Professional Documents
Culture Documents
Cette srie de guides, rdigs dans des termes simples et traitant chacun dun thme dactualit concernant la gestion, le contrle et la scurit des SI, constitue un prcieux outil pour les responsables de laudit interne, qui peuvent ainsi sinformer sur les diffrents risques associs aux technologies de linformation et sur les pratiques recommandes.
Les contrles des systmes de linformation Les sujets abords passent en revue les concepts du contrle des SI, limportance de ces contrles, les rles et responsabilits dans lorganisation susceptibles d'assurer lefficacit du contrle des SI et des techniques de supervision. Contrles de la gestion du changement et des patchs : un facteur cl de la russite pour toute organisation Dcrit les sources de changements et leurs impacts probables sur les objectifs de lentreprise, explique en quoi le contrle du processus de gestion des changements participe la rduction des risques et des cots des SI, et indique ce qui, dans la pratique, fonctionne ou pas. Audit continu : Rpercussions sur lassurance, le pilotage et lvaluation des risques Traite du rle de laudit continu dans lenvironnement actuel daudit interne, de la relation entre audit continu, surveillance continue et assurance continue, prcise o sapplique laudit continu et examine la mise en place de laudit continu. Management de laudit des systmes dinformation Dfinit les risques lis aux SI et lunivers daudit, explique comment conduire un audit des SI et grer les ressources daudit.
Grer et auditer les vulnrabilits des technologies de linformation Analyse, entre autres, le cycle de gestion des vulnrabilits, la dlimitation de laudit des vulnrabilits et des indicateurs qui permettent dvaluer les pratiques de gestion des vulnrabilits.
Contrles de la gestion du changement et des patchs : Un facteur cl de la russite pour toute organisation
L'infogrance
Linfogrance Examine comment choisir le bon prestataire de services dinfogrance et prsente les principaux lments prendre en compte pour la matrise de linfogrance, du point de vue des activits du client et de celles du prestataire de services.
Audit des contrles applicatifs Dfinit la notion de contrles applicatifs et les compare aux contrles gnraux informatiques, et indique comment dterminer ltendue des revues de contrles applicatifs.
Gestion des des identits identits Gestion et des des accs accs et
Gestion des identits et des accs Couvre les principaux concepts relatifs la gestion des identits et des accs, les risques y affrents, dtaille laudit du programme de gestion des identits et des accs et prsente un exemple de liste de contrles lintention des auditeurs.
Le management et laudit des risques datteinte la vie prive Prsente les principes et le cadre de protection de la vie prive, un modle de risques datteinte la vie prive et le contrle du respect de la vie prive, le rle de laudit interne, les dix questions se poser concernant la protection de la vie prive lors de la mission daudit, et bien plus encore.
Gestion de la continuit dactivit Dfinit la continuit dactivit, examine les risques pour lentreprise et propose une analyse dtaille des impratifs associs au programme de continuit dactivit
La srie complte peut tre tlcharge sur le site Web de lIIA : www.theiia.org/technology.
Auteurs Kirk Rehage, Chevron Corporation Steve Hunt, Crowe Chizek and Company LLC Fernando Nikitin, Banque interamricaine de dveloppement
Juillet 2008
Copyright 2008 par lInstitute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, tats-Unis. Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, stocke dans un systme de consultation ou transmise sous quelque forme que ce soit, ni par aucun moyen (lectronique, mcanique, reprographie, enregistrement ou autre), sans lautorisation pralable de lditeur. LIIA publie ce document titre informatif et pdagogique. Cette publication entend donner des informations, mais ne se substitue en aucun cas un conseil juridique ou comptable. LIIA ne fournit pas ce type de service et ne garantit, par la publication de ce document, aucun rsultat juridique ou comptable. En cas de problmes juridiques ou comptables, il convient de recourir lassistance de professionnels.
Sommaire
1. 2. 3. RSUM .................................................................................................................................................... 1 INTRODUCTION .................................................................................................................................... 3 2.1 Processus dlaboration du plan daudit des SI ............................................................................... 4 PRENDRE EN COMPTE LACTIVIT ................................................................................................. 5 3.1 Une organisme unique ...................................................................................................................... 5 3.2 Lenvironnemnt oprationnel ............................................................................................................ 5 3.3 Facteurs lis lenvironnement des SI ............................................................................................. 6 4. LES RISQUES DE LENTREPRISE ..................................................................................................... 10 4.1 Examiner le modle dactivit ......................................................................................................... 10 4.2 Rle des technologies dappui ........................................................................................................ 10 4.3 Plans dactivit annuels ................................................................................................................... 10 4.4 Fonctions SI centralises/dcentralises ......................................................................................... 11 4.5 Les processus de soutien des SI ...................................................................................................... 11 4.6 Conformit la rglementation ...................................................................................................... 12 4.7 Dfinir les domaines soumis laudit ............................................................................................ 12 4.8 Les applications ................................................................................................................................ 13 4.9 valuer les risques ............................................................................................................................ 13 5. PROCDER UNE VALUATION DES RISQUES ....................................................................... 14 5.1 Le processus dvaluation des risques ............................................................................................ 14 5.2 Hirarchiser les risques .................................................................................................................... 15 5.3 Principaux cadres de gouvernance des SI ...................................................................................... 16 6. FORMALISER LE PLAN DAUDIT DES SI ...................................................................................... 19 6.1 Contexte du plan daudit ................................................................................................................. 19 6.2 Demandes des parties prenantes .................................................................................................... 20 6.3 Frquence des audits ........................................................................................................................ 20 6.4 Principes relatifs au plan daudit ..................................................................................................... 21 6.5 Le contenu du programme daudit des SI ...................................................................................... 21 6.6 Intgration du programme daudit des SI ...................................................................................... 22 6.7 Validation du programme daudit ................................................................................................... 22 6.8 La nature dynamique du programme daudit des SI .................................................................... 23 6.9 Communiquer, obtenir le soutien de la direction et faire approuver le programme daudit ..... 24 7. ANNEXE : EXEMPLE DUNE ENTREPRISE FICTIVE ................................................................... 26 7.1 Lentreprise ....................................................................................................................................... 26 7.2 Le plan daudit des SI ...................................................................................................................... 26 GLOSSAIRE ...................................................................................................................................................... 32 LISTE DES ACRONYMES .............................................................................................................................. 34 PROPOS DES AUTEURS ............................................................................................................................ 35
GTAG Rsum
1. Rsum
lheure o la technologie fait plus que jamais partie des activits et oprations dune organisation, les auditeurs internes se heurtent une difficult de taille : quelle est la meilleure approche pour valuer, lchelle de toute lorganisation, les risques lis aux SI et les contrles y affrents dans le cadre de leurs missions gnrales daudit et de conseil ? Cest pourquoi les auditeurs doivent prendre en compte lenvironnement des systmes dinformation (SI) de lorganisation, les applications et productions qui font partie de linfrastructure des SI, le mode de gestion des applications et oprations des SI et la relation entre ces applications/oprations des SI et lorganisation. En recensant les composants de linfrastructure SI, lauditeur obtiendra des informations concernant les vulnrabilits de linfrastructure. Lvaluation des vulnrabilits au sein des infrastructures SI, qui sont susceptibles davoir une influence sur le systme de contrle interne, commence par un inventaire complet du matriel, des logiciels, des rseaux et des donnes. Ainsi, les systmes et rseaux connects Internet sont exposs des menaces supplmentaires par rapport ceux qui ne le sont pas.1 Ds lors que lenvironnement des SI est bien pris en compte, le responsable de laudit interne et lquipe daudit interne peuvent procder lvaluation des risques et tablir un plan daudit. De nombreux facteurs organisationnels entrent en ligne de compte lors de llaboration du plan daudit, tels que le secteur dans lequel travaille lorganisation, son chiffre daffaires, le type et la complexit de ses processus ou encore la localisation gographique de ses oprations. Deux facteurs ont une incidence directe sur lvaluation des risques et sur la dfinition de ce quil convient dauditer au sein de lenvironnement du SI : les composantes et le rle de ce dernier. Par exemple : Quelles technologies sont employes pour supporter les fonctions oprationnelles quotidiennes ? Lenvironnement du SI est-il relativement simple ou complexe ? Lenvironnement du SI est-il centralis ou dcentralis ? Dans quelle mesure les applications sont-elles personnalises ? Les activits de maintenance des SI en gnral ou bien certaines en particulier sont-elles externalises ? A quel niveau se situe lvolution annuelle du SI ? Ces facteurs lis aux SI sont quelques-uns des aspects que les responsables de laudit interne et les auditeurs internes doivent prendre en compte pour pouvoir valuer correctement les risques de lorganisation afin dtablir le plan annuel daudit.
De surcrot, il est important que le responsable de laudit interne et les auditeurs internes recourent une approche qui dtermine prcisment la probabilit de survenance des risques et leurs impacts en relation avec lactivit de l'organisation et qui dfinisse les domaines risque lev, moyen et faible, via des analyses quantitatives et qualitatives. Il y a en permanence des innovations et des volutions dans le domaine des SI. Malheureusement, ces changements peuvent entraver les efforts des auditeurs visant identifier et valuer limpact des risques. Pour aider les auditeurs informatiques, les responsables de laudit interne peuvent : mesurer chaque anne lvolution spcifique de la mise en uvre des technologies de linformation (TI), afin didentifier celles qui pourraient avoir une incidence sur lexposition aux risques de lorganisation ; prendre connaissance chaque anne des plans court terme du dpartement informatique, et dterminer quelles peuvent en tre les consquences sur lvaluation des risques lis aux SI ; commencer chaque audit des SI en actualisant lvaluation des risques associs ; faire preuve de souplesse vis--vis de lunivers daudit des SI ; surveiller le profil de risque de lorganisation et tre prt adapter les procdures daudit son volution2. Il existe plusieurs rfrentiels de gouvernance des SI susceptibles daider les responsables de laudit interne et les quipes daudit interne dfinir lapproche dvaluation du risque la mieux approprie. Ces rfrentiels peuvent, en outre, aider les auditeurs dterminer o se situent les risques au sein de lenvironnement et donner des orientations sur la manire de grer ces risques. Parmi les rfrentiels de gouvernance des SI les plus courants, citons COBIT, ITIL (IT Infrastructure Library de lOffice of Government Commerce britannique) et la srie des normes 27000 de lOrganisation de normalisation internationale (ISO). Le responsable daudit interne et les auditeurs internes vont pouvoir dterminer les domaines auditer et la frquence en se basant sur une cartographie des processus, l'inventaire et la prise en compte de lenvironnement du SI et lvaluation des risques lchelle de lorganisation. Ce GTAG donne des informations susceptibles daider ces intervenants identifier les domaines daudit lis lenvironnement du SI comme faisant partie intgrante de son univers daudit. tant donn que le fonctionnement de l'organisation dpend fortement des SI, il est essentiel en effet que le responsable de laudit interne et les auditeurs internes
1 2
GTAG 1 Les contrles des systmes de linformation, p. 19. GTAG 4 Management de laudit des systmes dinformation, p. 7-8.
GTAG Rsum
sachent comment laborer un plan daudit et pour chaque lment quelle doit en tre la frquence, ainsi que ltendue et la profondeur. A cette fin, le prsent GTAG peut aider les responsables de laudit interne et les auditeurs internes : 1. prendre en compte lactivit gnrale de lentreprise et la part des SI dans le support oprationnel ; 2. dfinir et prendre en compte lenvironnement de SI ; 3. identifier le rle de lvaluation des risques dans la dlimitation de lunivers daudit interne ; 4. formaliser le plan annuel daudit des SI. Enfin, ce GTAG utilise lexemple dune organisation fictive pour montrer aux responsables de laudit interne et aux auditeurs internes comment mettre en uvre les tapes ncessaires la dlimitation de lunivers daudit.
GTAG Introduction
2. Introduction
Lune des principales attributions du responsable de laudit interne, qui est aussi lune de ses missions les plus dlicates, consiste laborer un plan daudit pour lorganisation. Comme lexplique la Norme 2010 de lIIA (The Institute of Internal Auditors), le responsable de laudit interne doit tablir une planification fonde sur les risques au moins une fois par an, afin de dterminer les priorits d'intervention, qui doivent elles-mmes se conformer aux stratgies et objectifs de lorganisation. En outre, le responsable de laudit interne doit envisager des missions de conseil en fonction de la valeur ajoute quelles pourraient apporter et des progrs quelles pourraient induire dans les oprations et les activits de management des risques de lorganisation. Ces activits ont t documentes dans ltude 2006 du Common Body of Knowledge (CBOK, base commune de connaissances) de lIIA Research Foundation. Celle-ci a observ que presque tous les responsables de laudit interne interrogs planifiaient leurs activits daudit au moins une fois par an, et que 36,4 % actualisaient leur programme de missions plusieurs fois par an (figure 1). Pour laborer un plan daudit fond sur le risque, le responsable de laudit interne devra dabord procder une valuation des risques portant sur l'ensemble de lorganisation. Lvaluation adquate des risques lis aux SI, composante essentielle de lvaluation globale des risques, constitue un volet essentiel de la gestion des risques. Cest un facteur dterminant pour mettre en place des programmes de missions efficients. Pour de nombreuses organisations, linformation et la technologie sur laquelle elle repose reprsentent leur actif le plus prcieux. En outre, tant donn que les entreprises voluent dans un environnement concurrentiel et en constante mutation, la direction exprime, vis--vis des fonctions grant et mettant en uvre le SI, un niveau d'exigence croissant travers : une qualit de service en constante amlioration, des fonctionnalits et une facilit
dutilisation accrues, un raccourcissement des dlais, le tout alors que les cots doivent tre comprims.3 Quelles que soient la mthodologie retenue et la frquence des activits de planification de laudit, le responsable de laudit interne et lquipe daudit interne devront prendre en compte lenvironnement du SI avant de procder laudit. La plupart des activits dune organisation font appel la technologie. Quil sagisse de la collecte, du traitement et de la communication dinformations comptables, ou bien de la fabrication, de la vente ou de la diffusion de produits, quasiment toutes les activits dune organisation reposent, plus ou moins grande chelle, sur la mise en uvre de moyens technologiques. Ces derniers ont vu leur rle voluer : elle nest plus seulement un support oprationnel pour les processus de lorganisation, mais fait partie intgrante du contrle des processus. Le contrle interne des processus et des activits reposent ainsi de plus en plus sur la technologie, dont les dficiences ou le manque dintgrit ont un impact important sur l'atteinte des objectifs et la ralisation des oprations de l'entreprise. Toutefois, llaboration dun plan daudit des SI efficace, fond sur le risque, est une tche difficile pour les auditeurs internes, surtout lorsquils nont pas une connaissance suffisante des SI. Les rsultats de plusieurs revues dassurance qualit externes de lIIA font apparatre que lun des points faibles des activits daudit interne concerne la ralisation d'un plan daudit des SI. Bien souvent, au lieu de raliser des audits fonds sur les risques, les auditeurs internes examinent ce quils savent dj ou sous-traitent dautres entreprises, les laissant dcider de ce quil convient dauditer. Le prsent guide propose des techniques pour rsoudre ce problme, savoir comment dterminer sur quoi devrait porter laudit des SI et comment organiser ces domaines en
3
IT Governance Institute, Control Objectives for Information and Related Technology (COBIT), troisime dition, p. 5.
36%
60% 3% 0%
1%
GTAG Introduction
les principaux objectifs et processus, les applications importantes qui concourent l'activit des processus mtiers, linfrastructure supportant les traitements applicatifs, le modle d'intervention et d'organisation de la DSI et le rle des moyens technologiques partags, tels que les priphriques rseau. Grce cette approche, associe la prise en compte des processus de support et des projets dimplmentation, les auditeurs seront en mesure de faire un inventaire complet de lenvironnement SI de l'organisation. C'est partir de cet inventaire que se ralisera lvaluation des vulnrabilits susceptibles davoir une incidence sur les contrles internes. Une fois que les auditeurs ont une ide prcise de lenvironnement du SI, la troisime tape consiste valuer les risques, cest--dire dterminer la probabilit de survenue dun vnement, susceptible dempcher lorganisation datteindre ses buts et objectifs de faon efficace, efficiente et matrise. Les informations et lanalyse tires de la comprhension de lorganisation, de linventaire de lenvironnement du SI et de lvaluation des risques nourrissent la dernire tape, savoir la formalisation du plan daudit. Le plan daudit a pour objectif de dterminer laxe des missions dassurance et de conseil des auditeurs afin de procurer la direction gnrale des informations objectives lui permettant de grer les risques et lenvironnement de contrle de lorganisation. La suite de ce guide dcrit ces quatre tapes et montre comment dfinir un plan daudit des SI efficace.
Identifier les stratgies et objectifs de lorganisation Prendre en compte ce qui prsente un profil de risque lev pour lorganisation Prendre en compte comment lorganisation structure ses oprations Prendre en compte le modle de fonctionnement de la DSI comme support de l'activit de l'entreprise
Analyser les fondamentaux de lactivit Identifier les applications importantes qui concourent au traitement des oprations de lorganisation, en tenant compte du rle des moyens technologiques intervenant dans ce traitement Identifier linfrastructure critique pour les applications importantes Identifier les grands projets et initiatives Dfinir des thmes daudit ralistes
Mettre au point des processus didentification des risques valuer les risques spcifiques au SI et classer les thmes daudit partir des facteurs correspondants
Slectionner les thmes daudit retenus et les grouper en missions daudit distinctes Dfinir le cycle daudit et sa frquence Ajouter des missions rpondant aux demandes de la direction ou constituant des opportunits pour remplir une mission de conseil Valider le plan avec la direction
devront noter que les applications appellent des valuations priodiques, en fonction de leur importance pour la communication dinformations financires, la conformit la rglementation ou les besoins oprationnels. Un tel examen de lenvironnement oprationnel (cest-dire en partant du sommet de lorganisation) aidera les auditeurs en apprhender et en inventorier toutes les composantes critiques. Pour pleinement prendre en compte lenvironnement oprationnel et les risques associs, il faut aussi considrer chacun des facteurs technologiques qui exercent une influence sur l'exposition aux risques de lorganisation, ce qui permet de hirarchiser ces risques.
Fabrication
Vente
Distribution
Finances
SI
Conception
conomie
APPLICATIONS
APPLICATION A APPLICATION B APPLICATION C
CONTRLES APPLICATIFS
Autorisation Intgrit Disponibilit Confidentialit Sparation des tches
INFRASTRUCTURE SI
BASE DE DONNES SYSTME DEXPLOITATION RSEAU/ENVIRONNEMENT PHYSIQUE
Figure tire et adapte de : IT Control Objectives for Sarbanes-Oxley, 2e dition, avec laimable autorisation de lIT Governance Institute (ITGI). 2006 ITGI. Tous droits rservs.
ganisation peut avoir une influence sur la structure et le fonctionnement de la DSI. Par exemple, des organisations qui oprent avec des units daffaires dcentralises disposant dune certaine autonomie pour les dcisions oprationnelles peuvent se caractriser par un SI dcentralis, par une plus grande diversit dapplications et par une plus grande varit de produits dploys. linverse, dans les organisations plus centralises, les auditeurs peuvent trouver des applications propres lorganisation et une infrastructure SI centralise. Les risques ntant pas les mmes selon que lorganisation se trouve un bout ou lautre du spectre des possibilits de centralisation, les rponses de laudit auront tre adaptes en consquence. Lorsque lon dfinit lunivers daudit des SI, il faut veiller aligner les diffrents audits sur la fonction de direction qui est in fine responsable de ce domaine. Une organisation centralise des systmes d'information de l'organisation peut permettre de dfinir des audits moins nombreux, mais peut-tre plus tendus, axs sur les technologies et les applications cls de lorganisation. linverse, une organisation dcentralise pourrait conduire dmultiplier les missions daudit, de faon s'aligner sur le partage des responsabilits au niveau de la direction. 2. Les technologies dployes. La diversit des architectures techniques mises en uvre dans l'organisation dterminera lampleur des connaissances techniques requises au sein du service daudit interne, ainsi que le nombre de domaines spcifiques quil faudra examiner. Cette diversit peut se retrouver chaque niveau de la structuration du SI pile de SI , cest--dire pour chaque composante principale de linfrastructure technique dune application : codes de programmes, bases de donnes, systmes dexploitation et infrastructure rseau. Ainsi, le code dun programme applicatif comprend lensemble des programmes informatiques, fichiers de contrle, tables et interfaces utilisateur qui lui confrent des fonctionnalits rpondant des tches spcifiques, telles que la comptabilit, la paie ou les achats. Dautres applications pourraient grer des informations critiques pour lorganisation, par exemple des donnes sur des projets dingnierie, des informations juridiques ou des donnes mdicales sur les membres du personnel. Lorganisation peut galement disposer dapplications qui supervisent les processus industriels, gnralement appeles systmes de contrle des processus .
Pour leur part, les systmes de bases de donnes (SGBD) permettent le stockage, la modification et lextraction de donnes (par exemple, Oracle, Microsoft SQL Server ou DB2), tandis que les systmes dexploitation excutent les tches lmentaires du traitement informatis, notamment l'acquisition des donnes saisies par loprateur, la gestion de la mmoire interne ou celle des supports (lecture, criture), laffichage ou, de faon gnrale, tous les priphriques. Plusieurs variantes de Windows et dUNIX peuvent tre installes comme systmes dexploitation sur les ordinateurs et les serveurs. Les terminaux de poche, comme les assistants personnels numriques ou les tlphones cellulaires, ont galement besoin dun systme dexploitation. Enfin, les rseaux mettent en relation des serveurs et des postes de travail pour leur permettre de communiquer entre eux. Ils sont constitus de composants physiques, tels que des commutateurs, des routeurs, des pare-feux ou du cblage, et de programmes qui commandent le routage des paquets de donnes. Les rseaux peuvent galement tre dploys au moyen dune technologie de radiofrquences. On parle alors gnralement de rseaux sans fil. Chaque couche de structuration du SI participe au traitement automatis de l'information, mais induit en mme temps des risques relevant de la disponibilit, lintgrit et la confidentialit des donnes. Le niveau de risque est fonction, dune part, du degr dimportance pour lorganisation du domaine d'activit concern par les moyens technologiques en cause et, dautre part, de leur configuration comme de leur dploiement. En consquence, plus la diversit de ces couches est grande, plus le profil de risque de lorganisation est lev. Par exemple, le service informatique aura moins de difficults grer un environnement homogne de serveurs Windows 2003, administrant une base de donnes avec SQL Server pour une unique application ERP (progiciel de gestion intgre) qu grer plusieurs systmes dexploitation et plateformes de bases de donnes supportant diverses applications. Mme sil parat idal, le premier scenario nest gure raliste dans une grande organisation o les oprations sont diverses et le modle dactivit dcentralise. Lorsque lon dfinit lunivers daudit, il convient didentifier et dvaluer les lments critiques des SI suivant les techniques danalyse descendantes dcrites dans le prsent guide.
3. Le degr de personnalisation. En gnral, une mise en uvre de moyens technologiques personnaliss en complexifie la gestion, tandis que l'adoption d'un logiciel standard permet de recourir essentiellement au support technique du fournisseur, qui est cens dtenir une connaissance et une expertise trs pointues sur ses produits. Lorsquun fournisseur modifie quelque chose (applications, systmes dexploitation ou autres logiciels), de faon rpondre aux besoins et processus de lorganisation, il en est largement propritaire et davantage de risques sont prendre en compte. En rgle gnrale, les organisations doivent effectuer une analyse cots-avantages lorsquelles dcident d'adapter leurs propres spcifications le logiciel dun tiers, sans intgrer pour autant, durant cette analyse, certains aspects du contrle. En outre, pour auditer les implmentations personnalises, les auditeurs doivent possder une plus grande connaissance technique. 4. Le degr de formalisation des politiques et rfrentiels de lorganisation (gouvernance des SI, par exemple). Une dmarche de gouvernance des SI a pour objectif de permettre lorganisation de mieux grer au quotidien ses activits et risques lis aux SI aux moyens de politiques et rfrentiels. Ainsi, les politiques et rfrentiels formaliss, mis en uvre au titre de la gouvernance des SI, contribuent instaurer un environnement de contrle plus efficace, ceci se vrifiant davantage si ces politiques et rfrentiels sont communiqus, compris, pilots, surveills et actualiss par la direction gnrale. Les politiques noncent des principes fondamentaux, qui correspondent aux objectifs oprationnels de la direction gnrale ; elles entendent avoir un effet long terme en encadrant llaboration des rgles applicables des domaines spcifiques, ayant pour objet de les interprter et de les renforcer au moyen de rfrentiels de contrle et de consignes. Du point de vue des SI, les politiques fournissent les directives manant de la direction gnrale sur des thmes concernant les droits attachs la proprit intellectuelle, la protection des donnes, le respect de la vie prive travers l'acquisition, la conservation ou la diffusion d'informations caractre personnel, afin de garantir la conformit aux lois et rglementations. Pour leur part, les rfrentiels dcrivent un processus ou une procdure obligatoire et donnent des orientations plus prcises sur la manire de se conformer aux principes fondamentaux auxquels ils se rfrent. Les rfrentiels portant sur les SI sont gnralement neutres du point de vue de la technologie, mais
peuvent tre affins au moyen de consignes et procdures (procdures ou rglages de configuration) qui dfinissent comment le rfrentiel doit tre mis en uvre vis--vis de telle ou telle technologie. En rgle gnrale, les organisations doivent dfinir un processus de mise jour continue de toutes les politiques et de tous les rfrentiels les plus rcents que la rglementation rend obligatoires. Par exemple, les rcents changements, aux tats-Unis, dans les rgles fdrales de procdure civile qui rgissent la production de preuves devant les tribunaux portent sur la dcouverte et la production dinformations stockes lectroniquement. En raison de ces changements, l'exposition au risque dune organisation dpend en partie du respect des politiques et rfrentiels actualiss relatifs la conservation des enregistrements, qui visent la gestion des informations stockes lectroniquement. Il existe diffrents cadres et mthodologies de gouvernance des SI, dont le COBIT, la Norme ISO 27002 sur le management de la scurit de linformation, le rfrentiel La gestion du contrle de linformatique de lInstitut canadien des comptables agrs (ICCA) et la norme Standard of Good Practice for Information Security de lInformation Security Forum. Ces rfrentiels mthodologiques permettent de spcifier les objectifs et domaines de contrle dans lensemble de lenvironnement de contrle4. Les organisations peuvent adopter lun de ces rfrentiels ou sen inspirer pour dvelopper leur propre dispositif de gouvernance du SI. La section 5.3 propose des informations sur les bonnes pratiques en la matire, afin daider les organisations valuer le contenu et lefficacit de ces rfrentiels. 5. Le degr de rglementation et de conformit. Dans les secteurs fortement rglements, les organisations prsentent gnralement un profil de risque lev en regard des consquences potentielles de non-conformit par rapport aux exigences rglementaires auxquelles elles sont soumises. Toutefois, les organisations qui russissent dans des secteurs fortement rglements se caractrisent galement par un environnement de contrle trs dvelopp intgrant une supervision efficace de la part de la direction gnrale, le tout tant susceptible de confrer une conformit permanente se traduisant par une exposition au risque moins leve. Les exigences rglementaires pesant sur lorganisation doivent donc tre
4
Pour des informations complmentaires sur ces rfrentiels et dautres, voir le GTAG 5 Contrle des systmes dinformation, p. 23.
prises en compte, de manire approprie, dans le niveau d'exposition au risque de lorganisation et dans lunivers daudit des SI. Par exemple, aux tatsUnis, toutes les organisations enregistres auprs de la SEC doivent, aux termes de la loi Sarbanes-Oxley de 2002, faire tat de lefficacit de leurs contrles internes relatifs la communication dinformations financires. Cette lgislation a galement instaur le Public Company Accounting Oversight Board (PCAOB), qui a pour objet de guider les commissaires aux comptes dans la manire dauditer ce type de contrles internes. Parmi les autres rglementations, on peut citer lAccord de Ble (Ble II), qui sapplique au secteur financier, ainsi quun nombre croissant de lois et rglementations sur la protection de la vie prive et des donnes, telles que la directive europenne sur la protection des donnes, la loi amricaine Gramm-Leach-Bliley (GLBA), la loi Health Insurance Portability and Accountability (HIPAA) et le Payment Card Industry Data Security Standard (PCI DSS). 6. Le degr et le mode dexternalisation. Le recours l'infogrance progresse dans beaucoup dorganisations, en raison du cot lev et de lexpertise requise pour les services sous-traits qui ne font pas partie du cur de mtier de l'organisation (le GTAG : LInfogrance propose une analyse dtaille des diffrents modes dinfogrance et du niveau de risque qui y est associ5). Sagissant de linfogrance, il est important que les auditeurs prennent en compte les diffrents risques manant du mode dexternalisation lorsquils laborent leur plan daudit des SI. Les principaux facteurs qui interviennent sont la manire dont la direction gnrale envisage son rle de supervision et de pilotage, la maturit du dispositif (par exemple, processus en phase dinstallation ou bien consolid), les risques spcifiques au pays, ainsi que la complmentarit des plans de continuit dactivit la fois de lorganisation et du prestataire. 7. Le degr de standardisation des oprations. Les processus et procdures oprationnelles recouvrent lensemble du cycle de dveloppement des systmes, ainsi que les activits de gestion des configurations, des changements, des incidents, des oprations et de la scurit. linstar du degr de centralisation et de diversit des technologies dployes, le niveau de standardisation des oprations peut avoir une incidence sur la fiabilit et lintgrit de linfrastructure
SI et sur chacun de ses composants. Par consquent, les organisations qui adoptent des processus standardiss sur lensemble des fonctions de prestation de services amliorent leur capacit oprer en tant quorganisation hautement performante. LITIL, ensemble de concepts et de techniques pour la gestion des infrastructures SI, ainsi que pour le dveloppement et la mise en place dun nouveau systme informatique et le traitement automatis des informations, est un exemple de pratique standardise. Les publications de lITIL les plus largement utilises et comprises sont celles se rapportant la prestation de service et l'activit de support. Lun des principaux avantages de lITIL est quil tablit un glossaire commun de termes couramment utiliss. Les organisations qui mettent en uvre les concepts de lITIL affichent une fiabilit plus grande et des cots de prestation moins levs. 8. Le degr de dpendance technologique. Certaines organisations sont de grandes utilisatrices de technologies ou les utilisent pour se dmarquer de leurs pairs ou de leurs concurrents. Si un recours accru aux technologies de traitement de l'information peut amliorer globalement le systme de contrle interne, en particulier grce aux contrles applicatifs automatiss, plus la dpendance aux SI est importante, plus une forte gouvernance et de solides processus oprationnels internes sont ncessaires. En outre, lorsque les organisations dpendent fortement de la disponibilit et de lintgrit des fonctions automatises travers le SI, pour traiter leurs oprations et atteindre leurs objectifs, la part des risques lis aux SI dans le profil de risque gnral de lorganisation augmente. Par consquent, la nature et le degr de dpendance de lorganisation vis--vis de la technologie doivent tre mis en exergue dans lvaluation des risques constituant un pralable pour l'laboration du plan daudit des SI. Ces huit facteurs lis lenvironnement de SI, conjugus lapproche descendante employe pour prendre en compte les traitements oprationnels et linfrastructure SI, constitue un socle indispensable pour passer ltape suivante du processus de planification de laudit, savoir la dfinition de lunivers daudit et lvaluation des risques.
GTAG 7 : LInfogrance.
aider les auditeurs identifier les processus de fonctionnalit critiques des SI. Nanmoins, les carts dans la manire dont des directions similaires excutent leurs processus peuvent ajouter la complexit de cette analyse. Ainsi, des usines situes dans des endroits diffrents peuvent ne pas recourir aux mmes procdures dapprovisionnement. Dans des organisations dcentralises, les diverses directions peuvent employer des applications diffrentes ou bien une application commune peut tre configure diffremment dans la mesure o elle fonctionne comme une application totalement distincte. Par exemple, une unit utilise SAP R/3 sous UNIX avec une plateforme Oracle, alors quune autre utilise SAP R/3 sous Windows avec une plateforme SQL Server. Bien que similaire, la structure du traitement automatis, pour ces processus, est diffrente et peut ncessiter des revues particulires.
de documents ou des connexions externes pour les partenaires et sous-traitants. Parce que des entreprises peuvent tre partenaires sur un projet et concurrentes sur dautres, il est important de limiter leur accs aux seules ressources SI ncessaires en loccurrence.
tration de la scurit du rseau. Cette fonction peut se dcliner en diverses activits comme la configuration des parefeux, routeurs et commutateurs, la gestion de la connexion Internet, des rseaux sans-fil, de la voix numrique et des connexions aux rseaux externes. En consquence, chacun de ces domaines peut constituer un domaine daudit spcifique au sein du SI. De surcrot, parce que les fonctions SI centralises sont susceptibles de changer au fil du temps, il convient de les examiner et de les rexaminer au moins une fois par an, parmi les thmes relevant de lunivers daudit du SI. On peut adopter une approche comparable pour les fonctions SI dcentralises, pour lesquelles chaque site physique peut reprsenter un sujet daudit distinct. Selon la taille du site vis, laudit peut porter sur les contrles gnraux et les contrles techniques, pour chaque couche de l'infrastructure. Laudit ne doit porter, toutefois, que sur les contrles des SI dont le site local est responsable, et pas sur les contrles grs par les fonctions SI centralises. Si le site est important et quil utilise un grand nombre de technologies, les auditeurs peuvent tre amens raliser plusieurs interventions dans ce site en tant que partie de lunivers daudit.
inscrire au programme d'audit le dploiement et la gouvernance des processus standardiss l'chelle de lorganisation. Ces revues au plus haut niveau permettraient ainsi dvaluer lefficacit des processus eux-mmes, lefficacit des processus tels quils sont dploys et lefficacit du modle de gouvernance de faon sassurer que les processus transversaux sont mis en uvre conformment ce qui tait prvu. Une fois les processus standardiss audits, les audits de sites doivent porter davantage sur le respect local des processus eux-mmes, plutt que sur la mesure de leur efficacit.
GTAG 4 : Management de laudit des systmes dinformation, p. 11. GTAG 4 : Management de laudit des systmes dinformation, p. 11.
Les cueils viter sont notamment de ne pas dfinir correctement le primtre de la mission, ou de dfinir le plan uniquement en fonction des capacits des effectifs, ou de crer un dsquilibre dans les sujets traits. En outre, les objets daudit doivent tre scinds en domaines de dimension approprie une affectation raisonnable des ressources daudit. Ce faisant, les auditeurs garderont lesprit qu'une dfinition large ou restreinte des objets daudit, risque d'avoir un impact positif ou ngatif sur les travaux d'audit. En effet, chaque mission comporte un certain nombre de charges, notamment pour la gestion administrative ayant trait la planification de laudit, les revues de management, la validation finale des travaux et la formalisation et la communication des rsultats. Si, par exemple, le programme daudit prvoit de nombreuses missions caractre restreint, les auditeurs internes pourraient passer autant de temps grer les audits qu les effectuer. linverse, si le domaine audit est trs large, les audits pourraient se drouler sur une priode prolonge, gner le client ou induire un examen trop superficiel. Selon la culture de lorganisation, des dfinitions trop vastes pourraient mme aboutir une augmentation non planifie du champ de laudit (glissement de primtre7). La dimension adquate de laudit dpend de la culture et des pratiques de lorganisation. En rgle gnrale, pour la plupart des organisations, dfinir un objet daudit qui mobilise deux trois auditeurs techniques semble tre un objectif raisonnable, car on bnficie alors des points de vue et expriences varis des auditeurs. En outre, une dure de trois quatre semaines semble raisonnable pour la plupart des organisations. La taille de laudit doit aussi cadrer avec les pratiques daudit en vigueur dans lorganisation. Cependant, lunivers daudit des SI ne doit pas se dfinir uniquement en fonction de la structure du service daudit en termes deffectifs, puisque cela risquerait daboutir un dsquilibre entre les missions ralises. Ainsi, certains services daudit informatique ne disposent daucun technicien ou spcialiste des SI, mais se composent dauditeurs connaissant les applications existantes. Ces auditeurs ont tendance se concentrer sur la couche applicative et risquent de ne pas prter une attention suffisante aux couches dinfrastructure sous-jacentes, alors mme qu'il serait ncessaire daboutir une couverture bien quilibre de toutes les couches techniques dans le cadre des missions ralises. Idalement, la fonction daudit interne doit regrouper des membres du personnel disposant dune qualification technique pointue et des auditeurs gnralistes avec une bonne comprhension des contrles applicatifs. Les auditeurs techniques, par exemple, peuvent vrifier que linfrastructure SI bnficie de contrles de scurit adquats et examiner les contrles applicatifs gnraux. Un bon quilibre entre les objets daudit, qui apprhendent toutes les 12
couches de lenvironnement informatique, constitue la clef de vote du plan daudit des SI, mme si les contraintes, lies au personnel du service daudit, sont un rel problme. Si tel est le cas, des effectifs supplmentaires sont ncessaires pour complter lexpertise du personnel en place. Les auditeurs doivent tre conscients que la technique daudit utilise durant les examens de la scurit pourrait se rvler inefficace si elle est utilise dans un environnement de serveurs non homogne, form de multiples plateformes. De fait, le domaine gnral de ladministration des serveurs pourrait tre trop vaste ou ingrable. Pour cette raison, de nombreuses organisations examinent leur scurit en fonction du type de plateforme qui les concerne, ce qui permet une analyse plus dtaille. Malheureusement, cette activit pourrait se traduire par des doublons car certaines tapes daudit sont rptes. En consquence, les auditeurs doivent dfinir des champs d'intervention distincts pour chaque plateforme et procder un audit des contrles gnraux sur toutes les plateformes. La responsabilit managriale est un point cl prendre en considration lorsque lon dfinit les composantes de lenvironnement du SI. Dans le pire des scenarii, on pourrait dfinir des thmes daudit qui s'avreraient transversaux par rapport aux lignes hirarchiques pilotant les diffrentes entits oprationnelles concernes. Cela pourrait crer en consquence un conflit quant savoir qui il revient, in fine, de mettre en application les remarques et recommandations mises par laudit l'issue de la mission. Il faut donc prciser clairement qui recevra le rapport daudit et qui est charg de remdier aux dficiences de contrles identifies. Enfin, le primtre de chaque thme daudit doit tre dcrit clairement, de sorte que les responsabilits en cause au sein de lorganisation soient clairement dfinies.
tenues dans lunivers daudit des SI, alors lunivers daudit de lorganisation doit tre mis en relation avec celui des SI de faon obtenir une vision globale pendant laudit. Mme si les applications sont maintenues lcart de lunivers daudit des SI, des thmes daudit individuels peuvent tre slectionns au sein de lunivers daudit des SI pour les applications grande chelle, c'est--dire qui sont mises en oeuvre par des fonctions multiples pour des processus multiples. En effet, il peut tre intressant dexaminer les contrles gnraux dune application dans le cadre dun audit autonome, plutt quen lincluant arbitrairement dans lun des nombreux audits gnraux.
13
Dfinition du risque issue du glossaire, Cadre de Rfrence International des Pratiques Professionnelles de laudit interne, IIAIFACI, 2009.
vis--vis des SI, afin de vrifier si elle cadre avec les objectifs identifis ltape prcdente. Lorganisation peut disposer de divers documents dcrivant la relation entre ses objectifs et le plan stratgique des SI, auxquels le responsable de laudit interne et les auditeurs internes ont besoin davoir accs, pour en prendre connaissance et en tenir compte dans leurs travaux. De manire gnrale, le plan stratgique est adoss aux objectifs de lorganisation et prcise de quelle manire il a t conu en ce sens. En dautres termes, le plan daudit identifiera des actions tactiques qui seront effectues par la DSI dans un dlai prcis, actions visant soutenir la ralisation des objectifs de lorganisation.
5.1.3 Lunivers du SI
Comme indiqu plus haut, les auditeurs commenceront par dresser linventaire des composantes de lenvironnement informatique afin de dterminer quels domaines du SI verront leurs risques et contrles examins. Sil nexiste pas une approche unique idale pour raliser cet inventaire, de nombreuses organisations scindent leur univers de SI en trois grandes sous-catgories : infrastructure, production ou exploitation, et applications. Linfrastructure inclut toutes les composantes techniques qui soutiennent la circulation et le traitement des informations de l'organisation, comme les serveurs, routeurs, ponts, mainframe, lignes de communication, imprimantes, serveurs de donnes, quipements rseau, antivirus et ordinateurs de bureau. La production informatique vise, pour sa part, les processus et contrles qui grent lenvironnement informatique. On citera, par exemple, ladministration de la scurit physique et logique, la sauvegarde et la rcupration des donnes, les plans de continuit et de reprise d'activit, les contrats de service, les contrles portant sur les changements de programme, ainsi que la conformit aux lois et rglementations. Enfin, les applications dsignent les logiciels utiliss pour traiter, stocker et communiquer les donnes relatives aux transactions, aussi bien les systmes dERP que les applications autonomes gres avec Microsoft Excel ou Access.
ces dysfonctionnements ne sont pas appliqus correctement, ou sils ne fonctionnent pas efficacement. De plus, les auditeurs garderont lesprit que tous les risques peuvent ne pas avoir la mme importance ou tre pondrs de la mme manire dans lunivers daudit des SI (la pondration permet de distinguer limportance relative dun risque par rapport aux autres). Ainsi, si un domaine a une incidence directe sur lexactitude de la communication financire, il devrait tre pondr plus fortement quun autre qui naffecte pas directement lexactitude de la communication financire. Daprs la publication Assessing Risk de lIIA Research Foundation9, on peut mesurer le risque et limpact suivant trois approches : 1. Estimation directe des probabilits et des pertes attendues, ou application de probabilits la valeur des actifs afin de dterminer le niveau potentiel de pertes. Ce processus est le plus ancien, et nest pas considr comme une bonne pratique. Si le secteur des assurances le pratique toujours, les auditeurs internes s'en abstiendront. 2. Facteurs de risques ou utilisation de facteurs observables ou mesurables afin de valoriser un risque spcifique ou une classe de risques. Ce processus est privilgier pour des valuations globales (macro) de risques, mais il nest pas particulirement efficace pour une valuation lmentaire (micro) de risques, sauf lorsque les caractristiques des units objets d'audit sont homognes sur lensemble de lunivers daudit : une succursale, un site ou une usine, par exemple. 3. Matrices pondres ou de classification, ou utilisation de matrices menaces vs composantes afin dvaluer les consquences et les contrles. Cette mthode est prfrable pour la plupart des valuations de risques lmentaires. Le prsent GTAG se concentrera exclusivement sur lapproche par les matrices pondres ou de classification pour mesurer le risque et son impact. Comme le montre le tableau
chelle de probabilit
Probabilit leve que le risque survienne. Probabilit moyenne que le risque survienne. Faible probabilit que le risque survienne.
15
1, cette approche utilise une mthode trs simple pour noter le risque, selon que la probabilit doccurrence du risque est leve (3), moyenne (2) ou faible (1). Si la probabilit doccurrence du risque est relativement simple tablir, il en va tout autrement quand il sagit de dterminer limpact si la menace se concrtise. En effet, limpact du risque peut comporter plusieurs aspects quantitatifs et qualitatifs. En outre, les diffrents aspects ne sont pas tous traits de la mme manire (certains risques sont plus importants que dautres). Daprs Assessing Risk 10, on distingue gnralement trois types de facteurs de risques : les facteurs de risques subjectifs, les facteurs de risques objectifs ou historiques, et les facteurs de risques calculs. 1. Les facteurs de risques subjectifs. Pour mesurer le risque et son impact, il faut mobiliser la fois de lexpertise, des comptences, de limagination et de la crativit. Cet accent plac sur les mesures subjectives est corrobor par la pratique : bien des units auditables voluent tellement entre deux audits que lhistorique des audits antrieurs napporte pas grand-chose. En consquence, le jugement cens mais subjectif dun praticien chevronn est tout aussi valide que nimporte quelle autre mthode. 2. Les facteurs de risques objectifs ou historiques. La mesure des tendances des facteurs de risques peut se rvler utile dans les organisations stables. Dans tous les cas, des informations objectives actualises sont utiles pour mesurer le risque. 3. Les facteurs de risques calculs. partir dinformations historiques ou objectives, on peut tablir la catgorie des facteurs de risques calculs, qui est un sous-ensemble de la catgorie prcdente. Ces facteurs sont souvent les plus dlicats utiliser car ils dcoulent de facteurs de risques en amont. En raison de ces facteurs de risques, les responsables de laudit interne et les auditeurs internes conoivent et appliquent un modle dimpact des risques qui correspond leur organisation. Ce modle doit tre analogue celui employ pour lvaluation des risques de lensemble de lorganisation. Cependant, lchelle du modle et la mthodologie de classement sont modifies pour chaque risque li aux SI. Comme le montre le tableau 2, et pour les besoins de ce GTAG, limpact de chaque composante est class selon une mthode trs simple de classement des risques (catgories leve, moyenne ou faible), comme pour la probabilit d'occurrence prsente au tableau 1. Le tableau 3 page 18 montre un exemple de rsultats dune valuation des risques : on a appliqu les chelles de probabilit et dimpact chacune des catgories de risques
(financiers, qualit du dispositif de contrle interne, changements dans les units daudit, disponibilit, intgrit et confidentialit). Pour chaque catgorie, on multiplie la valeur attribue la probabilit d'occurrence de la menace par celle affecte limpact ; le score pour chaque domaine est gal la somme de ces produits. Par exemple, pour les risques qui concernent le domaine de lapplication ERP et contrles gnraux, la somme des valeurs obtenues pour le produit de la probabilit et de limpact donne 42. La mme procdure est applique tous les autres domaines daudit envisageables. Sur la base de cette approche de la notation, le score le plus bas possible est 6 et le plus lev 54. Le tableau 4 montre les fourchettes de notes et les frquences des audits ou des revues qui y correspondent sur la base des ressources disponibles de lorganisation.
10
en particulier, comme le COBIT, la norme ISO 27002 ou lITIL. Par consquent, il incombe au responsable de laudit interne de dterminer quelles parties de ces rfrentiels, ou dautres, rpondent le mieux aux besoins de lorganisation. Il importe de garder lesprit quaucun de ces cadres de rfrence nest applicable toutes les situations. Il sagit plutt de cadres que les organisations peuvent utiliser pour grer et amliorer les fonctions SI. Il sortirait du champ de ce GTAG de donner des indications sur les avantages et les inconvnients de ces rfrentiels, comme des autres modles de gouvernance des SI, mais nous proposerons un survol du COBIT. Depuis sa publication en 1996, le COBIT constitue un rfrentiel phare pour la gouvernance des SI. Sa mission est de concevoir, dvelopper, publier et promouvoir un ensemble dobjectifs de contrle de linformatique gnralement accepts correspondant ltat de lart, valables au plan international et qui fassent autorit, destination des gestionnaires et des auditeurs, pour leur usage quotidien11 . Formant un cadre et un ensemble doutils, le COBIT permet aux organisations de combler des lacunes en termes de contrles impratifs, de problmes techniques et de risques pour lorganisation, et de communiquer ce niveau de contrle aux parties prenantes. Le COBIT favorise galement la mise au point de politiques et de pratiques claires pour le contrle des SI12. En outre, le COBIT propose aux responsables de laudit interne et aux auditeurs internes un ensemble doutils sur lesquels ils peuvent sappuyer pour orienter le processus dvaluation des risques lis aux SI. Il propose, comme outils, un ensemble dobjectifs de contrle clairement noncs, des solutions pour tester les contrles, ainsi quune chelle pour classer la maturit de lenvironnement de contrle des SI. Le rfrentiel COBIT se compose de quatre domaines (planification et organisation, acquisition et mise en place, distribution et support, surveillance et valuation) avec un total de 34 processus relevant des SI. Comme pour nimporte quel cadre de contrle s'appuyant sur des bonnes pratiques, les auditeurs doivent procder avec prudence lorsquils utilisent ce cadre. Le responsable de laudit interne et les auditeurs internes doivent prendre en compte les concepts et orientations du cadre et les appliquer dans leur propre contexte. En dautres termes, le COBIT a t labor, puis affin au cours de la dernire dcennie avec laide dexperts de terrain, duniversitaires et de diffrents secteurs d'activit travers le monde. Il en rsulte un rfrentiel qui semble pouvoir fonctionner parfaitement dans une grande organisation, disposant dune fonction SI importante, mais qui peut fonctionner tout aussi bien dans les petites et moyennes organisations.
11 12
Toutefois, le responsable de laudit interne et lquipe daudit interne doivent avoir bien conscience que ce nest pas parce que la fonction daudit ne suit pas la lettre le cadre du COBIT que la DSI, ses processus ou ses donnes ne sont pas contrls ou grs correctement. Ils peuvent simplement se servir du COBIT comme dun guide utile durant lvaluation des risques lis aux SI, et ensuite laudit proprement dit. Dans le meilleur des cas, le responsable de laudit interne et lquipe daudit interne peuvent intgrer le COBIT lensemble des rfrentiels et directives relatifs aux contrles et aux risques, ainsi que pour aider la DSI mettre en uvre tout ou partie du rfrentiel.
17
Risques lis aux SI Impact financier fin Qualit du Changements dispositif de dans lunit Disponibilit contrle daudit interne Score et niveau
Domaine
Intgrit
P
Contrles de lapplication ERP et contrles gnraux Systmes de transfer t lectronique de fonds Applications RH/paie Applications relatives aux avantages sociaux (externalises) Infrastructure SI Systmes de contr le des processus Administration et scurit des bases de donnes Administration et scurit sous UNIX Respect de la politique de confi fidentialit de lentreprise Administration et scurit des serveurs sous Windows Systmes de reporting environnemental Examen de la conformit la loi SOX Administration et scurit du rseau Pratiques de dploiement de lITIL 3
I
3
P
2
I
3
P
3
I
3
P
2
I
3
P
2
I
3
P
2
I
3 42
41
40
40
38
15
27
24
34
26
24
19
17
21
12
Connectivit distance Contrle des changements apports aux programmes applicatifs Score le plus bas possible Score le plus lev possible Point intermdiaire P = Probabilit I = Impact
12
16
6 54 30
Tableau 3. Exemple de modle de notation pour la hirarchisation des risques lis aux SI
18
Dans la plupart des organisations, ces deux tapes fusionnent, dans une certaine mesure, comme le montre la surface de chevauchement des deux sphres reprsentant chaque processus dans la figure 4. Ainsi, certains risques ou domaines auditables peuvent tre exclus de lvaluation des risques sur la base du niveau de ressources qui peut tre requis pour laudit. Toutefois, il importe de raliser ces tapes de faon objective, en tenant compte des facteurs et des objectifs de chaque tape. En outre, le programme daudit des SI devra tre laborer dans le cadre du processus de planification stratgique de laudit interne. Ce processus est cyclique et peut tre intgr dans un cycle de management classique plan, do, check, and act (planifier, raliser, vrifier, ajuster). En consquence, alors que la programmation est le principal dispositif qui permet de mettre en uvre ce processus, elle dtermine la manire d'atteindre les objectifs daudit. Il convient en cela dy inclure une liste des activits daudit, le calendrier, les relations de dpendance et la rpartition de ressources ncessaires pour atteindre les objectifs daudit. Certaines normes de lIIA dcrivent la nature des services daudit interne et proposent des critres de qualit au regard desquels se mesure leur performance. Les critres de performance prsents dans les normes 2000 Gestion des services d'audit interne, sont tout fait adapts au processus de programmation de laudit : Norme 2010 Planification. Le responsable de laudit interne doit tablir une planification fonde sur les risques afin de dfinir des priorits cohrentes avec les objectifs de lorganisation.
Activits cls Obtenir auprs des parties prenantes des informations explicites. Identifier les risques pertinents. valuer les risques. Hirarchiser les risques.
Activits cls Prendre en compte lunivers des objets daudit potentiels. Affecter et rationaliser les ressources. Effectuer des rapprochements et finaliser le plan daudit.
Figure 4. Objectifs des valuations des risques et des plans daudit (source : Ernst & Young, 2007). 19
Norme 2020 Communication et approbation. Le responsable de laudit interne doit soumettre la direction gnrale et l'organe dlibrant son programme daudit et ses besoins, ainsi que tout changement important susceptible dintervenir en cours dexercice. Le responsable de laudit interne doit galement signaler limpact de toute limitation de ses ressources. Norme 2030 Gestion des ressources. Le responsable de laudit interne doit veiller ce que les ressources affectes cette activit soient adquates, suffisantes et mises en uvre de manire efficace pour raliser le programme daudit approuv.
tion des mission de conseil dans le plan daudit donne des informations sur la mission de conseil). Il faut donc que les responsables de laudit interne envisagent daccepter des projets de missions de conseil en se fondant sur la capacit de ces missions amliorer le management des risques, ajouter de la valeur la ralisation des oprations de l'organisation et en amliorer les conditions. Les missions acceptes seront intgres dans le programme daudit des SI.
Priorit
Action immdiate gnralement dans la premire anne Action moyen terme durant le cycle daudit Missions gnralement non planifies durant le cycle daudit
Frquence
Examens annuels ou actions multiples durant le cycle daudit Une ou plusieurs missions daudit durant le cycle daudit peuvent tre diffres Au maximum une mission planifie dans le cycle daudit
Allocation de base
Allocation limite
20
cette mthode, qui est particulirement approprie dans le contexte du plan daudit des SI, tant donn que les SI voluent plus rapidement que dautres domaines. Le tableau 5 prsente des critres qui peuvent servir dterminer la frquence et lallocation des ressources en fonction des rsultats de lvaluation des risques. Ce processus doit tre compris comme une squence dactivits, cyclique, rptitive et itrative, comportant une approche descendante avec au moins trois niveaux : Niveau 1, lunivers daudit o toutes les donnes dentre sont intgres. Niveau 2, les diffrents processus de lorganisation o il convient didentifier et de planifier, au pralable, les missions daudit. Niveau 3, les missions daudit o lon peut affiner et optimiser le plan. Outre la frquence des audits, llaboration du programme daudit prendra en compte dautres facteurs : Stratgies de sous-traitance de laudit interne. Il est courant de mettre en uvre diffrentes stratgies dexternalisation ou daccroissement des effectifs, notamment lembauche de personnel interne, lexternalisation et le co-sourcing, quil faut envisager au cours du processus de planification annuelle. Estimation des ressources disponibles pour laudit des SI. Il sagit dinventorier les comptences techniques disponibles et d'en rapprocher les rsultats avec les besoins daudit des SI. La disponibilit des ressources est gnralement dtermine sur une base annuelle et repose la fois sur le nombre dauditeurs ETP (quivalent temps plein) et sur les comptences ncessaires. Les jours daudit disponibles correspondent la diffrence entre le nombre de jours daudit, fonction du potentiel nominal, et les activits non lies laudit ou les priodes non travailles, telles que le temps de formation, les congs pays et les jours fris. Les demandes du Conseil d'administration et de la direction gnrale incluses dans le programme et portant sur le contrle des services dassurance et de conseil. Lobligation de se conformer la rglementation et aux autres dispositions en vigueur. Cette obligation sera incluse dans lunivers daudit et dans lvaluation des risques. Les audits externes synchroniser avec le plan daudit. La Norme de fonctionnement 2050 Coordination indique : Afin dassurer une couverture adquate et dviter les doubles emplois, le responsable de laudit interne devrait partager des informations et 21
coordonner ses activits avec les autres prestataires internes et externes dassurance et de conseil. Les initiatives et efforts internes destins amliorer la fonction daudit. Tout ce qui va au-del des missions daudit et constitue un investissement a besoin dtre planifi, budgtis et prsent dans le plan daudit. Exemples : revue de lassurance qualit, valuation intgre des risques, communication au comit daudit, suites donnes aux recommandations de laudit. La mise en rserve dun budget et dun programme daudit des SI, permettant de faire raisonnablement face des situations non prvues.
prcdentes. Le plan prsentera galement diffrents types daudit des SI, par exemple les suivants : Audits intgrs des processus de lorganisation. Audits des processus SI (audits de la stratgie et de la gouvernance des SI, audits des efforts dploys pour la gestion des projets, activits, politiques et procdures de dveloppement des logiciels, processus COBIT/ISO/ITIL et scurit de linformation, gestion des incidents, gestion des changements, gestion des patchs et assistance). Audits des projets de lorganisation et des initiatives portant sur les SI, notamment les revues du cycle de dveloppement des logiciels. Revues au titre des contrles applicatifs. Audits de linfrastructure technique (revues de la gestion de la demande, valuations de la performance, valuations des bases de donnes, audits des systmes dexploitation, analyses des oprations, etc.). Audit du rseau (examen de larchitecture du rseau, tests d'intrusion, valuation des vulnrabilits et de la performance). Afin de vrifier que ltendue de chaque audit est adquate, les auditeurs peuvent se pencher sur les aspects suivants : Contrles gnraux des SI, contrles applicatifs et contrles de linfrastructure. Contributions aux revues oprationnelles, aux revues des aspects financiers et aux examens de conformit. Principaux objectifs des contrles (sparation des tches, concentration des tches et scurit, entre autres). Nouvelles tendances des SI et menaces induites, innovations et impact. Toutes les couches SI.
examiner divers scenarii dintgration, allant dun scnario de faible intgration, dans lequel la fonction daudit des SI est bien dfinie et tablie au sein du service daudit interne (avec un univers et une tendue qui lui sont propres) un scnario daudit entirement intgr, o toutes les composantes des SI sont bien prises en compte, pour chaque segment de lorganisation. Le tableau 6 illustre des scenarii reposant sur diffrentes options dintgration du plan daudit des SI : Un plan daudit faiblement intgr. Il sagit dun plan autonome daudit des SI, plac sous la responsabilit de lquipe daudit des SI. Un plan faiblement intgr est organis par domaines associs aux SI, gnralement spar des activits non lies laudit des SI et inclut la revue des applications. Le plus souvent, le champ de ces autres activits nenglobe aucune des composantes des SI. Un plan daudit partiellement intgr, nonant les missions daudit des SI dfinies par une quipe centrale daudit des SI. Ce type de plan comporte un ensemble supplmentaire de missions planifies, que lon appelle habituellement des revues dapplications et qui sont rparties entre dautres quipes daudit non spcialises dans les SI et coordonnes avec les revues dautres processus de lorganisation. Un plan daudit fortement intgr, dans lequel les activits daudit des SI font partie intgrante des missions portant sur les processus de lorganisation. Souvent, les activits daudit des SI sont planifies sous la responsabilit dune quipe pluridisciplinaire dont les membres disposent dun ensemble quilibr de comptences, notamment dun savoir-faire en audit des SI. tant donn quun systme de contrle interne comporte gnralement des contrles manuels et des contrles automatiss, avec un recours accru aux contrles applicatifs, la capacit de dfinir ltendue de laudit de faon prendre en compte tous les contrles est essentielle pour une valuation globale de lenvironnement de contrle. Un audit complet, incluant une revue de tous les lments des SI, offre lopportunit dvaluer si la combinaison des contrles permet de rduire les risques de lorganisation.
les domaines daudit obligatoires et les demandes de la direction gnrale relatives des activits dassurance et de conseil. Lun des objectifs de la phase de planification tant dallouer des ressources aux domaines dans lesquels laudit interne peut crer le plus de valeur ajoute, comme aux domaines des SI induisant le plus de risques, les auditeurs dtermineront la manire dont le programme pourra reflter cet objectif. La figure 5 (p.24) illustre ce quoi aspirera laudit. Daprs ce schma, tant donn que tous les objets et missions daudit sont reprsents en fonction de la probabilit et de limpact des risques qui y sont associs, lensemble des quadrants du schma refltent tous les audits possibles. Dans les cases en gris, on trouve la slection idale daudits et de missions : le programme daudit se compose majoritairement des audits correspondant au quadrant du schma rassemblant les risques les plus levs, et les autres audits sont slectionns, de faon proportionnelle, dans les quadrants du schma qui correspondent un risque moyen ou faible. De plus, une partie des audits porteront sur la conformit et sur les domaines daudit obligatoire. Par consquent, les auditeurs noteront que, mme sil existe des raisons valables dinclure dans le plan des audits associs un risque faible, il convient denvisager dautres stratgies daudit, telles que lauto-valuation des contrles, afin de limiter les ressources ncessaires la revue.
peuvent amener dfinir un nouvel ensemble dobjectifs pour les SI, ce qui dbouche sur de nouvelles initiatives, acquisitions ou transformations dans le domaine des SI, ou des changements visant rpondre aux besoins de lorganisation. Lors de llaboration du plan daudit, il importe donc de prendre en considration le caractre dynamique et volutif de l'organisation. Plus prcisment, les auditeurs devront alors tenir compte du rythme de changement des SI, plus rapide que celui des autres activits, de ladquation du calendrier de dveloppement dun systme avec le rsultat des audits de ce cycle de dveloppement. Les auditeurs tiendront compte de lorigine spcifique du changement. Ainsi, le plan daudit des SI pourrait tre rvis en raison des phnomnes suivants : volution des ressources stratgiques, organisationnelles ou humaines. Nouvelles initiatives portant sur les processus de lorganisation, notamment lutilisation dune technologie haut risque, telle que le commerce lectronique. Changements majeurs dans les applications : par exemple, adoption dune nouvelle version dune application de commerce en ligne. Adoption de suites logicielles de support et dadministration prsentant un caractre critique. Menaces sur le rseau et sur les infrastructures, qui imposent de rvaluer la gestion de la scurit de linformation. En consquence, il faut priodiquement rexaminer les priorits du programme daudit des SI et, au besoin, en rendre compte au Conseil d'administration et la direction gnrale plus frquemment que pour dautres domaines daudit plus classiques et plus statiques. Laudit des SI devra
Univers daudit
Processus Oprationnels Financiers Conformit Systmes applicatifs Contrles applicatifs Contrles gnraux des SI Contrles de linfrastructure SI Bases de donnes Systmes dexploitation Rseau Tableau 6. Audit des SI et audit intgr
Approche intgre
Audit des SI
Approche intgre
Approche intgre
Audit des SI
Audit des SI
Approche intgre
23
Risque vise
Domaines daudit obligatoire Risque valu
Probabilit
Figure 5. Rsultats daudit viss. galement analyser les changements de lunivers daudit des SI et se montrer suffisamment souple pour adapter son programme aux nouvelles situations. De surcrot, il convient de rvaluer le plan priodiquement et de faire montre dune plus grande flexibilit pour ragir aux volutions de lactivit et des environnements de SI en ajustant le classement et lordre de priorit des audits planifis. Enfin, il est essentiel que le plan mette en relation chaque lment de lunivers daudit des SI avec lune des phases suivantes du cycle de dveloppement des logiciels : tude de faisabilit, analyse, conception, implmentation, tests, valuation, maintenance et production. La valeur ajoute apporte par une fonction daudit interne dpend largement de la qualit des recommandations de cette fonction et des effets positifs que lorganisation peut retirer de leur mise en uvre. Ainsi, il est souvent directement bnfique de remdier aux problmes de conformit lies aux rgles financires/montaires. En revanche, il peut tre indirectement bnfique de contribuer amliorer la rputation, lavantage concurrentiel, la maturit des processus et la capacit dinnovation dune organisation. Le facteur temporel est lune des principales caractristiques des recommandations de laudit qui influent sur la valeur ajoute. Il est important durant tout le cycle des applications des SI. En gnral, plus on identifie tt une faiblesse ou un risque dans le cycle de vie des logiciels, plus les recommandations de laudit creront de la valeur ajoute. Ainsi, le cot de mise en uvre d'une modification majeure destine remdier la faiblesse dune application critique est nettement plus lev quand le systme est en production que lorsque la mme faiblesse est traite au cours de la phase de conception.
Outre la valeur ajoute qui dcoule de la qualit des recommandations de laudit, le professionnalisme de lauditeur interne sen trouve davantage reconnu. La fonction daudit interne dterminera ensuite comment planifier ses travaux pour formuler le bon type de recommandations dans un dlai optimal par rapport la dure du cycle de dveloppement En principe, la stratgie de planification sera dploye avant le dbut du cycle, afin que des actions appropries puissent tre planifies en termes de temps et de ressources. Il est impratif que le plan daudit des SI parvienne quilibrer les travaux daudit sur lensemble du cycle, de faon viter la concentration des efforts sur la phase de maintenance et de production, et dlimiter un champ daudit adquat durant les phases initiales. En suivant ces recommandations, les organisations pourront passer dune stratgie classique de planification traditionnelle et a posteriori (cest--dire reposant principalement sur les activits oprationnelles, la conformit et les aspects financiers) une approche plus innovante, source de valeur ajoute et par nature plus consultative.
24
charg des SI de faon obtenir leur soutien. La comprhension, la coordination et le soutien de lquipe charge des SI rendront le processus daudit plus efficace et plus efficient. De plus, la connaissance anticipe du programme facilite un dialogue franc et permanent, qui permet de discuter de lvolution des risques et de lenvironnement oprationnel, chaque tape de la ralisation du plan d'audit, et de procder des ajustements en continu. Linteraction avec les clients lors de lvaluation des risques et avant lapprobation du plan daudit final est fondamentale pour la qualit globale du plan.
25
Systmes de production : - Responsable des systmes utiliss sur les sites de production. - Applications locales, incluant la gestion de la paie pour les sites hors tats-Unis, les bases de donnes pour la recherche et le contrle de la qualit, le reporting environnemental et les systmes de contrle des processus de production. - Analyse financire et contrles financiers. Stratgie et gestion des risques : - Contrats, achats et licences. - Stratgie, architecture et normes. - Services de scurit. - Changement au niveau des SI et gouvernance des SI. - Bureau de gestion des projets. Les sites de production forment le cur de lorganisation. tant dissmins travers le monde et nayant pas tous la mme capacit, ils induisent des risques susceptibles dinfluer sur les fondamentaux et sur les aspects financiers de lentreprise. Qui plus est, mme si ces sites de production constituent un modle dentreprise lgrement dcentralis, la composante globale et les composantes de service centralises offrent lopportunit de raliser des audits axs sur les processus dans plusieurs fonctions de lentreprise la fois. En ce qui concerne la conformit, lorganisation relve de la lgislation des tats-Unis et de la lgislation europenne, notamment de la loi Sarbanes-Oxley, de la directive europenne sur la protection des donnes caractre personnel, du Foreign Corrupt Practices Act (tats-Unis) et dautres dispositions applicables aux sites sur lesquels elle opre. Daprs son plan dactivit (business plan) annuel, lentreprise a plusieurs grands projets dinvestissement en cours qui auront un impact considrable sur sa comptitivit venir. Enfin, la fonction SI est bien harmonise avec le modle dactivit. Cette socit utilise un groupe dapplications relativement homogne, dont une application ERP standard, une infrastructure globale de serveurs et de rseaux, ainsi que des processus dappui standard pour la mise disposition de services de SI, la gouvernance et la scurit.
7.1 Lentreprise
Notre entreprise fictive est cote en Bourse. Elle produit et fournit des matires premires mises en uvre par des fabricants de biens de consommation sur diffrents marchs dans le monde. Voici son profil : Total des actifs : 7 milliards de dollars. Socit base aux tats-Unis. Trente sites de production dans sept pays : Arabie saoudite, Belgique, Chine, Core du Sud, tats-Unis, Qatar et Singapour. Six centres de recherche, de technologie et de contrle de la qualit, sur chaque site de production. Cinq mille salaris dans le monde. Cinq grands concurrents. Prs de 3 000 brevets nationaux et internationaux et demandes de brevet. Trois principales directions oprationnelles pour la fabrication des diffrentes lignes de produits, sige centralis et entits fournissant des services support. Trois gros projets dinvestissement destins renforcer et toffer la capacit de production. De plus, lorganisation centralise des SI de cette entreprise comporte quatre divisions de base : Infrastructure globale : - Tlcommunications. - Communications vocales. - Rseaux. - Connexion distance. - Informatique de bureau et Internet. - Gestion du cycle de vie de linformation. - Serveurs. Applications dentreprise : - Une grande application ERP utilise dans toute lentreprise pour la gestion de la chane logistique, la comptabilit gnrale, les ressources humaines (bases aux tats-Unis), la vente et la distribution. - Support technique SAP et programmation ABAP (Advanced Business Application Programming).
26
Comme indiqu dans les paragraphes prcdents, la composante globale et les composantes de service centralises offrent lopportunit de dfinir des objets daudit globaux axs sur les processus. Lapplication ERP centralise, les domaines support de linfrastructure globale et les processus standard mettant disposition des prestations informatises sont de bons candidats pour des objets daudit indpendants, couvrant de larges pans du risque associ aux SI. Les sites de production sont galement reprsents dans lunivers daudit des SI par des objets daudit faisant partie dapplications supportes localement et par une infrastructure sous-jacente (note, pour simplifier, site 1-30 dans le tableau 7). Ces objets daudit sont susceptibles de correspondre aux audits des processus, sur chaque site. Le tableau 7 prsente un exemple dunivers daudit constitu de thmes daudit des SI envisageables pour lentreprise. On trouve ces objets daudit, et dautres, dans chacun des 30 sites de production.
Aprs avoir dfini lunivers daudit des SI un niveau lev, il faut ensuite valuer les risques de lentreprise et les risques associs aux SI dans chaque domaine. Les catgories de risques sont values daprs leur probabilit doccurrence et limpact quelles auraient sur lorganisation si le management des risques ntait pas appropri. Cette approche fonde sur les risques recourt un classement relatif (tableau 8). On peut, par exemple, utiliser une chelle de notation trois degrs pour lvaluation de la probabilit et de limpact :
chelle de probabilit
M F 3 2 1 Probabilit leve que le risque survienne Probabilit moyenne que le risque survienne Faible probabilit que le risque survienne
Directions mtiers
Composante globale Composante globale Composante globale Composante globale Composante globale Composante globale Composante globale Composante globale Composante globale Composante globale Composante globale Segment dactivit 1-3 Site 1-30 Site 1-30 Site 1-30
Sujet daudit
Administration et scurit du rseau Connexion distance Administration et scurit des serveurs sous Windows Administration et scurit sous UNIX Contrles de lapplication ERP et contrles gnraux Revue de la conformit la loi SarbanesOxley Respect de la politique de confidentialit de lentreprise Administration et scurit des bases de donnes Pratiques de gouvernance des SI Pratiques de dploiement de lITIL Contrle des changements apports aux programmes applicatifs Grands projets dinvestissement (protection de linformation et conformit de lentreprise, notamment) Infrastructure SI Application RH/paie Systmes de contrle des processus M 2
Pour faciliter lanalyse, on slectionne une fourchette indiquant le niveau de risque (lev, moyen ou faible) :
Fourchette des scores composites du risque 35-54
Niveau
Frquence recommande pour le cycle daudit Tous les ans ou tous les 2 ans
20-34
6-19
Pendant la phase dvaluation des risques, les auditeurs ont dfinir une frquence recommande pour lexamen des objets daudit qui font partie de lunivers daudit, en fonc27
tion de la fourchette des scores composites du risque : les objets daudit risque lev seront examins tous les ans ou tous les deux ans, les sujets risque moyen tous les deux
trois ans, et les sujets risque faible tous les trois cinq ans. Les domaines risque lev pourront ainsi tre examins frquemment et ceux risque faible couverts de manire
Risques lis aux SI Impact financier fin Qualit du dispo sitif de contrle interne Changements dans lunit daudit Sco re et niveau
Domaine
Disponibilit
Intgrit
P
Contrles de lapplication ERP et contrles gnraux Systmes de transfer t lectronique de fonds Site 3 - Applications RH/paie Applications relatives aux avantages sociaux (externalises) Site 3 - Infrastructure SI Site 3 - Systmes de contrle des processus Administration et scurit sous UNIX Respect de la politique de confi fid dentialit de lentreprise Administration et scurit des bases de donnes Administration et scurit des ser veurs sous Windows Site 1 - Infrastructure SI 3
I
3
P
2
I
3
P
3
I
3
P
2
I
3
P
2
I
3
P
2
I
3 42
41
40
40
38
39
35
M/
34
M/
27
26
23
Site 1 - Systmes de contrle des processus Systmes de reporting environnemental Site 2 Infrastructure SI Grands projets dinvestissement Contrle des changements apports aux programmes applicatifs Examen de la conformit la loi SOX
27
24
23
25
23
22
28
Risques lis aux SI Impact financier fin Qualit du dispositif de contrle interne Changements dans lunit daudit Score et niveau
Domaine
Disponibilit
Intgrit
P
Administration et scurit du rseau Site 2 - Systmes de contrle des processus Pratiques de dploie ment de lITIL Site 2 - Applications RH/paie Site 30 - Applications RH/paie Site 1 - Applications RH/paie Site 30 Infrastructure SI Site 30 - Systmes de contrle des processus Pratiques de gouvernance des SI Connectivit distance 2
I
2
P
2
I
1
P
2
I
2
P
2
I
2
P
2
I
2
P
2
I
2 22 M
19
M/F
19
M/F
19
M/F
17
17
12
15
1 1
1 1
2 1
2 2
1 2
1 1
3 1
1 1
1 1
1 2
1 2
2 2
12 12
F F
P = Probabilit I = Impact
adquate tous les trois cinq ans. Le tableau 10, page 28, donne un exemple des rsultats dune analyse de risques. Lorsque les rsultats de l'analyse de risques sont disponibles, ltape suivante consiste formaliser le plan daudit. Comme indiqu dans le chapitre 6, le programme daudit se compose de projets daudit fonds sur les risques, dexamens obligatoires de la conformit, de demandes des parties prenantes et daudits de suivi des problmes significatifs dj identifis. Ces tches devant tre ralises avec les ressources daudit interne disponibles, il se peut que certains projets daudit ax sur les risques ne soient pas intgrs dans le plan daudit. Poursuivons notre exemple dentreprise fictive : le Conseil d'administration de cette entreprise a demand au service daudit des SI de prendre part la coordination dun test d'intrusion sur une infrastructure externe, et les responsables de lexploitation ont souhait obtenir lassurance que la conformit du management la loi Sarbanes-Oxley tait examine dans toute lorganisation. De plus, la DSI a
demand au service d'audit interne de participer au projet de dploiement de lITIL afin de dterminer si les processus de prestation de services taient efficaces et couvraient tous les risques. Ces demandes manant de tierces parties sont acceptes parce quelles entrent dans le cadre de la mission du service daudit interne, et elles seront automatiquement intgres au programme daudit. En outre, laudit des processus dachat, ralis lanne prcdente, ayant fait apparatre un important problme concernant la sparation des tches, un audit de suivi sera ajout dans le plan daudit afin de veiller ce que les actions correctives progressent comme prvu. Enfin, la conformit de la nouvelle politique globale relative la protection des donnes personnelles fera, elle aussi, partie du programme daudit, car il existe des projets de transmission des donnes personnelles entre les sites hors tats-Unis et le sige amricain. Lentreprise dispose dune quipe de cinq auditeurs pour les SI, soit environ 1 000 jours disponibles pour les missions,
29
compte tenu des priodes non travailles et de formation. Le tableau 11 prsente le programme daudit le plus efficace daprs lvaluation des risques associs aux objets daudit disponibles, aux domaines daudit obligatoire et aux demandes des tierces parties. Plusieurs objets daudit
risque lev nont pas t inclus dans ce plan (notamment les systmes de transfert lectronique de fonds, les systmes de contrle des processus et ladministration et la scurit des bases de donnes) parce quils ont t examins au cours des 12 derniers mois.
Mission
Coordination du test d'intrusion Suivi de lapplication relative aux achats Contrles de lapplication ERP et contrles gnraux Site 3 Application RH/paie Applications relatives aux avantages sociaux du personnel (externalises) Site 3 Infrastructure SI Administration et scurit sous UNIX Respect de la politique de confidentialit de lentreprise Administration et scurit des serveurs sous Windows Site 1 Infrastructure SI Site 1 Systmes de contrle des processus Systmes de reporting environnemental Grands projets dinvestissement Conformit la loi Sarbanes-Oxley Pratiques de dploiement de lITIL Total * Demande de la direction
Niveau de risque
* * M/ M/ M M M M M M/* F/*
Cycle
0 0 1 2 3 2 1 3 3 3 3 3 3 3 4
Le plan daudit prsent dans le tableau 11 constitue une perspective idale, tant donn le profil du service daudit interne, sa comprhension des stratgies et des objectifs de lentreprise, sa connaissance de lhistorique de lenvironnement de contrle et les changements devant intervenir dans les processus opratoires au cours de la campagne daudit venir. Le plan est examin avec la direction gnrale et les 30
responsables oprationnels, dans le cadre dune discussion faisant suite aux phases dvaluation des risques et de planification des audits. Cet examen permettra de vrifier que la contribution du management a t prise en compte de manire prcise dans le processus et donnera aux managers un premier aperu du programme daudit des SI pour lanne venir.
Cest aussi lors de cet examen quil convient de discuter des dates des missions daudit potentielles, car lentreprise est susceptible de connatre des priodes darrt total en raison dune possible interruption de ses oprations. Il faut, par exemple, discuter des dates prvues pour la mise en uvre des extensions de linfrastructure, ainsi que des calendriers relatifs aux activits oprationnelles les plus importantes, telles que les rorganisations ou les fermetures dusines, qui pourraient influer sur le processus daudit. Une fois que le plan a t finalis, la ralisation des audits et la mobilisation correspondante des ressources disponibles sont planifis. Il faut gnralement dsigner des auditeurs disposant des comptences requises, afin d'assurer le succs de la mission. Cependant, la programmation des audits est aussi une bonne opportunit de rpondre aux besoins de dveloppement du personnel en menant des audits qui largiront et tofferont tel ou tel domaine de comptence. Enfin, tant donn la nature dynamique de lorganisation, certains changements pourraient influer sur le programme et le calendrier daudit. Cest pourquoi, il est essentiel de mettre en place un plan efficace, de le grer sur toute sa dure et de sadapter aux mutations de lentreprise, de faon ce que les ressources restent axes sur les domaines prsentant un risque et, mme si ces domaines voluent, sur les proccupations de lorganisation.
31
GTAG Glossaire
Glossaire
Activits de conseil : Conseils et services y affrents convenus avec le client afin damliorer le gouvernement dentreprise, le management des risques et lenvironnement de contrle dune organisation. Cadre de rfrence (rfrentiel) : Principes directeurs formant un modle que les organisations peuvent utiliser pour valuer leurs pratiques. Code dun programme applicatif : Ensemble de programmes informatiques, fichiers de contrle, tables et interfaces utilisateur qui confrent une fonctionnalit oprationnelle des processus spcifiques, telles que la comptabilit, la paie ou les achats. Conformit : Acceptation et respect de la lgislation et de la rglementation en vigueur, incluant galement ladhsion aux rgles, plans, procdures, contrats et autres exigences. Environnement de contrle : positionnement de la direction gnrale et de l'encadrement en regard de l'importance qu'ils attachent au dispositif de contrle de l'entreprise. L'environnement de contrle constitue le cadre et la structure ncessaires la ralisation des objectifs primordiaux du systme de contrle interne. valuation des risques : Mthode visant dterminer la probabilit d'occurrence dun vnement susceptible dempcher lorganisation datteindre ses buts et objectifs de manire efficace, efficiente et matrise. Fonction daudit interne : Service, division, quipe de consultants ou autres intervenants menant, de manire objective et indpendante, des travaux d'valuation et de conseil, destines crer de la valeur ajoute et amliorer les oprations dune organisation. Infrastructure SI : Composantes cls de linfrastructure technique dune application, notamment le code logique de ses programmes, la base de donnes, le systme, le rseau et lenvironnement physique de chaque composante. Management des risques (gestion des risques) : Processus de management destin prendre en compte et traiter les incertitudes qui pourraient altrer la capacit de lorganisation atteindre ses objectifs. Normes : codification des processus o procdures en vigueur dans lentreprise, dont lapplication est obligatoire et qui donne des orientations sur la faon de se conformer la politique laquelle la norme est associe. Les normes relatives aux SI sont, en gnral, technologiquement neutres et peuvent tre scindes en contrles spcifiques aux SI et en directives gnrales. Politique : Dclaration crite indiquant lintention, les objectifs, les exigences et les responsabilits du management. Processus : Un ensemble dactivits de lentreprise lies les unes aux autres en vue de la ralisation dun objectif commun. Progiciel de gestion intgr (Enterprise resource planning ERP) : Grandes applications informatiques qui grent la totalit d'un processus Elles intgrent ainsi des activits comme celles relatives aux achats, aux stocks, la vente, la distribution, aux ressources humaines et au service client, ainsi qu la gestion financire et dautres aspects organisationnels. Projets de mise en place de systmes : travaux grande chelle raliss au sein de la fonction de mise disposition des SI, destins permettre le dploiement de nouveaux systmes applicatifs ou lments dinfrastructure. Ces travaux peuvent inclure, par exemple, des activits de gestion de projets, de ringnierie de processus, ou des techniques de gestion du changement. Rseaux : Dispositifs matriels et logiciels, tels que commutateurs, routeurs, pare-feux, cblages, programmes, qui commandent le routage des paquets de donnes afin de mettre en relation des ordinateurs et de leur permettre de communiquer entre eux. Responsable de laudit interne : Au sein dune organisation, poste hirarchique le plus lev en charge des structures daudit interne. Risque : Possibilit que se produise un vnement (menace) qui aura un impact sur la ralisation des objectifs de l'entreprise. Le risque se mesure en termes dimpact (consquences) et de probabilit d'occurrence. Processus de services support : Dans le contexte des SI, processus permettant de grer linfrastructure SI, ainsi que le dveloppement et linstallation de nouveaux systmes informatiques et de nouveaux traitements oprationnels recourant aux SI. Ces processus incluent notamment les activits dassistance et les procdures de gestion des configurations, des changements, des mises en production, des incidents et des problmes. Sous-traitance (externalisation) : Recours un tiers pour fournir une prestation de services (a priori non stratgiques)
32
GTAG Glossaire
au profit de lentreprise. La sous-traitance gagne en importance en raison du cot lev et du savoir-faire ncessaires pour fournir ces services. Systmes de bases de donnes : Ensemble de programmes permettant le stockage, l'actualisation et lextraction de donnes enregistres sur un support informatique. Systme de contrle interne : Systme englobant les cinq composantes du contrle interne, savoir lenvironnement de contrle, lvaluation des risques, les activits de contrle, linformation et la communication, et le pilotage, afin que le risque soit matris. Systme dexploitation : Logiciel excutant les tches lmentaires dun ordinateur, notamment le traitement des donnes saisies par loprateur, la gestion de la mmoire interne de lordinateur ou celle des fonctionnalits de lecture de disque, daffichage et de priphriques. Tiers : Entit non affilie lorganisation, ou une entit de l'organisation.
33
34
Rviseurs
LIIA tient remercier les personnes et organisations suivantes pour leurs prcieux commentaires et leurs apports cet ouvrage : Professional Practices Committee : - Advanced Technology Committee. - Board of Regents. - Committee on Quality. - Internal Auditing Standards Board. - Professional Issues Committee. - Ethics Committee. Urton Anderson, McCombs School of Business, Universit du Texas Austin, tats-Unis ; Lily Bi, IIA, tats-Unis ; Larry Brown, The Options Clearing Corp., tatsUnis ; Faisal R. Danka, Londres, Royaume-Uni ; Christopher Fox, ASA, eDelta, New York, tats-Unis ; Nelson Gibbs, Deloitte & Touche LLP, tats-Unis ; Frank Hallinan, Chevron Phillips Chemical Co. LP, tats-Unis ; Greg Kent, SecureIT, tats-Unis ; Lemuel Longwe, Ernst & Young Chartered Accountants, Zimbabwe ;
35
Steve Mar, Resources Global, tats-Unis ; Tom Margosian, Ford Motor Company, tats-Unis ; James Reinhard, Simon Property Group Inc., tatsUnis. LIFACI tient remercier pour leurs prcieux commentaires la traduction de cet ouvrage : Dominique VAN EGROO, Directeur Associ, FINTOO ; Jean-Claude HILLION, Inspecteur Gnral Honoraire de la Banque de France.
36