Une démarche de contrôle interne est itérative, planifiée et menée dans la durée. L’Afai (Association française de l’audit et du conseil informatiques) propose un plan d’action qui concerne neuf domaines.
1. Développer l’approche par les processus
- S’assurer que les principaux processus de l’entreprise ont été identifiés, analysés et correctement documentés.
- Rapprocher l’analyse des processus et les systèmes informatiques en place (revalider les documents d’analyse des processus et des systèmes informatiques, remettre en cause certaines parties de processus).
- Établir un tableau de bord des indicateurs de performance pour chaque processus, et un tableau de synthèse pour les principaux processus.
2. Identifier les domaines à fort niveau de risques
- Choisir les domaines à mettre sous contrôle en fonction d’une évaluation des risques. Identifier chaque incident avec ses causes et les actions correctrices adoptées.
- S’assurer que des mesures sont prises pour diminuer l’impact de ces risques.
- Prendre en compte les résultats des audits, internes et externes, précédemment effectués.
3. Évaluer les dispositifs de contrôle interne de l’entreprise
- S’assurer du niveau de maîtrise par le management de l’entreprise des dispositifs de contrôle interne, en évaluant les différents dispositifs en place.
- Analyser les documents définissant les dispositifs de contrôle interne de l’entreprise et leur mise en œuvre, en se concentrant sur les différents composants du système d’information : équipements informatiques, applications, données et sécurité.
- S’entretenir avec quelques dirigeants de l’entreprise pour évaluer leur niveau de connaissance des dispositifs de contrôle interne et notamment du rôle des systèmes d’information dans le contrôle.
- Réaliser des audits permettant d’évaluer la qualité des contrôles et des dispositifs de sécurité mis en place (données saisies, intégrité et contenu des bases de données, traitements effectués, règles et modalités de la conservation des données, disponibilité du système).
- S’assurer que le personnel de l’entreprise partage un savoir commun à la démarche de contrôle interne.
- Établir une charte de contrôle interne incluant le système d’information.
4. Maîtriser l’approche par les processus
- Repérer les processus ayant un niveau de risque élevé.
- S’assurer de la qualité de la documentation des processus et des contrôles mis en place.
- Évaluer la maturité de l’ensemble des processus de l’entreprise (pertinence des dispositifs de contrôle interne mis en œuvre).
- Nommer un responsable de chaque processus. Il sera chargé de surveiller en permanence son fonctionnement.
- S’assurer qu’un membre du comité de direction a la responsabilité de l’ensemble des processus.
- Faire auditer les principaux processus par des experts indépendants ou par des auditeurs (y compris les processus informatiques).
5. Mettre en place des mesures a minima concernant l’activité informatique
- Renforcer les sauvegardes et vérifier qu’elles sont exploitables.
- S’assurer que toutes les transactions sont enregistrées (existence d’un log).
- Pour les applications stratégiques ou à fort enjeu, s’assurer que les conditions de la continuité de service sont garanties (matériels, bases de données, liaisons de télécommunications, alimentations électriques).
- Établir un tableau de bord des principales fonctions informatiques (études, projets critiques, exploitation, maintenance, help-desk…).
- Enregistrer toutes les anomalies détectées dans une base de données spécifique. Les analyser systématiquement et rechercher leurs causes.
- Périodiquement, tous les mois par exemple, effectuer une synthèse de ces anomalies et diffuser un bref compte rendu des problèmes détectés.
6. Renforcer les dispositifs de contrôle intégrés
- S’intéresser aux contrôles automatisés embarqués dans les programmes permettant de s’assurer que les opérations se déroulent normalement.
- Établir la liste des contrôles existants et définir les contrôles à mettre en place.
- Définir et mettre au point des programmes de contrôle des principales bases de données pour s’assurer de la qualité des informations qu’elles contiennent.
- Prévoir des contrôles globaux pour s’assurer de l’intégrité des données, et notamment qu’aucune donnée n’a été perdue au cours des traitements, que toutes les données ont été saisies et que les bases de données ont été mises à jour.
7. Mettre en place un système d’information affecté aux contrôles et au suivi des anomalies
- S’assurer que tous les contrôles prévus dans les applications et sur les bases de données sont réellement effectués.
- Construire un tableau de bord des contrôles en place permettant de détecter rapidement une dégradation du système d’information.
- Mettre en place un test de non-régression pour s’assurer que tous les contrôles définis sont effectivement en œuvre et fonctionnent de manière correcte.
- Effectuer périodiquement un traitement de contrôle des principales bases de données (chaînages entre bases).
- Créer des bases de données (datawarehouse) alimentées par les grands processus : achats, ventes, production…
8. Évaluer la qualité et l’efficacité des contrôles en place
- S’assurer que les contrôles en place sont suffisants et efficaces.
- Effectuer périodiquement une analyse des incidents dus à des défauts de contrôle.
- Effectuer un audit dans le cas où un domaine ou un processus a rencontré des défauts de contrôle récurrents.
- Effectuer tous les deux ou trois ans une évaluation de tous les processus de l’entreprise dans le cadre des audits d’applications.
9. Renforcer les processus informatiques
- S’assurer que le service informatique connaît et applique CobIT, et évaluer le degré de maturité.
- Vérifier qu’il existe un système de management par la qualité conforme à un référentiel tel que la norme ISO 9001 : 2000.
- Utiliser, pour l’exploitation, le référentiel Itil et si on constate des fragilités d’exploitation.
- Mettre en place, aux études, le référentiel CMMi en cas de fragilités dans le domaine des projets.
Un guide opérationnel Cigref-Ifaci
Le Cigref (Club informatique des grandes entreprises françaises) et l’Ifaci (Institut de l’audit interne) ont élaboré un document commun sur le contrôle interne du système d’information. Objectif : sensibiliser les dirigeants sur les enjeux du contrôle interne et de la maîtrise des systèmes d’information au sein des organisations, tant publiques que privées, tout en proposant aux managers des pistes opérationnelles (démarche, check lists…). Ce guide met notamment l’accent sur le rôle clé des managers dans l’instauration de la dynamique de contrôle, sur l’importance d’inscrire les contrôles dans les processus de l’entreprise, sur le rôle majeur des SI dans un dispositif efficace de contrôle interne, mais aussi sur le fait qu’il faut conserver un principe de réalité, de proportionnalité et de granularité de tout dispositif de contrôle et savoir gérer les arbitrages. Dans un contexte où l’entreprise est vue comme une chaîne de valeur, le document Cigref-Ifaci s’intéresse aux principaux processus de l’entreprise (processus de direction, opérationnel, support), à la typologie des risques (financiers, opérationnels et de conformité), aux points de contrôle existants (contrôles métiers, applicatifs, contrôles généraux informatiques) (www.ifaci.com).
Organismes et référentiels liés au contrôle interne | ||||
France | International | |||
Référentiels | Organismes | Référentiels | Organismes | |
Comptabilité | Plan comptable général | Autorité de normes comptables CSOEC | IFRS | IASB |
Audit externe | Normes d’exercice professionnel | HCCC CNCC |
Financial reporting Auditing & Assurance | IFAC |
Contrôle interne | Internal control Framework (COSO1) ERM Framework (COSO2) |
COSO | ||
Audit interne | IFACI | IPPF (GTAG, GAIT) |
IIA | |
Audit informatique | AFAI | ITAF (IT assurance framework) CobIT Val IT |
ISACA | |
Informatique | Cigref | |||
Régulation | Cadre de référence de contrôle interne CRBF 97-02 | AMF | Bâle 2 solvency |
|
Source : Cigref-Ifaci. |