Gérez la sécurité informatique et auditez ses outils !
Lors de cette formation vous allez :
- Connaître l’environnement informatique, les contrôles et les risques associés
- Détenir les techniques pour manager les risques informatiques
- Identifier les solutions pour auditer les contrôles informatiques
- Disposer d'un référentiel des contrôles informatiques sur les process achats et ventes
Suivez la formation vidéo par ici :
https://www.smartnskilled.com/tutoriel/formation-en-ligne-manager-et-auditer-les-risques-informatiques
2. Présentation générale
Les systèmes et outils informatiques sont aujourd’hui essentiels pour toute
organisation concernant la réalisation de ses activités…
…d’où la nécessité de les maîtriser, plus particulièrement en termes de risque.
Manager les risques informatiques est impératif pour sécuriser les traitements
opérationnels et gagner en efficacité dans de bonnes conditions.
Auditer les risques informatiques est incontournable pour disposer de moyens
adéquats par rapport aux objectifs de l’organisation et permettre une adaptation
des outils au regard d’un environnement informatisé sans cesse évolutif.
3. Présentation formateur
Jean-François Caron
Diplômé d’Etudes Supérieurs Comptables et Financières (DESCF).
Certifié CIA, CRMA.
17 ans d’expérience en audit (externe, interne) et en management des risques.
Formateur depuis 9 ans : audit, management des risques, comptabilité, finance.
Professeur vacataire en université (comptabilité, économie générale, contrôle de gestion).
Fondateur auditécofi
Formations à distances, ressources gratuites.
www.formation-audit-ecofi.com
4. Le plan de la formation
Partie 1
Points généraux en matière de
systèmes d’informations (SI)
Partie 2
Management des risques inhérents au
SI
Partie 3
Traitement des risques inhérents à
l’organisation du SI
Partie 4
Traitement des risques inhérents au
fonctionnement du SI
Partie 5
Traitement des risques inhérents à la
sécurité du SI
Partie 6
Projet de développement du SI
Partie 11
Contrôles informatiques pour la
maîtrise des process achats et ventes
Partie 7
Contrôle interne de la Direction des
Systèmes d’Informations (DSI)
Partie 8
Audit des contrôles généraux
Partie 9
Audit des contrôles applicatifs
Partie 10
Points d’audit suite au développement
du SI
5. Prérequis
Aucun prérequis exigé...
...puisque la formation consiste en un apprentissage progressif des
notions en matière d’organisation informatique et des risques
associés…
...pour conclure sur les contrôles et les points d’audit.
7. Objectifs visés
La formation apporte aux participants :
les connaissances de l’environnement
informatique, des contrôles et des risques
associés ;
les techniques pour manager les risques
informatiques ;
les solutions pour auditer les contrôles
informatiques ;
un référentiel des contrôles informatiques sur
les process achats et ventes ;
9. Sommaire
Jean-François Caron Consultant
www.formation-audit-ecofi.com
2
Partie I : Points généraux en matière de SI.
Partie II : Management des risques inhérents au SI.
Partie III : Traitement des risques inhérents à l’organisation du SI.
Partie IV : Traitement des risques inhérents au fonctionnement du SI.
Partie V : Traitement des risques inhérents à la sécurité du SI.
Partie VI : Projet de développement du SI.
Partie VII : Contrôle interne de la Direction des Systèmes d’Informations (DSI).
Partie VIII : Audit des contrôles généraux.
Partie IX : Audit des contrôles applicatifs.
Partie X : Points d’audit suite au développement du SI.
Partie XI : Contrôles informatiques pour la maîtrise des process achats et ventes
10. Préambule
3
SI = colonne vertébrale de toute organisation, concernant toutes les fonctions.
SI : garant de la protection des données, de la sincérité des opérations, de la vitesse d’exécution =>
efficacité et efficience des traitements.
Contrôle interne pour la maîtrise des risques inhérents au SI est primordiale (facteur clé de succès
d’une organisation).
Le SI est contrôlé…et contrôle (moyen de contrôle interne et d’audit).
Jean-François Caron Consultant
www.formation-audit-ecofi.com
11. 4
Partie I
Points généraux en matière de SI
Jean-François Caron Consultant
www.formation-audit-ecofi.com
12. Définition du système d’informations
(SI)
5
Le Système d’Information (SI) a pour objectif de recueillir, de stocker, et de diffuser l’information de
l’environnement d’une organisation et des opérations internes pour soutenir les fonctions de
l’entreprise, la prise de décision, les communications, la coordination, le contrôle, l’analyse et la
visualisation.
Les SI transforment des données brutes en informations utiles au moyen de trois activités
essentielles :
l’entrée ;
le traitement ;
la sortie.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
13. Caractéristiques d’un environnement
informatisé
6
Complexité :
éléments techniques multiples de natures très diverses ;
multiples intervenants ;
identification et localisation des anomalies ;
nombreuses voies d’accès aux données et aux traitements.
Caractère “immatériel” des éléments à protéger.
Conséquences étendues lors de dysfonctionnements.
Liens entre contrôles informatisés et contrôles manuels.
Information.
Migration : impacts transverses.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
14. Schéma type d’une application
7 Jean-François Caron Consultant
www.formation-audit-ecofi.com
16. Acteurs en matière de SI
9
Utilisateurs :
utilisent l’application informatique ;
font remonter les incidents (anomalies et dégradation du niveau de service attendu).
Exploitation informatique :
fournit une qualité de service (disponibilité, sécurité) conforme aux besoins
de l'entreprise, à un coût optimal et dans le respect des règles de sécurité ;
prend en compte les incidents et informe les utilisateurs
de l’état d’avancement de leur résolution.
Propriétaires :
autorisent les accès ;
initient ou valident les demandes de maintenance (évolutives / correctives).
Jean-François Caron Consultant
www.formation-audit-ecofi.com
17. Définition du risque informatique
10
Appartenant au risque opérationnel selon le Comité de Bâle (« risque de perte résultant d’une
inadéquation ou d’une défaillance des processus, du personnel et des systèmes, ou d’évènements
externes ».)
Travaux de l’ACPR pour préciser ce qu’est le risque informatique : « risque de perte résultant d’une
organisation inadéquate, d’un défaut de fonctionnement, ou d’une insuffisante sécurité du système
d’information, entendu comme l’ensemble des équipements systèmes et réseaux et des moyens
humains destinés au traitement de l’information de l’institution. »
Risque informatique => intégré au dispositif général de maîtrise des risques (identification, mesure,
couverture).
Jean-François Caron Consultant
www.formation-audit-ecofi.com
18. Définition de la cybersécurité
11
Définition de l’ACPR:
ensemble de mesures et de moyens techniques permettant de prévenir, de détecter, de répondre, à des
attaques visant le système d’information (confidentialité, intégrité, disponibilité, traçabilité) ;
appartient au risque informatique.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
19. Facteurs de risque informatique
12 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Facteur Nature
Organisation inadéquate Décision et pilotage insuffisant conduisant à une mauvaise
gestion informatique, à un support insuffisant des besoins des
métiers, à une mauvaise maîtrise du risque informatique.
Défaut de fonctionnement Atteinte au bon fonctionnement du système (mauvaise qualité
des données) et altération de la capacité de l’organisation à
réaliser ses activités (atteinte à la continuité d’exploitation).
Sécurité insuffisante Atteintes malveillantes à la disponibilité, à la confidentialité, à
l’intégrité des données et des systèmes gérés par
l’organisation.
20. Critères de qualité d’un SI
13
Pertinence / besoins des utilisateurs.
Disponibilité.
Confidentialité.
Intégrité.
Traçabilité.
Sécurité.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
21. 1
Partie II
Management des risques inhérents au SI
Jean-François Caron Consultant
www.formation-audit-ecofi.com
22. Présentation du management
des risques
2
Risque = évènement altérant l’atteinte des
objectifs.
Management des risques : identification /
mesure / couverture.
Cartographie des risques.
Contrôle interne.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
Protection
Prévention
23. Objectifs généraux de
contrôle interne
3
Conformité (référentiels externes, référentiels internes).
Efficacité et efficience des opérations.
Fiabilité des informations.
Sécurisation des actifs.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
24. Principes généraux de
contrôle interne
4
Implication de la gouvernance et du management pour impulser une dynamique de contrôle.
Intégration du contrôle interne dans les processus.
SI comme objet et levier du contrôle interne.
Arbitrage entre coûts du contrôle interne et efficacité.
Limites du contrôle interne.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
25. Principes d’actions de
contrôle interne
5
Planifier : détermination des objectifs et du périmètre de contrôle interne.
Démarche de contrôle au « juste prix » (principe de proportionnalité ; granularité).
Adéquation entre processus, identification et mesure des risques, dispositifs de contrôle interne.
Dispositifs de contrôle interne adaptés à l’organisation et à la taille de la structure.
Coordination entre les fonctions de contrôles (1er niveau, 2nd niveau, 3ème niveau).
Collaboration étroite avec les auditeurs externes.
Intégrer le contrôle interne dans toute démarche qualité initiée.
Inclure le contrôle interne dans les phases de construction, de développement, de maintenance des outils
informatiques.
Distinction entre contrôles automatiques et contrôles manuels.
Evaluation régulière de l’efficacité des dispositifs de contrôle interne.
Exploitation des résultats des contrôles pour une meilleure maîtrise des risques et une amélioration des
processus.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
26. Processus de l’entreprise
6 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Processus de direction Processus opérationnels Processus supports
Stratégie
Organisation
Déontologie
Conformité
Gestion des risques
Communication financière
Audit interne
Affaires publiques
Communication interne
Communication
institutionnelle
Recherche et
développement
Achats
Fabrication / Production
Contrôle qualité
Distribution / Logistique
Marketing
Vente
Après-vente
Contrôle de gestion
Trésorerie
Comptabilité
Investissements
Consolidation
Fiscalité
Juridique
Moyens généraux
Informatique
27. Cartographie des risques généraux
7 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Risques financiers Risques opérationnels Risques de conformité
Contrepartie
Taux
Change
Marché
Liquidités
Pays
Catastrophe naturelle
Fraude (interne, externe)
Accidents du travail
Rupture d’activités
Dommage aux actifs corporels
Défaillance dans la gestion
des processus et l’exécution
des tâches
Dysfonctionnement
informatique
Non respect des lois, des
règlements
Non respect des référentiels
internes
Non respect des contrats
Sanction (administrative,
judiciaire, disciplinaire)
Réputation
Déontologique
28. Risques inhérents au SI
8
Prise en compte d’informations non autorisées.
Prise en compte non exhaustive des informations.
Prise en compte d’informations inexactes.
Mise à jour incomplète des données.
Mise à jour inexacte des données.
Altération de l’intégrité, de l’exhaustivité et de l’exactitude des données
stockées.
Accès non autorisés aux données.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
29. Typologie des contrôles informatiques
9 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Contrôles métiers Contrôles généraux Contrôles des applicatifs
Contrôles réalisés au sein des
structures métiers, en lien avec
les processus. Concernent
généralement des contrôles
manuels sur base des états
produits par les outils (exemple :
rapprochement entre gestion et
comptabilité).
Contrôles portant sur la DSI.
Concernent principalement :
le développement des
systèmes ;
la gestion des projets
informatiques ;
la sécurité ;
l’exploitation informatique et
le matériel.
Contrôles portant sur les
applications métiers. Portent
essentiellement sur la qualité des
données :
exhaustivité ;
exactitude ;
validité ;
autorisation des accès ;
sécurisation.
30. Acteurs du management des risques
et contrôles informatiques
10
Gouvernance (Conseil, Direction générale).
Direction SI.
Direction des risques.
Direction du contrôle permanent.
Direction du contrôle périodique (audit).
Direction opérationnelles (métiers, supports).
Jean-François Caron Consultant
www.formation-audit-ecofi.com
32. 2
Partie III
Traitement des risques inhérents à
l’organisation du SI
Jean-François Caron Consultant
www.formation-audit-ecofi.com
33. Points clés de maîtrise des risques
3
Implication des instances dirigeantes.
Adéquation de la stratégie informatique.
Pilotage budgétaire.
Rôles et responsabilités des fonctions informatiques et
sécurité de l’information.
Rationalisation du système d’information.
Maîtrise de l’externalisation.
Gestion des risques.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
34. Implication des instances dirigeantes
4
Gouvernance (Conseil, exécutif) => intégration des activités informatiques dans la gouvernance
(implication dans les décisions informatiques, veiller à la maîtrise du risque informatique).
3 facteurs de risque :
mauvaise perception des enjeux ;
décisions inappropriées ;
pilotage insuffisant.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
35. Adéquation de la stratégie informatique
5
Evolutions des SI => opportunités + menaces.
Objet de la stratégie informatique :
satisfaire les besoins des métiers et des fonctions supports de façon sécurisée et optimale ;
acquérir un avantage compétitif grâce au développement de nouvelles technologies.
Facteurs de risque :
manque d’anticipation des besoins des métiers et des fonctions support ;
outils et niveaux de service inadéquats.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
36. Pilotage budgétaire
6
Processus budgétaire => allocation de ressources (RH, matériel, licences, formation,…) pour la
réalisation des objectifs informatiques.
Facteurs de risque :
inadéquation du budget avec la stratégie ;
allocation budgétaire absente ou insuffisamment claire ;
suivi des dépenses insuffisant.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
37. Rôles et responsabilités des fonctions
informatiques et sécurité
de l’information
7
Appui de l’exécutif sur des fonctions dédiés au SI et à la sécurité de l’information.
Facteurs de risque :
rôles et responsabilités mal définis, mal répartis, mal communiqués ;
fonction de sécurité insuffisamment indépendante ;
profils inadaptés ou insuffisants.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
38. Rationalisation du SI
8
Complexité croissante des SI de plus en plus difficilement représentable => risque de perte de
maîtrise.
Facteurs de risques :
manque de maîtrise de l’architecture du SI (urbanisation) ;
incohérence des normes informatiques ;
défaut de maîtrise de l’obsolescence.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
39. Maîtrise de l’externalisation
9
Importance du cadre contractuel entre l’organisation et le prestataire afin que les prestations soient
conformes aux besoins de l’organisation.
Facteurs de risques :
cadre contractuel inadapté ;
dépendance forte ;
suivi insuffisant du respect des niveaux de service ;
dispositif de réversibilité insuffisant.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
40. Respect des lois et règlements
10
Le SI doit tenir des exigences réglementaires inhérents à l’environnement général et aux activités
de l’organisation.
Facteurs de risque :
non-conformité des besoins des métiers au droit applicable ;
non-conformité des développements informatiques aux préconisations juridiques des métiers ;
non-respect du droit applicable par les normes informatiques.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
41. Gestion des risques
11
Le dispositif de gestion des risques de l’organisation doit inclure le risque informatique, au travers
du management du risque opérationnel (identification, mesure, couverture).
Facteurs de risque :
cartographie des risques inexistante ou partielle ;
dispositif de contrôle permanent insuffisant ;
recensement et gestion insuffisants des incidents opérationnels ;
dispositif de contrôle périodique insuffisant.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
43. 2
Partie IV
Traitement des risques inhérents au
fonctionnement du SI
Jean-François Caron Consultant
www.formation-audit-ecofi.com
44. Points clés de maîtrise des risques
3
Gestion de l’exploitation (systèmes et réseaux).
Gestion de la continuité d’exploitation.
Gestion des changements.
Qualité des données.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
45. Gestion de l’exploitation (systèmes et
réseaux)
4
L’exploitation informatique (également appelée production) consiste à faire fonctionner les
ordinateurs sur lesquels sont installées les applications. Ces ordinateurs sont appelés environnements
systèmes et réseaux. La gestion de ces environnements et réseaux est primordiale pour le bon
fonctionnement du SI.
Facteurs de risques :
insuffisance des moyens de production ;
insuffisance dans la détection des erreurs et des anomalies ;
insuffisance dans la gestion des incidents et des problèmes ;
non-respect des niveaux de service.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
46. Gestion de la continuité d’exploitation
5
Continuité d’exploitation = mesures et moyens mis en œuvre pour garantir la disponibilité du SI
selon les besoins des utilisateurs. La disponibilité doit être parfaite à l’intérieur des plages
d’ouverture des applicatifs.
Facteurs de risque :
mauvaise organisation de la continuité ;
insuffisance dans l’identification des scénarios d’indisponibilité ;
non-alignement de la continuité informatique avec la continuité métier ;
protection insuffisante des moyens de production et de secours contre les accidents ;
insuffisance des dispositifs de continuité ;
tests insuffisants.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
47. Gestion des changements
6
Changements = modifications effectuées sur un SI, soit pour le corriger ou le faire évoluer
(maintenance), soit pour le changer ou le compléter (projet). Concernent les équipements et les
applications.
Facteurs de risque :
normes de changement inappropriées ;
mauvaise organisation dans la conduite des projets ;
mauvaise prise en compte des exigences fonctionnelles et techniques ;
insuffisance des test ;
défauts dans l’exécution des changements.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
48. Qualité des données
7
Objectif primordial du SI => que les données soient justes.
Facteurs de risque :
insuffisance de normalisation des données ;
utilisation ou production d’information de données erronées ;
défaut de contrôle de qualité des données.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
50. 2
Partie V
Traitement des risques inhérents à la
sécurité des SI
Jean-François Caron Consultant
www.formation-audit-ecofi.com
51. Points clés de maîtrise des risques
3
Protection physique des installations.
Identification des actifs.
Protection logique des actifs.
Détection des attaques.
Dispositif de réaction aux attaques.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
52. Protection physique des installations
4
La protection vise à prémunir l’organisation des risques d’intrusions, lesquelles peuvent conduire au
vol, à la détérioration des matériels, à l’entrée de programmes malveillants (« malwares »).
Facteurs de risque :
protection insuffisante contre l’intrusion dans les bâtiments ;
protection insuffisante des équipements informatiques.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
53. Identification des actifs
5
Sécuriser le SI nécessite de connaître ce qui le compose. Une mauvaise connaissance des actifs
informatiques est de nature à entraver la gestion de la sécurité du SI.
Facteurs de risque :
défaillance dans l’inventaire des actifs ;
défaillance dans la classification de actifs.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
54. Protection logique des actifs (1/2)
6
La sécurité des actifs repose sur un ensemble de mesures de protection (dites « logiques ») destinées
à prévenir toute compromission du SI, laquelle peut porter sur la disponibilité (blocage), l’intégrité
(manipulation de l’actif), la confidentialité, la traçabilité (effacement). La protection doit donc couvrir
ces perturbations et être adaptées à la sensibilité de chaque actif.
Facteurs de risque => défaillance dans les dispositifs de :
sécurité périmétrique ;
protection contre les logiciels malveillants ;
gestion des identités et des droits d’accès ;
d’authentification des collaborateurs ;
de protection de l’intégrité des systèmes et des données ;
Jean-François Caron Consultant
www.formation-audit-ecofi.com
55. Protection logique des actifs (2/2)
7
Facteurs de risque => défaillance dans les dispositifs de :
protection de la confidentialité des systèmes et des données ;
protection de la disponibilité ;
gestion des correctifs de sécurité ;
revues de sécurité ;
sécurité des solutions externalisées ;
sensibilisation à la sécurité des SI.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
56. Détection des attaques
8
La sécurité ne repose pas uniquement sur des mesures de protection. La détection est également
prépondérante pour la sécurité des SI. La détection porte sur la collecte et l’analyse d’évènements
(« traces ») enregistrés par les matériels, et aussi sur des comportements atypiques d’utilisateurs.
Facteurs de risque => défaillance dans les dispositifs de :
recueil et d’analyse des traces ;
surveillance des comportements atypiques des utilisateurs.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
57. Réaction aux attaques
9
En plus de se protéger et de détecter les attaques, il convient également de réagir en cas de risque
avéré, notamment au travers de dispositif de gestion de crise.
Facteurs de risque => défaillance dans les dispositifs de :
gestion de crise ;
contingentement des attaques ;
reprise des opérations.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
59. 2
Partie VI
Projet de développement des SI
Jean-François Caron Consultant
www.formation-audit-ecofi.com
60. Conditions de réussite
3
Encadrement du projet par un Comité de gouvernance.
Pilotage du projet par un Comité dédié (« comité de pilotage »).
Intégration des prescriptions de la politique de sécurité dès le
début du projet.
Suivi de la performance opérationnelle du projet au travers de
tableaux de bord et d’indicateurs.
Mise en œuvre le plus en amont possible de la conduite du
changement.
Développement d’une interaction forte entre les informaticiens et
les opérationnels.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
61. Acteurs du développement informatique
4
Maîtrise d’ouvrage :
spécifier les besoins ;
suivre la réalisation ;
réceptionner le produit.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
Maîtrise d’œuvre :
concevoir le produit et organiser sa réalisation ;
contrôler les résultats ;
préparer l’exploitation.
62. Phases clés d’un projet de développement
informatique (1/3)
5 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Phases clés Travaux attendus
Lancement et cadrage du projet Expression formalisée des besoins.
Etude d’opportunités.
Compte-rendu d’arbitrage (Comité de gouvernance)
Conduite du changement Dossier d’analyse d’impact.
Plan de formation.
Plan de communication.
Documentation utilisateur.
Gestion du projet Schéma d’organisation.
Planification du projet.
Tableau de bord d’avancement.
63. Phases clés d’un projet de développement
informatique (2/3)
6 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Phases clés Travaux attendus
Conception Cahier des charges.
Spécifications détaillées en matière de
contrôle des applications, de piste
d’audit, de sécurité.
Réalisation Programmation et développement.
Paramétrage.
Recettes.
Migration.
Accompagnement utilisateurs Formations.
Documentations.
64. Phases clés d’un projet de développement
informatique (3/3)
7 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Phases clés Travaux attendus
Mise en production Procédures à jour.
Mise à disposition des applications.
Bilan Bilan post installation.
Inventaire des incidents relevés.
Plan d’actions pour la résolution des
incidents.
Clôture du projet.
65. Contrôles « embarqués » suite à une
migration
8 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Seuils d’alerte, rapprochements automatiques, contrôles de cohérence.
Traçabilité d’évènements (« forçage », logs,…).
Batch de contrôle et d’équilibrage (comptage, totaux, nombre de fichiers,…).
Contrôles de flux d’entrées et de sorties (interface).
Gestion des erreurs (rejets automatisés, comptes de suspens, rapport d’erreur,…).
67. Sommaire
Jean-François Caron Consultant
www.formation-audit-ecofi.com
2
Partie I : Points généraux en matière de SI.
Partie II : Management des risques inhérents au SI.
Partie III : Traitement des risques inhérents à l’organisation du SI.
Partie IV : Traitement des risques inhérents au fonctionnement du SI.
Partie V : Traitement des risques inhérents à la sécurité du SI.
Partie VI : Projet de développement du SI.
Partie VII : Contrôle interne de la Direction des Systèmes d’Informations (DSI).
Partie VIII : Audit des contrôles généraux.
Partie IX : Audit des contrôles applicatifs.
Partie X : Points d’audit suite au développement du SI.
Partie XI : Contrôles informatiques pour la maîtrise des process achats et ventes
68. 3
Partie VII
Contrôle interne de la Direction des
Systèmes d’informations (DSI)
Jean-François Caron Consultant
www.formation-audit-ecofi.com
69. Champ d’application du contrôle
interne de la DSI
4
Gestion des compétences.
Maintenance des outils.
Gestion des incidents.
Sécurité logique et des accès physiques.
Gestion de la sous-traitance.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
70. Prérequis au contrôle interne de la
DSI
5
Etablissement et communication d’une politique SI.
Déclinaison de la politique SI en objectifs de contrôle pour s’assurer de son déploiement et de sa
correcte application.
Méthodologie de contrôle informatique orientée sur les risques.
Séparation adéquate des fonctions et des tâches informatiques.
Surveillance des dispositifs de contrôle.
Emission et suivi d’actions correctives.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
71. Gestion des compétences (1/3)
6
Préalables à la maîtrise des risques et au contrôle en matière de gestion des compétences :
existence d’une politique RH dédiée au SI en lien avec la politique RH globale ;
déploiement de la politique RH dédiée au SI au sein de l’organisation pour les fonctions
concernées.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
72. Gestion des compétences (2/3)
7 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Point de contrôle Objectifs de contrôle Actions
Politique RH SI S’assurer de l’existence, de la
mise à jour et de la diffusion
d’une politique RH dédiée au SI.
Rédiger une politique RH SI en adéquation avec la politique RH globale de
l’organisation.
Etablir une référentiel des compétences SI en lien avec la politique RH.
Créer des fiches de poste transposant le référentiel des compétences SI.
Maintenance des
compétences
S’assurer de la définition, de la
mise à jour et du partage des
compétences.
Etablir une cartographie des compétences au titre des SI.
Identifier les fonctions clés et critiques en matière de SI pour l’allocation
des ressources nécessaires (profil expérimenté, formations,…).
Gérer de façon dynamique les parcours professionnels pour éviter la « fuite
des talents ».
Mettre en place une politique de rémunération adaptée au niveau
d’exigence requis en matière de compétence.
73. Gestion des compétences (3/3)
8 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Point de contrôle Objectifs de contrôle Actions
Mise en œuvre des
compétences
S’assurer de la bonne mise en œuvre
des compétences SI au sein de
l’organisation.
Déterminer des objectifs en lien avec les compétences requises.
Mesurer la mise en œuvre effective des compétences au travers
d’indicateurs.
Réaliser et formaliser annuellement un entretien d’évaluation sur la mise
en œuvre des compétences au regard des objectifs initiaux et pour
l’identification des besoins de formation.
Développement des
compétences
S’assurer du développement des
compétences au regard des besoins
de l’organisation et de l’évolution des
SI.
Etablir un plan de formation sur base des entretiens d’appréciation des
compétences et en fonction des évolutions attendues concernant le SI.
Mettre en œuvre un plan de détection des talents (en interne, en
externe).
74. Maintenance des outils (1/4)
9
Préalables à la maîtrise des risques et au contrôle en matière de maintenance des outils :
développement d’une stratégie de maintenance des applications ;
procédure standardisée de gestion des changements des applications ;
priorisation des changements selon des degrés d’urgence ;
séparation des tâches entre développement, maintenance, production.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
75. Maintenance des outils (2/4)
10 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Point de contrôle Objectifs de contrôle Actions
Maintenance des
applications
Développer un plan stratégique de
maintenance des applications.
Définir un processus des activités de maintenance des
applications formalisé au travers d’un corps procédural.
Mettre en place un suivi de l’activité de maintenance.
Encadrement des
changements
Déterminer des standards et procédures
de gestion en matière de changement
technique et applicatif.
Etablir des procédures de communication entre DSI et
métiers pour l’émission de besoin de changement.
Rédiger une méthodologie de gestion des projets de
développement informatique.
Mettre en place un reporting en matière de pilotage des
actions de changement.
76. Maintenance des outils (3/4)
11 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Point de contrôle Objectifs de contrôle Actions
Organisation Séparer les tâches entre études et
production.
Mettre en place une organisation assurant clairement une
affectation différente des responsabilités en matière d’études,
d’architecture, de sécurité, de programmation, d’actualisation
des versions, de gestion des accès, d’utilisation.
Mettre en place des environnements informatiques distincts
entre test et production.
Conversion des
systèmes et des
données
S’assurer que les éléments nécessaires
au bon fonctionnement du système
après changement sont réunies,
notamment en matière de format des
données et d’interfaces.
Définir un plan de conversion des données (intégrant plan de
sauvegarde des données avant conversion).
Réaliser des tests après changement pour d’assurer que les
interfaces fonctionnent.
Mettre en place un suivi centralisé des incidents opérationnels
post-changement.
77. Maintenance des outils (4/4)
12 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Point de contrôle Objectifs de contrôle Actions
Assurance qualité
logiciel
S’assurer que les fonctionnalités mises
en œuvre répondent bien aux
spécifications et exigences de qualité
pour l’utilisation et le développement
des logiciels.
Définir un plan d’assurance qualité des logiciels.
Effectuer des tests de qualité des applicatifs
Mettre en place des plans d’action pour lever les points de non-
qualité.
Intégrer la démarche qualité dans tout projet de développement
informatique.
Test des changements S’assurer que les changements
demandés et arbitrés ont été testés
dans l’environnement dédié et que les
résultats de ces tests sont suivis d’effet.
Affecter une équipe de collaborateurs différents de ceux ayant
participé au changement technique à la réalisation des tests.
Formaliser les résultats des tests.
Déterminer les plans d’actions pour lever les anomalies
identifiées suite aux tests.
Réaliser un suivi de l’avancement des actions correctives.
78. Gestion des incidents (1/3)
13
Préalables à la maîtrise des risques et au contrôle en matière de gestion des incidents :
identification et priorisation des systèmes d’informations par criticité (disponibilité et intégrité) ;
formalisation, mise à jour et diffusion d’une procédure de gestion des incidents ;
déploiement de dispositifs de surveillance et de pilotage de tous les éléments de la chaîne informatique
(matériels, réseaux, systèmes d’exploitation, bases de données, applicatifs).
Jean-François Caron Consultant
www.formation-audit-ecofi.com
79. 14 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Point de contrôle Objectifs de contrôle Actions
Collecte des incidents S’assurer que tous les incidents connus
sont déclarés.
S’assurer que la description de l’incident
est réalisée conformément à la procédure
en vigueur.
Rédiger une procédure de recensement et de déclaration des
incidents informatiques.
Etablir un format standard de fiche incident.
Désigner des correspondants risques SI au sein des métiers.
Réaliser un contrôle de 2nd niveau de la qualité des fiches
renseignées.
Diagnostic S’assurer qu’un diagnostic est réalisé pour
tout incident déclaré.
Créer des outils d’aide au diagnostic des incidents informatiques.
Catégoriser les incidents opérationnels sur base des diagnostics.
Mettre en œuvre un contrôle de 2nd niveau sur la réalisation des
diagnostics.
Gestion des incidents (2/3)
80. 15 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Point de contrôle Objectifs de contrôle Actions
Action corrective S’assurer que des actions correctives sont
mises en œuvre suite aux incidents
déclarés et diagnostiqués.
Formaliser des plans d’actions correctives suite aux incidents
déclarés et diagnostiqués.
Faire le suivi par une entité indépendante de l’avancement quant
à la mise en œuvre des actions correctives.
Rédiger un reporting des impacts des actions correctives mises
en œuvre.
Etablir un dispositif de clôture des incidents.
Gestion des incidents (3/3)
81. Sécurité logique et des accès
physiques (1/3)
16
Préalables à la maîtrise des risques et au contrôle en matière de gestion de la sécurité
logique et des accès physiques :
déploiement d’une politique de sécurité informatique au sein de toute l’organisation ;
conformité des systèmes avec la politique de sécurité ;
sensibilisation de l’ensemble des collaborateurs à la sécurité des outils.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
82. 17 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Point du contrôle Objectifs de contrôle Actions
Accès aux applications S’assurer que les processus
existants permettent
d’identifier tous les
utilisateurs du système.
S’assurer que les processus
existants permettent une
sécurisation des accès aux
outils.
Mettre en place un process d’habilitation des collaborateurs pour l’accès aux
outils via un profil personnalisé, en accord avec la politique de sécurité.
Bannir tout profil générique.
Procéder à un rapprochement entre accès informatiques et registre du
personnel.
Etablir un process de demande d’habilitation formalisée et motivée par le
management concerné.
Mettre en œuvre un dispositif spécifique d’accès aux outils concernant les
prestataires.
Séparer les tâches entre programmation des outils et administration des accès.
Réaliser régulièrement des tests d’intrusion pour identifier le cas échéant des
zones de vulnérabilité.
Sécurité logique et des accès
physiques (2/3)
83. 18 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Point de contrôle Objectifs de contrôle Actions
Accès aux matériels S’assurer que l’accès aux
matériels est restreint et
que des règles de sécurité
sont définies et respectées.
Mettre en place un process d’accès sécurisé aux locaux hébergeant les matériels informatiques.
Revoir périodiquement la liste des collaborateurs ayant accès aux matériels informatiques.
Accompagner les prestataires lors de toutes leurs interventions concernant les matériels
informatiques.
Protéger l’information Protéger l’intégrité de
l’information en limitant
notamment la propagation
de programme malveillant.
Mettre en place des contrôles de détection, de prévention et de rétablissement pour se protéger
de code malveillant.
Donner des consignes aux utilisateurs pour prévenir les risques d’intrusion de programme
malveillant.
Equiper les postes des collaborateurs d’outils de sécurité (pare-feu, anti-virus,…).
Protéger l’information Maîtriser la confidentialité
des données (en interne, à
l’externe).
Mettre au rebus régulièrement les données stockées mais non exploitées.
Crypter les fichiers sensible échangés.
Signer avec les tiers des clauses de confidentialité.
Mettre en place une revue régulière des évènements.
Restreindre les temps de connexion avec des réseaux externes.
Sécurité logique et des accès
physiques (3/3)
84. Gestion de la sous-traitance (1/3)
19
Préalables à la maîtrise des risques et au contrôle en matière de sous-traitance :
déploiement d’une politique globale d’approvisionnements intégrant les aspects informatiques ;
Identification des niveaux de service nécessaire aux métiers.
Jean-François Caron Consultant
www.formation-audit-ecofi.com
85. 20 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Point de contrôle Objectifs de contrôle Actions
Veille de marché S’assurer de l’existence
d’un processus approprié
de veille du marché.
Disposer d’un dispositif de veille capable de capter les opportunités de sous-traitance
informatique.
Mettre en place une mesure de satisfaction des managers à propos du dispositif de
veille du marché.
Appel d’offres S’assurer que la sélection
des sous-traitants est
conforme aux besoins de
l’organisation.
Mettre en place un dispositif d’appel d’offres avec rédaction d’un cahier des charges
associant la DSI et le métier concerné.
Contrôler le respect de la procédure d’appel d’offres, notamment en matière de
prévention du risque de conflit d’intérêts.
Qualité des prestations S’assurer que les
prestations des sous-
traitants sont de bonne
qualité.
Mettre en place un dispositif de revue qualité des prestations fournies par les
prestataires informatiques.
Ajuster si nécessaire les cahiers des charges inclus dans les appels d’offres sur base
des résultats du dispositif SLA.
Gestion de la sous-traitance (2/3)
86. 21 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Point de contrôle Objectifs de contrôle Actions
Contrat S’assurer que les contrats
signés ne sont pas de nature à
accroître le risque juridique.
Revoir les termes des contrats en tenant compte des exigences réglementaires.
Procéder à une revue de la validation des trames de contrats par les parties prenantes.
Etablir un contrat-type par la Direction juridique.
Cadrer les contrats avec la politique d’approvisionnement de l’organisation.
Contrôler l’existence d’éléments associés au contrat : convention de service, clause plan de
réversibilité, plan de sécurité, plan d’assurance qualité, accords de confidentialité.
Gestion de la prestation S’assurer que la prestation du
sous-traitant n’est pas de
nature à accroître les risques
de l’organisation.
Mettre en place un dispositif dédié pour les accès aux applicatifs et aux matériels par les sous-
traitants.
Réaliser des reportings sur l’avancement des prestations fournies par les sous-traitants.
Contrôler la conformité des factures reçues des sous-traitants avec les éléments contractuelles et
les prestations effectives.
Réaliser des audits des prestataires essentiels.
Gestion de la sous-traitance (3/3)
88. 2
Partie VIII
Audit des contrôles généraux
Jean-François Caron Consultant
www.formation-audit-ecofi.com
89. Définition des contrôles généraux
3 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Contrôles généraux = contrôles sur l’environnement général du SI et de sa sécurisation.
Contrôles généraux différents des contrôles applicatifs.
Objectifs des contrôles généraux = maîtrise des risques informatiques.
90. Typologie des contrôles généraux
4 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Contrôles en matière d’organisation du SI et de la DSI.
Contrôles d’accès logiques.
Contrôle sur la gestion des changements.
Contrôle de sécurité physique (centre informatique, matériels).
Contrôle de sauvegarde et restauration des données.
Contrôles de l’exploitation (bon fonctionnement général du SI).
91. Procédures d’audit sur les contrôles
généraux (1/4)
5 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit Procédures d’audit
Implication des
instances dirigeantes
S’assurer de l’existence d’une stratégie informatique en adéquation avec la stratégie de l’organisation.
Vérifier que les niveaux d’appétence et de tolérance au risque informatique ont été déterminés et actés dans la politique de gestion
des risques.
S’assurer que les instances dirigeants arbitrent les décisions stratégiques en matière informatique.
Pilotage budgétaire
suffisant
Vérifier que les allocations budgétaires sont nécessaires et suffisantes au regard des objectifs en matière de stratégie informatique.
S’assurer que les objectifs et les dépenses informatiques font l’objet d’un suivi par une entité indépendante.
Vérifier que des indicateurs de performance en matière informatique ont été définis, font l’objet d’un reporting régulier, sont
pertinents.
Organisation de la
fonction informatique
S’assurer de la séparation effective des tâches entre conception, programmation, maintenance, développement, administration,
utilisateurs.
Vérifier qu’existe au sein de la DSI un process de gestion des compétences.
S’assurer de l’existence de relais opérationnels entre DSI et Directions opérationnelles.
Contrôler l’existence et la pertinence de la cartographie des SI (exhaustivité des applicatifs, interdépendance).
92. Procédures d’audit sur les contrôles
généraux (2/4)
6 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit Procédures d’audit
Externalisation S’assurer de la justification des prestations externalisées.
Vérifier l’existence d’un process de maîtrise du risque juridique (cadre contractuel).
S’assurer de la capacité de l’organisation à auditer ses prestataires informatiques.
Contrôler le process de suivi des dépenses externalisées et des factures de sous-traitance informatique reçue.
Vérifier qu’existe pour chaque contrat des clauses de réversibilité.
S’assurer de la mise en place d’un process de suivi de la qualité des prestations.
Conformité S’assurer que les besoins métiers sont conformes au droit applicable (exemple : protection des données personnelles).
Contrôler la conformité des développements informatiques avec les besoins émis par les métiers.
Vérifier que les normes informatiques ne sont pas contraires à la réglementation en vigueur.
Gestion des risques S’assurer de la mise en œuvre effective d’un management des risques informatiques (au même titre que les autres risques de
l’organisation).
Contrôler l’existence et la pertinence d’une cartographie des risques informatiques.
Vérifier la mise en place d’un plan de contrôle permanent (1er et 2nd niveau) adossé à la cartographie des risques informatiques.
S’assurer que le suivi des risques informatiques et de leur couverture font l’objet d’un reporting régulier et adéquat aux instances
dirigeantes (exemple : Comité des risques).
93. Procédures d’audit sur les contrôles
généraux (3/4)
7 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit Procédures d’audit
Gestion de
l’exploitation
(systèmes et
réseaux)
Vérifier l’adéquation des moyens de production avec les besoins des métiers.
S’assurer de l’existence de dispositifs de détection des dysfonctionnements.
Contrôler la mise en place d’un process de gestion des incidents informatiques.
S’assurer de l’existence d’un suivi des niveaux de service en matière de qualité des prestations support.
Vérifier l’existence et la mise en œuvre effective de plans d’actions pour la résolution des dysfonctionnements et anomalies identifiés.
Continuité de
l’exploitation
S’assurer de l’existence d’un PSI adapté, à partir des activités et des applications sensibles.
Vérifier que le PSI fait l’objet de tests réguliers et fait l’objet d’ajustement en conséquence si nécessaire.
Contrôler que le suivi du PSI et le résultat des tests sont reportés aux instances dirigeants, notamment pour arbitrage le cas échéant.
Gestion des
changements
Vérifier l’existence d’un process formalisé entre la DSI et les métiers pour l’émission et le traitement des évolutions des outils
informatiques.
S’assurer que les projets de développement informatiques sont encadrés (Comité de pilotage).
Contrôler que des recettes et tests sont réalisés pour s’assurer de la correcte évolution des outils.
Qualité des
données
Vérifier l’existence d’un cadre normatif en matière de données.
S’assurer de l’existence d’un dispositif de contrôle de la qualité des données (métier, centralisé).
94. Procédures d’audit sur les contrôles
généraux (4/4)
8 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit Procédures d’audit
Sécurité des actifs Contrôler l’existence et la mise en œuvre effective de process de sécurisation des actifs : accès, protection, détection.
Evaluer la qualité des dispositifs d’authentification des collaborateurs pour l’accès et l’utilisation des outils (matériel, réseaux,
applications).
S’assurer de la sensibilisation des collaborateurs à la sécurité informatique.
Contrôler la qualité des dispositifs de détection des attaques et de réaction.
S’assurer de l’existence d’un plan de gestion des risques et de l’implication des instances dirigeantes.
96. 2
Partie IX
Audit des contrôles applicatifs
Jean-François Caron Consultant
www.formation-audit-ecofi.com
97. Définition des contrôles applicatifs
3 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Contrôles applicatifs = contrôles intégrés dans les applications transactionnelles.
Contrôles applicatifs différents des contrôles généraux.
Contrôles applicatifs spécifiques à un programme ou à un ensemble de programmes (systèmes)
soutenant un processus d’entreprise donné.
Objectifs des contrôles applicatifs.
98. Typologie des contrôles applicatifs
4 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Contrôles des données d’entrée.
Contrôles sur les traitement.
Contrôles des donnés en sortie.
Contrôles d’intégrité.
Piste de contrôle de gestion.
100. Avantages des contrôles applicatifs
6 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Fiabilité
Analyse comparative
Economie de temps
101. Rôle des auditeurs internes
7 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Normes IIA :
« les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l’on peut attendre
d’un auditeur interne raisonnablement averti et compétent » ;
« posséder une bonne connaissance des principaux risques et contrôles liés aux technologies de
l’information et des techniques d’audit informatisées susceptibles d’être mises en œuvre dans le cadre
des travaux qui leur sont confiés. Toutefois, chaque auditeur interne n’est pas censé posséder l’expertise
d’un auditeur dont la responsabilité première est l’audit informatique ».
Conseil.
102. Points de contrôle sur les accès logiques
d’une application
8 Jean-François Caron Consultant
www.formation-audit-ecofi.com
103. Audit des contrôles des entrées et des
accès (1/2)
9 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Domaine Types de contrôle Procédures d’audit
Vérification et
validation des
données
Contrôles de vraisemblance sur les valeurs financières.
Contrôles des formats et des champs requis.
Contrôles de séquence, contrôle des limites et chiffres clés.
Vérifier que les contrôles sont prévus et décrits dans une procédure.
S’assurer de la formalisation des contrôles.
Tester par échantillonnage.
Autorisation Autorisation aux applicatifs selon un profil personnalisé.
Procédure stricte en matière de comptes génériques.
S’assurer de l’existence d’un process de demande formalisée pour
l’ouverture des accès.
Vérifier que l’ouverture des accès est réalisée par une fonction
indépendante des métiers.
Cadrer la liste des accès avec le registre du personnel.
Suspens Imputation des opérations en attente de traitement dans des
comptes dédiés (suspens).
Contrôler l’antériorité des suspens.
S’assurer de la désignation d’un responsable pour chaque compte de
suspens.
Vérifier que l’apurement des comptes de suspens en P/P est dûment
formalisé et justifié.
104. Audit des contrôles des entrées et des
accès (2/2)
10 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Domaine Types de contrôle Procédures d’audit
Transmission des
fichiers et des
données
Contrôle de l’exhaustivité et de la validité du contenu, y
compris la date et l’heure, la taille des données, le volume des
enregistrements et l’authentification de la source.
Application de certains contrôles des entrées afin de valider
les données reçues (p. ex. principaux champs, vraisemblance,
etc.).
Vérifier l’existence de rapport d’erreur.
Contrôler la synchronisation des applications en matière d’interface.
Contrôler la résolution des erreurs.
S’assurer de l’existence de rapprochements formalisés entre les
applications.
Tests par échantillonnage sur des entrées.
105. Audit des contrôles des traitements
11 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Domaine Types de contrôle Procédures d’audit
Fonctionnalité
automatique et
calculs
Calculs spécifiques effectués sur une ou plusieurs entrées et
éléments de données stockés qui produisent d’autres
éléments de données.
Utilisation des tables de données existantes.
Piste d’audit.
Contrôles de doublons.
S’assurer de la maintenance des tables de données.
S’assurer de la mise à jour des règles de calcul.
Tests par échantillonnage (recalcul).
Contrôler la piste d’audit (test de cheminement).
Transmission des
données traitées
Contrôle de vraisemblance et de l’exhaustivité des sorties des
routines d’extraction sont contrôlées.
Contrôle d’interface.
S’assure de la réalité des contrôles sur les données traitées.
Tests par échantillonnage (vérifier que les contrôles prévus sont
formalisés et effectifs).
Contrôler le rapprochement entre données traitées et données sorties
(interface).
106. Audit des contrôles des sorties
12 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Domaine Types de contrôle Procédures d’audit
Récupération des
données
Rapprochement entre les totaux de contrôles des traitements
avec les données entrées dans l’applicatif ou en restitution.
Rapport d’erreurs (données sorties incomplètes, sorties
indisponibles).
Vérifier l’existence d’une procédure de rapprochement entre données
traitées, données sorties, entrées dans l’applicatif suivant ou en
restitution.
Test par échantillonnage (rapprochement).
Test de cheminement (de la sortie à l’entrée).
107. Procédures d’audit sur les contrôles
applicatifs (1/4)
13 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit Procédures d’audit
Les données d’entrée sont
exactes, complètes,
autorisées et correctes.
S’assurer de l’existence de procédures mises à jour et accessibles concernant : saisie des données ; traitement des erreurs ;
interface.
Vérifier l’existence de routine d’éditions identifiant les entrées en anomalie (date incorrecte, caractère incorrect, longueur de
champs non valides, données manquantes ou en doublons,…).
Contrôler que les erreurs identifiées ont bien fait l’objet d’un traitement.
Vérifier l’existence d’un pré-numérotation pour les documents papier servant à l’entrée des informations dans le SI (exemple :
facture).
S’assure de l’existence de rapprochement entre applicatifs si les entrées sont interfacées (totaux de contrôle, nombre
d’enregistrements, total des valeurs monétaire).
Vérifier la séparation des fonctions entre l’entrée des informations et leur contrôle (contrôle « quatre yeux »).
Contrôler que les contrôles existent pour éviter des changements non autorisés des programmes-systèmes, comme les calculs et
les tables.
Confirmer que les données et les programmes d’essai sont séparés de la production.
108. Procédures d’audit sur les contrôles
applicatifs (2/4)
14 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit Procédures d’audit
Les données sont traitées
conformément aux
objectifs et dans des
délais raisonnables.
Vérifier que les données de sorties sont examinées ou rapprochées avec les documents source pour en confirmer l’exhaustivité
et l’exactitude, notamment par la vérification des totaux de contrôle.
Déterminer si l’application contient les routines, qui assurent que toutes les opérations correctement saisies sont bien traitées et
enregistrées comme prévu pour la période comptable correspondante.
Se procurer les procédures de traitement des transactions rejetées et de correction des erreurs et déterminer si le personnel
chargé de la correction des erreurs et de la ressaisie des données a reçu la formation adéquate.
Vérifier qu’un mécanisme avertit le propriétaire du processus lorsque des transactions ont été rejetées ou que des erreurs sont
survenues.
S’assurer que les éléments rejetés sont traités correctement et rapidement, conformément aux procédures, et que les erreurs
sont corrigées avant la ressaisie dans le système.
109. Procédures d’audit sur les contrôles
applicatifs (3/4)
15 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit Procédures d’audit
Les données stockées sont
exactes et complètes
Se procurer la configuration et les procédures d’utilisation des mots de passe et vérifier la présence de critères obligatoires
concernant les mots de passe, le renouvellement des mots de passe, le verrouillage du compte et la réutilisation des mots de
passe.
Vérifier que des contrôle d’accès à distance sont conçus et fonctionnent efficacement.
S’assurer que les utilisateurs ne peuvent exécuter que des fonctions spécifiques, conformément aux responsabilités inhérentes à
leur poste (accès fondé sur les rôles).
Contrôler que des numéros d’identification utilisateur uniques ont été attribués à tous les utilisateurs, y compris les utilisateurs
privilégiés, et que les comptes utilisateurs et administrateurs ne sont pas partagés.
S’assurer que la création et la modification des comptes utilisateurs sont dûment autorisées avant d’accorder ou de modifier
l’accès. (Les utilisateurs sont les utilisateurs privilégiés, les salariés, les sous-traitants, les fournisseurs et les intérimaires.).
Vérifier que l’accès est supprimé immédiatement après la fin du contrat de travail.
S’assurer que le propriétaire de l’application veille à ce qu’une revue semestrielle des comptes utilisateurs et système est effectuée
pour confirmer que l’accès aux données financières, applications et systèmes opérationnels critiques est correct et à jour.
Vérifier que des mécanismes sont en place pour stocker des données hors-site dans un lieu sécurisé et à environnement contrôlé.
110. Procédures sur les contrôles applicatifs
(4/4)
16 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit Procédures d’audit
Les données de sortie sont
exactes et complètes.
S’assurer de l’existence de procédures de sortie des données, comprendre le processus d’examen et vérifier que les individus
responsables de la saisie sont formés à l’analyse et à la vérification des sorties de données.
S’assurer que les données de sortie sont examinées ou rapprochées avec les documents source pour en vérifier l’exhaustivité et
l’exactitude, y compris en vérifiant les totaux de contrôle.
Examiner les procédures existantes sur les sorties de données et déterminer si elles précisent quel personnel les reçoit et comment
ces données sont protégées lors de leur diffusion.
Vérifier qu’un rapport de sortie a été créé et que la date et l’heure du rapport correspondent bien au moment indiqué.
Les processus d’entrée, de
stockage et de sorties des
donnés sont archivés.
Vérifier l’existence de pistes et journaux d’audit qui confirment que tous les dossiers ont été traités et permettent de suivre la
transaction de la saisie des données à leur stockage et à leur sortie.
Vérifier l’existence de rapports d’audit qui retracent l’identification et le retraitement des transactions rejetées (description de la
transaction rejetée, date et heure indiquées).
112. 2
Partie X
Points d’audit transverses suite à une
migration informatique
Jean-François Caron Consultant
www.formation-audit-ecofi.com
113. Préambule
3
Toute migration informatique génère des impacts transverses…
Jean-François Caron Consultant
www.formation-audit-ecofi.com
…dont l’auditeur doit tenir compte lors de chacune de ces missions.
114. Points d’audit transverses suite à
migration
4 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Définition et suivi des objectifs.
Reporting.
Prévention du risque de fraude.
Mise à jour de procédures.
Révision des accès informatiques.
Évolution des contrôles informatisés.
Mise à jour du dispositif de management des risques.
Conformité.
Comptabilité.
Réglementaire.
115. Définition et suivi des objectifs
5 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit :
définition exhaustive des objectifs ;
cadrage entre objectifs et stratégie ;
suivi de la réalisation des objectifs ;
reporting pour ajustement.
Impact de la migration :
suivi de la réalisation des objectifs.
116. Reporting
6 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit :
qualité de l’information ;
alimentations des reportings ;
accès aux données reportées ;
format des reportings.
Impact de la migration :
cadrage des données de production avec les données reportées ;
alimentation des reportings (manuel VS automatisé) ;
fréquence de reporting ;
pertinence des informations reportées.
117. Prévention du risque de fraude
7 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit :
séparation des fonctions ;
accès limités aux fonctionnalités de
décaissement ;
apurement des bases tiers ;
justification des pertes et profits exceptionnels ;
centralisation des incidents opérationnels ;
contrôle des opérations manuelles ;
apurement des suspens.
Impact de la migration :
séparation des fonctions entre programmation,
paramétrage, production, modification,
production, consultation ;
accès limité et sécurisé aux outils de
décaissement ;
comparatif pré / post migration des bases tiers
(fournisseurs, prestataires) ;
validation indépendante des apurements, des
pertes et profits exceptionnels, suite à migration ;
QP des opérations manuelles..
118. Mise à jour des procédures
8 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit :
qualité des procédures ;
accès aux procédures.
Impact de la migration :
procédures mises à jour ;
accès adéquat aux procédures.
119. Révision des accès informatiques
9 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit :
accès personnalisé, en cohérence avec la fiche de poste ;
accès aux personnes habilitées ;
centralisation de la validation des accès ;
cadrage entre les accès et les effectifs RH.
Impact de la migration :
révision de la procédure d’accès ;
apurement des accès.
120. Evolution des contrôles informatisés
10 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit :
contrôle des applications.
Impact de la migration :
révision des contrôles des applications ;
test des contrôles des applications.
121. Mise à jour du dispositif de management
des risques
11 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit :
dispositif de couverture des risques inhérents aux activités ;
plan de contrôle permanent réparti entre 1er niveau et 2nd niveau ;
implication de la gouvernance au travers du Comité d’audit et du Comité des risques (suivi, plan
d’actions).
Impact de la migration :
ajustement de la cartographie des risques ;
révision du plan de contrôle permanent (1er et 2nd niveau) ;
apurement des plans d’actions après migration.
122. Conformité
12 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit :
plan de contrôle de la conformité ;
dispositif LAB-FT ;
respect de la vie privée.
Impact de la migration :
ajustement du plan de contrôle de la conformité ;
révision des ressources techniques employées dans le cadre de la LAB-FT (seuil de détection,
mouvement atypique, complétude des dossiers pour le KYC,…) ;
sécurisation des données personnelles (salariés, clients).
123. Comptabilité
13 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit :
interface entre métiers et comptabilité ;
paramétrage des comptes ;
opérations manuelles ;
bon à payer.
Impact de la migration :
révision des interfaces ;
modification des paramétrages de comptes ;
apurement du plan de comptes ;
révision de la procédure de bon à payer.
124. Réglementaire
14 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Points d’audit :
alimentation des états réglementaires ;
déclaration dans les délais ;
suivi des ratios prudentiels et de leur respect ;
système de notation des crédits.
Impact de la migration :
révision des process d’alimentation des états réglementaires / outils métiers ;
process de déclaration des états ;
modalités de calcul et de suivi des ratios prudentiels ;
révision du système de notation des crédits.
126. 2
Partie XI
Contrôles informatiques pour la maîtrise
des process achats et ventes
Jean-François Caron Consultant
www.formation-audit-ecofi.com
127. Processus achat
3 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Définition
des besoins
Recherche
des
fournisseurs
Sélection
des
fournisseurs
Contractuali
sation
Commande Réception
Comptabili-
sation
Paiement
128. Risques inhérents aux achats
4 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Définition
des besoins
Recherche
des
fournisseurs
Sélection des
fournisseurs
Contractualis
ation
Commande Réception Comptabilité Paiement
Achats non
optimisés.
Mauvaise
définition des
besoins.
Budget
insuffisant.
Analyse de
marché
insuffisante.
Achats auprès de
fournisseurs non
autorisés.
Solidité financière
du fournisseur
insuffisante.
Dépendance.
Achats auprès de
fournisseurs non
autorisés.
Négociation
altérée ou
insuffisante.
Fraude
(collusion).
Non-conformité.
Non respect des
délégations de
signature.
Clauses
contractuelles
léonines.
Achats auprès de
fournisseurs non
autorisés.
Dépenses non
autorisées
effectuées.
Commande non
honorée.
Réception non
conforme à la
commande.
Fraude
(détournement
des biens reçus).
Réception non
comptabilisée.
Comptabilisation
non conforme à la
facture.
Fraude.
Double paiement.
Paiement en
retard.
Fraude.
129. Contrôles informatiques (1/3)
5 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Nature du contrôle Process couvert
Intégration des profils utilisateurs selon leur délégation. Tous processus.
Transaction permettant d’identifier tous les cas de non séparation des tâches. Tous processus.
Rapprochement informatique entre bon de commande, bon de réception,
facture.
Commande.
Réception.
Facture.
Processus d’approbation électronique des demandes d’achats / commande. Commande.
Contrôle automatisé des modifications de tarifs et traçabilité Facture.
Contrôle informatique entre la commande et la facture sur les quantités et les
prix avec blocage
Commande.
Réception.
Facture.
Etat informatique permettant de justifier le compte 408 Factures non
parvenues avec l’état des commandes non livrées / non réceptionnées.
Commande.
Réception.
130. Contrôles informatiques (2/3)
6 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Nature du contrôle Process couvert
Contrôle automatique sur le numéro de facture pour identifier
les doublons.
Comptabilisation.
Paiement.
Etat informatique des acomptes versés pour s’assurer de leur
imputation sur les factures correspondantes.
Paiement.
Blocage informatique empêchant le double d’une facture. Paiement.
Lien informatique entre les acomptes versées et les commandes
associées (sur base du numéro de commande).
Paiement.
Rapport d’exception retraçant tous les changements (création,
suppression, changement) apportés au fichier Fournisseurs (base
Tiers).
Sélection des fournisseurs.
Contractualisation.
Verrou informatique empêchant le trésorier de procéder à des
modifications du fichier Fournisseurs.
Sélection de fournisseurs.
131. Contrôles informatiques (3/3)
7 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Nature du contrôle Process couvert
Lettrage automatique des comptes fournisseurs
après paiement.
Paiement.
Etat automatique de suivi du total des achats par
fournisseurs pour apprécier le risque de
dépendance.
Sélection des fournisseurs.
133. Risques inhérents aux ventes
9 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Cotation et
fichier clients
Tarification Commande Expédition Facturation Comptabili-
sation
Gestions des
réclamations
Encaissement
Risque client.
Erreur
d’informations
dans le fichier
client.
Accès non
sécurisé.
Absence de
protection des
données.
Erreur dans le
calcul des RRR.
Tarification hors
marché.
Erreur dans les
prix
communiqués
aux clients.
Engagement non
autorisé passé
avec le client.
Ventes à des
clients non
solvables.
Commande non
traitée dans les
délais.
Commande non
conforme à la
demande du
client.
Défaut de conseil.
Expédition non
autorisée.
Expédition non
conforme à la
commande.
Retard
d’expédition.
Détournement
des biens
expédiés.
Facturation non
conforme à
l’expédition et/ou
à la commande.
Fraude.
Facture non
envoyée au client.
Double
facturation.
Non respect des
conditions légales
et/ou fiscales en
matière de
facturation.
Comptabilisation
non conforme à la
facture.
Imputation
comptable
erronée.
Non respect du
principe de
séparation des
exercices.
Fraude.
Réclamation non
traitée.
Réclamation
traitée
tardivement.
Remise
commerciale
disproportionnée.
Détérioration de
l’image.
Avoir non émis.
Défaut de
paiement.
Retard de
paiement non
détecté.
Double
encaissement non
régularisé.
134. Contrôles informatiques (1/3)
10 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Nature du contrôle Process couvert
Lien informatique ente commande, expédition, facturation, comptabilisation. Commande.
Expédition.
Facturation.
Comptabilisation.
Emission et comptabilisation automatiques des factures lors de l’expédition. Expédition.
Facturation.
Comptabilisation.
Etat informatique des commandes en cours non expédiées. Commande.
Rapport d’erreur (ou écart) entre commande, expédition, facturation,
comptabilisation.
Commande.
Expédition.
Facturation.
Comptabilisation.
135. Contrôles informatiques (2/3)
11 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Nature du contrôle Process couvert
Contrôle automatique sur le numéro de facture pour identifier
les doublons.
Comptabilisation.
Encaissement.
Etat informatique des acomptes reçus pour s’assurer de leur
imputation sur les factures correspondantes.
Encaissement.
Lien informatique entre les acomptes versées et les commandes
associées (sur base du numéro de commande).
Paiement.
Rapport d’exception retraçant tous les changements (création,
suppression, changement) apportés au fichier Client (base Tiers).
Cotation et fichier clients.
Verrou informatique empêchant le trésorier de procéder à des
modifications du fichier Clients.
Cotation et fichier clients.
136. Contrôles informatiques (3/3)
12 Jean-François Caron Consultant
www.formation-audit-ecofi.com
Nature du contrôle Process couvert
Cadrage entre les avoirs émis et les litiges traités au niveau du SI. Réclamation.
Cadrage entre balance auxiliaire client et fichier client pour apurement du
fichier clients.
Cotation et fichier
clients.
Lettrage automatique des comptes client après encaissement. Encaissement.
Etat automatique de suivi du total des ventes par clients pour apprécier le
risque de dépendance.
Cotation et fichier
clients.
Alerte automatisée en cas de dépassement des délais d’encaissement. Encaissement.
Etat informatique de l’ancienneté des créances douteuses et des provisions. Cotation et fichier
client.
Encaissement.
138. Les points essentiels
14 Jean-François Caron Consultant
www.formation-audit-ecofi.com
SI : fonction transverse et essentielle pour la réalisation des activités et leur
maîtrise.
Implication des instances dirigeantes (stratégie informatique, politique de
sécurité)
Risque informatique, composante du risque opérationnel => contrôle interne
au niveau de la DSI et des métiers.
Contrôles généraux et contrôles des applications.
Audit de la gouvernance et des contrôles informatiques.
Audit des aspects informatiques pour chaque process (achats, ventes,…).