Support formation en ligne : Manager et auditer les risques informatiques

Jean-François Caron
Expert en comptabilité et
finance
Introduction et mise en route
Présentation générale

Présentation générale
Les systèmes et outils informatiques sont aujourd’hui essentiels pour toute
organisation concernant la réalisation de ses activités…
…d’où la nécessité de les maîtriser, plus particulièrement en termes de risque.
Manager les risques informatiques est impératif pour sécuriser les traitements
opérationnels et gagner en efficacité dans de bonnes conditions.
Auditer les risques informatiques est incontournable pour disposer de moyens
adéquats par rapport aux objectifs de l’organisation et permettre une adaptation
des outils au regard d’un environnement informatisé sans cesse évolutif.

Présentation formateur
Jean-François Caron
Diplômé d’Etudes Supérieurs Comptables et Financières (DESCF).
Certifié CIA, CRMA.
17 ans d’expérience en audit (externe, interne) et en management des risques.
Formateur depuis 9 ans : audit, management des risques, comptabilité, finance.
Professeur vacataire en université (comptabilité, économie générale, contrôle de gestion).
Fondateur auditécofi
Formations à distances, ressources gratuites.
www.formation-audit-ecofi.com

Le plan de la formation
Partie 1
Points généraux en matière de
systèmes d’informations (SI)
Partie 2
Management des risques inhérents au
SI
Partie 3
Traitement des risques inhérents à
l’organisation du SI
Partie 4
Traitement des risques inhérents au
fonctionnement du SI
Partie 5
Traitement des risques inhérents à la
sécurité du SI
Partie 6
Projet de développement du SI
Partie 11
Contrôles informatiques pour la
maîtrise des process achats et ventes
Partie 7
Contrôle interne de la Direction des
Systèmes d’Informations (DSI)
Partie 8
Audit des contrôles généraux
Partie 9
Audit des contrôles applicatifs
Partie 10
Points d’audit suite au développement
du SI

Prérequis
Aucun prérequis exigé...
...puisque la formation consiste en un apprentissage progressif des
notions en matière d’organisation informatique et des risques
associés…
...pour conclure sur les contrôles et les points d’audit.

Public concerné
Professionnels
du contrôle et
de l’audit
Professionnels
du pilotage de
l’entreprise
Tous métiers et
non
professionnels

Objectifs visés
La formation apporte aux participants :
 les connaissances de l’environnement
informatique, des contrôles et des risques
associés ;
 les techniques pour manager les risques
informatiques ;
 les solutions pour auditer les contrôles
informatiques ;
 un référentiel des contrôles informatiques sur
les process achats et ventes ;

Manager et auditer les risques
informatiques
1

Sommaire
Jean-François Caron Consultant
2
 Partie I : Points généraux en matière de SI.
 Partie II : Management des risques inhérents au SI.
 Partie III : Traitement des risques inhérents à l’organisation du SI.
 Partie IV : Traitement des risques inhérents au fonctionnement du SI.
 Partie V : Traitement des risques inhérents à la sécurité du SI.
 Partie VI : Projet de développement du SI.
 Partie VII : Contrôle interne de la Direction des Systèmes d’Informations (DSI).
 Partie VIII : Audit des contrôles généraux.
 Partie IX : Audit des contrôles applicatifs.
 Partie X : Points d’audit suite au développement du SI.
 Partie XI : Contrôles informatiques pour la maîtrise des process achats et ventes

Préambule
3
 SI = colonne vertébrale de toute organisation, concernant toutes les fonctions.
 SI : garant de la protection des données, de la sincérité des opérations, de la vitesse d’exécution =>
efficacité et efficience des traitements.
 Contrôle interne pour la maîtrise des risques inhérents au SI est primordiale (facteur clé de succès
d’une organisation).
 Le SI est contrôlé…et contrôle (moyen de contrôle interne et d’audit).

4
Partie I
Points généraux en matière de SI

Définition du système d’informations
(SI)
5
 Le Système d’Information (SI) a pour objectif de recueillir, de stocker, et de diffuser l’information de
l’environnement d’une organisation et des opérations internes pour soutenir les fonctions de
l’entreprise, la prise de décision, les communications, la coordination, le contrôle, l’analyse et la
visualisation.
 Les SI transforment des données brutes en informations utiles au moyen de trois activités
essentielles :
 l’entrée ;
 le traitement ;
 la sortie.

Caractéristiques d’un environnement
informatisé
6
 Complexité :
 éléments techniques multiples de natures très diverses ;
 multiples intervenants ;
 identification et localisation des anomalies ;
 nombreuses voies d’accès aux données et aux traitements.
 Caractère “immatériel” des éléments à protéger.
 Conséquences étendues lors de dysfonctionnements.
 Liens entre contrôles informatisés et contrôles manuels.
 Information.
 Migration : impacts transverses.

Schéma type d’une application
7 Jean-François Caron Consultant

Interfaces

Acteurs en matière de SI
9
 Utilisateurs :
 utilisent l’application informatique ;
 font remonter les incidents (anomalies et dégradation du niveau de service attendu).
 Exploitation informatique :
 fournit une qualité de service (disponibilité, sécurité) conforme aux besoins
de l'entreprise, à un coût optimal et dans le respect des règles de sécurité ;
 prend en compte les incidents et informe les utilisateurs
de l’état d’avancement de leur résolution.
 Propriétaires :
 autorisent les accès ;
 initient ou valident les demandes de maintenance (évolutives / correctives).

Définition du risque informatique
10
 Appartenant au risque opérationnel selon le Comité de Bâle (« risque de perte résultant d’une
inadéquation ou d’une défaillance des processus, du personnel et des systèmes, ou d’évènements
externes ».)
 Travaux de l’ACPR pour préciser ce qu’est le risque informatique : « risque de perte résultant d’une
organisation inadéquate, d’un défaut de fonctionnement, ou d’une insuffisante sécurité du système
d’information, entendu comme l’ensemble des équipements systèmes et réseaux et des moyens
humains destinés au traitement de l’information de l’institution. »
 Risque informatique => intégré au dispositif général de maîtrise des risques (identification, mesure,
couverture).

Définition de la cybersécurité
11
 Définition de l’ACPR:
 ensemble de mesures et de moyens techniques permettant de prévenir, de détecter, de répondre, à des
attaques visant le système d’information (confidentialité, intégrité, disponibilité, traçabilité) ;
 appartient au risque informatique.

Facteurs de risque informatique
Facteur Nature
Organisation inadéquate Décision et pilotage insuffisant conduisant à une mauvaise
gestion informatique, à un support insuffisant des besoins des
métiers, à une mauvaise maîtrise du risque informatique.
Défaut de fonctionnement Atteinte au bon fonctionnement du système (mauvaise qualité
des données) et altération de la capacité de l’organisation à
réaliser ses activités (atteinte à la continuité d’exploitation).
Sécurité insuffisante Atteintes malveillantes à la disponibilité, à la confidentialité, à
l’intégrité des données et des systèmes gérés par
l’organisation.

Critères de qualité d’un SI
13
 Pertinence / besoins des utilisateurs.
 Disponibilité.
 Confidentialité.
 Intégrité.
 Traçabilité.
 Sécurité.

1
Partie II
Management des risques inhérents au SI

Présentation du management
des risques
2
 Risque = évènement altérant l’atteinte des
objectifs.
 Management des risques : identification /
mesure / couverture.
 Cartographie des risques.
 Contrôle interne.
Protection
Prévention

Objectifs généraux de
contrôle interne
3
 Conformité (référentiels externes, référentiels internes).
 Efficacité et efficience des opérations.
 Fiabilité des informations.
 Sécurisation des actifs.

Principes généraux de
contrôle interne
4
 Implication de la gouvernance et du management pour impulser une dynamique de contrôle.
 Intégration du contrôle interne dans les processus.
 SI comme objet et levier du contrôle interne.
 Arbitrage entre coûts du contrôle interne et efficacité.
 Limites du contrôle interne.

Principes d’actions de
contrôle interne
5
 Planifier : détermination des objectifs et du périmètre de contrôle interne.
 Démarche de contrôle au « juste prix » (principe de proportionnalité ; granularité).
 Adéquation entre processus, identification et mesure des risques, dispositifs de contrôle interne.
 Dispositifs de contrôle interne adaptés à l’organisation et à la taille de la structure.
 Coordination entre les fonctions de contrôles (1er niveau, 2nd niveau, 3ème niveau).
 Collaboration étroite avec les auditeurs externes.
 Intégrer le contrôle interne dans toute démarche qualité initiée.
 Inclure le contrôle interne dans les phases de construction, de développement, de maintenance des outils
informatiques.
 Distinction entre contrôles automatiques et contrôles manuels.
 Evaluation régulière de l’efficacité des dispositifs de contrôle interne.
 Exploitation des résultats des contrôles pour une meilleure maîtrise des risques et une amélioration des
processus.

Processus de l’entreprise
Processus de direction Processus opérationnels Processus supports
Stratégie
Organisation
Déontologie
Conformité
Gestion des risques
Communication financière
Audit interne
Affaires publiques
Communication interne
Communication
institutionnelle
Recherche et
développement
Achats
Fabrication / Production
Contrôle qualité
Distribution / Logistique
Marketing
Vente
Après-vente
Contrôle de gestion
Trésorerie
Comptabilité
Investissements
Consolidation
Fiscalité
Juridique
Moyens généraux
Informatique

Cartographie des risques généraux
Risques financiers Risques opérationnels Risques de conformité
Contrepartie
Taux
Change
Marché
Liquidités
Pays
Catastrophe naturelle
Fraude (interne, externe)
Accidents du travail
Rupture d’activités
Dommage aux actifs corporels
Défaillance dans la gestion
des processus et l’exécution
des tâches
Dysfonctionnement
informatique
Non respect des lois, des
règlements
Non respect des référentiels
internes
Non respect des contrats
Sanction (administrative,
judiciaire, disciplinaire)
Réputation
Déontologique

Risques inhérents au SI
8
 Prise en compte d’informations non autorisées.
 Prise en compte non exhaustive des informations.
 Prise en compte d’informations inexactes.
 Mise à jour incomplète des données.
 Mise à jour inexacte des données.
 Altération de l’intégrité, de l’exhaustivité et de l’exactitude des données
stockées.
 Accès non autorisés aux données.

Typologie des contrôles informatiques
Contrôles métiers Contrôles généraux Contrôles des applicatifs
Contrôles réalisés au sein des
structures métiers, en lien avec
les processus. Concernent
généralement des contrôles
manuels sur base des états
produits par les outils (exemple :
rapprochement entre gestion et
comptabilité).
Contrôles portant sur la DSI.
Concernent principalement :
 le développement des
systèmes ;
 la gestion des projets
informatiques ;
 la sécurité ;
 l’exploitation informatique et
le matériel.
Contrôles portant sur les
applications métiers. Portent
essentiellement sur la qualité des
données :
 exhaustivité ;
 exactitude ;
 validité ;
 autorisation des accès ;
 sécurisation.

Acteurs du management des risques
et contrôles informatiques
10
 Gouvernance (Conseil, Direction générale).
 Direction SI.
 Direction des risques.
 Direction du contrôle permanent.
 Direction du contrôle périodique (audit).
 Direction opérationnelles (métiers, supports).

2
Partie III
Traitement des risques inhérents à
l’organisation du SI

Points clés de maîtrise des risques
3
 Implication des instances dirigeantes.
 Adéquation de la stratégie informatique.
 Pilotage budgétaire.
 Rôles et responsabilités des fonctions informatiques et
sécurité de l’information.
 Rationalisation du système d’information.
 Maîtrise de l’externalisation.
 Gestion des risques.

Implication des instances dirigeantes
4
 Gouvernance (Conseil, exécutif) => intégration des activités informatiques dans la gouvernance
(implication dans les décisions informatiques, veiller à la maîtrise du risque informatique).
 3 facteurs de risque :
 mauvaise perception des enjeux ;
 décisions inappropriées ;
 pilotage insuffisant.

Adéquation de la stratégie informatique
5
 Evolutions des SI => opportunités + menaces.
 Objet de la stratégie informatique :
 satisfaire les besoins des métiers et des fonctions supports de façon sécurisée et optimale ;
 acquérir un avantage compétitif grâce au développement de nouvelles technologies.
 Facteurs de risque :
 manque d’anticipation des besoins des métiers et des fonctions support ;
 outils et niveaux de service inadéquats.

Pilotage budgétaire
6
 Processus budgétaire => allocation de ressources (RH, matériel, licences, formation,…) pour la
réalisation des objectifs informatiques.
 inadéquation du budget avec la stratégie ;
 allocation budgétaire absente ou insuffisamment claire ;
 suivi des dépenses insuffisant.

Rôles et responsabilités des fonctions
informatiques et sécurité
de l’information
7
 Appui de l’exécutif sur des fonctions dédiés au SI et à la sécurité de l’information.
 rôles et responsabilités mal définis, mal répartis, mal communiqués ;
 fonction de sécurité insuffisamment indépendante ;
 profils inadaptés ou insuffisants.

Rationalisation du SI
8
 Complexité croissante des SI de plus en plus difficilement représentable => risque de perte de
maîtrise.
 Facteurs de risques :
 manque de maîtrise de l’architecture du SI (urbanisation) ;
 incohérence des normes informatiques ;
 défaut de maîtrise de l’obsolescence.

Maîtrise de l’externalisation
9
 Importance du cadre contractuel entre l’organisation et le prestataire afin que les prestations soient
conformes aux besoins de l’organisation.
 cadre contractuel inadapté ;
 dépendance forte ;
 suivi insuffisant du respect des niveaux de service ;
 dispositif de réversibilité insuffisant.

Respect des lois et règlements
10
 Le SI doit tenir des exigences réglementaires inhérents à l’environnement général et aux activités
de l’organisation.
 non-conformité des besoins des métiers au droit applicable ;
 non-conformité des développements informatiques aux préconisations juridiques des métiers ;
 non-respect du droit applicable par les normes informatiques.

Gestion des risques
11
 Le dispositif de gestion des risques de l’organisation doit inclure le risque informatique, au travers
du management du risque opérationnel (identification, mesure, couverture).
 cartographie des risques inexistante ou partielle ;
 dispositif de contrôle permanent insuffisant ;
 recensement et gestion insuffisants des incidents opérationnels ;
 dispositif de contrôle périodique insuffisant.

2
Partie IV
Traitement des risques inhérents au
fonctionnement du SI

3
 Gestion de l’exploitation (systèmes et réseaux).
 Gestion de la continuité d’exploitation.
 Gestion des changements.
 Qualité des données.

Gestion de l’exploitation (systèmes et
réseaux)
4
 L’exploitation informatique (également appelée production) consiste à faire fonctionner les
ordinateurs sur lesquels sont installées les applications. Ces ordinateurs sont appelés environnements
systèmes et réseaux. La gestion de ces environnements et réseaux est primordiale pour le bon
fonctionnement du SI.
 insuffisance des moyens de production ;
 insuffisance dans la détection des erreurs et des anomalies ;
 insuffisance dans la gestion des incidents et des problèmes ;
 non-respect des niveaux de service.

Gestion de la continuité d’exploitation
5
 Continuité d’exploitation = mesures et moyens mis en œuvre pour garantir la disponibilité du SI
selon les besoins des utilisateurs. La disponibilité doit être parfaite à l’intérieur des plages
d’ouverture des applicatifs.
 mauvaise organisation de la continuité ;
 insuffisance dans l’identification des scénarios d’indisponibilité ;
 non-alignement de la continuité informatique avec la continuité métier ;
 protection insuffisante des moyens de production et de secours contre les accidents ;
 insuffisance des dispositifs de continuité ;
 tests insuffisants.

Gestion des changements
6
 Changements = modifications effectuées sur un SI, soit pour le corriger ou le faire évoluer
(maintenance), soit pour le changer ou le compléter (projet). Concernent les équipements et les
applications.
 normes de changement inappropriées ;
 mauvaise organisation dans la conduite des projets ;
 mauvaise prise en compte des exigences fonctionnelles et techniques ;
 insuffisance des test ;
 défauts dans l’exécution des changements.

Qualité des données
7
 Objectif primordial du SI => que les données soient justes.
 insuffisance de normalisation des données ;
 utilisation ou production d’information de données erronées ;
 défaut de contrôle de qualité des données.

2
Partie V
Traitement des risques inhérents à la
sécurité des SI

3
 Protection physique des installations.
 Identification des actifs.
 Protection logique des actifs.
 Détection des attaques.
 Dispositif de réaction aux attaques.

Protection physique des installations
4
 La protection vise à prémunir l’organisation des risques d’intrusions, lesquelles peuvent conduire au
vol, à la détérioration des matériels, à l’entrée de programmes malveillants (« malwares »).
 protection insuffisante contre l’intrusion dans les bâtiments ;
 protection insuffisante des équipements informatiques.

Identification des actifs
5
 Sécuriser le SI nécessite de connaître ce qui le compose. Une mauvaise connaissance des actifs
informatiques est de nature à entraver la gestion de la sécurité du SI.
 défaillance dans l’inventaire des actifs ;
 défaillance dans la classification de actifs.

Protection logique des actifs (1/2)
6
 La sécurité des actifs repose sur un ensemble de mesures de protection (dites « logiques ») destinées
à prévenir toute compromission du SI, laquelle peut porter sur la disponibilité (blocage), l’intégrité
(manipulation de l’actif), la confidentialité, la traçabilité (effacement). La protection doit donc couvrir
ces perturbations et être adaptées à la sensibilité de chaque actif.
 Facteurs de risque => défaillance dans les dispositifs de :
 sécurité périmétrique ;
 protection contre les logiciels malveillants ;
 gestion des identités et des droits d’accès ;
 d’authentification des collaborateurs ;
 de protection de l’intégrité des systèmes et des données ;

Protection logique des actifs (2/2)
7
 protection de la confidentialité des systèmes et des données ;
 protection de la disponibilité ;
 gestion des correctifs de sécurité ;
 revues de sécurité ;
 sécurité des solutions externalisées ;
 sensibilisation à la sécurité des SI.

Détection des attaques
8
 La sécurité ne repose pas uniquement sur des mesures de protection. La détection est également
prépondérante pour la sécurité des SI. La détection porte sur la collecte et l’analyse d’évènements
(« traces ») enregistrés par les matériels, et aussi sur des comportements atypiques d’utilisateurs.
 recueil et d’analyse des traces ;
 surveillance des comportements atypiques des utilisateurs.

Réaction aux attaques
9
 En plus de se protéger et de détecter les attaques, il convient également de réagir en cas de risque
avéré, notamment au travers de dispositif de gestion de crise.
 gestion de crise ;
 contingentement des attaques ;
 reprise des opérations.

2
Partie VI
Projet de développement des SI

Conditions de réussite
3
 Encadrement du projet par un Comité de gouvernance.
 Pilotage du projet par un Comité dédié (« comité de pilotage »).
 Intégration des prescriptions de la politique de sécurité dès le
début du projet.
 Suivi de la performance opérationnelle du projet au travers de
tableaux de bord et d’indicateurs.
 Mise en œuvre le plus en amont possible de la conduite du
changement.
 Développement d’une interaction forte entre les informaticiens et
les opérationnels.

Acteurs du développement informatique
4
 Maîtrise d’ouvrage :
 spécifier les besoins ;
 suivre la réalisation ;
 réceptionner le produit.
 Maîtrise d’œuvre :
 concevoir le produit et organiser sa réalisation ;
 contrôler les résultats ;
 préparer l’exploitation.

Phases clés d’un projet de développement
informatique (1/3)
Phases clés Travaux attendus
Lancement et cadrage du projet  Expression formalisée des besoins.
 Etude d’opportunités.
 Compte-rendu d’arbitrage (Comité de gouvernance)
Conduite du changement  Dossier d’analyse d’impact.
 Plan de formation.
 Plan de communication.
 Documentation utilisateur.
Gestion du projet  Schéma d’organisation.
 Planification du projet.
 Tableau de bord d’avancement.

informatique (2/3)
Conception  Cahier des charges.
 Spécifications détaillées en matière de
contrôle des applications, de piste
d’audit, de sécurité.
Réalisation  Programmation et développement.
 Paramétrage.
 Recettes.
 Migration.
Accompagnement utilisateurs  Formations.
 Documentations.

informatique (3/3)
Mise en production  Procédures à jour.
 Mise à disposition des applications.
Bilan  Bilan post installation.
 Inventaire des incidents relevés.
 Plan d’actions pour la résolution des
incidents.
 Clôture du projet.

Contrôles « embarqués » suite à une
migration
 Seuils d’alerte, rapprochements automatiques, contrôles de cohérence.
 Traçabilité d’évènements (« forçage », logs,…).
 Batch de contrôle et d’équilibrage (comptage, totaux, nombre de fichiers,…).
 Contrôles de flux d’entrées et de sorties (interface).
 Gestion des erreurs (rejets automatisés, comptes de suspens, rapport d’erreur,…).

3
Partie VII
Contrôle interne de la Direction des
Systèmes d’informations (DSI)

Champ d’application du contrôle
interne de la DSI
4
 Gestion des compétences.
 Maintenance des outils.
 Gestion des incidents.
 Sécurité logique et des accès physiques.
 Gestion de la sous-traitance.

Prérequis au contrôle interne de la
DSI
5
 Etablissement et communication d’une politique SI.
 Déclinaison de la politique SI en objectifs de contrôle pour s’assurer de son déploiement et de sa
correcte application.
 Méthodologie de contrôle informatique orientée sur les risques.
 Séparation adéquate des fonctions et des tâches informatiques.
 Surveillance des dispositifs de contrôle.
 Emission et suivi d’actions correctives.

Gestion des compétences (1/3)
6
 Préalables à la maîtrise des risques et au contrôle en matière de gestion des compétences :
 existence d’une politique RH dédiée au SI en lien avec la politique RH globale ;
 déploiement de la politique RH dédiée au SI au sein de l’organisation pour les fonctions
concernées.

Point de contrôle Objectifs de contrôle Actions
Politique RH SI S’assurer de l’existence, de la
mise à jour et de la diffusion
d’une politique RH dédiée au SI.
 Rédiger une politique RH SI en adéquation avec la politique RH globale de
l’organisation.
 Etablir une référentiel des compétences SI en lien avec la politique RH.
 Créer des fiches de poste transposant le référentiel des compétences SI.
Maintenance des
compétences
S’assurer de la définition, de la
mise à jour et du partage des
compétences.
 Etablir une cartographie des compétences au titre des SI.
 Identifier les fonctions clés et critiques en matière de SI pour l’allocation
des ressources nécessaires (profil expérimenté, formations,…).
 Gérer de façon dynamique les parcours professionnels pour éviter la « fuite
des talents ».
 Mettre en place une politique de rémunération adaptée au niveau
d’exigence requis en matière de compétence.

Mise en œuvre des
compétences
S’assurer de la bonne mise en œuvre
des compétences SI au sein de
l’organisation.
 Déterminer des objectifs en lien avec les compétences requises.
 Mesurer la mise en œuvre effective des compétences au travers
d’indicateurs.
 Réaliser et formaliser annuellement un entretien d’évaluation sur la mise
en œuvre des compétences au regard des objectifs initiaux et pour
l’identification des besoins de formation.
Développement des
compétences
S’assurer du développement des
compétences au regard des besoins
de l’organisation et de l’évolution des
SI.
 Etablir un plan de formation sur base des entretiens d’appréciation des
compétences et en fonction des évolutions attendues concernant le SI.
 Mettre en œuvre un plan de détection des talents (en interne, en
externe).

Maintenance des outils (1/4)
9
 Préalables à la maîtrise des risques et au contrôle en matière de maintenance des outils :
 développement d’une stratégie de maintenance des applications ;
 procédure standardisée de gestion des changements des applications ;
 priorisation des changements selon des degrés d’urgence ;
 séparation des tâches entre développement, maintenance, production.

Maintenance des
applications
Développer un plan stratégique de
maintenance des applications.
 Définir un processus des activités de maintenance des
applications formalisé au travers d’un corps procédural.
 Mettre en place un suivi de l’activité de maintenance.
Encadrement des
changements
Déterminer des standards et procédures
de gestion en matière de changement
technique et applicatif.
 Etablir des procédures de communication entre DSI et
métiers pour l’émission de besoin de changement.
 Rédiger une méthodologie de gestion des projets de
développement informatique.
 Mettre en place un reporting en matière de pilotage des
actions de changement.

Organisation Séparer les tâches entre études et
production.
 Mettre en place une organisation assurant clairement une
affectation différente des responsabilités en matière d’études,
d’architecture, de sécurité, de programmation, d’actualisation
des versions, de gestion des accès, d’utilisation.
 Mettre en place des environnements informatiques distincts
entre test et production.
Conversion des
systèmes et des
données
S’assurer que les éléments nécessaires
au bon fonctionnement du système
après changement sont réunies,
notamment en matière de format des
données et d’interfaces.
 Définir un plan de conversion des données (intégrant plan de
sauvegarde des données avant conversion).
 Réaliser des tests après changement pour d’assurer que les
interfaces fonctionnent.
 Mettre en place un suivi centralisé des incidents opérationnels
post-changement.

Assurance qualité
logiciel
S’assurer que les fonctionnalités mises
en œuvre répondent bien aux
spécifications et exigences de qualité
pour l’utilisation et le développement
des logiciels.
 Définir un plan d’assurance qualité des logiciels.
 Effectuer des tests de qualité des applicatifs
 Mettre en place des plans d’action pour lever les points de non-
qualité.
 Intégrer la démarche qualité dans tout projet de développement
informatique.
Test des changements S’assurer que les changements
demandés et arbitrés ont été testés
dans l’environnement dédié et que les
résultats de ces tests sont suivis d’effet.
 Affecter une équipe de collaborateurs différents de ceux ayant
participé au changement technique à la réalisation des tests.
 Formaliser les résultats des tests.
 Déterminer les plans d’actions pour lever les anomalies
identifiées suite aux tests.
 Réaliser un suivi de l’avancement des actions correctives.

Gestion des incidents (1/3)
13
 Préalables à la maîtrise des risques et au contrôle en matière de gestion des incidents :
 identification et priorisation des systèmes d’informations par criticité (disponibilité et intégrité) ;
 formalisation, mise à jour et diffusion d’une procédure de gestion des incidents ;
 déploiement de dispositifs de surveillance et de pilotage de tous les éléments de la chaîne informatique
(matériels, réseaux, systèmes d’exploitation, bases de données, applicatifs).

Collecte des incidents S’assurer que tous les incidents connus
sont déclarés.
S’assurer que la description de l’incident
est réalisée conformément à la procédure
en vigueur.
 Rédiger une procédure de recensement et de déclaration des
incidents informatiques.
 Etablir un format standard de fiche incident.
 Désigner des correspondants risques SI au sein des métiers.
 Réaliser un contrôle de 2nd niveau de la qualité des fiches
renseignées.
Diagnostic S’assurer qu’un diagnostic est réalisé pour
tout incident déclaré.
 Créer des outils d’aide au diagnostic des incidents informatiques.
 Catégoriser les incidents opérationnels sur base des diagnostics.
 Mettre en œuvre un contrôle de 2nd niveau sur la réalisation des
diagnostics.

Action corrective S’assurer que des actions correctives sont
mises en œuvre suite aux incidents
déclarés et diagnostiqués.
 Formaliser des plans d’actions correctives suite aux incidents
déclarés et diagnostiqués.
 Faire le suivi par une entité indépendante de l’avancement quant
à la mise en œuvre des actions correctives.
 Rédiger un reporting des impacts des actions correctives mises
en œuvre.
 Etablir un dispositif de clôture des incidents.

Sécurité logique et des accès
physiques (1/3)
16
 Préalables à la maîtrise des risques et au contrôle en matière de gestion de la sécurité
logique et des accès physiques :
 déploiement d’une politique de sécurité informatique au sein de toute l’organisation ;
 conformité des systèmes avec la politique de sécurité ;
 sensibilisation de l’ensemble des collaborateurs à la sécurité des outils.

Point du contrôle Objectifs de contrôle Actions
Accès aux applications S’assurer que les processus
existants permettent
d’identifier tous les
utilisateurs du système.
S’assurer que les processus
existants permettent une
sécurisation des accès aux
outils.
 Mettre en place un process d’habilitation des collaborateurs pour l’accès aux
outils via un profil personnalisé, en accord avec la politique de sécurité.
 Bannir tout profil générique.
 Procéder à un rapprochement entre accès informatiques et registre du
personnel.
 Etablir un process de demande d’habilitation formalisée et motivée par le
management concerné.
 Mettre en œuvre un dispositif spécifique d’accès aux outils concernant les
prestataires.
 Séparer les tâches entre programmation des outils et administration des accès.
 Réaliser régulièrement des tests d’intrusion pour identifier le cas échéant des
zones de vulnérabilité.
physiques (2/3)

Accès aux matériels S’assurer que l’accès aux
matériels est restreint et
que des règles de sécurité
sont définies et respectées.
 Mettre en place un process d’accès sécurisé aux locaux hébergeant les matériels informatiques.
 Revoir périodiquement la liste des collaborateurs ayant accès aux matériels informatiques.
 Accompagner les prestataires lors de toutes leurs interventions concernant les matériels
informatiques.
Protéger l’information Protéger l’intégrité de
l’information en limitant
notamment la propagation
de programme malveillant.
 Mettre en place des contrôles de détection, de prévention et de rétablissement pour se protéger
de code malveillant.
 Donner des consignes aux utilisateurs pour prévenir les risques d’intrusion de programme
malveillant.
 Equiper les postes des collaborateurs d’outils de sécurité (pare-feu, anti-virus,…).
Protéger l’information Maîtriser la confidentialité
des données (en interne, à
l’externe).
 Mettre au rebus régulièrement les données stockées mais non exploitées.
 Crypter les fichiers sensible échangés.
 Signer avec les tiers des clauses de confidentialité.
 Mettre en place une revue régulière des évènements.
 Restreindre les temps de connexion avec des réseaux externes.
physiques (3/3)

Gestion de la sous-traitance (1/3)
19
 Préalables à la maîtrise des risques et au contrôle en matière de sous-traitance :
 déploiement d’une politique globale d’approvisionnements intégrant les aspects informatiques ;
 Identification des niveaux de service nécessaire aux métiers.

Veille de marché S’assurer de l’existence
d’un processus approprié
de veille du marché.
 Disposer d’un dispositif de veille capable de capter les opportunités de sous-traitance
informatique.
 Mettre en place une mesure de satisfaction des managers à propos du dispositif de
veille du marché.
Appel d’offres S’assurer que la sélection
des sous-traitants est
conforme aux besoins de
l’organisation.
 Mettre en place un dispositif d’appel d’offres avec rédaction d’un cahier des charges
associant la DSI et le métier concerné.
 Contrôler le respect de la procédure d’appel d’offres, notamment en matière de
prévention du risque de conflit d’intérêts.
Qualité des prestations S’assurer que les
prestations des sous-
traitants sont de bonne
qualité.
 Mettre en place un dispositif de revue qualité des prestations fournies par les
prestataires informatiques.
 Ajuster si nécessaire les cahiers des charges inclus dans les appels d’offres sur base
des résultats du dispositif SLA.

Contrat S’assurer que les contrats
signés ne sont pas de nature à
accroître le risque juridique.
 Revoir les termes des contrats en tenant compte des exigences réglementaires.
 Procéder à une revue de la validation des trames de contrats par les parties prenantes.
 Etablir un contrat-type par la Direction juridique.
 Cadrer les contrats avec la politique d’approvisionnement de l’organisation.
 Contrôler l’existence d’éléments associés au contrat : convention de service, clause plan de
réversibilité, plan de sécurité, plan d’assurance qualité, accords de confidentialité.
Gestion de la prestation S’assurer que la prestation du
sous-traitant n’est pas de
nature à accroître les risques
de l’organisation.
 Mettre en place un dispositif dédié pour les accès aux applicatifs et aux matériels par les sous-
traitants.
 Réaliser des reportings sur l’avancement des prestations fournies par les sous-traitants.
 Contrôler la conformité des factures reçues des sous-traitants avec les éléments contractuelles et
les prestations effectives.
 Réaliser des audits des prestataires essentiels.

2
Partie VIII
Audit des contrôles généraux

Définition des contrôles généraux
 Contrôles généraux = contrôles sur l’environnement général du SI et de sa sécurisation.
 Contrôles généraux différents des contrôles applicatifs.
 Objectifs des contrôles généraux = maîtrise des risques informatiques.

Typologie des contrôles généraux
 Contrôles en matière d’organisation du SI et de la DSI.
 Contrôles d’accès logiques.
 Contrôle sur la gestion des changements.
 Contrôle de sécurité physique (centre informatique, matériels).
 Contrôle de sauvegarde et restauration des données.
 Contrôles de l’exploitation (bon fonctionnement général du SI).

Procédures d’audit sur les contrôles
généraux (1/4)
Points d’audit Procédures d’audit
Implication des
instances dirigeantes
 S’assurer de l’existence d’une stratégie informatique en adéquation avec la stratégie de l’organisation.
 Vérifier que les niveaux d’appétence et de tolérance au risque informatique ont été déterminés et actés dans la politique de gestion
des risques.
 S’assurer que les instances dirigeants arbitrent les décisions stratégiques en matière informatique.
Pilotage budgétaire
suffisant
 Vérifier que les allocations budgétaires sont nécessaires et suffisantes au regard des objectifs en matière de stratégie informatique.
 S’assurer que les objectifs et les dépenses informatiques font l’objet d’un suivi par une entité indépendante.
 Vérifier que des indicateurs de performance en matière informatique ont été définis, font l’objet d’un reporting régulier, sont
pertinents.
Organisation de la
fonction informatique
 S’assurer de la séparation effective des tâches entre conception, programmation, maintenance, développement, administration,
utilisateurs.
 Vérifier qu’existe au sein de la DSI un process de gestion des compétences.
 S’assurer de l’existence de relais opérationnels entre DSI et Directions opérationnelles.
 Contrôler l’existence et la pertinence de la cartographie des SI (exhaustivité des applicatifs, interdépendance).

généraux (2/4)
Externalisation  S’assurer de la justification des prestations externalisées.
 Vérifier l’existence d’un process de maîtrise du risque juridique (cadre contractuel).
 S’assurer de la capacité de l’organisation à auditer ses prestataires informatiques.
 Contrôler le process de suivi des dépenses externalisées et des factures de sous-traitance informatique reçue.
 Vérifier qu’existe pour chaque contrat des clauses de réversibilité.
 S’assurer de la mise en place d’un process de suivi de la qualité des prestations.
Conformité  S’assurer que les besoins métiers sont conformes au droit applicable (exemple : protection des données personnelles).
 Contrôler la conformité des développements informatiques avec les besoins émis par les métiers.
 Vérifier que les normes informatiques ne sont pas contraires à la réglementation en vigueur.
Gestion des risques  S’assurer de la mise en œuvre effective d’un management des risques informatiques (au même titre que les autres risques de
l’organisation).
 Contrôler l’existence et la pertinence d’une cartographie des risques informatiques.
 Vérifier la mise en place d’un plan de contrôle permanent (1er et 2nd niveau) adossé à la cartographie des risques informatiques.
 S’assurer que le suivi des risques informatiques et de leur couverture font l’objet d’un reporting régulier et adéquat aux instances
dirigeantes (exemple : Comité des risques).

généraux (3/4)
Gestion de
l’exploitation
(systèmes et
réseaux)
 Vérifier l’adéquation des moyens de production avec les besoins des métiers.
 S’assurer de l’existence de dispositifs de détection des dysfonctionnements.
 Contrôler la mise en place d’un process de gestion des incidents informatiques.
 S’assurer de l’existence d’un suivi des niveaux de service en matière de qualité des prestations support.
 Vérifier l’existence et la mise en œuvre effective de plans d’actions pour la résolution des dysfonctionnements et anomalies identifiés.
Continuité de
l’exploitation
 S’assurer de l’existence d’un PSI adapté, à partir des activités et des applications sensibles.
 Vérifier que le PSI fait l’objet de tests réguliers et fait l’objet d’ajustement en conséquence si nécessaire.
 Contrôler que le suivi du PSI et le résultat des tests sont reportés aux instances dirigeants, notamment pour arbitrage le cas échéant.
Gestion des
changements
 Vérifier l’existence d’un process formalisé entre la DSI et les métiers pour l’émission et le traitement des évolutions des outils
informatiques.
 S’assurer que les projets de développement informatiques sont encadrés (Comité de pilotage).
 Contrôler que des recettes et tests sont réalisés pour s’assurer de la correcte évolution des outils.
Qualité des
données
 Vérifier l’existence d’un cadre normatif en matière de données.
 S’assurer de l’existence d’un dispositif de contrôle de la qualité des données (métier, centralisé).

généraux (4/4)
Sécurité des actifs  Contrôler l’existence et la mise en œuvre effective de process de sécurisation des actifs : accès, protection, détection.
 Evaluer la qualité des dispositifs d’authentification des collaborateurs pour l’accès et l’utilisation des outils (matériel, réseaux,
applications).
 S’assurer de la sensibilisation des collaborateurs à la sécurité informatique.
 Contrôler la qualité des dispositifs de détection des attaques et de réaction.
 S’assurer de l’existence d’un plan de gestion des risques et de l’implication des instances dirigeantes.

2
Partie IX
Audit des contrôles applicatifs

Définition des contrôles applicatifs
 Contrôles applicatifs = contrôles intégrés dans les applications transactionnelles.
 Contrôles applicatifs différents des contrôles généraux.
 Contrôles applicatifs spécifiques à un programme ou à un ensemble de programmes (systèmes)
soutenant un processus d’entreprise donné.
 Objectifs des contrôles applicatifs.

Typologie des contrôles applicatifs
 Contrôles des données d’entrée.
 Contrôles sur les traitement.
 Contrôles des donnés en sortie.
 Contrôles d’intégrité.
 Piste de contrôle de gestion.

Nature des contrôles applicatifs
 Contrôles préventifs.
 Contrôles détectifs.

Avantages des contrôles applicatifs
Fiabilité
Analyse comparative
Economie de temps

Rôle des auditeurs internes
 Normes IIA :
 « les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l’on peut attendre
d’un auditeur interne raisonnablement averti et compétent » ;
 « posséder une bonne connaissance des principaux risques et contrôles liés aux technologies de
l’information et des techniques d’audit informatisées susceptibles d’être mises en œuvre dans le cadre
des travaux qui leur sont confiés. Toutefois, chaque auditeur interne n’est pas censé posséder l’expertise
d’un auditeur dont la responsabilité première est l’audit informatique ».
 Conseil.

Points de contrôle sur les accès logiques
d’une application

Audit des contrôles des entrées et des
accès (1/2)
Domaine Types de contrôle Procédures d’audit
Vérification et
validation des
données
 Contrôles de vraisemblance sur les valeurs financières.
 Contrôles des formats et des champs requis.
 Contrôles de séquence, contrôle des limites et chiffres clés.
 Vérifier que les contrôles sont prévus et décrits dans une procédure.
 S’assurer de la formalisation des contrôles.
 Tester par échantillonnage.
Autorisation  Autorisation aux applicatifs selon un profil personnalisé.
 Procédure stricte en matière de comptes génériques.
 S’assurer de l’existence d’un process de demande formalisée pour
l’ouverture des accès.
 Vérifier que l’ouverture des accès est réalisée par une fonction
indépendante des métiers.
 Cadrer la liste des accès avec le registre du personnel.
Suspens  Imputation des opérations en attente de traitement dans des
comptes dédiés (suspens).
 Contrôler l’antériorité des suspens.
 S’assurer de la désignation d’un responsable pour chaque compte de
suspens.
 Vérifier que l’apurement des comptes de suspens en P/P est dûment
formalisé et justifié.

Audit des contrôles des entrées et des
accès (2/2)
Transmission des
fichiers et des
données
 Contrôle de l’exhaustivité et de la validité du contenu, y
compris la date et l’heure, la taille des données, le volume des
enregistrements et l’authentification de la source.
 Application de certains contrôles des entrées afin de valider
les données reçues (p. ex. principaux champs, vraisemblance,
etc.).
 Vérifier l’existence de rapport d’erreur.
 Contrôler la synchronisation des applications en matière d’interface.
 Contrôler la résolution des erreurs.
 S’assurer de l’existence de rapprochements formalisés entre les
applications.
 Tests par échantillonnage sur des entrées.

Audit des contrôles des traitements
Fonctionnalité
automatique et
calculs
 Calculs spécifiques effectués sur une ou plusieurs entrées et
éléments de données stockés qui produisent d’autres
éléments de données.
 Utilisation des tables de données existantes.
 Piste d’audit.
 Contrôles de doublons.
 S’assurer de la maintenance des tables de données.
 S’assurer de la mise à jour des règles de calcul.
 Tests par échantillonnage (recalcul).
 Contrôler la piste d’audit (test de cheminement).
Transmission des
données traitées
 Contrôle de vraisemblance et de l’exhaustivité des sorties des
routines d’extraction sont contrôlées.
 Contrôle d’interface.
 S’assure de la réalité des contrôles sur les données traitées.
 Tests par échantillonnage (vérifier que les contrôles prévus sont
formalisés et effectifs).
 Contrôler le rapprochement entre données traitées et données sorties
(interface).

Audit des contrôles des sorties
Récupération des
données
 Rapprochement entre les totaux de contrôles des traitements
avec les données entrées dans l’applicatif ou en restitution.
 Rapport d’erreurs (données sorties incomplètes, sorties
indisponibles).
 Vérifier l’existence d’une procédure de rapprochement entre données
traitées, données sorties, entrées dans l’applicatif suivant ou en
restitution.
 Test par échantillonnage (rapprochement).
 Test de cheminement (de la sortie à l’entrée).

applicatifs (1/4)
Les données d’entrée sont
exactes, complètes,
autorisées et correctes.
 S’assurer de l’existence de procédures mises à jour et accessibles concernant : saisie des données ; traitement des erreurs ;
interface.
 Vérifier l’existence de routine d’éditions identifiant les entrées en anomalie (date incorrecte, caractère incorrect, longueur de
champs non valides, données manquantes ou en doublons,…).
 Contrôler que les erreurs identifiées ont bien fait l’objet d’un traitement.
 Vérifier l’existence d’un pré-numérotation pour les documents papier servant à l’entrée des informations dans le SI (exemple :
facture).
 S’assure de l’existence de rapprochement entre applicatifs si les entrées sont interfacées (totaux de contrôle, nombre
d’enregistrements, total des valeurs monétaire).
 Vérifier la séparation des fonctions entre l’entrée des informations et leur contrôle (contrôle « quatre yeux »).
 Contrôler que les contrôles existent pour éviter des changements non autorisés des programmes-systèmes, comme les calculs et
les tables.
 Confirmer que les données et les programmes d’essai sont séparés de la production.

applicatifs (2/4)
Les données sont traitées
conformément aux
objectifs et dans des
délais raisonnables.
 Vérifier que les données de sorties sont examinées ou rapprochées avec les documents source pour en confirmer l’exhaustivité
et l’exactitude, notamment par la vérification des totaux de contrôle.
 Déterminer si l’application contient les routines, qui assurent que toutes les opérations correctement saisies sont bien traitées et
enregistrées comme prévu pour la période comptable correspondante.
 Se procurer les procédures de traitement des transactions rejetées et de correction des erreurs et déterminer si le personnel
chargé de la correction des erreurs et de la ressaisie des données a reçu la formation adéquate.
 Vérifier qu’un mécanisme avertit le propriétaire du processus lorsque des transactions ont été rejetées ou que des erreurs sont
survenues.
 S’assurer que les éléments rejetés sont traités correctement et rapidement, conformément aux procédures, et que les erreurs
sont corrigées avant la ressaisie dans le système.

applicatifs (3/4)
Les données stockées sont
exactes et complètes
 Se procurer la configuration et les procédures d’utilisation des mots de passe et vérifier la présence de critères obligatoires
concernant les mots de passe, le renouvellement des mots de passe, le verrouillage du compte et la réutilisation des mots de
passe.
 Vérifier que des contrôle d’accès à distance sont conçus et fonctionnent efficacement.
 S’assurer que les utilisateurs ne peuvent exécuter que des fonctions spécifiques, conformément aux responsabilités inhérentes à
leur poste (accès fondé sur les rôles).
 Contrôler que des numéros d’identification utilisateur uniques ont été attribués à tous les utilisateurs, y compris les utilisateurs
privilégiés, et que les comptes utilisateurs et administrateurs ne sont pas partagés.
 S’assurer que la création et la modification des comptes utilisateurs sont dûment autorisées avant d’accorder ou de modifier
l’accès. (Les utilisateurs sont les utilisateurs privilégiés, les salariés, les sous-traitants, les fournisseurs et les intérimaires.).
 Vérifier que l’accès est supprimé immédiatement après la fin du contrat de travail.
 S’assurer que le propriétaire de l’application veille à ce qu’une revue semestrielle des comptes utilisateurs et système est effectuée
pour confirmer que l’accès aux données financières, applications et systèmes opérationnels critiques est correct et à jour.
 Vérifier que des mécanismes sont en place pour stocker des données hors-site dans un lieu sécurisé et à environnement contrôlé.

Procédures sur les contrôles applicatifs
(4/4)
Les données de sortie sont
exactes et complètes.
 S’assurer de l’existence de procédures de sortie des données, comprendre le processus d’examen et vérifier que les individus
responsables de la saisie sont formés à l’analyse et à la vérification des sorties de données.
 S’assurer que les données de sortie sont examinées ou rapprochées avec les documents source pour en vérifier l’exhaustivité et
l’exactitude, y compris en vérifiant les totaux de contrôle.
 Examiner les procédures existantes sur les sorties de données et déterminer si elles précisent quel personnel les reçoit et comment
ces données sont protégées lors de leur diffusion.
 Vérifier qu’un rapport de sortie a été créé et que la date et l’heure du rapport correspondent bien au moment indiqué.
Les processus d’entrée, de
stockage et de sorties des
donnés sont archivés.
 Vérifier l’existence de pistes et journaux d’audit qui confirment que tous les dossiers ont été traités et permettent de suivre la
transaction de la saisie des données à leur stockage et à leur sortie.
 Vérifier l’existence de rapports d’audit qui retracent l’identification et le retraitement des transactions rejetées (description de la
transaction rejetée, date et heure indiquées).

2
Partie X
Points d’audit transverses suite à une
migration informatique

Préambule
3
 Toute migration informatique génère des impacts transverses…
…dont l’auditeur doit tenir compte lors de chacune de ces missions.

Points d’audit transverses suite à
migration
 Définition et suivi des objectifs.
 Reporting.
 Prévention du risque de fraude.
 Mise à jour de procédures.
 Révision des accès informatiques.
 Évolution des contrôles informatisés.
 Mise à jour du dispositif de management des risques.
 Conformité.
 Comptabilité.
 Réglementaire.

Définition et suivi des objectifs
 Points d’audit :
 définition exhaustive des objectifs ;
 cadrage entre objectifs et stratégie ;
 suivi de la réalisation des objectifs ;
 reporting pour ajustement.
 Impact de la migration :
 suivi de la réalisation des objectifs.

Reporting
 qualité de l’information ;
 alimentations des reportings ;
 accès aux données reportées ;
 format des reportings.
 cadrage des données de production avec les données reportées ;
 alimentation des reportings (manuel VS automatisé) ;
 fréquence de reporting ;
 pertinence des informations reportées.

Prévention du risque de fraude
 séparation des fonctions ;
 accès limités aux fonctionnalités de
décaissement ;
 apurement des bases tiers ;
 justification des pertes et profits exceptionnels ;
 centralisation des incidents opérationnels ;
 contrôle des opérations manuelles ;
 apurement des suspens.
 séparation des fonctions entre programmation,
paramétrage, production, modification,
production, consultation ;
 accès limité et sécurisé aux outils de
décaissement ;
 comparatif pré / post migration des bases tiers
(fournisseurs, prestataires) ;
 validation indépendante des apurements, des
pertes et profits exceptionnels, suite à migration ;
 QP des opérations manuelles..

Mise à jour des procédures
 qualité des procédures ;
 accès aux procédures.
 procédures mises à jour ;
 accès adéquat aux procédures.

Révision des accès informatiques
 accès personnalisé, en cohérence avec la fiche de poste ;
 accès aux personnes habilitées ;
 centralisation de la validation des accès ;
 cadrage entre les accès et les effectifs RH.
 révision de la procédure d’accès ;
 apurement des accès.

Evolution des contrôles informatisés
 contrôle des applications.
 révision des contrôles des applications ;
 test des contrôles des applications.

Mise à jour du dispositif de management
des risques
 dispositif de couverture des risques inhérents aux activités ;
 plan de contrôle permanent réparti entre 1er niveau et 2nd niveau ;
 implication de la gouvernance au travers du Comité d’audit et du Comité des risques (suivi, plan
d’actions).
 ajustement de la cartographie des risques ;
 révision du plan de contrôle permanent (1er et 2nd niveau) ;
 apurement des plans d’actions après migration.

Conformité
 plan de contrôle de la conformité ;
 dispositif LAB-FT ;
 respect de la vie privée.
 ajustement du plan de contrôle de la conformité ;
 révision des ressources techniques employées dans le cadre de la LAB-FT (seuil de détection,
mouvement atypique, complétude des dossiers pour le KYC,…) ;
 sécurisation des données personnelles (salariés, clients).

Comptabilité
 interface entre métiers et comptabilité ;
 paramétrage des comptes ;
 opérations manuelles ;
 bon à payer.
 révision des interfaces ;
 modification des paramétrages de comptes ;
 apurement du plan de comptes ;
 révision de la procédure de bon à payer.

Réglementaire
 alimentation des états réglementaires ;
 déclaration dans les délais ;
 suivi des ratios prudentiels et de leur respect ;
 système de notation des crédits.
 révision des process d’alimentation des états réglementaires / outils métiers ;
 process de déclaration des états ;
 modalités de calcul et de suivi des ratios prudentiels ;
 révision du système de notation des crédits.

2
Partie XI
Contrôles informatiques pour la maîtrise
des process achats et ventes

Processus achat
Définition
des besoins
Recherche
des
fournisseurs
Sélection
des
fournisseurs
Contractuali
sation
Commande Réception
Comptabili-
sation
Paiement

Risques inhérents aux achats
Définition
des besoins
Recherche
des
fournisseurs
Sélection des
fournisseurs
Contractualis
ation
Commande Réception Comptabilité Paiement
Achats non
optimisés.
Mauvaise
définition des
besoins.
Budget
insuffisant.
Analyse de
marché
insuffisante.
Achats auprès de
fournisseurs non
autorisés.
Solidité financière
du fournisseur
insuffisante.
Dépendance.
Achats auprès de
fournisseurs non
autorisés.
Négociation
altérée ou
insuffisante.
Fraude
(collusion).
Non-conformité.
Non respect des
délégations de
signature.
Clauses
contractuelles
léonines.
Achats auprès de
fournisseurs non
autorisés.
Dépenses non
autorisées
effectuées.
Commande non
honorée.
Réception non
conforme à la
commande.
Fraude
(détournement
des biens reçus).
Réception non
comptabilisée.
Comptabilisation
non conforme à la
facture.
Fraude.
Double paiement.
Paiement en
retard.
Fraude.

Contrôles informatiques (1/3)
Nature du contrôle Process couvert
Intégration des profils utilisateurs selon leur délégation. Tous processus.
Transaction permettant d’identifier tous les cas de non séparation des tâches. Tous processus.
Rapprochement informatique entre bon de commande, bon de réception,
facture.
Commande.
Réception.
Facture.
Processus d’approbation électronique des demandes d’achats / commande. Commande.
Contrôle automatisé des modifications de tarifs et traçabilité Facture.
Contrôle informatique entre la commande et la facture sur les quantités et les
prix avec blocage
Commande.
Réception.
Facture.
Etat informatique permettant de justifier le compte 408 Factures non
parvenues avec l’état des commandes non livrées / non réceptionnées.
Commande.
Réception.

Contrôle automatique sur le numéro de facture pour identifier
les doublons.
Comptabilisation.
Paiement.
Etat informatique des acomptes versés pour s’assurer de leur
imputation sur les factures correspondantes.
Paiement.
Blocage informatique empêchant le double d’une facture. Paiement.
Lien informatique entre les acomptes versées et les commandes
associées (sur base du numéro de commande).
Paiement.
Rapport d’exception retraçant tous les changements (création,
suppression, changement) apportés au fichier Fournisseurs (base
Tiers).
Sélection des fournisseurs.
Contractualisation.
Verrou informatique empêchant le trésorier de procéder à des
modifications du fichier Fournisseurs.
Sélection de fournisseurs.

Lettrage automatique des comptes fournisseurs
après paiement.
Paiement.
Etat automatique de suivi du total des achats par
fournisseurs pour apprécier le risque de
dépendance.
Sélection des fournisseurs.

Processus ventes
Cotation et
fichier
clients
Tarification Commande Expédition Facturation
Comptabili-
sation
Gestion des
réclamations
Encaissement

Risques inhérents aux ventes
Cotation et
fichier clients
Tarification Commande Expédition Facturation Comptabili-
sation
Gestions des
réclamations
Encaissement
Risque client.
Erreur
d’informations
dans le fichier
client.
Accès non
sécurisé.
Absence de
protection des
données.
Erreur dans le
calcul des RRR.
Tarification hors
marché.
Erreur dans les
prix
communiqués
aux clients.
Engagement non
autorisé passé
avec le client.
Ventes à des
clients non
solvables.
Commande non
traitée dans les
délais.
Commande non
conforme à la
demande du
client.
Défaut de conseil.
Expédition non
autorisée.
Expédition non
conforme à la
commande.
Retard
d’expédition.
Détournement
des biens
expédiés.
Facturation non
conforme à
l’expédition et/ou
à la commande.
Fraude.
Facture non
envoyée au client.
Double
facturation.
Non respect des
conditions légales
et/ou fiscales en
matière de
facturation.
Comptabilisation
non conforme à la
facture.
Imputation
comptable
erronée.
Non respect du
principe de
séparation des
exercices.
Fraude.
Réclamation non
traitée.
Réclamation
traitée
tardivement.
Remise
commerciale
disproportionnée.
Détérioration de
l’image.
Avoir non émis.
Défaut de
paiement.
Retard de
paiement non
détecté.
Double
encaissement non
régularisé.

Lien informatique ente commande, expédition, facturation, comptabilisation. Commande.
Expédition.
Facturation.
Comptabilisation.
Emission et comptabilisation automatiques des factures lors de l’expédition. Expédition.
Facturation.
Comptabilisation.
Etat informatique des commandes en cours non expédiées. Commande.
Rapport d’erreur (ou écart) entre commande, expédition, facturation,
comptabilisation.
Commande.
Expédition.
Facturation.
Comptabilisation.

Contrôle automatique sur le numéro de facture pour identifier
les doublons.
Comptabilisation.
Encaissement.
Etat informatique des acomptes reçus pour s’assurer de leur
imputation sur les factures correspondantes.
Encaissement.
Lien informatique entre les acomptes versées et les commandes
associées (sur base du numéro de commande).
Paiement.
Rapport d’exception retraçant tous les changements (création,
suppression, changement) apportés au fichier Client (base Tiers).
Cotation et fichier clients.
Verrou informatique empêchant le trésorier de procéder à des
modifications du fichier Clients.
Cotation et fichier clients.

Cadrage entre les avoirs émis et les litiges traités au niveau du SI. Réclamation.
Cadrage entre balance auxiliaire client et fichier client pour apurement du
fichier clients.
Cotation et fichier
clients.
Lettrage automatique des comptes client après encaissement. Encaissement.
Etat automatique de suivi du total des ventes par clients pour apprécier le
risque de dépendance.
Cotation et fichier
clients.
Alerte automatisée en cas de dépassement des délais d’encaissement. Encaissement.
Etat informatique de l’ancienneté des créances douteuses et des provisions. Cotation et fichier
client.
Encaissement.

13
Conclusion

Les points essentiels
 SI : fonction transverse et essentielle pour la réalisation des activités et leur
maîtrise.
 Implication des instances dirigeantes (stratégie informatique, politique de
sécurité)
 Risque informatique, composante du risque opérationnel => contrôle interne
au niveau de la DSI et des métiers.
 Contrôles généraux et contrôles des applications.
 Audit de la gouvernance et des contrôles informatiques.
 Audit des aspects informatiques pour chaque process (achats, ventes,…).

 WhatsApp : +336 80 24 16 25
 Tel : +33 6 80 24 16 25
 jfcaron@outlook.fr

16
Merci de votre attention !

Support formation en ligne : Manager et auditer les risques informatiques

Contenu connexe

Tendances

Similaire à Support formation en ligne : Manager et auditer les risques informatiques

Plus de SmartnSkilled

Dernier

Support formation en ligne : Manager et auditer les risques informatiques