1 Contrôle interne et système d'information 2ème édition Version validée Versio
1 Contrôle interne et système d'information 2ème édition Version validée Version 2.2 Groupe de travail Contrôle Interne de l'AFAI : Nicolas Bonnet Laurent Gobbi Jean-F lorent Girault Jean-Michel Mathieu Vincent Manière Gina Gulla-Menez François Renault Claude Salzman Serge Yablonsky Groupe de validation : Pascal Antonini Maryvone Cronnier Renaud Guillemot Michel Leger Stéphane Lipski Bertrand Maguet Philippe Tr ouchaud Paris, 6 juillet 2008 V 2.2 2 Sommaire 1 2 3 Executive Summary ........................................................ ....................................... 4 Préface ................................ ................................................................................ ........... 5 Introduction ..................................................... .......................................................... 6 4 Le contrôle interne en environnement informatisé : le rôle du cadre de l'AMF ....... ................................................................................ ............................ 8 5 6 7 Les processus au cœur de ces démarches ........ ..................................... 11 Exemple pratique d'un processus........ ........................................................ 14 La maîtrise des données ................................................................................ ... 17 7.1 7.2 7.3 7.4 Identifier les flux de données ................................... ........................................ 17 Contrôler ces données .................. ......................................................................... 18 Obt enir une cartographie des bases de données .................................. 19 Vér ifier l’existence de chemins de révision ........................................... ... 20 8 Stratégie de mise en œuvre du contrôle interne en milieu informatisé ................. ................................................................................ ....................... 21 9 L �audit informatique outil privilégié du contrôle interne .............. 24 9.1 Les démarches de contrôle et de supervision au sein de l �entreprise............. ................................................................................ .................................... 24 9.2 Les trois domaines de l’audit informat ique et leur apport au contrôle interne .......................................... ............................................................................ 26 10 11 12 Importance des contrôles continus................................................. ....... 31 Cas d’une mission d’audit du processus d’achats ......................... 3 3 Guide opérationnel ............................................................. .............................. 36 Développer l �approche par les processus .......................................... .... 36 Identifier les domaines à fort niveau de risques.......................... ..... 37 Évaluer les dispositifs de contrôle interne de l �entreprise.......... 38 Maît riser l �approche par les processus.............................................. ...... 39 12.1 12.2 12.3 12.4 12.5 Mettre en place des mesures a minima concernant l’activité informatique........ ................................................................................ ...................................... 40 12.6 Renforcer les dispositifs de cont rôle intégrés .................................... 41 12.7 Mettre en place un système d �information dédié aux contrôles et au suivi des anomal ies............................................................................. ..................... 42 12.8 12.9 Évaluer la qualité et l �efficacité des contrôles en p lace ................ 43 Renforcer les processus informatiques.................. ................................. 44 13 Annexes......................................................................... .......................................... 45 © AFAI 3 1 - Application du cadre de l �AMF aux systèmes d �information ........ 46 2 - Le COSO appliqué aux systèmes d �information................................... 48 3 - B ibliographie.................................................................... ......................................... 54 Table des illustrations Figure 1 – Exemple de cartographie des processus de l �entreprise .............. 11 Figure 2 - Description du processus clients ................................... ......................... 14 Figure 3 - Description de l �activité "Prendre la comm ande"............................. 15 Figure 4 - Diagramme de flux d �une factura tion ................................................... 18 Figure 5 - Familles de contrôle du Système d �Information............................... 21 Figure 6 - Re lations de l �audit informatique au contrôle interne .................... 25 Figure 7 - Le référentiel ValIT .......................................................... ............................ 27 Figure 8 - Les 34 processus de CobiT 29 Figure 9 - Recommandations de l �AFAI sur le cadre de référence de l �AMF .................... ................................................................................ .............................................. 47 Figure 10 - Le cube du COSO, 1ér e version 1 ......................................................... 49 Figure 11 - Le cube du COSO, 2ème version ............................................... ............. 52 © AFAI 4 1 Executive Summary Aux Etats-Unis la loi Sarbanes-Oxley et en France la loi sur la Sécurité Financière on t rendu obligatoire la mise en place de dispositifs de contrôle interne. Cette con trainte a eu un effet positif. L �expérience a montré que le renforcement des procédure s a eu un certain coût mais, si cette démarche est bien managée, elle peut en rapporte r encore plus. C �est un investissement rentable en rationalisation et en renforc ement de l �efficacité de l �entreprise. L �allégement des structures est devenu un enj eu primordial. L �amélioration des processus les rend plus performantes. Il est pou r cela nécessaire de disposer de procédures internes efficaces et de maîtriser les ris ques. La mise en place de dispositif de contrôle interne repose en grande partie s ur le contrôle de l �informatique. C �est un point de passage obligé. En effet, dans l a plupart des grandes et des moyennes entreprises, la quasitotalité des procédures r epose aujourd �hui sur des traitements informatiques, des serveurs, des bases de données, …. La mise en place de différents dispositifs de contrôle interne efficaces se fait et se fera de plus en plus à l �aide de systèmes d �information conçus à cet effet. T outes les applications informatiques existantes doivent en tenir compte et le ca s échéant doivent être revues pour prendre en compte des règles de contrôle interne et pou r, éventuellement, corriger d �éventuelles fragilités des dispositifs de contrôle interne en place. La loi fait aujourd �hui obligation de mettre en place et de développer des dispositifs de contrôle interne. Ceci exige d’analyser et de perfectionner les p rincipaux processus de l �entreprise et de mettre en place des dispositifs de con trôle interne. C �est le cœur de la démarche. Il est aussi nécessaire de renforcer le con trôle des données car l �expérience montre que c �est un domaine encore fragile qui nécess ite des dispositifs de contrôle rigoureux. Il est pour cela nécessaire de plonger da ns les applications informatiques et des bases de données de façon à imaginer des solu tions plus sûres, plus efficaces, plus productives,… C �est le rôle de l �audit informat ique. C �est un des moyens les plus efficaces pour s �assurer que les bonnes prati ques en matière de système d �information sont effectivement appliquées. Cette démarche g arantit que les contrôles et les sécurités nécessaires sont en place et donnent les résult ats attendus. Le développement du contrôle interne va donc se faire, en grande parti e, grâce au renforcement les démarches de contrôle et d �audit informatique. Il faut s �y préparer et s �organiser en conséquence. Il est pour cela nécessaire de mettre en pla ce un programme de renforcement des pratiques grâce à un plan d �action qui doit être p lanifié et mené dans la durée. © AFAI 5 2 Préface Le développement du contrôle interne est une nécessité. Si certains y voient encore la m ultiplication de contraintes sans contrepartie, la majorité considère désormais que la mise en œuvre d’un contrôle interne efficace est indissociable d’une bonne gouvernance des entreprises. L’objet de ce document est de montrer l’importance, dans une démarche de revue du niveau de contrôle interne, d �évaluer le contrôle interne « embarqué» dans le ystème d’information et le rôle capital de l’audit informatique dans cette démarche. Les p rocessus opérationnels des entreprises étant pour la plupart informatisés, le système d’in formation est le support de nombreuses procédures de contrôle interne. Il est nécessai re de garantir que les contrôles nécessaires sont en place dans les applications et les systèmes, qu’ils sont efficaces et qu’ils le resteront dans le temps. Le maintien d’un dispositif de contrôle interne efficace dans le temps ne peut être obtenu que par une bonne gouvernance des systèmes d’information, intégrant la maîtrise des risques et la conformité aux lois et règlements. Le référentiel CobiT, aujourd’hui dans sa quatrième v rsion, apporte aux organisations et à leurs parties prenantes les notions et les o utils leur permettant de gouverner efficacement leur système d’information et, de là, de contribuer à l’instauration d’un bon niveau de contrôle interne par l’informatique, en alliant performance et sécurité. François Renault Président de l �AFAI © AFAI 6 3 Introduction On assiste depuis quelques années au renforcement de la notion de contrôle interne. Elle s �est rapidement imposée à la suite de divers incidents qui ont fait apparaître d es fragilités croissantes dans les processus de reporting financier des grandes en treprises elles-mêmes dues en grande partie à des fragilités organisationnelles. L’exige nce de contrôle interne s’est renforcée à la suite de la sur-communication de ces insuff isances. Les dirigeants d’entreprises sont d �autant plus sensibles à ces recommandat ions que depuis plusieurs années les législateurs s �efforcent d �imposer aux entrepri ses une plus grande transparence. Simultanément, on constate le développement accéléré des systèmes d �information poussés par les progrès rapides des technologies informatiques . Ils sont devenus l �ossature des entreprises. La plupart des opérations effectuées se font à l �aide des outils informatiques disponibles. Les applications de gestion , en particulier les ERP, structurent profondément la manière de travailler et détermi nent la manière dont se font les échanges avec les différents partenaires. Elles contr ibuent à la structuration des processus de l �entreprise. On a ainsi progressivemen t pris conscience de l �importance de leur rôle dans le fonctionnement de l �entrepr ise. Traditionnellement les opérations étaient analysées par fonction : les comptables , les gestionnaires du personnel, les acheteurs, le planning de production, les méthodes, … Progressivement les processus ont structuré les opérations de façon à les ench r de manière transverse. C �est une mutation majeure dans l �approche classique des organisations. Au lieu de structurer les opérations uploads/Management/ controle-interne-et-systeme-d-information.pdf
Documents similaires
-
20
-
0
-
0
Licence et utilisation
Gratuit pour un usage personnel Attribution requise- Détails
- Publié le Nov 09, 2021
- Catégorie Management
- Langue French
- Taille du fichier 0.1181MB