Professional Documents
Culture Documents
ANALYSE ET AUDIT
UE 1.1.5 :
DES SYSTEMES D’INFORMATION
COMPTABLES ET FINANCIERS
Introduction
(compléments en Freemind)
3
Outils
Rôles des outils
– S’imprégner du contexte de l’organisation et évitant les contresens
et faux-sens
– Être le plus exhaustif possible
Mise en œuvre des différents outils
– Collecte des documents
– Déroulement des interviews
– Outils de modélisation des processus
• Diagramme de processus
• Diagramme d’Ishikawa
• Diagramme de séquence
• Diagrammes de flux de données
• Diagramme de Gantt
• MCD (Modèle conceptuel de données), MCT (MC de Traitements), …
• Architecture matériel
• Cartographie
• …
4
Cas : Audit de conformité
5
Test Substantif vs Test de Conformité
Contrôle de conformité:
Identification des points clés au sein d’un contrôle de conformité permet
à l’AI de développer la démarche du contôle à suivre:
– Contrôle de procédures,
– Évaluation de l’intégrité,
• Transactions
• Données
– Contrôle de suivie de la politique (ex. source, exécutable)
– Procédure de test de programmes (habilitation des modifications, de
validation, de transfert en production)
Contrôle substantif
– Contrôle l’intégrité du traitement
– Effectue les tests chiffrés et quantifiables (ex. solde de compte)
– Nécessité d’un échantillonnage (risque d’échantillonnage)
6
Relations et attributs des éléments de l'analyse des risques
AFAI
7
auto-évaluation des contrôles (CSA)
Les employés, sensibilisés aux risques, conduisent périodiquement des auto-
évaluations des risques.
Pour les entreprises, réparties géographiquement, un contrôle hybride est
recommandé.
Besoins et Formation
1. Identifier et mesurer les risques
Avantages Inconvénients
Détection rapide des risques Remplace, par erreur, l’audit
Implication du personnel Trop de rapports
Communication opération – DG Limitation dans la détection des
Réduction des coûts de contrôle risques (par le personnel)
Demandé par la réglementation SOX Exactitudes des résulats si pas de
suivi
11
Structure d’une Direction Informatique
DI Séparation
des tâches
Etude et
Production
Développement Exploitation
Test et
développement
Analyse Système
Conception Réseau
Source
(Compilation)
Objet
Sécurité
Programmation
Direction SI
Service et
Gouvernance SI Management SI
support SI
5: Optimisé
Stratégie
4: Maîtrisé
3: Défini
2: Reproductible
1: Initial
0: Inexistant
Critères de qualité
Efficacité
Efficience
Disponibilité
Integrité
P
Confidentialité
Fiabilité A D
Conformité
C
14
Les trois modèles de relations DG-DM-DSI
15
Les 4 modèles d’alignements stratégiques
Ex3: BI Analyse + Stratégie Stratégie Ex2: satisfaction de la
extraction de Entreprise SI clientèle en
connaissance alélioration des
2 délais du SAV:
DG 3 site web + Service
Desk
DSI
DM
1 4
Ex4: VoIP
Ex1: informatiser le Processus Processus amélioration de la
rapprochement Métier Informatique communication
bancaire (visio conférence)
16
Schéma directeur - contenu
17
Bonnes pratiques
Tenir sur un format A4, utiliser le crayon de bois
Conserver un fond de carte unique
Exploiter les deux dimensions :
• Vertical :
– du client au support (client fournisseur)
– De la technologie à l’utilisateur
– Du concret à l’abstrait
– …
• Horizontal :
– enchaînement séquentiel
– Dépendance fonctionnelle
– Cycle de vie
– …
Respecter l’intuition : centre, cœur de métier, périphérie l’éco-système, haut le
destinataire, bas l’infrastructure,…
Adjoindre la documentation nécessaire en annexes
18
Illustration de la procédure d’urbanisation
enchaînement séquentiel
Dépendance fonctionnelle
Cycle de vie
Feuille A4
Référentiel
Séquentialité
Echange Cœur du Métier Pilotage
Support
du client au support (client fournisseur)
De la technologie à l’utilisateur
Du concret à l’abstrait
19
Solution – Q3-3
Echanges REFERENTIELS Pilotage
Messa Pilotage
gerie Producti
on
Supports
B2G
Audit
RH SI Comptabilité
E2B
20
Exécution de la mission d’audit SI
L’auditeur SI évalue les fonctions et systèmes liés à la TI, sous différentes vues:
– Sécurité (confidentialité, intégrité, disponibilité)
– Qualité (efficacité, exactitude)
– Fiduciaire (conformité, fiabilité)
– Service
– Capacité
Les 10 étapes
1. Compréhension du champ d’audit
2. Évaluation des risques
3. Planification
4. Revue préalable du champ d’audit
5. Évaluation du sujet d’audit
6. Vérification de la conception d’audit
7. Test de conformité (procédures)
8. Test substantif (valeurs)
9. Compte-rendu (communication des résultats)
10.Suivi (follow-up)
Roue de Deaming: (P-D-C-A) 21
Connaissance des besoins métier
Planification des
besoins métier
22
Les 7 principes de la sécurité informatique
1. Il n’y a pas de sécurité absolue
2. Objectifs de la sécurité
– Confidentialité (protection des données confidentielles)
– Intégrité (protection contre les menaces externes et les modifications)
– Disponibilité (Le système doit être disponible à ceux qui en ont besoin)
– Conformité (Le fonctionnement du système doit être conforme aux règles
définies)
– Fiabilité (Le SI doit être fiable)
3. La défense en profondeur
4. Sans encadrement, les décisions d’une personne ont tendance à être
mauvaises face à la sécurité
5. La sécurité via l’obscurité n’est pas une solution
6. Sécurité = gestion du risque
7. 3 types de contrôle de sécurité
– Prévention
– Détection
– Correction
23
Le mot de passe
Le premier moyen de pirater un ordinateur
– Règles d’activation
• Un mot de passe par utilisateur
• Minimum de huit caractères alphanumériques
• Crypté et non identifié par les informaticiens
• Doit être gardé secret (pas écrit, utilisation par un autre …)
• Doit être changé tous les 90 jours
– Mot de passe initial dès la 1ère ouverture de session
– Validation du mot de passe
– A ne pas utiliser les 10 derniers mots de passe
– Règle d’utilisation
• Accès renié après trois essais infructueux
• Session suspendu après 15 minutes de non utilisation
• Si un mot de passe n’a pas été utilisé depuis x période de temps, il
devrait être aboli
• Entrée du temps de début et de fin de session
24
Quelques acronymes… / PCA
DRP : Disaster Recovery Planning
« Plan de secours »
Souvent lié historiquement au service informatique
(Salles de secours, backups, etc.)