Audit et analyse des données
Contents
1. une situation ma tris e et conforme la proc dure RE de Bh 14h de 11h 12h de9h 10h B de7h 8h m de5h 6h E de3h 4h fE deih 2h f de 12h 3 4h f de0h 14h Es de 1 2h 1 4h de 1h 3 4h de 3h 2h de 5h 4h de 7h 6h de 9h 8h de 11h 10h 0 20000 40000 60000 80000 100000 120000 140000 160000 180000 200000 b tude de l efficacit d un contr le informatique addi tionnel mis en uvre dans une application Objectif de l analyse D montrer l efficacit du contr le informatique Population observ e Extraction de l ensemble des enregistrements rejet s dans l application au cours d un trimestre sous la forme d un fichier Excel Travaux r alis s e Importation du fichier e Sommaire par date du nombre de rejets e Repr sentation du r sultat sous forme graphique D lai coul entre les saisies de deux v nements associ s une op ration Non respect de ms 15000 la proc dure dans 45 8 des cas R sultats Dans ce cas l analyse a permis de d montrer l efficacit du contr le informatique puisque sa mise en place a engendr une diminution significative du nombre de rejets dans l application De plus ces tra vaux ont montr la n cessit d ins taurer une proc dure d analyse syst matique des rejets afin de d tecter les dysfonctionnements ventuels notamment apr s la mise en production d2. tayer une opi nion d audit Dans le cas qui nous int resse il s agit plus particuli rement de l exploitation des don n es du syst me d information des fins d audit on parle alors d audit par les donn es pratiqu au moyen de techniques d audit assist par ordinateur TAAO ou CAATs Les nouvelles normes pour la pra tique professionnelle de l audit interne applicables depuis le 1 jan vier 2004 pr cisent que les auditeurs internes doivent poss der une bonne connaissance des principaux risques et contr les li s aux technologies de l information et des techniques d audit informatis es susceptibles d tre mises en uvre dans le cadre des travaux qui leur sont confi s norme 1210 43 De m me la norme CNCC 2 302 promue par la CNCC Compagnie Nationale des Commissaires aux Comptes en 2003 consacre la n cessit d va luer syst matiquement les risques li s au syst me d information et recommande l utilisation des techniques d audit assist es par ordinateur Enfin la Loi de S curit Financi re LSF du 1 ao t 2003 induit de nouvelles obligations de contr le interne pour les entre prises qui doivent rendre compte dans un rapport annuel des proc dures de contr le interne mise en place pour garantir une meilleure transparence Cette obligation cou vre le contr le interne informatique en tant que rouage essentiel du contr le interne g n ral La Revue Mai 07 10
3. jour annuelle de la mod lisation d une activit dans une application Le respect de cette proc dure permettait l application de restituer une image fiable de l activit globale Population observ e Extraction de l ensemble des mod lisations cr es dans l outil au niveau national dans un fichier au format csv Chaque mod lisation tait rattach e une entit et poss dait une date de cr ation Travaux r alis s e Importation du fichier des mod lisations dans l outil d analyse juin 04 juil 04 Mise en production LL ao t 04 sept 04 oct 04 a E nov 04 d c 04 janv 05 f vr 05 mar 05 gt Evolution du nombre d anomalies fonctionnelles juin 04 juil 04 Mise en production de la nouvelle version ao t 04 sept 04 oct 04 nov04 d c 04 janv05 f vr 05 mar 05 gt volution du nombre d op rations de maintenance chaud La Revue Mai 07 14 e Pour chaque entit calcul du nombre moyen de mod lisations r alis es chaque ann e taux de mise jour e Cumul par taux de mise jour du nombre d entit s e Repr sentation du r sultat sous forme graphique x v T 2 Q E e Z tntit s en anoma 1 5 1 67 R sultats L analyse a permis de constater que des entit s ne mettaient jour leur mod lisation chaque ann e Ce groupe d entit s non n gligeable ne respectait pas la proc dure Une s rie d ac
4. volutions de l application la suite de cet audit le propri taire du processus a donc mis en place une proc dure de suivi des anomalies avec un indica teur d alerte bas sur les tables de rejets de l application 6000 SE lundi 7 avri ehregistrements lundi 31 mars lundi 14 avril 5000 STE RIRE IR ERE sam5 avril sam 29 mars sam 12 avril 1000 Mise en place du contr le informatique Tomate E MR a aa te AR a a a Evolution du nombre de rejets La Revue Mai 07 13 c Contr le des habilitations par rapprochement avec les bases RH Objectif de l analyse V rification de la l gitimit des habilitations accord es au niveau d une appli cation Population observ e Extraction de l ensemble des habilitations ainsi que des droits accord s au niveau de l application sous la forme d un fichier Excel Travaux r alis s e Importation du fichier des habili tations dans l outil d analyse e Extraction de la liste des utilisa teurs concern s e Extraction partir des bases RH du statut des utilisateurs impact s e Importation du fichier des utilisa teurs dans l outil d analyse e Rapprochement des statuts et des habilitations pour chaque utilisateur R sultats L analyse a permis d identifier des cas o la proc dure de retrait des habilitations n avait pas t respec t e au niveau local l audit a about
5. Pour l auditeur l analyse de donn es accro t consid rablement la valeur ajout e de ses travaux et de fait l image de marque de l audit En effet elle permet de gagner en productivit d tendre le p rim tre des tests et de fiabiliser l audit IlL n y a plus besoin de contr les manuels longs et fastidieux les tests portent sur l exhaustivit de la population laissant de c t le sondage et l extrapolation Enfin les travaux d analyse de donn es permettent d obtenir des l ments probants opposables avec un chif frage direct des anomalies travers une d marche auditable 3 L analyse de donn es mode d emploi Be approches peuvent tre envisag es pour positionner les travaux d analyse de donn es dans le processus d audit Fig 1 e En amont de la mission pour cibler les zones risques ou liminer des risques hypoth tiques non av r s e Dans la phase d investigation pour apporter des constats chiffres ou tayer une opinion d audit En termes d organisation diff rentes approches sont galement envisageables Le service peut faire Le choix de la g n ralisation ou celui de la sp cialisation Il est vrai que la premi re option demande un investissement plus important en termes de formation et d acquisition de logiciels mais la R union d ouverture R union interm diaire R union finale a ETUDE DETAILLEE Q gt Fig 1 les travaux d analyse de donn es dans le p
6. uvre dune proc dure de saisie par les utilisateurs Objectif de l analyse V rification de la mise en uvre d une proc dure de saisie par les utilisateurs qui pr voyait la saisie d un v ne ment pour marquer chacune des deux tapes constitutives d une op ration manuelle Le respect de cette proc dure permettait d offrir une visibilit sur l tat d avance ment de l op ration consid r e Population observ e Ensemble des journaux de transactions de l appli cation sur une semaine sous la forme de fichiers d v nements au format texte Travaux r alis s e Concat nation des fichiers v nements e Remise en forme globale pour im portation du fichier dans l outil d analyse ce qui a constitu l tape la plus longue et la plus fastidieuse e Importation du fichier obtenu e Pour chaque op ration calcul du d lai coul entre les deux v ne ments R sultats L analyse des d lais coul s entre les deux v nements a permis de mettre en vidence un non respect de la proc dure sur le terrain et de quantifier l tendue du dysfonc tionnement En effet certains utili sateurs effectualent les deux saisies en simultan e plut t qu chaque fin d tape constitutive faussant la vue restitu e par le syst me la suite de cet audit un travail r alis conjointement avec le propri taire du processus a per mis de mettre en uvre les actions n cessaires pour un retour
7. vaut privil gier une extraction des donn es de production l tat brut mais il peut s agir galement du r sultat d une requ te ou de donn es obtenues partir d un info centre Phase 4 Pr paration des donn es Une fois les donn es r cup r es il faut organiser l environnement de travail espace d importation espace de travail espace de r sultats et y d poser les fichiers en prenant soin de faire une archive des donn es de d part afin de pouvoir repartir de z ro le cas ch ant Ensuite l importation des fichiers est r alis e sans oublier d effectuer un contr le imm diat pour chaque fichier validation des totaux de contr le et du nombre d enregis trements contr les de coh rence dans l outil d analyse Il peut s agir d outils de type base de donn es Access Visual Foxpro de logi ciels g n raux IDEA ACL ou encore d un tableur de type Excel Cependant les logiciels g n raux allient une capacit de trai tement importante une mise en uvre rapide tout en garantissant l int grit des donn es et la conser vation de la piste d audit Fig 3 titre indicatif l Audit Informatique du Groupe La Poste utilise IDEA depuis 1998 Il reste maintenant formaliser les programmes de travail Caract ristiques Capacit volum trique Capacit de traitement Tableurs Bases de donn es ACL IDEA Limit e 65534 Illimit e Illimit e pour Exce
8. Dossier Audit Analyse de donn es G G Les techniques d analyse des donn es utilis es depuis 1998 au sein de l Audit Informatique du Groupe La Poste constituent un outil d audit puissant et indispensable pour la r alisation des missions Cet article pr sente la d marche utilis e dans ce cadre et fournit quelques exemples concrets de mise en uvre 9 9 Mathieu Laubignat CISA Auditeur informatique 1 Pr sentation succincte de l Audit Informatique du Groupe La Poste audit Informatique du Groupe La Poste est une structure dont le r le consiste valuer les processus de management des risques et de gouvernance des sys t mes d information du Groupe et apporter des conseils pour ren forcer leur efficacit Le p rim tre du service s tend la maison m re et l ensemble des filiales du Groupe Les missions d audit r ali s es peuvent tre de diff rentes natures audit de SI audit de s curit audit de th matique Les techniques d analyse de donn es utilis es depuis 1998 au sein de l Audit Informatique du Groupe La Poste constituent un outil d audit puissant dans la panoplie des au diteurs pour la r alisation de ces missions 2 Pourquoi l analyse de donn es analyse de donn es au sens large consiste r colter et exploiter des donn es quelles que soient leur origine documents papier chiffres cl s relevages ou comptages manuels syst me d in formation pour
9. donn es Phase 5 R alisation des tests Phase 6 Interpr tation et pr sentation des r sultats La Revue Mai 07 12 Tout type de fichiers Garantie Garantie Par cons quent il faut se fixer des objectifs clairs et stables tout au long de la mission galement maintenir une bonne communication en interne mais aussi avec les au dit s travailler par tapes pour la r alisation des tests en s appliquant contr ler et documenter les r sul tats obtenus En revanche il faut veiller ne pas se lancer dans un d fi technique Il ne s agit pas de r crire l appli cation ni d en faire la recette fonctionnelle L quipe doit tre galement vigilante par rapport aux d lais car certains tests peuvent s av rer plus longs que pr vu d o la n cessit de prioriser Attention l interpr tation h tive situation dangereuse si l auditeur n a pas toute la connaissance fonctionnelle Enfin l absence de contr les et de documentation induit le risque de fonder ses conclusions sur des r sultas erron s ou d tre dans l impossibilit de justifier la d marche d obtention du r sultat de la charge de travail totale 10 10 15 15 30 20 L int gration d outils d analyse de donn es dans les travaux d audit a donc n cessit un investissement important appuy par la direction de l audit informatique 5 Exemples d utilisation a V rification de la mise en
10. i au lancement d un plan de sensibili sation aupr s des managers locaux afin qu ils s assurent du respect de la proc dure d Qualit de la recette fonction nelle d une application Objectif de l analyse V rification de la qualit de la recette fonction nelle pr c dant la mise en produc tion de la nouvelle version d une application par examen des anoma lies fonctionnelles et des op ra tions de maintenance chaud Population observ e Extraction de l ensemble des anomalies fonc tionnelles et des op rations de maintenance chaud sur 10 mois sous la forme de fichiers Excel Travaux r alis s eImportation des fichiers dans l outil d analyse e Cumul par date du nombre d anomalies fonctionnelles eCumul par date du nombre d op rations de maintenance chaud e Repr sentation des r sultats sous forme graphique R sultats L analyse a permis d tayer les l ments recueillis au cours des entre tiens d audit En effet les r sultats montrent que la mise en production de la nouvelle version a engendr une croissance importante du nombre d anomalies fonctionnelles et par cons quent d op rations de maintenance chaud L analyse a donc permis de souligner l insuffi sance de la recette fonctionnelle r alis e avant la mise en production e Mise jour de la mod lisation d une activit Objectif de l analyse V rification du respect d une proc dure pr voyant la mise
11. l Limit e Illimit e Suffisante Types des fichiers import s Int grit des donn es Piste d audit Majorit des fichiers Majorit des fichiers ASCII ASCII Impossible r aliser Impossible r aliser gt Fig 3 Comparaison des principaux outils d analyse de donn es Attention l tape de pr paration des donn es peut tre la plus fastidieuse si les tapes de prise de connais sance et de d finition des sc narios n ont pas t correctement r ali s es En effet une mauvaise d fini tion des objectifs et des donn es cibles peut aboutir des demandes d extraction compl mentaires ou des travaux de remise en forme des fichiers obtenus qui allongent signi ficativement le processus Phase 5 R alisation des tests Pour chaque test les tapes mises en uvre sont d crites et notamment les fichiers ou champs cr s Il faut galement pr voir des modalit s de contr le pour v rifier les r sultats obtenus La r alisation d un document de suivi chronologique des travaux description de ce qui est fait et ce qui reste faire constitue galement un l ment important durant cette phase Cette d marche peut per mettre ventuellement de prioriser certains travaux en recadrant par la suite avec l audit Phase 6 Interpr tation et pr sentation des r sultats La derni re phase consiste ana lyser et valider les r sultats par rapport ceux at
12. ments mod le de donn es Phase 2 D finition des sc narios d analyse partir des objectifs de La mission les tests les plus pertinents sont identifi s Il peut s agir de v rifier l application d une proc dure ou l impl mentation d une r gle de gestion de v rifier une piste d audit Ce que fait l application gt Fig 2 tests d analyse de donn es comparaison des entr es et sorties Pour valider les sc narios d analyse il faut tenir compte des capacit s de l outil d analyse utilis et r aliser une approche de faisabilit en consid rant la complexit la volu m trie et la disponibilit des don n es planning compatible accord de l audit Phase 3 R cup ration des donn es Apr s validation et en fonction des objectifs des tests les donn es utiles aux travaux d analyse sont identifi es les fichiers de d part qui contiendront les champs n ces saires sont d finis et arr t s une La Revue Mai 07 11 date pr cise Il convient alors de transmettre l audit par crit les objectifs de test et les donn es choisies Ainsi celui ci est inform du p rim tre d extraction et peut valider la s lection la date le mode de transmission le format et la structure des fichiers Pour l extraction diff rentes ap proches sont envisageables en fonction de l interlocuteur propri taire des donn es ma trise d uvre exploitant du mode employ mieux
13. rocessus d audit deuxi me qui para t plus cono mique pr sente cependant certains d savantages En effet un auditeur cantonn aux travaux d analyse de donn es risque de se lasser rapidement D autre part si les comp tences en la mati re sont concentr es sur un nombre restreint d individus il y a un risque plus important en cas d absence ou de d part C est pourquoi l Audit Informatique du Groupe La Poste a fait le choix de d velopper cette comp tence sur l ensemble des auditeurs du p le ASI Ainsi les nouveaux arri vants doivent ma triser les tech niques d analyses de donn es au m me titre que les travaux d audit classiques Cette mont e en comp tence s effectue travers une for mation de base assur e par les auditeurs plus exp riment s en in terne De plus le service dispose d un outil destin capitaliser l ex p rience engrang e en mati re d analyse de donn es Au sein du Groupe des services d audit g n ralistes ont mis en uvre la m me d marche Les travaux d analyse de donn es doivent tre structur s En cons quence le processus se d compose en plusieurs phases Phase 1 Prise de connaissance Cette phase constitue le pr alable l ensemble des travaux d audit Elle consiste identifier les acteurs du SI MOA MOE conna tre le domaine et les objectifs attendus du SI et obtenir sa description Cartographie applicative chrono logie des traite
14. tendus en relation avec les acteurs du SI audit Puis viennent la conclusion et la resti tution des r sultats sous forme graphique de pr f rence attention il est parfois difficile de repr senter certains r sultats d analyse de donn es Pour gagner en valeur ajout e dans les conclusions et les recommandations mises il est int ressant pour l quipe d audit de collaborer autant que possible avec des sp cialistes du m tier audit Si l analyse n aboutit pas il faut en informer les acteurs identifier la cause et ventuellement pr voir une solution de contournement Enfin une synth se des travaux a posteriori permet d identifier les bonnes pratiques g n raliser lors des prochaines analyses 4 Conclusion n mati re d analyse de donn es il convient de respecter les diff rentes tapes de pr paration pour faciliter la r alisation des tra vaux En effet l exp rience a montr que les phases amont sont souvent plus consommatrices de temps mais conditionnent la r ussite des travaux d analyse de donn es titre indicatif sur une mission classique de l Audit Informatique o des travaux d analyse de donn es sont men s la charge de travail se r partit sur les diff rentes phases du processus de la fa on suivante Phases du processus Phase 1 Prise de connaissance Phase 2 D finition des sc narios d analyse Phase 3 R cup ration des donn es Phase 4 Pr paration des
15. tions a t d clench e par la suite pour s assurer de cette mise jour annuelle dans l ensem ble des tablissements 99 9 100 0 100 0 Em Nombre d entit s cumul Entit s en conformit avec la proc dure 2 2 33 2 5 Nb de mod lisations moyen an Collection es professionnelles pratiqu protagonistes d la route est longue La Revue Mai 07 15 irection m tiers s y retrouvent et partagent un langage commun C est le seul et unique but de cet ouvrage qui n a pas la pr tention d tre une m thode mais simple ment un guide de bonne pratique et une aide construire une d marche Ce n est qu un jalon et 6 Webographie www afai fr AFAI Association Fran aise de l Audit et du Conseil Informatiques WWW ISaca com ISACA Information Systems Audit and Control Association www ifaci com IFACI Institut Fran ais de l Audit et du Contr le Interne http www theiia org itaudit site d di l audit des syst mes d information www auditnet org Audit Net site d di au partage de connaissance des auditeurs WWW caseware idea com Distributeur du logiciel IDEA www acl com Distributeur du logiciel ACL WWW cncc fr CNCC Compagnie Nationale des Commissaires aux Comptes E
Download Pdf Manuals
Related Search