Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

MASNAOUI 1 Journée de Réflexion sur l’Audit ENCG Agadir, le 1 Mars 2003

MASNAOUI 1 Journée de Réflexion sur l’Audit ENCG Agadir, le 1 Mars 2003 Démarche d ’audit des Systèmes d ’information Nabil BAYAHYA, Directeur Associé Masnaoui Mazars MASNAOUI 2 Plan de la présentation 1. Notions de base des de l ’audit des SI 2. Présentation de 3 domaines d ’Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Sécurité 3. Conduite d ’une mission d ’audit MASNAOUI 3 Contexte des SI dans l ’entreprise Les systèmes d ’information ont évolué depuis les années 70 pour s ’octroyer une importance cruciale dans la vie des entreprises en tant que : Support à l ’outil de production qui contribue à la réalisation de l ’objet de l ’entreprise (système de facturation, encaissement, trésorerie, comptabilité, GPAO, GMAO ….) Référentiel du patrimoine de l ’entreprise et de son savoir faire (fichier clients, processus de gestion, KM ... ) Moyen de renforcement du contrôle et de maîtrise des processus de gestion (contrôle informatique, workflow) … . Ces constats génèrent un niveau de dépendance de l ’entreprise vis à vis de son système d ’information MASNAOUI 4 Risques informatiques Contexte des SI dans l ’entreprise Certes, le niveau d ’intégration du SI dans les processus de gestion de l ’entreprise présente un réel tremplin pour sa croissance et son développement ... …mais, une telle intégration présente d ’inhérents risques de vulnérabilité de l ’entreprise Inadéquation au processus de gestion Non conformité aux dispositions légales Absence d ’information décisionnel le Inefficience du Contrôle Manque d ’évolutivité de l ’architecture informatique Accès non autorisés Augmentatio n des coûts informatique s Manque de Fiabilité des traitements et des données Continuité d ’exploitation de l ’entreprise ... Inefficience de la politique de sécurité Absence de compétences qualifiées MASNAOUI 5 Préoccupations des directions générales Le système d ’information de l ’entreprise contribue-t-il à améliorer sa profitabilité ? Comment mesurer les bénéfices liés aux investissements informatiques ? La stratégie informatique est-elle conforme à la stratégie de l ’entreprise ? Peut-on diminuer les coûts des fonctions administratives en dépensant plus en informatique ? Les données produites par les applications informatiques permettent-elles de prendre des décisions efficaces ? Les applications fournissent des informations exactes, exhaustives, authentiques ? Le système informatique est-il suffisamment protégé contre les accidents, les malveillances et les erreurs ? ... MASNAOUI 6 Problématiques du Système d ’information Les problématiques du système d ’information se manifestent tout le long de son cycle de vie selon une approche itérative: Choix et orientation du système d ’information Mise en œuvre et développement du SI Exploitation du SI Quelle adéquation avec les orientations stratégiques et le plan de développement du SI ? Comment faire évoluer le SI actuel vers le SI cible ? Quels choix technologiques retenir ? Quelle organisation pour le pilotage des projets informatiques ? …. Quelle adéquation avec les orientations stratégiques et le plan de développement du SI ? Comment faire évoluer le SI actuel vers le SI cible ? Quels choix technologiques retenir ? Quelle organisation pour le pilotage des projets informatiques ? …. Quelle adéquation entre les applications en exploitation et les besoins des utilisateurs Quelles sont les mesures de contrôles et de sécurité prises en compte dans les applications informatiques Quelles sont les procédures d ’exploitation du SI ... Quelle adéquation entre les applications en exploitation et les besoins des utilisateurs Quelles sont les mesures de contrôles et de sécurité prises en compte dans les applications informatiques Quelles sont les procédures d ’exploitation du SI ... Quelle choix pour la mise en œuvre du plan de développement du SI : Choix de progiciel, développement spécifique, solutions interfacées Quelle démarche de conduite de projet informatiques Quelle organisation et compétences pour la conduite des projets informatiques ... Quelle choix pour la mise en œuvre du plan de développement du SI : Choix de progiciel, développement spécifique, solutions interfacées Quelle démarche de conduite de projet informatiques Quelle organisation et compétences pour la conduite des projets informatiques ... MASNAOUI 7 Périmètre des missions d ’audit des systèmes d’information REVUE DES CONTRÖLES GENERAUX INFORMATIQUES AUDIT : APPLICATIONS INFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION AUDIT : ALIGNEMENT STRATEGIQUE AUDIT : FONCTION INFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développement du SI AUDIT : PROJETS INFORMATIQUES AUDIT : Sécurité et Réseaux Exploitation du SI MASNAOUI 8 Démarche d ’audit • Objectif : S ’assurer que tout se passe bien conformément aux règles et aux usages professionnels Pour toutes les faiblesses importantes détectées, évaluer et justifier les risques, et Proposer des actions correctives • Moyens Observer, analyser et juger des faits Evaluer l ’adéquation et le fonctionnement des activités par comparaison avec un référentiel Appliquer des démarches cohérentes • Domaines Toutes les fonctions de l ’entreprise peuvent être auditées MASNAOUI 9 Ne pas confondre audit, expertise et conseil Audit – Démarche de généraliste – Collecte de faits – Analyse de processus – Recommandations Expertise – Spécialiste d ’un domaine – Approche technique – Mesures de performances – Recherche de solutions Conseil – Connaissance d ’un domaine – Approche généraliste – Axes d ’amélioration – Pilotage du changement MASNAOUI 10 Trois grands types d ’audits L ’audit de conformité (audit de régularité) – Vérification de l ’existence de normes – La direction générale fixe des règles et des procédures – S ’assurer qu ’elles sont effectivement appliquées – Comparaison par rapport à un référentiel L ’audit d ’efficacité (audit de progrès) – Appréciation de la qualité des règles et des procédures par rapport aux objectifs – Vérification de l ’impact de ces règles – Recommandation d ’améliorations – Etablir un plan d ’action MASNAOUI 11 Trois grands types d ’audits L ’audit d ’efficience (audit économique) – Analyser les moyens affectés aux opérations – Apprécier l ’utilisation des ressources – Proposer des moyens d ’optimiser ces moyens Attitude réservée face aux audits sanctions MASNAOUI 12 Quelques Référentiels de l ’audit des Systèmes d ’information COBIT (Contrôle Objectives for Information and related Technology) – Etablis par l ’ISACA (Information Systems Audit and Control Assiociation) – Traduit et diffusé par l ’AFAI (Association française de l’audit et du conseil informatique) SAC Report (Contrôle et audit du système d ’information) – Etablis par IAA – Traduit et diffusé par l ’IFACI, IAI Le référentiel ne fait pas l ’auditeur... mais il peut l ’aider MASNAOUI 13 1. Notions de base de l ’audit des SI 2. Présentation de 3 domaines d ’Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Sécurité 3. Conduite d ’une mission d ’audit MASNAOUI 14 Audit de la fonction informatique • Plan Questions usuelles de la direction générale concernant la fonction informatique Positionnement et structure de la fonction informatique Les bonnes pratiques concernant la fonction informatique Les points de contrôles Exemples de mission d ’audit MASNAOUI 15 Audit de la fonction informatique • Questions usuelles de la direction générale Est-ce que les utilisateurs sont satisfaits des prestations informatiques ? Est-ce que l ’informatique perturbe vraiment le fonctionnement des services ? Est-ce que l ’informatique est correctement pilotée ? Y-a-t il un comité de direction chargé de l ’informatique ? Quel doit être le positionnement du responsable informatique ? Combien ça coûte réellement ? Et combien ça rapporte ? Faut-il décentraliser l ’informatique dans les unités ? Que doit- on garder en central ? Comment piloter de manière efficace les projets informatiques ? Est-ce que les personnes travaillant au sein du service informatique sont compétences ? MASNAOUI 16 Audit de la fonction informatique • Positionnement et structure de la fonction informatique Le comité de planification ou de pilotage de l ’informatique Position des services informatiques dans l ’organisation & Séparation des tâches Intervention de l ’informatique dans l ’organisation et les processus Responsabilité de l ’assurance qualité Responsable de la sécurité Propriété des données et des applications Gestion du personnel informatique et des sous-traitants MASNAOUI 17 Audit de la fonction informatique • Les bonnes pratiques concernant la fonction informatique Les relations entre la direction générale et les utilisateurs La clarté des structures et des responsabilités L ’existence de dispositifs de mesures Compétence et qualification du personnel MASNAOUI 18 Audit de la fonction informatique • Les relations entre la direction générale et les utilisateurs La mission de la direction informatique doit être clairement définie et un document écrit doit la décrire. Les objectifs et les règles de fonctionnement de l ’informatique doivent être connus des décideurs et des utilisateurs. Un comité de direction doit prendre des uploads/Management/ audit-des-systemes-d-information.pdf