Contrôle interne et Système d'information

Commission Contrôle Interne de l'AFAI :
Philippe Berna, Nicolas Bonnet, Renaud Guillemot, Claude Salzman, Philippe Trouchaud, Serge Yablonsky

                                                                                                            Paris, janvier 2004

 1 - Préface

 Le contrôle interne revient sur le devant de la scène par la loi ! Certains y verront de nouvelles contraintes, mais la majorité saura y trouver de nouvelles opportunités. 

L’objet de ce fascicule est de montrer qu’il est nécessaire d'évaluer le contrôle interne « embarqué» dans le système d’information et celui de la fonction informatique. Les processus opérationnels des entreprises sont informatisés et le système d’information est le support des principales procédures de contrôle interne. Les auditeurs informatiques sont les acteurs clés dans ce domaine.

 Du contrôle interne à la gouvernance d’entreprise, les objectifs sont identiques : il s'agit de mesurer et d'optimiser des performances dans un environnement sécurisé et en conformité avec les lois et règlements.

 La gouvernance informatique et l’application de son référentiel CobiT répondent aux besoins des entreprises comme à ceux de leurs actionnaires en intégrant performance et sécurité.

Sommaire

Executive Summary

 1 – Préface

 2 – Introduction

 3 – De multiples démarches à coordonner

 4 – Les processus au cœur de ces démarches

 5 – L'audit informatique outil privilégié du contrôle interne

 6 – Exemple

 7 – Guide Opérationnel

 Bibliographie

2 – Introduction

  La publicité faite actuellement autour de la nécessité du contrôle interne doit conduire à accorder une attention accrue au système d’information. En effet, l’activité même des entreprises tout comme la production de leurs états financiers sont lourdement dépendantes d’un système d’information bien contrôlé.

 La loi de sécurité financière du 2 août 2003 appelle un regard nouveau des dirigeants d’entreprises sur le contrôle interne. Le président de toute société anonyme (à conseil d’administration ou à conseil de surveillance), cotée ou non cotée, doit, en effet, dès les exercices ouverts à compter du 1er janvier 2003, présenter un rapport joint au rapport de gestion sur les conditions de préparation et d’organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la société. Ce rapport fera en outre l’objet d’un rapport du commissaire aux comptes, joint au rapport général et portant sur les procédures de contrôle interne relatives à l’élaboration et au traitement de l’information comptable et financière. Pour les sociétés cotées aux Etats-Unis, le Sarbanes-Oxley Act de 2002 répond aux mêmes objectifs.

 Les entreprises ont donc l’obligation de rendre compte des procédures de contrôle interne et, à ce titre, le système d’information intervient à trois niveaux :

-        La prise en compte de l'informatique comme domaine de gouvernance de l'entreprise,

-        Les contrôles propres à la fonction informatique, y compris les procédures de sécurité

-        L’insertion de contrôles «embarqués» dans les processus automatisés,

Il est urgent de sensibiliser les dirigeants d’entreprises sur l’importance du système d’information dans le contrôle interne. L’actualité de ces dernières années a amené le législateur à imposer aux entreprises une plus grande transparence vis-à-vis des tiers. Le contrôle interne fait partie des outils de transparence de l’organisation.

 L'IT Governance Institute a publié récemment un guide «IT Control Objectives for Sarbanes-Oxley» ([1]) auquel on peut se reporter pour une approche détaillée de l’évaluation du contrôle interne du système d’information. Ce guide s’appuie bien sûr sur CobiT, le référentiel de gouvernance des systèmes d’information publié par l'IT Governance Institute. Il liste les objectifs de contrôle de la fonction informatique ainsi que les principales applications informatiques qui supportent les processus de l’entreprise.

 L’objectif du présent document est de proposer une démarche d’analyse des procédures de contrôle interne appliqué au contexte de l’environnement français.

 3 –  De multiples démarches à coordonner

 On n'a pas attendu les lois Sarbanes-Oxley et Perben pour s'intéresser au contrôle interne. Depuis une vingtaine d'années de nombreuses entreprises ont fait des efforts importants dans ce domaine. Mais, très souvent, ces efforts étaient faits séparément par les différents responsables chargés des activités de contrôle dans l'entreprise.

 A titre d’exemples les opérations couramment menées sont les suivantes :

     -        L'audit comptable. Ces missions ont pour but de garantir la sincérité des comptes. Elles sont généralement effectuées par le service d'audit interne, par les commissaires aux comptes et, le cas échéant, par les autorités de tutelle.

-        L'audit interne. Ce sont toutes les missions allant de l'inspection à l'audit de gestion en passant par l'audit opérationnel. Elles ont pour but de permettre aux directions générales d'avoir l'assurance d'un niveau de sécurité patrimonial suffisant.

 -        L'analyse des risques. Elle permet d’évaluer périodiquement le niveau des risques opérationnels et des risques bilanciels des entreprises.

 -        L'audit informatique. C'est un ensemble de missions dont l'objectif est de vérifier le bon fonctionnement des systèmes informatiques, des projets, des applications opérationnelles et plus généralement du système d'information de l'entreprise.

-        L'audit sécurité. Il a pour but de s'assurer que les dispositifs de sécurité matériels et logiciels fonctionnent correctement.

 -        L'audit qualité. Il est nécessaire de s'assurer que les dispositifs d'assurance qualité sont opérationnels, efficaces et permettent de garantir un niveau de qualité satisfaisant.

Toutes ces démarches sont voisines, mais elles sont en même temps différentes. Elles peuvent être menées pour les besoins de la direction de l'entreprise, pour le compte des actionnaires ou pour le compte de tiers. Elles sont réalisées en interne ou en externe. Elles ont chacune tendance à privilégier leurs approches, leurs méthodes et leurs points de contrôle. Le cloisonnement de ces différentes démarches n'a pas permis de tirer leur pleine valeur ajoutée. Le résultat est que chacun a tendance à voir midi à sa porte. Ce n'est certainement pas la meilleure approche. Pour répondre aux attentes imposées par le nouveau cadre légal, il est nécessaire de rendre ces efforts cohérents et complémentaires.

Il est aujourd'hui nécessaire de changer de dimension, d’associer et de coordonner tous les acteurs concernés de façon à rapprocher ces différentes démarches. A terme, il est certain qu'elles devront être intégrées, mais pour commencer il faut organiser la coopération entre les différents métiers voisins, connexes mais séparés. 

4 – Les processus au cœur de ces démarches

Une grande partie des fragilités, et même, dans certaines circonstances, des difficultés constatées en matière de contrôle interne sont dues au fait que ces audits ne couvrent qu'une partie du domaine à contrôler. C'est la conséquence de la manière dont se sont développées ces différentes méthodes d'audit et d'analyse. Ces approches donnent des visions différentes de l'entreprise.

A l'origine les audits concernaient principalement les chiffres comptables de l'entreprise et se concentraient surtout sur la qualité et la fiabilité des chiffres. Progressivement ils ont pris une nouvelle dimension en s'intéressant de plus en plus aux processus et à leurs objectifs. Cependant ces progrès ont été lents et, pour l'instant, ces démarches ne couvrent que d'une manière assez imparfaite les approches de contrôle interne. Pour être plus efficace, il faut avoir une démarche d'ensemble reposant sur une vision globale de l'ensemble de l'activité de l'entreprise.

Dans ce but, il est nécessaire de disposer une cartographie de l'ensemble des processus, en distinguant ceux qui traitent l'activité principale de l'entreprise et ceux qui assurent un rôle de support. Dans une entreprise il faut vendre, acheter, produire,… il existe moins de dix processus principaux, pas plus. A cela s'ajoutent les processus de service dont le nombre est inférieur à quinze. Il existe différentes manières de représenter et de modéliser une entreprise et ses processus. Dans une logique de marché on peut, par exemple, regrouper les processus en trois grandes familles :

1.   Les processus de management ou de gouvernance où vont être concentrées toutes les responsabilités et les autorités relevant de la direction, en particulier tous les aspects liés à la stratégie de développement de l’entreprise et son déploiement opérationnel, à la stratégie produit-service ainsi qu’à la mise à disposition de toutes les ressources nécessaires, et de pilotage de l’ensemble sous les angles financiers, humains, technologiques, industriels, commerciaux et qualité, ainsi, bien sûr que de contrôle. Ce sont par exemple : la définition des orientations stratégiques, la culture et l’éthique ([2]), les délégations de pouvoirs ([3]), les contrôles et les évaluations ([4]),….

2.   Les processus de soutien regroupant toutes les fonctions de support destinées à la mise en œuvre et à l’exploitation des processus liés aux produits et services de l’entreprise ainsi que ceux destinés au bon fonctionnement de celle-ci, avec la contrainte de capitalisation et de valorisation du patrimoine de l’entreprise comme par exemple : la gestion des ressources humaines, la gestion financière, la recherche et développement, la gestion des connaissances, l‘informatique, ….

3.    Les processus clients articulés autour de la conception et de la réalisation des produits et des services que l’entreprise fournit à ses clients, des achats, des fabrications, de la vente et du support après-vente. C’est au travers de l’enchaînement de ces processus que la relation directe avec les clients s’exerce.

Ces processus interagissent en permanence les uns avec les autres selon des cycles très variables, synchronisés par différents évènements propres à chacune des fonctions, que ce soit la décision d’investissement dans une nouvelle gamme de produits et de prestations, la mise à disposition d’un produit, ou encore la fin d’un exercice fiscal, etc. Certains de ces processus s’exercent en continu et sont liés à des activités récurrentes, d’autres sont momentanés, liés à une action ponctuelle et relèvent de la conduite de projet.

L’existence d’un schéma des processus, montrant leurs impacts sur les différentes fonctions, permet d'avoir une vision d'ensemble de l’activité et du fonctionnement de l’entreprise. Cette approche est la même que celle que l'on devrait trouver dans l'approche qualité ou dans le schéma directeur informatique de l'entreprise. Chaque processus doit être :

-        Documenté. On va dans ce but décomposer le processus en tâches, manuelles et automatisées, et préciser leurs enchaînements. Une représentation graphique sous forme de diagramme de flux faisant clairement apparaître l'enchaînement des tâches, qu'elles soient manuelles ou automatisées, permet de rendre plus concret l'ensemble des opérations.

-        Répété. Une procédure efficace doit être stabilisée. Il faut qu'elle puisse s'exécuter de manière régulière sans difficulté et sans intervention particulière. C'est un ensemble de traitements qui doit fonctionner de manière périodique.

-        Mesuré. Il est nécessaire que différents indicateurs mesurent l'activité du processus et permettent d'évaluer ces performances. Un processus qui n'est pas mesuré n'est pas pilotable et il y a de forts risques qu'il ne soit pas efficace. A l'inverse, à chaque processus doit être associé un niveau de performance en rapport avec les objectifs généraux de l’entreprise.  

-        Managé. Il faut que chaque processus soit sous le contrôle de bout en bout d’un responsable de l'entreprise, de niveau dirigeant. Cette mission doit être clairement définie et distincte des responsabilités fonctionnelles attribuées par domaine : la comptabilité, les achats, le commercial, la production, etc.

Maîtriser un processus, c’est d’abord le documenter, s’il est important, en tenant compte de sa complexité et du degré de compétence des intervenants sur ce processus. C'est ensuite analyser en permanence la façon dont il est appliqué afin de mesurer son efficacité. Enfin c’est fixer son niveau de performance attendu. Finalement, ce qu'on doit évaluer, ce sont les performances internes du processus (le processus s’exécute bien et de façon répétable et efficace sous le contrôle de la direction de l'entreprise) mais aussi ses performances externes (le processus fournit un niveau de performance cohérent avec celui des autres processus pour atteindre des objectifs généraux de l’entreprise).

Pour mener un audit, qu’il soit comptable, technique, informatique, orienté vers la sécurité ou encore de qualité, il est nécessaire de comprendre l’articulation des processus, leur rôle, leur capacité, leur maturité et leur performance.

Ainsi les processus deviennent le langage commun de toutes les personnes qualifiées qui pratiquent l’audit dans l’entreprise afin de :

1.      Coordonner leurs efforts respectifs au travers d’une planification globale et optimisée de tous les audits de l’entreprise. L’audit dans son ensemble relève également d’un processus soumis à amélioration et à une certaine performance ;

2.      Créer un ensemble de pratiques communes (en particulier sur la conduite de l’audit proprement dit) qui facilite l’échange d’informations entre les différents auditeurs ;

3.      Aboutir à une réelle coopération de tous les auditeurs, dont une des illustrations pourrait être la constitution d’équipes mixtes (finance et qualité, ou technique et sécurité) travaillant ensemble, dans leur propre intérêt, celui des audités et celui de l’entreprise.

C’est à ce prix que la direction peut exercer un management efficace sur l’ensemble des processus de l’entreprise, apprécier les risques auxquels elle doit faire face, et pouvoir ainsi décider.

5 - L'audit informatique outil privilégié du contrôle interne

Le système d’information peut fournir les données nécessaires pour assurer l'identification, la traçabilité et la vérification des processus. Il est donc indispensable d'instrumenter chaque processus dans cette logique, d'assurer la pertinence de cette instrumentation et son maintien en bonnes conditions de fonctionnement. La maîtrise des processus de l’entreprise et la maîtrise du système d’information deviennent totalement imbriquées et relèvent d’une même approche de surveillance. C'est pour cette raison que l’audit informatique constitue un pilier indispensable à la maîtrise du contrôle interne.

 L’observation des missions montre qu’il est possible d’identifier trois grands domaines d'audit informatique :

 -        Stratégie informatique de l’entreprise. Ces missions ont pour but de s’assurer de la pertinence du système d’information, son adéquation aux objectifs de l’entreprise, son alignement sur les stratégies globales.

 -        Fonction informatique de l’entreprise. Ces audits portent sur la qualité des processus mis en œuvre par la fonction informatique, qu’il s’agisse des processus d’exploitation, de développement de nouvelles applications, d’évolution du système d’information existant.

 -        Processus informatisés de l’entreprise. Il s’agit de s'assurer de la sûreté du fonctionnement quotidien de l’informatique et de l’efficacité des contrôles intégrés dans les applications.

 Dans chacun de ces trois domaines, l’audit informatique joue un rôle majeur au service du contrôle interne. On va pour cela analyser les processus en détail afin de dégager leurs caractéristiques.

 -        Stratégie informatique de l’entreprise. L’objectif de ce type d’audit est de s’assurer que le système d’information est en adéquation à la stratégie de l’entreprise. Il ne suffit pas d'avoir des processus maîtrisés et conformes aux règles de l’art pour produire le système d’information pertinent. Force est de constater que ce travail d’organisation est fortement lié à l’organisation, à la culture de l’entreprise et la maturité.

 Aussi l’audit informatique, dans son acception la plus complète, doit analyser la pertinence du système d’information lui-même, c’est-à-dire l’efficacité de l’appui qu’il fournit aux processus de toute l’entreprise.

 Les applications informatiques sont en effet le support de l’ensemble des règles de gestion, des flux d’information internes et externes, des modes opératoires de la plupart des postes de travail. L’évaluation d’une opération bancaire, la liquidation des droits d’un retraité, la facturation d’un opérateur télécom, la prise en charge d’un client dans un centre d’appels, la préparation d’une livraison par un entrepôt, …. ne seront efficaces que si le système d’information mis en œuvre satisfait exactement les multiples contraintes : délais, règles légales et contractuelles, règles de gestion de l’entreprise, conservation, disponibilité et accessibilité des informations, etc.

 A travers le système d’information, on peut analyser et mesurer l’efficacité et la pertinence d’une grande partie des processus opérationnels et des processus de pilotage de l’entreprise. D’autant plus que le système d’information constitue souvent la seule trace concrète et auditable du fonctionnement réel.

-          Fonction informatique de l’entreprise. L’objectif de ce type d’audit est de s’assurer que l’organisation en place est pertinente. La mission du système informatique évolue en permanence et de plus en plus vite, pour répondre à de multiples facteurs de changement comme par exemples :

            Les exigences des clients, en termes de qualité des produits et des services, d’information, de personnalisation du produit, et les ambitions symétriques des entreprises en matière de personnalisation de la relation client ;

            La recherche permanente d’augmentation de la productivité des ressources, et les efforts d’automatisation qui l’accompagnent. Plus généralement, l’objectif est de maîtriser des techniques de production de plus en plus sophistiquées ;

           La prise en compte dans les systèmes informatiques de l’environnement de l’entreprise, la spécialisation et la multiplication des échanges, la connexion opérationnelle entre les différents acteurs internes ou externes de la chaîne de valeur ajoutée ;

          Les lois et les réglementations qui s’additionnent, pas nécessairement de façon cohérente, pour faire face à de nouveaux besoins ou de nouvelles situations, souvent du fait d’exigences de caractère politique ou conjoncturel.

          ….

A tout cela s’ajoute l'impact des changements propres à l’informatique : évolutions des technologies, nouveaux logiciels et progiciels, changements de versions, …

Aussi la capacité du système informatique à bien fonctionner doit intégrer sa capacité à bien évoluer et comprend en particulier : un pilotage de projets performant, la prise en charge réactive des nouvelles demandes des utilisateurs internes et externes, des compétences adaptées aux nouvelles technologies, l’anticipation stratégique des besoins de l’entreprise et des évolutions des technologies informatiques, une politique rigoureuse d’achat et de relations avec les fournisseurs, … Ces différents facteurs sont autant de clés influençant la capacité de progrès du système informatique, et donc son efficacité à court et à moyen terme.

 Dans ces domaines, qui sont ceux du référentiel CobiT ([5]), il faut s’attacher à apprécier la qualité des processus de la fonction informatique, dans son ensemble. C’est l’objet de l’audit informatique qui constitue dès lors un des principaux points d'action du contrôle interne.

  -          Processus informatisés de l’entreprise. L’objectif de l’audit est de s’assurer que le système d’information est sûr et fiable. Elle porte sur la sûreté de fonctionnement et les contrôles embarqués dans les applications.

 La sûreté du fonctionnement de l'outil informatique est devenue une des conditions clés de la continuité des activités de l'entreprise pouvant aller jusqu’à mettre en cause sa survie :

 §         Ses pannes causent des dommages directs. Ce sont par exemple l'accumulation de clients en attente à un guichet, à un automate, ou à un répondeur téléphonique, la perte de chiffre d’affaires due à l’incapacité d’un site Internet à traiter les commandes, etc.

 §         Les pertes de données accidentelles sont généralement irréparables si des sauvegardes suffisantes n’ont pas été mises en œuvre.

§         Le réseau informatique, nécessairement ouvert au monde extérieur (relations clients et fournisseurs, utilisation généralisée de la messagerie, …) est devenu le point d’entrée d’attaques incessantes : logiciels malins, cheval de Troie, tentatives d’intrusion, bombardement de sites Internet, … La contamination d’un serveur de messagerie par un virus, par exemple, peut paralyser l’entreprise. Seule une prévention très organisée et systématique constitue une parade efficace.

Les contrôles embarqués dans les applications doivent permettre de s’assurer que toutes les données saisies, stockées et restituées font l’objet de contrôles suffisants :

§           Les contrôles des données saisies.

§           Les contrôles d’exhaustivité des traitements.

§           Les contrôles d’intégrité des bases de données.

§           Les contrôles d’accès.

La sûreté du fonctionnement de l'informatique et les contrôles embarqués sont devenus les déterminants majeurs du contrôle interne.

Dans ces conditions, l’audit informatique est indissociable du contrôle interne.

6 – Exemple

Dans une grande institution nationale versant des prestations à ses clients, le nouveau directeur général, dès sa nomination, a souhaité faire réaliser un audit de façon à identifier les éléments nécessitant une attention particulière de sa part.

Pour répondre à cette commande l'ensemble des différents intervenants au sein de l'entreprise effectuant des missions d'audit a décidé de constituer une équipe unique réunissant les différentes compétences nécessaires pour apprécier les nombreux aspects des processus. La coordination de ce travail a été confiée à un auditeur extérieur.

La démarche suivie a consisté à :

-        Approfondir la maîtrise des particularités de l'entreprise et de son environnement juridique, technique et réglementaire.

-        Recenser les principaux processus de l’entreprise afin d’en établir la cartographie.

-        Effectuer une analyse des risques de façon à repérer les processus les plus fragiles et sensibles. Il a été ainsi possible de fixer des priorités en fonction des risques et des déficiences de contrôle déjà constatés.

-        Décomposer chacun des processus principaux et identifier les tâches manuelles et informatisées, avec l’identification de leurs caractéristiques essentielles, complétés par l’analyse du rôle de chaque fonction de l’entreprise.

-        Apprécier le contrôle interne de chacune de ces procédures, au travers de l’identification des opérations sensibles de la validation des droits d'accès, de tests de conformité sur les contrôles réalisés, et de tests informatisés de cohérence et d'anomalie sur les différentes bases de données, …

La démarche a été axée pour une large part sur l'audit de l'environnement informatique, compte tenu de son importance dans le fonctionnement courant de l’entreprise, et de son rôle majeur dans le traitement des données opérationnelles.

Cette démarche a permis de faire les constats suivants :

1.      L'organisation et les procédures en place couvrent de façon satisfaisante l'ensemble des activités de l’entreprise. Néanmoins certaines actions sont possibles pour améliorer l'efficacité des procédures :

-        Accroître la séparation des tâches de back-office, de comptabilité et de trésorerie ;

-        Regrouper certaines tâches au sein d’un même service, afin d’éviter un nombre excessif d’anomalies et d’aller-retour ;

-        Refondre les procédures de gestion du portefeuille.

2.      Le système informatique remplit les principales fonctions attendues. Néanmoins, les applications sont relativement anciennes, ce qui entraîne une difficulté à satisfaire l'évolution des besoins. En effet, la maintenance est lourde, les possibilités de restitution et d'analyse sont limitées. Le système évolue difficilement.

Ce constat a amené l’entreprise à lancer un schéma directeur informatique, en vue d'améliorer la réactivité de son outil informatique, d’apporter un meilleur service aux clients et d’élargir les possibilités de restitution et d'analyse.

3.      Les travaux menés sur les procédures n'ont pas fait ressortir d'anomalie ou de faiblesse majeure. Toutefois, ils ont permis de d’identifier des améliorations permettant de mieux maîtriser les risques. Ce sont, à titre d’exemple :

-        Améliorer la surveillance de certaines opérations par l’informatisation de leur suivi et à la production de statistiques centralisées ;

-        Renforcer les contrôles de cohérence de certains processus en contrôlant les flux d'entrée et de sortie ;

4.      Les contrôles en place sont satisfaisants dans leurs principes. Ce sont à titre d’exemple :

-        Un mécanisme étoffé de gestion des accès de façon à protéger les opérations sensibles sur le système informatique ;

-        Un contrôle "mutuel" par une autre personne lorsque l'opération est effectuée par un agent peu expérimenté ;

-        Un contrôle hiérarchique systématique est en place pour les opérations sensibles au-delà de certains seuils ;

-        Un contrôle aléatoire est effectué sur certaines opérations ;

-        Des contrôles récurrents ont été définis ;

-        Le service d'audit interne est chargé de vérifier la mise en œuvre de ces contrôles.

L’analyse de ces contrôles a fait ressortir que leur efficacité est atténuée par les points suivants :

-        Les droits d’accès aux applications informatiques sont trop largement distribués et ne font pas l'objet d'un contrôle suffisant par exemple le changement de domiciliation bancaire est accessible à l’ensemble des agents. C’est un risque de fraude majeur. ;

-        Certains contrôles majeurs ne sont pas effectués avec une régularité suffisante par l'audit interne (contrôle sur les doublons sur les noms-prénoms ou sur le RIB, paiements supérieurs à certains seuils, contrôle des allocataires centenaires, …) ;

-        Les contrôles des opérations sensibles font l'objet de délégations trop importantes, certaines opérations devraient systématiquement faire l'objet de contrôles hiérarchiques ;

-        La bonne application des contrôles n’est pas suffisamment vérifiée elle-même et il apparaît que certains d'entre eux ne sont pas effectués tels que prévu.

Ce constat a amené la direction générale à renforcer le service d’audit interne et à redéfinir son rôle en l’élargissant au "sur-contrôle" (vérification de la bonne application des contrôles opérationnels sur la base d'une sélection aléatoire de dossiers). Par ailleurs, la préoccupation du contrôle a été considérée comme devant être intégrée de façon forte dans le cadre du futur système informatique. Une réflexion générale a été engagée sur les principes de contrôles (telles transactions, tels seuils, …) avant de reconduire l’existant, et les fonctionnalités permettant d'assurer le suivi des contrôles effectués ont été ajoutées aux traitements.

A l'issu de ces travaux un rapport a été établi. Il a permis de décrire l'état réel des processus et des contrôles mis en œuvre. Il a fait apparaître un certain nombre de points faibles et de points forts ce qui a permis de dégager un certain nombre de recommandations précises.

Une présentation a été faite devant la direction générale et le comité de direction. Un support d'une quinzaine de slides a été établi à cet effet.

Cette mission d’audit, coordonnée et conjointe, a permis de rassurer le nouveau directeur général sur l'efficacité globale de l'organisation en place, et sur la maîtrise des risques propres à l’activité de son entreprise. Cette opération a par ailleurs montré le lien très fort qui existe entre le développement du contrôle interne et l’audit informatique. Ces deux démarches sont intimement liées et ont permis de répondre complètement aux attentes de la direction. Cela a servi à identifier les améliorations à apporter afin de renforcer l’efficacité des procédures et des systèmes et a été l’occasion de documenter de manière complète les procédures de contrôle interne.

Dans ces conditions il a été facile de disposer des informations nécessaires à la rédaction du rapport demandé par la loi sur la Sécurité Financière (loi Perben)

7 – Guide Opérationnel

Compte tenu de l'urgence, il est nécessaire de procéder en deux temps :

1.      Mesures à court terme

Il est nécessaire d'avoir une solution rapide de façon à respecter l'obligation légale dès à présent et de montrer la bonne volonté de l'entreprise. Il est pour cela recommandé de mettre en œuvre les mesures suivantes :

-        Repérer les processus à fort niveau de risque. On va s'attacher à identifier :

·      Les applications informatiques mises en œuvre dans le processus.

·      Les données et particulièrement leur qualité et leur fiabilité.

·      L'efficacité de l'organisation en place.

-        Evaluer les risques en se basant sur les différents audits précédemment effectués et valider les résultats obtenus auprès des services chargés du contrôle dans l'entreprise.

-        Faire évaluer la maturité de l'ensemble des processus par un expert compétent, qui doit apprécier la pertinence des mesures prises.

-        S’assurer de la qualité de la documentation des processus et de leurs contrôle et si c’est nécessaire la faire compléter.

-        Identifier les risques majeurs et les contrôles clés mis en œuvre pour diminuer l'impact de ces risques.

-        Effectuer, si c'est nécessaire, un audit destiné à s'assurer de la sûreté de fonctionnement des différents systèmes informatiques qui supportent les principaux  processus.

-        Lancer sans attendre des actions ciblées concernant les processus à risque par des mesures comme, par exemple :

·      Renforcer les sauvegardes.

·      Améliorer les mesures d'activité.

·      Nommer un responsable de chaque processus.

·      Mettre en place d'un dispositif qualité.

·      Analyser systématiquement les incidents et rechercher leurs causes.

Il est ainsi possible d'avoir l'assurance que l'ensemble des processus est sous contrôle et qu'il n'y a pas de graves dysfonctionnements.

2.      Mesures à moyen terme.

A moyen terme l'objectif est de valider de façon plus approfondie les processus. On va pour cela effectuer un travail de fond :

-     Nommer un responsable général des processus. Il a la responsabilité du bon fonctionnement des processus. Ce peut être une personne ou une instance collective à définir. Ce responsable a pour mission d'organiser la coopération des différentes personnes concernées, internes ou externes. Ce sont les comptables, les contrôleurs internes, les responsables qualité,…  

-     Définir l'acquisition d'un savoir commun, un tronc commun et un langage commun destinés à toutes les personnes concernées par le contrôle interne de l'entreprise. C'est à la fois un problème d'organisation et de contrôle interne.

-     Faire évaluer les principaux processus par des experts indépendants en distinguant les processus métiers et les processus informatiques.

-     Homogénéiser l'ensemble des documentations des procédures, les compléter et si c'est nécessaire, les mettre en cohérence.

-     Rapprocher les processus et les systèmes informatiques. Il faut s'attacher à :

·      Revalider ce qui existe.

·      Remettre en cause certaines procédures, si c'est nécessaire.

·      Sécuriser les opérations.

-     Elever le niveau des exigences et des spécifications de contrôle interne en regard du niveau de performance attendue. Rôle du CobiT, et du modèle CMM.

-     Mettre en place une évaluation périodique (tous les 2 ou 3 ans) de tous les processus de l’entreprise. Ces opérations sont liées aux audits d'application.

-     Etablir un tableau de bord des indicateurs de performance des principales procédures.

  Bibliographie

 1.      CobiT : Gouvernance, Contrôle et Audit de l’Information et des technologies associées – ITGI – édition française AFAI

 2.      IT control Objectives for Sarbanes-Oxley – téléchargeable à partir du site :  www.itgi.org

 3.      Prise en compte de l’environnement informatique et incidence sur la démarche d’audit  - Compagnie Nationale des Commissaires aux Comptes (avec la participation de l’AFAI)

 4.      Approche et méthode de la mission de diagnostic du contrôle interne ou comment répondre aux obligations de la loi sur la sécurité financière – Conseil Supérieur de l’Ordre des Experts Comptables (encours avec la participation de l’AFAI)

 1] - Voir www.itgi.org

[[2] - Chartes et modes de fonctionnement.

[3] - Rôle et responsabilité du Conseil, du management, des comités,…

[[4] - Comité d’audit, audit interne,…

[5] - CobiT : Gouvernance, Contrôle et Audit de l’Information et des technologies associées – ITGI (IT Gouvernance Institut) – édition française AFAI. CobiT est le référentiel d'audit informatique le plus largement reconnu.