Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit des systèmes d'information
1. Audit des systèmes d’information : mise en
œuvre de l’approche Cobit 4.1
(Élaboration d’un générateur de guides
d’audit pour le cas de la STEG)
Mr Ammar SASSI
Mr Salah RIAHI
Expert d’audit certifié CISA
&
Mr Ridha BOUSSAIDI
Chef de Département Audit Informatique
Direction Audit - STEG
Élaboré par :
Encadré par :
Université de Sfax
Institut des Hautes Études Commerciales de Sfax
MÉMOIRE DE STAGE
Pour l’obtention du diplôme de MASTÉRE PROFESSIONNEL
« Audit Interne et Audit des Systèmes d’Information »
ANNEE UNIVERSITAIRE 2012-2013
2. 1
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Remerciements
D’abord je tiens à remercier le chef de département audit informatique à la direction audit interne de
la STEG Mr Ridha BOUSSAIDI de m’avoir accompagné et conseillé tout au long de cette période
de stage. Je le remercie fortement pour son aide, sa disponibilité et ses précieux conseils. Et je tiens à
souligner que nos échanges professionnels ont été très enrichissants et constructifs.
Je remercie aussi Mr Salah RIAHI mon encadreur et l’ensemble de l’équipe pédagogique du
« Master Professionnel Audit Interne et Audit des Systèmes d’Information » de l’IHEC Sfax,
surtout Mme Samah REBAI pour sa disponibilité et son soutien qu’elle nous a accordé au cours de
nos études.
Pour terminer, je remercie toutes les personnes qui ont pu m’aider pendant mon parcours et dont les
noms ne figurent pas sur cette page.
3. 2
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Sommaire
Introduction
Partie 1 : Fondements théoriques
Chapitre 1 : L’audit des systèmes d’information au cœur de la fonction d’audit interne
I. Le système d’information d’entreprise
II. Le métier d’audit interne
III. L’audit des systèmes d’information
Chapitre 2 : Cobit 4.1 un cadre fédérateur d’audit des systèmes d’information
I. L’ISACA et ses principales contributions en matière d’audit des systèmes
d’information
II. Présentation du cadre de référence Cobit 4.1
III. Approche Cobit 4.1 en matière d’audit des systèmes d’information
Partie 2 : Partie pratique
Chapitre 3 : Contexte du stage – Présentation de la STEG et sa direction d’audit interne
I. Présentation de la STEG
II. La Direction d’Audit Interne de la STEG
Chapitre4 : Èlaboration d’un générateur de guides d’audit sur la base de l’approche Cobit 4.1
I. Ètat des lieux de la STEG en matière de management et d’audit des systèmes
d’information
II. Élaboration du générateur de guides d’audit : démarche et résultats
Conclusion
4. 3
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Table des figures
Figure 1 : Le système d'information au centre de l’organisation de l’entreprise 9
Figure 2 : Les différentes ressources d’un système d'information 10
Figure 3 : Types de contrôles informatiques issus de la loi SOX 13
Figure 4 : Les différentes approches d'audit 15
Figure 5 : Démarche générale d’une mission d’audit 17
Figure 6 : La relation « Audit Interne - Audit des SI » 24
Figure 7 : Les différents types de missions d’audit des SI 25
Figure 8 : Les principaux référentiels de la DSI 27
Figure 9 : Evolution du cadre de référence Cobit 31
Figure 10 : Le cube Cobit4.1 (inspiré du COSO) 32
Figure 11 : Le modèle processus de cadre de référence Cobit 4.1 34
Figure 12 : Le principe de cascade des objectifs de Cobit 4.1 35
Figure 13 : Le tableau RACI correspondant au processus PO10 36
Figure 14 : L’échelle de maturité des processus selon Cobit4.1 37
Figure 15 : La documentation Cobit 4.1 38
Figure 16 : Les différents types de procédures d’évaluation selon le guide d’audit Cobit4.1 40
Figure 17 : Les différentes relations entre les procédures d’évaluation et les composants de Cobit4.1 41
Figure 18 : Les éléments relatifs à la notion de risque 44
Figure 19 : Processus de cadrage d'une mission d'audit selon l'approche Cobit4.1 44
Figure 20 : Les 8 étapes de cadrage d'une mission d'audit selon l’approche Cobit4.1 45
Figure 21 : Le processus de cadrage Cobit4.1 46
Figure 22 : Processus d’exécution d'une mission d'audit selon l'approche Cobit4.1 47
Figure 23 : Organigramme générale de la STEG 55
Figure 24 : Principe de la boucle d'amélioration continue (PDCA) 60
Figure 25 : Le guide générique (la plateforme de questionnaires d'audit) 67
Figure 26 : Les exigences du cadre de référence Cobit4.1 en matière de la sécurité des SI (critères d’information) 69
Figure 27 : Cadrage de haut niveau de la mission « Audit de la sécurité globale des SI » 71
Figure 28 : La carte de correspondances « Missions - Objectifs de contrôle » 79
Figure 29 : La carte de correspondance « Audit de la sécurité globale des SI - Objectifs de contrôle » 80
Figure 30 : La carte de correspondance « Audit de la sécurité des services internes - Objectifs de contrôle » 81
Figure 31: Les principaux standards et normes informatiques qui traitent la sécurité des SI 82
Figure 32 : La famille des normes ISO 2700X 83
5. 4
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Liste des tableaux
Tableau 1 : L'informatique de la vision traditionnelle à la vision intégrée 12
Tableau 2 : Phase de préparation d'une mission 18
Tableau 3 : Phase de réalisation d'une mission 19
Tableau 4 : Phase de conclusion d'une mission 19
Tableau 5 : Les dix commandements pour un bon échantillonnage 20
Tableau 6 : Les règles à suivre dans une interview 21
Tableau 7 : Les différents types de questionnaire d'audit 22
Tableau 8 : Exemples de missions d'audit des SI 26
Tableau 9 : Descriptions des principaux référentiels et normes d’audit des SI 28
Tableau 10 : Les différentes méthodes d'évaluation des contrôles adoptées par Cobit4.1 et SAS70 48
Tableau 11 : Les principales exigences de la norme S7 de l'ISACA 50
Tableau 12 : Fiche technique de la STEG 52
Tableau 13 : Les chiffres clés de la STEG 54
Tableau 14 : Domaines d'intervention de la direction d'audit interne de la STEG 57
Tableau 15 : Répartition des missions d'audit par département d’audit 58
Tableau 16 : Les familles de risques pouvant contrarier le fonctionnement des SI 68
Tableau 17 : Liste des objectifs de contrôle correspondant à la mission « Audit de la sécurité globale des SI » 73
Tableau 18 : Découpage de la mission « Audit de la sécurité globale des SI » en sous-missions spécifiques 77
Tableau 19 : Table de mappage Cobit 4.1 - ISO/CEI 27002 84
6. 5
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Introduction
Dans une économie postindustrielle l’information a évolué d’un simple support d’indicateurs
financiers, économiques et opérationnels pour devenir un élément axial et contributif à la réalisation
des objectifs stratégiques des entreprises. Faisant ainsi émerger la fonction informatique de
l’approche traditionnelle, qui la considère comme juste une plateforme technique assistant les
différentes activités de l’entreprise, vers une nouvelle approche intégrée, qui la traite en tant qu’un
composant de la chaine de valeur opérant au service des métiers d’une manière systématique d’où la
notion de système d’information (désormais SI). Ce constat en plus des évolutions technologiques
ainsi que les différents challenges des entreprises face à des environnements changeant ont
considérablement renforcé la position des SI pour qu’ils deviennent les garants de la bonne
performance et de la pérennité des entreprises. Sur ce, le maintien des niveaux d’efficacité,
d’efficience, de qualité et de sécurité élevés de ces SI sera d’une grande importance.
En fait les entreprises disposent d’un système de contrôle interne leur permettant de mettre en place
un ensemble de dispositifs afin de s’assurer de l’efficacité et l’efficience de leurs activités et de les
protéger contre les risques et les éventuels dysfonctionnements. Ce principe se décline aussi sur les
SI, on distingue ainsi différents contrôles traitant les activités de ceux-ci. Ces contrôles sont soit
édictés par la doctrine propre à l’entreprise, soit imposés par des lois et réglementations en vigueur.
C’est au niveau de leurs directions d’audit interne que les entreprises cherchent perpétuellement à
améliorer les dispositifs de contrôle mis en place en planifiant continuellement des missions d’audit
afin de détecter les points de faiblesses de ceux-ci et d’apporter les corrections nécessaires. Ces
missions ont pour vocation de donner une assurance raisonnable aux dirigeants et aux responsables
des métiers quant à la bonne application de ces dispositifs et la pérennité de l’entreprise en générale.
Pour ainsi faire les auditeurs internes se référent lors de leurs missions à des lois, des
réglementations, des référentiels et/ou des normes internationales présentant des recommandations et
des bonnes pratiques établies par des professionnels et des experts dans le domaine.
7. 6
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
En matière des SI les auditeurs et les responsables en assurance ont à leur disposition un éventail de
référentiels et normes qui traitent ces derniers de plusieurs perspectives tel que : la sécurité, la
qualité, la performance … ou visent en particulier des éléments de ceux-ci, par exemple : les
services, les applications, les projets, les installations, l’architecture matérielle, …
Ce présent travail se situe dans le cadre d’un stage que j’ai effectué chez la direction d’audit interne
de la « Société Tunisienne de l’Électricité et de Gaz » (STEG) pour l’obtention du diplôme de
« Master Professionnel en Audit Interne et Audit des Systèmes d’Information » (MAIASI). La STEG,
l’établissement hôte, a été parmi les premières entreprises tunisiennes à intégrer la fonction d’audit
interne dans sa structure (en posant la première brique en 1972) afin de se conformer aux
réglementations en vigueur, d’améliorer la qualité de ses services et de se protéger contre les risques
et les anomalies possibles. Et en remarquant précocement les enjeux des SI dans l’économie
moderne, elle a été la première en Tunisie à établir une unité d’audit informatique en 1985. Depuis
ces dates, la direction de l’audit interne de la STEG n’a cessé, dans le cadre d’une stratégie globale
d’amélioration continue adoptée par la direction générale, de chercher à faire évoluer ses approches,
ses méthodes et ses outils d’audit.
Ma mission lors de ce stage a été de contribuer au développement de la fonction d’audit interne,
notamment en matière des SI, en apportant des nouvelles solutions et approches issues de mes études
et mes différentes lectures. Une étude de l’état des lieux des SI de la STEG menée au début de ce
stage, a montré des besoins accrus en missions d’audit. Face à ces besoins les responsables d’audit
de la STEG se référent à une variété de réglementations, normes et cadres de référence pour
planifier et exécuter un grand nombre de missions d’audit portant sur cet élément annuellement .
Ces missions bien qu’ils apportent leurs contributions quant à l’amélioration des dispositifs de
contrôle interne, reste qu’ils ne couvrent pas intégralement les SI et leurs différents composants, ce
qui peut engendrer des failles intolérables. Par exemple des missions portant sur la sécurité des
services, des données et/ou des applications ne peuvent garantir la protection des entreprises à 100%
contre tous les risques qui peuvent aussi bien être de nature humaine, managériale, matérielle, …
Ainsi la question qui se pose : « quelle solution peut-on mettre en œuvre afin de permettre aux
auditeurs de planifier, organiser et exécuter des missions d’audit cohérentes, complémentaires et
couvrant l’intégralité des SI?»
8. 7
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
La réponse va trouver son incarnation dans l’approche globale et systématique du cadre de référence
Cobit4.1(1)
grâce à son modèle processus qui couvre l’ensemble des activités de la DSI(2)
et intègre
toutes les ressources associées aux SI. Et pour la raison que ce cadre harmonise et unifie différentes
démarches et bonnes pratiques d’un grand nombre de référentiels et normes internationales lui valant
ainsi le titre du cadre fédérateur le plus complet. Le long de ce travail, on va essayer de présenter et
mettre en œuvre l’approche de cadre de référence Cobit4.1 en matière d’audit des SI tout en
exploitant ses différents éléments et l’ensemble de sa documentation. Le produit de ce présent travail
concrétisera cette approche en un générateur de guides d’audit, permettant de générer des
questionnaires basés sur les procédures d’évaluation Cobit4.1 pour différentes missions d’audit et
fournissant en extension un ensemble de tables de mappage afin de se référer à d’autres cadres et
normes internationales.
Ce mémoire de stage sera alors organisé en deux grandes parties, une partie théorique présentant
l’approche du cadre de référence Cobit4.1 en matière d’audit ainsi que ses éléments constitutifs, tout
en posant la lumière sur un nombre de concepts, notions et éléments relatifs au sujet de ce mémoire,
tels que : le SI, le système de contrôle interne, la fonction d’audit interne et sa disciple l’audit des SI,
les différents référentiels et normes d’audit des SI … Et une deuxième partie pratique afin de
présenter le cadre et la mission de stage ainsi que le générateur de guides d’audit (le produit de ce
présent travail) et la démarche suivie pour l’élaborer.
(1)
Cobit4.1 (« Control Objectives for Information and Related Technology ») c’est un cadre de référence de contrôle, de
management et d’audit des SI élaboré par l’ISACA (« Information Systems Audit and Control Association »).
(2)
Direction des Systèmes d’Information.
9. 8
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Partie 1 : Fondements théoriques
10. 9
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Chapitre 1 : L’audit des systèmes d’information au cœur de la fonction
d’audit interne
I. Le système d’information
1) Notion de système d’information
L’information est devenue un élément crucial et contributif à la « création de la valeur » pour les
entreprises à nos jours. C’est la synthèse d’un ensemble de données enregistrées, classées et
organisées afin d’avoir une signification et une utilité au contexte et à l'instant désiré. Plusieurs
types d’information œuvrent au sein de l’organisation d’une entreprise, il y a :
l'information décisionnelle qui assure la prise de la décision au plus haut niveau,
l'information opérationnelle nécessaire techniquement à l'exécution du travail,
l'information de gestion qui définit les responsabilités, rôles et tâches,
l'information de communication qui véhicule l’éthique, la doctrine et les politiques.
Les différentes activités de l’entreprise tel que : l’activité administrative, l’activité commerciale, la
production, le marketing, la comptabilité et le management utilisent l’information et la produisent
par le biais des SI. Ces derniers présentent le cadre stratégique, managériale, technique et
opérationnel permettant de maîtriser et d’exploiter cette variable stratégique.
Robert REIX définit le SI comme étant « un ensemble organisé de ressources : matériel, logiciel,
personnel, données, procédures permettant d’acquérir, traiter, stocker, communiquer des
informations dans les organisations ». (3)
Figure 1 : Le système d'information au centre de l’organisation de l’entreprise
(3)
REIX, R. (2004). « Systèmes d'information et management des organisations ». Vuibert.
11. 10
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Le SI est alors considéré comme une colonne vertébrale sur laquelle se calent les différents autres
systèmes de l’entreprise (voir Figure 1). Il permet d’assurer la circulation de l’information de la
direction générale jusqu’aux métiers et de la concrétiser afin qu’elle puisse contribuer efficacement à
la performance des activités de l’entreprise et par conséquence à sa performance financière.
2) Périmètre du système d’information
Il s’avère très important, afin de dissiper toute confusion pour le lecteur, de faire la distinction entre
les deux notions suivantes : le SI (objet de ce mémoire) et les TI (les technologies de l’information
plus généralement, dénommées TIC : technologies de l’information et de communication). Ces
derniers regroupent l’ensemble des composants matériels et logiciels ainsi ceux des réseaux
permettant et assurant la collection, la transformation, le stockage et la diffusion de l’information.
En retournant à la définition de Robert REIX, on remarque bien que le périmètre du SI intègre celui
des TI (en tant que l’ensemble des ressources matérielles et logiciels) et il l’étend en lui associant
d’autres ressources :
Le personnel : qui groupe les utilisateurs de l’information, les décideurs, les analystes et toute
personne dont sa tâche est en relation étroite avec l’information.
Les données : qui représentent les éléments d’entrée (que se soit d’origine interne ou externe) à
leurs états bruts et qui seront analysées et traitées par le SI.
Les procédures(4)
: qui représentent la manière de mettre en œuvre tout ou une partie d'un
processus.
Figure 2 : Les différentes ressources d’un système d'information
(4)
Par définition une procédure représente le Qui (les responsabilités) fait Quoi ? (les processus), Où et Quand ? (le
planning), Comment ? (les activités), Combien ? (les investissements) et Pourquoi ? (les objectifs). (QQOQCCP).
Systéme d'information
Personnel
Données
Procédures
Technologies de l'information
Ressources
matériels
Ressources
logiciels
12. 11
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Ainsi le SI consiste à réaliser plusieurs opérations dépassant la simple collection, traitement,
stockage et diffusion de l’information, il est conçu aussi pour assurer :
la gestion des ressources informatiques,
la gestion des tâches, rôles et responsabilités,
la gestion de la relation avec les utilisateurs et la prestation des services,
la gestion des projets informatiques,
la qualité et la sécurité des produits, services et activité
la protection matériel et logiciel
la protection des données ….
De ce fait on peut conclure que le SI ne se limite pas aux simples dimensions techniques et
technologiques, mais il représente la gestion globale de l’information (de l’information stratégique à
l’information opérationnelle) au moyen d’un ensemble de ressources technologiques,
organisationnelles et humaines.
3) La mutation de la fonction informatique
Une évolution de la notion de l’informatique dans l’économie moderne a transformé l’organisation
de la fonction informatique d’une approche classique qui la découpe selon l’organisation structurelle
(fonctionnelle) de l’entreprise vers une nouvelle approche axée sur les métiers et organisée en
processus interconnectés, donnant ainsi lieu à la nouvelle notion de système d’information.(5)
Cette mutation a permet d’installer le SI au cœur de l’organisation de l’entreprise, désormais le SI est
devenue une variable structurante et contributive à l’atteinte des objectifs stratégiques puisqu’il est
directement embarqué dans les opérations métiers, non plus considéré comme juste un support
technologique (voir Tableau 1).
(5)
Les différents modèles d’organisation de la fonction informatique :
Le modèle traditionnel : consiste à découper cette fonction selon une vision organisationnelle (en imitant
l’organisation fonctionnelle de l’entreprise), ce modèle considère l’informatique comme un moyen et un outil
pour assister les différentes activités de l’entreprise.
Le modèle métier : opte à un découpage selon l’ensemble des métiers qui existent au sein de l’entreprise, ce
découpage marche en phase avec les systèmes intégrés de gestion des données : les ERP (« Enterprise Resource
Planning » aussi appelés « Progiciels de Gestion Intégrés » (PGI)) qui sont en fait des applications dont le but est
de coordonner l'ensemble des activités d'une entreprise, telles que la production, la vente, l’approvisionnement, le
marketing, la gestion des ressources humaines, ... autour d'un même système d'information.
Le modèle processus : conçu sur la base du modèle métier, permettant d’organiser les activités en processus
interconnectés afin de réaliser les objectifs globaux de l’entreprise. C’est au niveau de ce modèle qu’on a vu
l’évolution de la notion de l’informatique vers celle de SI.
13. 12
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Tableau 1 : L'informatique de la vision traditionnelle à la vision intégrée
Vision traditionnelle Vision intégrée
L’informatique est un centre de coût. Le SI est un élément de la chaine de valeur.
L’informatique est un moyen. Le SI est un actif de l’entreprise.
L’informatique est une fonction de support et
non stratégique.
Le SI est une fonction de transformation
stratégique.
L’informatique est un bien privatif, cloisonné
à chaque service ou direction.
Le SI est un bien collectif pour l’entreprise,
partagé par tous.
L’informatique est un domaine réservé aux
informaticiens.
Le SI est un domaine transversal à l’entreprise,
au service de tous.
Source : « Alignement stratégique du système d’information ». Cigref (2002).
4) Système d’information et contrôle interne
Le contrôle interne est un système mis en œuvre par le management et destiné à donner une
assurance raisonnable quant à la réalisation et l’optimisation (efficacité et efficience) des activités de
l’entreprise, la fiabilité de l’information financière et la conformité aux lois et règlementations en
vigueur. Il permet de maîtriser les opérations à risques que l’entreprise ne veut ou ne peut ni
transférer ni abandonner et cela en cherchant à réduire ces risques à des niveaux acceptables. Ainsi
tout élément ou composant de l’entreprise est mis sous contrôle de conformité, de performance et de
bon fonctionnement par référence à des lois, des réglementations, des référentiels de contrôle interne
et/ou des normes.
Ce système repose en une partie sur des contrôles informatiques qui sont soit édictés par les cadres
de références propres à l’entreprise ou imposés par des lois et des réglementations en vigueur,
comme le cas des contrôles issus de la section 404 de loi SOX(6)
et de son homologue la LSF(7)
(voir
Figure 3). En faite ces lois émergeantes exigent aux entreprises une transparence financière qui ne
peut être garanti que par la production des informations qui vérifient les critères de fiabilité, de
traçabilité et de sécurité. Ainsi les activités des SI associées au reporting financier doivent être
contrôlées et gérées via des dispositifs de contrôle informatiques qui seront intégrés dans le système
de contrôle interne.
(6)
La loi SOX (loi « Sarbanes-Oxley »), est une loi établi par le sénateur « Paul Sarbanes » et le député « Mike Oxley » et
voté par le congrès américain suite aux différents scandales financiers des entreprises cotées en bourse aux débuts des
années 2000, tels ceux d' « Enron » et de « Worldcom »... Cette loi a pour objectif d'accroître la responsabilité des
entreprises, de rendre la communication de l'information financière transparente et plus fiable ainsi que de lutter contre
les comportements déviants et frauduleux des entreprises.
(7)
La LSF («Loi de la Sécurité Financière »), cette loi s'applique à toutes les sociétés cotées en bourse pour le cas de la
France et comme la loi américaine « Sarbanes-Oxley » elle repose principalement sur : une responsabilité accrue des
dirigeants, le renforcement du contrôle interne et la réduction des sources de conflits d'intérêt.
14. 13
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Figure 3 : Types de contrôles informatiques issus de la loi SOX
En réponse aux exigences de la loi SOX, les entreprises ont largement adopté l’approche et la
démarche du cadre de contrôle interne COSO(8)
. Ce cadre de référence permet via sa structure de
déployer un ensemble de dispositifs de contrôle internes permettant de maîtriser les différentes
activités de l’entreprise, y compris les activités informatiques. Ainsi COSO définit un sous-ensemble
de contrôles informatiques qu’on peut les répertorie en trois classes :
Les contrôles informatiques au niveau de l’entité : ces contrôles font partie des contrôles
internes et traitent les activités des SI associées aux éléments suivants : les stratégies et plans
d’action, les politiques et procédures, l’évaluation des risques, la formation, l’assurance qualité
et l’audit interne.
Les contrôles applicatifs (CA) : sont des contrôles basiques qui se trouvent au début de
l’échelle des contrôles associés aux SI. Ils sont intégrés dans les applications métiers (les ERP)
et ils participent aux contrôles financiers. Ces contrôles ont pour objectifs de vérifier les
critères suivants de l’information financière :
l’exhaustivité et l’exactitude,
l’existence et l’approbation,
la présentation et l’intelligibilité.
Les contrôles généraux informatiques : ces contrôles sont intégrés dans les processus des SI (la
fonction informatique), ils permettent de garantir un environnement de traitement fiable et un
déroulement adéquat des contrôles applicatifs. Ils couvrent :
le développement et les modifications des applications,
l’accès aux données et aux programmes,
les traitements informatiques.
(8)
COSO est un référentiel de contrôle interne défini par le « Committee Of Sponsoring Organizations of the Treadway
Commission ». Il est utilisé notamment dans le cadre de la mise en place des dispositions relevant des lois SOX ou LSF.
Le référentiel initial de contrôle appelé COSO 1 a évolué depuis 2002 vers un second corpus axé sur la gestion des risque
dénommé « Entreprise Risk Management » ou COSO 2.
15. 14
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Il est à remarquer que ces contrôles ne sont pas exhaustifs et qu’ils sont destinés à assurer la fiabilité
de l’information financière et d’assister les activités métiers. Ces contrôles doivent être renforcés par
d’autres dispositifs de contrôle plus rigoureux et des bonnes pratiques issus d’autres référentiels
spécialisés pour couvrir la totalité des activités de la DSI et l’ensemble des ressources des SI.
II. Le métier d’audit interne
1) Notion de l’audit interne
« L’Audit Interne est une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses opérations, lui apporte des conseils pour les améliorer et
contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant
par une approche systématique et méthodique ses processus de management des risques, de
contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur
efficacité ». (9)
La fonction de l’audit interne consiste à vérifier et valider les dispositifs de contrôle interne associés
aux procédures, informations, opérations, organisations et structures de l’entreprise. C’est un outil
d'amélioration continue qui permet de faire le point sur l'existant (état des lieux) et d’identifier les
points de faiblesses et les non-conformités des contrôles mis en place, cela afin de mener par la suite
les actions adéquates permettant de corriger les écarts et dysfonctionnements constatés. La qualité de
cette fonction sera déterminée par le niveau de respect des critères suivants :
l’indépendance et le degré de compétence des auditeurs,
l’utilisation ou l’élaboration des normes ou référentiels d’audit,
l’élaboration d’un programme d’audit,
l’exhaustivité et la permanence de dispositif d’audit,
l’existence d’un dispositif de suivi des recommandations.
Plusieurs approches d’audit se présentent, on cite :
L’approche par métier : dans cette approche les sujets d’audit seront découpés en fonction des
grands métiers de l’entreprise. C’est une approche par les structures (départements, divisions,
services…) et qui permet d’examiner à chaque fois une de ces structures.
(9)
Définition de l’audit interne inspirée de la définition approuvée le 21 mars 2000 par le Conseil d'Administration de
l'IFAC (« International Federation of Accountants »), c’est une traduction de la définition en anglais approuvée par l’IIA
(« Institute of Internal Auditors ») le 29 juin 1999.
16. 15
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
L’approche par fonction : appelée audit opérationnel ou audit d’évaluation, c’est l’examen
d’une situation ou d’une fonction bien particulière (commerciale, production, financière,
comptable, sociale, gestion des ressources humaines…) permettant ainsi de traiter à chaque
fois un élément clé de l’entreprise.
L’approche par thème : certains sujets d’audit ne correspondent ni à une structure ni à une
fonction bien déterminée, d’où cette approche par thème qui permet de planifier et d’exécuter
des missions d’audit spécifiques, selon les besoins de l’entreprise (comme par exemple la
sécurité). Cette approche permet d’examiner un ensemble de structures et de fonctions en
réponse au sujet d’audit fixé.
L’approche par processus : qui consiste à traiter l’entreprise comme un ensemble de processus
interconnectés opérants ensemble pour l’atteint des objectifs stratégiques fixés par la direction
générale. Cette approche permet de déterminer et examiner les processus qui répondent et
contribuent à la réalisation d’un objectif métier bien déterminé.
L’approche par les risques : elle consiste à identifier les différents risques qui peuvent porter
atteintes au bon fonctionnement de l’entreprise, de les évaluer, de leurs attribuer des niveaux
de priorités et de les examiner selon cet ordre. Dans cette logique une cartographie des risques
sera dressée et sur sa base des missions d’audit seront planifiées et exécutées par ordre de
priorité des risques.
Figure 4 : Les différentes approches d'audit
Á remarquer que le choix de l’approche d’audit sera décidé en fonction du modèle d’organisation de
l’entreprise, des moyens et outils d’audit déployés et en fonction des besoins de la direction et des
métiers. Toutefois une démarche générale peut être dressée et suivie quelque soit l’approché adoptée,
ce qu’on va présenter par la suite.
Approche
par
les risques
Approche
par
métier Approche
par
processus
Approche
par
fonction
Approche
par
théme
17. 16
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
2) Conduite d’une mission d’audit : démarche générale
18. 17
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Figure 5 : Démarche générale d’une mission d’audit (10)
(10)
Cette démarche a été inspirée des normes internationales et elle est axée sur les risques. Cette démarche peut être
appliquer pour les différentes autres approches d’audit.
19. 18
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Cette démarche comporte cinq phases, qui sont :
La phase de planification pluriannuelle et annuelle : pour cette approche, la méthode de
détection des risques présente un élément d’entrée pour la phase de planification, ainsi une
cartographie des risques doit être établie à priori par la direction d’audit. Selon les indicateurs
de cette carte un plan pluriannuel (de trois à cinq ans) sera discuté avec le comité d’audit et la
direction générale afin de le valider et l’améliorer. De ce plan pluriannuel découlent des plans
annuels d’audit qui doivent être aussi approuvés par la direction générale.
La phase de préparation : cette phase peut se déclencher plusieurs fois selon une chronologie
des missions planifiées d’avance, ou suite à un ordre de mission de la part d’un commanditaire
(la direction générale par exemple). Elle consiste à :
Prendre connaissance du sujet à traiter et du système de contrôle interne.
Identifier les risques spécifiques.
Déterminer les objectifs de la mission.
Déterminer les vérifications à établir.
Cette phase se terminera par l’élaboration d’un programme de travail qui sera suivi.
Tableau 2 : Phase de préparation d'une mission
Eléments Description
Ordre de mission C’est le mandat donné par la direction générale au service d’audit, précisant l’origine
de la mission et son étendue tout en nommant une équipe d’audit.
Rencontre avec la
direction de l’entité
auditée
Cette rencontre permet d’identifier : les objectifs, l’étendue, la nature, le délai, les
auditeurs responsables de la mission et l’organisation ou non d’une réunion
d’ouverture. Un compte rendu sera rédigé et envoyé aux participants.
Réunion d’ouverture Elle permet d’établir les premiers contacts entre les auditeurs et les audités (elle est
facultative), elle consiste à unir le chef de la mission, les auditeurs, les directeurs et
les chefs services des entités auditées.
Rapport d’orientation C’est un contrat de prestation de services précisant les axes d’investigation et les
limites de la mission en les exprimant en objectifs à atteindre par l’audit.
Programme de travail C’est un document interne qui permet de déterminer, de répartir et de planifier les
actions d’audit. Il précise les tâches à effectuer, les investigations à mener, les
questions à poser et les pratiques de bonne gestion à vérifier.
La phase de réalisation : cette phase suit le programme de travail établi dans la phase
précédente, elle consiste à mener des travaux d’investigation et de vérification sur terrain (via
des moyens et des outils d’audit), tout en suivant la chaîne : Faits Causes Conséquences
Conclusion Recommandations, et qui seront formulés au niveau des FRAP(11)
. Cette
phase aboutira à une appréciation du système de contrôle interne tout en relevant ses
principaux points forts et ses faiblesses.
(11)
FRAP : Feuille de Résolution et d'Analyse des Problèmes.
20. 19
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Tableau 3 : Phase de réalisation d'une mission
Eléments Description
Questionnaire de CI L’objectif de ce questionnaire est d’évaluer les dispositifs de système de contrôle
interne pour chaque opération à risque (Qui ? Quoi ? Où ? Quand ? Comment ?) et de
vérifier l’existence et l’efficacité de ces dispositifs.
FRAP Ils présentent les résultats des travaux sur terrain et sont rédigées par l’auditeur pour
chaque dysfonctionnement constaté, permettant de structurer le raisonnement de
l’auditeur jusqu’à la formulation de la recommandation. Elles comprennent : les
problèmes, les faits, les causes, les conséquences et les recommandations. Elles
serviront comme une base pour la rédaction du rapport d’audit.
Compte rendu final C’est une présentation orale des principales observations, faite par le chef de
l’équipe d’audit et destinée au responsable de l’entité auditée. Il sera effectué à la fin
du travail terrain.
La phase de conclusion : elle consiste à formuler un rapport d’audit structurant les
conclusions et comportant les recommandations en réponse aux risques et dysfonctionnement
détectés lors de la phase d’investigation. Ce rapport sera accompagné d’un plan d’action ou au
cas échéant des modalités de remise future qui seront destiné aux parties prenantes concernées.
Tableau 4 : Phase de conclusion d'une mission
Eléments Description
Projet de rapport En se basant sur les FRAP et les différents éléments probants, l’auditeur formulera sa
conclusion dans ce rapport avant d’être validé par les audités.
Réunion de validation
et de clôture
Cette réunion permettra de présenter et de valider les constats, expliquer les
recommandations et de fixer les modalités pratiques relatives au plan d’action et de
suivi de la mission.
Rapport final Rédigé après la remise des commentaires écrits des audités (prévus lors de la réunion
de validation et de clôture). Ce rapport doit être complet, constructif, objectif et clair.
Il doit être publié en deux versions, un exposé général et une synthèse afin de
satisfaire aux différents lecteurs. Ce rapport a deux objectifs :
informer la hiérarchie des conclusions de la mission et de l’état du système
de contrôle interne
assister les audités dans l’élaboration des plans d’action afin de remédier
aux problèmes et aux dysfonctionnements détectés.
Plan d’action Rédigé par les directeurs des entités auditées. Il vise à mettre en œuvre les
recommandations citées dans le rapport final. Pour chaque recommandation, l’audité
doit exprimer sa position soit en l’acceptant totalement ou partiellement (tout en
précisant « Qui fera Quoi ? »), soit en la refusant en expliquant les raisons. Ce plan
doit être validé par le service d’audit
Le suivi des recommandations : une fois le plan d’action validé, le service d’audit suivra sa
mise en œuvre tout en communiquant les états d’action et de progrès régulièrement à la
direction générale. Cette étape permet de garantir la bonne application des différentes
corrections et améliorations établies dans le plan d’action. Ces plans d’action et de suivi
formeront un pilier de la démarche globale d’amélioration continue des services, produites et
structures des entreprises en générale.
21. 20
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
3) La boîte à outils de l’auditeur
Afin de mener à bien sa mission, l’auditeur a besoin le long de son travail, dés la phase de
préparation jusqu’à l’élaboration du rapport d’audit final, d’un nombre d’outils et de méthodes afin
de collecter les informations, analyser les données, décrire l’état du système, ainsi que des outils de
vérification et de validation. On distingue deux catégories d’outils utilisés :
Les outils d’investigation : ces outils offrent une aide aux auditeurs afin de formuler des
questions ou apporter des réponses à des questions qui se posent.
Les outils de description : permettant de projeter de la lumière sur différents aspects
fonctionnels et organisationnels de l’entreprise, ce sont des outils de « révélation ».
a) Les outils d’investigation
Les sondages statistiques ou échantillonnage : ce type d’outils est souvent utilisé dans la
pratique d’audit. Dans la plupart des opérations de sondage ou d’échantillonnage, l’échantillon
est choisi à partir d’une série d’articles (cet échantillon doit être représentatif de la population
fixée). Suite à ça, des mesures et des opérations statistiques permettront au moyen de cet
échantillon de projeter des jugements et des conclusions sur l’ensemble de la population. Cet
outil fait appel aux qualités de bon sens et de jugement de l’auditeur, que ce soit pour la
détermination de la taille de l’échantillon, la sélection des articles à étudier et la formulation
des conclusions relatives à la population dérivée des résultats de l’analyse de l’échantillon.
Tableau 5 : Les dix commandements pour un bon échantillonnage
Principes
1 Connaitre les principes de l’échantillonnage scientifique, et ne l’utiliser que lorsqu’ils s’adaptent aux
mieux aux objectifs de l’audit.
2 Connaitre la population étudiée et ne fonder des opinions que sur la population échantillonnée.
3 Accorder la même chance d’être choisis à tous les éléments de la population.
4 Ne laissez pas un « biais » personnel affecte l’échantillon.
5 Ne permettre pas que des configurations particulières de la population affectent le caractère aléatoire que
doit revêtir l’échantillon.
6 Faire attention, l’échantillon orienté vers un but (dirigé) a un rôle à jouer, mais n’en tirer pas des
conclusions pour toute la population.
7 Baser les estimations de taux maximaux d’erreurs sur ce qui est raisonnable dans un modèle réel, essayer
de déterminer à quel moment des signaux d’alarme cesseraient de jouer.
8 Stratifier chaque fois que cela semble réduire la dispersion dans l’échantillon.
9 Ne fixer pas sans nécessité des objectifs élevés de fiabilité (niveau de confiance et de précision). Les
contrôles, la supervision, les indicateurs, les procédés d’auto-correction, ainsi que la conscience des faits
qu’à la direction et la surveillance qu’elle exerce, sont autant d’éléments qui doivent être considérés pour
tenter de réduire l’étendue des investigations d’audit.
10 Ne s’arrêter pas aux résultats statistiques, mais chercher les causes.
22. 21
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Les interviews ou entretiens : ces outils sont utilisés fréquemment, ils ne doivent pas être
confondus avec les conversations et les interrogatoires. Les conditions d’une bonne interview
seront garanties en fonction du niveau de collaboration instauré entre l’audité et l’auditeur.
Une interview se décompose généralement en trois phases :
La préparation de l’interview : l’auditeur doit d’abord prendre un rendez-vous avec son
interlocuteur, et avant de le contacter il doit collecter quelques informations
professionnelles sur lui (prendre connaissance de son interlocuteur). Aussi il doit
préparer son sujet et ses outils, il est indispensable pour chaque entretien d’avoir fixé au
préalable les objectifs que l’on souhaite atteindre avec un questionnaire détaillé ou au
moins un guide d’entretien.
La conduite de l’interview : une méthode efficace consiste à prendre des notes au fur et à
mesure, ça permet de ralentir les flux d’informations et de garder des traces du
déroulement de l’entretien et de ces points essentiels.
L’après interview : l’auditeur doit formaliser ses notes afin de les exploiter.
Tableau 6 : Les règles à suivre dans une interview
Règles
1 Il faut respecter la voie hiérarchique. Sauf urgence exceptionnelle, l’auditeur ne doit pas procéder à une
interview sans que le supérieur hiérarchique de son interlocuteur ne soit informé.
2 Rappeler clairement la mission et ses objectifs. L’interlocuteur de l’auditeur doit connaître le pourquoi et
le comment de l’interview. Il serait désastreux qu’il puisse s’imaginer que l’on va lui tendre des questions
pièges, que l’interview n’est en somme qu’un interrogatoire déguisé.
3 Evoquer les difficultés, les points faibles, les anomalies rencontrées avant toute autre chose.
4 Recueillir son adhésion les conclusions de l’interview résumées avec l’interlocuteur, avant de les
communiquées sous quelque forme que ce soit à sa hiérarchie.
5 Conserver l’approche système, en vertu de ce principe l’auditeur ne s’intéresse pas aux hommes. On doit
donc se garder de toute question ayant un caractère subjectif et mettant en cause les personnes.
Les questionnaires : ceux-ci se présentent comme un outil efficace d’évaluation de niveau de
conformité des dispositifs de contrôle aux normes et bonnes pratiques choisies comme
références. Ils permettent d’identifier les points forts et/ou les faiblesses de ces dispositifs ainsi
que les risques associés à leur absence ou leur insuffisance. Ils permettent aux auditeurs
d’organiser et de répartir les différents points à traiter sous forme de questions groupées par
thème. Leur importance réside dans un ensemble d’avantages qui permettent à l’auditeur de :
Formuler des questions par thèmes et de les mettre dans un ordre de priorité.
Préparer un ensemble de points à traiter et à aborder dans le questionnaire.
Etablir un barème d’évaluation afin de comparer les réponses de l’audité avec la
référence et de comparer les réponses des différents audités.
23. 22
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Tableau 7 : Les différents types de questionnaire d'audit
Type de questionnaire Description
Les questions à choix
multiples
Questions fermées avec un choix à faire parmi plusieurs réponses prédéfinies.
Les questions directes Questions formulées de manière à impliquer directement le répondant, afin qu'il
se sente concerné par la réponse.
Les questions indirectes Questions formulées de manière à ne pas impliquer directement le répondant, afin
qu'il se sente libre de répondre.
Les questions fermées Questions à la/aux réponse(s) limité(s) à une liste de propositions.
Les questions ouvertes Question laissant au répondant la liberté de choisir ses propres mots.
Les grilles d’évaluation Succession de questions basées sur la même échelle d'évaluation (échelle de
Likert). L'échelle contient en général cinq ou sept choix de réponse qui permettent
de nuancer le degré d'accord.
1. Pas du tout d'accord
2. Pas d'accord
3. Ni en désaccord ni d'accord
4. D'accord
5. Tout à fait d'accord
À remarquer que des modèles de questionnaires, formulés par des experts, peuvent être utilisés
néanmoins ces modèles doivent être adaptés à l’entreprise et au contexte de la mission ainsi
l’auditeur doit garder un recul nécessaire par rapport à ces modèles. Á remarquer aussi qu’un
questionnaire est une sorte de guide pour l’entretien, l’auditeur peut approfondir son enquête
en improvisant des questions sur la lumière des révélations de son interlocuteur et en se basant
sur son expérience sans oublier de noter ses observations et les remarques conclues.
b) Les outils de description
L’organigramme fonctionnel : la collecte des organigrammes de l’entreprise par l’auditeur
est une tâche importante afin de pouvoir comprendre les responsabilités respectives du
personnel. L’auditeur est très souvent amené à mettre à jour les organigrammes ou à rajouter
ses propres commentaires sur les responsabilités réelles. Les mots figurant dans les cases de
ces organigrammes ne sont pas des noms de personnes (organigramme hiérarchique) mais des
verbes désignant des fonctions. Cet organigramme doit aussi présenter des descriptifs des
postes qui se considèrent comme des éléments importants de contrôle interne.
Le diagramme de circulation des flux ou Flow-Chart : c’est une représentation narrative ou
graphique d’une suite d’opérations dans laquelle les différents documents, centres de travail, de
décision, de responsabilité, sont représentés par des symboles réunis les uns aux autres suivant
l’organisation administrative de l’entreprise. En fait l’élaboration de tel Flow-Chart améliore la
perception de l’entreprise par le classement et le tri des données structurées sous une forme
synthétique.
24. 23
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Ce diagramme de circulation des flux doit permettre de faire ressortir les éléments suivants :
les rôles et responsabilités pour chaque opération,
les points d’action, de décision et de contrôle,
les descriptions des circulaires et documents similaires,
les flux de communication à l’intérieur et avec l’extérieur de l’organisation.
La synthèse de tous ces éléments permettra à l’auditeur de mettre en évidence les contrôles clés
existant au sein de l’organisation et sur lesquels il s’appuiera lors de sa mission. Le document
doit donc représenter sans ambiguïté toute l’information nécessaire pour comprendre le circuit
étudié et l’interpréter sans avoir à rechercher de renseignements complémentaires. La forme
narrative de description se révèle une méthode difficile à manier et peu claire, c’est pour cette
raison qu’une représentation schématique recensant les faiblesses et forces du contrôle interne
s’avère beaucoup plus utile. Et comme toute technique standardisée, cette représentation doit
comprendre un certain nombre de symboles et de conventions.
Un autre avantage de cet outil, c’est qu’il permet à l'auditeur de comprendre les méthodes et
les systèmes employés au sein de l'organisation, ainsi que les contrôles effectués, en
mettant l'accent plus particulièrement sur les procédure de circulation de l'information. Cette
compréhension des systèmes (y compris systèmes d’information de l’entreprise) sert de base
à l'évaluation des flux et contrôles interne matérialisés par ce type de documents
normalisés. Son usage permet en outre d'améliorer l'efficacité et l'homogénéité du groupe
d'audit et de permettre une meilleur communication entre les différents auditeurs.
L’observation physique : il s’agit d’une constatation de la réalité instantanée de l’existence et
du fonctionnement d’un ensemble d’éléments tel que : le processus, les biens, les transactions,
les valeurs, les documents, les comportements. Il existe deux formes d’observations :
L’observation directe : permettant d’assurer une vérification immédiate et visuelle d’un
descriptif. Elle peut aboutir à un avis sur l’état physique et/ou de fonctionnement d’un
bien, comme elle peut prendre la forme d’un comptage d’unités/ des composants.
L’observation indirecte : et qui consiste soit à consulter directement des documents
représentatifs du droit, de l’engagement comme les contrats, les courriers, les
certificats…, soit faire des correspondances avec des tiers concernés pour qu’ils
fournissent leurs observations et remarques concernant les éléments à audités.
D’une manière générale cette méthode va permettre à l’auditeur de mieux comprendre le
contexte, le périmètre et l’environnement de la mission d’audit à exécuter.
25. 24
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
III. L’audit des systèmes d’information
1) Portée de l’audit des systèmes d’information
Vu la nouvelle dimension qu’a pris le SI dans l’ensemble des activités de l’entreprise, en se
présentant comme un élément contributif à la « création de la valeur » et afin d’assurer sa
performance et son bon fonctionnement, un ensemble de dispositifs de contrôle associés doivent être
mis en place. Des dispositifs relevant de la doctrine propres à l’entreprise ou en réponse aux
exigences des lois émergeantes telles que la LSF et la loi SOX (cas des dispositions de la section 404
cherchant à garantir l’exhaustivité, l’exactitude, la validité des informations financières et la
restriction d’accès).
Plusieurs entreprises pour se conformer à des telles exigences et se protéger contre les risques
affectant les assertions de leurs états financiers, ont procédé à l’implémentation de l’ensemble des
contrôles généraux informatiques et les contrôles applicatifs issus du référentiel de contrôle interne
COSO. Ces dispositifs font l’objet des révisions globales au niveau des missions d’audit interne (tel
que l’audit des états financiers). Cependant ces missions d’audit ne permettent pas de vérifier
l’intégralité des activités de SI qui dépassent de loin celles propres à l’établissement de ces états
financiers. C’est dans ce contexte qu’a évolué la notion d’audit des SI et qui dérive de celle de l’audit
interne visant à compléter cette fonction en traitant en objet : l’information, les infrastructures
technologiques, les ressources humaines, les processus et les applications associées.
Figure 6 : La relation « Audit Interne - Audit des SI »
26. 25
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
L’audit des SI forme ainsi un support à la fonction d’audit interne qui traite les risques opérationnels
et financiers associés aux différents processus métiers de l’entreprise. En générale plusieurs contrôles
automatiques (les contrôles applicatifs) font partie intégrante des différents applications métiers
(ERP) déployés au sein de l’organisation, ces contrôles visent à garantir l’efficacité et l’efficience
des données et transactions financières. C’est au niveau des missions d’audit interne que ces
contrôles vont faire objet de vérification et d’évaluation par rapport aux bonnes pratiques des cadres
générale de contrôle interne, tel que COSO.
De cet angle des audits informatiques associés auront lieu au sein de ces missions, néanmoins les
risques informatiques ne seront pas tous cernés, ce qui exigent d’autres missions plus spécifiques se
chargeant de la fonction informatique en particulier. C’est là qu’intervient la fonction audit des SI, et
qui va revoir la totalité des activités des SI, en vérifiant les contrôles généraux informatiques et
applicatifs associés aux différentes ressources matériels, logiciels et humaines ainsi que les
procédures et règles de gestion établies pour ces SI. Les auditeurs informatiques se référeront pour
cette raison à des référentiels d’audit édités spécialement aux SI, comme le cas de cadre de référence
Cobit et autres standards.
2) Types de missions d’audit des systèmes d’information
D’après l’enquête faite en 2007 par MAZARS(12)
auprès de 134 organisations sur la diversité et
l’étendu des missions d’audit se portant sur les SI, une variété de missions était recensé. La figure
suivante segmente en pourcentage le périmètre d’intervention des auditeurs informatiques et les
types de missions couvrant les SI identifiés par cette étude.
Figure 7 : Les différents types de missions d’audit des SI
(12)
MAZARS est une entreprise internationale d'origine française spécialisée dans l'audit, l'expertise comptable,
la fiscalité et le conseil aux entreprises.
27. 26
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Ainsi on remarque bien que ces missions d’audit identifiées traitent les différentes dimensions :
managériale, opérationnelle et technique (audit de performance-efficacité) d’un SI, comme ils
traitent des objets et thèmes spécifiques tels que : les données, les processus, les projets,
l’architecture, la sécurité, la qualité, la conformité …
Tableau 8 : Exemples de missions d'audit des SI
Mission Description
Audit de la stratégie
informatique
Cette mission consiste à s’assurer que le SI est bien aligné avec la stratégie globale de
l’entreprise et que les investissements informatiques sont bien gouvernés.
Audit de la fonction
informatique
L’objectif de cette mission est de répondre aux préoccupations de la DG ou de la DSI
concernant l'organisation de la fonction informatique, son pilotage, son positionnement
dans la structure, ses relations avec les utilisateurs, ses méthodes de travail…
Audit de l’exploitant Cette mission a pour but de s'assurer que les centres de production informatiques
(centres de services) fonctionnent de manière efficace et qu'ils sont correctement gérés.
Audit des projets
informatiques
Le but de cette mission d’audit c’est de s'assurer que les projets informatiques se
déroulent normalement et que l'enchaînement des opérations se fait de manière logique
et efficace à fin d'arriver en toute sûreté à la fin de la phase de développement, et afin
de délivrer une application performante et opérationnelle.
Audit des applications
opérationnelles
Cette mission d’audit permet de donner au management une assurance raisonnable sur
la sûreté de fonctionnement d’une application et les contrôles imbriqués dedans. Cette
mission d’audit peut traiter une application comptable, de paie, de facturation,….
mais, de plus en plus souvent, on s'intéresse à l'audit des processus globaux de
l'entreprise comme la vente, la production, l’achat, la logistique,…
Audit des donnés et
transactions
Le but de cette mission c’est de vérifier la fiabilité des données et transactions
financières pris en charge par le SI et les technologiques d’information associées.
Audit physique Ce type de mission traite les infrastructures, les équipements et installations, afin de
s’assurer de la validité des dispositifs mis en place pour se protéger contre des
dommages et désastres comme : les incendies, les inondations, orages …
Audit de migration Cette mission vérifier le processus de migration d’une application ou d’un système vers
des nouvelles versions ou suite à des changements au niveau de l’infrastructure et les
technologies de l’information, dans le but de s’assurer de la pérennité du SI.
Audit de la sécurité des
SI
Cette mission d’audit a pour but de donner au management une assurance raisonnable
du niveau de risque acceptable associé à des défauts de sécurité des SI et que
l’entreprise peut assumer. Ce type de mission globale peut être divisé en sous-missions
d’audit plus spécifiques, tel que :
Audit de la sécurité physique
Audit de la sécurité des applications
Audit de la sécurité des services informatiques ….
3) Référentiels d’audit des systèmes d’information
Avant de mener des travaux d’investigation lors de la phase d’exécution les auditeurs doivent
d’abord fixer un ou plusieurs cadres de référence, soit de ceux propres à l’entreprise ou choisis
parmi les standards et les normes internationales existants. Un cadre de référence par définition est
un ensemble de règles organisationnelles, procédurales et/ou techniques à mettre en place pour
gouverner (gérer dans les règles de l’art) les SI. Ces cadres peuvent être utilisés par les auditeurs au
cours d’une mission d'audit à fin d'évaluer les dispositifs de contrôle en question et de mesurer le
niveau de leurs applications par rapport aux exigences et les bonnes pratiques de ces standards.
28. 27
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Plusieurs cadres de référence de contrôle, de gestion, de gouvernance et d’audit se présentent sur le
marché et permettant chacun de traiter un élément ou une dimension des SI, tels que :
L’architecture des SI (exemple : TOGAF).
Les services informatiques (exemple : ITIL, la norme ISO 20000).
Les projets informatiques (exemple : PMBOK, PRINCE2, CMMi).
La gouvernance des SI (exemple : Cobit, Val IT, Risk IT, la norme ISO 38500).
L’externalisation des services informatiques (exemple : eSCM).
La conformité réglementaires des SI (exemple : loi SOX, Acte BâleII, COSO, Cobit).
La sécurité des SI (exemple : la famille des normes ISO 27000).
Figure 8 : Les principaux référentiels de la DSI
Ces différents cadres de référence présentent une bibliothèque complète de savoir et de bonnes
pratiques pour la gestion et la bonne gouvernance des SI, ils forment une base aux managers à fin de
piloter, contrôler et maintenir des SI en haute performance.
29. 28
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Ces cadres seront aussi la référence à la quelle se pointent les auditeurs pendant leurs missions
d’audit dans le but de vérifier le niveau d’application de ces bonnes pratiques et l’efficacité et
l’efficience des contrôles mis en place. Dans le tableau suivant on présentera des descriptions
brèves des principaux référentiels et normes internationales d’audit des SI.
Tableau 9 : Descriptions des principaux référentiels et normes d’audit des SI
Référentiel / Norme Description
ITIL (Information
Technology Infrastructure
Library)
ITIL a été mis en place par l’OGC (« Office of Gouvernement Commerce »)
britannique. C’est un ensemble d’ouvrages recensant les bonnes pratiques
du management tout autour des services du SI. Les tomes les plus utilisés concernent
le soutien et la fourniture des services informatiques. ITIL permet, grâce à son
approche processus clairement définie et contrôlée, d'améliorer la qualité des services
du SI et de l'assistance aux utilisateurs. Dans sa troisième version ITIL a met l’accent
sur la maîtrise du cycle de vie d’un service informatique.
CMMi (Capability
Maturity Model
integrated)
CMMi a été conçu par le SEI (« Software Engineering Institute ») de l’université de
Carnegie Mellon. C’est un modèle de référence, sous forme d’un ensemble structuré
de bonnes pratiques, destiné à appréhender, évaluer et améliorer les activités des
entreprises d'ingénierie informatique afin de contrôler la fonction de développement
des applications et des logiciels.
PMBOK (Project
Management Body of
Knowledge)
Il se présente comme une référence en matière de gestion des projets, il est édité par le
PMI (« Project Management Institute »). Ce référentiel est totalement complémentaire
avec des démarches d’amélioration continue de type CMMi.
PRINCE2 (PRojects IN
Controlled Environments)
C’est une méthode de gestion et de certification de projet aussi structurée et qui se
focalise sur trois points : l'organisation, la gestion et le contrôle du projet.
TOGAF (The Open
Group Architecture
Framework)
C’est un ensemble de concepts et un standard industriel couvrant le domaine des
architectures informatiques d'entreprise, qui peut être utilisé par toute entreprise
souhaitant développer ou modifier son architecture.
eSCM (eSourcing
Capability Model)
C’est un référentiel élaborée depuis 2001 par l’Université Carnegie-Mellon/ ItSQC afin
d’améliorer la relation entre clients et fournisseurs dans le cadre de la fourniture de
services utilisant les technologies de l’information. Ces services sont de nature très
diverse : infogérance, externalisation du support informatique, tierce maintenance,
fourniture de liaisons de télécommunications…
COSO (Committee Of
Sponsoring
Organizations)
C’est un référentiel de contrôle interne défini par le la COSO (« Committee Of
Sponsoring Organizations of the Treadway Commission »). Il est utilisé notamment
dans le cadre de la mise en place des dispositions relevant des lois SOX (pour les
entreprises cotées en bourse en USA) ou LSF (pour les entreprises françaises). Le
référentiel initial appelé COSO1 représente un « framework » de gestion des objectifs
de conformité configurable à toute règlementation. L’approche COSO est structurée en
trois axes : le premier pour l’évaluation des objectifs, le deuxième axe définit les
risques, contrôles et les actions et le troisième axe organise le travail dans un système
processus bien structuré. COSO a évolué depuis 2002 vers une deuxième
version COSO2 sous forme d’une méthodologie axée sur la gestion des risques appelée
ERM (« Entrprise Risk Management »).
Cobit (Control Objectives
for Information and
related Technology)
Cobit a été publié en 1996 par l’ISACA (« Information Systems Audit and Control
Association »). CobiT est organisé selon une approche orientée processus, qui regroupe
en 4 domaines (structurés par analogie avec la Roue de Deming), 34 processus
distincts qui comprennent en tout 215 activités et un nombre plus important de
pratiques de contrôle. CobiT fournit aux gestionnaires, auditeurs et utilisateurs de SI,
des indicateurs, des processus et des bonnes pratiques pour les aider à maximiser les
avantages issus du recours à des techniques informatiques et à l'élaboration de la
gouvernance et du contrôle d'une entreprise. Dans sa version 4.1 Cobit intègre
proprement dit les deux volets audit et management des SI, ainsi qu’un grand nombre
de démarches et bonnes pratiques issues d’autres référentiels et normes internationales.
30. 29
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Val IT (Governance of IT
investments)
C’est un cadre de référence pour la gouvernance des investissements informatiques qui
a été réalisé par l’ITGI (« IT Gouvernance Institute» qui a été crée par l’ISACA), et qui
propose une analyse de la performance des investissements en technologies de
l'information. Val IT distingue trois axes de gouvernance des projets SI : la
gouvernance de la valeur (GV), la gestion de portefeuille (GP) et la gestion des
investissements (GI). Remarque : Val IT a été intégré dans la version 5 de Cobit.
Risk IT (Governance of
IT risks)
Risk IT est un référentiel de management du SI et des TI par les risques il a été publié
en 2009 par l'ISACA. C’est un guide de principes directeurs et de bonnes pratiques qui
s’organisent en 3 domaines, 9 processus et comptent 47 bonnes pratiques. Les
domaines et processus de ce référentiel couvrent les trois axes suivants : la
gouvernance des risques (GR), l’évaluation des risques (ER) et le traitement des
risques (TR). Remarque : Risk IT a été intégré dans la version 5 de Cobit.
La norme ISO 9000 C’est un ensemble de normes relatives à la gestion de la qualité et qui est publiées par
l'ISO (« International Organization of Standardization »). Cette norme repose sur un
certain nombre de principes de management de la qualité, notamment une forte
orientation client, la motivation et l’engagement de la direction, l’approche processus
et l’amélioration continue. La variante ISO 9001:2008 aide à s’assurer que les clients
obtiennent des produits et services uniformes et de bonne qualité, avec, en retour, de
belles retombées commerciales.
La norme ISO/CEI
20000
Elle est issue de la norme BS 15000 de BSI (« British Standards Institution »), c’est
une norme de certification des services informatiques des organisations prouvant le
respect de normes de qualité éditées au travers de phases, de contrôles et de procédures
mises en place.
La série des normes
ISO/CEI 27000
C’est une suite des normes de sécurité de l'information publiée conjointement en mai
2009 et révisée par l’ISO (« International Organization of Standardization »).) et
la CEI (« Commission Electrotechnique Internationale »). Ces normes sont dérivés des
normes précédentes telles que : ISO 17799 et BS 7799.
Parmi cet ensemble des normes la norme ISO/CEI 27002 présente un ensemble de 39
objectifs de contrôle qui s’étalent en 133 mesures ou bonnes pratiques destinées à être
utilisées par tous ceux qui sont responsables de la mise en place ou du maintien
d'un « Système de Management de la Sécurité de l'Information » (SMSI) et les
auditeurs des SI au cours de leurs missions.
Sources : « Les référentiels de la DSI ». Cigref (2009).
L’organisation internationale de normalisation ISO (site web : http://www.iso.org/ )
31. 30
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Chapitre 2 : Cobit 4.1 un cadre fédérateur d’audit des systèmes
d’information
I. L’ISACA et ses principales contributions en matière d’audit des systèmes
d’information
1) Présentation de l’ISACA
L’« Information System Audit and Control Association » (ISACA) est une association
professionnelle internationale qui a été fondée aux États-Unis en 1969 dont l'objectif est d'améliorer
la gouvernance des SI, notamment par l'amélioration des méthodes d'audit informatique. Elle est
aussi un membre affilié de l’IFAC(13)
.
Depuis sa création et afin d’atteindre l’objectif fixé elle a développé un ensemble de textes et de
référentiels qui se résument essentiellement en :
Un code de déontologie : c’est une charte d’audit standard pour encadrer la fonction des
auditeurs des SI. Ce code doit être respecté par les adhérents à l’ISACA (essentiellement les
auditeurs certifiés) et peut être considéré comme un modèle aux entreprises afin d’élaborer
leurs propres étiques et codes de déontologie à suivre par leurs propres unités d’audit des SI.
Un ensemble de normes, conseils et procédures pour l’audit des SI (« Standards, guidelines
and procedures for information system auditing »). Ces normes ont été codéveloppées avec
l’IFAC et approuvées comme des normes internationales en audit et contrôle des SI dans le but
d’aider les auditeurs à promouvoir des SI de confiance et créateurs de valeur.
Un ensemble de référentiels pour l’audit et la gouvernance des SI : Val IT, Risk IT, Cobit et
plusieurs autres publications connexes.
2) Chronologie des variantes Cobit
Le référentiel Cobit a vu dés son apparition plusieurs évolutions :
C’est en 1996 que l’ISACA a publié la première version de Cobit qui était à ce premier stade
juste un référentiel d’audit et de contrôle des SI s’inspirant des principes de référentiel de
contrôle interne COSO (publié en 1992). Cette première version était destinée aux auditeurs
dans le but de les assister dans la planification et l’exécution de leurs missions d’audit.
(13)
IFAC (« International Federation of Accountants »), c’est la fédération globale de la profession comptable fondé en
1977. Elle a pour vocation de publier des standards internationaux sur l'éthique, audit et assurance, l'éducation, et la
comptabilité du secteur public. Elle publie aussi des conseils pour encourager la qualité dans les services des
professionnels comptables.
32. 31
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
En 2000 une troisième version a apparu suite aux nombreux travaux de l’ITIG(14)
. Cette
version a introduit pour la première fois la notion de management, proposant ainsi deux
guides : un guide d’audit qui offre une approche processus guidée par des objectifs de contrôle
et un guide de management pour ces processus sous forme d’un ensemble de lignes directrices.
La version quatre de ce référentiel a fait son apparaissance en 2005 et a évolué vers la version
4.1 en 2007. Ces deux versions regroupent deux visions : le contrôle et le management des SI
(notion développée depuis la version 3 et approfondie dans la version 4.1 au niveau d’un guide
complet de management). Ces deux versions ont été fortement influencées par la loi SOX et
son homologue la LSF, en renforçant les contrôles des SI associées aux processus financiers et
la gouvernance des SI .Ces deux version intègrent aussi dans leurs processus les bonnes
pratiques issues d’un nombre autres référentiels, lois et normes tel que : ITILV3, ISO 27002,
ISO 9000, ISO 38500, CMMi, COSO, loi SOX, PMBOK, TOGAF …. Dés lors la version 4.1
de Cobit a été considère comme un cadre fédérateur d’audit et de gouvernance des SI.
La cinquième variante de Cobit a été dévoilée en 2012 et a pris une nouvelle étendue en se
focalisant sur la dimension gouvernance qui est devenue la ligne directrice de la nouvelle
approche Cobit. Cette version a intégré en plus des bonnes pratiques issues de nombreux
cadres d’audit et de gouvernance dans la version précédente, les bonnes pratiques des
référentiels Val IT et Risk IT développés par l’ISACA, à fin de présenter une démarche
cohérente et globale en matière d’audit, management et gouvernance des SI.
Figure 9 : Evolution du cadre de référence Cobit
(14)
ITGI (« IT Governance Institute ») est un institut fondé par l’ISACA en 1998 afin de contribuer par des études et des
recherches en gouvernance des SI à apporter des améliorations aux approches et méthodologies des produits de cette
dernière.
33. 32
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
II. Présentation du cadre de référence Cobit 4.1
1) Description générale
Cobit 4.1 se présente comme un cadre fédérateur d’audit et de gouvernance des SI, il intègre les
bonnes pratiques d’un grand nombre de référentiels et normes internationales. Il suit une démarche
transversale en couvrant toutes les activités de la DSI. Son approche se base sur un grand nombre
d’éléments et des concepts lui valant une dimension universelle, c’est-à-dire qu’elle peut être
appliquée à tout type d’entreprise quelque soit son secteur d’activité ou sa taille.
Les éléments de Cobit 4.1 s’organisent sur trois axes, tout en s’inspirant du modèle COSO :
L’axe « Exigences métiers » : qui définit les critères d’information gouvernant les activités du
SI en réponse aux besoins des métiers.
L’axe « Processus informatiques » : qui décrit et organise les différents processus, activités et
pratiques de la fonction SI dans un modèle en trente-quatre processus interconnectés.
L’axe « Ressources informatiques » : qui regroupe les différentes ressources (applications,
information, infrastructure et personnes) œuvrant dans le cadre du SI.
Figure 10 : Le cube Cobit4.1 (inspiré du COSO)
Le cadre de référence Cobit4.1 fonde son approche tout autour de l’information, qui se présente
comme garant du bon fonctionnement des activités de l’entreprise et qui contribue à la réalisation de
l’objectif ultime de l’entreprise : la « création de la valeur ». Pour cette raison que l’information ainsi
que les processus lui sont associés et les différentes ressources déployées doivent avoir un niveau de
performance, de qualité et de sécurité élevé afin d’aboutir à l’atteinte de cet enjeu.
34. 33
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Dans cette perspective Cobit définit sept critères (exigences) d’information, qui doivent être vérifiés :
L’efficacité : c’est la mesure par laquelle l’information contribue aux résultats des processus
métier par rapport aux objectifs fixés.
L’efficience : c’est la mesure par laquelle l’information contribue aux résultats des processus
métier au meilleur coût.
La confidentialité : c’est la mesure par laquelle elle est protégée des accès non autorisés.
L’intégrité : c’est la mesure par laquelle l’information correspond à la réalité de la situation.
La disponibilité : c’est la mesure par laquelle l’information est disponible en temps voulu.
La conformité : c’est la mesure par laquelle les processus sont en conformité avec les lois, les
règlements et les contrats.
La fiabilité : la mesure par laquelle l’information de pilotage est pertinente.
Afin de garantir ces exigences d’information, contrôler les SI et contribuer à l’amélioration de leurs
fonctionnements, Cobit 4.1 déploie trente-quatre processus informatiques interconnectés (déclinés en
plus de deux-cent activités) afin de gérer et optimiser les différentes ressources des SI : personnes,
informations, applications et infrastructure. Ces processus sont groupés en quatre domaines :
Planifier et Organiser (PO) : ce domaine traite les problèmes du management global
(stratégique) des SI.
Acquérir et Implémenter (AI) : ce domaine traite les problèmes du management des projets
informatiques (il rassemble tous les processus qui impactent les ressources dés l’acquisition
jusqu’à l’implémentation d’un élément du SI).
Délivrer et Supporter (DS) : ce domaine traite les problèmes du management des
services offerts aux clients de la DSI, tels que :
l’exploitation informatique
la gestion de la sécurité
la gestion des données et équipements
l’assistance aux utilisateurs
Surveiller et Evaluer (SE): ce domaine permet d’évaluer la conformité et la qualité des
processus Cobit et cela en vérifiant :
la surveillance de contrôle interne (efficacité / efficience)
la gouvernance des SI
la gestion de la performance
le respect des normes réglementaires
35. 34
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Figure 11 : Le modèle processus de cadre de référence Cobit 4.1
36. 35
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
2) Les principaux éléments de Cobit 4.1
Pour élaborer et maintenir sa démarche en matière d’audit, de management et de gouvernance des SI
le cadre de référence Cobit 4.1 définit un grand nombre d’éléments et des concepts, dont les
principaux sont :
Les objectifs métiers : ces objectifs traduisent ce qu’exigent les directions métiers en matière
des SI. Ils ont pour but de garantir que les SI vont contribuer à la performance de l’entreprise
tout en orientant les objectifs informatiques dans ce sens.
Les objectifs informatiques : ce sont les objectifs propres aux SI, définis et gérés par la DSI.
Ces objectifs ont pour but de gérer l’ensemble des ressources constituant les SI, tout en
s’alignant sur les objectifs métiers dans le cadre de la stratégie globale de l’entreprise. Ces
objectifs se divisent en objectifs de processus et objectifs d’activités.
Les objectifs de contrôle : ces objectifs sont reliés aux processus de Cobit4.1, ils présentent
« les exigences minimales pour garantir un contrôle efficace de chaque processus ». Ils
expriment le résultat ou le but à atteindre par la mise en œuvre d’un ensemble de pratiques de
contrôle pour chacun des processus. Ces objectifs sont exigés par la direction, mis en place par
la DSI et audités par les auditeurs et les professionnels d’assurance.
Figure 12 : Le principe de cascade des objectifs de Cobit 4.1
37. 36
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Les métriques : pour chaque objectif informatique, processus ou activité, Cobit4.1 offre un
ensemble de mesures afin d’évaluer le degré d’atteinte de ceux ci (KGI(15)
) et d’autres mesures
pour évaluer leurs performances (KPI(16)
).
Les tableaux RACI (17)
: se sont des tableaux qui identifient pour chaque activité d’un
processus le groupe d’intervenants en déterminant ceux qui sont responsables, ceux qui
approuvent et ceux qui seront consultés et/ou informés. Cobit4.1 identifie au moyen de ces
tableaux, dix-neuf rôles et responsabilités génériques pouvant se décliner en postes et emplois
plus structurés. C’est un élément de management permettant de clarifier les responsabilités et
les tâches, il est d’ordre indicatif et peut faire référence à des instances comme : comité
stratégique informatique, comité de pilotage informatique ….
Figure 13 : Le tableau RACI correspondant au processus PO10
Les entrées et sorties des processus (Input /Output) : la démarche Cobit4.1 est basée sur un
ensemble de processus informatiques interconnectés, pour chacun de ces processus un
ensemble de flux d’entrée et de sortie sont associés et définis. Ces éléments permettent
d’établir les liens entre l’ensemble de ces processus dans le cadre d’une approche système.
(15)
KGI (« key Goal Indicator ») ce sont des mesures de résultat des processus qui informent le management a posteriori
si un processus informatique a répondu aux exigences métier.
(16)
KPI (« Key Performance Indicator ») ce sont des mesures qui déterminent à quel point la performance d’un processus
informatique lui donne la chance d’atteindre ses objectifs.
(17)
RACI : un tableau des rôles et responsabilités qui précise pour chaque activité d’un des processus Cobit le
Responsable, celui qui Approuve, le Consulté et/ou l’Informé.
38. 37
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Les modèles de maturité : dans une logique d’amélioration continue des processus
informatiques, Cobit4.1 présente une échelle de maturité graduée en six degrés, pour suivre
leurs évolutions. Chaque processus informatique mis en place peut passer par plusieurs stades
de maturité jusqu’à atteindre l’état optimal. Dans ce cycle, des évaluations de maturité
périodiques (annuelles) permettent de localiser le niveau atteint d’un processus (par exemple le
niveau trois « Processus défini »), et afin de le faire évoluer vers le niveau de maturité suivant
(le niveau quatre « Géré et mesurables ») Cobit4.1 offre des modèles de maturité qui
présentent à titre indicatif des directives à suivre par les managers.
Figure 14 : L’échelle de maturité des processus selon Cobit4.1
3) Documentation et publications de Cobit 4.1
La documentation Cobit4.1 s’étale sur les différents besoins des SI en management, gouvernance,
contrôle et audit. Les principaux documents et publications sont:
Le cadre de référence Cobit4.1 : (« Cobit4.1 Framework ») ce document représente l’approche
processus de Cobit4.1, ses éléments constitutifs et les différents concepts lui sont associés.
Les objectifs de contrôles (« Cobit and Application Control ») : c’est l’ensemble des objectifs
de contrôle Cobit et les contrôles d’application issus de COSO et à la charge de la DSI.
Le guide d’implémentation (« Cobit Implementation Guide ») : un guide offrant une démarche
bien élaborée pour implémenter les processus Cobit4.1 et les différentes activités informatiques
qui en découlent. C’est un guide générique qui peut être adapté par chaque entreprise quelque
soit sa taille ou son secteur d’activité selon ses besoins et ses objectifs stratégiques.
Le guide de management : (« Cobit Management Guide ») regroupe l’ensemble des tableaux
RACI, les flux d’entrée/sorties des processus et les modèles de maturité (sous formes de
conseils et des directives), tous ces éléments sont à la destination des managers afin de mieux
gérer les processus informatiques et faire évoluer leurs niveaux de maturité.
39. 38
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Les pratiques de contrôle (« Cobit Control practices : 2nd Edition ») : c’est un ensemble des
pratiques de contrôles établies par des experts en réponses aux différents objectifs de contrôle
Cobit. Ces pratiques sont à la destination des managers à fin de les aider à implémenter des
objectifs de contrôle et forment des éléments sur lesquels les auditeurs informatiques peuvent
se baser pour évaluer les objectifs de contrôle implémentés.
Les bases de sécurité de l’information (« Cobit Security Baseline : 2nd Edition ») : c’est un
ensemble de conseils de management destinés au conseil d’administration et à la direction
générale pour les guider en matière de sécurité de l’information. Ces conseils sont basés sur les
objectifs de contrôle Cobit.
Le guide d’audit (« IT Assurance Guide: Using Cobit ») : ce guide offre aux auditeurs une
démarche, des méthodes et des outils pour les aider dans la planification, la réalisation et la
conclusion de leurs différentes missions d’audit tout en exploitant les éléments de Cobit.
Figure 15 : La documentation Cobit 4.1(18)
(18)
Ce schéma présente les produits généralement applicables et leur public principal. Il existe également des produits
dérivés pour des fonctions particulières, tels que : « Objectifs de contrôle des SI pour Sarbanes-Oxley, 2ème édition »,
« Gouvernance de la sécurité de l’information : Recommandations destinées aux conseils d’administration et aux
directions générales » (dans des domaines sécurité) et « Cobit Quickstart pour les petites et moyennes entreprises »).
(pour des entreprises spécifiques).
40. 39
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
III. L’approche Cobit 4.1 en matière d’audit des systèmes d’information
1) Les objectifs de contrôle : un élément axial dans l’approche Cobit 4.1
Dés son apparition le cadre de référence Cobit était conçu pour aider les auditeurs informatique à
planifier et exécuter des missions d’audit, et même en évoluant vers d’autres perspectives
managériale et stratégique (tel que la gouvernance) il a gardé son volet audit proprement dit au
moyen d’un élément axial : « les objectifs de contrôle ».
Les objectifs de contrôle permettent de définir « les exigences minimales pour garantir un contrôle
efficace de chaque processus informatique », ils s’étalent en un grand nombre de pratiques de
contrôle détaillés et plus spécifiques. Ces objectifs d’ordre opérationnel et les pratiques qui en
découlent sont à la base des évaluations à exécuter par les auditeurs au niveau des missions d’audit
afin de détecter les faiblesses de différents dispositifs de contrôle mis en place. En pratique les
auditeurs peuvent se référer à ces objectifs et les pratiques associées afin de mettre au point des
procédures d’audit détaillées sous forme de questionnaires ou des grilles d’évaluation.
Dans sa version 4.1 Cobit déploie ces objectifs de contrôle sur l’ensemble des activités des SI dans
un modèle processus comportant trente-quatre processus couvrant l’intégralité de la fonction SI.
Cette caractéristique permet aux auditeurs de mener des missions d’audit transversales, telle que
l’audit de la sécurité globale des SI et cela en évaluant tous les objectifs de contrôle en relation avec
le thème de cette mission. Cobit4.1 permet aussi de délimiter le périmètre des missions d’audit et de
restreindre le champ d’intervention des auditeurs à des fins plus spécifiques, et cela via un processus
du cadrage de ces objectifs de contrôle qu’on va voir par la suite.
Ces mêmes objectifs de contrôle permettent aux auditeurs d’affiner leurs investigations en leurs
dirigeant via des tables de mappage vers les bonnes pratiques d’autres standards plus détaillées tel
que : ITIL, CMMi, COSO, PMBOK, PRINCE2, TOGAF, Loi SOX, Act Bâle II, ISO 9001, ISO
17799, ISO 27002, ISO38500 … offrant ainsi aux auditeurs des énormes possibilités d’approfondir
leurs missions d’audits et de les enrichir par des évaluations plus rigoureuses.
Parmi les nombreuses publications de l’ISACA, le guide d’audit Cobit4.1 se présente comme
indispensable aux auditeurs des SI, en leur proposant un ensemble de conseils d’audit sous forme de
procédures d’évaluation détaillés. Ces conseils portent sur l’ensemble des processus Cobit4.1 et les
objectifs de contrôle associés, et ils sont à la destination des auditeurs aussi bien qu’aux managers.
41. 40
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Ces procédures forment une base sur la quelle l’auditeur peut s’appuyer afin de préparer les
questionnaires d’audits qui vont le guider dans son travail, elles se divisent en :
Enoncés des valeurs : ce sont des indicateurs d’ordre managérial permettant aux professionnels
de justifier au prés des leurs supérieurs le choix d’un tel objectif de contrôle ou autre, dans le
cadre d’une implémentation des dispositifs de contrôle pour les SI. Ils indiquent les apports en
valeur qu’un objectif de contrôle peut garantir à l’entreprise.
Enoncés des risques : ces éléments mettent l’accent sur les principaux risques pouvant survenir
en cas d’absence d’un tel objectif de contrôle ou autre. Une évaluation des différents risques de
non mise en place de certains objectifs de contrôle Cobit, permet aux managers de classifier
par ordre d’importance ces objectifs de contrôle afin de choisir ceux qui seront recommandés
pour assurer le bon fonctionnement des SI.
Procédures d’évaluation des objectifs de contrôle : ce sont des conseils permettant aux
auditeurs de formuler des questionnaires pour évaluer le niveau de respect du l’objectif de
contrôle en question. Ils leurs proposent aussi à titre indicatif quelques directives et méthodes
afin de mieux exécuter leurs missions et enquêtes.
Procédures d’évaluation du résultat des objectifs de contrôle : ces procédures permettent de
vérifier l’ensemble d’objectifs de contrôle d’un processus bien déterminé afin d’évaluer le
niveau de contribution de celui-ci dans la création de valeur. C’est de l’instar des auditeurs de
faire ces évaluations et de présenter leurs conclusions aux dirigeants.
Procédures d’évaluation de l’impact des faiblesses de contrôle : ces procédures permettent aux
auditeurs de fournir aux dirigeants leurs opinions concernant les répercutions des faiblesses
détectées de l’ensemble des objectifs de contrôle propres à un processus Cobit bien déterminé.
Sur la lumière de ces remarques et opinions les responsables vont prendre les mesures
convenables afin d’améliorer les contrôles mis en place.
Figure 16 : Les différents types de procédures d’évaluation selon le guide d’audit Cobit4.1
42. 41
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Des relations bien déterminées règnent entre les éléments de Cobit4.1 (les processus, les objectifs de
contrôle et les pratiques de contrôle) et les procédures d’évaluation édictées dans le guide d’audit. Le
schéma suivant décrit ces liens tout en mettant le point sur la hiérarchie réglant ces relations.
Figure 17 : Les différentes relations entre les procédures d’évaluation et les composants de Cobit4.1
Les contrôles applicatifs et les contrôles génériques :
En plus des différentes évaluations traitant l’ensemble des processus Cobit4.1 et les objectifs de
contrôle correspondants, les experts en Cobit proposent aux auditeurs d’autres procédures pour
évaluer les contrôles applicatifs (CA).
Ces contrôles ont été initiés dans le référentiel de contrôle interne COSO afin de répondre aux
exigences imposées par certaines règlementations comme la loi SOX en matière de la sécurité des
données et des transactions financières (à savoir l’exhaustivité, l’exactitude, la validité, l’autorisation
et la séparation des tâches). Ils ont été repris par le cadre de référence Cobit4.1 qui les a greffé à sa
démarche processus en les groupant dans un ensemble sous le nom de « Contrôles applicatifs ». Ces
contrôles se divisent en six groupes :
CA1 : Autorisation et préparation des données sources.
CA2 : Collecte et saisie des données sources.
CA3 : Vérification d’exactitude, d’exhaustivité et d’authenticité.
CA4 : Intégrité et validité des traitements.
CA5 : Vérifications des sorties, rapprochements, traitements et erreurs.
CA6 : Authentification et intégrité des traitements.
43. 42
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
D’autres contrôles font aussi objet des évaluations spécifiques, se sont les contrôles génériques ou
contrôles des processus (CP). Ces contrôles sont d’une nature managériale, permettant de s’assurer
de la bonne implémentation et de la meilleure gestion des processus, ils s’appliquent à tous les
processus Cobit et sont au nombre de six :
PC1 : Buts et objectifs de processus.
PC2 : Propriété de processus.
PC3 : Reproductibilité de processus.
PC4 : Rôles et responsabilités.
PC5 : Politiques, plans et procédures.
PC6 : Amélioration des performances de processus.
À remarquer que l'ensemble composé des pratiques de contrôle génériques (associées aux processus)
et les différentes pratiques de contrôle spécifiques (associées aux objectifs de contrôle) constitue une
méthode cohérente, nécessaire et suffisante pour atteindre les objectifs de contrôle implémentés.
2) La conduite d’une mission d’audit selon l’approche Cobit 4.1
« L’IAASB Assurance Framework » (19)
identifie cinq éléments composant une mission d’audit :
La relation tripartie : qui définie les liens entre les responsables de domaine traité, les
auditeurs et les destinataires de rapport d’audit. Cette relation est matérialisée en une charte
d’audit ou lettre de mission.
Le domaine d’audit ou le périmètre d’une mission d’audit.
Les critères pertinents d’évaluation : normes, cadres de référence et/ou réglementations.
Le processus d’audit établi par les auditeurs, on parle du programme d’audit ou plan d’action.
La conclusion de la mission d’audit : qui prendra forme en un rapport d’audit comportant
l’opinion des auditeurs et leurs recommandations concernant l’élément audité.
Cobit4.1 lui définit sa propre démarche d’audit (qui s’aligne avec celle de l’IAASB – voir Annexe1)
tout en offrant aux auditeurs des SI au moyen de son guide d’audit un grand nombre de méthodes,
d’outils et de conseils afin de les aider à établir un programme d’audit et bien exécuter leurs
missions. Ce programme d’audit ou plan d’action se divise en trois phases : planification, cadrage et
exécution.
(19)
Ce cadre établi par l’IAASB décrit les objectifs d'une mission d’audit, et identifie les engagements par rapport aux
normes internationales d'audit (ISA : « International Standard on Auditing »).Parmi l’ensemble des normes ISA, la
norme ISA 3000 établit les principes de base et les procédures essentielles pour mener à bien une mission d’audit ou un
examen d'informations financières.
44. 43
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
a) La phase de planification
Cette phase débouche sur l’établissement d’un plan d’audit annuel, en cas d’audit interne, permettant
d’encadrer les différentes activités d’audit sur une période bien déterminée et délimiter les rôles,
responsabilités et périmètres. En cas d’audit externe, des plans d’audit seront établis pour chaque
mission. Selon l’approche de cadre de référence Cobit4.1, la planification d’une mission d’audit
consiste à :
1. Définir le périmètre d’une mission d’audit. La méthode d’évaluation des risques se présente
dans cette étape comme une méthode pertinente pour délimiter le périmètre d’une mission.
2. Sélectionner un cadre de référence de contrôle.
3. Procéder à la planification des missions d’audit.
4. Procéder à des évaluations de haut niveau, des telles évaluations favorisent des missions
d’audit basées sur les risques. Plusieurs éléments de Cobit peuvent être utilisés lors de ces
évaluations afin d’identifier les processus à auditer, par exemple : les énoncés de valeur et des
risques, les attributs de maturité des processus, les objectifs de contrôle…
5. Définir le cadre et les objectifs généraux de l’audit.
La méthode d’évaluation des risques :
Cette méthode est axée sur les risques (voir Figure 18), on distingue trois types de risque : les risques
inhérents (risques propres à l’élément à auditer), les risques liés au contrôle (faiblesses de contrôle)
et les risques de non détection, ces derniers doivent être évalués lors de cette phase de planification
afin d’élaborer des méthodes assurant l’atteinte des objectifs de la mission d’audit.
L’auditeur est amené alors à examiner les risques de l’élément à auditer ainsi que la qualité de
processus de gestion des risques. Il aura à réaliser les tâches suivantes :
Identification du risque : c’est la recherche des risques et l’identification de leurs causes et
conséquences afin de valider ou construire un portefeuille de risques.
Évaluation du risque : consiste à estimer la criticité (20)
du risque, son importance en termes
de probabilité d’apparition et d’impact (financiers, délais, qualité, …). L’auditeur doit
calculer la criticité relative ou absolue de chaque risque.
Recherche des moyens de réduction : qui consiste à rechercher des solutions de prévention,
de contournements, de transfert et de surveillance. Et à la fin de cette tâche l’auditeur
examinera ou émettra ses recommandations.
(20)
La criticité d’un risque (C) est déterminée par deux facteurs : la gravité qui correspond à l’impact du risque(G) et la
probabilité d’occurrence d’un risque(P). C’est le croisement de ces deux estimations : C = G*P.
45. 44
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel
« Audit Interne et Audit des Systèmes d’Information »
Figure 18 : Les éléments relatifs à la notion de risque
b) La phase de cadrage
Cette phase consiste à identifier les principaux objectifs de contrôle à auditer via un processus de
cadrage permettant de délimiter le périmètre d’une mission d’audit, le résultat sera un champ
d’action bien déterminé et des objectifs plus détaillés.
Figure 19 : Processus de cadrage d'une mission d'audit selon l'approche Cobit4.1
La cascade des objectifs de Cobit4.1 (Figure 12) et qui permet le passage d’un niveau d’objectif à un
autre au moyen des tables de mappage (voir Annexe1) jusqu’à l’identification des processus
informatiques, peut former un premier niveau de cadrage ou un cadrage de haut niveau (étapes 1,2,3
et 4 de processus de cadrage selon la Figure 20). Aussi d’autres éléments de Cobit4.1 tels que : les
critères d’information, les énonces des risques et des valeurs des objectifs, les attributs des modèles
de maturité … peuvent constituer des inducteurs pour ce niveau de cadrage.