Post on 10-Sep-2018
Palais Brongniart
C O L L O Q U E
Le contrôle interne du systèmed’information des organisationsvendredi 13 mars 2009
>> Le contrôle interne du système d’information des organisations13 mars 2009
Agenda
IntroductionLe contrôle interne du système d’information de l’entreprise Le contrôle interne de la DSISynthèse
>> Le contrôle interne du système d’information des organisations13 mars 2009
Contrôle interne : verbatim (1/2)
« Les failles du contrôle interne portent indéniablement leur part de responsabilité dans la crise actuelle »
« Le contrôle interne, que l’on pensait bien installé au sein des établissements bancaires, a montré au cours de la période récente des signes de grande faiblesse »
« L’inefficacité de la gouvernance des entreprises apparaît comme l’un des thèmes clés ayant facilité le développement de cette crise »
« La crise a révélé des insuffisances dans les systèmes de gestion du risqueet de gouvernance d’entreprise »
« D’une manière générale, il a manqué une supervision appropriée »
« Faut-il pour autant abandonner l’idée que la réglementation gagne en efficacité lorsqu’elle est étroitement articulée au contrôle interne ? »
« Il convient de repenser l’articulation entre régulation et surveillance »
>> Le contrôle interne du système d’information des organisations13 mars 2009
Contrôle interne : verbatim (2/2)
« L’objectif n’est pas de créer de la régulation, mais d’améliorer la confiance envers nos entreprises »
« Une responsabilité croissante est transférée à l’entreprise, avec un impact direct sur sa gestion et sa façon de conduire ses affaires »
« Le développement du contrôle interne s’explique à la fois par la nécessité pour les banques de faire face à un environnement financier plus large et plus instable, et par la volonté des dirigeants de ne pas perdre le contrôle du contrôle »
« C’est la culture du contrôle et de la prudence qu’il paraît urgent d’approfondir au sein des établissements bancaires et financiers »
« Trop de contrôle tue le contrôle : un trop plein de procédures pousse les salariés à les contourner »
« Contrôle interne : quand la qualité des données rime avec création de valeur »
>> Le contrôle interne du système d’information des organisations13 mars 2009
Contrôle Interne : Du Cadre de Référence AMF au Guide Opérationnel Cigref/IfaciCadre de Référence AMF Charte Cigref/Ifaci Le Contrôle Interne du
SI : Guide opérationnel Cigref/Ifaci
2007Janvier
2007Octobre
2009Mars
>> Le contrôle interne du système d’information des organisations13 mars 2009
Les recommandations du Cadre de Référence AMF pour mettre sous contrôle les composantes de l’outil de production de l’information comptable
Une organisation claire et formaliséeDes dispositifs de sécurité physique/logique des systèmes et des donnéesDes applications bâties avec une exigence de sécurité, disponibilité, fiabilité et pertinence de l’informationDes règles d’accès, de validation des traitements/contrôles, de conservation des données et de vérification des enregistrementsDes procédures et des contrôles de qualité/sécurité de l’exploitation, de la maintenance, du développement ou du paramétrage des systèmes et des interfacesDes contrôles clés (bloquants, seuils d’alerte, limitation d’accès, rapprochements automatiques…)Une évolution en ligne avec les besoins de l’entrepriseUne réponse aux exigences de l’administration fiscale (comptabilités informatisées, description des règles de gestion des données et fichiers)
>> Le contrôle interne du système d’information des organisations13 mars 2009
La charte CIGREF/IFACI
Fait suite au Cadre de Référence AMF et à son guide d’application relatif au contrôle interne de l’information comptable et financière, dont l’Autorité des Marchés Financiers recommande l’utilisation aux sociétés cotées
L’accord de partenariat entre le CIGREF et l’IFACI vise à convaincre les dirigeants des enjeux du contrôle interne et de la maîtrise des Systèmes d’Information au sein de l’entreprise ou de toute organisation des secteurs privé et public
Le CIGREF et l’IFACI ont décidé d’unir leurs compétences et leurs efforts pour apporter, ensemble, plus de valeur ajoutée à l’entreprise
>> Le contrôle interne du système d’information des organisations13 mars 2009
Objectifs de l’étude CIGREF/IFACI
Sensibiliser les Directeurs Généraux, Directeurs des Systèmes d’Information, Directeurs Audit et Contrôle, Directeurs Métiers, Consultants…
Enrichir la dimension SI du cadre AMF et mieux le relier aux référentiels existants
Elaborer un guide d’application relatif au contrôle interne des systèmes d’information, incluant des listes de bonnes pratiques
Aider les fonctions SI et Audit à mieux collaborer pour renforcer l’efficacité du contrôle interne de l’entreprise
Avoir une approche sélective et réaliste des risques
>> Le contrôle interne du système d’information des organisations13 mars 2009
Le contrôle interne du système d’information : deux parties distinctes et complémentaires
>> Le contrôle interne du système d’information des organisations13 mars 2009
Typologie des points de contrôle
>> Le contrôle interne du système d’information des organisations13 mars 2009
Les acteurs du risque (RACI)
>> Le contrôle interne du système d’information des organisations13 mars 2009
Agenda
IntroductionLe contrôle interne du système d’information de l’entreprise Le contrôle interne de la DSISynthèse
>> Le contrôle interne du système d’information des organisations13 mars 2009
Chaîne de valeur de l’entreprise
>> Le contrôle interne du système d’information des organisations13 mars 2009
Les processus de l’entreprise
>> Le contrôle interne du système d’information des organisations13 mars 2009
Les processus de l’entreprise…et le Système d’Information
>> Le contrôle interne du système d’information des organisations13 mars 2009
Les risques de l’entreprise
>> Le contrôle interne du système d’information des organisations13 mars 2009
Démarche des travaux sur le contrôle interne du système d’information de l’entreprise
Une approche par les processus et par les risques
Pour chaque processus, identification des étapes, des acteurs, des risques, et des contrôles à intégrer dés la conception de l’application
Une illustration sur trois processus communs à un grand nombre d’entreprises : Achats, Ventes et Consolidation Financière
Un rapprochement avec le Cadre de Référence AMF
>> Le contrôle interne du système d’information des organisations13 mars 2009
Le guide d’application AMF
Processus
Points de contrôle AMF
>> Le contrôle interne du système d’information des organisations13 mars 2009
Les travaux Cigref/Ifaci
>> Le contrôle interne du système d’information des organisations13 mars 2009
Le contrôle interne lors du développement / déploiement d’une application…quelques points d’attention (1/2)
Réflexion sur les obligations du contrôle interne
Identification des objectifs et activités de contrôle
Gestion des accès logiques (définition des rôles, gestion des habilitations, séparation des tâches)
Spécification des états de contrôle pour améliorer la surveillance des opérations
>> Le contrôle interne du système d’information des organisations13 mars 2009
Le contrôle interne lors du développement / déploiement d’une application…quelques points d’attention (2/2)
Spécification des contrôles « embarqués » bloquants ou non bloquants (sequence check, limit check, range check, validity check, table look-ups, …)
• seuils d’alerte, rapprochements automatiques, contrôles de cohérence, etc…
• Traçabilité d’évènements et de « forçages » (logs)• Batchs de contrôle et équilibrage (comptages, totaux, nombre de
fichiers …)• Définition des contrôles de flux d’entrées et de sorties (interfaces…)• Gestion des erreurs ( fichiers d’erreur et de rejets)
Contrôles généraux IT• Maintenabilité• Respect des standards de développement• Documentation tenue à jour• Jeux d’essai • Traçabilité des recettes• Validations formelles des applications et données par les responsables
métiers…
>> Le contrôle interne du système d’information des organisations13 mars 2009
Les acteurs du processus Achats
>> Le contrôle interne du système d’information des organisations13 mars 2009
Les Risques des étapes du processus Achats
>> Le contrôle interne du système d’information des organisations13 mars 2009
Achats : Points de contrôle AMF
>> Le contrôle interne du système d’information des organisations13 mars 2009
Rapprochement entre risques et points de contrôle du processus Achats
>> Le contrôle interne du système d’information des organisations13 mars 2009
Rapprochement entre points de contrôle et exemples de contrôle du processus Achats
>> Le contrôle interne du système d’information des organisations13 mars 2009
Détail du processus Achats
>> Le contrôle interne du système d’information des organisations13 mars 2009
Agenda
IntroductionLe contrôle interne du système d’information de l’entrepriseLe contrôle interne de la DSISynthèse
>> Le contrôle interne du système d’information des organisations13 mars 2009
PréambuleExtrait du Colloque du 11/06/2008
Système d’Information et Contrôle Interne : le syndrome du« pompier pyromane » ?
• Le SI est un élément essentiel du dispositif de contrôle interne au sein de l’entreprise
• Le SI (son organisation, ses moyens, ses processus, son efficacité) doit, à son tour, être également pourvu de son propre dispositif de contrôle interne
Les SI sont en forte évolution• Soumis à des contraintes financières et réglementaires plus prégnantes• Attendu par les métiers dont les exigences croissent• Inséré dans un contexte qui se complexifie : technologies, interfaces,
éditeurs, prestataires• Encadré par de nouveaux référentiels de bonnes pratiques : CobIT,
CMMI, ITIL, e-SCMNécessité de progresser sur le référentiel de contrôle interne du SI
>> Le contrôle interne du système d’information des organisations13 mars 2009
Démarche
Principes• Utiliser les référentiels existants
point de départ = COBIT• Identification de 6 processus clés• Produire un livrable concret, utile à la DSI et à
l’audit internePour chacun des processus
• Identification des risques et points de contrôle associés
• Proposition de bonnes pratiques issues de l’expérience et la connaissance des rédacteurs
• Mais chaque entité devra / pourra adapter à son contexte
>> Le contrôle interne du système d’information des organisations13 mars 2009
Les processus sélectionnés… et les autres
>> Le contrôle interne du système d’information des organisations13 mars 2009
Exemple : Projet et Développement, & Maintenance et Gestion du changement (Flowchart 1/3)
>> Le contrôle interne du système d’information des organisations13 mars 2009
Exemple : Projet et Développement, & Maintenance et Gestion du changement (Flowchart 2/3)
>> Le contrôle interne du système d’information des organisations13 mars 2009
Exemple : Projet et Développement, & Maintenance et Gestion du changement (Flowchart 3/3)
>> Le contrôle interne du système d’information des organisations13 mars 2009
Exemple : Gestion des incidents(matrice risques, contrôles, pratiques)
>> Le contrôle interne du système d’information des organisations13 mars 2009
Exemple : Sécurité logique et Gestion des accès (RACI)
>> Le contrôle interne du système d’information des organisations13 mars 2009
Agenda
IntroductionLe contrôle interne du système d’information de l’entrepriseLe contrôle interne de la DSISynthèse
>> Le contrôle interne du système d’information des organisations13 mars 2009
En guise de synthèse
Achats
Contrôle Interne du SI
Contrôle Interne de l’Entreprise
Métiers IT (COBIT)
Ventes
Consolidation
Compétences
Projets
Maintenance &Changements
Incidents
Sécurité logique& Accès
Sous-traitance
Livrable
• Démarche
• Cartographie processus
• Processus• Etapes• Acteurs/RACI• Flow-chart• Risques• Exemples de contrôles• Bonnes pratiques
Périmètre
Processus de l’entreprise
>> Le contrôle interne du système d’information des organisations13 mars 2009
Rappel : Pourquoi ce travail ?Extraits de la préface
Sensibilisation des dirigeants au enjeuxET fourniture de pistes opérationnelles aux praticiensAdaptation du cadre de référence de l’AMF (au SI)Organisations publiques et privéesRôle du système d’information
• Protection de l’information• Sincérité des opérations• Vitesse d’exécution excellence opérationnelle
Rôle du Contrôle Interne• Maîtrise des activités d’une organisation• Efficacité des opérations• Prise en compte des risques significatifs
SI = Objet et moyen du contrôle interne
>> Le contrôle interne du système d’information des organisations13 mars 2009
5 principes du contrôle interne
1. Le management doit instaurer une culture et une dynamique du contrôle
2. Le contrôle interne doit être intégré dans les processus de l’entreprise
3. Les systèmes d’information jouent un rôle clé
4. Un principe de proportionnalité et granularité doit s’appliquer
5. Il faut être conscient de la non-exhaustivité et des limites du dispositif de contrôle
>> Le contrôle interne du système d’information des organisations13 mars 2009
Remerciements aux contributeurs
• AGF• Alcatel-Lucent• AXA• Banque de France• Banque Postale• DCNS• EDF• France Telecom• Gdf Suez
• Les Mousquetaires• L’Oréal• Nexans• La Poste• Renault• Rhodia• Sanofi-Aventis• Saint Gobain• SCOR• Total
…et les permanents du Cigref et de l’Ifaci