Sie sind auf Seite 1von 8

L’utilisation de CobiT par les cabinets d’audit et d’expertise comptable

« Avez-vous un plan ? » Maréchal Montgomery

José Bouaniche, CIA, CISA, est auditeur interne au sein du Groupe Caisse des Dépôts. Il a été auparavant consultant interne en qualité des logiciels et en gestion de projet, et responsable sécurité informatique. Il était antérieurement informaticien. Membre de l’IFACI et de l’AFAI, il a participé au groupe AFAI de traduction de CobiT version 3.

Cet article continue l’exploration de CobiT (voir articles précédents), en s’intéressant à son utilisation par les cabinets d’audit externes et en prenant pour exemple les travaux de l’AICPA (American Institute of Certified Public Accountant).

Les nouvelles offres de prestation des cabinets d’audit externe.

Au début des années 90, l’AICPA a constaté que l’audit comptable et financier réalisé par ses affiliés

ne répondait plus à l’attente du marché. En effet, certains cabinets réalisaient des bénéfices importants

grâce à l’offre de nouvelles prestations. Eloignées du cadre purement comptable, ces prestations traitaient de la performance de l’entreprise, de sa capacité à innover ou du respect de l’environnement par exemple.

A

compter de 1992, l’AICPA a mis en place des comités chargés de suivre les pratiques des cabinets

et

de proposer, aux adhérents et à la profession, les prestations 1 qui semblaient les plus porteuses en

terme de marché et les plus proches du métier d’expert-comptable.

Certaines de ces prestations sont déjà assurées par les services d’audit interne, que l’AICPA identifie clairement comme des concurrents directs. Une des prestations porteuses identifiées par l’AICPA est d’ailleurs l’externalisation des services d’audit interne.

Rien n’empêche cependant les services d’audit interne de s’inspirer en retour de ces travaux, qui sont

en effet particulièrement intéressants :

ils sont orientés client

ils répondent à de véritables besoins des directions des entreprises, mais aussi des autres parties prenantes : actionnaires, clients, employés, usagers ou citoyens.

Ils sont structurés en offres de service.

L’AICPA a identifié 6 catégories de prestations d’un potentiel de revenus annuels total compris entre 500 M$ et 5 Md$ :

L’évaluation du risque (« risk assessment ») : cette catégorie de prestations doit permettre de garantir, aux directions et/ou aux investisseurs, que le profil de risques établi est complet et que l’entreprise a mis en place les dispositifs appropriés pour gérer ces risques.

La mesure de la performance de l’entreprise (« business performance measurement ») : cette catégorie de prestations a pour but de déterminer si le système de mesures de performance d’une entité dispose des mesures adéquates et fiables pour évaluer le niveau d’atteinte des buts et

1 Pour en savoir plus, voir AICPA, "New Assurance Services", www.aicpa.org

objectifs de l’entreprise, et de quelle manière cette performance est comparée à celle de ses compétiteurs.

La fiabilité des systèmes d’information (« information system reliability ») : cette catégorie de prestations doit permettre d’évaluer si les systèmes d’information (financiers et non financiers) d’une entreprise fournissent de manière fiable les informations nécessaires à la prise de décision opérationnelle et financière.

Le commerce électronique (« electronic commerce ») : L’objectif de cette catégorie de prestations est d’évaluer si les systèmes et outils mis en œuvre pour le commerce électronique fournissent au niveau approprié la fiabilité, la confidentialité, la protection de la vie privée (« privacy ») et l’intégrité des données.

La mesure de la performance du système de santé (« health care performance measurement ») :

cette catégorie de prestations fournit la garantie que les prestations de santé délivrées par les hopitaux, cliniques, médecins, etc. sont efficientes.

Le système de prise en charge des personnes âgées : la prestation ElderCare ® évalue si les buts assignés aux soins aux personnes âgées sont atteints.

L’AICPA a réalisé pour chacune de ces 6 grandes catégories de prestations des business plans détaillés. Ils fournissent entre autres une évaluation du potentiel du marché et décrivent les différentes étapes à suivre pour que les experts comptables soient en mesure d’offrir ces services.

De plus, l’AICPA décrit, sans les détailler, sept autres catégories de prestations au potentiel intéressant, comme par exemple ;

la conformité à la politique de l’entreprise ;

l’audit interne externalisé ;

les fusions et acquisitions ;

la certification ISO 9000.

Enfin les enquêtes récurrentes auprès des cabinets d’audit comptable permettent d’identifier plus de 200 autres prestations, que nous n’évoquerons pas ici.

Construire des prestations d’audit et d’évaluation avec CobiT.

L’AICPA a aussi mis en place des comités qui suivent les évolutions et identifient les possibilités liées aux technologies de l’information et de la communication. Dans ce cadre, des études ont été menées sur la mise en place pratique des nouvelles prestations liées aux technologies de l’information, notamment par l’utilisation raisonnée de CobiT. Une de leurs conclusions a été de souligner que, pour réussir la mise en œuvre de ces nouvelles prestations, les cabinets d’audit ont besoin de la participation d’auditeurs informatiques.

Un article introductif nous servira de fil conducteur pour tenter de montrer la démarche suivie par l’AICPA pour utiliser CobiT. « New assurance service opportunities for information systems auditors » 2 a pour objet d’attirer l’attention des auditeurs informatiques sur ces nouvelles prestations, et de montrer la cohérence de la démarche en l’appliquant sur la prestation d’appréciation d’évaluation du risque liée aux technologies de l’information.

Les auteurs rappellent d’abord que, parmi les nouvelles prestations étudiées par l’AICPA, quatre sont particulièrement dédiées aux systèmes d'information :

2 J. E. Hunton, C. Frownfelter-Lohrke, and G. L Holstrum, "New Assurance Service Opportunities for Information Systems Auditors", IS Audit & Control Journal, Vol IV, 1999

2 / 8

Appréciation des capacités à maîtriser l’évaluation du risque (risk assessement assurance)

Détermination de la qualité des services liés au commerce électronique 3 (Electronic commerce assurance)

Evaluation de la fiabilité des systèmes d'information (Systems reliability assurance)

Certificat WebTrust 4 : prestation relative au commerce électronique B to C (business to consumer) qui garantit que les sites web de commerce électronique sont conformes à des normes sur :

La protection des informations du consommateur ;

L’intégrité de la transaction ;

Les pratiques commerciales saines.

Ces prestations ne sont pas indépendantes, car chacune peut jouer un rôle dans l’appréciation de l’autre. Ainsi les risques et contrôles liés au commerce électronique s’intègrent au contexte plus général de maîtrise des risques de l’entreprise. De même, la prestation de certification WebTrust s'intéresse à la qualité des services liés au commerce électronique ainsi qu'à la fiabilité des systèmes d'information (voir figure 1).

Évaluation du risque : * risques d ’environnement opérationnel * risques liés à l ’information
Évaluation du risque :
* risques d ’environnement opérationnel
* risques liés à l ’information
Commerce
Assurance
électronique
de fiabilité
des systèmes
webtrust
d ’information

Risques

stratégiques

Risques

stratégiques

Figure 1

3 Concernant l’utilisation de CobiT pour les prestations AICPA liées au commerce électronique, on consultera S. Ayers, C. Frownfelter- Lohrke and J. E. Hunton, " Opportunities in Electronic Commerce Assurance for Information Systems Auditors ", IS Audit & Control Journal, Vol VI, 1999

4 Pour en savoir plus, voir WebTrust France – CNCC / OEC - « Principes et critères WebTrust pour le commerce électronique entre entreprises et consommateurs » consultable sur les sites ICCA (http://www.icca.ca), AICPA (http://www.aicap.org) et http://www.WebTrust .fr

3 / 8

Utiliser CobiT pour qualifier les dispositifs d’évaluation du risque.

L’AICPA définit le risque d’entreprise comme la menace qu’un événement ou une action affecte négativement une capacité/aptitude de l’organisation à atteindre ses objectifs (business objectives) et réaliser ses stratégies.

Dans le cadre de la prestation d’appréciation de l’évaluation du risque liée aux technologies de l’information, les auteurs soulignent que deux dispositifs sont au préalable à étudier. Les auditeurs doivent en effet systématiquement s’assurer que :

1-

l’entreprise utilise un cadre de référence pour l’analyse de ses risques. Les auteurs soulignent que celui illustré par CobiT (voir figure 2) peut servir de guide aux auditeurs ;

2-

le processus de communication des directives et orientations de la direction est globalement maîtrisé. Cette problématique est prise en compte par CobiT dans le 6 ème objectif de contrôle général du domaine Planification & Organisation (PO6). Les objectifs de contrôle détaillés permettent aux auditeurs de concevoir un plan d’audit afin d’évaluer si les politiques et directives de la direction sont correctement communiquées dans l’entreprise (voir tableau 1).

Cadre d'analyse des risques illustré par CobiT

valorisation

évaluation

contres

des biens

des menaces

mesures

contres des biens des menaces mesures plan d'actions évaluation des vulnérabilités

plan

d'actions

des biens des menaces mesures plan d'actions évaluation des vulnérabilités évaluation évaluation

évaluation des

vulnérabilités

mesures plan d'actions évaluation des vulnérabilités évaluation évaluation des risques du contrôle
mesures plan d'actions évaluation des vulnérabilités évaluation évaluation des risques du contrôle

évaluation

évaluation évaluation

évaluation

des risques

du contrôle

évaluation évaluation des risques du contrôle risque résiduel Le modèle débute par une valorisation des

risque

résiduel

évaluation des risques du contrôle risque résiduel Le modèle débute par une valorisation des biens. Dans
évaluation des risques du contrôle risque résiduel Le modèle débute par une valorisation des biens. Dans

Le modèle débute par une valorisation des biens. Dans CobiT, ces biens sont les informations - et naturellement l'ensemble des ressources associées - dont les critères d'efficacité, de disponibilité ou d'intégrité, etc. sont essentiels pour atteindre les objectifs de l'entreprise. L'étape suivante est l'analyse de vulnérabilité des processus, qui permet d'identifier les faiblesses par les critères d'information ; un processus peut par exemple être vulnérable à la perte d'intégrité. L'analyse des menaces, étape suivante, doit permettre de lister l'ensemble des menaces et de voir quelles vulnérabilités elles pourraient exploiter. L'analyse des risques va combiner la probabilité de la menace, le degré de vulnérabilité et le niveau de sévérité de l'impact. Il faut alors réaliser l'analyse du contrôle en exhibant une série de contre mesures et en évaluant leur efficacité face aux risques. Un plan d'actions est alors mis en œuvre et le cycle peut recommencer.

Figure 2

4 / 8

Communication des objectifs et des orientation de la direction (PO6) :

Objectifs de contrôle détaillés :

1. Environnement positif du contrôle de l ’information

2. Responsabilité du management vis-à-vis des politiques

3. Communication des politiques de l ’organisation

4. Ressources utilisées pour la mise en œuvre de la politique

5. Maintenance des politiques

6. Conformité aux politiques, aux procédures et aux standards

7. Engagement vis-à-vis de la qualité

8. Cadre en matière de sécurité et de contrôle interne

9. Droits relatifs à la propriété intellectuelle

10. Politiques spécifiques 11. Sensibilisation à la sécurité informatique

Pour le plan d’audit associé, voir le volume « Guide d ’audit » page 51, de CobiT Gouvernance, Contrôle et Audit de l ’Information et des Technologies Associées, 2ème édition, AFAI / ISACF

Tableau 1

Selon l’AICPA, le risque d’entreprise appartient à trois catégories (voir figure 1), qui peuvent, elles aussi, être appréciées au travers d’un plan d’audit élaboré avec CobiT :

1- Risques liés à l’environnement stratégique, constitués de menaces exogènes significatives comme des changements dans le goût des consommateurs, l’apparition de produits de substitution, des changements dans l'environnement politique, juridique ou de la capacité capitalistique.

2-

Risques liés à l’environnement opérationnel : Ce sont des menaces générées par des processus inefficaces ou inefficients pour l’acquisition, la transformation ou la mise sur le marché de biens et de services, générant la perte de biens ou d’actifs physiques, financiers, informationnels, intellectuels, …, ou encore la perte de marchés, d’opportunités ou de réputation.

3-

Risques liés à l’information : Menaces générées par l’utilisation d’informations de mauvaise qualité, nuisant à la prise de décision opérationnelle, financière ou stratégique

Apprécier la maîtrise des risques liés à l’environnement stratégique

Pour l’appréciation de l’évaluation des risques liés à l’environnement stratégique, les auteurs proposent (voir tableau 2) de s’intéresser :

A l’intégralité du processus de définition du plan informatique, tel que défini par CobiT (PO1) ;

Au positionnement stratégique de l’informatique et de son pilotage (objectifs 1, 2 et 3 de PO4) ;

A la qualité de la veille technologique et réglementaire (PO8) ;

A la prise en compte de cette veille pour déterminer l’orientation technologique (objectif n°2 de PO3).

5 / 8

Evaluation des risques liés à l’environnement stratégique :

objectifs de contrôle de haut niveau et détaillés applicables

Définir un plan informatique stratégique (PO1) :

1. Intégration de l ’informatique au plan à long et à court terme de l ’organisation

2. Le plan informatique à long terme

3. Approche et structure de la planification informatique à long terme

4. Les modifications du plan informatique à long terme

5. Planification à court terme de la fonction informatique

6. Evaluation des systèmes existants

Déterminer l ’orientation technologique (PO3) :

2. Surveillance des tendances et de la réglementation

Définir l ’organisation et les relations de travail de la fonction informatique (PO4) :

1. Le comité de planification ou de pilotage de la fonction informatique

2. Position de la fonction informatique au sein de l ’organisation

3. Révision des réalisations de l ’organisation

S ’assurer de la conformité aux exigences externes (PO8) :

1. Revue des impératifs externes

2. Les pratiques et procédures pour se conformer aux exigences externes

3. Conformité en matière de sécurité et d ’ergonomie

4. Vie privée, propriété intellectuelle et transfert de données

5. Commerce électronique

6. Conformité des contrats d ’assurance

Pour plus d ’informations sur les objectifs de contrôle et le plan d’audit associé, voir CobiT Gouvernance, Contrôle et Audit de l ’Information et des Technologies Associées, 2ème édition, AFAI / ISACF. Seuls les objectifs de contrôle les plus applicables sont évoquésici.

Tableau 2

Apprécier la maîtrise des risques liés à l’environnement opérationnel

Selon les auteurs, nous sommes ici dans le fond de commerce de l’auditeur informatique qui :

1-

apprécie la part prise par les technologies de l’information dans l’efficacité et l’efficience des processus de l’entreprise ;

2-

détermine les risques et évalue les contrôles associés.

Ainsi, l’auditeur informatique s’intéressera (voir tableau 3) :

d’abord à l’évaluation de la sécurité physique et logique, en utilisant les objectifs de contrôle PO4 (« définir l’organisation et les relations de travail de la fonction informatique »), DS5 (« garantir de la sécurité des systèmes ») et DS12 (« gérer les installations ») notamment ;

l’appréciation de la bonne utilisation des ressources humaines pour réaliser au

Ensuite à

mieux les activités informatiques, avec l’objectif PO7 (« gérer les ressources humaines ») ;

Enfin à l’estimation des dispositifs liés à l’évaluation des risques de l’entreprise (PO9) et particulièrement au risque d’interruption de service.

6 / 8

Evaluation des risques liés à l ’environnement opérationnel :

objectifs de contrôle généraux et détaillés applicables

Définir l ’organisation et les relations de travail de la fonction informatique (PO4) :

6. Responsabilité de la sécurité physique et logique

7. Statuts de propriétaire et de gardien

8. Propriété des données et du système

9. Supervision

10. Séparation des tâches

Gérer les ressources humaines (PO7) :

1. Recrutement et promotion du personnel

2. Qualification du personnel

3. Formation

4. Organisation des remplacements ou formations croisées

Evaluer les risques (PO9) :

1. Evaluation du risque d ’entreprise

Pour plus d ’informations sur les objectifs de contrôle et le plan d’audit associé, voir CobiT Gouvernance, Contrôle et Audit de l ’Information et des Technologies Associées, 2ème édition, AFAI / ISACF. Seuls les objectifs de contrôle les plus applicables sont évoqués ici.

Tableau 3

Apprécier la maîtrise des risques liés à l’information

Pour apprécier la maîtrise des risques liés à l’information, les auteurs considèrent que l’auditeur informatique doit évaluer (voir tableau 4) :

D’abord la bonne affectation des rôles et responsabilités (PO4, objectif détaillé 4), et notamment celles liées à l’assurance qualité (PO4, objectif détaillé 5) qu’il approfondira avec PO11 « gérer la qualité » ;

Ensuite la qualité de l’évaluation des risques en se basant sur les objectifs détaillé 2 à 6 de PO9 « évaluer les risques ».

7 / 8

Evaluation des risques liés à l ’information :

objectifs de contrôle généraux et détaillés applicables

Définir l ’organisation et les relations de travail de la fonction informatique (PO4) :

4. Rôles et responsabilités

5. Responsabilités de l ’assurance qualité

Evaluer les risques (PO9) :

2. Approche de l ’évaluation des risques

3. Identification des risques

4. Estimation du risque

5. Plan d ’actions pour parer aux risques

6. Acceptation des risques

Pour plus d ’informations sur les objectifs de contrôle et le plan d’audit associé, voir CobiT Gouvernance, Contrôle et Audit de l ’Information et des Technologies Associées, 2ème édition, AFAI / ISACF. Seuls les objectifs de contrôle les plus applicables sont évoqués ici.

Tableau 4

Les auteurs de « New assurance service opportunities for information systems auditors » ont montré la capacité de CobiT à s’appliquer à des prestations d’audit particulièrement élaborées. Rien ne nous empêche de l’étendre à d’autres types de prestations 5 , ou de l’adapter à notre environnement. Concernant par exemple la prestation d’évaluation de la maîtrise des risques liée à l’information, d’autres objectifs de contrôle peuvent servir de vecteurs d’investigation comme AMP6 « gérer les changements » ou encore DS10 (« gérer les problèmes et les incidents »).

*

*

*

Les prestations d’assurance étudiées par l’AICPA intéressent l’auditeur interne à plus d’un titre :

Elles sont utilisées comme instrument de développement commercial des cabinets d’audit, et permettent entre autres de concurrencer les services d’audit interne ;

Elles peuvent en retour inspirer les services d’audit interne qui, par la mise en place de prestations d’audit types, gagnent en crédibilité sinon en professionnalisme ;

Elles illustrent, pour celles ayant trait aux technologies de l’information, l’utilisation de CobiT.

5

On en aura un exemple en consultant " Opportunities in Electronic Commerce Assurance for Information Systems Auditors ", IS Audit & Control Journal, Vol VI, 1999, déjà cité.

8 / 8