310 likes | 439 Views
Audit, étude & analyse des systèmes d’informations. Niveaux et acteurs Missions (structuration et organisation). Auditeurs. Acteurs Internes et Externes Rôles et fonctions Missions Obligations Capacités. Audit INTERNE
E N D
Audit, étude & analysedes systèmes d’informations Niveaux et acteurs Missions (structuration et organisation)
Auditeurs • Acteurs • Internes et Externes • Rôles et fonctions • Missions • Obligations • Capacités
Audit INTERNE demandé par la direction ou un responsable de service, de domaine, d'agence, .... permet un suivi régulier des indicateurs et des procédures, méthodes réalisé par un service de Contrôle Interne activité régulière basée sur un audit une mise en place d'indicateurs de contrôle un contrôle régulier personnel placé pour 3 à 5 ans (on évite de rester au delà) Audit EXTERNE demandé par un CA, un syndicat, un groupe d'actionnaire, un législateur permet une étude ponctuelle et poussée de la globalité d'un domaine ou d'une entreprise réalisée par un cabinet extérieur (consultants) activité basée sur un audit critique des avis et conseils auditeur ne devant pas aller au delà d'un travail supérieur à 1 ou 2 ans, au delà la fonction se périme au profit du conseil pur Audit Interne et Externe
Acteurs de la fonction d'Audit • On considère 7 grands acteurs de la fonction d'audit • L'organisateur et le responsable prospective • Le responsable de sécurité et celui de la sécurité informatique • Le contrôleur de Gestion • L'auditeur interne • Le réviseur comptable (EC et CC) qui est indépendant • Le consultant (cabinet d’audit ou indépendant) • Chacun dispose de moyens et domaines de compétences propres
Responsable sécurité • Rattaché à la DT • Domaine de compétences • Sécurité physique des systèmes, biens et patrimoine, et/ou des personnes • Rôle : • contrôle et inspection des sites (accès, utilisation, procédures) • recherche des risques, préparation des préventions et parades • vérification des applications de normes et de la législation, du règlement intérieur • gestion du personnel de sécurité
Responsable sécurité informatique • R.S.S.I. ou D.S.S.I. • Rattaché à la DT et/ou la DSI • Domaine de compétences • Sécurité physique et logiciel des systèmes d’informations, (matériels, données, logiciels, personnels, accès, etc.) • Rôle : • contrôle et inspection des sites (accès, utilisation, procédures) • recherche des risques, préparation des préventions et parades • vérification des applications de normes et de la législation, du règlement intérieur • gestion du personnel informatique
Auditeur interne • Rattaché à la DG et DFC • Domaine de compétences : • Contrôle technique, commercial et comptable • Contrôle de sécurité • Rôle • Intervient sur planning ou sur ordre de mission (LM) • analyse (photographie) un service, une action, à un instant donné • Apprécie l'état du contrôle interne ou l'effectue • réalise un rapport avec constats et recommandations
Consultant / Auditeur externe • Membre d’un cabinet ou indépendant • Domaine de compétences • Diagnostics • Avis et conseil • Rôle • dispose d'une spécialité et d'une compétence reconnue • analyse et détecte les problèmes • émet des avis et conseils (ou recommandations) • réalise un rapport public ou privé suivant les cas • contacté le plus souvent par appel d'offres avec lettre de mission
Capacités des auditeurs • Capacité d'organisation et sens pratique • Facilité de contact et de diplomatie • Impartialité et intégrité … • Capacité d'analyse et de synthèse • Connaissances méthodologiques élevées • Adaptabilité à l'environnement et personnes • Capacité d'écoute réelle • Connaissance des techniques du domaine étudiée • Connaissance du domaine d'entreprise importante • Connaissance complète du domaine de compétence
Un métier certifié • Certification spécifique des «Auditeurs Informatiques» • CIA (Certified International Audit / US) utilisé en France • CISA (Certified Information Systems Auditor) utilisé en France • CISSP (Certified Information Systems Security Professionnel / US) commence à s’utiliser en France • Belgique : MCA (Master Computer Audit) • GB : QiCA (Qualification in Computer Audit) • Certification acquise pour 1 an et devant être maintenue par des crédits formations, articles de fond, travail en groupe à l’AFAI & IFACI • Environ 10.000 Auditeurs certifiés en France • Indépendante d’une notion de qualité (telle qu’ISO 9000) mais rattaché souvent à des normes sécurité informatique (telles qu’ISO 17799) ou à des méthodes (COBIT)
Ordre de Mission (OM & LM) • Document ECRIT • Transmise par le groupe demandeur de l'audit : • Direction - Conseil d'Administration - etc. • Responsable de service - Syndicats • Définit la Mission : • Type d'audit et domaine de l'audit (Développement, maintenance, sécurité, ...) • Cadres, délais et moyens à utiliser • Lieu, contraintes imposées • Définit les objectifs de la Mission • Objectifs recherchés et problèmes constatés ou connus • « Pouvoirs » des auditeurs
Influent sur Objectifs de l ’Audit Contraintes Technique Finance Cadres de la LM ou de l’OM CADRES Impossibilité d ’accéder à … sans agrément … Impossibilité de dupliquer ou sortir les documents … Obligation de connaissance de … etc. Défense Nationale ou cadre secret défense Multinationale : Droit européen, international Audit des partenaires ou associés : Contrat pluri-partenaires etc. Législation Normalisation spécifique PAQ ou ISO 900x ou ISO 14000 ou ISO 17799 Méthodologie spécifique de travail etc. Financements multiples Modalités spécifiques de paiement Subventions (FRAC par exemple) etc.
nécessite Pouvoirs nécessite Moyens Cadres de la LM Ce sont ceux de l’AUDIT INFORMATIQUE et non ceux de l’entreprise dans le domaine informatique Objectifs • Ils se déclinent en 3 points : • Etude et formalisation de l ’existant • Recherche des points forts et faibles (BBK ou FRAP) • Recherche des causes réelles des points faibles • En audit opérationnel, ils sont complétés par : • Etude de solutions (propositions) • Assistance à la spécification opérationnelle des solutions • Pouvoirs essentiels : • investigation, recueil d’informations et documents • interviews, accès aux locaux, accès au système informatique • etc. • Pouvoirs spécifiques à un audit • interviews hors des locaux de l’entreprise • contacts des sous-traitants, partenaires, prestataires, … • etc. • Utilisation de salle spécifique de l ’entreprise pour réunions et/ou interviews • Terminal dédié à l’audit, User Code, Carte d’accès, Espace disque, Duplication de base, de sources, etc. • etc.
Etude de la LM • La réception d'une lettre de Mission implique : • L'analyse des objectifs demandés et une discussion avec les demandeurs quant à tous les points spécifiés dans la LM • La demande de mise au clair des points omis • La création d'une équipe de travail • si existe déjà, conforter et informer cette équipe • si n'existe pas, réaliser un BC des personnes pouvant y participer et réunir l'équipe la plus apte à remplir la mission • Une classification des objectifs (de mission et de LM) par thèmes ou familles • Une validation de la LM conjointe entre les demandeurs et le responsable de l'Audit
1 TECHNICITE Informatique S.d'Entreprise 2 COMMUNICATION Individuelle de Groupe 3 ORGANISATION et METHODES Org. Equipe T&M d'org. Compétences nécessaires • La mission étant connue, on va rechercher les collaborateurs internes ou externes pouvant l'assurer • Ils devront disposer dans certaines cas de compétences techniques particulières. Mais on cherchera principalement à avoir une équipe apte à traiter les points ci-contre • La technicité n'est qu'un aspect annexe du travail, qui pourrait être confiée à un technicien si besoin donc ...
EXEMPLES ++ Points FORTS + Point acceptable - Points FAIBLES TECHNICITE (SI) et ENTREPRISE (Environnement) de Spécialité : matériels, logiciels, OS droit info, SGBD, Génie. L'Equipe dispose de plusieurs membres ayant une solide connaissance du domaine L'Equipe ne dispose que d'UN membre ayant une solide connaissance du domaine ou plusieurs membres ayant une connaissance limitée du domaine L'Equipe ne dispose d'aucune connaissance du domaine ou alors est trop limitée pour être efficace d'Entreprise : droit, RH, gestion, organisation, produc, ... Individuelle : écoute, interview, prise de RdV, etc. COMMUNICATION et ECHANGES de Groupe : Réunion, Présentation, Enquête, Rapport, etc. ORGANISATION et METHODES Organisation Equipe : Direction d'Equipe Gestion de Projet M.T.d'Organisation : Schéma directeur, Plan, Méthodes info et indus Préparation à la mission
Missions et méthode • Formes • Organisation d’équipe • Compétences • Experts externes • Bilan général et mission • Démarche générale • Phases • Contrôles • Cadres de travail • Suivi
Norme / Optimum Bilan Propositions Réalisable D D’ Existant MISE EN ŒUVRE& SUIVI Historique Actuel Futur Audit de Contrôle Audit Opérationnel Audit de Prescription Place et forme de l’Audit
Plan d’Approche (PdA) Reconnaissance Tableau des Forces et faiblesses apparentes(TFfA) Analyse des risques Choix des objectifs Rapport d’orientation (RdO) Programme de Vérification (PdeV) Détermination des tâches Budget, Allocation, Planning, Suivi (BAPS) Planification Mission d’audit : préparation Ordre de Mission (OM)
Phase de travail sur Terrain Phase de travail sur Terrain Phase de travail sur Terrain Papiers de Travail (PdeT) Mission d’Audit : réalisation Feuille de Couverture FdeC Feuille de Révélation et d’Analyse de Problème (FRAP) – 1 par section
FRAP Synthèse (au service d’audit) Ossature de Rapport (OR) FRAP FRAP Compte Rendu Final au Site (CRFS) Restitution Rédaction et Validation Rapport : en 3 tempsProjet, Validation, Définitif (Rapp) Suivi des recommandations État des Actions de Progrès (EAP) Mission d’Audit : Finalisation
CONCEPTS et MODELES ORGANISATION et SOCIAL TECHNIQUES Niveaux de Contrôles Informatiques ENTRE- PRISE Schéma directeur et Plan informatique Audit Interne et Fonction d'Audit Normalisation et Réglementation Sécurité Générale et Qualifications Circulation des informations Procédures et Formalismes NIVEAU DE LAFONCTION, DU SERVICE ET DES PERSONNELS Projets et Développement Méthodes et Techniques Formation et Assistance Organisation et Maintenance Sous-Traitance et Fournisseurs Matériels et Réseaux Communications externes Applications spécifiques Applications standards Bases de données NIVEAU DES MATERIELS DES APPLICATIONS et DES DONNES
ENQUETE PRELIMINAIRE (EPr) PHASE DE VERIFICATION (PVr) Preuve Suffisantes ? Mission d’étude-conseil (externe) ORDRE de MISSION (OM-int.) ou LETTRE de MISSION (LM-ext.) Réception LM - Spécification des objectifs Bilan de compétences (BC) - Validation M Phase préparatoire (PPr) Etude Préalable et Confirmation (OM-LM) Rapports intermédiaires (Mémorandums) Rapport de synthèse Rapport final avec recommandations RAPPORT FINAL (Rapports)
Phase de Vérification (PVr) La phase Vérifications RAPIDES a pour objectif, la recherche des points à risques ou à problèmes. Ceux-ci trouvés, la phase Vérification DETAILLLEE va analyser les causes, les incidents, les rapports,... de ces problèmes recensés Vérifications "RAPIDES" Vérifications "DETAILLEES" NON BBK sûrs ? TFf complet ? Points de REVUE (PR) Confirmation ? NON OUI ANALYSE et DEPOUILLEMENT OUI
Interviews préliminaires Plan d'approche Plan de vérification Phase de vérification Vérification Rapide Vérification détaillée « Certification » des BBKS Mise en forme du TFf Dépouillement final & synthèse Rencontre préliminaire des responsables concernés Préparation des actions : Qui voir, quand, pourquoi Comment les voir Que demander Préparation des contrôles : Quelles preuves rechercher Quels moyens de certitude Réalisation de la vérification Lister les problèmes Vérifier chaque point S'assurer de leur véracité Rechercher des parades Préparation de la PVr
BBK, TFf et PR • Les BBK (Blue Black Keys) représentent : • Les problèmes et incidents, critiques, dysfonctionnements, etc. constatés : les POINTS NOIRS (Blacks) • Les points qui semblent corrects et fonctionnels : les POINTS BLEUS (Blue) • Il y a donc une répartition en 2 classes des points analysés • Chaque BK est vérifié pour savoir : • si un point noir est réel et ne cache pas un problème plus important • si un point bleu est réel et n'est pas simplement une apparence de fonctionnement correct • En cas d'incertitude on effectue un Point de REVUE (pour "revoir") des BBK contestés. • Les BBK sont classés au sein d’un Tableau des Forces et faiblesses apparentes (TFf)
N° ou code de référence Définition sommaire Détail du BBK Type incident ponctuel, problème récurant, risque, erreur technique, erreur humaine, etc. Source de la découverte personne, groupe, documents, RAO, élément externe, étude directe, etc. Origine, cause Conséquence technique, organisationnelle financière, etc. Niveau de confiance et justification de ce niveau Importance relative, coefficient de pondération et justifications Interdépendance avec d’autres BBK regroupement (thèmes et familles), séquence, etc. Solutions possibles technique, organisationnelle, financière, etc. Indicateur de suivi outil et process de suivi process de réaction et correction sur incident Concept BBK et TFf
Organisation Circuit et traitements Humain / Social / Relationnel Informations Informatique Structurelle Schéma directeur et plans Matériel Logiciels / OS / Tools Base de données / Fichiers Energie et associés Locaux et mobiliers Documentations Communications & Réseaux Projets en cours et futurs Budgets Informatique Organisationnelle Service informatique Personnel informatique Exploitation Hot line et assistance Développement Maintenance, Formation Contrats et doc légaux Sous-traitance, régie, fournisseurs Projets en cours et futurs Budgets Sécurité Accès, personnel, locaux, moyens mat et log., budgets Scénarios et process Assurances Etude des BBK : Thèmes
L’existant opérationnel Fonctionnel (opérationnel, technique, etc.) Gains Avancée Certifiés et contrôlés Savoir-faire et savoirs Reconnaissance Les maîtrises Maîtrise d’œuvre et d’ouvrages formalisés et contrôlés Projet en cours en situation de validité Certifications et normalisations Tableaux de bords Outils de contrôles et de validation Les acquis et avoirs pérennes Transmission de savoir-faire et de savoirs Historique exploitable Biens et produits (informatiques) RH pérennisées Relations et contrats pérennisés Tableau des Forces & Faiblesses LES FORCES
L’existant opérationnel Incidents Pannes Dysfonctions Erreurs Retards Pertes Conflits L’existant non opérationnel Non maîtrisé Inutile Non connu Sous-utilisé Les risques (problèmes potentiels) Risque technique Risque humain Risque économique et/ou financier Les manques et besoins Manque constaté Manque exprimé Les faiblesses Tableau des Forces & Faiblesses