mise en page 1 · 2016-03-02 · de compte lors de l’élaboration du plan d’audit, tels que le...

Élaboration d’unplan d’audit des SI

Cette série de guides, rédigés dans des termes simples et traitant chacun d’un thème d’actualité concernant la gestion, lecontrôle et la sécurité des SI, constitue un précieux outil pour les responsables de l’audit interne, qui peuvent ainsi s’informersur les différents risques associés aux technologies de l’information et sur les pratiques recommandées.

Les contrôles des systèmes de l’infor-mationLes sujets abordés passent en revue lesconcepts du contrôle des SI, l’importancede ces contrôles, les rôles et responsabilitésdans l’organisation susceptibles d'assurerl’efficacité du contrôle des SI et des tech-niques de supervision.

Contrôles de la gestion du changementet des patchs : un facteur clé de la réus-site pour toute organisationDécrit les sources de changements et leursimpacts probables sur les objectifs de l’en-treprise, explique en quoi le contrôle duprocessus de gestion des changementsparticipe à la réduction des risques et descoûts des SI, et indique ce qui, dans lapratique, fonctionne ou pas.

Audit continu : Répercussions sur l’as-surance, le pilotage et l’évaluation desrisquesTraite du rôle de l’audit continu dans l’en-vironnement actuel d’audit interne, de larelation entre audit continu, surveillancecontinue et assurance continue, précise oùs’applique l’audit continu et examine lamise en place de l’audit continu.

Management de l’audit des systèmesd’informationDéfinit les risques liés aux SI et l’universd’audit, explique comment conduire unaudit des SI et gérer les ressources d’audit.

Le management et l’audit des risquesd’atteinte à la vie privéePrésente les principes et le cadre deprotection de la vie privée, un modèle derisques d’atteinte à la vie privée et lecontrôle du respect de la vie privée, le rôlede l’audit interne, les dix questions à seposer concernant la protection de la vieprivée lors de la mission d’audit, et bienplus encore.

Gérer et auditer les vulnérabilités destechnologies de l’informationAnalyse, entre autres, le cycle de gestiondes vulnérabilités, la délimitation de l’auditdes vulnérabilités et des indicateurs quipermettent d’évaluer les pratiques degestion des vulnérabilités.

L’infogéranceExamine comment choisir le bon presta-taire de services d’infogérance et présenteles principaux éléments à prendre encompte pour la maîtrise de l’infogérance,du point de vue des activités du client etde celles du prestataire de services.

Audit des contrôles applicatifsDéfinit la notion de contrôles applicatifs etles compare aux contrôles généraux infor-matiques, et indique comment déterminerl’étendue des revues de contrôles applica-tifs.

Gestion des identités et des accèsCouvre les principaux concepts relatifs à lagestion des identités et des accès, lesrisques y afférents, détaille l’audit duprogramme de gestion des identités et desaccès et présente un exemple de liste decontrôles à l’intention des auditeurs.

Gestion de la continuité d’activitéDéfinit la continuité d’activité, examine lesrisques pour l’entreprise et propose uneanalyse détaillée des impératifs associés auprogramme de continuité d’activité

Les contrôles dessystèmes de l’information

GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION

Contrôles de la gestion duchangement et des patchs :Un facteur clé de la réussite

pour toute organisation


Audit continu :Répercussions sur l’assurance,

le pilotage et l’évaluation des risques


Management de l’auditdes systèmes d’information


Le managementet l’audit des risques

d’atteinte à la vie privée


Gérer et auditer lesvulnérabilités des

technologiesde l’information

GUIDE PRATIQUE D AUDIT DES TECHNOLOGIES DE L INFORMATION


L'infogérance

Audit des contrôles

applicatifs


Gestion des identitéset des accès

La série complète peut être téléchargée sur le siteWeb de l’IIA : www.theiia.org/technology.

Gestion des identitéset des accès

www.theiia.org/technology

Copyright © 2008 par l’Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs,

Florida 32701-4201, États-Unis. Tous droits réservés. Aucune partie de cette publication ne peut être repro-

duite, stockée dans un système de consultation ou transmise sous quelque forme que ce soit, ni par aucun moyen

(électronique, mécanique, reprographie, enregistrement ou autre), sans l’autorisation préalable

de l’éditeur.

L’IIA publie ce document à titre informatif et pédagogique. Cette publication entend donner des infor-

mations, mais ne se substitue en aucun cas à un conseil juridique ou comptable. L’IIA ne fournit pas ce type

de service et ne garantit, par la publication de ce document, aucun résultat juridique ou comptable. En cas

de problèmes juridiques ou comptables, il convient de recourir à l’assistance de professionnels.

Élaboration d’un plan d’audit des SI

Auteurs

Kirk Rehage, Chevron Corporation

Steve Hunt, Crowe Chizek and Company LLC

Fernando Nikitin, Banque interaméricaine de développement

Juillet 2008

GTAG – Table des matières

11.. RRÉÉSSUUMMÉÉ ........................................................................................................................................................................................................................................................................................................ 11

22.. IINNTTRROODDUUCCTTIIOONN ........................................................................................................................................................................................................................................................................ 33

2.1 Processus d’élaboration du plan d’audit des SI ............................................................................... 4

33.. PPRREENNDDRREE EENN CCOOMMPPTTEE LL’’AACCTTIIVVIITTÉÉ .................................................................................................................................................................................................. 55

3.1 Une organisme unique ...................................................................................................................... 5

3.2 L’environnemnt opérationnel ............................................................................................................ 5

3.3 Facteurs liés à l’environnement des SI ............................................................................................. 6

44.. LLEESS RRIISSQQUUEESS DDEE LL’’EENNTTRREEPPRRIISSEE .......................................................................................................................................................................................................... 1100

4.1 Examiner le modèle d’activité ......................................................................................................... 10

4.2 Rôle des technologies d’appui ........................................................................................................ 10

4.3 Plans d’activité annuels ................................................................................................................... 10

4.4 Fonctions SI centralisées/décentralisées ......................................................................................... 11

4.5 Les processus de soutien des SI ...................................................................................................... 11

4.6 Conformité à la réglementation ...................................................................................................... 12

4.7 Définir les domaines soumis à l’audit ............................................................................................ 12

4.8 Les applications ................................................................................................................................ 13

4.9 Évaluer les risques ............................................................................................................................ 13

55.. PPRROOCCÉÉDDEERR ÀÀ UUNNEE ÉÉVVAALLUUAATTIIOONN DDEESS RRIISSQQUUEESS .............................................................................................................................................. 1144

5.1 Le processus d’évaluation des risques ............................................................................................ 14

5.2 Hiérarchiser les risques .................................................................................................................... 15

5.3 Principaux cadres de gouvernance des SI ...................................................................................... 16

66.. FFOORRMMAALLIISSEERR LLEE PPLLAANN DD’’AAUUDDIITT DDEESS SSII ............................................................................................................................................................................ 1199

6.1 Contexte du plan d’audit ................................................................................................................. 19

6.2 Demandes des parties prenantes .................................................................................................... 20

6.3 Fréquence des audits ........................................................................................................................ 20

6.4 Principes relatifs au plan d’audit ..................................................................................................... 21

6.5 Le contenu du programme d’audit des SI ...................................................................................... 21

6.6 Intégration du programme d’audit des SI ...................................................................................... 22

6.7 Validation du programme d’audit ................................................................................................... 22

6.8 La nature dynamique du programme d’audit des SI .................................................................... 23

6.9 Communiquer, obtenir le soutien de la direction et faire approuver le programme d’audit ..... 24

77.. AANNNNEEXXEE :: EEXXEEMMPPLLEE DD’’UUNNEE EENNTTRREEPPRRIISSEE FFIICCTTIIVVEE ...................................................................................................................................... 2266

7.1 L’entreprise ....................................................................................................................................... 26

7.2 Le plan d’audit des SI ...................................................................................................................... 26

GGLLOOSSSSAAIIRREE ............................................................................................................................................................................................................................................................................................................ 3322

LLIISSTTEE DDEESS AACCRROONNYYMMEESS ............................................................................................................................................................................................................................................................ 3344

ÀÀ PPRROOPPOOSS DDEESS AAUUTTEEUURRSS ........................................................................................................................................................................................................................................................ 3355

Sommaire

GTAG — Résumé

1. Résumé

À l’heure où la technologie fait plus que jamais partie desactivités et opérations d’une organisation, les auditeursinternes se heurtent à une difficulté de taille : quelle est lameilleure approche pour évaluer, à l’échelle de toute l’orga-nisation, les risques liés aux SI et les contrôles y afférentsdans le cadre de leurs missions générales d’audit et deconseil ? C’est pourquoi les auditeurs doivent prendre encompte l’environnement des systèmes d’information (SI) del’organisation, les applications et productions qui font partiede l’infrastructure des SI, le mode de gestion des applica-tions et opérations des SI et la relation entre ces applica-tions/opérations des SI et l’organisation.

En recensant les composants de l’infrastructure SI, l’au-diteur obtiendra des informations concernant les vulnérabi-lités de l’infrastructure. « L’évaluation des vulnérabilités ausein des infrastructures SI, qui sont susceptibles d’avoir uneinfluence sur le système de contrôle interne, commence par uninventaire complet du matériel, des logiciels, des réseaux etdes données. Ainsi, les systèmes et réseaux connectés à Inter-net sont exposés à des menaces supplémentaires par rapport àceux qui ne le sont pas.1 » Dès lors que l’environnement desSI est bien pris en compte, le responsable de l’audit interneet l’équipe d’audit interne peuvent procéder à l’évaluationdes risques et établir un plan d’audit.

De nombreux facteurs organisationnels entrent en lignede compte lors de l’élaboration du plan d’audit, tels que lesecteur dans lequel travaille l’organisation, son chiffre d’af-faires, le type et la complexité de ses processus ou encore lalocalisation géographique de ses opérations. Deux facteursont une incidence directe sur l’évaluation des risques et surla définition de ce qu’il convient d’auditer au sein de l’envi-ronnement du SI : les composantes et le rôle de ce dernier.Par exemple :

• Quelles technologies sont employées pour supporterles fonctions opérationnelles quotidiennes ?

• L’environnement du SI est-il relativement simple oucomplexe ?

• L’environnement du SI est-il centralisé ou décentra-lisé ?

• Dans quelle mesure les applications sont-ellespersonnalisées ?

• Les activités de maintenance des SI en général oubien certaines en particulier sont-elles externalisées ?

• A quel niveau se situe l’évolution annuelle du SI ?

Ces facteurs liés aux SI sont quelques-uns des aspectsque les responsables de l’audit interne et les auditeursinternes doivent prendre en compte pour pouvoir évaluercorrectement les risques de l’organisation afin d’établir leplan annuel d’audit.

De surcroît, il est important que le responsable de l’auditinterne et les auditeurs internes recourent à une approchequi détermine précisément la probabilité de survenance desrisques et leurs impacts en relation avec l’activité de l'orga-nisation et qui définisse les domaines à risque élevé, moyenet faible, via des analyses quantitatives et qualitatives.

Il y a en permanence des innovations et des évolutionsdans le domaine des SI. Malheureusement, ces changementspeuvent entraver les efforts des auditeurs visant à identifieret à évaluer l’impact des risques. Pour aider les auditeursinformatiques, les responsables de l’audit interne peuvent :

• mesurer chaque année l’évolution spécifique de lamise en œuvre des technologies de l’information (TI),afin d’identifier celles qui pourraient avoir une inci-dence sur l’exposition aux risques de l’organisation ;

• prendre connaissance chaque année des plans à courtterme du département informatique, et déterminerquelles peuvent en être les conséquences sur l’éva-luation des risques liés aux SI ;

• commencer chaque audit des SI en actualisant l’éva-luation des risques associés ;

• faire preuve de souplesse vis-à-vis de l’univers d’au-dit des SI ; surveiller le profil de risque de l’organisa-tion et être prêt à adapter les procédures d’audit à sonévolution2.

Il existe plusieurs référentiels de gouvernance des SIsusceptibles d’aider les responsables de l’audit interne et leséquipes d’audit interne à définir l’approche d’évaluation durisque la mieux appropriée. Ces référentiels peuvent, enoutre, aider les auditeurs à déterminer où se situent lesrisques au sein de l’environnement et donner des orienta-tions sur la manière de gérer ces risques. Parmi les référen-tiels de gouvernance des SI les plus courants, citons COBIT,ITIL (IT Infrastructure Library de l’Office of GovernmentCommerce britannique) et la série des normes 27000 del’Organisation de normalisation internationale (ISO).

Le responsable d’audit interne et les auditeurs internesvont pouvoir déterminer les domaines à auditer et lafréquence en se basant sur une cartographie des processus,l'inventaire et la prise en compte de l’environnement du SIet l’évaluation des risques à l’échelle de l’organisation. CeGTAG donne des informations susceptibles d’aider ces inter-venants à identifier les domaines d’audit liés à l’environne-ment du SI comme faisant partie intégrante de son universd’audit.

Étant donné que le fonctionnement de l'organisationdépend fortement des SI, il est essentiel en effet que leresponsable de l’audit interne et les auditeurs internes

1

1 GTAG 1 Les contrôles des systèmes de l’information, p. 19.2 GTAG 4 Management de l’audit des systèmes d’information, p.7-8.

GTAG — Résumé

sachent comment élaborer un plan d’audit et pour chaqueélément quelle doit en être la fréquence, ainsi que l’étendueet la profondeur.

A cette fin, le présent GTAG peut aider les responsablesde l’audit interne et les auditeurs internes à :

1. prendre en compte l’activité générale de l’entrepriseet la part des SI dans le support opérationnel ;

2. définir et prendre en compte l’environnement de SI ;

3. identifier le rôle de l’évaluation des risques dans ladélimitation de l’univers d’audit interne ;

4. formaliser le plan annuel d’audit des SI.

Enfin, ce GTAG utilise l’exemple d’une organisationfictive pour montrer aux responsables de l’audit interne etaux auditeurs internes comment mettre en œuvre les étapesnécessaires à la délimitation de l’univers d’audit.

2

GTAG — Introduction

2. Introduction

L’une des principales attributions du responsable de l’au-dit interne, qui est aussi l’une de ses missions les plus déli-cates, consiste à élaborer un plan d’audit pour l’organisation.Comme l’explique la Norme 2010 de l’IIA (The Institute ofInternal Auditors), « le responsable de l’audit interne doitétablir une planification fondée sur les risques » au moinsune fois par an, afin de déterminer les priorités d'interven-tion, qui doivent elles-mêmes se conformer aux stratégies etobjectifs de l’organisation. En outre, le responsable de l’au-dit interne doit envisager des missions de conseil en fonctionde la valeur ajoutée qu’elles pourraient apporter et desprogrès qu’elles pourraient induire dans les opérations et lesactivités de management des risques de l’organisation. Cesactivités ont été documentées dans l’étude 2006 du CommonBody of Knowledge (CBOK, base commune de connais-sances) de l’IIA Research Foundation. Celle-ci a observé quepresque tous les responsables de l’audit interne interrogésplanifiaient leurs activités d’audit au moins une fois par an,et que 36,4 % actualisaient leur programme de missionsplusieurs fois par an (figure 1).

Pour élaborer un plan d’audit fondé sur le risque, leresponsable de l’audit interne devra d’abord procéder à uneévaluation des risques portant sur l'ensemble de l’organisa-tion. L’évaluation adéquate des risques liés aux SI, compo-sante essentielle de l’évaluation globale des risques,constitue un volet essentiel de la gestion des risques. C’estun facteur déterminant pour mettre en place desprogrammes de missions efficients. « Pour de nombreusesorganisations, l’information et la technologie sur laquelle ellerepose représentent leur actif le plus précieux. En outre, étantdonné que les entreprises évoluent dans un environnementconcurrentiel et en constante mutation, la direction exprime,vis-à-vis des fonctions gérant et mettant en œuvre le SI, unniveau d'exigence croissant à travers : une qualité de serviceen constante amélioration, des fonctionnalités et une facilité

d’utilisation accrues, un raccourcissement des délais, le toutalors que les coûts doivent être comprimés.3 »

Quelles que soient la méthodologie retenue et lafréquence des activités de planification de l’audit, le respon-sable de l’audit interne et l’équipe d’audit interne devrontprendre en compte l’environnement du SI avant de procéderà l’audit. La plupart des activités d’une organisation fontappel à la technologie. Qu’il s’agisse de la collecte, du trai-tement et de la communication d’informations comptables,ou bien de la fabrication, de la vente ou de la diffusion deproduits, quasiment toutes les activités d’une organisationreposent, à plus ou moins grande échelle, sur la mise enœuvre de moyens technologiques. Ces derniers ont vu leurrôle évoluer : elle n’est plus seulement un support opéra-tionnel pour les processus de l’organisation, mais fait partieintégrante du contrôle des processus. Le contrôle interne desprocessus et des activités reposent ainsi de plus en plus surla technologie, dont les déficiences ou le manque d’intégritéont un impact important sur l'atteinte des objectifs et la réali-sation des opérations de l'entreprise.

Toutefois, l’élaboration d’un plan d’audit des SI efficace,fondé sur le risque, est une tâche difficile pour les auditeursinternes, surtout lorsqu’ils n’ont pas une connaissance suffi-sante des SI.

Les résultats de plusieurs revues d’assurance qualitéexternes de l’IIA font apparaître que l’un des points faiblesdes activités d’audit interne concerne la réalisation d'un pland’audit des SI. Bien souvent, au lieu de réaliser des auditsfondés sur les risques, les auditeurs internes examinent cequ’ils savent déjà ou sous-traitent à d’autres entreprises, leslaissant décider de ce qu’il convient d’auditer.

Le présent guide propose des techniques pour résoudrece problème, à savoir comment déterminer sur quoi devraitporter l’audit des SI et comment organiser ces domaines en

3

3 IT Governance Institute, Control Objectives for Information andRelated Technology (COBIT), troisième édition, p. 5.

Plusieurs fois par anPas de plan d'auditDavantage que tous les deux ansTous les deux ansTous les ans

CQ25a(Q30) : À quelle fréquence actualisez-vous le plan d'audit ?

Source : A Global Summary of the Common Body of Knowledge 2006, Yhe IIA Reseach Foundation. Reproduit avec l'autorisation de l'auteur.

36%

3%0%

1%

60%

Figure 1. Fréquence des actualisations des plans d’audit.

GTAG — Introduction

éléments d’audit gérables, afin d’élaborer un programme demissions efficace.

2.1 Processus d’élaboration du pland’audit des SI

La définition du plan annuel d’audit doit respecter unprocessus systématique si l’on veut être sûr que tous lesaspects fondamentaux de l’activité et les activités de supportde la DSI sont bien compris et pris en compte. En consé-quence, il est essentiel que le plan s’appuie sur les objectifs,les stratégies et le modèle d’activité de l’organisation. Lafigure 2 décrit la progression logique des flux de travailpermettant, au moyen d’une approche du général au parti-culier (top-down), de définir le plan d’audit des SI qui serautilisé dans ce guide.

La première étape pour définir le programme demissions annuel portant sur le SI, consiste à prendre encompte l’activité de l'organisation. Durant cette étape, lesauditeurs doivent identifier les stratégies, les objectifs de l’or-ganisation et ses modèles d’activité, afin de prendre encompte les risques spécifiques associés à l’activité de l’orga-nisation. L’équipe d’audit se doit aussi d’appréhendercomment le traitement des opérations et les fonctionssupport de la DSI concourent à l'activité de l’organisation.

Ensuite, les auditeurs doivent définir le champ d'actionspécifique de l'audit (ou univers d’audit). Ceci peut êtreréalisé, au moyen, d’une approche descendante qui identifie :

les principaux objectifs et processus, les applications impor-tantes qui concourent à l'activité des processus métiers, l’in-frastructure supportant les traitements applicatifs, le modèled'intervention et d'organisation de la DSI et le rôle desmoyens technologiques partagés, tels que les périphériquesréseau. Grâce à cette approche, associée à la prise en comptedes processus de support et des projets d’implémentation,les auditeurs seront en mesure de faire un inventaire completde l’environnement SI de l'organisation. C'est à partir de cetinventaire que se réalisera l’évaluation des vulnérabilitéssusceptibles d’avoir une incidence sur les contrôles internes.

Une fois que les auditeurs ont une idée précise de l’en-vironnement du SI, la troisième étape consiste à évaluer lesrisques, c’est-à-dire à déterminer la probabilité de survenued’un événement, susceptible d’empêcher l’organisation d’at-teindre ses buts et objectifs de façon efficace, efficiente etmaîtrisée.

Les informations et l’analyse tirées de la compréhensionde l’organisation, de l’inventaire de l’environnement du SIet de l’évaluation des risques nourrissent la dernière étape,à savoir la formalisation du plan d’audit. Le plan d’audit apour objectif de déterminer l’axe des missions d’assuranceet de conseil des auditeurs afin de procurer à la directiongénérale des informations objectives lui permettant de gérerles risques et l’environnement de contrôle de l’organisation.

La suite de ce guide décrit ces quatre étapes et montrecomment définir un plan d’audit des SI efficace.

4

Prendre en compte l’activité Dé!nir l’univers des SI

Procéder à une évaluation des risques

Formaliser le plan d’audit (programme de missions)

• Identifier les stratégies etobjectifs de l’organisation

• Prendre en compte ce quiprésente un profil de risqueélevé pour l’organisation

• Prendre en comptecomment l’organisationstructure ses opérations

• Prendre en compte lemodèle de fonctionnementde la DSI comme support del'activité de l'entreprise

• Analyser les fondamentauxde l’activité

• Identifier les applicationsimportantes qui concourentau traitement des opéra-tions de l’organisation, entenant compte du rôle desmoyens technologiquesintervenant dans ce traite-ment

• Identifier l’infrastructurecritique pour les applica-tions importantes

• Identifier les grands projetset initiatives

• Définir des thèmes d’auditréalistes

• Mettre au point des proces-sus d’identification desrisques

• Évaluer les risques spéci-fiques au SI et classer lesthèmes d’audit à partir desfacteurs correspondants

• Sélectionner les thèmesd’audit retenus et les grou-per en missions d’auditdistinctes

• Définir le cycle d’audit et safréquence

• Ajouter des missions répon-dant aux demandes de ladirection ou constituant desopportunités pour remplirune mission de conseil

• Valider le plan avec la direc-tion

Figure 2. Le processus d’élaboration du plan d’audit des SI.

GTAG — Prendre en compte l’activité

3. Prendre en compte l’activité

Il est capital de commencer avec la bonne perspectivepour pouvoir définir un plan d’audit efficace. C’est pourquoi,il faut garder à l’esprit que le seul but de la technologie estde constituer un levier pour mieux atteindre les objectifs del’organisation, sachant que toute défaillance du SI va à l'en-contre de ce but et constitue un risque pour l’organisationde ne pas les atteindre. Il est donc important de commencerpar prendre connaissance des objectifs, stratégies et modèlesd’activité de l’organisation, ainsi que la place des moyenstechnologiques dans son développement. Pour ce faire, ilfaut identifier les risques associés aux technologies mises enœuvre, et déterminer comment chacun d'eux peut entraverla réalisation des objectifs de l’organisation. On aboutiraainsi à une évaluation plus significative et plus utile pour ladirection générale.

En outre, l’auditeur doit se familiariser avec le modèled’activité de l’organisation. Chaque organisation ayant unemission distincte et des buts et objectifs qui lui sont propres,le modèle d’activité aide l’auditeur à identifier les produitsou services que propose l’organisation, ainsi que sa base declientèle, ses chaînes d’approvisionnement, ses processus defabrication ou de production et ses mécanismes de mise àdisposition. S’il dispose d’une connaissance approfondie deces éléments, il pourra prendre en compte les risques spéci-fiques à l’organisation, ainsi que la manière dont les moyenstechnologiques mis en œuvre interfèrent sur le fonctionne-ment, comme sur l'exposition aux risques, de l’organisation.

3.1 Une organisation uniqueChaque organisation est différente. Les organisations

d’un même secteur n’auront pas toutes le même modèled’activité, des objectifs et des structures identiques, ni lesmêmes environnements et schémas de mise en œuvre du SI.C’est pourquoi, les plans d’audit doivent être conçus spéci-fiquement pour chaque organisation. En outre, l’importanceque revêt la technologie peut varier au sein d’une mêmebranche. Prenons, par exemple, les entreprises qui assem-blent et vendent des ordinateurs personnels. Outre qu’ellesrecourent à différents modèles d’activité, elles s’appuient demanière différente sur la technologie pour atteindre leursobjectifs. Par exemple, le modèle de distribution traditionnelconsistant à passer par des magasins physiques et des reven-deurs, nécessite l’utilisation d’une technologie pour gérer lesopérations et la comptabilité. Les entreprises qui vendentleurs produits sur Internet sont bien plus dépendantes de latechnologie. En conséquence, le flux de recettes des entre-prises en ligne dépend de la disponibilité des SI critiques, cequi augmente aussi le niveau de risques liés au SI. Commel’illustre cet exemple, la manière dont une organisation

mobilise ses ressources et moyens technologiques induit unensemble spécifique de risques.

3.2 L’environnement opérationnel

Pour se familiariser avec une organisation, les auditeursdoivent d’abord prendre en compte les objectifs et savoircomment les processus sont structurés pour atteindre sesobjectifs (figure 3).

Les auditeurs peuvent exploiter diverses ressourcesinternes pour identifier et prendre en compte les buts etobjectifs de l’organisation, notamment :

• les énoncés de la mission, de la vision et des valeurs ;• les plans stratégiques ;• les plans annuels de prévision de l'activité ;• le tableau de bord de performance du management ;• les rapports aux actionnaires et annexes ;• les documents requis par la réglementation, tels que

ceux soumis à l’autorité de contrôle prudentiel (ACP).

Une fois que les objectifs stratégiques de l’organisationau niveau de l’entité ont été bien appréhendés, l’étapesuivante consiste à identifier les principaux processuscritiques pour atteindre les objectifs. Pour ce faire, les audi-teurs ont besoin d’appréhender en quoi chaque processusdiffère au sein des directions opérationnelles, des fonctionsd’appui et des grands projets à l’échelle de l’organisation,ainsi que la relation entre ces processus et les objectifs del’entité.

Les processus liés aux projets jouent un rôle spécifique,mais tout aussi important, lorsque l’on veut s’assurer que lesinitiatives, créatrices de valeur pour l’organisation, sontgérées et commercialisées correctement. Un processus estqualifié de processus clé à partir du moment où son dysfonc-tionnement empêche l’organisation d’atteindre pleinementles objectifs auxquels ce processus est associé. Les directionsfonctionnelles exécutent des processus clés par lesquels l’or-ganisation réalise ses objectifs premiers, comme les activitésde fabrication, de vente et de distribution. Les fonctions desupport incluent les processus de management qui permet-tent de superviser et de soutenir les fonctions opération-nelles clés, comme les activités de gouvernance et deconformité, le financement, les ressources humaines, lacomptabilité, la gestion de trésorerie et l’approvisionnement.

Une fois ces processus identifiés, les auditeurs dégagentles applications importantes et les infrastructures SI critiques(par exemple, les bases de données, les systèmes d’exploita-tion, les réseaux et les environnements physiques) qui lessoutiennent. Ces applications et infrastructures, notammentle développement des systèmes, la gestion des changements,les activités opérationnelles et les activités de sécurité, sontsous-tendues par des processus d’appui des SI. Les auditeurs

5


devront noter que les applications appellent des évaluationspériodiques, en fonction de leur importance pour la commu-nication d’informations financières, la conformité à la régle-mentation ou les besoins opérationnels.

Un tel examen de l’environnement opérationnel (c’est-à-dire en partant du sommet de l’organisation) aidera les audi-teurs à en appréhender et en inventorier toutes lescomposantes critiques. Pour pleinement prendre en comptel’environnement opérationnel et les risques associés, il fautaussi considérer chacun des facteurs technologiques quiexercent une influence sur l'exposition aux risques de l’or-ganisation, ce qui permet de hiérarchiser ces risques.

3.3 Facteurs liés à l’environnement des SI

Pour bien prendre en compte l’environnement opéra-tionnel et les risques qui y sont associés, différents facteurset techniques d’analyse seront pris en considération. En effet,la complexité de l’environnement de contrôle d’une organi-sation aura une incidence directe sur son profil de risqueglobal et son système de contrôle interne. Il y a plusieursfacteurs importants à prendre en compte :

1. Le niveau de centralisation du système et decentralisation géographique (distribution desressources SI). Le type d'activités exercées par l'or-

6

CONTRÔLES GÉNÉRAUX

DES SI

• Développement des systèmes

• Gestion des changements

• Accès logique• Contrôles

physiques• Services et

processus de support

• Sauvegarde et restauration

• Sécurité

LA CHAÎNE DE VALEUR DES ACTIVITÉS

OPÉRATIONS PROJETSFONCTIONS SUPPORT

LES PROCESSUS LIÉS À L’ACTIVITÉ

PROCESSUS OPÉRATIONNELS PROCESSUS FONCTIONNELS PROCESSUS LIÉS AUX PROJETS

Fabrication Vente Distribution Finances SI

Paie Communi-

cation !nancière

Gestion de la

trésorerieConception Économie

… …

APPLICATIONS

APPLICATION A APPLICATION B APPLICATION C

INFRASTRUCTURE SI

BASE DE DONNÉES

SYSTÈME D’EXPLOITATION

RÉSEAU/ENVIRONNEMENT PHYSIQUE

CONTRÔLES APPLICATIFS

• Autorisation • Intégrité• Disponibilité• Con!dentialité• Séparation des

tâches

Figure tirée et adaptée de : IT Control Objectives for Sarbanes-Oxley, 2e édition, avec l’aimable autorisation de l’IT Governance Institute (ITGI). © 2006 ITGI. Tous droits réservés.

Figure 3. Prendre en compte l’environnement du SI de l'organisation.


ganisation peut avoir une influence sur la structure etle fonctionnement de la DSI. Par exemple, des orga-nisations qui opèrent avec des unités d’affairesdécentralisées disposant d’une certaine autonomiepour les décisions opérationnelles peuvent se carac-tériser par un SI décentralisé, par une plus grandediversité d’applications et par une plus grande variétéde produits déployés. À l’inverse, dans les organisa-tions plus centralisées, les auditeurs peuvent trouverdes applications propres à l’organisation et une infra-structure SI centralisée. Les risques n’étant pas lesmêmes selon que l’organisation se trouve à un boutou à l’autre du spectre des possibilités de centralisa-tion, les réponses de l’audit auront à être adaptées enconséquence.

Lorsque l’on définit l’univers d’audit des SI, il fautveiller à aligner les différents audits sur la fonction dedirection qui est in fine responsable de ce domaine.Une organisation centralisée des systèmes d'infor-mation de l'organisation peut permettre de définirdes audits moins nombreux, mais peut-être plusétendus, axés sur les technologies et les applicationsclés de l’organisation. À l’inverse, une organisationdécentralisée pourrait conduire à démultiplier lesmissions d’audit, de façon à s'aligner sur le partagedes responsabilités au niveau de la direction.

2. Les technologies déployées. La diversité des archi-tectures techniques mises en œuvre dans l'organisa-tion déterminera l’ampleur des connaissances tech -niques requises au sein du service d’audit interne,ainsi que le nombre de domaines spécifiques qu’ilfaudra examiner. Cette diversité peut se retrouver àchaque niveau de la structuration du SI « pile de SI »,c’est-à-dire pour chaque composante principale del’infrastructure technique d’une application : codesde programmes, bases de données, systèmes d’ex-ploitation et infrastructure réseau.

Ainsi, le code d’un programme applicatif comprendl’ensemble des programmes informatiques, fichiersde contrôle, tables et interfaces utilisateur qui luiconfèrent des fonctionnalités répondant à des tâchesspécifiques, telles que la comptabilité, la paie ou lesachats. D’autres applications pourraient gérer desinformations critiques pour l’organisation, par exem-ple des données sur des projets d’ingénierie, desinformations juridiques ou des données médicalessur les membres du personnel. L’organisation peutégalement disposer d’applications qui supervisent lesprocessus industriels, généralement appelées sys-tèmes de « contrôle des processus ».

Pour leur part, les systèmes de bases de données(SGBD) permettent le stockage, la modification etl’extraction de données (par exemple, Oracle, Micro-soft SQL Server ou DB2), tandis que les systèmesd’exploitation exécutent les tâches élémentaires dutraitement informatisé, notamment l'acquisition desdonnées saisies par l’opérateur, la gestion de lamémoire interne ou celle des supports (lecture, écri-ture), l’affichage ou, de façon générale, tous les péri-phériques. Plusieurs variantes de Windows et d’UNIXpeuvent être installées comme systèmes d’exploita-tion sur les ordinateurs et les serveurs. Les terminauxde poche, comme les assistants personnels numé-riques ou les téléphones cellulaires, ont égalementbesoin d’un système d’exploitation.

Enfin, les réseaux mettent en relation des serveurs etdes postes de travail pour leur permettre de commu-niquer entre eux. Ils sont constitués de composantsphysiques, tels que des commutateurs, des routeurs,des pare-feux ou du câblage, et de programmes quicommandent le routage des paquets de données. Lesréseaux peuvent également être déployés au moyend’une technologie de radiofréquences. On parle alorsgénéralement de réseaux sans fil.

Chaque couche de structuration du SI participe autraitement automatisé de l'information, mais induiten même temps des risques relevant de la disponibi-lité, l’intégrité et la confidentialité des données. Leniveau de risque est fonction, d’une part, du degréd’importance pour l’organisation du domaine d'acti-vité concerné par les moyens technologiques encause et, d’autre part, de leur configuration commede leur déploiement. En conséquence, plus la diver-sité de ces couches est grande, plus le profil de risquede l’organisation est élevé. Par exemple, le serviceinformatique aura moins de difficultés à gérer unenvironnement homogène de serveurs Windows2003, administrant une base de données avec SQLServer pour une unique application ERP (progiciel degestion intégrée) qu’à gérer plusieurs systèmes d’ex-ploitation et plateformes de bases de donnéessupportant diverses applications. Même s’il paraîtidéal, le premier scenario n’est guère réaliste dansune grande organisation où les opérations sontdiverses et le modèle d’activité décentralisée. Lorsquel’on définit l’univers d’audit, il convient d’identifier etd’évaluer les éléments critiques des SI suivant lestechniques d’analyse descendantes décrites dans leprésent guide.

7


3. Le degré de personnalisation.En général, une miseen œuvre de moyens technologiques personnalisésen complexifie la gestion, tandis que l'adoption d'unlogiciel standard permet de recourir essentiellementau support technique du fournisseur, qui est censédétenir une connaissance et une expertise très poin-tues sur ses produits. Lorsqu’un fournisseur modifiequelque chose (applications, systèmes d’exploitationou autres logiciels), de façon à répondre aux besoinset processus de l’organisation, il en est largementpropriétaire et davantage de risques sont à prendreen compte. En règle générale, les organisationsdoivent effectuer une analyse coûts-avantageslorsqu’elles décident d'adapter à leurs propres spéci-fications le logiciel d’un tiers, sans intégrer pourautant, durant cette analyse, certains aspects ducontrôle. En outre, pour auditer les implémentationspersonnalisées, les auditeurs doivent posséder uneplus grande connaissance technique.

4. Le degré de formalisation des politiques et réfé-rentiels de l’organisation (gouvernance des SI,par exemple).Une démarche de gouvernance des SIa pour objectif de permettre à l’organisation de mieuxgérer au quotidien ses activités et risques liés aux SIaux moyens de politiques et référentiels. Ainsi, lespolitiques et référentiels formalisés, mis en œuvre autitre de la gouvernance des SI, contribuent à instau-rer un environnement de contrôle plus efficace, cecise vérifiant davantage si ces politiques et référentielssont communiqués, compris, pilotés, surveillés etactualisés par la direction générale.

Les politiques énoncent des principes fondamentaux,qui correspondent aux objectifs opérationnels de ladirection générale ; elles entendent avoir un effet àlong terme en encadrant l’élaboration des règlesapplicables à des domaines spécifiques, ayant pourobjet de les interpréter et de les renforcer au moyende référentiels de contrôle et de consignes. Du pointde vue des SI, les politiques fournissent les directivesémanant de la direction générale sur des thèmesconcernant les droits attachés à la propriété intellec-tuelle, la protection des données, le respect de la vieprivée à travers l'acquisition, la conservation ou ladiffusion d'informations à caractère personnel, afinde garantir la conformité aux lois et réglementations.

Pour leur part, les référentiels décrivent un processusou une procédure obligatoire et donnent des orien-tations plus précises sur la manière de se conformeraux principes fondamentaux auxquels ils se réfèrent.Les référentiels portant sur les SI sont généralementneutres du point de vue de la technologie, mais

peuvent être affinés au moyen de consignes et procé-dures (procédures ou réglages de configuration) quidéfinissent comment le référentiel doit être mis enœuvre vis-à-vis de telle ou telle technologie.

En règle générale, les organisations doivent définirun processus de mise à jour continue de toutes lespolitiques et de tous les référentiels les plus récentsque la réglementation rend obligatoires. Par exemple,les récents changements, aux États-Unis, dans lesrègles fédérales de procédure civile qui régissent laproduction de preuves devant les tribunaux portentsur la découverte et la production d’informationsstockées électroniquement. En raison de ces change-ments, l'exposition au risque d’une organisationdépend en partie du respect des politiques et réfé-rentiels actualisés relatifs à la conservation des enre-gistrements, qui visent la gestion des informationsstockées électroniquement.Il existe différents cadres et méthodologies degouvernance des SI, dont le COBIT, la Norme ISO27002 sur le management de la sécurité de l’infor-mation, le référentiel « La gestion du contrôle de l’in-formatique » de l’Institut canadien des comptablesagréés (ICCA) et la norme Standard of Good Practicefor Information Security de l’Information SecurityForum.Ces référentiels méthodologiques permettentde spécifier les objectifs et domaines de contrôle dansl’ensemble de l’environnement de contrôle4. Lesorganisations peuvent adopter l’un de ces référentielsou s’en inspirer pour développer leur propre disposi-tif de gouvernance du SI. La section 5.3 propose desinformations sur les bonnes pratiques en la matière,afin d’aider les organisations à évaluer le contenu etl’efficacité de ces référentiels.

5. Le degré de réglementation et de conformité.Dans les secteurs fortement réglementés, les organi-sations présentent généralement un profil de risqueélevé en regard des conséquences potentielles denon-conformité par rapport aux exigences réglemen-taires auxquelles elles sont soumises. Toutefois, lesorganisations qui réussissent dans des secteurs forte-ment réglementés se caractérisent également par unenvironnement de contrôle très développé intégrantune supervision efficace de la part de la directiongénérale, le tout étant susceptible de conférer uneconformité permanente se traduisant par une expo-sition au risque moins élevée. Les exigences régle-mentaires pesant sur l’organisation doivent donc être

8

4 Pour des informations complémentaires sur ces référentiels etd’autres, voir le GTAG 5 Contrôle des systèmes d’information, p. 23.


prises en compte, de manière appropriée, dans leniveau d'exposition au risque de l’organisation etdans l’univers d’audit des SI. Par exemple, aux États-Unis, toutes les organisations enregistrées auprès dela SEC doivent, aux termes de la loi Sarbanes-Oxleyde 2002, faire état de l’efficacité de leurs contrôlesinternes relatifs à la communication d’informationsfinancières. Cette législation a également instauré lePublic Company Accounting Oversight Board(PCAOB), qui a pour objet de guider les commissairesaux comptes dans la manière d’auditer ce type decontrôles internes. Parmi les autres réglementations,on peut citer l’Accord de Bâle (Bâle II), qui s’appliqueau secteur financier, ainsi qu’un nombre croissant delois et réglementations sur la protection de la vieprivée et des données, telles que la directive euro-péenne sur la protection des données, la loi améri-caine Gramm-Leach-Bliley (GLBA), la loi HealthInsurance Portability and Accountability (HIPAA) etle Payment Card Industry Data Security Standard(PCI DSS).

6. Le degré et le mode d’externalisation. Le recours àl'infogérance progresse dans beaucoup d’organisa-tions, en raison du coût élevé et de l’expertise requisepour les services sous-traités qui ne font pas partiedu cœur de métier de l'organisation (le GTAG : L’In-fogérance propose une analyse détaillée des différentsmodes d’infogérance et du niveau de risque qui y estassocié5). S’agissant de l’infogérance, il est importantque les auditeurs prennent en compte les différentsrisques émanant du mode d’externalisation lorsqu’ilsélaborent leur plan d’audit des SI. Les principauxfacteurs qui interviennent sont la manière dont ladirection générale envisage son rôle de supervisionet de pilotage, la maturité du dispositif (par exemple,processus en phase d’installation ou bien consolidé),les risques spécifiques au pays, ainsi que la complé-mentarité des plans de continuité d’activité à la foisde l’organisation et du prestataire.

7. Le degré de standardisation des opérations. Lesprocessus et procédures opérationnelles recouvrentl’ensemble du cycle de développement des systèmes,ainsi que les activités de gestion des configurations,des changements, des incidents, des opérations et dela sécurité. À l’instar du degré de centralisation et dediversité des technologies déployées, le niveau destandardisation des opérations peut avoir une inci-dence sur la fiabilité et l’intégrité de l’infrastructure

SI et sur chacun de ses composants. Par conséquent,les organisations qui adoptent des processus stan-dardisés sur l’ensemble des fonctions de prestationde services améliorent leur capacité à opérer en tantqu’organisation hautement performante.

L’ITIL, ensemble de concepts et de techniques pour lagestion des infrastructures SI, ainsi que pour le déve-loppement et la mise en place d’un nouveau systèmeinformatique et le traitement automatisé des infor-mations, est un exemple de pratique standardisée.Les publications de l’ITIL les plus largement utiliséeset comprises sont celles se rapportant à la prestationde service et l'activité de support. L’un des principauxavantages de l’ITIL est qu’il établit un glossairecommun de termes couramment utilisés. Les organi-sations qui mettent en œuvre les concepts de l’ITILaffichent une fiabilité plus grande et des coûts deprestation moins élevés.

8. Le degré de dépendance technologique. Certainesorganisations sont de grandes utilisatrices de tech-nologies ou les utilisent pour se démarquer de leurspairs ou de leurs concurrents. Si un recours accru auxtechnologies de traitement de l'information peutaméliorer globalement le système de contrôle interne,en particulier grâce aux contrôles applicatifs automa-tisés, plus la dépendance aux SI est importante, plusune forte gouvernance et de solides processus opéra-tionnels internes sont nécessaires. En outre, lorsqueles organisations dépendent fortement de la dispo-nibilité et de l’intégrité des fonctions automatisées àtravers le SI, pour traiter leurs opérations et atteindreleurs objectifs, la part des risques liés aux SI dans leprofil de risque général de l’organisation augmente.Par conséquent, la nature et le degré de dépendancede l’organisation vis-à-vis de la technologie doiventêtre mis en exergue dans l’évaluation des risquesconstituant un préalable pour l'élaboration du pland’audit des SI.

Ces huit facteurs liés à l’environnement de SI, conjuguésà l’approche descendante employée pour prendre en compteles traitements opérationnels et l’infrastructure SI, constitueun socle indispensable pour passer à l’étape suivante duprocessus de planification de l’audit, à savoir la définition del’univers d’audit et l’évaluation des risques.

9

5 GTAG 7 : L’Infogérance.

GTAG — Définir l’univers d’audit des SI

4. Définir l’univers d’audit des SI

Définir ce qu’il convient d’auditer est l’une des tâches lesplus importantes de l’audit interne, étant donné que leprogramme annuel d’audit des SI aura un impact considé-rable sur la performance globale du service d’audit interne.Par conséquent, le but ultime du plan d’audit des SI est d’as-surer une couverture adéquate des domaines qui représen-tent la plus grande exposition au risque et, ceux quireprésentent un enjeu majeur pour les auditeurs dans l'ap-port qu'il constitue en matière de valeur ajoutée à l’organi-sation.

L’une des premières étapes vers un plan d’audit des SIefficace consiste à définir l’univers d’audit des SI, c’est-à-dire un ensemble fini et exhaustif des domaines d’audit,schéma structurel des entités opérationnelles et localisationdes activités réalisées par l'organisation, qui représentent lescibles d'audit permettant de donner une assurance appro-priée sur le niveau de maîtrise des risques auxquels l’orga-nisation est exposée. Lors de cette première étape,l’identification des domaines d’audit potentiels, au sein del’univers d’audit, se fait indépendamment du processusd’évaluation des risques. Les auditeurs auront consciencedes audits qui peuvent être réalisés avant de réaliser uneévaluation et une hiérarchisation des risques aboutissant àun programme annuel d'audit. La définition de l’universd’audit des SI nécessite une connaissance approfondie desobjectifs de l’organisation, du modèle d’activité et des pres-tations assumées par la DSI.

4.1 Examiner le modèle d’activité Pour les organisations, l'atteinte des objectifs repose sur

le fonctionnement des diverses directions opérationnelles etfonctionnelles, à travers les processus spécifiques qu'elles ontà gérer afin d'atteindre leurs propres objectifs, en liaisonnéanmoins avec les autres entités. Si l’on revient à l’exempledes entreprises qui assemblent et vendent des ordinateurs,une entreprise traditionnelle dans ce secteur se compose deplusieurs usines d’assemblage situées dans différents pays,d’unités de vente et de marketing, ainsi que de différentesfonctions de gestion et de support. Les directions de vente etmarketing, par exemple, ont mis en place des processus pouraccepter, réaliser et facturer les commandes clients, alors qued’autres directions opérationnelles et fonctions support ontleurs propres processus. Les infrastructures de support et lesapplications critiques des SI sous-tendent ces processus. Enconséquence, il est important que les auditeurs tiennentcompte de l’environnement de SI de l’entreprise lorsqu’ilsdéfinissent l’univers de SI et identifient les processus fonda-mentaux caractérisant l'activité de chaque entité.

Le recours à une approche descendante pour prendre encompte la structure et les activités d’une organisation peut

aider les auditeurs à identifier les processus de fonctionna-lité critiques des SI. Néanmoins, les écarts dans la manièredont des directions similaires exécutent leurs processuspeuvent ajouter à la complexité de cette analyse. Ainsi, desusines situées dans des endroits différents peuvent ne pasrecourir aux mêmes procédures d’approvisionnement. Dansdes organisations décentralisées, les diverses directionspeuvent employer des applications différentes ou bien uneapplication commune peut être configurée différemmentdans la mesure où elle fonctionne comme une applicationtotalement distincte. Par exemple, une unité utilise SAP R/3sous UNIX avec une plateforme Oracle, alors qu’une autreutilise SAP R/3 sous Windows avec une plateforme SQLServer. Bien que similaire, la structure du traitement auto-matisé, pour ces processus, est différente et peut nécessiterdes revues particulières.

4.2 Rôle des technologies d’appui

Il peut être simple d’identifier les infrastructures techno-logiques qui soutiennent le SI lorsque l’on détecte des acti-vités qui reposent sur des applications clés. En revanche, ilest bien plus difficile de mettre l’utilisation des moyens tech-nologiques communs, comme le réseau général, une appli-cation de messagerie électronique ou son logiciel dechiffrement, en relation avec les objectifs et les risques. Pour-tant, ces moyens technologiques communs existent parceque l’organisation en a besoin et une défaillance de cesservices et équipements peut empêcher l’organisation d’ac-complir sa mission. C’est pourquoi, les moyens technolo-giques communs clés doivent être identifiés et représentésdans l’univers des domaines auditables, même s’ils ne sontpas directement associés à une application ou à un proces-sus opérationnel.

4.3 Plans d’activité annuels

Un autre point est important : il faut tenir compte du planstratégique de l’organisation. Les plans opérationnelspeuvent apporter aux auditeurs des informations sur leschangements et projets importants susceptibles de voir lejour dans l’année à venir, qui pourraient nécessiter l’inter-vention de l’audit et devenir des sujets à intégrer dans l’uni-vers d’audit des SI. Les projets peuvent avoir directementtrait aux SI, par exemple la mise en œuvre d’un nouveausystème d’ERP, ou porter sur la gestion d’initiatives majeuresd’ingénierie ou de construction. Par exemple, les compagniesproductrices d’énergie forment des projets majeurs d’inves-tissement lorsqu’elles déploient de nouvelles installationspour exploiter de nouveaux gisements de gaz ou de pétrole.Ces projets peuvent tirer parti de l’utilisation de compo-santes du SI qui méritent l’attention de l’auditeur des SI,notamment les contrôles d’accès à des systèmes de gestion

10


de documents ou des connexions externes pour les parte-naires et sous-traitants. Parce que des entreprises peuventêtre partenaires sur un projet et concurrentes sur d’autres, ilest important de limiter leur accès aux seules ressources SInécessaires en l’occurrence.

4.4 Fonctions SI centralisées /décentralisées

Les auditeurs auront à identifier les fonctions SI admi-nistrées au niveau central, qui soutiennent la totalité ou unegrande partie de l’organisation. Les fonctions centraliséessont de bons « candidats » aux différents audits réalisés ausein de l’univers d’audit des SI. Il s’agit notamment de laconception et de l’administration de la sécurité du réseau,de l’administration des serveurs, de la gestion des bases dedonnées, des activités de service ou d’assistance et desopérations traitées sur des sites centraux (mainframe). Parexemple, l’organisation peut disposer d’un groupe d’admi-nistration serveur qui supervise l’ensemble des serveursWindows. Parce que ce groupe peut mettre en œuvre desprocessus administratifs et gérer des configurations portantsur l'ensemble des serveurs, c’est le candidat idéal à un auditspécifique, qui s'intègre néanmoins dans l’univers d’auditdes SI. L'homogénéité de l'environnement se prête égale-ment à un échantillonnage aux fins de la réalisation de l’au-dit.

L’identification des thèmes d’audit centralisés présenteplusieurs avantages. Le principal est l’utilisation efficace desressources d’audit des SI, qui sont limitées, de sorte quel’équipe d’audit peut se concentrer sur un domaine,employer des techniques d’échantillonnage et obtenir unecouverture assez importante à partir d’un unique audit. Unautre atout réside dans l'intégration des résultats dans d’au-tres missions d'audit, afin de faire l'économie de nouvellesinvestigations puisque les domaines centralisés ont déjà étévérifiés ; ces avantages se vérifient tout particulièrement dansle cas des audits d’applications. Ainsi, un environnementconstitué d’un groupe d’administration des serveursWindows peut recouvrir plusieurs centaines d’applications.Puisque les contrôles généraux de l’infrastructure sontexaminés au cours d’un audit (davantage) centralisé, l’auditdes SI peut se limiter aux domaines techniques spécifiquesà certaines applications, et non à toutes les plates-formes quisupportent l’application. L’organisation en tire égalementparti, dans la mesure où cet audit n'est réalisé en profondeurqu’une seule fois et que ses résultats ne risquent pas d'êtreimpactés par l'examen individuel de chaque application,dans le cadre de l'audit d'un processus déterminé.

En outre, les organisations ne centralisent pas toutesleurs fonctions SI de la même manière. Beaucoup d’or gani-sations choisissent de créer une unique fonction transver-sale réseau, en charge de la conception et de l’adminis-

tration de la sécurité du réseau. Cette fonction peut se décli-ner en diverses activités comme la configuration des pare-feux, routeurs et commutateurs, la gestion de la connexionInternet, des réseaux sans-fil, de la voix numérique et desconnexions aux réseaux externes. En conséquence, chacunde ces domaines peut constituer un domaine d’audit spéci-fique au sein du SI. De surcroît, parce que les fonctions SIcentralisées sont susceptibles de changer au fil du temps, ilconvient de les examiner et de les réexaminer au moins unefois par an, parmi les thèmes relevant de l’univers d’audit duSI.

On peut adopter une approche comparable pour lesfonctions SI décentralisées, pour lesquelles chaque sitephysique peut représenter un sujet d’audit distinct. Selon lataille du site visé, l’audit peut porter sur les contrôles géné-raux et les contrôles techniques, pour chaque couche de l'in-frastructure. L’audit ne doit porter, toutefois, que sur lescontrôles des SI dont le site local est responsable, et pas surles contrôles gérés par les fonctions SI centralisées. Si le siteest important et qu’il utilise un grand nombre de technolo-gies, les auditeurs peuvent être amenés à réaliser plusieursinterventions dans ce site en tant que partie de l’universd’audit.

4.5 Les processus de soutien des SI

Même si l’organisation comporte une fonction SI décen-tralisée, elle peut disposer de processus transversaux stan-dardisés. Les organisations qui s’efforcent d’être perfor-mantes comprennent l’importance de disposer de processustransversaux standardisés à travers toutes leurs directionsopérationnelles, quel que soit leur type d'activité. On peutciter, comme exemples de processus transversaux standar-disés, les activités du centre de service (hotline), les procé-dures de gestion des changements, des configurations, desmises en production, des incidents et autres problèmes. Lecentre de service est généralement le premier point decontact auprès duquel les clients peuvent formuler unerequête ou une demande de résolution de problème lié auxSI. Ce qui déclenche un processus de gestion du cycle de viede la requête à travers une succession d’événements serapportant à la gestion des incidents, des problèmes, deschangements et des mises à jour.

Là encore, l’ITIL est l’une des principales sources défi-nissant les meilleures pratiques pour les DSI. De nombreusesorganisations appliquent les pratiques recommandées parl’ITIL ou autres processus standardisés, afin d’améliorer leurefficience et leurs performances dans la gestion de leursfonctions liées aux SI. Les services d’audit interne doiventparticiper aux efforts déployés pour mettre en œuvre desprocessus d’appui standardisés, lorsque cela se révèle appro-prié, et les adapter en conséquence afin d’être en mesured'en évaluer l'efficacité. Une démarche pourrait consister à

11


inscrire au programme d'audit le déploiement et la gouver-nance des processus standardisés à l'échelle de l’organisa-tion. Ces revues au plus haut niveau permettraient ainsid’évaluer l’efficacité des processus eux-mêmes, l’efficacitédes processus tels qu’ils sont déployés et l’efficacité dumodèle de gouvernance de façon à s’assurer que les proces-sus transversaux sont mis en œuvre conformément à ce quiétait prévu. Une fois les processus standardisés audités, lesaudits de sites doivent porter davantage sur le respect localdes processus eux-mêmes, plutôt que sur la mesure de leurefficacité.

4.6 Conformité à la réglementation Diverses lois et réglementations à travers la planète, en

particulier la loi Sarbanes-Oxley et Bâle II, imposent d’ap-pliquer des contrôles internes et des pratiques de gestion durisque, ainsi que de respecter la confidentialité des donnéespersonnelles .Comme indiqué plus haut, certaines de cesréglementations imposent de protéger les informations rela-tives aux clients en matière de cartes de crédit (par exemple,la GLBA et la PCI DSS) ainsi que les informations médicalespersonnelles (par exemple l’HIPAA). Même si la plupart deces règles ne concernent pas directement les contrôles desSI, elles supposent l’existence d’un environnement de SIsoumis à un contrôle adéquat. En conséquence, ces pointsde la réglementation sont susceptibles d’être intégrés dansl’univers d’audit : les auditeurs doivent déterminer si l’orga-nisation a mis en place des processus rigoureux et si elleopère efficacement afin de garantir la conformité.

4.7 Définir les domaines soumis à l’audit La division de l’environnement des SI en plusieurs

thèmes d’audit peut être quelque peu influencée par despréférences personnelles ou des considérations relatives auxeffectifs. Toutefois, le but ultime est de déterminer commentscinder l’environnement de façon à obtenir les audits les plusefficients et les plus efficaces. La discussion précédente sur lacentralisation des fonctions SI et la standardisation desprocessus de soutien montrait comment les domaines d’au-dit pouvaient être regroupés au sein de l’univers d’audit afinde définir une approche plus efficiente. Bien que les audi-teurs n’aient pas à évaluer les risques à cette étape duprocessus de planification de l’audit, l’objectif est de dispo-ser d’un plan d’audit centré sur les domaines présentant lerisque le plus élevé, dans lesquels les auditeurs peuventapporter le plus de valeur ajoutée.

Même s’il n’existe pas une façon unique de définir lesobjets d’audit des SI, il existe des façons incorrectes ou inap-propriées de le faire6.

Les écueils à éviter sont notamment de ne pas définircorrectement le périmètre de la mission, ou de définir le planuniquement en fonction des capacités des effectifs, ou decréer un déséquilibre dans les sujets traités.

En outre, les objets d’audit doivent être scindés endomaines de dimension appropriée à une affectation raison-nable des ressources d’audit. Ce faisant, les auditeurs garde-ront à l’esprit qu'une définition large ou restreinte des objetsd’audit, risque d'avoir un impact positif ou négatif sur lestravaux d'audit. En effet, chaque mission comporte uncertain nombre de charges, notamment pour la gestionadministrative ayant trait à la planification de l’audit, lesrevues de management, la validation finale des travaux et laformalisation et la communication des résultats. Si, parexemple, le programme d’audit prévoit de nombreusesmissions à caractère restreint, les auditeurs internes pour-raient passer autant de temps à gérer les audits qu’à leseffectuer. À l’inverse, si le domaine audité est très large, lesaudits pourraient se dérouler sur une période prolongée,gêner le client ou induire un examen trop superficiel. Selonla culture de l’organisation, des définitions trop vastes pour-raient même aboutir à une augmentation non planifiée duchamp de l’audit (glissement de périmètre7).

La dimension adéquate de l’audit dépend de la culture etdes pratiques de l’organisation. En règle générale, pour laplupart des organisations, définir un objet d’audit qui mobi-lise deux à trois auditeurs techniques semble être un objec-tif raisonnable, car on bénéficie alors des points de vue etexpériences variés des auditeurs. En outre, une durée de troisà quatre semaines semble raisonnable pour la plupart desorganisations.

La taille de l’audit doit aussi cadrer avec les pratiquesd’audit en vigueur dans l’organisation. Cependant, l’universd’audit des SI ne doit pas se définir uniquement en fonctionde la structure du service d’audit en termes d’effectifs,puisque cela risquerait d’aboutir à un déséquilibre entre lesmissions réalisées. Ainsi, certains services d’audit informa-tique ne disposent d’aucun technicien ou spécialiste des SI,mais se composent d’auditeurs connaissant les applicationsexistantes. Ces auditeurs ont tendance à se concentrer sur lacouche applicative et risquent de ne pas prêter une atten-tion suffisante aux couches d’infrastructure sous-jacentes,alors même qu'il serait nécessaire d’aboutir à une couver-ture bien équilibrée de toutes les couches techniques dansle cadre des missions réalisées.

Idéalement, la fonction d’audit interne doit regrouperdes membres du personnel disposant d’une qualificationtechnique pointue et des auditeurs généralistes avec unebonne compréhension des contrôles applicatifs. Les audi-teurs techniques, par exemple, peuvent vérifier que l’infra-structure SI bénéficie de contrôles de sécurité adéquats etexaminer les contrôles applicatifs généraux. Un bon équili-bre entre les objets d’audit, qui appréhendent toutes les

12

6 GTAG 4 : Management de l’audit des systèmes d’information, p. 11.7 GTAG 4 : Management de l’audit des systèmes d’information, p. 11.


couches de l’environnement informatique, constitue la clefde voûte du plan d’audit des SI, même si les contraintes, liéesau personnel du service d’audit, sont un réel problème. Si telest le cas, des effectifs supplémentaires sont nécessaires pourcompléter l’expertise du personnel en place.

Les auditeurs doivent être conscients que la techniqued’audit utilisée durant les examens de la sécurité pourrait serévéler inefficace si elle est utilisée dans un environnementde serveurs non homogène, formé de multiples plateformes.De fait, le domaine général de l’administration des serveurspourrait être trop vaste ou ingérable.

Pour cette raison, de nombreuses organisations exami-nent leur sécurité en fonction du type de plateforme qui lesconcerne, ce qui permet une analyse plus détaillée. Malheu-reusement, cette activité pourrait se traduire par desdoublons car certaines étapes d’audit sont répétées. Enconséquence, les auditeurs doivent définir des champs d'in-tervention distincts pour chaque plateforme et procéder à unaudit des contrôles généraux sur toutes les plateformes.

La responsabilité managériale est un point clé à prendreen considération lorsque l’on définit les composantes del’environnement du SI. Dans le pire des scenarii, on pour-rait définir des thèmes d’audit qui s'avéreraient transversauxpar rapport aux lignes hiérarchiques pilotant les différentesentités opérationnelles concernées. Cela pourrait créer enconséquence un conflit quant à savoir à qui il revient, in fine,de mettre en application les remarques et recommandationsémises par l’audit à l'issue de la mission. Il faut donc préci-ser clairement qui recevra le rapport d’audit et qui est chargéde remédier aux déficiences de contrôles identifiées. Enfin, lepérimètre de chaque thème d’audit doit être décrit claire-ment, de sorte que les responsabilités en cause au sein del’organisation soient clairement définies.

4.8 Les applications Le responsable de l’audit interne doit déterminer quel

groupe d’audit sera chargé de planifier et de réaliser l'auditdes applications. Selon le mode de fonctionnement duservice d’audit, les applications peuvent être incluses dansl’univers d’audit des SI, dans celui de l’organisation ou dansles deux. Les services d’audit interne s’accordent, de plus enplus, à dire que les applications doivent être auditées enmême temps que les processus qu’elles supportent. Onobtient ainsi une assurance sur toute la suite des contrôles,automatisés ou manuels, portant sur les processus exami-nés, en minimisant les risques de lacunes ou de chevauche-ments susceptibles d'être rencontrés au cours des travauxd'audit, et éviter autant que possible les confusions quant àce qui fait partie ou non du champ de la mission.

En raison de leur expertise, les auditeurs sont probable-ment les mieux à même de déterminer le moment opportunpour examiner les applications. Si ces dernières sont main-

tenues dans l’univers d’audit des SI, alors l’univers d’audit del’organisation doit être mis en relation avec celui des SI defaçon à obtenir une vision globale pendant l’audit. Même siles applications sont maintenues à l’écart de l’univers d’au-dit des SI, des thèmes d’audit individuels peuvent être sélec-tionnés au sein de l’univers d’audit des SI pour lesapplications à grande échelle, c'est-à-dire qui sont mises enoeuvre par des fonctions multiples pour des processus multi-ples. En effet, il peut être intéressant d’examiner les contrôlesgénéraux d’une application dans le cadre d’un audit auto-nome, plutôt qu’en l’incluant arbitrairement dans l’un desnombreux audits généraux.

4.9 Évaluer les risques Une fois l’univers d’audit défini, l’étape suivante de la

définition du programme annuel d’audit consiste en uneévaluation systématique et uniforme des risques associés àtous les sujets. La section suivante présente des notionsfondamentales sur les risques et leur évaluation, qui peuventaider les responsables de l’audit interne et les auditeursinternes à créer un programme d’audit des SI efficace.

13

GTAG — Procéder à une évaluation des risques

5. Procéder à une évaluation desrisques

L’IIA définit le risque comme la « possibilité que seproduise un événement qui aura un impact sur la réalisationdes objectifs. Le risque se mesure en termes de conséquences etde probabilité8». Il est donc absolument crucial que les orga-nisations fassent périodiquement l'inventaire des risquesauxquels elles sont exposées et qu’elles entreprennent lesactions nécessaires pour maintenir ces risques à un niveauacceptable. Comme indiqué plus haut, le processus d’éva-luation des risques ne doit pas être mené avant que leresponsable de l’audit interne et l’équipe d’audit interneaient bien identifié l’univers d’audit des SI et la place qu'iloccupe au sein de l’organisation et au soutient ses activités.Il est capital, quel que soit le modèle ou l’approche d’éva-luation des risques retenu, que cette évaluation cerne lesdomaines de l’environnement du SI susceptibles d’entraverfortement la réalisation des objectifs de l’organisation. End’autres termes, l’évaluation des risques doit intégrer l’infra-structure, les applications et les opérations informatisées et,de façon générale, tous les composants du SI, qui pèsent leplus sur la capacité de l’organisation à veiller à la disponibi-lité, à la fiabilité, à l’intégrité et à la confidentialité dusystème et des données.

En outre, les auditeurs doivent tenir compte de l’efficacitéet de la pertinence des résultats de l’évaluation des risques,lesquels dépendent de la méthode employée et de sa bonnemise en œuvre. En somme, si les données d’entrée utiliséespour évaluer les risques (c’est-à-dire l’univers d’audit des SIet sa relation avec l’univers d’audit de l’organisation) sontdéficientes ou utilisées incorrectement, il est vraisemblableque les résultats de l’évaluation en seront, à certains égards,insatisfaisants.

5.1 Le processus d’évaluation des risques Dès lors que le responsable de l’audit interne et l’équipe

d’audit interne ont une bonne connaissance de l'organisa-tion et des technologies qui y sont mises en œuvre, ilspeuvent mener une évaluation des risques. Il est cruciald’exécuter ces tâches correctement si l’on veut être sûr queles risques pertinents liés aux SI (c’est-à-dire ceux quiprésentent la plus grande probabilité d'occurrence et d'im-pact sur l’organisation) sont identifiés et évalués avec effica-cité, et qu'ont été prises, de façon appropriée, des mesuresdestinées à les maîtriser. Le résultat du processus d’évalua-tion des risques sert ensuite au responsable de l’audit interne

et à l’équipe d’audit interne pour élaborer un plan d’auditdes SI.

5.1.1 Identifier et prendre en compte les objectifsde l’entreprise

L’un des fondements de toute méthode d’évaluation desrisques consiste à prendre en compte les objectifs de l’orga-nisation et à déterminer en quoi les SI contribuent à la réali-sation de ces objectifs ou les soutiennent. Si les objectifs del’organisation ne sont pas déjà identifiés, les auditeursdoivent le faire avant de procéder à l’évaluation des risquespropres au SI. Les objectifs de l’organisation peuvent êtrevastes et de nature stratégique (par exemple, devenir un chefde file du secteur) ou plus linéaires et de nature plutôttactique (par exemple, remplacer les anciennes applicationsSI par un système d’ERP).

En outre, les processus de gestion des risques devrapasser par cinq grandes étapes :

• Il faut identifier et hiérarchiser les risques découlantdes stratégies et activités de l’organisation.

• La direction générale et le Conseil d'administrationdéfinissent le niveau de risque acceptable pour l’or-ganisation, y compris le niveau d’acceptation desrisques liés aux plans stratégiques de l'organisation.

• Il convient de concevoir et de mettre en œuvre desactions concourant à la maîtrise des risques, en lesréduisant ou les ramenant en tout état de cause dansles limites fixées comme acceptables par la directiongénérale et le Conseil d'administration.

• Il convient de mettre en place un dispositif de surveil-lance continue afin de réévaluer périodiquement lesrisques, comme l’efficacité des contrôles visant àgérer ces risques.

• Le Conseil d'administration et la direction généralereçoivent périodiquement des rapports sur lesprocessus de gestion des risques. Les processus degouvernement d’entreprise en place prévoient égale-ment une communication régulière aux partenairesfinanciers sur l'état d'exposition aux risques, les stra-tégies et les contrôles mis en œuvre en conséquence.

On trouvera des orientations complémentaires dans laMPA 2010-1 : La prise en compte des risques et des menacespour l’élaboration du plan d’audit, qui indique comment lesrisques pour l’organisation, son plan stratégique et les chan-gements d’orientation décidés par la direction générale sontpris en compte dans le programme d’audit.

5.1.2 Identifier et prendre en compte la stratégierelative aux SI

Une fois que le responsable de l’audit interne et les audi-teurs internes sont au courant des objectifs de l’organisation,il leur faut identifier la stratégie générale de l’organisation

14

8 Définition du risque issue du glossaire, Cadre de Référence In-ternational des Pratiques Professionnelles de l’audit interne, IIA-IFACI, 2009.

GTAG— Procéder à une évaluation des risques

vis-à-vis des SI, afin de vérifier si elle cadre avec les objectifsidentifiés à l’étape précédente. L’organisation peut disposerde divers documents décrivant la relation entre ses objectifset le plan stratégique des SI, auxquels le responsable de l’au-dit interne et les auditeurs internes ont besoin d’avoir accès,pour en prendre connaissance et en tenir compte dans leurstravaux. De manière générale, le plan stratégique est adosséaux objectifs de l’organisation et précise de quelle manière ila été conçu en ce sens. En d’autres termes, le plan d’auditidentifiera des actions tactiques qui seront effectuées par laDSI dans un délai précis, actions visant à soutenir la réalisa-tion des objectifs de l’organisation.

5.1.3 L’univers du SIComme indiqué plus haut, les auditeurs commenceront

par dresser l’inventaire des composantes de l’environnementinformatique afin de déterminer quels domaines du SIverront leurs risques et contrôles examinés. S’il n’existe pasune approche unique idéale pour réaliser cet inventaire, denombreuses organisations scindent leur univers de SI entrois grandes sous-catégories : infrastructure, production ouexploitation, et applications.

L’infrastructure inclut toutes les composantes techniquesqui soutiennent la circulation et le traitement des informa-tions de l'organisation, comme les serveurs, routeurs, ponts,mainframe, lignes de communication, imprimantes, serveursde données, équipements réseau, antivirus et ordinateurs debureau.

La production informatique vise, pour sa part, les proces-sus et contrôles qui gèrent l’environnement informatique.On citera, par exemple, l’administration de la sécuritéphysique et logique, la sauvegarde et la récupération desdonnées, les plans de continuité et de reprise d'activité, lescontrats de service, les contrôles portant sur les changementsde programme, ainsi que la conformité aux lois et régle-mentations. Enfin, les applications désignent les logicielsutilisés pour traiter, stocker et communiquer les donnéesrelatives aux transactions, aussi bien les systèmes d’ERP queles applications autonomes gérées avec Microsoft Excel ouAccess.

5.2 Hiérarchiser les risquesUne fois achevé l’inventaire de l’univers du SI, l’étape

suivante consiste à valoriser les risques associés à chacunedes sous-catégories (infrastructure, production et applica-tions) : il s’agit de classer ces sous-catégories sur la base dela probabilité d’occurrence des risques qui y sont associés,ainsi que de l’impact que ces derniers pourraient avoir surl’organisation s’ils se matérialisaient.Autrement dit, les audi-teurs détermineront les dysfonctionnements susceptiblesd'intervenir pour chaque catégorie et en quoi l’organisationen sera affectée si les contrôles visant à gérer ou à atténuer

ces dysfonctionnements ne sont pas appliqués correctement,ou s’ils ne fonctionnent pas efficacement.

De plus, les auditeurs garderont à l’esprit que tous lesrisques peuvent ne pas avoir la même importance ou êtrepondérés de la même manière dans l’univers d’audit des SI(la pondération permet de distinguer l’importance relatived’un risque par rapport aux autres). Ainsi, si un domaine aune incidence directe sur l’exactitude de la communicationfinancière, il devrait être pondéré plus fortement qu’un autrequi n’affecte pas directement l’exactitude de la communica-tion financière. D’après la publication Assessing Risk de l’IIAResearch Foundation9, on peut mesurer le risque et l’impactsuivant trois approches :

1. Estimation directe des probabilités et des pertesattendues, ou application de probabilités à lavaleur des actifs afin de déterminer le niveaupotentiel de pertes. Ce processus est le plus ancien,et n’est pas considéré comme une bonne pratique. Sile secteur des assurances le pratique toujours, lesauditeurs internes s'en abstiendront.

2. Facteurs de risques ou utilisation de facteursobservables ou mesurables afin de valoriser unrisque spécifique ou une classe de risques. Ceprocessus est à privilégier pour des évaluationsglobales (macro) de risques,mais il n’est pas particu-lièrement efficace pour une évaluation élémentaire(micro) de risques, sauf lorsque les caractéristiquesdes unités objets d'audit sont homogènes sur l’en-semble de l’univers d’audit : une succursale, un siteou une usine, par exemple.

3. Matrices pondérées ou de classification, ou utili-sation de matrices « menaces vs composantes »afin d’évaluer les conséquences et les contrôles.Cette méthode est préférable pour la plupart desévaluations de risques élémentaires.

Le présent GTAG se concentrera exclusivement sur l’ap-proche par les matrices pondérées ou de classification pourmesurer le risque et son impact. Comme le montre le tableau

15

ÉÉcchheellllee ddee pprroobbaabbiilliittéé

É 3 Probabilité élevée que le risque survienne.

M 2 Probabilité moyenne que le risque survienne.

F 1 Faible probabilité que le risque survienne.

9 The IIA Research Foundation, Assessing Risk, 2e édition, 2004.

TTaabblleeaauu 11.. Échelle des risques d’occurrence


1, cette approche utilise une méthode très simple pour noterle risque, selon que la probabilité d’occurrence du risque estélevée (3), moyenne (2) ou faible (1).

Si la probabilité d’occurrence du risque est relativementsimple à établir, il en va tout autrement quand il s’agit dedéterminer l’impact si la menace se concrétise. En effet, l’im-pact du risque peut comporter plusieurs aspects quantitatifset qualitatifs. En outre, les différents aspects ne sont pas toustraités de la même manière (certains risques sont plusimportants que d’autres). D’après Assessing Risk10, ondistingue généralement trois types de facteurs de risques :les facteurs de risques subjectifs, les facteurs de risquesobjectifs ou historiques, et les facteurs de risques calculés.1. Les facteurs de risques subjectifs. Pour mesurer le

risque et son impact, il faut mobiliser à la fois de l’ex-pertise, des compétences, de l’imagination et de lacréativité. Cet accent placé sur les mesures subjectivesest corroboré par la pratique : bien des unités audita-bles évoluent tellement entre deux audits que l’his-torique des audits antérieurs n’apporte pasgrand-chose. En conséquence, le jugement censémais subjectif d’un praticien chevronné est tout aussivalide que n’importe quelle autre méthode.

2. Les facteurs de risques objectifs ou historiques.La mesure des tendances des facteurs de risques peutse révéler utile dans les organisations stables. Danstous les cas, des informations objectives actualiséessont utiles pour mesurer le risque.

3. Les facteurs de risques calculés. À partir d’infor-mations historiques ou objectives, on peut établir lacatégorie des facteurs de risques calculés, qui est unsous-ensemble de la catégorie précédente. Cesfacteurs sont souvent les plus délicats à utiliser car ilsdécoulent de facteurs de risques en amont.

En raison de ces facteurs de risques, les responsables del’audit interne et les auditeurs internes conçoivent et appli-quent un modèle d’impact des risques qui correspond à leurorganisation. Ce modèle doit être analogue à celui employépour l’évaluation des risques de l’ensemble de l’organisa-tion. Cependant, l’échelle du modèle et la méthodologie declassement sont modifiées pour chaque risque lié aux SI.Comme le montre le tableau 2, et pour les besoins de ceGTAG, l’impact de chaque composante est classé selon uneméthode très simple de classement des risques (catégoriesélevée, moyenne ou faible), comme pour la probabilité d'oc-currence présentée au tableau 1.

Le tableau 3 page 18 montre un exemple de résultatsd’une évaluation des risques : on a appliqué les échelles deprobabilité et d’impact à chacune des catégories de risques

(financiers, qualité du dispositif de contrôle interne, chan-gements dans les unités d’audit, disponibilité, intégrité etconfidentialité). Pour chaque catégorie, on multiplie la valeurattribuée à la probabilité d'occurrence de la menace par celleaffectée à l’impact ; le score pour chaque domaine est égal àla somme de ces produits. Par exemple, pour les risques quiconcernent le domaine de l’application ERP et contrôlesgénéraux, la somme des valeurs obtenues pour le produit dela probabilité et de l’impact donne 42. La même procédureest appliquée à tous les autres domaines d’audit envisagea-bles.

Sur la base de cette approche de la notation, le score leplus bas possible est 6 et le plus élevé 54. Le tableau 4montre les fourchettes de notes et les fréquences des auditsou des revues qui y correspondent sur la base des ressourcesdisponibles de l’organisation.

5.3 Principaux cadres de gouvernance desSI

Jusqu’à présent, ce guide s’est concentré sur les diffé-rentes étapes nécessaires pour définir l’univers d’audit des SIet mener une évaluation des risques qui permette de déter-miner ce qu’il convient d’auditer et à quelle fréquence. Cetteanalyse ne s’appuie pas sur un cadre de gouvernance des SI

16

10 The IIA Research Foundation, Assessing Risk, 2e édition, 2004.

ÉÉcchheellllee dd’’iimmppaacctt ((fifinnaanncciieerr))

É 3Le potentiel d’impact sur les recettes, les actifs,

la réputation ou les parties prenantes de l’organisation est élevé.

M 2

Le potentiel d’impact sur les recettes, les actifs, la réputation ou les parties prenantes de

l’organisation peut être significatif pour le département d’audit, mais modéré pour

l’ensemble de l’organisation.

F 1 L’impact potentiel sur l’organisation est d’ampleur et de portée limitées.

TTaabblleeaauu 22.. Échelle modèle de l’impact des risques

NNiivveeaauuFFoouurrcchheettttee ddeess

ssccoorreess ccoommppoossiitteessdduu rriissqquuee

FFrrééqquueennccee rreeccoommmmaannddééee ppoouurr llee

ccyyccllee dd’’aauuddiitt

É 35-54 Tous les 1 à 2 ans

M 20-34 Tous les 2 à 3 ans

F 6-19 Tous les 3 à 5 ans

TTaabblleeaauu 44.. Fourchettes de scores et fréquences des audits et desrevues correspondantes


17

en particulier, comme le COBIT, la norme ISO 27002 oul’ITIL. Par conséquent, il incombe au responsable de l’auditinterne de déterminer quelles parties de ces référentiels, oud’autres, répondent le mieux aux besoins de l’organisation.

Il importe de garder à l’esprit qu’aucun de ces cadres deréférence n’est applicable à toutes les situations. Il s’agitplutôt de cadres que les organisations peuvent utiliser pourgérer et améliorer les fonctions SI. Il sortirait du champ de ceGTAG de donner des indications sur les avantages et lesinconvénients de ces référentiels, comme des autres modèlesde gouvernance des SI, mais nous proposerons un survol duCOBIT.

Depuis sa publication en 1996, le COBIT constitue unréférentiel phare pour la gouvernance des SI. Sa mission estde « concevoir, développer, publier et promouvoir un ensembled’objectifs de contrôle de l’informatique généralement accep-tés correspondant à l’état de l’art, valables au plan interna-tional et qui fassent autorité, à destination des gestionnaireset des auditeurs, pour leur usage quotidien11 ». Formant uncadre et un ensemble d’outils, le COBIT permet aux organi-sations de combler des lacunes en termes de contrôles impé-ratifs, de problèmes techniques et de risques pourl’organisation, et de communiquer ce niveau de contrôle auxparties prenantes. Le COBIT favorise également la mise aupoint de politiques et de pratiques claires pour le contrôledes SI12.

En outre, le COBIT propose aux responsables de l’auditinterne et aux auditeurs internes un ensemble d’outils surlesquels ils peuvent s’appuyer pour orienter le processusd’évaluation des risques liés aux SI. Il propose, comme outils,un ensemble d’objectifs de contrôle clairement énoncés, dessolutions pour tester les contrôles, ainsi qu’une échelle pourclasser la maturité de l’environnement de contrôle des SI. Leréférentiel COBIT se compose de quatre domaines (planifi-cation et organisation, acquisition et mise en place, distribu-tion et support, surveillance et évaluation) avec un total de 34processus relevant des SI.

Comme pour n’importe quel cadre de contrôle s'ap-puyant sur des bonnes pratiques, les auditeurs doiventprocéder avec prudence lorsqu’ils utilisent ce cadre. Leresponsable de l’audit interne et les auditeurs internesdoivent prendre en compte les concepts et orientations ducadre et les appliquer dans leur propre contexte. En d’autrestermes, le COBIT a été élaboré, puis affiné au cours de ladernière décennie avec l’aide d’experts de terrain, d’univer-sitaires et de différents secteurs d'activité à travers le monde.Il en résulte un référentiel qui semble pouvoir fonctionnerparfaitement dans une grande organisation, disposant d’unefonction SI importante, mais qui peut fonctionner tout aussibien dans les petites et moyennes organisations.

Toutefois, le responsable de l’audit interne et l’équiped’audit interne doivent avoir bien conscience que ce n’estpas parce que la fonction d’audit ne suit pas à la lettre lecadre du COBIT que la DSI, ses processus ou ses donnéesne sont pas contrôlés ou gérés correctement. Ils peuventsimplement se servir du COBIT comme d’un guide utiledurant l’évaluation des risques liés aux SI, et ensuite l’auditproprement dit. Dans le meilleur des cas, le responsable del’audit interne et l’équipe d’audit interne peuvent intégrer leCOBIT à l’ensemble des référentiels et directives relatifs auxcontrôles et aux risques, ainsi que pour aider la DSI à mettreen œuvre tout ou partie du référentiel.

11 COBIT, 3e édition, p. 1.12 COBIT 4.1, p. 8.


18

DDoommaaiinnee

IImmppaacctt fifinnaanncciieerr

RRiissqquueess lliiééss aauuxx SSII

SSccoorree eett nniivveeaauu

QQuuaalliittéé dduuddiissppoossiittiiff ddee

ccoonnttrrôôllee iinntteerrnnee

CChhaannggeemmeennttssddaannss ll’’uunniittéé

dd’’aauuddiittDDiissppoonniibbiilliittéé IInnttééggrriittéé CCoonnfifiddeennttiiaalliittéé

PP II PP II PP II PP II PP II PP II

CCoonnttrrôôlleess ddee ll’’aapppplliiccaattiioonn EERRPP eettccoonnttrrôôlleess ggéénnéérraauuxx 3 3 2 3 3 3 2 3 2 3 2 3 42 ÉÉ

SSyyssttèèmmeess ddee ttrraannssffeerrtt éélleeccttrroonniiqquueeddee ffoonnddss 3 3 3 3 3 3 2 2 3 2 2 2 41 ÉÉ

AApppplliiccaattiioonnss RRHH//ppaaiiee 3 3 3 2 3 3 2 2 2 3 2 3 40 ÉÉ

AApppplliiccaattiioonnss rreellaattiivveess aauuxx aavvaann--ttaaggeess ssoocciiaauuxx ((eexxtteerrnnaalliissééeess)) 2 3 2 2 3 3 3 2 2 3 3 3 40 ÉÉ

IInnffrraassttrruuccttuurree SSII 2 2 3 2 3 3 3 3 3 2 2 2 38 ÉÉ

SSyyssttèèmmeess ddee ccoonnttrrôôllee ddeess pprroocceess--ssuuss 1 1 2 2 2 2 2 2 1 1 1 1 15 FF

AAddmmiinniissttrraattiioonn eett ssééccuurriittéé ddeessbbaasseess ddee ddoonnnnééeess 2 2 2 2 2 2 3 3 2 2 2 1 27 MM

AAddmmiinniissttrraattiioonn eett ssééccuurriittéé ssoouussUUNNIIXX 2 2 2 3 2 2 3 1 1 1 3 2 24 MM

RReessppeecctt ddee llaa ppoolliittiiqquuee ddee ccoonnfifi--ddeennttiiaalliittéé ddee ll’’eennttrreepprriissee 2 2 3 2 3 3 2 1 2 2 3 3 34 MM

AAddmmiinniissttrraattiioonn eett ssééccuurriittéé ddeesssseerrvveeuurrss ssoouuss WWiinnddoowwss 2 2 1 2 2 2 2 3 1 1 3 1 26 MM

SSyyssttèèmmeess ddee rreeppoorrttiinngg eennvviirroonnnnee--mmeennttaall 2 2 2 2 2 2 1 1 2 2 1 2 24 MM

EExxaammeenn ddee llaa ccoonnffoorrmmiittéé àà llaa llooiiSSOOXX 2 2 1 1 1 2 2 1 2 2 2 2 19 FF

AAddmmiinniissttrraattiioonn eett ssééccuurriittéé dduurréésseeaauu 1 1 1 3 2 1 3 1 1 3 3 3 17 FF

PPrraattiiqquueess ddee ddééppllooiieemmeenntt ddee ll’’IITTIILL 1 1 1 3 2 1 3 1 1 3 3 3 21 MM

PPrraattiiqquueess ddee ggoouuvveerrnnaannccee ddeess SSII 1 1 2 2 1 1 3 1 1 1 1 2 12 FF

CCoonnnneeccttiivviittéé àà ddiissttaannccee 1 1 1 2 2 1 1 1 1 2 2 2 12 FF

CCoonnttrrôôllee ddeess cchhaannggeemmeennttss aappppoorr--ttééss aauuxx pprrooggrraammmmeess aapppplliiccaattiiffss 2 3 1 3 1 1 1 1 1 3 1 2 16 FF

Score le plus bas possible 6

Score le plus élevé possible 54

Point intermédiaire 30

P = Probabilité I = Impact

Tableau 3. Exemple de modèle de notation pour la hiérarchisation des risques liés aux SI

GTAG — Formaliser le plan d’audit des SI

6. Formaliser le plan d’audit des SI

La définition de l’univers d’audit des SI et la réalisationd’une évaluation des risques sont les étapes préalables quipermettent de définir ce qu’il faut inclure dans le plan d’au-dit des SI. Alors que tous les éléments de l’univers d’auditpourraient être examinés périodiquement, lorsque lesressources disponibles sont illimitées, tel n’est pas le cas pourla plupart des fonctions d’audit. Par conséquent, le respon-sable de l’audit interne doit créer un programme d’audittenant compte des contraintes du budget opérationnel de lafonction d’audit et les ressources disponibles.

6.1 Contexte du plan d’audit La figure 4 montre en quoi l’étape de l’évaluation des

risques diffère de celle de l’identification des audits quiseront inclus dans le programme d’audit, ainsi que les diffi-cultés que cela pose. En théorie, chacune de ces étapes doitconstituer un travail distinct parce que les objectifs et lethème traité sont différents. Dans l’évaluation des risques,l’objectif est d'appréhender les risques dans un contexterelatif. La cible principale (axe central) en est donc le risque,tandis que les ressources disponibles peuvent constituer unfacteur déterminant quant à la réalité du travail effectué. Lorsde la définition du programme d’audit, l’objectif est d’exa-miner les domaines à risque élevé pour définir l’affectationdes ressources disponibles. Dans ce cas, les ressourcesconstituent la cible, mais les risques représentent au final lefacteur décisif.

Dans la plupart des organisations, ces deux étapesfusionnent, dans une certaine mesure, comme le montre lasurface de chevauchement des deux sphères représentantchaque processus dans la figure 4. Ainsi, certains risques oudomaines auditables peuvent être exclus de l’évaluation desrisques sur la base du niveau de ressources qui peut êtrerequis pour l’audit. Toutefois, il importe de réaliser ces étapesde façon objective, en tenant compte des facteurs et desobjectifs de chaque étape.

En outre, le programme d’audit des SI devra être élabo-rer dans le cadre du processus de planification stratégiquede l’audit interne. Ce processus est cyclique et peut être inté-gré dans un cycle de management classique « plan, do, check,and act » (planifier, réaliser, vérifier, ajuster). En conséquence,alors que la programmation est le principal dispositif quipermet de mettre en œuvre ce processus, elle détermine lamanière d'atteindre les objectifs d’audit. Il convient en celad’y inclure une liste des activités d’audit, le calendrier, lesrelations de dépendance et la répartition de ressourcesnécessaires pour atteindre les objectifs d’audit.

Certaines normes de l’IIA décrivent la nature des servicesd’audit interne et proposent des critères de qualité au regarddesquels se mesure leur performance. Les critères de perfor-mance présentés dans les normes 2000 Gestion des servicesd'audit interne, sont tout à fait adaptés au processus deprogrammation de l’audit :

• Norme 2010 – Planification. Le responsable de l’au-dit interne doit établir une planification fondée surles risques afin de définir des priorités cohérentesavec les objectifs de l’organisation.

19

OBJECTIFS DES ÉVALUATIONS DES RISQUES ET DES PLANS D’AUDIT

Évaluation des risques Moteur = Risques

Facteur décisif = Ressources

Plan d’audit Moteur = Ressources

Facteur décisif = Risques

Activités clés • Obtenir auprès des parties

prenantes des informations explicites.

• Identi#er les risques pertinents. • Évaluer les risques. • Hiérarchiser les risques.

Activités clés • Prendre en compte l’univers

des objets d’audit potentiels.• A$ecter et rationaliser les

ressources.• E$ectuer des rapprochements

et #naliser le plan d’audit.

Prendre en compte les risques Allouer les ressources

Figure 4. Objectifs des évaluations des risques et des plans d’audit (source : Ernst & Young, 2007).


20

• Norme 2020 – Communication et approbation. Leresponsable de l’audit interne doit soumettre à ladirection générale et à l'organe délibérant sonprogramme d’audit et ses besoins, ainsi que toutchangement important susceptible d’intervenir encours d’exercice. Le responsable de l’audit internedoit également signaler l’impact de toute limitationde ses ressources.

• Norme 2030 – Gestion des ressources. Le respon-sable de l’audit interne doit veiller à ce que lesressources affectées à cette activité soient adéquates,suffisantes et mises en œuvre de manière efficacepour réaliser le programme d’audit approuvé.

6.2 Demandes des parties prenantesTout au long de l’élaboration du programme d’audit des

SI, les auditeurs internes devront discuter avec les principalesparties prenantes afin de mieux prendre en compte l’activitéet les risques de l’organisation. Ces discussions leur permet-tront de rassembler des informations sur l’organisation, ainsique sur les éventuelles préoccupations exprimées par cesparties prenantes. C’est aussi l’occasion de prendre connais-sance des demandes spécifiques de missions de conseil etd’assurance, adressées à l’audit et appelées ci-après« demandes des parties prenantes ».

Les demandes des parties prenantes peuvent émaner duConseil d’administration, du comité d’audit, des cadres diri-geants ou des responsables d’exploitation. Elles doivent êtreprises en compte au cours de la phase de planification del’audit, en fonction de la capacité de la mission à améliorerle management global des risques et l’environnement decontrôle de l’organisation. Il se peut que ces demandessoient suffisamment précises pour que l’on puisse détermi-ner l’allocation des ressources nécessaires, ou que l’alloca-tion des ressources se fonde sur les travaux d’auditprécédents. Ces missions peuvent également comporter desenquêtes sur des soupçons de fraude qui peuvent survenirde manière inopinée et des demandes d’examen des activi-tés de prestataires de services (la Norme 2010.C1 « Intégra-

tion des mission de conseil dans le plan d’audit » donne desinformations sur la mission de conseil). Il faut donc que lesresponsables de l’audit interne envisagent d’accepter desprojets de missions de conseil en se fondant sur la capacitéde ces missions à améliorer le management des risques, àajouter de la valeur à la réalisation des opérations de l'orga-nisation et à en améliorer les conditions. Les missions accep-tées seront intégrées dans le programme d’audit des SI.

6.3 Fréquence des auditsEn fonction des résultats de l’évaluation des risques, tous

les domaines ne peuvent pas ou ne devront pas être exami-nés dans chacun des cycles d’audit. Comme l’indique lechapitre 5, la fréquence des audits est définie sur la based’une évaluation de la probabilité d’occurrence et de l’im-pact des risques en regard des objectifs de l’organisation. Lesaudits étant cycliques, des programmes d’audit pluriannuelssont élaborés et présentés à la direction générale et aucomité d’audit, pour examen et validation. On élabore unplan pluriannuel, qui s’étend généralement sur trois à cinqans, pour spécifier quels audits seront menés et quand, pourveiller à l’étendue adéquate des travaux effectués sur cettepériode et pour identifier les audits pouvant nécessiter desressources externes spécialisées, voire des ressourcesinternes supplémentaires. De surcroît, la plupart des orga-nisations établissent un programme sur un an, qui découledu plan pluriannuel. Elles y énoncent les activités d’auditplanifiées pour l’année à venir.

Les auditeurs peuvent recourir à l’une des deux straté-gies suivantes pour déterminer la fréquence idéale des acti-vités d’audit planifiées13:

• La fréquence des audits est déterminée d’après uneévaluation initiale des risques, tous les trois à cinqans, et elle est proportionnée au niveau de risque.

• Le plan d’audit s’appuie sur une évaluation desrisques en continu, sans qu’une fréquence des auditsne soit prédéfinie. Certaines organisations appliquent

PPrriioorriittéé FFrrééqquueennccee AAllllooccaattiioonn ddeess rreessssoouurrcceess

É Action immédiate généralement dansla première année

Examens annuels ou actions multiplesdurant le cycle d’audit Allocation substantielle

M Action à moyen terme durant lecycle d’audit

Une ou plusieurs missions d’audit durant le cycle d’audit peuvent être différées Allocation de base

F Missions généralement nonplanifiées durant le cycle d’audit

Au maximum une mission planifiée dans le cycle d’audit Allocation limitée

TTaabblleeaauu 55.. Fréquence des audits et allocation des ressources nécessaires

13 Brink’s Modern Internal Auditing, 6e édition, 2005, p. 292.


21

cette méthode, qui est particulièrement appropriéedans le contexte du plan d’audit des SI, étant donnéque les SI évoluent plus rapidement que d’autresdomaines.

Le tableau 5 présente des critères qui peuvent servir àdéterminer la fréquence et l’allocation des ressources enfonction des résultats de l’évaluation des risques. Ce proces-sus doit être compris comme une séquence d’activités,cyclique, répétitive et itérative, comportant une approchedescendante avec au moins trois niveaux :

• Niveau 1, l’univers d’audit où toutes les donnéesd’entrée sont intégrées.

• Niveau 2, les différents processus de l’organisationoù il convient d’identifier et de planifier, au préala-ble, les missions d’audit.

• Niveau 3, les missions d’audit où l’on peut affiner etoptimiser le plan.

Outre la fréquence des audits, l’élaboration duprogramme d’audit prendra en compte d’autres facteurs : • Stratégies de sous-traitance de l’audit interne. Il

est courant de mettre en œuvre différentes stratégiesd’externalisation ou d’accroissement des effectifs,notamment l’embauche de personnel interne, l’ex-ternalisation et le co-sourcing, qu’il faut envisager aucours du processus de planification annuelle.

• Estimation des ressources disponibles pour l’au-dit des SI. Il s’agit d’inventorier les compétencestechniques disponibles et d'en rapprocher les résul-tats avec les besoins d’audit des SI. La disponibilitédes ressources est généralement déterminée sur unebase annuelle et repose à la fois sur le nombre d’au-diteurs ETP (équivalent temps plein) et sur lescompétences nécessaires. Les jours d’audit disponi-bles correspondent à la différence entre le nombre dejours d’audit, fonction du potentiel nominal, et lesactivités non liées à l’audit ou les périodes nontravaillées, telles que le temps de formation, lescongés payés et les jours fériés.

• Les demandes du Conseil d'administration et dela direction générale incluses dans le programmeet portant sur le contrôle des services d’assuranceet de conseil.

• L’obligation de se conformer à la réglementationet aux autres dispositions en vigueur. Cette obli-gation sera incluse dans l’univers d’audit et dansl’évaluation des risques.

• Les audits externes à synchroniser avec le pland’audit. La Norme de fonctionnement 2050 « Coor-dination » indique : « Afin d’assurer une couvertureadéquate et d’éviter les doubles emplois, le responsablede l’audit interne devrait partager des informations et

coordonner ses activités avec les autres prestatairesinternes et externes d’assurance et de conseil. »

• Les initiatives et efforts internes destinés àaméliorer la fonction d’audit. Tout ce qui va au-delàdes missions d’audit et constitue un investissementa besoin d’être planifié, budgétisé et présenté dans leplan d’audit. Exemples : revue de l’assurance qualité,évaluation intégrée des risques, communication aucomité d’audit, suites données aux recommandationsde l’audit.

• La mise en réserve d’un budget et d’unprogramme d’audit des SI, permettant de faireraisonnablement face à des situations nonprévues.

6.4 Principes relatifs au plan d’auditLorsque les auditeurs internes définissent les principes

relatifs au plan d’audit, ils doivent prendre en compte la MPA2010-1 – La prise en compte des risques et des menaces pourl’élaboration du plan d’audit :

« 1. En élaborant le plan d’audit interne, la plupart desresponsables de l’audit interne choisissent d’abord dedévelopper ou d’actualiser l’univers d’audit, c’est-à-dire une liste de tous les audits pouvant être réalisés.[…]

2. L’univers d’audit peut intégrer certaines composantesdu plan stratégique de l’organisation, […] afin derefléter les objectifs globaux […] et l’attitude de l’or-ganisation face au risque et le degré de difficulté quecomporte la réalisation des objectifs fixés. […]

3. Le responsable de l’audit interne prépare le plan d’au-dit interne à partir de l’univers d’audit, des contribu-tions de la direction générale et du Conseil, d’uneévaluation des risques et des menaces pouvant affecterl’organisation. […]

4. L’univers et la planification d’audit sont mis actuali-sés afin d’intégrer les changements d’orientation, d’ob-jectifs et de priorité décidés par la direction générale[…], au minimum une fois par an. […]

5. Le plan des missions d’audit est établi, entre autres,sur la base d’une évaluation des principaux risques etmenaces. Il convient de définir des priorités de façon àaffecter les ressources, et il existe divers modèles derisques pour aider le responsable de l’audit internedans cette tâche. […] »

6.5 Le contenu du programme d’audit desSI

Le contenu du programme d’audit des SI reflétera direc-tement l’évaluation des risques décrite dans les sections


précédentes. Le plan présentera également différents typesd’audit des SI, par exemple les suivants :

• Audits intégrés des processus de l’organisation. • Audits des processus SI (audits de la stratégie et de la

gouvernance des SI, audits des efforts déployés pourla gestion des projets, activités, politiques et procé-dures de développement des logiciels, processusCOBIT/ISO/ITIL et sécurité de l’information, gestiondes incidents, gestion des changements, gestion despatchs et assistance).

• Audits des projets de l’organisation et des initiativesportant sur les SI, notamment les revues du cycle dedéveloppement des logiciels.

• Revues au titre des contrôles applicatifs. • Audits de l’infrastructure technique (revues de la

gestion de la demande, évaluations de la perfor-mance, évaluations des bases de données, audits dessystèmes d’exploitation, analyses des opérations,etc.).

• Audit du réseau (examen de l’architecture du réseau,tests d'intrusion, évaluation des vulnérabilités et dela performance).

Afin de vérifier que l’étendue de chaque audit estadéquate, les auditeurs peuvent se pencher sur les aspectssuivants :

• Contrôles généraux des SI, contrôles applicatifs etcontrôles de l’infrastructure.

• Contributions aux revues opérationnelles, aux revuesdes aspects financiers et aux examens de conformité.

• Principaux objectifs des contrôles (séparation destâches, concentration des tâches et sécurité, entreautres).

• Nouvelles tendances des SI et menaces induites,innovations et impact.

• Toutes les couches SI.

6.6 Intégration du programme d’audit desSI

L’un des volets essentiels du processus de planificationest la définition du degré d’intégration du plan d’audit des SIaux autres activités du service d’audit. Comme l’explique leparagraphe 4.7, les auditeurs déterminent quelle entité d’au-dit sera chargée de planifier et de surveiller les audits desapplications métier. Cette analyse pourrait être élargie àtoutes les composantes des SI. Par exemple, le plan d’auditdes SI sera-t-il présenté et exécuté de manière autonome oudes objets d’audit liés aux SI seront-ils intégrés à d’autresdomaines de l’organisation ? Pour répondre à cette question,il faut prendre en compte la fonction d’audit interne, ainsique le personnel, la taille, la répartition géographique et lemode de management de ce service. On pourrait ainsi

examiner divers scenarii d’intégration, allant d’un scénariode faible intégration, dans lequel la fonction d’audit des SIest bien définie et établie au sein du service d’audit interne(avec un univers et une étendue qui lui sont propres) à unscénario d’audit entièrement intégré, où toutes les compo-santes des SI sont bien prises en compte, pour chaquesegment de l’organisation.

Le tableau 6 illustre des scenarii reposant sur différentesoptions d’intégration du plan d’audit des SI :

• Un plan d’audit faiblement intégré. Il s’agit d’unplan autonome d’audit des SI, placé sous la respon-sabilité de l’équipe d’audit des SI. Un plan faiblementintégré est organisé par domaines associés aux SI,généralement séparé des activités non liées à l’auditdes SI et inclut la revue des applications. Le plussouvent, le champ de ces autres activités n’englobeaucune des composantes des SI.

• Un plan d’audit partiellement intégré, énonçantles missions d’audit des SI définies par uneéquipe centrale d’audit des SI. Ce type de plancomporte un ensemble supplémentaire de missionsplanifiées, que l’on appelle habituellement des revuesd’applications et qui sont réparties entre d’autreséquipes d’audit non spécialisées dans les SI et coor-données avec les revues d’autres processus de l’orga-nisation.

• Un plan d’audit fortement intégré, dans lequel les activités d’audit des SI font partie intégrantedes missions portant sur les processus de l’orga-nisation. Souvent, les activités d’audit des SI sontplanifiées sous la responsabilité d’une équipe pluri-disciplinaire dont les membres disposent d’unensemble équilibré de compétences, notammentd’un savoir-faire en audit des SI.

Étant donné qu’un système de contrôle interne comportegénéralement des contrôles manuels et des contrôles auto-matisés, avec un recours accru aux contrôles applicatifs, lacapacité de définir l’étendue de l’audit de façon à prendre encompte tous les contrôles est essentielle pour une évalua-tion globale de l’environnement de contrôle. Un auditcomplet, incluant une revue de tous les éléments des SI, offrel’opportunité d’évaluer si la combinaison des contrôlespermet de réduire les risques de l’organisation.

6.7 Validation du programme d’auditIl n’existe malheureusement pas de test direct permet-

tant de vérifier que le plan d’audit est adéquat et son effica-cité potentielle maximale. Les auditeurs devront doncdisposer de critères pour évaluer l'efficience de ce plan enregard de ses objectifs. Comme nous l’avons vu précédem-ment, le plan d’audit inclura les audits fondés sur le risque,

22


les domaines d’audit obligatoires et les demandes de ladirection générale relatives à des activités d’assurance et deconseil. L’un des objectifs de la phase de planification étantd’allouer des ressources aux domaines dans lesquels l’auditinterne peut créer le plus de valeur ajoutée, comme auxdomaines des SI induisant le plus de risques, les auditeursdétermineront la manière dont le programme pourra reflé-ter cet objectif.

La figure 5 (p.24) illustre ce à quoi aspirera l’audit.D’après ce schéma, étant donné que tous les objets etmissions d’audit sont représentés en fonction de la probabi-lité et de l’impact des risques qui y sont associés, l’ensembledes quadrants du schéma reflètent tous les audits possibles.Dans les cases en gris, on trouve la sélection idéale d’auditset de missions : le programme d’audit se compose majori-tairement des audits correspondant au quadrant du schémarassemblant les risques les plus élevés, et les autres auditssont sélectionnés, de façon proportionnelle, dans lesquadrants du schéma qui correspondent à un risque moyenou faible. De plus, une partie des audits porteront sur laconformité et sur les domaines d’audit obligatoire. Parconséquent, les auditeurs noteront que, même s’il existe desraisons valables d’inclure dans le plan des audits associés àun risque faible, il convient d’envisager d’autres stratégiesd’audit, telles que l’auto-évaluation des contrôles, afin delimiter les ressources nécessaires à la revue.

6.8 La nature dynamique du programmed’audit des SI

La technologie ne cessant d’évoluer, l’organisation seretrouve confrontée à de nouveaux risques, vulnérabilités etmenaces. De surcroît, les changements technologiques

peuvent amener à définir un nouvel ensemble d’objectifspour les SI, ce qui débouche sur de nouvelles initiatives,acquisitions ou transformations dans le domaine des SI, oudes changements visant à répondre aux besoins de l’organi-sation. Lors de l’élaboration du plan d’audit, il importe doncde prendre en considération le caractère dynamique etévolutif de l'organisation. Plus précisément, les auditeursdevront alors tenir compte du rythme de changement desSI, plus rapide que celui des autres activités, de l’adéquationdu calendrier de développement d’un système avec le résul-tat des audits de ce cycle de développement.

Les auditeurs tiendront compte de l’origine spécifique duchangement. Ainsi, le plan d’audit des SI pourrait être réviséen raison des phénomènes suivants :

• Évolution des ressources stratégiques, organisation-nelles ou humaines.

• Nouvelles initiatives portant sur les processus de l’or-ganisation, notamment l’utilisation d’une technolo-gie à haut risque, telle que le commerce électronique.

• Changements majeurs dans les applications : parexemple, adoption d’une nouvelle version d’uneapplication de commerce en ligne.

• Adoption de suites logicielles de support et d’admi-nistration présentant un caractère critique.

• Menaces sur le réseau et sur les infrastructures, quiimposent de réévaluer la gestion de la sécurité de l’in-formation.

En conséquence, il faut périodiquement réexaminer lespriorités du programme d’audit des SI et, au besoin, enrendre compte au Conseil d'administration et à la directiongénérale plus fréquemment que pour d’autres domainesd’audit plus classiques et plus statiques. L’audit des SI devra

23

UUnniivveerrss dd’’aauuddiitt PPllaann dd’’aauuddiittffaaiibblleemmeenntt iinnttééggrréé

PPllaann dd’’aauuddiittppaarrttiieelllleemmeenntt iinnttééggrréé

PPllaann dd’’aauuddiitt ffoorrtteemmeenntt iinnttééggrréé

Processus• Opérationnels• Financiers• Conformité

Audit ne portant pas sur les SI Audit ne portant pas sur les SI Approche intégrée

Systèmes applicatifs• Contrôles applicatifs• Contrôles généraux des SI

Audit des SI Approche intégrée Approche intégrée

Contrôles de l’infrastructureSI• Bases de données• Systèmes d’exploitation• Réseau

Audit des SI Audit des SI Approche intégrée

Tableau 6. Audit des SI et audit intégré


également analyser les changements de l’univers d’audit desSI et se montrer suffisamment souple pour adapter sonprogramme aux nouvelles situations. De surcroît, il convientde réévaluer le plan périodiquement et de faire montre d’uneplus grande flexibilité pour réagir aux évolutions de l’activitéet des environnements de SI en ajustant le classement etl’ordre de priorité des audits planifiés. Enfin, il est essentielque le plan mette en relation chaque élément de l’universd’audit des SI avec l’une des phases suivantes du cycle dedéveloppement des logiciels : étude de faisabilité, analyse,conception, implémentation, tests, évaluation, maintenanceet production.

La valeur ajoutée apportée par une fonction d’auditinterne dépend largement de la qualité des recommanda-tions de cette fonction et des effets positifs que l’organisationpeut retirer de leur mise en œuvre. Ainsi, il est souvent direc-tement bénéfique de remédier aux problèmes de conformitéliées aux règles financières/monétaires. En revanche, il peutêtre indirectement bénéfique de contribuer à améliorer laréputation, l’avantage concurrentiel, la maturité des proces-sus et la capacité d’innovation d’une organisation.

Le facteur temporel est l’une des principales caractéris-tiques des recommandations de l’audit qui influent sur lavaleur ajoutée. Il est important durant tout le cycle des appli-cations des SI. En général, plus on identifie tôt une faiblesseou un risque dans le cycle de vie des logiciels, plus les recom-mandations de l’audit créeront de la valeur ajoutée. Ainsi, lecoût de mise en œuvre d'une modification majeure destinéeà remédier à la faiblesse d’une application critique est nette-ment plus élevé quand le système est en production quelorsque la même faiblesse est traitée au cours de la phase deconception.

Outre la valeur ajoutée qui découle de la qualité desrecommandations de l’audit, le professionnalisme de l’audi-teur interne s’en trouve davantage reconnu. La fonctiond’audit interne déterminera ensuite comment planifier sestravaux pour formuler le bon type de recommandations dansun délai optimal par rapport à la durée du cycle de dévelop-pement En principe, la stratégie de planification seradéployée avant le début du cycle, afin que des actions appro-priées puissent être planifiées en termes de temps et deressources.

Il est impératif que le plan d’audit des SI parvienne àéquilibrer les travaux d’audit sur l’ensemble du cycle, defaçon à éviter la concentration des efforts sur la phase demaintenance et de production, et à délimiter un champ d’au-dit adéquat durant les phases initiales. En suivant ces recom-mandations, les organisations pourront passer d’unestratégie classique de planification traditionnelle et a poste-riori (c’est-à-dire reposant principalement sur les activitésopérationnelles, la conformité et les aspects financiers) à uneapproche plus innovante, source de valeur ajoutée et parnature plus consultative.

6.9 Communiquer, obtenir le soutien de ladirection et faire approuver leprogramme d’audit

Le service d’audit interne présente le programme d’au-dit à la direction générale et au comité d’audit. D’après laNorme 2020, il doit, en particulier, informer ces instances duniveau de ressources requis, de tous les remplacementssignificatifs susceptibles d’intervenir en cours d’exercice etde l’impact potentiel d’une limitation de ses ressources14.

Il importe également que le volet SI du programme d’au-dit interne ou que le programme d’audit du SI fasse l’objetd’une discussion avec la direction générale et l'organe déli-bérant, ainsi qu’avec les principaux acteurs impliqués àtravers le SI, telles que le DSI, les directeurs de la productionet des développements, les cadres de la DSI, les propriétairesd'application et d’autres membres du personnel exerçant desfonctions analogues. La contribution de ces partiesprenantes est cruciale pour le succès de la planification del’audit comme devant permettre aux responsables de l’auditinterne et aux auditeurs internes de mieux cerner l’environ-nement de l’organisation, d’identifier les risques et les préoc-cupations et de sélectionner les domaines d’audit. De plus,le dialogue sur le programme d’audit définitif aidera à vali-der la contribution des parties prenantes tout au long duprocessus et donnera un premier aperçu des travaux à mener.

Les auditeurs discutent du plan d’audit des SI avec lesprincipaux responsables, les gestionnaires et le personnel

24

RESSOURCES D’AUDIT

Impa

ct d

u ris

que

Probabilité

É

F É

Risque visée

Risque évaluéDomaines d’audit obligatoire

Élevé

Univers d’audit global

Envisager une autre stratégie d’audit

Faible

Figure 5. Résultats d’audit visés.

14 Internal Auditing: Assurance & Consulting Services (2007), KurtF. Reding et al., ISBN 978-0-89413-610-8, p. 8-11.


chargé des SI de façon à obtenir leur soutien. La compré-hension, la coordination et le soutien de l’équipe chargéedes SI rendront le processus d’audit plus efficace et plus effi-cient. De plus, la connaissance anticipée du programme faci-lite un dialogue franc et permanent, qui permet de discuterde l’évolution des risques et de l’environnement opération-nel, à chaque étape de la réalisation du plan d'audit, et deprocéder à des ajustements en continu. L’interaction avec les« clients » lors de l’évaluation des risques et avant l’appro-bation du plan d’audit final est fondamentale pour la qualitéglobale du plan.

25

GTAG — Annexe : Exemple d’une entreprise fictive

7. Annexe : Exemple d’uneentreprise fictive

L’exemple présenté dans ce chapitre illustre la façon d’in-tégrer les éléments servant à planifier l’audit des SI, qui sontanalysés dans les sections précédentes. Il s’agit d’étapes quipeuvent être universellement suivies, mais, dans cet exem-ple, les objets d’audit et les résultats de l’évaluation desrisques revêtent un caractère général.

7.1 L’entreprise

Notre entreprise fictive est cotée en Bourse. Elle produitet fournit des matières premières mises en œuvre par desfabricants de biens de consommation sur différents marchésdans le monde. Voici son profil :

• Total des actifs : 7 milliards de dollars.• Société basée aux États-Unis. • Trente sites de production dans sept pays : Arabie

saoudite, Belgique, Chine, Corée du Sud, États-Unis,Qatar et Singapour.

• Six centres de recherche, de technologie et decontrôle de la qualité, sur chaque site de production.

• Cinq mille salariés dans le monde. • Cinq grands concurrents. • Près de 3 000 brevets nationaux et internationaux et

demandes de brevet. • Trois principales directions opérationnelles pour la

fabrication des différentes lignes de produits, siègecentralisé et entités fournissant des services support.

• Trois gros projets d’investissement destinés à renfor-cer et étoffer la capacité de production.

De plus, l’organisation centralisée des SI de cette entre-prise comporte quatre divisions de base :

• Infrastructure globale : - Télécommunications. - Communications vocales. - Réseaux. - Connexion à distance. - Informatique de bureau et Internet. - Gestion du cycle de vie de l’information. - Serveurs.

• Applications d’entreprise : - Une grande application ERP utilisée dans toute

l’entreprise pour la gestion de la chaîne logistique,la comptabilité générale, les ressources humaines(basées aux États-Unis), la vente et la distribution.

- Support technique SAP et programmation ABAP(Advanced Business Application Programming).

26

• Systèmes de production : - Responsable des systèmes utilisés sur les sites de

production. - Applications locales, incluant la gestion de la paie

pour les sites hors États-Unis, les bases dedonnées pour la recherche et le contrôle de laqualité, le reporting environnemental et lessystèmes de contrôle des processus de produc-tion.

- Analyse financière et contrôles financiers.

• Stratégie et gestion des risques : - Contrats, achats et licences. - Stratégie, architecture et normes. - Services de sécurité. - Changement au niveau des SI et gouvernance des

SI. - Bureau de gestion des projets.

Les sites de production forment le cœur de l’organisa-tion. Étant disséminés à travers le monde et n’ayant pas tousla même capacité, ils induisent des risques susceptibles d’in-fluer sur les fondamentaux et sur les aspects financiers del’entreprise. Qui plus est, même si ces sites de productionconstituent un modèle d’entreprise légèrement décentralisé,la composante globale et les composantes de service centra-lisées offrent l’opportunité de réaliser des audits axés sur lesprocessus dans plusieurs fonctions de l’entreprise à la fois.

En ce qui concerne la conformité, l’organisation relèvede la législation des États-Unis et de la législation euro-péenne, notamment de la loi Sarbanes-Oxley, de la directiveeuropéenne sur la protection des données à caractèrepersonnel, du Foreign Corrupt Practices Act (États-Unis) etd’autres dispositions applicables aux sites sur lesquels elleopère. D’après son plan d’activité (business plan) annuel,l’entreprise a plusieurs grands projets d’investissement encours qui auront un impact considérable sur sa compétitivitéà venir.

Enfin, la fonction SI est bien harmonisée avec le modèled’activité. Cette société utilise un groupe d’applications rela-tivement homogène, dont une application ERP standard,une infrastructure globale de serveurs et de réseaux, ainsique des processus d’appui standard pour la mise à disposi-tion de services de SI, la gouvernance et la sécurité.

7.2 Le plan d’audit des SILa description ci-dessus permet d’identifier un univers

d’audit des SI dont découle une liste générale des domainesd’audit envisageables et qui informe la direction sur l’effica-cité de l’environnement de contrôle et des opérations del’entreprise.


Comme indiqué dans les paragraphes précédents, lacomposante globale et les composantes de service centrali-sées offrent l’opportunité de définir des objets d’auditglobaux axés sur les processus. L’application ERP centrali-sée, les domaines support de l’infrastructure globale et lesprocessus standard mettant à disposition des prestationsinformatisées sont de bons « candidats » pour des objetsd’audit indépendants, couvrant de larges pans du risqueassocié aux SI.

Les sites de production sont également représentés dansl’univers d’audit des SI par des objets d’audit faisant partied’applications supportées localement et par une infrastruc-ture sous-jacente (notée, pour simplifier, « site 1-30 » dans letableau 7). Ces objets d’audit sont susceptibles de corres-pondre aux audits des processus, sur chaque site.

Le tableau 7 présente un exemple d’univers d’auditconstitué de thèmes d’audit des SI envisageables pour l’en-treprise. On trouve ces objets d’audit, et d’autres, danschacun des 30 sites de production.

Après avoir défini l’univers d’audit des SI à un niveauélevé, il faut ensuite évaluer les risques de l’entreprise et lesrisques associés aux SI dans chaque domaine. Les catégoriesde risques sont évaluées d’après leur probabilité d’occur-rence et l’impact qu’elles auraient sur l’organisation si lemanagement des risques n’était pas approprié. Cetteapproche fondée sur les risques recourt à un classement rela-tif (tableau 8). On peut, par exemple, utiliser une échelle denotation à trois degrés pour l’évaluation de la probabilité etde l’impact :

Pour faciliter l’analyse, on sélectionne une fourchetteindiquant le niveau de risque (élevé, moyen ou faible) :

Pendant la phase d’évaluation des risques, les auditeursont à définir une fréquence recommandée pour l’examen desobjets d’audit qui font partie de l’univers d’audit, en fonc-

27

DDiirreeccttiioonnssmmééttiieerrss SSuujjeett dd’’aauuddiitt

Composanteglobale Administration et sécurité du réseau

Composanteglobale Connexion à distance

Composanteglobale

Administration et sécurité des serveurs sousWindows

Composanteglobale Administration et sécurité sous UNIX

Composanteglobale

Contrôles de l’application ERP et contrôlesgénéraux

Composanteglobale

Revue de la conformité à la loi Sarbanes-Oxley

Composanteglobale

Respect de la politique de confidentialité del’entreprise

Composanteglobale

Administration et sécurité des bases dedonnées

Composanteglobale Pratiques de gouvernance des SI

Composanteglobale Pratiques de déploiement de l’ITIL

Composanteglobale

Contrôle des changements apportés auxprogrammes applicatifs

Segment d’activité 1-3

Grands projets d’investissement (protectionde l’information et conformité de l’entreprise, notamment)

Site 1-30 Infrastructure SI

Site 1-30 Application RH/paie

Site 1-30 Systèmes de contrôle des processus

Tableau 7. L’univers d’audit des SI

ÉÉcchheellllee ddee pprroobbaabbiilliittéé

É 3 Probabilité élevée que le risque survienne

M 2 Probabilité moyenne que le risque survienne

F 1 Faible probabilité que le risque survienne

ÉÉcchheellllee dd’’iimmppaacctt ((fifinnaanncciieerr))

É 3Impact potentiel important sur le résultat, lesactifs, la réputation ou les parties prenantes de l’organisation.

M 2L’impact potentiel peut être significatif pourl’unité auditée, mais modéré pourl’organisation dans son ensemble.

F 1 L’impact potentiel sur l’organisation est minime ou d’ampleur limitée.

TTaabblleeaauu 88.. Échelle de notation à trois degrés pour l’évaluationde la probabilité et de l’impact

NiveauFourchette desscores compo-sites du risque

Fréquence recommandée pourle cycle d’audit

É 35-54 Tous les ans ou tous les 2 ans

M 20-34 Tous les 2 à 3 ans

F 6-19 Tous les 3 à 5 ans

Tableau 9. Niveau de risque


28

tion de la fourchette des scores composites du risque : lesobjets d’audit à risque élevé seront examinés tous les ans outous les deux ans, les sujets à risque moyen tous les deux à

DDoommaaiinnee





ccoonnttrrôôlleeiinntteerrnnee




CCoonnttrrôôlleess ddee ll’’aapppplliiccaa--ttiioonn EERRPP eett ccoonnttrrôôlleessggéénnéérraauuxx

3 3 2 3 3 3 2 3 2 3 2 3 42 ÉÉ

SSyyssttèèmmeess ddee ttrraannssffeerrttéélleeccttrroonniiqquuee ddee ffoonnddss 3 3 3 3 3 3 3 2 3 2 2 1 41 ÉÉ

SSiittee 33 -- AApppplliiccaattiioonnssRRHH//ppaaiiee 3 3 3 2 3 3 2 2 2 3 2 3 40 ÉÉ

AApppplliiccaattiioonnss rreellaattiivveessaauuxx aavvaannttaaggeess ssoocciiaauuxx((eexxtteerrnnaalliissééeess))

2 3 2 2 3 3 3 2 2 3 3 3 40 ÉÉ

SSiittee 33 -- IInnffrraassttrruuccttuurree SSII 2 2 3 2 3 3 3 3 3 2 2 2 38 ÉÉ

SSiittee 33 -- SSyyssttèèmmeess ddeeccoonnttrrôôllee ddeess pprroocceessssuuss 3 3 3 2 3 3 3 3 2 2 2 1 39 ÉÉ

AAddmmiinniissttrraattiioonn eett ssééccuu--rriittéé ssoouuss UUNNIIXX 2 2 3 2 3 3 2 3 3 2 2 2 35 MM//ÉÉ

RReessppeecctt ddee llaa ppoolliittiiqquueeddee ccoonnfifiddeennttiiaalliittéé ddeell’’eennttrreepprriissee

3 1 3 3 3 3 2 1 2 1 3 3 34 MM//ÉÉ

AAddmmiinniissttrraattiioonn eett ssééccuu--rriittéé ddeess bbaasseess ddeeddoonnnnééeess

2 2 2 2 2 2 3 3 2 2 2 1 27 MM

AAddmmiinniissttrraattiioonn eett ssééccuu--rriittéé ddeess sseerrvveeuurrss ssoouussWWiinnddoowwss

2 2 1 2 2 2 2 3 3 2 2 2 26 MM

SSiittee 11 -- IInnffrraassttrruuccttuurree SSII 2 2 3 2 1 3 3 2 3 1 1 1 23 MM

SSiittee 11 -- SSyyssttèèmmeess ddeeccoonnttrrôôllee ddeess pprroocceessssuuss 2 3 3 2 2 2 3 3 1 1 1 1 27 MM

SSyyssttèèmmeess ddee rreeppoorrttiinnggeennvviirroonnnneemmeennttaall 2 2 3 2 2 2 2 3 1 1 3 1 24 MM

SSiittee 22 –– IInnffrraassttrruuccttuurree SSII 2 2 3 2 1 3 3 2 3 1 1 1 23 MM

GGrraannddss pprroojjeettss dd’’iinnvveess--ttiisssseemmeenntt 2 2 3 3 1 1 2 2 1 1 2 3 25 MM

CCoonnttrrôôllee ddeess cchhaannggee--mmeennttss aappppoorrttééss aauuxxpprrooggrraammmmeess aapppplliiccaattiiffss

2 3 2 3 1 2 2 2 1 3 1 2 23 MM

EExxaammeenn ddee llaa ccoonnffoorr--mmiittéé àà llaa llooii SSOOXX 2 2 2 3 2 2 1 2 2 2 1 2 22 MM

trois ans, et les sujets à risque faible tous les trois à cinq ans.Les domaines à risque élevé pourront ainsi être examinésfréquemment et ceux à risque faible couverts de manière

GTAG — Annexe : Exemple d’une entreprise fictive (suite)

29

DDoommaaiinnee





ccoonnttrrôôlleeiinntteerrnnee




AAddmmiinniissttrraattiioonn eett ssééccuu--rriittéé dduu rréésseeaauu 2 2 2 1 2 2 2 2 2 2 2 2 22 MM

SSiittee 22 -- SSyyssttèèmmeess ddeeccoonnttrrôôllee ddeess pprroocceessssuuss 2 2 2 2 1 2 2 2 2 2 1 1 19 MM//FF

PPrraattiiqquueess ddee ddééppllooiiee--mmeenntt ddee ll’’IITTIILL 1 2 2 3 3 1 3 1 1 3 2 1 19 MM//FF

SSiittee 22 -- AApppplliiccaattiioonnssRRHH//ppaaiiee 1 2 1 2 2 3 2 2 3 1 1 2 19 MM//FF

SSiittee 3300 -- AApppplliiccaattiioonnssRRHH//ppaaiiee 1 1 1 2 2 2 2 2 2 2 1 2 17 FF

SSiittee 11 -- AApppplliiccaattiioonnssRRHH//ppaaiiee 1 1 1 2 2 2 2 2 2 2 1 1 17 FF

SSiittee 3300 –– IInnffrraassttrruuccttuurreeSSII 1 1 3 1 1 1 2 2 2 1 1 1 12 FF

SSiittee 3300 -- SSyyssttèèmmeess ddeeccoonnttrrôôllee ddeess pprroocceessssuuss 1 1 2 2 2 2 2 2 1 1 1 1 15 FF

PPrraattiiqquueess ddee ggoouuvveerr--nnaannccee ddeess SSII 1 1 2 2 1 1 3 1 1 1 1 2 12 FF

CCoonnnneeccttiivviittéé àà ddiissttaannccee 1 1 1 2 2 1 1 1 1 2 2 2 12 FF

P = Probabilité I = Impact

adéquate tous les trois à cinq ans. Le tableau 10, page 28,donne un exemple des résultats d’une analyse de risques.

Lorsque les résultats de l'analyse de risques sont dispo-nibles, l’étape suivante consiste à formaliser le plan d’audit.Comme indiqué dans le chapitre 6, le programme d’audit secompose de projets d’audit fondés sur les risques, d’examensobligatoires de la conformité, de demandes des partiesprenantes et d’audits de suivi des problèmes significatifs déjàidentifiés. Ces tâches devant être réalisées avec les ressourcesd’audit interne disponibles, il se peut que certains projetsd’audit axé sur les risques ne soient pas intégrés dans le pland’audit.

Poursuivons notre exemple d’entreprise fictive : leConseil d'administration de cette entreprise a demandé auservice d’audit des SI de prendre part à la coordination d’untest d'intrusion sur une infrastructure externe, et les respon-sables de l’exploitation ont souhaité obtenir l’assurance quela conformité du management à la loi Sarbanes-Oxley étaitexaminée dans toute l’organisation. De plus, la DSI a

demandé au service d'audit interne de participer au projetde déploiement de l’ITIL afin de déterminer si les processusde prestation de services étaient efficaces et couvraient tousles risques.

Ces demandes émanant de tierces parties sont acceptéesparce qu’elles entrent dans le cadre de la mission du serviced’audit interne, et elles seront automatiquement intégréesau programme d’audit. En outre, l’audit des processusd’achat, réalisé l’année précédente, ayant fait apparaître unimportant problème concernant la séparation des tâches, unaudit de suivi sera ajouté dans le plan d’audit afin de veillerà ce que les actions correctives progressent comme prévu.Enfin, la conformité de la nouvelle politique globale relativeà la protection des données personnelles fera, elle aussi,partie du programme d’audit, car il existe des projets detransmission des données personnelles entre les sites horsÉtats-Unis et le siège américain.

L’entreprise dispose d’une équipe de cinq auditeurs pourles SI, soit environ 1 000 jours disponibles pour les missions,

Tableau 10. L’analyse de risque


30

compte tenu des périodes non travaillées et de formation. Letableau 11 présente le programme d’audit le plus efficaced’après l’évaluation des risques associés aux objets d’auditdisponibles, aux domaines d’audit obligatoire et auxdemandes des tierces parties. Plusieurs objets d’audit à

risque élevé n’ont pas été inclus dans ce plan (notammentles systèmes de transfert électronique de fonds, les systèmesde contrôle des processus et l’administration et la sécuritédes bases de données) parce qu’ils ont été examinés au coursdes 12 derniers mois.

MMiissssiioonn NNiivveeaauu ddee rriissqquuee CCyyccllee JJoouurrss dd’’aauuddiitt aalllloouuééss

Coordination du test d'intrusion * 0 40

Suivi de l’application relative aux achats * 0 20

Contrôles de l’application ERP etcontrôles généraux É 1 100

Site 3 – Application RH/paie É 2 30

Applications relatives aux avantagessociaux du personnel (externalisées) É 3 100

Site 3 – Infrastructure SI É 2 90

Administration et sécurité sous UNIX M/É 1 90

Respect de la politique de confidentialité de l’entreprise M/É 3 40

Administration et sécurité des serveurs sous Windows M 3 90

Site 1 – Infrastructure SI M 3 90

Site 1 – Systèmes de contrôledes processus M 3 90

Systèmes de reporting environnemental M 3 30

Grands projets d’investissement M 3 30

Conformité à la loi Sarbanes-Oxley M/* 3 120

Pratiques de déploiement de l’ITIL F/* 4 40

Total 1000

* Demande de la direction

Le plan d’audit présenté dans le tableau 11 constitue uneperspective idéale, étant donné le profil du service d’auditinterne, sa compréhension des stratégies et des objectifs del’entreprise, sa connaissance de l’historique de l’environne-ment de contrôle et les changements devant intervenir dansles processus opératoires au cours de la campagne d’audit àvenir. Le plan est examiné avec la direction générale et les

responsables opérationnels, dans le cadre d’une discussionfaisant suite aux phases d’évaluation des risques et de plani-fication des audits. Cet examen permettra de vérifier que lacontribution du management a été prise en compte demanière précise dans le processus et donnera aux managersun premier aperçu du programme d’audit des SI pour l’an-née à venir.

Tableau 11. Le plan d’audit


C’est aussi lors de cet examen qu’il convient de discuterdes dates des missions d’audit potentielles, car l’entrepriseest susceptible de connaître des périodes d’arrêt total enraison d’une possible interruption de ses opérations. Il faut,par exemple, discuter des dates prévues pour la mise enœuvre des extensions de l’infrastructure, ainsi que des calen-driers relatifs aux activités opérationnelles les plus impor-tantes, telles que les réorganisations ou les fermeturesd’usines, qui pourraient influer sur le processus d’audit.

Une fois que le plan a été finalisé, la réalisation des auditset la mobilisation correspondante des ressources disponiblessont planifiés. Il faut généralement désigner des auditeursdisposant des compétences requises, afin d'assurer le succèsde la mission. Cependant, la programmation des audits estaussi une bonne opportunité de répondre aux besoins dedéveloppement du personnel en menant des audits qui élar-giront et étofferont tel ou tel domaine de compétence.

Enfin, étant donné la nature dynamique de l’organisa-tion, certains changements pourraient influer sur leprogramme et le calendrier d’audit. C’est pourquoi, il estessentiel de mettre en place un plan efficace, de le gérer surtoute sa durée et de s’adapter aux mutations de l’entreprise,de façon à ce que les ressources restent axées sur lesdomaines présentant un risque et, même si ces domainesévoluent, sur les préoccupations de l’organisation.

31

GTAG — Glossaire

32

Glossaire

Activités de conseil : Conseils et services y afférents conve-nus avec le client afin d’améliorer le gouvernement d’entre-prise, le management des risques et l’environnement decontrôle d’une organisation.

Cadre de référence (référentiel) : Principes directeursformant un modèle que les organisations peuvent utiliserpour évaluer leurs pratiques.

Code d’un programme applicatif : Ensemble deprogrammes informatiques, fichiers de contrôle, tables etinterfaces utilisateur qui confèrent une fonctionnalité opéra-tionnelle à des processus spécifiques, telles que la compta-bilité, la paie ou les achats.

Conformité : Acceptation et respect de la législation et de laréglementation en vigueur, incluant également l’adhésionaux règles, plans, procédures, contrats et autres exigences.

Environnement de contrôle : positionnement de la direc-tion générale et de l'encadrement en regard de l'importancequ'ils attachent au dispositif de contrôle de l'entreprise.L'environnement de contrôle constitue le cadre et la struc-ture nécessaires à la réalisation des objectifs primordiaux dusystème de contrôle interne.

Évaluation des risques : Méthode visant à déterminer laprobabilité d'occurrence d’un événement susceptible d’em-pêcher l’organisation d’atteindre ses buts et objectifs demanière efficace, efficiente et maîtrisée.

Fonction d’audit interne : Service, division, équipe deconsultants ou autres intervenants menant, de manièreobjective et indépendante, des travaux d'évaluation et deconseil, destinées à créer de la valeur ajoutée et à améliorerles opérations d’une organisation.

Infrastructure SI : Composantes clés de l’infrastructuretechnique d’une application, notamment le code logique deses programmes, la base de données, le système, le réseauet l’environnement physique de chaque composante.

Management des risques (gestion des risques) : Proces-sus de management destiné à prendre en compte et traiterles incertitudes qui pourraient altérer la capacité de l’organi-sation à atteindre ses objectifs.

Normes : codification des processus où procédures envigueur dans l’entreprise, dont l’application est obligatoireet qui donne des orientations sur la façon de se conformer àla politique à laquelle la norme est associée. Les normes rela-tives aux SI sont, en général, technologiquement neutres et

peuvent être scindées en contrôles spécifiques aux SI et endirectives générales.

Politique :Déclaration écrite indiquant l’intention, les objec-tifs, les exigences et les responsabilités du management.

Processus : Un ensemble d’activités de l’entreprise liées lesunes aux autres en vue de la réalisation d’un objectifcommun.

Progiciel de gestion intégré (Enterprise resource planning– ERP) : Grandes applications informatiques qui gèrent latotalité d'un processus Elles intègrent ainsi des activitéscomme celles relatives aux achats, aux stocks, à la vente, à ladistribution, aux ressources humaines et au service client,ainsi qu’à la gestion financière et d’autres aspects organisa-tionnels.

Projets de mise en place de systèmes : travaux à grandeéchelle réalisés au sein de la fonction de mise à dispositiondes SI, destinés à permettre le déploiement de nouveauxsystèmes applicatifs ou éléments d’infrastructure. Cestravaux peuvent inclure, par exemple, des activités de gestionde projets, de réingénierie de processus, ou des techniquesde gestion du changement.

Réseaux : Dispositifs matériels et logiciels, tels que commu-tateurs, routeurs, pare-feux, câblages, programmes, quicommandent le routage des paquets de données afin demettre en relation des ordinateurs et de leur permettre decommuniquer entre eux.

Responsable de l’audit interne : Au sein d’une organisa-tion, poste hiérarchique le plus élevé en charge des struc-tures d’audit interne.

Risque : Possibilité que se produise un événement (menace)qui aura un impact sur la réalisation des objectifs de l'entre-prise. Le risque se mesure en termes d’impact (consé-quences) et de probabilité d'occurrence.

Processus de services support : Dans le contexte des SI,processus permettant de gérer l’infrastructure SI, ainsi que ledéveloppement et l’installation de nouveaux systèmes infor-matiques et de nouveaux traitements opérationnels recou-rant aux SI. Ces processus incluent notamment les activitésd’assistance et les procédures de gestion des configurations,des changements, des mises en production, des incidents etdes problèmes.

Sous-traitance (externalisation) : Recours à un tiers pourfournir une prestation de services (a priori non stratégiques)

GTAG — Glossaire

au profit de l’entreprise. La sous-traitance gagne en impor-tance en raison du coût élevé et du savoir-faire nécessairespour fournir ces services.

Systèmes de bases de données : Ensemble de programmespermettant le stockage, l'actualisation et l’extraction dedonnées enregistrées sur un support informatique.

Système de contrôle interne : Système englobant les cinqcomposantes du contrôle interne, à savoir l’environnementde contrôle, l’évaluation des risques, les activités de contrôle,l’information et la communication, et le pilotage, afin que lerisque soit maîtrisé.

Système d’exploitation : Logiciel exécutant les tâchesélémentaires d’un ordinateur, notamment le traitement desdonnées saisies par l’opérateur, la gestion de la mémoireinterne de l’ordinateur ou celle des fonctionnalités de lecturede disque, d’affichage et de périphériques.

Tiers : Entité non affiliée à l’organisation, ou à une entité del'organisation.

33

GTAG — Liste des acronymes

Liste des acronymes

CBOK : Common Body of Knowledge (Base commune deconnaissance) de l’IIA Research Foundation.

COBIT : Control Objectives for Information and RelatedTechnology.

COSO : Committee of Sponsoring Organizations of theTreadway Commission.

ERP : Enterprise resource planning (progiciel de gestionintégré).

GLBA : Gramm-Leach Bliley Act (loi des États-Unis).

GTAG : Guide pratique d’audit des technologies de l’infor-mation.

HIPAA : Health Insurance Portability and Accountability Act(loi des États-Unis).

IIA : The Institute of Internal Auditors.

ISO : Organisation internationale de normalisation.

ITGI : IT Governance Institute.

ITIL : IT Infrastructure Library (bibliothèque d’infrastructuredes technologies informatiques) de l’Office du commercebritannique.

PCAOB : Public Company Accounting Oversight Board(États-Unis).

PCI DSS : Payment Card Industry Data Security Standard.

SI : Systèmes d’information.

SOX : Loi Sarbanes-Oxley de 2002.

UE : Union européenne.

34

GTAG — À propos des auteurs

35

À propos des auteurs

Kirk RehageKirk Rehage est responsable de l’au-

dit des SI chez Chevron Corp., membrede l’Advanced Technology Committeede l’IIA et de l’ISACA, et gouverneurtemporaire du chapitre du Nord de laCalifornie - East Bay de l’IIA. En tantque responsable de groupe en audit des

SI, Kirk Rehage est chargé des activités d’assurance duservice d’audit interne dans le domaine des SI, ainsi que desactivités de conseil, dans plus de 180 pays.

Kirk Rehage a plus de 30 ans d’expérience dans le secteurde l’énergie et a exercé une grande diversité de fonctions enrelation avec la mise à disposition de services de SI, tellesque la mise en place d’une infrastructure informatique etd’environnements de réseaux, la gestion d’organisationsproposant des applications, la programmation technique desolutions logicielles analytiques et de bases de données eningénierie et en sciences de la terre.

Steve Hunt, CIA, CISA, CBMSteve Hunt est l’un des directeurs

principaux du groupe de conseil enentreprise et gestion des risques CroweChizek and Company LLC, vice-prési-dent de l’Advanced TechnologyCommittee de l’IIA et membre del’ISACA ainsi que de l’Association of

Professionals in Business Management. Chez Crowe Chizek,Steve Hunt travaille avec les entreprises Fortune 1000 detaille moyenne opérant sur des marchés restreints dansdivers secteurs. Il supervise l’exécution des missions degestion des risques financiers, opérationnels et informa-tiques.

Steve Hunt compte plus de 20 ans d’expérience dansdifférents secteurs : comptabilité, audit interne et conseil enmanagement. Il a notamment réalisé des audits détaillés dela conformité avec la loi Sarbanes-Oxley, ainsi que d’autresaudits internes et externes, et participé à des projets de réin-génierie des processus et à des initiatives de développementde l’entreprise. Il possède également plusieurs années d’ex-périence en configuration des applications SAP R/3 et descontrôles de la sécurité des applications et des processusopérationnels. Il a également donné des conférences spécia-lisées dans plusieurs universités et organisations aux États-Unis.

Fernando D. Nikitin, CIA, CISA,CGEIT, CISM, CISSP

Fernando Nikitin a plus de 16 ansd’expérience en audit interne, gouver-nance des SI et sécurité de l’information.Il a travaillé pour le secteur bancaire,pour l’administration publique et pourdes organisations multilatérales. Il

travaille comme auditeur interne au sein de l’Office of theAuditor General de la Banque interaméricaine de dévelop-pement. Il était auparavant directeur de l’audit des SI à laBanco de la República Oriental del Uruguay.

Fernando Nikitin est membre de l’Advanced TechnologyCommittee de l’IIA, membre du Conseil du Governmentand Regulatory Agencies Board de l’ISACA et collaborateurdu National Institute of Technology de l’Inde. Il a égalementété président du chapitre uruguayen de l’ISACA à Montevi-deo et il est co-fondateur du chapitre uruguayen du ProjectManagement Institute et membre de l’International Infor-mation Systems Security Certification Consortium.Fernando Nikitin a obtenu un MBA à l’EOI Business Schoolde Madrid, en Espagne.

RéviseursL’IIA tient à remercier les personnes et organisations

suivantes pour leurs précieux commentaires et leurs apportsà cet ouvrage :

• Professional Practices Committee :- Advanced Technology Committee.- Board of Regents.- Committee on Quality.- Internal Auditing Standards Board.- Professional Issues Committee.- Ethics Committee.

• Urton Anderson, McCombs School of Business,Université du Texas à Austin, États-Unis ;

• Lily Bi, IIA, États-Unis ;• Larry Brown, The Options Clearing Corp., États-

Unis ; • Faisal R. Danka, Londres, Royaume-Uni ;• Christopher Fox, ASA, eDelta, New York, États-Unis ;• Nelson Gibbs, Deloitte & Touche LLP, États-Unis ;• Frank Hallinan, Chevron Phillips Chemical Co. LP,

États-Unis ;• Greg Kent, SecureIT, États-Unis ;• Lemuel Longwe, Ernst & Young Chartered Accoun-

tants, Zimbabwe ;

GTAG — À propos des auteurs

36

• Steve Mar, Resources Global, États-Unis ;• Tom Margosian, Ford Motor Company, États-Unis ;• James Reinhard, Simon Property Group Inc., États-

Unis.

L’IFACI tient à remercier pour leurs précieux commen-taires à la traduction de cet ouvrage :

• Dominique VAN EGROO, Directeur Associé,FINTOO ;

• Jean-Claude HILLION, Inspecteur Général Hono-raire de la Banque de France.

Élaboration d’un plan d’audit des SIÉtant donné que les organisations s’appuient largement

sur les SI, les responsables de l’audit interne ont impérati-vement à savoir élaborer un programme d’audit du SI etdéterminer la fréquence et le niveau de détail de chaquemission. Or, plusieurs examens de l’évaluation externe de laqualité effectués par l’IIA révèlent que la conception d’unprogramme d’audit des SI approprié constitue l’un despoints les plus faibles des structures d'audit interne. Dans denombreux cas, les auditeurs internes limitent leurs investi-gations aux connaissances techniques dont ils disposent lereste étant sous-traité, laissant des tiers décider finalementce qu’il faut auditer dans ce domaine.

Le présent guide consacré à l’élaboration du plan d’au-dit des SI peut donc aider les responsables de l’audit interneet les auditeurs internes à :

• acquérir une connaissance de l’entreprise ainsi quede l'apport du SI dans le traitement de ses opérations.

• définir et prendre en compte l’environnement de SI. • tenir compte de l'importance des évaluations de

risques dans la délimitation de l’univers d’audit desSI.

• formaliser le programme annuel d’audit des SI.

Ce guide prend aussi l’exemple d’une entreprise fictiveafin de montrer aux responsables de l’audit interne et auxauditeurs internes comment suivre les étapes nécessairespour définir l’univers d’audit des SI.

Pour attribuer une note à ce guide ou formuler descommentaires, veuillez vous rendre sur :

www.theiia.org/guidance/technology/gtag11.

http://www.theiia.org/guidance/technology/gtag11/

mise en page 1 · 2016-03-02 · de compte lors de l’élaboration du plan d’audit, tels que le...

Documents