Audit des si

Audit des Systèmes
d’Information
Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27 001,
CRISC

© Mohamed SAAD, MBA, CISA, PMP, ITIL, ISO 27001

1

Déroulement du module
I. Travaux de recherches
II. Bilan (QCM: 40 Q/1 heure)
III. Assiduité


2

I. ISACA, CISA, CISM, CGEIT, CRISC
II. L’informatique à travers le temps
III. Du contrôle à l’Audit: le pilotage de l’entreprise
IV. L’Audit
V. La mission d’Audit
VI. La corporate Governance
VII. COBIT
VIII. Etude de cas


3

Qui est ISACA ?
www.isaca.org

 Créée en 1967
 86 000 membres dans plus de 160 pays
 DSI, ITM, consultants, auditeurs S.I, auditeurs interne,
professionnels des T.I

 Plus de 75 chapitres dont MIT-GOV (Chapitre
marocain)
 Délivre les certifications suivantes:
 CISA, CISM: plus de 70 000 CISA, 12 500 CISM dans le monde
 CGEIT: Certified in the Governance of Enterprise IT: 4000
 CRISC

 Est LA référence en terme de bonnes pratiques de
gouvernance des T.I au sein des organisations
 Promotion du métier d’auditeur informatique

4

Qu’est ce que la Gouvernance des T.I ?

Structure de relations et de processus
visant à diriger et contrôler l'entreprise
pour qu'elle atteigne ses objectifs en
générant de la valeur, tout en
trouvant le bon équilibre entre les
risques et les avantages des TI et de
leurs processus


5

Ce que le Top Management pense de l’IT
« It has been de longest running disappointment in business in
the last 30 years! »
Jack Welch, Chairman, GE
« Technology can help fulfill a visionary dream, but often its use
is closer to a sobering nightmare »
Vesa Vaino, CEO Merita Bank
« I am writing a book on the history of Information technology…
In order to better understand why it is such a mess »
Corniou, CIO Renault


6

I. ISACA, CISA, CISM, CGEIT
IV. L’Audit
VII. COBIT
VIII. Etude de cas


7

L’évolution organisationnelle

0. [30..48]: l’informatique était essentiellement au service
des départements militaires
1. Durant les 30 glorieuses: le modèle économique était
essentiellement tourné vers l’industrie et la production
pour construire l’après guerre:
•

L’informatique a suivi:
• les investissements informatiques avaient pour
objectif l’automatisation des fonctions administratives
telles que la comptabilité et la paie. L’informatique
était avant tout une fonction de production et son
impact sur l’organisation était alors limité


8


2. Fin des années 70..années 90 : le modèle économique
introduit les techniques marketing, l’analyse
comportementale du client, La maîtrise des coûts…:
•

L’informatique a suivi:
• Durant cette phase, l’introduction d’outils de
gestion de l’information (GPAO, BD, Data
Warehouse…) a amené des changements dans le
travail : émergence de nouveaux métiers,
démocratisation des outils bureautiques, besoin de
formation…


9


3. 21 siècle : les marchés sont devenus de mégas
plateformes planétaires, avec des organisations
d’entreprises multi culturelles. Les services représentent
70% de l’économie mondiale:
•

L’informatique n’a pas suivi, elle est au cœur de l’implosion:
• Nous sommes à présent dans une nouvelle phase,
avec des outils de plus en plus sophistiqués et
interconnectés, les nouvelles formes d’applications
de l’informatique sont le moteur d’une transformation
en profondeur du marché et des entreprises


10

Le S.I est au cœur de l’activité de
l’entreprise
Clients

prospection
vente
Partenaires

services

conception

SI

maintenance

achats
réception
Fournisseurs
Organismes

de contrôle

production

logistique


11

Infrastructure matérielle

Historique:

18 000 tubes à vides
 1 500 relais
 6 000 commutateurs
 30 Tonnes
 En 1957, 7 247 heures de fonctionnement:
 3 491 en production (48.17%)
 1 061 en problèmes (14.64%)
 196 d’inactivité (2.70%)
 651 d’interventions planifiées (8.98%)
 1 848 d’interventions non planifiées (25.50%)



12

Évolution
45-60
ENIAC

Personal Computer
Network computer
95-2000

Cluster de PCs
2000-…
HEWLETT
PACKARD

HEWLETT
PACKARD

HEWLETT
PACKARD

HEWLETT
PACKARD

HEWLETT
PACKARD

HEWLETT
PACKARD

HEWLETT
PACKARD

HEWLETT
PACKARD

HEWLETT
PACKARD

Année 75 - 90
HEWLETT
PACKARD

55-80
Vax
PDP 11

Super calculateur


13

les 20 dernières années
 L’extraordinaire explosion des microprocesseurs (loi de Gordon
Moore)

 Moore prédit tout d’abord un doublement du nombre de transistors
dans une puce chaque année, puis rectifia en un doublement tous les
18 mois

1971
1978
1982
1989
1993
1995
1997
2001
2004
2006
2006
2007

:
:
:
:
:
:
:
:
:
:
:
:

4004 : 2 300 transistors
8086 : 29 000 transistors
80286 275 000 transistors
80486 : 1,16 million de transistors
Pentium : 3,1 millions de transistors
Pentium Pro : 5,5 millions de transistors
Pentium II : 27 millions de transistors
Pentium 4 : 42 millions de transistors
Pentium Extreme Edition : 169 millions de transistors
Core 2 Duo : 291 millions de transistors
Core 2 Quad : 582 millions de transistors
Dual-Core Itanium 2 : 1,7 milliards de transistors

Autre :
2006 : G80 (Nvidia) : 681 millions de transistors
2007 : POWER6 (IBM) : 291 millions de transistors
2008 : Sandisk 12 GB microSDHC : 50 milliards de transistors


14

Circuits intégrés

Rappels techniques des composantes
d’un S.I

Stratégie, Gestion, Sécurité
Études

Logiciels, applicatifs et
données

Réseaux

Matériels


15

Exploitation

Logiciels de base

Équipes

Infrastructure

L’Infrastructure: un vrai casse tête


16

Un vrai casse tête surtout quand les orientations et les
objectifs changent !
Le pendule des Architectures Informatiques

Autonomie de
l’utilisateur:
• Infocentre /
datawarehouse/
datamining…
• Développements
locaux
• Partage de données
• Sauvegarde non
contrôlée
• OS peu fiables…

Informatique
centralisée:
• Salle machine unique
• Gros système
• Utilisateurs accédant à
travers des terminaux
• Les supports de
stockage sont
centralisés…

Démocratisation de
l’informatique:
• Utilisateurs connectés au
sites/serveurs
• PCs
• Avènement du Client/serveur
•…

Années 50, 60, 70

Années1780


Années 90

Un vrai casse tête surtout quand les orientations et les
objectifs changent !
Le pendule des Architectures Informatiques

 Sécurité

 Sécurité
Informatique
centralisée:
• Maîtrise des
plateformes
• Centralisation de
l’information
• Contrôle de
l’infrastructure
• Maîtrise et
centralisation des
sauvegardes /
Performances / fiabilités
des supports / machines
• Baies de stockage
• Backups / PCA / sites
secours
• Normes, BP, Standards…

Ces 10 dernières années

Autonomie de
l’utilisateur:
• Infocentre /
datawarehouse/
datamining…
• Développements
locaux
• Partage de données
• Sauvegarde non
contrôlée
• OS peu fiables…

Démocratisation de
l’informatique:
• Utilisateurs connectés
au sites/serveurs
• PCs
• Avènement du
Client/serveur
18
•…


Années 90

IV. L’Audit
VII. COBIT
VIII. Etude de cas


19

Introduction
L’organisation de la fonction d’Audit
 Le rôle de la fonction d’audit doit être statué dans une
charte d’audit
 La charte doit renseigner clairement sur la responsabilité et
les objectifs du Top Man. ainsi que la délégation de
l’autorité qu’il confère à la fonction d’audit des TI

 Ce document doit arrêter:
 L’autorité, le périmètre et les responsabilités de la fonction
d’audit des TI

 Le Top Man. et le comité d’audit doivent approuver cette
charte
 Une fois la charte établie et approuvée, elle ne doit être
modifiée qu’en cas de changement majeure justifié

20

Introduction
Le management des ressources des S.I
 Les ressources des auditeurs S.I sont limitées, et leur
temps est planifié et optimisé
 L’auditeur SI doit avoir les connaissances nécessaires pour
gérer les projets d’audit avec le staff d’audit
 Des compétences particulières peuvent être requises pour
planifier certains audits spécifiques
 Le management de l’audit des SI doit avoir les
connaissances nécessaires sur le planning de charges de
ses ressources
 Des outils de management des projets sont utilisés pour
maîtriser les charges

21

Introduction
Le management des ressources des S.I
 Les technologies de l’information sont en perpétuel
changement ce qui exige des auditeurs d’être constamment Up
to date
 Nouvelles techniques d’audit
 Nouveaux métiers en terme des TI
 La formation continue constitue un objectif majeure dans la
mise à niveau des compétences des auditeurs


22

Introduction
La planification des ressources

 La planification de l’audit concerne le court et le long terme
 Le court terme:
 Les audits devant être couvert durant l’année

 Le long terme:
 Les plans d’audit devant tenir compte des changements majeurs
dans les plans stratégiques des TI de l’organisation
 Les changements devant concerner l’environnement des TI

 L’analyse des plannings du court et du long terme doit être
annuelle


23

Introduction
 L’auditeur doit être informé au préalable:
 Avoir des connaissance sur le domaine à auditer
 Les informations, contrôles et pratiques utilisés dans l’activité à
auditer
 L’environnement réglementaire


24

Introduction

 L’objectif majeure du processus d’Audit est:
Que l’auditeur ait les connaissances nécessaires pour
conduire un audit des systèmes d’information en
concordance avec les normes et standards de l’Audit des
S.I
Que l’auditeur assure que les technologies d’information de
l’entreprise sont alignées sur le plan stratégique et qu’elles
sont bien gérées et contrôlées


25

Contrôle et Contrôle Interne



La notion de contrôle est complexe:





en français, connotation négative (vérification, inspection…)
en anglais, synonyme de maîtrise (contrôler c’est gérer)

Contrôle interne:

Ensemble des procédures et dispositifs permanents définis et
appliqués pour:
 protéger le patrimoine de l’entreprise
 détecter et prévenir les fraudes
 permettre une conduite ordonnée et efficace des opérations de
l’entreprise


26

Contrôle de Gestion
Le Ctrl de Gestion est un système d’évaluation des
responsabilités et des voies par lesquelles la rentabilité
des entreprises peut être améliorée



Le Ctrl de Gestion implique la définition de normes, un
système d’information capable de fournir des données
effective, la détection d’écart entre données et normes, la
détermination des responsabilités



Le Ctrl de Gestion est un système générale continue
d’alerte




27

Risk management

La gestion des risques est une activité stratégique dont
l’objectif est de permettre aux entreprises de tirer le
meilleur partie des sources d’incertitude, risques ou
opportunités



Ces sources d’incertitudes proviennent à la fois de
facteurs externes et de processus internes, ainsi que la
qualité des informations utilisées pour la prise de
décision




28

L’Audit

Ce qui a coûté la vie à
Art Andersen et Enron

Activité ou fonction indépendante et objective
d’assurance et de conseil, dont la mission est d’apporter
une valeur ajoutée, et d’améliorer le fonctionnement
d’une organisation



Il aide l’organisation à atteindre ses objectifs par une
approche systématique et méthodique, d’évaluation et
d’amélioration des procédés de gestion des risques, de
contrôle et de gouvernance d’entreprise




29

Audit interne et Audit Externe



Audit interne:




Audit Externe




Salarié d’une entreprise

Travaille dans un organisme indépendant

Différences:




Indépendance
Démarche
Suivi des recommandations


30

IV. L’Audit
VII. COBIT
VIII. Etude de cas


31

Les acteurs de l’Audit



Le prescripteur:





L’Auditeur:




Il commande (et assure le règlement de) la mission d’audit
Il s’agit soit d’une personne de l’entreprise (niveau direction),
soit d’un tiers (repreneur par exemple)

C’est le professionnel à qui est confiée la mission d’audit
(Interne ou Externe)

L’Audité:



C’est la personne qui « subit » l’audit
Sa participation, sa collaboration et son adhésion en
conditionnent le succès


32

La démarche générale de l’Audit



Partir des préoccupations du management




Mener des investigations





Le demandeur mandate un auditeur pour répondre à des
questions précises
Mener des entretiens avec les intéressés
Relever et analyser les faits

Porter un diagnostic



Apprécier la situation (forces et faiblesses)
Juger par rapport à des références:


Normes, doctrines, état de l’art, enquête

Proposer des recommandations pertinentes
 Rendre compte (rapport)



33

Démarche de l’auditeur



Analyse des risques

• Existence d’une analyse des risques de l’organisation
• Analyse des risques par l’auditeur



Points de Ctrl précis

• Les points de Ctrl sont issus de l’analyse des risques
• Les points de Ctrl servent pour établir le point d’audit



Tests complets



Faits documentés


 Existence de dispositions de Ctrl
 Vérification de l’application des dispositions
 Vérification de l’efficacité des dispositions
 vérification de l’efficience des dispositions
• Documents fournissant les preuves du résultat de la vérification

34

Typologie des audits
Efficience
Efficacité
Conformité


Audit de conformité (audit de régularité)






Audit d’efficacité (audit de progrès)





Vérification de l’existence du fonctionnement du contrôle interne
Vérification de l’application correcte des règles de procédures internes
Vérification de l’application correcte des dispositions légales

Appréciation des résultats par rapport aux objectifs
Appréciation de la qualité du contrôle interne (impact des règles et
procédures)

Audit d’efficience (audit économique)



Analyser les moyens affectés aux opérations
Apprécier l’utilisation des ressources


35

IV. L’Audit
VII. COBIT
VIII. Etude de cas


36

Synthèse du déroulement d’une mission
d’audit
Lettre de mission

• Réponse à une demande et constitution de l’équipe d’audit

Phase de pré diagnostic

• Acquisition des connaissances nécessaires
• Analyse de risques
• Produit: Rapport de pré diagnostic

Lancement de la mission

• Présentation des objectifs de l’audit à la direction de l’organisation
• Désignation d’un coordinateur de l’audit et du signataire des feuilles
de faits

Phase de diagnostics et de
tests

• Rédaction des descriptions d’activités et approfondissement des
connaissances
• Réalisation des tests, rédaction des feuilles de faits et dossiers des
preuves
• Discussion des faits avec les collaborateurs concernés
• Validation des faits par le management de l’organisation
• Produit: Ensemble des feuilles de faits validées ou analysées

Phase de rédaction du
rapport final

• Synthèse des faits considérés comme essentiels pour la direction
générale
• Recommandations et opinions des auditeurs et validation
• Produit: Rapport final provisoire (3 à 4 pages)

Phase de discussion du
rapport final

• Discussion, validation et approbation par le Directeur de
l’organisation
• Présentation à la direction générale
• Produit: Rapport final définitif

Constitution du dossier

• Dossiers complets contenant toutes les preuves
• Références croisées entre dossiers, feuilles de faits et rapport final


37

La lettre de mission




Elle matérialise le contrat passé entre l’auditeur et le prescripteur de
l’audit

Son rôle est de:




Préciser le contexte et l’objectif de la mission
Détailler les questions posées à l’auditeur
Préciser les modalités d’intervention (intervenants, durée)


38

Le pré diagnostic
L’auditeur doit commencer par prendre connaissance du contexte
 Dans ce but, il effectue un pré-audit rapide afin de déterminer ses
objectifs de contrôle et de repérer les principales difficultés qu’il
risque de rencontrer




Cette phase préliminaire comprend:







L’étude de la documentation disponible (communiquée au préalable si
possible)
Quelques entretiens avec les décideurs concernées (démarche topdown)
Un inventaire des problèmes ressentis
Une détermination des investigations à réaliser (bcp d’observation)

Un rapport de pré diagnostic conclut cette phase: il propose un plan
d’action détaillé


39

Planification de la mission


Il est nécessaire de planifier l’audit



On part des objectifs de l’audit et des questions figurant dans
l’ordre de mission et/ou des résultats du pré diagnostic



A partir de ces orientations on établit le programme de travail



Il est alors possible de déterminer les ressources nécessaires



La collecte des faits prend du temps et souvent demande des
moyens importants



Pour éviter d’allonger les délais il est nécessaire de commencer
suffisamment tôt la rédaction du rapport (en parallèle avec la
mission)


40

Les entretiens


Le temps des audités (et des auditeurs) est précieux: il faut donc
préparer les entretiens (Questionnaires)



L’objectif de l’entretien est de collecter de l’information « utile » (il
faut canaliser)



L’auditeur liste les questions qu’il se pose et pour lesquels il a
besoin d’une réponse (objectifs de contrôle)



L’entretien ne doit pas excéder 1h30


41

Les outils classiques de l’audit


Entretien (questions ouvertes ou fermées)



Questionnaire



Diagramme de circulation



Tableaux des forces et des faiblesses



Matrices activité entités (Qui – entité - fait Quoi – Activité - )



Outils d’analyse de données (logiciels: IDEA, ACL …)


42

Les recommandations
C’est avec la pertinence du diagnostic, la valeur ajoutée de
l’auditeur
 Chaque point faible doit faire l’objet d’au moins une
recommandation pour l’éliminer ou en réduire l’impact




Il faut hiérarchiser les recommandations:
 Par domaine
 Dans le temps (court terme = urgent, moyen terme, long terme)
Urgence/importance
 En fonction de leur coût

R1

R3

R2

R4

Exemple


43

Coût

Rédaction du rapport d’audit


La rédaction du rapport d’audit est une opération toujours difficile



Il faut d’abord définir à qui il est destiné et comment il sera diffusé
(en général, il y a plusieurs niveaux de lecteurs)



L’auditeur doit commencer à rédiger le rapport assez rapidement
car la rédaction prend toujours du temps



Il faut se baser sur des faits indiscutables



On doit faire apparaître les points positifs



Faire des exposés clairs et courts avec un style direct



Porter des appréciations claires et non ambiguës



Faire référence à des référentiels indiscutables



Ne pas oublier les recommandations: C’est ce qu’attend le
management


44

Plan type d’un rapport d’audit informatique









Exemple
1 page
1 page
2à4p
2 pages
10 à 20 p
5à6p

Lettre de mission
Déroulement de la mission
Synthèse du rapport
Synthèse des recommandations
Observations faites
Recommandations
Annexes techniques


45

Règles de conduite de l’auditeur


Au cours de sa mission l’auditeur doit veiller à être neutre



L’auditeur doit manifester son indépendance



Il faut se concentrer sur les faits et se méfier des opinions



Au cours de la mission l’auditeur doit régulièrement informer le
demandeur d’audit sur l’avancement de la mission, les problèmes
rencontrés…



L’auditeur doit respecter les règles du Code d’éthique et des
Standards Professionnels établis par l’ISACA


46

Voir Charte de l’auditeur

IV. L’Audit
VII. COBIT
VIII. Etude de cas


47


48

IV. L’Audit
VI. Management des Risques
VII. La corporate Governance
VIII. COBIT
IX. Etude de cas


49

Viser à l’ensemble, et se mettre à l’œuvre
par les détails (Proverbe chinois)

saad@casablanca-bourse.com

50

Audit des si

Contenu connexe

Tendances

En vedette

Similaire à Audit des si

Audit des si