2265U08 Audit Systmes Informatiques

M. Jrme BRZEZINSKI Management Global Gestion et Informatique Formation laudit informatique - Synopsis Organisation des cours daudit informatique 1/ Introduction 11 janvier 2007 La notion de risque Les types de risque Le management des risques Les risques lis aux systmes dinformation Impact sur la dmarche gnrale 2/ Revue gnrale informatique 18 janvier 2007 La politique informatique Lorganisation et les quipes du service informatique La configuration matrielle et rseau La cartographie applicative Les contrles gnraux informatiques La gestion de la scurit informatique La gestion des changements informatiques Le dveloppement informatique Lexploitation informatique Exemples 3/ Revue dapplications informatique 25 janvier 2007 Historique et insertion de lapplication dans larchitecture globale Couverture fonctionnelle & dysfonctionnements Schma des traitements et matrice de contrle Identification des risques Approfondissement des risques identifis Analyse des aspects qualitatifs 4/ Test informatiques 1er fvrier 2007 Avantages des tests informatiques Situations amenant procder des test informatiques Typologie des tests informatiques Dmarche dans le cadre dune mission CAC Les facteurs de russite Prsentation de loutil IDEA 5/ Audit de la scurit informatique 8 fvrier 2007 Etat des lieux Continuit de service Confidentialit des informations et risques de fraude Risques derreur et de dysfonctionnement Mthode MARION 1

6/ Contrle interne / SOX 22 fvrier 2007 Contexte Dmarche SOX Dimension Systmes dinformation Cas des processus externaliss 7/ Audit en environnement ERP 15 fvrier 2007 Impacts des ERP sur les risques lis au SI Lapproche spcifique daudit des ERP Exemple de flux SAP La fraude et les mthodes de prvention de dtection 8/ Examen 8 mars 2007 Questionnaire choix multiple de type CISA Introduction Notion de risque Dfinition Risque Danger, inconvnient plus ou moins probable auquel on est expos. (Larousse) Les implications directes Risque pour qui ? Rq : en fonction de lactivit (ex : industries, banques, etc.) et de la taille (ex : rgionale, nationale, internationale) des entreprises, les risques ne sont pas les mmes. Importance relative / impact ? Probabilit doccurrence ? Les concepts associs

Risque Fonction de la menace et de la vulnrabilit Caractris par une probabilit et un impact

Un peu dhistoire De la perception de lavenir Jusqu lpoque de la Renaissance, lavenir est entre les mains dune force suprieure, et lhomme agit dans une perspective dternit ; La notion de Progrs bouleverse le rapport au temps : le prsent est dornavant occup construire lavenir A la perspective du risque La thorie des probabilits date du milieu du XVIIme sicle (Pascal / Fermat) ; 2

En cinquante ans, les bases de la probabilit du risque sont poses, entranant lmergence des mtiers de la finance, de lassurance, etc. ; La dernire pierre est pose au XXme sicle, avec la mesure du retour sur investissement, ouvrant la voie au risk management .

Les types de risque Multiplicit des risques Risque pays Risque de taux Risque de crdit Risque de vol Risque dapprovisionnement Risque de change Risque social Risque environnemental Risque fiscal Rq : fraude fiscale Le risque fiscal est sous-estim en France. Risque dexploitation Risque de catastrophe Rq : inondation du 1910 Paris Risque stratgique Risque dintrusion Mode de classification Par type de menace : Risques de march Risque de taux Risque de change Risque de crdit Risque pays Risques stratgiques Risque dimage Risque dalliance Concurrence investisseurs Risques oprationnels Risque dapprovisionnement Risque social Risque de malveillance Risque fiscal Risques de catastrophe Catastrophes naturelles Risque juridique catastrophe boursire Risque terroriste Par moyen de protection :

Risque global Risque acceptable Risque social Risque fiscal Risque couvrable Risque de taux Risque de cours Risque de change Risque assurable Risque de vol Risque de catastrophe Risque dexploitation Risque diversifiable Risque dapprovisionnement Risque dexploitation La rgle du sur mesure Il nexiste pas de classification universelle des risques, pas plus que de systme de gestion prt lemploi Chaque entreprise se doit de raliser sa propre classification, en fonction notamment de : Son secteur dactivit Sa position concurrentielle Son organisation Etc. Par proprit pour lentreprise :
Impact Plan de secours Action immdiate

Suivi priodique

Plan dactions Probabilit

Rq : plan de secours est le plan dorganisation et de raction prvu en cas du risque concern survenu. Le management des risques Dmarche gnrale Stratgie Dfinition et qualification des risques Stratgie daudit Evaluation des vulnrabilits Evaluation de vulnrabilits Plan daction Moyens de protection Mise en uvre des moyens de protection Plan de communication et de formation Actions de suivi 4

Mesure de la conformit Plan daudit

Stratgie de risque Dfinition et qualification des risques : Identifier lensemble des risques Inhrents lactivit et au secteur Propres lorganisation Etablir une classification (par impact, ) Obtenir la validation de la Direction Gnrale Elaboration de la stratgie daudit : concevoir une charte daudit attribuer les responsabilits allouer les ressources Evaluation des risques Evaluation des vulnrabilits : dfinir les outils et les moyens dinvestigation valuer les dispositifs en place dtection et prvention protection transfert tablir la cartographie du risque rsiduel Conception du plan dactions : objectifs claires et mesurables Rq : plus il est simple, plus il marcherait mieux. responsabilits et moyens identifis Rq : avant tout (cd les moyens de scurits), la gestion des risques est une mise en place dune politique de dmarches de contrle. Mise en uvre Mise en uvre oprationnelle : conception et dploiement des solutions mode projet incluant les oprationnels mesure defficacit respect des moyens allous intgration dans les processus existant Communication et formation : diffuser les rfrentiels Rq : comment on mesure et classer les risques ? intgrer la gestion du risque dans les objectifs individuels Systme dassurance Mesurer la conformit : suivi de la ralisation du plan dactions tableau de bord de la gestion des risques Etablir le programme daudit : revue priodique des vulnrabilits 5

 contrles spcifiques Prenniser la dmarche : industrialiser les outils maintenir la communication interne Vers une vision dynamique Evolution des enjeux et objectifs de lentreprise : amlioration de la performance modification des contraintes rglementaires apparition de nouveaux concepts : dveloppement durable Rq : social , environnemental et conomique thique recours aux nouvelles technologies tendue du champ de certification Trois cycles de gestion des risques :

Rq : les systmes ont une auto-valuation et remontent les informations travers le systme de management des risques qui fait la synthse. La position des organisations Le business model de lentreprise Processus de lexcutif : stratgie, organisation, pilotage, Processus oprationnels : production, achat, vente, Processus support : Gestion comptable et financire Gestion des ressources humaines Systme dinformation Fonction juridique

Rq : en fonction de leurs niveaux diffrents, on communique sur de diffrents termes. Les structures de gestion des risques Niveau 1 : responsabilit implicite va de paire avec la fonction absence de processus de suivi Niveau 2 : responsabilit dfinie dlgation formelle intgration l'organigramme Niveau 3 : responsabilit globale Comit ou direction des Risques Risk Manager tendances : gestion du risque lie aux contraintes rglementaires (organismes de crdit) notion de gestion intgre : responsabilit transversale optimisation des polices d'assurance Rq : il faut intgrer tout cela dans les pratiques quotidiennes. volutions des pratiques lies au gouvernement d'entreprise communication externe sur la gestion des risques Les risques lis au systme dinformation Des risques la hauteur des enjeux Dfinition de la notion de systmes dinformation Le systmes dInformation : une fonction transversale participe tous les processus de l'entreprise reflet de la stratgie ... hauts risques volution des technologies ouverture sur l'extrieur / image risques inhrents

Cot des pertes suprieur 2 milliards d' Progression forte de la malveillance au cours des dix dernire annes

Les types de risques En utilisant les projets la mise en conformit des contraintes externes : Fraude Malveillance Contrle interne Lgal Continuit on cherche de plus une performance meilleure : Matrise Cots Efficacit Efficience Le positionnement de la DSI La tendance la nomination de RSSI mais avec des difficults de positionnement hirarchique La possibilit du RSSI qui a la capacit d'voluer vers un poste de RS Recours des expertises externes: schma directeur, pilotage de projets, scurit... Rq : schma directeur : une dclinaison informatique et business des acteurs oprationnels Evolution des moyens mis en uvre Les tendances observes : utilisation de normes et mthodes reconnues (Afnor, Clusif, ) et des best practices niveau de formalisation plus lev Rq : la quantit des documentations augmente comprhension et traduction des besoins utilisateurs niveau de service, performances, satisfaction : volution vers des relations de type client / fournisseur

Les mthodes dinvestigation Couverture des risques inhrents : Revue Gnrale Informatique la politique informatique l'organisation et les quipes du service informatique la configuration matrielle et rseau la cartographie applicative la gestion de la scurit informatique le dveloppement informatique l'exploitation informatique Audit scurit: scurit physique et logique, continuit d'exploitation Couverture des risques lis aux processus externes : revue d'application application "traditionnelle" Audit des flux versus audit des traitements approche ERP audit du paramtrage certification de sites de commerce lectronique

tests informatique tests de valeur tests de dtection d'anomalies tests de recoupement de bases tests de simulation outils d'audit : WinIdea, ACL, respect des contraintes rglementaires : article 103 environnement de contrle fonction de la rglementation en vigueur

Synthse En matire de gestion de risque, la pratique n'volue pas au mme rythme que la thorie La France reste globalement en retard par rapport aux pays anglo-saxons Les freins souvent observs : sensibilisation de la DG

apprciation de l'impact et de la probabilit vision dynamique lacunes de comptences ad hoc

Impact sur la dmarche gnrale Consquence de l informatisation pour lauditeur Apparition de nouveaux risques Augmentation des volumes Dmatrialisation de l'information Barrire technique Automatisation des processus volution du primtre du contrle interne Objectif Intgrer les travaux d'audit informatique dans l'approche de la mission pour participer l'mission de l'opinion sur les comptes de la socit Cette tape doit permettre de mesurer les risques lis la prsence de traitements automatiss La dmarche vise valuer en particulier les risques suivants principalement les risques "E", "e", "V" et dans une moindre mesure "A" Rq : E : exhaustive ( doit-on retraiter toutes les informations ? ) e : existante ( y a-t-il des informations fictives, ex : RIB des Frs ? ) V : valorisation A : appartenance ( lcriture appartient-elle lentreprise ? ) et au del: prennit fiabilit scurit (confidentialit) disponibilit Moyens

Prliminaire 10

Prise de connaissances de Identification des grandes zones de risques lies lenvironnement informatique (PCEI) lutilisation de linformatique Revue gnrale informatique (RGI) Analyse des risques lis la matrise des systmes dinformation (les hommes et les systmes utiliss) Revue gnrale informatique (RGI) Revue dapplication (RDA) Tests informatique (IF) Intrim Analyse des risques lis la matrise des systmes dinformation (les hommes et les systmes utiliss) Evaluation du contrle interne de lenvironnement informatiques pour un cycle donn Assistance la ralisation de tests par la mise en place dinterrogations de fichiers Tests de bouclage des chaines de gestion amont avec le logiciel comptable Physique, logique, continuit dexploitation, moyens de paiement

Scurit Normes et respect des contraintes rglementaire

Missions spcifiques La matrise des cots informatiques Laudit de la politique informatique Laudit des tudes Laudit de lexploitation Laudit scurit(cf. audit de la scurit informatique) Laudit du respect des contraintes fiscales Laudit de rseau etc. Les acteurs Tous les grandscabinets daudit et de conseil ont mis en place des dmarches daudit informatique en support laudit comptable s'appuyant sur des experts gnralistes et des spcialistes CISA (Certified Information System Auditor) CISM (Certified Information Security Manager) Les S.S.I.I. ralisent galement des audits informatiques mais dans un cadre moins rglements expertise technique expertise fonctionnelle 2007-01-18 Formation laudit informatique - Revue gnrale informatique La politique informatique

11

Rappel : le schma directeur (R. ACKOFF) Rq : A. Une volont dexistence : un projet dentreprise long terme Rq : cest un plan stratgique B. Des scnarios moyen terme Rq : en fonction du projet long terme, on liste des scnarios moyen terme qui sont susceptibles de le raliser. C. Un plan court terme D. Un business intelligence system ax sur limmdiat Lentreprise dispose-t-elle dune stratgie en matire de systme dinformation et doutil informatique ? Le plan informatique combine-t-il au mieux les ressources disponibles pour traduire les orientations en programmes dactions ? Principaux problmes rencontrs Absence de schma directeur Absence de mthodologie pour la ralisation du schma directeur Recensement des besoins des utilisateurs sans vritable relation avec les objectifs gnraux et informatiques de lentreprise Chantier tal dans le temps : difficult raliser les objectifs noncs dans le schma directeur Le schma directeur est souvent une proposition du dpartement informatique sans vritable adhsion de lentreprise

Lorganisation et les quipes du service informatique Risques lis au positionnement du service informatique Indpendance trop importante du service informatique Non respect des procdures Non prise en compte de la dimension stratgique des systmes dinformation Mauvaise utilisation de loutil informatique Cumul de fonctions incompatibles Organisation du service informatique Unicit du savoir de nature causer des prjudices graves en cas dindisponibilit des personnes Suivi insuffisant des travaux effectus et de la qualit des services rendus Turn-over des quipes Rq : un fort Turn-over reprsente un risque de pertes des savoirs dans lentreprise. Absence de suivi transversal des projets Formation des quipes Sparation des fonctions Procdures en place 12

Comptence fonctionnelle

La configuration matrielle et rseau Appel des techniques ou des technologies difficiles maintenir / faire voluer Cohrence d'ensemble Rq : travers des interfaces supplmentaires (ex : couche web), on arrive faire marcher plusieurs systmes diffrents qui ne se sont pas communiqus avant. Concentration des informations sensibles sur des matriels uniques Suivi de l'volution des capacits disponibles Rptition intempestive de pannes Fournisseur en difficult financire tablir l'architecture du systme informatique (y compris rseau et quipement bureautique) de faon : identifier les risques ventuels : complexit/htrognit relative du systme matriels cls sensibles (rseau, ) interconnexions avec d'autres systmes (clients, fournisseurs, prestataires, ...) disponibilit incidents rpertoris apprcier le degr de modernit machines centrales, postes de travail et rseau La cartographie applicative Les objectifs Quelles sont les principales applications composant le systme d'information ? Comment la comptabilit est-elle alimente ? Quelle est la nature et la priodicit des interfaces ? Tous les flux sont-ils informatiss ? Mieux connatre les liens qui existent entre les domaines, afin de mieux positionner une application dans son contexte global Etapes suivre Recensement des divers domaines dactivit de lentreprise Inventaire des systmes applicatifs Identification des liens entre systmes applicatifs et description de la nature des interfaces existantes Formalisation de lensemble des informations recueillies : Tableau rcapitulatif Schma dintgration global Identification des risques Couverture des besoins de lentreprise Intgration ou interfaage entre les applications Diffrence : intgr & interfac Cohrence densemble 13

Appel des progiciels ou des prestataires de service qui rencontrent des difficults financires Identification des applications sensibles poids financier et stratgique Rq : en fonction de leurs impacts financiers et stratgiques. donnes sensibles (financires, commerciales ou techniques ...) fragilit (dveloppement spcifique, )

Exemple : Schma dintgration globale

Les chanes garantie, publicit, CSI et services gnraux exploitent des donnes issues de la nouvelle chane commerciale qui transitent via lancienne chane commerciale. Ces donnes sont relatives aux fichiers Clients et Produits pour lessentiel. La MAJ du fichier des clients dans les applications priphriques est ralise aprs chaque modification dans la nouvelle chane commerciale. En revanche, la MAJ du fichier des vhicules nest ralise quune seule fois par semaine. Cette procdure a pour inconvnient de ne pas assurer lhomognit des donnes exploites un instant t . nanmoins, cette MAJ peut tre ralise selon une priodicit plus courte. La chine Pices Dtaches exploite ses propres fichiers clients et produits, cel qui ne garantit pas lhomognit des donnes traites Les contrles gnraux informatiques Prsentation Dfinition des IT General Controls : Ensemble des procdures de contrles contribuant assurer un bon fonctionnement continu des systmes dinformation. Principe des travaux : Identification des contrles en place Evaluation du design et de lefficacit de ces contrles par la ralisation de tests (entretiens, collecte et revue de documentation)

14

1. Access to programs and data 1.A Implementation of security practices 1.B Logical and physical access to IT computing resources 1.C Segregation of duties 2. Program changes 2.A Changes have been authorized, documented and tested 2.B System and application configuration changes 2.C Migration of changes into production 3. Program development 3.A Authorization, development, and testing of new systems and applications 4. Computer operations 4.A Implementation backup and recovery procedures 4.B Problem management procedures 4.C Accuracy, completeness, and timely processing of systems jobs 5. End-user computing 5.A IT general controls applied to end-user computing environments Spreadsheets and other user developed programs Common in financial consolidation, reporting and disclosures Document and test in relevant Audit Program La gestion de la scurit informatique Prsentation La scurit logique informations confidentielles ou sensibles gestion des droits d'accs diffrents mcanismes en place modalits de gestion des identifiants et mots de passe procdures d'attribution des droits (les droits d'accs en place font a priori partie de la revue d'application) La scurit physique et la continuit d'exploitation protection des matriels procdures de sauvegarde plan de secours plan de fonctionnement dgrad Dmarche Identification des contrles en place par entretien et revue de documentation Thme Contrles tester Accs aux programmes et aux donnes

15

Implementation of security practices

Segregation of duties

Logical and physical access to IT computing resources

Une politique de scurit de l'information existe, a t approuve par le management et communique aux utilisateurs. Des standards de scurit ont t mis en place afin d'atteindre les objectifs dfinis dans la politique de scurit. Ces standards doivent couvrir les thmes suivants : - Organigramme de la fonction scurit - Rles et responsabilits - Scurit physique et environnementale - Scurit des OS - Scurit des rseaux - Scurit des applications - Scurit des bases de donnes Un plan de scurit IT existe et est en ligne avec le plan stratgique IT. Le plan de scurit IT est mis jour des changements apports l'environnement IT ainsi que des besoins identifis en terme de scurit pour les systmes. Des contrles existent lors du processus de demande et de cration des droits utilisateurs afin de garantir le principe de sparation de fonction. Les applications et les systmes hbergeant les donnes sont correctement configurs pour autoriser l'accs aux utilisateurs selon leurs besoins (consultation, cration, modification ou suppression des donnes). Des procdures existent et sont suivies afin de : - garantir l'efficacit des mcanismes d'accs et d'authentification - s'assurer que tous les utilisateurs sont authentifis par le systme garantissant ainsi la validit des transactions passes. Un processus de contrle est en place afin d'effectuer une revue priodique des droits d'accs et de s'assurer de leur correcte attribution. Des procdures sont mises en place et suivies pour s'assurer que les comptes utilisateurs sont crs, modifis, suspendus et ferms en temps et en heure. Des contrles appropris, incluant les Firewalls, la dtection d'intrusion, l'valuation des vulnrabilits existent et sont utiliss pour se prmunir des accs non-autoriss partir des connectivits rseaux. Des logs tracent les oprations lies la scurit des OS, des applications et des bases de donnes. La revue de ces logs permet d'identifier les violations de scurit et de les remonter au management. S'assurer que l'accs aux salles IT est restreint et que les rgles de scurit sont dfinies et appliques. Des procdures d'accs sont en place pour les employs, les contractants et les quipes de maintenance. Des moyens de protection physiques permettent de maintenir les systmes en fonctionnement et d'assurer la disponibilit des donnes (messages d' alarmes pour l' eau, le feu, les intrusions, 16

extincteurs, air conditionn, groupes lectrognes). Seules les logiciels autoriss sont utiliss par les utilisateurs. Des tests priodiques sont effectus pour s'assurer que l'infrastructure matrielle et logicielle est configure de faon approprie. La direction Informatique a dfini des procdures permettant de protger le systme d'information et les quipements informatiques des virus informatiques La gestion des changements Dmarche Thme Changement applicatifs

Objectif de contrle Les demandes de : - changement des programmes, - maintenance des systmes (incluant les changements apports aux OS), - changement des infrastructures, sont standardises, traces, approuves, documentes et respectent les procdures de gestion es changements. Les procdures de gestion des changements tiennent compte des changements urgents effectus directement en environnement de production. Comme tous changements, les changements dits urgents sont documents de la mme manire a postriori. Des contrles sont en place afin que les migrations des programmes dans l'environnement de production soient limites aux seules personnes autorises. La Direction Informatique garantit que l'implmentation des logiciels et systmes ne met pas en danger la scurit des donnes et des programmes des systmes.

Changes have been authorized, documented and tested

Migration of changes into production System and application configuration changes

Le dveloppement informatique Rappel des phases de la gestion de projet tude d'opportunit et de faisabilit conception fonctionnelle (spcifications gnrales, spcifications dtailles) conception technique dveloppement (programmation) Tests Recette mise en production maintenance Les principaux risques par phase de dveloppement Identification des risques par une revue des mthodologies de dveloppement 17

Etude d'opportunit et de faisabilit implication de la direction dans linitialisation du projet tape de validation de la faisabilit technique et conomique Conception participation des utilisateurs, dcoupage du projet en plusieurs tapes intgration de thmes relatifs : la scurit les contrles programms la piste d'audit

Les principaux risques par phase de dveloppement Ralisation outils utiliss, bugs rencontrs En moyenne, un "bug" pour cent lignes de code produites Tous les bugs ne peuvent tre dtects avant la mise en production Le cot de la correction est videmment plus lev lorsque l'application est en service Absence ou non respect des normes de programmation Test / Recette Existence de tests unitaires d'intgration et tests de non-rgression adquation de la solution au besoin (recette fonctionnelle) non cration d un chantillon reprsentatif non suivi des incidents Maintenance perte de connaissance de lapplication absence de documentation turn-over versions successives non gres absence de base de test (ou base non jour) mise en exploitation non contrle Dmarche Thme Gestion des dveloppements Authorization, development, and testing of new systems and applications

Objectif de contrle Lorganisation dispose dune mthodologie de cycle de vie de dveloppement de systme (SDLC) intgrant les besoins de lorganisation en terme de scurit et dintgrit des donnes et traitements Les politiques et procdures SDLC considrent le dveloppement et l'acquisition de nouveaux systmes ainsi que les volutions majeures apportes aux systmes existants. La mthodologie de cycle de vie de dveloppement de systme (SDLC) assure que les systmes d'information sont conus pour inclure les contrles applicatifs qui garantissent que les traitements sont complets, exacts, autoriss, et valides, et que tous les 18

composants (programmes et donnes) fonctionnent ensemble sans erreur. L'organisation dispose d'un processus d'acquisition et de planification en cohrence avec les orientations stratgiques d'ensemble. La Direction Informatique garantit que les utilisateurs sont impliqus de manire approprie dans la conception des applications, la slection des progiciels, et leurs tests afin de garantir un environnement fiable. L'organisation acquiert les logiciels et systmes conformment ses processus d'acquisition, de dveloppement et de planification. L'organisation a dfini des politiques et procdures pour la gestion des dveloppements et volutions applicatifs, revues priodiquement, mises jour et approuves par le management. L'organisation dveloppe, maintient et utilise ses systmes et ses applications en accord avec les politiques et procdures qu'elle a dfinie. Des revues de post-implmentation sont effectues afin de vrifier l'efficacit des contrles implments. Il existe une stratgie de test pour tous les changements applicatifs Authorization, et technologiques significatifs, qui garantissent que les systmes development, and testing dploys fonctionnent comme prvu. of new systems and Les tests sont raliss diffrents niveaux : applications - tests unitaires, - tests d'intgration, - tests utilisateurs. Les tests de chargement et de stress sont raliss conformment au plan de test et aux standards de tests tablis. Les interfaces avec les autres systmes sont testes afin de s'assurer de l'exhaustivit, l'exactitude et l'intgrit des donnes interfaces. La conversion des donnes est teste (rapprochement entre leur tat original et final) afin de s'assurer de l'exhaustivit, l'exactitude et l'intgrit des donnes converties. Lexploitation informatique Gestion des travaux Gestion des moyens Procdures de mise en exploitation Gestion des travaux et des moyens Gestion des travaux Planning Documentation Gestion des incidents Contrle de la production Distribution des restitutions Gestion des moyens 19

Gestion des matriels Plan de secours Procdures de sauvegarde Gestion

Procdures de mise en exploitation Implication de lexploitation lors du dveloppement de nouvelles applications Evaluation de limpact sur le planning de traitements Procdure dapprobation des transferts de programmes en exploitation Sparation bien tablie des fonctions avec les tudes Existence de plusieurs environnements ? Environnement de dveloppement Environnement de test Environnement de production Points dattention lis la gestion des travaux Existence dune planification automatique Existence dune procdure formalise pour les travaux exceptionnels non planifis? Existence de procdures crites Conservation de la matrise de lenchanement des traitements Standardisation du dossier dexploitation Les oprateurs ont-ils accs aux logiciels de production? Aux donnes de production? Peuvent-ils modifier les programmes sources ? Rotation des fonctions entre les oprateurs? Utilisation de moyens permettant de contrler la bonne excution des traitements Procdure de suivi des incidents? Dfinition dun niveau de gravit des incidents? Revue priodique des incidents non clos? Identification des sorties sensibles? Points dattention lis la gestion des moyens Maintenance suivi des performances suivi de l espace disque disponible suivi des consommations le plan de secours couvre-t-il tous les sites ? Toutes les applications? s appuie-t-il sur une analyse des risques associs l indisponibilit des diffrentes applications? Tests rguliers du plan de secours? Conservation l extrieur du centre informatique des copies de fichiers de donnes et des programmes de production? Contrle du contenu des sauvegardes avec les fichiers en production? Restauration priodique des sauvegardes? Refacturation aux utilisateurs Dmarche Thme Objectif de contrle

20

Exploitation Des contrats de service internes et externes (Service Level Agreement) sont dfinis et grs afin de rpondre aux besoins des systmes de reporting financier. Ces contrats dfinissent les rles et responsabilits de chacune des parties et explicitent les services fournis et attendus. Pour grer les contrats de service aussi bien internes qu'externes, des indicateurs cls de performance sont dfinis. Un responsable est nomm afin de suivre rgulirement les critres de performance des prestataires. La slection des fournisseurs de services d'outsourcing est ralise conformment la politique de l'organisation en matire de gestion des fournisseurs. Les fournisseurs pressentis sont correctement qualifis au travers Accuracy, completeness, d'une dmonstration de leur capacit fournir le service demand and timely processing of et de leur solidit financire. systems jobs Les contrats avec les tiers dfinissent les risques identifis, les contrles et procdures de scurit mis en place pour les systmes et rseaux concerns. Des procdures existent et sont suivies afin qu'un contrat formel soit dfini et convenu pour tous les services tiers avant le dbut des travaux, y compris la dfinition des exigences de contrle interne et l'acceptation des politiques et procdures de l'entreprise Des revues rgulires des prestataires sont effectues au travers d'audits (exemple : SAS 70). Des politiques et procdures existent pour grer la distribution et la rtention des donnes ainsi que pour les rapports. Des contrles de fin de traitement sont raliss par la DSI afin de vrifier l'exactitude, la compltude et la validit des traitements informatiques. La Direction Informatique a dfini et mis en place un systme de gestion des problmes et incidents de telle manire que les incidents lis l'intgrit des donnes et aux contrles d'accs sont enregistrs, analyss, rsolus en temps et en heure et remonter au management le cas chant. Problem management procedures Le systme de gestion des problmes assure la piste d'audit entre le problme ou l'incident relev jusqu' la cause identifie. Un processus de rponse aux incidents de scurit existe afin de mettre en place les actions correctives dans les meilleurs dlais et d'analyser les oprations non-autorises. Implementation backup Le management protge les informations sensibles - logique et and recovery procedures physique -, dans leur stockage et durant leur transmission, contre les accs ou les modifications non-autoriss. La priode de rtention et les conditions de stockage sont dfinis pour les documents, les donnes, les programmes et les messages (entrants/sortants) ainsi que pour les donnes (cls, certificats) utilises pour leur encryption et authentification. Le management a implment une stratgie de backup des donnes et des programmes. Des procdures existent et sont suivies pour tester priodiquement 21

l'efficacit du processus de restauration et la qualit des bandes de sauvegarde. Les historiques d'vnements des systmes sont conserves assez longtemps pour gnrer une chronologie et un journal qui permettront de contrler, examiner et reconstruire le systme et le traitement des donnes. Les changements apportes la structure des donnes sont autoriss et implments en accord avec les spcifications, et en temps et en heure. La Direction Informatique a dfini des procdures standards pour l'excution des travaux IT y compris l'ordonnancement, la gestion, la surveillance et la raction aux incidents de scurit, la disponibilit et l'intgrit des traitements. Exemple Entreprise commerciale sur AS400 Thmes prsents 1) L'quipe informatique 2) La configuration matrielle 3) La cartographie applicative 4) La politique informatique 5) La gestion de la scurit informatique 6) Le dveloppement informatique 7) L'exploitation informatique Equipes Existant Function DI CPI CP2 AP1 AP2 P1 P2 MOY

Age 54 46 35 41 31 37 25 38

Formation BTS Secondaires Niveau BAC BAC D BAC C BTS BAC BEP BAC -BAC

Experience 37 12 14 13 3 7 5 13

Anciennet 01/04/95 23/06/94 02/08/96 14/05/95 28/10/96 16/11/92 27/07/96 3 ans

Langage COBOL GAP/COBOL/ODYSSEE COBOL GAP/COBOL/ODYSSEE COBOL

Configuration matrielle Existant Un IBM AS 400 B 60 quip de : 96 MO de mmoire centrale et 10,2 GO de disques 108 crans, 4 PC connects, 30 imprimantes charge de l'AS400 : fonction de collecte des mesures de performances non utilise en interne temps de rponse mauvais UC occup plus de 85 % dans la journe espace disque occupe 68 % 22

hberge actuellement gestion commerciale, la comptabilit gnrale, la paye et la trsorerie (tude et production) achet en leasing acquisition d'un AS400 E10 envisag pour supporter la comptabilit 64 micros ordinations ratio nombre de licences achetes / nombre d'utilisateurs pouvant tre estim 50% absence de normes pour les applications bureautiques du type tableur et traitement de texte Excel, Multiplan et Lotus pour les tableurs

Cartographie applicative Existant Applications significatives Comptabilit Gestion commerciale Paye Trsorerie

Logiciel spcifique maison (1) Progiciel ANTALIA de PRISME Progiciel PMP 38 de PROLAND CONCEPT

(1) Application dveloppe en 1982 sur IBM 36. Les informations lorigine du dveloppement ne font plus partie de lentreprise. La documentation est quasi inexistante mme aprs divers volutions majeures de lapplication (an 2000 et euro) SIG

Politique informatique Existant Linformatique volue au fil de leau Scurit logique Existant accs aux applications les utilisateurs possdent a priori des identifiants et des mots de passe il existe un mcanisme de scurit propre "PRISME" les autres applications noffrent pas de mcanisme propre de gestion de la confidentialit accs au systme le niveau de scurit choisi au sein du systme = 20 la clef (keylog Switch de l AS 400 est sur la position Normal )

23

Scurit physique Existant Quatre niveaux de sauvegarde sont effectus : tous les soirs : Les neuf bibliothques de donnes applicatives, de disque disque, et sur cartouche une socit extrieure rcupre les sauvegardes de l'avant-veille et les stocke dans ses locaux trois fois par semaine une fois par semaine : l'ensemble des bibliothques systmes (sauvegardes sur bande) aprs chaque traitement mensuel : les neuf bibliothques de donnes statistiques, les cartouches tant conserves sur place chaque modification : le systme d'exploitation Back-up contrat de back-up sign en 1989 avec une socit extrieure prvoyant la mise disposition en cas d'incident majeur Etudes Dveloppement informatique Existant Rle des quipes Les quatre dveloppeurs se partagent la maintenance (M) des applications et les nouveaux dveloppements (ND) de la faon suivante :

Une seule personne (CP2) intervient sur la comptabilit La documentation existante est quasi nulle Certains mcanisme de la gestion commerciale sont inconnus de l'quipe en place en l'absence de documentation et de liens avec le fournisseur

Exploitation informatique Existant Matrise des travaux batch les travaux lis certaines applications sont lancs manuellement les incidents ne sont pas rpertoris il n y a pas d historique des incidents les travaux sont insuffisamment documents (fichiers en E/S, traitements effectus, ) des contrles par totaux sont effectus

24

Matrise des environnements il n'y a pas d'environnement de test les tests sont effectus sur les donnes relles

2007-01-25 Formation laudit informatique - Revue dapplication informatique Historique et insertion de lapplication dans larchitecture globale Historique de lapplication prise de connaissance des interventions prcdentes Rq : on peut demander des collgues qui ont des expriences sur le logiciel pour savoir des difficults quon rencontre souvent, etc. gestion du projet Rq : accouchement difficile ? passage sans difficults ? dveloppement interne / externe cahier des charges matrise de lexistant-notion de "bote noire" Rq : est-ce que le client a suffisamment dinformations pour maitriser le logiciel ? gestion des volutions Insertion de lapplication dans larchitecture globale rfrence la RGI tablir un schma dintgration global Couverture fonctionnelle Liste des fonctionnalits Rq : il peut quen fonction de lactivit de lentreprise, elle retient de telles fonctionnalits, mais pas dautres. Schmas des traitements Rq : par ce schma, on essaie de savoir comment initialiser, enregistrer (par qui, comment), traiter (de quelle manire : squentielle, continue, etc.), valider et contrler. Revue des documentations (utilisation, conception, exploitation) Rq : manuel dutilisateur A partir du manuel dutilisation, il faut intgrer la formation dutilisation. Identification des utilisateurs Rq : informaticiens, MOA, contrleur daccs, les stagiaires, etc. Identification des informaticiens ... Schma des traitements et matrice de contrle La dmarche suivre est la suivante dcoupage de l'application en phases logiques de traitement laboration d'un schma de flux sur lequel sont prsents :

25

les phases logiques de traitement les principaux fichiers ou tables concernes pour chaque phase logique, tablissement d'une matrice de contrle comprenant : les informations reprises du schma de flux (phase logique de traitement, entres, fichiers de rfrence, sorties) la description du traitement effectu la liste des contrles programms ou d'exploitation et les objectifs des contrles la liste des contrles effectus par les utilisateurs sur la base des restitutions disponibles et les objectifs des contrles oprs

Identification des risques Fiabilit des interfaces les contrles effectus les procdures de recyclage des rejets (ou anomalies) la nature et la frquence des rejets Contrle interne applicatif le contrle interne applicatif ne diffre en rien du contrle interne manuel il se dcline de la manire suivante : autorisation :toutes les transactions, font-elles l'objet d'un autorisation en accord avec la politique de dlgation (contrle daccs et sparation des fonctions)? Exhaustivit : les donnes entres dans l'application sont-elles bien disponibles dans les bases de donnes? Absence de perte de donnes aux diffrents niveaux de traitement? Existence de contrle de flux? exactitude : L'application permet-elle de garantir la non altration des donnes ? Existe-t-il des contrles de valorisation (tests en production, requtes, simulation)? Paramtrage identification des tables procdures et frquences des mises jour vrification du code (sparation donnes/traitements) personnes concernes ... Pour apprcier si une application est "facile exploiter", il convient d'tudier : les fiches d'incident tenus par l'exploitation informatique et/ou par les utilisateurs le dossier d'exploitation de l'application pour apprcier l'existence de points de reprise en cas d'incident les procdures utilisateurs pour le recyclage des anomalies le planning d'exploitation pour apprcier si une attention particulire est donne l'application Approfondissement des risques identifis 26

Procdures palliatives contrles par les utilisateurs existence d'une cellule de pilotage et de contrle des donnes produites proposer la mise en uvre de contrles complmentaires Mise en place ventuelle de tests informatiques cibls identification des risques ralisation dun cahier des charges mise en place des tests Rq : distinguer les anomalies intrinsques ou les anomalies engendres par la mauvaise construction ou interprtation des tests. runion de synthse

Analyse des aspects qualitatifs L'adquation fonctionnelle La satisfaction des utilisateurs L'volutivit Le bilan conomique Les performances L'adquation fonctionnelle tude des points suivants : implication des utilisateurs dans les choix et/ou dveloppements informatiques cohrence et stabilit de la demande exprime : collecter les demandes de mise jour de l'application apprcier la frquence de maintenance corrective sur l'application vrifier que les restitutions produites par l'application sont effectivement utilises apprcier si les retraitements ou remaniements manuels d'informations issues de l'application ne pourraient pas tre informatiss Rq : plus lentreprise est grosse, plus on a des traitements manuels pour remonter les informations, plus on a des incertitudes sur lexactitude et lexhaustivit des informations. La satisfaction des utilisateurs Par entretien avec les utilisateurs, obtenir les motifs d'insatisfaction ventuels, ils pourront rsulter : dun manque de communication entre utilisateurs et informaticiens de retard dans les travaux de maintenance volutive ou corrective dun manque de formation des utilisateurs de contraintes techniques L'volutivit La capacit d'une application voluer selon les souhaits de l'entreprise se mesure suivant les critres suivants : qualit de la programmation pertinence des choix techniques qualit de la documentation 27

pertinence de l'analyse fonctionnelle externalisation du paramtrage

Le bilan conomique L'tablissement d'un bilan conomique ncessite l'tude des points suivants : le cot rel d'acquisition ou de dveloppement et de mise en place de l'application / cot prvu au plan informatique le cot de l'application dveloppe ou acquise par rapport des progiciels quivalents du march les gains de productivit le cot de fonctionnement les cots de maintenance Les performances Les performances d'une application peuvent s'apprcier selon les points de contrle suivants : frquence de rorganisation des bases de donnes ou fichiers accds par l'application reporting sur le dlai moyen de restitution des rponses attendues et volution dans le temps frquence et nombre de passages batch sur de gros volumes de fichiers squentiels interactions entre applications Exemple : Audit dune application de comptage et de facturation Etapes de traitement : "contrle syntaxique" : contrle de prsence des informations ncessaires la valorisation " contrle logique" : clatement des vnements unitaires selon leur nature rapprochement au contrat et valorisation prise en compte des produits (services inclus dans le contrat) et des acomptes facturation : des consommations des abonnements des PFA (Produits Facturs l'Acte) calcul de la facture calcul des lignes de chiffre daffaires et des critures de cut-off Risques tudis : exhaustivit de la remonte ? Existe-t-il des contrles de l'exhaustivit de la prise en compte de l'ensemble des bandes magntiques remontant de compteurs ? En l'absence de numrotation des vnements unitaires, peut-on s'assurer de l'exhaustivit de la prsence de ces derniers ? exhaustivit du recyclage ? deux faiblesses recenses : perte de quelques tickets en anomalie de type 'I' non recyclage des anomalies de type 'W' exhaustivit du traitement des lots de facturation ? 28

Absence de vrification par tests programms exhaustivit de la facturation des contrats ? Absence de vrification par tests programms Unicit du numro de facture ? non squentialit des numros de facture l'unicit du couple contrat-numro de facture dpend de l'unicit des numros de contrat

Risques financiers identifis : exhaustivit de la facturation des ventes ? manque de fiabilit des compteurs d'vnements unitaires comptabilisation des prestations ? existence de contrats ayant un plan tarifaire nul Rq : comment traiter les contrats ayant une valeur nulle ? valorisation des prestations ? utilisation du cot minimum en cas d'anomalie diminution non justifie du compte client ? mission de 500 KF d'avoirs chaque mois Rq : il faut vrifier que soient bien justifis les avoirs qui sont une source de fraude valider partir des tests effectus cut-off non respect en cas de retard dans la remonte des tickets Rq : on vrifie le dlai entre la date de ticket et la date de facturation. provision pour dprciation des clients mal calcule reste valider partir des tests effectus Formation laudit informatique - La fraude : mthodes de prvention et dtection La fraude et les mthodes de prvention et dtection Caractristiques de la fraude: un phnomne affectant lensemble des entreprises 34%

Part des entreprises ayant subi de la fraude par rgion gographique

29

Part des entreprises ayant subi de la fraude par secteur dactivit Caractristiques de la fraude: un phnomne affectant lensemble des entreprises

Part des entreprises ayant subi de la fraude par secteur dactivit Caractristiques de la fraude: un cot lev

Cot moyen du prjudice par type de fraude en 2003-2004 (aux US) Caractristiques de la fraude: un profil type Un homme (53% des cas) Niveau employ (67% des cas) g dune quarantaine dannes Sans antcdent juridique (83% des cas) Facteurs aggravant limpact de la fraude : le niveau hirarchique (de 62k$ pour un employ 900k$ pour un dirigeant) le salaire lev lge, lanciennet le niveau universitaire.

30

Les moyens de lutte contre la fraude

Modes de dtection de la fraude (volution 2002 2004) Impact des dispositifs anti-fraudes sur le cot moyen de la fraude

La protection des flux dinformations critiques de lentreprise (scurit des rseaux, tests dintrusions, cryptographie des message) Exemple de fraude : Lespionnage industriel peut se faire par lcoute tlphonique mais galement par lcoutedes communications Internet au sein de la socit o vers lextrieur (mail, change de fichiers lectroniques). Laccs au rseau dune entreprise par une personne malveillante peut galement aboutir des situations de chantage et de tentative dextorsion comme la socit Softbank dont la base de donnes clients avait t copie en fvrier 2004 par un hackeret qui menaait de publier des informations confidentielles. Rle de lauditeur en SI : spcialiste en scurit des rseaux, il peut effectuer des tests dintrusion sur les rseaux des entreprises afin de tester leur vulnrabilit et didentifier les ventuelles failles. La protection anti-virus (scurit des rseaux, tests dintrusions, cryptographie des message) Exemple de fraude : Les entreprises sont quotidiennement soumises des centaines, voire des milliers dattaques virales. Ces virus peuvent engendrer des mises en indisponibilit de leurs systmes dinformation, des pertes de donnes, des destructions matrielles qui peuvent galement faire lobjet de chantage par des personnes malveillantes (ex, I love you). Les virus peuvent aussi tre utiliss par des tiers pour prendre le contrle du systme dinformation et ainsi copier, modifier ou supprimer des donnes sensibles et/ou confidentielles. Rle de lauditeur en SI : spcialiste dans les procdures de protection des donnes, il peut par exemple effectuer des tests sur le systme de gestion des virus de lentreprise afin de sassurer notamment de la mise jour au moins quotidiennes des signatures de virus sur les PC et la bonne protection des postes nomades. Le contrle des dveloppements informatiques

31

Exemple de fraude : des personnes malveillantes internes ou externes peuvent insrer au sein des applications informatiques de programmes destins dtourner des fonds. Ainsi, les techniques dites salamisconsistent tronquer une somme dune ou plusieurs dcimales sur chaque transaction puis de virer cet argent sur un compte bancaire. Rle de lauditeur en SI : spcialiste dans la gestion des projets de dveloppements information, il peut valuer la mthodologie de gestion de projet (par exemple SDLC System Development Life Cycle). Il peut galement vrifier la sparation des fonctions entre les dveloppeurs et les personnes migrant en environnement de production les programmes, lexistence dun dispositif automatique de traage des modifications sur le code informatique en environnement de production (Library Management Systemavec le suivi et la documentation des versions du code source)... Le contrle des accs aux donnes et aux programmes Exemple de fraude : Un individu ayant un profil de super-utilisateur sur un ERP, cest dire avec des droits daccs trs tendus, contourne les contrles mis en place et fraude (par exemple, cration dun fournisseur ou dun client fictif, cration dun paiement injustifi, contre-passation de charges) Rle de lauditeur en SI : spcialiste dans la scurit logique des ERP, il peut effectuer des revues dhabitations informatiques afin didentifier dune part les utilisateurs prsentant des droits daccs des fonctionnalits critiques de manire injustifie et, dautre part, les utilisateurs dont les droits daccs prsentent des conflits de sparation de fonctions (cf. section 4.2). Par exemple, un mme utilisateur ne doit pas pouvoir crer un fournisseur, une commande dachat, une rception de stock, une facture et un paiement. Lidentification de comportements susceptibles de se rapporter la fraude Exemple de fraude n1 : La majorit des cas de fraudes lies la falsification des tats financiers concernent la surestimation des comptes clients. Rle de lauditeur en SI : Identification des factures clients non justifies par un flux vente classique (commandes et /ou bon de livraison). Ces factures clients cres directement en comptabilit devraient tre extrmement rares et il est donc ncessaire dtablir leur liste afin de les revoir ligne par ligne avec un Responsable appropri Lidentification de comportements susceptibles de se rapporter la fraude Exemple de fraude n2 : Le processus achats prsente de nombreux risques puisquil engendre la sortie dargent. La collusion avec un fournisseur est un cas de fraude frquent dans les socits. Rle de lauditeur en SI : Identification des factures fournisseurs non justifies par un flux achat classique (commandes achat et /ou bon de rception). Ces factures clients cres directement en comptabilit devraient tre lis des types de dpense clairement identifis (impts, cas durgence) et il est donc ncessaire dtablir leur liste afin de les revoir ligne par ligne avec un Responsable appropri. Lidentification de comportements susceptibles de se rapporter la fraude Exemple de fraude n3 : De nombreux comportements suspects des employs sont des indicateurs de fraude potentielle. Rle de lauditeur en SI Identification des employs ayant accd au systme informatique et ayant cr des documents de gestion et / ou des pices comptables en dehors des horaires normaux de travail (par exemple, la nuit, les week-end, les jours fris).

32

Identification des utilisateurs ayant des droits daccs tendus et ayant cr des factures et/ ou des paiements fournisseurs trs ponctuellement (par exemple, moins de 10 en 1 an). Identification des utilisateurs ayant cr des pices tout le long dun processus la fois dans les systmes de gestion et dans les systmes comptables (exemple de la cration du fournisseur, de la commande et du paiement de la facture).

Formation laudit informatique - Tests Informatiques Mme. Ezan Sommaire Pourquoi raliser des tests informatiques ? Avantages des interrogations de fichiers Situation amenant procder des interrogations de fichiers Typologie des test informatiques Dmarche de mise en uvre Les facteurs de russite Outils de traitement Pourquoi raliser des tests informatiques Justification fondamentale : la dmatrialisation des critures ou des documents de gestion ne doit pas constituer un obstacle au travail de lauditeur Plus pragmatiquement, trois avantages essentiels : Efficacit de laudit Productivit des travaux Meilleure comprhension des systmes Avantages des interrogations de fichiers Efficacit de laudit Reprsentativit des chantillons tests lautomatisation des tches permet de ne plus travaille sur un chantillon de la population mais sur sa totalit et daccrotre la pertinence et la productivit des travaux les erreurs de contrle interne, difficile dceler de par leur caractre exceptionnel, peuvent tre dcouvertes par un examen systmatique des donnes Validation des calculs complexes il est possible deffectuer des calculs complexes ou des simulations qui apportent une valeur probante de certaines hypothses sur le rsultat comptable Productivit des travaux Rutilisation des travaux dans le cas de missions rcurrentes, les tests informatiques ou autre programmes dvelopps (macros) sont utilisables sur plusieurs exercices moyennant une mise jour peu coteuse Batterie de tests standards

33

une srie de tests dveloppe pour une socit ou un site peut tre rutilise pour tout autre client disposant dun stockage magntique dinformation conu selon la mme structure Meilleure comprhension des systmes vite leffet bote noire des systmes plus gnralement, lintervention de spcialistes de linformatique permet dlargir la perception des mtiers de lintervenant Situation amenant procder des interrogations de fichiers Volume dinformations trop important pour permettre des contrles manuels significatifs Travaux rcurrents sur des donnes stockes dans les fichiers de lentreprise Donnes en entre et en sortie dune chane de traitement non approchables aisment Contrle manuel ncessaire sur un chantillon tirer alatoirement Typologie des tests informatiques Tests de recoupement Objectifs des tests effectuer un recoupement entre deux fichiers tablir un recoupement entre des tats spars par une rupture du chemin daudit fonctionnel reconstituer des donnes lorsquelles sont issues dinformations trs nombreuses Nature des tests rconciliation simple rapprocher le total dlments calculs stocks dans un fichier avec le chiffre audit rconciliation complexe le rsultat des calculs na pas t conserv dans un fichier. Il convient donc de procder au recalcul des oprations, ou de reconstituer les donnes une date donne. Le chiffre ainsi obtenu est rapproch du chiffre audit. Exemples reconstitution du chiffre daffaires partir des fichiers quantits factures, tarifs et conditions particulires rapprochement des commandes clients avec les factures mises rapprochement des temps imputs sur comptes rendus dactivit et des temps facturs rconciliation entre les charges sociales enregistres en comptabilit et les diffrentes rubriques enregistres dans la paie cumul des soldes des contrats crditeurs et dbiteurs au 31/12/N Tests de dtection danomalies Objectifs et natures des tests tester lexhaustivit et la ralit dun fichier : sassurer que le fichier ne prsente ni manque, ni sur-ajout dinformations faire ressortir les trous de squence ou les doublons dans une numrotation squentielle Rq : trous de squence => il sagit gnralement de la numrotation des factures. tester lintgrit dun fichier (exactitude) : sassurer de la cohrence, dans labsolu, des donnes de la base et de la mcanique de certains calculs contrler lintgrit de chacune des donnes dun fichier, prises individuellement

34

rechercher des incohrences entre deux, ou plusieurs donnes, soit au sein dun mme fichier, soit dans plusieurs fichiers distincts tester la conformit dun fichier (exactitude) : sassurer que les donnes respectent les rgles de calcul ou les principes comptables de la socit appliquer les rgles de calcul aux donnes stockes et comparer le rsultat obtenu au rel Exemples dition de la liste des factures dont la rfrence apparat deux fois (ou plus) dans un fichier, ce qui peut signifier que ces factures ont t enregistres plusieurs fois dtection de bulletins de salaries pour lesquels le taux moyen de charges sociales est aberrant recherche des clients dont le taux de remise ne correspond pas au niveau de chiffre daffaires recherche de donnes dont la valeur ne correspond pas celle que lon attend : quantit ngative en stock date zro prix unitaires nuls ventes sans date de sortie prix de vente infrieur au prix de revient vrification quun prix total dans un fichier est bien gal au prix unitaire multipli par la quantit, etc. Extraction de donnes Objectifs et natures des tests sondages statistiques : slection dun certain nombre de donnes selon des rgles statistiques, afin de procder ne extrapolation des anomalies rencontres interrogations cibles : faire ressortir certains cas limites par rapport un risque identifi afin de restreindre le champ dinvestigation et ainsi augmenter la productivit des travaux une telle approche permet de se concentrer sur les cas les plus intressants Extraction de donnes Exemples extraction de factures payes afin de contrler le respect des conditions fournisseur contrle dcarts importants dun exercice sur lautre (en quantit ou en valeur) darticles en stock extraction de factures prsentant un cart important entre la date de comptabilisation et la date de facturation dtection de taux de remise accords suprieurs au seuil dfini application de la mthode de sondage pour le contrle de la provision sur crances douteuses extraction des relances geles Simulations Objectifs et natures des tests recalcul de certaines donnes recalcul de certains lments avec variation des paramtres de calcul

35

valuation rtroactive dlments dont les modalits de calcul taient errones, afin de chiffrer lcart avec le rel tablissement de donnes prvisionnelles Exemples calculs damortissements selon diffrentes mthodes (linaire, dgressif, ), afin den tudier limpact financier sur plusieurs exercices reconstituer la valeur dinventaire dun stock contrle de la quantit et de la valorisation dun stock Dmarche de mise en uvre Les grandes tapes Etude de faisabilit Positionnement des donnes audites au sein de lenvironnement informatique Dfinition des tests effectuer : Donnes en entre Critres de slection Type de test Restitutions Rcupration des fichiers Ralisation des tests Bouclage sur ralisation (ajustement des critres, suppression ou ajouts de tests) Le lien avec la dmarche daudit Prliminaire planification de la mission et information du client tude de faisabilit technique Intrim dfinition des objectifs et des tests raliser prise de connaissance des applications et de la structure des fichiers du client formalisation de lengagement du client pour la mise disposition des donnes Final dveloppement des programmes ralisation des tests et exploitation remonte aux auditeurs financiers des anomalies rencontres lors de lexploitation pour adaptation des tests futures Les facteurs de russite Les principaux points dattention La russite et la pertinence des tests informatiques dpendent en grande partie de lattention accorde la prparation de la mission les intervenants tant multiples, la coordination des diffrents acteurs est essentielle aucune des principales tapes qui composent la dmarche des interrogations de fichiers, depuis la prise de connaissance du systme jusqu lexploitation des rsultats ne doit tre nglige le planning des tches concourant la mise en uvre dinterrogations de fichiers respecte les mmes phases que celui dune intervention traditionnelle et doit tre prvu dans le plan de mission global

36

La phase de prparation La phase de prparation doit inclure une tude du systme informatique pour viter notamment des interrogations de fichier inutiles ou nayant pas de signification elle doit permettre de connatre avec exactitude le contenu des fichiers, notamment la dfinition des champs il faut tre attentif lorigine de donnes des fichiers : ne pas chercher par exemple recouper deux fichiers issus de la mme base de donnes ne conserver que les tests rellement pertinents sassurer que les fichiers contiennent bien les informations recherches contrler lexactitude des fichiers clients en les rapprochant des sources externes disponibles La phase dexploitation Premire exploitation commune des rsultats par les auditeurs informatiques et les auditeurs financiers pour valider les rsultats du test avant de les remettre au client Les tests mis en uvre permettent-ils de rpondre aux interrogations du CAC ? Les auditeurs financiers et informatiques doivent vrifier a posteriori que le travail des premiers rpond lattente des seconds Les tests mise en uvre sont-ils utiles ? Prparation de la saison suivante : supprimer certains tests que lexprience a rendu inutiles, ou au contraire en rajouter dautres plus pertinents, ou complmentaires Les tests sont-ils fiables ? Malgr tout le professionnalisme des auditeurs, il se peut que les rsultats des tests informatiques ne soient pas pertinents du fait derreurs qui se seraient glisses dans les programmes dextraction Un audit de laudit informatique simpose ; attention aux conclusions trop htives Outils de traitement Les outils dinterrogation de fichiers sont trop nombreux pour dresser ici une liste exhaustive. Nous avons retenu les principaux outils commercialiss : Sur micro-ordinateur : IDEA (Interactive Data Extraction and Analysis) : outil dvelopp par linstitut canadien des experts comptables agrs et utilis par KPMG ACL (Audit Command Language) : outil amricain dvelopp avec le concours de PWC Sur gros systme IBM : Panaudit + : outil bas sur le langage Easytrieve de la socit Pansophic EDP/Auditor : outil bas sur le langage Cullprit de la socit Computer Associates 2007-02-08 Formation laudit informatique - Audit de la scurit Sommaire Rappel du contexte Continuit de service Confidentialit des informations et risques de fraude Risques derreur et de dysfonctionnement 37

Mthode MARION

Rappel du contexte Objectif La scurit du SI a pour objectif de participer la continuit de lactivit de lentreprise ( Business Oriented ) Pour ce faire, son rle est de protger le SI de toute dgradation de service sur 3 axes majeurs : Confidentialit Intgrit Disponibilit Elle peut parfois tre un facteur de qualit supplmentaire, voire participer au dveloppement de lactivit (exigences commerciales) Le cot Le remboursement des sinistres informatiques cote chaque anne progression constante (+15% par an) Les pertes relles des entreprises sont certainement beaucoup plus importantes si on considre : les pertes et dlits non dclars les pertes de crdibilit Les principaux risques

Les secteurs dactivit les plus touchs Part des diffrents secteurs dans les sinistres dclars : Banque Finance Assurances Industrie Services Distribution 43% 22% 15% 14% Part des diffrents risques de malveillance pour certains secteurs : Banque Finance Assurances Industrie Services Fraude 59% 35% 13% Sabotages 29% 28% 56% Secteur public 5% Distribution 17% 38% Secteur public 10% 30%

Les protections mises en place par les entreprises Ces dpenses des entreprises lies la scurit se rpartissent de la faon suivante : Logiciels Matriels Etudes Rseaux 10% 65% 10% Logique Physique Audit Autres 7% 26% 14% 24% 36%

38

Cela ne reprsente que 1% des budgets informatiques des entreprises

La scurit, une proccupation majeure Linformatique est un outil stratgique Les Directions Gnrales sont particulirement sensibles aux consquences dun ventuel sinistre Un sinistre important peut remettre en cause la survie de lentreprise : les risques doivent tre valus Les principes fondamentaux Composants Description Confidentialit Protection des donnes et systmes sensibles contre toute divulgation non autorise Intgrit Prservation de lexactitude et de la cohrence des donnes, des systmes et des logiciels Disponibilit Garantie daccs aux donnes et aux systmes dans des conditions satisfaisantes Les bonnes pratiques Mise en place dun poste de RSSI Dfinition dune politique de scurit Plan de scurit IT (analyse des risques, plan daction) Dfinition des standards en matires de scurit Mise en place de procdures de scurit (physique, logique, applications, rseaux) Dfinition dune charte de scurit signe par les collaborateur Suivis des incidents de scurit Audit priodique de la scurit (test dintrusion) Dfinition de niveau de service (SLA) Continuit de service Les risques Un serveur tombe en panne Un fichier important est dtruit Un Boeing 747 scrase sur le site La Seine dborde Une grve bloque laccs Le fournisseur dpose le bilan Les protections en place contre lincendie Alarmes, gaz Inergen, sprintler, extincteurs, contre les dgts des eaux Faux plancher, salle informatique ltage, pompes, contre les intrusions contrle daccs physique par badge, contre les pannes lectriques Onduleurs, serveurs redondants, mirroring

39

contre les pannes matrielles stock de rechange, dlai dintervention, de remplacement,

Les procdures de sauvegarde Les fichiers ncessaires au fonctionnement de lentreprise sont-ils sauvegards rgulirement ? donnes sources des programmes applications systmes Quelle est la frquence des sauvegardes ? Les supports de sauvegarde sont-ils lisibles ? Les lieux de stockage sont-ils srs ? Coffre ignifug, stockage hors site Quelle est lampleur de la perte en cas de ncessit de restauration sur un site externe ? Le site de secours Existe-t-il un site de back-up ? Si oui : De quel type (salle blanche, salle quipe, ) ? Nombre dadhrents Dure possible dutilisation ? Les sauvegardes sont-elles sur place ? Peut-on sy connecter ? Si non : Quelle est la solution prvue ? Quel est le dlai de renouvellement du matriel ? Le plan de reprise Les applications ont-elles t classes selon leur caractre stratgique ? Les actions entreprendre ont-elles t formalises : nomination dun responsable ? priorisation des actions mener ? affectation des tches ? Le plan de reprise est-il test rgulirement ? Le temps de reprise est-il acceptable ? Les procdures de fonctionnement dgrad Les procdures de fonctionnement en cas de panne prolonge de linformatiques ont-elles t dfinies ? Si non : Les protections en place permettent-elles daffirmer que le risque est faible ? Quel serait limpact en cas de ralisation du risque ? Si oui : Les procdures sont-elles pertinentes ? Exemple : une entreprise du secteur de la presse Objectifs de dpart Evaluer les risques significatifs darrt de linformatique de production

40

Recenser les solutions permettant de couvrir ces risques en valuant les investissements ncessaires Envisager en priorit les solutions conomiques couvrant les risques coteux Etre concret : ne pas viser seulement se donner bonne conscience

Dmarche suivie :
Etude de lexistant

Hirarchisation

Arbitrage et laboration du plan daction

Recensement et valuation du cot des solutions

Moyens de protection en place un matriel fiabilis : redondance (2 units centrales) mirroring (2 copies sur disque) matriels standards une salle informatique bien quipe Accs gaz Inergen climatisation des sauvegardes rgulires et testes Risques recenss Risque de panne du rseau local Lensemble des communications de lentreprise sur un seul cble Plan de cblage non jour Risque de crash informatique pour une des publications Pas de site de back-up Dlai de 5 semaines pour obtenir une nouvelle machine Risque de dgt des eaux Circuit dalimentation dune photocomposeuse dans la salle machine Risque de non parution dun numro Epuration des fichiers avant impression relle chez limprimeur Impossibilit de reconstituer lensemble de la mise en page Plusieurs actions mener hirarchises et panifies quelques solutions simples, dun cot cumul infrieur 15k, courant 50% des risques, mettre en place dans les trois mois duplication des sauvegardes mise jour du plan du rseau isolation de la photocomposeuse, quelques solutions, plus lourdes mise en place dune deuxime nud du rseau,

41

une solution complexe mettre en uvre, dun cot valu plus de 100 k, portant le taux de couverture 80%, mener dans les 2 ans dfinition dun plan de secours crois avec une autre filiale du mme groupe (mme outils, )

Autres types dinterventions envisageables Assistance la dfinition du plan de reprise Assistance la dfinition du plan de fonctionnement dgrad Recherche dune solution de secours extrieure Revue des assurances Confidentialit et risque de fraude Les risques La concurrence accde au fichier client Un informaticien modifie un paramtre Un utilisateur accde au fichier des virements Des agents accdent des fonctionnalits sensibles Un hackers se connecte sur la machine centrale Un salari accde la paye et augmente son salaire Le trsorier dtourne 1 millions dEuros Un informaticien dtourne les arrondis son profit Un visiteur vole les lettres chques Les solutions existantes Authentification Mots de passe Reconnaissance vocale, biomtrique, Identification par carte puce Droits daccs logiques Cls de chiffrement Protection du rseau interne : DMZ (isolation des accs Internet) VPN Serveur Proxy (centralise les requtes Internet, blocage des utilisateurs) Firewall (autorisation des accs, analyse des flux) Routeur filtrants (routage des requtes et des rponses) Contrles a priori et a posteriori Les thmes tudier Recensement des donnes confidentielles Il sagit de recenser : Les donnes dont la divulgation porterait prjudice lentreprise Les transactions / fonctionnalits dont lusage doit tre restreint Les zones risques (virements, lettres-chques, ) Ce recensement doit avoir t effectu par lentreprise ou doit tre effectu en collaboration avec elle 42

Couche systme Un utilisateur se connectant doit sidentifier et sauthentifier Dconnection automatique, nombre maximum de tentatives infructueuses Gestion des accs aux objets sous MVS : RACF, Top Secret Gestion des autorisations sous AS/400 : OS400 Mcanisme interne lapplication Gestion de profils Certains fichiers et transactions sont rservs des utilisateurs dfinis Les mots de passe (application, bases de donnes, OS) : Sont-ils rgulirement modifis ? Intgrent-ils des critres de complexit suffisants ?

Les thmes tudier La procdure de demande dautorisation est-elle formalise ? Les accs et les droits sont-ils accords par des responsables dfinis ? Les dparts de personnels donnent-ils lieu des suppressions des droits accords ? Des audits des droits accords sont-ils rgulirement effectus ? Les comptes gnriques sont-ils limits. Les comptes techniques sont-ils correctement scuriss ? Contrles a posteriori : trace des accs Revue de lutilisation des super utilisateurs Revue des tentatives daccs infructueuses Les contrles daccs physiques Btiment, bureaux, armoires Badges, digicodes Les procdures organisationnelles Sparation des fonctions Procdure dautorisations dengagement de dpenses (seuil) Contrle de gestion Suivi des volumes verss, recoupements, Analyse des critures comptables (OD-oprations diverses) Analyse des oprations rpondant certains critres (seuils, montant ronds, critures passes le week-end) Traces des accs Possibilit de retrouver lensemble des manipulations effectues tel jour, par tel agent, sur tel dossier, Application des patchs de scurit sur les firewalls et les routeurs Scurisation des mots de passe daccs au routeur/firewall Les thmes tudier : les accs des informaticiens Les informaticiens constituent une population risque Ils matrisent les traitements autant sous leurs aspects fonctionnels que techniques Ils sont capables de cerner sil y a ou non une possibilit de dtection Ils sont quelquefois en mesure deffacer les traces de leurs manipulations Il est donc ncessaire de : Leur interdire laccs direct lenvironnement de production Mettre en place une procdure de contrle des mises en production des programmes 43

Exemple dans le secteur de la distribution Objectifs de dpart Dans le secteur de la distribution, les ristournes accords par les fournisseurs sont des informations stratgiques et donc trs confidentielles Les risques de divulgation lextrieur sont-ils faibles ? Comment amliorer encore la protection ? Dmarche suivie
Recensement des fichiers et tats confidentiels

Audit des protections en place

Validation des droits accords

Moyens de protection en place un service ddi la gestion des ristournes des mots de passe une procdure dhabilitation toffe Risque recenss Risque organisationnel Les agents du service ont accs chacun lensemble des informations (pas de sparation des fonctions) Les documents mis sont nombreux et trop largement diffuss Risque informatique Au sein du service, les mots de passe sont connus de tous Des sites loigns auraient la possibilit daccder aux informations sensibles Les fichiers sensibles sont accessibles Risques de dysfonctionnement Les risques Une fonctionnalit rcente, mal teste , gnre des erreurs Une application ne traite pas bien un cas particulier Une erreur de saisie entrane un approvisionnement dix fois suprieur ce qui est ncessaire Incidents majeurs dexploitation Un virus se propage dans le systme Les solutions existantes Mthodes de dveloppement MERISE, AXIAL, Recette Contrles la saisie

44

Dtecteur de virus Automatisation de lexploitation Assurance qualit MAQ, INCAS-MESSIE

Les thmes tudier Les Etudes L Exploitation La fiabilit des applications Les mcanismes et procdures de dtection ? Linformatique volue au fil de leau La socit doit valuer chaque volution si les traitements peuvent tre entachs de dysfonctionnements de nature perturber gravement la bonne marche de lentreprise ? Risques recenss Dveloppement Dveloppement anarchique autour du progiciel Acquisition de nouvelles versions impossible Pas de sparation des environnements Mise directe en exploitation Exploitation Documentation insuffisante Matrise difficile Exemple : les fichiers lis une filiale vendue lextrieur, tait toujours traits Suivi peu toff, pas de gestionnaire de travaux Pas dtat synthtique Eclairage : les virus Diffrentes terminologies existent : chevaux de Troie : fonction illicite dans un programme bombes logiques : dclenchement diffr vers : dplacement en mmoire virus : multiplication en mmoire Les virus sont dangereux car : ils sauto-reproduisent ils peuvent dtruire les fichiers sur disque Une dizaine seulement de virus est responsables de 99% des infections ils sont dtectables, car connus Mthode MARION Les intrts de la mthode Permet de donner un avis sur le niveau de scurit existant dune entreprise Evalue les risques potentiels Ne sintresse pas exclusivement linformatique Mais lensemble des facteurs qui contribuent la scurit Quantifie les enjeux financiers

45

Met laccent sur la quantification financire des pertes Dbouche, aprs arbitrage, sur un plan daction

Larbitrage entre les pertes financires prvisibles et les investissements envisags :

Cot des solutions Pertes financires

Temps dindisponibilit

Les principes de la mthode Questionnaire de 640 questions se rapportant 27 thmes Chaque rponse est note de 0 4 et est pondre en fonction de limportance du thme concern Paralllement les risques sont identifis leur probabilit dapparition est estime leurs consquences sont valus Le rapprochement des points de faiblesse et des risques permet le recensement des solutions envisageables Ses modalits Lapplication pure et dure de la mthode est lourde et ncessite une tude de plus de trois mois Mais il parat envisageable de mener de mini-tudes MARION, surtout axes sur lutilisation du questionnaire Exemple

2007-02-15 Formation laudit informatique - Audit en environnement ERP Plan : Prsentation des ERP et introduction SAP Impacts des ERP sur les risques lis au SI Lapproche spcifique daudit des ERP

46

Exemple des flux SAP

Prsentation des ERP et introduction SAP Prsentation des ERP Dfinition Ensemble de logiciels intgrant les principales fonctions ncessaires la gestion des flux et des procdures de l'entreprise (comptabilit et finances, logistique, paie et ressources humaines, etc.). Tous ces logiciels accdent des ressources communes, en particulier des bases de donnes (et donc des donnes de base). Segments du march des ERP Le march des ERP comporte plusieurs segments primaires par taille de clients, auxquels correspondent des diteurs diffrents : grands comptes :SAP, Oracle/PeopleSoft grosses PME :Microsoft, Lawson, SSA Global, Geac, SAP, Oracle/PeopleSoft, petites PME :Microsoft, Epicor, Exacta, Sage, NetSuite, SAP BusinessOne, petites entreprises :Sage, Intuit, ACCPAC, NetSuite. Taille du march franais des ERP en 2004 : 3,4 Milliards dEuros Les principaux acteurs du march ERP en France :

Rq : en dcembre 2004, Oracle a rachet PeopleSoft pour 10 milliards de $ Les tendances du march ERP en France :

47

(Source : IDC, 2004)

Introduction SAP SAP : signification ? Systme Application Produit SAP : cr en Allemagne Walldorf en 1972 SAP : leader mondial des ERP* 12 millions dutilisateurs dans plus de 50 pays 91 500 installations 1500 partenaires Les chiffres cls du CA mondial de SAP en 2004

48

Le produit SAP Original product was SAP R/2 on the mainframe introduced in 1974 SAP R/3 introduced for smaller platforms using 3-tier architecture in October 1992 SAP code is written in a proprietary fourth generation (4GL) programming language developed by SAP known as Advanced Business Application Programming or ABAP/4 SAP has bought other software companies to supplement its own, e.g. HR module was not originally SAPs Les versions SAP 2.2h 1970s, 1980s 3.0d, 3.0e, 3.0f 1996/1997 3.1g, 3.1h, 3,1i1997/1998 4.0b1998 4.5a,b1999 4.6a,b,c2000/2001 4.70 (Enterprise)2004 Les versions non maintenues par SAP : jusqu la 4.0b => risque pour le client Larchitecture du systme SAP

La structure modulaire de SAP Les modules SAP Le module Finance (FI) General Ledger (FI-GL) Accounts Receivable (FI-AR) Accounts Payable (FI-AP) 49

Tax and Financial Reports Special Purpose Ledger Special Purpose Ledger Legal Consolidations Financial Applications Le module Contrle de Gestion (CO) Cost Center Accounting Profit Center Accounting Product Cost Controlling Profitability Analysis Activity Cost Management Internal Orders Financial Applications Le module Gestion des Immobilisation (FI-AA) Depreciation Property Values Insurance Policies Capital Investment Grants Financial Applications Le module Gestion des Achats (MM) Procurement Inventory Management Vendor Evaluation Invoice Verification Warehouse Management Logistics Applications Le module Gestion de la Production (PP) Sales & Operations Planning Demand Management Material Requirements Planning Production Activity Control Capacity Planning Logistics Applications Le module Gestion des Ventes (SD) Quotations Sales Order Management Pricing Delivery Invoicing Logistics Applications Le module Gestion des Ressources Humaines (HR) Personnel Administration Payroll, Benefits Time Management Planning and Development Organisation Management Human Resources 50

Impacts des ERP sur les risques lis au SI Facteurs de risques aggravs en environnement intgr: Traitements bass sur des donnes fondamentales errones (tarifs, conditions de paiement) Partage en temps rel dinformations errones (niveau de stock, encours des projets dinvestissement) Accs illicite des informations confidentielles ou des transactions sensibles Absence de sparation de fonctions Manque de fiabilit des traitements automatiss Utilisation non adquate du systme Contournement des contrles programms Effet bote noire Organisation, processus, rles

Les contrles se transforment et se dplacent Le dcoupage en processus est dfini par lERP Les contrles au sein des programmes sont de plusieurs types : Contrles inhrents Contrles paramtrs Sparation des fonctions Etats dexceptions/KPI

Il existe souvent un Core Model, dclin (adapt) ensuite localement

Lapproche spcifique daudit des ERP Les missions daudit en environnement ERP doivent inclure : Pour les revues de scuritlogique :

51

Une revue dtaille des autorisations Une revue de la correcte mise en oeuvre de la sparation des fonctions Pour les revues de processus : Une revue de la correcte implmentation des contrles totalement automatiss (contrles paramtrs) Une revue de la correcte apprhension/ralisation par les utilisateurs des contrles partiellement automatiss (revue dtats danomalies)

4 pavs :

Revue autorisations & sparation des fonctions Objectif : couvrir les risques de diffusion dinformations confidentielles et daccs des transactions critiques Lvaluation des contrles mis en place pour assurer la scurisation des actifs et le respect de la confidentialit des informations les plus sensibles au sein de SAP se droule en 3 tapes : analyse de la politique gnrale de scurit logique et des procdures sous-jacentes de gestion analyse des accs aux fonctionnalits SAP les plus critiques au regard des dfinitions de poste des utilisateurs concerns revue des risques de non sparation des fonctions au sein du systme dinformation (par exemple, utilisateurs pouvant crer un fournisseur, crer une facture et dclencher le paiement) Les fondamentaux de la scurit: Plusieurs socits Plusieurs organisations commerciales, sites de production Plusieurs milliers de transactions en standard Plusieurs milliers dutilisateurs Plusieurs environnements Plusieurs millions de combinaisons possibles Concept complexe et difficile maintenir et auditer Pour quun utilisateur puisse raliser une opration, il doit avoir accs lensemble des objets requis par la transaction associe : Ce concept est rpt pour plus de 8000 transactions avec environ 600 objets de scurit contrls

52

Dfinition dun rfrentiel de sparation des fonctions adapt lentit et au systme SAP Ralisation des tests, quel que soit loutil utilis, par ou avec lassistance dune personne disposant des comptences techniques adquates

Il existe de nombreux outils permettant dauditer les autorisations et la sparation des fonctions en environnement SAP. Le module Audit Information System (AIS)de SAP Et des outils du march: Virsa: SAP Compliance Suite CSI : CSI Authorization Auditor Bindview: bv-Control for SAP Approva: BizRights

53

Remote security monitoring OBJECTIFS Permettre un monitoring continue du niveau de scurit dun systme SAP grce un dispositif de contrle rcurrent Satisfaire aux nouvelles obligations en matire de contrle interne en valuant les scurits SAP au niveau Groupe Rduire la charge de testing dun groupe soumis aux obligations Sarbanes-Oxley 404 grce la ralisation au niveau Groupe de tests automatiss avec participation limite des filiales Mettre disposition des security officers SAP un moyen de pilotage et de contrle fiable et simple utiliser

Dfinition du scope des revues Scoping des entits / socits Slection des (sous-)processus critiques tester Dfinition de la frquence des revues Analyse du systme SAP Identification des transactions utilises et/ou utilisables (par sous-processus) Dfinition du niveau de dtail des tests (transactions ou objets) Dfinition des critres de test par transaction Testingsuivant une frquence dfinir : Extraction des tables de scurit SAP Traitement de ces donnes laide dun des outils du march Cration dun matrice de droits daccs par entit Identification par les security officers de chacune des entits, des accs non justifis par user valuation des rsultats obtenus

54

Calcul de KPI scurit aux niveaux entit et Groupe Identification des Best in class au sein du Groupe Suivi de lvolution des rsultats priode aprs priode

Reporting Formalisation dun rapport synthtique par entit Reporting graphique pour le Groupe / Comit dAudit

Evaluation de la fiabilit des processus OBJECTIFS Identifier et tester lensemble des contrles cls dun processus et notamment ceux automatis Augmenter la pertinence des tests raliss en sappuyant sur le systme et les contrles paramtrs Augmenter le degr de prcision des tests grce des populations de test plus larges (exhaustive) Gagner en efficacit grce lautomatisation des tests Exemples de contrles

55

Global system settings

Achats

Les structures organisationnelles (socits, controlling area, organisation dachat, usines, divisions) ont t dfinies de manire reflter lorganisation du Groupe Le log des modifications sur les tables sensibles a t activ Des champs sensibles ont t dfinis sur les fiches fournisseurs requrant une validation par une tierce personne pour toute modification Le flag Contrle des factures en doublons est actif pour tous les groupes de fournisseurs Les tolrances lors du contrle facture ont t paramtres de manire blouer au paiement toute facture au-del dun cart de prix de +2% Les stratgies de validation paramtres sur les demandes dachat et les commandes respectent la dlgation de pouvoirs en vigueur Les structures dcran dfinissant les champs obligatoires la saisie des demandes dachat / commandes ont t dfinis et adapts pour les diffrents types de pice en fonction des diverses typologies / scnarios dachat

Exemples de contrles Sur une commande, les champs X, Y, Z sont hrits de la demande dachat et ne sont pas modifiables Les tolrances sur les rceptions ont t paramtres de manire bloquer toute entre de marchandise avec un cart de +5% sur la quantit commande Achats Les conditions de paiement ne sont pas modifiables sur la facture fournisseur Les factures FI (sans engagement) sont systmatiquement bloques au paiement Les avoirs sont paramtrs de telle sorte que la rfrence la facture dorigine est obligatoire Le paramtrage requiert quune expdition ait t ralise avant tout mission de facture Ventes Les fonctionnalits de relance automatique ont t actives dans SAP Des limits de crdit ont t paramtres pour lensemble des clients. Le systme bloque toute commande au-del des limites de crdit paramtres Exemples de contrles Le code mouvement 561 permettant de modifier directement la valeur des articles en stock est bloqu. Stocks Les stocks ngatifs ne sont pas autoriss. Les modes et les dures damortissement ont t paramtrs sur les Immobilisations diffrents tableaux dvaluation en fonction des rgles Groupe et ne peuvent pas tre modifis sur la fiche immobilisations Les comptes aliments par les comptabilits auxiliaires Clients, Fournisseurs, Immobilisations ont t dfinis en tant que compte de rconciliation Comptabilit Les comptes aliments par des processus automatiss ont t dfinis comme tel en vue de bloquer toute imputation manuelle LA DEMARCHE

56

Les processus tant standardiss, la majorit des contrles est connue, et le temps ncessaire leur identification rduit de manire trs significative La phase de prparation de la mission daudit peut tre renforce par : Une analyse du systme SAP Le lancement dtats dexceptions Des extractions de donnes et ralisation de requtes et ainsi permettre de concentrer le temps dintervention terrain sur lanalyse de rsultats de tests Ncessit dintgrer dans lquipe daudit des auditeurs spcialiss ERP Les donnes tant structures en tables dans les ERP, de nombreux tests peuvent tre raliss partir dextractions de donnes puis retraitements et requtes (SQL, Access, IDEA) Ex : tables SAP relatives aux commandes dachats

AUGMENTER LA PERTINENCE DES TESTS Diminution du nombre de tests raliss par chantillonnage au profit de tests raliss sur des bases exhaustives. Exemple : lexistence dune commande pour chaque facture fournisseur peut tre vrifie par chantillonnage et retour aux pices justificatives mais aussi laide de requtes SAP sur une base exhaustive. La connaissance technique de SAP permet dvaluer des contrles critiques programms au sein de lERP. Exemple : lefficacit du 3-way match(rapprochement commande / rception et facture fournisseur) peut tre value suite une revue du paramtrage SAP (cls de tolrances entre autres) et lanalyse dtats dexceptions produits laide de queries (factures pour lesquelles le 3-way matcha t contourn). GAGNER EN EFFICACITE Lauditeur a accs de manire immdiateaux informations qui lui sont ncessaires Automatisation des tests auparavant raliss manuellement : Recherche des factures fournisseurs saisies/payes en double Validation par un niveau hirarchique adquat des engagements de dpenses Cohrence entre les dlais de paiement indiqus sur les factures clients et les dlais de paiement enregistrs dans les master data

57

Validation de la provision pour factures recevoir

Capitalisation des outils/requtesde tests crs lors dun premier audit Mise en place et utilisation dindicateurs de performance du contrle interne automatiquement calculs dans SAP (utilisables lors des phases de scoping et/ou de testing) Les outils pour valuer la fiabilit des processus Le contrle interne ntant pas une priorit pour les diteurs de progiciels ni les intgrateurs, il existe sur le march peu doutils rfrenant lensemble des points de contrles existant dans les ERP (SAP, Oracle Applications, JD Edwards) Les cabinets daudit, de par leur exprience, ont pour la plupart dvelopps des bases de connaissance en la matire. Les mthodologies propritaires des cabinets daudit Les Controls Catalogssont des rfrentiels de contrles attendus en environnement ERP bass sur notre connaissance des faiblesses les plus frquemment constates, et des fonctionnalits de contrle proposes en standard par les diffrents ERP. Ces controls catalog sexistent pour les ERP suivants : SAP R/3, Oracle et JD Edwards. Les mthodologies propritaires des cabinets daudit

La valeur ajoute Avoir une vision complte et exacte des contrles au sein des processus Permettre une couverture plus large des risques

58

tre capable de proposer des recommandations prcises grce la connaissance technique du systme et des possibilits de contrles quil offre Identifier des axes doptimisation du contrle interne Augmenter le niveau dassurance et renforcer limage de lAudit Interne

KPI de monitoring du contrle interne La dmarche KPI La mise en place et le fonctionnement durable dun systme se caractrise par la recherche : Dun niveau dutilisation optimale Tout en disposant dun niveau de fiabilit satisfaisant Le niveau dutilisation peut se mesurer partir des volumes de transactions: Les fonctions implmentes sont-elles utilises ? Le niveau de fiabilit peut se mesurer en suivant les erreurs et les rejets : Les fonctions sont-elles utilises correctement ? Dmarche de mise en uvre Dfinition des objectifs (utilisation du systme, fiabilit des processus, optimisation) laboration et tests des KPI en liaison avec le ROI attendu Validation des KPI sur un Pilote laboration dun Tableau de bord KPI Les outils Il existe de nombreux outils de type contenant permettant un monitoring laide de KPIs dvelopper / renseigner mais peu avec du contenu Les outils du march: Virsa Confident Compliance KPMG Business Controls MonitorCes KPIs peuvent aussi faire lobjet de dveloppements spcifiques (mais ncessite des comptences techniques trs pousses) : Le module AIS de SAP regroupe un certain nombre dtats dexception pouvant servir de base llaboration de tels KPIs Lorsquil est implment le module BW offre des possibilits de reporting Multiples Exemple dautomatisation des KPI

59

Exemples de flux SAP Sous-processus du processus Achats

Procdures de tests A1 Des paiements sont effectus des fournisseurs non autoriss selon les Risque rgles de socit Lutilisation du code Factures dachat fournisseur gnrique Objectif (#999) est limite aux Donnes de achats ponctuels (<2 ncessaires contrle occurrences) et non significatifs (<1000) Procdures Extraire la table SAP des factures fournisseurs depuis le 1/1/N de tests Filtrer sur le code fournisseur #999 afin de nobtenir que les factures relatives au code fournisseur gnrique Grouper les factures par nom fournisseur en nombre total et en valeur 60

totale (COUNT & SUM) Obtenir des explications de la part du Responsable Achats pour 10 fournisseurs slectionnes alatoirement pour lesquels le nombre total et/ou le montant total des factures excde les limites autorises. Les prix utiliss dans les commandes achats sont ceux ngocis avec les Risque fournisseurs formellement approuvs dans les contrats Les prix dans les Paramtrage SAP commandes dachats sont Contrats fournisseurs Objectif automatiquement copis des SAPA Donnes de contrats saisis dans SAP qui ncessaires contrle correspondent aux contrats papiers signs avec les fournisseurs Sassurer que le systme SAP est paramtr de faon copier A2 automatiquement les prix dans les commandes dachats parti des contrats et que ces prix ne peuvent tre modifis manuellement Extraire la table SAP des contrats fournisseurs valides au cours de lanne teste Procdures Slectionner alatoirement 10 contrats dachats partir de la liste des de tests contrats SAP et obtenir du Responsable des Achats des copies des contrats papiers correspondants Rconcilier les 10 contrats SAP avec les contrats papiers et vrifier que les prix sont bien identiques. Si des carts sont constats, obtenir des explications du Responsable des Achats Les commandes dachats ne sont pas livres par les fournisseurs dans des Risque dlais acceptables Les commandes dachats en Commandes dachats Objectif retard de rception sont Donnes fournisseurs de revues et investigues ncessaires Entres de stocks contrle hebdomadairement enregistres Extraire les tables SAP contenant les commandes dachats fournisseurs A5 et les entres de stocks enregistres sur la priode teste Faire une jointure entre les 2 tables prcdemment extraites et identifier Procdures toutes les commandes sans rception et pour lesquelles la date de de tests rception prvisionnelle est dpasse depuis plus dune semaine Slectionner alatoirement 10 commandes non rceptionnes en retard depuis plus dune semaine et obtenir des explications du Responsable des Achats Etude de cas : Procdures de tests prparer A9 Les factures fournisseurs sont saisies dans le systme en double et payes Risque 2 fois au fournisseur Objectif Les factures saisies avec le Donnes ? de mme fournisseur, la mme ncessaires contrle date de facture, le mme numro de facture fournisseur et le mme montant sont identifies et revues mensuellement 61

Procdures de tests Risque

? Les factures fournisseurs sont saisies avec des quantits suprieures aux quantits de stock effectivement reues ou avec des prix diffrents des mentionns dans les commandes les quantits factures ne peuvent tre diffrentes de plus de 5% des quantits reues Donnes ? les prix ne peuvent ncessaires diffrer des prix des commandes (tolrance 0%) ? Les factures fournisseurs sont payes pour des matires premires jamais envoyes par le fournisseur Les factures fournisseurs ne faisant pas rfrence une Donnes commande et une ? ncessaires rception de stock font lobjet dinvestigations ?

A10

Objectif de contrle

Procdures de tests Risque Objectif de contrle Procdures de tests

A11

2007-02-22 Formation laudit informatique - Contrle interne, Exigences rglementaires, Dimension SI Introduction Objectifs : Rappeler le contexte global de renforcement des exigences rglementaires portant sur le contrle interne Dfinir la notion de contrle interne Prsenter le rfrentiel utilis pour lvaluer Exposer la dmarche globale de mise en uvre Dfinir la manire dont la dimension systme dinformationdoit tre prise en compte Prciser les attentes dans le cas de processus externaliss Pourquoi une nouvelle rglementation ? Lorigine : diverses affaires Remise en cause de la confiance gnrale des marchs financiers : risque majeur pour les US ! Mise en vidence de dfaillances concernant : La gouvernance de ces entreprises La fiabilit et la sincrit des informations financires publies, 62

 Lindpendance des auditeurs. Rponse du lgislateur US : loi Sarbanes-Oxley (SOX) Trois axes damlioration Engagement personnel fort des dirigeants Qualit du systme de contrle interne Renforcement de lindpendance des auditeurs Un organisme ddi: PCAOB Prsentation de la loi Sarbanes-Oxley Les diffrentes sections de la loi

Dispositions des sections 302 et 404

Section 302 Certification sous la forme dune attestation des procdures et des contrles relatifs la publication de linformation financire (lensemble des documents faisant lobjet dune publication)

63

Ex : le document de base Section 404 Rapport de la Direction sur sa propre valuation de lefficacit du dispositif de contrle interne du reporting financier Rapport des auditeurs externes ( CAC) sur : Lvaluation faite par la Direction Leur propre valuation de lefficacit du dispositif Leur opinion sur les tats financiers Consquences de la loi La loi Sarbanes-Oxley demande plus qu'un "sentiment" sur le contrle interne Ce que les socits doivent dmontrer : L'existence de contrles documents (dcrit, prouv) pour toutes les activits / entits majeures L'existence dune dmarche pour valuer, la mise en uvre et l'efficacit des contrles (conception, fonctionnement) L'existence d'un processus pour mettre jour le dispositif de contrle et la documentation associe Audit des tats financiers et audit de contrle interne Deux natures dopinions: Audit des tats financiers = une opinion mise par les CAC sur les comptes Audit du contrle interne = une opinion mise par lauditeur externe sur: Lefficacit du contrle interne et du reporting financier Lvaluation ralise par la Direction Quelques spcificits de la mission sur le contrle interne : Mission ralise conjointement avec la mission daudit des tats financiers Recours encadr aux travaux raliss par la socit, encourag par le PCAOB (Public Company Accounting Oversignt Board) Relations entre les deux opinions Les deux conclusions sont lies Ex : Un ajustement dans les tats financiers post-clture peut avoir une incidence sur lopinion des auditeurs externes sur la qualit du processus de clture. Comparaison LSF / SOX Des objectifs communs

64

Pour une approche diffrente

65

Le contrle interne et Sarbanes-Oxley

Attention : ne pas avoir une approche limite de la notion de contrle Au sens anglo-saxon, la notion dinternal controlrecouvre aussi bien la notion de contrle proprement dite, au sens franais : vrification, rapprochement, la notion de matrise: dun risque, dun processus, SOX ne considre que lobjectif Fiabilit de linformation financire, la LSF franaise recouvre les trois objectifs

Le rfrentiel COSO Rfrentiel de bonnes pratiques de contrle interne (quasi-impos par SOX)

Pilotage : le contrle interne est correctement le contrle interne est correctement conu, appliqu efficacement et adapt efficacement l'organisation Information et communication : identification et communication en temps voulu des informations communication en temps voulu des informations pertinentes

66

Activits de contrle : mise en mise en uvre des orientations du management ; assurance que les orientations du management ; assurance que les mesures ncessaires sont prises en vue de matriser les risques susceptibles d'affecter la ralisation des objectifs valuation des risques : matrise de l'exposition de l'exposition de l'entreprise de l'entreprise des vnements favorables Environnement de contrle : Environnement de contrle : dtermine le niveau de sensibilisation du personnel aux besoins de sensibilisation du personnel aux besoins de contrle

Les principaux concepts SOX / COSO connatre

Risques : ce qui pourrait empcher ce qui pourrait empcher lentreprise datteindre ses objectifs Objectifs de contrle : le niveau que lentreprise se propose datteindre concernant la matrise de ces risques Activits de contrle : tche ralise par lentreprise, qui permet entreprise datteindre lobjectif de contrle, et objectif de contrle, et donc concourt la matrise des risques Environnement de contrle : notion plus diffuse, regroupant les politiques/principes qui participe nanmoins latteinte des objectifs de contrle

La dmarche Sarbanes-Oxley Selon SOX, le management de lentreprise doit : formaliser lacceptation de son rle quant la pertinence et au bon fonctionnement du systme de contrle interne, documenter les diffrents composants de ce systme, sinterroger sur la bonne conception des contrles, et tester leur efficacit,

67

identifier les dficiences de contrle, en valuer limpact, et y remdier.

Analyse des risques Utiliser les rfrentiels pour balayer les diffrents types de risque Ensuite, les oprationnels sont les mieux placs pour les prciser Documentation des contrles : importance de la formalisation des procdures de contrle : dire ce quon fait des preuves de contrle : prouver que l on fait bien ce que lon dit Seul moyen de dmontrer un tiers que tous les risques sont couverts ! Tests : deux natures complmentaires De conception : le contrle rpond-il bien au risque ? Defficacit: le contrle est-il bien appliqu ? Rsultat : la maturit de chaque activit de contrle est value Dficiences et faiblesses Il est normal quil y en ait lors de la premire application : le contraire serait mme inquitant Activits de contrle: documentation Lien avec les processus oprationnels et les risques Quels processus / transaction concerns ? Liens amont / aval ? Quels risques couverts ? Dtail de lactivit de contrle Description Nature du contrle : automatique / manuel Si automatique : quelle application (-> voir le PV de recette) ? Dtectif ou prventif Action effectue : rapprochement ligne ligne, vrification du visa, Sources dinformation utilises : tats papiers, SI, Frquence Acteur / Superviseur

68

Action mene en cas danomalie identifie Preuve du contrle Procdures applicables Qualification COSO: objectif (IF, O, C) et assertions de contrle interne

Activits de contrle: quelques exemples Exemples issus dune socit dinfogrance : Validation par un expert de larchitecture propose au client par lavant-vente Phase de VABF / VSR (Vrification dAptitude au Bon Fonctionnement/ Vrification de Service Rgulier) Autorisation des mises en production tude dimpact des volutions de linfrastructure Supervision du niveau de service Pilotage des relations avec les prestataires Sauvegarde des donnes Suivi des configurations Analyse froid des incidents Autorisation client pour les modifications de donnes Maintenance prventive Contrle des oprations dexploitation La dmarche Sarbanes-Oxley Evaluation du niveau de maturit

Cible: niveau3 (defined) pour toutes les activits de contrle cls La dimension systme dinformation Rle particulier du Systme d'Information (1) Support des processus de l'entreprise (notamment Gestion / Finance)

69

(2) "Acteur" du systme de contrle sur ces processus, via les contrles automatiques (3) Source de risques spcifiques, ncessitant la mise en place de contrles ad hoc

La dimension systme dinformation La dmarche Sarbanes-Oxley applique au SI :

Attentes du PCAOB / IT General Controls 70

 Gestion de projet/ dveloppement des applications Gestion de lvolution des applications Accs aux programmes et aux donnes Exploitation informatique Utilisation doutils bureautiques (end-user computing) Problme: ces attentes sont assez peu prcises Ncessit dutiliser un rfrentiel spcifique, ddi aux activits IT Deux principaux rfrentiels: CobIT et ITIL Intrt: Les rfrentiels rappellent, en les structurant, les bonnes pratiques IT Leur large diffusion permet de faciliter la communication avec les tiers CobIT(Control Objectives for Information and Technology)

Liens entre le COSO et le CoBIT

71

Liens entre les ITGC SOX et le CoBIT

ITIL (IT infrastructure library)

72

Cas des processus externaliss Lexternalisation dun processus ne modifie pas la responsabilit de lentreprise en ce qui concerne son contrle interne Lorsque ce processus a un impact sur la fiabilit de son information financire, lentreprise cliente doit sengager sur la fiabilit du contrle interne de son prestataire Exemple : externalisation de la paie, des prises de commande, ou de lhbergement et lexploitation dapplications Plusieurs options possibles Audit contractuel du prestataire, par le client lui-mme ou par un auditeur externe mandat spcifiquement Problme : risque de multiplication des audits sur un mme sujet pour le prestataire laboration dun document engageant le prestataire et un auditeur tiers, certifiant de la qualit du contrle interne Permet de rpondre toutes les demandes en un seul audit Rapport SAS70 (norme dveloppe par les comptables US) Contenu type dun rapport SAS70 Rapport de lauditeur (standard) Activit du prestataire Environnement de contrle du prestataire Objectifs de contrle et activits de contrle associes Tests raliss par lauditeur et rsultats (type II seulement) User considerations Permet au prestataire de prciser ce que son client devrait mettre en uvre comme activit de contrle pour assurer que leurs interactions sont bien sous contrle Deux types de rapport sont dfinis Le type II est requis par SOX : incluant une phase de test, il permet de se prononcer sur lefficacit des contrles mis en uvre Et les volutions attendues Internal control embedded in the System Development life cycle : rle of CIO Automated and preventive Real time IT application including on-line control ??? ??? Et Demain? Des outils pour rpondre lintgration du contrle interne dans les processus Pilotage contrle interne du Suivi des Gestion des Description ? anomalies tests des activis (formalisation, de contrle rcurrence, reporting) ?

73

Moins dvaluation directe de lefficacit du contrle interne et plus de reassurance de la confiance dans le systme de pilotage du contrle interne ? Un focus amplifi sur les entity level controls et loptimisation triangulaire?

Un sujet nouveau de dialogue avec les acteurs de la gouvernance : le pilotage optimis du contrle interne?

En rsum Quels impacts sur lidentification des risques et des contrles Focus sur lidentification des risques financiers lis linformation financire Renforcement des liens entre les processus et les activits de contrle Affirmation de la criticit des contrles automatiss au sein des processus et des exigences qui en dcoulent Comment valuer le dispositif de contrle interne Une modlisation du dispositif de contrle interne via le COSO et plus gnralement des rfrentiels Cobit, ITIL Une maturit relative des offres de logiciel sur les interactions entre les processus et le pilotage des contrles Les apports sur lefficacit du contrle interne Vers un renforcement des contrles permanents et des volutions prvisibles sur le contenu ??? Quelques liens pour aller plus loin Le document de rfrence IT & SOX IT control objectives for Sarbanes-Oxley v2/ www.itgi.org Sur le mme site : introduction au COBIT Le COSO : www.coso.org Les rfrences officielles pour SOX Le site du PCAOB, avec les standards applicables www.pcaobus.org Rponses aux principales questions concernant SAS70 www.sas70.com

74

75