SlideShare une entreprise Scribd logo
1  sur  47
Mission d’Audit des SI
Foudhaili Aymen
Mastére GP2
Partie I: Notion de systèmes
d’information
Qu’est-ce qu’un SI ?
• « Un système d’information est un
ensemble organisé de ressources (matériel,
logiciel, personnel, données, procédures), permettant
d’acquérir, de traiter, de stocker, de
communiquer des informations dans des
organisations » (Reix, 2004)
– Un système technique (supports matériels)
– Un système social (personnel, flux
d’informations)
Objectifs d’un système d’information
• Pourquoi parler de SI et non de système de
données ?
– Le système d’information apporte des données organisées
pour faciliter le travail
• Davis (1974) : le SI est un « système intégré homme-
machine qui fournit de l’information pour assister les
fonctions opérationnelles, de management et de
prise de décision au sein de l’organisation »
 fournir la bonne information à la bonne personne au
bon moment
Qu’est-ce qu’une bonne
information ?• Pertinence :
– Exhaustivité
– Absence de bruit
– Précision
• Accessibilité :
– Dans le temps : actualité
– Dans l’espace : forme et facilité d’accès (retrieval)
• Crédibilité
Approche hiérarchique des SI
Rôle des SI hiérarchiques
• Faciliter voire automatiser les opérations
courantes (informatique transactionnelle &
opérationnelle)
• Faciliter la prise de décision (informatique
décisionnelle)
Rôles du SI dans le processus de prise de
décision
• Aider (ou se substituer) à la construction de représentations de
la situation (intelligence)
– Décisions structurées : autodiagnostic, alertes de dysfonctionnement
– Décisions semi-structurées ou non structurées : tableaux de bord, outils de
manipulation de données
• Aider (ou se substituer) à la conception de solutions alternatives
– D.S. : simulateurs
– D.S.S. ou D.N.S. : tableaux de bord, simulations, calculs statistiques…
• Aider (ou se substituer) au choix de la solution
– D.S. : automatisation complète. Ex: DAB
– D.S.S. ou D.N.S. : très rare. Systèmes experts
Fonctions des SI
• Acquérir des données brutes
• Stocker les données acquises
• Traiter les données stockées
• Fournir des informations ou des données
brutes
22/10/15 10/34
Partie II: Audit des systèmes
d’information
Définitions
11/34
système d’information :
 L’ensemble des moyens humains, matériels ainsi que des méthodes
visant à acquérir, stocker, traiter et diffuser de l’information.
la confidentialité et la disponibilité de l’information constitue un enjeu très
important pour la compétitivité de l’entreprise
22/10/15
SI représente un patrimoine essentiel de l’entreprise
12/34
 ensemble de méthodes, techniques et outils chargés de protéger les
ressources d’un système informatique afin d’assurer :
La sécurité du système d’information :
 la disponibilité des services
 la confidentialité des information
 l’intégrité des systèmes
22/10/15
Définitions
13/34
La science qui permet de s’assurer que celui qui consulte ou modifie des données
du système en a l’autorisation
La sécurité informatique
Les systèmes informatiques sont au cœur des systèmes d´information
Ils sont devenus la cible de ceux qui convoitent l’information
Assurer la sécurité de l’information implique l’assurance la sécurité des systèmes
informatiques.
L’audit de sécurité du système d’information est un examen méthodique d’une
situation liée à la sécurité de l’information en vue de vérifier sa conformité à des
objectifs, à des règles ou à des normes.
22/10/15
Définitions
Les raisons
• Voici quelques exemples de questions susceptibles d'être formulée par
le Top management :
– Le système d'information de l'entreprise contribue-t-il à améliorer sa
profitabilité?
– La mise en place d'une nouvelle application, a-t-elle amélioré la
productivité et le service client ?
– La stratégie informatique est-elle conforme à la stratégie de l'entreprise ?
– Peut-on diminuer les coûts des fonctions administratives en dépensant
plus en informatique ?
• Entrainent le besoin de :
– de contrôler les Systèmes d'Information ;
– d'accroître la Sécurité des S.I.
– d'optimiser les S.I.
22/10/15 14
Définition d’audit des SI
• Observation, examen, analyse de faits, situations et informations par
rapport à des référentiels internesréférentiels internes (politique de l’entreprise) ou externesexternes
(la réglementation), de manière à mettre en évidence des écarts oudes écarts ou
dysfonctionnementsdysfonctionnements, en rechercher les causes et les conséquences en
termes de risques et de coûts, permettant ainsi à l’auditeur de
présenter dans un rapport des avis et recommandationsdes avis et recommandations à court et
moyen terme.
22/10/15 15
Objectifs de l’audit des SI
• l’audit des systèmes d’information permet de vérifier, apprécier et valider :
– la cohérence et l’adéquation de l’organisation des systèmes d’information en
vigueur et de ses composantes,
– la cohérence des systèmes d’information par rapport aux objectifs de
l’Organisation auditée
– l’adéquation des choix et investissements informatiques (hardware et software)
par rapport aux besoins de l’organisation et des différents gestionnaires et
utilisateurs (à tous les niveaux),
– l’existence d’un plan de développement informatique à moyen terme,
– les domaines d’activités couverts par l’informatique et le degré d’informatisation
de ces activités au niveau de l’organisation objet de l’audit,
– l’efficacité et les compétences des services informatiques,
– les performances des matériels et logiciels.
22/10/15 16
Périmètre de l’audit des SI (1/2)
 Un système d’information est une partie intégrante de l’organisation.
C’est un ensemble de procédures permettant le recueil, le traitement,
la mémorisation, la restitution et la communication de l’information à
des acteurs internes ou externes.
 Auditer un système d’information d’une organisation consiste en une
analyse de faits, situations et informations par rapport à des
référentiels internes ou externes, de manière à mettre en évidence les
écarts ou dysfonctionnements tout en recherchant les causes et les
conséquences en termes de risques et de coûts.
22/10/15 17
Périmètre de l’audit des SI (2/2)
• Auditer les systèmes d’information revient à auditer les composantes qui
le constituent, à savoir:
 L’examen de l'organisation de la structure en charge des systèmes
d’information,
 L’examen des procédures liées au développement,
 L’examen des procédures liées à l’exploitation des applications
informatiques
 L’examen des fonctions techniques,
 L’examen des activités de contrôle sur la protection et la confidentialité
des données.
22/10/15 18
Evaluation des risques liés au SI
• Risques liés aux politiques d’organisation et de management
• Risques liés à la séparation des fonctions
• Risques liés aux contrôles d’accès logiques
• Risques liés au contrôle des accès physiques
• Risques liés au contrôle du développement et des modifications des
programmes et du système
• Risques liés à la continuité de l’activité
• Risques liés aux traitements informatiques
• Risques liés aux utilisateurs
22/10/15 19
Documentation nécessaire pour l’audit des SI
L’audit d’un système d’information nécessite, pour l’auditeur, d’avoir à sa
disposition et d’obtenir :
 l’organisation de la structure informatique, et les effectifs qui lui sont allouées,
 le schéma directeur informatique, s’il existe,
 la charte informatique en vigueur au niveau du site audité, si elle existe,
 l’architecture du système d’information et ses composantes,
 la liste des activités et processus,
 le parc informatique (matériel),
 l’inventaire des applications informatiques opérationnelles et leurs descriptifs
succincts.
22/10/15 20
22/10/15 21/34
Partie III: Mener une mission
d’audit des systèmes d’information
Acteurs d’une mission
• L’auditeur :
– Professionnel compétent et indépendant
– Doit respecter les normes et les standards
– Peut être interne et externe
• L’audité :
– Entreprise
– Filiale
– Département
– service
• Le prescripteur :
– Personne qui commande et assure le règlement de la mission d’Audit
22/10/15 22
Démarche d’audit des SI
22/10/15 23
24
Démarche de l’Audit des SI
• Une approche en 3 phases :
Lettre de
Mission
+
Plan de
mission
Lettre de
Mission
+
Plan de
mission
Programme de
travail (ou plan
d’audit)
Programme de
travail (ou plan
d’audit)
Rapport
+
Plan d’action
Rapport
+
Plan d’action
L’Auditeur aide le manager à mieux maîtriser
ses risques et atteindre ses objectifs.
Il fait des recommandations pour améliorer les
dispositifs existants.
25%
25%
50%
1- La phase de préparation
• La phase d ’étude permet à l ’auditeur de dresser le plan d ’auditle plan d ’audit
de la mission (ou programme de travail). Pour ce faire il va devoir :
– Identifier les principaux objectifs de l ’entité et recenser les risques généraux
associés (risque comptable, patrimonial, …)
– Découper le process en procédures élémentaires, ou « objets auditables ».
– Analyser l ’environnement de contrôle interne, et le cas échéant
l ’environnement informatique.
– Évaluer pour chaque étape du process le niveau des risques inhérents à
l ’activité, et apprécier pour ceux qui présentent un niveau significatif leur
degré de maîtrise en évaluant le niveau des risques liés au contrôle (c ’est à
dire le risque que le contrôle mis en œuvre pour maîtriser un risque inhérent
à une procédure ne soit pas suffisant, adapté …)
22/10/15 25
1- La phase de préparation
• Les documents préparatoires :
– Lettre de mission :Lettre de mission : Mandat donné aux auditeurs par le Manager
pour auditer.
– Lettre d’information :Lettre d’information : Lettre d ’annonce, information remise à
l’audité par l’auditeur (envoi préalable ou lors de la réunion
d ’ouverture)
– Plan de missionPlan de mission ou cahier des charges ou termes de référence
22/10/15 26
1 - La phase d ’étude : Connaître le process
• L ’étude de l’environnement :
– Il s ’agit de la première étape de la phase de prise de connaissance
– Étape théoriquement facilitée par la mise à disposition de guides de
contrôle interne :
•    les objectifs et les buts de l’activité
•    les indicateurs de performance et les valeurs cibles adossés
• les règles, plans, procédures, lois, réglementations, contrats et
conventions qui peuvent avoir un impact significatif sur les
opérations, et les rapports.
•     d’éventuelles problématiques importantes
• la littérature technique (normes, bonnes pratiques, directives
techniques…) faisant autorité pour l'activité concernée
22/10/15 27
Guides de
contrôle
interne
Manuels de
procédures
Guides de
contrôle
interne
Manuels de
procédures
1 - La phase d ’étude : Connaître le process
• L’étude des chiffres significatifs :
– Recenser les données propres à la procédure et
connaître leur évolution, à la fois au sein de
l ’entité auditée mais aussi par comparaison à
d ’autres entités
– Se faire expliquer les évolutions significative
( changement de la réglementation,
réorganisation du service, … ) par écrit
22/10/15 28
Rapport
d ’activité
Rapport
d ’activité
Base de
Données
Base de
Données
1 - La phase d ’étude : Connaître le process
• Détermination des risques généraux :
• Identification des différentes étapes du process :
Découper la procédure en étapes générales
22/10/15 29
…
Procédure
Etape3
Etape1
EtapeN
Etape2
1 - La phase d ’étude : Connaître le process
• Identification des acteurs :
– Quels sont les acteurs qui interviennent dans la
procédure? Internes et externesInternes et externes : les recenser tous
– A quel titre interviennent - ils ?
– Quelles sont leurs fonctions ?
– Quels outils utilisent t-ils ?
– Quels comptes ?
– De quelles informations disposent t-ils ?
– Quels sont leurs niveaux d ’habilitation ?
22/10/15 30
1 - La phase d ’étude : Connaître le process
• Matérialisation des flux : pour achever la phase d ’étude et au vu de
l ’ensemble des informations récoltées en amont l ’auditeur dresse un schéma de
circulation des informations lui permettant de comprendre la circulation des flux
d ’information de la procédure dans ses différents lieux. Ce schéma, outre l ’aspect
« outil de synthèse » permet de mettre en avant des points forts, mais aussi des points
de fragilité, et va servir de support à l ’analyse de la validité et de l ’efficacité du
contrôle interne.
22/10/15 31
32
1 - La phase d ’étude : Connaître le process
• Cartographie des risques : l ’auditeur indique le risque inhérent, c’est à dire avant
contrôle interne à chaque objet auditable du process.
– Le tableau ci-dessous présente un modèle de cartographie. L ’auditeur, à ce stade, va
renseigner les quatre premières colonnes : Procédure, Étape, Objet auditable et
Risque Inhérent
– La deuxième partie du tableau sera servie dans l ’étape
RisqueComptable
RisqueOpérationnel
RisquePatrimonial
RisqueJuridique
RisquedeFraude
Procédure Etape Objet
Auditable
Commentaire
sur le niveau
du risque
inhérent
Cequi doit
être fait pour
maîtriser le
risque
inhérent
Risque
inhérent
Cotation Niveau
du
risque
Inhérent
Etape 2 : phase du Terrain
22/10/15 33
2 - La phase du Terrain : Evaluer le
dispositif du CI
• L ’évaluation des dispositifs transversaux : le contrôle interne, et
l’informatique:
– Utilisation d ’un questionnaire déroulé dans le cadre d ’un entretien
portant sur les principes suivants :
• Organisation
• Intégration
• Universalité
• Permanence
• L’information et/ou documentation
• Circulation de l ’information
– Approche spécifique de l’environnement informatique
22/10/15 34
2 - La phase du Terrain : Evaluer le
dispositif du CI
– S ’agissant de l ’informatique :
– Sécurités physiques :
• Protection des locaux ( accès sécurisé, salle fermée … )
• Protection des matériels ( incendie, humidité, … )
• Modalité de stockages des supports d ’information ( disques, disquettes -->
armoire ignifuge, stockage externe … )
– Sécurités logiques
• Habilitations / délégations
• Procédures de sauvegardes ( modalités, fréquence, suivi formalisé …. )
• Procédures de restauration des données ( simulations d ’incidents, … )
– Contrôles spécifiques
• Traçabilité des opérations de modification des données ( liste, journal des
modifications … ).
22/10/15 35
2 - La phase du Terrain : Evaluer les
risques
• L ’auditeur doit évaluer le niveau du risque en mesurant sa probabilité et
son impact
• Pour chaque étape de la procédure, les risques inhérents listés sont
qualifiés :
 Bas
 Moyen
 Élevé
• Ce travail d ’évaluation est réalisé en fonction des éléments recueillis lors
de la prise de connaissance ( Étape 1 ), mais aussi lors de l ’évaluation du
dispositif de contrôle interne ( Étape 2 )
• L ’évaluation des risques doit être commentée par l ’auditeur qui doit
formaliser les choix réalisés.
22/10/15 36
2 - La phase du Terrain : Evaluer les
risques
• Pour chaque objet auditable de la procédure, les risques inhérents listés sont qualifiés
– La cartographie pré remplie à la fin de la phase 1, est complétée. La cotation se fait en évaluant le
poids ( Impact X Probabilité ) de chacun des risques généraux selon l ’évaluation suivante :
0 Faible
1 Moyen
2 Élevé
4 Maximum
22/10/15 37
RisqueComptable
RisqueOpérationnel
RisquePatrimonial
RisqueJuridique
RisquedeFraude
XXX XXXX XXXX XXXXXXXXX 2 4 2 4 4
Elevé XXXX XXXXXXXX
Procédure Etape Objet
Auditable
Commentaire
sur le niveau
du risque
inhérent
Cequi doit
être fait pour
maîtriser le
risque
inhérent
Risque
inhérent
Cotation Niveau
du
risque
Inhérent
• Pour les risques élevés, l ’auditeur indique les contrôles qui doivent être
réalisés, pour permettre leur maîtrise. L ’auditeur indique « ce qui doit être
fait », pour ensuite comparer avec « ce qui est fait » !
22/10/15 38
RisqueComptable
RisqueOpérationnel
RisquePatrimonial
RisqueJuridique
RisquedeFraude
XXX XXXX XXXX XXXXXXXXX 2 4 2 4 4
Elevé XXXX XXXXXXXX
Procédure Etape Objet
Auditable
Commentaire
sur le niveau
du risque
inhérent
Cequi doit
être fait pour
maîtriser le
risque
inhérent
Risque
inhérent
Cotation Niveau
du
risque
Inhérent
2 - La phase du Terrain : Evaluer les
risques
• Recenser les contrôles :
– Après avoir évalué le niveau des risques inhérents, l ’auditeur
recense les contrôles réalisés pour déterminer le niveau des
risques de contrôle. Le niveau du risque de contrôle est élevé si le
contrôle mis en œuvre pour maîtriser le risque inhérent élevé
apparaît comme insuffisant.
– L ’auditeur, à partir de la cartographie sert le tableau de
description du process .
22/10/15 39
2 - La phase du Terrain :
• Les papiers du travail dans cette phase :
• documentation des faits recueillis par l ’auditeur et constitutifs de la
preuve d ’audit qui va permettre à l ’auditeur de formuler une
recommandation matérialisée dans une Fiche de révélation et
d ’analyse des problèmes FRAP.
• Éléments mis à la disposition des membres de l ’équipe d ’audit et du
superviseur.
22/10/15 40
FEUILLE DE REVELATION ET D'ANALYSE DE PROBLEME
papiers de travail : FRAP n° : mmm
Problème : …………………………………………………….
……………………………………………………………………
Faits :
-
-
Causes :
-
-
Conséquences :
-
-
Amélioration proposée :
…………………………………………………………
…………………………………………………………….
.
Établie par : Revue par : Soumise à avis de l’audité
le : le : Nom : le :
Les outils de l’audit
22/10/15 42
3- La phase de restitution
• La rédaction des Fiches de Révélation
et d ’Analyse des Problèmes ( FRAP ) :
– La FRAP sert à mettre en avant les
insuffisances du dispositif de contrôle et à
formaliser les recommandations qui
figureront dans le rapport d ’audit.
– La FRAP est soumise à l ’approbation de
l’entité auditée
– La FRAP est un document de travail qui
pourra, in fine, être utilisé comme support
technique à la mise en œuvre du plan
d ’action par l ’entité auditée
22/10/15 43
Problèm
e
sérieux
Problèm
e
sérieux
3- La phase de restitution
• Le rapport d ’audit :
– Une synthèse : Points Forts / Points Faible et principales
recommandations
– Un Rapport, qui par objectif de la procédure est articulé de la façon
suivante :
• constats: points forts / points faibles
• analyse des risques
• recommandations
– Des annexes constituées des FRAP.
22/10/15 44
3- La phase de restitution
• La proposition de plan d ’action :
– C ’est un tableau simple réalisé par l ’auditeur et qui permet à l ’audité
d ’indiquer pour chaque recommandation qui fera quoi et quand.
22/10/15 45
Recommandations
Personne responsable de la
mise en œuvre
Date limite de réalisation Indicateur
N° 1
N° 2
N° n
Servi par l'auditeur
Plan d'action
Servi par l'audité
3- La phase de restitution
• La proposition de plan d ’action : le suivi est réalisé :
– Soit par l ’auditeur
– Soit par une structure indépendante
– Soit par une structure relevant de l ’entité auditée
22/10/15 46
3- La phase de restitution
• La réunion de clôture :
– Présenter les résultats de l ’audit
– Présenter les recommandations et les actions à mettre en œuvre
– Obtenir l ’adhésion.
22/10/15 47

Contenu connexe

Tendances

Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesAbdeslam Menacere
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
 L’organisation et la formalisation du management des risques selon l’ISO 31000  L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 PECB
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Harold NGUEGANG
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Partie 1 audit comptable et financier
Partie 1 audit comptable et financierPartie 1 audit comptable et financier
Partie 1 audit comptable et financierZouhair Aitelhaj
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 

Tendances (20)

Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Cobit
Cobit Cobit
Cobit
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
 L’organisation et la formalisation du management des risques selon l’ISO 31000  L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Partie 1 audit comptable et financier
Partie 1 audit comptable et financierPartie 1 audit comptable et financier
Partie 1 audit comptable et financier
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 

En vedette

Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'auditBRAHIM MELLOUL
 
Audit comptable et_financieer
Audit comptable et_financieerAudit comptable et_financieer
Audit comptable et_financieergirelle
 
Audit-audit-interne
Audit-audit-interneAudit-audit-interne
Audit-audit-interneWidad Naciri
 
L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)Htitipi
 
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances   copie (2)La pratique de l'audit interne dans les entreprises d'assurances   copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)dodoooooo
 
Guide pratique de l'audit oec maroc
Guide pratique de l'audit   oec marocGuide pratique de l'audit   oec maroc
Guide pratique de l'audit oec marocbissa bissa
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012Sellami Ahmed
 
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Oumayma Korchi
 
Audit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniquesAudit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniquestoutou0071
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER Hajar EL GUERI
 

En vedette (13)

Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
 
Audit comptable et_financieer
Audit comptable et_financieerAudit comptable et_financieer
Audit comptable et_financieer
 
Audit-audit-interne
Audit-audit-interneAudit-audit-interne
Audit-audit-interne
 
L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)L'audit SEO (SMX Paris 2014)
L'audit SEO (SMX Paris 2014)
 
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances   copie (2)La pratique de l'audit interne dans les entreprises d'assurances   copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
 
Qu'est ce qu'un audit
Qu'est ce qu'un auditQu'est ce qu'un audit
Qu'est ce qu'un audit
 
Guide pratique de l'audit oec maroc
Guide pratique de l'audit   oec marocGuide pratique de l'audit   oec maroc
Guide pratique de l'audit oec maroc
 
Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit ppt
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012
 
sdfss
sdfsssdfss
sdfss
 
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
Audit comptable-financier-objectifs-demarches-et-techniques-121226130337-phpa...
 
Audit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniquesAudit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniques
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER
 

Similaire à Mission d'audit des Systéme d'information

294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptxhajarbouladass
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationpapediallo3
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdfHajar958801
 
Systèmjknjknjkn,kl,kl,kljkljkojjkonjke d'information 1.pdf
Systèmjknjknjkn,kl,kl,kljkljkojjkonjke d'information 1.pdfSystèmjknjknjkn,kl,kl,kljkljkojjkonjke d'information 1.pdf
Systèmjknjknjkn,kl,kl,kljkljkojjkonjke d'information 1.pdfRabieMachloukh
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSmartnSkilled
 
resume-theorique-m102-1512-62178d4f02ebc.pdf
resume-theorique-m102-1512-62178d4f02ebc.pdfresume-theorique-m102-1512-62178d4f02ebc.pdf
resume-theorique-m102-1512-62178d4f02ebc.pdfFootballLovers9
 
Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfTAFEMBLANC
 
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0ben3a
 
Les systèmes d'information
Les systèmes d'informationLes systèmes d'information
Les systèmes d'informationOumaima Karim
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
Chapitre 1 SI Définitions & Conceptions.pptx
Chapitre 1 SI Définitions & Conceptions.pptxChapitre 1 SI Définitions & Conceptions.pptx
Chapitre 1 SI Définitions & Conceptions.pptxLilia Hedfi-Khayati
 
Cours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURIMansouri Khalifa
 

Similaire à Mission d'audit des Systéme d'information (20)

SI_MCC_2020_21.pptx
SI_MCC_2020_21.pptxSI_MCC_2020_21.pptx
SI_MCC_2020_21.pptx
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'information
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
 
Systèmjknjknjkn,kl,kl,kljkljkojjkonjke d'information 1.pdf
Systèmjknjknjkn,kl,kl,kljkljkojjkonjke d'information 1.pdfSystèmjknjknjkn,kl,kl,kljkljkojjkonjke d'information 1.pdf
Systèmjknjknjkn,kl,kl,kljkljkojjkonjke d'information 1.pdf
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
 
resume-theorique-m102-1512-62178d4f02ebc.pdf
resume-theorique-m102-1512-62178d4f02ebc.pdfresume-theorique-m102-1512-62178d4f02ebc.pdf
resume-theorique-m102-1512-62178d4f02ebc.pdf
 
Cisa domaine 4 operations maintenance et support des systèmes d’information
Cisa domaine 4   operations maintenance et support des systèmes d’informationCisa domaine 4   operations maintenance et support des systèmes d’information
Cisa domaine 4 operations maintenance et support des systèmes d’information
 
Masi intro csi
Masi intro csiMasi intro csi
Masi intro csi
 
Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdf
 
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0
 
COBIT
COBIT COBIT
COBIT
 
Les systèmes d'information
Les systèmes d'informationLes systèmes d'information
Les systèmes d'information
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Chapitre 1 SI Définitions & Conceptions.pptx
Chapitre 1 SI Définitions & Conceptions.pptxChapitre 1 SI Définitions & Conceptions.pptx
Chapitre 1 SI Définitions & Conceptions.pptx
 
[2]bis
[2]bis[2]bis
[2]bis
 
Mémoire - Audit d'un projet KM
Mémoire - Audit d'un projet KMMémoire - Audit d'un projet KM
Mémoire - Audit d'un projet KM
 
Informatisation de projets
Informatisation de projetsInformatisation de projets
Informatisation de projets
 
Cours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURI
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
 

Plus de Aymen Foudhaili

Gestion d’un projet informatique
Gestion d’un projet informatiqueGestion d’un projet informatique
Gestion d’un projet informatiqueAymen Foudhaili
 
Role du Controle interne dans la mission d'audit
Role du Controle interne dans la mission d'auditRole du Controle interne dans la mission d'audit
Role du Controle interne dans la mission d'auditAymen Foudhaili
 
Management des equipes projet et leadership
Management des equipes projet et leadership Management des equipes projet et leadership
Management des equipes projet et leadership Aymen Foudhaili
 
Business plan d'une société de service a domicile tunisienne
Business plan d'une société de service a domicile tunisienneBusiness plan d'une société de service a domicile tunisienne
Business plan d'une société de service a domicile tunisienneAymen Foudhaili
 

Plus de Aymen Foudhaili (7)

Gestion d’un projet informatique
Gestion d’un projet informatiqueGestion d’un projet informatique
Gestion d’un projet informatique
 
Role du Controle interne dans la mission d'audit
Role du Controle interne dans la mission d'auditRole du Controle interne dans la mission d'audit
Role du Controle interne dans la mission d'audit
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Gestion de la qualite
Gestion de la qualiteGestion de la qualite
Gestion de la qualite
 
Management des equipes projet et leadership
Management des equipes projet et leadership Management des equipes projet et leadership
Management des equipes projet et leadership
 
Le Management de crise
Le Management de criseLe Management de crise
Le Management de crise
 
Business plan d'une société de service a domicile tunisienne
Business plan d'une société de service a domicile tunisienneBusiness plan d'une société de service a domicile tunisienne
Business plan d'une société de service a domicile tunisienne
 

Mission d'audit des Systéme d'information

  • 1. Mission d’Audit des SI Foudhaili Aymen Mastére GP2
  • 2. Partie I: Notion de systèmes d’information
  • 3. Qu’est-ce qu’un SI ? • « Un système d’information est un ensemble organisé de ressources (matériel, logiciel, personnel, données, procédures), permettant d’acquérir, de traiter, de stocker, de communiquer des informations dans des organisations » (Reix, 2004) – Un système technique (supports matériels) – Un système social (personnel, flux d’informations)
  • 4. Objectifs d’un système d’information • Pourquoi parler de SI et non de système de données ? – Le système d’information apporte des données organisées pour faciliter le travail • Davis (1974) : le SI est un « système intégré homme- machine qui fournit de l’information pour assister les fonctions opérationnelles, de management et de prise de décision au sein de l’organisation »  fournir la bonne information à la bonne personne au bon moment
  • 5. Qu’est-ce qu’une bonne information ?• Pertinence : – Exhaustivité – Absence de bruit – Précision • Accessibilité : – Dans le temps : actualité – Dans l’espace : forme et facilité d’accès (retrieval) • Crédibilité
  • 7. Rôle des SI hiérarchiques • Faciliter voire automatiser les opérations courantes (informatique transactionnelle & opérationnelle) • Faciliter la prise de décision (informatique décisionnelle)
  • 8. Rôles du SI dans le processus de prise de décision • Aider (ou se substituer) à la construction de représentations de la situation (intelligence) – Décisions structurées : autodiagnostic, alertes de dysfonctionnement – Décisions semi-structurées ou non structurées : tableaux de bord, outils de manipulation de données • Aider (ou se substituer) à la conception de solutions alternatives – D.S. : simulateurs – D.S.S. ou D.N.S. : tableaux de bord, simulations, calculs statistiques… • Aider (ou se substituer) au choix de la solution – D.S. : automatisation complète. Ex: DAB – D.S.S. ou D.N.S. : très rare. Systèmes experts
  • 9. Fonctions des SI • Acquérir des données brutes • Stocker les données acquises • Traiter les données stockées • Fournir des informations ou des données brutes
  • 10. 22/10/15 10/34 Partie II: Audit des systèmes d’information
  • 11. Définitions 11/34 système d’information :  L’ensemble des moyens humains, matériels ainsi que des méthodes visant à acquérir, stocker, traiter et diffuser de l’information. la confidentialité et la disponibilité de l’information constitue un enjeu très important pour la compétitivité de l’entreprise 22/10/15 SI représente un patrimoine essentiel de l’entreprise
  • 12. 12/34  ensemble de méthodes, techniques et outils chargés de protéger les ressources d’un système informatique afin d’assurer : La sécurité du système d’information :  la disponibilité des services  la confidentialité des information  l’intégrité des systèmes 22/10/15 Définitions
  • 13. 13/34 La science qui permet de s’assurer que celui qui consulte ou modifie des données du système en a l’autorisation La sécurité informatique Les systèmes informatiques sont au cœur des systèmes d´information Ils sont devenus la cible de ceux qui convoitent l’information Assurer la sécurité de l’information implique l’assurance la sécurité des systèmes informatiques. L’audit de sécurité du système d’information est un examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes. 22/10/15 Définitions
  • 14. Les raisons • Voici quelques exemples de questions susceptibles d'être formulée par le Top management : – Le système d'information de l'entreprise contribue-t-il à améliorer sa profitabilité? – La mise en place d'une nouvelle application, a-t-elle amélioré la productivité et le service client ? – La stratégie informatique est-elle conforme à la stratégie de l'entreprise ? – Peut-on diminuer les coûts des fonctions administratives en dépensant plus en informatique ? • Entrainent le besoin de : – de contrôler les Systèmes d'Information ; – d'accroître la Sécurité des S.I. – d'optimiser les S.I. 22/10/15 14
  • 15. Définition d’audit des SI • Observation, examen, analyse de faits, situations et informations par rapport à des référentiels internesréférentiels internes (politique de l’entreprise) ou externesexternes (la réglementation), de manière à mettre en évidence des écarts oudes écarts ou dysfonctionnementsdysfonctionnements, en rechercher les causes et les conséquences en termes de risques et de coûts, permettant ainsi à l’auditeur de présenter dans un rapport des avis et recommandationsdes avis et recommandations à court et moyen terme. 22/10/15 15
  • 16. Objectifs de l’audit des SI • l’audit des systèmes d’information permet de vérifier, apprécier et valider : – la cohérence et l’adéquation de l’organisation des systèmes d’information en vigueur et de ses composantes, – la cohérence des systèmes d’information par rapport aux objectifs de l’Organisation auditée – l’adéquation des choix et investissements informatiques (hardware et software) par rapport aux besoins de l’organisation et des différents gestionnaires et utilisateurs (à tous les niveaux), – l’existence d’un plan de développement informatique à moyen terme, – les domaines d’activités couverts par l’informatique et le degré d’informatisation de ces activités au niveau de l’organisation objet de l’audit, – l’efficacité et les compétences des services informatiques, – les performances des matériels et logiciels. 22/10/15 16
  • 17. Périmètre de l’audit des SI (1/2)  Un système d’information est une partie intégrante de l’organisation. C’est un ensemble de procédures permettant le recueil, le traitement, la mémorisation, la restitution et la communication de l’information à des acteurs internes ou externes.  Auditer un système d’information d’une organisation consiste en une analyse de faits, situations et informations par rapport à des référentiels internes ou externes, de manière à mettre en évidence les écarts ou dysfonctionnements tout en recherchant les causes et les conséquences en termes de risques et de coûts. 22/10/15 17
  • 18. Périmètre de l’audit des SI (2/2) • Auditer les systèmes d’information revient à auditer les composantes qui le constituent, à savoir:  L’examen de l'organisation de la structure en charge des systèmes d’information,  L’examen des procédures liées au développement,  L’examen des procédures liées à l’exploitation des applications informatiques  L’examen des fonctions techniques,  L’examen des activités de contrôle sur la protection et la confidentialité des données. 22/10/15 18
  • 19. Evaluation des risques liés au SI • Risques liés aux politiques d’organisation et de management • Risques liés à la séparation des fonctions • Risques liés aux contrôles d’accès logiques • Risques liés au contrôle des accès physiques • Risques liés au contrôle du développement et des modifications des programmes et du système • Risques liés à la continuité de l’activité • Risques liés aux traitements informatiques • Risques liés aux utilisateurs 22/10/15 19
  • 20. Documentation nécessaire pour l’audit des SI L’audit d’un système d’information nécessite, pour l’auditeur, d’avoir à sa disposition et d’obtenir :  l’organisation de la structure informatique, et les effectifs qui lui sont allouées,  le schéma directeur informatique, s’il existe,  la charte informatique en vigueur au niveau du site audité, si elle existe,  l’architecture du système d’information et ses composantes,  la liste des activités et processus,  le parc informatique (matériel),  l’inventaire des applications informatiques opérationnelles et leurs descriptifs succincts. 22/10/15 20
  • 21. 22/10/15 21/34 Partie III: Mener une mission d’audit des systèmes d’information
  • 22. Acteurs d’une mission • L’auditeur : – Professionnel compétent et indépendant – Doit respecter les normes et les standards – Peut être interne et externe • L’audité : – Entreprise – Filiale – Département – service • Le prescripteur : – Personne qui commande et assure le règlement de la mission d’Audit 22/10/15 22
  • 23. Démarche d’audit des SI 22/10/15 23
  • 24. 24 Démarche de l’Audit des SI • Une approche en 3 phases : Lettre de Mission + Plan de mission Lettre de Mission + Plan de mission Programme de travail (ou plan d’audit) Programme de travail (ou plan d’audit) Rapport + Plan d’action Rapport + Plan d’action L’Auditeur aide le manager à mieux maîtriser ses risques et atteindre ses objectifs. Il fait des recommandations pour améliorer les dispositifs existants. 25% 25% 50%
  • 25. 1- La phase de préparation • La phase d ’étude permet à l ’auditeur de dresser le plan d ’auditle plan d ’audit de la mission (ou programme de travail). Pour ce faire il va devoir : – Identifier les principaux objectifs de l ’entité et recenser les risques généraux associés (risque comptable, patrimonial, …) – Découper le process en procédures élémentaires, ou « objets auditables ». – Analyser l ’environnement de contrôle interne, et le cas échéant l ’environnement informatique. – Évaluer pour chaque étape du process le niveau des risques inhérents à l ’activité, et apprécier pour ceux qui présentent un niveau significatif leur degré de maîtrise en évaluant le niveau des risques liés au contrôle (c ’est à dire le risque que le contrôle mis en œuvre pour maîtriser un risque inhérent à une procédure ne soit pas suffisant, adapté …) 22/10/15 25
  • 26. 1- La phase de préparation • Les documents préparatoires : – Lettre de mission :Lettre de mission : Mandat donné aux auditeurs par le Manager pour auditer. – Lettre d’information :Lettre d’information : Lettre d ’annonce, information remise à l’audité par l’auditeur (envoi préalable ou lors de la réunion d ’ouverture) – Plan de missionPlan de mission ou cahier des charges ou termes de référence 22/10/15 26
  • 27. 1 - La phase d ’étude : Connaître le process • L ’étude de l’environnement : – Il s ’agit de la première étape de la phase de prise de connaissance – Étape théoriquement facilitée par la mise à disposition de guides de contrôle interne : •    les objectifs et les buts de l’activité •    les indicateurs de performance et les valeurs cibles adossés • les règles, plans, procédures, lois, réglementations, contrats et conventions qui peuvent avoir un impact significatif sur les opérations, et les rapports. •     d’éventuelles problématiques importantes • la littérature technique (normes, bonnes pratiques, directives techniques…) faisant autorité pour l'activité concernée 22/10/15 27 Guides de contrôle interne Manuels de procédures Guides de contrôle interne Manuels de procédures
  • 28. 1 - La phase d ’étude : Connaître le process • L’étude des chiffres significatifs : – Recenser les données propres à la procédure et connaître leur évolution, à la fois au sein de l ’entité auditée mais aussi par comparaison à d ’autres entités – Se faire expliquer les évolutions significative ( changement de la réglementation, réorganisation du service, … ) par écrit 22/10/15 28 Rapport d ’activité Rapport d ’activité Base de Données Base de Données
  • 29. 1 - La phase d ’étude : Connaître le process • Détermination des risques généraux : • Identification des différentes étapes du process : Découper la procédure en étapes générales 22/10/15 29 … Procédure Etape3 Etape1 EtapeN Etape2
  • 30. 1 - La phase d ’étude : Connaître le process • Identification des acteurs : – Quels sont les acteurs qui interviennent dans la procédure? Internes et externesInternes et externes : les recenser tous – A quel titre interviennent - ils ? – Quelles sont leurs fonctions ? – Quels outils utilisent t-ils ? – Quels comptes ? – De quelles informations disposent t-ils ? – Quels sont leurs niveaux d ’habilitation ? 22/10/15 30
  • 31. 1 - La phase d ’étude : Connaître le process • Matérialisation des flux : pour achever la phase d ’étude et au vu de l ’ensemble des informations récoltées en amont l ’auditeur dresse un schéma de circulation des informations lui permettant de comprendre la circulation des flux d ’information de la procédure dans ses différents lieux. Ce schéma, outre l ’aspect « outil de synthèse » permet de mettre en avant des points forts, mais aussi des points de fragilité, et va servir de support à l ’analyse de la validité et de l ’efficacité du contrôle interne. 22/10/15 31
  • 32. 32 1 - La phase d ’étude : Connaître le process • Cartographie des risques : l ’auditeur indique le risque inhérent, c’est à dire avant contrôle interne à chaque objet auditable du process. – Le tableau ci-dessous présente un modèle de cartographie. L ’auditeur, à ce stade, va renseigner les quatre premières colonnes : Procédure, Étape, Objet auditable et Risque Inhérent – La deuxième partie du tableau sera servie dans l ’étape RisqueComptable RisqueOpérationnel RisquePatrimonial RisqueJuridique RisquedeFraude Procédure Etape Objet Auditable Commentaire sur le niveau du risque inhérent Cequi doit être fait pour maîtriser le risque inhérent Risque inhérent Cotation Niveau du risque Inhérent
  • 33. Etape 2 : phase du Terrain 22/10/15 33
  • 34. 2 - La phase du Terrain : Evaluer le dispositif du CI • L ’évaluation des dispositifs transversaux : le contrôle interne, et l’informatique: – Utilisation d ’un questionnaire déroulé dans le cadre d ’un entretien portant sur les principes suivants : • Organisation • Intégration • Universalité • Permanence • L’information et/ou documentation • Circulation de l ’information – Approche spécifique de l’environnement informatique 22/10/15 34
  • 35. 2 - La phase du Terrain : Evaluer le dispositif du CI – S ’agissant de l ’informatique : – Sécurités physiques : • Protection des locaux ( accès sécurisé, salle fermée … ) • Protection des matériels ( incendie, humidité, … ) • Modalité de stockages des supports d ’information ( disques, disquettes --> armoire ignifuge, stockage externe … ) – Sécurités logiques • Habilitations / délégations • Procédures de sauvegardes ( modalités, fréquence, suivi formalisé …. ) • Procédures de restauration des données ( simulations d ’incidents, … ) – Contrôles spécifiques • Traçabilité des opérations de modification des données ( liste, journal des modifications … ). 22/10/15 35
  • 36. 2 - La phase du Terrain : Evaluer les risques • L ’auditeur doit évaluer le niveau du risque en mesurant sa probabilité et son impact • Pour chaque étape de la procédure, les risques inhérents listés sont qualifiés :  Bas  Moyen  Élevé • Ce travail d ’évaluation est réalisé en fonction des éléments recueillis lors de la prise de connaissance ( Étape 1 ), mais aussi lors de l ’évaluation du dispositif de contrôle interne ( Étape 2 ) • L ’évaluation des risques doit être commentée par l ’auditeur qui doit formaliser les choix réalisés. 22/10/15 36
  • 37. 2 - La phase du Terrain : Evaluer les risques • Pour chaque objet auditable de la procédure, les risques inhérents listés sont qualifiés – La cartographie pré remplie à la fin de la phase 1, est complétée. La cotation se fait en évaluant le poids ( Impact X Probabilité ) de chacun des risques généraux selon l ’évaluation suivante : 0 Faible 1 Moyen 2 Élevé 4 Maximum 22/10/15 37 RisqueComptable RisqueOpérationnel RisquePatrimonial RisqueJuridique RisquedeFraude XXX XXXX XXXX XXXXXXXXX 2 4 2 4 4 Elevé XXXX XXXXXXXX Procédure Etape Objet Auditable Commentaire sur le niveau du risque inhérent Cequi doit être fait pour maîtriser le risque inhérent Risque inhérent Cotation Niveau du risque Inhérent
  • 38. • Pour les risques élevés, l ’auditeur indique les contrôles qui doivent être réalisés, pour permettre leur maîtrise. L ’auditeur indique « ce qui doit être fait », pour ensuite comparer avec « ce qui est fait » ! 22/10/15 38 RisqueComptable RisqueOpérationnel RisquePatrimonial RisqueJuridique RisquedeFraude XXX XXXX XXXX XXXXXXXXX 2 4 2 4 4 Elevé XXXX XXXXXXXX Procédure Etape Objet Auditable Commentaire sur le niveau du risque inhérent Cequi doit être fait pour maîtriser le risque inhérent Risque inhérent Cotation Niveau du risque Inhérent
  • 39. 2 - La phase du Terrain : Evaluer les risques • Recenser les contrôles : – Après avoir évalué le niveau des risques inhérents, l ’auditeur recense les contrôles réalisés pour déterminer le niveau des risques de contrôle. Le niveau du risque de contrôle est élevé si le contrôle mis en œuvre pour maîtriser le risque inhérent élevé apparaît comme insuffisant. – L ’auditeur, à partir de la cartographie sert le tableau de description du process . 22/10/15 39
  • 40. 2 - La phase du Terrain : • Les papiers du travail dans cette phase : • documentation des faits recueillis par l ’auditeur et constitutifs de la preuve d ’audit qui va permettre à l ’auditeur de formuler une recommandation matérialisée dans une Fiche de révélation et d ’analyse des problèmes FRAP. • Éléments mis à la disposition des membres de l ’équipe d ’audit et du superviseur. 22/10/15 40
  • 41. FEUILLE DE REVELATION ET D'ANALYSE DE PROBLEME papiers de travail : FRAP n° : mmm Problème : ……………………………………………………. …………………………………………………………………… Faits : - - Causes : - - Conséquences : - - Amélioration proposée : ………………………………………………………… ……………………………………………………………. . Établie par : Revue par : Soumise à avis de l’audité le : le : Nom : le :
  • 42. Les outils de l’audit 22/10/15 42
  • 43. 3- La phase de restitution • La rédaction des Fiches de Révélation et d ’Analyse des Problèmes ( FRAP ) : – La FRAP sert à mettre en avant les insuffisances du dispositif de contrôle et à formaliser les recommandations qui figureront dans le rapport d ’audit. – La FRAP est soumise à l ’approbation de l’entité auditée – La FRAP est un document de travail qui pourra, in fine, être utilisé comme support technique à la mise en œuvre du plan d ’action par l ’entité auditée 22/10/15 43 Problèm e sérieux Problèm e sérieux
  • 44. 3- La phase de restitution • Le rapport d ’audit : – Une synthèse : Points Forts / Points Faible et principales recommandations – Un Rapport, qui par objectif de la procédure est articulé de la façon suivante : • constats: points forts / points faibles • analyse des risques • recommandations – Des annexes constituées des FRAP. 22/10/15 44
  • 45. 3- La phase de restitution • La proposition de plan d ’action : – C ’est un tableau simple réalisé par l ’auditeur et qui permet à l ’audité d ’indiquer pour chaque recommandation qui fera quoi et quand. 22/10/15 45 Recommandations Personne responsable de la mise en œuvre Date limite de réalisation Indicateur N° 1 N° 2 N° n Servi par l'auditeur Plan d'action Servi par l'audité
  • 46. 3- La phase de restitution • La proposition de plan d ’action : le suivi est réalisé : – Soit par l ’auditeur – Soit par une structure indépendante – Soit par une structure relevant de l ’entité auditée 22/10/15 46
  • 47. 3- La phase de restitution • La réunion de clôture : – Présenter les résultats de l ’audit – Présenter les recommandations et les actions à mettre en œuvre – Obtenir l ’adhésion. 22/10/15 47

Notes de l'éditeur

  1.  Certaines destructions ou altérations de l’information peuvent Nuire à la crédibilité de l’entreprise Causer des pertes élevées à l’entreprise. Si votre partenaire n’est pas sécurisé, votre système d’information pourrait être affecté. Un SI comprend : - L’information elle-même - La manière d’organiser et de structurer l’information - Les moyens mis pour le traitement de l’information - Les moyens mis pour véhiculer l’information et la rendre disponible
  2. - la protection de la fiabilité de ces données = la conservation de leur contenu au fil du temps ou lors de leur Traitement -La sécurité [des systèmes d’information] ne résulte pas d'une accumulation de moyens, mais est plutôt associée à une démarche méthodique d'analyse et de réduction des risques. Ainsi, de nombreuses techniques sont mises en oeuvre pour réduire la vulnérabilité vis‐à‐vis des risques informatiques ; elles concernent notamment l'organisation de l'entreprise, le contrôle des accès aux systèmes d'information, la protection des télécommunications, le plan de secours, les consignes de sécurité, la qualité des logiciels, les sauvegardes, le chiffrement, … comporte trois aspects : - la protection physique des installations - la protection des données contre la consultation, la modification ou la dégradation, effectuées de façon volontaire ou accidentelle par des personnes non autorisées - la protection de la fiabilité de ces données
  3. l’essentiel du système d’information est porté par le système informatique et la notion de sécurité informatique recouvre pour l’essentiel la notion de sécurité des systèmes d’information (SSI).