1 Groupe de travail - Guide pratique audit informatique - Réunion du 19/10/01 Commission informatique Réunion du 23 Octobre 2001
1Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Commission informatique
Réunion du 23 Octobre 2001
2Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Plan d ’action détaillé de la Commission informatique
Synthèse des actions par projet WebTrust Extranet MCC Fiches PGI Formation Guide contrôle système d ’information
Zoom sur le guide de contrôle système d ’information : synthèse de la réunion du 19/10/01 Partage d’expériences des participants sur l ’audit informatique Guide de contrôle et plan d ’action 2001-2002 de la Commission informatique Positionnement par rapport aux autres supports CNCC Démarche de travail Objectifs, Structure, Plan détaillé du guide Actions à mener
Ordre du jour de la Commission informatique du 23/10/01
3Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Plan d ’action détaillé de la Commission informatique
Estimation de la charge de travail CNCC par projet
Liste des projets Charge (%)Actualisation de la doctrine et élaboration d’un guide d’audit 30%
Développement d’outils d’audit pour les confrères Fiches PGI MCC …
20%
Coopération avec la formation pour : Participer au contrôle qualité de la formation La mise à jour des supports de formation et le développement d’éventuels
nouveaux supports
10%
Veille technologique et coopération avec d’autres organismes ou instituts, par exemplesur les missions d’assurance à composante informatique : WEBTRUST France (1) IFAC IIN EIN SYSTRUST
20%
Actions de communication Préparation et participation à la Commission Délégués informatiques Supports de Communication type 5 à 7 Lettre trimestrielle de la Commission informatique : « Le Saviez-vous ? » Participations aux manifestations régionales, salons professionnels…
20%
4Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
WEBTRUST
Synthèse des actions par projet (1/4)
Stratégie du Comité de pilotage Constitution d’un Comité des partenaires : des accords de partenariats sont à mettre en
place pour optimiser les actions de communication Webtrust Création officielle du Club utilisateurs WebTrust à la date du 04 octobre, véritable
diffusion de connaissances, de partage des problèmes pratiques rencontrés dans le cadre de la mission, ainsi que d’apport de réponses techniques pour des confrères en voie ou en cours de mission
L’intranet Yahoo : continue d’être l’outil de communication entre confrères entre deux réunions du Club
Le maillage : le principe est que chaque membre du Club puisse être l’ambassadeur de WebTrust d’une part, auprès de ses clients, d’autre part auprès de contacts susceptibles d’intéresser le Club (syndicats professionnels, prospects, associations)
Les actions de communications : • WebTrust Day et les WebTrust Entreprises • Les déjeuners Presse pour développer les articles parlant de Webtrust, à la fois dans la presse
généraliste, financière qu’informatique• La lettre Webtrust : lettre régulière de diffusion trimestrielle à destination des délégués régionaux
informatique (CNCC), des présidents des Comités Régionaux Informatique (CRI) pour l’EOC, des auditeurs WebTrust, des confrères ayant suivi la formation WebTrust, (via notamment le Club WebTrust) et des membres du Comité des partenaires
5Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
WEBTRUST (suite)
Synthèse des actions par projet (2/4)
Stratégie du Comité de pilotage La formation : poursuite du programme de formation commencé en 2000 avec la mise à disposition de
trois nouveaux modules de formation (nouveau programme de formation en annexe) La mise en place de contrôles qualités sur les audits WebTrust La représentation de WebTrust auprès des instances de certification afin de contribuer au rayonnement
des principes et critères WebTrust La Recherche & Développement WebTrust consistant à faire évoluer les versions en fonction des
nouveaux besoins de la profession
Actions à mener en priorité : intervention CNCC à définir Préparation de la 1ère Lettre WebTrust Procédures à formaliser sur la gestion administrative de l ’association WBT entre CNCC, OEC et CFPC Action de relance auprès de l ’ensemble des CAC concernant les formations WEBTRUST Mise en forme des supports de formation de la journée 5 Organisation d ’un bureau en Novembre (comptes financiers WEBTRUST, nomination du nouveau
trésorier) et un bureau en Janvier pour changement de Président Instances de certification : e-Santé, CNIL... Rédaction d ’un dossier des partenaires : La Mondiale, Crédit Lyonnais, Cisco Reprise des travaux menés dans le cadre du WEBTRUST TOP 50 pour relancer les 50 entreprises cibles
susceptibles d ’acheter la mission WEBTRUST
6Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Extranet
Synthèse des actions par projet (3/4)
Point de synthèse L. Figoni (CNCC Edition) suit le projet Extranet depuis septembre 2001pour le compte de
la CNCC En accord avec le Pdt Tudel, participation de E. Layot à la coordination des relations
techniques avec PageMed
Actions à mener en priorité Rédaction d ’un guide de procédure et d ’un guide utilisateur Réunion prévue le 08/11/01 avec GIR3C, CEGID et PageMed pour faire un point général
et définir un calendrier de livraisons (DA…) Transférer les groupes Yahoo (Commission informatique) sur l ’Extranet
Point de synthèse C. Edery suit le projet MCC jusqu ’à fin décembre : préparation de la version 4 de MCC
intégrant la mise à jour Nouvelles normes
Actions à mener en priorité Livraison version 4 de MCC prévue pour fin année 2001
MCC
7Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Fiches PGI
Synthèse des actions par projet (4/4)
Actions à mener Prendre contact avec un éditeur PGI pour initialiser le travail de rédaction des fiches outils (ces
fiches sont complémentaires du Guide de contrôle système d ’information)
Point de synthèse Présentation par E&Y de la formation « Organisation informatique des PME : incidences sur la
mission d ’audit » Participation de E. Layot au Comité Qualité Pédagogique : 05/11, 10/12, 30/01
Actions à mener Participation à l ’évolution du catalogue CNCC Formation
• déclinaison du Guide contrôle système d ’information en modules de formation• mise à jour des modules de formation de type Cursus pour intégrer davantage l ’aspect système
Point de synthèse La problématique de la certification financière est relativement large : XBRL, PKI, Tiers de
confiance… Actions en cours de T. Trompette auprès de l ’IFAC Coordination avec le CNP - Groupe de travail « Informations financières »
Liaison avec Formation
Certification des données financière
8Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Zoom sur le guide de contrôle système d ’information
Synthèse de la réunion du 19/10/01
9Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Objectifs de la réunion du 19/10/01
S ’appuyer sur les travaux de l ’AFAI pour intégrer les techniques d ’audit de système d ’information dans la démarche du Commissaire aux comptes
Identifier avec les délégués informatiques les besoins des utilisateurs en terme d ’audit de système et adopter le discours pédagogique adéquat
Proposer une vision la plus complète possible du guide avant de démarrer le travail de rédaction, notamment sur les aspects suivants : objectifs structure forme contenu (plan détaillé) modalités d ’utilisation déclinaisons possibles du support
10Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Partage d’expériences des participants sur l ’audit informatique
Besoins exprimés Intégrer la démarche informatique dans l ’approche légale Avoir une meilleure visibilité sur les risques liés à des systèmes d ’information ouverts
(internet, extranet, ASP…) Connaître les méthodes d ’audit des données (sur les stocks, les comptes clients -
fournisseurs…) et savoir utiliser les outils correspondants Savoir aborder les nouveaux produits comme les PGI (Progiciels de Gestion Intégrée)
Difficultés rencontrées avec les PGI Difficulté pour identifier les éléments à contrôler Difficulté de paramétrage Manque de visibilité sur le circuit de l ’information car moins de séquentialité que dans
un système d ’information traditionnel Nécessité de collecter les données à toutes les étapes de traitement et pas
uniquement au niveau des applications comptables Risques importants liés à la souplesse permise par les applications (en particulier sur
les processus erreurs - correction)
11Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Guide de contrôle système d ’information et plan d ’action 2001-2002 de la Commission informatique
Rappel des objectifs de la Commission informatique intégrer davantage l ’audit des systèmes d ’information dans la démarche de
certification des comptes développer l ’utilisation par les professionnels des outils informatiques pour la
certification des comptes accompagner les professionnels qui souhaitent réaliser les nouvelles missions
d ’assurance comportant des contrôles sur les systèmes d ’information et les process informatiques
participer aux évolutions techniques : échanges électroniques d ’informations financières…
La rédaction de 2 guides sur la prise en compte de l ’informatique dans l ’audit financier doit participer à l ’atteinte de ces objectifs
Guide de contrôle du système d ’information Guide des outils d ’analyse des données
La CNCC a décidé de confier la maîtrise d ’œuvre de la rédaction de ces guides à l ’AFAI
12Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Les deux guides sont destinés à remplacer la note 25 d ’application dans le domaine informatique, intitulée « La démarche du commissaire aux comptes en milieu informatisé »
Les deux guides et les supports suivants de la CNCC devront être rendus homogènes :
supports de formation métier et outils supports d ’information/communication outils opérationnels : MCC, didacticiels, fiches PGI...
Positionnement des guides par rapport aux autres supports CNCC
Travail en commun avecla Commission formation
Mé
tie
r
Formation
Ou
tils
Normes professionnelles
Guide de contrôlesystème d ’info
Guide des outilsanalyse données
5 à
7
Information
Le
Sa
vie
z-V
ou
s
MC
C
Outils
Did
ac
tic
iels
(CD
RO
M d
u g
uid
e
pra
tiqu
e…
)
Fic
he
s P
GI
Ex
tra
ne
t
13Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Constitution des groupes de travail
Principes de mise en oeuvre
Démarche de travail
CNCC
Maîtrise d ’œuvre :P. Trouchaud (Ernst&Young)L. Gobbi (KPMG)M. Lamy (Mazars) ?
RédacteursGuide outilsRédacteursGuide outils
Contrôle qualité AFAI
Contrôle qualité AFAI
RédacteursGuide contrôle
Système Information
RédacteursGuide contrôle
Système Information
Contrôle de relecture Guides
Contrôle de relecture Guides
Maîtrise d ’ouvrage de la rédaction des guides
Maîtrise d ’œuvre :P. Trouchaud (Ernst&Young)M. Richard (Ernst&Young)
S. Yablonsky (AFAI)JM Mathieu (Andersen)T. TrompetteP. RollandF. Renault (Deloitte)
M. Piou (Caen)M. Mercier (Amiens)M. Rondeau (Bordeaux)M. Barlet (Mazars)
Définition du niveau de détail des parties rédigées pour validation par le groupe de relecture
Validation des objectifs et du plan détaillé des guides Définition du calendrier de
livraison des parties rédigéespour validation par legroupe de relecture
01/11/01
Livraison des parties rédigées par les rédacteurs
Validation des parties rédigées par le groupe de relecture
01/04/01
Validation par le Comité des NormesCNCC
01/06/01Groupe de travail : rédacteurs + relecteurs
Intégration AFAI/CNCC
14Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Objectifs du Guide de contrôle du système d ’information (1/2)
Le guide de contrôle du système d ’information doit aider les CAC à prendre davantage en compte les impacts du système d ’information dans la certification des comptes financiers
Il s ’agit d ’une obligation pour les professionnels depuis le 01/01/2001, formalisée dans la norme CNCC 2-302 « audit réalisé dans un environnement informatique »
Pour ce faire, le guide doit... intégrer l ’approche des systèmes d ’information dans la démarche générale de commissariat aux
comptes (dès la prise de connaissance et l ’orientation/planification de la mission) faire les liens entre les objectifs de contrôle généraux et ceux spécifiques au SI être simple, concret et pédagogique : outil de mise en œuvre guidant pas-à-pas le professionnel
avec beaucoup d ’exemples pratiques (cas pratiques en annexes) être adapté aux situations de travail que rencontrent la majorité des cabinets, c ’est-à-dire adapté à
des audits PME sur des systèmes informatiques peu complexes être en cohérence avec le guide des outils d ’analyse des données (le guide de contrôle faisant des
renvois sur le guide des outils)
...pour être directement opérationnel et utilisé sur le terrain par le professionnel
Le guide ne doit pas être : uniquement une note d ’application de la norme 2-302 déconnecté de l ’audit financier une démarche d ’audit système trop lourde à mettre en œuvre (en étant un recueil exhaustif des
dernières techniques d ’audit informatique constituant l ’état de l ’art)
15Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Objectifs du Guide de contrôle du système d ’information (2/2)
Contrôlesspécifiques
Contrôlesspécifiques
Contrôlesspécifiques
Orientationet planification
Orientationet planification
Contrôle des comptesContrôle des comptes
Travaux de fin de mission
Travaux de fin de mission
Opinionsur les comptes annuels
Opinionsur les comptes annuels
Contrôleset informations
spécifiques
Etude et évaluationdu contrôle interne
Etude et évaluationdu contrôle interne
Rédaction du rapport Rédaction du rapport
Acceptationdu mandat
Intégration des spécificités SI dans la démarche générale
Identification des liens entre :• les règles de l ’audit SI • les règles de contrôle interne et contrôle des comptes
La démarche du commissaire aux comptes : rappel
16Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Présentation sous la forme de fiches intégrées dans un classeur (facilitant l’utilisation et la mise à jour en fonction des évolutions)
Découpage séquentiel en phases correspondant à la démarche générale d ’audit
Pour chaque sous-phase
En annexes : lexique, exemples,
fiches diagnostic, fiches outils
PHASE 1 PHASE 2 PHASE 3 PHASE 4
Phase 1.1 Phase 1.2 Phase 2.1 Phase 2.2 Phase 3.1 Phase 3.2 Phase 4.1 Phase 4.2
Structure du guide Contrôle du système d ’information Principes généraux
Introduction
Objectifs
Résultats attendus
Démarche
Démarche •Description étapes à mener•Identification des situations rencontrées
Étape 1.1
Résultats attendus (restitués dans la mesure du
possible sous forme graphique) A chaque situation type rencontrée correspond une fiche Diagnostic
Diagnostic
Lexique Fiche diagnosticExemples Fiches outils
Guideoutils
données
FichesPGI
Fournir une estimation du temps nécessaire
à chaque étape
17Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Structure du guide Contrôle du système d ’information Plan général
Orientationet planification
Etude et évaluationdu contrôle interne
Fiche de synthèsedes risques
Contrôle des comptes
• Prise de connaissance du SI et évaluation des risques associés• Architecture applicative• Processus métiers / supports externalisables
• Contrôle interne sur l ’organisation générale du système d ’information• Contrôle interne sur les composantes de l ’architecture applicative• Contrôle interne sur les processus métiers
• Définition des niveaux de risques spécifiques au SI• Impact des risques spécifiques SI sur l ’approche par cycle (B01, B02…) • Risque inhérent
• Valorisation financière des risques spécifiques SI détectés dans la phase 3• Réalisation des contrôles des comptes complémentaires (allègement de cette phase par rapport à l ’approche générale)• Mise en place d ’un système pérenne de non régression
Phase 1.1
Phase 1.2
Phase 1.3
Phase 2.1
Phase 2.2
Phase 3.1
Phase 3.2
Phase 3.3
Phase 4.1
PHASE
PHASE
PHASE
PHASE
Phase 2.3
Phase 4.3
Phase 4.2
18Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Plan détaillé du guide Contrôle du système d ’information : Introduction
Rappel de la démarche générale du CAC : normes, textes…
Les caractéristiques de la norme 2-302
Impacts et intégration de la norme 2-302 dans la démarche générale
Les contrôles internes, les risques les similarités avec l ’approche générale les spécificités des traitements informatiques
Allègement du contrôle des comptes
19Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Plan détaillé du guide Contrôle du système d ’information : Orientation et planification (1/4)
Phase 1Orientation
et planification
Phase 1.1 : Prise de connaissance du SI et évaluation des risques
Phase 1.2 : Architecture applicative Phase 1.3 : Processus métiers
Introduction Démarche RTS attendus Introduction Démarche RTS attendus Introduction Démarche RTS attendus
Positionnement de l’informatique dans l’entreprise : organigramme Personnel informatique Equipes projets informatiques Stratégie informatique Fonction conception et/ou paramétrage Fonction d’exploitation / Sous-traitance Fonction de maintenance Fraude et erreur Caractéristiques du SI
-Taille du SI : nombre de postes, utilisateurs-Composantes : applications, bases de données, programmes, interfaces, systèmes d’exploitation…-Ouverture vers l’extérieur : internet, extranet-Complexité du SI : applications diverses connectées par interface-Sécurité physique -Sécurité logique -Piste d’audit-Sauvegarde et plan de secours -Déversement en comptabilité -Procédure de clôture des comptes
Identification des domaines fonctionnels informatisés (achat, vente, production) Pour chaque domaine fonctionnel informatisé, identification :-Des applications (progiciels ou spécifiques)-Des bases de données / fichiers-Des interfaces -Des flux entrants : modalités de saisies des informations (manuelles, intégration de fichiers)-Des flux sortants-Traitements : batchs / temps réels-Sécurité logique-Des Interfaces -Du Paramétrage -Des habilitations Liens entre les applications des différents domaines fonctionnels Alimentation des bases comptables -Interfaces avec les systèmes amonts-Intégration de fichiers-Saisie manuelle par le personnel comptable-Communication avec l’extérieur : banques…
- Identification des principaux processus métiers- Pour chaque processus de gestion, identification :
-Des flux entrants-Des traitements effectués -De l’application concernée-Des acteurs concernés-Des flux sortants
20Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Lexique Exemples
Introduction
Objectifs• Rappel de la démarche générale de prise de connaissance• Spécificités du contrôle SI par rapport à la prise de connaissance
Résultats attendus• Vue générale du SI• Évaluation du risque général système d ’information• Points spécifiques à contrôler et caractéristiques associées
Démarche• Liste des étapes à suivre
Fiches Diagnostic
Démarche
Description étapes à suivre • Etape 1 - Positionnement de l ’informatique dans l ’entreprise - Situation A• Etape 2 - Caractéristiques du SI - Situation C• Etape 3 - Fraude et erreur - Situation B
Phase 1.1 : Prise de connaissance du SI et évaluation des risques associés
Résultats attendus
• Vue générale du SI• Évaluation du risque général système d ’information (cartographie des risques)• Points spécifiques à contrôler et caractéristiques associées (exemple : l ’entreprise utilise le PGI XYZ)Aide à l ’analyse
Pour chaque situation, identification du diagnostic correspondant• Si Situation A, alors... Report description Fiche diagnostic A • Si Situation B, alors... Fiche diagnostic B
Fichesoutils
Phase 1Orientation
et planification Phase 1.1 : Prise de connaissance du
SI et évaluation des risques Phase 1.2 : Architecture applicative Phase 1.3 : Processus métiers
Introduction Démarche RTS attendus
Plan détaillé du guide Contrôle du système d ’information : Orientation et planification (2/4) Zoom sur le découpage de chaque phase en Introduction - Démarche - Résultats attendus
(EXEMPLE)
21Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Résultats attendus
Phase 1Orientation
et planification Phase 1.1 : Prise de connaissance du
SI et évaluation des risques Phase 1.2 : Architecture applicative Phase 1.3 : Processus métiers
Introduction Démarche RTS attendus
Plan détaillé du guide Contrôle du système d ’information : Orientation et planification (3/4) Zoom sur le découpage de chaque phase en Introduction - Démarche - Résultats attendus
(EXEMPLE)
Exemples
Résultats attendus
• Vue générale du SI• Évaluation du risque général système d ’information (cartographie des risques)• Points spécifiques à contrôler et caractéristiques associées (exemple : l ’entreprise utilise le PGI XYZ)
Fiche Exemple : Cartographie des risques (Source : Mazars-Guerard)
Tiers
Échanges
Achats
Production
Tiers (contact, mailing)
Relations d ’affaires
Base documentaire
EDI
Données support info.
Données support papier
Sécurisation
Messagerie interne, workflow, GED
Appels offresCotations
Politique achat, budget, simulation
Suivi des réalisations
Processus 1
Processus 2
Processus 3
Stocks et encoursSynthèse &statistiques
Production
Investissements
Distribution
Ventes
Support
Directionindustrielle
Pilotage
Risque élevéRisque moyen
Risque faible
Investissement / Maintenance
Production propre
MarketingVentes
Admn. Des ventesFraiscommerc.
Négoce
Accord de distribution
Juridique
Paye / RHTrésorerie
Fiscalité
PlacementsReporting, communication
Comptabilité Tableaux de bord
Etats d ’alerte Gestion prév.
Planning production
Cadence
Contrôlequalité
R&D
Syst
ème
info
rmat
ique
s
GPAO
Contrôle gestion
22Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Résultats attendus
Phase 1Orientation
et planification Phase 1.1 : Prise de connaissance du
SI et évaluation des risques Phase 1.2 : Architecture applicative Phase 1.3 : Processus métiers
Introduction Démarche RTS attendus
Plan détaillé du guide Contrôle du système d ’information : Orientation et planification (4/4) Zoom sur le découpage de chaque phase en Introduction - Démarche - Résultats attendus
(EXEMPLE)
Exemples
Résultats attendus
• Vue générale du SI• Évaluation du risque général système d ’information (cartographie des risques)• Points spécifiques à contrôler et caractéristiques associées (exemple : l ’entreprise utilise le PGI XYZ)
Fiche Exemple : Cartographie des risques (Source : Mazars-Guerard) Coût
Qualité
Fonctionnalité
Délai
Fort
Modéré
Faible
Risquesgénéraux
Identification desfonctionnalités
Classement desfonctionnalités
Identification des données deréférence
Contraintes techniquesinternes
Fort
Modéré
Faible
Analysedes contrôles
23Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Plan détaillé du guide Contrôle du système d ’information : Étude et évaluation du contrôle interne (1/3)
Phase 2Etude et évaluation du contrôle interne
Phase 2.2 : Contrôle internesur l ’architecture applicative
Phase 2.3 Contrôle internesur les processus métiers
Introduction Démarche RTS attendus Introduction Démarche RTS attendus
A partir des fiches diagnostic correspondant aux situations rencontrées, effectuer les contrôles internes sur les composantes de l ’architecture applicative (les objectifs de contrôle spécifiques au SI sont différents des objectifs de contrôles sur les cycles et doivent être définis) Estimation des risques associés
A partir des fiches diagnostic correspondant aux situations rencontrées, effectuer les contrôles internes sur les composantes des processus métiers / suppports externalisables (les objectifs de contrôle spécifiques au SI sont différents des objectifs de contrôles sur les cycles et doivent être définis) Estimation des risques associés
Phase 2.1 : Contrôle internesur l ’organisation générale du SI
Introduction Démarche RTS attendus
A partir des fiches diagnostic correspondant aux situations rencontrées, effectuer les contrôles internes sur l ’organisation générale du SI (les objectifs de contrôle spécifiques au SI sont différents des objectifs de contrôles sur les cycles et doivent être définis) Estimation des risques associés
Fiches outils : tests de cheminement, environnements de tests (jeux d ’essais), interrogation de données
Traduire les impacts des risques SI au niveau du contrôle interne sur les cycles (immobilisation, trésorerie -paiements / encaissements, stocks, ventes, achats, paie), dont pour rappel les objectifs de contrôle sont les suivants :Existence : actif ou passif existant à une date donnée, Droits et obligations, Rattachement, Exhaustivité, Evaluation, Mesure, Présentation et informations données
24Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Plan détaillé du guide Contrôle du système d ’information : Étude et évaluation du contrôle interne (2/3)
Phase 2Etude et
évaluation du contrôle interne
Phase 2.2 : Contrôle internesur l ’architecture applicative
Introduction Démarche RTS attendus
APPLICATION XYZ
ASP
Plate-forme d’analyse
Plate-frome partenaire
Client 1 Client 2 Client 3
Règle du jeu
EDI XBRL XMODEM
CODA
Interface CRE
Comptabilité Editique
Editique
Paiement Statistiques
Outil depaiement Outil statistique
Infocentre
Développementd ’une interface
Serveur internet auxEntreprises
PaiementArchivage
Qualité service /
Efficacitéopérationnelle
entreprise
Pilotage de larentabilité :
Chiffre d ’affaire
Frais de structure
Services internet
PORTAIL
Référencement despartenaires
Consolidation desflux de gestion
pour alimentation Infocentre
Prospect
Développementd ’interfaces directes :• personnes /bénéficiaires• produits• contrats
Contrats
Individus /Entreprises
Produits / Garanties
Contrats
REFERENTIEL
Phase 2.1 : Contrôle interne sur organisation générale du SI
Phase 2.3 : Contrôle interne sur les Processus métiers
25Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Plan détaillé du guide Contrôle du système d ’information : Étude et évaluation du contrôle interne (3/3)
Phase 2Etude et
évaluation du contrôle interne
Phase 2.3 Contrôle internesur les processus métiers
Introduction Démarche RTS attendus
Vérifier exhaustivitédocuments
FichierPersonnes
Rédiger courrierdemande
renseignement
Consultercomposantes
contrat
Vérifierexistenceindividu
Créer individu
Rattachergaranties
Appli 1
Appli 2
Appli 2
Oui Non
Oui Non
1- Documents nécessaires à la souscription du contrat : Carte d ’identité, formulaire XYZ complété
2- Vérification de la présence éventuelle d ’autres informations sur l ’individu
3- La recherche de l'individu dans les bases peut s'effectuer soit par le numéroSS, soit sur le nom (recherche alphabétique)
4- La création de l'individu dans les bases se termine par le rattachement d'unedes garanties du contrat
5- Rattachement des autres garanties à l'individu
Acteurs concernés
•Gestionnaires contrat
Commentaires
CourrierX
Points clés
La garantie X est considéré comme rattachée à l’assuréprincipal au moment de la souscription du contrat
Triple saisie des informations dans des bases différentes (4D, Oracle…)
Délai pour impression des documents commerciaux : entre 2 et 3 semaines
Fréquence de radiation des bases 4D : annuellePROCESSUS 3
Phase 2.2 : Contrôle interne surl ’architecture applicative
Phase 2.1 : Contrôle interne sur organisation générale du SI
26Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Plan détaillé du guide Contrôle du système d ’information : Fiche de synthèse des risques
Phase 3Fiche de synthèse
des risques
Erreurs potentielles Exhaustivité Réalité Evaluation Enregistrementbonne période
ImputationTotalisation
Cycles avec incidence ducontrôle interne
RCIRCC
RCIRCC
RCIRCC
RCIRCC
RCIRCC
Immo corporelles etincorporelles
idem idem idem idem idem
Opérations financières idem idem idem idem idemStocks et travaux en cours idem idem idem idem idemProduits et créancesd’exploitation
idem idem idem idem idem
Dettes et chargesd’exploitation
idem idem idem idem idem
Personnel idem idem idem idem idem
Risque RCI RCCCycles sans incidence ducontrôle interneCapitaux propresProvisions pour risques etchargesImmobilisations financièresEtat fiscalitéOpérations exceptionnellesAutres comptes
RCI : risque liés à l’évaluation finale du contrôle interneRCC : niveau de risque retenu pour le contrôle des comptesRisque général :
Risque d’audit résultant :
Définir les risques purement SI (différents des risques correspondant aux cycles) ainsi
que les objectifs de contrôle associés
27Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Phase 4Contrôle des
comptes
Plan détaillé du guide Contrôle du système d ’information : Contrôle des comptes
Pour rappel, le contrôle des comptes s ’effectuent par cycle : capitaux propres, provisions pour risques et charges, immobilisations corporelles et incorporelles...
Les travaux effectués en amont devraient alléger la partie contrôle des comptes par rapport à l ’approche traditionnelle
L’existence de systèmes informatisés influe à 3 niveaux sur l’approche de contrôle des comptes :
L’utilisation des contrôles programmés par l’entreprise selon l’appréciation qui a été faite de leur fiabilité
L’exploitation des fichiers de l’entreprise L’utilisation de l’informatique pour la documentation ou la réalisation de certains
travaux de contrôles
Sur la base des risques SI identifiés lors du contrôle interne Valorisation financière des risques spécifiques SI détectés dans la phase 3 Réalisation des contrôles des comptes complémentaires (allègement de cette phase
par rapport à l ’approche générale)• Mise en place d ’un système de contrôle des comptes automatisé et exhaustif
Mise en place d ’un système pérenne de non régression
28Groupe de travail - Guide pratique audit informatique -
Réunion du 19/10/01
Actions à mener
Valider la forme du support : Classeur et Fiches
Valider la structure du classeur Onglet 1 : Phases (objectifs, démarche, résultat) Onglet 2 : Fiches diagnostic Onglet 3 : Exemples Onglet 4 : Fiches Outils Onglet 5 : Lexique
Définir la charte graphique de chacune des fiches types
Pour chacune des phases, identifier : l ’introduction, la démarche (liste des étapes), les résultats attendus les fiches diagnostic, outils à créer les cas et exemples
Définir le niveau de détail des fiches pour validation
Identifier les renvois à effectuer avec le Guide outils données
Définir le calendrier de livraison rédacteurs pour validation