C O L L O Q U E. Le contrôle interne du système d information des organisations. vendredi 13 mars Palais Brongniart

Transcription

1 C O L L O Q U E Le contrôle interne du système d information des organisations vendredi Palais Brongniart

2 Agenda Introduction Le contrôle interne du système d information de l entreprise Le contrôle interne de la DSI Synthèse

3 Contrôle interne : verbatim (1/2) «Les failles du contrôle interne portent indéniablement leur part de responsabilité dans la crise actuelle» «Le contrôle interne, que l on pensait bien installé au sein des établissements bancaires, a montré au cours de la période récente des signes de grande faiblesse» «L inefficacité de la gouvernance des entreprises apparaît comme l un des thèmes clés ayant facilité le développement de cette crise» «La crise a révélé des insuffisances dans les systèmes de gestion du risque et de gouvernance d entreprise» «D une manière générale, il a manqué une supervision appropriée» «Faut-il pour autant abandonner l idée que la réglementation gagne en efficacité lorsqu elle est étroitement articulée au contrôle interne?» «Il convient de repenser l articulation entre régulation et surveillance»

4 Contrôle interne : verbatim (2/2) «L objectif n est pas de créer de la régulation, mais d améliorer la confiance envers nos entreprises» «Une responsabilité croissante est transférée à l entreprise, avec un impact direct sur sa gestion et sa façon de conduire ses affaires» «Le développement du contrôle interne s explique à la fois par la nécessité pour les banques de faire face à un environnement financier plus large et plus instable, et par la volonté des dirigeants de ne pas perdre le contrôle du contrôle» «C est la culture du contrôle et de la prudence qu il paraît urgent d approfondir au sein des établissements bancaires et financiers» «Trop de contrôle tue le contrôle : un trop plein de procédures pousse les salariés à les contourner» «Contrôle interne : quand la qualité des données rime avec création de valeur»

5 Contrôle Interne : Du Cadre de Référence AMF au Guide Opérationnel Cigref/Ifaci Cadre de Référence AMF Charte Cigref/Ifaci Le Contrôle Interne du SI : Guide opérationnel Cigref/Ifaci 2007 Janvier 2007 Octobre 2009 Mars

6 Les recommandations du Cadre de Référence AMF pour mettre sous contrôle les composantes de l outil de production de l information comptable Une organisation claire et formalisée Des dispositifs de sécurité physique/logique des systèmes et des données Des applications bâties avec une exigence de sécurité, disponibilité, fiabilité et pertinence de l information Des règles d accès, de validation des traitements/contrôles, de conservation des données et de vérification des enregistrements Des procédures et des contrôles de qualité/sécurité de l exploitation, de la maintenance, du développement ou du paramétrage des systèmes et des interfaces Des contrôles clés (bloquants, seuils d alerte, limitation d accès, rapprochements automatiques ) Une évolution en ligne avec les besoins de l entreprise Une réponse aux exigences de l administration fiscale (comptabilités informatisées, description des règles de gestion des données et fichiers)

7 La charte CIGREF/IFACI Fait suite au Cadre de Référence AMF et à son guide d application relatif au contrôle interne de l information comptable et financière, dont l Autorité des Marchés Financiers recommande l utilisation aux sociétés cotées L accord de partenariat entre le CIGREF et l IFACI vise à convaincre les dirigeants des enjeux du contrôle interne et de la maîtrise des Systèmes d Information au sein de l entreprise ou de toute organisation des secteurs privé et public Le CIGREF et l IFACI ont décidé d unir leurs compétences et leurs efforts pour apporter, ensemble, plus de valeur ajoutée à l entreprise

8 Objectifs de l étude CIGREF/IFACI Sensibiliser les Directeurs Généraux, Directeurs des Systèmes d Information, Directeurs Audit et Contrôle, Directeurs Métiers, Consultants Enrichir la dimension SI du cadre AMF et mieux le relier aux référentiels existants Elaborer un guide d application relatif au contrôle interne des systèmes d information, incluant des listes de bonnes pratiques Aider les fonctions SI et Audit à mieux collaborer pour renforcer l efficacité du contrôle interne de l entreprise Avoir une approche sélective et réaliste des risques

9 Le contrôle interne du système d information : deux parties distinctes et complémentaires

10 Typologie des points de contrôle

11 Les acteurs du risque (RACI)

12 Agenda Introduction Le contrôle interne du système d information de l entreprise Le contrôle interne de la DSI Synthèse

13 Chaîne de valeur de l entreprise

14 Les processus de l entreprise

15 Les processus de l entreprise et le Système d Information

16 Les risques de l entreprise

17 Démarche des travaux sur le contrôle interne du système d information de l entreprise Une approche par les processus et par les risques Pour chaque processus, identification des étapes, des acteurs, des risques, et des contrôles à intégrer dés la conception de l application Une illustration sur trois processus communs à un grand nombre d entreprises : Achats, Ventes et Consolidation Financière Un rapprochement avec le Cadre de Référence AMF

18 Le guide d application AMF Processus Points de contrôle AMF

19 Les travaux Cigref/Ifaci

20 Le contrôle interne lors du développement / déploiement d une application quelques points d attention (1/2) Réflexion sur les obligations du contrôle interne Identification des objectifs et activités de contrôle Gestion des accès logiques (définition des rôles, gestion des habilitations, séparation des tâches) Spécification des états de contrôle pour améliorer la surveillance des opérations

21 Le contrôle interne lors du développement / déploiement d une application quelques points d attention (2/2) Spécification des contrôles «embarqués» bloquants ou non bloquants (sequence check, limit check, range check, validity check, table look-ups, ) seuils d alerte, rapprochements automatiques, contrôles de cohérence, etc Traçabilité d évènements et de «forçages» (logs) Batchs de contrôle et équilibrage (comptages, totaux, nombre de fichiers ) Définition des contrôles de flux d entrées et de sorties (interfaces ) Gestion des erreurs ( fichiers d erreur et de rejets) Contrôles généraux IT Maintenabilité Respect des standards de développement Documentation tenue à jour Jeux d essai Traçabilité des recettes Validations formelles des applications et données par les responsables métiers

22 Processus Achats

23 Les acteurs du processus Achats

24 Les Risques des étapes du processus Achats

25 Achats : Points de contrôle AMF

26 Rapprochement entre risques et points de contrôle du processus Achats

27 Rapprochement entre points de contrôle et exemples de contrôle du processus Achats

28 Détail du processus Achats

29 Agenda Introduction Le contrôle interne du système d information de l entreprise Le contrôle interne de la DSI Synthèse

30 Préambule Extrait du Colloque du 11/06/2008 Système d Information et Contrôle Interne : le syndrome du «pompier pyromane»? Le SI est un élément essentiel du dispositif de contrôle interne au sein de l entreprise Le SI (son organisation, ses moyens, ses processus, son efficacité) doit, à son tour, être également pourvu de son propre dispositif de contrôle interne Les SI sont en forte évolution Soumis à des contraintes financières et réglementaires plus prégnantes Attendu par les métiers dont les exigences croissent Inséré dans un contexte qui se complexifie : technologies, interfaces, éditeurs, prestataires Encadré par de nouveaux référentiels de bonnes pratiques : CobIT, CMMI, ITIL, e-scm Nécessité de progresser sur le référentiel de contrôle interne du SI

31 Démarche Principes Utiliser les référentiels existants point de départ = COBIT Identification de 6 processus clés Produire un livrable concret, utile à la DSI et à l audit interne Pour chacun des processus Identification des risques et points de contrôle associés Proposition de bonnes pratiques issues de l expérience et la connaissance des rédacteurs Mais chaque entité devra / pourra adapter à son contexte

32 Les processus sélectionnés et les autres

33 Exemple : Projet et Développement, & Maintenance et Gestion du changement (Flowchart 1/3)

34 Exemple : Projet et Développement, & Maintenance et Gestion du changement (Flowchart 2/3)

35 Exemple : Projet et Développement, & Maintenance et Gestion du changement (Flowchart 3/3)

36 Exemple : Gestion des incidents (matrice risques, contrôles, pratiques)

37 Exemple : Sécurité logique et Gestion des accès (RACI)

38 Agenda Introduction Le contrôle interne du système d information de l entreprise Le contrôle interne de la DSI Synthèse

39 En guise de synthèse Périmètre Contrôle Interne de l Entreprise Contrôle Interne du SI Livrable Démarche Processus de l entreprise Métiers IT (COBIT) Cartographie processus Achats Ventes Consolidation Compétences Projets Maintenance & Changements Incidents Sécurité logique & Accès Sous-traitance Processus Etapes Acteurs/RACI Flow-chart Risques Exemples de contrôles Bonnes pratiques

40 Rappel : Pourquoi ce travail? Extraits de la préface Sensibilisation des dirigeants au enjeux ET fourniture de pistes opérationnelles aux praticiens Adaptation du cadre de référence de l AMF (au SI) Organisations publiques et privées Rôle du système d information Protection de l information Sincérité des opérations Vitesse d exécution excellence opérationnelle Rôle du Contrôle Interne Maîtrise des activités d une organisation Efficacité des opérations Prise en compte des risques significatifs SI = Objet et moyen du contrôle interne

41 5 principes du contrôle interne 1. Le management doit instaurer une culture et une dynamique du contrôle 2. Le contrôle interne doit être intégré dans les processus de l entreprise 3. Les systèmes d information jouent un rôle clé 4. Un principe de proportionnalité et granularité doit s appliquer 5. Il faut être conscient de la non-exhaustivité et des limites du dispositif de contrôle

42 Remerciements aux contributeurs AGF Alcatel-Lucent AXA Banque de France Banque Postale DCNS EDF France Telecom Gdf Suez Les Mousquetaires L Oréal Nexans La Poste Renault Rhodia Sanofi-Aventis Saint Gobain SCOR Total et les permanents du Cigref et de l Ifaci