vendredi 13 mars 2009 Palais Brongniart - …©sentation... · >> Le contrôle interne du système d’information des organisations 13 mars 2009 Agenda Introduction Le contrôle

Palais Brongniart

C O L L O Q U E

Le contrôle interne du systèmed’information des organisationsvendredi 13 mars 2009

>> Le contrôle interne du système d’information des organisations13 mars 2009

Agenda

IntroductionLe contrôle interne du système d’information de l’entreprise Le contrôle interne de la DSISynthèse


Contrôle interne : verbatim (1/2)

« Les failles du contrôle interne portent indéniablement leur part de responsabilité dans la crise actuelle »

« Le contrôle interne, que l’on pensait bien installé au sein des établissements bancaires, a montré au cours de la période récente des signes de grande faiblesse »

« L’inefficacité de la gouvernance des entreprises apparaît comme l’un des thèmes clés ayant facilité le développement de cette crise »

« La crise a révélé des insuffisances dans les systèmes de gestion du risqueet de gouvernance d’entreprise »

« D’une manière générale, il a manqué une supervision appropriée »

« Faut-il pour autant abandonner l’idée que la réglementation gagne en efficacité lorsqu’elle est étroitement articulée au contrôle interne ? »

« Il convient de repenser l’articulation entre régulation et surveillance »


Contrôle interne : verbatim (2/2)

« L’objectif n’est pas de créer de la régulation, mais d’améliorer la confiance envers nos entreprises »

« Une responsabilité croissante est transférée à l’entreprise, avec un impact direct sur sa gestion et sa façon de conduire ses affaires »

« Le développement du contrôle interne s’explique à la fois par la nécessité pour les banques de faire face à un environnement financier plus large et plus instable, et par la volonté des dirigeants de ne pas perdre le contrôle du contrôle »

« C’est la culture du contrôle et de la prudence qu’il paraît urgent d’approfondir au sein des établissements bancaires et financiers »

« Trop de contrôle tue le contrôle : un trop plein de procédures pousse les salariés à les contourner »

« Contrôle interne : quand la qualité des données rime avec création de valeur »


Contrôle Interne : Du Cadre de Référence AMF au Guide Opérationnel Cigref/IfaciCadre de Référence AMF Charte Cigref/Ifaci Le Contrôle Interne du

SI : Guide opérationnel Cigref/Ifaci

2007Janvier

2007Octobre

2009Mars


Les recommandations du Cadre de Référence AMF pour mettre sous contrôle les composantes de l’outil de production de l’information comptable

Une organisation claire et formaliséeDes dispositifs de sécurité physique/logique des systèmes et des donnéesDes applications bâties avec une exigence de sécurité, disponibilité, fiabilité et pertinence de l’informationDes règles d’accès, de validation des traitements/contrôles, de conservation des données et de vérification des enregistrementsDes procédures et des contrôles de qualité/sécurité de l’exploitation, de la maintenance, du développement ou du paramétrage des systèmes et des interfacesDes contrôles clés (bloquants, seuils d’alerte, limitation d’accès, rapprochements automatiques…)Une évolution en ligne avec les besoins de l’entrepriseUne réponse aux exigences de l’administration fiscale (comptabilités informatisées, description des règles de gestion des données et fichiers)


La charte CIGREF/IFACI

Fait suite au Cadre de Référence AMF et à son guide d’application relatif au contrôle interne de l’information comptable et financière, dont l’Autorité des Marchés Financiers recommande l’utilisation aux sociétés cotées

L’accord de partenariat entre le CIGREF et l’IFACI vise à convaincre les dirigeants des enjeux du contrôle interne et de la maîtrise des Systèmes d’Information au sein de l’entreprise ou de toute organisation des secteurs privé et public

Le CIGREF et l’IFACI ont décidé d’unir leurs compétences et leurs efforts pour apporter, ensemble, plus de valeur ajoutée à l’entreprise


Objectifs de l’étude CIGREF/IFACI

Sensibiliser les Directeurs Généraux, Directeurs des Systèmes d’Information, Directeurs Audit et Contrôle, Directeurs Métiers, Consultants…

Enrichir la dimension SI du cadre AMF et mieux le relier aux référentiels existants

Elaborer un guide d’application relatif au contrôle interne des systèmes d’information, incluant des listes de bonnes pratiques

Aider les fonctions SI et Audit à mieux collaborer pour renforcer l’efficacité du contrôle interne de l’entreprise

Avoir une approche sélective et réaliste des risques


Le contrôle interne du système d’information : deux parties distinctes et complémentaires


Typologie des points de contrôle


Les acteurs du risque (RACI)


Agenda

IntroductionLe contrôle interne du système d’information de l’entreprise Le contrôle interne de la DSISynthèse


Chaîne de valeur de l’entreprise


Les processus de l’entreprise


Les processus de l’entreprise…et le Système d’Information


Les risques de l’entreprise


Démarche des travaux sur le contrôle interne du système d’information de l’entreprise

Une approche par les processus et par les risques

Pour chaque processus, identification des étapes, des acteurs, des risques, et des contrôles à intégrer dés la conception de l’application

Une illustration sur trois processus communs à un grand nombre d’entreprises : Achats, Ventes et Consolidation Financière

Un rapprochement avec le Cadre de Référence AMF


Le guide d’application AMF

Processus

Points de contrôle AMF


Les travaux Cigref/Ifaci


Le contrôle interne lors du développement / déploiement d’une application…quelques points d’attention (1/2)

Réflexion sur les obligations du contrôle interne

Identification des objectifs et activités de contrôle

Gestion des accès logiques (définition des rôles, gestion des habilitations, séparation des tâches)

Spécification des états de contrôle pour améliorer la surveillance des opérations


Le contrôle interne lors du développement / déploiement d’une application…quelques points d’attention (2/2)

Spécification des contrôles « embarqués » bloquants ou non bloquants (sequence check, limit check, range check, validity check, table look-ups, …)

• seuils d’alerte, rapprochements automatiques, contrôles de cohérence, etc…

• Traçabilité d’évènements et de « forçages » (logs)• Batchs de contrôle et équilibrage (comptages, totaux, nombre de

fichiers …)• Définition des contrôles de flux d’entrées et de sorties (interfaces…)• Gestion des erreurs ( fichiers d’erreur et de rejets)

Contrôles généraux IT• Maintenabilité• Respect des standards de développement• Documentation tenue à jour• Jeux d’essai • Traçabilité des recettes• Validations formelles des applications et données par les responsables

métiers…


Processus Achats


Les acteurs du processus Achats


Les Risques des étapes du processus Achats


Achats : Points de contrôle AMF


Rapprochement entre risques et points de contrôle du processus Achats


Rapprochement entre points de contrôle et exemples de contrôle du processus Achats


Détail du processus Achats


Agenda

IntroductionLe contrôle interne du système d’information de l’entrepriseLe contrôle interne de la DSISynthèse


PréambuleExtrait du Colloque du 11/06/2008

Système d’Information et Contrôle Interne : le syndrome du« pompier pyromane » ?

• Le SI est un élément essentiel du dispositif de contrôle interne au sein de l’entreprise

• Le SI (son organisation, ses moyens, ses processus, son efficacité) doit, à son tour, être également pourvu de son propre dispositif de contrôle interne

Les SI sont en forte évolution• Soumis à des contraintes financières et réglementaires plus prégnantes• Attendu par les métiers dont les exigences croissent• Inséré dans un contexte qui se complexifie : technologies, interfaces,

éditeurs, prestataires• Encadré par de nouveaux référentiels de bonnes pratiques : CobIT,

CMMI, ITIL, e-SCMNécessité de progresser sur le référentiel de contrôle interne du SI


Démarche

Principes• Utiliser les référentiels existants

point de départ = COBIT• Identification de 6 processus clés• Produire un livrable concret, utile à la DSI et à

l’audit internePour chacun des processus

• Identification des risques et points de contrôle associés

• Proposition de bonnes pratiques issues de l’expérience et la connaissance des rédacteurs

• Mais chaque entité devra / pourra adapter à son contexte


Les processus sélectionnés… et les autres


Exemple : Projet et Développement, & Maintenance et Gestion du changement (Flowchart 1/3)






Exemple : Gestion des incidents(matrice risques, contrôles, pratiques)


Exemple : Sécurité logique et Gestion des accès (RACI)


Agenda

IntroductionLe contrôle interne du système d’information de l’entrepriseLe contrôle interne de la DSISynthèse


En guise de synthèse

Achats

Contrôle Interne du SI

Contrôle Interne de l’Entreprise

Métiers IT (COBIT)

Ventes

Consolidation

Compétences

Projets

Maintenance &Changements

Incidents

Sécurité logique& Accès

Sous-traitance

Livrable

• Démarche

• Cartographie processus

• Processus• Etapes• Acteurs/RACI• Flow-chart• Risques• Exemples de contrôles• Bonnes pratiques

Périmètre

Processus de l’entreprise


Rappel : Pourquoi ce travail ?Extraits de la préface

Sensibilisation des dirigeants au enjeuxET fourniture de pistes opérationnelles aux praticiensAdaptation du cadre de référence de l’AMF (au SI)Organisations publiques et privéesRôle du système d’information

• Protection de l’information• Sincérité des opérations• Vitesse d’exécution excellence opérationnelle

Rôle du Contrôle Interne• Maîtrise des activités d’une organisation• Efficacité des opérations• Prise en compte des risques significatifs

SI = Objet et moyen du contrôle interne


5 principes du contrôle interne

1. Le management doit instaurer une culture et une dynamique du contrôle

2. Le contrôle interne doit être intégré dans les processus de l’entreprise

3. Les systèmes d’information jouent un rôle clé

4. Un principe de proportionnalité et granularité doit s’appliquer

5. Il faut être conscient de la non-exhaustivité et des limites du dispositif de contrôle


Remerciements aux contributeurs

• AGF• Alcatel-Lucent• AXA• Banque de France• Banque Postale• DCNS• EDF• France Telecom• Gdf Suez

• Les Mousquetaires• L’Oréal• Nexans• La Poste• Renault• Rhodia• Sanofi-Aventis• Saint Gobain• SCOR• Total

…et les permanents du Cigref et de l’Ifaci

Documents

vendredi 13 mars 2009 Palais Brongniart - …©sentation... · >> Le contrôle interne du système d’information des organisations 13 mars 2009 Agenda Introduction Le contrôle