Réalisé par : 2010-2011. Definition daudit Normes professionnelles de laudit Audit et notions...

Réalisé par :

2010-20112010-2011

Definition d’audit

Normes professionnelles de l’audit

Audit et notions proches

Plan

2/34Audit des SI

Typologie d’audit

Introduction : Maintenir et garantir le fonctionnement du système d’information à

son niveau optimum est une nécessité pour toute entreprise souhaitant conserver et accroître sa compétitivité tout en gardant la maîtrise des coûts liés à son système d’information. L’audit de celui-ci permet de s'assurer de la faisabilité technique, de la satisfaction des objectifs fixés compte tenu des contraintes de l’exploitation. Plus généralement, il permet de vérifier que la génération et le paramétrage du système garantissent la fiabilité, la sécurité des données et traitements, l’optimisation des performances.

L’audit constitue également l’étape préalable à l’intégration de nouveaux services au sein du système. Il fournit une estimation des gains économiques prévisibles liés à celle-ci, en mesure les difficultés, les contraintes techniques et les moyens à mettre en œuvre pour atteindre les objectifs fixés.

11/04/23 3

Audit des SI 4/34

Partie I:Notion d’audit

Définition d’audit

L’Audit est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée.

Audit des SI 5

Définition d’audit

Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d ’entreprise, et en faisant des propositions pour renforcer leur efficacité.

6

Typologies de l’audit

L'audit de régularité : vise à s’assurer de la conformité des actes et des procédures à l ’ensembles des normes juridiques comptables et financières applicables.

L'audit de performance : évalue les résultats (les 3 E : Efficacité, Economie, Efficience), évalue la pertinence des indicateurs. Il intègre l’audit de management (politique managériale et stratégie).

11/04/23 7

Notions proches de l’audit

Ce que n’est pas l’audit : L’audit n’est pas une inspection L’audit n’est pas une certification

La certification se prononce sur la validité des comptes (portée juridique) alors que l ’audit donne une assurance raisonnable sur la qualité des comptes (préalablement à leur certification).

L’audit n’est pas une étude ou une expertise

Il n ’intervient pas préalablement à la mise en place d ’une procédure, mais au contraire il l ’évalue a posteriori.

11/04/23 8

Rôle de L’auditeur

Evaluer et apprécier le degré de maîtrise des risques de la structure à travers sa politique de contrôle interne.

Proposer des mesures d’amélioration réalistes et opérationnelles afin de permettre à la structure de mieux maîtriser ses risques et d’atteindre ses objectifs.

11/04/23 9

Rôle de L’auditeur

Ce qu’est l’auditeur :

un professionnel du traitement de l’information qui aide

un manager à mieux maîtriser ses risques, à fonctionner

plus efficacement, afin d ’atteindre ses objectifs.

Ce que n’est pas l’auditeur : un inspecteur, un certificateur de comptes, un policier, un

juge.

11/04/23 10

L’auditeur

L’auditeur est un professionnel du traitement de

l ’information

Qualités :

Intégrité

Objectivité - capacité d’écoute

Indépendance

Compétence

Esprit d’équipe11/04/23 11

Les Normes de l’auditL’activité de l’auditeur est menée dans le respect d ’un cadre de référence :

«Les normes internationales pour la pratique

professionnelle de l’audit interne ».

Elles définissent les principes de base de la pratique de l’audit interne.

Elles sont un cadre de référence.

Elles établissent les critères d‘appréciation du fonctionnement de l’audit.

Elles favorisent l’amélioration des processus organisationnels et des opérations.

11/04/23 12

Les Normes d’audit

Les normes de qualification :

Mission, pouvoirs et responsabilité (1000)

Indépendance et objectivité (1100)

Compétence et conscience professionnelle (1200)

L’assurance qualité (1300)

11/04/23 13

Les Normes d’audit

Les normes de fonctionnement gestion de l’audit interne (2000)

nature du travail (2100)

planification de la mission (2200)

réalisation de la mission (2300)

communication des résultats (2400)

surveillance des actions de progrès (2500)

11/04/23 14

Notion du Contrôle Interne Selon la définition la plus souvent retenue au niveau international, le

contrôle interne est l’ensemble des dispositifs choisis par l’encadrement et mis en œuvre par les responsables de tout niveau pour maîtriser le fonctionnement de leurs activités. Ces dispositifs sont destinés à fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation et des managers sont responsables.

Autrement dit, le contrôle interne est l’ensemble des moyens (quels qu’ils soient) utilisés par la gestion elle-même (interne) pour s’assurer de la maîtrise (control) de son fonctionnement en vue de réaliser ses objectifs.

C’est un système quotidien, permanent et évolutif. Toute l’ambiguïté sur la notion de contrôle interne vient des difficultés de

la traduction. Le terme anglais Internal Control fait d’abord référence à la notion de

maîtrise de la gestion et par prolongement à la maîtrise du management.

11/04/23 15

Notion du Contrôle Interne (suite)

En ce sens, le contrôle interne est donc un réflexion plus large sur tous les risques inhérents aux missions, à l’organisation, au contexte d’exécution, bref à « l’environnement » de l’entité.

Une fois ces risques identifiés et évalués, le contrôle interne cherche à mettre en place les moyens efficaces pour les réduire et donc à placer la gestion sous « maîtrise », ce qui donne alors l’assurance raisonnable que les objectifs pourront être atteints.

L’essentiel est de ne pas oublier que le risque “ 0 ” n’existe pas. L’enjeu de cette démarche est donc de trouver un équilibre entre le besoin de sécurité et une gestion efficiente des moyens dont disposent les managers

Tout l’enjeu pour le manager, dans le cadre de sa politique de contrôle interne, est de conduire une analyse objective de la vulnérabilité de son organisation

11/04/23 16

Notion de risque

Définition du risque :• Un risque se définit comme tout événement, action ou inaction de nature à

empêcher une organisation d'atteindre ses objectifs

Évaluation du risque en fonction de :• La probabilité que le risque se réalise

• L’impact que pourrait avoir ce risque s’il se matérialisait

Un risque majeur est :

• Un risque évalué comme élevé (probabilité & impact en zone rouge)

• ou un risque qui présente un caractère inacceptable pour l’entreprise en regard de la sécurité des biens et des personnes ou de la survie de l’ entreprise

11/04/23 17

Faible Modéré Élevé

Élevée

Modérée

Faible

Impact

Probabilité

Attention: la fiabilité de tout l’audit repose sur une identification correcte des risques

Objectifs de contrôle (assertions)

Contrôle prévu(description du contrôle, types préventif/détectif, manuel/automatique, responsabilité, etc…)

Système de contrôle interne

Adéquation (jugement après analyse) et efficacité (jugement au terme des tests)

Audit

Risque inhérent(description du risque et des sources envisageables)

Analyse des risques

Méthode pour la cartographie des risques

11/04/23 19

RISQUE INHERENT

MESURES DE CONTRÔLE INTERNE

RISQUE RESIDUEL

MANAGER

AUDITEURAide à améliorer

Mise en œuvre

• Risque inhérent : Avant la prise en compte du dispositif de contrôle

• Risque résiduel : Après la prise en compte du dispositif de contrôle

11/04/23 20/34

Partie II: Audit des systèmes

d’information

Définitions (1/3)

21/34

système d’information : L’ensemble des moyens humains, matériels ainsi que

des méthodes visant à acquérir, stocker, traiter et diffuser de l’information.

la confidentialité et la disponibilité de l’information constitue un enjeu très important pour la compétitivité de l’entreprise

11/04/23

SI représente un patrimoine essentiel de l’entreprise

22/34

ensemble de méthodes, techniques et outils chargés de protéger les ressources d’un système informatique afin d’assurer :

La sécurité du système d’information :

la disponibilité des services

la confidentialité des information

l’intégrité des systèmes

11/04/23

Définitions (2/3)

23/34

La science qui permet de s’assurer que celui qui consulte ou modifie des données du système en a l’autorisation

La sécurité informatique

Les systèmes informatiques sont au cœur des systèmes d´information

Ils sont devenus la cible de ceux qui convoitent l’information

Assurer la sécurité de l’information implique l’assurance la sécurité des systèmes informatiques.

L’audit de sécurité du système d’information est un examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes.

11/04/23

Définitions (3/3)

Les raisons Voici quelques exemples de questions susceptibles d'être

formulée par le Top management : Le système d'information de l'entreprise contribue-t-il à

améliorer sa profitabilité? La mise en place d'une nouvelle application, a-t-elle amélioré

la productivité et le service client ? La stratégie informatique est-elle conforme à la stratégie de

l'entreprise ? Peut-on diminuer les coûts des fonctions administratives en

dépensant plus en informatique ? Entrainent le besoin de :

de contrôler les Systèmes d'Information ; d'accroître la Sécurité des S.I. d'optimiser les S.I.11/04/23 24

Définition d’audit des SI

Observation, examen, analyse de faits, situations et informations par rapport à des référentiels internes référentiels internes (politique de l’entreprise) ou externesexternes (la réglementation), de manière à mettre en évidence des écarts ou dysfonctionnementsdes écarts ou dysfonctionnements, en rechercher les causes et les conséquences en termes de risques et de coûts, permettant ainsi à l’auditeur de présenter dans un rapport des avis et recommandationsdes avis et recommandations à court et moyen terme.

11/04/23 25

Objectifs de l’audit des SI l’audit des systèmes d’information permet de vérifier, apprécier et

valider :

la cohérence et l’adéquation de l’organisation des systèmes d’information en vigueur et de ses composantes,

la cohérence des systèmes d’information par rapport aux objectifs de l’Organisation auditée

l’adéquation des choix et investissements informatiques (hardware et software) par rapport aux besoins de l’organisation et des différents gestionnaires et utilisateurs (à tous les niveaux),

l’existence d’un plan de développement informatique à moyen terme, les domaines d’activités couverts par l’informatique et le degré

d’informatisation de ces activités au niveau de l’organisation objet de l’audit, l’efficacité et les compétences des services informatiques, les performances des matériels et logiciels.

11/04/23 26

Périmètre de l’audit des SI (1/2)

Un système d’information est une partie intégrante de l’organisation. C’est un ensemble de procédures permettant le recueil, le traitement, la mémorisation, la restitution et la communication de l’information à des acteurs internes ou externes.

Auditer un système d’information d’une organisation consiste en une analyse de faits, situations et informations par rapport à des référentiels internes ou externes, de manière à mettre en évidence les écarts ou dysfonctionnements tout en recherchant les causes et les conséquences en termes de risques et de coûts.

11/04/23 27

Périmètre de l’audit des SI (2/2)

Auditer les systèmes d’information revient à auditer les composantes qui le constituent, à savoir:

L’examen de l'organisation de la structure en charge des systèmes d’information,

L’examen des procédures liées au développement, L’examen des procédures liées à l’exploitation des

applications informatiques L’examen des fonctions techniques, L’examen des activités de contrôle sur la protection et

la confidentialité des données.

11/04/23 28

Evaluation des risques liés au SI

Risques liés aux politiques d’organisation et de management

Risques liés à la séparation des fonctions Risques liés aux contrôles d’accès logiques Risques liés au contrôle des accès physiques Risques liés au contrôle du développement et des

modifications des programmes et du système Risques liés à la continuité de l’activité Risques liés aux traitements informatiques Risques liés aux utilisateurs

11/04/23 29

Documentation nécessaire pour l’audit des SI

L’audit d’un système d’information nécessite, pour l’auditeur, d’avoir à sa disposition et d’obtenir :

l’organisation de la structure informatique, et les effectifs qui lui sont allouées,

le schéma directeur informatique, s’il existe, la charte informatique en vigueur au niveau du site audité, si elle existe, l’architecture du système d’information et ses composantes, la liste des activités et processus, le parc informatique (matériel), l’inventaire des applications informatiques opérationnelles et leurs

descriptifs succincts.

11/04/23 30

11/04/23 31/34

Partie III: Mener une mission d’audit des

systèmes d’information

Acteurs d’une mission L’auditeur :

Professionnel compétent et indépendant Doit respecter les normes et les standards Peut être interne et externe

L’audité : Entreprise Filiale Département service

Le prescripteur : Personne qui commande et assure le règlement de la mission

d’Audit11/04/23 32

Démarche d’audit des SI

11/04/23 33

34

Démarche de l’Audit des SI

Une approche en 3 phases :Lettre de Mission

+Plan de mission

Lettre de Mission

+Plan de mission

Programme de travail (ou plan d’audit)

Programme de travail (ou plan d’audit)

Rapport+

Plan d’action

Rapport+

Plan d’action

L’Auditeur aide le manager à mieux maîtriser ses risques et atteindre ses objectifs.

Il fait des recommandations pour améliorer les dispositifs existants.

25%

25%

50%

1- La phase de préparation

La phase d ’étude permet à l ’auditeur de dresser le plan le plan d ’auditd ’audit de la mission (ou programme de travail). Pour ce faire il va devoir :

Identifier les principaux objectifs de l ’entité et recenser les risques généraux associés (risque comptable, patrimonial, …)

Découper le process en procédures élémentaires, ou « objets auditables ».

Analyser l ’environnement de contrôle interne, et le cas échéant l ’environnement informatique.

Évaluer pour chaque étape du process le niveau des risques inhérents à l ’activité, et apprécier pour ceux qui présentent un niveau significatif leur degré de maîtrise en évaluant le niveau des risques liés au contrôle (c ’est à dire le risque que le contrôle mis en œuvre pour maîtriser un risque inhérent à une procédure ne soit pas suffisant, adapté …)

11/04/23 35

1- La phase de préparation

Les documents préparatoires :

Lettre de mission : Lettre de mission : Mandat donné aux auditeurs par le Manager pour auditer.

Lettre d’information :Lettre d’information : Lettre d ’annonce, information remise à l’audité par l’auditeur (envoi préalable ou lors de la réunion d ’ouverture)

Plan de mission Plan de mission ou cahier des charges ou termes de référence

11/04/23 36

1 - La phase d ’étude : Connaître le process

L ’étude de l’environnement : Il s ’agit de la première étape de la phase de prise de

connaissance Étape théoriquement facilitée par la mise à disposition de

guides de contrôle interne : les objectifs et les buts de l’activité les indicateurs de performance et les valeurs cibles adossés les règles, plans, procédures, lois, réglementations, contrats

et conventions qui peuvent avoir un impact significatif sur les opérations, et les rapports.

d’éventuelles problématiques importantes la littérature technique (normes, bonnes pratiques, directives

techniques…) faisant autorité pour l'activité concernée

11/04/23 37

Guides de contrôle interne

Manuels de

procédures

Guides de contrôle interne

Manuels de

procédures


L’étude des chiffres significatifs : Recenser les données propres à la

procédure et connaître leur évolution, à la fois au sein de l ’entité auditée mais aussi par comparaison à d ’autres entités

Se faire expliquer les évolutions significative

( changement de la réglementation, réorganisation du service, … ) par écrit

11/04/23 38

Rapport d ’activité

Rapport d ’activité

Base de Données

Base de Données


Détermination des risques généraux : Identification des différentes étapes du process :

Découper la procédure en étapes générales

11/04/23 39

…Procédure

Etape 3

Etape 1

Etape N

Etape 2


Identification des acteurs : Quels sont les acteurs qui interviennent dans

la procédure? Internes et externesInternes et externes : les recenser tous

A quel titre interviennent - ils ? Quelles sont leurs fonctions ? Quels outils utilisent t-ils ? Quels comptes ? De quelles informations disposent t-ils ? Quels sont leurs niveaux d ’habilitation ?

11/04/23 40


Matérialisation des flux : pour achever la phase d ’étude et au vu de l ’ensemble des informations récoltées en amont l ’auditeur dresse un schéma de circulation des informations lui permettant de comprendre la circulation des flux d ’information de la procédure dans ses différents lieux. Ce schéma, outre l ’aspect « outil de synthèse » permet de mettre en avant des points forts, mais aussi des points de fragilité, et va servir de support à l ’analyse de la validité et de l ’efficacité du contrôle interne.

11/04/23 41

42


Cartographie des risques : l ’auditeur indique le risque inhérent, c’est à dire avant contrôle interne à chaque objet auditable du process.

Le tableau ci-dessous présente un modèle de cartographie. L ’auditeur, à ce stade, va renseigner les quatre premières colonnes : Procédure, Étape, Objet auditable et Risque Inhérent

La deuxième partie du tableau sera servie dans l ’étape 3

Risque C

omptable

Risque O

pérationnel

Risque P

atrimonial

Risque Juridique

Risque de F

raudeProcédure Etape Objet

AuditableCommentaire sur le niveau

du risque inhérent

Cequi doit être fait pour maîtriser le

risque inhérent

Risque inhérent

Cotation Niveau du

risque Inhérent

Etape 2 : phase du Terrain

11/04/23 43

2 - La phase du Terrain : Evaluer le dispositif du CI

L ’évaluation des dispositifs transversaux : le contrôle interne, et l’informatique:

Utilisation d ’un questionnaire déroulé dans le cadre d ’un entretien portant sur les principes suivants :

Organisation Intégration Universalité Permanence L’information et/ou documentation Circulation de l ’information

Approche spécifique de l’environnement informatique

11/04/23 44

2 - La phase du Terrain : Evaluer le dispositif du CI

S ’agissant de l ’informatique : Sécurités physiques :

Protection des locaux ( accès sécurisé, salle fermée … ) Protection des matériels ( incendie, humidité, … ) Modalité de stockages des supports d ’information ( disques,

disquettes --> armoire ignifuge, stockage externe … ) Sécurités logiques

Habilitations / délégations Procédures de sauvegardes ( modalités, fréquence, suivi formalisé

…. ) Procédures de restauration des données ( simulations d ’incidents,

… ) Contrôles spécifiques

Traçabilité des opérations de modification des données ( liste, journal des modifications … ).

11/04/23 45

2 - La phase du Terrain : Evaluer les risques L ’auditeur doit évaluer le niveau du risque en mesurant

sa probabilité et son impact Pour chaque étape de la procédure, les risques inhérents

listés sont qualifiés :

Bas

Moyen

Élevé Ce travail d ’évaluation est réalisé en fonction des

éléments recueillis lors de la prise de connaissance ( Étape 1 ), mais aussi lors de l ’évaluation du dispositif de contrôle interne ( Étape 2 )

L ’évaluation des risques doit être commentée par l ’auditeur qui doit formaliser les choix réalisés.

11/04/23 46

2 - La phase du Terrain : Evaluer les risques

Pour chaque objet auditable de la procédure, les risques inhérents listés sont qualifiés

La cartographie pré remplie à la fin de la phase 1, est complétée. La cotation se fait en évaluant le poids ( Impact X Probabilité ) de chacun des risques généraux selon l ’évaluation suivante :

0 Faible1 Moyen2 Élevé4 Maximum

11/04/23 47

Ris

que C

ompta

ble

Ris

que O

pération

nel

Ris

que P

atrimonia

l

Ris

que Ju

ridiqu

e

Ris

que de

Fra

ude

XXX XXXX XXXX XXXXXXXXX 2 4 2 4 4 Elevé XXXX XXXXXXXX

Procédure Etape Objet Auditable

Commentaire sur le niveau

du risque inhérent


risque inhérent

Risque inhérent

Cotation Niveau du

risque Inhérent

Pour les risques élevés, l ’auditeur indique les contrôles qui doivent être réalisés, pour permettre leur maîtrise. L ’auditeur indique « ce qui doit être fait », pour ensuite comparer avec « ce qui est fait » !

11/04/23 48

Risque Comptable

Risque Opérationnel

Risque Patrimonial

Risque Juridique

Risque de Fraude

XXX XXXX XXXX XXXXXXXXX 2 4 2 4 4 Elevé XXXX XXXXXXXX

Procédure Etape Objet Auditable

Commentaire sur le niveau

du risque inhérent


risque inhérent

Risque inhérent

Cotation Niveau du

risque Inhérent

2 - La phase du Terrain : Evaluer les risques Recenser les contrôles :

Après avoir évalué le niveau des risques inhérents, l ’auditeur recense les contrôles réalisés pour déterminer le niveau des risques de contrôle. Le niveau du risque de contrôle est élevé si le contrôle mis en œuvre pour maîtriser le risque inhérent élevé apparaît comme insuffisant.

L ’auditeur, à partir de la cartographie sert le tableau de description du process .

11/04/23 49

2 - La phase du Terrain :

Les papiers du travail dans cette phase :

documentation des faits recueillis par l ’auditeur et constitutifs de la preuve d ’audit qui va permettre à l ’auditeur de formuler une recommandation matérialisée dans une Fiche de révélation et d ’analyse des problèmes FRAP.

Éléments mis à la disposition des membres de l ’équipe d ’audit et du superviseur.

11/04/23 50

FEUILLE DE REVELATION ET D'ANALYSE DE PROBLEME

papiers de travail : FRAP n° : mmm

Problème : …………………………………………………….

……………………………………………………………………

Faits : -

-

Causes : -

-

Conséquences : -

-

Amélioration proposée :

…………………………………………………………

…………………………………………………………….

.

Établie par : Revue par : Soumise à avis de l’audité

le : le : Nom : le :

Les outils de l’audit

11/04/23 52

3- La phase de restitution La rédaction des Fiches de

Révélation et d ’Analyse des Problèmes ( FRAP ) : La FRAP sert à mettre en avant les

insuffisances du dispositif de contrôle et à formaliser les recommandations qui figureront dans le rapport d ’audit.

La FRAP est soumise à l ’approbation de l’entité auditée

La FRAP est un document de travail qui pourra, in fine, être utilisé comme support technique à la mise en œuvre du plan d ’action par l ’entité auditée

11/04/23 53

Problème sérieux

Problème sérieux

3- La phase de restitution

Le rapport d ’audit :

Une synthèse : Points Forts / Points Faible et principales recommandations

Un Rapport, qui par objectif de la procédure est articulé de la façon suivante :

constats: points forts / points faibles analyse des risques recommandations

Des annexes constituées des FRAP.

11/04/23 54

3- La phase de restitution La proposition de plan d ’action :

C ’est un tableau simple réalisé par l ’auditeur et qui permet à l ’audité d ’indiquer pour chaque recommandation qui fera quoi et quand.

11/04/23 55

RecommandationsPersonne responsable de la

mise en œuvreDate limite de réalisation Indicateur

N° 1

N° 2

N° n

Servi par l'auditeur

Plan d'action

Servi par l'audité


La proposition de plan d ’action : le suivi est réalisé :

Soit par l ’auditeur Soit par une structure indépendante Soit par une structure relevant de l ’entité auditée

11/04/23 56


La réunion de clôture :

Présenter les résultats de l ’audit Présenter les recommandations et les actions à mettre

en œuvre Obtenir l ’adhésion.

11/04/23 57

Conclusion

11/04/23Partie I_ Audit et sécurité des

SI _ Olfa Mechi 58

11/04/23 59

Références

Audit des SI 60/34

Réalisé par : 2010-2011. Definition daudit Normes professionnelles de laudit Audit et notions...

Documents

Transcript of Réalisé par : 2010-2011. Definition daudit Normes professionnelles de laudit Audit et notions...