Beruflich Dokumente
Kultur Dokumente
Professeur
1
Partie II.
3
A. Les contrôles en milieu informatisé
4
a. Les risques reliés aux TI
5
Les principaux risques technologiques
6
Ces risques ont un impact sur les objectifs du système
Disponibilité
Confidentialité
Exhaustivité
Autorisation
Intégrité
Exactitude
Maintenabilité
7
Trois catégories de fraudes informatiques
Le vol d’information
8
Les applications comptables figurent parmi les systèmes privilégiés par
les fraudeurs :
Bordereau de paie
9
Ex de manipulations de données :
Etc….
10
Comment protéger l’entité contre les fraudes informatiques?
11
La vérification des antécédents personnels des employés (au
moment du recrutement et périodiquement)
12
Quelques pistes pour détecter les fraudes potentielles commises par les
employés
Absence de délégation.
13
b. L’impact des TI sur le contrôle interne
1. de la structure organisationnelle
14
1. Impact des TI sur la structure organisationnelle
Quelques éléments:
15
2. Impact des TI sur la nature du traitement
16
3. Impact des TI sur la conception des procédures de contrôle
17
c. Les contrôles généraux informatiques et les contrôles
des applications
18
1. Les contrôles généraux informatiques (CGI)
19
Les CGI portent notamment sur:
20
2. Les contrôles des applications
21
Pour les contrôles des applications, on distingue entre :
22
2.1. Contrôles portant sur l’entrée des données
23
Quelques exemples de contrôles de traitement:
24
Le contrôle d’exhaustivité. Contrôle qui assure que les
renseignements enregistrées, renferment tous les éléments
d’informations requis. Ex. Pour l’émission du chèque de paie, un
contrôle (programmé ou manuel) assurera que toutes les
informations relatives aux bénéficiaires requises pour le
paiement, sont fournies
25
2.3. Contrôles portant sur les données de sortie (ou sur les résultats)
Ces contrôles ont donc pour objectif l’examen des résultats en vue
d'en établir l’intégrité.
26
B. La gouvernance des Technologies de l’Information (GTI)
27
a. Les fondamentaux de la Gouvernance des TI
28
La GTI
La GTI vise à réduire les risques reliés à l’utilisation des TI, par le
biais du contrôle et de l’audit pour atteindre les objectifs du système:
l’intégrité, la disponibilité, la confidentialité et la maintenabilité;
29
La GTI permet donc de s’assurer:
30
b. Cobit : le référentiel des meilleures pratiques en GTI
Une bonne pratique, est une pratique conforme à l’état de l’art d’un
domaine donné. Fruit de l’expérience et de la recherche, son efficacité et
sa fiabilité sont avérées, ont été éprouvées et sont reconnues par tous;
31
De nombreux référentiels ont été conçus pour aider les organisations
à encadrer leur GTI et la rendre effective, dont les plus reconnus et
utilisés sont:
ISO 27000;
32
Quelle est l’utilité du recours à un référentiel de gouvernance des TI?
33
Cobit
(Control Objectives for Information and Related Technology)
[1] www.itgi.org/
[2] www.isaca.org
34
Cobit, qui en est à sa 5ème version, est la synthèse des meilleures
pratiques, auxquelles les organisations peuvent se référer pour
contrôler et surveiller les risques reliés à l’utilisation de leurs TI
35
CobiT s’adresse aux trois intervenants principaux de
l’organisation:
La direction
36
La direction (le management)
37
Les utilisateurs (des TI)
Les auditeurs
38
L’architecture du Cobit
39
Besoins de l’organisation en information
40
Intégrité: Information exacte, exhaustive et autorisée
41
Les ressources TI
42
Le processus TI
43
Le processus de gestion est construit dans Cobit sur trois niveaux:
4 Domaines
34 Processus
220 Activités
44
Chacun des 34 processus du Cobit est destiné à fournir une
information devant répondre aux besoins d’affaires selon les critères
d’efficacité, d’efficience, de confidentialité, d’intégrité, de
disponibilité, de conformité et de fiabilité.
45
Cube Cobit
46
Le concept de « domaine » est important dans l’architecture Cobit,
car il définit une répartition logique vis-à-vis des systèmes
d’information
47
Planification et Organisation (PO)
48
Le domaine PO, regroupe les 10 processus suivants:
49
Application (des exemples)
Objectif de contrôle:
50
Application (suite)
Objectif de contrôle
51
Acquisition et Implémentation (AI)
52
Le domaine AI, regroupe les 7 processus suivants:
53
Distribution et support (DS)
54
Le domaine DS, regroupe les 13 processus suivants:
55
Monitoring et Évaluation (ME)
56
Le domaine ME, regroupe les 4 processus suivants:
57
Objectifs de l’entreprise
Gouvernance des Technologies de l’Information
ME1 Monitor and evaluate IT PO1 Define a strategic IT plan.
performance. PO2 Define the information architecture.
ME2 Monitor and evaluate internal PO3 Determine technological direction.
control. PO4 Define the IT processes, organisation and
ME3 Ensure regulatory compliance. relationships.
ME4 Provide IT governance. PO5 Manage the IT investment.
PO6 Communicate management aims and
direction.
INFORMATION PO7 Manage IT human resources.
PO8 Manage quality.
• Effectiveness
PO9 Assess and manage IT risks.
• Efficiency
PO10 Manage projects.
• Confidentiality
• Integrity
• Availability
• Compliance
• Reliability
MONITOR AND PLAN AND
COBIT 4.1
EVALUATE ORGANISE
IT RESSOURCES
• Applications
• Information
• Infrastructure
• People
ACQUIRE AND
DS1 Define and manage service levels. DELIVER AND
DS2 Manage third-party services.
IMPLEMENT
DS3 Manage performance and capacity. SUPPORT
DS4 Ensure continuous service.
DS5 Ensure systems security. AI1 Identify automated solutions.
DS6 Identify and allocate costs. AI2 Acquire and maintain application software.
DS7 Educate and train users. AI3 Acquire and maintain technology
DS8 Manage service desk and incidents. infrastructure.
DS9 Manage the configuration. AI4 Enable operation and use.
DS10 Manage problems. AI5 Procure IT resources.
DS11 Manage data. AI6 Manage changes.
DS12 Manage the physical environment. AI7 Install and accredit solutions and changes.
DS13 Manage operations.
58
Le modèle de maturité de Cobit
Pour contrôler efficacement l'infrastructure du système d'information, les
managers se posent souvent le genre de questions suivantes:
59
Le modèle de maturité de Cobit permet au propriétaire du processus,
de déterminer le niveau d'adhésion de ce processus aux objectifs de
contrôle, soit sous la forme d'une auto-évaluation, soit en ayant
recours à une évaluation externe
60
Modèle de maturité
61
En s’appuyant sur le modèle de maturité, la direction peut faire
apparaître, pour chacun des 34 processus TI du CobiT, :
62
Modèle général de maturité
63
Niveau 2 (Reproductible): Des processus se sont développés
jusqu'au stade où des personnes différentes exécutant la même
tâche utilisent des procédures similaires. Il n'y a pas de formation
formelle ou de communication des procédures standard, et la
responsabilité est laissée à l'individu. On se repose beaucoup sur
les connaissances individuelles, d'où une probabilité d'erreurs
64
Niveau 4 (Géré): Il est possible de contrôler et de mesurer la
conformité aux procédures et d'agir lorsque des processus semblent
ne pas fonctionner correctement. Les processus sont en constante
amélioration et correspondent à une bonne pratique.
L'automatisation et l'utilisation d'outils s'effectuent d'une manière
limitée ou partielle
65
Exemple. Maturité du processus PO1: Définir un plan informatique
stratégique
66
Niveau 1 Initialisé, au cas par cas: Le besoin d'un plan informatique
stratégique est ressenti par le management, mais aucun processus
de décision structuré n'est mis en place. On utilise une planification
informatique stratégique en réponse à des besoins spécifiques et les
résultats sont donc sporadiques et sans logique. On en discute
occasionnellement lors de réunions du management des TI et non
lors de réunions de direction de l‘organisation. L'alignement des
besoins de l‘organisation, des applications, et des technologies se
fait d'une façon réactive, portée par l'offre des fournisseurs plus que
par une stratégie générale de l‘organisation. La position stratégique
par rapport au risque est déterminée de façon informelle, projet par
projet.
67
Niveau 2 Reproductible, mais intuitif: Le management des TI utilise
la planification stratégique, mais sans la documenter. Réalisé par
l'informatique, le plan n'est partagé avec la direction de
l’organisation qu'en réponse à des besoins spécifiques. La mise à
jour de ce plan n'intervient que suite à des demandes du
management : il n'y a aucun processus d'anticipation des mises à
jour du plan rendues nécessaires par les développements de
l'informatique ou de l’organisation. On prend les décisions projet par
projet, sans stratégie globale. On connaît les risques et les avantages
des principales décisions stratégiques pour les utilisateurs, mais leur
définition reste intuitive.
68
Niveau 3: Défini Une politique définit quand et comment réaliser le
plan informatique stratégique. Ce dernier suit une approche
structurée qui est documentée et connue de tout le personnel. Le
processus de planification informatique est normalement construit
et garantit une bonne probabilité de réalisation d'un plan approprié.
Toutefois, la mise en œuvre du processus est laissée à l'initiative de
chaque responsable et aucune procédure d'examen périodique de
ce processus n'est prévue. La stratégie informatique globale inclut
une définition cohérente des risques acceptés par l‘organisation et
précise si elle se voit en position d'innovateur ou de suiveur. Les
stratégies informatiques en matière de finance, technique et
ressources humaines conduisent de plus en plus à l'acquisition de
nouveaux produits et technologies.
69
Niveau 4: Géré et mesurable: La planification informatique stratégique est une
pratique standard et le management signale les anomalies. Elle correspond
à une fonction de management comportant des responsabilités majeures. Le
processus de planification informatique stratégique est contrôlé par le
management qui l'utilise pour prendre ses décisions en connaissance de
cause et mesurer son efficacité. Il existe à la fois des plans à court et long
terme qui sont diffusés à tous les échelons de l‘organisation, avec des mises
à jour lorsque c'est nécessaire. La stratégie informatique et la stratégie
globale de l‘organisation sont de mieux en mieux coordonnées grâce à
l'utilisation de processus communs et de technologies à valeur ajoutée, et
grâce à la mise en œuvre d'applications et de technologies à travers la ré-
ingénierie des processus de l‘organisation. Il existe un processus bien défini
assurant une bonne répartition entre les ressources internes et externes
nécessaires au développement et à l'exploitation des systèmes. On formalise
de plus en plus les tests comparatifs pour se comparer aux normes du
marché et de la concurrence.
70
Niveau 5 Optimisé: Le plan informatique stratégique est un processus
documenté et vivant ; toujours pris en compte dans la définition des
objectifs de l‘organisation. La valeur apportée par les investissements
informatiques est patente. Le processus de planification tient compte
en permanence des dernières analyses du rapport entre risques et
bénéfices. La stratégie de planification informatique fait partie
intégrante de la stratégie générale de l‘organisation. On développe et
on actualise en permanence des plans informatiques à long terme
réalistes pour refléter l'évolution des technologies et des activités de
l‘organisation. Les plans informatiques à court terme sont constitués
de projets, divisés en tâches planifiées dans le temps, et comprenant
les résultats à livrer ; chaque tâche est contrôlée et actualisée au fur et
à mesure de son évolution. Les tests de comparaison avec les normes
reconnues et fiables du marché constituent un processus bien défini,
intégré au processus de formulation des stratégies. Le Service
Informatique trouve et met en œuvre de nouvelles applications pour
conduire à la création de nouvelles opportunités et améliorer l'avantage
compétitif de l‘organisation.
71
Le modèle de maturité se base donc sur le principe suivant :
Perte de temps ;
Stress et burn-out ;
Technologie mal exploitée ;
Contribution faible aux objectifs d’affaires.
72
c. L’évaluation des contrôles via Cobit
1. Contrôles de sécurité
73
1. Contrôles de sécurité
74
Exemple: contrôles des accès
75
Exemple: contrôles des accès (suite)
76
2. Contrôles de gestion des changements
77
Contrôles de gestion des changements (suite)
78
Contrôles de gestion des changements (suite)
79
C. L’audit comptable en environnement informatisé
80
L’audit comptable réalisé dans un environnement
informatique peut poser à l’auditeur des difficultés de mise
en œuvre en termes d’approche, de nature des procédures
à réaliser et d’exploitation des résultats obtenus à l’issue de
ces procédures
81
l’existence d’un environnement informatique ne modifie pas
l’objectif et l’étendue de la mission de l’auditeur
82
Phases de la mission Tâches à réaliser
Prise de connaissance de
l’environnement informatique et
description du système d’information
de l’entité
Phase de la planification de la mission
Incidence de l’environnement
informatique sur le risque
d’anomalies significatives (RAS)
83
Phases de la mission Tâches à réaliser
Prise de connaissance de
l’environnement informatique et
description du système d’information
de l’entité
Phase de la planification de la mission
Incidence de l’environnement
informatique sur le risque
d’anomalies significatives (RAS)
84
I. Phase de la planification de la mission
85
a. Prise de connaissance de l’environnement informatique et
description du système d’information de l’entité
86
1.1. La stratégie informatique de l’entité
87
A quoi l’auditeur doit-il s’intéresser lors de sa prise de connaissance
de la stratégie informatique de l’entité auditée?
88
Quels sont les éléments probants que l’auditeur doit obtenir à ce
chapitre?
89
1.2. La fonction informatique
90
1.2.1. L’organisation de la fonction informatique
91
A quoi l’auditeur doit-il s’intéresser lors de sa prise de connaissance de
l’organisation de la fonction informatique de l’entité auditée?
92
Principales fonctions d’une direction informatique dans une entreprise de grande
taille
Direction générale
Autres
directions
Conception Exploitation
Maintenance
informatique informatique
Progiciels Système
système Réseau
d’exploitation
93
Quels sont les éléments probants que l’auditeur doit obtenir à ce
chapitre?
Ces informations peuvent être complétées par des entretiens avec les
responsables des départements métiers.
94
1.2.2. Les compétences informatiques
95
A quoi l’auditeur doit-il s’intéresser lors de sa prise de connaissance
des compétences informatiques de l’entité auditée?
Le niveau de compétence:
96
Quels sont les éléments probants que l’auditeur doit collecter à ce
chapitre?
97
b. Incidence de l’environnement informatique sur le
risque d’anomalies significatives (RAS)
98
Phases de la mission Tâches à réaliser
Prise de connaissance de
l’environnement informatique et
description du système d’information
de l’entité
Phase de la planification de la mission
Incidence de l’environnement
informatique sur le risque
d’anomalies significatives (RAS)
99
1. Incidence de l’environnement informatique sur le risque inhérent
100
1.1. Conception et acquisition des solutions informatiques
101
L’auditeur doit vérifier que:
102
Quels éléments probants?
Documentation suivante:
• dossier de paramétrage
103
1.1.2. Comment sont installés et validés les nouveaux systèmes informatiques ?
L'entité doit avoir mis en place des procédures pour permettre une mise en
place sans risque d’un nouvel outil ou d’une nouvelle application
des tests ont été menés avant le démarrage de toute nouvelle application ou
d’une nouvelle version
104
Quels éléments probants?
• responsable informatique
• responsable du développement
• utilisateurs ayant participé à la mise en place
• responsables opérationnels associés au projet.
105
La mise en production d’une application mal ou insuffisamment testée
peut avoir des conséquences directes sur l’établissement des comptes
106
Exemple
107
En effet, cette fonctionnalité n’avait pas été testée et ne fonctionnait
pas dans la nouvelle application. Toutes les ventes de ce type ont donc
été enregistrées manuellement sur un cahier et saisies par la suite en
comptabilité
108
1.1.3. Comment est assurée la maintenance du système d’information ?
109
L’auditeur peut s’appuyer :
• responsable informatique,
• responsable de la fonction maintenance/exploitation,
• Propriétaires métiers (ventes, achats, comptabilité, etc.).
110
1.2. Distribution et support
111
1.2.1. Quelle est la qualité du support fourni aux utilisateurs?
Ainsi, pour chaque nouvel outil, un support aux utilisateurs et/ou une
formation doivent être dispensés, afin de réduire le risque de
mauvaises utilisations (erreurs, traitements inadaptés, etc.).
112
L’auditeur doit vérifier que :
113
Quels éléments probants?
• direction de l'entité
• responsable informatique
• responsable de la formation / Responsable des RH
• responsable du support informatique aux utilisateurs.
114
1.2.2. Comment sont gérés les problèmes d’exploitation quotidiens ?
Il gère les habilitations d’accès aux données et doit pouvoir détecter les
tentatives d’intrusion. Son rôle est primordial dans la prévention des
risques informatiques.
115
L’auditeur doit:
116
1.3. Gestion de la sécurité
117
1.3.1. Comment sont gérées les sauvegardes ? Existe-t-il un plan de
secours ?
118
L’auditeur doit:
vérifier que l'entité a mis en œuvre une réflexion sur les solutions de
secours en cas de défaillance du système ou en cas de sinistre :
119
Eléments probants
• responsable de l’informatique,
• responsable de la sécurité,
• prestataire externe en charge des solutions de secours.
120
1.3.2. Comment est définie et mise en œuvre la sécurité logique ?
121
L’auditeur doit:
122
1.3.3. La sécurité physique est-elle satisfaisante ?
les moyens de protection dont est dotée l'entité pour les types de sinistres
suivants : incendie, inondation, coupure de courant/surtension,
vol/malveillance, pannes.
123
Eléments probants:
la visite des locaux et des salles machines pour vérifier que les
procédures décrites sont appliquées.
124
II. Phase de l’exécution des procédures d’audit
125
Phases de la mission Tâches à réaliser
Prise de connaissance de
l’environnement informatique et
description du système d’information
de l’entité
Phase de la planification de la mission
Incidence de l’environnement
informatique sur le risque
d’anomalies significatives (RAS)
126
A partir des éléments vérifiés lors de l’évaluation des risques, le CAC se
concentre sur les risques de niveau modéré ou élevé, afin de
déterminer la nature et l’étendue des tests substantifs à mener et s’il
est pertinent, pour ce faire, de recourir aux TAAO.
127
Les Techniques d’Audit Assistées par Ordinateurs
(TAAO)
128
Les Techniques d’Audit Assistées par Ordinateurs
(TAAO)
Dans le cadre d’une mission d’audit, l’ordinateur peut être utilisé par
Le CAC pour automatiser plusieurs opérations routinières
Les TAAO peuvent être utilisées aussi bien par l’auditeur externe que
par l’auditeur interne
Deux types de TAAO: celles axées sur les systèmes (ou sur les
programmes), et celles axées sur les données.
129
1. Les TAAO axées sur les systèmes
Contrairement aux techniques axées sur les données, qui portent sur
les données réelles de l’entité auditée, les techniques axées sur les
systèmes mettent l’accent sur la mise à l’épreuve des contrôles
internes du système informatique.
130
Les techniques axées sur les systèmes les plus courantes :
131
La méthode du jeu d’essai
Il est essentiel que l’auditeur s’assure que les données d’essai sont
traitées par les programmes que l’organisation utilise réellement et non
pas une version modifiée à l’intention de l’auditeur
132
La méthode du jeu d’essai intégré
133
La méthode des outils de piratage
• Les scanneurs de port: Exemple, Port Scanneur, Port Scan2, Yet Another
Port Scanneur et Fast Scan. Ces programmes permettent de localiser les
ports d’entrée dans un ordinateur par lesquels on peut accéder au
système sans autorisation,
134
• Les perceurs de mots de passe: Exemple, John the Ripper, Killer Cracker
et Lophtcrack. L’auditeur peut utiliser ces outils pour percer le cryptage
des mots de passe utilisateur ou compte. L’objectif de l’auditeur est de
tester la fiabilité des mots de passe et du respect de la politique de
gestion de ces derniers.
135
2. Les TAAO axées sur les données
L’auditeur doit s’assurer, aux fins de l’utilisation des TAAO axées sur
les données, de l’intégrité (absence de manipulation par le client) du
fichier d’essai utilisé
Les TAAO axées sur les données sont utilisées aux fins des tests de
substance. Ces techniques impliquent le recours à des programmes
permettant de consulter et de récupérer les données des fichiers du
client pour effectuer des sondages substantifs.
136
Plusieurs types de programmes informatiques ont été mis en place
pour effectuer des TAAO axées sur les données
Des exemples :
137
Les progiciels d’audit
138
Principales fonctions présentes dans la plupart des LAG :
139
• Arithmétique: Gamme complète des opérations arithmétiques
permettant le calcul dans les zones de travail, le contrôle de
l’exactitude arithmétique, la production des totaux de contrôle, etc.
140
L’auditeur dispose de plusieurs programmes informatiques pour la
réalisation de ce type de TAAO, dont notamment, les progiciels d’audit,
dont les plus connus sont les Logiciels d’Audit Généralisé,
tels que:
141
RVR (www.rvrsystems.com);
ENABLON (www.enablon.com)
Oracle, module internals, Control Manager Discoverer
(www.oracle.com);
SAP, module Process Control (www.sap.com);
SAS (www.sas.com);
Crystal, Seagate Software (www.businessobjects.com);
Teammate (www.pwcqlobal.com).
Fin du cours
142