8
L’utilisation de CobiT par les cabinets d’audit et d’expertise comptable « Avez-vous un plan ? » Maréchal Montgomery José Bouaniche, CIA, CISA, est auditeur interne au sein du Groupe Caisse des Dépôts. Il a été auparavant consultant interne en qualité des logiciels et en gestion de projet, et responsable sécurité informatique. Il était antérieurement informaticien. Membre de l’IFACI et de l’AFAI, il a participé au groupe AFAI de traduction de CobiT version 3. Cet article continue l’exploration de CobiT (voir articles précédents), en s’intéressant à son utilisation par les cabinets d’audit externes et en prenant pour exemple les travaux de l’AICPA (American Institute of Certified Public Accountant). Les nouvelles offres de prestation des cabinets d’audit externe. Au début des années 90, l’AICPA a constaté que l’audit comptable et financier réalisé par ses affiliés ne répondait plus à l’attente du marché. En effet, certains cabinets réalisaient des bénéfices importants grâce à l’offre de nouvelles prestations. Eloignées du cadre purement comptable, ces prestations traitaient de la performance de l’entreprise, de sa capacité à innover ou du respect de l’environnement par exemple. A compter de 1992, l’AICPA a mis en place des comités chargés de suivre les pratiques des cabinets et de proposer, aux adhérents et à la profession, les prestations 1 qui semblaient les plus porteuses en terme de marché et les plus proches du métier d’expert-comptable. Certaines de ces prestations sont déjà assurées par les services d’audit interne, que l’AICPA identifie clairement comme des concurrents directs. Une des prestations porteuses identifiées par l’AICPA est d’ailleurs l’externalisation des services d’audit interne. Rien n’empêche cependant les services d’audit interne de s’inspirer en retour de ces travaux, qui sont en effet particulièrement intéressants : ils sont orientés client ils répondent à de véritables besoins des directions des entreprises, mais aussi des autres parties prenantes : actionnaires, clients, employés, usagers ou citoyens. Ils sont structurés en offres de service. L’AICPA a identifié 6 catégories de prestations d’un potentiel de revenus annuels total compris entre 500 M$ et 5 Md$ : L’évaluation du risque (« risk assessment ») : cette catégorie de prestations doit permettre de garantir, aux directions et/ou aux investisseurs, que le profil de risques établi est complet et que l’entreprise a mis en place les dispositifs appropriés pour gérer ces risques. La mesure de la performance de l’entreprise (« business performance measurement ») : cette catégorie de prestations a pour but de déterminer si le système de mesures de performance d’une entité dispose des mesures adéquates et fiables pour évaluer le niveau d’atteinte des buts et 1 Pour en savoir plus, voir AICPA, "New Assurance Services", www.aicpa.org

cobit

Embed Size (px)

Citation preview

Page 1: cobit

L’utilisation de CobiT par les cabinets d’audit et d’expertise comptable

« Avez-vous un plan ? » Maréchal Montgomery José Bouaniche, CIA, CISA, est auditeur interne au sein du Groupe Caisse des Dépôts. Il a été auparavant consultant interne en qualité des logiciels et en gestion de projet, et responsable sécurité informatique. Il était antérieurement informaticien. Membre de l’IFACI et de l’AFAI, il a participé au groupe AFAI de traduction de CobiT version 3.

Cet article continue l’exploration de CobiT (voir articles précédents), en s’intéressant à son utilisation par les cabinets d’audit externes et en prenant pour exemple les travaux de l’AICPA (American Institute of Certified Public Accountant).

Les nouvelles offres de prestation des cabinets d’audit externe.

Au début des années 90, l’AICPA a constaté que l’audit comptable et financier réalisé par ses affiliés ne répondait plus à l’attente du marché. En effet, certains cabinets réalisaient des bénéfices importants grâce à l’offre de nouvelles prestations. Eloignées du cadre purement comptable, ces prestations traitaient de la performance de l’entreprise, de sa capacité à innover ou du respect de l’environnement par exemple.

A compter de 1992, l’AICPA a mis en place des comités chargés de suivre les pratiques des cabinets et de proposer, aux adhérents et à la profession, les prestations1 qui semblaient les plus porteuses en terme de marché et les plus proches du métier d’expert-comptable.

Certaines de ces prestations sont déjà assurées par les services d’audit interne, que l’AICPA identifie clairement comme des concurrents directs. Une des prestations porteuses identifiées par l’AICPA est d’ailleurs l’externalisation des services d’audit interne.

Rien n’empêche cependant les services d’audit interne de s’inspirer en retour de ces travaux, qui sont en effet particulièrement intéressants :

• ils sont orientés client

• ils répondent à de véritables besoins des directions des entreprises, mais aussi des autres parties prenantes : actionnaires, clients, employés, usagers ou citoyens.

• Ils sont structurés en offres de service.

L’AICPA a identifié 6 catégories de prestations d’un potentiel de revenus annuels total compris entre 500 M$ et 5 Md$ :

• L’évaluation du risque (« risk assessment ») : cette catégorie de prestations doit permettre de garantir, aux directions et/ou aux investisseurs, que le profil de risques établi est complet et que l’entreprise a mis en place les dispositifs appropriés pour gérer ces risques.

• La mesure de la performance de l’entreprise (« business performance measurement ») : cette catégorie de prestations a pour but de déterminer si le système de mesures de performance d’une entité dispose des mesures adéquates et fiables pour évaluer le niveau d’atteinte des buts et

1 Pour en savoir plus, voir AICPA, "New Assurance Services", www.aicpa.org

Page 2: cobit

2 / 8

objectifs de l’entreprise, et de quelle manière cette performance est comparée à celle de ses compétiteurs.

• La fiabilité des systèmes d’information (« information system reliability ») : cette catégorie de prestations doit permettre d’évaluer si les systèmes d’information (financiers et non financiers) d’une entreprise fournissent de manière fiable les informations nécessaires à la prise de décision opérationnelle et financière.

• Le commerce électronique (« electronic commerce ») : L’objectif de cette catégorie de prestations est d’évaluer si les systèmes et outils mis en œuvre pour le commerce électronique fournissent au niveau approprié la fiabilité, la confidentialité, la protection de la vie privée (« privacy ») et l’intégrité des données.

• La mesure de la performance du système de santé (« health care performance measurement ») : cette catégorie de prestations fournit la garantie que les prestations de santé délivrées par les hopitaux, cliniques, médecins, etc. sont efficientes.

• Le système de prise en charge des personnes âgées : la prestation ElderCare ® évalue si les buts assignés aux soins aux personnes âgées sont atteints.

L’AICPA a réalisé pour chacune de ces 6 grandes catégories de prestations des business plans détaillés. Ils fournissent entre autres une évaluation du potentiel du marché et décrivent les différentes étapes à suivre pour que les experts comptables soient en mesure d’offrir ces services.

De plus, l’AICPA décrit, sans les détailler, sept autres catégories de prestations au potentiel intéressant, comme par exemple ;

• la conformité à la politique de l’entreprise ;

• l’audit interne externalisé ;

• les fusions et acquisitions ;

• la certification ISO 9000.

Enfin les enquêtes récurrentes auprès des cabinets d’audit comptable permettent d’identifier plus de 200 autres prestations, que nous n’évoquerons pas ici.

Construire des prestations d’audit et d’évaluation avec CobiT.

L’AICPA a aussi mis en place des comités qui suivent les évolutions et identifient les possibilités liées aux technologies de l’information et de la communication. Dans ce cadre, des études ont été menées sur la mise en place pratique des nouvelles prestations liées aux technologies de l’information, notamment par l’utilisation raisonnée de CobiT. Une de leurs conclusions a été de souligner que, pour réussir la mise en œuvre de ces nouvelles prestations, les cabinets d’audit ont besoin de la participation d’auditeurs informatiques.

Un article introductif nous servira de fil conducteur pour tenter de montrer la démarche suivie par l’AICPA pour utiliser CobiT. « New assurance service opportunities for information systems auditors »2 a pour objet d’attirer l’attention des auditeurs informatiques sur ces nouvelles prestations, et de montrer la cohérence de la démarche en l’appliquant sur la prestation d’appréciation d’évaluation du risque liée aux technologies de l’information.

Les auteurs rappellent d’abord que, parmi les nouvelles prestations étudiées par l’AICPA, quatre sont particulièrement dédiées aux systèmes d'information :

2 J. E. Hunton, C. Frownfelter-Lohrke, and G. L Holstrum, "New Assurance Service Opportunities for Information Systems Auditors", IS

Audit & Control Journal, Vol IV, 1999

Page 3: cobit

3 / 8

• Appréciation des capacités à maîtriser l’évaluation du risque (risk assessement assurance)

• Détermination de la qualité des services liés au commerce électronique3 (Electronic commerce assurance)

• Evaluation de la fiabilité des systèmes d'information (Systems reliability assurance)

• Certificat WebTrust4 : prestation relative au commerce électronique B to C (business to consumer) qui garantit que les sites web de commerce électronique sont conformes à des normes sur :

• La protection des informations du consommateur ;

• L’intégrité de la transaction ;

• Les pratiques commerciales saines.

Ces prestations ne sont pas indépendantes, car chacune peut jouer un rôle dans l’appréciation de l’autre. Ainsi les risques et contrôles liés au commerce électronique s’intègrent au contexte plus général de maîtrise des risques de l’entreprise. De même, la prestation de certification WebTrust s'intéresse à la qualité des services liés au commerce électronique ainsi qu'à la fiabilité des systèmes d'information (voir figure 1).

Commerceélectronique

Assurance de fiabilité

des systèmesd ’informationwebtrust

Évaluation du risque :* risques d ’environnement opérationnel* risques liés à l ’informationRisques

stratégiques

Risquesstratégiques

Figure 1

3 Concernant l’utilisation de CobiT pour les prestations AICPA liées au commerce électronique, on consultera S. Ayers, C. Frownfelter-

Lohrke and J. E. Hunton, " Opportunities in Electronic Commerce Assurance for Information Systems Auditors ", IS Audit & Control Journal, Vol VI, 1999

4 Pour en savoir plus, voir WebTrust France – CNCC / OEC - « Principes et critères WebTrust pour le commerce électronique entre entreprises et consommateurs » consultable sur les sites ICCA (http://www.icca.ca), AICPA (http://www.aicap.org) et http://www.WebTrust .fr

Page 4: cobit

4 / 8

Utiliser CobiT pour qualifier les dispositifs d’évaluation du risque.

L’AICPA définit le risque d’entreprise comme la menace qu’un événement ou une action affecte négativement une capacité/aptitude de l’organisation à atteindre ses objectifs (business objectives) et réaliser ses stratégies.

Dans le cadre de la prestation d’appréciation de l’évaluation du risque liée aux technologies de l’information, les auteurs soulignent que deux dispositifs sont au préalable à étudier. Les auditeurs doivent en effet systématiquement s’assurer que :

1- l’entreprise utilise un cadre de référence pour l’analyse de ses risques. Les auteurs soulignent que celui illustré par CobiT (voir figure 2) peut servir de guide aux auditeurs ;

2- le processus de communication des directives et orientations de la direction est globalement maîtrisé. Cette problématique est prise en compte par CobiT dans le 6ème objectif de contrôle général du domaine Planification & Organisation (PO6). Les objectifs de contrôle détaillés permettent aux auditeurs de concevoir un plan d’audit afin d’évaluer si les politiques et directives de la direction sont correctement communiquées dans l’entreprise (voir tableau 1).

valorisationdes biens

évaluation desvulnérabilités

évaluationdes menaces

évaluationdes risques

contresmesures

évaluationdu contrôle

risquerésiduel

pland'actions

Cadre d'analyse des risques illustré par CobiT

Le modèle débute par une valorisation des biens. Dans CobiT, ces biens sont lesinformations - et naturellement l'ensemble des ressources associées - dont les critèresd'efficacité, de disponibilité ou d'intégrité, etc. sont essentiels pour atteindre les objectifsde l'entreprise. L'étape suivante est l'analyse de vulnérabilité des processus, qui permetd'identifier les faiblesses par les critères d'information ; un processus peut par exempleêtre vulnérable à la perte d'intégrité. L'analyse des menaces, étape suivante, doitpermettre de lister l'ensemble des menaces et de voir quelles vulnérabilités ellespourraient exploiter. L'analyse des risques va combiner la probabilité de la menace, ledegré de vulnérabilité et le niveau de sévérité de l'impact. Il faut alors réaliser l'analysedu contrôle en exhibant une série de contre mesures et en évaluant leur efficacité faceaux risques. Un plan d'actions est alors mis en œuvre et le cycle peut recommencer.

Figure 2

Page 5: cobit

5 / 8

Communication des objectifs et des orientation de la direction (PO6) :

Objectifs de contrôle détaillés : 1. Environnement positif du contrôle de l ’information 2. Responsabilité du management vis-à-vis des politiques 3. Communication des politiques de l ’organisation 4. Ressources utilisées pour la mise en œuvre de la politique 5. Maintenance des politiques 6. Conformité aux politiques, aux procédures et aux standards 7. Engagement vis-à-vis de la qualité 8. Cadre en matière de sécurité et de contrôle interne 9. Droits relatifs à la propriété intellectuelle10. Politiques spécifiques11. Sensibilisation à la sécurité informatique

Pour le plan d’audit associé, voir le volume « Guide d ’audit » page 51, de CobiTGouvernance, Contrôle et Audit de l ’Information et des Technologies Associées, 2ème édition, AFAI / ISACF

Tableau 1

Selon l’AICPA, le risque d’entreprise appartient à trois catégories (voir figure 1), qui peuvent, elles aussi, être appréciées au travers d’un plan d’audit élaboré avec CobiT :

1- Risques liés à l’environnement stratégique, constitués de menaces exogènes significatives comme des changements dans le goût des consommateurs, l’apparition de produits de substitution, des changements dans l'environnement politique, juridique ou de la capacité capitalistique.

2- Risques liés à l’environnement opérationnel : Ce sont des menaces générées par des processus inefficaces ou inefficients pour l’acquisition, la transformation ou la mise sur le marché de biens et de services, générant la perte de biens ou d’actifs physiques, financiers, informationnels, intellectuels, …, ou encore la perte de marchés, d’opportunités ou de réputation.

3- Risques liés à l’information : Menaces générées par l’utilisation d’informations de mauvaise qualité, nuisant à la prise de décision opérationnelle, financière ou stratégique

Apprécier la maîtrise des risques liés à l’environnement

stratégique Pour l’appréciation de l’évaluation des risques liés à l’environnement stratégique, les auteurs proposent (voir tableau 2) de s’intéresser :

• A l’intégralité du processus de définition du plan informatique, tel que défini par CobiT (PO1) ;

• Au positionnement stratégique de l’informatique et de son pilotage (objectifs 1, 2 et 3 de PO4) ;

• A la qualité de la veille technologique et réglementaire (PO8) ;

• A la prise en compte de cette veille pour déterminer l’orientation technologique (objectif n°2 de PO3).

Page 6: cobit

6 / 8

Evaluation des risques liés à l’environnement stratégique :objectifs de contrôle de haut niveau et détaillés applicables

Définir un plan informatique stratégique (PO1) : 1. Intégration de l ’informatique au plan à long et à court terme de l ’organisation 2. Le plan informatique à long terme 3. Approche et structure de la planification informatique à long terme 4. Les modifications du plan informatique à long terme 5. Planification à court terme de la fonction informatique 6. Evaluation des systèmes existantsDéterminer l ’orientation technologique (PO3) :2. Surveillance des tendances et de la réglementationDéfinir l ’organisation et les relations de travail de la fonction informatique (PO4) : 1. Le comité de planification ou de pilotage de la fonction informatique 2. Position de la fonction informatique au sein de l ’organisation 3. Révision des réalisations de l ’organisationS ’assurer de la conformité aux exigences externes (PO8) : 1. Revue des impératifs externes 2. Les pratiques et procédures pour se conformer aux exigences externes 3. Conformité en matière de sécurité et d ’ergonomie 4. Vie privée, propriété intellectuelle et transfert de données 5. Commerce électronique 6. Conformité des contrats d ’assurance

Pour plus d ’informations sur les objectifs de contrôle et le plan d’audit associé, voir CobiTGouvernance, Contrôle et Audit de l ’Information et des Technologies Associées, 2ème édition,AFAI / ISACF. Seuls les objectifs de contrôle les plus applicables sont évoquésici.

Tableau 2

Apprécier la maîtrise des risques liés à l’environnement

opérationnel Selon les auteurs, nous sommes ici dans le fond de commerce de l’auditeur informatique qui :

1- apprécie la part prise par les technologies de l’information dans l’efficacité et l’efficience des processus de l’entreprise ;

2- détermine les risques et évalue les contrôles associés.

Ainsi, l’auditeur informatique s’intéressera (voir tableau 3) :

• d’abord à l’évaluation de la sécurité physique et logique, en utilisant les objectifs de contrôle PO4 (« définir l’organisation et les relations de travail de la fonction informatique »), DS5 (« garantir de la sécurité des systèmes ») et DS12 (« gérer les installations ») notamment ;

• Ensuite à l’appréciation de la bonne utilisation des ressources humaines pour réaliser au mieux les activités informatiques, avec l’objectif PO7 (« gérer les ressources humaines ») ;

• Enfin à l’estimation des dispositifs liés à l’évaluation des risques de l’entreprise (PO9) et particulièrement au risque d’interruption de service.

Page 7: cobit

7 / 8

Evaluation des risques liés à l ’environnement opérationnel :objectifs de contrôle généraux et détaillés applicables

Définir l ’organisation et les relations de travail de la fonction informatique (PO4) : 6. Responsabilité de la sécurité physique et logique 7. Statuts de propriétaire et de gardien 8. Propriété des données et du système 9. Supervision10. Séparation des tâchesGérer les ressources humaines (PO7) : 1. Recrutement et promotion du personnel 2. Qualification du personnel 3. Formation 4. Organisation des remplacements ou formations croiséesEvaluer les risques (PO9) : 1. Evaluation du risque d ’entreprise

Pour plus d ’informations sur les objectifs de contrôle et le plan d’audit associé, voir CobiT Gouvernance, Contrôle et Audit de l ’Information et des Technologies Associées,2ème édition, AFAI / ISACF. Seuls les objectifs de contrôle les plus applicables sont évoquésici.

Tableau 3

Apprécier la maîtrise des risques liés à l’information

Pour apprécier la maîtrise des risques liés à l’information, les auteurs considèrent que l’auditeur informatique doit évaluer (voir tableau 4) :

• D’abord la bonne affectation des rôles et responsabilités (PO4, objectif détaillé 4), et notamment celles liées à l’assurance qualité (PO4, objectif détaillé 5) qu’il approfondira avec PO11 « gérer la qualité » ;

• Ensuite la qualité de l’évaluation des risques en se basant sur les objectifs détaillé 2 à 6 de PO9 « évaluer les risques ».

Page 8: cobit

8 / 8

Evaluation des risques liés à l ’information :objectifs de contrôle généraux et détaillés applicables

Définir l ’organisation et les relations de travail de la fonction informatique (PO4) : 4. Rôles et responsabilités 5. Responsabilités de l ’assurance qualitéEvaluer les risques (PO9) : 2. Approche de l ’évaluation des risques 3. Identification des risques 4. Estimation du risque 5. Plan d ’actions pour parer aux risques 6. Acceptation des risques

Pour plus d ’informations sur les objectifs de contrôle et le plan d’audit associé, voir CobiT Gouvernance, Contrôle et Audit de l ’Information et des Technologies Associées,2ème édition, AFAI / ISACF. Seuls les objectifs de contrôle les plus applicables sont évoquésici.

Tableau 4

Les auteurs de « New assurance service opportunities for information systems auditors » ont montré la capacité de CobiT à s’appliquer à des prestations d’audit particulièrement élaborées. Rien ne nous empêche de l’étendre à d’autres types de prestations5, ou de l’adapter à notre environnement. Concernant par exemple la prestation d’évaluation de la maîtrise des risques liée à l’information, d’autres objectifs de contrôle peuvent servir de vecteurs d’investigation comme AMP6 « gérer les changements » ou encore DS10 (« gérer les problèmes et les incidents »).

* * *

Les prestations d’assurance étudiées par l’AICPA intéressent l’auditeur interne à plus d’un titre :

• Elles sont utilisées comme instrument de développement commercial des cabinets d’audit, et permettent entre autres de concurrencer les services d’audit interne ;

• Elles peuvent en retour inspirer les services d’audit interne qui, par la mise en place de prestations d’audit types, gagnent en crédibilité sinon en professionnalisme ;

• Elles illustrent, pour celles ayant trait aux technologies de l’information, l’utilisation de CobiT.

5 On en aura un exemple en consultant " Opportunities in Electronic Commerce Assurance for Information Systems Auditors ", IS Audit &

Control Journal, Vol VI, 1999, déjà cité.


COBIT 5 Comparacion con COBIT 4.1

COBIT 5 Comparacion con COBIT 4.1

Documents
Cobit pertamina

Cobit pertamina

Education
Aplicación COBIT

Aplicación COBIT

Technology
materi COBIT

materi COBIT

Documents
normas COBIT

normas COBIT

Documents
Governança de TI COBIT Referência: COBIT Framework Versão 4.1

Governança de TI COBIT Referência: COBIT Framework Versão 4.1

Documents
Monografia: COBIT

Monografia: COBIT

Technology
ICETEX€¦ · COBIT el de TI COBIT: Alineamiento con otros Estándares Frameworks COBIT: Cum limiento con Le es Re ulaciones. COBIT SOX COBIT: COBIT: Online COBIT: QuickStart Guía

ICETEX€¦ · COBIT el de TI COBIT: Alineamiento con otros Estándares Frameworks COBIT: Cum limiento con Le es Re ulaciones. COBIT SOX COBIT: COBIT: Online COBIT: QuickStart Guía

Documents
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5

Governança de TI - Aula7 - COBIT 4.1 X COBIT 5

Technology
COBIT- Taller

COBIT- Taller

Engineering
RESUMEN COBIT

RESUMEN COBIT

Technology
Perbedaan COBIT 4.1 Dan COBIT 5

Perbedaan COBIT 4.1 Dan COBIT 5

Documents
cobit transmotar.docx

cobit transmotar.docx

Documents
Investigación COBIT

Investigación COBIT

Documents
Cobit 5espanol

Cobit 5espanol

Engineering
Cobit v4.1

Cobit v4.1

Technology
Apostila Cobit

Apostila Cobit

Documents
DIAPOSITIVAS COBIT

DIAPOSITIVAS COBIT

Technology
COBIT 5 - Information Technology - Information Security ... 5 プロダクトファミリー 出典: COBIT 5, 図表 11 COBIT® 5 COBIT 5 オンラインコラボレーション環境

COBIT 5 - Information Technology - Information Security ... 5 プロダクトファミリー 出典: COBIT 5, 図表 11 COBIT® 5 COBIT 5 オンラインコラボレーション環境

Documents
424153 cobit

424153 cobit

Documents
Presentacion cobit

Presentacion cobit

Documents
Proposal cobit

Proposal cobit

Documents
Cobit Cuestionario

Cobit Cuestionario

Documents
COBIT Framework 5 - cis.hr · COBIT 5 objedinjuje i integrira COBIT 4.1, Val IT 2.0 i Risk IT okvir i izvodi se iz ISACA IT ... COBIT 5 Framework, COBIT 5 Implementation, COBIT Framework

COBIT Framework 5 - cis.hr · COBIT 5 objedinjuje i integrira COBIT 4.1, Val IT 2.0 i Risk IT okvir i izvodi se iz ISACA IT ... COBIT 5 Framework, COBIT 5 Implementation, COBIT Framework

Documents
Cobit 5 Parte 06: Modelo de Capacidade do Cobit 5

Cobit 5 Parte 06: Modelo de Capacidade do Cobit 5

Technology
Taller Cobit

Taller Cobit

Documents
Modelo Cobit

Modelo Cobit

Documents
COBIT 4.1 SISTESEG. AGENDA Características de un framework de control El framework de COBIT El cubo COBIT

COBIT 4.1 SISTESEG. AGENDA Características de un framework de control El framework de COBIT El cubo COBIT

Documents
maturitl cobit

maturitl cobit

Documents
Memorex COBIT

Memorex COBIT

Documents