Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Audit des contrôles applicatifs GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’IN

Audit des contrôles applicatifs GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION Guide pratique d’audit des technologies de l’information (GTAG) 8: Audit des contrôles applicatifs Auteurs Christine Bellino, Jefferson Wells Steve Hunt, Enterprise Controls Consulting LP Juillet 2007 Copyright © 2007 par l’Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, États-Unis. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, stockée dans un système de consultation ou transmise sous quelque forme que ce soit, ni par aucun moyen (électronique, mécanique, reprographie, enregistrement ou autre), sans autorisation préalable de l’éditeur. L’IIA publie ce document à titre informatif et pédagogique. Cette publication entend donner des informations, mais ne se substitue en aucun cas à un conseil juridique ou comptable. L’IIA ne fournit pas ce type de service et ne garantit, par la publication de ce document, aucuns résultats juridiques ou comptables. En cas de problèmes juridiques ou comptables, il convient de recourir à l’assistance de professionnels. 1. Résumé.................................................................................................................................................................................... 1 2. Introduction............................................................................................................................................................................. 2 Définition des contrôles applicatifs................................................................................................................................. 2 Contrôles applicatifs et contrôles généraux informatiques. ............................................................................................. 2 Environnements TI complexes et non complexes........................................................................................................... 3 Avantages des contrôles applicatifs................................................................................................................................. 3 Rôle des auditeurs internes............................................................................................................................................. 5 3. Évaluation des risques. ............................................................................................................................................................. 7 Évaluer les risques........................................................................................................................................................... 7 Contrôle des applications : approche de l’évaluation des risques. ................................................................................... 8 4. Étendue des revues au titre des contrôles applicatifs.............................................................................................................. 9 Méthode du processus d’entreprise. ................................................................................................................................ 9 Méthode de l’application unique. .................................................................................................................................... 9 Contrôles d’accès. ............................................................................................................................................................ 9 5. Approches de la revue des contrôles applicatifs et autres considerations. ............................................................................. 10 Planification. .................................................................................................................................................................. 10 Besoin de ressources d’audit spécialisées...................................................................................................................... 10 Méthode du processus d’entreprise. .............................................................................................................................. 10 Techniques de documentation...................................................................................................................................... 12 Tests.............................................................................................................................................................................. 13 Techniques d’audit assistées par ordinateur.................................................................................................................. 13 6. Annexes. ................................................................................................................................................................................. 18 Annexe A: Contrôles applicatifs courants et propositions de tests. ............................................................................... 18 Annexe B: Exemple de plan d’audit ........................................................................................................................ ...... 21 7. Glossaire. ................................................................................................................................................................................ 26 8. Bibliographie.......................................................................................................................................................................... 27 9. Les auteurs. ............................................................................................................................................................................ 28 GTAG – Table des matières 1 Ces dernières années, les organisations du monde entier ont dépensé des milliards pour moderniser leurs systèmes d’applications ou en installer de nouveaux, et ce pour différentes raisons : objectifs tactiques (mise en conformité « an 2000 », par exemple) ou activités stratégiques (utilisation de la technologie comme facteur de différenciation de l’entreprise sur le marché). Une application ou un système d’applications est un logiciel qui permet d’exécuter des tâches en recourant directement aux capacités de l’ordinateur. Selon le GTAG 4 publié par l’IIA ( The Institute of Internal Auditors ), ces systèmes peuvent se classer en deux catégories : applications transactionnelles et applications de support. Les applications transactionnelles traitent les données à l’échelle de l’organisation : • Elles enregistrent la valeur des transactions de l’entreprise en termes de débits et de crédits. • Elles servent à archiver les données financières, opérationnelles et réglementaires. • Elles permettent diverses formes de communication financière et managériale, notamment le traitement des commandes, des factures clients, des factures fournisseurs et des écritures de journaux. SAP R/3, PeopleSoft et Oracle Financials, qu’on qualifie souvent de progiciels de gestion intégrés (ERP – enterprise resource planning), ainsi que d’innombrables logiciels non-ERP, sont des exemples de systèmes de traitement des transactions. Ils fonctionnent sur la base d’une logique programmée et, dans de nombreux cas, en complément des tables configurables qui stockent les règles uniques de l’organisation pour l’exploitation et le traitement. Les applications de support sont, quant à elles, des logiciels spécialisés qui facilitent les activités de l’organisation : programmes de messagerie électronique, logiciels de télécopie, d’imagerie documentaire et de conception. Cependant, ces applications ne gèrent généralement pas les transactions.1 Tout comme n’importe quelle technologie supportant les processus d’entreprise, les applications transactionnelles et de support peuvent engendrer des risques pour l’organisation. Ceux-ci proviennent de la nature même de la technologie et des équipements, de la gestion et de l’utilisation du système. Avec les systèmes de traitement transactionnel, les risques qui ne font pas l’objet de mesures de correction appropriées peuvent compromettre l’intégrité, l’exhaustivité, la rapidité d’exécution et la disponibilité des données financières ou opérationnelles. De plus, quelle que soit l’application utilisée, les processus eux- mêmes présentent un risque inhérent. C’est pourquoi nombre d’organisations associent des contrôles automatisés et manuels pour gérer ces risques dans les applications transactionnelles et de support. L’efficacité de la gestion du risque dépend toutefois directement des éléments suivants : • L’ appétence pour le risque ou la tolérance au risque de l’organisation. • La rigueur de l’évaluation du risque lié à l’application. • Les processus concernés. • L’efficacité des contrôles généraux informatiques (CGTI). • La conception et l’étendue actuelle de l’efficacité opérationnelle des activités de contrôle. L’une des approches les plus efficientes et présentant le meilleur rapport coût-efficacité utilisées par les organisations pour gérer ces risques consiste à recourir à des contrôles intrinsèques ou intégrés (par exemple, une triple concordance des factures fournisseurs) dans les applications transactionnelles ou de support ainsi qu’à des contrôles configurables (par exemple, les tolérances relatives aux factures fournisseurs). Ces contrôles, généralement qualifiés de contrôles applicatifs, concernent l’étendue des différents processus ou systèmes d’applications, dont l’édition des données, la séparation des fonctions, la balance des totaux de contrôle, la journalisation des transactions et les rapports d’erreurs.2 Les responsables de l’audit interne et leurs équipes doivent par ailleurs impérativement comprendre la différence entre les contrôles applicatifs et les contrôles généraux informatiques (CGTI). Ces derniers s’appliquent à l’ensemble des composants, processus et données des systèmes de l’organisation,3 tandis que les contrôles applicatifs sont spécifiques à un programme ou à un ensemble de programmes (système) qui soutient un processus d’entreprise donné. La section de ce chapitre consacrée aux contrôles applicatifs et aux contrôles généraux informatiques reviendra plus en détail sur ces deux types de contrôles. En raison de l’importance des contrôles applicatifs pour les stratégies de gestion des risques, les responsables de l’audit interne et leurs équipes doivent élaborer et réaliser périodiquement des audits de ces contrôles afin de vérifier qu’ils sont bien conçus et fonctionnent correctement. Le présent guide a donc pour objectif de donner aux responsables de l’audit interne des informations sur les aspects suivants : 1. Définition et avantages des contrôles applicatifs. 2. Rôle des auditeurs internes. 3. Exécution d’une évaluation des risques. 4. Délimitation de l’étendue de la revue des contrôles applicatifs. 5. Approches de la revue des applications et autres considérations. Nous présentons en outre dans ce guide une liste des contrôles applicatifs courants et un exemple de plan d’audit. GTAG – Résumé – 1 1 GTAG 4 : Management de l’audit des systèmes d’information, p. 5. 2 GTAG 1 : Les contrôles des technologies de l’information, p. 3. 3 GTAG 1 : Les contrôles des technologies de l’information, p. 3. 2 Définition des contrôles applicatifs Les contrôles applicatifs portent sur l’étendue des différents systèmes d’applications ou processus d’entreprise, dont les éditions de données, la séparation des fonctions, la balance des totaux de contrôle, la journalisation des transactions et les rapports d’erreurs. Leur objectif est de veiller à ce que : • Les données d’entrée soient exactes, complètes, autorisées et correctes. • Les données soient traitées conformément aux objectifs et dans un délai acceptable. • Les données stockées soient exactes et complètes. • Les données de sortie soient exactes et complètes. • Un enregistrement du processus soit conservé ; il permet de suivre la progression des données depuis leur entrée jusqu’à leur stockage et à leur sortie éventuelle.4 Plusieurs types de contrôles applicatifs existent : • Les contrôles des données en entrée – Ces contrôles servent principalement à vérifier l’intégrité des données entrées dans une application, que les données aient été entrées directement par le personnel de l’entreprise, à distance par un partenaire commercial ou via une application ou interface Web. La vérification de la saisie des données intègre la vérification que les limites spécifiées ne sont pas dépassées. • Les contrôles sur le traitement – Ces contrôles constituent un moyen automatisé de faire en sorte que le traitement soit complet, exact et autorisé. • Les contrôles des données en sortie – Ces contrôles portent sur ce qu’il advient des données et doivent rapprocher les résultats en sortie avec le résultat escompté, en confrontant les données de sortie aux données entrées. • Les contrôles d’intégrité – Ces contrôles surveillent les données en cours de traitement et les données stockées afin de veiller à ce qu’elles restent cohérentes et correctes. • La piste de contrôle de gestion – La trace des opérations réalisées, souvent appelée piste d’audit, permet à l’encadrement d’identifier les transactions et les événements enregistrés en suivant les transactions depuis leur entrée jusqu’à leur sortie et en sens inverse. Ces contrôles permettent également de vérifier l’efficacité des autres contrôles et de repérer les erreurs au plus près possible de leur source.5 Les contrôles applicatifs se répartissent en contrôles préventifs et contrôles de détection. Même si ces deux catégories se retrouvent dans une même application reposant sur une logique programmée ou configurable, les contrôles préventifs préviennent, comme leur nom l’indique, la survenue d’une erreur au sein d’une application. C’est par exemple le rôle d’une routine uploads/Management/ gtag-8-audit-des-controles-applicatifs.pdf