Home

2265U08 – Audit Systèmes Informatiques - Zenk

Contents

1. COSO Component 5 i 5 H j He i E AH HE HAE HE HIER gi AE RE all E our mcm DAME HHC HEHHE Plan and Organize IT Environment Deliver ad Support Comte Oporations aad Access to Programs and Data e Define IT strategic planning e e o Defne and manage service levels e eee Define the information architecture Manage thid pary services ee o e Determine technological direction Manage periormance and capacty e Define the IT processes organization and relationships e e o Ensure continuous service Manage the IT investment Ensure systems security ee o e Communicate management aims and direction e e Identify and allocate costs e Manage If human resources e e e Educate and train users e e Manage quabty e Manage service desk end incidents e oo e Assess and manage I risks e Manage the configuration ee Manage projects Manage problems eee Acquire and implement Programa Development and Program Change Manage data ee identify automated solutions Manage the physical ervironment ele Acquire and maintain application software e Manage operations ele Acquire and maintain technology infrastructure e Monitor and Evahaste IT Emironment Enable operation and use e o e Monitor and evaluate IT performance eeo Procure IT resources e Monitor and evaluate
2. M J r me BRZEZINSKI Management Global Gestion et Informatique Formation 4 l audit informatique Synopsis Organisation des cours d audit informatique 1 Introduction 11 janvier 2007 La notion de risque Les types de risque Le management des risques Les risques li s aux syst mes d information Impact sur la d marche g n rale 2 Revue g n rale informatique 18 janvier 2007 La politique informatique L organisation et les quipes du service informatique La configuration mat rielle et r seau La cartographie applicative Les contr les g n raux informatiques La gestion de la s curit informatique La gestion des changements informatiques Le d veloppement informatique L exploitation informatique Exemples 3 Revue d applications informatique 25 janvier 2007 Historique et insertion de l application dans l architecture globale Couverture fonctionnelle amp dysfonctionnements Sch ma des traitements et matrice de contr le Identification des risques Approfondissement des risques identifi s Analyse des aspects qualitatifs 4 Test informatiques 1 f vrier 2007 Avantages des tests informatiques Situations amenant proc der des test informatiques Typologie des tests informatiques D marche dans le cadre d une mission CAC Les facteurs de r ussite Pr sentation de l outil IDEA 5 Audit de la s curit informatique 8 f vrier 2007 Etat
3. Industrie Services Distribution Secteur public Les protections mises en place par les entreprises e Ces d penses des entreprises li es la s curit se r partissent de la fa on suivante R seaux 7 38 e Cela ne repr sente que 1 des budgets informatiques des entreprises La s curit une pr occupation majeure e L informatique est un outil strat gique e Les Directions G n rales sont particuli rement sensibles aux cons quences d un ventuel sinistre e Un sinistre important peut remettre en cause la survie de l entreprise les risques doivent tre valu s Les principes fondamentaux Confidentialit Protection des donn es et syst mes sensibles contre toute divulgation non autoris e Pr servation de l exactitude et de la coh rence des donn es des syst mes et des logiciels Garantie d acc s aux donn es et aux syst mes dans des conditions satisfaisantes Les bonnes pratiques e Mise en place d un poste de RSSI e D finition d une politique de s curit e Plan de s curit IT analyse des risques plan d action e D finition des standards en mati res de s curit e Mise en place de proc dures de s curit physique logique applications r seaux e D finition d une charte de s curit sign e par les collaborateur e Suivis des incidents de s curit e Audit p riodique de la s curit test d intrusion e D finition de niveau de serv
4. anomalie identifi e Preuve du contr le Proc dures applicables Qualification COSO objectif IF O C et assertions de contr le interne Activit s de contr le quelques exemples Exemples issus d une soci t d infog rance Validation par un expert de l architecture propos e au client par l avant vente Phase de VABF VSR V rification d Aptitude au Bon Fonctionnement V rification de Service R gulier Autorisation des mises en production tude d impact des volutions de l infrastructure Supervision du niveau de service Pilotage des relations avec les prestataires Sauvegarde des donn es Suivi des configurations Analyse froid des incidents Autorisation client pour les modifications de donn es Maintenance pr ventive Contr le des op rations d exploitation La d marche Sarbanes Oxley Evaluation du niveau de maturit Maturity Level Overview Effect Cible niveau3 defined pour toutes les activit s de contr le cl s La dimension syst me d information R le particulier du Syst me d Information 1 Support des processus de l entreprise notamment Gestion Finance 2 Acteur du syst me de contr le sur ces processus via les contr les automatiques 3 Source de risques sp cifiques n cessitant la mise en place de contr les ad hoc La dimension syst me d information La d marche Sarbanes Oxley appliqu e au SI 6 Build
5. appuie t il sur une analyse des risques associ s indisponibilit des diff rentes applications e Tests r guliers du plan de secours e Conservation l ext rieur du centre informatique des copies de fichiers de donn es et des programmes de production e Contr le du contenu des sauvegardes avec les fichiers en production e Restauration p riodique des sauvegardes e Refacturation aux utilisateurs D marche Objectif de contr le 20 Exploitation o O Des contrats de service internes et externes Service Level Agreement sont d finis et g r s afin de r pondre aux besoins des syst mes de reporting financier Ces contrats d finissent les r les et responsabilit s de chacune des parties et explicitent les services fournis et attendus Pour g rer les contrats de service aussi bien internes qu externes des indicateurs cl s de performance sont d finis de performance des prestataires La s lection des fournisseurs de services d outsourcing est r alis e conform ment la politique de l organisation en mati re de gestion des fournisseurs Les fournisseurs pressentis sont correctement qualifi s au travers Accuracy completeness d une d monstration de leur capacit fournir le service demand and timely processing of et de leur solidit financi re systems jobs Les contrats avec les tiers d finissent les risques identifi s les contr les et proc dures de s curit mis en place pour les s
6. r conciliation Les comptes aliment s par des processus automatis s ont t d finis comme tel en vue de bloquer toute imputation manuelle LA DEMARCHE 56 Les processus tant standardis s la majorit des contr les est connue et le temps n cessaire leur identification r duit de mani re tr s significative La phase de pr paration de la mission d audit peut tre renforc e par e Une analyse du syst me SAP e Le lancement d tats d exceptions e Des extractions de donn es et r alisation de requ tes et ainsi permettre de concentrer le temps d intervention terrain sur l analyse de r sultats de tests N cessit d int grer dans l quipe d audit des auditeurs sp cialis s ERP Les donn es tant structur es en tables dans les ERP de nombreux tests peuvent tre r alis s partir d extractions de donn es puis retraitements et requ tes SQL Access IDEA Ex tables SAP relatives aux commandes d achats TE URCHS Purchemieg Statisties Account Ansigreent in Purcreenteg cumert AUGMENTER LA PERTINENCE DES TESTS Diminution du nombre de tests r alis s par chantillonnage au profit de tests r alis s sur des bases exhaustives Exemple e existence d une commande pour chaque facture fournisseur peut tre v rifi e par chantillonnage et retour aux pi ces justificatives e mais aussi al aide de requ tes SAP sur une base exhaustive La connaissance technique
7. Vend or Master Maint MM 8 01 PUO2 PUC3 PUD4 PUDS PU06 PUO7 PUOB P Uv i 3 Goods Receipt on PO N v Physical Inventory Vendor Master Maint FI Vendor Master Maint MM Vendor Master Maint CEN Bank Reconciliation Material Master Maint Requisitioning amp Purchase Order Purchasing Agreements amp Goods Receipt on PO Physical Inventory Maintain Security High financis risk segregation of duties conflict Madium francial risk segragation af duties corflict Financial rah sagrestan of duties confici Il existe de nombreux outils permettant d auditer les autorisations et la s paration des fonctions en environnement SAP Le module Audit Information System AIS de SAP Et des outils du march e Virsa lt SAP Compliance Suite CSI CSI Authorization Auditor Bindview bv Control for SAP Approva BizRights Revue autorisations amp s paration des fonctions Remote security monitoring Evaluation de la fiabilit des processus KPI de monitoring du contr le interne 53 Remote security monitoring OBJECTIFS e Permettre un monitoring continue du niveau de s curit d un syst me SAP gr ce un dispositif de contr le r current e Satisfaire aux nouvelles obligations en mati re de contr le interne en valuant les s curit s SAP au niveau Groupe e R duire la charge de testing d un groupe soumis aux obliga
8. le de gestion Suivi des volumes vers s recoupements Analyse des critures comptables OD op rations diverses Analyse des op rations r pondant a certains crit res seuils montant ronds critures pass es le week end Traces des acc s Possibilit de retrouver l ensemble des manipulations effectu es tel jour par tel agent sur tel dossier Application des patchs de s curit sur les firewalls et les routeurs S curisation des mots de passe d acc s au routeur firewall Les th mes tudier les acc s des informaticiens Les informaticiens constituent une population risque Ils maitrisent les traitements autant sous leurs aspects fonctionnels que techniques Ils sont capables de cerner s il y a ou non une possibilit de d tection Ils sont quelquefois en mesure d effacer les traces de leurs manipulations Il est donc n cessaire de Leur interdire l acc s direct l environnement de production Mettre en place une proc dure de contr le des mises en production des programmes 43 Exemple dans le secteur de la distribution Objectifs de d part e Dans le secteur de la distribution les ristournes accord s par les fournisseurs sont des informations strat giques et donc tr s confidentielles e Les risques de divulgation l ext rieur sont ils faibles e Comment am liorer encore la protection D marche suivie Recensement des fichiers et tats confidentiels Audit des
9. paie et ressources humaines etc Tous ces logiciels acc dent des ressources communes en particulier des bases de donn es et donc des donn es de base Segments du march des ERP Le march des ERP comporte plusieurs segments primaires par taille de clients auxquels correspondent des diteurs diff rents e grands comptes SAP Oracle PeopleSoft e grosses PME Microsoft Lawson SSA Global Geac SAP Oracle PeopleSoft e petites PME Microsoft Epicor Exacta Sage NetSuite SAP BusinessOne petites entreprises Sage Intuit ACCPAC NetSuite Taille du march fran ais des ERP en 2004 3 4 Milliards d Euros Les principaux acteurs du march ERP en France Les diteurs d ERP en France parts de march en 2004 SSA Cegid SAP 3 b 39 Adonix 5 Intenta Consulting 8 Oracle 10 PeopleSoft 18 Les soci t s de services fran aises sp cialis es en ERP Autres 51 IBM Global as Sopra one Cap Gemini 15 Accenture 14 nilog 11 Rq en d cembre 2004 Gade a rachet PeopleSoft pour 10 milliards de Les tendances du march ERP en France 47 Evolution de la croissance du march fran ais des licences d ERP 1997 2004 20 00 30 00 997 1998 1999 2000 2001 2002 2003 2004 Source IDC 2004 14 12 10 8 6 4 2 0 Conseil Int gration TMAvInfog rance Licences maintenance d applications 02003 m2
10. tudier e les fiches d incident tenus par l exploitation informatique et ou par les utilisateurs e le dossier d exploitation de l application pour appr cier l existence de points de reprise en cas d incident e les proc dures utilisateurs pour le recyclage des anomalies e le planning d exploitation pour appr cier si une attention particuli re est donn e l application Approfondissement des risques identifi s 26 e Proc dures palliatives contr les par les utilisateurs existence d une cellule de pilotage et de contr le des donn es produites proposer la mise en uvre de contr les compl mentaires e Mise en place ventuelle de tests informatiques cibl s identification des risques r alisation d un cahier des charges mise en place des tests Rq distinguer les anomalies intrins ques ou les anomalies engendr es par la mauvaise construction ou interpr tation des tests r union de synth se Analyse des aspects qualitatifs e L ad quation fonctionnelle e La satisfaction des utilisateurs e L volutivit e Le bilan conomique e Les performances L ad quation fonctionnelle tude des points suivants e implication des utilisateurs dans les choix et ou d veloppements informatiques e coh rence et stabilit de la demande exprim e collecter les demandes de mise jour de l application e appr cier la fr quence de maintenance corrective sur l application e v rifier que les restitut
11. voluer vers un poste de RS Recours des expertises externes sch ma directeur pilotage de projets s curit Rq sch ma directeur une d clinaison informatique et business des acteurs op rationnels Evolution des moyens mis en uvre Les tendances observ es utilisation de normes et m thodes reconnues Afnor Clusif et des best practices niveau de formalisation plus lev Rq la quantit des documentations augmente compr hension et traduction des besoins utilisateurs niveau de service performances satisfaction volution vers des relations de type client fournisseur Les m thodes d investigation Couverture des risques inh rents e Revue G n rale Informatique Ja politique informatique l organisation et les quipes du service informatique la configuration mat rielle et r seau la cartographie applicative l a gestion de la s curit informatique le d veloppement informatique l exploitation informatique e Audit s curit s curit physique et logique continuit d exploitation Couverture des risques li s aux processus externes e revue d application application traditionnelle Audit des flux versus audit des traitements e approche ERP audit du param trage e certification de sites de commerce lectronique CRITERES QUALITATIFS ADD SCEAUX Secure t WebTrust PROTECTION DONNEES PERSONNELLES SECURITE DES DONNEES INTEGRITE DU PROCESSUS D ACHAT PRATI
12. 1970 s 1980 s 3 0d 3 0e 3 0f 1996 1997 3 1g 3 1h 3 111997 1998 4 0b1998 4 5a b1999 4 6a b c2000 2001 4 70 Enterprise 2004 Les versions non maintenues par SAP jusqu la 4 0b gt risque pour le client L architecture du syst me SAP Reporting Configuration Security SAP Database O S Network Integrated turnkey solutions He La structure modulaire de SAP Open systems D poser e Les modules SAP meine y NC ets e Le module Finance FI se ay XK specific General Ledger FI GL Accounts Receivable FI AR SET Accounts Payable FI AP server architecture Enterprise data Comprehensive model implementation supp Tax and Financial Reports Special Purpose Ledger Special Purpose Ledger Legal Consolidations Financial Applications Le module Contr le de Gestion CO Cost Center Accounting Profit Center Accounting Product Cost Controlling Profitability Analysis Activity Cost Management Internal Orders Financial Applications Le module Gestion des Immobilisation FI AA Depreciation Property Values Insurance Policies Capital Investment Grants Financial Applications Le module Gestion des Achats MM Procurement Inventory Management Vendor Evaluation Invoice Verification Warehouse Management Logistics Applications Le module Gestion de la Production PP Sales amp Operations Planning Demand Management Mater
13. Cabinet d Audit reporting financiers Attestation de l Auditenr sur le pport du Management Interdiction pour l entreprise 409 Obligation de publication s il Publication Imm diate de tout de consentir des pr ts aux existe du Code d thique 203 changement significatif de la dirigeants applicable aux Dirigeants et Rotation des associ s tous les 5 situation financi re aux principaux responsables ans financiers Si ce Code n existe pas justification demand e Le Comit d Audit comprend au moins un expert financier Section 302 Certification sous la forme d une attestation des proc dures et des contr les relatifs la publication de l information financi re l ensemble des documents faisant l objet d une publication 63 Ex le document de base Section 404 Rapport de la Direction sur sa propre valuation de l efficacit du dispositif de contr le interne du reporting financier Rapport des auditeurs externes CAC sur e L valuation faite par la Direction e Leur propre valuation de l efficacit du dispositif e Leur opinion sur les tats financiers Cons quences de la loi La loi Sarbanes Oxley demande plus qu un sentiment sur le contr le interne Ce que les soci t s doivent d montrer e L existence de contr les document s d crit prouv pour toutes les activit s entit s majeures e L existence d une d marche pour valuer la mise en uvre et l
14. MLA CDI sur 21 Fibre Mode Formulars Ey Sg Se A AA AE ES pur Eten aAffichage Insertion Fort Emeygienens Que Fene 2 Risk and Advisory Services kee Synema integration Controle Filters Control Overview Workpaper Report Mgmt Response ie ES foma ype Fortguration Gia WO ander SAP EE Conor opjective Potential dune rwoices ere Wentted Controtnetvay EAF Fac boon configured to dun porental duotisate mvolcoe during data ent col Likelihood Expected Control pera eran fest Procedures Petre ch acri EUR a RS Pactan PR RO ot fononga table Fable LEA Garder Master general selection and includa the feid KTOKK Nen ip Vongors Review whether the Double at roi mr coda ta Pewnenttrentcton croup rests or tna vendor grouns ua HET T Poser mr m SA Workpapor Status f1 Not Started Contrersirenam r semence LD osipoaurmentsin Ba marusettn La valeur ajout e e Avoir une vision compl te et exacte des contr les au sein des processus e Permettre une couverture plus large des risques 58 e Etre capable de proposer des recommandations pr cises gr ce ala connaissance technique du syst me et des possibilit s de contr les qu il offre e Identifier des axes d optimisation du contr le interne Augmenter le niveau d assurance et renforcer l image de l Audit Interne Revue autorisations amp s paration des fonctions Re
15. Sustainability Consider automating contrcls to mprove their reliability and reduce esting effort Rationalize to eliminate redundant and duplicate controls 4 Evaluate Control Design and Operating Effectiveness 2 Assess IT Risk Determine that all key controls are documented e Assess the likelihood Test controls to confirm 1 Plan and and impact of IT iheir ia stems causin op 9 Scope IT Controls i i g affectveness 3 Review overall project nancial statement 5 Prioritize and Remediate cocumentation and error or fraud Fronte S identify application Deficiencies contrals Evaluate deficiencies by assessing 2 Identify in scope their impact and likelihood of causing G applications financial statement error or fraud on Identity in scope Consider whether compensating controls a infrastructure and exist and can be relied upon databases 3 Document Controls Document application controls automated or configured controls and hybrid contras Document IT general controls access program development and change and computer operations Sarbanes Oxley Compliance Attentes du PCAOB IT General Controls 70 Gestion de projet d veloppement des applications Gestion de l volution des applications Acc s aux programmes et aux donn es Exploitation informatique Utilisation d outils bureautiques end user computing Probl me ces attentes sont assez peu pr c
16. contr ler l exactitude des fichiers clients en les rapprochant des sources externes disponibles La phase d exploitation Premi re exploitation commune des r sultats par les auditeurs informatiques et les auditeurs financiers pour valider les r sultats du test avant de les remettre au client e Les tests mis en uvre permettent ils de r pondre aux interrogations du CAC Les auditeurs financiers et informatiques doivent v rifier a posteriori que le travail des premiers r pond l attente des seconds e Les tests mise en uvre sont ils utiles Pr paration de la saison suivante supprimer certains tests que l exp rience a rendu inutiles ou au contraire en rajouter d autres plus pertinents ou compl mentaires e Les tests sont ils fiables Malgr tout le professionnalisme des auditeurs il se peut que les r sultats des tests informatiques ne soient pas pertinents du fait d erreurs qui se seraient gliss es dans les programmes d extraction Un audit de l audit informatique s impose attention aux conclusions trop hatives Outils de traitement Les outils d interrogation de fichiers sont trop nombreux pour dresser ici une liste exhaustive Nous avons retenu les principaux outils commercialis s Sur micro ordinateur e IDEA Interactive Data Extraction and Analysis outil d velopp par l institut canadien des experts comptables agr s et utilis par KPMG e ACL Audit Command Language out
17. dans les applications p riph riques est r alis e apr s chaque modification dans la nouvelle chaine commerciale En revanche la MAJ du fichier des v hicules n est r alis e qu une seule fois par semaine Cette proc dure a pour inconv nient de ne pas assurer l homog n it des donn es exploit es un instant t n anmoins cette MAJ peut tre r alis e selon une p riodicit plus courte La chine Pi ces D tach es exploite ses propres fichiers clients et produits cel qui ne garantit pas l homog n it des donn es trait es Les contr les g n raux informatiques Pr sentation D finition des IT General Controls Ensemble des proc dures de contr les contribuant assurer un bon fonctionnement continu des syst mes d information Principe des travaux e Identification des contr les en place e Evaluation du design et de l efficacit de ces contr les par la r alisation de tests entretiens collecte et revue de documentation 14 1 Access to programs and data Integrity of program data 1 A Implementation of security practices and audit trail 1 B Logical and physical access to IT computing resources 1 C Segregation of duties 2 Program changes 2A Changes have been authorized documented and tested Impact on control and 2 B System and application configuration data integrity changes 2 C Migration of changes into production 3 Program development
18. de SAP permet d valuer des contr les critiques programm s au sein de ERP Exemple e Vefficacit du 3 way match rapprochement commande r ception et facture fournisseur peut tre valu e suite une revue du param trage SAP cl s de tol rances entre autres et l analyse d tats d exceptions produits l aide de queries factures pour lesquelles le 3 way match a t contourn GAGNER EN EFFICACITE L auditeur a acc s de mani re imm diate aux informations qui lui sont n cessaires Automatisation des tests auparavant r alis s manuellement e Recherche des factures fournisseurs saisies pay es en double e Validation par un niveau hi rarchique ad quat des engagements de d penses e Coh rence entre les d lais de paiement indiqu s sur les factures clients et les d lais de paiement enregistr s dans les master data 51 e Validation de la provision pour factures recevoir Capitalisation des outils requ tes de tests cr s lors d un premier audit Mise en place et utilisation d indicateurs de performance du contr le interne automatiquement calcul s dans SAP utilisables lors des phases de scoping et ou de testing Les outils pour valuer la fiabilit des processus e Le contr le interne n tant pas une priorit pour les diteurs de progiciels ni les int grateurs il existe sur le march peu d outils r f ren ant l ensemble des points de contr les existant
19. de s curit la disponibilit et l int grit des traitements FR USER DRAC AP PG P2 25 BEPBAC 5 2707 96 Moy 38 Bac 1 3 ans i O Configuration mat rielle Existant Un IBM AS 400 B 60 quip de 96 MO de m moire centrale et 10 2 GO de disques charge de l AS400 o 108 crans 4 PC connect s 30 imprimantes fonction de collecte des mesures de performances non utilis e en interne temps de r ponse mauvais UC occup plus de 85 dans la journ e espace disque occup e 68 22 h berge actuellement gestion commerciale la comptabilit g n rale la paye et la tr sorerie tude et production achet en leasing acquisition d un AS400 E10 envisag pour supporter la comptabilit e 64 micros ordinations ratio nombre de licences achet es nombre d utilisateurs pouvant tre estim 50 absence de normes pour les applications bureautiques du type tableur et traitement de texte Excel Multiplan et Lotus pour les tableurs Cartographie applicative Existant e Applications significatives Logiciel sp cifique maison 1 Progiciel ANTALIA de PRISME Paye Progiciel PMP 38 de PROLAND CONCEPT 1 Application d velopp e en 1982 sur IBM 36 Les informations l origine du d veloppement ne font plus partie de l entreprise La documentation est quasi inexistante m me apr s divers volutions majeures de l application an
20. des lieux Continuit de service Confidentialit des informations et risques de fraude Risques d erreur et de dysfonctionnement M thode MARION 6 Contr le interne SOX 22 f vrier 2007 e Contexte e D marche SOX e Dimension Syst mes d information e Cas des processus externalis s 7 Audit en environnement ERP 15 f vrier 2007 e Impacts des ERP sur les risques li s au SI e L approche sp cifique d audit des ERP e Exemple de flux SAP e La fraude et les m thodes de pr vention de d tection 8 Examen 8 mars 2007 e Questionnaire choix multiple de type CISA Introduction Notion de risque D finition e Risque Danger inconv nient plus ou moins probable auquel on est expos Larousse e Les implications directes Risque pour qui Rq en fonction de l activit ex industries banques etc et de la taille ex r gionale nationale internationale des entreprises les risques ne sont pas les m mes Importance relative impact Probabilit d occurrence Les concepts associ s Vulnerabilite e Risque Fonction de la menace et de la vuln rabilit Caract ris par une probabilit et un impact Un peu d histoire e Dela perception de l avenir Jusqu a l poque de la Renaissance l avenir est entre les mains d une force sup rieure et l homme agit dans une perspective d ternit La notion de Progr s bouleverse le rappo
21. du Responsable Achats pour 10 fournisseurs s lectionn es al atoirement pour lesquels le nombre total et ou le montant total des factures exc de les limites autoris es Les prix utilis s dans les commandes achats sont ceux n goci s avec les fournisseurs formellement approuv s dans les contrats Les prix dans les e Param trage SAP commandes d achats sont e Contrats fournisseurs Objectif automatiquement copi s des SAPA de contrats saisis dans SAP qui contr le correspondent aux contrats papiers sign s avec les fournisseurs S assurer que le syst me SAP est param tr de fa on copier automatiquement les prix dans les commandes d achats parti des contrats et que ces prix ne peuvent tre modifi s manuellement Extraire la table SAP des contrats fournisseurs valides au cours de l ann e test e S lectionner al atoirement 10 contrats d achats partir de la liste des contrats SAP et obtenir du Responsable des Achats des copies des contrats papiers correspondants R concilier les 10 contrats SAP avec les contrats papiers et v rifier que les prix sont bien identiques Si des carts sont constat s obtenir des explications du Responsable des Achats Les commandes d achats ne sont pas livr es par les fournisseurs dans des Risque a d lais acceptables AS Donn es n cessaires Proc dures de tests nn Les commandes d achats en e Commandes d achats Lo retard de r ception sont Donn es fournisseu
22. dures 9 de tests Objectif de contr le Les factures fournisseurs ne Objectif faisant pas r f rence une de commande et une contr le r ception de stock font l objet d investigations Donn es n cessaires Hiau Les factures fournisseurs sont pay es pour des mati res premi res jamais q envoy es par le fournisseur All l Proc dures 9 de tests i 2007 02 22 Formation l audit informatique Contr le interne Exigences r glementaires Dimension SI Introduction Objectifs Rappeler le contexte global de renforcement des exigences r glementaires portant sur le contr le interne D finir la notion de contr le interne Pr senter le r f rentiel utilis pour l valuer Exposer la d marche globale de mise en uvre D finir la mani re dont la dimension syst me d information doit tre prise en compte Pr ciser les attentes dans le cas de processus externalis s Pourquoi une nouvelle r glementation L origine diverses affaires Remise en cause de la confiance g n rale des march s financiers risque majeur pour les US Mise en vidence de d faillances concernant La gouvernance de ces entreprises La fiabilit et la sinc rit des informations financi res publi es 62 L ind pendance des auditeurs R ponse du l gislateur US loi Sarbanes Oxley SOX e Trois axes d am lioration Engagement personnel fort des dirigeants Qualit du syst me
23. efficacit des contr les conception fonctionnement e L existence d un processus pour mettre jour le dispositif de contr le et la documentation associ e Audit des tats financiers et audit de contr le interne Deux natures d opinions e Audit des tats financiers une opinion mise par les CAC sur les comptes e Audit du contr le interne une opinion mise par l auditeur externe sur L efficacit du contr le interne et du reporting financier L valuation r alis e par la Direction Quelques sp cificit s de la mission sur le contr le interne e Mission r alis e conjointement avec la mission d audit des tats financiers e Recours encadr aux travaux r alis s par la soci t encourag par le PCAOB Public Company Accounting Oversignt Board Relations entre les deux opinions e Les deux conclusions sont li es Ex Un ajustement dans les tats financiers post cl ture peut avoir une incidence sur l opinion des auditeurs externes sur la qualit du processus de cl ture Comparaison LSF SOX Des objectifs communs 64 Pour une approche diff rente 65 Le contr le interne et Sarbanes Oxley D finition du contr le interne au sens du COSO Processus mis en oeuvre par la Direction G n rale la hi rarchie et le personnel d une entreprise et destin fournir une assurance raisonnable quant la r alisation d objectifs entrant dans les cat gories suivantes r a
24. imemal control e LU Manage changes ee e Ensure regulatory compliance e o o Install and accredit solutions and changes Gi e Provide T governance e e 71 Liens entre les ITGC SOX et le CoBIT Figure 1 Mapping to PCAOB and CosiT CosiT PCAOB IT General Controls E 5 a o P9 sg eg 85 Fes A iF EF EEE IT Control Objectives for Sarbanes Oxley 2 O2 G amp G S GS ads 1 Acquire and maintain application software Al2 e a 8 e 2 Acquire and maintain technology Al3 e infrastructure 3 Enable operations Al4 LJ a e 4 Install and accredit solutions and changes Al7 a 8 5 Manage changes AIG e e 6 Define and manage service levels DS1 e a s d 7 Manage third party services DS2 e e d s 8 Ensure systems security DS5 9 Manage the configuration DS9 10 Manage problems and incidents DS8 DS10 11 Manage data DS11 e 12 Manage the physical environment DS12 and operations DS13 e ITIL IT infrastructure libra Planning to Implement Service Management Service Managep z 734 on o G Service Support ICT infrastucture Management The Business Perspective ves 40cwow lt QO 037Nne Security sagement MS pplication Management CR 72 Cas des processus externalis s L externalisation d un processus ne modifie pas la responsabilit de l entreprise en ce qui concerne son contr le interne e Lorsque ce processus a un impact sur la f
25. interne sur les processus et les tats financiers y 4 A y Etats Proc dures d exception de contr le KPI manuelles Contr les Contr les S paration inh rents param tr s des fonctions Automatisation totale ou partielle dans l ERP e Il existe souvent un Core Model d clin adapt ensuite localement L approche sp cifique d audit des ERP Les missions d audit en environnement ERP doivent inclure e Pour les revues de s curit logique 51 Une revue d taill e des autorisations Une revue de la correcte mise en oeuvre de la s paration des fonctions e Pour les revues de processus Une revue de la correcte impl mentation des contr les totalement automatis s contr les param tr s Une revue de la correcte appr hension r alisation par les utilisateurs des contr les partiellement automatis s revue d tats d anomalies Revue autorisations amp s paration des fonctions Remote security monitoring valuation de la fiabilit des processus KPI de monitoring du contr le interne Revue autorisations amp s paration des fonctions Objectif couvrir les risques de diffusion d informations confidentielles et d acc s des transactions critiques L valuation des contr les mis en place pour assurer la s curisation des actifs et le respect de la confidentialit des informations les plus sensibles au sein de SAP se d roule en 3 tapes e analyse de la politique g
26. la paie e cumul des soldes des contrats cr diteurs et d biteurs au 31 12 N Tests de d tection d anomalies Objectifs et natures des tests e tester l exhaustivit et la r alit d un fichier s assurer que le fichier ne pr sente ni manque ni sur ajout d informations faire ressortir les trous de s quence ou les doublons dans une num rotation s quentielle Rq trous de s quence gt il s agit g n ralement de la num rotation des factures e tester l int grit d un fichier exactitude s assurer de la coh rence dans l absolu des donn es de la base et de la m canique de certains calculs contr ler l int grit de chacune des donn es d un fichier prises individuellement 34 rechercher des incoh rences entre deux ou plusieurs donn es soit au sein d un m me fichier soit dans plusieurs fichiers distincts tester la conformit d un fichier exactitude s assurer que les donn es respectent les r gles de calcul ou les principes comptables de la soci t appliquer les r gles de calcul aux donn es stock es et comparer le r sultat obtenu au r el Exemples dition de la liste des factures dont la r f rence appara t deux fois ou plus dans un fichier ce qui peut signifier que ces factures ont t enregistr es plusieurs fois d tection de bulletins de salaries pour lesquels le taux moyen de charges sociales est aberrant recherche des clients dont le taux de remise
27. la validation de la Direction G n rale Elaboration de la strat gie d audit e concevoir une charte d audit e attribuer les responsabilit s e allouer les ressources Evaluation des risques Evaluation des vuln rabilit s e d finir les outils et les moyens d investigation e valuer les dispositifs en place d tection et pr vention protection transfert e tablir la cartographie du risque r siduel Conception du plan d actions e objectifs claires et mesurables Ra plus il est simple plus il marcherait mieux e responsabilit s et moyens identifi s Rq avant tout cad les moyens de s curit s la gestion des risques est une mise en place d une politique de d marches de contr le Mise en uvre Mise en uvre op rationnelle e conception et d ploiement des solutions mode projet incluant les op rationnels mesure d efficacit respect des moyens allou s e int gration dans les processus existant Communication et formation e diffuser les r f rentiels Rq comment on mesure et classer les risques e int grer la gestion du risque dans les objectifs individuels Syst me d assurance Mesurer la conformit e suivi de la r alisation du plan d actions e tableau de bord de la gestion des risques Etablir le programme d audit e revue p riodique des vuln rabilit s contr les sp cifiques P renniser la d marche industrialiser les outils maintenir la communicati
28. mise en exploitation e Implication de l exploitation lors du d veloppement de nouvelles applications Evaluation de l impact sur le planning de traitements e Proc dure d approbation des transferts de programmes en exploitation e S paration bien tablie des fonctions avec les tudes e Existence de plusieurs environnements Environnement de d veloppement Environnement de test Environnement de production Points d attention li s la gestion des travaux e Existence d une planification automatique e Existence d une proc dure formalis e pour les travaux exceptionnels non planifi s e Existence de proc dures crites e Conservation de la ma trise de l encha nement des traitements e Standardisation du dossier d exploitation e Les op rateurs ont ils acc s aux logiciels de production Aux donn es de production e Peuvent ils modifier les programmes sources e Rotation des fonctions entre les op rateurs e Utilisation de moyens permettant de contr ler la bonne ex cution des traitements e Proc dure de suivi des incidents e D finition d un niveau de gravit des incidents e Revue p riodique des incidents non clos e Identification des sorties sensibles Points d attention li s la gestion des moyens e Maintenance e suivi des performances e suivi del espace disque disponible e suivi des consommations e le plan de secours couvre t il tous les sites Toutes les applications e s
29. syst mes Avantages des interrogations de fichiers Efficacit de l audit Repr sentativit des chantillons test s e automatisation des t ches permet de ne plus travaille sur un chantillon de la population mais sur sa totalit et d accro tre la pertinence et la productivit des travaux e les erreurs de contr le interne difficile d celer de par leur caract re exceptionnel peuvent tre d couvertes par un examen syst matique des donn es Validation des calculs complexes e il est possible d effectuer des calculs complexes ou des simulations qui apportent une valeur probante de certaines hypoth ses sur le r sultat comptable Productivit des travaux R utilisation des travaux e dans le cas de missions r currentes les tests informatiques ou autre programmes d velopp s macros sont utilisables sur plusieurs exercices moyennant une mise jour peu co teuse Batterie de tests standards 33 e une s rie de tests d velopp e pour une soci t ou un site peut tre r utilis e pour tout autre client disposant d un stockage magn tique d information con u selon la m me structure Meilleure compr hension des syst mes e vite l effet bo te noire des syst mes e plus g n ralement l intervention de sp cialistes de l informatique permet d largir la perception des m tiers de l intervenant Situation amenant proc der des interrogations de fichiers e Volume d i
30. t effectu par l entreprise ou doit tre effectu en collaboration avec elle 42 Couche syst me Un utilisateur se connectant doit s identifier et s authentifier D connection automatique nombre maximum de tentatives infructueuses Gestion des acc s aux objets sous MVS RACF Top Secret Gestion des autorisations sous AS 400 OS400 M canisme interne l application Gestion de profils Certains fichiers et transactions sont r serv s des utilisateurs d finis Les mots de passe application bases de donn es OS Sont ils r guli rement modifi s Int grent ils des crit res de complexit suffisants o Les th mes tudier La proc dure de demande d autorisation est elle formalis e Les acc s et les droits sont ils accord s par des responsables d finis Les d parts de personnels donnent ils lieu des suppressions des droits accord s Des audits des droits accord s sont ils r guli rement effectu s Les comptes g n riques sont ils limit s Les comptes techniques sont ils correctement s curis s Contr les a posteriori trace des acc s Revue de l utilisation des super utilisateurs Revue des tentatives d acc s infructueuses Les contr les d acc s physiques B timent bureaux armoires Badges digicodes Les proc dures organisationnelles S paration des fonctions Proc dure d autorisations d engagement de d penses seuil Contr
31. 0000001303 156 Rrrewative Services nbh Rasenhesner Sae 1132 Murchen ce con conn eonne owo Macrae Tem Gnd heka vero Indrtnesinasse 10 06 Mae tien oe wF moi 0001 60000 ONONDL 205 Hara Budino and Conemucton Manera 25 27 CE us ue o oncossooce Exemples de flux SAP Sous processus du processus Achats Calculate requirements and generate purchase requisition Manage supplier data Manage R amp P supplier G amp S and R amp P agreement Al Create R amp P purchase order A2 A3 A4 i AS A7 Receive raws amp packs a aT A9 AlO Create G amp S purchase Validate G amp S purchase Process supplier s order order myos x y Process supplier s payments 227 Audit tests Receive goods amp services A3 A7 Proc dures de tests Al die Des paiements sont effectu s des fournisseurs non autoris s selon les q r gles de soci t L utilisation du code e Factures d achat fournisseur g n rique 999 est limit e aux Donn es achats ponctuels lt 2 n cessaires Objectif de contr le occurrences et non significatifs lt 1000 Proc dures Extraire la table SAP des factures fournisseurs depuis le 1 1 N de tests Filtrer sur le code fournisseur 999 afin de n obtenir que les factures relatives au code fournisseur g n rique Grouper les factures par nom fournisseur en nombre total et en valeur 60 totale COUNT amp SUM e Obtenir des explications de la part
32. 006 4 TCAM PAC 2004 ME Introduction SAP SAP signification e Systeme e Application e Produit SAP cr en Allemagne a Walldorf en 1972 SAP leader mondial des ERP e 12 millions d utilisateurs dans plus de 50 pays e 91 500 installations e 1500 partenaires Les chiffres cl s du CA mondial de SAP en 2004 Revenue Breakdown by Sales Destination in millions percent change since previous year Japan 387 Rest of Asia Pacific 480 lt A S X 12 6 21 n Germany 1 780 USA 1 894 24 7 25 9 Rest of Americas 530 7 10 Rest of EMEA 2 443 33 6 48 Revenue Breakdown by Sector in millions percent change since previous year Public services 694 Financial services 619 9 15 Financial services 610 _ sag 7 9 Process industries 1 469 Service 20 6 industries 1 674 22 1 Discrete industries 1 808 24 9 Consumer industries 1 350 18 9 Le produit SAP e Original product was SAP R 2 on the mainframe introduced in 1974 e SAP R 3 introduced for smaller platforms using 3 tier architecture in October 1992 e SAP code is written in a proprietary fourth generation 4GL programming language developed by SAP known as Advanced Business Application Programming or ABAP 4 e SAP has bought other software companies to supplement its own e g HR module was not originally SAP s Les versions SAP 2 2h
33. 2000 et euro SIG GESTION COMMERCIALE FAYE COMPTABILITE TRESORERIE Politique informatique Existant e L informatique volue au fil de l eau S curit logique Existant e acc s aux applications les utilisateurs poss dent a priori des identifiants et des mots de passe il existe un m canisme de s curit propre PRISME les autres applications n offrent pas de m canisme propre de gestion de la confidentialit e acc s au syst me le niveau de s curit choisi au sein du syst me 20 Ja clef keylog Switch de 1 AS 400 est sur la position Normal 23 S curit physique Existant Quatre niveaux de sauvegarde sont effectu s tous les soirs Les neuf biblioth ques de donn es applicatives de disque disque et sur cartouche une soci t ext rieure r cup re les sauvegardes de l avant veille et les stocke dans ses locaux trois fois par semaine une fois par semaine l ensemble des biblioth ques syst mes sauvegard es sur bande apr s chaque traitement mensuel les neuf biblioth ques de donn es statistiques les cartouches tant conserv es sur place chaque modification le syst me d exploitation Back up contrat de back up sign en 1989 avec une soci t ext rieure pr voyant la mise disposition en cas d incident majeur o Etudes D veloppement informatique Existant R le des quipes Les quatre d veloppeurs se partagent
34. Assistance la d finition du plan de fonctionnement d grad Recherche d une solution de secours ext rieure Revue des assurances Confidentialit et risque de fraude Les risques La concurrence acc de au fichier client Un informaticien modifie un param tre Un utilisateur acc de au fichier des virements Des agents acc dent des fonctionnalit s sensibles Un hackers se connecte sur la machine centrale Un salari acc de la paye et augmente son salaire Le tr sorier d tourne 1 millions d Euros Un informaticien d tourne les arrondis son profit Un visiteur vole les lettres ch ques Les solutions existantes Authentification Mots de passe Reconnaissance vocale biom trique Identification par carte puce Droits d acc s logiques Cl s de chiffrement Protection du r seau interne DMZ isolation des acc s Internet VPN Serveur Proxy centralise les requ tes Internet blocage des utilisateurs Firewall autorisation des acc s analyse des flux Routeur filtrants routage des requ tes et des r ponses Contr les a priori et a posteriori Les th mes tudier Recensement des donn es confidentielles Il s agit de recenser Les donn es dont la divulgation porterait pr judice l entreprise Les transactions fonctionnalit s dont l usage doit tre restreint Les zones risques virements lettres ch ques o o Ce recensement doit avoir
35. QUES COMMERCIALES PROCEDURES DE CONTR LE INTERNE RECOURS DES CLIENTS DIMENSION INTERNATIONALE GARANTIE ASSURANCE CONTR LE PERMANENT tests informatique tests de valeur tests de d tection d anomalies tests de recoupement de bases tests de simulation outils d audit WinIdea ACL e respect des contraintes r glementaires article 103 environnement de contr le fonction de la r glementation en vigueur Synth se En mati re de gestion de risque la pratique n volue pas au m me rythme que la th orie La France reste globalement en retard par rapport aux pays anglo saxons Les freins souvent observ s sensibilisation de la DG appr ciation de l impact et de la probabilit vision dynamique lacunes de comp tences ad hoc Impact sur la d marche g n rale Cons quence de l informatisation pour auditeur Apparition de nouveaux risques e Augmentation des volumes e D mat rialisation de l information e Barri re technique e Automatisation des processus e volution du p rim tre du contr le interne Objectif e Int grer les travaux d audit informatique dans l approche de la mission pour participer a l mission de l opinion sur les comptes de la soci t e Cette tape doit permettre de mesurer les risques li s la pr sence de traitements automatis s e La d marche vise valuer en particulier les risques suivants principalement les risques E e V et
36. Risque couvrable Risque de taux Risque de cours Risque de change e Risque assurable Risque de vol Risque de catastrophe Risque d exploitation e Risque diversifiable Risque d approvisionnement Risque d exploitation La r gle du sur mesure e I n existe pas de classification universelle des risques pas plus que de syst me de gestion pr t l emploi e Chaque entreprise se doit de r aliser sa propre classification en fonction notamment de Son secteur d activit Sa position concurrentielle Son organisation m Ete Par propri t pour l entreprise Plan de secours Action imm diate Suivi p riodique Plan d action Probabilit Rq plan de secours est le plan d organisation et de r action pr vu en cas du risque concern survenu Le management des risques D marche g n rale L e Strat gie j D finition et qualification des risques Strat gie d audit ii e Evaluation des vuln rabilit s si Evaluation de vuln rabilit s Plan d action e Moyens de protection Mise en uvre des moyens de protection Plan de communication et de formation e Actions de suivi Mesure de la conformit Plan d audit Strat gie de risque D finition et qualification des risques e Identifier l ensemble des risques Inh rents l activit et au secteur Propres l organisation Etablir une classification par impact Obtenir
37. Unreliable valuation of 3 A Authorization development and testing financial information of new systems and applications 4 Computer operations 4 A Implementation backup and recovery procedures 4 B Problem management procedures 4 C Accuracy completeness and timely processing of systems jobs 5 End user computing 5 A IT general controls applied to end user computing environments Spreadsheets and other user developed programs Common in financial consolidation reporting and disclosures Document and test in relevant Audit Program Incorrect valuation due to incomplete information Unsecured confidential data Incorrect financial results o o La gestion de la s curit informatique Pr sentation La s curit logique e informations confidentielles ou sensibles e gestion des droits d acc s diff rents m canismes en place modalit s de gestion des identifiants et mots de passe proc dures d attribution des droits les droits d acc s en place font a priori partie de la revue d application La s curit physique et la continuit d exploitation e protection des mat riels e proc dures de sauvegarde e plan de secours e plan de fonctionnement d grad D marche Identification des contr les en place par entretien et revue de documentation Acc s aux programmes Contr les tester et aux donn es 15 Une politique de s curit de l information existe a t app
38. a r alisation des objectifs valuation des risques ma trise de l exposition de l exposition de l entreprise de l entreprise des v nements favorables Environnement de contr le Environnement de contr le d termine le niveau de sensibilisation du personnel aux besoins de sensibilisation du personnel aux besoins de contr le principaux concepts SOX COSO conna tre Environnement Activit s de de contr le contr le Cible objectifs O IF C contr le Risques Risques ce qui pourrait emp cher ce qui pourrait emp cher l entreprise d atteindre ses objectifs Objectifs de contr le le niveau que l entreprise se propose d atteindre concernant la ma trise de ces risques Activit s de contr le t che r alis e par l entreprise qui permet entreprise d atteindre l objectif de contr le et objectif de contr le et donc concourt la ma trise des risques Environnement de contr le notion plus diffuse regroupant les politiques principes qui participe n anmoins l atteinte des objectifs de contr le La d marche Sarbanes Oxley Selon SOX le management de l entreprise doit formaliser l acceptation de son r le quant la pertinence et au bon fonctionnement du syst me de contr le interne documenter les diff rents composants de ce syst me s interroger sur la bonne conception des contr les et tester leur efficacit 67 e identifier les d ficiences de contr
39. ai de renouvellement du mat riel Le plan de reprise Les applications ont elles t class es selon leur caract re strat gique Les actions entreprendre ont elles t formalis es e nomination d un responsable e priorisation des actions mener e affectation des taches Le plan de reprise est il test r guli rement Le temps de reprise est il acceptable Les proc dures de fonctionnement d grad Les proc dures de fonctionnement en cas de panne prolong e de l informatiques ont elles t d finies e Sinon Les protections en place permettent elles d affirmer que le risque est faible Quel serait l impact en cas de r alisation du risque e Sioui Les proc dures sont elles pertinentes Exemple une entreprise du secteur de la presse Objectifs de d part e Evaluer les risques significatifs d arr t de l informatique de production 40 e Recenser les solutions permettant de couvrir ces risques en valuant les investissements n cessaires e Envisager en priorit les solutions conomiques couvrant les risques co teux e Etre concret ne pas viser seulement se donner bonne conscience D marche suivie Etude de l existant Recensement et Arbitrage et laboration du plan d action valuation du co t des solutions Moyens de protection en place e un mat riel fiabilis redondance 2 unit s centrales mirroring 2 copies sur disque ma
40. ats Reporting obtenus 54 e Calcul de KPI s curit aux niveaux entit et Groupe e Identification des Best in class au sein du Groupe e Suivi de l volution des r sultats p riode apr s p riode Reporting e Formalisation d un rapport synth tique par entit e Reporting graphique pour le Groupe Comit d Audit Manage financial reporting 16 G L BaLCamied Fwd XKO1 Create Vendor Centrally FKO1 Create Vendor Accounting FKD9 Confirm Vendor List Accounting MRBR Release Blocked Invoice F110 Parameters for Automatic CKLIN Create Material Cost Estimate FS02 Change G L Master Record F 02 Enter G L Accourt Posting Payment F 07 Post Outgoing Payment K FSO1 Create G L Master Record w MR21 Change Material price Fe02 Change FI Doaument N x02 Change Vendor Certrally N FKD2 Change Vendor Accounting amp MEZIN Create purchase order JE Operational users Op ail zs EES ES RU ES eae Key users amp Level 1 10 10 10 10 10 10 10 10 D EE Ee a Se I w yu Par ot Local IS users Other IS users Third Party users Other entities users ae Justified operational users OQ Change Vendor Centrally FKO2 Change Vendor Accounting FKO9 Confirm Vendor List Accounting Sune Lille unf un EU EU onf 111 Bune ses Revue autorisations amp s paration des fonctions Remote security monitoring E
41. catifs revues p riodiquement mises jour et approuv es par le management L organisation d veloppe maintient et utilise ses syst mes et ses applications en accord avec les politiques et proc dures qu elle a d finie Des revues de post impl mentation sont effectu es afin de v rifier l efficacit des contr les impl ment s Il existe une strat gie de test pour tous les changements applicatifs et technologiques significatifs qui garantissent que les syst mes d ploy s fonctionnent comme pr vu Les tests sont r alis s diff rents niveaux tests unitaires tests d int gration tests utilisateurs plan de test et aux standards de tests tablis Les interfaces avec les autres syst mes sont test es afin de s assurer de l exhaustivit l exactitude et l int grit des donn es interfac es La conversion des donn es est test e rapprochement entre leur tat original et final afin de s assurer de l exhaustivit l exactitude et l int grit des donn es converties Authorization applications L exploitation informatique Gestion des travaux Gestion des moyens Proc dures de mise en exploitation Gestion des travaux et des moyens Gestion des travaux Planning Documentation Gestion des incidents Contr le de la production Distribution des restitutions Gestion des moyens 19 Gestion des mat riels Plan de secours Proc dures de sauvegarde Gestion Proc dures de
42. d veloppements Authorization L organisation dispose d une m thodologie de cycle de vie de development and testing d veloppement de syst me SDLC int grant les besoins de of new systems and l organisation en terme de s curit et d int grit des donn es et applications traitements Les politiques et proc dures SDLC consid rent le d veloppement et l acquisition de nouveaux syst mes ainsi que les volutions majeures apport es aux syst mes existants La m thodologie de cycle de vie de d veloppement de syst me SDLC assure que les syst mes d information sont con us pour inclure les contr les applicatifs qui garantissent que les traitements sont complets exacts autoris s et valides et que tous les 18 development and testing of new systems and composants programmes et donn es fonctionnent ensemble sans erreur L organisation dispose d un processus d acquisition et de planification en coh rence avec les orientations strat giques d ensemble La Direction Informatique garantit que les utilisateurs sont impliqu s de mani re appropri e dans la conception des applications la s lection des progiciels et leurs tests afin de garantir un environnement fiable L organisation acquiert les logiciels et syst mes conform ment processus d acquisition de d veloppement et de planification L organisation a d fini des politiques et proc dures pour la gestion des d veloppements et volutions appli
43. dans les ERP SAP Oracle Applications JD Edwards e Les cabinets d audit de par leur exp rience ont pour la plupart d velopp s des bases de connaissance en la mati re Les m thodologies propri taires des cabinets d audit e Les Controls Catalogs sont des r f rentiels de contr les attendus en environnement ERP bas s sur notre connaissance des faiblesses les plus fr quemment constat es et des fonctionnalit s de contr le propos es en standard par les diff rents ERP e Ces controls catalog sexistent pour les ERP suivants SAP R 3 Oracle et JD Edwards Les s m thodologies ss eS des cabinets d audit Bref ness Process Fusiness Sub Procoss Control Objective Manual or System fBystem Control Ghjectve a Fentrot type Cor Control Activity SAF has been configured to identify potential duplicale Invoices during Gata entry Exwpocted Control ional Guidance for raion The cient monitors forim Comtrot Actraty reduce no naroroon Et ounce en oniri EE rs wilh simlar Gata to further Contguraton The deta xonaiguration tun automet aly check far potentia dicats Vendor This configu ut fake eck Nag wil or net TO SU AA Ee ot cy THE pete art bo Fo en nyo Kamins or ener messaue that may pe customizes This svetem check looks tar pramousiy pasted invoices to the vandor account with tna same currency document date reforenco client Contacts amp lE ere
44. dans une moindre mesure A Rq E exhaustive doit on retraiter toutes les informations e existante y a t il des informations fictives ex RIB des Frs V valorisation A appartenance l criture appartient elle l entreprise et au del p rennit fiabilit s curit confidentialit disponibilit o Moyens Pr liminaire 10 Prise d connaissances de Identification des grandes zones de risques li es l environnement informatique PCEI l utilisation de l informatique Revue g n rale informatique RGI Analyse des risques li s la ma trise des syst mes d information les hommes et les syst mes utilis s Int rim Revue g n rale informatique RGI Analyse des risques li s la ma trise des syst mes d information les hommes et les syst mes utilis s Revue d application RDA Evaluation du contr le interne de l environnement informatiques pour un cycle donn Tests informatique IF Assistance a la r alisation de tests par la mise en place d interrogations de fichiers Tests de bouclage des chaines de gestion amont avec le logiciel comptable Physique logique continuit d exploitation moyens de paiement ee a r glementaire Missions sp cifiques e La ma trise des co ts informatiques e L audit de la politique informatique e L audit des tudes e L audit de l exploitation e L aud
45. de contr le interne Renforcement de l ind pendance des auditeurs e Un organisme d di PCAOB Pr sentation de la loi Sarbanes Oxley Les diff rentes sections de la loi Am lioration de Renforcement dela Renforcement de la l information gouvernance responsabilit des Elargissement des l ind pendance et i a i sanctions de la supervision financi re d entreprise dirigeants des Auditeurs 302 amp 906 204 304 101 amp 102 Certification sur les tats Obligation pour les Auditeurs Interdiction pour les Dirigeants Remboursement des boni en Cr ation du PCAOB nouvelle financiers par les CEO CFO d information du Comit et les Administrateurs de cas d ajustement des comptes instance de supervision et de Cr ation d un Disclosure d Audit notamment concernant contraindre nranipukes suite une faute personnelle contr le Committee recommand e leurs points de d saccord avec tromper ou influencer de Enregistrement des Cabinets le Management mani re frauduleuse les 906 d Audit aupr s de cette 401 Auditeurs En cas de fausse attestation instance Mention des ajustements sanctions p nales pouvant aller d audit et des engagements Composition du Comit 306 jusqu 5 millions de dollars et 201 hors bilan d Audit qui doit tre constitu Interdiction pour les Dirigeants J 20 ans d emprisonnement Interdiction pour les auditeurs exclusivement d administrateur et les Administrateurs de fournir certaines prestations 404 i
46. e les co ts de maintenance Les performances Les performances d une application peuvent s appr cier selon les points de contr le suivants e fr quence de r organisation des bases de donn es ou fichiers acc d s par l application e reporting sur le d lai moyen de restitution des r ponses attendues et volution dans le temps e fr quence et nombre de passages batch sur de gros volumes de fichiers s quentiels e interactions entre applications Exemple Audit d une application de comptage et de facturation Etapes de traitement e contr le syntaxique contr le de pr sence des informations n cessaires la valorisation e contr le logique clatement des v nements unitaires selon leur nature e rapprochement au contrat et valorisation e prise en compte des produits services inclus dans le contrat et des acomptes e facturation des consommations des abonnements des PFA Produits Factur s l Acte e calcul de la facture e calcul des lignes de chiffre d affaires et des critures de cut off Risques tudi s e exhaustivit de la remont e Existe t il des contr les de l exhaustivit de la prise en compte de l ensemble des bandes magn tiques remontant de compteurs En l absence de num rotation des v nements unitaires peut on s assurer de l exhaustivit de la pr sence de ces derniers e exhaustivit du recyclage deux faiblesses recens es perte de quelques tickets en ano
47. el des techniques ou des technologies difficiles maintenir faire voluer e Coh rence d ensemble Rq travers des interfaces suppl mentaires ex couche web on arrive faire marcher plusieurs syst mes diff rents qui ne se sont pas communiqu s avant e Concentration des informations sensibles sur des mat riels uniques e Suivi de l volution des capacit s disponibles e R p tition intempestive de pannes e Fournisseur en difficult financi re tablir l architecture du syst me informatique y compris r seau et quipement bureautique de fa on e identifier les risques ventuels complexit h t rog n it relative du syst me mat riels cl s sensibles r seau _interconnexions avec d autres syst mes clients fournisseurs prestataires disponibilit incidents r pertori s e appr cier le degr de modernit machines centrales postes de travail et r seau La cartographie applicative Les objectifs e Quelles sont les principales applications composant le syst me d information e Comment la comptabilit est elle aliment e e Quelle est la nature et la p riodicit des interfaces e Tous les flux sont ils informatis s e Mieux conna tre les liens qui existent entre les domaines afin de mieux positionner une application dans son contexte global Etapes suivre e Recensement des divers domaines d activit de l entreprise e Inventaire des syst mes a
48. en production e maintenance Les principaux risques par phase de d veloppement Identification des risques par une revue des m thodologies de d veloppement 17 e Etude d opportunit et de faisabilit implication de la direction dans l initialisation du projet tape de validation de la faisabilit technique et conomique e Conception participation des utilisateurs d coupage du projet en plusieurs tapes int gration de th mes relatifs la s curit les contr les programm s la piste d audit o o Les principaux risques par phase de d veloppement e R alisation outils utilis s bugs rencontr s En moyenne un bug pour cent lignes de code produites Tous les bugs ne peuvent tre d tect s avant la mise en production Le co t de la correction est videmment plus lev lorsque l application est en service Absence ou non respect des normes de programmation e Test Recette Existence de tests unitaires d int gration et tests de non r gression ad quation de la solution au besoin recette fonctionnelle non cr ation d un chantillon repr sentatif non suivi des incidents e Maintenance perte de connaissance de l application absence de documentation turn over versions successives non g r es absence de base de test ou base non jour mise en exploitation non contr l e o o o D marche Gestion des Objectif de contr le
49. ence sorties la description du traitement effectu la liste des contr les programm s ou d exploitation et les objectifs des contr les la liste des contr les effectu s par les utilisateurs sur la base des restitutions disponibles et les objectifs des contr les op r s Identification des risques Fiabilit des interfaces e les contr les effectu s e les proc dures de recyclage des rejets ou anomalies e la nature et la fr quence des rejets Contr le interne applicatif e Je contr le interne applicatif ne diff re en rien du contr le interne manuel e il se d cline de la mani re suivante autorisation toutes les transactions font elles l objet d un autorisation en accord avec la politique de d l gation contr le d acc s et s paration des fonctions Exhaustivit les donn es entr es dans l application sont elles bien disponibles dans les bases de donn es Absence de perte de donn es aux diff rents niveaux de traitement Existence de contr le de flux exactitude L application permet elle de garantir la non alt ration des donn es Existe t il des contr les de valorisation tests en production requ tes simulation Param trage e identification des tables e proc dures et fr quences des mises a jour e v rification du code s paration donn es traitements e personnes concern es e Pour appr cier si une application est facile exploiter il convient d
50. es de la fraude un ph nom ne affectant l ensemble des entreprises 34 SSS SSS SSS Sew ss Afrique Asie Pacifique Am rique du Nord Am rique Latine Europe Centrale et de l Est Europe de l Ouest 0 10 20 30 40 50 60 Part des entreprises ayant subi de la fraude par r gion g ographique 29 Plus de 1000 employ s Moins de 1000 employ s 0 10 20 30 40 50 60 Part des entreprises ayant subi de la fraude par secteur d activit Caract ristiques de la fraude un ph nom ne affectant l ensemble des entreprises Construction Production Automobile Autres Services Financiers Pharmacie Energie Grande Distribution Informatique Services T l coms amp Media Assurance Banque 0 10 20 30 40 50 60 Part des entreprises ayant subi de la fraude par secteur d activit Caract ristiques de la fraude un co t lev 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 D tournement Corruption Falsification des d actifs tats financiers Co t moyen du pr judice par type de fraude en 2003 2004 aux US Caract ristiques de la fraude un profil type e Un homme 53 des cas Niveau employ 67 des cas Ag d une quarantaine d ann es Sans ant c dent juridique 83 des cas Facteurs aggravant l impact de la fraude le niveau hi rarchique de 62k pour un employ 900k pour un dirigeant le salaire lev l ge l ancien
51. es diverses typologies sc narios d achat Global system settings Achats Exemples de contr les sont pas modifiables Les tol rances sur les r ceptions ont t param tr es de mani re bloquer toute das entr e de marchandise avec un cart de 5 sur la quantit command e enais Les conditions de paiement ne sont pas modifiables sur la facture fournisseur Les factures FI sans engagement sont syst matiquement bloqu es au paiement Les avoirs sont param tr s de telle sorte que la r f rence la facture d origine est obligatoire Le param trage requiert qu une exp dition ait t r alis e avant tout mission de facture Ventes Les fonctionnalit s de relance automatique ont t activ es dans SAP Des limit s de cr dit ont t param tr es pour l ensemble des clients Le syst me bloque toute commande au del des limites de cr dit param tr es Exemples de contr les Le code mouvement 561 permettant de modifier directement la valeur des Stocks articles en stock est bloqu Les stocks n gatifs ne sont pas autoris s Les modes et les dur es d amortissement ont t param tr s sur les Immobilisations diff rents tableaux d valuation en fonction des r gles Groupe et ne peuvent pas tre modifi s sur la fiche immobilisations Les comptes aliment s par les comptabilit s auxiliaires Clients Fournisseurs Immobilisations ont t d finis en tant que compte de Comptabilit
52. haque volution si les traitements peuvent tre entach s de dysfonctionnements de nature perturber gravement la bonne marche de l entreprise Risques recens s e D veloppement D veloppement anarchique autour du progiciel Acquisition de nouvelles versions impossible Pas de s paration des environnements Mise directe en exploitation e Exploitation Documentation insuffisante Ma trise difficile Exemple les fichiers li s une filiale vendue a l ext rieur tait toujours trait s Suivi peu toff pas de gestionnaire de travaux Pas d tat synth tique Eclairage les virus Diff rentes terminologies existent e chevaux de Troie fonction illicite dans un programme e bombes logiques d clenchement diff r e vers d placement en m moire e virus multiplication en m moire Les virus sont dangereux car e ils s auto reproduisent e ils peuvent d truire les fichiers sur disque Une dizaine seulement de virus est responsables de 99 des infections e ils sont d tectables car connus M thode MARION Les int r ts de la m thode e Permet de donner un avis sur le niveau de s curit existant d une entreprise e Evalue les risques potentiels e Nes int resse pas exclusivement l informatique e Mais l ensemble des facteurs qui contribuent la s curit e Quantifie les enjeux financiers 45 e Met l accent sur la quantif
53. iabilit de son information financi re l entreprise cliente doit s engager sur la fiabilit du contr le interne de son prestataire e Exemple externalisation de la paie des prises de commande ou de l h bergement et l exploitation d applications Plusieurs options possibles e Audit contractuel du prestataire par le client lui m me ou par un auditeur externe mandat sp cifiquement Probl me risque de multiplication des audits sur un m me sujet pour le prestataire e Elaboration d un document engageant le prestataire et un auditeur tiers certifiant de la qualit du contr le interne Permet de r pondre toutes les demandes en un seul audit Rapport SAS70 norme d velopp e par les comptables US Contenu type d un rapport SAS70 e Rapport de l auditeur standard e Activit du prestataire e Environnement de contr le du prestataire e Objectifs de contr le et activit s de contr le associ es e Tests r alis s par l auditeur et r sultats type II seulement e User considerations Permet au prestataire de pr ciser ce que son client devrait mettre en uvre comme activit de contr le pour assurer que leurs interactions sont bien sous contr le e Deux types de rapport sont d finis Le type II est requis par SOX incluant une phase de test il permet de se prononcer sur l efficacit des contr les mis en uvre Et les volutions attendues Internal control embedded in the System Develop
54. ial Requirements Planning Production Activity Control Capacity Planning Logistics Applications Le module Gestion des Ventes SD Quotations Sales Order Management Pricing Delivery Invoicing Logistics Applications Le module Gestion des Ressources Humaines HR Personnel Administration Payroll Benefits Time Management Planning and Development Organisation Management Human Resources 50 Impacts des ERP sur les risques li s au SI e Facteurs de risques aggrav s en environnement int gr Traitements bas s sur des donn es fondamentales erron es tarifs conditions de paiement Partage en temps r el d informations erron es niveau de stock encours des projets d investissement Acc s illicite des informations confidentielles ou des transactions sensibles Absence de s paration de fonctions Manque de fiabilit des traitements automatis s Utilisation non ad quate du syst me Contournement des contr les programm s Effet bo te noire e Organisation processus r les Proc dures amp J Contr les Effet ERP gt Automatis Automatis e Les contr les se transforment et se d placent e Le d coupage en processus est d fini par ERP e Les contr les au sein des programmes sont de plusieurs types Contr les inh rents Contr les param tr s S paration des fonctions Etats d exceptions KPI Contr le
55. ication financi re des pertes e D bouche apr s arbitrage sur un plan d action L arbitrage entre les pertes financi res pr visibles et les investissements envisag s t des solutions Pertes financi res Temps d indisponibilit Les principes de la m thode Questionnaire de 640 questions se rapportant 27 th mes e Chaque r ponse est not e de 0 4 et est pond r e en fonction de l importance du th me concern Parall lement les risques sont identifi s e leur probabilit d apparition est estim e e leurs cons quences sont valu s Le rapprochement des points de faiblesse et des risques permet le recensement des solutions envisageables Ses modalit s L application pure et dure de la m thode est lourde et n cessite une tude de plus de trois mois Mais il para t envisageable de mener de mini tudes MARION surtout ax es sur l utilisation du questionnaire Exemple 2007 02 15 Formation l audit informatique Audit en environnement ERP Plan e Pr sentation des ERP et introduction SAP e Impacts des ERP sur les risques li s au SI e L approche sp cifique d audit des ERP 46 e Exemple des flux SAP Pr sentation des ERP et introduction SAP Pr sentation des ERP D finition Ensemble de logiciels int grant les principales fonctions n cessaires la gestion des flux et des proc dures de l entreprise comptabilit et finances logistique
56. ice SLA Continuit de service Les risques Un serveur tombe en panne Un fichier important est d truit Un Boeing 747 s crase sur le site La Seine d borde Une gr ve bloque l acc s Le fournisseur d pose le bilan Les protections en place e contre l incendie Alarmes gaz Inergen sprintler extincteurs e contre les d gats des eaux Faux plancher salle informatique a tage pompes e contre les intrusions contr le d acc s physique par badge e contre les pannes lectriques Onduleurs serveurs redondants mirroring 39 e contre les pannes mat rielles stock de rechange d lai d intervention de remplacement Les proc dures de sauvegarde Les fichiers n cessaires au fonctionnement de l entreprise sont ils sauvegard s r guli rement e donn es e sources des programmes e applications syst mes Quelle est la fr quence des sauvegardes Les supports de sauvegarde sont ils lisibles Les lieux de stockage sont ils stirs e Coffre ignifug stockage hors site Quelle est l ampleur de la perte en cas de n cessit de restauration sur un site externe Le site de secours Existe t il un site de back up e Sioui De quel type salle blanche salle quip e Nombre d adh rents Dur e possible d utilisation Les sauvegardes sont elles sur place Peut on s y connecter e Sinon Quelle est la solution pr vue Quel est le d l
57. il am ricain d velopp avec le concours de PWC Sur gros systeme IBM e Panaudit outil bas sur le langage Easytrieve de la soci t Pansophic e EDP Auditor outil bas sur le langage Cullprit de la soci t Computer Associates 2007 02 08 Formation l audit informatique Audit de la s curit Sommaire e Rappel du contexte e Continuit de service e Confidentialit des informations et risques de fraude e Risques d erreur et de dysfonctionnement 37 e M thode MARION Rappel du contexte Objectif La s curit du SI a pour objectif de participer a la continuit de l activit de l entreprise Business Oriented Pour ce faire son r le est de prot ger le SI de toute d gradation de service sur 3 axes majeurs e Confidentialit e Int grit e Disponibilit Elle peut parfois tre un facteur de qualit suppl mentaire voire participer au d veloppement de l activit exigences commerciales Le co t Le remboursement des sinistres informatiques co te chaque ann e progression constante 15 par an Les pertes r elles des entreprises sont certainement beaucoup plus importantes si on consid re e Jes pertes et d lits non d clar s e les pertes de cr dibilit Les secteurs d activit les plus touch s Part des diff rents secteurs dans les sinistres d clar s Part des diff rents risques de malveillance pour certains secteurs Banque Finance Assurances
58. ions produites par l application sont effectivement utilis es e appr cier si les retraitements ou remaniements manuels d informations issues de l application ne pourraient pas tre informatis s Rq plus l entreprise est grosse plus on a des traitements manuels pour remonter les informations plus on a des incertitudes sur l exactitude et l exhaustivit des informations La satisfaction des utilisateurs Par entretien avec les utilisateurs obtenir les motifs d insatisfaction ventuels ils pourront r sulter e d un manque de communication entre utilisateurs et informaticiens e de retard dans les travaux de maintenance volutive ou corrective e d un manque de formation des utilisateurs e de contraintes techniques L volutivit La capacit d une application voluer selon les souhaits de l entreprise se mesure suivant les crit res suivants e qualit de la programmation e pertinence des choix techniques e qualit de la documentation 27 e pertinence de l analyse fonctionnelle e externalisation du param trage Le bilan conomique L tablissement d un bilan conomique n cessite l tude des points suivants e le co t r el d acquisition ou de d veloppement et de mise en place de l application co t pr vu au plan informatique e le co t de l application d velopp e ou acquise par rapport des progiciels quivalents du march e les gains de productivit e le co t de fonctionnement
59. ises e N cessit d utiliser un r f rentiel sp cifique d di aux activit s IT e Deux principaux r f rentiels CobIT et ITIL e Int r t Les r f rentiels rappellent en les structurant les bonnes pratiques IT Leur large diffusion permet de faciliter la communication avec les tiers CobIT Control Objectives for Information and Technology PO6 Communicate management aims and direction POI Define a re per PO7 Manage Human Resources PO2 Define an inf uon architecture z s Le technological direction Roa Ensure compan with external require lt il trl oh relationships PO10 Manage projects AC phase de AC sch ma ss PO11 Manage quality recette directeur VABF VSR Al Identify automated sMions Al2 Acquire and maintain plication software AI3 Acquire and maintain technology infrastructure Al4 Develop and maintain procedures AIS Install and accredit systems AI6 Manages changes M1 Monitor oie process AC suivi d indicateurs z Lo Assist and advise customs de QoS pertinence age performance and strategy DS9 Manage the configuration des AC Phsure continuous services DS10 Manage problems and incidents 05 Ensure systems security DS11 Manage data DS6 Identify and allocate costs DS12 Manage facilities DS7 Educate and train users DS13 Manage operations AC revue r guli re de la Liens entre le COSO et le CoBIT
60. it s curit cf audit de la s curit informatique e L audit du respect des contraintes fiscales e L audit de r seau e etc Les acteurs e Tous les grands cabinets d audit et de conseil ont mis en place des d marches d audit informatique en support l audit comptable s appuyant sur des experts g n ralistes et des sp cialistes CISA Certified Information System Auditor CISM Certified Information Security Manager e Les S S II r alisent galement des audits informatiques mais dans un cadre moins r glement s expertise technique expertise fonctionnelle 2007 01 18 Formation l audit informatique Revue g n rale informatique La politique informatique 11 Rappel le sch ma directeur R ACKOFF A Une volont d existence Rq z un projet d entreprise amp long terme A Une volont d existence un projet d entreprise long terme Ra c est un plan strat gique B Dsl B Des sc narios moyen terme Rq en fonction du projet long terme on liste des sc narios moyen terme qui sont susceptibles C Un plan court terme de le r aliser C Un plan court terme D Un business intelligence system ax D Un business intelligence sur l imm diat sysem av sur l imm diat L entreprise dispose t elle d une strat gie en mati re de syst me d information et d outil informatique Le plan informatique combine t il au mieux les ressources disponible
61. kage et durant leur transmission contre les acc s ou les modifications non autoris s La p riode de r tention et les conditions de stockage sont d finis pour les documents les donn es les programmes et les messages entrants sortants ainsi que pour les donn es cl s certificats utilis es pour leur encryption et authentification Le management a impl ment une strat gie de backup des donn es et des programmes Des proc dures existent et sont suivies pour tester p riodiquement 21 Exemple Entreprise commerciale sur AS400 Th mes pr sent s 1 L quipe informatique 2 La configuration mat rielle 3 La cartographie applicative 4 La politique informatique 5 La gestion de la s curit informatique 6 Le d veloppement informatique 7 L exploitation informatique Equipes Existant l efficacit du processus de restauration et la qualit des bandes de garde Les historiques d v nements des syst mes sont conserv es assez longtemps pour g n rer une chronologie et un journal qui permettront de contr ler examiner et reconstruire le syst me et le traitement des donn es Les changements apport es la structure des donn es sont autoris s et impl ment s en accord avec les sp cifications et en temps et en heure La Direction Informatique a d fini des proc dures standards pour l ex cution des travaux IT y compris l ordonnancement la gestion la surveillance et la r action aux incidents
62. la maintenance M des applications et les nouveaux d veloppements ND de la fa on suivante aan Gestion Comptabilit commerciale SES RS ES PE RCE Une seule personne CP2 intervient sur la comptabilit La documentation existante est quasi nulle Certains m canisme de la gestion commerciale sont inconnus de l quipe en place en l absence de documentation et de liens avec le fournisseur Exploitation informatique Existant Ma trise des travaux batch les travaux li s certaines applications sont lanc s manuellement les incidents ne sont pas r pertori s il n y a pas d historique des incidents les travaux sont insuffisamment document s fichiers en E S traitements effectu s des contr les par totaux sont effectu s e Ma trise des environnements iln y a pas d environnement de test les tests sont effectu s sur les donn es r elles 2007 01 25 Formation l audit informatique Revue d application informatique Historique et insertion de l application dans l architecture globale e Historique de l application prise de connaissance des interventions pr c dentes Rq on peut demander des coll gues qui ont des exp riences sur le logiciel pour savoir des difficult s qu on rencontre souvent etc gestion du projet Rq accouchement difficile passage sans difficult s d veloppement interne externe cahier des charges ma trise de l existant notion de b
63. le en valuer l impact et y rem dier Analyse des risques e Utiliser les r f rentiels pour balayer les diff rents types de risque e Ensuite les op rationnels sont les mieux plac s pour les pr ciser Documentation des contr les importance de la formalisation e des proc dures de contr le dire ce qu on fait e des preuves de contr le prouver que l on fait bien ce que l on dit e Seul moyen de d montrer un tiers que tous les risques sont couverts Tests deux natures compl mentaires e De conception le contr le r pond il bien au risque e D efficacit le contr le est il bien appliqu e R sultat la maturit de chaque activit de contr le est valu e D ficiences et faiblesses e Jl est normal qu il y en ait lors de la premi re application le contraire serait m me inqui tant Activit s de contr le documentation e Lien avec les processus op rationnels et les risques Quels processus transaction concern s Liens amont aval m Quels risques couverts e D tail de l activit de contr le Description Nature du contr le automatique manuel i automatique quelle application gt voir le PV de recette D tectif ou pr ventif Action effectu e rapprochement ligne ligne v rification du visa Sources d information utilis es tats papiers SI Fr quence Acteur Superviseur 68 Action men e en cas d
64. lisation et optimisation des op rations fiabilit des informations financi res conformit aux lois et aux r glementations en vigueur e Attention ne pas avoir une approche limit e de la notion de contr le Au sens anglo saxon la notion d internal control recouvre aussi bien la notion de contr le proprement dite au sens fran ais v rification rapprochement la notion de ma trise d un risque d un processus e SOX ne consid re que l objectif Fiabilit de l information financi re la LSF fran aise recouvre les trois objectifs Le r f rentiel COSO R f rentiel de bonnes pratiques de contr le interne quasi impos par SOX Trois Objectifs Activit 1 Activit 2 N Irformation at Communicati n Activit s de Contr le Unit B g 5 Q S Evaluation des Risques Environnement de Contr le e Pilotage le contr le interne est correctement le contr le interne est correctement con u appliqu efficacement et adapt efficacement l organisation e Information et communication identification et communication en temps voulu des informations communication en temps voulu des informations pertinentes 66 Les Activit s de contr le mise en mise en uvre des orientations du management assurance que les orientations du management assurance que les mesures n cessaires sont prises en vue de ma triser les risques susceptibles d affecter l
65. malie de type T non recyclage des anomalies de type W e exhaustivit du traitement des lots de facturation 28 Absence de v rification par tests programm s e exhaustivit de la facturation des contrats Absence de v rification par tests programm s e Unicit du num ro de facture non s quentialit des num ros de facture l unicit du couple contrat num ro de facture d pend de l unicit des num ros de contrat Risques financiers identifi s e exhaustivit de la facturation des ventes manque de fiabilit des compteurs d v nements unitaires e comptabilisation des prestations existence de contrats ayant un plan tarifaire nul Rq comment traiter les contrats ayant une valeur nulle e valorisation des prestations utilisation du co t minimum en cas d anomalie e diminution non justifi e du compte client mission de 500 KF d avoirs chaque mois Ra il faut v rifier que soient bien justifi s les avoirs qui sont une source de fraude valider partir des tests effectu s e cut off non respect en cas de retard dans la remont e des tickets Rq on v rifie le d lai entre la date de ticket et la date de facturation e provision pour d pr ciation des clients mal calcul e reste a valider partir des tests effectu s Formation l audit informatique La fraude m thodes de pr vention et d tection La fraude et les m thodes de pr vention et d tection Caract ristiqu
66. ment life cycle r le of CIO Automated and preventive e Real time IT application including on line control e 22 Et Demain Des outils pour r pondre l int gration du contr le interne dans les processus Pilotage du Suivi des Gestion des Description contr le anomalies tests des activi s interne formalisation de contr le 73 e Moins d valuation directe de l efficacit du contr le interne et plus de reassurance de la confiance dans le syst me de pilotage du contr le interne Un focus amplifi sur les entity level controls et l optimisation triangulaire Risk COSO 2 Performance Compliance e Un sujet nouveau de dialogue avec les acteurs de la gouvernance le pilotage optimis du contr le interne En r sum Quels impacts sur l identification des risques et des contr les e Focus sur l identification des risques financiers li s l information financi re e Renforcement des liens entre les processus et les activit s de contr le e Affirmation de la criticit des contr les automatis s au sein des processus et des exigences qui en d coulent Comment valuer le dispositif de contr le interne e Une mod lisation du dispositif de contr le interne via le COSO et plus g n ralement des r f rentiels Cobit ITIL e Une maturit relative des offres de logiciel sur les interactions entre les processus et le pilotage des contr les Les apports su
67. mes de cr dit notion de gestion int gr e responsabilit transversale optimisation des polices d assurance Rq il faut int grer tout cela dans les pratiques quotidiennes volutions des pratiques li es au gouvernement d entreprise communication externe sur la gestion des risques o Les risques li s au syst me d information Des risques la hauteur des enjeux D finition de la notion de syst mes d information Le syst mes d Information une fonction transversale e participe tous les processus de l entreprise e reflet de la strat gie hauts risques e volution des technologies e ouverture sur l ext rieur image e risques inh rents bitu va par ret Porton the arr dt auserdote rote Emme router ot Cotes boues ebaes Arcttores shams Acton do Gomagye ment Songe phe owes Cruetage extorsioe mis za Angine COPIES Co t des pertes sup rieur 2 milliards d Progression forte de la malveillance au cours des dix derni re ann es Les types de risques En utilisant les projets la mise en conformit des contraintes externes Fraude Malveillance Contr le interne L gal Continuit on cherche de plus une performance meilleure Ma trise Co ts Efficacit Efficience Le positionnement de la DSI La tendance la nomination de RSSI mais avec des difficult s de positionnement hi rarchique La possibilit du RSSI qui a la capacit d
68. mettant de prot ger le syst me d information et les quipements informatiques des virus informatiques La gestion des changements D marche Changement applicatifs CRIE ROSE Les demandes de changement des programmes maintenance des syst mes incluant les changements apport s aux OS changement des infrastructures sont standardis es trac es approuv es document es et respectent les proc dures de gestion es changements Les proc dures de gestion des changements tiennent compte des changements urgents effectu s directement en environnement de production Comme tous changements les changements dits urgents sont document s de la m me mani re a post riori Des contr les sont en place afin que les migrations des programmes dans l environnement de production soient limit es aux seules personnes autoris es La Direction Informatique garantit que l impl mentation des logiciels et syst mes ne met pas en danger la s curit des donn es et des programmes des syst mes Changes have been authorized documented and tested Migration of changes into production System and application configuration changes Le d veloppement informatique Rappel des phases de la gestion de projet e Etude d opportunit et de faisabilit e conception fonctionnelle sp cifications g n rales sp cifications d taill es e conception technique e d veloppement programmation e Tests e Recette e mise
69. mote security monitoring Evaluation de la fiabilit des processus KPI de monitoring du contr le interne KPI de monitoring du contr le interne La d marche KPI La mise en place et le fonctionnement durable d un syst me se caract rise par la recherche e D un niveau d utilisation optimale e Tout en disposant d un niveau de fiabilit satisfaisant Le niveau d utilisation peut se mesurer partir des volumes de transactions e Les fonctions impl ment es sont elles utilis es Le niveau de fiabilit peut se mesurer en suivant les erreurs et les rejets Syst me int gr ERP CRM e Les fonctions sont elles utilis es correctement D marche de mise en ceuvre e D finition des objectifs utilisation du syst me fiabilit des processus optimisation KPI Utilisation KPI Fiabilit e Elaboration et tests des KPI en liaison avec le ROI attendu KPI Optimisation Validation des KPI sur un Pilote e Elaboration d un Tableau de bord KPI Les outils Il existe de nombreux outils de type contenant permettant un monitoring l aide de KPIs d velopper renseigner mais peu avec du contenu Les outils du march Virsa Confident Compliance e KPMG Business Controls Monitor Ces KPIs peuvent aussi faire l objet de d veloppements sp cifiques mais n cessite des comp tences techniques tr s pouss es e Le module AIS de SAP regroupe un certain nombre d tats d exception
70. n rale de s curit logique et des proc dures sous jacentes de gestion e analyse des acc s aux fonctionnalit s SAP les plus critiques au regard des d finitions de poste des utilisateurs concern s e revue des risques de non s paration des fonctions au sein du syst me d information par exemple utilisateurs pouvant cr er un fournisseur cr er une facture et d clencher le paiement Les fondamentaux de la s curit e Plusieurs soci t s Plusieurs organisations commerciales sites de production Plusieurs milliers de transactions en standard Plusieurs milliers d utilisateurs Plusieurs environnements Plusieurs millions de combinaisons possibles plusieurs contr les Pour qu un utilisateur puisse r aliser une op ration il doit oe Suisje autoris a S TCODE avoir acc s l ensemble des objets requis par la transaction esse ME21 i e M_BEST_EKO aSSOCI E Dans lorganisation es Ce concept est r p t pour plus de 8000 transactions avec RES Tel environ 600 objets de s curit contr l s Fous le magasin WERKS 1100 Type de commande ZA D finition d un r f rentiel de s paration des fonctions adapt l entit et au syst me SAP R alisation des tests quel que soit l outil utilis par ou avec l assistance d une personne disposant des comp tences techniques ad quates AP Clear Vendor Account Vendor Master Maint Fi Vendor Master Maint CEN Requisitioning amp Purchase
71. n paiement L identification de comportements susceptibles de se rapporter a la fraude Exemple de fraude n 1 La majorit des cas de fraudes li es la falsification des tats financiers concernent la surestimation des comptes clients R le de l auditeur en SI Identification des factures clients non justifi es par un flux vente classique commandes et ou bon de livraison Ces factures clients cr es directement en comptabilit devraient tre extr mement rares et il est donc n cessaire d tablir leur liste afin de les revoir ligne par ligne avec un Responsable appropri L identification de comportements susceptibles de se rapporter la fraude Exemple de fraude n 2 Le processus achats pr sente de nombreux risques puisqu il engendre la sortie d argent La collusion avec un fournisseur est un cas de fraude fr quent dans les soci t s R le de l auditeur en SI Identification des factures fournisseurs non justifi es par un flux achat classique commandes achat et ou bon de r ception Ces factures clients cr es directement en comptabilit devraient tre li s des types de d pense clairement identifi s imp ts cas d urgence et il est donc n cessaire d tablir leur liste afin de les revoir ligne par ligne avec un Responsable appropri L identification de comportements susceptibles de se rapporter la fraude Exemple de fraude n 3 De nombreux comportements suspects des employ s son
72. nd pendant d acheter ou de vendre des 1102 annexes hors missions l gales Rapport du Management sur le Responsabilit s du Comit titres de la soci t pendant les Sanctions pour la falsification d audit contr le interne relatif au d Audit qui s lectionne et p riodes de blackout ou la destruction de documents reporting financier nomme les auditeurs et fixe le applicables aux plans 202 Attestation de l Auditeur sur le montant de leurs honaraires Macdonnadac US Autorisation du Comit d Audit rapport du Management pour tout service fourni par le 2 406 Cabinet d Audit 40 Interdiction pour l entreprise Obligation de publication s il Publication Imm diate de tout de consentir des pr ts aux existe du Cade d thique 203 changement significatif de la dirigeants applicable aux Dirigeants et Rotation des associ s tous les 5 situation financi re aux principaux responsables ane 7 financiers Le Comit d Audit comprend Si ce Code n existe pas au moins un expert financier justification demand e Dispositions des sections 302 et 404 Am lioration de Aer forcement delal Renforcement de la information gouvernance responsabilit des financi re d entreprise dirigeants WW Elargissement des l ind penda sanctions nce et de la supervision des Auditeurs 302 amp 906 204 304 101 amp 102 Certification sur kes tats Obligation pour les Auditeurs Interdiction pour les Dirigeants Remboursement de
73. ne correspond pas au niveau de chiffre d affaires recherche de donn es dont la valeur ne correspond pas celle que l on attend quantit n gative en stock date z ro prix unitaires nuls ventes sans date de sortie prix de vente inf rieur au prix de revient v rification qu un prix total dans un fichier est bien gal au prix unitaire multipli par la quantit etc Extraction de donn es Objectifs et natures des tests sondages statistiques s lection d un certain nombre de donn es selon des r gles statistiques afin de proc der ne extrapolation des anomalies rencontr es interrogations cibl es faire ressortir certains cas limites par rapport un risque identifi afin de restreindre le champ d investigation et ainsi augmenter la productivit des travaux une telle approche permet de se concentrer sur les cas les plus int ressants Extraction de donn es Exemples extraction de factures pay es afin de contr ler le respect des conditions fournisseur contr le d carts importants d un exercice sur l autre en quantit ou en valeur d articles en stock extraction de factures pr sentant un cart important entre la date de comptabilisation et la date de facturation d tection de taux de remise accord s sup rieurs au seuil d fini application de la m thode de sondage pour le contr le de la provision sur cr ances douteuses extraction des relances gel es Simulation
74. net le niveau universitaire 30 Les moyens de lutte contre la fraude Contr le interne D nonciation interne Autres Audit externe Accident Audit interne 0 10 20 30 40 50 Modes de d tection de la fraude volution 2002 2004 Impact des dispositifs anti fraudes sur le co t moyen de la fraude Outil de d nonciation Hotline Audit Interne 130 000 135 000 lt 0 40 000 80 000 120 000 160 000 e La protection des flux d informations critiques de l entreprise s curit des r seaux tests d intrusions cryptographie des message Exemple de fraude L espionnage industriel peut se faire par l coute t l phonique mais galement par l coute des communications Internet au sein de la soci t o vers l ext rieur mail change de fichiers lectroniques L acc s au r seau d une entreprise par une personne malveillante peut galement aboutir des situations de chantage et de tentative d extorsion comme la soci t Softbank dont la base de donn es clients avait t copi e en f vrier 2004 par un hacker et qui menacait de publier des informations confidentielles R le de l auditeur en SI sp cialiste en s curit des r seaux il peut effectuer des tests d intrusion sur les r seaux des entreprises afin de tester leur vuln rabilit et d identifier les ventuelles failles e La pro
75. nformations trop important pour permettre des contr les manuels significatifs e Travaux r currents sur des donn es stock es dans les fichiers de l entreprise e Donn es en entr e et en sortie d une cha ne de traitement non approchables ais ment e Contr le manuel n cessaire sur un chantillon tirer al atoirement Typologie des tests informatiques Tests de recoupement Objectifs des tests e effectuer un recoupement entre deux fichiers e tablir un recoupement entre des tats s par s par une rupture du chemin d audit fonctionnel e reconstituer des donn es lorsqu elles sont issues d informations tr s nombreuses Nature des tests e r conciliation simple rapprocher le total d l ments calcul s stock s dans un fichier avec le chiffre audit e r conciliation complexe le r sultat des calculs n a pas t conserv dans un fichier Il convient donc de proc der au recalcul des op rations ou de reconstituer les donn es une date donn e Le chiffre ainsi obtenu est rapproch du chiffre audit Exemples e reconstitution du chiffre d affaires partir des fichiers quantit s factur es tarifs et conditions particuli res e rapprochement des commandes clients avec les factures mises e rapprochement des temps imput s sur comptes rendus d activit et des temps factur s e r conciliation entre les charges sociales enregistr es en comptabilit et les diff rentes rubriques enregistr es dans
76. o te noire Rq est ce que le client a suffisamment d informations pour maitriser le logiciel gestion des volutions m eee e Insertion de l application dans l architecture globale r f rence ala RGI tablir un sch ma d int gration global Couverture fonctionnelle e Liste des fonctionnalit s Rq il peut qu en fonction de l activit de l entreprise elle retient de telles fonctionnalit s mais pas d autres e Sch mas des traitements Rq par ce sch ma on essaie de savoir comment initialiser enregistrer par qui comment traiter de quelle mani re s quentielle continue etc valider et contr ler e Revue des documentations utilisation conception exploitation Rq manuel d utilisateur A partir du manuel d utilisation il faut int grer la formation d utilisation e Identification des utilisateurs Rq informaticiens MOA contr leur d acc s les stagiaires etc Identification des informaticiens Sch ma des traitements et matrice de contr le La d marche suivre est la suivante e d coupage de l application en phases logiques de traitement e laboration d un sch ma de flux sur lequel sont pr sent s 25 Jes phases logiques de traitement les principaux fichiers ou tables concern es e pour chaque phase logique tablissement d une matrice de contr le comprenant les informations reprises du sch ma de flux phase logique de traitement entr es fichiers de r f r
77. on interne Vers une vision dynamique Evolution des enjeux et objectifs de l entreprise Trois cycles de gestion des risques am lioration de la performance modification des contraintes r glementaires apparition de nouveaux concepts d veloppement durable Rq social environnemental et conomique thique recours aux nouvelles technologies tendue du champ de certification s de gestion des risques Rq les syst mes ont une auto valuation et remontent les informations travers le syst me de management des risques qui fait la synth se La position des organisations Le business model de l entreprise Processus de l ex cutif strat gie organisation pilotage Processus op rationnels production achat vente Processus support Gestion comptable et financi re Gestion des ressources humaines Syst me d information Fonction juridique Les attentes des dirigeants Rq en fonction de leurs niveaux diff rents on communique sur de diff rents termes Les structures de gestion des risques e Niveau 1 responsabilit implicite va de paire avec la fonction absence de processus de suivi e Niveau 2 responsabilit d finie d l gation formelle int gration l organigramme e Niveau 3 responsabilit globale Comit ou direction des Risques Risk Manager e tendances gestion du risque li e aux contraintes r glementaires organis
78. pouvant servir de base l laboration de tels KPIs e Lorsqu il est impl ment le module BW offre des possibilit s de reporting Multiples Exemple d automatisation des KPI 59 FINA Business Controls Monitor Key control indicato Number of open customer invoices Number of open vendor invoices i Number of incomplete sales documents colon Number of pending goods issues Incomplete vendor master data records Aart Recon Ac n Ferns of Vendor murte and name press cer Lee Le ooon Decroni Cons Dr Ace Tomer Lare Lone Ponte Cry 6 ur connie poo omole Jonos Ltd Oxford rosa WI tondid uw C000u60000 COOLODLOLE SF Mogemerer PSA Goog Sort 21 Scbmorfut uF OLE GHGGDLELE Reis Moker Waperdiee 29 Brad eess our cocorecoce 0000001014 Hernan t ET Ruresthadibrafle 1 Meme w con mo cocoresoco GOOG Gt Ave Teh Compan a Tense Ring H Fretarg uw ono 60000 Onoon Mau Gaoeshardal Indu necirasse 29 Hatara oF ono 0000 GUIDES inacr Sp Be Macrduis Case LUZ B tt rdan w s cocor scoco PONT M coe coco scene 0000001058 Nordkpeed En Von Ahmr Meg 23 Hortara w 0000160000 COCO TECCT entes mt bad ve ur omowe COURIR LATEST Toirthe Dive 10 25 Misime w ur mt 0000100000 omomoi Lou Die Paris Uferstr 10 20 netara ur mot oon 60000 omw Suto Chap ape cont t COL 61000 0000001203 AD Censi unge Grr t tnousenesteate 1101 Marre com ooon e000 0000001202 Top Services Gb An Rotenberg Kasereso DE cou cocozecoce
79. pplicatifs e Identification des liens entre syst mes applicatifs et description de la nature des interfaces existantes e Formalisation de l ensemble des informations recueillies Tableau r capitulatif Sch ma d int gration global Identification des risques e Couverture des besoins de l entreprise e Int gration ou interfa age entre les applications Diff rence int gr amp interfac e Coh rence d ensemble 13 e Appel des progiciels ou des prestataires de service qui rencontrent des difficult s financi res e Identification des applications sensibles poids financier et strat gique Rq en fonction de leurs impacts financiers et strat giques donn es sensibles financi res commerciales ou techniques fragilit d veloppement sp cifique Exemple Sch ma d int gration D globale Pi ces d tach es Customer fils Services Comp tition Satisfaction Index g n raux commerciale AS40036 AS400 DB2 ABADORE AS40036 Pi ces c tach es Garanties ne Publicit AS400 36 commerciale AS40086 2 AS40Q DB2 Automatique Manuelle Comptabilit g n rale Succursales AS40036 Les chaines garantie publicit CSI et services g n raux exploitent des donn es issues de la nouvelle cha ne commerciale qui transitent via l ancienne cha ne commerciale Ces donn es sont relatives aux fichiers Clients et Produits pour I essentiel La MAJ du fichier des clients
80. projets de d veloppements information il peut valuer la m thodologie de gestion de projet par exemple SDLC System Development Life Cycle Il peut galement v rifier la s paration des fonctions entre les d veloppeurs et les personnes migrant en environnement de production les programmes l existence d un dispositif automatique de tra age des modifications sur le code informatique en environnement de production Library Management System avec le suivi et la documentation des versions du code source Le contr le des acc s aux donn es et aux programmes Exemple de fraude Un individu ayant un profil de super utilisateur sur un ERP c est dire avec des droits d acc s tr s tendus contourne les contr les mis en place et fraude par exemple cr ation d un fournisseur ou d un client fictif cr ation d un paiement injustifi contre passation de charges R le de l auditeur en SI sp cialiste dans la s curit logique des ERP il peut effectuer des revues d habitations informatiques afin d identifier d une part les utilisateurs pr sentant des droits d acc s a des fonctionnalit s critiques de mani re injustifi e et d autre part les utilisateurs dont les droits d acc s pr sentent des conflits de s paration de fonctions cf section 4 2 Par exemple un m me utilisateur ne doit pas pouvoir cr er un fournisseur une commande d achat une r ception de stock une facture et u
81. protections en place Validation des droits accord s Moyens de protection en place e un service d di la gestion des ristournes e des mots de passe e une proc dure d habilitation toff e Risque recens s e Risque organisationnel Les agents du service ont acc s chacun l ensemble des informations pas de s paration des fonctions Les documents mis sont nombreux et trop largement diffus s e Risque informatique Au sein du service les mots de passe sont connus de tous Des sites loign s auraient la possibilit d acc der aux informations sensibles Les fichiers sensibles sont accessibles Risques de dysfonctionnement Les risques e Une fonctionnalit r cente mal test e g n re des erreurs e Une application ne traite pas bien un cas particulier e Une erreur de saisie entra ne un approvisionnement dix fois sup rieur a ce qui est n cessaire e Incidents majeurs d exploitation e Un virus se propage dans le syst me Les solutions existantes e M thodes de d veloppement MERISE AXIAL e Recette e Contr les la saisie 44 e D tecteur de virus e Automatisation de l exploitation e Assurance qualit MAQ INCAS MESSIE Les th mes tudier e Les Etudes e L Exploitation e La fiabilit des applications e Les m canismes et proc dures de d tection e L informatique volue au fil de l eau e La soci t doit valuer c
82. r l efficacit du contr le interne e Vers un renforcement des contr les permanents et des volutions pr visibles sur le contenu Quelques liens pour aller plus loin Le document de r f rence IT amp SOX e IT control objectives for Sarbanes Oxley v2 www itgi org e Sur le m me site introduction au COBIT Le COSO www coso org Les r f rences officielles pour SOX e Le site du PCAOB avec les standards applicables www pcaobus org R ponses aux principales questions concernant SAS70 www sas70 com 74 75
83. rocessus de contr le est en place afin d effectuer une revue p riodique des droits d acc s et de s assurer de leur correcte attribution Des proc dures sont mises en place et suivies pour s assurer que les comptes utilisateurs sont cr s modifi s suspendus et ferm s en temps et en heure Des contr les appropri s incluant les Firewalls la d tection d intrusion l valuation des vuln rabilit s existent et sont utilis s pour se pr munir des acc s non autoris s partir des connectivit s r seaux Des logs tracent les op rations li es la s curit des OS des applications et des bases de donn es La revue de ces logs permet d identifier les violations de s curit et de les remonter au S assurer que l acc s aux salles IT est restreint et que les r gles de s curit sont d finies et appliqu es Des proc dures d acc s sont en place pour les employ s les contractants et les quipes de maintenance Des moyens de protection physiques permettent de maintenir les syst mes en fonctionnement et d assurer la disponibilit des donn es messages d alarmes pour l eau le feu les intrusions 16 extincteurs air conditionn groupes lectroge nes Seules les logiciels autoris s sont utilis s par les utilisateurs Des tests p riodiques sont effectu s pour s assurer que l infrastructure mat rielle et logicielle est configur e de fa on La direction Informatique a d fini des proc dures per
84. rouv e par le management et communiqu e aux utilisateurs Des standards de s curit ont t mis en place afin d atteindre les objectifs d finis dans la politique de s curit Ces standards doivent couvrir les th mes suivants Organigramme de la fonction s curit R les et responsabilit s S curit physique et environnementale S curit des OS S curit des r seaux S curit des applications S curit des bases de donn es Un plan de s curit IT existe et est en ligne avec le plan strat gique IT Le plan de s curit IT est mis jour des changements apport s l environnement IT ainsi que des besoins identifi s en terme de s curit pour les syst mes Des contr les existent lors du processus de demande et de cr ation des droits utilisateurs afin de garantir le principe de s paration de fonction Segregation of duties Les applications et les syst mes h bergeant les donn es sont correctement configur s pour autoriser l acc s aux utilisateurs selon leurs besoins consultation cr ation modification ou suppression des donn es Logical and physical Des proc dures existent et sont suivies afin de Implementation of security practices access to IT computing garantir l efficacit des m canismes d acc s et d authentification resources s assurer que tous les utilisateurs sont authentifi s par le syst me garantissant ainsi la validit des transactions pass es Un p
85. rs a revues et investigu es n cessaires e Entr es de stocks controle hebdomadairement gistr es e Extraire les tables SAP contenant les commandes d achats fournisseurs et les entr es de stocks enregistr es sur la p riode test e Faire une jointure entre les 2 tables pr c demment extraites et identifier Proc dures toutes les commandes sans r ception et pour lesquelles la date de de tests r ception pr visionnelle est d pass e depuis plus d une semaine S lectionner al atoirement 10 commandes non r ceptionn es en retard depuis plus d une semaine et obtenir des explications du Responsable des Achats Etude de cas Proc dures de tests a pr parer Les factures fournisseurs sont saisies dans le syst me en double et pay es Risque q 2 fois au fournisseur Objectif Les factures saisies avec le Donn es de m me fournisseur la m me n cessaires contr le date de facture le m me num ro de facture fournisseur et le m me montant sont identifi es et revues mensuellement 61 Proc dures 9 de tests i Les factures fournisseurs sont saisies avec des quantit s sup rieures aux Risque quantit s de stock effectivement re ues ou avec des prix diff rents des mentionn s dans les commandes A10 e les quantit s factur es ne peuvent tre diff rentes de plus de 5 des quantit s re ues Donn es les prix ne peuvent n cessaires diff rer des prix des commandes tol rance 0 Proc
86. rt au temps le pr sent est dor navant occup construire l avenir e A la perspective du risque La th orie des probabilit s date du milieu du XVII si cle Pascal Fermat En cinquante ans les bases de la probabilit du risque sont pos es entra nant l mergence des m tiers de la finance de l assurance etc La derni re pierre est pos e au XX si cle avec la mesure du retour sur investissement ouvrant la voie au risk management Les types de risque Multiplicit des risques e Risque pays e Risque de taux e Risque de cr dit e Risque de vol e Risque d approvisionnement Risque de change Risque social Risque environnemental Risque fiscal Rq fraude fiscale Le risque fiscal est sous estim en France e Risque d exploitation e Risque de catastrophe Rq inondation du 1910 Paris e Risque strat gique e Risque d intrusion Mode de classification Par type de menace e Risques de march Risque de taux Risque de change Risque de cr dit Risque pays e Risques strat giques Risque d image Risque d alliance Concurrence investisseurs e Risques op rationnels Risque d approvisionnement Risque social Risque de malveillance Risque fiscal e Risques de catastrophe Catastrophes naturelles Risque juridique catastrophe boursi re Risque terroriste Par moyen de protection Risque global e Risque acceptable Risque social Risque fiscal e
87. s Objectifs et natures des tests recalcul de certaines donn es recalcul de certains l ments avec variation des param tres de calcul 35 e valuation r troactive d l ments dont les modalit s de calcul taient erron es afin de chiffrer l cart avec le r el e tablissement de donn es pr visionnelles Exemples e calculs d amortissements selon diff rentes m thodes lin aire d gressif afin d en tudier l impact financier sur plusieurs exercices e reconstituer la valeur d inventaire d un stock e contr le de la quantit et de la valorisation d un stock D marche de mise en uvre Les grandes tapes e Etude de faisabilit e Positionnement des donn es audit es au sein de l environnement informatique e D finition des tests effectuer Donn es en entr e m Crit res de s lection Type de test Restitutions e R cup ration des fichiers e R alisation des tests e Bouclage sur r alisation ajustement des crit res suppression ou ajouts de tests Le lien avec la d marche d audit Pr liminaire e planification de la mission et information du client e tude de faisabilit technique Int rim e d finition des objectifs et des tests r aliser e prise de connaissance des applications et de la structure des fichiers du client e formalisation de l engagement du client pour la mise disposition des donn es Final e d veloppement des programmes e r alisation des
88. s boni en Cr ation du PCAOB nouvelle financiers par les CEO CFO information du Comit et les Administrateurs de cas d ajustement des comptes instance de supervision et de Cr ation d un Disclosure Audit notamment concernant mice recede leurs pointe de d saccard avec le Management contre Enucyintrcmcit des Cabinct d Audit aupr s de cette contraindre manipuler tromper ou influencer de mani re frauduleuse les suite unc faute poole 906 401 gt Auditeurs En cas de fausse arrestation une Mention des ajustements ji sanctions p nales pouvant aller d audit et des engagements Composition du Comit 306 jusqu 5 millions de dollars et 201 hors bilap d Audit qui doit tre constitu Interdiction pour les Dirigeants 20 ans d emprisonnement Interdiction pour les auditeurs exclusivement d administrateur et les Administrateurs 404 ind pendant acheter ou de vendre des 1102 Rapport du Management sur Responsabilit s du Comit titres de la soci t pendant les contr le interne relatif au Audit qui s lectionne et p riodes de blackout nomme les auditeurs et fixe le applicables aux plans montant de leurs honoraires d actionnariat US de fournir certaines prestations annexes hors missions l gales d audit Suu vus pyur la Cbs ficetivns ou la destruction de documents 202 Autorisation du Comit d Audit pour tout service fourni par le 406
89. s pour traduire les orientations en programmes d actions Principaux probl mes rencontr s Absence de sch ma directeur Absence de m thodologie pour la r alisation du sch ma directeur Recensement des besoins des utilisateurs sans v ritable relation avec les objectifs g n raux et informatiques de l entreprise Chantier tal dans le temps difficult r aliser les objectifs nonc s dans le sch ma directeur Le sch ma directeur est souvent une proposition du d partement informatique sans v ritable adh sion de l entreprise L organisation et les quipes du service informatique Risques li s au positionnement du service informatique Ind pendance trop importante du service informatique Non respect des proc dures Non prise en compte de la dimension strat gique des syst mes d information Mauvaise utilisation de l outil informatique Cumul de fonctions incompatibles Organisation du service informatique Unicit du savoir de nature causer des pr judices graves en cas d indisponibilit des personnes Suivi insuffisant des travaux effectu s et de la qualit des services rendus Turn over des quipes Rq un fort Turn over repr sente un risque de pertes des savoirs dans l entreprise Absence de suivi transversal des projets Formation des quipes S paration des fonctions Proc dures en place 12 e Comp tence fonctionnelle La configuration mat rielle et r seau e App
90. t des indicateurs de fraude potentielle R le de l auditeur en SI Identification des employ s ayant acc d au syst me informatique et ayant cr des documents de gestion et ou des pi ces comptables en dehors des horaires normaux de travail par exemple la nuit les week end les jours f ri s 32 o Identification des utilisateurs ayant des droits d acc s tendus et ayant cr des factures et ou des paiements fournisseurs tr s ponctuellement par exemple moins de 10 en 1 an Identification des utilisateurs ayant cr des pi ces tout le long d un processus la fois dans les syst mes de gestion et dans les syst mes comptables exemple de la cr ation du fournisseur de la commande et du paiement de la facture o Formation l audit informatique Tests Informatiques Mme Ezan Sommaire e Pourquoi r aliser des tests informatiques e Avantages des interrogations de fichiers e Situation amenant proc der des interrogations de fichiers e Typologie des test informatiques e D marche de mise en uvre e Les facteurs de r ussite e Outils de traitement Pourquoi r aliser des tests informatiques Justification fondamentale la d mat rialisation des critures ou des documents de gestion ne doit pas constituer un obstacle au travail de l auditeur Plus pragmatiquement trois avantages essentiels e Efficacit de l audit e Productivit des travaux e Meilleure compr hension des
91. t riels standards e une salle informatique bien quip e Acc s gaz Inergen climatisation e des sauvegardes r guli res et test es Risques recens s e Risque de panne du r seau local L ensemble des communications de l entreprise sur un seul cable Plan de c blage non jour e Risque de crash informatique pour une des publications Pas de site de back up D lai de 5 semaines pour obtenir une nouvelle machine e Risque de d gat des eaux Circuit d alimentation d une photocomposeuse dans la salle machine e Risque de non parution d un num ro Epuration des fichiers avant impression r elle chez l imprimeur Impossibilit de reconstituer l ensemble de la mise en page Plusieurs actions mener hi rarchis es et panifi es e quelques solutions simples d un co t cumul inf rieur 15k courant 50 des risques mettre en place dans les trois mois duplication des sauvegardes mise jour du plan du r seau isolation de la photocomposeuse e quelques solutions plus lourdes mise en place d une deuxi me n ud du r seau 41 une solution complexe mettre en uvre d un co t valu a plus de 100 k portant le taux de couverture 80 mener dans les 2 ans d finition d un plan de secours crois avec une autre filiale du m me groupe m me outils Autres types d interventions envisageables Assistance la d finition du plan de reprise
92. tection anti virus s curit des r seaux tests d intrusions cryptographie des message Exemple de fraude Les entreprises sont quotidiennement soumises a des centaines voire a des milliers d attaques virales Ces virus peuvent engendrer des mises en indisponibilit de leurs syst mes d information des pertes de donn es des destructions mat rielles qui peuvent galement faire l objet de chantage par des personnes malveillantes ex I love you Les virus peuvent aussi tre utilis s par des tiers pour prendre le contr le du syst me d information et ainsi copier modifier ou supprimer des donn es sensibles et ou confidentielles R le de l auditeur en SI sp cialiste dans les proc dures de protection des donn es il peut par exemple effectuer des tests sur le syst me de gestion des virus de l entreprise afin de s assurer notamment de la mise jour au moins quotidiennes des signatures de virus sur les PC et la bonne protection des postes nomades e Le contr le des d veloppements informatiques 31 Exemple de fraude des personnes malveillantes internes ou externes peuvent ins rer au sein des applications informatiques de programmes destin s d tourner des fonds Ainsi les techniques dites salamis consistent tronquer une somme d une ou plusieurs d cimales sur chaque transaction puis de virer cet argent sur un compte bancaire R le de l auditeur en SI sp cialiste dans la gestion des
93. tests et exploitation e remont e aux auditeurs financiers des anomalies rencontr es lors de l exploitation pour adaptation des tests futures Les facteurs de r ussite Les principaux points d attention La r ussite et la pertinence des tests informatiques d pendent en grande partie de attention accord e la pr paration de la mission e les intervenants tant multiples la coordination des diff rents acteurs est essentielle e aucune des principales tapes qui composent la d marche des interrogations de fichiers depuis la prise de connaissance du syst me jusqu a lexploitation des r sultats ne doit tre n glig e e le planning des t ches concourant la mise en uvre d interrogations de fichiers respecte les m mes phases que celui d une intervention traditionnelle et doit tre pr vu dans le plan de mission global 36 La phase de pr paration La phase de pr paration doit inclure une tude du syst me informatique pour viter notamment des interrogations de fichier inutiles ou n ayant pas de signification e elle doit permettre de conna tre avec exactitude le contenu des fichiers notamment la d finition des champs e il faut tre attentif l origine de donn es des fichiers ne pas chercher par exemple recouper deux fichiers issus de la m me base de donn es e ne conserver que les tests r ellement pertinents s assurer que les fichiers contiennent bien les informations recherch es e
94. tions Sarbanes Oxley 404 grace a la r alisation au niveau Groupe de tests automatis s avec participation limit e des filiales e Mettre disposition des security officers SAP un moyen de pilotage et de contr le fiable et simple a utiliser PHASE 1 PHASE 2 PHASE 3 Pr paration Scoping Diagnostic Evaluation Conclusion Analyse du syst me SAP D finition du scope Reporting r sultats obtenus 1 2 semaine semaines D pend du D pend D pend du du scope Ponctuel Ponctuel R current D finition du scope des revues e Scoping des entit s soci t s i er oe a Lors e S lection des sous processus critiques JfSAPetde f crit res r sultats N son d analyse obtenus tester utilisation e D finition de la fr quence des revues Analyse du syst me SAP e Identification des transactions utilis es et ou utilisables par sous processus e D finition du niveau de d tail des tests transactions ou objets e D finition des crit res de test par transaction Testing suivant une fr quence a d finir e Extraction des tables de s curit SAP ee e Traitement de ces donn es l aide d un Fute des outils du march e Cr ation d un matrice de droits d acc s par entit e Identification par les security officers de chacune des entit s des acc s non justifi s par user Evaluation Testing utilisation sia Evaluation des r sultats obtenus Evaluation s 7 r sult
95. valuation de la fiabilit des processus KPI de monitoring du contr le interne Evaluation de la fiabilit des processus OBJECTIFS e Identifier et tester l ensemble des contr les cl s d un processus et notamment ceux automatis e Augmenter la pertinence des tests r alis s en s appuyant sur le syst me et les contr les param tr s e Augmenter le degr de pr cision des tests grace des populations de test plus larges exhaustive e Gagner en efficacit gr ce l automatisation des tests Exemples de contr les 55 Les structures organisationnelles soci t s controlling area organisation d achat usines divisions ont t d finies de mani re refl ter l organisation du Groupe Des champs sensibles ont t d finis sur les fiches fournisseurs requ rant une validation par une tierce personne pour toute modification Le flag Contr le des factures en doublons est actif pour tous les groupes de fournisseurs Les tol rances lors du contr le facture ont t param tr es de mani re blouer au paiement toute facture au del d un cart de prix de 2 Les strat gies de validation param tr es sur les demandes d achat et les commandes respectent la d l gation de pouvoirs en vigueur Les structures d cran d finissant les champs obligatoires la saisie des demandes d achat commandes ont t d finis et adapt s pour les diff rents types de pi ce en fonction d
96. yst mes et r seaux concern s Des proc dures existent et sont suivies afin qu un contrat formel soit d fini et convenu pour tous les services tiers avant le d but des travaux y compris la d finition des exigences de contr le interne et l acceptation des politiques et proc dures de l entreprise Des revues r guli res des prestataires sont effectu es au travers d audits exemple SAS 70 Des politiques et proc dures existent pour g rer la distribution et la r tention des donn es ainsi que pour les rapports Des contr les de fin de traitement sont r alis s par la DSI afin de v rifier l exactitude la compl tude et la validit des traitements informatiques La Direction Informatique a d fini et mis en place un syst me de gestion des probl mes et incidents de telle mani re que les incidents li s l int grit des donn es et aux contr les d acc s sont enregistr s analys s r solus en temps et en heure et remonter Problem management ement le cas ch ant procedures Le syst me de gestion des probl mes assure la piste d audit entre le probl me ou l incident relev jusqu la cause identifi e Un processus de r ponse aux incidents de s curit existe afin de mettre en place les actions correctives dans les meilleurs d lais et d analyser les op rations non autoris es Implementation backup Le management prot ge les informations sensibles logique et and recovery procedures physique dans leur stoc

Download Pdf Manuals

Related Search

Related Contents

  Bedienungsanleitung Instructions de service Operating Instructions  Energy Sistem Sport Cam Extreme  User Manual, Guide Book, Application Notes and Some  Incipio SA-636  ホームハイポニカ303 - 取扱説明書    IMBA-XQ354 Motherboard  valvola di controllo control valve deltaflux manuale tecnico mt100  Homeowners Guide  

Copyright © All rights reserved. Failed to retrieve file