Controle interne et si
1
Contrôle interne et Système d’information
Document de travail Version 6.3 provisoire
Groupe de Travail Contrôle Interne de l’AFAI : Philippe Berna Nicolas Bonnet Renaud Guillemot Gérard Pomper Claude Salzman Philippe Trouchaud Serge Yablonsky
Document de travail Version 6.3 provisoire
Commission Contrôle Interne de l’AFAI
2
Paris, novembre 2003 V.6.3
Document de travailVersion 6.3 provisoire
3
Sommaire Aux Etats-Unis la loi Sarbanes-Oxley et plus près de nous, en France, la loi Perben ont rendu le contrôle interne obligatoire. Cette contrainte a du bon. Ce renforcement des procédures va coûter de l’argent mais, si cette démarche est bien managée, elle peut en rapporter. C’est un investissement en rationalisation et en renforcement de l’efficacité del’entreprise qui va être rentable. Toutes les entreprises sont à la recherche de gains de productivité et d’efficacité. L’allégement des structures est devenu un enjeu primordial. Il est pour cela nécessaire de disposer de procédures internes performantes et maîtrisant les risques. La réussite de cette démarche repose, en bonne partie sur le contrôle de l’informatique. C’est un point de passageobligé. En effet, dans la plupart des grandes entreprises, la quasi-totalité des procédures repose aujourd’hui sur des traitements informatiques, des serveurs, des bases de données, …. La mise en place de différents dispositifs de contrôle interne efficaces se fait et se fera de plus en plus à l’aide de systèmes d’information conçus à cet effet. Toutes les applications informatiques existantes doivent entenir compte et le cas échéant doivent être revues pour prendre en compte des règles de contrôle interne et pour, éventuellement, détecter d’éventuelles fragilités du contrôle interne. La loi fait aujourd’hui obligation de mettre en place et de développer des dispositifs de contrôle interne. On va, pour cela, s’attacher à analyser et à perfectionner les principaux processus de l’entreprise. Dansce but on va plonger dans le détail des programmes informatiques et des bases de données de façon à imaginer des solutions plus sûres, plus efficaces, plus productives,… C’est le rôle de l’audit informatique. C’est le meilleur moyen permettant de s’assurer que les bonnes pratiques en matière de système d’information sont effectivement appliquées. Cette démarche garantie que les contrôles et lessécurités nécessaires sont en place et donnent les résultats attendus. C’est le rôle du référentiel CobiT. Le développement du contrôle interne va donc se faire, en grande partie, grâce à l’audit informatique. Il faut s’y préparer et s’organiser en conséquence.
Document de travail Version 6.3 provisoire
Commission Contrôle Interne de l’AFAI
4
Préface Le contrôle interne revient sur ledevant de la scène par la loi ! Certains y verront de nouvelles contraintes, mais la majorité saura y trouver de nouvelles opportunités. L’objet de ce fascicule est de montrer qu’il est nécessaire d’évaluer le contrôle interne « embarqué» dans le système d’information et celui de la fonction informatique. Les processus opérationnels des entreprises sont informatisés et le système d’information estle support des principales procédures de contrôle interne. Les auditeurs informatiques sont les acteurs clés dans ce domaine. Du contrôle interne à la gouvernance d’entreprise, les objectifs sont identiques : il s’agit de mesurer et d’optimiser des performances dans un environnement sécurisé et en conformité avec les lois et règlements. La gouvernance informatique et l’application de sonréférentiel CobiT répondent aux besoins des entreprises comme à ceux de leurs actionnaires en intégrant performance et sécurité.
Serge Yablonsky Président de l’AFAI
Sommaire Executive Summary 1 – Préface 2 – Introduction 3 – De multiples démarches à coordonner 4 – Les processus au cœur de ces démarches 5 – L’audit informatique outil privilégié du contrôle interne 6 – Exemple 7 – Guide Opérationnel…