Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit des systèmes d'information

2,619 views

Published on

Mise en œuvre de l'approche Cobit4.1 en matière d'audit des systèmes d'information

Published in: Technology
  • DOWNLOAD FULL BOOKS, INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit des systèmes d'information

  1. 1. Audit des systèmes d’information : mise en œuvre de l’approche Cobit 4.1 (Élaboration d’un générateur de guides d’audit pour le cas de la STEG) Mr Ammar SASSI Mr Salah RIAHI Expert d’audit certifié CISA & Mr Ridha BOUSSAIDI Chef de Département Audit Informatique Direction Audit - STEG Élaboré par : Encadré par : Université de Sfax Institut des Hautes Études Commerciales de Sfax MÉMOIRE DE STAGE Pour l’obtention du diplôme de MASTÉRE PROFESSIONNEL « Audit Interne et Audit des Systèmes d’Information » ANNEE UNIVERSITAIRE 2012-2013
  2. 2. 1 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Remerciements D’abord je tiens à remercier le chef de département audit informatique à la direction audit interne de la STEG Mr Ridha BOUSSAIDI de m’avoir accompagné et conseillé tout au long de cette période de stage. Je le remercie fortement pour son aide, sa disponibilité et ses précieux conseils. Et je tiens à souligner que nos échanges professionnels ont été très enrichissants et constructifs. Je remercie aussi Mr Salah RIAHI mon encadreur et l’ensemble de l’équipe pédagogique du « Master Professionnel Audit Interne et Audit des Systèmes d’Information » de l’IHEC Sfax, surtout Mme Samah REBAI pour sa disponibilité et son soutien qu’elle nous a accordé au cours de nos études. Pour terminer, je remercie toutes les personnes qui ont pu m’aider pendant mon parcours et dont les noms ne figurent pas sur cette page.
  3. 3. 2 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Sommaire Introduction Partie 1 : Fondements théoriques Chapitre 1 : L’audit des systèmes d’information au cœur de la fonction d’audit interne I. Le système d’information d’entreprise II. Le métier d’audit interne III. L’audit des systèmes d’information Chapitre 2 : Cobit 4.1 un cadre fédérateur d’audit des systèmes d’information I. L’ISACA et ses principales contributions en matière d’audit des systèmes d’information II. Présentation du cadre de référence Cobit 4.1 III. Approche Cobit 4.1 en matière d’audit des systèmes d’information Partie 2 : Partie pratique Chapitre 3 : Contexte du stage – Présentation de la STEG et sa direction d’audit interne I. Présentation de la STEG II. La Direction d’Audit Interne de la STEG Chapitre4 : Èlaboration d’un générateur de guides d’audit sur la base de l’approche Cobit 4.1 I. Ètat des lieux de la STEG en matière de management et d’audit des systèmes d’information II. Élaboration du générateur de guides d’audit : démarche et résultats Conclusion
  4. 4. 3 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Table des figures Figure 1 : Le système d'information au centre de l’organisation de l’entreprise 9 Figure 2 : Les différentes ressources d’un système d'information 10 Figure 3 : Types de contrôles informatiques issus de la loi SOX 13 Figure 4 : Les différentes approches d'audit 15 Figure 5 : Démarche générale d’une mission d’audit 17 Figure 6 : La relation « Audit Interne - Audit des SI » 24 Figure 7 : Les différents types de missions d’audit des SI 25 Figure 8 : Les principaux référentiels de la DSI 27 Figure 9 : Evolution du cadre de référence Cobit 31 Figure 10 : Le cube Cobit4.1 (inspiré du COSO) 32 Figure 11 : Le modèle processus de cadre de référence Cobit 4.1 34 Figure 12 : Le principe de cascade des objectifs de Cobit 4.1 35 Figure 13 : Le tableau RACI correspondant au processus PO10 36 Figure 14 : L’échelle de maturité des processus selon Cobit4.1 37 Figure 15 : La documentation Cobit 4.1 38 Figure 16 : Les différents types de procédures d’évaluation selon le guide d’audit Cobit4.1 40 Figure 17 : Les différentes relations entre les procédures d’évaluation et les composants de Cobit4.1 41 Figure 18 : Les éléments relatifs à la notion de risque 44 Figure 19 : Processus de cadrage d'une mission d'audit selon l'approche Cobit4.1 44 Figure 20 : Les 8 étapes de cadrage d'une mission d'audit selon l’approche Cobit4.1 45 Figure 21 : Le processus de cadrage Cobit4.1 46 Figure 22 : Processus d’exécution d'une mission d'audit selon l'approche Cobit4.1 47 Figure 23 : Organigramme générale de la STEG 55 Figure 24 : Principe de la boucle d'amélioration continue (PDCA) 60 Figure 25 : Le guide générique (la plateforme de questionnaires d'audit) 67 Figure 26 : Les exigences du cadre de référence Cobit4.1 en matière de la sécurité des SI (critères d’information) 69 Figure 27 : Cadrage de haut niveau de la mission « Audit de la sécurité globale des SI » 71 Figure 28 : La carte de correspondances « Missions - Objectifs de contrôle » 79 Figure 29 : La carte de correspondance « Audit de la sécurité globale des SI - Objectifs de contrôle » 80 Figure 30 : La carte de correspondance « Audit de la sécurité des services internes - Objectifs de contrôle » 81 Figure 31: Les principaux standards et normes informatiques qui traitent la sécurité des SI 82 Figure 32 : La famille des normes ISO 2700X 83
  5. 5. 4 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Liste des tableaux Tableau 1 : L'informatique de la vision traditionnelle à la vision intégrée 12 Tableau 2 : Phase de préparation d'une mission 18 Tableau 3 : Phase de réalisation d'une mission 19 Tableau 4 : Phase de conclusion d'une mission 19 Tableau 5 : Les dix commandements pour un bon échantillonnage 20 Tableau 6 : Les règles à suivre dans une interview 21 Tableau 7 : Les différents types de questionnaire d'audit 22 Tableau 8 : Exemples de missions d'audit des SI 26 Tableau 9 : Descriptions des principaux référentiels et normes d’audit des SI 28 Tableau 10 : Les différentes méthodes d'évaluation des contrôles adoptées par Cobit4.1 et SAS70 48 Tableau 11 : Les principales exigences de la norme S7 de l'ISACA 50 Tableau 12 : Fiche technique de la STEG 52 Tableau 13 : Les chiffres clés de la STEG 54 Tableau 14 : Domaines d'intervention de la direction d'audit interne de la STEG 57 Tableau 15 : Répartition des missions d'audit par département d’audit 58 Tableau 16 : Les familles de risques pouvant contrarier le fonctionnement des SI 68 Tableau 17 : Liste des objectifs de contrôle correspondant à la mission « Audit de la sécurité globale des SI » 73 Tableau 18 : Découpage de la mission « Audit de la sécurité globale des SI » en sous-missions spécifiques 77 Tableau 19 : Table de mappage Cobit 4.1 - ISO/CEI 27002 84
  6. 6. 5 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Introduction Dans une économie postindustrielle l’information a évolué d’un simple support d’indicateurs financiers, économiques et opérationnels pour devenir un élément axial et contributif à la réalisation des objectifs stratégiques des entreprises. Faisant ainsi émerger la fonction informatique de l’approche traditionnelle, qui la considère comme juste une plateforme technique assistant les différentes activités de l’entreprise, vers une nouvelle approche intégrée, qui la traite en tant qu’un composant de la chaine de valeur opérant au service des métiers d’une manière systématique d’où la notion de système d’information (désormais SI). Ce constat en plus des évolutions technologiques ainsi que les différents challenges des entreprises face à des environnements changeant ont considérablement renforcé la position des SI pour qu’ils deviennent les garants de la bonne performance et de la pérennité des entreprises. Sur ce, le maintien des niveaux d’efficacité, d’efficience, de qualité et de sécurité élevés de ces SI sera d’une grande importance. En fait les entreprises disposent d’un système de contrôle interne leur permettant de mettre en place un ensemble de dispositifs afin de s’assurer de l’efficacité et l’efficience de leurs activités et de les protéger contre les risques et les éventuels dysfonctionnements. Ce principe se décline aussi sur les SI, on distingue ainsi différents contrôles traitant les activités de ceux-ci. Ces contrôles sont soit édictés par la doctrine propre à l’entreprise, soit imposés par des lois et réglementations en vigueur. C’est au niveau de leurs directions d’audit interne que les entreprises cherchent perpétuellement à améliorer les dispositifs de contrôle mis en place en planifiant continuellement des missions d’audit afin de détecter les points de faiblesses de ceux-ci et d’apporter les corrections nécessaires. Ces missions ont pour vocation de donner une assurance raisonnable aux dirigeants et aux responsables des métiers quant à la bonne application de ces dispositifs et la pérennité de l’entreprise en générale. Pour ainsi faire les auditeurs internes se référent lors de leurs missions à des lois, des réglementations, des référentiels et/ou des normes internationales présentant des recommandations et des bonnes pratiques établies par des professionnels et des experts dans le domaine.
  7. 7. 6 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » En matière des SI les auditeurs et les responsables en assurance ont à leur disposition un éventail de référentiels et normes qui traitent ces derniers de plusieurs perspectives tel que : la sécurité, la qualité, la performance … ou visent en particulier des éléments de ceux-ci, par exemple : les services, les applications, les projets, les installations, l’architecture matérielle, … Ce présent travail se situe dans le cadre d’un stage que j’ai effectué chez la direction d’audit interne de la « Société Tunisienne de l’Électricité et de Gaz » (STEG) pour l’obtention du diplôme de « Master Professionnel en Audit Interne et Audit des Systèmes d’Information » (MAIASI). La STEG, l’établissement hôte, a été parmi les premières entreprises tunisiennes à intégrer la fonction d’audit interne dans sa structure (en posant la première brique en 1972) afin de se conformer aux réglementations en vigueur, d’améliorer la qualité de ses services et de se protéger contre les risques et les anomalies possibles. Et en remarquant précocement les enjeux des SI dans l’économie moderne, elle a été la première en Tunisie à établir une unité d’audit informatique en 1985. Depuis ces dates, la direction de l’audit interne de la STEG n’a cessé, dans le cadre d’une stratégie globale d’amélioration continue adoptée par la direction générale, de chercher à faire évoluer ses approches, ses méthodes et ses outils d’audit. Ma mission lors de ce stage a été de contribuer au développement de la fonction d’audit interne, notamment en matière des SI, en apportant des nouvelles solutions et approches issues de mes études et mes différentes lectures. Une étude de l’état des lieux des SI de la STEG menée au début de ce stage, a montré des besoins accrus en missions d’audit. Face à ces besoins les responsables d’audit de la STEG se référent à une variété de réglementations, normes et cadres de référence pour planifier et exécuter un grand nombre de missions d’audit portant sur cet élément annuellement . Ces missions bien qu’ils apportent leurs contributions quant à l’amélioration des dispositifs de contrôle interne, reste qu’ils ne couvrent pas intégralement les SI et leurs différents composants, ce qui peut engendrer des failles intolérables. Par exemple des missions portant sur la sécurité des services, des données et/ou des applications ne peuvent garantir la protection des entreprises à 100% contre tous les risques qui peuvent aussi bien être de nature humaine, managériale, matérielle, … Ainsi la question qui se pose : « quelle solution peut-on mettre en œuvre afin de permettre aux auditeurs de planifier, organiser et exécuter des missions d’audit cohérentes, complémentaires et couvrant l’intégralité des SI?»
  8. 8. 7 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » La réponse va trouver son incarnation dans l’approche globale et systématique du cadre de référence Cobit4.1(1) grâce à son modèle processus qui couvre l’ensemble des activités de la DSI(2) et intègre toutes les ressources associées aux SI. Et pour la raison que ce cadre harmonise et unifie différentes démarches et bonnes pratiques d’un grand nombre de référentiels et normes internationales lui valant ainsi le titre du cadre fédérateur le plus complet. Le long de ce travail, on va essayer de présenter et mettre en œuvre l’approche de cadre de référence Cobit4.1 en matière d’audit des SI tout en exploitant ses différents éléments et l’ensemble de sa documentation. Le produit de ce présent travail concrétisera cette approche en un générateur de guides d’audit, permettant de générer des questionnaires basés sur les procédures d’évaluation Cobit4.1 pour différentes missions d’audit et fournissant en extension un ensemble de tables de mappage afin de se référer à d’autres cadres et normes internationales. Ce mémoire de stage sera alors organisé en deux grandes parties, une partie théorique présentant l’approche du cadre de référence Cobit4.1 en matière d’audit ainsi que ses éléments constitutifs, tout en posant la lumière sur un nombre de concepts, notions et éléments relatifs au sujet de ce mémoire, tels que : le SI, le système de contrôle interne, la fonction d’audit interne et sa disciple l’audit des SI, les différents référentiels et normes d’audit des SI … Et une deuxième partie pratique afin de présenter le cadre et la mission de stage ainsi que le générateur de guides d’audit (le produit de ce présent travail) et la démarche suivie pour l’élaborer. (1) Cobit4.1 (« Control Objectives for Information and Related Technology ») c’est un cadre de référence de contrôle, de management et d’audit des SI élaboré par l’ISACA (« Information Systems Audit and Control Association »). (2) Direction des Systèmes d’Information.
  9. 9. 8 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Partie 1 : Fondements théoriques
  10. 10. 9 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Chapitre 1 : L’audit des systèmes d’information au cœur de la fonction d’audit interne I. Le système d’information 1) Notion de système d’information L’information est devenue un élément crucial et contributif à la « création de la valeur » pour les entreprises à nos jours. C’est la synthèse d’un ensemble de données enregistrées, classées et organisées afin d’avoir une signification et une utilité au contexte et à l'instant désiré. Plusieurs types d’information œuvrent au sein de l’organisation d’une entreprise, il y a : l'information décisionnelle qui assure la prise de la décision au plus haut niveau, l'information opérationnelle nécessaire techniquement à l'exécution du travail, l'information de gestion qui définit les responsabilités, rôles et tâches, l'information de communication qui véhicule l’éthique, la doctrine et les politiques. Les différentes activités de l’entreprise tel que : l’activité administrative, l’activité commerciale, la production, le marketing, la comptabilité et le management utilisent l’information et la produisent par le biais des SI. Ces derniers présentent le cadre stratégique, managériale, technique et opérationnel permettant de maîtriser et d’exploiter cette variable stratégique. Robert REIX définit le SI comme étant « un ensemble organisé de ressources : matériel, logiciel, personnel, données, procédures permettant d’acquérir, traiter, stocker, communiquer des informations dans les organisations ». (3) Figure 1 : Le système d'information au centre de l’organisation de l’entreprise (3) REIX, R. (2004). « Systèmes d'information et management des organisations ». Vuibert.
  11. 11. 10 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Le SI est alors considéré comme une colonne vertébrale sur laquelle se calent les différents autres systèmes de l’entreprise (voir Figure 1). Il permet d’assurer la circulation de l’information de la direction générale jusqu’aux métiers et de la concrétiser afin qu’elle puisse contribuer efficacement à la performance des activités de l’entreprise et par conséquence à sa performance financière. 2) Périmètre du système d’information Il s’avère très important, afin de dissiper toute confusion pour le lecteur, de faire la distinction entre les deux notions suivantes : le SI (objet de ce mémoire) et les TI (les technologies de l’information plus généralement, dénommées TIC : technologies de l’information et de communication). Ces derniers regroupent l’ensemble des composants matériels et logiciels ainsi ceux des réseaux permettant et assurant la collection, la transformation, le stockage et la diffusion de l’information. En retournant à la définition de Robert REIX, on remarque bien que le périmètre du SI intègre celui des TI (en tant que l’ensemble des ressources matérielles et logiciels) et il l’étend en lui associant d’autres ressources : Le personnel : qui groupe les utilisateurs de l’information, les décideurs, les analystes et toute personne dont sa tâche est en relation étroite avec l’information. Les données : qui représentent les éléments d’entrée (que se soit d’origine interne ou externe) à leurs états bruts et qui seront analysées et traitées par le SI. Les procédures(4) : qui représentent la manière de mettre en œuvre tout ou une partie d'un processus. Figure 2 : Les différentes ressources d’un système d'information (4) Par définition une procédure représente le Qui (les responsabilités) fait Quoi ? (les processus), Où et Quand ? (le planning), Comment ? (les activités), Combien ? (les investissements) et Pourquoi ? (les objectifs). (QQOQCCP). Systéme d'information Personnel Données Procédures Technologies de l'information Ressources matériels Ressources logiciels
  12. 12. 11 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Ainsi le SI consiste à réaliser plusieurs opérations dépassant la simple collection, traitement, stockage et diffusion de l’information, il est conçu aussi pour assurer : la gestion des ressources informatiques, la gestion des tâches, rôles et responsabilités, la gestion de la relation avec les utilisateurs et la prestation des services, la gestion des projets informatiques, la qualité et la sécurité des produits, services et activité la protection matériel et logiciel la protection des données …. De ce fait on peut conclure que le SI ne se limite pas aux simples dimensions techniques et technologiques, mais il représente la gestion globale de l’information (de l’information stratégique à l’information opérationnelle) au moyen d’un ensemble de ressources technologiques, organisationnelles et humaines. 3) La mutation de la fonction informatique Une évolution de la notion de l’informatique dans l’économie moderne a transformé l’organisation de la fonction informatique d’une approche classique qui la découpe selon l’organisation structurelle (fonctionnelle) de l’entreprise vers une nouvelle approche axée sur les métiers et organisée en processus interconnectés, donnant ainsi lieu à la nouvelle notion de système d’information.(5) Cette mutation a permet d’installer le SI au cœur de l’organisation de l’entreprise, désormais le SI est devenue une variable structurante et contributive à l’atteinte des objectifs stratégiques puisqu’il est directement embarqué dans les opérations métiers, non plus considéré comme juste un support technologique (voir Tableau 1). (5) Les différents modèles d’organisation de la fonction informatique : Le modèle traditionnel : consiste à découper cette fonction selon une vision organisationnelle (en imitant l’organisation fonctionnelle de l’entreprise), ce modèle considère l’informatique comme un moyen et un outil pour assister les différentes activités de l’entreprise. Le modèle métier : opte à un découpage selon l’ensemble des métiers qui existent au sein de l’entreprise, ce découpage marche en phase avec les systèmes intégrés de gestion des données : les ERP (« Enterprise Resource Planning » aussi appelés « Progiciels de Gestion Intégrés » (PGI)) qui sont en fait des applications dont le but est de coordonner l'ensemble des activités d'une entreprise, telles que la production, la vente, l’approvisionnement, le marketing, la gestion des ressources humaines, ... autour d'un même système d'information. Le modèle processus : conçu sur la base du modèle métier, permettant d’organiser les activités en processus interconnectés afin de réaliser les objectifs globaux de l’entreprise. C’est au niveau de ce modèle qu’on a vu l’évolution de la notion de l’informatique vers celle de SI.
  13. 13. 12 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Tableau 1 : L'informatique de la vision traditionnelle à la vision intégrée Vision traditionnelle Vision intégrée L’informatique est un centre de coût. Le SI est un élément de la chaine de valeur. L’informatique est un moyen. Le SI est un actif de l’entreprise. L’informatique est une fonction de support et non stratégique. Le SI est une fonction de transformation stratégique. L’informatique est un bien privatif, cloisonné à chaque service ou direction. Le SI est un bien collectif pour l’entreprise, partagé par tous. L’informatique est un domaine réservé aux informaticiens. Le SI est un domaine transversal à l’entreprise, au service de tous. Source : « Alignement stratégique du système d’information ». Cigref (2002). 4) Système d’information et contrôle interne Le contrôle interne est un système mis en œuvre par le management et destiné à donner une assurance raisonnable quant à la réalisation et l’optimisation (efficacité et efficience) des activités de l’entreprise, la fiabilité de l’information financière et la conformité aux lois et règlementations en vigueur. Il permet de maîtriser les opérations à risques que l’entreprise ne veut ou ne peut ni transférer ni abandonner et cela en cherchant à réduire ces risques à des niveaux acceptables. Ainsi tout élément ou composant de l’entreprise est mis sous contrôle de conformité, de performance et de bon fonctionnement par référence à des lois, des réglementations, des référentiels de contrôle interne et/ou des normes. Ce système repose en une partie sur des contrôles informatiques qui sont soit édictés par les cadres de références propres à l’entreprise ou imposés par des lois et des réglementations en vigueur, comme le cas des contrôles issus de la section 404 de loi SOX(6) et de son homologue la LSF(7) (voir Figure 3). En faite ces lois émergeantes exigent aux entreprises une transparence financière qui ne peut être garanti que par la production des informations qui vérifient les critères de fiabilité, de traçabilité et de sécurité. Ainsi les activités des SI associées au reporting financier doivent être contrôlées et gérées via des dispositifs de contrôle informatiques qui seront intégrés dans le système de contrôle interne. (6) La loi SOX (loi « Sarbanes-Oxley »), est une loi établi par le sénateur « Paul Sarbanes » et le député « Mike Oxley » et voté par le congrès américain suite aux différents scandales financiers des entreprises cotées en bourse aux débuts des années 2000, tels ceux d' « Enron » et de « Worldcom »... Cette loi a pour objectif d'accroître la responsabilité des entreprises, de rendre la communication de l'information financière transparente et plus fiable ainsi que de lutter contre les comportements déviants et frauduleux des entreprises. (7) La LSF («Loi de la Sécurité Financière »), cette loi s'applique à toutes les sociétés cotées en bourse pour le cas de la France et comme la loi américaine « Sarbanes-Oxley » elle repose principalement sur : une responsabilité accrue des dirigeants, le renforcement du contrôle interne et la réduction des sources de conflits d'intérêt.
  14. 14. 13 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Figure 3 : Types de contrôles informatiques issus de la loi SOX En réponse aux exigences de la loi SOX, les entreprises ont largement adopté l’approche et la démarche du cadre de contrôle interne COSO(8) . Ce cadre de référence permet via sa structure de déployer un ensemble de dispositifs de contrôle internes permettant de maîtriser les différentes activités de l’entreprise, y compris les activités informatiques. Ainsi COSO définit un sous-ensemble de contrôles informatiques qu’on peut les répertorie en trois classes : Les contrôles informatiques au niveau de l’entité : ces contrôles font partie des contrôles internes et traitent les activités des SI associées aux éléments suivants : les stratégies et plans d’action, les politiques et procédures, l’évaluation des risques, la formation, l’assurance qualité et l’audit interne. Les contrôles applicatifs (CA) : sont des contrôles basiques qui se trouvent au début de l’échelle des contrôles associés aux SI. Ils sont intégrés dans les applications métiers (les ERP) et ils participent aux contrôles financiers. Ces contrôles ont pour objectifs de vérifier les critères suivants de l’information financière : l’exhaustivité et l’exactitude, l’existence et l’approbation, la présentation et l’intelligibilité. Les contrôles généraux informatiques : ces contrôles sont intégrés dans les processus des SI (la fonction informatique), ils permettent de garantir un environnement de traitement fiable et un déroulement adéquat des contrôles applicatifs. Ils couvrent : le développement et les modifications des applications, l’accès aux données et aux programmes, les traitements informatiques. (8) COSO est un référentiel de contrôle interne défini par le « Committee Of Sponsoring Organizations of the Treadway Commission ». Il est utilisé notamment dans le cadre de la mise en place des dispositions relevant des lois SOX ou LSF. Le référentiel initial de contrôle appelé COSO 1 a évolué depuis 2002 vers un second corpus axé sur la gestion des risque dénommé « Entreprise Risk Management » ou COSO 2.
  15. 15. 14 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Il est à remarquer que ces contrôles ne sont pas exhaustifs et qu’ils sont destinés à assurer la fiabilité de l’information financière et d’assister les activités métiers. Ces contrôles doivent être renforcés par d’autres dispositifs de contrôle plus rigoureux et des bonnes pratiques issus d’autres référentiels spécialisés pour couvrir la totalité des activités de la DSI et l’ensemble des ressources des SI. II. Le métier d’audit interne 1) Notion de l’audit interne « L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte des conseils pour les améliorer et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant par une approche systématique et méthodique ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité ». (9) La fonction de l’audit interne consiste à vérifier et valider les dispositifs de contrôle interne associés aux procédures, informations, opérations, organisations et structures de l’entreprise. C’est un outil d'amélioration continue qui permet de faire le point sur l'existant (état des lieux) et d’identifier les points de faiblesses et les non-conformités des contrôles mis en place, cela afin de mener par la suite les actions adéquates permettant de corriger les écarts et dysfonctionnements constatés. La qualité de cette fonction sera déterminée par le niveau de respect des critères suivants : l’indépendance et le degré de compétence des auditeurs, l’utilisation ou l’élaboration des normes ou référentiels d’audit, l’élaboration d’un programme d’audit, l’exhaustivité et la permanence de dispositif d’audit, l’existence d’un dispositif de suivi des recommandations. Plusieurs approches d’audit se présentent, on cite : L’approche par métier : dans cette approche les sujets d’audit seront découpés en fonction des grands métiers de l’entreprise. C’est une approche par les structures (départements, divisions, services…) et qui permet d’examiner à chaque fois une de ces structures. (9) Définition de l’audit interne inspirée de la définition approuvée le 21 mars 2000 par le Conseil d'Administration de l'IFAC (« International Federation of Accountants »), c’est une traduction de la définition en anglais approuvée par l’IIA (« Institute of Internal Auditors ») le 29 juin 1999.
  16. 16. 15 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » L’approche par fonction : appelée audit opérationnel ou audit d’évaluation, c’est l’examen d’une situation ou d’une fonction bien particulière (commerciale, production, financière, comptable, sociale, gestion des ressources humaines…) permettant ainsi de traiter à chaque fois un élément clé de l’entreprise. L’approche par thème : certains sujets d’audit ne correspondent ni à une structure ni à une fonction bien déterminée, d’où cette approche par thème qui permet de planifier et d’exécuter des missions d’audit spécifiques, selon les besoins de l’entreprise (comme par exemple la sécurité). Cette approche permet d’examiner un ensemble de structures et de fonctions en réponse au sujet d’audit fixé. L’approche par processus : qui consiste à traiter l’entreprise comme un ensemble de processus interconnectés opérants ensemble pour l’atteint des objectifs stratégiques fixés par la direction générale. Cette approche permet de déterminer et examiner les processus qui répondent et contribuent à la réalisation d’un objectif métier bien déterminé. L’approche par les risques : elle consiste à identifier les différents risques qui peuvent porter atteintes au bon fonctionnement de l’entreprise, de les évaluer, de leurs attribuer des niveaux de priorités et de les examiner selon cet ordre. Dans cette logique une cartographie des risques sera dressée et sur sa base des missions d’audit seront planifiées et exécutées par ordre de priorité des risques. Figure 4 : Les différentes approches d'audit Á remarquer que le choix de l’approche d’audit sera décidé en fonction du modèle d’organisation de l’entreprise, des moyens et outils d’audit déployés et en fonction des besoins de la direction et des métiers. Toutefois une démarche générale peut être dressée et suivie quelque soit l’approché adoptée, ce qu’on va présenter par la suite. Approche par les risques Approche par métier Approche par processus Approche par fonction Approche par théme
  17. 17. 16 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » 2) Conduite d’une mission d’audit : démarche générale
  18. 18. 17 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Figure 5 : Démarche générale d’une mission d’audit (10) (10) Cette démarche a été inspirée des normes internationales et elle est axée sur les risques. Cette démarche peut être appliquer pour les différentes autres approches d’audit.
  19. 19. 18 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Cette démarche comporte cinq phases, qui sont : La phase de planification pluriannuelle et annuelle : pour cette approche, la méthode de détection des risques présente un élément d’entrée pour la phase de planification, ainsi une cartographie des risques doit être établie à priori par la direction d’audit. Selon les indicateurs de cette carte un plan pluriannuel (de trois à cinq ans) sera discuté avec le comité d’audit et la direction générale afin de le valider et l’améliorer. De ce plan pluriannuel découlent des plans annuels d’audit qui doivent être aussi approuvés par la direction générale. La phase de préparation : cette phase peut se déclencher plusieurs fois selon une chronologie des missions planifiées d’avance, ou suite à un ordre de mission de la part d’un commanditaire (la direction générale par exemple). Elle consiste à : Prendre connaissance du sujet à traiter et du système de contrôle interne. Identifier les risques spécifiques. Déterminer les objectifs de la mission. Déterminer les vérifications à établir. Cette phase se terminera par l’élaboration d’un programme de travail qui sera suivi. Tableau 2 : Phase de préparation d'une mission Eléments Description Ordre de mission C’est le mandat donné par la direction générale au service d’audit, précisant l’origine de la mission et son étendue tout en nommant une équipe d’audit. Rencontre avec la direction de l’entité auditée Cette rencontre permet d’identifier : les objectifs, l’étendue, la nature, le délai, les auditeurs responsables de la mission et l’organisation ou non d’une réunion d’ouverture. Un compte rendu sera rédigé et envoyé aux participants. Réunion d’ouverture Elle permet d’établir les premiers contacts entre les auditeurs et les audités (elle est facultative), elle consiste à unir le chef de la mission, les auditeurs, les directeurs et les chefs services des entités auditées. Rapport d’orientation C’est un contrat de prestation de services précisant les axes d’investigation et les limites de la mission en les exprimant en objectifs à atteindre par l’audit. Programme de travail C’est un document interne qui permet de déterminer, de répartir et de planifier les actions d’audit. Il précise les tâches à effectuer, les investigations à mener, les questions à poser et les pratiques de bonne gestion à vérifier. La phase de réalisation : cette phase suit le programme de travail établi dans la phase précédente, elle consiste à mener des travaux d’investigation et de vérification sur terrain (via des moyens et des outils d’audit), tout en suivant la chaîne : Faits Causes Conséquences Conclusion Recommandations, et qui seront formulés au niveau des FRAP(11) . Cette phase aboutira à une appréciation du système de contrôle interne tout en relevant ses principaux points forts et ses faiblesses. (11) FRAP : Feuille de Résolution et d'Analyse des Problèmes.
  20. 20. 19 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Tableau 3 : Phase de réalisation d'une mission Eléments Description Questionnaire de CI L’objectif de ce questionnaire est d’évaluer les dispositifs de système de contrôle interne pour chaque opération à risque (Qui ? Quoi ? Où ? Quand ? Comment ?) et de vérifier l’existence et l’efficacité de ces dispositifs. FRAP Ils présentent les résultats des travaux sur terrain et sont rédigées par l’auditeur pour chaque dysfonctionnement constaté, permettant de structurer le raisonnement de l’auditeur jusqu’à la formulation de la recommandation. Elles comprennent : les problèmes, les faits, les causes, les conséquences et les recommandations. Elles serviront comme une base pour la rédaction du rapport d’audit. Compte rendu final C’est une présentation orale des principales observations, faite par le chef de l’équipe d’audit et destinée au responsable de l’entité auditée. Il sera effectué à la fin du travail terrain. La phase de conclusion : elle consiste à formuler un rapport d’audit structurant les conclusions et comportant les recommandations en réponse aux risques et dysfonctionnement détectés lors de la phase d’investigation. Ce rapport sera accompagné d’un plan d’action ou au cas échéant des modalités de remise future qui seront destiné aux parties prenantes concernées. Tableau 4 : Phase de conclusion d'une mission Eléments Description Projet de rapport En se basant sur les FRAP et les différents éléments probants, l’auditeur formulera sa conclusion dans ce rapport avant d’être validé par les audités. Réunion de validation et de clôture Cette réunion permettra de présenter et de valider les constats, expliquer les recommandations et de fixer les modalités pratiques relatives au plan d’action et de suivi de la mission. Rapport final Rédigé après la remise des commentaires écrits des audités (prévus lors de la réunion de validation et de clôture). Ce rapport doit être complet, constructif, objectif et clair. Il doit être publié en deux versions, un exposé général et une synthèse afin de satisfaire aux différents lecteurs. Ce rapport a deux objectifs : informer la hiérarchie des conclusions de la mission et de l’état du système de contrôle interne assister les audités dans l’élaboration des plans d’action afin de remédier aux problèmes et aux dysfonctionnements détectés. Plan d’action Rédigé par les directeurs des entités auditées. Il vise à mettre en œuvre les recommandations citées dans le rapport final. Pour chaque recommandation, l’audité doit exprimer sa position soit en l’acceptant totalement ou partiellement (tout en précisant « Qui fera Quoi ? »), soit en la refusant en expliquant les raisons. Ce plan doit être validé par le service d’audit Le suivi des recommandations : une fois le plan d’action validé, le service d’audit suivra sa mise en œuvre tout en communiquant les états d’action et de progrès régulièrement à la direction générale. Cette étape permet de garantir la bonne application des différentes corrections et améliorations établies dans le plan d’action. Ces plans d’action et de suivi formeront un pilier de la démarche globale d’amélioration continue des services, produites et structures des entreprises en générale.
  21. 21. 20 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » 3) La boîte à outils de l’auditeur Afin de mener à bien sa mission, l’auditeur a besoin le long de son travail, dés la phase de préparation jusqu’à l’élaboration du rapport d’audit final, d’un nombre d’outils et de méthodes afin de collecter les informations, analyser les données, décrire l’état du système, ainsi que des outils de vérification et de validation. On distingue deux catégories d’outils utilisés : Les outils d’investigation : ces outils offrent une aide aux auditeurs afin de formuler des questions ou apporter des réponses à des questions qui se posent. Les outils de description : permettant de projeter de la lumière sur différents aspects fonctionnels et organisationnels de l’entreprise, ce sont des outils de « révélation ». a) Les outils d’investigation Les sondages statistiques ou échantillonnage : ce type d’outils est souvent utilisé dans la pratique d’audit. Dans la plupart des opérations de sondage ou d’échantillonnage, l’échantillon est choisi à partir d’une série d’articles (cet échantillon doit être représentatif de la population fixée). Suite à ça, des mesures et des opérations statistiques permettront au moyen de cet échantillon de projeter des jugements et des conclusions sur l’ensemble de la population. Cet outil fait appel aux qualités de bon sens et de jugement de l’auditeur, que ce soit pour la détermination de la taille de l’échantillon, la sélection des articles à étudier et la formulation des conclusions relatives à la population dérivée des résultats de l’analyse de l’échantillon. Tableau 5 : Les dix commandements pour un bon échantillonnage Principes 1 Connaitre les principes de l’échantillonnage scientifique, et ne l’utiliser que lorsqu’ils s’adaptent aux mieux aux objectifs de l’audit. 2 Connaitre la population étudiée et ne fonder des opinions que sur la population échantillonnée. 3 Accorder la même chance d’être choisis à tous les éléments de la population. 4 Ne laissez pas un « biais » personnel affecte l’échantillon. 5 Ne permettre pas que des configurations particulières de la population affectent le caractère aléatoire que doit revêtir l’échantillon. 6 Faire attention, l’échantillon orienté vers un but (dirigé) a un rôle à jouer, mais n’en tirer pas des conclusions pour toute la population. 7 Baser les estimations de taux maximaux d’erreurs sur ce qui est raisonnable dans un modèle réel, essayer de déterminer à quel moment des signaux d’alarme cesseraient de jouer. 8 Stratifier chaque fois que cela semble réduire la dispersion dans l’échantillon. 9 Ne fixer pas sans nécessité des objectifs élevés de fiabilité (niveau de confiance et de précision). Les contrôles, la supervision, les indicateurs, les procédés d’auto-correction, ainsi que la conscience des faits qu’à la direction et la surveillance qu’elle exerce, sont autant d’éléments qui doivent être considérés pour tenter de réduire l’étendue des investigations d’audit. 10 Ne s’arrêter pas aux résultats statistiques, mais chercher les causes.
  22. 22. 21 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Les interviews ou entretiens : ces outils sont utilisés fréquemment, ils ne doivent pas être confondus avec les conversations et les interrogatoires. Les conditions d’une bonne interview seront garanties en fonction du niveau de collaboration instauré entre l’audité et l’auditeur. Une interview se décompose généralement en trois phases : La préparation de l’interview : l’auditeur doit d’abord prendre un rendez-vous avec son interlocuteur, et avant de le contacter il doit collecter quelques informations professionnelles sur lui (prendre connaissance de son interlocuteur). Aussi il doit préparer son sujet et ses outils, il est indispensable pour chaque entretien d’avoir fixé au préalable les objectifs que l’on souhaite atteindre avec un questionnaire détaillé ou au moins un guide d’entretien. La conduite de l’interview : une méthode efficace consiste à prendre des notes au fur et à mesure, ça permet de ralentir les flux d’informations et de garder des traces du déroulement de l’entretien et de ces points essentiels. L’après interview : l’auditeur doit formaliser ses notes afin de les exploiter. Tableau 6 : Les règles à suivre dans une interview Règles 1 Il faut respecter la voie hiérarchique. Sauf urgence exceptionnelle, l’auditeur ne doit pas procéder à une interview sans que le supérieur hiérarchique de son interlocuteur ne soit informé. 2 Rappeler clairement la mission et ses objectifs. L’interlocuteur de l’auditeur doit connaître le pourquoi et le comment de l’interview. Il serait désastreux qu’il puisse s’imaginer que l’on va lui tendre des questions pièges, que l’interview n’est en somme qu’un interrogatoire déguisé. 3 Evoquer les difficultés, les points faibles, les anomalies rencontrées avant toute autre chose. 4 Recueillir son adhésion les conclusions de l’interview résumées avec l’interlocuteur, avant de les communiquées sous quelque forme que ce soit à sa hiérarchie. 5 Conserver l’approche système, en vertu de ce principe l’auditeur ne s’intéresse pas aux hommes. On doit donc se garder de toute question ayant un caractère subjectif et mettant en cause les personnes. Les questionnaires : ceux-ci se présentent comme un outil efficace d’évaluation de niveau de conformité des dispositifs de contrôle aux normes et bonnes pratiques choisies comme références. Ils permettent d’identifier les points forts et/ou les faiblesses de ces dispositifs ainsi que les risques associés à leur absence ou leur insuffisance. Ils permettent aux auditeurs d’organiser et de répartir les différents points à traiter sous forme de questions groupées par thème. Leur importance réside dans un ensemble d’avantages qui permettent à l’auditeur de : Formuler des questions par thèmes et de les mettre dans un ordre de priorité. Préparer un ensemble de points à traiter et à aborder dans le questionnaire. Etablir un barème d’évaluation afin de comparer les réponses de l’audité avec la référence et de comparer les réponses des différents audités.
  23. 23. 22 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Tableau 7 : Les différents types de questionnaire d'audit Type de questionnaire Description Les questions à choix multiples Questions fermées avec un choix à faire parmi plusieurs réponses prédéfinies. Les questions directes Questions formulées de manière à impliquer directement le répondant, afin qu'il se sente concerné par la réponse. Les questions indirectes Questions formulées de manière à ne pas impliquer directement le répondant, afin qu'il se sente libre de répondre. Les questions fermées Questions à la/aux réponse(s) limité(s) à une liste de propositions. Les questions ouvertes Question laissant au répondant la liberté de choisir ses propres mots. Les grilles d’évaluation Succession de questions basées sur la même échelle d'évaluation (échelle de Likert). L'échelle contient en général cinq ou sept choix de réponse qui permettent de nuancer le degré d'accord. 1. Pas du tout d'accord 2. Pas d'accord 3. Ni en désaccord ni d'accord 4. D'accord 5. Tout à fait d'accord À remarquer que des modèles de questionnaires, formulés par des experts, peuvent être utilisés néanmoins ces modèles doivent être adaptés à l’entreprise et au contexte de la mission ainsi l’auditeur doit garder un recul nécessaire par rapport à ces modèles. Á remarquer aussi qu’un questionnaire est une sorte de guide pour l’entretien, l’auditeur peut approfondir son enquête en improvisant des questions sur la lumière des révélations de son interlocuteur et en se basant sur son expérience sans oublier de noter ses observations et les remarques conclues. b) Les outils de description L’organigramme fonctionnel : la collecte des organigrammes de l’entreprise par l’auditeur est une tâche importante afin de pouvoir comprendre les responsabilités respectives du personnel. L’auditeur est très souvent amené à mettre à jour les organigrammes ou à rajouter ses propres commentaires sur les responsabilités réelles. Les mots figurant dans les cases de ces organigrammes ne sont pas des noms de personnes (organigramme hiérarchique) mais des verbes désignant des fonctions. Cet organigramme doit aussi présenter des descriptifs des postes qui se considèrent comme des éléments importants de contrôle interne. Le diagramme de circulation des flux ou Flow-Chart : c’est une représentation narrative ou graphique d’une suite d’opérations dans laquelle les différents documents, centres de travail, de décision, de responsabilité, sont représentés par des symboles réunis les uns aux autres suivant l’organisation administrative de l’entreprise. En fait l’élaboration de tel Flow-Chart améliore la perception de l’entreprise par le classement et le tri des données structurées sous une forme synthétique.
  24. 24. 23 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Ce diagramme de circulation des flux doit permettre de faire ressortir les éléments suivants : les rôles et responsabilités pour chaque opération, les points d’action, de décision et de contrôle, les descriptions des circulaires et documents similaires, les flux de communication à l’intérieur et avec l’extérieur de l’organisation. La synthèse de tous ces éléments permettra à l’auditeur de mettre en évidence les contrôles clés existant au sein de l’organisation et sur lesquels il s’appuiera lors de sa mission. Le document doit donc représenter sans ambiguïté toute l’information nécessaire pour comprendre le circuit étudié et l’interpréter sans avoir à rechercher de renseignements complémentaires. La forme narrative de description se révèle une méthode difficile à manier et peu claire, c’est pour cette raison qu’une représentation schématique recensant les faiblesses et forces du contrôle interne s’avère beaucoup plus utile. Et comme toute technique standardisée, cette représentation doit comprendre un certain nombre de symboles et de conventions. Un autre avantage de cet outil, c’est qu’il permet à l'auditeur de comprendre les méthodes et les systèmes employés au sein de l'organisation, ainsi que les contrôles effectués, en mettant l'accent plus particulièrement sur les procédure de circulation de l'information. Cette compréhension des systèmes (y compris systèmes d’information de l’entreprise) sert de base à l'évaluation des flux et contrôles interne matérialisés par ce type de documents normalisés. Son usage permet en outre d'améliorer l'efficacité et l'homogénéité du groupe d'audit et de permettre une meilleur communication entre les différents auditeurs. L’observation physique : il s’agit d’une constatation de la réalité instantanée de l’existence et du fonctionnement d’un ensemble d’éléments tel que : le processus, les biens, les transactions, les valeurs, les documents, les comportements. Il existe deux formes d’observations : L’observation directe : permettant d’assurer une vérification immédiate et visuelle d’un descriptif. Elle peut aboutir à un avis sur l’état physique et/ou de fonctionnement d’un bien, comme elle peut prendre la forme d’un comptage d’unités/ des composants. L’observation indirecte : et qui consiste soit à consulter directement des documents représentatifs du droit, de l’engagement comme les contrats, les courriers, les certificats…, soit faire des correspondances avec des tiers concernés pour qu’ils fournissent leurs observations et remarques concernant les éléments à audités. D’une manière générale cette méthode va permettre à l’auditeur de mieux comprendre le contexte, le périmètre et l’environnement de la mission d’audit à exécuter.
  25. 25. 24 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » III. L’audit des systèmes d’information 1) Portée de l’audit des systèmes d’information Vu la nouvelle dimension qu’a pris le SI dans l’ensemble des activités de l’entreprise, en se présentant comme un élément contributif à la « création de la valeur » et afin d’assurer sa performance et son bon fonctionnement, un ensemble de dispositifs de contrôle associés doivent être mis en place. Des dispositifs relevant de la doctrine propres à l’entreprise ou en réponse aux exigences des lois émergeantes telles que la LSF et la loi SOX (cas des dispositions de la section 404 cherchant à garantir l’exhaustivité, l’exactitude, la validité des informations financières et la restriction d’accès). Plusieurs entreprises pour se conformer à des telles exigences et se protéger contre les risques affectant les assertions de leurs états financiers, ont procédé à l’implémentation de l’ensemble des contrôles généraux informatiques et les contrôles applicatifs issus du référentiel de contrôle interne COSO. Ces dispositifs font l’objet des révisions globales au niveau des missions d’audit interne (tel que l’audit des états financiers). Cependant ces missions d’audit ne permettent pas de vérifier l’intégralité des activités de SI qui dépassent de loin celles propres à l’établissement de ces états financiers. C’est dans ce contexte qu’a évolué la notion d’audit des SI et qui dérive de celle de l’audit interne visant à compléter cette fonction en traitant en objet : l’information, les infrastructures technologiques, les ressources humaines, les processus et les applications associées. Figure 6 : La relation « Audit Interne - Audit des SI »
  26. 26. 25 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » L’audit des SI forme ainsi un support à la fonction d’audit interne qui traite les risques opérationnels et financiers associés aux différents processus métiers de l’entreprise. En générale plusieurs contrôles automatiques (les contrôles applicatifs) font partie intégrante des différents applications métiers (ERP) déployés au sein de l’organisation, ces contrôles visent à garantir l’efficacité et l’efficience des données et transactions financières. C’est au niveau des missions d’audit interne que ces contrôles vont faire objet de vérification et d’évaluation par rapport aux bonnes pratiques des cadres générale de contrôle interne, tel que COSO. De cet angle des audits informatiques associés auront lieu au sein de ces missions, néanmoins les risques informatiques ne seront pas tous cernés, ce qui exigent d’autres missions plus spécifiques se chargeant de la fonction informatique en particulier. C’est là qu’intervient la fonction audit des SI, et qui va revoir la totalité des activités des SI, en vérifiant les contrôles généraux informatiques et applicatifs associés aux différentes ressources matériels, logiciels et humaines ainsi que les procédures et règles de gestion établies pour ces SI. Les auditeurs informatiques se référeront pour cette raison à des référentiels d’audit édités spécialement aux SI, comme le cas de cadre de référence Cobit et autres standards. 2) Types de missions d’audit des systèmes d’information D’après l’enquête faite en 2007 par MAZARS(12) auprès de 134 organisations sur la diversité et l’étendu des missions d’audit se portant sur les SI, une variété de missions était recensé. La figure suivante segmente en pourcentage le périmètre d’intervention des auditeurs informatiques et les types de missions couvrant les SI identifiés par cette étude. Figure 7 : Les différents types de missions d’audit des SI (12) MAZARS est une entreprise internationale d'origine française spécialisée dans l'audit, l'expertise comptable, la fiscalité et le conseil aux entreprises.
  27. 27. 26 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Ainsi on remarque bien que ces missions d’audit identifiées traitent les différentes dimensions : managériale, opérationnelle et technique (audit de performance-efficacité) d’un SI, comme ils traitent des objets et thèmes spécifiques tels que : les données, les processus, les projets, l’architecture, la sécurité, la qualité, la conformité … Tableau 8 : Exemples de missions d'audit des SI Mission Description Audit de la stratégie informatique Cette mission consiste à s’assurer que le SI est bien aligné avec la stratégie globale de l’entreprise et que les investissements informatiques sont bien gouvernés. Audit de la fonction informatique L’objectif de cette mission est de répondre aux préoccupations de la DG ou de la DSI concernant l'organisation de la fonction informatique, son pilotage, son positionnement dans la structure, ses relations avec les utilisateurs, ses méthodes de travail… Audit de l’exploitant Cette mission a pour but de s'assurer que les centres de production informatiques (centres de services) fonctionnent de manière efficace et qu'ils sont correctement gérés. Audit des projets informatiques Le but de cette mission d’audit c’est de s'assurer que les projets informatiques se déroulent normalement et que l'enchaînement des opérations se fait de manière logique et efficace à fin d'arriver en toute sûreté à la fin de la phase de développement, et afin de délivrer une application performante et opérationnelle. Audit des applications opérationnelles Cette mission d’audit permet de donner au management une assurance raisonnable sur la sûreté de fonctionnement d’une application et les contrôles imbriqués dedans. Cette mission d’audit peut traiter une application comptable, de paie, de facturation,…. mais, de plus en plus souvent, on s'intéresse à l'audit des processus globaux de l'entreprise comme la vente, la production, l’achat, la logistique,… Audit des donnés et transactions Le but de cette mission c’est de vérifier la fiabilité des données et transactions financières pris en charge par le SI et les technologiques d’information associées. Audit physique Ce type de mission traite les infrastructures, les équipements et installations, afin de s’assurer de la validité des dispositifs mis en place pour se protéger contre des dommages et désastres comme : les incendies, les inondations, orages … Audit de migration Cette mission vérifier le processus de migration d’une application ou d’un système vers des nouvelles versions ou suite à des changements au niveau de l’infrastructure et les technologies de l’information, dans le but de s’assurer de la pérennité du SI. Audit de la sécurité des SI Cette mission d’audit a pour but de donner au management une assurance raisonnable du niveau de risque acceptable associé à des défauts de sécurité des SI et que l’entreprise peut assumer. Ce type de mission globale peut être divisé en sous-missions d’audit plus spécifiques, tel que : Audit de la sécurité physique Audit de la sécurité des applications Audit de la sécurité des services informatiques …. 3) Référentiels d’audit des systèmes d’information Avant de mener des travaux d’investigation lors de la phase d’exécution les auditeurs doivent d’abord fixer un ou plusieurs cadres de référence, soit de ceux propres à l’entreprise ou choisis parmi les standards et les normes internationales existants. Un cadre de référence par définition est un ensemble de règles organisationnelles, procédurales et/ou techniques à mettre en place pour gouverner (gérer dans les règles de l’art) les SI. Ces cadres peuvent être utilisés par les auditeurs au cours d’une mission d'audit à fin d'évaluer les dispositifs de contrôle en question et de mesurer le niveau de leurs applications par rapport aux exigences et les bonnes pratiques de ces standards.
  28. 28. 27 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Plusieurs cadres de référence de contrôle, de gestion, de gouvernance et d’audit se présentent sur le marché et permettant chacun de traiter un élément ou une dimension des SI, tels que : L’architecture des SI (exemple : TOGAF). Les services informatiques (exemple : ITIL, la norme ISO 20000). Les projets informatiques (exemple : PMBOK, PRINCE2, CMMi). La gouvernance des SI (exemple : Cobit, Val IT, Risk IT, la norme ISO 38500). L’externalisation des services informatiques (exemple : eSCM). La conformité réglementaires des SI (exemple : loi SOX, Acte BâleII, COSO, Cobit). La sécurité des SI (exemple : la famille des normes ISO 27000). Figure 8 : Les principaux référentiels de la DSI Ces différents cadres de référence présentent une bibliothèque complète de savoir et de bonnes pratiques pour la gestion et la bonne gouvernance des SI, ils forment une base aux managers à fin de piloter, contrôler et maintenir des SI en haute performance.
  29. 29. 28 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Ces cadres seront aussi la référence à la quelle se pointent les auditeurs pendant leurs missions d’audit dans le but de vérifier le niveau d’application de ces bonnes pratiques et l’efficacité et l’efficience des contrôles mis en place. Dans le tableau suivant on présentera des descriptions brèves des principaux référentiels et normes internationales d’audit des SI. Tableau 9 : Descriptions des principaux référentiels et normes d’audit des SI Référentiel / Norme Description ITIL (Information Technology Infrastructure Library) ITIL a été mis en place par l’OGC (« Office of Gouvernement Commerce ») britannique. C’est un ensemble d’ouvrages recensant les bonnes pratiques du management tout autour des services du SI. Les tomes les plus utilisés concernent le soutien et la fourniture des services informatiques. ITIL permet, grâce à son approche processus clairement définie et contrôlée, d'améliorer la qualité des services du SI et de l'assistance aux utilisateurs. Dans sa troisième version ITIL a met l’accent sur la maîtrise du cycle de vie d’un service informatique. CMMi (Capability Maturity Model integrated) CMMi a été conçu par le SEI (« Software Engineering Institute ») de l’université de Carnegie Mellon. C’est un modèle de référence, sous forme d’un ensemble structuré de bonnes pratiques, destiné à appréhender, évaluer et améliorer les activités des entreprises d'ingénierie informatique afin de contrôler la fonction de développement des applications et des logiciels. PMBOK (Project Management Body of Knowledge) Il se présente comme une référence en matière de gestion des projets, il est édité par le PMI (« Project Management Institute »). Ce référentiel est totalement complémentaire avec des démarches d’amélioration continue de type CMMi. PRINCE2 (PRojects IN Controlled Environments) C’est une méthode de gestion et de certification de projet aussi structurée et qui se focalise sur trois points : l'organisation, la gestion et le contrôle du projet. TOGAF (The Open Group Architecture Framework) C’est un ensemble de concepts et un standard industriel couvrant le domaine des architectures informatiques d'entreprise, qui peut être utilisé par toute entreprise souhaitant développer ou modifier son architecture. eSCM (eSourcing Capability Model) C’est un référentiel élaborée depuis 2001 par l’Université Carnegie-Mellon/ ItSQC afin d’améliorer la relation entre clients et fournisseurs dans le cadre de la fourniture de services utilisant les technologies de l’information. Ces services sont de nature très diverse : infogérance, externalisation du support informatique, tierce maintenance, fourniture de liaisons de télécommunications… COSO (Committee Of Sponsoring Organizations) C’est un référentiel de contrôle interne défini par le la COSO (« Committee Of Sponsoring Organizations of the Treadway Commission »). Il est utilisé notamment dans le cadre de la mise en place des dispositions relevant des lois SOX (pour les entreprises cotées en bourse en USA) ou LSF (pour les entreprises françaises). Le référentiel initial appelé COSO1 représente un « framework » de gestion des objectifs de conformité configurable à toute règlementation. L’approche COSO est structurée en trois axes : le premier pour l’évaluation des objectifs, le deuxième axe définit les risques, contrôles et les actions et le troisième axe organise le travail dans un système processus bien structuré. COSO a évolué depuis 2002 vers une deuxième version COSO2 sous forme d’une méthodologie axée sur la gestion des risques appelée ERM (« Entrprise Risk Management »). Cobit (Control Objectives for Information and related Technology) Cobit a été publié en 1996 par l’ISACA (« Information Systems Audit and Control Association »). CobiT est organisé selon une approche orientée processus, qui regroupe en 4 domaines (structurés par analogie avec la Roue de Deming), 34 processus distincts qui comprennent en tout 215 activités et un nombre plus important de pratiques de contrôle. CobiT fournit aux gestionnaires, auditeurs et utilisateurs de SI, des indicateurs, des processus et des bonnes pratiques pour les aider à maximiser les avantages issus du recours à des techniques informatiques et à l'élaboration de la gouvernance et du contrôle d'une entreprise. Dans sa version 4.1 Cobit intègre proprement dit les deux volets audit et management des SI, ainsi qu’un grand nombre de démarches et bonnes pratiques issues d’autres référentiels et normes internationales.
  30. 30. 29 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Val IT (Governance of IT investments) C’est un cadre de référence pour la gouvernance des investissements informatiques qui a été réalisé par l’ITGI (« IT Gouvernance Institute» qui a été crée par l’ISACA), et qui propose une analyse de la performance des investissements en technologies de l'information. Val IT distingue trois axes de gouvernance des projets SI : la gouvernance de la valeur (GV), la gestion de portefeuille (GP) et la gestion des investissements (GI). Remarque : Val IT a été intégré dans la version 5 de Cobit. Risk IT (Governance of IT risks) Risk IT est un référentiel de management du SI et des TI par les risques il a été publié en 2009 par l'ISACA. C’est un guide de principes directeurs et de bonnes pratiques qui s’organisent en 3 domaines, 9 processus et comptent 47 bonnes pratiques. Les domaines et processus de ce référentiel couvrent les trois axes suivants : la gouvernance des risques (GR), l’évaluation des risques (ER) et le traitement des risques (TR). Remarque : Risk IT a été intégré dans la version 5 de Cobit. La norme ISO 9000 C’est un ensemble de normes relatives à la gestion de la qualité et qui est publiées par l'ISO (« International Organization of Standardization »). Cette norme repose sur un certain nombre de principes de management de la qualité, notamment une forte orientation client, la motivation et l’engagement de la direction, l’approche processus et l’amélioration continue. La variante ISO 9001:2008 aide à s’assurer que les clients obtiennent des produits et services uniformes et de bonne qualité, avec, en retour, de belles retombées commerciales. La norme ISO/CEI 20000 Elle est issue de la norme BS 15000 de BSI (« British Standards Institution »), c’est une norme de certification des services informatiques des organisations prouvant le respect de normes de qualité éditées au travers de phases, de contrôles et de procédures mises en place. La série des normes ISO/CEI 27000 C’est une suite des normes de sécurité de l'information publiée conjointement en mai 2009 et révisée par l’ISO (« International Organization of Standardization »).) et la CEI (« Commission Electrotechnique Internationale »). Ces normes sont dérivés des normes précédentes telles que : ISO 17799 et BS 7799. Parmi cet ensemble des normes la norme ISO/CEI 27002 présente un ensemble de 39 objectifs de contrôle qui s’étalent en 133 mesures ou bonnes pratiques destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un « Système de Management de la Sécurité de l'Information » (SMSI) et les auditeurs des SI au cours de leurs missions. Sources : « Les référentiels de la DSI ». Cigref (2009). L’organisation internationale de normalisation ISO (site web : http://www.iso.org/ )
  31. 31. 30 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Chapitre 2 : Cobit 4.1 un cadre fédérateur d’audit des systèmes d’information I. L’ISACA et ses principales contributions en matière d’audit des systèmes d’information 1) Présentation de l’ISACA L’« Information System Audit and Control Association » (ISACA) est une association professionnelle internationale qui a été fondée aux États-Unis en 1969 dont l'objectif est d'améliorer la gouvernance des SI, notamment par l'amélioration des méthodes d'audit informatique. Elle est aussi un membre affilié de l’IFAC(13) . Depuis sa création et afin d’atteindre l’objectif fixé elle a développé un ensemble de textes et de référentiels qui se résument essentiellement en : Un code de déontologie : c’est une charte d’audit standard pour encadrer la fonction des auditeurs des SI. Ce code doit être respecté par les adhérents à l’ISACA (essentiellement les auditeurs certifiés) et peut être considéré comme un modèle aux entreprises afin d’élaborer leurs propres étiques et codes de déontologie à suivre par leurs propres unités d’audit des SI. Un ensemble de normes, conseils et procédures pour l’audit des SI (« Standards, guidelines and procedures for information system auditing »). Ces normes ont été codéveloppées avec l’IFAC et approuvées comme des normes internationales en audit et contrôle des SI dans le but d’aider les auditeurs à promouvoir des SI de confiance et créateurs de valeur. Un ensemble de référentiels pour l’audit et la gouvernance des SI : Val IT, Risk IT, Cobit et plusieurs autres publications connexes. 2) Chronologie des variantes Cobit Le référentiel Cobit a vu dés son apparition plusieurs évolutions : C’est en 1996 que l’ISACA a publié la première version de Cobit qui était à ce premier stade juste un référentiel d’audit et de contrôle des SI s’inspirant des principes de référentiel de contrôle interne COSO (publié en 1992). Cette première version était destinée aux auditeurs dans le but de les assister dans la planification et l’exécution de leurs missions d’audit. (13) IFAC (« International Federation of Accountants »), c’est la fédération globale de la profession comptable fondé en 1977. Elle a pour vocation de publier des standards internationaux sur l'éthique, audit et assurance, l'éducation, et la comptabilité du secteur public. Elle publie aussi des conseils pour encourager la qualité dans les services des professionnels comptables.
  32. 32. 31 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » En 2000 une troisième version a apparu suite aux nombreux travaux de l’ITIG(14) . Cette version a introduit pour la première fois la notion de management, proposant ainsi deux guides : un guide d’audit qui offre une approche processus guidée par des objectifs de contrôle et un guide de management pour ces processus sous forme d’un ensemble de lignes directrices. La version quatre de ce référentiel a fait son apparaissance en 2005 et a évolué vers la version 4.1 en 2007. Ces deux versions regroupent deux visions : le contrôle et le management des SI (notion développée depuis la version 3 et approfondie dans la version 4.1 au niveau d’un guide complet de management). Ces deux versions ont été fortement influencées par la loi SOX et son homologue la LSF, en renforçant les contrôles des SI associées aux processus financiers et la gouvernance des SI .Ces deux version intègrent aussi dans leurs processus les bonnes pratiques issues d’un nombre autres référentiels, lois et normes tel que : ITILV3, ISO 27002, ISO 9000, ISO 38500, CMMi, COSO, loi SOX, PMBOK, TOGAF …. Dés lors la version 4.1 de Cobit a été considère comme un cadre fédérateur d’audit et de gouvernance des SI. La cinquième variante de Cobit a été dévoilée en 2012 et a pris une nouvelle étendue en se focalisant sur la dimension gouvernance qui est devenue la ligne directrice de la nouvelle approche Cobit. Cette version a intégré en plus des bonnes pratiques issues de nombreux cadres d’audit et de gouvernance dans la version précédente, les bonnes pratiques des référentiels Val IT et Risk IT développés par l’ISACA, à fin de présenter une démarche cohérente et globale en matière d’audit, management et gouvernance des SI. Figure 9 : Evolution du cadre de référence Cobit (14) ITGI (« IT Governance Institute ») est un institut fondé par l’ISACA en 1998 afin de contribuer par des études et des recherches en gouvernance des SI à apporter des améliorations aux approches et méthodologies des produits de cette dernière.
  33. 33. 32 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » II. Présentation du cadre de référence Cobit 4.1 1) Description générale Cobit 4.1 se présente comme un cadre fédérateur d’audit et de gouvernance des SI, il intègre les bonnes pratiques d’un grand nombre de référentiels et normes internationales. Il suit une démarche transversale en couvrant toutes les activités de la DSI. Son approche se base sur un grand nombre d’éléments et des concepts lui valant une dimension universelle, c’est-à-dire qu’elle peut être appliquée à tout type d’entreprise quelque soit son secteur d’activité ou sa taille. Les éléments de Cobit 4.1 s’organisent sur trois axes, tout en s’inspirant du modèle COSO : L’axe « Exigences métiers » : qui définit les critères d’information gouvernant les activités du SI en réponse aux besoins des métiers. L’axe « Processus informatiques » : qui décrit et organise les différents processus, activités et pratiques de la fonction SI dans un modèle en trente-quatre processus interconnectés. L’axe « Ressources informatiques » : qui regroupe les différentes ressources (applications, information, infrastructure et personnes) œuvrant dans le cadre du SI. Figure 10 : Le cube Cobit4.1 (inspiré du COSO) Le cadre de référence Cobit4.1 fonde son approche tout autour de l’information, qui se présente comme garant du bon fonctionnement des activités de l’entreprise et qui contribue à la réalisation de l’objectif ultime de l’entreprise : la « création de la valeur ». Pour cette raison que l’information ainsi que les processus lui sont associés et les différentes ressources déployées doivent avoir un niveau de performance, de qualité et de sécurité élevé afin d’aboutir à l’atteinte de cet enjeu.
  34. 34. 33 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Dans cette perspective Cobit définit sept critères (exigences) d’information, qui doivent être vérifiés : L’efficacité : c’est la mesure par laquelle l’information contribue aux résultats des processus métier par rapport aux objectifs fixés. L’efficience : c’est la mesure par laquelle l’information contribue aux résultats des processus métier au meilleur coût. La confidentialité : c’est la mesure par laquelle elle est protégée des accès non autorisés. L’intégrité : c’est la mesure par laquelle l’information correspond à la réalité de la situation. La disponibilité : c’est la mesure par laquelle l’information est disponible en temps voulu. La conformité : c’est la mesure par laquelle les processus sont en conformité avec les lois, les règlements et les contrats. La fiabilité : la mesure par laquelle l’information de pilotage est pertinente. Afin de garantir ces exigences d’information, contrôler les SI et contribuer à l’amélioration de leurs fonctionnements, Cobit 4.1 déploie trente-quatre processus informatiques interconnectés (déclinés en plus de deux-cent activités) afin de gérer et optimiser les différentes ressources des SI : personnes, informations, applications et infrastructure. Ces processus sont groupés en quatre domaines : Planifier et Organiser (PO) : ce domaine traite les problèmes du management global (stratégique) des SI. Acquérir et Implémenter (AI) : ce domaine traite les problèmes du management des projets informatiques (il rassemble tous les processus qui impactent les ressources dés l’acquisition jusqu’à l’implémentation d’un élément du SI). Délivrer et Supporter (DS) : ce domaine traite les problèmes du management des services offerts aux clients de la DSI, tels que : l’exploitation informatique la gestion de la sécurité la gestion des données et équipements l’assistance aux utilisateurs Surveiller et Evaluer (SE): ce domaine permet d’évaluer la conformité et la qualité des processus Cobit et cela en vérifiant : la surveillance de contrôle interne (efficacité / efficience) la gouvernance des SI la gestion de la performance le respect des normes réglementaires
  35. 35. 34 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Figure 11 : Le modèle processus de cadre de référence Cobit 4.1
  36. 36. 35 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » 2) Les principaux éléments de Cobit 4.1 Pour élaborer et maintenir sa démarche en matière d’audit, de management et de gouvernance des SI le cadre de référence Cobit 4.1 définit un grand nombre d’éléments et des concepts, dont les principaux sont : Les objectifs métiers : ces objectifs traduisent ce qu’exigent les directions métiers en matière des SI. Ils ont pour but de garantir que les SI vont contribuer à la performance de l’entreprise tout en orientant les objectifs informatiques dans ce sens. Les objectifs informatiques : ce sont les objectifs propres aux SI, définis et gérés par la DSI. Ces objectifs ont pour but de gérer l’ensemble des ressources constituant les SI, tout en s’alignant sur les objectifs métiers dans le cadre de la stratégie globale de l’entreprise. Ces objectifs se divisent en objectifs de processus et objectifs d’activités. Les objectifs de contrôle : ces objectifs sont reliés aux processus de Cobit4.1, ils présentent « les exigences minimales pour garantir un contrôle efficace de chaque processus ». Ils expriment le résultat ou le but à atteindre par la mise en œuvre d’un ensemble de pratiques de contrôle pour chacun des processus. Ces objectifs sont exigés par la direction, mis en place par la DSI et audités par les auditeurs et les professionnels d’assurance. Figure 12 : Le principe de cascade des objectifs de Cobit 4.1
  37. 37. 36 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Les métriques : pour chaque objectif informatique, processus ou activité, Cobit4.1 offre un ensemble de mesures afin d’évaluer le degré d’atteinte de ceux ci (KGI(15) ) et d’autres mesures pour évaluer leurs performances (KPI(16) ). Les tableaux RACI (17) : se sont des tableaux qui identifient pour chaque activité d’un processus le groupe d’intervenants en déterminant ceux qui sont responsables, ceux qui approuvent et ceux qui seront consultés et/ou informés. Cobit4.1 identifie au moyen de ces tableaux, dix-neuf rôles et responsabilités génériques pouvant se décliner en postes et emplois plus structurés. C’est un élément de management permettant de clarifier les responsabilités et les tâches, il est d’ordre indicatif et peut faire référence à des instances comme : comité stratégique informatique, comité de pilotage informatique …. Figure 13 : Le tableau RACI correspondant au processus PO10 Les entrées et sorties des processus (Input /Output) : la démarche Cobit4.1 est basée sur un ensemble de processus informatiques interconnectés, pour chacun de ces processus un ensemble de flux d’entrée et de sortie sont associés et définis. Ces éléments permettent d’établir les liens entre l’ensemble de ces processus dans le cadre d’une approche système. (15) KGI (« key Goal Indicator ») ce sont des mesures de résultat des processus qui informent le management a posteriori si un processus informatique a répondu aux exigences métier. (16) KPI (« Key Performance Indicator ») ce sont des mesures qui déterminent à quel point la performance d’un processus informatique lui donne la chance d’atteindre ses objectifs. (17) RACI : un tableau des rôles et responsabilités qui précise pour chaque activité d’un des processus Cobit le Responsable, celui qui Approuve, le Consulté et/ou l’Informé.
  38. 38. 37 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Les modèles de maturité : dans une logique d’amélioration continue des processus informatiques, Cobit4.1 présente une échelle de maturité graduée en six degrés, pour suivre leurs évolutions. Chaque processus informatique mis en place peut passer par plusieurs stades de maturité jusqu’à atteindre l’état optimal. Dans ce cycle, des évaluations de maturité périodiques (annuelles) permettent de localiser le niveau atteint d’un processus (par exemple le niveau trois « Processus défini »), et afin de le faire évoluer vers le niveau de maturité suivant (le niveau quatre « Géré et mesurables ») Cobit4.1 offre des modèles de maturité qui présentent à titre indicatif des directives à suivre par les managers. Figure 14 : L’échelle de maturité des processus selon Cobit4.1 3) Documentation et publications de Cobit 4.1 La documentation Cobit4.1 s’étale sur les différents besoins des SI en management, gouvernance, contrôle et audit. Les principaux documents et publications sont: Le cadre de référence Cobit4.1 : (« Cobit4.1 Framework ») ce document représente l’approche processus de Cobit4.1, ses éléments constitutifs et les différents concepts lui sont associés. Les objectifs de contrôles (« Cobit and Application Control ») : c’est l’ensemble des objectifs de contrôle Cobit et les contrôles d’application issus de COSO et à la charge de la DSI. Le guide d’implémentation (« Cobit Implementation Guide ») : un guide offrant une démarche bien élaborée pour implémenter les processus Cobit4.1 et les différentes activités informatiques qui en découlent. C’est un guide générique qui peut être adapté par chaque entreprise quelque soit sa taille ou son secteur d’activité selon ses besoins et ses objectifs stratégiques. Le guide de management : (« Cobit Management Guide ») regroupe l’ensemble des tableaux RACI, les flux d’entrée/sorties des processus et les modèles de maturité (sous formes de conseils et des directives), tous ces éléments sont à la destination des managers afin de mieux gérer les processus informatiques et faire évoluer leurs niveaux de maturité.
  39. 39. 38 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Les pratiques de contrôle (« Cobit Control practices : 2nd Edition ») : c’est un ensemble des pratiques de contrôles établies par des experts en réponses aux différents objectifs de contrôle Cobit. Ces pratiques sont à la destination des managers à fin de les aider à implémenter des objectifs de contrôle et forment des éléments sur lesquels les auditeurs informatiques peuvent se baser pour évaluer les objectifs de contrôle implémentés. Les bases de sécurité de l’information (« Cobit Security Baseline : 2nd Edition ») : c’est un ensemble de conseils de management destinés au conseil d’administration et à la direction générale pour les guider en matière de sécurité de l’information. Ces conseils sont basés sur les objectifs de contrôle Cobit. Le guide d’audit (« IT Assurance Guide: Using Cobit ») : ce guide offre aux auditeurs une démarche, des méthodes et des outils pour les aider dans la planification, la réalisation et la conclusion de leurs différentes missions d’audit tout en exploitant les éléments de Cobit. Figure 15 : La documentation Cobit 4.1(18) (18) Ce schéma présente les produits généralement applicables et leur public principal. Il existe également des produits dérivés pour des fonctions particulières, tels que : « Objectifs de contrôle des SI pour Sarbanes-Oxley, 2ème édition », « Gouvernance de la sécurité de l’information : Recommandations destinées aux conseils d’administration et aux directions générales » (dans des domaines sécurité) et « Cobit Quickstart pour les petites et moyennes entreprises »). (pour des entreprises spécifiques).
  40. 40. 39 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » III. L’approche Cobit 4.1 en matière d’audit des systèmes d’information 1) Les objectifs de contrôle : un élément axial dans l’approche Cobit 4.1 Dés son apparition le cadre de référence Cobit était conçu pour aider les auditeurs informatique à planifier et exécuter des missions d’audit, et même en évoluant vers d’autres perspectives managériale et stratégique (tel que la gouvernance) il a gardé son volet audit proprement dit au moyen d’un élément axial : « les objectifs de contrôle ». Les objectifs de contrôle permettent de définir « les exigences minimales pour garantir un contrôle efficace de chaque processus informatique », ils s’étalent en un grand nombre de pratiques de contrôle détaillés et plus spécifiques. Ces objectifs d’ordre opérationnel et les pratiques qui en découlent sont à la base des évaluations à exécuter par les auditeurs au niveau des missions d’audit afin de détecter les faiblesses de différents dispositifs de contrôle mis en place. En pratique les auditeurs peuvent se référer à ces objectifs et les pratiques associées afin de mettre au point des procédures d’audit détaillées sous forme de questionnaires ou des grilles d’évaluation. Dans sa version 4.1 Cobit déploie ces objectifs de contrôle sur l’ensemble des activités des SI dans un modèle processus comportant trente-quatre processus couvrant l’intégralité de la fonction SI. Cette caractéristique permet aux auditeurs de mener des missions d’audit transversales, telle que l’audit de la sécurité globale des SI et cela en évaluant tous les objectifs de contrôle en relation avec le thème de cette mission. Cobit4.1 permet aussi de délimiter le périmètre des missions d’audit et de restreindre le champ d’intervention des auditeurs à des fins plus spécifiques, et cela via un processus du cadrage de ces objectifs de contrôle qu’on va voir par la suite. Ces mêmes objectifs de contrôle permettent aux auditeurs d’affiner leurs investigations en leurs dirigeant via des tables de mappage vers les bonnes pratiques d’autres standards plus détaillées tel que : ITIL, CMMi, COSO, PMBOK, PRINCE2, TOGAF, Loi SOX, Act Bâle II, ISO 9001, ISO 17799, ISO 27002, ISO38500 … offrant ainsi aux auditeurs des énormes possibilités d’approfondir leurs missions d’audits et de les enrichir par des évaluations plus rigoureuses. Parmi les nombreuses publications de l’ISACA, le guide d’audit Cobit4.1 se présente comme indispensable aux auditeurs des SI, en leur proposant un ensemble de conseils d’audit sous forme de procédures d’évaluation détaillés. Ces conseils portent sur l’ensemble des processus Cobit4.1 et les objectifs de contrôle associés, et ils sont à la destination des auditeurs aussi bien qu’aux managers.
  41. 41. 40 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Ces procédures forment une base sur la quelle l’auditeur peut s’appuyer afin de préparer les questionnaires d’audits qui vont le guider dans son travail, elles se divisent en : Enoncés des valeurs : ce sont des indicateurs d’ordre managérial permettant aux professionnels de justifier au prés des leurs supérieurs le choix d’un tel objectif de contrôle ou autre, dans le cadre d’une implémentation des dispositifs de contrôle pour les SI. Ils indiquent les apports en valeur qu’un objectif de contrôle peut garantir à l’entreprise. Enoncés des risques : ces éléments mettent l’accent sur les principaux risques pouvant survenir en cas d’absence d’un tel objectif de contrôle ou autre. Une évaluation des différents risques de non mise en place de certains objectifs de contrôle Cobit, permet aux managers de classifier par ordre d’importance ces objectifs de contrôle afin de choisir ceux qui seront recommandés pour assurer le bon fonctionnement des SI. Procédures d’évaluation des objectifs de contrôle : ce sont des conseils permettant aux auditeurs de formuler des questionnaires pour évaluer le niveau de respect du l’objectif de contrôle en question. Ils leurs proposent aussi à titre indicatif quelques directives et méthodes afin de mieux exécuter leurs missions et enquêtes. Procédures d’évaluation du résultat des objectifs de contrôle : ces procédures permettent de vérifier l’ensemble d’objectifs de contrôle d’un processus bien déterminé afin d’évaluer le niveau de contribution de celui-ci dans la création de valeur. C’est de l’instar des auditeurs de faire ces évaluations et de présenter leurs conclusions aux dirigeants. Procédures d’évaluation de l’impact des faiblesses de contrôle : ces procédures permettent aux auditeurs de fournir aux dirigeants leurs opinions concernant les répercutions des faiblesses détectées de l’ensemble des objectifs de contrôle propres à un processus Cobit bien déterminé. Sur la lumière de ces remarques et opinions les responsables vont prendre les mesures convenables afin d’améliorer les contrôles mis en place. Figure 16 : Les différents types de procédures d’évaluation selon le guide d’audit Cobit4.1
  42. 42. 41 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Des relations bien déterminées règnent entre les éléments de Cobit4.1 (les processus, les objectifs de contrôle et les pratiques de contrôle) et les procédures d’évaluation édictées dans le guide d’audit. Le schéma suivant décrit ces liens tout en mettant le point sur la hiérarchie réglant ces relations. Figure 17 : Les différentes relations entre les procédures d’évaluation et les composants de Cobit4.1 Les contrôles applicatifs et les contrôles génériques : En plus des différentes évaluations traitant l’ensemble des processus Cobit4.1 et les objectifs de contrôle correspondants, les experts en Cobit proposent aux auditeurs d’autres procédures pour évaluer les contrôles applicatifs (CA). Ces contrôles ont été initiés dans le référentiel de contrôle interne COSO afin de répondre aux exigences imposées par certaines règlementations comme la loi SOX en matière de la sécurité des données et des transactions financières (à savoir l’exhaustivité, l’exactitude, la validité, l’autorisation et la séparation des tâches). Ils ont été repris par le cadre de référence Cobit4.1 qui les a greffé à sa démarche processus en les groupant dans un ensemble sous le nom de « Contrôles applicatifs ». Ces contrôles se divisent en six groupes : CA1 : Autorisation et préparation des données sources. CA2 : Collecte et saisie des données sources. CA3 : Vérification d’exactitude, d’exhaustivité et d’authenticité. CA4 : Intégrité et validité des traitements. CA5 : Vérifications des sorties, rapprochements, traitements et erreurs. CA6 : Authentification et intégrité des traitements.
  43. 43. 42 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » D’autres contrôles font aussi objet des évaluations spécifiques, se sont les contrôles génériques ou contrôles des processus (CP). Ces contrôles sont d’une nature managériale, permettant de s’assurer de la bonne implémentation et de la meilleure gestion des processus, ils s’appliquent à tous les processus Cobit et sont au nombre de six : PC1 : Buts et objectifs de processus. PC2 : Propriété de processus. PC3 : Reproductibilité de processus. PC4 : Rôles et responsabilités. PC5 : Politiques, plans et procédures. PC6 : Amélioration des performances de processus. À remarquer que l'ensemble composé des pratiques de contrôle génériques (associées aux processus) et les différentes pratiques de contrôle spécifiques (associées aux objectifs de contrôle) constitue une méthode cohérente, nécessaire et suffisante pour atteindre les objectifs de contrôle implémentés. 2) La conduite d’une mission d’audit selon l’approche Cobit 4.1 « L’IAASB Assurance Framework » (19) identifie cinq éléments composant une mission d’audit : La relation tripartie : qui définie les liens entre les responsables de domaine traité, les auditeurs et les destinataires de rapport d’audit. Cette relation est matérialisée en une charte d’audit ou lettre de mission. Le domaine d’audit ou le périmètre d’une mission d’audit. Les critères pertinents d’évaluation : normes, cadres de référence et/ou réglementations. Le processus d’audit établi par les auditeurs, on parle du programme d’audit ou plan d’action. La conclusion de la mission d’audit : qui prendra forme en un rapport d’audit comportant l’opinion des auditeurs et leurs recommandations concernant l’élément audité. Cobit4.1 lui définit sa propre démarche d’audit (qui s’aligne avec celle de l’IAASB – voir Annexe1) tout en offrant aux auditeurs des SI au moyen de son guide d’audit un grand nombre de méthodes, d’outils et de conseils afin de les aider à établir un programme d’audit et bien exécuter leurs missions. Ce programme d’audit ou plan d’action se divise en trois phases : planification, cadrage et exécution. (19) Ce cadre établi par l’IAASB décrit les objectifs d'une mission d’audit, et identifie les engagements par rapport aux normes internationales d'audit (ISA : « International Standard on Auditing »).Parmi l’ensemble des normes ISA, la norme ISA 3000 établit les principes de base et les procédures essentielles pour mener à bien une mission d’audit ou un examen d'informations financières.
  44. 44. 43 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » a) La phase de planification Cette phase débouche sur l’établissement d’un plan d’audit annuel, en cas d’audit interne, permettant d’encadrer les différentes activités d’audit sur une période bien déterminée et délimiter les rôles, responsabilités et périmètres. En cas d’audit externe, des plans d’audit seront établis pour chaque mission. Selon l’approche de cadre de référence Cobit4.1, la planification d’une mission d’audit consiste à : 1. Définir le périmètre d’une mission d’audit. La méthode d’évaluation des risques se présente dans cette étape comme une méthode pertinente pour délimiter le périmètre d’une mission. 2. Sélectionner un cadre de référence de contrôle. 3. Procéder à la planification des missions d’audit. 4. Procéder à des évaluations de haut niveau, des telles évaluations favorisent des missions d’audit basées sur les risques. Plusieurs éléments de Cobit peuvent être utilisés lors de ces évaluations afin d’identifier les processus à auditer, par exemple : les énoncés de valeur et des risques, les attributs de maturité des processus, les objectifs de contrôle… 5. Définir le cadre et les objectifs généraux de l’audit. La méthode d’évaluation des risques : Cette méthode est axée sur les risques (voir Figure 18), on distingue trois types de risque : les risques inhérents (risques propres à l’élément à auditer), les risques liés au contrôle (faiblesses de contrôle) et les risques de non détection, ces derniers doivent être évalués lors de cette phase de planification afin d’élaborer des méthodes assurant l’atteinte des objectifs de la mission d’audit. L’auditeur est amené alors à examiner les risques de l’élément à auditer ainsi que la qualité de processus de gestion des risques. Il aura à réaliser les tâches suivantes : Identification du risque : c’est la recherche des risques et l’identification de leurs causes et conséquences afin de valider ou construire un portefeuille de risques. Évaluation du risque : consiste à estimer la criticité (20) du risque, son importance en termes de probabilité d’apparition et d’impact (financiers, délais, qualité, …). L’auditeur doit calculer la criticité relative ou absolue de chaque risque. Recherche des moyens de réduction : qui consiste à rechercher des solutions de prévention, de contournements, de transfert et de surveillance. Et à la fin de cette tâche l’auditeur examinera ou émettra ses recommandations. (20) La criticité d’un risque (C) est déterminée par deux facteurs : la gravité qui correspond à l’impact du risque(G) et la probabilité d’occurrence d’un risque(P). C’est le croisement de ces deux estimations : C = G*P.
  45. 45. 44 Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Figure 18 : Les éléments relatifs à la notion de risque b) La phase de cadrage Cette phase consiste à identifier les principaux objectifs de contrôle à auditer via un processus de cadrage permettant de délimiter le périmètre d’une mission d’audit, le résultat sera un champ d’action bien déterminé et des objectifs plus détaillés. Figure 19 : Processus de cadrage d'une mission d'audit selon l'approche Cobit4.1 La cascade des objectifs de Cobit4.1 (Figure 12) et qui permet le passage d’un niveau d’objectif à un autre au moyen des tables de mappage (voir Annexe1) jusqu’à l’identification des processus informatiques, peut former un premier niveau de cadrage ou un cadrage de haut niveau (étapes 1,2,3 et 4 de processus de cadrage selon la Figure 20). Aussi d’autres éléments de Cobit4.1 tels que : les critères d’information, les énonces des risques et des valeurs des objectifs, les attributs des modèles de maturité … peuvent constituer des inducteurs pour ce niveau de cadrage.

×