7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
1/104
Audit des systmes dinformation : mise enuvre de lapproche Cobit 4.1
(laboration dun gnrateur de guidesdaudit pour le cas de la STEG)
Mr Ammar SASSI
Mr Salah RIAHIExpert daudit certifi CISA
&Mr Ridha BOUSSAIDIChef de Dpartement Audit InformatiqueDirection Audit - STEG
labor par :
Encadr par :
Universit de SfaxInstitut des Hautes tudes Commerciales de Sfax
MMOIRE DE STAGE
Pour lobtention du diplme de MASTRE PROFESSIONNEL
udit Interne et udit des Systmes dInformation
ANNEE UNIVERSITAIRE 2012-2013
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
2/104
1
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Remerciements
Dabord je tiens remercier le chef de dpartement audit informatique la direction audit interne de
la STEGMr Ridha BOUSSAIDIde mavoiraccompagn et conseill tout au long de cette priode
de stage. Je le remercie fortement pour son aide, sa disponibilit et ses prcieux conseils. Et je tiens
souligner que nos changes professionnels ont t trs enrichissants et constructifs.
Je remercie aussi Mr Salah RIAHI mon encadreur et lensemble de lquipe pdagogique du
Master Professionnel Audit Interne et Audit des Systmes dInformation de lIHEC Sfax,
surtout Mme Samah REBAIpour sa disponibilit et son soutien quelle nous a accord au cours de
nos tudes.
Pour terminer, je remercie toutes les personnes qui ont pu maider pendant mon parcours et dont les
noms ne figurent pas sur cette page.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
3/104
2
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Sommaire
Introduction
Partie 1 : Fondements thoriques
Chapitre 1 : Laudit des systmes dinformation au cur de la fonction daudit interne
I. Lesystme dinformation dentreprise
II.
Le mtier daudit interne
III. Laudit des systmes dinformation
Chapitre 2 : Cobit 4.1 un cadre fdrateur daudit des systmes dinformation
I. LISACA et ses principales contributions en matire daudit des systmes
dinformation
II. Prsentation du cadre de rfrence Cobit 4.1
III. Approche Cobit 4.1 en matire daudit des systmes dinformation
Partie 2 : Partie pratique
Chapitre 3 : Contexte du stagePrsentation de la STEG et sa direction daudit interne
I. Prsentation de la STEG
II.
LaDirection dAudit Interne de la STEG
Chapitre4 : laboration dun gnrateur de guides daudit sur la base de lapproche Cobit 4.1
I. tat des lieux de la STEG en matire de management et daudit des systmes
dinformation
II. laboration du gnrateur de guides daudit: dmarche et rsultats
Conclusion
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
4/104
3
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Table des figures
Figure 1 : Le systme d'information au centre de lorganisation de lentreprise 9Figure 2 : Les diffrentes ressources dun systme d'information 10Figure 3 : Types de contrles informatiques issus de la loi SOX 13Figure 4 : Les diffrentes approches d'audit 15Figure 5 : Dmarche gnrale dune mission daudit 17Figure 6 : La relation Audit Interne - Audit des SI 24Figure 7 : Les diffrents types de missions daudit des SI 25Figure 8 : Les principaux rfrentiels de la DSI 27
Figure 9 : Evolution du cadre de rfrence Cobit 31Figure 10 : Le cube Cobit4.1 (inspir du COSO) 32Figure 11 : Le modle processus de cadre de rfrence Cobit 4.1 34Figure 12 : Le principe de cascade des objectifs de Cobit 4.1 35Figure 13 : Le tableau RACI correspondant au processus PO10 36Figure 14 : Lchelle de maturit des processus selon Cobit4.1 37Figure 15 : La documentation Cobit 4.1 38Figure 16 : Les diffrents types de procdures dvaluation selon le guide daudit Cobit4.1 40Figure 17 : Les diffrentes relations entre les procdures dvaluation et les composants de Cobit4.1 41Figure 18 : Les lments relatifs la notion de risque 44Figure 19 : Processus de cadrage d'une mission d'audit selon l'approche Cobit4.1 44
Figure 20 : Les 8 tapes de cadrage d'une mission d'audit selon lapproche Cobit4.1 45Figure 21 : Le processus de cadrage Cobit4.1 46Figure 22 : Processus dexcution d'une mission d'audit selon l'approche Cobit4.1 47Figure 23 : Organigramme gnrale de la STEG 55Figure 24 : Principe de la boucle d'amlioration continue (PDCA) 60Figure 25 : Le guide gnrique (la plateforme de questionnaires d'audit) 67Figure 26 : Les exigences du cadre de rfrence Cobit4.1 en matire de la scurit des SI (critres dinformation) 69Figure 27 : Cadrage de haut niveau de la mission Audit de la scurit globale des SI 71Figure 28 : La carte de correspondances Missions - Objectifs de contrle 79Figure 29 : La carte de correspondance Audit de la scurit globale des SI - Objectifs de contrle 80Figure 30 : La carte de correspondance Audit de la scurit des services internes - Objectifs de contrle 81
Figure 31: Les principaux standards et normes informatiques qui traitent la scurit des SI 82Figure 32 : La famille des normes ISO 2700X 83
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
5/104
4
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Liste des tableaux
Tableau 1 : L'informatique de la vision traditionnelle la vision intgre 12Tableau 2 : Phase de prparation d'une mission 18Tableau 3 : Phase de ralisation d'une mission 19Tableau 4 : Phase de conclusion d'une mission 19Tableau 5 : Les dix commandements pour un bon chantillonnage 20Tableau 6 : Les rgles suivre dans une interview 21Tableau 7 : Les diffrents types de questionnaire d'audit 22Tableau 8 : Exemples de missions d'audit des SI 26
Tableau 9 : Descriptions des principaux rfrentiels et normes daudit des SI 28Tableau 10 : Les diffrentes mthodes d'valuation des contrles adoptes par Cobit4.1 et SAS70 48Tableau 11 : Les principales exigences de la norme S7 de l'ISACA 50Tableau 12 : Fiche technique de la STEG 52Tableau 13 : Les chiffres cls de la STEG 54Tableau 14 : Domaines d'intervention de la direction d'audit interne de la STEG 57Tableau 15 : Rpartition des missions d'audit par dpartement daudit 58Tableau 16 : Les familles de risques pouvant contrarier le fonctionnement des SI 68Tableau 17 : Liste des objectifs de contrle correspondant la mission Audit de la scurit globale des SI 73Tableau 18 : Dcoupage de la mission Audit de la scurit globale des SI en sous-missions spcifiques 77Tableau 19 : Table de mappage Cobit 4.1 - ISO/CEI 27002 84
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
6/104
5
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Introduction
Dans une conomie postindustrielle linformation a volu dun simple support dindicateurs
financiers, conomiques et oprationnels pour devenir un lment axial et contributif la ralisation
des objectifs stratgiques des entreprises. Faisant ainsi merger la fonction informatique de
lapproche traditionnelle, qui la considre comme juste une plateforme technique assistant les
diffrentes activits de lentreprise, vers une nouvelle approche intgre, qui la traite en tant quun
composant de la chaine de valeur oprant au service des mtiers dune manire systmatique do la
notion de systme dinformation (dsormais SI). Ce constat en plus des volutions technologiques
ainsi que les diffrents challenges des entreprises face des environnements changeant ont
considrablement renforc la position des SI pour quils deviennent les garants de la bonne
performance et de la prennit des entreprises. Sur ce, le maintien des niveaux defficacit,
defficience, de qualit et de scurit levs de ces SI sera dune grande importance.
En fait les entreprises disposent dun systme de contrle interne leur permettant de mettre en place
un ensemble de dispositifs afin de sassurer delefficacit et lefficience de leurs activits et de les
protger contre les risques et les ventuels dysfonctionnements. Ce principe se dcline aussi sur les
SI, on distingue ainsi diffrents contrles traitant les activits de ceux-ci. Ces contrles sont soit
dicts par la doctrine propre lentreprise, soit imposs par des lois et rglementations en vigueur.
Cest au niveau de leurs directions daudit interne que les entreprises cherchent perptuellement
amliorer les dispositifs de contrle mis en place en planifiant continuellement des missions daudit
afin de dtecter les points de faiblesses de ceux-ci et dapporter les corrections ncessaires. Cesmissions ont pour vocation de donner une assurance raisonnable aux dirigeants et aux responsables
des mtiers quant la bonne application de ces dispositifs et la prennit de lentrepriseen gnrale.
Pour ainsi faire les auditeurs internes se rfrent lors de leurs missions des lois, des
rglementations, des rfrentiels et/ou des normes internationales prsentant des recommandations et
des bonnes pratiques tablies par des professionnels et des experts dans le domaine.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
7/104
6
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
En matire des SI les auditeurs et les responsables en assurance ont leur disposition un ventail de
rfrentiels et normes qui traitent ces derniers de plusieurs perspectives tel que : la scurit, la
qualit, la performance ou visent en particulier des lments de ceux-ci, par exemple : les
services, les applications, les projets, les installations, larchitecturematrielle,
Ce prsent travail se situe dans le cadre dunstage que jai effectu chez la direction daudit interne
de la Socit Tunisienne de llectricit et de Gaz (STEG) pour lobtention du diplme de
Master Professionnel enAudit Interne et Audit des Systmes dInformation (MAIASI). La STEG,
ltablissement hte, a t parmi les premires entreprises tunisiennes intgrer la fonction daudit
interne dans sa structure (en posant la premire brique en 1972) afin de se conformer aux
rglementations en vigueur, damliorer la qualit de ses services et de se protger contre les risqueset les anomalies possibles. Et en remarquant prcocement les enjeux des SI dans lconomie
moderne, elle a t la premire en Tunisie tablir une unit daudit informatiqueen 1985. Depuis
ces dates, la direction de laudit interne de la STEG na cess, dans le cadre dune stratgie globale
damlioration continue adopte par la direction gnrale, de chercher faire voluer ses approches,
ses mthodes et ses outils daudit.
Ma mission lors de ce stage a t de contribuer au dveloppement de la fonction daudit interne,
notamment en matire des SI, en apportant des nouvelles solutions et approches issues de mes tudes
et mes diffrentes lectures. Une tude de ltatdes lieux des SI de la STEG mene au dbut de ce
stage, a montr des besoins accrus en missions daudit. Face ces besoins les responsables daudit
de la STEG se rfrent une varit de rglementations, normes et cadres de rfrence pour
planifier et excuter un grand nombre de missions dauditportant sur cet lment annuellement .
Ces missions bien quils apportent leurs contributions quant lamlioration des dispositifs de
contrle interne, reste quils ne couvrent pas intgralement les SI et leurs diffrents composants, ce
qui peut engendrer des failles intolrables. Par exemple des missions portant sur la scurit des
services, des donnes et/ou des applications ne peuvent garantir la protection des entreprises 100%
contre tous les risques qui peuvent aussi bien tre de nature humaine, managriale, matrielle,
Ainsi la question qui se pose : quelle solution peut-on mettre en uvre afin de permettre aux
auditeurs de planifier, organiser et excuter des missions daudit cohrentes, complmentaires et
couvrant lintgralit des SI?
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
8/104
7
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
La rponse va trouver son incarnation dans lapproche globaleet systmatique du cadre de rfrence
Cobit4.1(1)grce son modle processus qui couvre lensemble des activits de la DSI(2)et intgre
toutes les ressources associes aux SI. Et pour la raison que ce cadre harmonise et unifie diffrentes
dmarches et bonnes pratiques dun grand nombre de rfrentiels et normes internationales lui valant
ainsi le titre du cadre fdrateur le plus complet. Le long de ce travail, on va essayer de prsenter et
mettre en uvre lapproche de cadre de rfrence Cobit4.1 en matire daudit des SI tout en
exploitant ses diffrents lments et lensemble de sa documentation. Le produit de ce prsent travail
concrtisera cette approche en un gnrateur de guides daudit, permettant de gnrer des
questionnaires bass sur les procdures dvaluation Cobit4.1pour diffrentes missions daudit et
fournissant en extension un ensemble de tables de mappage afin de se rfrer dautres cadres et
normes internationales.
Ce mmoire de stage sera alors organis en deux grandes parties, une partie thorique prsentant
lapprochedu cadre de rfrence Cobit4.1 en matire dauditainsi que ses lments constitutifs, tout
en posant la lumire sur un nombre de concepts, notions et lments relatifs au sujet de ce mmoire,
tels que : le SI, le systme de contrle interne, la fonction daudit interne et sa disciple laudit des SI,
les diffrents rfrentiels et normes daudit des SI Et une deuxime partie pratique afin de
prsenter le cadre et la mission de stage ainsi que le gnrateur de guides daudit (le produit de ceprsent travail) et la dmarche suivie pour llaborer.
(1)Cobit4.1 (Control Objectives for Information and Related Technology) cest un cadre de rfrence de contrle, de
management et daudit des SI laborpar lISACA ( Information Systems Audit and Control Association ).(2)Direction des Systmes dInformation.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
9/104
8
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Partie 1 : Fondements thoriques
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
10/104
9
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Chapitre 1 : Laudit des systmes dinformationau cur de la fonctiondaudit interne
I.
Le systme dinformation
1)Notion de systme dinformation
Linformation est devenue un lment crucial et contributif la cration de la valeur pour les
entreprises nos jours. Cest la synthse dun ensemble de donnes enregistres, classes et
organises afin davoir une signification et une utilit au contexte et l'instant dsir. Plusieurs
types dinformationuvrent au sein de lorganisation dune entreprise, il y a :
l'information dcisionnelle qui assure la prise de la dcision au plus haut niveau,
l'information oprationnelle ncessaire techniquement l'excution du travail,
l'information de gestion qui dfinit les responsabilits, rles et tches,
l'information de communication qui vhicule lthique, la doctrine et les politiques.
Les diffrentes activits de lentreprise tel que : lactivit administrative, lactivit commerciale, la
production, le marketing, la comptabilit et le management utilisent linformation et la produisent
par le biais des SI. Ces derniers prsentent le cadre stratgique, managriale, technique et
oprationnel permettant de matriser et dexploiter cette variable stratgique.
Robert REIX dfinit le SI comme tant un ensemble organis de ressources : matriel, logiciel,
personnel, donnes, procdures permettant dacqurir, traiter, stocker, communiquer des
informations dans les organisations.(3)
Figure 1 : Le systme d'information au centre de lorganisation de lentreprise
(3) REIX, R. (2004). Systmes d'information et management des organisations . Vuibert.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
11/104
10
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Le SI est alors considr comme une colonne vertbrale sur laquelle se calent les diffrents autres
systmes de lentreprise (voir Figure 1). Il permet dassurer la circulation de linformation de la
direction gnrale jusquaux mtiers et de la concrtiser afin quellepuisse contribuer efficacement
la performance des activits de lentreprise et par consquence sa performance financire.
2)Primtre du systme dinformation
Il savre trs important, afin de dissiper toute confusion pour le lecteur, de faire la distinction entre
les deux notions suivantes : le SI (objet de ce mmoire) et les TI (les technologies de linformation
plus gnralement, dnommes TIC : technologies de linformation et de communication). Ces
derniers regroupent lensemble des composants matriels et logiciels ainsi ceux des rseaux
permettant et assurant la collection, la transformation, le stockage et la diffusion de linformation.
En retournant la dfinition de Robert REIX, on remarque bien que le primtre du SI intgre celui
des TI (en tant que lensemble des ressources matrielles et logiciels)et il ltend enlui associant
dautres ressources :
Le personnel : qui groupe les utilisateurs de linformation, les dcideurs, les analystes et toute
personne dont sa tche est en relation troite avec linformation.
Les donnes : qui reprsentent les lments dentre (que se soit dorigine interne ou externe)
leurs tats bruts et qui seront analyses et traites par le SI.
Les procdures(4) : qui reprsentent la manire de mettre en uvre tout ou une partie d'un
processus.
Figure 2 : Les diffrentes ressources dun systme d'information
(4) Par dfinition une procdure reprsente le Qui (les responsabilits) fait Quoi ? (les processus), Oet Quand? (leplanning), Comment?(les activits),Combien ? (les investissements) et Pourquoi ? (les objectifs). (QQOQCCP).
Systme d'information
Personnel
Donnes
Procdures
Technologies de l'information
Ressources
matriels
Ressources
logiciels
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
12/104
11
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Ainsi le SI consiste raliser plusieurs oprations dpassant la simple collection, traitement,
stockage et diffusion de linformation, il est conu aussi pour assurer :
la gestion des ressources informatiques,
la gestion des tches, rles et responsabilits,
la gestion de la relation avec les utilisateurs et la prestation des services,
la gestion des projets informatiques,
la qualit et la scurit des produits, services et activit
la protection matriel et logiciel
la protection des donnes .
De ce fait on peut conclure que le SI ne se limite pas aux simples dimensions techniques ettechnologiques, mais il reprsente la gestion globale de linformation (de linformation stratgique
linformation oprationnelle) au moyen dun ensemble de ressources technologiques,
organisationnelles et humaines.
3)La mutation de la fonction informatique
Une volution de la notion de linformatique dans lconomie moderne a transform lorganisation
de la fonction informatique dune approche classique qui la dcoupe selon lorganisation structurelle(fonctionnelle) de lentreprise vers une nouvelle approche axe sur les mtiers et organise en
processus interconnects, donnant ainsi lieu la nouvelle notion de systme dinformation.(5)
Cette mutation a permet dinstaller le SI au cur de lorganisation de lentreprise, dsormais le SI est
devenue une variable structurante et contributive latteinte desobjectifs stratgiques puisquil est
directement embarqu dans les oprations mtiers, non plus considr comme juste un support
technologique (voir Tableau 1).
(5) Les diffrents modles dorganisation de la fonction informatique : Le modle traditionnel : consiste dcouper cette fonction selon une vision organisationnelle (en imitant
lorganisation fonctionnelle de lentreprise), ce modle considre linformatique comme un moyen et un outilpour assister les diffrentes activits de lentreprise.
Le modle mtier : opte un dcoupage selon lensemble des mtiers qui existent au sein de lentreprise, cedcoupage marche en phase avec les systmes intgrs de gestion des donnes : les ERP ( Enterprise Resource
Planning aussi appels Progiciels de Gestion Intgrs (PGI)) qui sont en fait des applications dont le but estde coordonner l'ensemble des activits d'une entreprise, telles que la production, la vente, lapprovisionnement, lemarketing, la gestion des ressources humaines, ... autour d'un mme systme d'information.
Le modle processus : conu sur la base du modle mtier, permettant dorganiser les activits en processus
interconnects afin de raliser les objectifs globaux de lentreprise. Cest au niveau de ce modle quon a vulvolution de la notion delinformatique vers celle de SI.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
13/104
12
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Tableau 1 : L'informatique de la vision traditionnelle la vision intgre
Vision traditionnelle Vision intgreLinformatique est un centre de cot. Le SI est un lment de la chaine de valeur.Linformatique est un moyen. Le SI est un actif de lentreprise.Linformatique est une fonction de support etnon stratgique.
Le SI est une fonction de transformationstratgique.
Linformatique est un bien privatif, cloisonn chaque service ou direction.
Le SI est un bien collectif pour lentreprise,partag par tous.
Linformatique est un domaine rserv auxinformaticiens.
Le SI est un domaine transversal lentreprise,au service de tous.
Source : Alignement stratgique du systme dinformation. Cigref (2002).
4) Systme dinformation et contrle interne
Le contrle interne est un systme mis en uvre par le management et destin donner une
assurance raisonnable quant la ralisation et loptimisation (efficacit et efficience) des activits de
lentreprise, la fiabilit de linformation financire et la conformit aux lois et rglementations en
vigueur. Il permet de matriser les oprations risques que lentreprise ne veut ou ne peut ni
transfrer ni abandonner et cela en cherchant rduire ces risques des niveaux acceptables. Ainsi
tout lment ou composant de lentreprise est mis sous contrle de conformit, de performance et de
bon fonctionnement par rfrence des lois, des rglementations, des rfrentiels de contrle interne
et/ou des normes.
Ce systme repose en une partie sur des contrles informatiques qui sont soit dicts par les cadres
de rfrences propres lentreprise ou imposs par des lois et des rglementations en vigueur,
comme le cas des contrles issus de la section 404 de loi SOX(6) et de son homologue la LSF(7)(voir
Figure 3). En faite ces lois mergeantes exigent aux entreprises une transparence financire qui ne
peut tre garanti que par la production des informations qui vrifient les critres de fiabilit, de
traabilit et de scurit. Ainsi les activits des SI associes au reporting financier doivent tre
contrles et gres via des dispositifs de contrle informatiques qui seront intgrs dans le systme
de contrle interne.
(6)La loi SOX (loi Sarbanes-Oxley ), est une loi tabli par le snateur Paul Sarbanes et le dput Mike Oxley etvot par le congrs amricain suite aux diffrents scandales financiers des entreprises cotes en bourse aux dbuts desannes 2000, tels ceux d' Enron et de Worldcom ... Cette loi a pour objectif d'accrotre la responsabilit desentreprises, de rendre la communication de l'information financire transparente et plus fiable ainsi que de lutter contreles comportements dviants et frauduleux des entreprises.
(7)
La LSF (Loi de la Scurit Financire ), cette loi s'applique toutes les socits cotes en bourse pour le cas de laFrance et comme la loi amricaine Sarbanes-Oxley elle repose principalement sur : une responsabilit accrue desdirigeants, le renforcement du contrle interne et la rduction des sources de conflits d'intrt.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
14/104
13
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Figure 3 : Types de contrles informatiques issus de la loi SOX
En rponse aux exigences de la loi SOX, les entreprises ont largement adopt lapproche et la
dmarche du cadre de contrle interne COSO(8). Ce cadre de rfrence permet via sa structure de
dployer un ensemble de dispositifs de contrle internes permettant de matriser les diffrentes
activits de lentreprise, y compris les activits informatiques. Ainsi COSO dfinit un sous-ensemble
de contrles informatiques quon peutles rpertorie en trois classes :
Les contrles informatiques au niveau de lentit : ces contrles font partie des contrles
internes et traitent les activits des SI associes aux lments suivants : les stratgies et plans
daction, les politiques et procdures, lvaluation des risques, la formation, lassurance qualit
et laudit interne.
Les contrles applicatifs (CA) : sont des contrles basiques qui se trouvent au dbut delchelle des contrles associs aux SI. Ils sont intgrs dans les applications mtiers (les ERP)
et ils participent aux contrles financiers. Ces contrles ont pour objectifs de vrifier les
critres suivants de linformation financire :
lexhaustivitet lexactitude,
lexistence et lapprobation,
la prsentation et lintelligibilit.
Les contrles gnraux informatiques : ces contrles sont intgrs dans les processus des SI (lafonction informatique), ils permettent de garantir un environnement de traitement fiable et un
droulement adquat des contrles applicatifs. Ils couvrent :
le dveloppement et les modifications des applications,
laccs aux donnes et aux programmes,
les traitements informatiques.
(8) COSO est un rfrentiel de contrle interne dfini par le Committee Of Sponsoring Organizations of the Treadway
Commission . Il est utilis notamment dans le cadre de la mise en place des dispositions relevant des lois SOX ou LSF.Le rfrentiel initial de contrle appel COSO 1 a volu depuis 2002 vers un second corpus ax sur la gestion des risquednomm Entreprise Risk Management ouCOSO 2.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
15/104
14
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Il est remarquer que ces contrles ne sont pas exhaustifs et quils sont destins assurer la fiabilit
de linformation financireet dassister les activits mtiers. Ces contrles doivent tre renforcs par
dautres dispositifs de contrle plus rigoureux et des bonnes pratiques issus dautres rfrentiels
spcialisspour couvrir la totalit des activits de la DSI et lensemble des ressources des SI.
II. Le mtier daudit interne
1)Notion de laudit interne
LAudit Interne est une activit indpendante et objective qui donne une organisation une
assurance sur le degr de matrise de ses oprations, lui apporte des conseils pour les amliorer etcontribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant
par une approche systmatique et mthodique ses processus de management des risques, de
contrle, et de gouvernement dentreprise, et en faisant des propositions pour renforcer leur
efficacit . (9)
La fonction de laudit interne consiste vrifier et valider les dispositifs de contrle interne associs
aux procdures, informations, oprations, organisations et structures de lentreprise. Cest un outil
d'amlioration continue qui permet de faire le point sur l'existant (tat des lieux) et didentifier lespoints de faiblesses et les non-conformits des contrles mis en place, cela afin de mener par la suite
les actions adquates permettant de corriger les carts et dysfonctionnements constats. La qualit de
cette fonction sera dtermine par le niveau de respect des critres suivants :
lindpendance et le degr de comptence des auditeurs,
lutilisation ou llaboration des normes ou rfrentiels daudit,
llaboration dun programme daudit,
lexhaustivit et la permanence de dispositif daudit, lexistence dun dispositif de suivi des recommandations.
Plusieurs approches dauditse prsentent, on cite :
Lapproche par mtier : dans cette approche les sujets daudit seront dcoups en fonction des
grands mtiers de lentreprise. Cest uneapproche par les structures (dpartements, divisions,
services) et qui permet dexaminer chaque fois une de ces structures.
(9)
Dfinition de laudit interne inspire de la dfinition approuve le 21 mars 2000 par le Conseil d'Administration del'IFAC (International Federation of Accountants ), cest une traduction de la dfinition en anglais approuve par lIIA( Institute of Internal Auditors)le 29 juin 1999.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
16/104
15
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Lapproche par fonction : appele audit oprationnel ou audit dvaluation, cest lexamen
dune situation ou dune fonction bien particulire (commerciale, production, financire,
comptable, sociale, gestion des ressources humaines) permettant ainsi de traiter chaque
fois un lment cl de lentreprise.
Lapproche par thme : certains sujets daudit ne correspondent ni une structure ni une
fonction bien dtermine, do cette approche par thme qui permet de planifier et dexcuter
des missions daudit spcifiques, selon les besoins de lentreprise (comme par exemple la
scurit). Cette approche permet dexaminer un ensemble de structures et de fonctions en
rponse au sujet daudit fix.
Lapproche par processus: qui consiste traiter lentreprise comme un ensemble de processus
interconnects oprants ensemble pour latteint des objectifs stratgiques fixs par la direction
gnrale. Cette approche permet de dterminer et examiner les processus qui rpondent et
contribuent la ralisation dun objectif mtier bien dtermin.
Lapproche par les risques: elle consiste identifier les diffrents risques qui peuvent porter
atteintes au bon fonctionnement de lentreprise, de les valuer, de leurs attribuer des niveaux
de priorits et de les examiner selon cet ordre. Dans cette logique une cartographie des risques
sera dresse et sur sa base des missions daudit seront planifies et excutes par ordre de
priorit des risques.
Figure 4 : Les diffrentes approches d'audit
remarquer que le choix de lapproche daudit sera dcid en fonction du modle dorganisation de
lentreprise, des moyens et outils daudit dploys et en fonction des besoins de la direction et des
mtiers. Toutefois une dmarche gnrale peut tre dresse et suivie quelque soit lapproch adopte,
ce quon va prsenter par la suite.
Approchepar
les risques
Approchepar
mtier Approchepar
processus
Approchepar
fonction
Approchepar
thme
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
17/104
16
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
2)Conduite dune mission daudit: dmarche gnrale
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
18/104
17
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Figure 5 : Dmarche gnrale dune mission daudit (10)
(10)Cette dmarche a t inspire des normes internationales et elle est axe sur les risques. Cette dmarche peut treappliquerpour les diffrentes autres approches daudit.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
19/104
18
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Cette dmarche comporte cinq phases, qui sont :
La phase de planification pluriannuelle et annuelle : pour cette approche, la mthode de
dtection des risques prsente un lment dentre pour la phase de planification, ainsi une
cartographie des risques doit tre tablie priori par la direction daudit. Selon les indicateurs
de cette carte un plan pluriannuel (de trois cinq ans) sera discut avec le comit daudit et la
direction gnrale afin de le valider et lamliorer. De ce plan pluriannuel dcoulent des plans
annuels daudit qui doivent tre aussi approuvs par la direction gnrale.
La phase de prparation : cette phase peut se dclencher plusieurs fois selon une chronologie
des missions planifies davance, ou suite un ordre de mission de la part dun commanditaire
(la direction gnrale par exemple). Elle consiste : Prendre connaissance du sujet traiter et du systme de contrle interne.
Identifier les risques spcifiques.
Dterminer les objectifs de la mission.
Dterminer les vrifications tablir.
Cette phase se terminera par llaborationdun programme de travail qui sera suivi.
Tableau 2 : Phase de prparation d'une mission
Elments DescriptionOrdre de mission Cest le mandat donn par la direction gnrale au service daudit, prcisant lorigine
de la mission et son tendue tout en nommant une quipe daudit.Rencontre avec ladirection de lentitaudite
Cette rencontre permet didentifier : les objectifs, ltendue, la nature, le dlai, lesauditeurs responsables de la mission et lorganisation ou non dune runiondouverture. Un compte rendu sera rdig et envoy aux participants.
Runion douverture Elle permet dtablir les premiers contacts entre les auditeurs et les audits (elle estfacultative), elle consiste unir le chef de la mission, les auditeurs, les directeurs etles chefs services des entits audites.
Rapport dorientation Cest un contrat de prestation de services prcisant les axes dinvestigation et leslimites de la mission en les exprimant en objectifs atteindre par laudit.
Programme de travail Cest un document interne qui permet de dterminer, de rpartir et de planifier lesactions daudit. Il prcise les tches effectuer, les investigations mener, lesquestions poser et les pratiques de bonne gestion vrifier.
La phase de ralisation : cette phase suit le programme de travail tabli dans la phase
prcdente, elle consiste mener des travaux dinvestigation et de vrification sur terrain (via
des moyens et des outils daudit), tout en suivant la chane : Faits Causes Consquences
Conclusion Recommandations, et qui seront formuls au niveau des FRAP (11). Cette
phase aboutira une apprciation du systme de contrle interne tout en relevant ses
principaux points forts et ses faiblesses.
(11)FRAP : Feuille de Rsolution et d'Analyse des Problmes.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
20/104
19
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Tableau 3 : Phase de ralisation d'une mission
Elments DescriptionQuestionnaire de CI Lobjectif de ce questionnaire est dvaluer les dispositifs de systme de contrle
interne pour chaque opration risque (Qui ? Quoi ? O ? Quand ? Comment ?) et devrifier lexistence et lefficacit de ces dispositifs.FRAP Ils prsentent les rsultats des travaux sur terrain et sont rdiges par lauditeur pour
chaque dysfonctionnement constat, permettant de structurer le raisonnement delauditeur jusqu la formulation de la recommandation. Elles comprennent : les
problmes, les faits, les causes, les consquences et les recommandations. Ellesserviront comme une base pour la rdaction du rapport daudit.
Compte rendu final Cest une prsentation orale des principales observations, faite par le chef delquipedaudit et destine au responsable de lentitaudite. Il sera effectu la findu travail terrain.
La phase de conclusion : elle consiste formuler un rapport daudit structurant les
conclusions et comportant les recommandations en rponse aux risques et dysfonctionnement
dtects lors de la phase dinvestigation. Ce rapport sera accompagn dun plan daction ou au
cas chant des modalits de remise future qui seront destin aux parties prenantes concernes.
Tableau 4 : Phase de conclusion d'une mission
Elments DescriptionProjet de rapport En se basant sur les FRAP et les diffrents lments probants, lauditeur formulera sa
conclusion dans ce rapport avant dtre valid par les audits.Runion de validationet de clture
Cette runion permettra de prsenter et de valider les constats, expliquer lesrecommandations et de fixer les modalits pratiques relatives au plan daction et de
suivi de la mission.Rapport final Rdig aprs la remise des commentaires crits des audits (prvus lors de la runion
de validation et de clture). Ce rapport doit tre complet, constructif, objectif et clair.Il doit tre publi en deux versions, un expos gnral et une synthse afin desatisfaire aux diffrents lecteurs. Ce rapport a deux objectifs :
informer la hirarchie des conclusions de la mission et de ltat du systmede contrle interne
assister les audits dans llaboration des plans daction afin de remdier
aux problmes et aux dysfonctionnements dtects.Plan daction Rdig par les directeurs des entits audites. Il vise mettre en uvre les
recommandations cites dans le rapport final. Pour chaque recommandation, lauditdoit exprimer sa position soit en lacceptant totalement ou partiellement (tout en
prcisant Qui fera Quoi ? ), soit en la refusant en expliquant les raisons. Ce plan
doit tre valid par le service daudit
Le suivi des recommandations :une fois le plan daction valid, le service daudit suivra sa
mise en uvre tout en communiquant les tats daction et de progrs rgulirement la
direction gnrale. Cette tape permet de garantir la bonne application des diffrentes
corrections et amliorations tablies dans le plan daction. Ces plans daction et de suivi
formeront un pilier de la dmarche globale damlioration continue des services, produites et
structures des entreprises en gnrale.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
21/104
20
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
3)La bote outils de lauditeur
Afin de mener bien sa mission, lauditeur a besoin le long de son travail , ds la phase de
prparation jusqu llaboration du rapportdaudit final,dun nombre doutils et demthodes afinde collecter les informations, analyser les donnes, dcrire ltat du systme, ainsi que des outils de
vrification et de validation. On distingue deux catgories doutils utiliss :
Les outils dinvestigation : ces outils offrent une aide aux auditeurs afin de formuler des
questions ou apporter des rponses des questions qui se posent.
Les outils de description : permettant de projeter de la lumire sur diffrents aspects
fonctionnels et organisationnels de lentreprise, ce sont des outils de rvlation .
a)Les outils dinvestigation
Les sondages statistiques ou chantillonnage : ce type doutils est souvent utilis dans la
pratique daudit. Dans la plupart des oprations de sondage ou dchantillonnage, lchantillon
est choisi partir dune srie darticles (cet chantillon doit tre reprsentatif de la population
fixe). Suite a, des mesures et des oprations statistiques permettront au moyen de cet
chantillon de projeter des jugements et des conclusions sur lensemble de la population. Cet
outil fait appel aux qualits de bon sens et de jugement de lauditeur, que ce soit pour la
dtermination de la taille de lchantillon, la slection des articles tudier et la formulation
des conclusions relatives la population drive des rsultats de lanalyse de lchantillon.
Tableau 5 : Les dix commandements pour un bon chantillonnage
Principes1 Connaitre les principes de lchantillonnage scientifique, et ne lutiliser que lorsquils sadaptent aux
mieux aux objectifs de laudit.2 Connaitre la population tudie et ne fonder des opinions que sur la population chantillonne.
3 Accorder la mme chance dtre choisis tous les lments de la population.
4 Ne laissez pas un biais personnel affecte lchantillon.5 Ne permettre pas que des configurations particulires de la population affectent le caractre alatoire que
doit revtir lchantillon.6 Faire attention, lchantillon orient vers un but (dirig) a un rle jouer, mais nen tirer pas des
conclusions pour toute la population.7 Baser les estimations de taux maximaux derreurs sur ce qui est raisonnable dans un modle rel, essayer
de dterminer quel moment des signaux dalarme cesseraient de jouer.8 Stratifier chaque fois que cela semble rduire la dispersion dans lchantillon.
9 Ne fixer pas sans ncessit des objectifs levs de fiabilit (niveau de confiance et de prcision). Lescontrles, la supervision, les indicateurs, les procds dauto-correction, ainsi que la conscience des faitsqu la direction et la surveillance quelle exerce, sont autant dlments qui doivent tre considrs pourtenter de rduire ltendue des investigations daudit.
10 Ne sarrter pas aux rsultats statistiques, mais chercher les causes.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
22/104
21
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Les interviews ou entretiens :
ces outils sont utiliss frquemment, ils ne doivent pas tre
confondus avec les conversations et les interrogatoires. Les conditions dune bonne interview
seront garanties en fonction du niveau de collaboration instaur entre laudit et lauditeur.
Une interview se dcompose gnralement en trois phases :
La prparation de linterview: lauditeur doit dabord prendre un rendez-vous avec son
interlocuteur, et avant de le contacter il doit collecter quelques informations
professionnelles sur lui (prendre connaissance de son interlocuteur). Aussi il doit
prparer son sujet et ses outils, il est indispensable pour chaque entretien davoir fix au
pralable les objectifs que lon souhaite atteindre avec un questionnaire dtaill ou au
moins un guide dentretien.
La conduite de linterview: une mthode efficace consiste prendre des notes au fur et
mesure, a permet de ralentir les flux dinformations et de garder des traces du
droulement de lentretien et deces points essentiels.
Laprs interview : lauditeur doit formaliser ses notes afin de les exploiter.
Tableau 6 : Les rgles suivre dans une interview
Rgles1 Il faut respecter la voie hirarchique. Sauf urgence exceptionnelle, lauditeur ne doit pas procder une
interview sans que le suprieur hirarchique de son interlocuteur ne soit inform.
2 Rappeler clairement la mission et ses objectifs. Linterlocuteur de lauditeur doit conna tre le pourquoi etle comment de linterview. Il serait dsastreux quil puisse simaginer que lon va lui tendre des questions
piges, que linterview nest en somme quun interrogatoire dguis.3 Evoquer les difficults, les points faibles, les anomalies rencontres avant toute autre chose.
4 Recueillir son adhsion les conclusions de linterview rsumes avec linterlocuteur, avant de lescommuniques sous quelque forme que ce soit sa hirarchie.
5 Conserver lapproche systme, en vertu de ce principe lauditeur ne sintresse pas aux hommes. On doitdonc se garder de toute question ayant un caractre subjectif et mettant en cause les personnes.
Les questionnaires :ceux-ci se prsentent comme un outil efficace dvaluation de niveau de
conformit des dispositifs de contrle aux normes et bonnes pratiques choisies commerfrences. Ils permettent didentifier les points forts et/ou lesfaiblesses de ces dispositifs ainsi
que les risques associs leur absence ou leur insuffisance. Ils permettent aux auditeurs
dorganiser et de rpartir les diffrents points traiter sous forme de questions groupes par
thme. Leur importance rside dans un ensemble davantagesqui permettent lauditeur de :
Formuler des questions par thmes et de les mettre dans un ordre de priorit.
Prparer un ensemble de points traiter et aborder dans le questionnaire.
Etablir un barme dvaluation afin de comparer les rponses de laudit avec la
rfrence et de comparer les rponses des diffrents audits.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
23/104
22
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Tableau 7 : Les diffrents types de questionnaire d'audit
Type de questionnaire DescriptionLes questions choix
multiples
Questions fermes avec un choix faire parmi plusieurs rponses prdfinies.
Les questions directes Questions formules de manire impliquer directement le rpondant, afin qu'ilse sente concern par la rponse.
Les questions indirectes Questions formules de manire ne pas impliquer directement le rpondant, afinqu'il se sente libre de rpondre.
Les questions fermes Questions la/aux rponse(s) limit(s) une liste de propositions.Les questions ouvertes Question laissant au rpondant la libert de choisir ses propres mots.Les grilles dvaluation Succession de questions bases sur la mme chelle d'valuation (chelle de
Likert). L'chelle contient en gnral cinq ou sept choix de rponse qui permettentde nuancer le degr d'accord.
1. Pas du tout d'accord2. Pas d'accord3. Ni en dsaccord ni d'accord
4.
D'accord5. Tout fait d'accord
remarquer que des modles de questionnaires, formuls par des experts, peuvent tre utiliss
nanmoins ces modles doivent tre adapts lentreprise et au contexte de la mission ainsi
lauditeur doit garder un recul ncessaire par rapport ces modles. remarquer aussi quun
questionnaire est une sorte de guide pour lentretien, lauditeur peut approfondir son enqute
en improvisant des questions sur la lumire des rvlations de son interlocuteur et en se basant
sur son exprience sans oublier de noter ses observations et les remarques conclues.
b)Les outils de description
Lorganigramme fonctionnel: la collecte des organigrammes de lentreprise par lauditeur
est une tche importante afin de pouvoir comprendre les responsabilits respectives du
personnel. Lauditeur est trs souvent amen mettre jour les organigrammes ou rajouter
ses propres commentaires sur les responsabilits relles. Les mots figurant dans les cases de
ces organigrammes ne sont pas des noms de personnes (organigramme hirarchique) mais des
verbes dsignant des fonctions. Cet organigramme doit aussi prsenter des descriptifs des
postes qui se considrent comme des lments importants de contrle interne.
Le diagramme de circulation des flux ou Flow-Chart :cest une reprsentation narrative ou
graphique dune suite doprations dans laquelle les diffrents documents, centres de travail, de
dcision, de responsabilit, sont reprsents par des symboles runis les uns aux autres suivant
lorganisation administrative de lentreprise. En fait llaboration de tel Flow-Chart amliore la
perception de lentreprise par le classement et le tri des donnes structures sous une formesynthtique.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
24/104
23
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Ce diagramme de circulation des flux doit permettre de faire ressortir les lments suivants :
les rles et responsabilits pour chaque opration,
les points daction, de dcision et de contrle,
les descriptions des circulaires et documents similaires,
les flux de communication lintrieur et avec lextrieur de lorganisation.
La synthse de tous ces lments permettra lauditeur de mettre en vidence les contrles cls
existant au sein de lorganisationet sur lesquels il sappuiera lors de sa mission. Le document
doit donc reprsenter sans ambigut toute linformation ncessaire pour comprendre le circuit
tudi et linterprter sans avoir rechercher de renseignements complmentaires. La forme
narrative de description se rvle une mthode difficile manier et peu claire, cest pour cette
raison quune reprsentation schmatique recensant les faiblesses et forces du contrle interne
savrebeaucoup plus utile. Et comme toute technique standardise, cette reprsentation doit
comprendre un certain nombre de symboles et de conventions.
Un autre avantage de cet outil, cest quil permet l'auditeur de comprendre les mthodes et
les systmes employs au sein de l'organisation, ainsi que les contrles effectus, en
mettant l'accent plus particulirement sur les procdure de circulation de l'information. Cette
comprhension des systmes (y compris systmes dinformation de lentreprise) sert de base
l'valuation des flux et contrles interne matrialiss par ce type de documents
normaliss. Son usage permet en outre d'amliorer l'efficacit et l'homognit du groupe
d'audit et de permettre une meilleur communication entre les diffrents auditeurs.
Lobservation physique: il sagit dune constatation de la ralit instantane de lexistence et
du fonctionnement dun ensemble dlmentstel que : le processus, les biens, les transactions,
les valeurs, les documents, les comportements. Il existe deux formes dobservations:
Lobservation directe: permettant dassurer une vrification immdiate et visuelle dundescriptif. Elle peut aboutir un avis sur ltat physique et/ou de fonctionnement dun
bien, comme elle peut prendre la forme dun comptage dunits/ des composants.
Lobservation indirecte: et qui consiste soit consulter directement des documents
reprsentatifs du droit, de lengagement comme les contrats, les courriers, les
certificats, soit faire des correspondances avec des tiers concerns pour quils
fournissent leurs observations et remarques concernant les lments audits.
Dune manire gnrale cette mthode va permettre lauditeur de mieux comprendre le
contexte, le primtre et lenvironnement de la mission daudit excuter.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
25/104
24
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
III. Laudit des systmes dinformation
1) Porte de laudit des systmes dinformation
Vu la nouvelle dimension qua pris le SI dans lensemble des activits de lentreprise, en se
prsentant comme un lment contributif la cration de la valeur et afin dassurer sa
performance et son bon fonctionnement, un ensemble de dispositifs de contrle associs doivent tre
mis en place. Des dispositifs relevant de la doctrine propres lentreprise ou en rponse aux
exigences des lois mergeantes telles que la LSF et la loi SOX (cas des dispositions de la section 404
cherchant garantir lexhaustivit, lexactitude, la validit des informations financires et la
restriction daccs).
Plusieurs entreprises pour se conformer des telles exigences et se protger contre les risques
affectant les assertions de leurs tats financiers, ont procd limplmentation de lensemble des
contrles gnraux informatiques et les contrles applicatifs issus du rfrentiel de contrle interne
COSO. Ces dispositifs font lobjet des rvisionsglobales au niveau des missions daudit interne (tel
que laudit des tats financiers). Cependant ces missions daudit ne permettent pas de vrifier
lintgralit des activits de SI qui dpassent de loin celles propres ltablissement de ces tats
financiers. Cest dans ce contexte qua volu la notion daudit des SIet qui drive de celle de laudit
interne visant complter cette fonction en traitant en objet : linformation, les infrastructures
technologiques, les ressources humaines, les processus et les applications associes.
Figure 6 : La relation Audit Interne - Audit des SI
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
26/104
25
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Laudit des SI forme ainsi un support la fonction daudit interne qui traite les risques oprationnels
et financiers associs aux diffrents processus mtiers de lentreprise. En gnrale plusieurs contrles
automatiques (les contrles applicatifs) font partie intgrante des diffrents applications mtiers
(ERP) dploys au sein de lorganisation, ces contrles visent garantir lefficacit et lefficience
des donnes et transactions financires. Cest au niveau des missions daudit interne que ces
contrles vont faire objet de vrification et dvaluation par rapport aux bonnes pratiques des cadres
gnrale de contrle interne, tel que COSO.
De cet angle des audits informatiques associs auront lieu au sein de ces missions, nanmoins les
risques informatiques ne seront pas tous cerns, ce qui exigent dautres missions plus spcifiquesse
chargeant de la fonction informatique en particulier. Cest l quintervient la fonction audit des SI, etqui va revoir la totalit des activits des SI, en vrifiant les contrles gnraux informatiques et
applicatifs associs aux diffrentes ressources matriels, logiciels et humaines ainsi que les
procdures et rgles de gestion tablies pour ces SI. Les auditeurs informatiques se rfreront pour
cette raison des rfrentiels daudit dits spcialement aux SI, comme le cas de cadre de rfrence
Cobit et autres standards.
2) Types de missions daudit des systmes dinformation
Daprs lenqute faite en 2007 par MAZARS(12) auprs de 134 organisations sur la diversit et
ltendu desmissions daudit se portant sur les SI, une varit de missions tait recens. La figure
suivante segmente en pourcentage le primtre dintervention des auditeurs informatiques et les
types de missions couvrant les SI identifis par cette tude.
Figure 7 : Les diffrents types de missions daudit des SI
(12) MAZARS est une entreprise internationale d'origine franaise spcialise dans l'audit, l'expertise comptable,la fiscalit et le conseil aux entreprises.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
27/104
26
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Ainsi on remarque bien que ces missions daudit identifies traitent les diffrentes dimensions :
managriale, oprationnelle et technique (audit de performance-efficacit) dun SI, comme ils
traitent des objets et thmes spcifiques tels que : les donnes, les processus, les projets,
larchitecture, la scurit, la qualit, la conformit
Tableau 8 : Exemples de missions d'audit des SI
Mission DescriptionAudit de la stratgie
informatiqueCette mission consiste sassurer que le SI est bien align avec la stratgie globale delentreprise et que les investissements informatiques sont bien gouverns.
Audit de la fonctioninformatique
Lobjectif de cette mission est de rpondre aux proccupations de la DG ou de la DSIconcernant l'organisation de la fonction informatique, son pilotage, son positionnementdans la structure, ses relations avec les utilisateurs, ses mthodes de travail
Audit de lexploitant Cette mission a pour but de s'assurer que les centres de production informatiques(centres de services) fonctionnent de manire efficace et qu'ils sont correctement grs.
Audit des projetsinformatiques
Le but de cette mission daudit cest de s'assurer que les projets informatiques sedroulent normalement et que l'enchanement des oprations se fait de manire logiqueet efficace fin d'arriver en toute sret la fin de la phase de dveloppement, et afinde dlivrer une application performante et oprationnelle.
Audit des applicationsoprationnelles
Cette mission daudit permet de donner au management une assurance raisonnable surla sret de fonctionnement dune application et les contrlesimbriqus dedans. Cettemission daudit peut traiter une application comptable, de paie, de facturation,.mais, de plus en plus souvent, on s'intresse l'audit des processus globaux del'entreprise comme la vente, la production, lachat, la logistique,
Audit des donns ettransactions
Le but de cette mission cest de vrifier la fiabilit des donnes et transactionsfinancires pris en charge par le SI et les technologiques dinformation associes.
Audit physique Ce type de mission traite les infrastructures, les quipements et installations, afin desassurer de la validit des dispositifs mis en place pour se protger contre des
dommages et dsastres comme : les incendies, les inondations, orages Audit de migration Cette mission vrifier le processus de migration dune application ou dun systme vers
des nouvelles versions ou suite des changements au niveau de linfrastructure et lestechnologies de linformation, dans le but de sassurer de la prennit du SI.
Audit de la scurit desSI
Cette mission daudit a pour but de donner au management une assurance raisonnabledu niveau de risque acceptable associ des dfauts de scurit des SI et quelentreprise peut assumer. Ce type de mission globale peut tre divis en sous-missionsdaudit plus spcifiques, tel que :
Audit de la scurit physique Audit de la scurit des applications Audit de la scurit des services informatiques .
3)
Rfrentiels dauditdes systmes dinformation
Avant de mener des travaux dinvestigation lors de la phase dexcution les auditeurs doivent
dabord fixer un ou plusieurs cadres de rfrence, soit de ceux propres lentreprise ou choisis
parmi les standards et les normes internationales existants. Un cadre de rfrence par dfinition est
un ensemble de rgles organisationnelles, procdurales et/ou techniques mettre en place pour
gouverner (grer dans les rgles de lart) les SI. Ces cadres peuvent tre utiliss par les auditeurs au
cours dune mission d'audit fin d'valuer les dispositifs de contrle en question et de mesurer le
niveau de leurs applications par rapport aux exigences et les bonnes pratiques de ces standards.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
28/104
27
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Plusieurs cadres de rfrence de contrle, de gestion, de gouvernance et dauditse prsentent sur le
march et permettant chacun de traiter un lment ou une dimension des SI, tels que :
Larchitecture des SI(exemple : TOGAF).
Les services informatiques (exemple : ITIL, la norme ISO 20000).
Les projets informatiques (exemple : PMBOK, PRINCE2, CMMi).
La gouvernance des SI (exemple : Cobit, Val IT, Risk IT, la norme ISO 38500).
Lexternalisation des services informatiques (exemple: eSCM).
La conformit rglementaires des SI (exemple : loi SOX, Acte BleII, COSO, Cobit).
La scurit des SI (exemple : la famille des normes ISO 27000).
Figure 8 : Les principaux rfrentiels de la DSI
Ces diffrents cadres de rfrence prsentent une bibliothque complte de savoir et de bonnes
pratiques pour la gestion et la bonne gouvernance des SI, ils forment une base aux managers fin de
piloter, contrler et maintenir des SI en haute performance.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
29/104
28
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Ces cadres seront aussi la rfrence la quelle se pointent les auditeurs pendant leurs missions
daudit dans le but de vrifier le niveau dapplication de ces bonnes pratiques et lefficacit et
lefficience des contrles mis en place. Dans le tableau suivant on prsentera des descriptions
brves des principaux rfrentiels et normes internationales daudit des SI.
Tableau 9 : Descriptions des principaux rfrentiels et normes daudit des SI
Rfrentiel / Norme DescriptionITIL (Information
Technology InfrastructureLibrary)
ITIL a t mis en place par lOGC ( Office of Gouvernement Commerce )britannique. Cest un ensemble douvrages recensant les bonnes pratiquesdu management tout autour des services du SI. Les tomes les plus utiliss concernentle soutien et la fourniture des services informatiques. ITIL permet, grce sonapproche processus clairement dfinie et contrle, d'amliorer la qualit des servicesdu SI et de l'assistance aux utilisateurs. Dans sa troisime version ITIL a met laccent
sur la matrise du cycle de vie dun service informatique.CMMi (CapabilityMaturity Model
integrated)
CMMi a t conu par le SEI ( Software Engineering Institute) de luniversit deCarnegie Mellon. Cest un modle de rfrence, sous forme dun ensemble structurde bonnes pratiques, destin apprhender, valuer et amliorer les activits desentreprises d'ingnierie informatique afin de contrler la fonction de dveloppementdes applications et des logiciels.
PMBOK (ProjectManagement Body of
Knowledge)
Il se prsente comme une rfrence en matire de gestion des projets, il est dit par lePMI (Project Management Institute). Ce rfrentiel est totalement complmentaireavec des dmarches damlioration continue de type CMMi.
PRINCE2 (PRojects INControlled Environments)
Cest une mthode de gestion et de certification de projet aussi structure et qui sefocalise sur trois points : l'organisation, la gestion et le contrle du projet.
TOGAF (The OpenGroup Architecture
Framework)
Cest un ensemble de concepts et un standard industriel couvrant le domaine desarchitectures informatiques d'entreprise, qui peut tre utilis par toute entreprise
souhaitant dvelopper ou modifier son architecture.eSCM(eSourcingCapability Model)
Cest un rfrentiel labore depuis 2001 par lUniversit Carnegie-Mellon/ ItSQC afindamliorer la relation entre clients et fournisseurs dans le cadre de la fourniture deservices utilisant les technologies de linformation. Ces services sont de nature trsdiverse : infogrance, externalisation du support informatique, tierce maintenance,fourniture de liaisons de tlcommunications
COSO (Committee OfSponsoring
Organizations)
Cest un rfrentiel de contrle interne dfini par le la COSO ( Committee OfSponsoring Organizations of the Treadway Commission ). Il est utilis notammentdans le cadre de la mise en place des dispositions relevant des lois SOX (pour lesentreprises cotes en bourse en USA) ou LSF (pour les entreprises franaises). Lerfrentiel initial appel COSO1 reprsente un framework de gestion des objectifsde conformit configurable toute rglementation. Lapproche COSO est structure entrois axes : le premier pour lvaluation des objectifs, le deuxime axe dfinit lesrisques, contrles et les actions et le troisime axe organise le travail dans un systme
processus bien structur. COSO a volu depuis 2002 vers une deuximeversion COSO2 sous forme dune mthodologieaxe sur la gestion des risques appeleERM (Entrprise Risk Management ).
Cobit (Control Objectivesfor Information andrelated Technology)
Cobit a t publi en 1996 par lISACA (Information Systems Audit and ControlAssociation ). CobiT est organis selon une approche oriente processus, qui regroupeen 4 domaines (structurs par analogie avec la Roue de Deming), 34 processusdistincts qui comprennent en tout 215 activits et un nombre plus important de
pratiques de contrle. CobiT fournit aux gestionnaires, auditeurs et utilisateurs de SI,des indicateurs, des processus et des bonnes pratiques pour les aider maximiser lesavantages issus du recours des techniques informatiques et l'laboration de lagouvernance et du contrle d'une entreprise. Dans sa version 4.1 Cobit intgre
proprement dit les deux volets audit et management des SI, ainsi quun grand nombrede dmarches et bonnes pratiques issues dautres rfrentiels et normes internationales.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
30/104
29
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Val IT(Governance of ITinvestments)
Cest un cadre de rfrence pour la gouvernance des investissements informatiques quia t ralis par lITGI(IT Gouvernance Institute qui a t cre par lISACA), et qui
propose une analyse de la performance des investissements en technologies del'information. Val IT distingue trois axes de gouvernance des projets SI : lagouvernance de la valeur (GV), la gestion de portefeuille (GP) et la gestion des
investissements (GI). Remarque : Val IT a t intgr dans la version 5 de Cobit.Risk IT (Governance of
IT risks)Risk IT est un rfrentiel de management du SI et des TI par les risques il a t publien 2009 par l'ISACA. Cest un guide de principes directeurs et de bonnes pratiques quisorganisent en 3 domaines, 9 processus et comptent 47 bonnes pratiques. Lesdomaines et processus de ce rfrentiel couvrent les trois axes suivants : lagouvernance des risques (GR), lvaluation des risques (ER) et le traitement desrisques (TR). Remarque : Risk IT a t intgr dans la version 5 de Cobit.
La normeISO 9000 Cest un ensemble de normes relatives lagestion de la qualit et qui est publies parl'ISO (International Organization of Standardization). Cette norme repose sur uncertain nombre de principes de management de la qualit, notamment une forteorientation client, la motivation et lengagement de la direction, lapproche processuset lamlioration continue. La variante ISO 9001:2008 aide sassurer que les clientsobtiennent des produits et services uniformes et de bonne qualit, avec, en retour, de
belles retombes commerciales.La normeISO/CEI
20000Elle est issue de la norme BS 15000 de BSI ( British Standards Institution), cestune norme de certification des services informatiques des organisations prouvant lerespect de normes de qualit dites au travers de phases, de contrles et de procduresmises en place.
La srie des normesISO/CEI 27000
Cest une suite des normes descurit de l'information publie conjointement en mai2009 et rvise par lISO (International Organization of Standardization).) etla CEI ( Commission Electrotechnique Internationale). Ces normes sont drivs desnormes prcdentes telles que : ISO 17799 et BS 7799.Parmi cet ensemble des normes la norme ISO/CEI 27002 prsente un ensemble de 39objectifs de contrlequi stalent en 133 mesures ou bonnes pratiques destines treutilises par tous ceux qui sont responsables de la mise en place ou du maintiend'un Systme de Management de la Scurit de l'Information (SMSI) et lesauditeurs des SI au cours de leurs missions.
Sources : Les rfrentiels de la DSI. Cigref (2009).Lorganisation internationale de normalisation ISO (site web :http://www.iso.org/)
http://www.iso.org/http://www.iso.org/http://www.iso.org/http://www.iso.org/7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
31/104
30
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Chapitre 2 : Cobit 4.1 un cadre fdrateur daudit des systmesdinformation
I.
LISACA et ses principales contributions en matire daudit des systmes
dinformation
1)Prsentation de lISACA
LInformation System Audit and Control Association (ISACA) est une association
professionnelle internationale qui a t fonde aux tats-Unis en 1969 dont l'objectif est d'amliorer
la gouvernance des SI, notamment par l'amlioration des mthodes d'audit informatique. Elle est
aussi un membre affili de lIFAC(13).
Depuis sa cration et afin datteindre lobjectif fix elle a dvelopp un ensemble de textes et de
rfrentiels qui se rsument essentiellement en :
Un code de dontologie : cest une charte daudit standard pour encadrer la fonction des
auditeurs des SI. Ce code doit tre respect par les adhrents lISACA (essentiellement les
auditeurs certifis) et peut tre considr comme un modle aux entreprises afin dlaborer
leurs propres tiques et codes de dontologie suivre par leurs propres units daudit des SI.
Un ensemble de normes, conseils et procdures pour laudit des SI (Standards, guidelines
and procedures for information system auditing). Ces normes ont t codveloppes avec
lIFAC et approuves comme des normes internationales en audit et contrle des SI dans le but
daiderles auditeurs promouvoir des SI de confiance et crateurs de valeur.
Un ensemble de rfrentiels pour laudit et la gouvernance des SI: Val IT, Risk IT,Cobit et
plusieurs autres publications connexes.
2)Chronologie des variantes Cobit
Le rfrentiel Cobit a vu ds son apparition plusieurs volutions :Cest en 1996 que lISACA a publi la premire version de Cobit qui tait cepremier stade
juste un rfrentiel daudit et de contrle des SI sinspirant des principes de rfrentiel de
contrle interne COSO (publi en 1992). Cette premire version tait destine aux auditeurs
dans le but de les assister dans la planification et lexcution de leurs missions daudit.
(13)IFAC (International Federation of Accountants ),cest la fdration globale de la profession comptable fond en
1977. Elle a pour vocation de publier des standards internationaux sur l'thique, audit et assurance, l'ducation, et lacomptabilit du secteur public. Elle publie aussi des conseils pour encourager la qualit dans les services desprofessionnels comptables.
http://fr.wikipedia.org/wiki/COBIThttp://fr.wikipedia.org/wiki/COBIT7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
32/104
31
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
En 2000 une troisime version a apparu suite aux nombreux travaux de lITIG(14) . Cette
version a introduit pour la premire fois la notion de management, proposant ainsi deux
guides : un guide daudit qui offre une approche processus guide par des objectifs de contrle
et un guide de management pour ces processus sous forme dun ensemble de lignes directrices.
La version quatre de ce rfrentiel a fait son apparaissance en 2005 et a volu vers la version
4.1 en 2007. Ces deux versions regroupent deux visions : le contrle et le management des SI
(notion dveloppe depuis la version 3 et approfondie dans la version 4.1 au niveau dun guide
complet de management). Ces deux versions ont t fortement influences par la loi SOX et
son homologue la LSF, en renforant les contrles des SI associes aux processus financiers et
la gouvernance des SI .Ces deux version intgrent aussi dans leurs processus les bonnes
pratiques issues dun nombre autres rfrentiels, lois et normes tel que : ITILV3, ISO 27002,
ISO 9000, ISO 38500, CMMi, COSO, loi SOX, PMBOK, TOGAF . Ds lors la version 4.1
de Cobit a t considre comme un cadre fdrateur daudit et de gouvernance des SI.
La cinquime variante de Cobit a t dvoile en 2012 et a pris une nouvelle tendue en se
focalisant sur la dimension gouvernance qui est devenue la ligne directrice de la nouvelle
approche Cobit. Cette version a intgr en plus des bonnes pratiques issues de nombreux
cadres daudit et de gouvernance dans la version prcdente, les bonnes pratiques des
rfrentiels Val IT et Risk IT dvelopps par lISACA, fin de prsenter une dmarche
cohrente et globale en matire daudit, management et gouvernance des SI.
Figure 9 : Evolution du cadre de rfrence Cobit
(14)
ITGI (IT Governance Institute ) est un institut fond par lISACA en 1998 afin de contribuer par des tudes et desrecherches en gouvernance des SI apporter des amliorations aux approches et mthodologies des produits de cettedernire.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
33/104
32
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
II. Prsentation du cadre de rfrence Cobit 4.1
1)Description gnrale
Cobit 4.1 se prsente comme un cadre fdrateur daudit et de gouvernance des SI, il intgre les
bonnes pratiques dun grand nombre de rfrentiels et normes internationales. Il suit une dmarche
transversale en couvrant toutes les activits de la DSI. Son approche se base sur un grand nombre
dlments et des concepts lui valant une dimension universelle, cest--dire quelle peut tre
applique tout type dentreprise quelque soit son secteur dactivit ou sa taille.
Les lments de Cobit 4.1 sorganisent sur trois axes,tout en sinspirant du modleCOSO :
Laxe Exigences mtiers : qui dfinit les critres dinformation gouvernant les activits du
SI en rponse aux besoins des mtiers.
Laxe Processus informatiques : qui dcrit et organise les diffrents processus, activits et
pratiques de la fonction SI dans un modle en trente-quatre processus interconnects.
Laxe Ressources informatiques : qui regroupe les diffrentes ressources (applications,
information, infrastructure et personnes) uvrantdans le cadre du SI.
Figure 10 : Le cube Cobit4.1 (inspir du COSO)
Le cadre de rfrence Cobit4.1 fonde son approche tout autour de linformation, qui se prsente
comme garant du bon fonctionnement des activits de lentreprise et qui contribue la ralisation de
lobjectifultime de lentreprise: la cration de la valeur . Pour cette raison que linformation ainsi
que les processus lui sont associs et les diffrentes ressources dployes doivent avoir un niveau deperformance, de qualit et de scurit lev afin daboutir latteinte de cet enjeu.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
34/104
33
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Dans cette perspective Cobit dfinit sept critres (exigences) dinformation, qui doivent tre vrifis :
Lefficacit : cest la mesure par laquelle linformationcontribue aux rsultats des processus
mtier par rapport aux objectifs fixs.
Lefficience : cest la mesure par laquelle linformationcontribue aux rsultats des processus
mtier au meilleur cot.
La confidentialit : cest la mesure par laquelle elle est protge des accs non autoriss.
Lintgrit : cest la mesure par laquelle linformationcorrespond la ralit de la situation.
La disponibilit : cest la mesure par laquelle linformationest disponible en temps voulu.
La conformit : cest la mesure par laquelle les processus sont en conformit avec les lois, les
rglements et les contrats.
La fiabilit : la mesure par laquelle linformation de pilotage est pertinente.
Afin de garantir ces exigences dinformation, contrler les SI et contribuer lamlioration de leurs
fonctionnements, Cobit 4.1 dploie trente-quatre processus informatiques interconnects (dclins en
plus de deux-cent activits) afin de grer et optimiser les diffrentes ressources des SI : personnes,
informations, applications et infrastructure. Ces processus sont groups en quatre domaines :
Planifier et Organiser (PO) : ce domaine traite les problmes du management global
(stratgique) des SI.Acqurir et Implmenter (AI) : ce domaine traite les problmes du management des projets
informatiques (il rassemble tous les processus qui impactent les ressources ds lacquisition
jusqu limplmentationdun lment du SI).
Dlivrer et Supporter (DS) : ce domaine traite les problmes du management des
services offerts aux clients de la DSI, tels que :
lexploitation informatique
la gestion de la scurit
la gestion des donnes et quipements
lassistance aux utilisateurs
Surveiller et Evaluer (SE): ce domaine permet dvaluer la conformit et la qualit des
processus Cobit et cela en vrifiant :
la surveillance de contrle interne (efficacit / efficience)
la gouvernance des SI
la gestion de la performance
le respect des normes rglementaires
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
35/104
34
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Figure 11 : Le modle processus de cadre de rfrence Cobit 4.1
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
36/104
35
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
2)Les principaux lments de Cobit 4.1
Pour laborer et maintenir sa dmarche en matire daudit,de management et de gouvernance des SI
le cadre de rfrence Cobit 4.1 dfinit un grand nombre dlments et des concepts, dont lesprincipaux sont :
Les objectifs mtiers : ces objectifs traduisent ce quexigentles directions mtiers en matire
des SI. Ils ont pour but de garantir que les SI vont contribuer la performance de lentreprise
tout en orientant les objectifs informatiques dans ce sens.
Les objectifs informatiques : ce sont les objectifs propres aux SI, dfinis et grs par la DSI.
Ces objectifs ont pour but de grer lensemble des ressources constituant les SI, tout en
salignant sur les objectifs mtiers dans le cadre de la stratgie globale de lentreprise. Cesobjectifs se divisent en objectifs de processus et objectifs dactivits.
Les objectifs de contrle : ces objectifs sont relis aux processus de Cobit4.1, ils prsentent
les exigences minimales pour garantir un contrle efficace de chaque processus . Ils
expriment le rsultat ou le but atteindre par la mise en uvre dun ensemble de pratiques de
contrle pour chacun des processus. Ces objectifs sont exigs par la direction, mis en place par
la DSI et audits par les auditeurs et les professionnels dassurance.
Figure 12 : Le principe de cascade des objectifs de Cobit 4.1
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
37/104
36
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Les mtriques : pour chaque objectif informatique, processus ou activit, Cobit4.1 offre un
ensemble de mesures afin dvaluer le degr datteinte de ceux ci (KGI(15)) et dautres mesures
pour valuer leurs performances (KPI(16)).
Les tableaux RACI (17): se sont des tableaux qui identifient pour chaque activit dun
processus le groupe dintervenants en dterminant ceux qui sont responsables, ceux qui
approuvent et ceux qui seront consults et/ou informs. Cobit4.1 identifie au moyen de ces
tableaux, dix-neuf rles et responsabilits gnriques pouvant se dcliner en postes et emplois
plus structurs. Cest un lment de management permettant de clarifier les responsabilits et
les tches, il est dordre indicatif et peut faire rfrence des instances comme : comit
stratgique informatique, comit de pilotage informatique .
Figure 13 : Le tableau RACI correspondant au processus PO10
Les entres et sorties des processus (Input /Output) : la dmarche Cobit4.1 est base sur un
ensemble de processus informatiques interconnects, pour chacun de ces processus un
ensemble de flux dentre et de sortie sont associs et dfinis. Ces lments permettent
dtablir les liens entre lensemble de cesprocessus dans le cadre dune approche systme.
(15)KGI ( key Goal Indicator ) ce sont des mesures de rsultat des processus qui informent le management a posteriorisi un processus informatique a rpondu aux exigences mtier.(16)KPI ( Key Performance Indicator ) ce sont des mesures qui dterminent quel point la performance dun processus
informatique lui donne la chance datteindre ses objectifs.(17) RACI : un tableau des rles et responsabilits qui prcise pour chaque activit dun des processus Cobit leResponsable, celui qui Approuve, le Consult et/ou lInform.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
38/104
37
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Les modles de maturit : dans une logique damlioration continue des processus
informatiques, Cobit4.1 prsente une chelle de maturit gradue en six degrs, pour suivre
leurs volutions. Chaque processus informatique mis en place peut passer par plusieurs stades
de maturit jusqu atteindre ltat optimal. Dans ce cycle, des valuations de maturit
priodiques (annuelles) permettent de localiser le niveau atteint dun processus (par exemple le
niveau trois Processus dfini ), et afin de le faire voluer vers le niveau de maturit suivant
(le niveau quatre Gr et mesurables ) Cobit4.1 offre des modles de maturit qui
prsentent titre indicatif des directives suivre par les managers.
Figure 14 : Lchelle de maturit des processus selon Cobit4.1
3)
Documentation et publications de Cobit 4.1
La documentation Cobit4.1 stale sur les diffrents besoins des SI en management, gouvernance,
contrle et audit. Les principaux documents et publications sont:
Le cadre de rfrence Cobit4.1 : ( Cobit4.1 Framework ) ce document reprsente lapproche
processus de Cobit4.1, ses lments constitutifs et les diffrents concepts lui sont associs.
Les objectifs de contrles ( Cobit and Application Control ) : cest lensemble desobjectifs
de contrle Cobit et les contrles dapplication issus de COSO et la charge de la DSI.
Le guide dimplmentation( Cobit Implementation Guide ) : un guide offrant une dmarchebien labore pour implmenter les processus Cobit4.1 et les diffrentes activits informatiques
qui en dcoulent. Cest un guide gnriquequi peut tre adapt par chaque entreprise quelque
soit sa taille ou son secteur dactivit selon ses besoins et ses objectifs stratgiques.
Le guide de management : ( Cobit Management Guide ) regroupe lensemble des tableaux
RACI, les flux dentre/sorties des processus et les modles de maturit (sous formes de
conseils et des directives), tous ces lments sont la destination des managers afin de mieux
grer les processus informatiques et faire voluer leurs niveaux de maturit.
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
39/104
38
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
Les pratiques de contrle ( Cobit Control practices : 2nd Edition ) : cest un ensemble des
pratiques de contrles tablies par des experts en rponses aux diffrents objectifs de contrle
Cobit. Ces pratiques sont la destination des managers fin de les aider implmenter des
objectifs de contrle et forment des lments sur lesquels les auditeurs informatiques peuvent
se baser pour valuer les objectifs de contrle implments.
Les bases de scurit de linformation ( Cobit Security Baseline : 2nd Edition ) : cest un
ensemble de conseils de management destins au conseil dadministration et la direction
gnrale pour les guider en matire de scurit de linformation. Ces conseils sontbass sur les
objectifs de contrle Cobit.
Le guide daudit( IT Assurance Guide: Using Cobit ) : ce guide offre aux auditeurs une
dmarche, des mthodes et des outils pour les aider dans la planification, la ralisation et la
conclusion de leurs diffrentes missions daudit tout en exploitant les lments de Cobit.
Figure 15 : La documentation Cobit 4.1 (18)
(18)Ce schma prsente les produits gnralement applicables et leur public principal. Il existe galement des produitsdrivs pour des fonctions particulires, tels que : Objectifs de contrle des SI pour SarbanesOxley, 2me dition , Gouvernance de la scurit de linformation: Recommandations destines aux conseils dadministration et aux
directions gnrales (dans des domaines scurit) et Cobit Quickstart pour les petites et moyennes entreprises ).(pour des entreprises spcifiques).
7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information
40/104
39
Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation
III. Lapproche Cobit 4.1 en matire dauditdes systmes dinformation
1)Les objectifs de contrle : un lment axial dans lapproche Cobit4.1
Ds son apparition le cadre de rfrence Cobit tait conu pour aider les auditeurs informatique
planifier et excuter des missions daudit, et mme en voluant vers dautres perspectives
managriale et stratgique (tel que la gouvernance) il a gard son volet audit proprement dit au
moyen dun lment axial: les objectifs de contrle .
Les objectifs de contrle permettent de dfinir les exigences minimales pour garantir un contrle
efficace de chaque processus informatique, ils stalent en un grand nombre de pratiques de
Top Related