La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 1 Commission informatique Réunion du 23 Octobre 2001.

Présentations similaires


Présentation au sujet: "Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 1 Commission informatique Réunion du 23 Octobre 2001."— Transcription de la présentation:

1 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 1 Commission informatique Réunion du 23 Octobre 2001

2 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 2 wPlan d action détaillé de la Commission informatique wSynthèse des actions par projet 3 WebTrust 3 Extranet 3 MCC 3 Fiches PGI 3 Formation 3 Guide contrôle système d information wZoom sur le guide de contrôle système d information : synthèse de la réunion du 19/10/01 3 Partage dexpériences des participants sur l audit informatique 3 Guide de contrôle et plan d action de la Commission informatique 3 Positionnement par rapport aux autres supports CNCC 3 Démarche de travail 3 Objectifs, Structure, Plan détaillé du guide 3 Actions à mener Ordre du jour de la Commission informatique du 23/10/01

3 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 3 Plan d action détaillé de la Commission informatique wEstimation de la charge de travail CNCC par projet

4 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 4 WEBTRUST Synthèse des actions par projet (1/4) wStratégie du Comité de pilotage 3 Constitution dun Comité des partenaires : des accords de partenariats sont à mettre en place pour optimiser les actions de communication Webtrust 3 Création officielle du Club utilisateurs WebTrust à la date du 04 octobre, véritable diffusion de connaissances, de partage des problèmes pratiques rencontrés dans le cadre de la mission, ainsi que dapport de réponses techniques pour des confrères en voie ou en cours de mission 3 Lintranet Yahoo : continue dêtre loutil de communication entre confrères entre deux réunions du Club 3 Le maillage : le principe est que chaque membre du Club puisse être lambassadeur de WebTrust dune part, auprès de ses clients, dautre part auprès de contacts susceptibles dintéresser le Club (syndicats professionnels, prospects, associations) 3 Les actions de communications : WebTrust Day et les WebTrust Entreprises Les déjeuners Presse pour développer les articles parlant de Webtrust, à la fois dans la presse généraliste, financière quinformatique La lettre Webtrust : lettre régulière de diffusion trimestrielle à destination des délégués régionaux informatique (CNCC), des présidents des Comités Régionaux Informatique (CRI) pour lEOC, des auditeurs WebTrust, des confrères ayant suivi la formation WebTrust, (via notamment le Club WebTrust) et des membres du Comité des partenaires

5 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 5 WEBTRUST (suite) Synthèse des actions par projet (2/4) wStratégie du Comité de pilotage 3 La formation : poursuite du programme de formation commencé en 2000 avec la mise à disposition de trois nouveaux modules de formation (nouveau programme de formation en annexe) 3 La mise en place de contrôles qualités sur les audits WebTrust 3 La représentation de WebTrust auprès des instances de certification afin de contribuer au rayonnement des principes et critères WebTrust 3 La Recherche & Développement WebTrust consistant à faire évoluer les versions en fonction des nouveaux besoins de la profession wActions à mener en priorité : intervention CNCC à définir 3 Préparation de la 1ère Lettre WebTrust 3 Procédures à formaliser sur la gestion administrative de l association WBT entre CNCC, OEC et CFPC 3 Action de relance auprès de l ensemble des CAC concernant les formations WEBTRUST 3 Mise en forme des supports de formation de la journée 5 3 Organisation d un bureau en Novembre (comptes financiers WEBTRUST, nomination du nouveau trésorier) et un bureau en Janvier pour changement de Président 3 Instances de certification : e-Santé, CNIL... 3 Rédaction d un dossier des partenaires : La Mondiale, Crédit Lyonnais, Cisco 3 Reprise des travaux menés dans le cadre du WEBTRUST TOP 50 pour relancer les 50 entreprises cibles susceptibles d acheter la mission WEBTRUST

6 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 6 Extranet Synthèse des actions par projet (3/4) wPoint de synthèse 3 L. Figoni (CNCC Edition) suit le projet Extranet depuis septembre 2001pour le compte de la CNCC 3 En accord avec le Pdt Tudel, participation de E. Layot à la coordination des relations techniques avec PageMed w Actions à mener en priorité 3 Rédaction d un guide de procédure et d un guide utilisateur 3 Réunion prévue le 08/11/01 avec GIR3C, CEGID et PageMed pour faire un point général et définir un calendrier de livraisons (DA…) 3 Transférer les groupes Yahoo (Commission informatique) sur l Extranet wPoint de synthèse 3 C. Edery suit le projet MCC jusqu à fin décembre : préparation de la version 4 de MCC intégrant la mise à jour Nouvelles normes wActions à mener en priorité 3 Livraison version 4 de MCC prévue pour fin année 2001 MCC

7 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 7 Fiches PGI Synthèse des actions par projet (4/4) wActions à mener 3 Prendre contact avec un éditeur PGI pour initialiser le travail de rédaction des fiches outils (ces fiches sont complémentaires du Guide de contrôle système d information) wPoint de synthèse 3 Présentation par E&Y de la formation « Organisation informatique des PME : incidences sur la mission d audit » 3 Participation de E. Layot au Comité Qualité Pédagogique : 05/11, 10/12, 30/01 wActions à mener 3 Participation à l évolution du catalogue CNCC Formation déclinaison du Guide contrôle système d information en modules de formation mise à jour des modules de formation de type Cursus pour intégrer davantage l aspect système wPoint de synthèse 3 La problématique de la certification financière est relativement large : XBRL, PKI, Tiers de confiance… 3 Actions en cours de T. Trompette auprès de l IFAC 3 Coordination avec le CNP - Groupe de travail « Informations financières » Liaison avec Formation Certification des données financière

8 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 8 Zoom sur le guide de contrôle système d information Synthèse de la réunion du 19/10/01

9 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 9 Objectifs de la réunion du 19/10/01 wS appuyer sur les travaux de l AFAI pour intégrer les techniques d audit de système d information dans la démarche du Commissaire aux comptes wIdentifier avec les délégués informatiques les besoins des utilisateurs en terme d audit de système et adopter le discours pédagogique adéquat wProposer une vision la plus complète possible du guide avant de démarrer le travail de rédaction, notamment sur les aspects suivants : 3 objectifs 3 structure 3 forme 3 contenu (plan détaillé) 3 modalités d utilisation 3 déclinaisons possibles du support

10 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 10 Partage dexpériences des participants sur l audit informatique wBesoins exprimés 3 Intégrer la démarche informatique dans l approche légale 3 Avoir une meilleure visibilité sur les risques liés à des systèmes d information ouverts (internet, extranet, ASP…) 3 Connaître les méthodes d audit des données (sur les stocks, les comptes clients - fournisseurs…) et savoir utiliser les outils correspondants 3 Savoir aborder les nouveaux produits comme les PGI (Progiciels de Gestion Intégrée) wDifficultés rencontrées avec les PGI 3 Difficulté pour identifier les éléments à contrôler 3 Difficulté de paramétrage 3 Manque de visibilité sur le circuit de l information car moins de séquentialité que dans un système d information traditionnel 3 Nécessité de collecter les données à toutes les étapes de traitement et pas uniquement au niveau des applications comptables 3 Risques importants liés à la souplesse permise par les applications (en particulier sur les processus erreurs - correction)

11 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 11 Guide de contrôle système d information et plan d action de la Commission informatique wRappel des objectifs de la Commission informatique 3 intégrer davantage l audit des systèmes d information dans la démarche de certification des comptes 3 développer l utilisation par les professionnels des outils informatiques pour la certification des comptes 3 accompagner les professionnels qui souhaitent réaliser les nouvelles missions d assurance comportant des contrôles sur les systèmes d information et les process informatiques 3 participer aux évolutions techniques : échanges électroniques d informations financières… wLa rédaction de 2 guides sur la prise en compte de l informatique dans l audit financier doit participer à l atteinte de ces objectifs 3 Guide de contrôle du système d information 3 Guide des outils d analyse des données wLa CNCC a décidé de confier la maîtrise d œuvre de la rédaction de ces guides à l AFAI

12 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 12 wLes deux guides sont destinés à remplacer la note 25 d application dans le domaine informatique, intitulée « La démarche du commissaire aux comptes en milieu informatisé » wLes deux guides et les supports suivants de la CNCC devront être rendus homogènes : 3 supports de formation métier et outils 3 supports d information/communication 3 outils opérationnels : MCC, didacticiels, fiches PGI... Positionnement des guides par rapport aux autres supports CNCC Travail en commun avec la Commission formation Métier Formation Outils Normes professionnelles Guide de contrôle système d info Guide des outils analyse données 5 à 7 Information Le Saviez-Vous MCC Outils Didacticiels (CDROM du guide pratique…) Fiches PGI Extranet

13 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 13 wConstitution des groupes de travail wPrincipes de mise en oeuvre Démarche de travail CNCC Maîtrise d œuvre : P. Trouchaud (Ernst&Young) L. Gobbi (KPMG) M. Lamy (Mazars) ? Rédacteurs Guide outils Rédacteurs Guide outils Contrôle qualité AFAI Contrôle qualité AFAI Rédacteurs Guide contrôle Système Information Rédacteurs Guide contrôle Système Information Contrôle de relecture Guides Maîtrise d ouvrage de la rédaction des guides Maîtrise d œuvre : P. Trouchaud (Ernst&Young) M. Richard (Ernst&Young) S. Yablonsky (AFAI) JM Mathieu (Andersen) T. Trompette P. Rolland F. Renault (Deloitte) M. Piou (Caen) M. Mercier (Amiens) M. Rondeau (Bordeaux) M. Barlet (Mazars) Définition du niveau de détail des parties rédigées pour validation par le groupe de relecture Validation des objectifs et du plan détaillé des guides Définition du calendrier de livraison des parties rédigées pour validation par le groupe de relecture 01/11/01 Livraison des parties rédigées par les rédacteurs Validation des parties rédigées par le groupe de relecture 01/04/01 Validation par le Comité des Normes CNCC 01/06/01 Groupe de travail : rédacteurs + relecteurs Intégration AFAI/CNCC

14 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 14 Objectifs du Guide de contrôle du système d information (1/2) wLe guide de contrôle du système d information doit aider les CAC à prendre davantage en compte les impacts du système d information dans la certification des comptes financiers wIl s agit d une obligation pour les professionnels depuis le 01/01/2001, formalisée dans la norme CNCC « audit réalisé dans un environnement informatique » wPour ce faire, le guide doit... 3 intégrer l approche des systèmes d information dans la démarche générale de commissariat aux comptes (dès la prise de connaissance et l orientation/planification de la mission) 3 faire les liens entre les objectifs de contrôle généraux et ceux spécifiques au SI 3 être simple, concret et pédagogique : outil de mise en œuvre guidant pas-à-pas le professionnel avec beaucoup d exemples pratiques (cas pratiques en annexes) 3 être adapté aux situations de travail que rencontrent la majorité des cabinets, c est-à-dire adapté à des audits PME sur des systèmes informatiques peu complexes 3 être en cohérence avec le guide des outils d analyse des données (le guide de contrôle faisant des renvois sur le guide des outils)...pour être directement opérationnel et utilisé sur le terrain par le professionnel wLe guide ne doit pas être : 3 uniquement une note d application de la norme déconnecté de l audit financier 3 une démarche d audit système trop lourde à mettre en œuvre (en étant un recueil exhaustif des dernières techniques d audit informatique constituant l état de l art)

15 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 15 Objectifs du Guide de contrôle du système d information (2/2) Contrôles spécifiques Contrôles spécifiques Contrôles spécifiques Orientation et planification Orientation et planification Contrôle des comptes Travaux de fin de mission Travaux de fin de mission Opinion sur les comptes annuels Opinion sur les comptes annuels Contrôles et informations spécifiques Etude et évaluation du contrôle interne Etude et évaluation du contrôle interne Rédaction du rapport Acceptation du mandat Intégration des spécificités SI dans la démarche générale Identification des liens entre : les règles de l audit SI les règles de contrôle interne et contrôle des comptes wLa démarche du commissaire aux comptes : rappel

16 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 16 wPrésentation sous la forme de fiches intégrées dans un classeur (facilitant lutilisation et la mise à jour en fonction des évolutions) wDécoupage séquentiel en phases correspondant à la démarche générale d audit wPour chaque sous-phase wEn annexes : lexique, exemples, fiches diagnostic, fiches outils PHASE 1PHASE 2 PHASE 3 PHASE 4 Phase 1.1 Phase 1.2 Phase 2.1 Phase 2.2 Phase 3.1 Phase 3.2 Phase 4.1 Phase 4.2 Structure du guide Contrôle du système d information Principes généraux Introduction Objectifs Résultats attendus Démarche Description étapes à mener Identification des situations rencontrées Étape 1.1 Résultats attendus (restitués dans la mesure du possible sous forme graphique) A chaque situation type rencontrée correspond une fiche Diagnostic Diagnostic Lexique Fiche diagnostic ExemplesFiches outils Guide outils données Fiches PGI Fournir une estimation du temps nécessaire à chaque étape

17 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 17 Structure du guide Contrôle du système d information Plan général Orientation et planification Etude et évaluation du contrôle interne Fiche de synthèse des risques Contrôle des comptes Prise de connaissance du SI et évaluation des risques associés Architecture applicative Processus métiers / supports externalisables Contrôle interne sur l organisation générale du système d information Contrôle interne sur les composantes de l architecture applicative Contrôle interne sur les processus métiers Définition des niveaux de risques spécifiques au SI Impact des risques spécifiques SI sur l approche par cycle (B01, B02…) Risque inhérent Valorisation financière des risques spécifiques SI détectés dans la phase 3 Réalisation des contrôles des comptes complémentaires (allègement de cette phase par rapport à l approche générale) Mise en place d un système pérenne de non régression Phase 1.1 Phase 1.2 Phase 1.3 Phase 2.1 Phase 2.2 Phase 3.1 Phase 3.2 Phase 3.3 Phase 4.1 PHASE Phase 2.3 Phase 4.3 Phase 4.2

18 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 18 Plan détaillé du guide Contrôle du système d information : Introduction wRappel de la démarche générale du CAC : normes, textes… wLes caractéristiques de la norme wImpacts et intégration de la norme dans la démarche générale wLes contrôles internes, les risques 3 les similarités avec l approche générale 3 les spécificités des traitements informatiques wAllègement du contrôle des comptes

19 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 19 Plan détaillé du guide Contrôle du système d information : Orientation et planification (1/4) Phase 1 Orientation et planification Phase 1.1 : Prise de connaissance du SI et évaluation des risques Phase 1.2 : Architecture applicative Phase 1.3 : Processus métiers Introduction Démarche RTS attendus Introduction Démarche RTS attendus Introduction Démarche RTS attendus Positionnement de linformatique dans lentreprise : organigramme Personnel informatique Equipes projets informatiques Stratégie informatique Fonction conception et/ou paramétrage Fonction dexploitation / Sous-traitance Fonction de maintenance Fraude et erreur Caractéristiques du SI -Taille du SI : nombre de postes, utilisateurs -Composantes : applications, bases de données, programmes, interfaces, systèmes dexploitation… -Ouverture vers lextérieur : internet, extranet -Complexité du SI : applications diverses connectées par interface -Sécurité physique -Sécurité logique -Piste daudit -Sauvegarde et plan de secours -Déversement en comptabilité -Procédure de clôture des comptes Identification des domaines fonctionnels informatisés (achat, vente, production) Pour chaque domaine fonctionnel informatisé, identification : -Des applications (progiciels ou spécifiques) -Des bases de données / fichiers -Des interfaces -Des flux entrants : modalités de saisies des informations (manuelles, intégration de fichiers) -Des flux sortants -Traitements : batchs / temps réels -Sécurité logique -Des Interfaces -Du Paramétrage -Des habilitations Liens entre les applications des différents domaines fonctionnels Alimentation des bases comptables -Interfaces avec les systèmes amonts -Intégration de fichiers -Saisie manuelle par le personnel comptable -Communication avec lextérieur : banques… - Identification des principaux processus métiers - Pour chaque processus de gestion, identification : -Des flux entrants -Des traitements effectués -De lapplication concernée -Des acteurs concernés -Des flux sortants

20 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 20 Lexique Exemples Introduction Objectifs Rappel de la démarche générale de prise de connaissance Spécificités du contrôle SI par rapport à la prise de connaissance Résultats attendus Vue générale du SI Évaluation du risque général système d information Points spécifiques à contrôler et caractéristiques associées Démarche Liste des étapes à suivre Fiches Diagnostic Démarche Description étapes à suivre Etape 1 - Positionnement de l informatique dans l entreprise - Situation A Etape 2 - Caractéristiques du SI - Situation C Etape 3 - Fraude et erreur - Situation B Phase 1.1 : Prise de connaissance du SI et évaluation des risques associés Résultats attendus Vue générale du SI Évaluation du risque général système d information (cartographie des risques) Points spécifiques à contrôler et caractéristiques associées (exemple : l entreprise utilise le PGI XYZ) Aide à l analyse Pour chaque situation, identification du diagnostic correspondant Si Situation A, alors... Report description Fiche diagnostic A Si Situation B, alors... Fiche diagnostic B Fiches outils Phase 1 Orientation et planification Phase 1.1 : Prise de connaissance du SI et évaluation des risques Phase 1.2 : Architecture applicative Phase 1.3 : Processus métiers Introduction Démarche RTS attendus Plan détaillé du guide Contrôle du système d information : Orientation et planification (2/4) wZoom sur le découpage de chaque phase en Introduction - Démarche - Résultats attendus (EXEMPLE)

21 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 21 Résultats attendus Phase 1 Orientation et planification Phase 1.1 : Prise de connaissance du SI et évaluation des risques Phase 1.2 : Architecture applicative Phase 1.3 : Processus métiers Introduction Démarche RTS attendus Plan détaillé du guide Contrôle du système d information : Orientation et planification (3/4) wZoom sur le découpage de chaque phase en Introduction - Démarche - Résultats attendus (EXEMPLE) Exemples Résultats attendus Vue générale du SI Évaluation du risque général système d information (cartographie des risques) Points spécifiques à contrôler et caractéristiques associées (exemple : l entreprise utilise le PGI XYZ) Fiche Exemple : Cartographie des risques (Source : Mazars-Guerard) Tiers Échanges Achats Production Tiers (contact, mailing) Relations d affaires Base documentaire EDI Données support info. Données support papier Sécurisation Messagerie interne, workflow, GED Appels offres Cotations Politique achat, budget, simulation Suivi des réalisations Processus 1 Processus 2 Processus 3 Stocks et encours Synthèse & statistiques Production Investissements Distribution Ventes Support Direction industrielle Pilotage Risque élevé Risque moyen Risque faible Investissement / Maintenance Production propre Marketing Ventes Admn. Des ventes Frais commerc. Négoce Accord de distribution Juridique Paye / RH Trésorerie Fiscalité Placements Reporting, communication Comptabilité Tableaux de bord Etats d alerte Gestion prév. Planning production Cadence Contrôle qualité R&D Système informatiques GPAO Contrôle gestion

22 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 22 Résultats attendus Phase 1 Orientation et planification Phase 1.1 : Prise de connaissance du SI et évaluation des risques Phase 1.2 : Architecture applicative Phase 1.3 : Processus métiers Introduction Démarche RTS attendus Plan détaillé du guide Contrôle du système d information : Orientation et planification (4/4) wZoom sur le découpage de chaque phase en Introduction - Démarche - Résultats attendus (EXEMPLE) Exemples Résultats attendus Vue générale du SI Évaluation du risque général système d information (cartographie des risques) Points spécifiques à contrôler et caractéristiques associées (exemple : l entreprise utilise le PGI XYZ) Fiche Exemple : Cartographie des risques (Source : Mazars-Guerard) Risques généraux Analyse des contrôles

23 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 23 Plan détaillé du guide Contrôle du système d information : Étude et évaluation du contrôle interne (1/3) Phase 2 Etude et évaluation du contrôle interne Phase 2.2 : Contrôle interne sur l architecture applicative Phase 2.3 Contrôle interne sur les processus métiers Introduction Démarche RTS attendus Introduction Démarche RTS attendus A partir des fiches diagnostic correspondant aux situations rencontrées, effectuer les contrôles internes sur les composantes de l architecture applicative (les objectifs de contrôle spécifiques au SI sont différents des objectifs de contrôles sur les cycles et doivent être définis) Estimation des risques associés A partir des fiches diagnostic correspondant aux situations rencontrées, effectuer les contrôles internes sur les composantes des processus métiers / suppports externalisables (les objectifs de contrôle spécifiques au SI sont différents des objectifs de contrôles sur les cycles et doivent être définis) Estimation des risques associés Phase 2.1 : Contrôle interne sur l organisation générale du SI Introduction Démarche RTS attendus A partir des fiches diagnostic correspondant aux situations rencontrées, effectuer les contrôles internes sur l organisation générale du SI (les objectifs de contrôle spécifiques au SI sont différents des objectifs de contrôles sur les cycles et doivent être définis) Estimation des risques associés Fiches outils : tests de cheminement, environnements de tests (jeux d essais), interrogation de données Traduire les impacts des risques SI au niveau du contrôle interne sur les cycles (immobilisation, trésorerie -paiements / encaissements, stocks, ventes, achats, paie), dont pour rappel les objectifs de contrôle sont les suivants : Existence : actif ou passif existant à une date donnée, Droits et obligations, Rattachement, Exhaustivité, Evaluation, Mesure, Présentation et informations données

24 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 24 Plan détaillé du guide Contrôle du système d information : Étude et évaluation du contrôle interne (2/3) Phase 2 Etude et évaluation du contrôle interne Phase 2.2 : Contrôle interne sur l architecture applicative Introduction Démarche RTS attendus Phase 2.1 : Contrôle interne sur organisation générale du SI Phase 2.3 : Contrôle interne sur les Processus métiers

25 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 25 Plan détaillé du guide Contrôle du système d information : Étude et évaluation du contrôle interne (3/3) Phase 2 Etude et évaluation du contrôle interne Phase 2.3 Contrôle interne sur les processus métiers Introduction Démarche RTS attendus Vérifier exhaustivité documents Fichier Personnes Rédiger courrier demande renseignement Consulter composantes contrat Vérifier existence individu Créer individu Rattacher garanties Appli 1 Appli 2 Oui Non Oui Non 1- Documents nécessaires à la souscription du contrat : Carte d identité, formulaire XYZ complété 2- Vérification de la présence éventuelle d autres informations sur l individu 3 3- La recherche de l'individu dans les bases peut s'effectuer soit par le numéro SS, soit sur le nom (recherche alphabétique) 4- La création de l'individu dans les bases se termine par le rattachement d'une des garanties du contrat 5- Rattachement des autres garanties à l'individu Acteurs concernés Gestionnaires contrat ¶ Ë Ì Í Î Commentaires Courrier X Points clés w La garantie X est considéré comme rattachée à lassuré principal au moment de la souscription du contrat w Triple saisie des informations dans des bases différentes (4D, Oracle…) w Délai pour impression des documents commerciaux : entre 2 et 3 semaines w Fréquence de radiation des bases 4D : annuelle PROCESSUS 3 Phase 2.2 : Contrôle interne sur l architecture applicative Phase 2.1 : Contrôle interne sur organisation générale du SI

26 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 26 Plan détaillé du guide Contrôle du système d information : Fiche de synthèse des risques Phase 3 Fiche de synthèse des risques RCI : risque liés à lévaluation finale du contrôle interne RCC : niveau de risque retenu pour le contrôle des comptes Risque général : Risque daudit résultant : Définir les risques purement SI (différents des risques correspondant aux cycles) ainsi que les objectifs de contrôle associés

27 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 27 Phase 4 Contrôle des comptes Plan détaillé du guide Contrôle du système d information : Contrôle des comptes wPour rappel, le contrôle des comptes s effectuent par cycle : capitaux propres, provisions pour risques et charges, immobilisations corporelles et incorporelles... wLes travaux effectués en amont devraient alléger la partie contrôle des comptes par rapport à l approche traditionnelle wLexistence de systèmes informatisés influe à 3 niveaux sur lapproche de contrôle des comptes : 3 Lutilisation des contrôles programmés par lentreprise selon lappréciation qui a été faite de leur fiabilité 3 Lexploitation des fichiers de lentreprise 3 Lutilisation de linformatique pour la documentation ou la réalisation de certains travaux de contrôles wSur la base des risques SI identifiés lors du contrôle interne 3 Valorisation financière des risques spécifiques SI détectés dans la phase 3 3 Réalisation des contrôles des comptes complémentaires (allègement de cette phase par rapport à l approche générale) Mise en place d un système de contrôle des comptes automatisé et exhaustif 3 Mise en place d un système pérenne de non régression

28 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 28 Actions à mener wValider la forme du support : Classeur et Fiches wValider la structure du classeur 3 Onglet 1 : Phases (objectifs, démarche, résultat) 3 Onglet 2 : Fiches diagnostic 3 Onglet 3 : Exemples 3 Onglet 4 : Fiches Outils 3 Onglet 5 : Lexique wDéfinir la charte graphique de chacune des fiches types wPour chacune des phases, identifier : 3 l introduction, la démarche (liste des étapes), les résultats attendus 3 les fiches diagnostic, outils à créer 3 les cas et exemples wDéfinir le niveau de détail des fiches pour validation wIdentifier les renvois à effectuer avec le Guide outils données wDéfinir le calendrier de livraison rédacteurs pour validation


Télécharger ppt "Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 1 Commission informatique Réunion du 23 Octobre 2001."

Présentations similaires


Annonces Google