Professional Documents
Culture Documents
Janvier 2013
Copyright 2013 par lInstitute of Internal Auditors, 247 Maitland Ave., Altamonte Springs, Floride, 32701-4201,
tats-Unis. Tous droits rservs. Imprim aux tats-Unis. Aucune partie de cette publication ne peut tre reproduite,
stocke dans un systme de consultation ou transmise sous quelque forme que ce soit, ni par aucun moyen (lectronique, mcanique, reprographie, enregistrement ou autre) sans autorisation crite pralable de lditeur.
LIIA publie ce document titre informatif et pdagogique. Cette publication entend donner des informations, mais
ne se substitue en aucun cas un conseil juridique ou comptable. LIIA ne fournit pas ce type de service et ne garantit,
par la publication de ce document, aucun rsultat juridique ou comptable. En cas de problmes juridiques ou comptables, il convient de recourir lassistance de professionnels.
Contenu
Rsum ............................................................................................................................................................. 4
1.
Introduction ........................................................................................................................................... 5
2.
3.
4.
5.
6.
7.
8.
Rapports ............................................................................................................................................... 17
9.
10.
Conclusion ........................................................................................................................................... 20
Rsum
les ressources de laudit des SI pourront se
recentrer sur les domaines qui prsentent le
plus de valeur ajoute pour lorganisation.
Rsum
Les systmes dinformation (SI) ont une influence
omniprsente sur l'audit interne. Lmergence de
nouveaux risques implique de repenser les procdures pour grer ces risques de faon adquate. Le
processus d'audit des SI nest globalement pas diffrent de celui dautres travaux d'audit : lauditeur
planifie la mission, identifie et documente les
contrles pertinents, vrifie lefficacit de la
conception et du fonctionnement de ces contrles,
en tire les conclusions et rdige son rapport. Les
responsables de l'audit interne (RAI) rendent
rgulirement compte des conclusions des missions d'audit des SI aux principales parties prenantes telles que le Conseil, la direction gnrale,
le directeur des systmes d'information, les rgulateurs et les auditeurs externes. Ce guide a pour
objectif d'aider les RAI planifier et grer les travaux d'audit avec une efficacit et une efficience
accrues en analysant comment :
GTAG Introduction
comme facilitateur pour les mtiers modifiera
les risques stratgiques d'une organisation.
Celle-ci doit comprendre ce changement et
prendre les mesures appropries pour grer
ces risques.
1. Introduction
Les risques auxquels est confronte lorganisation,
les types daudits effectuer, les modalits de priorisation dans lunivers daudit et la manire de formuler des constats pertinents sont autant de
proccupations des RAI. Ce guide pratique daudit
des technologies de linformation (GTAG) est destin aux RAI et aux personnes charges de la
supervision des missions daudit des SI et des tests
des SI intgrs dans d'autres missions.
Une des difficults les plus frquentes est de comprendre les liens entre contrles des SI, reporting
financier, fraudes, activits, conformit et autres
domaines cls. Cest relativement facile lorsque
vous valuez des contrles dans le cadre dun systme applicatif (par exemple, les paramtres de la
triple vrification de cohrence voque cidessus). a l'est nettement moins lorsque vous
valuez des technologies connexes qui peuvent
avoir un impact bien plus important sur l'organisation que les contrles propres une seule application ou un seul processus.
GTAG Introduction
par voie lectronique vers des comptes bancaires
sur la base des numros de routage SWIFT (Society
for Worldwide Interbank Financial Telecommunication) pour chaque compte fournisseur. Tous les
numros de lAutomated Clearing House (ACH)
sont stocks quelque part dans une table du systme de base de donnes de lorganisation. Un
administrateur de base de donnes, quiconque
ayant un droit d'accs la base de donnes, ou des
individus sans droit d'accs mais possdant les
comptences techniques leur permettant d'accder la base de donnes peuvent modifier chaque
entre de cette table pour y faire figurer le numro
ACH de leur propre compte bancaire. Ds qu'un
paiement lectronique est trait, les fonds sont
crdits sur le compte bancaire du contrevenant.
Une telle manipulation contournerait tous les
mcanismes de scurit, de contrle et de piste
daudit en place au sein du processus et de lapplication.
Dans le scnario ci-dessus, il est facile de comprendre comment la dfaillance dun contrle au
niveau de la base de donnes peut produire
davantage de dgts quune dfaillance au niveau
des paramtres de la triple vrification de cohrence. La probabilit et l'impact potentiel des
risques inhrents l'environnement des SI
devraient donc tre soigneusement pris en compte
dans le cadre de l'valuation annuelle des risques.
3. Infrastructure et
processus SI
1. Dfinition des SI
L'une des difficults auxquelles un RAI est
confront lorsqu'il dtermine l'implication des ressources d'audit informatiques est dapprhender
les usages du SI dans lorganisation. Le tlphone
et les messageries vocales en font-ils partie ? Les
systmes d'accs et d'identification, ainsi que les
systmes de scurit physique devraient-ils tre
inclus ? Et que faire si ces derniers sont externaliss ? Voici quelques-unes des questions auxquelles
il faut rpondre lorsquil sagit de dterminer comment allouer ses ressources daudit des SI.
Management des SI
Clients
Infrastructure technique
Systmes
dexploitation
Internet
Base de
donnes
Fournisseurs
Rseaux
Applications
Dveloppement
interne dune
solution
transactionnelle
Solution
Solution
transactionnelle
transactionnelle
gnrique
correspondant
customise par un
loffre dun
prestataire externe
prestataire externe
Logiciel de
support /
assistance
Centre de donnes
Processus des SI
Figure 1
Objectifs oprationnels
Risque oprationnel / stratgique
Processus mtier
Risques inhrents
au processus
Application
TIC
Informations
oprationnelles
Procdure
Risques inhrents
au processus
Procdure
Objectifs
Application
TIC
Objectifs
Informations
oprationnelles
Infrastructure
Assurance
Figure 2
Ces fonctions relvent de processus mtier. L'approche d'audit sera donc similaire une mission
classique. Lauditeur considrera les acteurs et
leurs tches, plutt que la configuration dun systme technique. Nanmoins, dans certains cas, la
gestion des processus porte sur les installations
techniques que l'audit devra prendre en considration. De mme, certains contrles peuvent
ncessiter des comptences spcialises. En principe, les comptences d'un auditeur interne expriment seront suffisantes.
5. Infrastructure technique
Linfrastructure technique sous-tend, soutient les
principales applications mtier et facilite leur mise
en uvre. En rgle gnrale, ce niveau comprend :
Les systmes d'exploitation L'ensemble
des programmes qui assurent le fonctionnement des ordinateurs. Citons par exemple
Z/OS, UNIX, Windows, et OS/400. Tous les
programmes et les fichiers sont grs par le
systme d'exploitation. Les actions engages
au niveau du systme dexploitation parviennent en gnral contourner la plupart des
dispositifs de scurit et des contrles existant
au niveau du processus.
Les fichiers et les bases de donnes Toutes
les donnes lectroniques de lorganisation,
critiques ou autres, sont contenues dans des
fichiers qui peuvent faire partie d'une base de
donnes. Les bases de donnes (qui peuvent
tre un seul fichier ou un groupe de fichiers)
comprennent des tables contenant des donnes, des relations entre des donnes lmentaires et des index de donnes lmentaires. La
flexibilit des structures d'une base de donnes
explique qu'elles soient utilises pour la plupart des traitements oprationnels et des
applications de remonte d'informations. Ces
bases sont par exemple Oracle, MS SQL
Server et DB2. Les actions engages au niveau
des bases de donnes tendent galement
contourner la plupart des contrles qui existent au niveau du processus.
Rseaux Pour que les donnes circulent
dans une organisation, il faut quelles disposent dun vecteur, qui peut tre un cble, une
fibre optique ou un systme sans fil. Le rseau
se compose d'lments physiques tels que des
cbles, des appareils qui grent le trafic sur le
rseau, comme les commutateurs, les routeurs
ou les pare-feux, et des programmes qui commandent la circulation des donnes. Lintgrit
du rseau joue un rle important dans
lexhaustivit et lexactitude des donnes dune
organisation. Par exemple, lorsque l'agent dun
entrept prpare lexpdition dun produit en
scannant un code-barres, la transaction est
6. Applications
Les applications mtier sont des programmes qui
excutent des tches spcifiques lies aux activits
de lorganisation. Elles font partie intgrante du
processus mtier et ne peuvent tre considres
sparment des processus qu'elles soutiennent.
Les applications appartiennent gnralement
deux catgories :
Les solutions transactionnelles sont principalement des logiciels qui traitent et enregistrent
les transactions, par exemple des logiciels de
traitement des bons de commande, de saisie
dans le Grand Livre et de gestion des entrepts.
Les logiciels support sont des logiciels spcialiss qui facilitent les activits mtier mais ne
traitent gnralement pas les transactions. Ils
servent par exemple au stockage des donnes,
la messagerie lectronique, la tlcopie,
la veille stratgique (business intelligence), la
gestion lectronique des documents (GED) et
la conception.
Alors que les solutions transactionnelles constituent gnralement lessentiel de leffort daudit,
certains logiciels support tels que ceux qui viennent en appui du reporting externe ou les appli-
10
cations qui contrlent des machines peuvent galement tre soumis des risques importants.
L'audit interne doit valuer continuellement les
risques mergents pour l'organisation et identifier
la rponse d'audit requise. Les connaissances spcialises requises pour certains aspects des SI peuvent rendre ce processus complexe.
7. Connexions externes
Le rseau de lorganisation ne fonctionne pas isolment. Il est quasiment toujours connect de
nombreux autres rseaux externes. Internet est
celui qui vient le premier lesprit, mais trop souvent, les auditeurs commettent lerreur de ne pas
aller au-del.
En ralit, il est fort probable que le rseau de l'entreprise soit connect de nombreux autres
rseaux (dont le cloud et les logiciels des prestataires de services). Par exemple : lorganisation
opre-t-elle via un change de donnes informatises (EDI) ? Si tel est le cas, son rseau est certainement connect celui dun prestataire dEDI,
ou peut-tre directement au rseau dun partenaire commercial. Lorganisation externalise-t-elle
sa fonction de stockage ? Si oui, les deux rseaux
sont aussi probablement relis. Les risques associs aux rseaux d'autres organisations et les
contrles y affrents sont diffrents de ceux applicables aux connexions Internet.
Dans la mesure o les organisations continuent
dautomatiser leurs processus cls, les tiers ont de
plus en plus accs leur rseau, souvent via Internet. Prenons par exemple la possibilit de vrifier
le solde dun compte bancaire ou ltat davancement dune expdition. Les clients qui utilisent ces
fonctions entrent probablement dans le rseau
interne de ces entreprises via Internet.
Du fait que lorganisation ne matrise pas les
rseaux extrieurs, les communications provenant
(ou transmises vers) des rseaux externes
devraient tre rigoureusement contrles et surveilles en fonction du risque qu'elles reprsentent
11
Outre la collecte de donnes, la conduite d'entretiens avec les principales parties prenantes telles
que le management des SI, le management oprationnel et les experts constitue galement une
source importante pour l'valuation des risques
relatifs aux SI. Les interviews peuvent aider
quantifier les risques difficiles mesurer directement.
Enfin, pour une description plus dtaille de l'valuation des risques relatifs aux SI, vous pouvez
consulter le GTAG 11 : laboration d'un plan daudit
des SI.
5. Univers d'audit
Pour constituer les bases de l'allocation et de la
prvision des ressources en audit des SI et pour
assurer la couverture ncessaire la fourniture
dune assurance raisonnable concernant les
risques relatifs aux SI, les domaines impliquant des
SI et ncessitant des comptences spcialises en
audit des SI devraient tre identifis dans l'univers
d'audit.
Il ne devrait pas y avoir d'univers d'audit des SI
distinct. Les travaux d'audit des SI devraient tre
intgrs l'univers d'audit global car les SI et les
processus mtier qu'ils sous-tendent sont fortement interdpendants. Par exemple, les applications informatiques mtier feront gnralement
partie de l'univers d'audit global l'intrieur d'un
processus mtier. La structuration de l'univers
d'audit devrait permettre un regroupement par
type d'audit et donc une identification des missions ncessitant des comptences spcialises
(par exemple, l'audit des applications et des processus des SI).
6. Savoir-faire et
comptences
Une thmatique rcurrente dans de nombreuses
organisations, concerne lcart entre dune part
l'utilisation des systmes informatiques et la
dpendance des organisations leur gard, et
dautre part, les ressources utilises pour identifier
et grer les risques dcoulant de ces technologies.
Il est donc primordial que la fonction d'audit
interne tienne compte des systmes d'information
lorsqu'elle value les processus de gouvernance,
de management des risques et de contrle.
Par consquent, un RAI qui a une bonne apprhension de lunivers daudit, des risques gnrs
par l'utilisation des SI, ainsi que des comptences
en audit des SI dont il dispose, devrait tre mme
de cibler les efforts de recrutement et de formation
en consquence. En l'absence du savoir-faire et
des comptences informatiques ncessaires, ou s'il
est dcid de ne pas former ou embaucher de collaborateurs possdant ces comptences, le RAI
peut faire appel un prestataire de services externe
pour toffer ou complter l'quipe d'audit interne
(sous-traitance ou co-sourcing)1.
Pour s'acquitter des responsabilits relatives laudit des SI, le RAI devrait se poser des questions
cls concernant la gestion des comptences et du
savoir-faire des auditeurs :
Toutes les composantes des SI de l'organisation sont-ils inclus dans le processus de planification et tous les domaines haut risque
ont-ils t identifis ?
Existe-t-il une vue d'ensemble de l'ventail
des comptences ncessaires pour auditer
l'usage des SI de l'organisation et les comptences dj disponibles ?
Le service d'audit dispose-t-il d'une politique
sur la gestion des connaissances manquantes
(par exemple recrutement, sous-traitance ou
co-sourcing) ?
Les auditeurs des SI possdent-ils la formation, les certifications et l'exprience requises ?
Si ce n'est pas le cas, le service d'audit interne
a-t-il mis en place un plan pour pallier ce
manque ?
Le service d'audit interne dispense-t-il la formation adquate aux auditeurs pour apprhender lusage du SI, les risques y affrents et
les modalits daudit appropris ?
Le RAI devrait obtenir l'avis et l'assistance de personnes qualifies si le service d'audit interne ne
possde pas les connaissances, le savoir-faire et les
autres comptences ncessaires pour s'acquitter
de tout ou partie d'un audit des SI. Les ressources
affectes la ralisation des missions planifies
ont un rle critique. Par exemple, les comptences
requises pour auditer la configuration dun parefeu sont trs diffrentes de celles ncessaires pour
auditer les tables dans une base de donnes. Pour
une mission donne requrant telles ou telles
comptences, il est donc essentiel de trouver lau-
Pour de plus amples dtails, voir la MPA 1210.A1-1 : Recours des prestataires externes.
14
3. COSO et COBIT
O un RAI peut-il trouver une srie cohrente
dobjectifs de contrle des SI ? Les cadres de rfrence Contrle interne et management des risques de
lentreprise du Committee of Sponsoring Organizations of the Treadway Commission (COSO) constituent des sources d'information frquemment
consultes, mais ils ne sont pas spcifiquement
axs sur les SI. Lenvironnement de contrle reposant sur le COSO devrait tre complt par des
objectifs de contrle des SI plus dtaills, qui permettront dvaluer plus efficacement lenvironnement de contrle des SI. Il existe un certain
nombre de possibilits cet gard.
15
16
GTAG Rapports
qus au management que les risques relatifs aux
SI. Les risques relatifs aux SI dbouchent in fine
sur des risques oprationnels, mais le lien entre les
deux n'est pas toujours clair.
8. Rapports
Comme pour tous les autres travaux d'audit
interne, les RAI rendent compte rgulirement des
rsultats des missions d'audit des SI aux principales parties prenantes telles que le Conseil1, la
direction gnrale, le directeur des systmes d'information, les rgulateurs et les auditeurs externes.
Pour des lignes directrices plus dtailles sur la
faon de communiquer avec les principales parties
prenantes, voir le guide pratique de l'IIA, Interaction with the board.
Les rapports devraient tre rdigs pour des lecteurs avertis, mais qui ne possdent peut-tre pas
d'exprience spcifique dans le domaine audit, et
le message ne doit tre ni dlay ni noy dans un
langage technique. L'objectif du RAI est de prsenter un message clair, comprhensible et quilibr.
Le terme Conseil est utilis au sens donn dans le glossaire des Normes, savoir : Le niveau le plus lev des organes de gouvernance, responsable
du pilotage, et/ou de la surveillance des activits et de la gestion de l'organisation. Habituellement, le Conseil (par exemple, un conseil dadministration,
un conseil de surveillance ou un organe dlibrant) comprend des administrateurs indpendants. Si une telle instance nexiste pas, le terme Conseil ,
utilis dans les Normes, peut dsigner le dirigeant de lorganisation. Le terme Conseil peut renvoyer au comit daudit auquel lorgane de gouvernance a dlgu certaines fonctions.
17
9. Outils d'audit
Les RAI devraient chercher utiliser des outils
et/ou des techniques pour accrotre l'efficience et
l'efficacit de l'audit. En rgle gnrale, les outils
d'audit requirent un investissement, si bien que
le RAI devrait soigneusement valuer le rapport
cot/avantages de toute solution avant de sy
engager. Les outils daudit peuvent tre rpartis en
deux catgories : les facilitateurs daudit (qui ne
sont pas abords ici), qui viennent en support du
processus global daudit (par exemple un outil de
gestion des documents de travail lectroniques), et
les outils de tests : outils qui automatisent la ralisation des tests daudit (comme les outils danalyse des donnes et les techniques daudit assist
par ordinateur).
Les RAI devraient savoir que les mmes considrations s'appliquent tant l'acquisition d'outils
d'audit des SI quau choix de n'importe quel autre
outil oprationnel (par exemple fonctionnalit,
support).
19
GTAG Conclusion
outre, les RAI devraient chercher utiliser des
outils et/ou des techniques pour accrotre l'efficience et l'efficacit de l'audit. Comme pour n'importe quel outil, les outils d'audit requirent un
investissement en temps et en ressources, si bien
que le RAI devrait soigneusement valuer le rapport cot/avantages de toute solution avant de sy
engager.
10. Conclusion
Lapparition de nouveaux risques lis la technologie impose de repenser les procdures pour bien
grer ces risques. Il ne fait aucun doute qu'au cours
des 15 dernires annes, la technologie a modifi
la nature de la fonction daudit interne.
Aujourdhui, les RAI devraient sinterroger sur les
risques auxquels est confronte lorganisation, les
types daudits effectuer, les modalits de priorisation dans lunivers daudit et sur la manire de
communiquer des constats pertinents au Conseil
et la direction gnrale.
Enfin, le processus pour raliser une mission relative aux risques SI nest gnralement pas diffrent
de celui dautres travaux d'audit : lauditeur planifie la mission, identifie et documente les contrles
pertinents, vrifie lefficacit de la conception et du
fonctionnement de ces contrles, en tire des
conclusions et rdige son rapport. De mme, les
RAI rendent compte rgulirement des rsultats
des travaux d'audit des SI aux principales parties
prenantes telles que le Conseil, la direction gnrale, le directeur des systmes d'information, les
rgulateurs et les auditeurs externes.
Annexe A : Normes de
rfrence
Les normes cites ci-aprs peuvent tre prises en
considration :
ISO 27001 ISO 27001/ISO 17799 LOrganisation internationale de normalisation (ISO) a dit
une norme gnrique sur la scurit des SI reconnue lchelle internationale. Il sagissait au
dpart dune norme britannique (BS 7799), qui a
t transforme en norme ISO et qui est dsormais connue sous lappellation ISO 27001. Elle
prsente les bonnes pratiques communment
admises concernant la gestion de la scurit des SI
et constitue un document de rfrence utile
partir duquel les auditeurs des SI peuvent mener
bien leurs missions.
http://www.sans.org
IT Infrastructure Library (ITIL) L'ITIL est l'approche la plus gnralement admise de la gestion
des services des SI dans le monde. L'ITIL donne
un ensemble homogne de meilleures pratiques
tires des secteurs public et priv l'chelle internationale.
http://www.iso.org
http://www.itil-officialsite.com
Capability Maturity Model Integration
(CMMI) Le Software Engineering Institute (SEI)
de luniversit Carnegie Mellon a labor le
concept de Capability Maturity Models (CMM,
modles de maturit des capacits) relatifs diffrents processus au sein dune organisation,
notamment en ce qui concerne le dploiement de
logiciels. L'approche la plus rcente est CMMI.
http://www.sei.cmu.edu
22
23
AVERTISSEMENT
LInstitute of Internal Auditors publie ce document titre informatif et pdagogique. Cette ligne directrice na pas
vocation apporter de rponses dfinitives des cas prcis, et doit uniquement servir de guide. LInstitute of
Internal Auditors vous recommande de toujours solliciter un expert indpendant pour avoir un avis dans chaque
situation. LInstitute dgage sa responsabilit pour les cas o des lecteurs se fieraient exclusivement ce guide.
COPYRIGHT
Le copyright de ce guide pratique est dtenu par lInstitute of Internal Auditors et par lIFACI pour sa version franaise. Pour lautorisation de reproduction, prire de contacter lInstitute of Internal Auditors ladresse
guidance@theiia.org ou lIFACI ladresse recherche@ifaci.com.
IFACI
98bis, Boulevard Haussmann
75008 PARIS, France
Tlphone : 01 40 08 48 00
Fax : 01 40 08 48 20
Site Web : www.ifaci.com
Courrier lectronique : recherche@ifaci.com