12
L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts. L'objectif de l'auditeur est de comprendre les méthodes et les systèmes employés au sein de l'organisation, ainsi que les contrôles effectués, en mettant l'accent plus particulièrement sur les procédure de circulation de l'information. Cette compréhension des systèmes sert de base à l'évaluation des flux et contrôles internes, et doit être convenablement matérialisée par des documents normalisés. Il est généralement considéré que le Flow-Chart (Diagramme des Flux) est le meilleur moyen d'illustrer la compréhension des systèmes d'information. Son usage permet en outre d'améliorer l'efficacité et l'homogénéité du groupe d'audit et de permettre une meilleur communication entre les différents auditeurs. Les Objectifs de la technique du Flow-Chart Les principaux objectifs de la technique du Flow-Chart sont de : Donner une illustration de la compréhension des flux informationnels de l'organisation. Cette illustration doit être élaborée de telle sorte que tous les aspects importants du système et des procédures de contrôle interne puissent être facilement identifiés. Servir de base convenable pour confirmer cette compréhension au moyen de tests d'effectivité Les Flow-Charts préparé par les services internes peuvent généralement être acceptés s'il répondent aux objectifs précités. Les Flow-Charts sont préparés sur un document standard réservé à cet effet. Les Flow-Charts doivent être, à chaque audit, mis à jour ; toutefois une nouvelle représentation n'est normalement pas nécessaire à moins que les procédures décrites soient devenues caduques. Si les Flow- Charts nécessitent une correction, une photocopie des anciens Flow-

L'audit des systèmes d'informations - Une méthode ... · L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts. L'objectif de l'auditeur

  • Upload
    ngonhan

  • View
    213

  • Download
    0

Embed Size (px)

Citation preview

Page 1: L'audit des systèmes d'informations - Une méthode ... · L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts. L'objectif de l'auditeur

L'audit des systèmes d'informations - Une méthodeformalisée, la technique des Flow-Charts.

L'objectif de l'auditeur est de comprendre les méthodes et lessystèmes employés au sein de l'organisation, ainsi que les contrôleseffectués, en mettant l'accent plus particulièrement sur les procédure decirculation de l'information. Cette compréhension des systèmes sert debase à l'évaluation des flux et contrôles internes, et doit êtreconvenablement matérialisée par des documents normalisés.

Il est généralement considéré que le Flow-Chart (Diagramme desFlux) est le meilleur moyen d'illustrer la compréhension des systèmesd'information. Son usage permet en outre d'améliorer l'efficacité etl'homogénéité du groupe d'audit et de permettre une meilleurcommunication entre les différents auditeurs.

Les Objectifs de la technique du Flow-Chart

Les principaux objectifs de la technique du Flow-Chart sont de :

• Donner une illustration de la compréhension des fluxinformationnels de l'organisation. Cette illustration doit êtreélaborée de telle sorte que tous les aspects importants dusystème et des procédures de contrôle interne puissent êtrefacilement identifiés.

• Servir de base convenable pour confirmer cettecompréhension au moyen de tests d'effectivité

Les Flow-Charts préparé par les services internes peuventgénéralement être acceptés s'il répondent aux objectifs précités.

Les Flow-Charts sont préparés sur un document standard réservé àcet effet. Les Flow-Charts doivent être, à chaque audit, mis à jour ;toutefois une nouvelle représentation n'est normalement pas nécessaire àmoins que les procédures décrites soient devenues caduques. Si les Flow-Charts nécessitent une correction, une photocopie des anciens Flow-

Page 2: L'audit des systèmes d'informations - Une méthode ... · L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts. L'objectif de l'auditeur

Charts doit être faite avant les changement afin de conserver une tracepermanente des systèmes qui ont été révisés.

Le responsable de l'audit désigne les membres de l'équipe d'auditqui doivent les établir. Après avoir préparé un Flow-Chart, la mêmepersonne doit normalement tester le valeur de la description du systèmeet évaluer les contrôles qui s'y rapportent (tests d'effectivité).

La description des systèmes informationnels dans l'entreprise faitgénéralement l'objet d'un plan précis et ordonné. Les Flow-Charts sontalors réalisés suivant un ordre logique et collectés dans un documentcentralisateur.

Conditions d'établissement des Flow-Charts

• Afin d'établir un Flow-Chart avec un maximum d'efficacité,l'approche suivante peut être utilisée :

• Avoir une compréhension de l'activité dans son ensemble.

• Définir les types de transactions les plus importants quicomposent le système en discutant de celui-ci d'une manièreglobale avec une personne compétente et concernée.

• Analyser dans leur intégralité les opérations relatives à chaquetype de transactions choisi pour son importance, eninterrogeant chaque membre du personnel concerné

• Si cela est possible, il est préférable de reproduire la chaîned'opérations (circulation) directement sous la forme de Flow-Charts plutôt que sous forme narrative et d'éviter les détailssuperflus.

• Il n'est pas aisé de préparer un Flow-Chart qui couvre unechaîne d'opérations (cycle) dans la totalité, exception faitedes systèmes simplifiés de comptabilité. Par exemple, dans lecycle des dépenses, on fait souvent des Flow-Charts séparéspour l'achat des services (achat de formations, par exemple),pour l'achat de marchandises (fournitures pour la formation,

Page 3: L'audit des systèmes d'informations - Une méthode ... · L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts. L'objectif de l'auditeur

classeurs, crayons, etc ... ) ou pour les salaires. De plus, si lesprincipaux types de transaction représentent effectivementdes systèmes comptables différents, il peut être nécessaire depréparer alors des séries de Flow-Charts complètementdistinctes (par exemple, pour les temps de travail imputés surle système de production, pour la détermination des coûts deproduction, ou dans le système comptable pour le paiementdes salaires).

Les Flow-Charts ne sont pas nécessaires dans les cas suivants :

• Si les services ont des Flow-Charts ou des notes répondant auxobjectifs décrits auparavant ;

• Si le système d'information est en profonde modification (ladescription doit alors être reportée)

Les outils du Flow-Chart

L'établissement d'un diagramme représentatif des fluxinformationnels suppose l'emploi d'une table de symboles et le choix d'untype de présentation.

S'agissant des symboles, il n'existe pas de tables universellesstandardisées, mais un certain nombre de conventions existenttacitement.

zz Ce symbole traduit l'apparition d'un document dans un service.Il sera donc utilisé tout spécialement en début du diagramme.La flèche est numérotée : N° 1 pour la première utilisation dusymbole, N° 2 pour la deuxième utilisation, etc ...

b Cette flèche symbolise la circulation physique d'un documentformalisé.

" Contrairement à la précédente, cette flèche n'implique pas lacirculation d'un document, mais simplement la circulation d'uneinformation (non formalisée, ou orale).

Page 4: L'audit des systèmes d'informations - Une méthode ... · L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts. L'objectif de l'auditeur

* Ce symbole traduit une interruption dans le circuit decirculation de l'information. Employé seul, il indique la fin duprocessus, dans les autres cas, il opérera un renvoi ou donneraune explication. Si ce signe marque la sortie d'un documentvers l'extérieur de l'entreprise, ou vers un autre service, ladestination sera indiquée à l'extrémité d'un symbole.

@ Création d'un document, la désignation du document figurera à

l'intérieur du symbole. On symbolisera les liasses de documentavec ce type de symbole B et en numérotant les documents(de 1 à 3 si il y a trois documents par exemple)

D Document, Un document photocopié est représenté de

manière identique, mais en pointillé. (même remarque queprécédemment).

9 Dossier ou registre

• Réunion de document

ˆ Destruction de document

´ Séparation de document. L'utilisation de ces trois dernierssymboles, pour être explicite, doit faire apparaître clairementles documents visés. Il importe donc que les documents viséspuissent être reliés directement au symbole adéquat.

è Classement provisoire

ç Classement définitif (C : Chronologique, A : Alphabétique, N :Numérique, I : Stockage informatisé).

R Prise d'information sur un document

Page 5: L'audit des systèmes d'informations - Une méthode ... · L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts. L'objectif de l'auditeur

O Alternative. Indiquer la condition a l'intérieur du losange et lesdeux flux sortants issus de la réponse.

A‹ Visa ou signature d'un document

Q Contrôle effectué par l'organisation, si ce signe indique quel'on cesse de suivre tel ou document sur le diagramme, ondevra savoir pourquoi. Deux cas peuvent se produire. Soit ledocument ne présente plus d'intérêt pour le contrôle interne ;on fera un renvoi à une note justifiant son abandon. Soit lasuite de la procédure est décrite dans un autre diagramme etdans ce cas on opérera là encore un renvoi vers ce diagramme.

Les symboles qui ne sont pas standards aussi bien que lesabréviations inhabituelles doivent être évités. Une description de lanature des documents doit être indiquée à l'intérieur des symbolesprésentés, de plus un lexique des symboles utilisés doit toujours êtrejoint au document.

Principes et techniques d'établissement des Flow-Charts

Les principales bases de la techniques du Flow-Chart sont lessuivantes : Une ligne verticale sera utilisée comme support flux desdocuments pour chaque chaîne d'opération intra-service et une lignehorizontale pour indiquer le passage d'un service à l'autre.

Les lignes de flux

Tous les systèmes informationnels sont parcourus par un ou des fluxde transactions (par exemple, dans le système de formation, le départpeut être donné par une demande de formation, puis le flux principal estreprésenté , tour à tour, par une confirmation d'inscription, uneconvocation à formation, des fiches de présence, une évaluation de la

Page 6: L'audit des systèmes d'informations - Une méthode ... · L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts. L'objectif de l'auditeur

formation, la mise à jour des informations du système informatique, etc.).

Les Flow-Charts doivent être représentés par une chaîned'opération continue, commençant avec l'autorisation pour les principauxtypes de transaction et finissant avec leur validation.

La ligne de flux peut représenter plus d'un document si une série dedocuments passe conjointement à travers le système (par exemple s'il y aplusieurs exemplaires d'un document ou, dans un système d'achat, si lafacture, le bon de réception et la commande servent de base aupaiement).

Si la ligne de flux passe d'une page à l'autre, elle doit êtreréférencée au bas de la première page et en haut de la seconde enutilisant le numéro des pages correspondantes.

Séparation des services ou départements

Afin d'évaluer le contrôle interne, il est important que la séparationdes tâches apparaisse clairement dans les Flow-Charts. Ceci est fait entraçant une ligne horizontale à travers toute la page quand la ligne de fluxpasse d'un service à l'autre. Pour cela, un service peut se définir commeétant une personne, un groupe de personnes aux activités liées àl'intérieur d'un département ou un même département dans sonensemble.

Le nom du service ainsi que le nom de la personne responsable doitêtre indiqué en haut et à droite du Flow-Chart juste en dessous de laligne horizontale.

Détail et utilisation des commentaires.

Toutes les opérations qui ont un caractère financier ou de contrôledoivent être effectuées séparément. Cependant afin de ne passurcharger trop le Flow-Chart, il est prévu les exceptions suivantes :

Page 7: L'audit des systèmes d'informations - Une méthode ... · L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts. L'objectif de l'auditeur

• Quand une transaction concerne une réception, une créationou une distribution de documents, il suffit de montrer lesymbole de document concerné ;

• Quand un document est classée temporairement, le symbolecorrespondant est choisi ;

• Au niveau d'une décision à prendre (Oui/Non), le symbole enlosange est utilisé.

Chaque opération sur le Flow-Chart, est accompagnée d'uncommentaire, dans la colonne prévue à cet effet dès que cela peutfaciliter la compréhension de la nature de la transaction et des contrôlesy afférent. Si besoin est, le commentaire précisera les niveaux deresponsabilité des acteurs concernés, la façon dont les contrôles sontmatérialisés et la fréquence de ces opérations (par exemple : Contrôlehebdomadaire).

Numérotation

Afin de faciliter les références entre les documents du dossier, lesystème de numérotation suivant doit être utilisé.

Un numéro différent est attribué à chaque Flow-Chart ; permettanten cela de lier des Flow-Charts entre eux.

Chaque opération doit être numérotée dans la colonne prévue a ceteffet. Elle sont numérotées l'une après l'autre, telles qu'elles apparaissentdans le système. Une nouvelle série de numéros commence pour chaqueFlow-Charts dès la première opération effectuée.

Quand une opération est décrite d'une manière narrative ou dans unFlow-Chart auxiliaire, un numéro lui sera également attribué. En pareilcas, deux traits parallèles, en biais, sont tracés dans la colonne denumérotation et le numéro de l'opération est inscrit entre deux lignes.

Création de documents

Page 8: L'audit des systèmes d'informations - Une méthode ... · L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts. L'objectif de l'auditeur

Quand un document est crée, celui-ci est illustré par le symbolecorrespondant et accompagne d'un numéro d'opération et d'uncommentaire. Le nouveau symbole est chevauché en partie par lessymboles représentant les autres documents de la transaction. Un autrenuméro n'est pas nécessaire, puisque l'apparition du nouveau documentconstitue l'opération elle même.

Choix d'un type de représentation

S'agissant de la présentation d'un Flow-Chart, deux modèles de basesont généralement retenus : Le Flow-Chart (ou Diagramme des Flux)Vertical et le Flow-Chart Horizontal.

Le diagramme vertical

Principe : A l'aide des symboles décrits précédemment, le flux desopérations analysées sera transcrit sur des feuilles se présentant ainsi :

Service : Rédacteur :Flow-Chart: Date :

Descriptionnarrative

Opération N° Descriptiongraphique

Les renseignements figurant dans le cartouche permettentd'identifier le service et le flux d'opérations analysées, de connaître ladate d'établissement du diagramme et le nom du collaborateur qui aexécuté le travail.

Page 9: L'audit des systèmes d'informations - Une méthode ... · L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts. L'objectif de l'auditeur

Dans le corps de l'imprimé, on trouve trois éléments :

• La description narrative : cette colonne, loin de jouer un rôleaccessoire, sert à donner d'une part les détails quialourdiraient par trop la description graphique et d'autre partles explications dont la représentation pose un problèmetechnique.

• La désignation de l'opération par ordre numérique : cetteidentification permet de faire référence de manière préciseaux opérations visées lors de l'examen des faiblesses decontrôle interne.

• La description graphique : c'est l'élément central dudiagramme vertical. On y portera que des renseignementsécrits sommaires, les autres étants portés dans la premièrecolonne.

Fonctionnement du diagramme : Comme le suggère son appellation,ce type de diagramme se caractérise par le fait que l'on passe d'unservice à l'autre verticalement.

Il en résulte que l'on ne peut suivre d'un bout à l'autre qu'une seuleligne de flux.

EXEMPLE : ON SUPPOSE QUE DEUX DOCUMENTS SE SEPARENT ET SUIVENT DES CIRCUITSAUTONOMES DANS DES SERVICES DIFFERENTS. LE PRINCIPE MEME DU DIAGRAMMEVERTICAL CONDUIT A TRAITER D'ABORD LE CIRCUIT SUIVI PAR L'UN, PUIS CELUI SUIVIPAR L'AUTRE. CE CHOIX DOIT ETRE FAIT DES QUE LES DOCUMENTS PARTENT DANS DESSERVICES DIFFERENTS.

Dans la colonne "Description Graphique", une ligne de séparationhorizontale sera tirée chaque fois que l'on changera de service. Siplusieurs opérations se déroulent dans le même service, aucuneséparation ne sera effectuée. On peut noter que par service, nousdésignerons soit une personne ou un ensemble de personnes, soit undépartement. Cela dépendra de la structure et de la nature de la sociétéet de la nature de l'opération analysée.

Page 10: L'audit des systèmes d'informations - Une méthode ... · L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts. L'objectif de l'auditeur

ATTENTION : Il faut toujours insister sur la chronologie de la ligne deflux. Il ne peut être question de regrouper la description d'opérations quise déroulent dans un même service, au détriment de la chronologie.

De plus la verticalité du diagramme peut induire des difficultés dansdeux cas précis : Un document pourra ne pas être utilisé momentanémentdans un service. Dans ce cas il convient de rappeler son existence aumoment ou il réapparaît. Il arrive également qu'une opération soit tropcompliquée pour figurer dans le diagramme. L'opération sera doncdécoupée et éclatée sur d'autres documents (alors référencés dans lediagramme des flux)

Une fois les diagrammes réalisés, des fiches de points de contrôleseront créées. Ces fiches expliquent les principaux points de contrôle dudispositif analysé. Le classement de ces fiche correspondra à lanumérotation qui figure dans le cercle symbolisant son point de contrôle.

Page 11: L'audit des systèmes d'informations - Une méthode ... · L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts. L'objectif de l'auditeur

Le Diagramme Horizontal

Principe : Le flux des informations et opérations est transcrit sur unimprimé de grand format. Ce document se présente généralement de lamanière suivante :

Rédacteur :Diagramme :Date :

commentaires Service A Service B Service C Service N

Cet imprimé est divisé en colonnes permettant de faire circuler lesdocuments entre personnes, groupes de personnes ou département.Remarque : Au delà de 6 colonnes le document devient difficilementexploitable.

L'expérience, qui s'acquiert relativement rapidement, permet àl'auditeur de choisir l'emplacement des services intervenant dans le fluxdes opérations analysées de manière à rendre le diagramme intelligible.(Il faut éviter les croisements de flux).

Comme dans le Flow-Chart vertical, la ligne de flux se déroulechronologiquement, le passage d'un service à l'autre se faisanthorizontalement, dès lors, et contrairement au Flow-Chart vertical, il estpossible de dessiner simultanément autant de lignes de flux que dedocuments ou de groupes de documents circulant de manière autonome.

Page 12: L'audit des systèmes d'informations - Une méthode ... · L'audit des systèmes d'informations - Une méthode formalisée, la technique des Flow-Charts. L'objectif de l'auditeur

Les méthodes de rédaction des Flow-Charts et des fiches decontrôle horizontaux sont similaires à celles utilisées dans les Flow-Chartsverticaux.