MASTER 2 CCA

ANALYSE ET AUDIT
UE 1.1.5 :
DES SYSTEMES D’INFORMATION
COMPTABLES ET FINANCIERS
 Introduction
(compléments en Freemind)

Freemind à installer à partir de :

http://freemind.sourceforge.net/wiki/index.php/Download
Google : Freemind sourceforge 1.0.1 all inculsive embedded
 Classification des audits et Relation SI

Classe Objectif Relation SI

Audit financier Évalue l’exactitude des informations Intégrité
financières Fiabilité
Audit Évalue la structure de contrôle Contrôle d’application
opérationnel interne Sécurité logique
Audit intégré Audit financier Sauvegarde des biens
+ Audit opérationnel Efficacité
Conformité
Audit Évaluation de la productivité Conception des SI
administratif Exploitation des actifs TI
Audit spécialisé Catégorie de l’audit SI Réseau, ERP, …
Audit judiciaire Découverte des fraudes et crimes cybercrime

3
 Outils
 Rôles des outils
– S’imprégner du contexte de l’organisation et évitant les contresens
et faux-sens
– Être le plus exhaustif possible
 Mise en œuvre des différents outils
– Collecte des documents
– Déroulement des interviews
– Outils de modélisation des processus
• Diagramme de processus
• Diagramme d’Ishikawa
• Diagramme de séquence
• Diagrammes de flux de données
• Diagramme de Gantt
• MCD (Modèle conceptuel de données), MCT (MC de Traitements), …
• Architecture matériel
• Cartographie
• …
4
Cas : Audit de conformité

5
 Test Substantif vs Test de Conformité

 Contrôle de conformité:
Identification des points clés au sein d’un contrôle de conformité permet
à l’AI de développer la démarche du contôle à suivre:
– Contrôle de procédures,
– Évaluation de l’intégrité,
• Transactions
• Données
– Contrôle de suivie de la politique (ex. source, exécutable)
– Procédure de test de programmes (habilitation des modifications, de
validation, de transfert en production)

 Contrôle substantif
– Contrôle l’intégrité du traitement
– Effectue les tests chiffrés et quantifiables (ex. solde de compte)
– Nécessité d’un échantillonnage (risque d’échantillonnage)
6
Relations et attributs des éléments de l'analyse des risques

AFAI
7
 auto-évaluation des contrôles (CSA)
 Les employés, sensibilisés aux risques, conduisent périodiquement des auto-
évaluations des risques.
 Pour les entreprises, réparties géographiquement, un contrôle hybride est
recommandé.

0. Identifier les processus et les objectifs

Action et Compte-rendu

Besoins et Formation
1. Identifier et mesurer les risques

2. Identifier et mesurer les contrôles

3. Développer le(s) questionnaires(s)

4. Collecte et analyse des questionnaire

Recommandé par SOX

8
 CSA (control self-assessment)- Avantage vs inconvénients

Avantages
 Détection rapide des risques
 Implication du personnel
 Communication opération – DG
 Réduction des coûts de contrôle
 Demandé par la réglementation SOX
Inconvénients
 Remplace, par erreur, l’audit
 Trop de rapports
 Limitation dans la détection des
risques (par le personnel)
 Exactitudes des résulats si pas de
suivi

Audit traditionnel vs CSA (control self-assessment)

Audit Traditionnel
 Affectation tâche /Supervision
 Orienté politique-règle
 Participation limitée
 Observation de la vue descendante
 Spécialiste en audit
CSA
 Tout le monde contrôle
 Amélioration continue & formation
 Participation exaustive
 Contribution dans le tableau de bord
 Contrôle primaire
9
 Contrôles internes

 Politiques, procédures, pratiques et structures organisationnelles

permettant la restriction des risques.
Classification des contrôles
Classe Fonction Exemple
Préventif • Détecter les problèmes avant qu’ils ne • Qualification du personnel
surviennent • Séparation des tâches
• Prévoir les problèmes potentiels • Contrôle d’accès au SI
• Prévenir une erreur, omission ou acte • Cryptage
malveillant
Détectif • Détecte une erreur ou un • Calcul des totaux
dysfonctionnement et aviser les • Pointage de contrôle
concernés • Contrôle d’écho
• Double saisie
• Rapport d’audit interne
• Révision des log
Correctif • Minimiser l’impact de la menace • Plan de continuité
• Remédier au problème • Procédure de backup
• Identifier les causes • Procédure de retour
• Corriger l’erreur
• Modifier le traitement
10
 Contrôles et méthodes d’implémentation
Méthode
²
d’implémentation
Exemples

Contrôle back-office, séparation des tâches, formation, organigrammes,

Administrative descriptions des fonctions, manuel des procédures, contrats, lois et règlements,
gestion des risques, gestion des projets, Qualité de Service, documentation
Préventif
Chargement de signature de virus, système de haute disponibilité, encryptage,
«stop» Technique
listes de contrôle d'accès, processus de certification
Contrôle d'accès, verrouillage, barrières, étiquettes de propriété, gardes de
Physique
sécurité, panneaux d'avertissement
Audit, journaux système, périodes obligatoires de congés, raports d'exception,
Administrative totaux, nombres de contrôle, Auto-contrôle (CSA), évaluation des risques,
témoignage oral
Détectif Système de détection anti-intrusion (IDS), système de signalisation, CAAT,
«trouver» Technique contrôle des totaux, vérification des signatures électroniques, biométrie, balayage
du réseau, examen judiciaire, diagnostiques
Inventaire physique, systèmes d'alarme (vol, fumée, eau, température, feu, bris de
Physique
glace), empreintes digitales, reçus et factures
Procédures d'arrêt, plan de continuité de service, outsourcing, insourcing,
Administrative
application des recommandations d'audit, expérience, assurance
Correctif
«corrigé» Technique Haute disponibilité du système, utilitaire de réparation des fichiers

Physique Site de sauvegarde, extincteur, climatiseur, contrôle d'humidité

11
 Structure d’une Direction Informatique

DI Séparation
des tâches

Etude et
Production
Développement Exploitation

Test et
développement
Analyse Système

Conception Réseau
Source
(Compilation)
Objet
Sécurité
Programmation

Documentation Maintenance Installation

Objet
 Structure d’une
Direction des Système d’Information / 199X

Direction des services de l’information / 201X

Direction SI

Étude & Politique &

Infrastructure RH Sécurité
Développement Procédure SI

Service et
Gouvernance SI Management SI
support SI

Catalogue des Fourniture de

services service
 Gouvernance

5: Optimisé
Stratégie
4: Maîtrisé
3: Défini
2: Reproductible
1: Initial
0: Inexistant
Critères de qualité
Efficacité
Efficience
Disponibilité
Integrité
P
Confidentialité
Fiabilité A D
Conformité
C

Infrastructure Données Applications RH

14
 Les trois modèles de relations DG-DM-DSI

Focalisation principale des McKinsey

interactions

15
 Les 4 modèles d’alignements stratégiques
Ex3: BI  Analyse + Stratégie Stratégie Ex2: satisfaction de la
extraction de Entreprise SI clientèle en
connaissance alélioration des
2 délais du SAV: 
DG 3 site web + Service
Desk

DSI

DM
1 4
Ex4: VoIP 
Ex1: informatiser le Processus Processus amélioration de la
rapprochement Métier Informatique communication
bancaire (visio conférence)

16
Schéma directeur - contenu

17
 Bonnes pratiques
 Tenir sur un format A4, utiliser le crayon de bois
 Conserver un fond de carte unique
 Exploiter les deux dimensions :
• Vertical :
– du client au support (client fournisseur)
– De la technologie à l’utilisateur
– Du concret à l’abstrait
– …
• Horizontal :
– enchaînement séquentiel
– Dépendance fonctionnelle
– Cycle de vie
– …
 Respecter l’intuition : centre, cœur de métier, périphérie l’éco-système, haut le
destinataire, bas l’infrastructure,…
 Adjoindre la documentation nécessaire en annexes

18
 Illustration de la procédure d’urbanisation
 enchaînement séquentiel
 Dépendance fonctionnelle
 Cycle de vie
Feuille A4
Référentiel

Séquentialité
Echange Cœur du Métier Pilotage

Support
 du client au support (client fournisseur)
 De la technologie à l’utilisateur
 Du concret à l’abstrait

19
 Solution – Q3-3
Echanges REFERENTIELS Pilotage

Client Profils Produits Fournisseurs

Contrôle
des
Workflow Processus Risques
Échanges
Clients
Devis Gestion Commerciale Logistique / Production Compta
Livraison Budget.
Échange Besoins MP Appro.
Fournis-
seurs Commande Facturation Ordre Fab. QMS Contrôle
de
Gestion

Web Transformation Pilotage

Activité

Messa Pilotage
gerie Producti
on

Supports
B2G
Audit
RH SI Comptabilité
E2B

20
 Exécution de la mission d’audit SI
 L’auditeur SI évalue les fonctions et systèmes liés à la TI, sous différentes vues:
– Sécurité (confidentialité, intégrité, disponibilité)
– Qualité (efficacité, exactitude)
– Fiduciaire (conformité, fiabilité)
– Service
– Capacité
 Les 10 étapes
1. Compréhension du champ d’audit
2. Évaluation des risques
3. Planification
4. Revue préalable du champ d’audit
5. Évaluation du sujet d’audit
6. Vérification de la conception d’audit
7. Test de conformité (procédures)
8. Test substantif (valeurs)
9. Compte-rendu (communication des résultats)
10.Suivi (follow-up)
Roue de Deaming: (P-D-C-A) 21
 Connaissance des besoins métier

Planification des
besoins métier

Connaissance Objectifs stratégiques Objectifs financiers Objectifs opérationnels

du métier (orientation et structure) (ROI) (contrôle interne)

Règlements métier Politiques et procédures

Cycle métier Organisation SI Capital et dépenses Audit administratif
Besoin en Reporting Plans SI Gestion de patrimoine Mesure de performance
Processus critiques Objectifs SI Attribution de coût Contrôles d'accès
Rapports d'audits Buts SI Budget et prévisions Plan d'urgence
Test des équipements Plan stratégique (2-3+ ans) Objectifs de reporting Administrateur système
Interview Plan tactique (1-2 ans) Besoins d'intégrité Réseau
Plans de revue Maintenance (an 0-1) Continuité d'affaires Audit système
Personnel

22
 Les 7 principes de la sécurité informatique
1. Il n’y a pas de sécurité absolue
2. Objectifs de la sécurité
– Confidentialité (protection des données confidentielles)
– Intégrité (protection contre les menaces externes et les modifications)
– Disponibilité (Le système doit être disponible à ceux qui en ont besoin)
– Conformité (Le fonctionnement du système doit être conforme aux règles
définies)
– Fiabilité (Le SI doit être fiable)
3. La défense en profondeur
4. Sans encadrement, les décisions d’une personne ont tendance à être
mauvaises face à la sécurité
5. La sécurité via l’obscurité n’est pas une solution
6. Sécurité = gestion du risque
7. 3 types de contrôle de sécurité
– Prévention
– Détection
– Correction
23
 Le mot de passe
Le premier moyen de pirater un ordinateur
– Règles d’activation
• Un mot de passe par utilisateur
• Minimum de huit caractères alphanumériques
• Crypté et non identifié par les informaticiens
• Doit être gardé secret (pas écrit, utilisation par un autre …)
• Doit être changé tous les 90 jours
– Mot de passe initial dès la 1ère ouverture de session
– Validation du mot de passe
– A ne pas utiliser les 10 derniers mots de passe
– Règle d’utilisation
• Accès renié après trois essais infructueux
• Session suspendu après 15 minutes de non utilisation
• Si un mot de passe n’a pas été utilisé depuis x période de temps, il
devrait être aboli
• Entrée du temps de début et de fin de session
24
 Quelques acronymes… / PCA
 DRP : Disaster Recovery Planning
« Plan de secours »
Souvent lié historiquement au service informatique
(Salles de secours, backups, etc.)

 BCP : Business Continuity Planning

« Plan de continuité d’activité », ou PCA
Beaucoup plus souvent lié à la gestion globale du risque
(Aspects juridiques, financiers, ressources humaines, processus
métiers, communication, informatique, etc.)
 Méthodologie PCA
1. Mettre en place un comité de pilotage.
2. Recenser les activités et processus vitaux.
3. Faire une étude de risque.
4. Proposer des solutions de secours.
5. Rédiger le plan de continuité.
6. Impliquer le personnel de l’entreprise.
7. Tester le PCA.
8. Retourner à l’étape 2.
 Etapes d’audit assisté par ordinateur
Étape 1 - Récupération des fichiers informatiques

Après la prise de connaissance de l'entité et de son environnement et la

revue générale du système d'information, la conduite de la revue
d'application permet d'évaluer:
· la conformité du paramétrage et des traitements applicatifs avec les
règles de gestion arrêtées par l'entité et les règles légales en vigueur ;
· l'intégration ou l'interfaçage des applications;
· l'efficacité des contrôles programmés par l'entité auditée permettant
d'avoir une assurance satisfaisante sur l'exhaustivité, la réalité,
l'intégrité, la confidentialité et la disponibilité des données traitées.
Après ces activités, le CAC:
· identifie les risques; définit les données à exploiter (contenues dans
des fichiers ou des bases de données) ; récupère les fichiers et les
bases de données nécessaires à la réalisation des tests informatiques
utiles à l'audit, dans un format et sur un support adaptés pour la
récupération dans l'environnement informatique de l'auditeur. Compte
tenu de la diversité des technologies et des formats existants ainsi que
du volume des données, la récupération n'est pas aisée.
 Etapes d’audit assisté par ordinateur
Étape 2 - Validation des fichiers
La validation des fichiers importés par l'auditeur nécessite de rapprocher ces
fichiers avec la comptabilité de l'entité afin de s'assurer que les données
récupérées n'ont subi aucune modification lors de l'extraction et de l'intégration
dans l'environnement informatique de l'auditeur.

Étape 3 - Réalisation des tests

Une fois le contrôle des fichiers réalisé, les tests peuvent être lancés. Ils permettent
à l'auditeur, d'une part, de confirmer, sur la base d'éléments tangibles,
exhaustifs et incontestables, ses évaluations et, d'autre part, d'accéder à l'audit
de systèmes complexes de traitement, non contrôlables sans le recours à des
outils informatiques. En raison de leur importance, il est essentiel que les tests
réalisés puissent être reproduits ultérieurement et que toutes les étapes
intermédiaires soient sauvegardées. Il est recommandé que le logiciel de
traitement des données génère un journal des tests effectués.
Cette étape aboutit à la constitution d'un dossier contenant les résultats des tests.
Ils peuvent prendre des formes variables en fonction des objectifs, de l'étendue
des tests réalisés et de l'exploitation qui en sera faite.

Étape 4 - Analyse et synthèse

Cette dernière étape consiste à analyser et à interpréter les résultats des tests. Un
rapport de synthèse est alors rédigé, décrivant notamment les tests réalisés et
les recommandations qui en découlent.