L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts.



Documents pareils
Contrôle interne et organisation comptable de l'entreprise

LE CONTRÔLE INTERNE GUIDE DE PROCÉDURES

Fiche conseil n 16 Audit

MEGA ITSM Accelerator. Guide de Démarrage

SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance

asah alpha consulting Prog o ram a m m e e de d e fo f r o mat a i t on o n

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

COMMISSION DES NORMES COMPTABLES. Avis CNC 138/5 Logiciels

Chapitre 1 : Introduction aux bases de données

AGASC / BUREAU INFORMATION JEUNESSE Saint Laurent du Var Tel : bij@agasc.fr Word: Les tableaux.

modélisation solide et dessin technique

MS PROJECT Prise en main. Date: Mars Anère MSI. 12, rue Chabanais PARIS E mail : jcrussier@anere.com Site :

Chapitre IV : La Tenue Des Livres Le journal Le grand Livre

2 Grad Info Soir Langage C++ Juin Projet BANQUE

Baccalauréat technologique

Université de Lausanne

MANUEL DES NORMES Audit légal et contractuel

Fonctions pour la France

Audit interne. Audit interne

Gestion de parc informatique - Prise en main

1. LA GESTION DES BASES DE DONNEES RELATIONNELLES

- Le Diagramme de Gantt. - Le Diagramme de Pert - La Méthode QQCQCCP - La Méthode MOSI - Cahier des charges fonctionnel

NORME COMPTABLE RELATIVE AUX OPERATIONS EN DEVISES DANS LES ETABLISSEMENTS BANCAIRES NC 23

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Export vers le format WAV dans ArtemiS SUITE

Sommaire. Avertissement :

CONCEPTION Support de cours n 3 DE BASES DE DONNEES

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

Politique en matière de traitement des demandes d'information et des réclamations

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

GERER SES DOSSIERS PAPIER P INFORMATIQUES (EXTRAIT DES FICHES PRATIQUES DU PIAF)

LA CONDUITE D UNE MISSION D AUDIT INTERNE

Normes pour la pratique professionnelle de l'audit interne

plate-forme mondiale de promotion

Le Web, les réseaux sociaux et votre entreprise. Applaudissons les Visionnaires 2009 de Québec. La génération C et le marché du travail

multi process 25 RUE Benoît Malon ROANNE

MEGA ITSM Accelerator. Guide de démarrage

Annexe sur la maîtrise de la qualité

Fiche méthodologique Rédiger un cahier des charges

CAP BOX Note utilisateurs

CONFÉRENCE EUROPÉENNE DES MINISTRES DES TRANSPORTS EUROPEAN CONFERENCE OF MINISTERS OF TRANSPORT

MEDIAplus elearning. version 6.6

Loi n 9-88 relative aux obligations comptables des commerçants

Manuel technique d audit

NC 06 Norme comptable relative aux Immobilisations incorporelles

Les bases de données Page 1 / 8

Les mises à disposition de personnels ou de matériels

SYSTEME INFORMATIQUE DES DECHETS INDUSTRIELS ET DANGEREUX «SIDID «Sommaire

Université Ibn Zohr Excel Résume de cours

MODE OPERATOIRE OPENOFFICE BASE

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Charte européenne pour la qualité des stages et des apprentissages

Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA

SOMMAIRE. Travailler avec les requêtes... 3

Créer une base de données

VOTRE RÔLE EN TANT QUE TRÉSORIER DE VOTRE ORGANISME

Poste : AGENT AUX ACHATS. Conditions d accès à la profession : Tâches : ACHATS

Annexe A de la norme 110

POLITIQUE RELATIVE À LA PERCEPTION DES REVENUS SPÉCIFIQUES ONGLET 33. Résolution Adoptée 6 mai 2008 CC

Code de bonne conduite relatif à la publicité et à l information sur les assurances-vie individuelles

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

SERVICE PATRIMOINE CONSULTATION POUR DEMANDE DE DEVIS

1. Cliquez sur dans le coin supérieur gauche de l'écran 2. Sélectionnez la Langue de l'interface désirée 3. Cliquez sur

MODIFICATIONS DES PRINCIPES DIRECTEURS CONCERNANT LA RÉDACTION DES DÉFINITIONS RELATIVES AU CLASSEMENT

CONTRÔLES D'ACCÈS PHYSIQUE AUTOMATISÉS

LA SURVEILLANCE ET LE SUIVI DE L'ENVIRONNEMENT. Pierre Guimont Conseiller en environnement Unité Environnement Division Équipement, Hydro-Québec

Traitement de texte : Quelques rappels de quelques notions de base

L audit Informatique et la Qualité

MDI Chèque de Allégroupe Réclamation

Sage Start Saisie des collaborateurs Instructions. A partir de la version

1 la loi: la loi du 4 août 1996 relative au bien-être des travailleurs lors de l'exécution de leur travail;

Dessiner dans Galaad FRANÇOIS PALLUT

REGLES DE CERTIFICATION MARQUE NF REACTION AU FEU MANCHONS ET PLAQUES D ISOLATION THERMIQUE EN ELASTOMERE EXPANSE PARTIE 4

Spécifications de l'offre Surveillance d'infrastructure à distance

NC 30 Les charges techniques dans les entreprises d assurance et / ou de réassurance

COMPTABILITE. Fait par Christophe Lemaigre. Principes de base

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

Type d'organisation. 2. Décrivez comment le système d'information qui appuie la recherche et les activités de financement est organisé.

Mémo d'utilisation de BD Dico1.6

Document de gestion # 500,209. Perception des revenus spécifiques. Normes et modalités

Page 1. Page 2. Système de gestion de la vérification - HempAge AG - Juin /10 Indice 1. Introduction. 2. Résumé. 3. Des résultats positifs

Après examen par le conseil des ministres réuni le 8 ramadan 1417 (17 janvier 1997),

ORGANISATION DES NATIONS UNIES POUR L EDUCATION, LA SCIENCE ET LA CULTURE CONVENTION SUR LA PROTECTION DU PATRIMOINE CULTUREL SUBAQUATIQUE

UNITE U 6.2 : PROJET TECHNIQUE OBJET DE L'EPREUVE.

LE SUPPLEMENT AU DIPLOME

OBJET : Mise en œuvre du décret n du 26 octobre 2004 relatif à l'exécution des marchés publics par carte d'achat.

NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES

FACTURES : MENTIONS OBLIGATOIRES

Contenus détaillés des habiletés du Profil TIC des étudiants du collégial

COMMISSION SCOLAIRE DE LA BEAUCE-ETCHEMIN

A V I S N Séance du mercredi 1er avril

LibreOffice Calc : introduction aux tableaux croisés dynamiques

En conséquence, toutes les banques qui souhaitent notes de commerce, doit obtenir l'autorisation de la Commission.

Chapitre 10. Architectures des systèmes de gestion de bases de données

claroline classroom online

Introduction : Cadkey

Transcription:

L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts. L'objectif de l'auditeur est de comprendre les méthodes et les systèmes employés au sein de l'organisation, ainsi que les contrôles effectués, en mettant l'accent plus particulièrement sur les procédure de circulation de l'information. Cette compréhension des systèmes sert de base à l'évaluation des flux et contrôles internes, et doit être convenablement matérialisée par des documents normalisés. Il est généralement considéré que le Flow-Chart (Diagramme des Flux) est le meilleur moyen d'illustrer la compréhension des systèmes d'information. Son usage permet en outre d'améliorer l'efficacité et l'homogénéité du groupe d'audit et de permettre une meilleur communication entre les différents auditeurs. Les Objectifs de la technique du Flow-Chart Les principaux objectifs de la technique du Flow-Chart sont de : Donner une illustration de la compréhension des flux informationnels de l'organisation. Cette illustration doit être élaborée de telle sorte que tous les aspects importants du système et des procédures de contrôle interne puissent être facilement identifiés. Servir de base convenable pour confirmer cette compréhension au moyen de tests d'effectivité Les Flow-Charts préparé par les services internes peuvent généralement être acceptés s'il répondent aux objectifs précités. Les Flow-Charts sont préparés sur un document standard réservé à cet effet. Les Flow-Charts doivent être, à chaque audit, mis à jour ; toutefois une nouvelle représentation n'est normalement pas nécessaire à moins que les procédures décrites soient devenues caduques. Si les Flow- Charts nécessitent une correction, une photocopie des anciens Flow-

Charts doit être faite avant les changement afin de conserver une trace permanente des systèmes qui ont été révisés. Le responsable de l'audit désigne les membres de l'équipe d'audit qui doivent les établir. Après avoir préparé un Flow-Chart, la même personne doit normalement tester le valeur de la description du système et évaluer les contrôles qui s'y rapportent (tests d'effectivité). La description des systèmes informationnels dans l'entreprise fait généralement l'objet d'un plan précis et ordonné. Les Flow-Charts sont alors réalisés suivant un ordre logique et collectés dans un document centralisateur. Conditions d'établissement des Flow-Charts Afin d'établir un Flow-Chart avec un maximum d'efficacité, l'approche suivante peut être utilisée : Avoir une compréhension de l'activité dans son ensemble. Définir les types de transactions les plus importants qui composent le système en discutant de celui-ci d'une manière globale avec une personne compétente et concernée. Analyser dans leur intégralité les opérations relatives à chaque type de transactions choisi pour son importance, en interrogeant chaque membre du personnel concerné Si cela est possible, il est préférable de reproduire la chaîne d'opérations (circulation) directement sous la forme de Flow- Charts plutôt que sous forme narrative et d'éviter les détails superflus. Il n'est pas aisé de préparer un Flow-Chart qui couvre une chaîne d'opérations (cycle) dans la totalité, exception faite des systèmes simplifiés de comptabilité. Par exemple, dans le cycle des dépenses, on fait souvent des Flow-Charts séparés pour l'achat des services (achat de formations, par exemple), pour l'achat de marchandises (fournitures pour la formation,

classeurs, crayons, etc... ) ou pour les salaires. De plus, si les principaux types de transaction représentent effectivement des systèmes comptables différents, il peut être nécessaire de préparer alors des séries de Flow-Charts complètement distinctes (par exemple, pour les temps de travail imputés sur le système de production, pour la détermination des coûts de production, ou dans le système comptable pour le paiement des salaires). Les Flow-Charts ne sont pas nécessaires dans les cas suivants : Si les services ont des Flow-Charts ou des notes répondant aux objectifs décrits auparavant ; Si le système d'information est en profonde modification (la description doit alors être reportée) Les outils du Flow-Chart L'établissement d'un diagramme représentatif des flux informationnels suppose l'emploi d'une table de symboles et le choix d'un type de présentation. S'agissant des symboles, il n'existe pas de tables universelles standardisées, mais un certain nombre de conventions existent tacitement. Ce symbole traduit l'apparition d'un document dans un service. Il sera donc utilisé tout spécialement en début du diagramme. La flèche est numérotée : N 1 pour la première utilisation du symbole, N 2 pour la deuxième utilisation, etc... b Cette flèche symbolise la circulation physique d'un document formalisé. " Contrairement à la précédente, cette flèche n'implique pas la circulation d'un document, mais simplement la circulation d'une information (non formalisée, ou orale).

* Ce symbole traduit une interruption dans le circuit de circulation de l'information. Employé seul, il indique la fin du processus, dans les autres cas, il opérera un renvoi ou donnera une explication. Si ce signe marque la sortie d'un document vers l'extérieur de l'entreprise, ou vers un autre service, la destination sera indiquée à l'extrémité d'un symbole. @ D Création d'un document, la désignation du document figurera à l'intérieur du symbole. On symbolisera les liasses de document avec ce type de symbole B et en numérotant les documents (de 1 à 3 si il y a trois documents par exemple) Document, Un document photocopié est représenté de manière identique, mais en pointillé. (même remarque que précédemment). 9 Dossier ou registre Réunion de document ˆ Destruction de document Séparation de document. L'utilisation de ces trois derniers symboles, pour être explicite, doit faire apparaître clairement les documents visés. Il importe donc que les documents visés puissent être reliés directement au symbole adéquat. è Classement provisoire ç Classement définitif (C : Chronologique, A : Alphabétique, N : Numérique, I : Stockage informatisé). R Prise d'information sur un document

O Alternative. Indiquer la condition a l'intérieur du losange et les deux flux sortants issus de la réponse. A Visa ou signature d'un document Q Contrôle effectué par l'organisation, si ce signe indique que l'on cesse de suivre tel ou document sur le diagramme, on devra savoir pourquoi. Deux cas peuvent se produire. Soit le document ne présente plus d'intérêt pour le contrôle interne ; on fera un renvoi à une note justifiant son abandon. Soit la suite de la procédure est décrite dans un autre diagramme et dans ce cas on opérera là encore un renvoi vers ce diagramme. Les symboles qui ne sont pas standards aussi bien que les abréviations inhabituelles doivent être évités. Une description de la nature des documents doit être indiquée à l'intérieur des symboles présentés, de plus un lexique des symboles utilisés doit toujours être joint au document. Principes et techniques d'établissement des Flow- Charts Les principales bases de la techniques du Flow-Chart sont les suivantes : Une ligne verticale sera utilisée comme support flux des documents pour chaque chaîne d'opération intra-service et une ligne horizontale pour indiquer le passage d'un service à l'autre. Les lignes de flux Tous les systèmes informationnels sont parcourus par un ou des flux de transactions (par exemple, dans le système de formation, le départ peut être donné par une demande de formation, puis le flux principal est représenté, tour à tour, par une confirmation d'inscription, une convocation à formation, des fiches de présence, une évaluation de la

formation, la mise à jour des informations du système informatique, etc.). Les Flow-Charts doivent être représentés par une chaîne d'opération continue, commençant avec l'autorisation pour les principaux types de transaction et finissant avec leur validation. La ligne de flux peut représenter plus d'un document si une série de documents passe conjointement à travers le système (par exemple s'il y a plusieurs exemplaires d'un document ou, dans un système d'achat, si la facture, le bon de réception et la commande servent de base au paiement). Si la ligne de flux passe d'une page à l'autre, elle doit être référencée au bas de la première page et en haut de la seconde en utilisant le numéro des pages correspondantes. Séparation des services ou départements Afin d'évaluer le contrôle interne, il est important que la séparation des tâches apparaisse clairement dans les Flow-Charts. Ceci est fait en traçant une ligne horizontale à travers toute la page quand la ligne de flux passe d'un service à l'autre. Pour cela, un service peut se définir comme étant une personne, un groupe de personnes aux activités liées à l'intérieur d'un département ou un même département dans son ensemble. Le nom du service ainsi que le nom de la personne responsable doit être indiqué en haut et à droite du Flow-Chart juste en dessous de la ligne horizontale. Détail et utilisation des commentaires. Toutes les opérations qui ont un caractère financier ou de contrôle doivent être effectuées séparément. Cependant afin de ne pas surcharger trop le Flow-Chart, il est prévu les exceptions suivantes :

Quand une transaction concerne une réception, une création ou une distribution de documents, il suffit de montrer le symbole de document concerné ; Quand un document est classée temporairement, le symbole correspondant est choisi ; Au niveau d'une décision à prendre (Oui/Non), le symbole en losange est utilisé. Chaque opération sur le Flow-Chart, est accompagnée d'un commentaire, dans la colonne prévue à cet effet dès que cela peut faciliter la compréhension de la nature de la transaction et des contrôles y afférent. Si besoin est, le commentaire précisera les niveaux de responsabilité des acteurs concernés, la façon dont les contrôles sont matérialisés et la fréquence de ces opérations (par exemple : Contrôle hebdomadaire). Numérotation Afin de faciliter les références entre les documents du dossier, le système de numérotation suivant doit être utilisé. Un numéro différent est attribué à chaque Flow-Chart ; permettant en cela de lier des Flow-Charts entre eux. Chaque opération doit être numérotée dans la colonne prévue a cet effet. Elle sont numérotées l'une après l'autre, telles qu'elles apparaissent dans le système. Une nouvelle série de numéros commence pour chaque Flow-Charts dès la première opération effectuée. Quand une opération est décrite d'une manière narrative ou dans un Flow-Chart auxiliaire, un numéro lui sera également attribué. En pareil cas, deux traits parallèles, en biais, sont tracés dans la colonne de numérotation et le numéro de l'opération est inscrit entre deux lignes. Création de documents

Quand un document est crée, celui-ci est illustré par le symbole correspondant et accompagne d'un numéro d'opération et d'un commentaire. Le nouveau symbole est chevauché en partie par les symboles représentant les autres documents de la transaction. Un autre numéro n'est pas nécessaire, puisque l'apparition du nouveau document constitue l'opération elle même. Choix d'un type de représentation S'agissant de la présentation d'un Flow-Chart, deux modèles de base sont généralement retenus : Le Flow-Chart (ou Diagramme des Flux) Vertical et le Flow-Chart Horizontal. Le diagramme vertical Principe : A l'aide des symboles décrits précédemment, le flux des opérations analysées sera transcrit sur des feuilles se présentant ainsi : Service : Rédacteur : Flow-Chart: Date : Description narrative Opération N Description graphique Les renseignements figurant dans le cartouche permettent d'identifier le service et le flux d'opérations analysées, de connaître la date d'établissement du diagramme et le nom du collaborateur qui a exécuté le travail.

Dans le corps de l'imprimé, on trouve trois éléments : La description narrative : cette colonne, loin de jouer un rôle accessoire, sert à donner d'une part les détails qui alourdiraient par trop la description graphique et d'autre part les explications dont la représentation pose un problème technique. La désignation de l'opération par ordre numérique : cette identification permet de faire référence de manière précise aux opérations visées lors de l'examen des faiblesses de contrôle interne. La description graphique : c'est l'élément central du diagramme vertical. On y portera que des renseignements écrits sommaires, les autres étants portés dans la première colonne. Fonctionnement du diagramme : Comme le suggère son appellation, ce type de diagramme se caractérise par le fait que l'on passe d'un service à l'autre verticalement. Il en résulte que l'on ne peut suivre d'un bout à l'autre qu'une seule ligne de flux. EXEMPLE : ON SUPPOSE QUE DEUX DOCUMENTS SE SEPARENT ET SUIVENT DES CIRCUITS AUTONOMES DANS DES SERVICES DIFFERENTS. LE PRINCIPE MEME DU DIAGRAMME VERTICAL CONDUIT A TRAITER D'ABORD LE CIRCUIT SUIVI PAR L'UN, PUIS CELUI SUIVI PAR L'AUTRE. CE CHOIX DOIT ETRE FAIT DES QUE LES DOCUMENTS PARTENT DANS DES SERVICES DIFFERENTS. Dans la colonne "Description Graphique", une ligne de séparation horizontale sera tirée chaque fois que l'on changera de service. Si plusieurs opérations se déroulent dans le même service, aucune séparation ne sera effectuée. On peut noter que par service, nous désignerons soit une personne ou un ensemble de personnes, soit un département. Cela dépendra de la structure et de la nature de la société et de la nature de l'opération analysée.

ATTENTION : Il faut toujours insister sur la chronologie de la ligne de flux. Il ne peut être question de regrouper la description d'opérations qui se déroulent dans un même service, au détriment de la chronologie. De plus la verticalité du diagramme peut induire des difficultés dans deux cas précis : Un document pourra ne pas être utilisé momentanément dans un service. Dans ce cas il convient de rappeler son existence au moment ou il réapparaît. Il arrive également qu'une opération soit trop compliquée pour figurer dans le diagramme. L'opération sera donc découpée et éclatée sur d'autres documents (alors référencés dans le diagramme des flux) Une fois les diagrammes réalisés, des fiches de points de contrôle seront créées. Ces fiches expliquent les principaux points de contrôle du dispositif analysé. Le classement de ces fiche correspondra à la numérotation qui figure dans le cercle symbolisant son point de contrôle.

Le Diagramme Horizontal Principe : Le flux des informations et opérations est transcrit sur un imprimé de grand format. Ce document se présente généralement de la manière suivante : Rédacteur : Diagramme : Date : commentaires Service A Service B Service C Service N Cet imprimé est divisé en colonnes permettant de faire circuler les documents entre personnes, groupes de personnes ou département. Remarque : Au delà de 6 colonnes le document devient difficilement exploitable. L'expérience, qui s'acquiert relativement rapidement, permet à l'auditeur de choisir l'emplacement des services intervenant dans le flux des opérations analysées de manière à rendre le diagramme intelligible. (Il faut éviter les croisements de flux). Comme dans le Flow-Chart vertical, la ligne de flux se déroule chronologiquement, le passage d'un service à l'autre se faisant horizontalement, dès lors, et contrairement au Flow-Chart vertical, il est possible de dessiner simultanément autant de lignes de flux que de documents ou de groupes de documents circulant de manière autonome.

Les méthodes de rédaction des Flow-Charts et des fiches de contrôle horizontaux sont similaires à celles utilisées dans les Flow-Charts verticaux.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back