Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Document de travail Version 6.3 provisoire 1 Contrôle interne et Système d'info

Document de travail Version 6.3 provisoire 1 Contrôle interne et Système d'information Document de travail Version 6.3 provisoire Groupe de Travail Contrôle Interne de l'AFAI : Philippe Berna Nicolas Bonnet Renaud Guillemot Gérard Pomper Claude Salzman Philippe Trouchaud Serge Yablonsky Commission Contrôle Interne de l'AFAI Document de travail Version 6.3 provisoire 2 Paris, novembre 2003 V.6.3 Document de travail Version 6.3 provisoire 3 Sommaire Aux Etats-Unis la loi Sarbanes-Oxley et plus près de nous, en France, la loi Perben ont rendu le contrôle interne obligatoire. Cette contrainte a du bon. Ce renforcement des procédures va coûter de l'argent mais, si cette démarche est bien managée, elle peut en rapporter. C'est un investissement en rationalisation et en renforcement de l'efficacité de l'entreprise qui va être rentable. Toutes les entreprises sont à la recherche de gains de productivité et d'efficacité. L'allégement des structures est devenu un enjeu primordial. Il est pour cela nécessaire de disposer de procédures internes performantes et maîtrisant les risques. La réussite de cette démarche repose, en bonne partie sur le contrôle de l'informatique. C'est un point de passage obligé. En effet, dans la plupart des grandes entreprises, la quasi-totalité des procédures repose aujourd'hui sur des traitements informatiques, des serveurs, des bases de données, …. La mise en place de différents dispositifs de contrôle interne efficaces se fait et se fera de plus en plus à l'aide de systèmes d'information conçus à cet effet. Toutes les applications informatiques existantes doivent en tenir compte et le cas échéant doivent être revues pour prendre en compte des règles de contrôle interne et pour, éventuellement, détecter d'éventuelles fragilités du contrôle interne. La loi fait aujourd'hui obligation de mettre en place et de développer des dispositifs de contrôle interne. On va, pour cela, s'attacher à analyser et à perfectionner les principaux processus de l'entreprise. Dans ce but on va plonger dans le détail des programmes informatiques et des bases de données de façon à imaginer des solutions plus sûres, plus efficaces, plus productives,… C'est le rôle de l'audit informatique. C'est le meilleur moyen permettant de s'assurer que les bonnes pratiques en matière de système d'information sont effectivement appliquées. Cette démarche garantie que les contrôles et les sécurités nécessaires sont en place et donnent les résultats attendus. C'est le rôle du référentiel CobiT. Le développement du contrôle interne va donc se faire, en grande partie, grâce à l'audit informatique. Il faut s'y préparer et s'organiser en conséquence. Commission Contrôle Interne de l'AFAI Document de travail Version 6.3 provisoire 4 Préface Le contrôle interne revient sur le devant de la scène par la loi ! Certains y verront de nouvelles contraintes, mais la majorité saura y trouver de nouvelles opportunités. L’objet de ce fascicule est de montrer qu’il est nécessaire d'évaluer le contrôle interne « embarqué» dans le système d’information et celui de la fonction informatique. Les processus opérationnels des entreprises sont informatisés et le système d’information est le support des principales procédures de contrôle interne. Les auditeurs informatiques sont les acteurs clés dans ce domaine. Du contrôle interne à la gouvernance d’entreprise, les objectifs sont identiques : il s'agit de mesurer et d'optimiser des performances dans un environnement sécurisé et en conformité avec les lois et règlements. La gouvernance informatique et l’application de son référentiel CobiT répondent aux besoins des entreprises comme à ceux de leurs actionnaires en intégrant performance et sécurité. Serge Yablonsky Président de l'AFAI Sommaire Executive Summary 1 – Préface 2 – Introduction 3 – De multiples démarches à coordonner 4 – Les processus au cœur de ces démarches 5 – L'audit informatique outil privilégié du contrôle interne 6 – Exemple 7 – Guide Opérationnel Bibliographie Document de travail Version 6.3 provisoire 5 2 – Introduction En dépit de la publicité faite actuellement autour du contrôle interne, on accorde peu d’attention au rôle du système d’information en la matière. C’est regrettable dans la mesure où l’activité même des entreprises tout comme la production de leurs états financiers sont lourdement dépendantes d’un système d’information bien contrôlé. La loi de sécurité financière du 2 août 2003 entraîne la nécessité pour les dirigeants d’entreprise d’avoir un regard nouveau sur le contrôle interne. Le président de toute société anonyme (à conseil d’administration ou à conseil de surveillance), cotée ou non cotée, doit, en effet, dès les exercices ouverts à compter du 1er janvier 2003, présenter un rapport joint au rapport de gestion sur les conditions de préparation et d’organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la société. Ce rapport fera en outre l’objet d’un rapport du commissaire aux comptes, joint au rapport général et portant sur les procédures de contrôle interne relatives à l’élaboration et au traitement de l’information comptable et financière. Pour les sociétés cotées aux Etats-Unis, le Sarbanes-Oxley Act de 2002 répond aux mêmes objectifs. Les entreprises ont donc l’obligation de rendre compte des procédures de contrôle interne et, à ce titre, le système d’information intervient à trois niveaux. Tout d'abord par la prise en compte de l'informatique comme domaine de gouvernance de l'entreprise, ensuite par la prise en compte des contrôles «embarqués» dans les processus automatisés et enfin au niveau des contrôles propres à la fonction informatique, y compris les procédures de sécurité. Il est urgent de sensibiliser les dirigeants d’entreprises sur l’importance du système d’information étendu au contrôle interne. L’actualité de ces dernières années a amené le législateur à imposer aux entreprises une plus grande transparence vis-à-vis des tiers. Le contrôle interne fait partie des outils de transparence de l’organisation. L'IT Governance Institute a publié récemment un guide «IT Control Objectives for Sarbanes- Oxley» (1) auquel on peut se reporter pour une approche détaillée de l’évaluation du contrôle interne du système d’information. Ce guide s’appuie bien sûr sur CobiT, le référentiel de gouvernance des systèmes d’information publié par l'IT Governance Institute. Il liste les objectifs de contrôle de la fonction informatique ainsi que les principales applications informatiques qui supportent les processus de l’entreprise. L’objectif du présent document est de montrer la manière de mettre en œuvre une démarche d’analyse des procédures de contrôle interne appliqué à notre environnement. 1 - Voir www.itgi.org Commission Contrôle Interne de l'AFAI Document de travail Version 6.3 provisoire 6 3 – De multiples démarches à coordonner On n'a pas attendu les lois Sarbanes-Oxley et Perben pour s'intéresser au contrôle interne. Depuis une vingtaine d'années de nombreuses entreprises ont fait des efforts importants dans ce domaine. Mais, très souvent, ces efforts étaient faits séparément par les différents responsables chargés des activités de contrôle dans l'entreprise. A ce titre les opérations couramment identifiées sont les suivantes : − L'audit comptable. Ces missions sont généralement effectuées par le service d'audit interne, par les commissaires aux comptes et, le cas échéant, par les autorités de tutelle. − L'audit interne. Ce sont toutes les missions allant de l'inspection à l'audit de gestion en passant par l'audit opérationnel. Elles ont pour but de permettre aux directions générales d'avoir l'assurance d'un niveau de sécurité patrimonial suffisant. − L'analyse des risques. Il est fortement recommandé d'évaluer périodiquement le niveau des risques opérationnels et des risques bilanciels des entreprises. − L'audit informatique. C'est un ensemble de missions dont l'objectif est de s'assurer du bon fonctionnement des systèmes informatiques, des projets, des applications opérationnelles et plus généralement du système d'information de l'entreprise. − L'audit sécurité. Il a pour but de s'assurer que les dispositifs de sécurité matériels et logiciels fonctionnent correctement. − L'audit qualité. Il est nécessaire de s'assurer que les dispositifs d'assurance qualité sont opérationnels, efficaces et permettent de garantir un niveau de qualité satisfaisant. Le cloisonnement de ces différentes démarches n'a pas permis de tirer la pleine valeur ajoutée de l'ensemble de ces missions. Il est aujourd'hui nécessaire de changer de dimension et d'avoir une démarche globale concernant tous les acteurs concernés. Dans ce but, on va s'efforcer de rapprocher ces différentes démarches et de les coordonner. A terme, il est certain qu'elles devront être intégrées, mais pour l'instant on va s'attacher à organiser la coopération entre ces différents métiers voisins, connexes mais séparés. Toutes ces démarches sont voisines, mais elles sont en même temps différentes. Elles peuvent être menées pour les besoins de la direction de l'entreprise, pour le compte des actionnaires ou pour le compte de tiers. Elles sont menées en interne ou en externe. Elles ont chacune tendance à privilégier leurs approches, leurs méthodes et leurs points de contrôle. Le résultat est que chacun a tendance à voir midi à sa porte. Ce n'est certainement pas la meilleure approche. Pour répondre aux attentes imposées par le nouveau cadre légal, il est nécessaire de rendre ces efforts cohérents et complémentaires. Document de travail Version 6.3 provisoire 7 4 – Les processus au cœur de ces démarches Une grande partie des fragilités, et même, dans certaines circonstances, des difficultés constatées en matière de contrôle interne sont dues au fait que ces audits ne couvrent qu'une partie du domaine à contrôler. C'est la conséquence de la manière dont se sont développées ces différentes méthodes d'audit uploads/Management/controle-interne-afai.pdf