beamer asi 4

LES NORMES PROFESSIONNELLES DÉMARCHE D’AUDIT DES SI

AUDIT DES SYSTÈMES D’INFORMATION ET

NORMES PROFESSIONNELLES D’EXERCICE

Dr. Saad BOUROUIS

16 janvier 2014

AUDIT DES SYSTÈMES D’INFORMATION ET NORMES PROFESSIONNELLES D’EXERCICE


LES NORMES PROFESSIONNELLES

DÉMARCHE D’AUDIT DES SILa phase de préparation

La prise de connaissance :Description du système d’information

Phase du TerrainLa phase de restitution



LA NORME ISA 315 - CONNAISSANCE DE L’ENTITÉ ET

DE SON ENVIRONNEMENT ET ÉVALUATION DU RISQUE

D’ANOMALIES SIGNIFICATIVES

1. L’objet de la présente Norme Internationale d’Audit(International Standard on Auditing, ISA) est de définir desprocédures et des principes fondamentaux et de préciser leursmodalités d’application concernant la prise de connaissance del’entité et de son environnement par l’auditeur, y compris deson contrôle interne, et l’évaluation du risque que les étatsfinanciers, objet de l’audit, contiennent des anomaliessignificatives. L’importance de l’évaluation des risques parl’auditeur dans la conception et la mise en oeuvre deprocédures d’audit complémentaires est abordée plusamplement dans la présentation du risque d’audit dans laNorme ISA 200 « Objectif et principes généraux en matièred’audit d’états financiers ».



17. L’auditeur exerce son jugement professionnel pourdéterminer quels sont les membres de l’équipe affectée à lamission participant à cette discussion, comment et quand elle alieu, et les thèmes abordés. Les membres-clés de l’équipeaffectée à la mission participent habituellement à cette réunion ;il n’est cependant pas nécessaire que tous les membres del’équipe affectée à la mission aient une connaissance complètede tous les aspects de l’audit. Les thèmes abordés dépendentde leur rôle, de leur expérience, et de leur besoin d’information.Si l’audit se déroule dans plusieurs sites, il peut y avoir, parexemple, plusieurs réunions qui impliquent les membres-clésde l’équipe dans chaque site significatif. Il convient égalementde déterminer, lors de la planification de ces réunions, s’ilconvient d’y associer les experts assignés à l’équipe affectée àla mission. Par exemple, l’auditeur peut considérer qu’il estnécessaire pour l’équipe affectée à la mission d’avoir un experten technologie de l’information(2), ou d’autres compétences,et, par conséquent, de faire participer cette personne à ladiscussion.



ISA 330 : RÉPONSES DE L’AUDITEUR À L’ÉVALUATION

DES RISQUES

L’objet de la présente Norme Internationale d’Audit(International Standard on Auditing,ISA) est de définir desprocédures et des principes fondamentaux et de préciser leursmodalités d’application relatifs à la définition de réponsesglobales et de procédures d’audit complémentaires à mettre enoeuvre en fonction de l’évaluation du risque d’anomaliessignificatives au niveau des états financiers et des assertionsdans le cadre de l’audit des états financiers. La prise deconnaissance de l’entité et de son environnement, y comprisde son contrôle interne, et l’évaluation du risque d’anomaliessignificatives, sont décrites dans la Norme ISA 315 «Connaissance de l’entité et de son environnement et évaluationdu risque d’anomalies significatives ».



LA PHASE DE PRÉPARATION

I La phase d ’étude permet à l ’auditeur de dresser leplan le plan d ’audit d ’audit de la mission (ouprogramme de travail). Pour ce faire il va devoir :

I Identifier les principaux objectifs de l ’entité et recenser lesrisques généraux associés (risque comptable, patrimonial,. . . )

I Découper le process en procédures élémentaires, ou «objets auditables ».

I Analyser l ’environnement de contrôle interne, et le caséchéant l ’environnement informatique.

I Évaluer pour chaque étape du process le niveau desrisques inhérents à l ’activité, et apprécier pour ceux quiprésentent un niveau significatif leur degré de maîtrise enévaluant le niveau des risques liés au contrôle (c ’est à direle risque que le contrôle mis en œuvre pour maîtriser unrisque inhérent à une procédure ne soit pas suffisant,adapté . . . )




I Les documents préparatoires :I Lettre de mission : Lettre de mission : Mandat donné aux

auditeurs par le Manager pour auditer.I Lettre d’information : Lettre d’information : Lettre

d’annonce, information remise à l’audité par l’auditeur(envoi préalable ou lors de la réunion d’ouverture)

I Plan de mission Plan de mission ou cahier des charges outermes de référence




GUIDE DU CONTRÔLE INTERNE

I Il s ’agit de la première étape de la phase de prise deconnaissance

I Étape théoriquement facilitée par la mise à disposition deguides de contrôle interne :

I les objectifs et les buts de l’activitéI les indicateurs de performance et les valeurs cibles

adossésI les règles, plans, procédures, lois, réglementations,

contrats et conventions qui peuvent avoir un impactsignificatif sur les opérations, et les rapports.

I d’éventuelles problématiques importantesI la littérature technique (normes, bonnes pratiques,

directives techniques. . . ) faisant autorité pour l’activitéconcernée




DOMAINES CONCERNÉS

I La stratégie informatique,I implication de la direction,I des métiers,I alignement SI et enjeux business (satisfaction des besoins)

I La fonction informatique de l’entreprise,I Organisation ( par métiers , documentation )I Séparation des tâches ( étude exploitation)I Externalisation Dépendance vis à vis des prestataires

I L’importance de l’informatique dans l’entreprise.I Nombre d’applications et de fonctions informatiséesI Niveau d’automatisationI Caractéristique du SI ( volumétrie-transaction internet –

EDI )




RAPPORTS D’ACTIVITÉ ET BASE DE DONNÉES

I L’étude des chiffres significatifs :I Recenser les données propres à la procédure et connaître

leur évolution, à la fois au sein de l ’entité auditée maisaussi par comparaison à d ’autres entités

I Se faire expliquer, par écrit, les évolutions significative (changement de la réglementation, réorganisation duservice, . . . )




DESCRIPTION DU PLAN DE LA MISSION

I Détermination des risques généraux :I Identification des différentes étapes du process :




IDENTIFICATION DES ACTEURS

I Quels sont les acteurs qui interviennent dans laprocédure ? Internes et externes Internes et externes : lesrecenser tous

I A quel titre interviennent - ils ?I Quelles sont leurs fonctions ?I Quels outils utilisent t-ils ?I Quels comptes ?I De quelles informations disposent t-ils ?I Quels sont leurs niveaux d ’habilitation ?




MATÉRIALISATION DES FLUX ET CARTOGRAPHIE DES

RISQUES

I Schéma de circulation de l’informationI Formaliser la cartographie des applications,

I recenser les applications et leurs fonctions principalesI recenser les interfaces et la nature du flux (achat vente

stock)I Apprécier le degré de complexité du système

d’information,I ERP vs Best of BreedI Nombre d’interfaces

I Identifier les processus à analyser, utiles aux objectifs del’audit.



PHASE DU TERRAIN

ÉVALUER LE DISPOSITIF DU CI

I L’évaluation des dispositifs transversaux : le contrôleinterne, et l’informatique :

I Utilisation d’un questionnaire dans le cadre d’un entretienI OrganisationI IntégrationI UniversalitéI PermanenceI L’information et/ou documentationI Circulation de l’information

I Approche spécifique de l’environnement informatique



PHASE DU TERRAIN

I L’élément informatiqueI Sécurités physiques :

I Protection des locaux ( accès sécurisé, salle fermée . . . )I Protection des matériels ( incendie, humidité, . . . )I Modalité de stockages des supports d ’information ( disques,

disquettes, stockage externe . . . )I Sécurités logiques

I Habilitations / délégationsI Procédures de sauvegardes ( modalités, fréquence, suivi

formalisé . . . .)I Procédures de restauration des données ( simulations

d’incidents,I Contrôles spécifiques

I Traçabilité des opérations de modification des données(liste, journal des modifications . . . )



PHASE DU TERRAIN

ÉVALUER LES RISQUES

I L’auditeur doit évaluer le niveau du risque en mesurant saprobabilité et son impact

I Pour chaque étape de la procédure, les risques inhérentslistés sont qualifiés :

I BasI MoyenI Élevé

I Ce travail d’évaluation est réalisé en fonction des élémentsrecueillis lors de la prise de connaissance ( Étape 1 ), maisaussi lors de l’évaluation du dispositif de contrôle interne (Étape 2 )

I L’évaluation des risques doit être commentée par l’auditeurqui doit formaliser les choix réalisés.



PHASE DU TERRAIN

I Pour chaque objet auditable de la procédure, les risquesinhérents listés sont qualifiés

I La cartographie pré remplie à la fin de la phase 1, estcomplétée. La cotation se fait en évaluant le poids ( ImpactX Probabilité ) de chacun des risques généraux selonl’évaluation suivante :

I 0 FaibleI 1 Moyen

I Pour les risques élevés, l ’auditeur indique les contrôles quidoivent être réalisés, pour permettre leur maîtrise. L’auditeur indique « ce qui doit être fait », pour ensuitecomparer avec « ce qui est fait » !



PHASE DU TERRAIN

I Recenser les contrôles :I Après avoir évalué le niveau des risques inhérents,

l’auditeur recense les contrôles réalisés pour déterminer leniveau des risques de contrôle. Le niveau du risque decontrôle est élevé si le contrôle mis en œuvre pour maîtriserle risque inhérent élevé apparaît comme insuffisant.

I L’auditeur, à partir de la cartographie sert le tableau dedescription du process .

I Les papiers du travail dans cette phase :I documentation des faits recueillis par l’auditeur et

constitutifs de la preuve d’audit qui va permettre à l’auditeurde formuler une recommandation matérialisée dans uneFiche de révélation et d’analyse des problèmes FRAP.

I Éléments mis à la disposition des membres de l’équiped’audit et du superviseur.



PHASE DU TERRAIN

LES OUTILS DE L’AUDIT

ASI.png



LA PHASE DE RESTITUTION

FICHES DE RÉVÉLATION ET D’ANALYSE DES

PROBLÈMES ( FRAP À RÉDIGER )

I La FRAP sert à mettre en avant les insuffisances dudispositif de contrôle et à formaliser les recommandationsqui figureront dans le rapport d ’audit.

I La FRAP est soumise à l’approbation de l’entité auditéeI La FRAP est un document de travail qui pourra, in fine,

être utilisé comme support technique à la mise en œuvredu plan d ’action par l ’entité auditée




LE RAPPORT D’AUDIT

I Une synthèse : Points Forts / Points Faible et principalesrecommandations

I Un Rapport, qui par objectif de la procédure est articulé dela façon suivante :

I constats : points forts / points faiblesI analyse des risquesI recommandations

I Des annexes constituées des FRAP.




LA PROPOSITION DE PLAN D’ACTION

I C ’est un tableau simple réalisé par l’auditeur et qui permetà l’audité d’indiquer pour chaque recommandation qui feraquoi et quand.

I L’auditeur présente les recommandations hiérarchiséesI Par domaineI Dans le temps (court terme = urgent, moyen terme, long

terme)I En fonction de leur coût

I L’audité rempli le plan d’actionsI Personne responsable de la mise en œuvreI Date limite de réalisationI Indicateur




CONSEILS POUR LA RÉDACTION D’UN RAPPORT D’AUDIT

I La rédaction du rapport d’audit est une opération toujoursdifficile

I Il faut d’abord définir à qui il est destiné et comment il seradiffusé (en général, il y a plusieurs niveaux de lecteurs)

I L’auditeur doit commencer à rédiger le rapport assezrapidement car la rédaction prend toujours du temps

I Il faut se baser sur des faits indiscutablesI On doit faire apparaître les points positifsI Faire des exposés clairs et courts avec un style directI Porter des appréciations claires et non ambiguësI Faire référence à des référentiels indiscutablesI Ne pas oublier les recommandations : C’est ce qu’attend le

managementAUDIT DES SYSTÈMES D’INFORMATION ET NORMES PROFESSIONNELLES D’EXERCICE



LE SUIVI DU PLAN D’ACTIONS PROPOSÉS

I Soit par l’auditeurI Soit par une structure indépendanteI Soit par une structure relevant de l’entité auditée




LA RÉUNION DE CLÔTURE

I Présenter les résultats de l’auditI Présenter les recommandations et les actions à mettre en

œuvreI Obtenir l’adhésion.


beamer asi 4

Documents