopie des donnes des bases sur le systme

disque,- la journalisation des mises jour, en indiquant leur lieu de

stockage,- la duplication ou la synchronisation des donnes,-


20/55

AFAI

20

Le but de la cartographie est de faciliter la connaissanceoprationnelle et la localisation des bases de donnes et des'assurer que les sauvegardes sont suffisantes compte tenu duniveau de risque.

7.4Vrifier lexistence de chemins de rvision

Lobjectif est de retrouver une information ou une donne partir duneautre, issue dune application informatique logiquement et physiquementloigne. Il est ainsi possible, par exemple, de remonter d'un compte dubilan au dtail des comptes puis aux critures et, le cas chant, auxpices justificatives.

Il faut pour cela mmoriser le parcours suivi par une information. Cest ceque permet le chemin de rvision aussi appel piste d'audit ou audit trail .

Ce parcours doit tre enregistr l'aide de pointeurs ou d'index. Il peutaussi tre inscrit sur la carte didentit de la donne. Il est aussipossible de stocker ces donnes dans un datawarehouse ou entrept dedonnes. Pour retrouver les donnes, il est ncessaire de disposer delogiciels permettant de remonter des cumuls vers les dtails justificatifs.

Le dfaut de chemins de rvision doit tre considr comme unefragilit certaine des procdures de contrle interne.

En conclusion, la matrise des donnes est un point fondamental de ladmarche de contrle interne. Elle impose de prvoir des dispositifsadapts, notamment la gestion des flux de donnes, leur contrle,l'tablissement de la cartographie des bases de donnes et l'existence dechemins de rvision.


21/55

AFAI

21

8 Stratgie de mise en uvre du contrle interneen milieu informatis

Pour effectuer la mise en place de leur systme de contrle interne, laplupart des entreprises ont recours au rfrentiel COSO (voir en annexe2) et notamment pour assurer :

- La dfinition de lenvironnement de contrle,- Lvaluation des risques,- La dfinition des activits de contrle,- Linformation et la communication,- La supervision des contrles.

Ce rfrentiel ne traite pas spcifiquement les Systmes dInformation cequi a conduit lISACA et lITGI proposer de localiser le contrle interne

du systme dinformation comme prsent sur le schma suivant enmettant au cur de lentreprise les processus mtier.

Fonction informatique(systme exploitation, telecom, continuit, rseau)

Direction Gnrale

ProcessusMtier

Finance

ProcessusMtier

Production

ProcessusMtier

Logistique

ProcessusMtier

Etc.

Fonction informatique(systme exploitation, telecom, continuit, rseau)

Direction Gnrale

ProcessusMtier

Finance

ProcessusMtier

Production

ProcessusMtier

Logistique

ProcessusMtier

Etc.

Contrles au niveau delentit

Ces contrles donnent le ton et

transmettent la culture delentreprise.

Les contrles informatiques font

parties de ces contrles qui

comprennent:

Stratgies et plans daction

Politiques et procdures

Evaluation des risques

Formation

Assurance qualit

Audit interne

Contrles gnrauxinformatiques

Contrles intgrs dans les processus de la fonctioninformatique qui permettent un environnement de

traitement fiable et qui permettent aussi un

droulement adquat des contrles dapplication.

Ces contrles couvrent notamment:

le dveloppement des applications

les modifications des applications

laccs aux donnes et aux programmes

les traitements informatiques

Contrles dapplications

Contrles intgrs dans les applications

grant les processus mtier et qui

participent aux contrles financiers. Ces

contrles sont prsents dans la plupartdes applications de gestion y compris

dans les systmes importants style SAP

et Oracle comme dans ceux par TPE.

Ces contrles ont pour objectifs:

lexhaustivit

lexactitude

lexistence et lapprobation

le dtail pour fournir linformation danslannexe

Figure 5 - Familles de contrle du Systme d'Information


22/55

AFAI

22

Les trois familles de contrle sont donc :- les contrles au niveau de lentit,- les contrles gnraux informatiques,- les contrles applicatifs qui sont partie prenante du contrle interne

des processus mtier.

A partir de l'analyse des principaux processus il est donc possible :- didentifier le flux d'oprations traites et les principales bases de

donnes concernes,- de dcider des contrles mettre en place pour s'assurer que les

traitements se font conformment aux objectifs du contrle interne,- de vrifier ensuite que les contrles souhaitables ont t mis en

place et qu'ils fonctionnent correctement, ce qui constitue la missionde l'auditeur.

De tels contrles existent depuis plusieurs dcennies. Il apparat

aujourdhui qu'il est ncessaire de les renforcer. Ceci est d laconjonction de plusieurs facteurs :

- la taille des entreprises et le degr de dcentralisation del'entreprise. Il y a une vingtaine d'annes, seules quelques trsgrandes entreprises de taille mondiale dpassant le milliard d'eurosde chiffre d'affaires, toutes amricaines, avaient des politiques decontrle interne. Aujourd'hui, des centaines, voire des milliers sontconcernes partout dans le monde. Il est vital de savoir ce qui sepasse rellement dans les trs nombreuses entits qui composentces entreprises, dont les mtiers sont souvent trs htrognes.

- l'internationalisation des activits. La part de l'activit domestiquede ces entreprises va en dcroissant, et il faut aujourdhui mettresous contrle des filiales prsentes sur les cinq continents, afin dematriser leur gestion et leurs rsultats, mais aussi de s'assurerqu'elles respectent toutes les rgles de contrle interne du groupe.

- le dveloppement des systmes d'information. L'informatique estaujourd'hui au cur de la plupart des processus de lentreprise, lesordinateurs de l'entreprise travaillent en liaison directe avec ceux deses clients et de ses fournisseurs. Il est fondamental de rguler etde coordonner l'ensemble de ces systmes.

Il est donc ncessaire de mettre en place un certain nombre de contrlespermettant de matriser l'ensemble des processus. Pour les structurer,plusieurs types d'approches sont possibles. Un modle simple consiste faire apparatre quatre niveaux de contrle :

- Les contrles oprationnels :c'est le premier niveau de contrle.Ils sont mis en uvre par les quipes oprationnelles. Ilspermettent de reprer les erreurs et de limiter les fraudes. Ce sontpour l'essentiel des contrles applicatifs dont le but est de s'assurerque des donnes errones ne se sont pas glisses dans celles qui

ont t saisies et que les traitements effectus sont conformes ce


23/55

AFAI

23

qui tait prvu. Les contrles possibles sont trs varis. Ils peuventtre globaux ou analytiques, manuels ou informatiques, .

- Les contrles d'ensemble.Le deuxime niveau est assur par lesresponsables encadrant les oprationnels, dont la mission estdouble : s'assurer que tout se passe bien et que les flux sont souscontrle, dtecter les situations anormales et prendre les mesuresncessaires pour les corriger.

- La dtection des situations anormales. C'est le troisimeniveau. Il fait appel diffrentes fonctions de contrle spcialisescomme la gestion de la scurit, le contrle de gestion, la gestionde la qualit, Toutes ces fonctions ont la fois une missiontechnique spcialise, comme d'amliorer la qualit ou le niveau dela scurit, et une mission de surveillance gnrale dufonctionnement des principaux processus.

- L'audit.Enfin, le niveau de contrle ultime est assur par l'audit,interne ou externe. A ce niveau, l'audit informatique, et notammentl'audit des applications, est le moyen le plus efficace pour matriserles principaux processus de l'entreprise.

Comme on le voit, il existe une hirarchie des lignes de dfense. A la baseil y a les contrles oprationnels assurs par les personnes charges desoprations courantes et au sommet de l'difice il y a les audits etnotamment les audits informatiques.

L'ensemble de ce dispositif repose, en grande partie, sur l'engagement dumanagement qui est charg de mettre en place des outils de contrlencessaires et de s'assurer de leur utilisation correcte : une faiblesse ouune dfaillance de l'encadrement peut avoir des consquencesimportantes.


24/55

AFAI

24

9 L'audit informatique outil privilgi du contrleinterne

Laudit informatique constitue dans ces conditions un pilier du contrleinterne. La matrise des processus de lentreprise et la matrise dusystme dinformation deviennent imbriques et relvent dune mmeapproche du contrle interne.

Nous analyserons dabord ici les synergies entre laudit informatique et lesautres dmarches contribuant au contrle interne. Puis nous examineronsde faon plus approfondie les apports des trois domaines couverts parlaudit informatique : la stratgie informatique, la fonction informatique etles processus informatiss.

9.1Les dmarches de contrle et de supervision au sein del'entreprise

Les dmarches mises en uvre en matire de contrle interne sont :

- l'audit comptable : son objectif est de garantir la sincrit des

comptes ; les missions daudit comptable sont souvent effectuespar le service d'audit interne, par les commissaires aux comptes ou,le cas chant, par les autorits de tutelle ;

- l'audit interne : ses missions, allant de l'inspection l'audit degestion en passant par l'audit oprationnel, ont pour but depermettre aux directions gnrales d'avoir l'assurance d'un niveaude scurit adapt chacun de ses processus ;

- la gestion des risques : elle permet dvaluer priodiquement leniveau des risques oprationnels et des risques bilanciels desentreprises ;

- la scurit des systmes d'information: elle a pour but des'assurer que les dispositifs de scurit organisationnels, matrielset logiciels fonctionnent correctement ;

- laudit informatiquea pour but d'valuer l'efficacit des activitstelle que l'exploitation, les tudes, la gestion de projets,

- l'audit du systme d'information permet de s'assurer que les

ressources informatiques consommes contribuent l'efficacit del'entreprise.


25/55

AFAI

25

- l'audit qualit: il vrifie que les dispositifs d'assurance qualitsont oprationnels, efficaces et permettent de garantir un niveau dequalit satisfaisant.

Chacune de ces approches a naturellement tendance privilgier sesmthodes et ses points de contrle.

Mais pour en tirer la pleine valeur ajoute, et mieux rpondre aux attentesimposes par le nouveau cadre lgal, il est ncessaire dassurer leurcohrence et leur complmentarit, notamment par une meilleureutilisation de laudit informatique au service des autres dmarches decontrle interne. Il sagit dorganiser la coopration entre les mtiers et lescomptences connexes mais bien distincts, lis au contrle interne et laudit informatique.

Plus prcisment, lobservation des missions daudit informatique, il estpossible de les segmenter en trois grands domaines :

- Stratgie informatique de lentreprise: les missions daudit dece type ont pour but de sassurer de la pertinence du systmedinformation, de son adquation aux objectifs de lentreprise, etde son alignement sur ses stratgies globales ;

- Fonction informatique de lentreprise: ces audits portent sur laqualit des processus informatiques, cest--dire des processusmis en uvre par la fonction informatique elle-mme ;

- Processus informatiss de lentreprise: ce dernier domainecouvre les audits portant sur lefficacit des contrles intgrsdans les applications, et la sret du fonctionnementquotidien de linformatique.

La Figure 6 montre les principaux apports potentiels de chacun de cesdomaines de laudit informatique aux cinq autres dmarches de contrleinterne rappeles ci-dessus.

Stratgie informatique Fonction informatique Processus informatiss

Audit comptable X X

Audit interne X X X

Analyse des risques X X X

Audit de scurit X X

Audit Qualit X X

Champs de l'audit informatique

Autresdmarchesde contrle

interne

Figure 6 - Relations de l'audit informatique au contrle interne

Ainsi, travers ses trois domaines dintervention, laudit informatique joue


26/55

AFAI

26

un rle majeur au service du contrle interne.

9.2 Les trois domaines de laudit informatique et leur apportau contrle interne

Il est possible de prciser ce rle et ces apports de laudit informatique aucontrle interne, en approfondissant les objectifs et les caractristiques dechacun de ces trois domaines dintervention : stratgie informatique,fonction informatique et processus informatiss.

Audit de la stratgie informatique

Lobjectif de ce type daudit est de sassurer que le systme dinformationest en ligne avec la stratgie de lentreprise, avec ses enjeux et sesrisques spcifiques. Il ne suffit pas d'avoir des processus matriss etconformes aux rgles de lart pour produire le systme dinformationpertinent. Force est de constater que ce rsultat est fortement li lorganisation de lentreprise, sa culture et la maturit de la fonctioninformatique.

Aussi laudit informatique, dans son acception la plus complte, doit-ilanalyser la pertinence du systme dinformation lui-mme, cest--dire lefficacit de lappui quil fournit aux diffrents processus delentreprise, et la pertinence des efforts et des investissements consentispour le faire voluer et ladapter aux besoins nouveaux ou futurs.

Le rfrentiel ValIT (3) fournit un cadre trs utile, pour analyser la qualitdes processus de dcision et de suivi des investissements lis aux projetsde systmes dinformation. Il dfinit en effet 40 bonnes pratiques liesaux trois grands processus de gouvernance de la valeur (GV), de gestiondu portefeuille de projets SI (GP), et de gestion de linvestissementconsenti sur chaque projet (GI). Voir Figure 7.

Par contre, il nexiste pas de rfrentiel permettant de mesurerdirectement la pertinence du systme dinformation dune entreprise. En

effet, les besoins et les enjeux prendre en compte sont spcifiques chaque entreprise, car fonctions de son domaine dactivit et de sesmtiers, mais aussi de sa culture, de son positionnement stratgique et deson environnement.

Pour cela, on va valuer au cas par cas les applications informatiques, entant que support de lensemble des rgles de gestion, des fluxdinformation internes et externes, des modes opratoires de la plupartdes postes de travail.

3 - Val IT : Cration de valeur pour lentreprise : La Gouvernance des Systmes

dInformations ITGI (IT Gouvernance Institute) dition franaise AFAI


27/55

AFAI

27

Source : IT Governance Institute, 2006

Gestion

du portefeuille(GP)

Gestion

du portefeuille(GP)

Gouvernancede la valeur

(GV)

Gouvernancede la valeur

(GV)

GV1 Assurer un leadership inform et engagGV2 Dfinir et mettre en uvre les processusGV3 Dfinir les rles et les responsabilitsGV4 Assurer une responsabilit sur les rsultats adapte et accepteGV5 Dfinir les besoins dinformationGV6 tablir les besoins de reportingGV7 Crer les structures organisationnellesGV8 Donner les orientations stratgiquesGV9 Dfinir les catgories dinvestissementsGV10 Dterminer la composition du portefeuille cibleGV11 Dfinir les critres dvaluation par catgorie

GP1 Tenir linventaire des ressources humainesGP2 Identifier les besoins en ressourcesGP3 Raliser une analyse dcartGP4 Dvelopper un plan des ressourcesGP5 Piloter les besoins en ressources et leur utilisationGP6 Grer les besoins de financement dans un cadre donnGP7 valuer le business case amont du programmeGP8 valuer et attribuer un score relatif au business case du programmeGP9 Crer une vue globale du portefeuilleGP10 Prendre et communiquer la dcision dinvestissementGP11 Faire franchir les jalons aux programmes choisis (et les financer)GP12 Optimiser les performances du portefeuilleGP13 Revoir les priorits du portefeuilleGP14 Piloter et rendre compte des performances du portefeuille

Gestion

de linvestissement(GI)

Gestionde linvestissement

(GI)GI1 Prsenter de faon synthtique lopportunitGI2 laborer un business case amont du programmeGI3 Favoriser une comprhension claire des programmes propossGI4 Analyser des alternativesGI5 Dvelopper un plan de programmeGI6 Dvelopper un plan de ralisation des bnficesGI7 Identifier les cots et bnfices du cycle complet de vieGI8 Dvelopper un business case dtaill du programmeGI9 Attribuer clairement la responsabilit datteinte des rsultatsGI10 Initier, planifier et lancer le programmeGI11 Grer le programmeGI12 Grer/suivre les bnficesGI13 Mettre jour le business caseGI14 Piloter et rendre compte de la performance du programmeGI15 Clturer le programme

Gestion

de linvestissement(GI)

Gestionde linvestissement

(GI)GI1 Prsenter de faon synthtique lopportunitGI2 laborer un business case amont du programmeGI3 Favoriser une comprhension claire des programmes propossGI4 Analyser des alternativesGI5 Dvelopper un plan de programmeGI6 Dvelopper un plan de ralisation des bnficesGI7 Identifier les cots et bnfices du cycle complet de vieGI8 Dvelopper un business case dtaill du programmeGI9 Attribuer clairement la responsabilit datteinte des rsultatsGI10 Initier, planifier et lancer le programmeGI11 Grer le programmeGI12 Grer/suivre les bnficesGI13 Mettre jour le business caseGI14 Piloter et rendre compte de la performance du programmeGI15 Clturer le programme

Figure 7 - Le rfrentiel ValIT

Inversement, lanalyse du systme dinformation constitue une clmajeure pour analyser et mesurer lefficacit et la pertinence dune grandepartie des processus oprationnels et des processus de pilotage delentreprise : le systme dinformation constitue en effet bien souvent laseule trace concrte et auditable de leur fonctionnement rel.

Audit de la fonction informatique

Lobjectif de laudit de la fonction informatique est de sassurer que sonorganisation et ses processus sont pertinents et conformes aux rgles delart, quil sagisse des processus de planification, de pilotage, dedveloppement de nouvelles applications, de mise disposition desservices ou de support.

Notons que la fonction informatique et les processus prendre en compte

englobent, bien au-del des quipes informatiques internes, linterventiondes dirigeants et des matrises douvrage mtiers, et lensemble des


28/55

AFAI

28

acteurs externes (diteurs, prestataires et fournisseurs) qui contribuent aubon fonctionnement du systme dinformation.

Il faut galement souligner que la capacit du systme informatique bienfonctionner doit intgrer sa capacit voluer et notamment pour prendre

en compte les changements propres linformatique : volutions destechnologies, nouveaux logiciels et progiciels, changements de versions,

La qualit de fonctionnement et lefficacit actuelles et futures desprocessus de lentreprise dpendent ainsi troitement de la qualit desprocessus de la fonction informatique. Laudit de la fonction informatiqueconstitue ds lors un point d'action essentiel du contrle interne.

Le rfrentiel majeur de ce second type daudit informatique est CobiT :Control Objectives for Information and related Technology. CobiT V4.1

identifie les 4 grands domaines et les 34 processus, voir Figure 8. Il dcritde faon dtaille les objectifs, les indicateurs, et les bonnes pratiquesassocis chacun de ces processus, et propose les modles de maturitassocis.

Pour une grande part, ces bonnes pratiques dfinissent les rponses quidoivent tre apportes par la fonction informatique aux proccupations quisont celles du contrle interne.

Cest notamment le cas pour :

- les processus PO 4, PO 5, PO 8, PO 9, et PO 10 du domaine Planifieret Organiser (Voir Figure 8),- les processus AI5 et AI6 du domaine Acqurir et Implmenter,- les processus DS4, DS5, DS8, DS10 et DS11 du domaine Dlivrer et

Supporter,- lensemble des processus du domaine Surveiller et valuer, qui

portent sur le contrle interne des autres processus.

Lauditeur doit slectionner, en fonction de ses objectifs, et descaractristiques particulires de lentreprise et de ses systmesinformatiques, quels processus doivent tre analyss de faon plusapprofondie.


29/55

AFAI

29

Planification et organisationPlanifier

& organiser

PO1 Dfinir un Plan informatique stratgiquePO2 Dfinir larchitecture de lInformationPO3 Dterminer lorientation technologiquePO4 Dfinir les processus, lorganisation et les relations de travailPO5 Grer les investissements informatiquesPO6 Faire connatre les buts et les orientations du managementPO7 Grer les Ressources Humaines de linformatiquePO8 Grer la qualitPO9 valuer et grer les risques

PO10 Grer les Projets

Acquisition &mise en place

Acqurir& implmenter

AI1 Trouver les solutions informatiquesAI2 Acqurir des applications et en assurer la maintenanceAI3 Acqurir une infrastructure technique et en assurer la maintenance

AI4 Acqurir des ressources informatiquesAI5 Grer les changementsAI6 Installer et valider les solutions et les modifications

Mise disposition& support

Dlivrer& supporter

PilotageSurveiller et Evaluer

SE1 Surveiller et valuer la performance des SISE2 Surveiller et valuer le contrle interne

SE3 Sassurer de la conformit rglementaireSE4 Mettre en place la gouvernance des SI

DS1 Dfinir et grer les niveaux de serviceDS2 Grer les services tiersDS3 Grer la performance et la capacitDS4 Assurer un service continuDS5 Assurer la scurit des systmesDS6 Identifier et imputer les cotsDS7 Instruire et former les utilisateursDS8 Grer le service dassistance client et les incidentsDS9 Grer la configurationDS10 Grer les problmesDS11 Grer les donnesDS12 Grer lenvironnement physiqueDS13 Grer lexploitation

Source : ISACA / IT Governance Institute

AI4 Faciliter le fonctionnement et lutilisation

Planification et organisationPlanifier

& organiser

PO1 Dfinir un Plan informatique stratgiquePO2 Dfinir larchitecture de lInformationPO3 Dterminer lorientation technologiquePO4 Dfinir les processus, lorganisation et les relations de travailPO5 Grer les investissements informatiquesPO6 Faire connatre les buts et les orientations du managementPO7 Grer les Ressources Humaines de linformatiquePO8 Grer la qualitPO9 valuer et grer les risques

PO10 Grer les Projets

Acquisition &mise en place

Acqurir& implmenter

AI1 Trouver les solutions informatiquesAI2 Acqurir des applications et en assurer la maintenanceAI3 Acqurir une infrastructure technique et en assurer la maintenance

AI4 Acqurir des ressources informatiquesAI5 Grer les changementsAI6 Installer et valider les solutions et les modifications

Mise disposition& support

Dlivrer& supporter

PilotageSurveiller et Evaluer

SE1 Surveiller et valuer la performance des SISE2 Surveiller et valuer le contrle interne

SE3 Sassurer de la conformit rglementaireSE4 Mettre en place la gouvernance des SI

DS1 Dfinir et grer les niveaux de serviceDS2 Grer les services tiersDS3 Grer la performance et la capacitDS4 Assurer un service continuDS5 Assurer la scurit des systmesDS6 Identifier et imputer les cotsDS7 Instruire et former les utilisateursDS8 Grer le service dassistance client et les incidentsDS9 Grer la configurationDS10 Grer les problmesDS11 Grer les donnesDS12 Grer lenvironnement physiqueDS13 Grer lexploitation

Source : ISACA / IT Governance InstituteSource : ISACA / IT Governance Institute

AI4 Faciliter le fonctionnement et lutilisation

Figure 8 - Les 34 processus de CobiT

Audit des processus informatiss de lentreprise

Enfin, ce troisime domaine de laudit informatique a pour objectif desassurer que le systme dinformation est sr : les missions menes dansce domaine portent principalement sur la sret de fonctionnement, et lescontrles embarqus dans les applications (dvelopps au chapitresuivant), devenus des points dattention majeurs du contrle interne.

La sret du fonctionnement de l'outil informatique est en effet une desconditions cls de la continuit des activits de l'entreprise, certainesdfaillances pouvant aller jusqu mettre en cause sa survie :

- Les pannes informatiques causent des dommages directs.

- Les pertes de donnes accidentelles sont gnralement irrparablessi des sauvegardes suffisantes nont pas t mises en uvre.

- Le rseau informatique, ncessairement ouvert au monde extrieur(relations clients et fournisseurs, utilisation gnralise de la


30/55

AFAI

30

messagerie, ) est devenu le point dentre dattaques incessantes.

La sret du fonctionnement informatique doit donc tre apprcie soustous ses aspects (disponibilit des systmes, continuit de service,fiabilit, scurit, maintenabilit), et ici encore en sintressant non

seulement la situation actuelle, mais aussi aux risques lis auxvolutions futures.

Ainsi, lissue de ce survol rapide des trois domaines de lauditinformatique, limportance des objectifs de contrle confirme son apportessentiel au contrle interne.


31/55

AFAI

31

10Importance des contrles continus

La plupart des entreprises qui tirent le bilan des travaux de contrleinterne mens dans le cadre de la loi Sarbanes-Oxley ou de la loi deScurit Financire constatent :

- un degr encore excessif des contrles manuels,- un cot lev de mise niveau,- trop derreurs encore dtectes lors daudits internes ou externes,- plus de contrles dtectifs que de prventifs,- beaucoup trop dexceptions et de dtournements de contrles,- une insuffisante prise en compte des risques oprationnels.

Lobjectif est ici de mettre en place un contrle permanent, selon unedmarche appele aujourdhui CCM, pour Continuous ControlMonitoring .

Dans cette dmarche, les contrles embarqus dans les applicationsconstituent un des points cls permettant de sassurer de contrlessuffisants :

- des donnes saisies,- de lexhaustivit des traitements,- de lintgrit des bases de donnes,

- des accs.Avant dengager une telle dmarche, il est intressant de mesurer ledegr de maturit du contrle interne de lentreprise sur une chelle quatre niveaux, en fonction du degr dautomatisation des contrles et deleur valeur ajoute :

- traditionnel : contrles manuels essentiellement,- intermittent : contrles manuels ou automatiss raliss de faon

espace,- priodique : contrles en grande partie automatiss et rcurrents,- continu : contrles trs automatiss, raliss au fil de leau.

Pour se situer dans ce modle de maturit, lentreprise doit donc se poserles questions suivantes :

- quel est le niveau dautomatisation des contrles ?- sont-ils trs variables en fonction des processus ou des units

considres ?- quelle est la valeur ajoute de ces contrles, et la Direction

souhaite-t-elle la renforcer ?

Le champ dapplication peut tre trs variable dans lentreprise elle-mme, et concerner les systmes suivants :

- ERP : SAP, Oracle, JD Edwards, Peoplesoft,


32/55

AFAI

32

- autres systmes applicatifs : Supply Chain, Customer RelationshipManagement,

- systmes techniques : scurit rseau, infrastructure, help desk,contrles daccs,

Les indicateurs utilisables dans une dmarche CCM sont de nature trsvaris et dtermins en fonction des objectifs de contrle poursuivis. Cesont par exemple :

- passage de seuil : achats suprieurs 100.000 ,- accs aux transactions sensibles : liste des utilisateurs concerns,- changements interdits dans les fichiers matres : modification de

coordonnes bancaires,- transactions interdites : dblocage dun paiement indu,- doublons : clients en double dans les fichiers,- enregistrements mal renseigns : absence de code TVA,

- mauvaise sgrgation de fonction : possibilit de crer un client etde payer sa facture,- cohrence des dates : rception des biens le jour mme de la

cration de la commande.

Rares sont encore les entreprises franaises avoir adopt des approchesdensemble pour le CCM, mme si beaucoup dentre elles sont enrecherche doutils et de solutions.

La dmarche CCM porte ses fruits si lentreprise constate que son

environnement de contrle est renforc de manire durable, avec un gaindefficacit, une automatisation visible des alertes, beaucoup deprvention, et moins danomalies dtectes au cours des audits.


33/55

AFAI

33

11 Cas dune mission daudit du processusdachats

Pour apprcier l'importance et la richesse des audits de processusnotamment pour renforcer les rgles de contrle interne, il est intressantde dcrire une mission d'audit d'un processus d'achats. C'est un domainecomplexe et souvent les outils informatiques et les dmarches mises enuvre sont fragiles et peuvent tre amliores.

Contexte de l'intervention

Dans le cadre du plan daudit annuel de cette grande socit, il est prvude raliser un audit du processus dachats de frais gnraux, qui inclut :- les fournitures diverses,- les petits matriels informatiques et leur maintenance,- lentretien des locaux,- lorganisation dvnements au sein de lentreprise.

Cet audit se justifie en raison des enjeux lis la nature et au volume deces achats, et aux risques inhrents, notamment de fraude. Par ailleurs,les utilisateurs se plaignent dun manque de fiabilit des applicationsinformatiques correspondantes.

Les commandes de services gnraux sont ralises de faon transversepar lensemble des Directions de la socit. Le responsable des achatssouhaite amliorer ce processus, dans ses diffrentes composantes etleurs imbrications :

- commande,- approbation,- rception physique,- rception de la facture,- bon payer,- paiement.

Lobjectif fix laudit consiste :- caractriser les forces et les faiblesses du processus de gestion des

achats de services gnraux et des applications le supportant,- tablir un diagnostic de lexistant en termes de contrle interne,- amliorer lefficacit gnrale du processus,- identifier les points de contrle cls mettre en uvre.


34/55

AFAI

34

Dmarche de laudit

Les actions sur site de la mission daudit portent alors sur les pointssuivants :

- tude de la documentation existante : organigramme, processus,

tableaux de bord, - entretiens avec les acteurs cls du dpartement Services gnraux,- entretiens avec la Direction Comptable afin de caractriser les

lourdeurs et les dysfonctionnements induits par le processusexistant et didentifier les axes damlioration,

- entretiens avec la Direction Informatique afin de comprendre lesprincipes de lapplication informatique utilise, et dapprcier lespossibilits dvolution technique de cette solution, ainsi que lesprocessus supports de lapplication,

- analyse des risques et des contrles prsents au sein du processus

manuel ou de l'application informatique,- analyse de la sparation des tches au sein du processus et

vrification de l'alignement des droits d'accs des utilisateurs l'application informatique,

- tests d'efficacit des contrles en place.

Constats et faits marquants

Ces analyses font apparatre un certain nombre de dysfonctionnements :- nombre lev de commandes hors circuit ou hors budget ,

- pas de suivi en temps rel du budget des achats des directions,- dlai excessif entre la rception physique et lapprobation de ladirection acheteuse,

- paiements raliss en labsence dapprobation formelle,- htrognit du processus dapprobation et du niveau hirarchique

des approbateurs suivant les directions acheteuses,- sparation de fonctions insuffisante dans le processus

dapprobation : la personne qui commande est souvent la mmeque celle qui approuve,

- absence de limites dachat suivant la nature des biens commandset le niveau hirarchique de lauteur de la commande.

Par ailleurs des opportunits dautomatisation du processus mritentdtre explores :

- mise en uvre dun workflow dapprobation,- traabilit des approbations de chaque commande,- archivage des preuves dapprobation.


35/55

AFAI

35

Recommandations

Laudit se conclut par les trois recommandations suivantes.

- Il propose dabord de rationaliser le processus et les seuils

dapprobation des commandes via la mise en place dun workflow : identification pour chaque flux de commande dun approbateur et

dun dlgu (lassistant de lapprobateur, le plus souvent), mise en uvre de seuils dapprobation automatiss et ajouts

dapprobateurs supplmentaires au-del dun certain montant decommandes,

prservation des preuves dapprobation lectroniques, dans lasolution.

- Il recommande de vrifier la sparation de fonctions, en sappuyant sur

cet outil de workflow, par la mise en place de contrles applicatifs : laboration et intgration dans la solution dune matrice

dapprobation par direction acheteuse afin dviter lauto-approbation,

mise en uvre de nouvelles habilitations dans le module achat etdans le module comptabilit fournisseurs de lapplication : accslimit la fonction de rception physique, et limite daccs laconsultation suivant les natures de commandes.

- Enfin, laudit recommande dallger le processus dapprobation et de

mieux intgrer processus dachat de frais gnraux avec les processusbudgtaire et fournisseurs: dcrmentation du budget des directions acheteuses ds

linitialisation de la commande, dclenchement du bon payer lors de la saisie de la rception dans

lapplication.

Ainsi, cet audit a contribu :- optimiser ce processus et rationaliser la gestion des

approbations,- mieux coordonner ce processus et les processus budgtaire

et fournisseurs,- renforcer le contrle interne sur le processus.


36/55

AFAI

36

12Guide oprationnel

Le renforcement des pratiques (4) de contrle interne des systmesd'information ncessite de dfinir un plan d'action. La dmarche mettreen uvre est itrative. Elle doit tre planifie et mene dans la dure. Ellepeut inclure les neuf domaines suivants qui peuvent tre traits dansl'ordre le plus adapt par les entreprises :

1. dvelopper l'approche par les processus,

2. identifier les domaines fort niveau de risques,

3.

valuer les dispositifs de contrle interne de l'entreprise,4. matriser l'approche par les processus,

5. mettre en place des mesures a minima concernant lactivitinformatique,

6. renforcer les dispositifs de contrle intgrs,

7. mettre en place un systme d'information ddi aux contrles,

8. valuer la qualit et l'efficacit des contrles en place,

9. renforcer les processus informatiques.

Comme on le voit, les efforts ncessaires pour renforcer les contrles etavoir un systme d'information fiable et conforme sont importants etdoivent tre soigneusement valus et planifi.

12.1 Dvelopper l'approche par les processus

L'amlioration des contrles repose pour une bonne partie sur uneapproche permettant de mettre sous contrle l'ensemble des processus,de bout en bout :

- s'assurer que les principaux processus de l'entreprise ont tidentifis, analyss et correctement documents, et si ce n'est pasle cas, le faire d'urgence : c'est un des principes de base du

4 - Compte tenu de la situation actuelle, nous n'avons pas pris en compte le cas d'uneentreprise qui souhaiterait allger les dispositifs de contrle interne se trouvant dans son

systme d'information. C'est actuellement un cas d'cole. Par contre il est possible quecertaines entreprises ressentent le besoin de rendre ces dispositifs moins contraignants etmoins lourds.


37/55

AFAI

37

contrle interne.

- rapprocher l'analyse des processus et les systmes informatiquesen place. Il faut s'attacher :

o revalider les documents existants d'analyse des processus et

des systmes informatiques ; une attention particulire doittre porte la conformit de l'application informatique et desprocdures par rapport aux besoins, au cahier des charges et la documentation,

o si c'est ncessaire remettre en cause certaines parties deprocessus, notamment si on a le sentiment qu'il existe desdfauts graves. Il ne faut pas hsiter les corriger.

- tablir un tableau de bord des indicateurs de performance pourchaque processus, et un tableau de synthse pour les principaux

processus : c'est l'outil de gestion indispensable pour matriser lesflux, dtecter les engorgements, mesurer la dgradation des dlais, Ce n'est pas a priori un outil de contrle interne, mais celapermet de s'assurer que les processus sont sous contrle, et le caschant didentifier les zones de risques.

Ces trois points sont la base d'une dmarche d'amlioration de matrisedes processus et donc du contrle interne.

12.2 Identifier les domaines fort niveau de risques

Trop souvent on contrle l o il y a de la lumire et on laisse de ctles zones d'ombres. Cette dmarche est coteuse et peu efficace. Il est deloin prfrable de choisir les domaines mettre sous contrle en fonctiond'une valuation des risques. L'effort sera plus adapt et le rsultat plussr.

Parmi toutes les fonctions et tous les processus, certains supportent desniveaux de risques particulirement importants alors que d'autresbnficient de niveaux nettement plus faibles. Il est dans ces conditions

ncessaire de s'assurer que les principaux risques sont sous contrle etque des parades ont t mises en place afin de les matriser. Pouridentifier ces domaines haut risque, diffrentes approches peuvent treutilises :

- chaque incident constat doit tre enregistr dans un journal par leresponsable des risques et le responsable de la scuritinformatique, qui dcrivent sa cause, ses impacts et les paradesadoptes.

- les domaines risques des systmes dinformation doivent avoir tidentifis : impact financier potentiel, confidentialit des donnes,rgles d'accrditation, risques de fraude, .


38/55

AFAI

38

- des analyses de risques doivent tre effectues notamment en cequi concerne la scurit des systmes informatiques. Ceci concerneaussi les PC, les serveurs, le rseau, les logiciels, . Il estncessaire que ces valuations soient priodiquement effectues.

On doit s'assurer que des mesures sont prises pour diminuerlimpact de ces risques.

- les rsultats des audits internes et externes prcdemmenteffectus doivent tre pris en compte.

A la fin de ces travaux, une cartographie des risques est tablie quiprsente les risques majeurs ainsi identifis. Ils doivent trepriodiquement rvalus.

12.3 valuer les dispositifs de contrle interne de l'entreprise

Pour rduire ces risques, il est ncessaire de s'assurer du niveau dematrise par le management de l'entreprise des dispositifs de contrleinterne, en valuant les diffrents dispositifs actuellement en place :

- analyser les documents dfinissant les dispositifs de contrle internede l'entreprise et leur mise en uvre, en se concentrant sur lesdiffrents composants du systme d'information : quipements

informatiques, applications, donnes et scurit.

- s'entretenir avec quelques dirigeants de l'entreprise pour valuerleur niveau de connaissance des dispositifs de contrle interne etnotamment du rle des systmes d'information dans le contrle.Leur demander les instructions qu'ils ont donnes dans ce domaine leurs collaborateurs et aux dveloppeurs informatiques.

- en cas de doute, effectuer des audits permettant d'valuer la qualitdes contrles et des dispositifs de scurit mis en place,

notamment :o les donnes saisies,o l'intgrit et le contenu des bases de donnes,o les traitements effectus,o les sorties : ditions et consultations,o les rgles et les modalits de la conservation des donnes,o la disponibilit du systme.

- s'assurer que le personnel de l'entreprise partage un savoircommun la dmarche de contrle interne. Il faut un tronccommun et un langage commun destins toutes les personnesconcernes par le contrle interne de l'entreprise. C'est la fois unproblme d'organisation et de contrle interne.


39/55

AFAI

39

A l'issue de ces travaux une charte de contrle interne doit tre tablieet on doit s'assurer qu'elle comprend le systme d'information.

12.4Matriser l'approche par les processus

Le dveloppement des mesures de contrle interne repose en grandepartie sur le renforcement des processus de l'entreprise etnotamment la mise en place de contrles plus puissants et plusefficaces. Il faut pour cela :

reprer les processus ayant un niveau de risque lev. On vapour cela s'attacher identifier :

les applications informatiques mises en uvre dans leprocessus.

les donnes et particulirement leur qualit et leurfiabilit.

l'efficacit de l'organisation en place.

sassurer de la qualit de la documentation des processus etdes contrles mis en place. Si cest ncessaire il faut la fairecomplter. L'absence de documentation des processus est unfacteur de risque important. On doit homogniser l'ensembledes documentations des procdures, les complter et, sincessaire, les mettre en cohrence.

valuer la maturit de l'ensemble des processus del'entreprise. Cette valuation doit tre faite par un expertcomptent et indpendant. Il doit en particulier s'attacher apprcier la pertinence des dispositifs de contrle interne misen uvre.

nommer un responsable de chaque processus, charg desurveiller en permanence son fonctionnement, de dtecter desdysfonctionnements et le cas chant de prendre des mesures

permettant d'amliorer l'efficacit des dispositifs de contrleinterne.

s'assurer qu'un membre du comit de direction a laresponsabilit de l'ensemble des processus. Il doit s'assurer dufonctionnement rgulier et efficace de l'ensemble desprocessus. Il a pour mission d'organiser la coopration desdiffrentes personnes concernes, internes ou externes,comme les comptables, les contrleurs de gestion, lesauditeurs internes, les responsables qualit,

faire auditer les principaux processus par des expertsindpendants ou par des auditeurs. Ceci concerne les


40/55

AFAI

40

processus mtiers mais aussi les processus informatiques.L'objectif est de dtecter des fragilits et des contrlesinsuffisants.

Comme on le voit, ces dmarches demandent un premier niveau de

maturit. Pour russir cette tape il est ncessaire d'avoir parfaitementmatriser l'tape n1 : Dvelopper l'approche par les processus.

12.5 Mettre en place des mesures a minima concernantlactivit informatique

Un certain nombre de mesures simples peuvent tre prises sur lesactivits informatiques elles-mmes pour renforcer les dispositifs decontrle interne, comme par exemple :

- renforcer les sauvegardes et vrifier qu'elles sont exploitables. Encas de doute demander qu'une simulation de redmarrage soit faitesur le site de secours.

- s'assurer que toutes les transactions sont enregistres (existenced'un log), notamment les crations ou les mises jour des bases dedonnes, et qu'il est possible de redmarrer aprs un incident avecdes bases de donnes jour.

- pour les applications stratgiques ou fort enjeu, s'assurer que lesconditions de la continuit de service sont garanties :

o les matriels sont redondants, y compris les disques,o les bases de donnes sont simultanment mises jour,o les liaisons de tlcommunication sont doubles,o les alimentations lectriques ne sont pas branches sur le

mme rseau et il existe une alimentation de secours,o ...

- amliorer les mesures d'activit, et tablir un tableau de bord des

principales fonctions informatiques :o les tudes,o les projets critiques,o l'exploitation,o la maintenance,o le help-desk,o

- dfinir un tableau de bord par application, rassemblant desindicateurs tels que :

o

les volumes traiter (par mois, par jour, par heure, parminute,),


41/55

AFAI

41

o les temps de rponse,o la disponibilit,o les cots de l'application,o les effectifs utilisant l'application,o la productivit (comme le nombre de dossiers par jour et par

personne),o la charge de maintenance,o

- enregistrer toutes les anomalies dtectes dans une base dedonnes spcifique. Les analyser systmatiquement et rechercherleurs causes. C'est le meilleur moyen de comprendre les fragilitsdu systme d'information et ses risques potentiels. Il est sur cettebase possible de prendre des mesures afin de corriger ces dfauts.

- priodiquement, tous les mois par exemple, effectuer une synthsede ces anomalies et diffuser un bref compte rendu des problmesdtects.

Ces mesures sont ncessaires afin d'assurer un niveau de contrleminimum. Si elles ne sont pas appliques il est recommand de remonterune alerte la direction gnrale car l'entreprise est probablement ensituation de risque majeur.

12.6 Renforcer les dispositifs de contrle intgrs

Pour aller plus loin dans la mise en place de mesures de contrle interne,il faut sintresser aux contrles automatiss embarqus dans lesprogrammes permettant de s'assurer que les oprations se droulentnormalement. Ils concernent :

- les donnes saisies : les contrles mis en place par lesprogrammeurs sont-ils suffisants ? Faut-il les renforcer ?

- les donnes se trouvant dans les bases de donnes, qui doivent trevrifies pour s'assurer qu'elles ne comprennent pas d'erreurs,d'oublis ou d'informations inutiles,

- le contrle des traitements pour s'assurer qu'il ne survient aucuneerreur, ni oubli ni doublon : ceci concerne surtout les traitementsbatch mais on peut aussi effectuer ces contrles sur les traitementstransactionnels,

- le contrle des ditions et des consultations d'informations : il fauts'assurer que l'ensemble des tats dits est complet et qu'aucundocument ne manque. C'est notamment le cas de l'dition de lapaie, de la facturation, .

On sattachera en particulier aux actions suivantes :

- tablir la liste des contrles existants et dfinir les contrles mettre en place. Il est ncessaire de disposer dun document de


42/55

AFAI

42

rfrence recensant tous les types de contrles possibles : ondcide ensuite les contrles qui doivent tre mis en uvre enfonction du niveau de risque constat.

- tous les contrles internes figurant dans les programmes alimentent

automatiquement une base de donnes spcifique quels que soientleurs statuts (positif ou ngatif). Priodiquement, tous les mois parexemple, une analyse des contrles effectus au cours de la priodeest ralise et un compte-rendu synthtique est rdig.

- dfinir et mettre au point des programmes de contrle desprincipales bases de donnes pour s'assurer de la qualit desinformations qu'elles contiennent. Il est pour cela possible d'utiliserdes progiciels d'aide l'audit. Ces programmes analysent une unetoutes les occurrences de la base et s'il y a des liaisons entre bases

ils analysent chaque chanage. Chaque zone doit tre contrle.

- tous les contrles de donnes doivent tre faits au moment de lasaisie. Dans les traitements ultrieurs des anomalies peuvent treconstates. Il faut dans ce cas grer ces rejets et les recycler pourne pas perdre d'information.

- prvoir des contrles globaux pour s'assurer de l'intgrit desdonnes au cours de la priode, et notamment qu'aucune donnen'a t perdue au cours des traitements, que toutes les donnes ont

t saisies et que les bases de donnes ont t mises jour.Ceci correspond une volution des systmes de contrle. Voir Chapitre10 : "Importance des contrles continus".

12.7 Mettre en place un systme d'information ddi auxcontrles et au suivi des anomalies

Pour s'assurer de l'efficacit des dispositifs de contrle mis en place, il estncessaire de dvelopper des outils de suivi des contrles effectus,

permettant de garder trace des anomalies constates :

- s'assurer que tous les contrles prvus dans les applications et surles bases de donnes sont rellement effectus. Pour cela, au fur et mesure qu'ils s'excutent, on alimente une base de donnes descontrles effectus, et lorsque des anomalies sont dtectes onenregistre les codes d'anomalies correspondants. Priodiquementcette base est analyse et une statistique des types d'anomalies esttablie.

- mettre en place un tableau de bord des contrles en placepermettant de dtecter rapidement une dgradation du systme


43/55

AFAI

43

d'information.

- mettre en place un test de non-rgression pour s'assurer que tousles contrles dfinis sont effectivement en place et fonctionnent demanire correcte.

- effectuer priodiquement un traitement de contrle des principalesbases de donnes en contrlant tous les items et tous les chanagesentre bases.

- crer des bases de donnes (datawarehouse) alimentes par lesgrands processus : achats, ventes, production, A l'aide delogiciels d'audit, il sera possible d'effectuer des analyses ducontenu, de la qualit et de la compltude de ces donnes.

12.8 valuer la qualit et l'efficacit des contrles en place

Il est ncessaire de rgulirement s'assurer que les contrles en placesont suffisants et efficaces. Si on constate une multiplic

audit interne informatique

Documents