mémoire de stage - mise en oeuvre de l'approche cobit4.1 en matière d'audit des systèmes...

7/21/2019 Mmoire de Stage - Mise en Oeuvre de l'Approche Cobit4.1 en Matire d'Audit Des Systmes d'Information

1/104

Audit des systmes dinformation : mise enuvre de lapproche Cobit 4.1

(laboration dun gnrateur de guidesdaudit pour le cas de la STEG)

Mr Ammar SASSI

Mr Salah RIAHIExpert daudit certifi CISA

&Mr Ridha BOUSSAIDIChef de Dpartement Audit InformatiqueDirection Audit - STEG

labor par :

Encadr par :

Universit de SfaxInstitut des Hautes tudes Commerciales de Sfax

MMOIRE DE STAGE

Pour lobtention du diplme de MASTRE PROFESSIONNEL

udit Interne et udit des Systmes dInformation

ANNEE UNIVERSITAIRE 2012-2013


2/104

1

Mmoire de stage pour lobtention du diplme de Mastre Professionnel Audit Interne et Audit des Systmes dInformation

Remerciements

Dabord je tiens remercier le chef de dpartement audit informatique la direction audit interne de

la STEGMr Ridha BOUSSAIDIde mavoiraccompagn et conseill tout au long de cette priode

de stage. Je le remercie fortement pour son aide, sa disponibilit et ses prcieux conseils. Et je tiens

souligner que nos changes professionnels ont t trs enrichissants et constructifs.

Je remercie aussi Mr Salah RIAHI mon encadreur et lensemble de lquipe pdagogique du

Master Professionnel Audit Interne et Audit des Systmes dInformation de lIHEC Sfax,

surtout Mme Samah REBAIpour sa disponibilit et son soutien quelle nous a accord au cours de

nos tudes.

Pour terminer, je remercie toutes les personnes qui ont pu maider pendant mon parcours et dont les

noms ne figurent pas sur cette page.


3/104

2


Sommaire

Introduction

Partie 1 : Fondements thoriques

Chapitre 1 : Laudit des systmes dinformation au cur de la fonction daudit interne

I. Lesystme dinformation dentreprise

II.

Le mtier daudit interne

III. Laudit des systmes dinformation

Chapitre 2 : Cobit 4.1 un cadre fdrateur daudit des systmes dinformation

I. LISACA et ses principales contributions en matire daudit des systmes

dinformation

II. Prsentation du cadre de rfrence Cobit 4.1

III. Approche Cobit 4.1 en matire daudit des systmes dinformation

Partie 2 : Partie pratique

Chapitre 3 : Contexte du stagePrsentation de la STEG et sa direction daudit interne

I. Prsentation de la STEG

II.

LaDirection dAudit Interne de la STEG

Chapitre4 : laboration dun gnrateur de guides daudit sur la base de lapproche Cobit 4.1

I. tat des lieux de la STEG en matire de management et daudit des systmes

dinformation

II. laboration du gnrateur de guides daudit: dmarche et rsultats

Conclusion


4/104

3


Table des figures

Figure 1 : Le systme d'information au centre de lorganisation de lentreprise 9Figure 2 : Les diffrentes ressources dun systme d'information 10Figure 3 : Types de contrles informatiques issus de la loi SOX 13Figure 4 : Les diffrentes approches d'audit 15Figure 5 : Dmarche gnrale dune mission daudit 17Figure 6 : La relation Audit Interne - Audit des SI 24Figure 7 : Les diffrents types de missions daudit des SI 25Figure 8 : Les principaux rfrentiels de la DSI 27

Figure 9 : Evolution du cadre de rfrence Cobit 31Figure 10 : Le cube Cobit4.1 (inspir du COSO) 32Figure 11 : Le modle processus de cadre de rfrence Cobit 4.1 34Figure 12 : Le principe de cascade des objectifs de Cobit 4.1 35Figure 13 : Le tableau RACI correspondant au processus PO10 36Figure 14 : Lchelle de maturit des processus selon Cobit4.1 37Figure 15 : La documentation Cobit 4.1 38Figure 16 : Les diffrents types de procdures dvaluation selon le guide daudit Cobit4.1 40Figure 17 : Les diffrentes relations entre les procdures dvaluation et les composants de Cobit4.1 41Figure 18 : Les lments relatifs la notion de risque 44Figure 19 : Processus de cadrage d'une mission d'audit selon l'approche Cobit4.1 44

Figure 20 : Les 8 tapes de cadrage d'une mission d'audit selon lapproche Cobit4.1 45Figure 21 : Le processus de cadrage Cobit4.1 46Figure 22 : Processus dexcution d'une mission d'audit selon l'approche Cobit4.1 47Figure 23 : Organigramme gnrale de la STEG 55Figure 24 : Principe de la boucle d'amlioration continue (PDCA) 60Figure 25 : Le guide gnrique (la plateforme de questionnaires d'audit) 67Figure 26 : Les exigences du cadre de rfrence Cobit4.1 en matire de la scurit des SI (critres dinformation) 69Figure 27 : Cadrage de haut niveau de la mission Audit de la scurit globale des SI 71Figure 28 : La carte de correspondances Missions - Objectifs de contrle 79Figure 29 : La carte de correspondance Audit de la scurit globale des SI - Objectifs de contrle 80Figure 30 : La carte de correspondance Audit de la scurit des services internes - Objectifs de contrle 81

Figure 31: Les principaux standards et normes informatiques qui traitent la scurit des SI 82Figure 32 : La famille des normes ISO 2700X 83


5/104

4


Liste des tableaux

Tableau 1 : L'informatique de la vision traditionnelle la vision intgre 12Tableau 2 : Phase de prparation d'une mission 18Tableau 3 : Phase de ralisation d'une mission 19Tableau 4 : Phase de conclusion d'une mission 19Tableau 5 : Les dix commandements pour un bon chantillonnage 20Tableau 6 : Les rgles suivre dans une interview 21Tableau 7 : Les diffrents types de questionnaire d'audit 22Tableau 8 : Exemples de missions d'audit des SI 26

Tableau 9 : Descriptions des principaux rfrentiels et normes daudit des SI 28Tableau 10 : Les diffrentes mthodes d'valuation des contrles adoptes par Cobit4.1 et SAS70 48Tableau 11 : Les principales exigences de la norme S7 de l'ISACA 50Tableau 12 : Fiche technique de la STEG 52Tableau 13 : Les chiffres cls de la STEG 54Tableau 14 : Domaines d'intervention de la direction d'audit interne de la STEG 57Tableau 15 : Rpartition des missions d'audit par dpartement daudit 58Tableau 16 : Les familles de risques pouvant contrarier le fonctionnement des SI 68Tableau 17 : Liste des objectifs de contrle correspondant la mission Audit de la scurit globale des SI 73Tableau 18 : Dcoupage de la mission Audit de la scurit globale des SI en sous-missions spcifiques 77Tableau 19 : Table de mappage Cobit 4.1 - ISO/CEI 27002 84


6/104

5


Introduction

Dans une conomie postindustrielle linformation a volu dun simple support dindicateurs

financiers, conomiques et oprationnels pour devenir un lment axial et contributif la ralisation

des objectifs stratgiques des entreprises. Faisant ainsi merger la fonction informatique de

lapproche traditionnelle, qui la considre comme juste une plateforme technique assistant les

diffrentes activits de lentreprise, vers une nouvelle approche intgre, qui la traite en tant quun

composant de la chaine de valeur oprant au service des mtiers dune manire systmatique do la

notion de systme dinformation (dsormais SI). Ce constat en plus des volutions technologiques

ainsi que les diffrents challenges des entreprises face des environnements changeant ont

considrablement renforc la position des SI pour quils deviennent les garants de la bonne

performance et de la prennit des entreprises. Sur ce, le maintien des niveaux defficacit,

defficience, de qualit et de scurit levs de ces SI sera dune grande importance.

En fait les entreprises disposent dun systme de contrle interne leur permettant de mettre en place

un ensemble de dispositifs afin de sassurer delefficacit et lefficience de leurs activits et de les

protger contre les risques et les ventuels dysfonctionnements. Ce principe se dcline aussi sur les

SI, on distingue ainsi diffrents contrles traitant les activits de ceux-ci. Ces contrles sont soit

dicts par la doctrine propre lentreprise, soit imposs par des lois et rglementations en vigueur.

Cest au niveau de leurs directions daudit interne que les entreprises cherchent perptuellement

amliorer les dispositifs de contrle mis en place en planifiant continuellement des missions daudit

afin de dtecter les points de faiblesses de ceux-ci et dapporter les corrections ncessaires. Cesmissions ont pour vocation de donner une assurance raisonnable aux dirigeants et aux responsables

des mtiers quant la bonne application de ces dispositifs et la prennit de lentrepriseen gnrale.

Pour ainsi faire les auditeurs internes se rfrent lors de leurs missions des lois, des

rglementations, des rfrentiels et/ou des normes internationales prsentant des recommandations et

des bonnes pratiques tablies par des professionnels et des experts dans le domaine.


7/104

6


En matire des SI les auditeurs et les responsables en assurance ont leur disposition un ventail de

rfrentiels et normes qui traitent ces derniers de plusieurs perspectives tel que : la scurit, la

qualit, la performance ou visent en particulier des lments de ceux-ci, par exemple : les

services, les applications, les projets, les installations, larchitecturematrielle,

Ce prsent travail se situe dans le cadre dunstage que jai effectu chez la direction daudit interne

de la Socit Tunisienne de llectricit et de Gaz (STEG) pour lobtention du diplme de

Master Professionnel enAudit Interne et Audit des Systmes dInformation (MAIASI). La STEG,

ltablissement hte, a t parmi les premires entreprises tunisiennes intgrer la fonction daudit

interne dans sa structure (en posant la premire brique en 1972) afin de se conformer aux

rglementations en vigueur, damliorer la qualit de ses services et de se protger contre les risqueset les anomalies possibles. Et en remarquant prcocement les enjeux des SI dans lconomie

moderne, elle a t la premire en Tunisie tablir une unit daudit informatiqueen 1985. Depuis

ces dates, la direction de laudit interne de la STEG na cess, dans le cadre dune stratgie globale

damlioration continue adopte par la direction gnrale, de chercher faire voluer ses approches,

ses mthodes et ses outils daudit.

Ma mission lors de ce stage a t de contribuer au dveloppement de la fonction daudit interne,

notamment en matire des SI, en apportant des nouvelles solutions et approches issues de mes tudes

et mes diffrentes lectures. Une tude de ltatdes lieux des SI de la STEG mene au dbut de ce

stage, a montr des besoins accrus en missions daudit. Face ces besoins les responsables daudit

de la STEG se rfrent une varit de rglementations, normes et cadres de rfrence pour

planifier et excuter un grand nombre de missions dauditportant sur cet lment annuellement .

Ces missions bien quils apportent leurs contributions quant lamlioration des dispositifs de

contrle interne, reste quils ne couvrent pas intgralement les SI et leurs diffrents composants, ce

qui peut engendrer des failles intolrables. Par exemple des missions portant sur la scurit des

services, des donnes et/ou des applications ne peuvent garantir la protection des entreprises 100%

contre tous les risques qui peuvent aussi bien tre de nature humaine, managriale, matrielle,

Ainsi la question qui se pose : quelle solution peut-on mettre en uvre afin de permettre aux

auditeurs de planifier, organiser et excuter des missions daudit cohrentes, complmentaires et

couvrant lintgralit des SI?


8/104

7


La rponse va trouver son incarnation dans lapproche globaleet systmatique du cadre de rfrence

Cobit4.1(1)grce son modle processus qui couvre lensemble des activits de la DSI(2)et intgre

toutes les ressources associes aux SI. Et pour la raison que ce cadre harmonise et unifie diffrentes

dmarches et bonnes pratiques dun grand nombre de rfrentiels et normes internationales lui valant

ainsi le titre du cadre fdrateur le plus complet. Le long de ce travail, on va essayer de prsenter et

mettre en uvre lapproche de cadre de rfrence Cobit4.1 en matire daudit des SI tout en

exploitant ses diffrents lments et lensemble de sa documentation. Le produit de ce prsent travail

concrtisera cette approche en un gnrateur de guides daudit, permettant de gnrer des

questionnaires bass sur les procdures dvaluation Cobit4.1pour diffrentes missions daudit et

fournissant en extension un ensemble de tables de mappage afin de se rfrer dautres cadres et

normes internationales.

Ce mmoire de stage sera alors organis en deux grandes parties, une partie thorique prsentant

lapprochedu cadre de rfrence Cobit4.1 en matire dauditainsi que ses lments constitutifs, tout

en posant la lumire sur un nombre de concepts, notions et lments relatifs au sujet de ce mmoire,

tels que : le SI, le systme de contrle interne, la fonction daudit interne et sa disciple laudit des SI,

les diffrents rfrentiels et normes daudit des SI Et une deuxime partie pratique afin de

prsenter le cadre et la mission de stage ainsi que le gnrateur de guides daudit (le produit de ceprsent travail) et la dmarche suivie pour llaborer.

(1)Cobit4.1 (Control Objectives for Information and Related Technology) cest un cadre de rfrence de contrle, de

management et daudit des SI laborpar lISACA ( Information Systems Audit and Control Association ).(2)Direction des Systmes dInformation.


9/104

8


Partie 1 : Fondements thoriques


10/104

9


Chapitre 1 : Laudit des systmes dinformationau cur de la fonctiondaudit interne

I.

Le systme dinformation

1)Notion de systme dinformation

Linformation est devenue un lment crucial et contributif la cration de la valeur pour les

entreprises nos jours. Cest la synthse dun ensemble de donnes enregistres, classes et

organises afin davoir une signification et une utilit au contexte et l'instant dsir. Plusieurs

types dinformationuvrent au sein de lorganisation dune entreprise, il y a :

l'information dcisionnelle qui assure la prise de la dcision au plus haut niveau,

l'information oprationnelle ncessaire techniquement l'excution du travail,

l'information de gestion qui dfinit les responsabilits, rles et tches,

l'information de communication qui vhicule lthique, la doctrine et les politiques.

Les diffrentes activits de lentreprise tel que : lactivit administrative, lactivit commerciale, la

production, le marketing, la comptabilit et le management utilisent linformation et la produisent

par le biais des SI. Ces derniers prsentent le cadre stratgique, managriale, technique et

oprationnel permettant de matriser et dexploiter cette variable stratgique.

Robert REIX dfinit le SI comme tant un ensemble organis de ressources : matriel, logiciel,

personnel, donnes, procdures permettant dacqurir, traiter, stocker, communiquer des

informations dans les organisations.(3)

Figure 1 : Le systme d'information au centre de lorganisation de lentreprise

(3) REIX, R. (2004). Systmes d'information et management des organisations . Vuibert.


11/104

10


Le SI est alors considr comme une colonne vertbrale sur laquelle se calent les diffrents autres

systmes de lentreprise (voir Figure 1). Il permet dassurer la circulation de linformation de la

direction gnrale jusquaux mtiers et de la concrtiser afin quellepuisse contribuer efficacement

la performance des activits de lentreprise et par consquence sa performance financire.

2)Primtre du systme dinformation

Il savre trs important, afin de dissiper toute confusion pour le lecteur, de faire la distinction entre

les deux notions suivantes : le SI (objet de ce mmoire) et les TI (les technologies de linformation

plus gnralement, dnommes TIC : technologies de linformation et de communication). Ces

derniers regroupent lensemble des composants matriels et logiciels ainsi ceux des rseaux

permettant et assurant la collection, la transformation, le stockage et la diffusion de linformation.

En retournant la dfinition de Robert REIX, on remarque bien que le primtre du SI intgre celui

des TI (en tant que lensemble des ressources matrielles et logiciels)et il ltend enlui associant

dautres ressources :

Le personnel : qui groupe les utilisateurs de linformation, les dcideurs, les analystes et toute

personne dont sa tche est en relation troite avec linformation.

Les donnes : qui reprsentent les lments dentre (que se soit dorigine interne ou externe)

leurs tats bruts et qui seront analyses et traites par le SI.

Les procdures(4) : qui reprsentent la manire de mettre en uvre tout ou une partie d'un

processus.

Figure 2 : Les diffrentes ressources dun systme d'information

(4) Par dfinition une procdure reprsente le Qui (les responsabilits) fait Quoi ? (les processus), Oet Quand? (leplanning), Comment?(les activits),Combien ? (les investissements) et Pourquoi ? (les objectifs). (QQOQCCP).

Systme d'information

Personnel

Donnes

Procdures

Technologies de l'information

Ressources

matriels

Ressources

logiciels


12/104

11


Ainsi le SI consiste raliser plusieurs oprations dpassant la simple collection, traitement,

stockage et diffusion de linformation, il est conu aussi pour assurer :

la gestion des ressources informatiques,

la gestion des tches, rles et responsabilits,

la gestion de la relation avec les utilisateurs et la prestation des services,

la gestion des projets informatiques,

la qualit et la scurit des produits, services et activit

la protection matriel et logiciel

la protection des donnes .

De ce fait on peut conclure que le SI ne se limite pas aux simples dimensions techniques ettechnologiques, mais il reprsente la gestion globale de linformation (de linformation stratgique

linformation oprationnelle) au moyen dun ensemble de ressources technologiques,

organisationnelles et humaines.

3)La mutation de la fonction informatique

Une volution de la notion de linformatique dans lconomie moderne a transform lorganisation

de la fonction informatique dune approche classique qui la dcoupe selon lorganisation structurelle(fonctionnelle) de lentreprise vers une nouvelle approche axe sur les mtiers et organise en

processus interconnects, donnant ainsi lieu la nouvelle notion de systme dinformation.(5)

Cette mutation a permet dinstaller le SI au cur de lorganisation de lentreprise, dsormais le SI est

devenue une variable structurante et contributive latteinte desobjectifs stratgiques puisquil est

directement embarqu dans les oprations mtiers, non plus considr comme juste un support

technologique (voir Tableau 1).

(5) Les diffrents modles dorganisation de la fonction informatique : Le modle traditionnel : consiste dcouper cette fonction selon une vision organisationnelle (en imitant

lorganisation fonctionnelle de lentreprise), ce modle considre linformatique comme un moyen et un outilpour assister les diffrentes activits de lentreprise.

Le modle mtier : opte un dcoupage selon lensemble des mtiers qui existent au sein de lentreprise, cedcoupage marche en phase avec les systmes intgrs de gestion des donnes : les ERP ( Enterprise Resource

Planning aussi appels Progiciels de Gestion Intgrs (PGI)) qui sont en fait des applications dont le but estde coordonner l'ensemble des activits d'une entreprise, telles que la production, la vente, lapprovisionnement, lemarketing, la gestion des ressources humaines, ... autour d'un mme systme d'information.

Le modle processus : conu sur la base du modle mtier, permettant dorganiser les activits en processus

interconnects afin de raliser les objectifs globaux de lentreprise. Cest au niveau de ce modle quon a vulvolution de la notion delinformatique vers celle de SI.


13/104

12


Tableau 1 : L'informatique de la vision traditionnelle la vision intgre

Vision traditionnelle Vision intgreLinformatique est un centre de cot. Le SI est un lment de la chaine de valeur.Linformatique est un moyen. Le SI est un actif de lentreprise.Linformatique est une fonction de support etnon stratgique.

Le SI est une fonction de transformationstratgique.

Linformatique est un bien privatif, cloisonn chaque service ou direction.

Le SI est un bien collectif pour lentreprise,partag par tous.

Linformatique est un domaine rserv auxinformaticiens.

Le SI est un domaine transversal lentreprise,au service de tous.

Source : Alignement stratgique du systme dinformation. Cigref (2002).

4) Systme dinformation et contrle interne

Le contrle interne est un systme mis en uvre par le management et destin donner une

assurance raisonnable quant la ralisation et loptimisation (efficacit et efficience) des activits de

lentreprise, la fiabilit de linformation financire et la conformit aux lois et rglementations en

vigueur. Il permet de matriser les oprations risques que lentreprise ne veut ou ne peut ni

transfrer ni abandonner et cela en cherchant rduire ces risques des niveaux acceptables. Ainsi

tout lment ou composant de lentreprise est mis sous contrle de conformit, de performance et de

bon fonctionnement par rfrence des lois, des rglementations, des rfrentiels de contrle interne

et/ou des normes.

Ce systme repose en une partie sur des contrles informatiques qui sont soit dicts par les cadres

de rfrences propres lentreprise ou imposs par des lois et des rglementations en vigueur,

comme le cas des contrles issus de la section 404 de loi SOX(6) et de son homologue la LSF(7)(voir

Figure 3). En faite ces lois mergeantes exigent aux entreprises une transparence financire qui ne

peut tre garanti que par la production des informations qui vrifient les critres de fiabilit, de

traabilit et de scurit. Ainsi les activits des SI associes au reporting financier doivent tre

contrles et gres via des dispositifs de contrle informatiques qui seront intgrs dans le systme

de contrle interne.

(6)La loi SOX (loi Sarbanes-Oxley ), est une loi tabli par le snateur Paul Sarbanes et le dput Mike Oxley etvot par le congrs amricain suite aux diffrents scandales financiers des entreprises cotes en bourse aux dbuts desannes 2000, tels ceux d' Enron et de Worldcom ... Cette loi a pour objectif d'accrotre la responsabilit desentreprises, de rendre la communication de l'information financire transparente et plus fiable ainsi que de lutter contreles comportements dviants et frauduleux des entreprises.

(7)

La LSF (Loi de la Scurit Financire ), cette loi s'applique toutes les socits cotes en bourse pour le cas de laFrance et comme la loi amricaine Sarbanes-Oxley elle repose principalement sur : une responsabilit accrue desdirigeants, le renforcement du contrle interne et la rduction des sources de conflits d'intrt.


14/104

13


Figure 3 : Types de contrles informatiques issus de la loi SOX

En rponse aux exigences de la loi SOX, les entreprises ont largement adopt lapproche et la

dmarche du cadre de contrle interne COSO(8). Ce cadre de rfrence permet via sa structure de

dployer un ensemble de dispositifs de contrle internes permettant de matriser les diffrentes

activits de lentreprise, y compris les activits informatiques. Ainsi COSO dfinit un sous-ensemble

de contrles informatiques quon peutles rpertorie en trois classes :

Les contrles informatiques au niveau de lentit : ces contrles font partie des contrles

internes et traitent les activits des SI associes aux lments suivants : les stratgies et plans

daction, les politiques et procdures, lvaluation des risques, la formation, lassurance qualit

et laudit interne.

Les contrles applicatifs (CA) : sont des contrles basiques qui se trouvent au dbut delchelle des contrles associs aux SI. Ils sont intgrs dans les applications mtiers (les ERP)

et ils participent aux contrles financiers. Ces contrles ont pour objectifs de vrifier les

critres suivants de linformation financire :

lexhaustivitet lexactitude,

lexistence et lapprobation,

la prsentation et lintelligibilit.

Les contrles gnraux informatiques : ces contrles sont intgrs dans les processus des SI (lafonction informatique), ils permettent de garantir un environnement de traitement fiable et un

droulement adquat des contrles applicatifs. Ils couvrent :

le dveloppement et les modifications des applications,

laccs aux donnes et aux programmes,

les traitements informatiques.

(8) COSO est un rfrentiel de contrle interne dfini par le Committee Of Sponsoring Organizations of the Treadway

Commission . Il est utilis notamment dans le cadre de la mise en place des dispositions relevant des lois SOX ou LSF.Le rfrentiel initial de contrle appel COSO 1 a volu depuis 2002 vers un second corpus ax sur la gestion des risquednomm Entreprise Risk Management ouCOSO 2.


15/104

14


Il est remarquer que ces contrles ne sont pas exhaustifs et quils sont destins assurer la fiabilit

de linformation financireet dassister les activits mtiers. Ces contrles doivent tre renforcs par

dautres dispositifs de contrle plus rigoureux et des bonnes pratiques issus dautres rfrentiels

spcialisspour couvrir la totalit des activits de la DSI et lensemble des ressources des SI.

II. Le mtier daudit interne

1)Notion de laudit interne

LAudit Interne est une activit indpendante et objective qui donne une organisation une

assurance sur le degr de matrise de ses oprations, lui apporte des conseils pour les amliorer etcontribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant

par une approche systmatique et mthodique ses processus de management des risques, de

contrle, et de gouvernement dentreprise, et en faisant des propositions pour renforcer leur

efficacit . (9)

La fonction de laudit interne consiste vrifier et valider les dispositifs de contrle interne associs

aux procdures, informations, oprations, organisations et structures de lentreprise. Cest un outil

d'amlioration continue qui permet de faire le point sur l'existant (tat des lieux) et didentifier lespoints de faiblesses et les non-conformits des contrles mis en place, cela afin de mener par la suite

les actions adquates permettant de corriger les carts et dysfonctionnements constats. La qualit de

cette fonction sera dtermine par le niveau de respect des critres suivants :

lindpendance et le degr de comptence des auditeurs,

lutilisation ou llaboration des normes ou rfrentiels daudit,

llaboration dun programme daudit,

lexhaustivit et la permanence de dispositif daudit, lexistence dun dispositif de suivi des recommandations.

Plusieurs approches dauditse prsentent, on cite :

Lapproche par mtier : dans cette approche les sujets daudit seront dcoups en fonction des

grands mtiers de lentreprise. Cest uneapproche par les structures (dpartements, divisions,

services) et qui permet dexaminer chaque fois une de ces structures.

(9)

Dfinition de laudit interne inspire de la dfinition approuve le 21 mars 2000 par le Conseil d'Administration del'IFAC (International Federation of Accountants ), cest une traduction de la dfinition en anglais approuve par lIIA( Institute of Internal Auditors)le 29 juin 1999.


16/104

15


Lapproche par fonction : appele audit oprationnel ou audit dvaluation, cest lexamen

dune situation ou dune fonction bien particulire (commerciale, production, financire,

comptable, sociale, gestion des ressources humaines) permettant ainsi de traiter chaque

fois un lment cl de lentreprise.

Lapproche par thme : certains sujets daudit ne correspondent ni une structure ni une

fonction bien dtermine, do cette approche par thme qui permet de planifier et dexcuter

des missions daudit spcifiques, selon les besoins de lentreprise (comme par exemple la

scurit). Cette approche permet dexaminer un ensemble de structures et de fonctions en

rponse au sujet daudit fix.

Lapproche par processus: qui consiste traiter lentreprise comme un ensemble de processus

interconnects oprants ensemble pour latteint des objectifs stratgiques fixs par la direction

gnrale. Cette approche permet de dterminer et examiner les processus qui rpondent et

contribuent la ralisation dun objectif mtier bien dtermin.

Lapproche par les risques: elle consiste identifier les diffrents risques qui peuvent porter

atteintes au bon fonctionnement de lentreprise, de les valuer, de leurs attribuer des niveaux

de priorits et de les examiner selon cet ordre. Dans cette logique une cartographie des risques

sera dresse et sur sa base des missions daudit seront planifies et excutes par ordre de

priorit des risques.

Figure 4 : Les diffrentes approches d'audit

remarquer que le choix de lapproche daudit sera dcid en fonction du modle dorganisation de

lentreprise, des moyens et outils daudit dploys et en fonction des besoins de la direction et des

mtiers. Toutefois une dmarche gnrale peut tre dresse et suivie quelque soit lapproch adopte,

ce quon va prsenter par la suite.

Approchepar

les risques

Approchepar

mtier Approchepar

processus

Approchepar

fonction

Approchepar

thme


17/104

16


2)Conduite dune mission daudit: dmarche gnrale


18/104

17


Figure 5 : Dmarche gnrale dune mission daudit (10)

(10)Cette dmarche a t inspire des normes internationales et elle est axe sur les risques. Cette dmarche peut treappliquerpour les diffrentes autres approches daudit.


19/104

18


Cette dmarche comporte cinq phases, qui sont :

La phase de planification pluriannuelle et annuelle : pour cette approche, la mthode de

dtection des risques prsente un lment dentre pour la phase de planification, ainsi une

cartographie des risques doit tre tablie priori par la direction daudit. Selon les indicateurs

de cette carte un plan pluriannuel (de trois cinq ans) sera discut avec le comit daudit et la

direction gnrale afin de le valider et lamliorer. De ce plan pluriannuel dcoulent des plans

annuels daudit qui doivent tre aussi approuvs par la direction gnrale.

La phase de prparation : cette phase peut se dclencher plusieurs fois selon une chronologie

des missions planifies davance, ou suite un ordre de mission de la part dun commanditaire

(la direction gnrale par exemple). Elle consiste : Prendre connaissance du sujet traiter et du systme de contrle interne.

Identifier les risques spcifiques.

Dterminer les objectifs de la mission.

Dterminer les vrifications tablir.

Cette phase se terminera par llaborationdun programme de travail qui sera suivi.

Tableau 2 : Phase de prparation d'une mission

Elments DescriptionOrdre de mission Cest le mandat donn par la direction gnrale au service daudit, prcisant lorigine

de la mission et son tendue tout en nommant une quipe daudit.Rencontre avec ladirection de lentitaudite

Cette rencontre permet didentifier : les objectifs, ltendue, la nature, le dlai, lesauditeurs responsables de la mission et lorganisation ou non dune runiondouverture. Un compte rendu sera rdig et envoy aux participants.

Runion douverture Elle permet dtablir les premiers contacts entre les auditeurs et les audits (elle estfacultative), elle consiste unir le chef de la mission, les auditeurs, les directeurs etles chefs services des entits audites.

Rapport dorientation Cest un contrat de prestation de services prcisant les axes dinvestigation et leslimites de la mission en les exprimant en objectifs atteindre par laudit.

Programme de travail Cest un document interne qui permet de dterminer, de rpartir et de planifier lesactions daudit. Il prcise les tches effectuer, les investigations mener, lesquestions poser et les pratiques de bonne gestion vrifier.

La phase de ralisation : cette phase suit le programme de travail tabli dans la phase

prcdente, elle consiste mener des travaux dinvestigation et de vrification sur terrain (via

des moyens et des outils daudit), tout en suivant la chane : Faits Causes Consquences

Conclusion Recommandations, et qui seront formuls au niveau des FRAP (11). Cette

phase aboutira une apprciation du systme de contrle interne tout en relevant ses

principaux points forts et ses faiblesses.

(11)FRAP : Feuille de Rsolution et d'Analyse des Problmes.


20/104

19


Tableau 3 : Phase de ralisation d'une mission

Elments DescriptionQuestionnaire de CI Lobjectif de ce questionnaire est dvaluer les dispositifs de systme de contrle

interne pour chaque opration risque (Qui ? Quoi ? O ? Quand ? Comment ?) et devrifier lexistence et lefficacit de ces dispositifs.FRAP Ils prsentent les rsultats des travaux sur terrain et sont rdiges par lauditeur pour

chaque dysfonctionnement constat, permettant de structurer le raisonnement delauditeur jusqu la formulation de la recommandation. Elles comprennent : les

problmes, les faits, les causes, les consquences et les recommandations. Ellesserviront comme une base pour la rdaction du rapport daudit.

Compte rendu final Cest une prsentation orale des principales observations, faite par le chef delquipedaudit et destine au responsable de lentitaudite. Il sera effectu la findu travail terrain.

La phase de conclusion : elle consiste formuler un rapport daudit structurant les

conclusions et comportant les recommandations en rponse aux risques et dysfonctionnement

dtects lors de la phase dinvestigation. Ce rapport sera accompagn dun plan daction ou au

cas chant des modalits de remise future qui seront destin aux parties prenantes concernes.

Tableau 4 : Phase de conclusion d'une mission

Elments DescriptionProjet de rapport En se basant sur les FRAP et les diffrents lments probants, lauditeur formulera sa

conclusion dans ce rapport avant dtre valid par les audits.Runion de validationet de clture

Cette runion permettra de prsenter et de valider les constats, expliquer lesrecommandations et de fixer les modalits pratiques relatives au plan daction et de

suivi de la mission.Rapport final Rdig aprs la remise des commentaires crits des audits (prvus lors de la runion

de validation et de clture). Ce rapport doit tre complet, constructif, objectif et clair.Il doit tre publi en deux versions, un expos gnral et une synthse afin desatisfaire aux diffrents lecteurs. Ce rapport a deux objectifs :

informer la hirarchie des conclusions de la mission et de ltat du systmede contrle interne

assister les audits dans llaboration des plans daction afin de remdier

aux problmes et aux dysfonctionnements dtects.Plan daction Rdig par les directeurs des entits audites. Il vise mettre en uvre les

recommandations cites dans le rapport final. Pour chaque recommandation, lauditdoit exprimer sa position soit en lacceptant totalement ou partiellement (tout en

prcisant Qui fera Quoi ? ), soit en la refusant en expliquant les raisons. Ce plan

doit tre valid par le service daudit

Le suivi des recommandations :une fois le plan daction valid, le service daudit suivra sa

mise en uvre tout en communiquant les tats daction et de progrs rgulirement la

direction gnrale. Cette tape permet de garantir la bonne application des diffrentes

corrections et amliorations tablies dans le plan daction. Ces plans daction et de suivi

formeront un pilier de la dmarche globale damlioration continue des services, produites et

structures des entreprises en gnrale.


21/104

20


3)La bote outils de lauditeur

Afin de mener bien sa mission, lauditeur a besoin le long de son travail , ds la phase de

prparation jusqu llaboration du rapportdaudit final,dun nombre doutils et demthodes afinde collecter les informations, analyser les donnes, dcrire ltat du systme, ainsi que des outils de

vrification et de validation. On distingue deux catgories doutils utiliss :

Les outils dinvestigation : ces outils offrent une aide aux auditeurs afin de formuler des

questions ou apporter des rponses des questions qui se posent.

Les outils de description : permettant de projeter de la lumire sur diffrents aspects

fonctionnels et organisationnels de lentreprise, ce sont des outils de rvlation .

a)Les outils dinvestigation

Les sondages statistiques ou chantillonnage : ce type doutils est souvent utilis dans la

pratique daudit. Dans la plupart des oprations de sondage ou dchantillonnage, lchantillon

est choisi partir dune srie darticles (cet chantillon doit tre reprsentatif de la population

fixe). Suite a, des mesures et des oprations statistiques permettront au moyen de cet

chantillon de projeter des jugements et des conclusions sur lensemble de la population. Cet

outil fait appel aux qualits de bon sens et de jugement de lauditeur, que ce soit pour la

dtermination de la taille de lchantillon, la slection des articles tudier et la formulation

des conclusions relatives la population drive des rsultats de lanalyse de lchantillon.

Tableau 5 : Les dix commandements pour un bon chantillonnage

Principes1 Connaitre les principes de lchantillonnage scientifique, et ne lutiliser que lorsquils sadaptent aux

mieux aux objectifs de laudit.2 Connaitre la population tudie et ne fonder des opinions que sur la population chantillonne.

3 Accorder la mme chance dtre choisis tous les lments de la population.

4 Ne laissez pas un biais personnel affecte lchantillon.5 Ne permettre pas que des configurations particulires de la population affectent le caractre alatoire que

doit revtir lchantillon.6 Faire attention, lchantillon orient vers un but (dirig) a un rle jouer, mais nen tirer pas des

conclusions pour toute la population.7 Baser les estimations de taux maximaux derreurs sur ce qui est raisonnable dans un modle rel, essayer

de dterminer quel moment des signaux dalarme cesseraient de jouer.8 Stratifier chaque fois que cela semble rduire la dispersion dans lchantillon.

9 Ne fixer pas sans ncessit des objectifs levs de fiabilit (niveau de confiance et de prcision). Lescontrles, la supervision, les indicateurs, les procds dauto-correction, ainsi que la conscience des faitsqu la direction et la surveillance quelle exerce, sont autant dlments qui doivent tre considrs pourtenter de rduire ltendue des investigations daudit.

10 Ne sarrter pas aux rsultats statistiques, mais chercher les causes.


22/104

21


Les interviews ou entretiens :

ces outils sont utiliss frquemment, ils ne doivent pas tre

confondus avec les conversations et les interrogatoires. Les conditions dune bonne interview

seront garanties en fonction du niveau de collaboration instaur entre laudit et lauditeur.

Une interview se dcompose gnralement en trois phases :

La prparation de linterview: lauditeur doit dabord prendre un rendez-vous avec son

interlocuteur, et avant de le contacter il doit collecter quelques informations

professionnelles sur lui (prendre connaissance de son interlocuteur). Aussi il doit

prparer son sujet et ses outils, il est indispensable pour chaque entretien davoir fix au

pralable les objectifs que lon souhaite atteindre avec un questionnaire dtaill ou au

moins un guide dentretien.

La conduite de linterview: une mthode efficace consiste prendre des notes au fur et

mesure, a permet de ralentir les flux dinformations et de garder des traces du

droulement de lentretien et deces points essentiels.

Laprs interview : lauditeur doit formaliser ses notes afin de les exploiter.

Tableau 6 : Les rgles suivre dans une interview

Rgles1 Il faut respecter la voie hirarchique. Sauf urgence exceptionnelle, lauditeur ne doit pas procder une

interview sans que le suprieur hirarchique de son interlocuteur ne soit inform.

2 Rappeler clairement la mission et ses objectifs. Linterlocuteur de lauditeur doit conna tre le pourquoi etle comment de linterview. Il serait dsastreux quil puisse simaginer que lon va lui tendre des questions

piges, que linterview nest en somme quun interrogatoire dguis.3 Evoquer les difficults, les points faibles, les anomalies rencontres avant toute autre chose.

4 Recueillir son adhsion les conclusions de linterview rsumes avec linterlocuteur, avant de lescommuniques sous quelque forme que ce soit sa hirarchie.

5 Conserver lapproche systme, en vertu de ce principe lauditeur ne sintresse pas aux hommes. On doitdonc se garder de toute question ayant un caractre subjectif et mettant en cause les personnes.

Les questionnaires :ceux-ci se prsentent comme un outil efficace dvaluation de niveau de

conformit des dispositifs de contrle aux normes et bonnes pratiques choisies commerfrences. Ils permettent didentifier les points forts et/ou lesfaiblesses de ces dispositifs ainsi

que les risques associs leur absence ou leur insuffisance. Ils permettent aux auditeurs

dorganiser et de rpartir les diffrents points traiter sous forme de questions groupes par

thme. Leur importance rside dans un ensemble davantagesqui permettent lauditeur de :

Formuler des questions par thmes et de les mettre dans un ordre de priorit.

Prparer un ensemble de points traiter et aborder dans le questionnaire.

Etablir un barme dvaluation afin de comparer les rponses de laudit avec la

rfrence et de comparer les rponses des diffrents audits.


23/104

22


Tableau 7 : Les diffrents types de questionnaire d'audit

Type de questionnaire DescriptionLes questions choix

multiples

Questions fermes avec un choix faire parmi plusieurs rponses prdfinies.

Les questions directes Questions formules de manire impliquer directement le rpondant, afin qu'ilse sente concern par la rponse.

Les questions indirectes Questions formules de manire ne pas impliquer directement le rpondant, afinqu'il se sente libre de rpondre.

Les questions fermes Questions la/aux rponse(s) limit(s) une liste de propositions.Les questions ouvertes Question laissant au rpondant la libert de choisir ses propres mots.Les grilles dvaluation Succession de questions bases sur la mme chelle d'valuation (chelle de

Likert). L'chelle contient en gnral cinq ou sept choix de rponse qui permettentde nuancer le degr d'accord.

1. Pas du tout d'accord2. Pas d'accord3. Ni en dsaccord ni d'accord

4.

D'accord5. Tout fait d'accord

remarquer que des modles de questionnaires, formuls par des experts, peuvent tre utiliss

nanmoins ces modles doivent tre adapts lentreprise et au contexte de la mission ainsi

lauditeur doit garder un recul ncessaire par rapport ces modles. remarquer aussi quun

questionnaire est une sorte de guide pour lentretien, lauditeur peut approfondir son enqute

en improvisant des questions sur la lumire des rvlations de son interlocuteur et en se basant

sur son exprience sans oublier de noter ses observations et les remarques conclues.

b)Les outils de description

Lorganigramme fonctionnel: la collecte des organigrammes de lentreprise par lauditeur

est une tche importante afin de pouvoir comprendre les responsabilits respectives du

personnel. Lauditeur est trs souvent amen mettre jour les organigrammes ou rajouter

ses propres commentaires sur les responsabilits relles. Les mots figurant dans les cases de

ces organigrammes ne sont pas des noms de personnes (organigramme hirarchique) mais des

verbes dsignant des fonctions. Cet organigramme doit aussi prsenter des descriptifs des

postes qui se considrent comme des lments importants de contrle interne.

Le diagramme de circulation des flux ou Flow-Chart :cest une reprsentation narrative ou

graphique dune suite doprations dans laquelle les diffrents documents, centres de travail, de

dcision, de responsabilit, sont reprsents par des symboles runis les uns aux autres suivant

lorganisation administrative de lentreprise. En fait llaboration de tel Flow-Chart amliore la

perception de lentreprise par le classement et le tri des donnes structures sous une formesynthtique.


24/104

23


Ce diagramme de circulation des flux doit permettre de faire ressortir les lments suivants :

les rles et responsabilits pour chaque opration,

les points daction, de dcision et de contrle,

les descriptions des circulaires et documents similaires,

les flux de communication lintrieur et avec lextrieur de lorganisation.

La synthse de tous ces lments permettra lauditeur de mettre en vidence les contrles cls

existant au sein de lorganisationet sur lesquels il sappuiera lors de sa mission. Le document

doit donc reprsenter sans ambigut toute linformation ncessaire pour comprendre le circuit

tudi et linterprter sans avoir rechercher de renseignements complmentaires. La forme

narrative de description se rvle une mthode difficile manier et peu claire, cest pour cette

raison quune reprsentation schmatique recensant les faiblesses et forces du contrle interne

savrebeaucoup plus utile. Et comme toute technique standardise, cette reprsentation doit

comprendre un certain nombre de symboles et de conventions.

Un autre avantage de cet outil, cest quil permet l'auditeur de comprendre les mthodes et

les systmes employs au sein de l'organisation, ainsi que les contrles effectus, en

mettant l'accent plus particulirement sur les procdure de circulation de l'information. Cette

comprhension des systmes (y compris systmes dinformation de lentreprise) sert de base

l'valuation des flux et contrles interne matrialiss par ce type de documents

normaliss. Son usage permet en outre d'amliorer l'efficacit et l'homognit du groupe

d'audit et de permettre une meilleur communication entre les diffrents auditeurs.

Lobservation physique: il sagit dune constatation de la ralit instantane de lexistence et

du fonctionnement dun ensemble dlmentstel que : le processus, les biens, les transactions,

les valeurs, les documents, les comportements. Il existe deux formes dobservations:

Lobservation directe: permettant dassurer une vrification immdiate et visuelle dundescriptif. Elle peut aboutir un avis sur ltat physique et/ou de fonctionnement dun

bien, comme elle peut prendre la forme dun comptage dunits/ des composants.

Lobservation indirecte: et qui consiste soit consulter directement des documents

reprsentatifs du droit, de lengagement comme les contrats, les courriers, les

certificats, soit faire des correspondances avec des tiers concerns pour quils

fournissent leurs observations et remarques concernant les lments audits.

Dune manire gnrale cette mthode va permettre lauditeur de mieux comprendre le

contexte, le primtre et lenvironnement de la mission daudit excuter.


25/104

24


III. Laudit des systmes dinformation

1) Porte de laudit des systmes dinformation

Vu la nouvelle dimension qua pris le SI dans lensemble des activits de lentreprise, en se

prsentant comme un lment contributif la cration de la valeur et afin dassurer sa

performance et son bon fonctionnement, un ensemble de dispositifs de contrle associs doivent tre

mis en place. Des dispositifs relevant de la doctrine propres lentreprise ou en rponse aux

exigences des lois mergeantes telles que la LSF et la loi SOX (cas des dispositions de la section 404

cherchant garantir lexhaustivit, lexactitude, la validit des informations financires et la

restriction daccs).

Plusieurs entreprises pour se conformer des telles exigences et se protger contre les risques

affectant les assertions de leurs tats financiers, ont procd limplmentation de lensemble des

contrles gnraux informatiques et les contrles applicatifs issus du rfrentiel de contrle interne

COSO. Ces dispositifs font lobjet des rvisionsglobales au niveau des missions daudit interne (tel

que laudit des tats financiers). Cependant ces missions daudit ne permettent pas de vrifier

lintgralit des activits de SI qui dpassent de loin celles propres ltablissement de ces tats

financiers. Cest dans ce contexte qua volu la notion daudit des SIet qui drive de celle de laudit

interne visant complter cette fonction en traitant en objet : linformation, les infrastructures

technologiques, les ressources humaines, les processus et les applications associes.

Figure 6 : La relation Audit Interne - Audit des SI


26/104

25


Laudit des SI forme ainsi un support la fonction daudit interne qui traite les risques oprationnels

et financiers associs aux diffrents processus mtiers de lentreprise. En gnrale plusieurs contrles

automatiques (les contrles applicatifs) font partie intgrante des diffrents applications mtiers

(ERP) dploys au sein de lorganisation, ces contrles visent garantir lefficacit et lefficience

des donnes et transactions financires. Cest au niveau des missions daudit interne que ces

contrles vont faire objet de vrification et dvaluation par rapport aux bonnes pratiques des cadres

gnrale de contrle interne, tel que COSO.

De cet angle des audits informatiques associs auront lieu au sein de ces missions, nanmoins les

risques informatiques ne seront pas tous cerns, ce qui exigent dautres missions plus spcifiquesse

chargeant de la fonction informatique en particulier. Cest l quintervient la fonction audit des SI, etqui va revoir la totalit des activits des SI, en vrifiant les contrles gnraux informatiques et

applicatifs associs aux diffrentes ressources matriels, logiciels et humaines ainsi que les

procdures et rgles de gestion tablies pour ces SI. Les auditeurs informatiques se rfreront pour

cette raison des rfrentiels daudit dits spcialement aux SI, comme le cas de cadre de rfrence

Cobit et autres standards.

2) Types de missions daudit des systmes dinformation

Daprs lenqute faite en 2007 par MAZARS(12) auprs de 134 organisations sur la diversit et

ltendu desmissions daudit se portant sur les SI, une varit de missions tait recens. La figure

suivante segmente en pourcentage le primtre dintervention des auditeurs informatiques et les

types de missions couvrant les SI identifis par cette tude.

Figure 7 : Les diffrents types de missions daudit des SI

(12) MAZARS est une entreprise internationale d'origine franaise spcialise dans l'audit, l'expertise comptable,la fiscalit et le conseil aux entreprises.


27/104

26


Ainsi on remarque bien que ces missions daudit identifies traitent les diffrentes dimensions :

managriale, oprationnelle et technique (audit de performance-efficacit) dun SI, comme ils

traitent des objets et thmes spcifiques tels que : les donnes, les processus, les projets,

larchitecture, la scurit, la qualit, la conformit

Tableau 8 : Exemples de missions d'audit des SI

Mission DescriptionAudit de la stratgie

informatiqueCette mission consiste sassurer que le SI est bien align avec la stratgie globale delentreprise et que les investissements informatiques sont bien gouverns.

Audit de la fonctioninformatique

Lobjectif de cette mission est de rpondre aux proccupations de la DG ou de la DSIconcernant l'organisation de la fonction informatique, son pilotage, son positionnementdans la structure, ses relations avec les utilisateurs, ses mthodes de travail

Audit de lexploitant Cette mission a pour but de s'assurer que les centres de production informatiques(centres de services) fonctionnent de manire efficace et qu'ils sont correctement grs.

Audit des projetsinformatiques

Le but de cette mission daudit cest de s'assurer que les projets informatiques sedroulent normalement et que l'enchanement des oprations se fait de manire logiqueet efficace fin d'arriver en toute sret la fin de la phase de dveloppement, et afinde dlivrer une application performante et oprationnelle.

Audit des applicationsoprationnelles

Cette mission daudit permet de donner au management une assurance raisonnable surla sret de fonctionnement dune application et les contrlesimbriqus dedans. Cettemission daudit peut traiter une application comptable, de paie, de facturation,.mais, de plus en plus souvent, on s'intresse l'audit des processus globaux del'entreprise comme la vente, la production, lachat, la logistique,

Audit des donns ettransactions

Le but de cette mission cest de vrifier la fiabilit des donnes et transactionsfinancires pris en charge par le SI et les technologiques dinformation associes.

Audit physique Ce type de mission traite les infrastructures, les quipements et installations, afin desassurer de la validit des dispositifs mis en place pour se protger contre des

dommages et dsastres comme : les incendies, les inondations, orages Audit de migration Cette mission vrifier le processus de migration dune application ou dun systme vers

des nouvelles versions ou suite des changements au niveau de linfrastructure et lestechnologies de linformation, dans le but de sassurer de la prennit du SI.

Audit de la scurit desSI

Cette mission daudit a pour but de donner au management une assurance raisonnabledu niveau de risque acceptable associ des dfauts de scurit des SI et quelentreprise peut assumer. Ce type de mission globale peut tre divis en sous-missionsdaudit plus spcifiques, tel que :

Audit de la scurit physique Audit de la scurit des applications Audit de la scurit des services informatiques .

3)

Rfrentiels dauditdes systmes dinformation

Avant de mener des travaux dinvestigation lors de la phase dexcution les auditeurs doivent

dabord fixer un ou plusieurs cadres de rfrence, soit de ceux propres lentreprise ou choisis

parmi les standards et les normes internationales existants. Un cadre de rfrence par dfinition est

un ensemble de rgles organisationnelles, procdurales et/ou techniques mettre en place pour

gouverner (grer dans les rgles de lart) les SI. Ces cadres peuvent tre utiliss par les auditeurs au

cours dune mission d'audit fin d'valuer les dispositifs de contrle en question et de mesurer le

niveau de leurs applications par rapport aux exigences et les bonnes pratiques de ces standards.


28/104

27


Plusieurs cadres de rfrence de contrle, de gestion, de gouvernance et dauditse prsentent sur le

march et permettant chacun de traiter un lment ou une dimension des SI, tels que :

Larchitecture des SI(exemple : TOGAF).

Les services informatiques (exemple : ITIL, la norme ISO 20000).

Les projets informatiques (exemple : PMBOK, PRINCE2, CMMi).

La gouvernance des SI (exemple : Cobit, Val IT, Risk IT, la norme ISO 38500).

Lexternalisation des services informatiques (exemple: eSCM).

La conformit rglementaires des SI (exemple : loi SOX, Acte BleII, COSO, Cobit).

La scurit des SI (exemple : la famille des normes ISO 27000).

Figure 8 : Les principaux rfrentiels de la DSI

Ces diffrents cadres de rfrence prsentent une bibliothque complte de savoir et de bonnes

pratiques pour la gestion et la bonne gouvernance des SI, ils forment une base aux managers fin de

piloter, contrler et maintenir des SI en haute performance.


29/104

28


Ces cadres seront aussi la rfrence la quelle se pointent les auditeurs pendant leurs missions

daudit dans le but de vrifier le niveau dapplication de ces bonnes pratiques et lefficacit et

lefficience des contrles mis en place. Dans le tableau suivant on prsentera des descriptions

brves des principaux rfrentiels et normes internationales daudit des SI.

Tableau 9 : Descriptions des principaux rfrentiels et normes daudit des SI

Rfrentiel / Norme DescriptionITIL (Information

Technology InfrastructureLibrary)

ITIL a t mis en place par lOGC ( Office of Gouvernement Commerce )britannique. Cest un ensemble douvrages recensant les bonnes pratiquesdu management tout autour des services du SI. Les tomes les plus utiliss concernentle soutien et la fourniture des services informatiques. ITIL permet, grce sonapproche processus clairement dfinie et contrle, d'amliorer la qualit des servicesdu SI et de l'assistance aux utilisateurs. Dans sa troisime version ITIL a met laccent

sur la matrise du cycle de vie dun service informatique.CMMi (CapabilityMaturity Model

integrated)

CMMi a t conu par le SEI ( Software Engineering Institute) de luniversit deCarnegie Mellon. Cest un modle de rfrence, sous forme dun ensemble structurde bonnes pratiques, destin apprhender, valuer et amliorer les activits desentreprises d'ingnierie informatique afin de contrler la fonction de dveloppementdes applications et des logiciels.

PMBOK (ProjectManagement Body of

Knowledge)

Il se prsente comme une rfrence en matire de gestion des projets, il est dit par lePMI (Project Management Institute). Ce rfrentiel est totalement complmentaireavec des dmarches damlioration continue de type CMMi.

PRINCE2 (PRojects INControlled Environments)

Cest une mthode de gestion et de certification de projet aussi structure et qui sefocalise sur trois points : l'organisation, la gestion et le contrle du projet.

TOGAF (The OpenGroup Architecture

Framework)

Cest un ensemble de concepts et un standard industriel couvrant le domaine desarchitectures informatiques d'entreprise, qui peut tre utilis par toute entreprise

souhaitant dvelopper ou modifier son architecture.eSCM(eSourcingCapability Model)

Cest un rfrentiel labore depuis 2001 par lUniversit Carnegie-Mellon/ ItSQC afindamliorer la relation entre clients et fournisseurs dans le cadre de la fourniture deservices utilisant les technologies de linformation. Ces services sont de nature trsdiverse : infogrance, externalisation du support informatique, tierce maintenance,fourniture de liaisons de tlcommunications

COSO (Committee OfSponsoring

Organizations)

Cest un rfrentiel de contrle interne dfini par le la COSO ( Committee OfSponsoring Organizations of the Treadway Commission ). Il est utilis notammentdans le cadre de la mise en place des dispositions relevant des lois SOX (pour lesentreprises cotes en bourse en USA) ou LSF (pour les entreprises franaises). Lerfrentiel initial appel COSO1 reprsente un framework de gestion des objectifsde conformit configurable toute rglementation. Lapproche COSO est structure entrois axes : le premier pour lvaluation des objectifs, le deuxime axe dfinit lesrisques, contrles et les actions et le troisime axe organise le travail dans un systme

processus bien structur. COSO a volu depuis 2002 vers une deuximeversion COSO2 sous forme dune mthodologieaxe sur la gestion des risques appeleERM (Entrprise Risk Management ).

Cobit (Control Objectivesfor Information andrelated Technology)

Cobit a t publi en 1996 par lISACA (Information Systems Audit and ControlAssociation ). CobiT est organis selon une approche oriente processus, qui regroupeen 4 domaines (structurs par analogie avec la Roue de Deming), 34 processusdistincts qui comprennent en tout 215 activits et un nombre plus important de

pratiques de contrle. CobiT fournit aux gestionnaires, auditeurs et utilisateurs de SI,des indicateurs, des processus et des bonnes pratiques pour les aider maximiser lesavantages issus du recours des techniques informatiques et l'laboration de lagouvernance et du contrle d'une entreprise. Dans sa version 4.1 Cobit intgre

proprement dit les deux volets audit et management des SI, ainsi quun grand nombrede dmarches et bonnes pratiques issues dautres rfrentiels et normes internationales.


30/104

29


Val IT(Governance of ITinvestments)

Cest un cadre de rfrence pour la gouvernance des investissements informatiques quia t ralis par lITGI(IT Gouvernance Institute qui a t cre par lISACA), et qui

propose une analyse de la performance des investissements en technologies del'information. Val IT distingue trois axes de gouvernance des projets SI : lagouvernance de la valeur (GV), la gestion de portefeuille (GP) et la gestion des

investissements (GI). Remarque : Val IT a t intgr dans la version 5 de Cobit.Risk IT (Governance of

IT risks)Risk IT est un rfrentiel de management du SI et des TI par les risques il a t publien 2009 par l'ISACA. Cest un guide de principes directeurs et de bonnes pratiques quisorganisent en 3 domaines, 9 processus et comptent 47 bonnes pratiques. Lesdomaines et processus de ce rfrentiel couvrent les trois axes suivants : lagouvernance des risques (GR), lvaluation des risques (ER) et le traitement desrisques (TR). Remarque : Risk IT a t intgr dans la version 5 de Cobit.

La normeISO 9000 Cest un ensemble de normes relatives lagestion de la qualit et qui est publies parl'ISO (International Organization of Standardization). Cette norme repose sur uncertain nombre de principes de management de la qualit, notamment une forteorientation client, la motivation et lengagement de la direction, lapproche processuset lamlioration continue. La variante ISO 9001:2008 aide sassurer que les clientsobtiennent des produits et services uniformes et de bonne qualit, avec, en retour, de

belles retombes commerciales.La normeISO/CEI

20000Elle est issue de la norme BS 15000 de BSI ( British Standards Institution), cestune norme de certification des services informatiques des organisations prouvant lerespect de normes de qualit dites au travers de phases, de contrles et de procduresmises en place.

La srie des normesISO/CEI 27000

Cest une suite des normes descurit de l'information publie conjointement en mai2009 et rvise par lISO (International Organization of Standardization).) etla CEI ( Commission Electrotechnique Internationale). Ces normes sont drivs desnormes prcdentes telles que : ISO 17799 et BS 7799.Parmi cet ensemble des normes la norme ISO/CEI 27002 prsente un ensemble de 39objectifs de contrlequi stalent en 133 mesures ou bonnes pratiques destines treutilises par tous ceux qui sont responsables de la mise en place ou du maintiend'un Systme de Management de la Scurit de l'Information (SMSI) et lesauditeurs des SI au cours de leurs missions.

Sources : Les rfrentiels de la DSI. Cigref (2009).Lorganisation internationale de normalisation ISO (site web :http://www.iso.org/)
http://www.iso.org/http://www.iso.org/http://www.iso.org/http://www.iso.org/


31/104

30


Chapitre 2 : Cobit 4.1 un cadre fdrateur daudit des systmesdinformation

I.

LISACA et ses principales contributions en matire daudit des systmes

dinformation

1)Prsentation de lISACA

LInformation System Audit and Control Association (ISACA) est une association

professionnelle internationale qui a t fonde aux tats-Unis en 1969 dont l'objectif est d'amliorer

la gouvernance des SI, notamment par l'amlioration des mthodes d'audit informatique. Elle est

aussi un membre affili de lIFAC(13).

Depuis sa cration et afin datteindre lobjectif fix elle a dvelopp un ensemble de textes et de

rfrentiels qui se rsument essentiellement en :

Un code de dontologie : cest une charte daudit standard pour encadrer la fonction des

auditeurs des SI. Ce code doit tre respect par les adhrents lISACA (essentiellement les

auditeurs certifis) et peut tre considr comme un modle aux entreprises afin dlaborer

leurs propres tiques et codes de dontologie suivre par leurs propres units daudit des SI.

Un ensemble de normes, conseils et procdures pour laudit des SI (Standards, guidelines

and procedures for information system auditing). Ces normes ont t codveloppes avec

lIFAC et approuves comme des normes internationales en audit et contrle des SI dans le but

daiderles auditeurs promouvoir des SI de confiance et crateurs de valeur.

Un ensemble de rfrentiels pour laudit et la gouvernance des SI: Val IT, Risk IT,Cobit et

plusieurs autres publications connexes.

2)Chronologie des variantes Cobit

Le rfrentiel Cobit a vu ds son apparition plusieurs volutions :Cest en 1996 que lISACA a publi la premire version de Cobit qui tait cepremier stade

juste un rfrentiel daudit et de contrle des SI sinspirant des principes de rfrentiel de

contrle interne COSO (publi en 1992). Cette premire version tait destine aux auditeurs

dans le but de les assister dans la planification et lexcution de leurs missions daudit.

(13)IFAC (International Federation of Accountants ),cest la fdration globale de la profession comptable fond en

1977. Elle a pour vocation de publier des standards internationaux sur l'thique, audit et assurance, l'ducation, et lacomptabilit du secteur public. Elle publie aussi des conseils pour encourager la qualit dans les services desprofessionnels comptables.
http://fr.wikipedia.org/wiki/COBIThttp://fr.wikipedia.org/wiki/COBIT


32/104

31


En 2000 une troisime version a apparu suite aux nombreux travaux de lITIG(14) . Cette

version a introduit pour la premire fois la notion de management, proposant ainsi deux

guides : un guide daudit qui offre une approche processus guide par des objectifs de contrle

et un guide de management pour ces processus sous forme dun ensemble de lignes directrices.

La version quatre de ce rfrentiel a fait son apparaissance en 2005 et a volu vers la version

4.1 en 2007. Ces deux versions regroupent deux visions : le contrle et le management des SI

(notion dveloppe depuis la version 3 et approfondie dans la version 4.1 au niveau dun guide

complet de management). Ces deux versions ont t fortement influences par la loi SOX et

son homologue la LSF, en renforant les contrles des SI associes aux processus financiers et

la gouvernance des SI .Ces deux version intgrent aussi dans leurs processus les bonnes

pratiques issues dun nombre autres rfrentiels, lois et normes tel que : ITILV3, ISO 27002,

ISO 9000, ISO 38500, CMMi, COSO, loi SOX, PMBOK, TOGAF . Ds lors la version 4.1

de Cobit a t considre comme un cadre fdrateur daudit et de gouvernance des SI.

La cinquime variante de Cobit a t dvoile en 2012 et a pris une nouvelle tendue en se

focalisant sur la dimension gouvernance qui est devenue la ligne directrice de la nouvelle

approche Cobit. Cette version a intgr en plus des bonnes pratiques issues de nombreux

cadres daudit et de gouvernance dans la version prcdente, les bonnes pratiques des

rfrentiels Val IT et Risk IT dvelopps par lISACA, fin de prsenter une dmarche

cohrente et globale en matire daudit, management et gouvernance des SI.

Figure 9 : Evolution du cadre de rfrence Cobit

(14)

ITGI (IT Governance Institute ) est un institut fond par lISACA en 1998 afin de contribuer par des tudes et desrecherches en gouvernance des SI apporter des amliorations aux approches et mthodologies des produits de cettedernire.


33/104

32


II. Prsentation du cadre de rfrence Cobit 4.1

1)Description gnrale

Cobit 4.1 se prsente comme un cadre fdrateur daudit et de gouvernance des SI, il intgre les

bonnes pratiques dun grand nombre de rfrentiels et normes internationales. Il suit une dmarche

transversale en couvrant toutes les activits de la DSI. Son approche se base sur un grand nombre

dlments et des concepts lui valant une dimension universelle, cest--dire quelle peut tre

applique tout type dentreprise quelque soit son secteur dactivit ou sa taille.

Les lments de Cobit 4.1 sorganisent sur trois axes,tout en sinspirant du modleCOSO :

Laxe Exigences mtiers : qui dfinit les critres dinformation gouvernant les activits du

SI en rponse aux besoins des mtiers.

Laxe Processus informatiques : qui dcrit et organise les diffrents processus, activits et

pratiques de la fonction SI dans un modle en trente-quatre processus interconnects.

Laxe Ressources informatiques : qui regroupe les diffrentes ressources (applications,

information, infrastructure et personnes) uvrantdans le cadre du SI.

Figure 10 : Le cube Cobit4.1 (inspir du COSO)

Le cadre de rfrence Cobit4.1 fonde son approche tout autour de linformation, qui se prsente

comme garant du bon fonctionnement des activits de lentreprise et qui contribue la ralisation de

lobjectifultime de lentreprise: la cration de la valeur . Pour cette raison que linformation ainsi

que les processus lui sont associs et les diffrentes ressources dployes doivent avoir un niveau deperformance, de qualit et de scurit lev afin daboutir latteinte de cet enjeu.


34/104

33


Dans cette perspective Cobit dfinit sept critres (exigences) dinformation, qui doivent tre vrifis :

Lefficacit : cest la mesure par laquelle linformationcontribue aux rsultats des processus

mtier par rapport aux objectifs fixs.

Lefficience : cest la mesure par laquelle linformationcontribue aux rsultats des processus

mtier au meilleur cot.

La confidentialit : cest la mesure par laquelle elle est protge des accs non autoriss.

Lintgrit : cest la mesure par laquelle linformationcorrespond la ralit de la situation.

La disponibilit : cest la mesure par laquelle linformationest disponible en temps voulu.

La conformit : cest la mesure par laquelle les processus sont en conformit avec les lois, les

rglements et les contrats.

La fiabilit : la mesure par laquelle linformation de pilotage est pertinente.

Afin de garantir ces exigences dinformation, contrler les SI et contribuer lamlioration de leurs

fonctionnements, Cobit 4.1 dploie trente-quatre processus informatiques interconnects (dclins en

plus de deux-cent activits) afin de grer et optimiser les diffrentes ressources des SI : personnes,

informations, applications et infrastructure. Ces processus sont groups en quatre domaines :

Planifier et Organiser (PO) : ce domaine traite les problmes du management global

(stratgique) des SI.Acqurir et Implmenter (AI) : ce domaine traite les problmes du management des projets

informatiques (il rassemble tous les processus qui impactent les ressources ds lacquisition

jusqu limplmentationdun lment du SI).

Dlivrer et Supporter (DS) : ce domaine traite les problmes du management des

services offerts aux clients de la DSI, tels que :

lexploitation informatique

la gestion de la scurit

la gestion des donnes et quipements

lassistance aux utilisateurs

Surveiller et Evaluer (SE): ce domaine permet dvaluer la conformit et la qualit des

processus Cobit et cela en vrifiant :

la surveillance de contrle interne (efficacit / efficience)

la gouvernance des SI

la gestion de la performance

le respect des normes rglementaires


35/104

34


Figure 11 : Le modle processus de cadre de rfrence Cobit 4.1


36/104

35


2)Les principaux lments de Cobit 4.1

Pour laborer et maintenir sa dmarche en matire daudit,de management et de gouvernance des SI

le cadre de rfrence Cobit 4.1 dfinit un grand nombre dlments et des concepts, dont lesprincipaux sont :

Les objectifs mtiers : ces objectifs traduisent ce quexigentles directions mtiers en matire

des SI. Ils ont pour but de garantir que les SI vont contribuer la performance de lentreprise

tout en orientant les objectifs informatiques dans ce sens.

Les objectifs informatiques : ce sont les objectifs propres aux SI, dfinis et grs par la DSI.

Ces objectifs ont pour but de grer lensemble des ressources constituant les SI, tout en

salignant sur les objectifs mtiers dans le cadre de la stratgie globale de lentreprise. Cesobjectifs se divisent en objectifs de processus et objectifs dactivits.

Les objectifs de contrle : ces objectifs sont relis aux processus de Cobit4.1, ils prsentent

les exigences minimales pour garantir un contrle efficace de chaque processus . Ils

expriment le rsultat ou le but atteindre par la mise en uvre dun ensemble de pratiques de

contrle pour chacun des processus. Ces objectifs sont exigs par la direction, mis en place par

la DSI et audits par les auditeurs et les professionnels dassurance.

Figure 12 : Le principe de cascade des objectifs de Cobit 4.1


37/104

36


Les mtriques : pour chaque objectif informatique, processus ou activit, Cobit4.1 offre un

ensemble de mesures afin dvaluer le degr datteinte de ceux ci (KGI(15)) et dautres mesures

pour valuer leurs performances (KPI(16)).

Les tableaux RACI (17): se sont des tableaux qui identifient pour chaque activit dun

processus le groupe dintervenants en dterminant ceux qui sont responsables, ceux qui

approuvent et ceux qui seront consults et/ou informs. Cobit4.1 identifie au moyen de ces

tableaux, dix-neuf rles et responsabilits gnriques pouvant se dcliner en postes et emplois

plus structurs. Cest un lment de management permettant de clarifier les responsabilits et

les tches, il est dordre indicatif et peut faire rfrence des instances comme : comit

stratgique informatique, comit de pilotage informatique .

Figure 13 : Le tableau RACI correspondant au processus PO10

Les entres et sorties des processus (Input /Output) : la dmarche Cobit4.1 est base sur un

ensemble de processus informatiques interconnects, pour chacun de ces processus un

ensemble de flux dentre et de sortie sont associs et dfinis. Ces lments permettent

dtablir les liens entre lensemble de cesprocessus dans le cadre dune approche systme.

(15)KGI ( key Goal Indicator ) ce sont des mesures de rsultat des processus qui informent le management a posteriorisi un processus informatique a rpondu aux exigences mtier.(16)KPI ( Key Performance Indicator ) ce sont des mesures qui dterminent quel point la performance dun processus

informatique lui donne la chance datteindre ses objectifs.(17) RACI : un tableau des rles et responsabilits qui prcise pour chaque activit dun des processus Cobit leResponsable, celui qui Approuve, le Consult et/ou lInform.


38/104

37


Les modles de maturit : dans une logique damlioration continue des processus

informatiques, Cobit4.1 prsente une chelle de maturit gradue en six degrs, pour suivre

leurs volutions. Chaque processus informatique mis en place peut passer par plusieurs stades

de maturit jusqu atteindre ltat optimal. Dans ce cycle, des valuations de maturit

priodiques (annuelles) permettent de localiser le niveau atteint dun processus (par exemple le

niveau trois Processus dfini ), et afin de le faire voluer vers le niveau de maturit suivant

(le niveau quatre Gr et mesurables ) Cobit4.1 offre des modles de maturit qui

prsentent titre indicatif des directives suivre par les managers.

Figure 14 : Lchelle de maturit des processus selon Cobit4.1

3)

Documentation et publications de Cobit 4.1

La documentation Cobit4.1 stale sur les diffrents besoins des SI en management, gouvernance,

contrle et audit. Les principaux documents et publications sont:

Le cadre de rfrence Cobit4.1 : ( Cobit4.1 Framework ) ce document reprsente lapproche

processus de Cobit4.1, ses lments constitutifs et les diffrents concepts lui sont associs.

Les objectifs de contrles ( Cobit and Application Control ) : cest lensemble desobjectifs

de contrle Cobit et les contrles dapplication issus de COSO et la charge de la DSI.

Le guide dimplmentation( Cobit Implementation Guide ) : un guide offrant une dmarchebien labore pour implmenter les processus Cobit4.1 et les diffrentes activits informatiques

qui en dcoulent. Cest un guide gnriquequi peut tre adapt par chaque entreprise quelque

soit sa taille ou son secteur dactivit selon ses besoins et ses objectifs stratgiques.

Le guide de management : ( Cobit Management Guide ) regroupe lensemble des tableaux

RACI, les flux dentre/sorties des processus et les modles de maturit (sous formes de

conseils et des directives), tous ces lments sont la destination des managers afin de mieux

grer les processus informatiques et faire voluer leurs niveaux de maturit.


39/104

38


Les pratiques de contrle ( Cobit Control practices : 2nd Edition ) : cest un ensemble des

pratiques de contrles tablies par des experts en rponses aux diffrents objectifs de contrle

Cobit. Ces pratiques sont la destination des managers fin de les aider implmenter des

objectifs de contrle et forment des lments sur lesquels les auditeurs informatiques peuvent

se baser pour valuer les objectifs de contrle implments.

Les bases de scurit de linformation ( Cobit Security Baseline : 2nd Edition ) : cest un

ensemble de conseils de management destins au conseil dadministration et la direction

gnrale pour les guider en matire de scurit de linformation. Ces conseils sontbass sur les

objectifs de contrle Cobit.

Le guide daudit( IT Assurance Guide: Using Cobit ) : ce guide offre aux auditeurs une

dmarche, des mthodes et des outils pour les aider dans la planification, la ralisation et la

conclusion de leurs diffrentes missions daudit tout en exploitant les lments de Cobit.

Figure 15 : La documentation Cobit 4.1 (18)

(18)Ce schma prsente les produits gnralement applicables et leur public principal. Il existe galement des produitsdrivs pour des fonctions particulires, tels que : Objectifs de contrle des SI pour SarbanesOxley, 2me dition , Gouvernance de la scurit de linformation: Recommandations destines aux conseils dadministration et aux

directions gnrales (dans des domaines scurit) et Cobit Quickstart pour les petites et moyennes entreprises ).(pour des entreprises spcifiques).


40/104

39


III. Lapproche Cobit 4.1 en matire dauditdes systmes dinformation

1)Les objectifs de contrle : un lment axial dans lapproche Cobit4.1

Ds son apparition le cadre de rfrence Cobit tait conu pour aider les auditeurs informatique

planifier et excuter des missions daudit, et mme en voluant vers dautres perspectives

managriale et stratgique (tel que la gouvernance) il a gard son volet audit proprement dit au

moyen dun lment axial: les objectifs de contrle .

Les objectifs de contrle permettent de dfinir les exigences minimales pour garantir un contrle

efficace de chaque processus informatique, ils stalent en un grand nombre de pratiques de

mémoire de stage - mise en oeuvre de l'approche cobit4.1 en matière d'audit des systèmes...

Documents