Gtag 11 1

laboration dun plan daudit des SI
Cette srie de guides, rdigs dans des termes simples et traitant chacun dun thme dactualit concernant la gestion, le contrle et la scurit des SI, constitue un prcieux outil pour les responsables de laudit interne, qui peuvent ainsi sinformer sur les diffrents risques associs aux technologies de linformation et sur les pratiques recommandes.
GUIDE PRATIQUE DAUDIT DES TECHNOLOGIES DE LINFORMATION
Les contrles des systmes de linformation
Les contrles des systmes de linformation Les sujets abords passent en revue les concepts du contrle des SI, limportance de ces contrles, les rles et responsabilits dans lorganisation susceptibles d'assurer lefficacit du contrle des SI et des techniques de supervision. Contrles de la gestion du changement et des patchs : un facteur cl de la russite pour toute organisation Dcrit les sources de changements et leurs impacts probables sur les objectifs de lentreprise, explique en quoi le contrle du processus de gestion des changements participe la rduction des risques et des cots des SI, et indique ce qui, dans la pratique, fonctionne ou pas. Audit continu : Rpercussions sur lassurance, le pilotage et lvaluation des risques Traite du rle de laudit continu dans lenvironnement actuel daudit interne, de la relation entre audit continu, surveillance continue et assurance continue, prcise o sapplique laudit continu et examine la mise en place de laudit continu. Management de laudit des systmes dinformation Dfinit les risques lis aux SI et lunivers daudit, explique comment conduire un audit des SI et grer les ressources daudit.
Grer et auditer les vulnrabilits des technologies de linformation
Grer et auditer les vulnrabilits des technologies de linformation Analyse, entre autres, le cycle de gestion des vulnrabilits, la dlimitation de laudit des vulnrabilits et des indicateurs qui permettent dvaluer les pratiques de gestion des vulnrabilits.
Contrles de la gestion du changement et des patchs : Un facteur cl de la russite pour toute organisation
L'infogrance
Linfogrance Examine comment choisir le bon prestataire de services dinfogrance et prsente les principaux lments prendre en compte pour la matrise de linfogrance, du point de vue des activits du client et de celles du prestataire de services.
Audit des contrles applicatifs
Audit continu : Rpercussions sur lassurance, le pilotage et lvaluation des risques
Audit des contrles applicatifs Dfinit la notion de contrles applicatifs et les compare aux contrles gnraux informatiques, et indique comment dterminer ltendue des revues de contrles applicatifs.
Gestion des des identits identits Gestion et des des accs accs et
Management de laudit des systmes dinformation
Gestion des identits et des accs Couvre les principaux concepts relatifs la gestion des identits et des accs, les risques y affrents, dtaille laudit du programme de gestion des identits et des accs et prsente un exemple de liste de contrles lintention des auditeurs.
Le management et laudit des risques datteinte la vie prive
Le management et laudit des risques datteinte la vie prive Prsente les principes et le cadre de protection de la vie prive, un modle de risques datteinte la vie prive et le contrle du respect de la vie prive, le rle de laudit interne, les dix questions se poser concernant la protection de la vie prive lors de la mission daudit, et bien plus encore.
Gestion de la continuit dactivit Dfinit la continuit dactivit, examine les risques pour lentreprise et propose une analyse dtaille des impratifs associs au programme de continuit dactivit
La srie complte peut tre tlcharge sur le site Web de lIIA : www.theiia.org/technology.
Auteurs Kirk Rehage, Chevron Corporation Steve Hunt, Crowe Chizek and Company LLC Fernando Nikitin, Banque interamricaine de dveloppement
Juillet 2008
Copyright 2008 par lInstitute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, tats-Unis. Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, stocke dans un systme de consultation ou transmise sous quelque forme que ce soit, ni par aucun moyen (lectronique, mcanique, reprographie, enregistrement ou autre), sans lautorisation pralable de lditeur. LIIA publie ce document titre informatif et pdagogique. Cette publication entend donner des informations, mais ne se substitue en aucun cas un conseil juridique ou comptable. LIIA ne fournit pas ce type de service et ne garantit, par la publication de ce document, aucun rsultat juridique ou comptable. En cas de problmes juridiques ou comptables, il convient de recourir lassistance de professionnels.
GTAG Table des matires
Sommaire
1. 2. 3. RSUM .................................................................................................................................................... 1 INTRODUCTION .................................................................................................................................... 3 2.1 Processus dlaboration du plan daudit des SI ............................................................................... 4 PRENDRE EN COMPTE LACTIVIT ................................................................................................. 5 3.1 Une organisme unique ...................................................................................................................... 5 3.2 Lenvironnemnt oprationnel ............................................................................................................ 5 3.3 Facteurs lis lenvironnement des SI ............................................................................................. 6 4. LES RISQUES DE LENTREPRISE ..................................................................................................... 10 4.1 Examiner le modle dactivit ......................................................................................................... 10 4.2 Rle des technologies dappui ........................................................................................................ 10 4.3 Plans dactivit annuels ................................................................................................................... 10 4.4 Fonctions SI centralises/dcentralises ......................................................................................... 11 4.5 Les processus de soutien des SI ...................................................................................................... 11 4.6 Conformit la rglementation ...................................................................................................... 12 4.7 Dfinir les domaines soumis laudit ............................................................................................ 12 4.8 Les applications ................................................................................................................................ 13 4.9 valuer les risques ............................................................................................................................ 13 5. PROCDER UNE VALUATION DES RISQUES ....................................................................... 14 5.1 Le processus dvaluation des risques ............................................................................................ 14 5.2 Hirarchiser les risques .................................................................................................................... 15 5.3 Principaux cadres de gouvernance des SI ...................................................................................... 16 6. FORMALISER LE PLAN DAUDIT DES SI ...................................................................................... 19 6.1 Contexte du plan daudit ................................................................................................................. 19 6.2 Demandes des parties prenantes .................................................................................................... 20 6.3 Frquence des audits ........................................................................................................................ 20 6.4 Principes relatifs au plan daudit ..................................................................................................... 21 6.5 Le contenu du programme daudit des SI ...................................................................................... 21 6.6 Intgration du programme daudit des SI ...................................................................................... 22 6.7 Validation du programme daudit ................................................................................................... 22 6.8 La nature dynamique du programme daudit des SI .................................................................... 23 6.9 Communiquer, obtenir le soutien de la direction et faire approuver le programme daudit ..... 24 7. ANNEXE : EXEMPLE DUNE ENTREPRISE FICTIVE ................................................................... 26 7.1 Lentreprise ....................................................................................................................................... 26 7.2 Le plan daudit des SI ...................................................................................................................... 26 GLOSSAIRE ...................................................................................................................................................... 32 LISTE DES ACRONYMES .............................................................................................................................. 34 PROPOS DES AUTEURS ............................................................................................................................ 35
GTAG Rsum
1. Rsum
lheure o la technologie fait plus que jamais partie des activits et oprations dune organisation, les auditeurs internes se heurtent une difficult de taille : quelle est la meilleure approche pour valuer, lchelle de toute lorganisation, les risques lis aux SI et les contrles y affrents dans le cadre de leurs missions gnrales daudit et de conseil ? Cest pourquoi les auditeurs doivent prendre en compte lenvironnement des systmes dinformation (SI) de lorganisation, les applications et productions qui font partie de linfrastructure des SI, le mode de gestion des applications et oprations des SI et la relation entre ces applications/oprations des SI et lorganisation. En recensant les composants de linfrastructure SI, lauditeur obtiendra des informations concernant les vulnrabilits de linfrastructure. Lvaluation des vulnrabilits au sein des infrastructures SI, qui sont susceptibles davoir une influence sur le systme de contrle interne, commence par un inventaire complet du matriel, des logiciels, des rseaux et des donnes. Ainsi, les systmes et rseaux connects Internet sont exposs des menaces supplmentaires par rapport ceux qui ne le sont pas.1 Ds lors que lenvironnement des SI est bien pris en compte, le responsable de laudit interne et lquipe daudit interne peuvent procder lvaluation des risques et tablir un plan daudit. De nombreux facteurs organisationnels entrent en ligne de compte lors de llaboration du plan daudit, tels que le secteur dans lequel travaille lorganisation, son chiffre daffaires, le type et la complexit de ses processus ou encore la localisation gographique de ses oprations. Deux facteurs ont une incidence directe sur lvaluation des risques et sur la dfinition de ce quil convient dauditer au sein de lenvironnement du SI : les composantes et le rle de ce dernier. Par exemple : Quelles technologies sont employes pour supporter les fonctions oprationnelles quotidiennes ? Lenvironnement du SI est-il relativement simple ou complexe ? Lenvironnement du SI est-il centralis ou dcentralis ? Dans quelle mesure les applications sont-elles personnalises ? Les activits de maintenance des SI en gnral ou bien certaines en particulier sont-elles externalises ? A quel niveau se situe lvolution annuelle du SI ? Ces facteurs lis aux SI sont quelques-uns des aspects que les responsables de laudit interne et les auditeurs internes doivent prendre en compte pour pouvoir valuer correctement les risques de lorganisation afin dtablir le plan annuel daudit.
De surcrot, il est important que le responsable de laudit interne et les auditeurs internes recourent une approche qui dtermine prcisment la probabilit de survenance des risques et leurs impacts en relation avec lactivit de l'organisation et qui dfinisse les domaines risque lev, moyen et faible, via des analyses quantitatives et qualitatives. Il y a en permanence des innovations et des volutions dans le domaine des SI. Malheureusement, ces changements peuvent entraver les efforts des auditeurs visant identifier et valuer limpact des risques. Pour aider les auditeurs informatiques, les responsables de laudit interne peuvent : mesurer chaque anne lvolution spcifique de la mise en uvre des technologies de linformation (TI), afin didentifier celles qui pourraient avoir une incidence sur lexposition aux risques de lorganisation ; prendre connaissance chaque anne des plans court terme du dpartement informatique, et dterminer quelles peuvent en tre les consquences sur lvaluation des risques lis aux SI ; commencer chaque audit des SI en actualisant lvaluation des risques associs ; faire preuve de souplesse vis--vis de lunivers daudit des SI ; surveiller le profil de risque de lorganisation et tre prt adapter les procdures daudit son volution2. Il existe plusieurs rfrentiels de gouvernance des SI susceptibles daider les responsables de laudit interne et les quipes daudit interne dfinir lapproche dvaluation du risque la mieux approprie. Ces rfrentiels peuvent, en outre, aider les auditeurs dterminer o se situent les risques au sein de lenvironnement et donner des orientations sur la manire de grer ces risques. Parmi les rfrentiels de gouvernance des SI les plus courants, citons COBIT, ITIL (IT Infrastructure Library de lOffice of Government Commerce britannique) et la srie des normes 27000 de lOrganisation de normalisation internationale (ISO). Le responsable daudit interne et les auditeurs internes vont pouvoir dterminer les domaines auditer et la frquence en se basant sur une cartographie des processus, l'inventaire et la prise en compte de lenvironnement du SI et lvaluation des risques lchelle de lorganisation. Ce GTAG donne des informations susceptibles daider ces intervenants identifier les domaines daudit lis lenvironnement du SI comme faisant partie intgrante de son univers daudit. tant donn que le fonctionnement de l'organisation dpend fortement des SI, il est essentiel en effet que le responsable de laudit interne et les auditeurs internes
1 2
GTAG 1 Les contrles des systmes de linformation, p. 19. GTAG 4 Management de laudit des systmes dinformation, p. 7-8.
GTAG Rsum
sachent comment laborer un plan daudit et pour chaque lment quelle doit en tre la frquence, ainsi que ltendue et la profondeur. A cette fin, le prsent GTAG peut aider les responsables de laudit interne et les auditeurs internes : 1. prendre en compte lactivit gnrale de lentreprise et la part des SI dans le support oprationnel ; 2. dfinir et prendre en compte lenvironnement de SI ; 3. identifier le rle de lvaluation des risques dans la dlimitation de lunivers daudit interne ; 4. formaliser le plan annuel daudit des SI. Enfin, ce GTAG utilise lexemple dune organisation fictive pour montrer aux responsables de laudit interne et aux auditeurs internes comment mettre en uvre les tapes ncessaires la dlimitation de lunivers daudit.
GTAG Introduction
2. Introduction
Lune des principales attributions du responsable de laudit interne, qui est aussi lune de ses missions les plus dlicates, consiste laborer un plan daudit pour lorganisation. Comme lexplique la Norme 2010 de lIIA (The Institute of Internal Auditors), le responsable de laudit interne doit tablir une planification fonde sur les risques au moins une fois par an, afin de dterminer les priorits d'intervention, qui doivent elles-mmes se conformer aux stratgies et objectifs de lorganisation. En outre, le responsable de laudit interne doit envisager des missions de conseil en fonction de la valeur ajoute quelles pourraient apporter et des progrs quelles pourraient induire dans les oprations et les activits de management des risques de lorganisation. Ces activits ont t documentes dans ltude 2006 du Common Body of Knowledge (CBOK, base commune de connaissances) de lIIA Research Foundation. Celle-ci a observ que presque tous les responsables de laudit interne interrogs planifiaient leurs activits daudit au moins une fois par an, et que 36,4 % actualisaient leur programme de missions plusieurs fois par an (figure 1). Pour laborer un plan daudit fond sur le risque, le responsable de laudit interne devra dabord procder une valuation des risques portant sur l'ensemble de lorganisation. Lvaluation adquate des risques lis aux SI, composante essentielle de lvaluation globale des risques, constitue un volet essentiel de la gestion des risques. Cest un facteur dterminant pour mettre en place des programmes de missions efficients. Pour de nombreuses organisations, linformation et la technologie sur laquelle elle repose reprsentent leur actif le plus prcieux. En outre, tant donn que les entreprises voluent dans un environnement concurrentiel et en constante mutation, la direction exprime, vis--vis des fonctions grant et mettant en uvre le SI, un niveau d'exigence croissant travers : une qualit de service en constante amlioration, des fonctionnalits et une facilit
dutilisation accrues, un raccourcissement des dlais, le tout alors que les cots doivent tre comprims.3 Quelles que soient la mthodologie retenue et la frquence des activits de planification de laudit, le responsable de laudit interne et lquipe daudit interne devront prendre en compte lenvironnement du SI avant de procder laudit. La plupart des activits dune organisation font appel la technologie. Quil sagisse de la collecte, du traitement et de la communication dinformations comptables, ou bien de la fabrication, de la vente ou de la diffusion de produits, quasiment toutes les activits dune organisation reposent, plus ou moins grande chelle, sur la mise en uvre de moyens technologiques. Ces derniers ont vu leur rle voluer : elle nest plus seulement un support oprationnel pour les processus de lorganisation, mais fait partie intgrante du contrle des processus. Le contrle interne des processus et des activits reposent ainsi de plus en plus sur la technologie, dont les dficiences ou le manque dintgrit ont un impact important sur l'atteinte des objectifs et la ralisation des oprations de l'entreprise. Toutefois, llaboration dun plan daudit des SI efficace, fond sur le risque, est une tche difficile pour les auditeurs internes, surtout lorsquils nont pas une connaissance suffisante des SI. Les rsultats de plusieurs revues dassurance qualit externes de lIIA font apparatre que lun des points faibles des activits daudit interne concerne la ralisation d'un plan daudit des SI. Bien souvent, au lieu de raliser des audits fonds sur les risques, les auditeurs internes examinent ce quils savent dj ou sous-traitent dautres entreprises, les laissant dcider de ce quil convient dauditer. Le prsent guide propose des techniques pour rsoudre ce problme, savoir comment dterminer sur quoi devrait porter laudit des SI et comment organiser ces domaines en
3
IT Governance Institute, Control Objectives for Information and Related Technology (COBIT), troisime dition, p. 5.
CQ25a(Q30) : quelle frquence actualisez-vous le plan d'audit ?

Plusieurs fois par an Pas de plan d'audit Davantage que tous les deux ans Tous les deux ans Tous les ans
Source : A Global Summary of the Common Body of Knowledge 2006, Yhe IIA Reseach Foundation. Reproduit avec l'autorisation de l'auteur.
36%
60% 3% 0%
1%
Figure 1. Frquence des actualisations des plans daudit. 3
GTAG Introduction
lments daudit grables, afin dlaborer un programme de missions efficace.
2.1 Processus dlaboration du plan daudit des SI

La dfinition du plan annuel daudit doit respecter un processus systmatique si lon veut tre sr que tous les aspects fondamentaux de lactivit et les activits de support de la DSI sont bien compris et pris en compte. En consquence, il est essentiel que le plan sappuie sur les objectifs, les stratgies et le modle dactivit de lorganisation. La figure 2 dcrit la progression logique des flux de travail permettant, au moyen dune approche du gnral au particulier (top-down), de dfinir le plan daudit des SI qui sera utilis dans ce guide. La premire tape pour dfinir le programme de missions annuel portant sur le SI, consiste prendre en compte lactivit de l'organisation. Durant cette tape, les auditeurs doivent identifier les stratgies, les objectifs de lorganisation et ses modles dactivit, afin de prendre en compte les risques spcifiques associs lactivit de lorganisation. Lquipe daudit se doit aussi dapprhender comment le traitement des oprations et les fonctions support de la DSI concourent l'activit de lorganisation. Ensuite, les auditeurs doivent dfinir le champ d'action spcifique de l'audit (ou univers daudit). Ceci peut tre ralis, au moyen, dune approche descendante qui identifie :
les principaux objectifs et processus, les applications importantes qui concourent l'activit des processus mtiers, linfrastructure supportant les traitements applicatifs, le modle d'intervention et d'organisation de la DSI et le rle des moyens technologiques partags, tels que les priphriques rseau. Grce cette approche, associe la prise en compte des processus de support et des projets dimplmentation, les auditeurs seront en mesure de faire un inventaire complet de lenvironnement SI de l'organisation. C'est partir de cet inventaire que se ralisera lvaluation des vulnrabilits susceptibles davoir une incidence sur les contrles internes. Une fois que les auditeurs ont une ide prcise de lenvironnement du SI, la troisime tape consiste valuer les risques, cest--dire dterminer la probabilit de survenue dun vnement, susceptible dempcher lorganisation datteindre ses buts et objectifs de faon efficace, efficiente et matrise. Les informations et lanalyse tires de la comprhension de lorganisation, de linventaire de lenvironnement du SI et de lvaluation des risques nourrissent la dernire tape, savoir la formalisation du plan daudit. Le plan daudit a pour objectif de dterminer laxe des missions dassurance et de conseil des auditeurs afin de procurer la direction gnrale des informations objectives lui permettant de grer les risques et lenvironnement de contrle de lorganisation. La suite de ce guide dcrit ces quatre tapes et montre comment dfinir un plan daudit des SI efficace.
Prendre en compte lactivit
Dfinir lunivers des SI
Procder une valuation des risques
Formaliser le plan daudit (programme de missions)
Identifier les stratgies et objectifs de lorganisation Prendre en compte ce qui prsente un profil de risque lev pour lorganisation Prendre en compte comment lorganisation structure ses oprations Prendre en compte le modle de fonctionnement de la DSI comme support de l'activit de l'entreprise
Analyser les fondamentaux de lactivit Identifier les applications importantes qui concourent au traitement des oprations de lorganisation, en tenant compte du rle des moyens technologiques intervenant dans ce traitement Identifier linfrastructure critique pour les applications importantes Identifier les grands projets et initiatives Dfinir des thmes daudit ralistes
Mettre au point des processus didentification des risques valuer les risques spcifiques au SI et classer les thmes daudit partir des facteurs correspondants
Slectionner les thmes daudit retenus et les grouper en missions daudit distinctes Dfinir le cycle daudit et sa frquence Ajouter des missions rpondant aux demandes de la direction ou constituant des opportunits pour remplir une mission de conseil Valider le plan avec la direction
Figure 2. Le processus dlaboration du plan daudit des SI. 4
GTAG Prendre en compte lactivit
3. Prendre en compte lactivit

Il est capital de commencer avec la bonne perspective pour pouvoir dfinir un plan daudit efficace. Cest pourquoi, il faut garder lesprit que le seul but de la technologie est de constituer un levier pour mieux atteindre les objectifs de lorganisation, sachant que toute dfaillance du SI va l'encontre de ce but et constitue un risque pour lorganisation de ne pas les atteindre. Il est donc important de commencer par prendre connaissance des objectifs, stratgies et modles dactivit de lorganisation, ainsi que la place des moyens technologiques dans son dveloppement. Pour ce faire, il faut identifier les risques associs aux technologies mises en uvre, et dterminer comment chacun d'eux peut entraver la ralisation des objectifs de lorganisation. On aboutira ainsi une valuation plus significative et plus utile pour la direction gnrale. En outre, lauditeur doit se familiariser avec le modle dactivit de lorganisation. Chaque organisation ayant une mission distincte et des buts et objectifs qui lui sont propres, le modle dactivit aide lauditeur identifier les produits ou services que propose lorganisation, ainsi que sa base de clientle, ses chanes dapprovisionnement, ses processus de fabrication ou de production et ses mcanismes de mise disposition. Sil dispose dune connaissance approfondie de ces lments, il pourra prendre en compte les risques spcifiques lorganisation, ainsi que la manire dont les moyens technologiques mis en uvre interfrent sur le fonctionnement, comme sur l'exposition aux risques, de lorganisation.
mobilise ses ressources et moyens technologiques induit un ensemble spcifique de risques.
3.2 Lenvironnement oprationnel

Pour se familiariser avec une organisation, les auditeurs doivent dabord prendre en compte les objectifs et savoir comment les processus sont structurs pour atteindre ses objectifs (figure 3). Les auditeurs peuvent exploiter diverses ressources internes pour identifier et prendre en compte les buts et objectifs de lorganisation, notamment : les noncs de la mission, de la vision et des valeurs ; les plans stratgiques ; les plans annuels de prvision de l'activit ; le tableau de bord de performance du management ; les rapports aux actionnaires et annexes ; les documents requis par la rglementation, tels que ceux soumis lautorit de contrle prudentiel (ACP). Une fois que les objectifs stratgiques de lorganisation au niveau de lentit ont t bien apprhends, ltape suivante consiste identifier les principaux processus critiques pour atteindre les objectifs. Pour ce faire, les auditeurs ont besoin dapprhender en quoi chaque processus diffre au sein des directions oprationnelles, des fonctions dappui et des grands projets lchelle de lorganisation, ainsi que la relation entre ces processus et les objectifs de lentit. Les processus lis aux projets jouent un rle spcifique, mais tout aussi important, lorsque lon veut sassurer que les initiatives, cratrices de valeur pour lorganisation, sont gres et commercialises correctement. Un processus est qualifi de processus cl partir du moment o son dysfonctionnement empche lorganisation datteindre pleinement les objectifs auxquels ce processus est associ. Les directions fonctionnelles excutent des processus cls par lesquels lorganisation ralise ses objectifs premiers, comme les activits de fabrication, de vente et de distribution. Les fonctions de support incluent les processus de management qui permettent de superviser et de soutenir les fonctions oprationnelles cls, comme les activits de gouvernance et de conformit, le financement, les ressources humaines, la comptabilit, la gestion de trsorerie et lapprovisionnement. Une fois ces processus identifis, les auditeurs dgagent les applications importantes et les infrastructures SI critiques (par exemple, les bases de donnes, les systmes dexploitation, les rseaux et les environnements physiques) qui les soutiennent. Ces applications et infrastructures, notamment le dveloppement des systmes, la gestion des changements, les activits oprationnelles et les activits de scurit, sont sous-tendues par des processus dappui des SI. Les auditeurs
3.1 Une organisation unique

Chaque organisation est diffrente. Les organisations dun mme secteur nauront pas toutes le mme modle dactivit, des objectifs et des structures identiques, ni les mmes environnements et schmas de mise en uvre du SI. Cest pourquoi, les plans daudit doivent tre conus spcifiquement pour chaque organisation. En outre, limportance que revt la technologie peut varier au sein dune mme branche. Prenons, par exemple, les entreprises qui assemblent et vendent des ordinateurs personnels. Outre quelles recourent diffrents modles dactivit, elles sappuient de manire diffrente sur la technologie pour atteindre leurs objectifs. Par exemple, le modle de distribution traditionnel consistant passer par des magasins physiques et des revendeurs, ncessite lutilisation dune technologie pour grer les oprations et la comptabilit. Les entreprises qui vendent leurs produits sur Internet sont bien plus dpendantes de la technologie. En consquence, le flux de recettes des entreprises en ligne dpend de la disponibilit des SI critiques, ce qui augmente aussi le niveau de risques lis au SI. Comme lillustre cet exemple, la manire dont une organisation
devront noter que les applications appellent des valuations priodiques, en fonction de leur importance pour la communication dinformations financires, la conformit la rglementation ou les besoins oprationnels. Un tel examen de lenvironnement oprationnel (cest-dire en partant du sommet de lorganisation) aidera les auditeurs en apprhender et en inventorier toutes les composantes critiques. Pour pleinement prendre en compte lenvironnement oprationnel et les risques associs, il faut aussi considrer chacun des facteurs technologiques qui exercent une influence sur l'exposition aux risques de lorganisation, ce qui permet de hirarchiser ces risques.
3.3 Facteurs lis lenvironnement des SI

Pour bien prendre en compte lenvironnement oprationnel et les risques qui y sont associs, diffrents facteurs et techniques danalyse seront pris en considration. En effet, la complexit de lenvironnement de contrle dune organisation aura une incidence directe sur son profil de risque global et son systme de contrle interne. Il y a plusieurs facteurs importants prendre en compte : 1. Le niveau de centralisation du systme et de centralisation gographique (distribution des ressources SI). Le type d'activits exerces par l'or-
LA CHANE DE VALEUR DES ACTIVITS

OPRATIONS FONCTIONS SUPPORT PROJETS
LES PROCESSUS LIS LACTIVIT

PROCESSUS OPRATIONNELS PROCESSUS FONCTIONNELS
Paie Communication financire
PROCESSUS LIS AUX PROJETS

Gestion de la trsorerie
Fabrication
Vente
Distribution
Finances
SI
Conception
conomie
CONTRLES GNRAUX DES SI

Dveloppement des systmes Gestion des changements Accs logique Contrles physiques Services et processus de support Sauvegarde et restauration Scurit
APPLICATIONS
APPLICATION A APPLICATION B APPLICATION C
CONTRLES APPLICATIFS
Autorisation Intgrit Disponibilit Confidentialit Sparation des tches
INFRASTRUCTURE SI
BASE DE DONNES SYSTME DEXPLOITATION RSEAU/ENVIRONNEMENT PHYSIQUE
Figure tire et adapte de : IT Control Objectives for Sarbanes-Oxley, 2e dition, avec laimable autorisation de lIT Governance Institute (ITGI). 2006 ITGI. Tous droits rservs.
Figure 3. Prendre en compte lenvironnement du SI de l'organisation.
ganisation peut avoir une influence sur la structure et le fonctionnement de la DSI. Par exemple, des organisations qui oprent avec des units daffaires dcentralises disposant dune certaine autonomie pour les dcisions oprationnelles peuvent se caractriser par un SI dcentralis, par une plus grande diversit dapplications et par une plus grande varit de produits dploys. linverse, dans les organisations plus centralises, les auditeurs peuvent trouver des applications propres lorganisation et une infrastructure SI centralise. Les risques ntant pas les mmes selon que lorganisation se trouve un bout ou lautre du spectre des possibilits de centralisation, les rponses de laudit auront tre adaptes en consquence. Lorsque lon dfinit lunivers daudit des SI, il faut veiller aligner les diffrents audits sur la fonction de direction qui est in fine responsable de ce domaine. Une organisation centralise des systmes d'information de l'organisation peut permettre de dfinir des audits moins nombreux, mais peut-tre plus tendus, axs sur les technologies et les applications cls de lorganisation. linverse, une organisation dcentralise pourrait conduire dmultiplier les missions daudit, de faon s'aligner sur le partage des responsabilits au niveau de la direction. 2. Les technologies dployes. La diversit des architectures techniques mises en uvre dans l'organisation dterminera lampleur des connaissances techniques requises au sein du service daudit interne, ainsi que le nombre de domaines spcifiques quil faudra examiner. Cette diversit peut se retrouver chaque niveau de la structuration du SI pile de SI , cest--dire pour chaque composante principale de linfrastructure technique dune application : codes de programmes, bases de donnes, systmes dexploitation et infrastructure rseau. Ainsi, le code dun programme applicatif comprend lensemble des programmes informatiques, fichiers de contrle, tables et interfaces utilisateur qui lui confrent des fonctionnalits rpondant des tches spcifiques, telles que la comptabilit, la paie ou les achats. Dautres applications pourraient grer des informations critiques pour lorganisation, par exemple des donnes sur des projets dingnierie, des informations juridiques ou des donnes mdicales sur les membres du personnel. Lorganisation peut galement disposer dapplications qui supervisent les processus industriels, gnralement appeles systmes de contrle des processus .
Pour leur part, les systmes de bases de donnes (SGBD) permettent le stockage, la modification et lextraction de donnes (par exemple, Oracle, Microsoft SQL Server ou DB2), tandis que les systmes dexploitation excutent les tches lmentaires du traitement informatis, notamment l'acquisition des donnes saisies par loprateur, la gestion de la mmoire interne ou celle des supports (lecture, criture), laffichage ou, de faon gnrale, tous les priphriques. Plusieurs variantes de Windows et dUNIX peuvent tre installes comme systmes dexploitation sur les ordinateurs et les serveurs. Les terminaux de poche, comme les assistants personnels numriques ou les tlphones cellulaires, ont galement besoin dun systme dexploitation. Enfin, les rseaux mettent en relation des serveurs et des postes de travail pour leur permettre de communiquer entre eux. Ils sont constitus de composants physiques, tels que des commutateurs, des routeurs, des pare-feux ou du cblage, et de programmes qui commandent le routage des paquets de donnes. Les rseaux peuvent galement tre dploys au moyen dune technologie de radiofrquences. On parle alors gnralement de rseaux sans fil. Chaque couche de structuration du SI participe au traitement automatis de l'information, mais induit en mme temps des risques relevant de la disponibilit, lintgrit et la confidentialit des donnes. Le niveau de risque est fonction, dune part, du degr dimportance pour lorganisation du domaine d'activit concern par les moyens technologiques en cause et, dautre part, de leur configuration comme de leur dploiement. En consquence, plus la diversit de ces couches est grande, plus le profil de risque de lorganisation est lev. Par exemple, le service informatique aura moins de difficults grer un environnement homogne de serveurs Windows 2003, administrant une base de donnes avec SQL Server pour une unique application ERP (progiciel de gestion intgre) qu grer plusieurs systmes dexploitation et plateformes de bases de donnes supportant diverses applications. Mme sil parat idal, le premier scenario nest gure raliste dans une grande organisation o les oprations sont diverses et le modle dactivit dcentralise. Lorsque lon dfinit lunivers daudit, il convient didentifier et dvaluer les lments critiques des SI suivant les techniques danalyse descendantes dcrites dans le prsent guide.
3. Le degr de personnalisation. En gnral, une mise en uvre de moyens technologiques personnaliss en complexifie la gestion, tandis que l'adoption d'un logiciel standard permet de recourir essentiellement au support technique du fournisseur, qui est cens dtenir une connaissance et une expertise trs pointues sur ses produits. Lorsquun fournisseur modifie quelque chose (applications, systmes dexploitation ou autres logiciels), de faon rpondre aux besoins et processus de lorganisation, il en est largement propritaire et davantage de risques sont prendre en compte. En rgle gnrale, les organisations doivent effectuer une analyse cots-avantages lorsquelles dcident d'adapter leurs propres spcifications le logiciel dun tiers, sans intgrer pour autant, durant cette analyse, certains aspects du contrle. En outre, pour auditer les implmentations personnalises, les auditeurs doivent possder une plus grande connaissance technique. 4. Le degr de formalisation des politiques et rfrentiels de lorganisation (gouvernance des SI, par exemple). Une dmarche de gouvernance des SI a pour objectif de permettre lorganisation de mieux grer au quotidien ses activits et risques lis aux SI aux moyens de politiques et rfrentiels. Ainsi, les politiques et rfrentiels formaliss, mis en uvre au titre de la gouvernance des SI, contribuent instaurer un environnement de contrle plus efficace, ceci se vrifiant davantage si ces politiques et rfrentiels sont communiqus, compris, pilots, surveills et actualiss par la direction gnrale. Les politiques noncent des principes fondamentaux, qui correspondent aux objectifs oprationnels de la direction gnrale ; elles entendent avoir un effet long terme en encadrant llaboration des rgles applicables des domaines spcifiques, ayant pour objet de les interprter et de les renforcer au moyen de rfrentiels de contrle et de consignes. Du point de vue des SI, les politiques fournissent les directives manant de la direction gnrale sur des thmes concernant les droits attachs la proprit intellectuelle, la protection des donnes, le respect de la vie prive travers l'acquisition, la conservation ou la diffusion d'informations caractre personnel, afin de garantir la conformit aux lois et rglementations. Pour leur part, les rfrentiels dcrivent un processus ou une procdure obligatoire et donnent des orientations plus prcises sur la manire de se conformer aux principes fondamentaux auxquels ils se rfrent. Les rfrentiels portant sur les SI sont gnralement neutres du point de vue de la technologie, mais
peuvent tre affins au moyen de consignes et procdures (procdures ou rglages de configuration) qui dfinissent comment le rfrentiel doit tre mis en uvre vis--vis de telle ou telle technologie. En rgle gnrale, les organisations doivent dfinir un processus de mise jour continue de toutes les politiques et de tous les rfrentiels les plus rcents que la rglementation rend obligatoires. Par exemple, les rcents changements, aux tats-Unis, dans les rgles fdrales de procdure civile qui rgissent la production de preuves devant les tribunaux portent sur la dcouverte et la production dinformations stockes lectroniquement. En raison de ces changements, l'exposition au risque dune organisation dpend en partie du respect des politiques et rfrentiels actualiss relatifs la conservation des enregistrements, qui visent la gestion des informations stockes lectroniquement. Il existe diffrents cadres et mthodologies de gouvernance des SI, dont le COBIT, la Norme ISO 27002 sur le management de la scurit de linformation, le rfrentiel La gestion du contrle de linformatique de lInstitut canadien des comptables agrs (ICCA) et la norme Standard of Good Practice for Information Security de lInformation Security Forum. Ces rfrentiels mthodologiques permettent de spcifier les objectifs et domaines de contrle dans lensemble de lenvironnement de contrle4. Les organisations peuvent adopter lun de ces rfrentiels ou sen inspirer pour dvelopper leur propre dispositif de gouvernance du SI. La section 5.3 propose des informations sur les bonnes pratiques en la matire, afin daider les organisations valuer le contenu et lefficacit de ces rfrentiels. 5. Le degr de rglementation et de conformit. Dans les secteurs fortement rglements, les organisations prsentent gnralement un profil de risque lev en regard des consquences potentielles de non-conformit par rapport aux exigences rglementaires auxquelles elles sont soumises. Toutefois, les organisations qui russissent dans des secteurs fortement rglements se caractrisent galement par un environnement de contrle trs dvelopp intgrant une supervision efficace de la part de la direction gnrale, le tout tant susceptible de confrer une conformit permanente se traduisant par une exposition au risque moins leve. Les exigences rglementaires pesant sur lorganisation doivent donc tre
4
Pour des informations complmentaires sur ces rfrentiels et dautres, voir le GTAG 5 Contrle des systmes dinformation, p. 23.
prises en compte, de manire approprie, dans le niveau d'exposition au risque de lorganisation et dans lunivers daudit des SI. Par exemple, aux tatsUnis, toutes les organisations enregistres auprs de la SEC doivent, aux termes de la loi Sarbanes-Oxley de 2002, faire tat de lefficacit de leurs contrles internes relatifs la communication dinformations financires. Cette lgislation a galement instaur le Public Company Accounting Oversight Board (PCAOB), qui a pour objet de guider les commissaires aux comptes dans la manire dauditer ce type de contrles internes. Parmi les autres rglementations, on peut citer lAccord de Ble (Ble II), qui sapplique au secteur financier, ainsi quun nombre croissant de lois et rglementations sur la protection de la vie prive et des donnes, telles que la directive europenne sur la protection des donnes, la loi amricaine Gramm-Leach-Bliley (GLBA), la loi Health Insurance Portability and Accountability (HIPAA) et le Payment Card Industry Data Security Standard (PCI DSS). 6. Le degr et le mode dexternalisation. Le recours l'infogrance progresse dans beaucoup dorganisations, en raison du cot lev et de lexpertise requise pour les services sous-traits qui ne font pas partie du cur de mtier de l'organisation (le GTAG : LInfogrance propose une analyse dtaille des diffrents modes dinfogrance et du niveau de risque qui y est associ5). Sagissant de linfogrance, il est important que les auditeurs prennent en compte les diffrents risques manant du mode dexternalisation lorsquils laborent leur plan daudit des SI. Les principaux facteurs qui interviennent sont la manire dont la direction gnrale envisage son rle de supervision et de pilotage, la maturit du dispositif (par exemple, processus en phase dinstallation ou bien consolid), les risques spcifiques au pays, ainsi que la complmentarit des plans de continuit dactivit la fois de lorganisation et du prestataire. 7. Le degr de standardisation des oprations. Les processus et procdures oprationnelles recouvrent lensemble du cycle de dveloppement des systmes, ainsi que les activits de gestion des configurations, des changements, des incidents, des oprations et de la scurit. linstar du degr de centralisation et de diversit des technologies dployes, le niveau de standardisation des oprations peut avoir une incidence sur la fiabilit et lintgrit de linfrastructure
SI et sur chacun de ses composants. Par consquent, les organisations qui adoptent des processus standardiss sur lensemble des fonctions de prestation de services amliorent leur capacit oprer en tant quorganisation hautement performante. LITIL, ensemble de concepts et de techniques pour la gestion des infrastructures SI, ainsi que pour le dveloppement et la mise en place dun nouveau systme informatique et le traitement automatis des informations, est un exemple de pratique standardise. Les publications de lITIL les plus largement utilises et comprises sont celles se rapportant la prestation de service et l'activit de support. Lun des principaux avantages de lITIL est quil tablit un glossaire commun de termes couramment utiliss. Les organisations qui mettent en uvre les concepts de lITIL affichent une fiabilit plus grande et des cots de prestation moins levs. 8. Le degr de dpendance technologique. Certaines organisations sont de grandes utilisatrices de technologies ou les utilisent pour se dmarquer de leurs pairs ou de leurs concurrents. Si un recours accru aux technologies de traitement de l'information peut amliorer globalement le systme de contrle interne, en particulier grce aux contrles applicatifs automatiss, plus la dpendance aux SI est importante, plus une forte gouvernance et de solides processus oprationnels internes sont ncessaires. En outre, lorsque les organisations dpendent fortement de la disponibilit et de lintgrit des fonctions automatises travers le SI, pour traiter leurs oprations et atteindre leurs objectifs, la part des risques lis aux SI dans le profil de risque gnral de lorganisation augmente. Par consquent, la nature et le degr de dpendance de lorganisation vis--vis de la technologie doivent tre mis en exergue dans lvaluation des risques constituant un pralable pour l'laboration du plan daudit des SI. Ces huit facteurs lis lenvironnement de SI, conjugus lapproche descendante employe pour prendre en compte les traitements oprationnels et linfrastructure SI, constitue un socle indispensable pour passer ltape suivante du processus de planification de laudit, savoir la dfinition de lunivers daudit et lvaluation des risques.
GTAG 7 : LInfogrance.
GTAG Dfinir lunivers daudit des SI
4. Dfinir lunivers daudit des SI

Dfinir ce quil convient dauditer est lune des tches les plus importantes de laudit interne, tant donn que le programme annuel daudit des SI aura un impact considrable sur la performance globale du service daudit interne. Par consquent, le but ultime du plan daudit des SI est dassurer une couverture adquate des domaines qui reprsentent la plus grande exposition au risque et, ceux qui reprsentent un enjeu majeur pour les auditeurs dans l'apport qu'il constitue en matire de valeur ajoute lorganisation. Lune des premires tapes vers un plan daudit des SI efficace consiste dfinir lunivers daudit des SI , cest-dire un ensemble fini et exhaustif des domaines daudit, schma structurel des entits oprationnelles et localisation des activits ralises par l'organisation, qui reprsentent les cibles d'audit permettant de donner une assurance approprie sur le niveau de matrise des risques auxquels lorganisation est expose. Lors de cette premire tape, lidentification des domaines daudit potentiels, au sein de lunivers daudit, se fait indpendamment du processus dvaluation des risques. Les auditeurs auront conscience des audits qui peuvent tre raliss avant de raliser une valuation et une hirarchisation des risques aboutissant un programme annuel d'audit. La dfinition de lunivers daudit des SI ncessite une connaissance approfondie des objectifs de lorganisation, du modle dactivit et des prestations assumes par la DSI.
aider les auditeurs identifier les processus de fonctionnalit critiques des SI. Nanmoins, les carts dans la manire dont des directions similaires excutent leurs processus peuvent ajouter la complexit de cette analyse. Ainsi, des usines situes dans des endroits diffrents peuvent ne pas recourir aux mmes procdures dapprovisionnement. Dans des organisations dcentralises, les diverses directions peuvent employer des applications diffrentes ou bien une application commune peut tre configure diffremment dans la mesure o elle fonctionne comme une application totalement distincte. Par exemple, une unit utilise SAP R/3 sous UNIX avec une plateforme Oracle, alors quune autre utilise SAP R/3 sous Windows avec une plateforme SQL Server. Bien que similaire, la structure du traitement automatis, pour ces processus, est diffrente et peut ncessiter des revues particulires.
4.2 Rle des technologies dappui

Il peut tre simple didentifier les infrastructures technologiques qui soutiennent le SI lorsque lon dtecte des activits qui reposent sur des applications cls. En revanche, il est bien plus difficile de mettre lutilisation des moyens technologiques communs, comme le rseau gnral, une application de messagerie lectronique ou son logiciel de chiffrement, en relation avec les objectifs et les risques. Pourtant, ces moyens technologiques communs existent parce que lorganisation en a besoin et une dfaillance de ces services et quipements peut empcher lorganisation daccomplir sa mission. Cest pourquoi, les moyens technologiques communs cls doivent tre identifis et reprsents dans lunivers des domaines auditables, mme sils ne sont pas directement associs une application ou un processus oprationnel.
4.1 Examiner le modle dactivit

Pour les organisations, l'atteinte des objectifs repose sur le fonctionnement des diverses directions oprationnelles et fonctionnelles, travers les processus spcifiques qu'elles ont grer afin d'atteindre leurs propres objectifs, en liaison nanmoins avec les autres entits. Si lon revient lexemple des entreprises qui assemblent et vendent des ordinateurs, une entreprise traditionnelle dans ce secteur se compose de plusieurs usines dassemblage situes dans diffrents pays, dunits de vente et de marketing, ainsi que de diffrentes fonctions de gestion et de support. Les directions de vente et marketing, par exemple, ont mis en place des processus pour accepter, raliser et facturer les commandes clients, alors que dautres directions oprationnelles et fonctions support ont leurs propres processus. Les infrastructures de support et les applications critiques des SI sous-tendent ces processus. En consquence, il est important que les auditeurs tiennent compte de lenvironnement de SI de lentreprise lorsquils dfinissent lunivers de SI et identifient les processus fondamentaux caractrisant l'activit de chaque entit. Le recours une approche descendante pour prendre en compte la structure et les activits dune organisation peut 10
4.3 Plans dactivit annuels

Un autre point est important : il faut tenir compte du plan stratgique de lorganisation. Les plans oprationnels peuvent apporter aux auditeurs des informations sur les changements et projets importants susceptibles de voir le jour dans lanne venir, qui pourraient ncessiter lintervention de laudit et devenir des sujets intgrer dans lunivers daudit des SI. Les projets peuvent avoir directement trait aux SI, par exemple la mise en uvre dun nouveau systme dERP, ou porter sur la gestion dinitiatives majeures dingnierie ou de construction. Par exemple, les compagnies productrices dnergie forment des projets majeurs dinvestissement lorsquelles dploient de nouvelles installations pour exploiter de nouveaux gisements de gaz ou de ptrole. Ces projets peuvent tirer parti de lutilisation de composantes du SI qui mritent lattention de lauditeur des SI, notamment les contrles daccs des systmes de gestion
de documents ou des connexions externes pour les partenaires et sous-traitants. Parce que des entreprises peuvent tre partenaires sur un projet et concurrentes sur dautres, il est important de limiter leur accs aux seules ressources SI ncessaires en loccurrence.
4.4 Fonctions SI centralises / dcentralises

Les auditeurs auront identifier les fonctions SI administres au niveau central, qui soutiennent la totalit ou une grande partie de lorganisation. Les fonctions centralises sont de bons candidats aux diffrents audits raliss au sein de lunivers daudit des SI. Il sagit notamment de la conception et de ladministration de la scurit du rseau, de ladministration des serveurs, de la gestion des bases de donnes, des activits de service ou dassistance et des oprations traites sur des sites centraux (mainframe ). Par exemple, lorganisation peut disposer dun groupe dadministration serveur qui supervise lensemble des serveurs Windows. Parce que ce groupe peut mettre en uvre des processus administratifs et grer des configurations portant sur l'ensemble des serveurs, cest le candidat idal un audit spcifique, qui s'intgre nanmoins dans lunivers daudit des SI. L'homognit de l'environnement se prte galement un chantillonnage aux fins de la ralisation de laudit. Lidentification des thmes daudit centraliss prsente plusieurs avantages. Le principal est lutilisation efficace des ressources daudit des SI, qui sont limites, de sorte que lquipe daudit peut se concentrer sur un domaine, employer des techniques dchantillonnage et obtenir une couverture assez importante partir dun unique audit. Un autre atout rside dans l'intgration des rsultats dans dautres missions d'audit, afin de faire l'conomie de nouvelles investigations puisque les domaines centraliss ont dj t vrifis ; ces avantages se vrifient tout particulirement dans le cas des audits dapplications. Ainsi, un environnement constitu dun groupe dadministration des serveurs Windows peut recouvrir plusieurs centaines dapplications. Puisque les contrles gnraux de linfrastructure sont examins au cours dun audit (davantage) centralis, laudit des SI peut se limiter aux domaines techniques spcifiques certaines applications, et non toutes les plates-formes qui supportent lapplication. Lorganisation en tire galement parti, dans la mesure o cet audit n'est ralis en profondeur quune seule fois et que ses rsultats ne risquent pas d'tre impacts par l'examen individuel de chaque application, dans le cadre de l'audit d'un processus dtermin. En outre, les organisations ne centralisent pas toutes leurs fonctions SI de la mme manire. Beaucoup dorganisations choisissent de crer une unique fonction transversale rseau, en charge de la conception et de ladminis11
tration de la scurit du rseau. Cette fonction peut se dcliner en diverses activits comme la configuration des parefeux, routeurs et commutateurs, la gestion de la connexion Internet, des rseaux sans-fil, de la voix numrique et des connexions aux rseaux externes. En consquence, chacun de ces domaines peut constituer un domaine daudit spcifique au sein du SI. De surcrot, parce que les fonctions SI centralises sont susceptibles de changer au fil du temps, il convient de les examiner et de les rexaminer au moins une fois par an, parmi les thmes relevant de lunivers daudit du SI. On peut adopter une approche comparable pour les fonctions SI dcentralises, pour lesquelles chaque site physique peut reprsenter un sujet daudit distinct. Selon la taille du site vis, laudit peut porter sur les contrles gnraux et les contrles techniques, pour chaque couche de l'infrastructure. Laudit ne doit porter, toutefois, que sur les contrles des SI dont le site local est responsable, et pas sur les contrles grs par les fonctions SI centralises. Si le site est important et quil utilise un grand nombre de technologies, les auditeurs peuvent tre amens raliser plusieurs interventions dans ce site en tant que partie de lunivers daudit.
4.5 Les processus de soutien des SI

Mme si lorganisation comporte une fonction SI dcentralise, elle peut disposer de processus transversaux standardiss. Les organisations qui sefforcent dtre performantes comprennent limportance de disposer de processus transversaux standardiss travers toutes leurs directions oprationnelles, quel que soit leur type d'activit. On peut citer, comme exemples de processus transversaux standardiss, les activits du centre de service (hotline), les procdures de gestion des changements, des configurations, des mises en production, des incidents et autres problmes. Le centre de service est gnralement le premier point de contact auprs duquel les clients peuvent formuler une requte ou une demande de rsolution de problme li aux SI. Ce qui dclenche un processus de gestion du cycle de vie de la requte travers une succession dvnements se rapportant la gestion des incidents, des problmes, des changements et des mises jour. L encore, lITIL est lune des principales sources dfinissant les meilleures pratiques pour les DSI. De nombreuses organisations appliquent les pratiques recommandes par lITIL ou autres processus standardiss, afin damliorer leur efficience et leurs performances dans la gestion de leurs fonctions lies aux SI. Les services daudit interne doivent participer aux efforts dploys pour mettre en uvre des processus dappui standardiss, lorsque cela se rvle appropri, et les adapter en consquence afin dtre en mesure d'en valuer l'efficacit. Une dmarche pourrait consister
inscrire au programme d'audit le dploiement et la gouvernance des processus standardiss l'chelle de lorganisation. Ces revues au plus haut niveau permettraient ainsi dvaluer lefficacit des processus eux-mmes, lefficacit des processus tels quils sont dploys et lefficacit du modle de gouvernance de faon sassurer que les processus transversaux sont mis en uvre conformment ce qui tait prvu. Une fois les processus standardiss audits, les audits de sites doivent porter davantage sur le respect local des processus eux-mmes, plutt que sur la mesure de leur efficacit.
4.6 Conformit la rglementation

Diverses lois et rglementations travers la plante, en particulier la loi Sarbanes-Oxley et Ble II, imposent dappliquer des contrles internes et des pratiques de gestion du risque, ainsi que de respecter la confidentialit des donnes personnelles .Comme indiqu plus haut, certaines de ces rglementations imposent de protger les informations relatives aux clients en matire de cartes de crdit (par exemple, la GLBA et la PCI DSS) ainsi que les informations mdicales personnelles (par exemple lHIPAA). Mme si la plupart de ces rgles ne concernent pas directement les contrles des SI, elles supposent lexistence dun environnement de SI soumis un contrle adquat. En consquence, ces points de la rglementation sont susceptibles dtre intgrs dans lunivers daudit : les auditeurs doivent dterminer si lorganisation a mis en place des processus rigoureux et si elle opre efficacement afin de garantir la conformit.
4.7 Dfinir les domaines soumis laudit

La division de lenvironnement des SI en plusieurs thmes daudit peut tre quelque peu influence par des prfrences personnelles ou des considrations relatives aux effectifs. Toutefois, le but ultime est de dterminer comment scinder lenvironnement de faon obtenir les audits les plus efficients et les plus efficaces. La discussion prcdente sur la centralisation des fonctions SI et la standardisation des processus de soutien montrait comment les domaines daudit pouvaient tre regroups au sein de lunivers daudit afin de dfinir une approche plus efficiente. Bien que les auditeurs naient pas valuer les risques cette tape du processus de planification de laudit, lobjectif est de disposer dun plan daudit centr sur les domaines prsentant le risque le plus lev, dans lesquels les auditeurs peuvent apporter le plus de valeur ajoute. Mme sil nexiste pas une faon unique de dfinir les objets daudit des SI, il existe des faons incorrectes ou inappropries de le faire6.
6 7
GTAG 4 : Management de laudit des systmes dinformation, p. 11. GTAG 4 : Management de laudit des systmes dinformation, p. 11.
Les cueils viter sont notamment de ne pas dfinir correctement le primtre de la mission, ou de dfinir le plan uniquement en fonction des capacits des effectifs, ou de crer un dsquilibre dans les sujets traits. En outre, les objets daudit doivent tre scinds en domaines de dimension approprie une affectation raisonnable des ressources daudit. Ce faisant, les auditeurs garderont lesprit qu'une dfinition large ou restreinte des objets daudit, risque d'avoir un impact positif ou ngatif sur les travaux d'audit. En effet, chaque mission comporte un certain nombre de charges, notamment pour la gestion administrative ayant trait la planification de laudit, les revues de management, la validation finale des travaux et la formalisation et la communication des rsultats. Si, par exemple, le programme daudit prvoit de nombreuses missions caractre restreint, les auditeurs internes pourraient passer autant de temps grer les audits qu les effectuer. linverse, si le domaine audit est trs large, les audits pourraient se drouler sur une priode prolonge, gner le client ou induire un examen trop superficiel. Selon la culture de lorganisation, des dfinitions trop vastes pourraient mme aboutir une augmentation non planifie du champ de laudit (glissement de primtre7). La dimension adquate de laudit dpend de la culture et des pratiques de lorganisation. En rgle gnrale, pour la plupart des organisations, dfinir un objet daudit qui mobilise deux trois auditeurs techniques semble tre un objectif raisonnable, car on bnficie alors des points de vue et expriences varis des auditeurs. En outre, une dure de trois quatre semaines semble raisonnable pour la plupart des organisations. La taille de laudit doit aussi cadrer avec les pratiques daudit en vigueur dans lorganisation. Cependant, lunivers daudit des SI ne doit pas se dfinir uniquement en fonction de la structure du service daudit en termes deffectifs, puisque cela risquerait daboutir un dsquilibre entre les missions ralises. Ainsi, certains services daudit informatique ne disposent daucun technicien ou spcialiste des SI, mais se composent dauditeurs connaissant les applications existantes. Ces auditeurs ont tendance se concentrer sur la couche applicative et risquent de ne pas prter une attention suffisante aux couches dinfrastructure sous-jacentes, alors mme qu'il serait ncessaire daboutir une couverture bien quilibre de toutes les couches techniques dans le cadre des missions ralises. Idalement, la fonction daudit interne doit regrouper des membres du personnel disposant dune qualification technique pointue et des auditeurs gnralistes avec une bonne comprhension des contrles applicatifs. Les auditeurs techniques, par exemple, peuvent vrifier que linfrastructure SI bnficie de contrles de scurit adquats et examiner les contrles applicatifs gnraux. Un bon quilibre entre les objets daudit, qui apprhendent toutes les 12
couches de lenvironnement informatique, constitue la clef de vote du plan daudit des SI, mme si les contraintes, lies au personnel du service daudit, sont un rel problme. Si tel est le cas, des effectifs supplmentaires sont ncessaires pour complter lexpertise du personnel en place. Les auditeurs doivent tre conscients que la technique daudit utilise durant les examens de la scurit pourrait se rvler inefficace si elle est utilise dans un environnement de serveurs non homogne, form de multiples plateformes. De fait, le domaine gnral de ladministration des serveurs pourrait tre trop vaste ou ingrable. Pour cette raison, de nombreuses organisations examinent leur scurit en fonction du type de plateforme qui les concerne, ce qui permet une analyse plus dtaille. Malheureusement, cette activit pourrait se traduire par des doublons car certaines tapes daudit sont rptes. En consquence, les auditeurs doivent dfinir des champs d'intervention distincts pour chaque plateforme et procder un audit des contrles gnraux sur toutes les plateformes. La responsabilit managriale est un point cl prendre en considration lorsque lon dfinit les composantes de lenvironnement du SI. Dans le pire des scenarii, on pourrait dfinir des thmes daudit qui s'avreraient transversaux par rapport aux lignes hirarchiques pilotant les diffrentes entits oprationnelles concernes. Cela pourrait crer en consquence un conflit quant savoir qui il revient, in fine, de mettre en application les remarques et recommandations mises par laudit l'issue de la mission. Il faut donc prciser clairement qui recevra le rapport daudit et qui est charg de remdier aux dficiences de contrles identifies. Enfin, le primtre de chaque thme daudit doit tre dcrit clairement, de sorte que les responsabilits en cause au sein de lorganisation soient clairement dfinies.
tenues dans lunivers daudit des SI, alors lunivers daudit de lorganisation doit tre mis en relation avec celui des SI de faon obtenir une vision globale pendant laudit. Mme si les applications sont maintenues lcart de lunivers daudit des SI, des thmes daudit individuels peuvent tre slectionns au sein de lunivers daudit des SI pour les applications grande chelle, c'est--dire qui sont mises en oeuvre par des fonctions multiples pour des processus multiples. En effet, il peut tre intressant dexaminer les contrles gnraux dune application dans le cadre dun audit autonome, plutt quen lincluant arbitrairement dans lun des nombreux audits gnraux.
4.9 valuer les risques

Une fois lunivers daudit dfini, ltape suivante de la dfinition du programme annuel daudit consiste en une valuation systmatique et uniforme des risques associs tous les sujets. La section suivante prsente des notions fondamentales sur les risques et leur valuation, qui peuvent aider les responsables de laudit interne et les auditeurs internes crer un programme daudit des SI efficace.
4.8 Les applications

Le responsable de laudit interne doit dterminer quel groupe daudit sera charg de planifier et de raliser l'audit des applications. Selon le mode de fonctionnement du service daudit, les applications peuvent tre incluses dans lunivers daudit des SI, dans celui de lorganisation ou dans les deux. Les services daudit interne saccordent, de plus en plus, dire que les applications doivent tre audites en mme temps que les processus quelles supportent. On obtient ainsi une assurance sur toute la suite des contrles, automatiss ou manuels, portant sur les processus examins, en minimisant les risques de lacunes ou de chevauchements susceptibles d'tre rencontrs au cours des travaux d'audit, et viter autant que possible les confusions quant ce qui fait partie ou non du champ de la mission. En raison de leur expertise, les auditeurs sont probablement les mieux mme de dterminer le moment opportun pour examiner les applications. Si ces dernires sont main-
13
GTAG Procder une valuation des risques
5. Procder une valuation des risques

LIIA dfinit le risque comme la possibilit que se produise un vnement qui aura un impact sur la ralisation des objectifs. Le risque se mesure en termes de consquences et de probabilit8. Il est donc absolument crucial que les organisations fassent priodiquement l'inventaire des risques auxquels elles sont exposes et quelles entreprennent les actions ncessaires pour maintenir ces risques un niveau acceptable. Comme indiqu plus haut, le processus dvaluation des risques ne doit pas tre men avant que le responsable de laudit interne et lquipe daudit interne aient bien identifi lunivers daudit des SI et la place qu'il occupe au sein de lorganisation et au soutient ses activits. Il est capital, quel que soit le modle ou lapproche dvaluation des risques retenu, que cette valuation cerne les domaines de lenvironnement du SI susceptibles dentraver fortement la ralisation des objectifs de lorganisation. En dautres termes, lvaluation des risques doit intgrer linfrastructure, les applications et les oprations informatises et, de faon gnrale, tous les composants du SI, qui psent le plus sur la capacit de lorganisation veiller la disponibilit, la fiabilit, lintgrit et la confidentialit du systme et des donnes. En outre, les auditeurs doivent tenir compte de lefficacit et de la pertinence des rsultats de lvaluation des risques, lesquels dpendent de la mthode employe et de sa bonne mise en uvre. En somme, si les donnes dentre utilises pour valuer les risques (cest--dire lunivers daudit des SI et sa relation avec lunivers daudit de lorganisation) sont dficientes ou utilises incorrectement, il est vraisemblable que les rsultats de lvaluation en seront, certains gards, insatisfaisants.
et lquipe daudit interne pour laborer un plan daudit des SI.
5.1.1 Identifier et prendre en compte les objectifs de lentreprise

Lun des fondements de toute mthode dvaluation des risques consiste prendre en compte les objectifs de lorganisation et dterminer en quoi les SI contribuent la ralisation de ces objectifs ou les soutiennent. Si les objectifs de lorganisation ne sont pas dj identifis, les auditeurs doivent le faire avant de procder lvaluation des risques propres au SI. Les objectifs de lorganisation peuvent tre vastes et de nature stratgique (par exemple, devenir un chef de file du secteur) ou plus linaires et de nature plutt tactique (par exemple, remplacer les anciennes applications SI par un systme dERP). En outre, les processus de gestion des risques devra passer par cinq grandes tapes : Il faut identifier et hirarchiser les risques dcoulant des stratgies et activits de lorganisation. La direction gnrale et le Conseil d'administration dfinissent le niveau de risque acceptable pour lorganisation, y compris le niveau dacceptation des risques lis aux plans stratgiques de l'organisation. Il convient de concevoir et de mettre en uvre des actions concourant la matrise des risques, en les rduisant ou les ramenant en tout tat de cause dans les limites fixes comme acceptables par la direction gnrale et le Conseil d'administration. Il convient de mettre en place un dispositif de surveillance continue afin de rvaluer priodiquement les risques, comme lefficacit des contrles visant grer ces risques. Le Conseil d'administration et la direction gnrale reoivent priodiquement des rapports sur les processus de gestion des risques. Les processus de gouvernement dentreprise en place prvoient galement une communication rgulire aux partenaires financiers sur l'tat d'exposition aux risques, les stratgies et les contrles mis en uvre en consquence. On trouvera des orientations complmentaires dans la MPA 2010-1 : La prise en compte des risques et des menaces pour llaboration du plan daudit, qui indique comment les risques pour lorganisation, son plan stratgique et les changements dorientation dcids par la direction gnrale sont pris en compte dans le programme daudit.
5.1 Le processus dvaluation des risques

Ds lors que le responsable de laudit interne et lquipe daudit interne ont une bonne connaissance de l'organisation et des technologies qui y sont mises en uvre, ils peuvent mener une valuation des risques. Il est crucial dexcuter ces tches correctement si lon veut tre sr que les risques pertinents lis aux SI (cest--dire ceux qui prsentent la plus grande probabilit d'occurrence et d'impact sur lorganisation) sont identifis et valus avec efficacit, et qu'ont t prises, de faon approprie, des mesures destines les matriser. Le rsultat du processus dvaluation des risques sert ensuite au responsable de laudit interne
5.1.2 Identifier et prendre en compte la stratgie relative aux SI

Une fois que le responsable de laudit interne et les auditeurs internes sont au courant des objectifs de lorganisation, il leur faut identifier la stratgie gnrale de lorganisation 14
Dfinition du risque issue du glossaire, Cadre de Rfrence International des Pratiques Professionnelles de laudit interne, IIAIFACI, 2009.
vis--vis des SI, afin de vrifier si elle cadre avec les objectifs identifis ltape prcdente. Lorganisation peut disposer de divers documents dcrivant la relation entre ses objectifs et le plan stratgique des SI, auxquels le responsable de laudit interne et les auditeurs internes ont besoin davoir accs, pour en prendre connaissance et en tenir compte dans leurs travaux. De manire gnrale, le plan stratgique est adoss aux objectifs de lorganisation et prcise de quelle manire il a t conu en ce sens. En dautres termes, le plan daudit identifiera des actions tactiques qui seront effectues par la DSI dans un dlai prcis, actions visant soutenir la ralisation des objectifs de lorganisation.
5.1.3 Lunivers du SI
Comme indiqu plus haut, les auditeurs commenceront par dresser linventaire des composantes de lenvironnement informatique afin de dterminer quels domaines du SI verront leurs risques et contrles examins. Sil nexiste pas une approche unique idale pour raliser cet inventaire, de nombreuses organisations scindent leur univers de SI en trois grandes sous-catgories : infrastructure, production ou exploitation, et applications. Linfrastructure inclut toutes les composantes techniques qui soutiennent la circulation et le traitement des informations de l'organisation, comme les serveurs, routeurs, ponts, mainframe, lignes de communication, imprimantes, serveurs de donnes, quipements rseau, antivirus et ordinateurs de bureau. La production informatique vise, pour sa part, les processus et contrles qui grent lenvironnement informatique. On citera, par exemple, ladministration de la scurit physique et logique, la sauvegarde et la rcupration des donnes, les plans de continuit et de reprise d'activit, les contrats de service, les contrles portant sur les changements de programme, ainsi que la conformit aux lois et rglementations. Enfin, les applications dsignent les logiciels utiliss pour traiter, stocker et communiquer les donnes relatives aux transactions, aussi bien les systmes dERP que les applications autonomes gres avec Microsoft Excel ou Access.
ces dysfonctionnements ne sont pas appliqus correctement, ou sils ne fonctionnent pas efficacement. De plus, les auditeurs garderont lesprit que tous les risques peuvent ne pas avoir la mme importance ou tre pondrs de la mme manire dans lunivers daudit des SI (la pondration permet de distinguer limportance relative dun risque par rapport aux autres). Ainsi, si un domaine a une incidence directe sur lexactitude de la communication financire, il devrait tre pondr plus fortement quun autre qui naffecte pas directement lexactitude de la communication financire. Daprs la publication Assessing Risk de lIIA Research Foundation9, on peut mesurer le risque et limpact suivant trois approches : 1. Estimation directe des probabilits et des pertes attendues, ou application de probabilits la valeur des actifs afin de dterminer le niveau potentiel de pertes. Ce processus est le plus ancien, et nest pas considr comme une bonne pratique. Si le secteur des assurances le pratique toujours, les auditeurs internes s'en abstiendront. 2. Facteurs de risques ou utilisation de facteurs observables ou mesurables afin de valoriser un risque spcifique ou une classe de risques. Ce processus est privilgier pour des valuations globales (macro) de risques, mais il nest pas particulirement efficace pour une valuation lmentaire (micro) de risques, sauf lorsque les caractristiques des units objets d'audit sont homognes sur lensemble de lunivers daudit : une succursale, un site ou une usine, par exemple. 3. Matrices pondres ou de classification, ou utilisation de matrices menaces vs composantes afin dvaluer les consquences et les contrles. Cette mthode est prfrable pour la plupart des valuations de risques lmentaires. Le prsent GTAG se concentrera exclusivement sur lapproche par les matrices pondres ou de classification pour mesurer le risque et son impact. Comme le montre le tableau
5.2 Hirarchiser les risques

Une fois achev linventaire de lunivers du SI, ltape suivante consiste valoriser les risques associs chacune des sous-catgories (infrastructure, production et applications) : il sagit de classer ces sous-catgories sur la base de la probabilit doccurrence des risques qui y sont associs, ainsi que de limpact que ces derniers pourraient avoir sur lorganisation sils se matrialisaient. Autrement dit, les auditeurs dtermineront les dysfonctionnements susceptibles d'intervenir pour chaque catgorie et en quoi lorganisation en sera affecte si les contrles visant grer ou attnuer
M F 3 2 1
chelle de probabilit
Probabilit leve que le risque survienne. Probabilit moyenne que le risque survienne. Faible probabilit que le risque survienne.
Tableau 1. chelle des risques doccurrence

9
The IIA Research Foundation, Assessing Risk, 2e dition, 2004.
15
1, cette approche utilise une mthode trs simple pour noter le risque, selon que la probabilit doccurrence du risque est leve (3), moyenne (2) ou faible (1). Si la probabilit doccurrence du risque est relativement simple tablir, il en va tout autrement quand il sagit de dterminer limpact si la menace se concrtise. En effet, limpact du risque peut comporter plusieurs aspects quantitatifs et qualitatifs. En outre, les diffrents aspects ne sont pas tous traits de la mme manire (certains risques sont plus importants que dautres). Daprs Assessing Risk 10, on distingue gnralement trois types de facteurs de risques : les facteurs de risques subjectifs, les facteurs de risques objectifs ou historiques, et les facteurs de risques calculs. 1. Les facteurs de risques subjectifs. Pour mesurer le risque et son impact, il faut mobiliser la fois de lexpertise, des comptences, de limagination et de la crativit. Cet accent plac sur les mesures subjectives est corrobor par la pratique : bien des units auditables voluent tellement entre deux audits que lhistorique des audits antrieurs napporte pas grand-chose. En consquence, le jugement cens mais subjectif dun praticien chevronn est tout aussi valide que nimporte quelle autre mthode. 2. Les facteurs de risques objectifs ou historiques. La mesure des tendances des facteurs de risques peut se rvler utile dans les organisations stables. Dans tous les cas, des informations objectives actualises sont utiles pour mesurer le risque. 3. Les facteurs de risques calculs. partir dinformations historiques ou objectives, on peut tablir la catgorie des facteurs de risques calculs, qui est un sous-ensemble de la catgorie prcdente. Ces facteurs sont souvent les plus dlicats utiliser car ils dcoulent de facteurs de risques en amont. En raison de ces facteurs de risques, les responsables de laudit interne et les auditeurs internes conoivent et appliquent un modle dimpact des risques qui correspond leur organisation. Ce modle doit tre analogue celui employ pour lvaluation des risques de lensemble de lorganisation. Cependant, lchelle du modle et la mthodologie de classement sont modifies pour chaque risque li aux SI. Comme le montre le tableau 2, et pour les besoins de ce GTAG, limpact de chaque composante est class selon une mthode trs simple de classement des risques (catgories leve, moyenne ou faible), comme pour la probabilit d'occurrence prsente au tableau 1. Le tableau 3 page 18 montre un exemple de rsultats dune valuation des risques : on a appliqu les chelles de probabilit et dimpact chacune des catgories de risques
chelle dimpact (fi fin nancier)

3 Le potentiel dimpact sur les recettes, les actifs, la rputation ou les parties prenantes de lorganisation est lev. Le potentiel dimpact sur les recettes, les actifs, la rputation ou les parties prenantes de lorganisation peut tre significatif pour le dpartement daudit, mais modr pour lensemble de lorganisation. Limpact potentiel sur lorganisation est dampleur et de porte limites.
Tableau 2. chelle modle de limpact des risques
(financiers, qualit du dispositif de contrle interne, changements dans les units daudit, disponibilit, intgrit et confidentialit). Pour chaque catgorie, on multiplie la valeur attribue la probabilit d'occurrence de la menace par celle affecte limpact ; le score pour chaque domaine est gal la somme de ces produits. Par exemple, pour les risques qui concernent le domaine de lapplication ERP et contrles gnraux, la somme des valeurs obtenues pour le produit de la probabilit et de limpact donne 42. La mme procdure est applique tous les autres domaines daudit envisageables. Sur la base de cette approche de la notation, le score le plus bas possible est 6 et le plus lev 54. Le tableau 4 montre les fourchettes de notes et les frquences des audits ou des revues qui y correspondent sur la base des ressources disponibles de lorganisation.
Fourchette des Niveau scores composites du risque

M F 35-54 20-34 6-19
Frquence recommande pour le cycle daudit

Tous les 1 2 ans Tous les 2 3 ans Tous les 3 5 ans
Tableau 4. Fourchettes de scores et frquences des audits et des revues correspondantes
5.3 Principaux cadres de gouvernance des SI

Jusqu prsent, ce guide sest concentr sur les diffrentes tapes ncessaires pour dfinir lunivers daudit des SI et mener une valuation des risques qui permette de dterminer ce quil convient dauditer et quelle frquence. Cette analyse ne sappuie pas sur un cadre de gouvernance des SI 16
10
The IIA Research Foundation, Assessing Risk, 2e dition, 2004.
en particulier, comme le COBIT, la norme ISO 27002 ou lITIL. Par consquent, il incombe au responsable de laudit interne de dterminer quelles parties de ces rfrentiels, ou dautres, rpondent le mieux aux besoins de lorganisation. Il importe de garder lesprit quaucun de ces cadres de rfrence nest applicable toutes les situations. Il sagit plutt de cadres que les organisations peuvent utiliser pour grer et amliorer les fonctions SI. Il sortirait du champ de ce GTAG de donner des indications sur les avantages et les inconvnients de ces rfrentiels, comme des autres modles de gouvernance des SI, mais nous proposerons un survol du COBIT. Depuis sa publication en 1996, le COBIT constitue un rfrentiel phare pour la gouvernance des SI. Sa mission est de concevoir, dvelopper, publier et promouvoir un ensemble dobjectifs de contrle de linformatique gnralement accepts correspondant ltat de lart, valables au plan international et qui fassent autorit, destination des gestionnaires et des auditeurs, pour leur usage quotidien11 . Formant un cadre et un ensemble doutils, le COBIT permet aux organisations de combler des lacunes en termes de contrles impratifs, de problmes techniques et de risques pour lorganisation, et de communiquer ce niveau de contrle aux parties prenantes. Le COBIT favorise galement la mise au point de politiques et de pratiques claires pour le contrle des SI12. En outre, le COBIT propose aux responsables de laudit interne et aux auditeurs internes un ensemble doutils sur lesquels ils peuvent sappuyer pour orienter le processus dvaluation des risques lis aux SI. Il propose, comme outils, un ensemble dobjectifs de contrle clairement noncs, des solutions pour tester les contrles, ainsi quune chelle pour classer la maturit de lenvironnement de contrle des SI. Le rfrentiel COBIT se compose de quatre domaines (planification et organisation, acquisition et mise en place, distribution et support, surveillance et valuation) avec un total de 34 processus relevant des SI. Comme pour nimporte quel cadre de contrle s'appuyant sur des bonnes pratiques, les auditeurs doivent procder avec prudence lorsquils utilisent ce cadre. Le responsable de laudit interne et les auditeurs internes doivent prendre en compte les concepts et orientations du cadre et les appliquer dans leur propre contexte. En dautres termes, le COBIT a t labor, puis affin au cours de la dernire dcennie avec laide dexperts de terrain, duniversitaires et de diffrents secteurs d'activit travers le monde. Il en rsulte un rfrentiel qui semble pouvoir fonctionner parfaitement dans une grande organisation, disposant dune fonction SI importante, mais qui peut fonctionner tout aussi bien dans les petites et moyennes organisations.
11 12
Toutefois, le responsable de laudit interne et lquipe daudit interne doivent avoir bien conscience que ce nest pas parce que la fonction daudit ne suit pas la lettre le cadre du COBIT que la DSI, ses processus ou ses donnes ne sont pas contrls ou grs correctement. Ils peuvent simplement se servir du COBIT comme dun guide utile durant lvaluation des risques lis aux SI, et ensuite laudit proprement dit. Dans le meilleur des cas, le responsable de laudit interne et lquipe daudit interne peuvent intgrer le COBIT lensemble des rfrentiels et directives relatifs aux contrles et aux risques, ainsi que pour aider la DSI mettre en uvre tout ou partie du rfrentiel.
COBIT, 3e dition, p. 1. COBIT 4.1, p. 8.
17
Risques lis aux SI Impact financier fin Qualit du Changements dispositif de dans lunit Disponibilit contrle daudit interne Score et niveau
Domaine
Intgrit
Confi fid dentialit
P
Contrles de lapplication ERP et contrles gnraux Systmes de transfer t lectronique de fonds Applications RH/paie Applications relatives aux avantages sociaux (externalises) Infrastructure SI Systmes de contr le des processus Administration et scurit des bases de donnes Administration et scurit sous UNIX Respect de la politique de confi fidentialit de lentreprise Administration et scurit des serveurs sous Windows Systmes de reporting environnemental Examen de la conformit la loi SOX Administration et scurit du rseau Pratiques de dploiement de lITIL 3
I
3
P
2
I
3
P
3
I
3
P
2
I
3
P
2
I
3
P
2
I
3 42
41
40
40
38
15
27
24
34
26
24
19
17
21
Pratiques de gouvernance des SI
12
Connectivit distance Contrle des changements apports aux programmes applicatifs Score le plus bas possible Score le plus lev possible Point intermdiaire P = Probabilit I = Impact
12
16
6 54 30
Tableau 3. Exemple de modle de notation pour la hirarchisation des risques lis aux SI
18
GTAG Formaliser le plan daudit des SI
6. Formaliser le plan daudit des SI

La dfinition de lunivers daudit des SI et la ralisation dune valuation des risques sont les tapes pralables qui permettent de dfinir ce quil faut inclure dans le plan daudit des SI. Alors que tous les lments de lunivers daudit pourraient tre examins priodiquement, lorsque les ressources disponibles sont illimites, tel nest pas le cas pour la plupart des fonctions daudit. Par consquent, le responsable de laudit interne doit crer un programme daudit tenant compte des contraintes du budget oprationnel de la fonction daudit et les ressources disponibles.
6.1 Contexte du plan daudit

La figure 4 montre en quoi ltape de lvaluation des risques diffre de celle de lidentification des audits qui seront inclus dans le programme daudit, ainsi que les difficults que cela pose. En thorie, chacune de ces tapes doit constituer un travail distinct parce que les objectifs et le thme trait sont diffrents. Dans lvaluation des risques, lobjectif est d'apprhender les risques dans un contexte relatif. La cible principale (axe central) en est donc le risque, tandis que les ressources disponibles peuvent constituer un facteur dterminant quant la ralit du travail effectu. Lors de la dfinition du programme daudit, lobjectif est dexaminer les domaines risque lev pour dfinir laffectation des ressources disponibles. Dans ce cas, les ressources constituent la cible, mais les risques reprsentent au final le facteur dcisif.
Dans la plupart des organisations, ces deux tapes fusionnent, dans une certaine mesure, comme le montre la surface de chevauchement des deux sphres reprsentant chaque processus dans la figure 4. Ainsi, certains risques ou domaines auditables peuvent tre exclus de lvaluation des risques sur la base du niveau de ressources qui peut tre requis pour laudit. Toutefois, il importe de raliser ces tapes de faon objective, en tenant compte des facteurs et des objectifs de chaque tape. En outre, le programme daudit des SI devra tre laborer dans le cadre du processus de planification stratgique de laudit interne. Ce processus est cyclique et peut tre intgr dans un cycle de management classique plan, do, check, and act (planifier, raliser, vrifier, ajuster). En consquence, alors que la programmation est le principal dispositif qui permet de mettre en uvre ce processus, elle dtermine la manire d'atteindre les objectifs daudit. Il convient en cela dy inclure une liste des activits daudit, le calendrier, les relations de dpendance et la rpartition de ressources ncessaires pour atteindre les objectifs daudit. Certaines normes de lIIA dcrivent la nature des services daudit interne et proposent des critres de qualit au regard desquels se mesure leur performance. Les critres de performance prsents dans les normes 2000 Gestion des services d'audit interne, sont tout fait adapts au processus de programmation de laudit : Norme 2010 Planification. Le responsable de laudit interne doit tablir une planification fonde sur les risques afin de dfinir des priorits cohrentes avec les objectifs de lorganisation.
OBJECTIFS DES VALUATIONS DES RISQUES ET DES PLANS DAUDIT

Prendre en compte les risques Allouer les ressources
valuation des risques Moteur = Risques Facteur dcisif = Ressources
Plan daudit Moteur = Ressources Facteur dcisif = Risques
Activits cls Obtenir auprs des parties prenantes des informations explicites. Identifier les risques pertinents. valuer les risques. Hirarchiser les risques.
Activits cls Prendre en compte lunivers des objets daudit potentiels. Affecter et rationaliser les ressources. Effectuer des rapprochements et finaliser le plan daudit.
Figure 4. Objectifs des valuations des risques et des plans daudit (source : Ernst & Young, 2007). 19
Norme 2020 Communication et approbation. Le responsable de laudit interne doit soumettre la direction gnrale et l'organe dlibrant son programme daudit et ses besoins, ainsi que tout changement important susceptible dintervenir en cours dexercice. Le responsable de laudit interne doit galement signaler limpact de toute limitation de ses ressources. Norme 2030 Gestion des ressources. Le responsable de laudit interne doit veiller ce que les ressources affectes cette activit soient adquates, suffisantes et mises en uvre de manire efficace pour raliser le programme daudit approuv.
tion des mission de conseil dans le plan daudit donne des informations sur la mission de conseil). Il faut donc que les responsables de laudit interne envisagent daccepter des projets de missions de conseil en se fondant sur la capacit de ces missions amliorer le management des risques, ajouter de la valeur la ralisation des oprations de l'organisation et en amliorer les conditions. Les missions acceptes seront intgres dans le programme daudit des SI.
6.3 Frquence des audits

En fonction des rsultats de lvaluation des risques, tous les domaines ne peuvent pas ou ne devront pas tre examins dans chacun des cycles daudit. Comme lindique le chapitre 5, la frquence des audits est dfinie sur la base dune valuation de la probabilit doccurrence et de limpact des risques en regard des objectifs de lorganisation. Les audits tant cycliques, des programmes daudit pluriannuels sont labors et prsents la direction gnrale et au comit daudit, pour examen et validation. On labore un plan pluriannuel, qui stend gnralement sur trois cinq ans, pour spcifier quels audits seront mens et quand, pour veiller ltendue adquate des travaux effectus sur cette priode et pour identifier les audits pouvant ncessiter des ressources externes spcialises, voire des ressources internes supplmentaires. De surcrot, la plupart des organisations tablissent un programme sur un an, qui dcoule du plan pluriannuel. Elles y noncent les activits daudit planifies pour lanne venir. Les auditeurs peuvent recourir lune des deux stratgies suivantes pour dterminer la frquence idale des activits daudit planifies13: La frquence des audits est dtermine daprs une valuation initiale des risques, tous les trois cinq ans, et elle est proportionne au niveau de risque. Le plan daudit sappuie sur une valuation des risques en continu, sans quune frquence des audits ne soit prdfinie. Certaines organisations appliquent
13
6.2 Demandes des parties prenantes

Tout au long de llaboration du programme daudit des SI, les auditeurs internes devront discuter avec les principales parties prenantes afin de mieux prendre en compte lactivit et les risques de lorganisation. Ces discussions leur permettront de rassembler des informations sur lorganisation, ainsi que sur les ventuelles proccupations exprimes par ces parties prenantes. Cest aussi loccasion de prendre connaissance des demandes spcifiques de missions de conseil et dassurance, adresses laudit et appeles ci-aprs demandes des parties prenantes . Les demandes des parties prenantes peuvent maner du Conseil dadministration, du comit daudit, des cadres dirigeants ou des responsables dexploitation. Elles doivent tre prises en compte au cours de la phase de planification de laudit, en fonction de la capacit de la mission amliorer le management global des risques et lenvironnement de contrle de lorganisation. Il se peut que ces demandes soient suffisamment prcises pour que lon puisse dterminer lallocation des ressources ncessaires, ou que lallocation des ressources se fonde sur les travaux daudit prcdents. Ces missions peuvent galement comporter des enqutes sur des soupons de fraude qui peuvent survenir de manire inopine et des demandes dexamen des activits de prestataires de services (la Norme 2010.C1 Intgra-
Brinks Modern Internal Auditing, 6e dition, 2005, p. 292.
Priorit
Action immdiate gnralement dans la premire anne Action moyen terme durant le cycle daudit Missions gnralement non planifies durant le cycle daudit
Frquence
Examens annuels ou actions multiples durant le cycle daudit Une ou plusieurs missions daudit durant le cycle daudit peuvent tre diffres Au maximum une mission planifie dans le cycle daudit
Allocation des ressources

Allocation substantielle
Allocation de base
Allocation limite
Tableau 5. Frquence des audits et allocation des ressources ncessaires
20
cette mthode, qui est particulirement approprie dans le contexte du plan daudit des SI, tant donn que les SI voluent plus rapidement que dautres domaines. Le tableau 5 prsente des critres qui peuvent servir dterminer la frquence et lallocation des ressources en fonction des rsultats de lvaluation des risques. Ce processus doit tre compris comme une squence dactivits, cyclique, rptitive et itrative, comportant une approche descendante avec au moins trois niveaux : Niveau 1, lunivers daudit o toutes les donnes dentre sont intgres. Niveau 2, les diffrents processus de lorganisation o il convient didentifier et de planifier, au pralable, les missions daudit. Niveau 3, les missions daudit o lon peut affiner et optimiser le plan. Outre la frquence des audits, llaboration du programme daudit prendra en compte dautres facteurs : Stratgies de sous-traitance de laudit interne. Il est courant de mettre en uvre diffrentes stratgies dexternalisation ou daccroissement des effectifs, notamment lembauche de personnel interne, lexternalisation et le co-sourcing, quil faut envisager au cours du processus de planification annuelle. Estimation des ressources disponibles pour laudit des SI. Il sagit dinventorier les comptences techniques disponibles et d'en rapprocher les rsultats avec les besoins daudit des SI. La disponibilit des ressources est gnralement dtermine sur une base annuelle et repose la fois sur le nombre dauditeurs ETP (quivalent temps plein) et sur les comptences ncessaires. Les jours daudit disponibles correspondent la diffrence entre le nombre de jours daudit, fonction du potentiel nominal, et les activits non lies laudit ou les priodes non travailles, telles que le temps de formation, les congs pays et les jours fris. Les demandes du Conseil d'administration et de la direction gnrale incluses dans le programme et portant sur le contrle des services dassurance et de conseil. Lobligation de se conformer la rglementation et aux autres dispositions en vigueur. Cette obligation sera incluse dans lunivers daudit et dans lvaluation des risques. Les audits externes synchroniser avec le plan daudit. La Norme de fonctionnement 2050 Coordination indique : Afin dassurer une couverture adquate et dviter les doubles emplois, le responsable de laudit interne devrait partager des informations et 21
coordonner ses activits avec les autres prestataires internes et externes dassurance et de conseil. Les initiatives et efforts internes destins amliorer la fonction daudit. Tout ce qui va au-del des missions daudit et constitue un investissement a besoin dtre planifi, budgtis et prsent dans le plan daudit. Exemples : revue de lassurance qualit, valuation intgre des risques, communication au comit daudit, suites donnes aux recommandations de laudit. La mise en rserve dun budget et dun programme daudit des SI, permettant de faire raisonnablement face des situations non prvues.
6.4 Principes relatifs au plan daudit

Lorsque les auditeurs internes dfinissent les principes relatifs au plan daudit, ils doivent prendre en compte la MPA 2010-1 La prise en compte des risques et des menaces pour llaboration du plan daudit : 1. En laborant le plan daudit interne, la plupart des responsables de laudit interne choisissent dabord de dvelopper ou dactualiser lunivers daudit, cest-dire une liste de tous les audits pouvant tre raliss. [] 2. Lunivers daudit peut intgrer certaines composantes du plan stratgique de lorganisation, [] afin de reflter les objectifs globaux [] et lattitude de lorganisation face au risque et le degr de difficult que comporte la ralisation des objectifs fixs. [] 3. Le responsable de laudit interne prpare le plan daudit interne partir de lunivers daudit, des contributions de la direction gnrale et du Conseil, dune valuation des risques et des menaces pouvant affecter lorganisation. [] 4. Lunivers et la planification daudit sont mis actualiss afin dintgrer les changements dorientation, dobjectifs et de priorit dcids par la direction gnrale [], au minimum une fois par an. [] 5. Le plan des missions daudit est tabli, entre autres, sur la base dune valuation des principaux risques et menaces. Il convient de dfinir des priorits de faon affecter les ressources, et il existe divers modles de risques pour aider le responsable de laudit interne dans cette tche. []
6.5 Le contenu du programme daudit des SI

Le contenu du programme daudit des SI refltera directement lvaluation des risques dcrite dans les sections
prcdentes. Le plan prsentera galement diffrents types daudit des SI, par exemple les suivants : Audits intgrs des processus de lorganisation. Audits des processus SI (audits de la stratgie et de la gouvernance des SI, audits des efforts dploys pour la gestion des projets, activits, politiques et procdures de dveloppement des logiciels, processus COBIT/ISO/ITIL et scurit de linformation, gestion des incidents, gestion des changements, gestion des patchs et assistance). Audits des projets de lorganisation et des initiatives portant sur les SI, notamment les revues du cycle de dveloppement des logiciels. Revues au titre des contrles applicatifs. Audits de linfrastructure technique (revues de la gestion de la demande, valuations de la performance, valuations des bases de donnes, audits des systmes dexploitation, analyses des oprations, etc.). Audit du rseau (examen de larchitecture du rseau, tests d'intrusion, valuation des vulnrabilits et de la performance). Afin de vrifier que ltendue de chaque audit est adquate, les auditeurs peuvent se pencher sur les aspects suivants : Contrles gnraux des SI, contrles applicatifs et contrles de linfrastructure. Contributions aux revues oprationnelles, aux revues des aspects financiers et aux examens de conformit. Principaux objectifs des contrles (sparation des tches, concentration des tches et scurit, entre autres). Nouvelles tendances des SI et menaces induites, innovations et impact. Toutes les couches SI.
examiner divers scenarii dintgration, allant dun scnario de faible intgration, dans lequel la fonction daudit des SI est bien dfinie et tablie au sein du service daudit interne (avec un univers et une tendue qui lui sont propres) un scnario daudit entirement intgr, o toutes les composantes des SI sont bien prises en compte, pour chaque segment de lorganisation. Le tableau 6 illustre des scenarii reposant sur diffrentes options dintgration du plan daudit des SI : Un plan daudit faiblement intgr. Il sagit dun plan autonome daudit des SI, plac sous la responsabilit de lquipe daudit des SI. Un plan faiblement intgr est organis par domaines associs aux SI, gnralement spar des activits non lies laudit des SI et inclut la revue des applications. Le plus souvent, le champ de ces autres activits nenglobe aucune des composantes des SI. Un plan daudit partiellement intgr, nonant les missions daudit des SI dfinies par une quipe centrale daudit des SI. Ce type de plan comporte un ensemble supplmentaire de missions planifies, que lon appelle habituellement des revues dapplications et qui sont rparties entre dautres quipes daudit non spcialises dans les SI et coordonnes avec les revues dautres processus de lorganisation. Un plan daudit fortement intgr, dans lequel les activits daudit des SI font partie intgrante des missions portant sur les processus de lorganisation. Souvent, les activits daudit des SI sont planifies sous la responsabilit dune quipe pluridisciplinaire dont les membres disposent dun ensemble quilibr de comptences, notamment dun savoir-faire en audit des SI. tant donn quun systme de contrle interne comporte gnralement des contrles manuels et des contrles automatiss, avec un recours accru aux contrles applicatifs, la capacit de dfinir ltendue de laudit de faon prendre en compte tous les contrles est essentielle pour une valuation globale de lenvironnement de contrle. Un audit complet, incluant une revue de tous les lments des SI, offre lopportunit dvaluer si la combinaison des contrles permet de rduire les risques de lorganisation.
6.6 Intgration du programme daudit des SI

Lun des volets essentiels du processus de planification est la dfinition du degr dintgration du plan daudit des SI aux autres activits du service daudit. Comme lexplique le paragraphe 4.7, les auditeurs dterminent quelle entit daudit sera charge de planifier et de surveiller les audits des applications mtier. Cette analyse pourrait tre largie toutes les composantes des SI. Par exemple, le plan daudit des SI sera-t-il prsent et excut de manire autonome ou des objets daudit lis aux SI seront-ils intgrs dautres domaines de lorganisation ? Pour rpondre cette question, il faut prendre en compte la fonction daudit interne, ainsi que le personnel, la taille, la rpartition gographique et le mode de management de ce service. On pourrait ainsi 22
6.7 Validation du programme daudit

Il nexiste malheureusement pas de test direct permettant de vrifier que le plan daudit est adquat et son efficacit potentielle maximale. Les auditeurs devront donc disposer de critres pour valuer l'efficience de ce plan en regard de ses objectifs. Comme nous lavons vu prcdemment, le plan daudit inclura les audits fonds sur le risque,
les domaines daudit obligatoires et les demandes de la direction gnrale relatives des activits dassurance et de conseil. Lun des objectifs de la phase de planification tant dallouer des ressources aux domaines dans lesquels laudit interne peut crer le plus de valeur ajoute, comme aux domaines des SI induisant le plus de risques, les auditeurs dtermineront la manire dont le programme pourra reflter cet objectif. La figure 5 (p.24) illustre ce quoi aspirera laudit. Daprs ce schma, tant donn que tous les objets et missions daudit sont reprsents en fonction de la probabilit et de limpact des risques qui y sont associs, lensemble des quadrants du schma refltent tous les audits possibles. Dans les cases en gris, on trouve la slection idale daudits et de missions : le programme daudit se compose majoritairement des audits correspondant au quadrant du schma rassemblant les risques les plus levs, et les autres audits sont slectionns, de faon proportionnelle, dans les quadrants du schma qui correspondent un risque moyen ou faible. De plus, une partie des audits porteront sur la conformit et sur les domaines daudit obligatoire. Par consquent, les auditeurs noteront que, mme sil existe des raisons valables dinclure dans le plan des audits associs un risque faible, il convient denvisager dautres stratgies daudit, telles que lauto-valuation des contrles, afin de limiter les ressources ncessaires la revue.
peuvent amener dfinir un nouvel ensemble dobjectifs pour les SI, ce qui dbouche sur de nouvelles initiatives, acquisitions ou transformations dans le domaine des SI, ou des changements visant rpondre aux besoins de lorganisation. Lors de llaboration du plan daudit, il importe donc de prendre en considration le caractre dynamique et volutif de l'organisation. Plus prcisment, les auditeurs devront alors tenir compte du rythme de changement des SI, plus rapide que celui des autres activits, de ladquation du calendrier de dveloppement dun systme avec le rsultat des audits de ce cycle de dveloppement. Les auditeurs tiendront compte de lorigine spcifique du changement. Ainsi, le plan daudit des SI pourrait tre rvis en raison des phnomnes suivants : volution des ressources stratgiques, organisationnelles ou humaines. Nouvelles initiatives portant sur les processus de lorganisation, notamment lutilisation dune technologie haut risque, telle que le commerce lectronique. Changements majeurs dans les applications : par exemple, adoption dune nouvelle version dune application de commerce en ligne. Adoption de suites logicielles de support et dadministration prsentant un caractre critique. Menaces sur le rseau et sur les infrastructures, qui imposent de rvaluer la gestion de la scurit de linformation. En consquence, il faut priodiquement rexaminer les priorits du programme daudit des SI et, au besoin, en rendre compte au Conseil d'administration et la direction gnrale plus frquemment que pour dautres domaines daudit plus classiques et plus statiques. Laudit des SI devra
6.8 La nature dynamique du programme daudit des SI

La technologie ne cessant dvoluer, lorganisation se retrouve confronte de nouveaux risques, vulnrabilits et menaces. De surcrot, les changements technologiques
Univers daudit
Processus Oprationnels Financiers Conformit Systmes applicatifs Contrles applicatifs Contrles gnraux des SI Contrles de linfrastructure SI Bases de donnes Systmes dexploitation Rseau Tableau 6. Audit des SI et audit intgr
Plan daudit faiblement intgr
Plan daudit partiellement intgr
Plan daudit fortement intgr
Audit ne portant pas sur les SI
Audit ne portant pas sur les SI
Approche intgre
Audit des SI
Approche intgre
Approche intgre
Audit des SI
Audit des SI
Approche intgre
23
Risque vise
Domaines daudit obligatoire Risque valu
RESSOURCES DAUDIT lev Impact du risque
Univers daudit global Envisager une autre stratgie daudit Faible
Probabilit
Figure 5. Rsultats daudit viss. galement analyser les changements de lunivers daudit des SI et se montrer suffisamment souple pour adapter son programme aux nouvelles situations. De surcrot, il convient de rvaluer le plan priodiquement et de faire montre dune plus grande flexibilit pour ragir aux volutions de lactivit et des environnements de SI en ajustant le classement et lordre de priorit des audits planifis. Enfin, il est essentiel que le plan mette en relation chaque lment de lunivers daudit des SI avec lune des phases suivantes du cycle de dveloppement des logiciels : tude de faisabilit, analyse, conception, implmentation, tests, valuation, maintenance et production. La valeur ajoute apporte par une fonction daudit interne dpend largement de la qualit des recommandations de cette fonction et des effets positifs que lorganisation peut retirer de leur mise en uvre. Ainsi, il est souvent directement bnfique de remdier aux problmes de conformit lies aux rgles financires/montaires. En revanche, il peut tre indirectement bnfique de contribuer amliorer la rputation, lavantage concurrentiel, la maturit des processus et la capacit dinnovation dune organisation. Le facteur temporel est lune des principales caractristiques des recommandations de laudit qui influent sur la valeur ajoute. Il est important durant tout le cycle des applications des SI. En gnral, plus on identifie tt une faiblesse ou un risque dans le cycle de vie des logiciels, plus les recommandations de laudit creront de la valeur ajoute. Ainsi, le cot de mise en uvre d'une modification majeure destine remdier la faiblesse dune application critique est nettement plus lev quand le systme est en production que lorsque la mme faiblesse est traite au cours de la phase de conception.
Outre la valeur ajoute qui dcoule de la qualit des recommandations de laudit, le professionnalisme de lauditeur interne sen trouve davantage reconnu. La fonction daudit interne dterminera ensuite comment planifier ses travaux pour formuler le bon type de recommandations dans un dlai optimal par rapport la dure du cycle de dveloppement En principe, la stratgie de planification sera dploye avant le dbut du cycle, afin que des actions appropries puissent tre planifies en termes de temps et de ressources. Il est impratif que le plan daudit des SI parvienne quilibrer les travaux daudit sur lensemble du cycle, de faon viter la concentration des efforts sur la phase de maintenance et de production, et dlimiter un champ daudit adquat durant les phases initiales. En suivant ces recommandations, les organisations pourront passer dune stratgie classique de planification traditionnelle et a posteriori (cest--dire reposant principalement sur les activits oprationnelles, la conformit et les aspects financiers) une approche plus innovante, source de valeur ajoute et par nature plus consultative.
6.9 Communiquer, obtenir le soutien de la direction et faire approuver le programme daudit

Le service daudit interne prsente le programme daudit la direction gnrale et au comit daudit. Daprs la Norme 2020, il doit, en particulier, informer ces instances du niveau de ressources requis, de tous les remplacements significatifs susceptibles dintervenir en cours dexercice et de limpact potentiel dune limitation de ses ressources14. Il importe galement que le volet SI du programme daudit interne ou que le programme daudit du SI fasse lobjet dune discussion avec la direction gnrale et l'organe dlibrant, ainsi quavec les principaux acteurs impliqus travers le SI, telles que le DSI, les directeurs de la production et des dveloppements, les cadres de la DSI, les propritaires d'application et dautres membres du personnel exerant des fonctions analogues. La contribution de ces parties prenantes est cruciale pour le succs de la planification de laudit comme devant permettre aux responsables de laudit interne et aux auditeurs internes de mieux cerner lenvironnement de lorganisation, didentifier les risques et les proccupations et de slectionner les domaines daudit. De plus, le dialogue sur le programme daudit dfinitif aidera valider la contribution des parties prenantes tout au long du processus et donnera un premier aperu des travaux mener. Les auditeurs discutent du plan daudit des SI avec les principaux responsables, les gestionnaires et le personnel
14 Internal Auditing: Assurance & Consulting Services (2007), Kurt F. Reding et al., ISBN 978-0-89413-610-8, p. 8-11.
24
charg des SI de faon obtenir leur soutien. La comprhension, la coordination et le soutien de lquipe charge des SI rendront le processus daudit plus efficace et plus efficient. De plus, la connaissance anticipe du programme facilite un dialogue franc et permanent, qui permet de discuter de lvolution des risques et de lenvironnement oprationnel, chaque tape de la ralisation du plan d'audit, et de procder des ajustements en continu. Linteraction avec les clients lors de lvaluation des risques et avant lapprobation du plan daudit final est fondamentale pour la qualit globale du plan.
25
GTAG Annexe : Exemple dune entreprise fictive
7. Annexe : Exemple dune entreprise fictive

Lexemple prsent dans ce chapitre illustre la faon dintgrer les lments servant planifier laudit des SI, qui sont analyss dans les sections prcdentes. Il sagit dtapes qui peuvent tre universellement suivies, mais, dans cet exemple, les objets daudit et les rsultats de lvaluation des risques revtent un caractre gnral.
Systmes de production : - Responsable des systmes utiliss sur les sites de production. - Applications locales, incluant la gestion de la paie pour les sites hors tats-Unis, les bases de donnes pour la recherche et le contrle de la qualit, le reporting environnemental et les systmes de contrle des processus de production. - Analyse financire et contrles financiers. Stratgie et gestion des risques : - Contrats, achats et licences. - Stratgie, architecture et normes. - Services de scurit. - Changement au niveau des SI et gouvernance des SI. - Bureau de gestion des projets. Les sites de production forment le cur de lorganisation. tant dissmins travers le monde et nayant pas tous la mme capacit, ils induisent des risques susceptibles dinfluer sur les fondamentaux et sur les aspects financiers de lentreprise. Qui plus est, mme si ces sites de production constituent un modle dentreprise lgrement dcentralis, la composante globale et les composantes de service centralises offrent lopportunit de raliser des audits axs sur les processus dans plusieurs fonctions de lentreprise la fois. En ce qui concerne la conformit, lorganisation relve de la lgislation des tats-Unis et de la lgislation europenne, notamment de la loi Sarbanes-Oxley, de la directive europenne sur la protection des donnes caractre personnel, du Foreign Corrupt Practices Act (tats-Unis) et dautres dispositions applicables aux sites sur lesquels elle opre. Daprs son plan dactivit (business plan) annuel, lentreprise a plusieurs grands projets dinvestissement en cours qui auront un impact considrable sur sa comptitivit venir. Enfin, la fonction SI est bien harmonise avec le modle dactivit. Cette socit utilise un groupe dapplications relativement homogne, dont une application ERP standard, une infrastructure globale de serveurs et de rseaux, ainsi que des processus dappui standard pour la mise disposition de services de SI, la gouvernance et la scurit.
7.1 Lentreprise
Notre entreprise fictive est cote en Bourse. Elle produit et fournit des matires premires mises en uvre par des fabricants de biens de consommation sur diffrents marchs dans le monde. Voici son profil : Total des actifs : 7 milliards de dollars. Socit base aux tats-Unis. Trente sites de production dans sept pays : Arabie saoudite, Belgique, Chine, Core du Sud, tats-Unis, Qatar et Singapour. Six centres de recherche, de technologie et de contrle de la qualit, sur chaque site de production. Cinq mille salaris dans le monde. Cinq grands concurrents. Prs de 3 000 brevets nationaux et internationaux et demandes de brevet. Trois principales directions oprationnelles pour la fabrication des diffrentes lignes de produits, sige centralis et entits fournissant des services support. Trois gros projets dinvestissement destins renforcer et toffer la capacit de production. De plus, lorganisation centralise des SI de cette entreprise comporte quatre divisions de base : Infrastructure globale : - Tlcommunications. - Communications vocales. - Rseaux. - Connexion distance. - Informatique de bureau et Internet. - Gestion du cycle de vie de linformation. - Serveurs. Applications dentreprise : - Une grande application ERP utilise dans toute lentreprise pour la gestion de la chane logistique, la comptabilit gnrale, les ressources humaines (bases aux tats-Unis), la vente et la distribution. - Support technique SAP et programmation ABAP (Advanced Business Application Programming).
7.2 Le plan daudit des SI

La description ci-dessus permet didentifier un univers daudit des SI dont dcoule une liste gnrale des domaines daudit envisageables et qui informe la direction sur lefficacit de lenvironnement de contrle et des oprations de lentreprise.
26
Comme indiqu dans les paragraphes prcdents, la composante globale et les composantes de service centralises offrent lopportunit de dfinir des objets daudit globaux axs sur les processus. Lapplication ERP centralise, les domaines support de linfrastructure globale et les processus standard mettant disposition des prestations informatises sont de bons candidats pour des objets daudit indpendants, couvrant de larges pans du risque associ aux SI. Les sites de production sont galement reprsents dans lunivers daudit des SI par des objets daudit faisant partie dapplications supportes localement et par une infrastructure sous-jacente (note, pour simplifier, site 1-30 dans le tableau 7). Ces objets daudit sont susceptibles de correspondre aux audits des processus, sur chaque site. Le tableau 7 prsente un exemple dunivers daudit constitu de thmes daudit des SI envisageables pour lentreprise. On trouve ces objets daudit, et dautres, dans chacun des 30 sites de production.
Aprs avoir dfini lunivers daudit des SI un niveau lev, il faut ensuite valuer les risques de lentreprise et les risques associs aux SI dans chaque domaine. Les catgories de risques sont values daprs leur probabilit doccurrence et limpact quelles auraient sur lorganisation si le management des risques ntait pas appropri. Cette approche fonde sur les risques recourt un classement relatif (tableau 8). On peut, par exemple, utiliser une chelle de notation trois degrs pour lvaluation de la probabilit et de limpact :
chelle de probabilit
M F 3 2 1 Probabilit leve que le risque survienne Probabilit moyenne que le risque survienne Faible probabilit que le risque survienne
Directions mtiers
Composante globale Composante globale Composante globale Composante globale Composante globale Composante globale Composante globale Composante globale Composante globale Composante globale Composante globale Segment dactivit 1-3 Site 1-30 Site 1-30 Site 1-30
Sujet daudit
Administration et scurit du rseau Connexion distance Administration et scurit des serveurs sous Windows Administration et scurit sous UNIX Contrles de lapplication ERP et contrles gnraux Revue de la conformit la loi SarbanesOxley Respect de la politique de confidentialit de lentreprise Administration et scurit des bases de donnes Pratiques de gouvernance des SI Pratiques de dploiement de lITIL Contrle des changements apports aux programmes applicatifs Grands projets dinvestissement (protection de linformation et conformit de lentreprise, notamment) Infrastructure SI Application RH/paie Systmes de contrle des processus M 2
chelle dimpact (fi fin nancier)

3 Impact potentiel important sur le rsultat, les actifs, la rputation ou les parties prenantes de lorganisation. Limpact potentiel peut tre significatif pour lunit audite, mais modr pour lorganisation dans son ensemble. Limpact potentiel sur lorganisation est minime ou dampleur limite.
Tableau 8. chelle de notation trois degrs pour lvaluation de la probabilit et de limpact
Pour faciliter lanalyse, on slectionne une fourchette indiquant le niveau de risque (lev, moyen ou faible) :
Fourchette des scores composites du risque 35-54
Niveau
Frquence recommande pour le cycle daudit Tous les ans ou tous les 2 ans
20-34
Tous les 2 3 ans
6-19
Tous les 3 5 ans
Tableau 9. Niveau de risque
Pendant la phase dvaluation des risques, les auditeurs ont dfinir une frquence recommande pour lexamen des objets daudit qui font partie de lunivers daudit, en fonc27
Tableau 7. Lunivers daudit des SI
tion de la fourchette des scores composites du risque : les objets daudit risque lev seront examins tous les ans ou tous les deux ans, les sujets risque moyen tous les deux
trois ans, et les sujets risque faible tous les trois cinq ans. Les domaines risque lev pourront ainsi tre examins frquemment et ceux risque faible couverts de manire
Risques lis aux SI Impact financier fin Qualit du dispo sitif de contrle interne Changements dans lunit daudit Sco re et niveau
Domaine
Disponibilit
Intgrit
Confi fid dentialit
P
Contrles de lapplication ERP et contrles gnraux Systmes de transfer t lectronique de fonds Site 3 - Applications RH/paie Applications relatives aux avantages sociaux (externalises) Site 3 - Infrastructure SI Site 3 - Systmes de contrle des processus Administration et scurit sous UNIX Respect de la politique de confi fid dentialit de lentreprise Administration et scurit des bases de donnes Administration et scurit des ser veurs sous Windows Site 1 - Infrastructure SI 3
I
3
P
2
I
3
P
3
I
3
P
2
I
3
P
2
I
3
P
2
I
3 42
41
40
40
38
39
35
M/
34
M/
27
26
23
Site 1 - Systmes de contrle des processus Systmes de reporting environnemental Site 2 Infrastructure SI Grands projets dinvestissement Contrle des changements apports aux programmes applicatifs Examen de la conformit la loi SOX
27
24
23
25
23
22
28
GTAG Annexe : Exemple dune entreprise fictive (suite)
Risques lis aux SI Impact financier fin Qualit du dispositif de contrle interne Changements dans lunit daudit Score et niveau
Domaine
Disponibilit
Intgrit
Confi fid dentialit
P
Administration et scurit du rseau Site 2 - Systmes de contrle des processus Pratiques de dploie ment de lITIL Site 2 - Applications RH/paie Site 30 - Applications RH/paie Site 1 - Applications RH/paie Site 30 Infrastructure SI Site 30 - Systmes de contrle des processus Pratiques de gouvernance des SI Connectivit distance 2
I
2
P
2
I
1
P
2
I
2
P
2
I
2
P
2
I
2
P
2
I
2 22 M
19
M/F
19
M/F
19
M/F
17
17
12
15
1 1
1 1
2 1
2 2
1 2
1 1
3 1
1 1
1 1
1 2
1 2
2 2
12 12
F F
P = Probabilit I = Impact
Tableau 10. Lanalyse de risque
adquate tous les trois cinq ans. Le tableau 10, page 28, donne un exemple des rsultats dune analyse de risques. Lorsque les rsultats de l'analyse de risques sont disponibles, ltape suivante consiste formaliser le plan daudit. Comme indiqu dans le chapitre 6, le programme daudit se compose de projets daudit fonds sur les risques, dexamens obligatoires de la conformit, de demandes des parties prenantes et daudits de suivi des problmes significatifs dj identifis. Ces tches devant tre ralises avec les ressources daudit interne disponibles, il se peut que certains projets daudit ax sur les risques ne soient pas intgrs dans le plan daudit. Poursuivons notre exemple dentreprise fictive : le Conseil d'administration de cette entreprise a demand au service daudit des SI de prendre part la coordination dun test d'intrusion sur une infrastructure externe, et les responsables de lexploitation ont souhait obtenir lassurance que la conformit du management la loi Sarbanes-Oxley tait examine dans toute lorganisation. De plus, la DSI a
demand au service d'audit interne de participer au projet de dploiement de lITIL afin de dterminer si les processus de prestation de services taient efficaces et couvraient tous les risques. Ces demandes manant de tierces parties sont acceptes parce quelles entrent dans le cadre de la mission du service daudit interne, et elles seront automatiquement intgres au programme daudit. En outre, laudit des processus dachat, ralis lanne prcdente, ayant fait apparatre un important problme concernant la sparation des tches, un audit de suivi sera ajout dans le plan daudit afin de veiller ce que les actions correctives progressent comme prvu. Enfin, la conformit de la nouvelle politique globale relative la protection des donnes personnelles fera, elle aussi, partie du programme daudit, car il existe des projets de transmission des donnes personnelles entre les sites hors tats-Unis et le sige amricain. Lentreprise dispose dune quipe de cinq auditeurs pour les SI, soit environ 1 000 jours disponibles pour les missions,
29
compte tenu des priodes non travailles et de formation. Le tableau 11 prsente le programme daudit le plus efficace daprs lvaluation des risques associs aux objets daudit disponibles, aux domaines daudit obligatoire et aux demandes des tierces parties. Plusieurs objets daudit
risque lev nont pas t inclus dans ce plan (notamment les systmes de transfert lectronique de fonds, les systmes de contrle des processus et ladministration et la scurit des bases de donnes) parce quils ont t examins au cours des 12 derniers mois.
Mission
Coordination du test d'intrusion Suivi de lapplication relative aux achats Contrles de lapplication ERP et contrles gnraux Site 3 Application RH/paie Applications relatives aux avantages sociaux du personnel (externalises) Site 3 Infrastructure SI Administration et scurit sous UNIX Respect de la politique de confidentialit de lentreprise Administration et scurit des serveurs sous Windows Site 1 Infrastructure SI Site 1 Systmes de contrle des processus Systmes de reporting environnemental Grands projets dinvestissement Conformit la loi Sarbanes-Oxley Pratiques de dploiement de lITIL Total * Demande de la direction
Niveau de risque
* * M/ M/ M M M M M M/* F/*
Cycle
0 0 1 2 3 2 1 3 3 3 3 3 3 3 4
Jours daudit allous

40 20 100 30 100 90 90 40 90 90 90 30 30 120 40 1000
Tableau 11. Le plan daudit
Le plan daudit prsent dans le tableau 11 constitue une perspective idale, tant donn le profil du service daudit interne, sa comprhension des stratgies et des objectifs de lentreprise, sa connaissance de lhistorique de lenvironnement de contrle et les changements devant intervenir dans les processus opratoires au cours de la campagne daudit venir. Le plan est examin avec la direction gnrale et les 30
responsables oprationnels, dans le cadre dune discussion faisant suite aux phases dvaluation des risques et de planification des audits. Cet examen permettra de vrifier que la contribution du management a t prise en compte de manire prcise dans le processus et donnera aux managers un premier aperu du programme daudit des SI pour lanne venir.
Cest aussi lors de cet examen quil convient de discuter des dates des missions daudit potentielles, car lentreprise est susceptible de connatre des priodes darrt total en raison dune possible interruption de ses oprations. Il faut, par exemple, discuter des dates prvues pour la mise en uvre des extensions de linfrastructure, ainsi que des calendriers relatifs aux activits oprationnelles les plus importantes, telles que les rorganisations ou les fermetures dusines, qui pourraient influer sur le processus daudit. Une fois que le plan a t finalis, la ralisation des audits et la mobilisation correspondante des ressources disponibles sont planifis. Il faut gnralement dsigner des auditeurs disposant des comptences requises, afin d'assurer le succs de la mission. Cependant, la programmation des audits est aussi une bonne opportunit de rpondre aux besoins de dveloppement du personnel en menant des audits qui largiront et tofferont tel ou tel domaine de comptence. Enfin, tant donn la nature dynamique de lorganisation, certains changements pourraient influer sur le programme et le calendrier daudit. Cest pourquoi, il est essentiel de mettre en place un plan efficace, de le grer sur toute sa dure et de sadapter aux mutations de lentreprise, de faon ce que les ressources restent axes sur les domaines prsentant un risque et, mme si ces domaines voluent, sur les proccupations de lorganisation.
31
GTAG Glossaire
Glossaire
Activits de conseil : Conseils et services y affrents convenus avec le client afin damliorer le gouvernement dentreprise, le management des risques et lenvironnement de contrle dune organisation. Cadre de rfrence (rfrentiel) : Principes directeurs formant un modle que les organisations peuvent utiliser pour valuer leurs pratiques. Code dun programme applicatif : Ensemble de programmes informatiques, fichiers de contrle, tables et interfaces utilisateur qui confrent une fonctionnalit oprationnelle des processus spcifiques, telles que la comptabilit, la paie ou les achats. Conformit : Acceptation et respect de la lgislation et de la rglementation en vigueur, incluant galement ladhsion aux rgles, plans, procdures, contrats et autres exigences. Environnement de contrle : positionnement de la direction gnrale et de l'encadrement en regard de l'importance qu'ils attachent au dispositif de contrle de l'entreprise. L'environnement de contrle constitue le cadre et la structure ncessaires la ralisation des objectifs primordiaux du systme de contrle interne. valuation des risques : Mthode visant dterminer la probabilit d'occurrence dun vnement susceptible dempcher lorganisation datteindre ses buts et objectifs de manire efficace, efficiente et matrise. Fonction daudit interne : Service, division, quipe de consultants ou autres intervenants menant, de manire objective et indpendante, des travaux d'valuation et de conseil, destines crer de la valeur ajoute et amliorer les oprations dune organisation. Infrastructure SI : Composantes cls de linfrastructure technique dune application, notamment le code logique de ses programmes, la base de donnes, le systme, le rseau et lenvironnement physique de chaque composante. Management des risques (gestion des risques) : Processus de management destin prendre en compte et traiter les incertitudes qui pourraient altrer la capacit de lorganisation atteindre ses objectifs. Normes : codification des processus o procdures en vigueur dans lentreprise, dont lapplication est obligatoire et qui donne des orientations sur la faon de se conformer la politique laquelle la norme est associe. Les normes relatives aux SI sont, en gnral, technologiquement neutres et peuvent tre scindes en contrles spcifiques aux SI et en directives gnrales. Politique : Dclaration crite indiquant lintention, les objectifs, les exigences et les responsabilits du management. Processus : Un ensemble dactivits de lentreprise lies les unes aux autres en vue de la ralisation dun objectif commun. Progiciel de gestion intgr (Enterprise resource planning ERP) : Grandes applications informatiques qui grent la totalit d'un processus Elles intgrent ainsi des activits comme celles relatives aux achats, aux stocks, la vente, la distribution, aux ressources humaines et au service client, ainsi qu la gestion financire et dautres aspects organisationnels. Projets de mise en place de systmes : travaux grande chelle raliss au sein de la fonction de mise disposition des SI, destins permettre le dploiement de nouveaux systmes applicatifs ou lments dinfrastructure. Ces travaux peuvent inclure, par exemple, des activits de gestion de projets, de ringnierie de processus, ou des techniques de gestion du changement. Rseaux : Dispositifs matriels et logiciels, tels que commutateurs, routeurs, pare-feux, cblages, programmes, qui commandent le routage des paquets de donnes afin de mettre en relation des ordinateurs et de leur permettre de communiquer entre eux. Responsable de laudit interne : Au sein dune organisation, poste hirarchique le plus lev en charge des structures daudit interne. Risque : Possibilit que se produise un vnement (menace) qui aura un impact sur la ralisation des objectifs de l'entreprise. Le risque se mesure en termes dimpact (consquences) et de probabilit d'occurrence. Processus de services support : Dans le contexte des SI, processus permettant de grer linfrastructure SI, ainsi que le dveloppement et linstallation de nouveaux systmes informatiques et de nouveaux traitements oprationnels recourant aux SI. Ces processus incluent notamment les activits dassistance et les procdures de gestion des configurations, des changements, des mises en production, des incidents et des problmes. Sous-traitance (externalisation) : Recours un tiers pour fournir une prestation de services (a priori non stratgiques)
32
GTAG Glossaire
au profit de lentreprise. La sous-traitance gagne en importance en raison du cot lev et du savoir-faire ncessaires pour fournir ces services. Systmes de bases de donnes : Ensemble de programmes permettant le stockage, l'actualisation et lextraction de donnes enregistres sur un support informatique. Systme de contrle interne : Systme englobant les cinq composantes du contrle interne, savoir lenvironnement de contrle, lvaluation des risques, les activits de contrle, linformation et la communication, et le pilotage, afin que le risque soit matris. Systme dexploitation : Logiciel excutant les tches lmentaires dun ordinateur, notamment le traitement des donnes saisies par loprateur, la gestion de la mmoire interne de lordinateur ou celle des fonctionnalits de lecture de disque, daffichage et de priphriques. Tiers : Entit non affilie lorganisation, ou une entit de l'organisation.
33
GTAG Liste des acronymes
Liste des acronymes

CBOK : Common Body of Knowledge (Base commune de connaissance) de lIIA Research Foundation. COBIT : Control Objectives for Information and Related Technology. COSO : Committee of Sponsoring Organizations of the Treadway Commission. ERP : Enterprise resource planning (progiciel de gestion intgr). GLBA : Gramm-Leach Bliley Act (loi des tats-Unis). GTAG : Guide pratique daudit des technologies de linformation. HIPAA : Health Insurance Portability and Accountability Act (loi des tats-Unis). IIA : The Institute of Internal Auditors. ISO : Organisation internationale de normalisation. ITGI : IT Governance Institute. ITIL : IT Infrastructure Library (bibliothque dinfrastructure des technologies informatiques) de lOffice du commerce britannique. PCAOB : Public Company Accounting Oversight Board (tats-Unis). PCI DSS : Payment Card Industry Data Security Standard. SI : Systmes dinformation. SOX : Loi Sarbanes-Oxley de 2002. UE : Union europenne.
34
GTAG propos des auteurs
propos des auteurs

Kirk Rehage
Kirk Rehage est responsable de laudit des SI chez Chevron Corp., membre de lAdvanced Technology Committee de lIIA et de lISACA, et gouverneur temporaire du chapitre du Nord de la Californie - East Bay de lIIA. En tant que responsable de groupe en audit des SI, Kirk Rehage est charg des activits dassurance du service daudit interne dans le domaine des SI, ainsi que des activits de conseil, dans plus de 180 pays. Kirk Rehage a plus de 30 ans dexprience dans le secteur de lnergie et a exerc une grande diversit de fonctions en relation avec la mise disposition de services de SI, telles que la mise en place dune infrastructure informatique et denvironnements de rseaux, la gestion dorganisations proposant des applications, la programmation technique de solutions logicielles analytiques et de bases de donnes en ingnierie et en sciences de la terre.
Fernando D. Nikitin, CIA, CISA, CGEIT, CISM, CISSP

Fernando Nikitin a plus de 16 ans dexprience en audit interne, gouvernance des SI et scurit de linformation. Il a travaill pour le secteur bancaire, pour ladministration publique et pour des organisations multilatrales. Il travaille comme auditeur interne au sein de lOffice of the Auditor General de la Banque interamricaine de dveloppement. Il tait auparavant directeur de laudit des SI la Banco de la Repblica Oriental del Uruguay. Fernando Nikitin est membre de lAdvanced Technology Committee de lIIA, membre du Conseil du Government and Regulatory Agencies Board de lISACA et collaborateur du National Institute of Technology de lInde. Il a galement t prsident du chapitre uruguayen de lISACA Montevideo et il est co-fondateur du chapitre uruguayen du Project Management Institute et membre de lInternational Information Systems Security Certification Consortium. Fernando Nikitin a obtenu un MBA lEOI Business School de Madrid, en Espagne.
Steve Hunt, CIA, CISA, CBM

Steve Hunt est lun des directeurs principaux du groupe de conseil en entreprise et gestion des risques Crowe Chizek and Company LLC, vice-prsident de lAdvanced Technology Committee de lIIA et membre de lISACA ainsi que de lAssociation of Professionals in Business Management. Chez Crowe Chizek, Steve Hunt travaille avec les entreprises Fortune 1000 de taille moyenne oprant sur des marchs restreints dans divers secteurs. Il supervise lexcution des missions de gestion des risques financiers, oprationnels et informatiques. Steve Hunt compte plus de 20 ans dexprience dans diffrents secteurs : comptabilit, audit interne et conseil en management. Il a notamment ralis des audits dtaills de la conformit avec la loi Sarbanes-Oxley, ainsi que dautres audits internes et externes, et particip des projets de ringnierie des processus et des initiatives de dveloppement de lentreprise. Il possde galement plusieurs annes dexprience en configuration des applications SAP R/3 et des contrles de la scurit des applications et des processus oprationnels. Il a galement donn des confrences spcialises dans plusieurs universits et organisations aux tatsUnis.
Rviseurs
LIIA tient remercier les personnes et organisations suivantes pour leurs prcieux commentaires et leurs apports cet ouvrage : Professional Practices Committee : - Advanced Technology Committee. - Board of Regents. - Committee on Quality. - Internal Auditing Standards Board. - Professional Issues Committee. - Ethics Committee. Urton Anderson, McCombs School of Business, Universit du Texas Austin, tats-Unis ; Lily Bi, IIA, tats-Unis ; Larry Brown, The Options Clearing Corp., tatsUnis ; Faisal R. Danka, Londres, Royaume-Uni ; Christopher Fox, ASA, eDelta, New York, tats-Unis ; Nelson Gibbs, Deloitte & Touche LLP, tats-Unis ; Frank Hallinan, Chevron Phillips Chemical Co. LP, tats-Unis ; Greg Kent, SecureIT, tats-Unis ; Lemuel Longwe, Ernst & Young Chartered Accountants, Zimbabwe ;
35
GTAG propos des auteurs
Steve Mar, Resources Global, tats-Unis ; Tom Margosian, Ford Motor Company, tats-Unis ; James Reinhard, Simon Property Group Inc., tatsUnis. LIFACI tient remercier pour leurs prcieux commentaires la traduction de cet ouvrage : Dominique VAN EGROO, Directeur Associ, FINTOO ; Jean-Claude HILLION, Inspecteur Gnral Honoraire de la Banque de France.

tant donn que les organisations sappuient largement sur les SI, les responsables de laudit interne ont imprativement savoir laborer un programme daudit du SI et dterminer la frquence et le niveau de dtail de chaque mission. Or, plusieurs examens de lvaluation externe de la qualit effectus par lIIA rvlent que la conception dun programme daudit des SI appropri constitue lun des points les plus faibles des structures d'audit interne. Dans de nombreux cas, les auditeurs internes limitent leurs investigations aux connaissances techniques dont ils disposent le reste tant sous-trait, laissant des tiers dcider finalement ce quil faut auditer dans ce domaine. Le prsent guide consacr llaboration du plan daudit des SI peut donc aider les responsables de laudit interne et les auditeurs internes : acqurir une connaissance de lentreprise ainsi que de l'apport du SI dans le traitement de ses oprations. dfinir et prendre en compte lenvironnement de SI. tenir compte de l'importance des valuations de risques dans la dlimitation de lunivers daudit des SI. formaliser le programme annuel daudit des SI. Ce guide prend aussi lexemple dune entreprise fictive afin de montrer aux responsables de laudit interne et aux auditeurs internes comment suivre les tapes ncessaires pour dfinir lunivers daudit des SI. Pour attribuer une note ce guide ou formuler des commentaires, veuillez vous rendre sur : www.theiia.org/guidance/technology/gtag11.
36

Gtag 11 1

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Gtag 11 1

Uploaded by

Copyright:

Available Formats

laboration dun plan daudit des SI

GUIDE PRATIQUE DAUDIT DES TECHNOLOGIES DE LINFORMATION

Les contrles des systmes de linformation

GUIDE PRATIQUE DAUDIT DES TECHNOLOGIES DE LINFORMATION

Grer et auditer les vulnrabilits des technologies de linformation

GUIDE PRATIQUE DAUDIT DES TECHNOLOGIES DE LINFORMATION

GUIDE PRATIQUE DAUDIT DES TECHNOLOGIES DE LINFORMATION

GUIDE PRATIQUE DAUDIT DES TECHNOLOGIES DE LINFORMATION

GUIDE PRATIQUE DAUDIT DES TECHNOLOGIES DE LINFORMATION

Audit des contrles applicatifs

Audit continu : Rpercussions sur lassurance, le pilotage et lvaluation des risques

GUIDE PRATIQUE DAUDIT DES TECHNOLOGIES DE LINFORMATION

Management de laudit des systmes dinformation

GUIDE PRATIQUE DAUDIT DES TECHNOLOGIES DE LINFORMATION

Le management et laudit des risques datteinte la vie prive

laboration dun plan daudit des SI

GTAG Table des matires

CQ25a(Q30) : quelle frquence actualisez-vous le plan d'audit ?

Figure 1. Frquence des actualisations des plans daudit. 3

lments daudit grables, afin dlaborer un programme de missions efficace.

2.1 Processus dlaboration du plan daudit des SI

Prendre en compte lactivit

Dfinir lunivers des SI

Procder une valuation des risques

Formaliser le plan daudit (programme de missions)

Figure 2. Le processus dlaboration du plan daudit des SI. 4

GTAG Prendre en compte lactivit

3. Prendre en compte lactivit

mobilise ses ressources et moyens technologiques induit un ensemble spcifique de risques.

3.2 Lenvironnement oprationnel

3.1 Une organisation unique

GTAG Prendre en compte lactivit

3.3 Facteurs lis lenvironnement des SI

LA CHANE DE VALEUR DES ACTIVITS

LES PROCESSUS LIS LACTIVIT

PROCESSUS LIS AUX PROJETS

CONTRLES GNRAUX DES SI

Figure 3. Prendre en compte lenvironnement du SI de l'organisation.

GTAG Prendre en compte lactivit

GTAG Prendre en compte lactivit

GTAG Prendre en compte lactivit

GTAG Dfinir lunivers daudit des SI

4. Dfinir lunivers daudit des SI

4.2 Rle des technologies dappui

4.1 Examiner le modle dactivit

4.3 Plans dactivit annuels

GTAG Dfinir lunivers daudit des SI

4.4 Fonctions SI centralises / dcentralises

4.5 Les processus de soutien des SI

GTAG Dfinir lunivers daudit des SI

4.6 Conformit la rglementation

4.7 Dfinir les domaines soumis laudit

GTAG Dfinir lunivers daudit des SI

4.9 valuer les risques

4.8 Les applications

GTAG Procder une valuation des risques

5. Procder une valuation des risques

et lquipe daudit interne pour laborer un plan daudit des SI.

5.1.1 Identifier et prendre en compte les objectifs de lentreprise

5.1 Le processus dvaluation des risques

5.1.2 Identifier et prendre en compte la stratgie relative aux SI

GTAG Procder une valuation des risques

5.2 Hirarchiser les risques