La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Réalisé par : 2010-2011. Definition daudit Normes professionnelles de laudit Audit et notions proches Plan 2/34 Audit des SI Typologie daudit.

Présentations similaires


Présentation au sujet: "Réalisé par : 2010-2011. Definition daudit Normes professionnelles de laudit Audit et notions proches Plan 2/34 Audit des SI Typologie daudit."— Transcription de la présentation:

1 Réalisé par :

2 Definition daudit Normes professionnelles de laudit Audit et notions proches Plan 2/34 Audit des SI Typologie daudit

3 Introduction : Maintenir et garantir le fonctionnement du système dinformation à son niveau optimum est une nécessité pour toute entreprise souhaitant conserver et accroître sa compétitivité tout en gardant la maîtrise des coûts liés à son système dinformation. Laudit de celui-ci permet de s'assurer de la faisabilité technique, de la satisfaction des objectifs fixés compte tenu des contraintes de lexploitation. Plus généralement, il permet de vérifier que la génération et le paramétrage du système garantissent la fiabilité, la sécurité des données et traitements, loptimisation des performances. Laudit constitue également létape préalable à lintégration de nouveaux services au sein du système. Il fournit une estimation des gains économiques prévisibles liés à celle-ci, en mesure les difficultés, les contraintes techniques et les moyens à mettre en œuvre pour atteindre les objectifs fixés. 18/05/20143

4 Audit des SI4/34 Partie I:Notion daudit

5 Définition daudit LAudit est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Audit des SI5

6 Définition daudit Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d entreprise, et en faisant des propositions pour renforcer leur efficacité. 6

7 Typologies de laudit L'audit de régularité : vise à sassurer de la conformité des actes et des procédures à l ensembles des normes juridiques comptables et financières applicables. L'audit de performance : évalue les résultats (les 3 E : Efficacité, Economie, Efficience), évalue la pertinence des indicateurs. Il intègre laudit de management (politique managériale et stratégie). 18/05/20147

8 Notions proches de laudit Ce que nest pas laudit : Laudit nest pas une inspection Laudit nest pas une certification La certification se prononce sur la validité des comptes (portée juridique) alors que l audit donne une assurance raisonnable sur la qualité des comptes (préalablement à leur certification). Laudit nest pas une étude ou une expertise Il n intervient pas préalablement à la mise en place d une procédure, mais au contraire il l évalue a posteriori. 18/05/20148

9 Rôle de Lauditeur Evaluer et apprécier le degré de maîtrise des risques de la structure à travers sa politique de contrôle interne. Proposer des mesures damélioration réalistes et opérationnelles afin de permettre à la structure de mieux maîtriser ses risques et datteindre ses objectifs. 18/05/20149

10 Rôle de Lauditeur Ce quest lauditeur : un professionnel du traitement de linformation qui aide un manager à mieux maîtriser ses risques, à fonctionner plus efficacement, afin d atteindre ses objectifs. Ce que nest pas lauditeur : un inspecteur, un certificateur de comptes, un policier, un juge. 18/05/201410

11 Lauditeur Lauditeur est un professionnel du traitement de l information Qualités : Intégrité Objectivité - capacité découte Indépendance Compétence Esprit déquipe 18/05/201411

12 Les Normes de laudit Lactivité de lauditeur est menée dans le respect d un cadre de référence : «Les normes internationales pour la pratique professionnelle de laudit interne ». Elles définissent les principes de base de la pratique de laudit interne. Elles sont un cadre de référence. Elles établissent les critères dappréciation du fonctionnement de laudit. Elles favorisent lamélioration des processus organisationnels et des opérations. 18/05/201412

13 Les Normes daudit Les normes de qualification : Mission, pouvoirs et responsabilité (1000) Indépendance et objectivité (1100) Compétence et conscience professionnelle (1200) Lassurance qualité (1300) 18/05/201413

14 Les Normes daudit Les normes de fonctionnement gestion de laudit interne (2000) nature du travail (2100) planification de la mission (2200) réalisation de la mission (2300) communication des résultats (2400) surveillance des actions de progrès (2500) 18/05/201414

15 Notion du Contrôle Interne Selon la définition la plus souvent retenue au niveau international, le contrôle interne est lensemble des dispositifs choisis par lencadrement et mis en œuvre par les responsables de tout niveau pour maîtriser le fonctionnement de leurs activités. Ces dispositifs sont destinés à fournir une assurance raisonnable quant à la réalisation des objectifs de lorganisation et des managers sont responsables. Autrement dit, le contrôle interne est lensemble des moyens (quels quils soient) utilisés par la gestion elle-même (interne) pour sassurer de la maîtrise (control) de son fonctionnement en vue de réaliser ses objectifs. Cest un système quotidien, permanent et évolutif. Toute lambiguïté sur la notion de contrôle interne vient des difficultés de la traduction. Le terme anglais Internal Control fait dabord référence à la notion de maîtrise de la gestion et par prolongement à la maîtrise du management. 18/05/201415

16 Notion du Contrôle Interne (suite) En ce sens, le contrôle interne est donc un réflexion plus large sur tous les risques inhérents aux missions, à lorganisation, au contexte dexécution, bref à « lenvironnement » de lentité. Une fois ces risques identifiés et évalués, le contrôle interne cherche à mettre en place les moyens efficaces pour les réduire et donc à placer la gestion sous « maîtrise », ce qui donne alors lassurance raisonnable que les objectifs pourront être atteints. Lessentiel est de ne pas oublier que le risque 0 nexiste pas. Lenjeu de cette démarche est donc de trouver un équilibre entre le besoin de sécurité et une gestion efficiente des moyens dont disposent les managers Tout lenjeu pour le manager, dans le cadre de sa politique de contrôle interne, est de conduire une analyse objective de la vulnérabilité de son organisation 18/05/201416

17 Notion de risque Définition du risque : Un risque se définit comme tout événement, action ou inaction de nature à empêcher une organisation d'atteindre ses objectifs Évaluation du risque en fonction de : La probabilité que le risque se réalise Limpact que pourrait avoir ce risque sil se matérialisait Un risque majeur est : Un risque évalué comme élevé (probabilité & impact en zone rouge) ou un risque qui présente un caractère inacceptable pour lentreprise en regard de la sécurité des biens et des personnes ou de la survie de l entreprise 18/05/ FaibleModéréÉlevé Élevée Modérée Faible Impact Probabilité

18 Attention: la fiabilité de tout laudit repose sur une identification correcte des risques Objectifs de contrôle (assertions) Contrôle prévu (description du contrôle, types préventif/détectif, manuel/automatique, responsabilité, etc…) Système de contrôle interne Adéquation (jugement après analyse) et efficacité ( jugement au terme des tests) Audit Risque inhérent (description du risque et des sources envisageables) Analyse des risques

19 Méthode pour la cartographie des risques 18/05/ Risque inhérent : Avant la prise en compte du dispositif de contrôle Risque résiduel : Après la prise en compte du dispositif de contrôle

20 18/05/201420/34 Partie II: Audit des systèmes dinformation

21 Définitions (1/3) 21/34 système dinformation : Lensemble des moyens humains, matériels ainsi que des méthodes visant à acquérir, stocker, traiter et diffuser de linformation. la confidentialité et la disponibilité de linformation constitue un enjeu très important pour la compétitivité de lentreprise 18/05/2014 SI représente un patrimoine essentiel de lentreprise

22 22/34 ensemble de méthodes, techniques et outils chargés de protéger les ressources dun système informatique afin dassurer : La sécurité du système dinformation : la disponibilité des services la confidentialité des information lintégrité des systèmes 18/05/2014 Définitions (2/3)

23 23/34 La science qui permet de sassurer que celui qui consulte ou modifie des données du système en a lautorisation La sécurité informatique Les systèmes informatiques sont au cœur des systèmes d´information Ils sont devenus la cible de ceux qui convoitent linformation Assurer la sécurité de linformation implique lassurance la sécurité des systèmes informatiques. Laudit de sécurité du système dinformation est un examen méthodique dune situation liée à la sécurité de linformation en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes. 18/05/2014 Définitions (3/3)

24 Les raisons Voici quelques exemples de questions susceptibles d'être formulée par le Top management : Le système d'information de l'entreprise contribue-t-il à améliorer sa profitabilité? La mise en place d'une nouvelle application, a-t-elle amélioré la productivité et le service client ? La stratégie informatique est-elle conforme à la stratégie de l'entreprise ? Peut-on diminuer les coûts des fonctions administratives en dépensant plus en informatique ? Entrainent le besoin de : de contrôler les Systèmes d'Information ; d'accroître la Sécurité des S.I. d'optimiser les S.I. 18/05/201424

25 Définition daudit des SI référentiels internes externes des écarts ou dysfonctionnements des avis et recommandations Observation, examen, analyse de faits, situations et informations par rapport à des référentiels internes (politique de lentreprise) ou externes (la réglementation), de manière à mettre en évidence des écarts ou dysfonctionnements, en rechercher les causes et les conséquences en termes de risques et de coûts, permettant ainsi à lauditeur de présenter dans un rapport des avis et recommandations à court et moyen terme. 18/05/201425

26 Objectifs de laudit des SI laudit des systèmes dinformation permet de vérifier, apprécier et valider : la cohérence et ladéquation de lorganisation des systèmes dinformation en vigueur et de ses composantes, la cohérence des systèmes dinformation par rapport aux objectifs de lOrganisation auditée ladéquation des choix et investissements informatiques (hardware et software) par rapport aux besoins de lorganisation et des différents gestionnaires et utilisateurs (à tous les niveaux), lexistence dun plan de développement informatique à moyen terme, les domaines dactivités couverts par linformatique et le degré dinformatisation de ces activités au niveau de lorganisation objet de laudit, lefficacité et les compétences des services informatiques, les performances des matériels et logiciels. 18/05/

27 Périmètre de laudit des SI (1/2) Un système dinformation est une partie intégrante de lorganisation. Cest un ensemble de procédures permettant le recueil, le traitement, la mémorisation, la restitution et la communication de linformation à des acteurs internes ou externes. Auditer un système dinformation dune organisation consiste en une analyse de faits, situations et informations par rapport à des référentiels internes ou externes, de manière à mettre en évidence les écarts ou dysfonctionnements tout en recherchant les causes et les conséquences en termes de risques et de coûts. 18/05/201427

28 Périmètre de laudit des SI (2/2) Auditer les systèmes dinformation revient à auditer les composantes qui le constituent, à savoir: Lexamen de l'organisation de la structure en charge des systèmes dinformation, Lexamen des procédures liées au développement, Lexamen des procédures liées à lexploitation des applications informatiques Lexamen des fonctions techniques, Lexamen des activités de contrôle sur la protection et la confidentialité des données. 18/05/201428

29 Evaluation des risques liés au SI Risques liés aux politiques dorganisation et de management Risques liés à la séparation des fonctions Risques liés aux contrôles daccès logiques Risques liés au contrôle des accès physiques Risques liés au contrôle du développement et des modifications des programmes et du système Risques liés à la continuité de lactivité Risques liés aux traitements informatiques Risques liés aux utilisateurs 18/05/201429

30 Documentation nécessaire pour laudit des SI Laudit dun système dinformation nécessite, pour lauditeur, davoir à sa disposition et dobtenir : lorganisation de la structure informatique, et les effectifs qui lui sont allouées, le schéma directeur informatique, sil existe, la charte informatique en vigueur au niveau du site audité, si elle existe, larchitecture du système dinformation et ses composantes, la liste des activités et processus, le parc informatique (matériel), linventaire des applications informatiques opérationnelles et leurs descriptifs succincts. 18/05/201430

31 18/05/201431/34 Partie III: Mener une mission daudit des systèmes dinformation

32 Acteurs dune mission Lauditeur : Professionnel compétent et indépendant Doit respecter les normes et les standards Peut être interne et externe Laudité : Entreprise Filiale Département service Le prescripteur : Personne qui commande et assure le règlement de la mission dAudit 18/05/201432

33 Démarche daudit des SI 18/05/201433

34 34 Démarche de lAudit des SI Une approche en 3 phases : Lettre de Mission + Plan de mission Lettre de Mission + Plan de mission Programme de travail (ou plan daudit) Rapport + Plan daction Rapport + Plan daction LAuditeur aide le manager à mieux maîtriser ses risques et atteindre ses objectifs. Il fait des recommandations pour améliorer les dispositifs existants. 25% 50%

35 1- La phase de préparation le plan d audit La phase d étude permet à l auditeur de dresser le plan d audit de la mission (ou programme de travail). Pour ce faire il va devoir : Identifier les principaux objectifs de l entité et recenser les risques généraux associés (risque comptable, patrimonial, …) Découper le process en procédures élémentaires, ou « objets auditables ». Analyser l environnement de contrôle interne, et le cas échéant l environnement informatique. Évaluer pour chaque étape du process le niveau des risques inhérents à l activité, et apprécier pour ceux qui présentent un niveau significatif leur degré de maîtrise en évaluant le niveau des risques liés au contrôle (c est à dire le risque que le contrôle mis en œuvre pour maîtriser un risque inhérent à une procédure ne soit pas suffisant, adapté …) 18/05/201435

36 1- La phase de préparation Les documents préparatoires : Lettre de mission : Lettre de mission : Mandat donné aux auditeurs par le Manager pour auditer. Lettre dinformation : Lettre dinformation : Lettre d annonce, information remise à laudité par lauditeur (envoi préalable ou lors de la réunion d ouverture) Plan de mission Plan de mission ou cahier des charges ou termes de référence 18/05/201436

37 1 - La phase d étude : Connaître le process L étude de lenvironnement : Il s agit de la première étape de la phase de prise de connaissance Étape théoriquement facilitée par la mise à disposition de guides de contrôle interne : les objectifs et les buts de lactivité les indicateurs de performance et les valeurs cibles adossés les règles, plans, procédures, lois, réglementations, contrats et conventions qui peuvent avoir un impact significatif sur les opérations, et les rapports. déventuelles problématiques importantes la littérature technique (normes, bonnes pratiques, directives techniques…) faisant autorité pour l'activité concernée 18/05/ Guides de contrôle interne Manuels de procédures Guides de contrôle interne Manuels de procédures

38 1 - La phase d étude : Connaître le process Létude des chiffres significatifs : Recenser les données propres à la procédure et connaître leur évolution, à la fois au sein de l entité auditée mais aussi par comparaison à d autres entités Se faire expliquer les évolutions significative ( changement de la réglementation, réorganisation du service, … ) par écrit 18/05/ Rapport d activité Base de Données

39 1 - La phase d étude : Connaître le process Détermination des risques généraux : Identification des différentes étapes du process : Découper la procédure en étapes générales 18/05/201439

40 1 - La phase d étude : Connaître le process Identification des acteurs : Internes et externes Quels sont les acteurs qui interviennent dans la procédure? Internes et externes : les recenser tous A quel titre interviennent - ils ? Quelles sont leurs fonctions ? Quels outils utilisent t-ils ? Quels comptes ? De quelles informations disposent t-ils ? Quels sont leurs niveaux d habilitation ? 18/05/201440

41 1 - La phase d étude : Connaître le process Matérialisation des flux : pour achever la phase d étude et au vu de l ensemble des informations récoltées en amont l auditeur dresse un schéma de circulation des informations lui permettant de comprendre la circulation des flux d information de la procédure dans ses différents lieux. Ce schéma, outre l aspect « outil de synthèse » permet de mettre en avant des points forts, mais aussi des points de fragilité, et va servir de support à l analyse de la validité et de l efficacité du contrôle interne. 18/05/201441

42 La phase d étude : Connaître le process Cartographie des risques : l auditeur indique le risque inhérent, cest à dire avant contrôle interne à chaque objet auditable du process. Le tableau ci-dessous présente un modèle de cartographie. L auditeur, à ce stade, va renseigner les quatre premières colonnes : Procédure, Étape, Objet auditable et Risque Inhérent La deuxième partie du tableau sera servie dans l étape 3

43 Etape 2 : phase du Terrain 18/05/201443

44 2 - La phase du Terrain : Evaluer le dispositif du CI L évaluation des dispositifs transversaux : le contrôle interne, et linformatique: Utilisation d un questionnaire déroulé dans le cadre d un entretien portant sur les principes suivants : Organisation Intégration Universalité Permanence Linformation et/ou documentation Circulation de l information Approche spécifique de lenvironnement informatique 18/05/201444

45 2 - La phase du Terrain : Evaluer le dispositif du CI S agissant de l informatique : Sécurités physiques : Protection des locaux ( accès sécurisé, salle fermée … ) Protection des matériels ( incendie, humidité, … ) Modalité de stockages des supports d information ( disques, disquettes --> armoire ignifuge, stockage externe … ) Sécurités logiques Habilitations / délégations Procédures de sauvegardes ( modalités, fréquence, suivi formalisé …. ) Procédures de restauration des données ( simulations d incidents, … ) Contrôles spécifiques Traçabilité des opérations de modification des données ( liste, journal des modifications … ). 18/05/201445

46 2 - La phase du Terrain : Evaluer les risques L auditeur doit évaluer le niveau du risque en mesurant sa probabilité et son impact Pour chaque étape de la procédure, les risques inhérents listés sont qualifiés : Bas Moyen Élevé Ce travail d évaluation est réalisé en fonction des éléments recueillis lors de la prise de connaissance ( Étape 1 ), mais aussi lors de l évaluation du dispositif de contrôle interne ( Étape 2 ) L évaluation des risques doit être commentée par l auditeur qui doit formaliser les choix réalisés. 18/05/201446

47 2 - La phase du Terrain : Evaluer les risques Pour chaque objet auditable de la procédure, les risques inhérents listés sont qualifiés La cartographie pré remplie à la fin de la phase 1, est complétée. La cotation se fait en évaluant le poids ( Impact X Probabilité ) de chacun des risques généraux selon l évaluation suivante : 0Faible 1Moyen 2Élevé 4Maximum 18/05/201447

48 Pour les risques élevés, l auditeur indique les contrôles qui doivent être réalisés, pour permettre leur maîtrise. L auditeur indique « ce qui doit être fait », pour ensuite comparer avec « ce qui est fait » ! 18/05/201448

49 2 - La phase du Terrain : Evaluer les risques Recenser les contrôles : Après avoir évalué le niveau des risques inhérents, l auditeur recense les contrôles réalisés pour déterminer le niveau des risques de contrôle. Le niveau du risque de contrôle est élevé si le contrôle mis en œuvre pour maîtriser le risque inhérent élevé apparaît comme insuffisant. L auditeur, à partir de la cartographie sert le tableau de description du process. 18/05/201449

50 2 - La phase du Terrain : Les papiers du travail dans cette phase : documentation des faits recueillis par l auditeur et constitutifs de la preuve d audit qui va permettre à l auditeur de formuler une recommandation matérialisée dans une Fiche de révélation et d analyse des problèmes FRAP. Éléments mis à la disposition des membres de l équipe d audit et du superviseur. 18/05/201450

51 FEUILLE DE REVELATION ET D'ANALYSE DE PROBLEME papiers de travail : FRAP n° : mmm Problème : ……………………………………………………. …………………………………………………………………… Faits : - Causes : - Conséquences : - Amélioration proposée : ………………………………………………………… …………………………………………………………….. Établie par : Revue par : Soumise à avis de laudité le : le : Nom : le :

52 Les outils de laudit 18/05/201452

53 3- La phase de restitution La rédaction des Fiches de Révélation et d Analyse des Problèmes ( FRAP ) : La FRAP sert à mettre en avant les insuffisances du dispositif de contrôle et à formaliser les recommandations qui figureront dans le rapport d audit. La FRAP est soumise à l approbation de lentité auditée La FRAP est un document de travail qui pourra, in fine, être utilisé comme support technique à la mise en œuvre du plan d action par l entité auditée 18/05/ Problème sérieux Problème sérieux

54 3- La phase de restitution Le rapport d audit : Une synthèse : Points Forts / Points Faible et principales recommandations Un Rapport, qui par objectif de la procédure est articulé de la façon suivante : constats: points forts / points faibles analyse des risques recommandations Des annexes constituées des FRAP. 18/05/201454

55 3- La phase de restitution La proposition de plan d action : C est un tableau simple réalisé par l auditeur et qui permet à l audité d indiquer pour chaque recommandation qui fera quoi et quand. 18/05/201455

56 3- La phase de restitution La proposition de plan d action : le suivi est réalisé : Soit par l auditeur Soit par une structure indépendante Soit par une structure relevant de l entité auditée 18/05/201456

57 3- La phase de restitution La réunion de clôture : Présenter les résultats de l audit Présenter les recommandations et les actions à mettre en œuvre Obtenir l adhésion. 18/05/201457

58 Conclusion 18/05/2014 Partie I_ Audit et sécurité des SI _ Olfa Mechi58

59 18/05/201459

60 Références Audit des SI60/34


Télécharger ppt "Réalisé par : 2010-2011. Definition daudit Normes professionnelles de laudit Audit et notions proches Plan 2/34 Audit des SI Typologie daudit."

Présentations similaires


Annonces Google