Une mission d’audit part d’une lettre de mission fixant le périmètre de l’audit et les responsabilités attribuées. Ensuite, l’auditeur doit construire un référentiel d’audit qui établira une transparence totale entre la mission confiée et les investigations à mener. Le référentiel Cobit est utilisé comme une base solide de points de contrôles, il permet de sélectionner les processus critiques et de les évaluer. Enfin, Cobit permet à des auditeurs non informaticiens de mener de façon professionnelle des audits informatiques intégrés aux audits généraux. Les objectifs de contrôle de Cobit constituent une excellente base pour préparer un référentiel d’audit. Il suffit au cas par cas de les étoffer de tests détaillés en fonction de la spécificité du périmètre à auditer. Ils sont parfois décrits dans des publications spécialisées publiées par l’Isaca : auditer une conformité à la loi Sarbanes-Oxley, ou la sécurité, par exemple.

Trois étapes pour structurer un référentiel d’audit

Agrandir l'image

Légende : Le formalisme d’un référentiel d’audit nécessite de procéder par étape et de préciser les objectifs de contrôle lesquels sont ensuite détaillés. La mission d’audit proprement dite se déroule en général en trois phases : • l’étude préliminaire, qui comprend la prise de connaissance de l’entité à contrôler, le dépistage des risques et l’orientation de la mission ; • la réalisation de l’audit à proprement parler (exécution des travaux de contrôle) ; • la conclusion de la mission (synthèse, présentation orale et rédaction du rapport). On trouve aussi d’autres classifications des audits selon leur profondeur technique, les moyens d’investigation utilisés (intrusion, outillage) ou le périmètre appréhendé. La structure de CobitT offre à l’auditeur une structuration très solide : • domaines, processus, objectifs de contrôle ; • critères d’information (efficacité, efficience, confidentialité, intégrité, disponibilité, conformité, fiabilité) ; • ressources (applications, infrastructure, information, personnes).

La notion de valeur liée à un objectif de contrôle

A cette structure se rattache un détail « générique » pour chaque objectif de contrôle, présenté dans le document « IT assurance Guide Using Cobit» : Objectif de contrôle, inducteurs de valeur, inducteurs de risques. Cette notion de valeur liée à un objectif de contrôle est tout à fait intéressante puisqu’elle étend le périmètre du contrôle, en incluant non seulement la maîtrise des risques, mais aussi la création de valeur. On trouve ensuite un plan de contrôle pour cet objectif, puis enfin, des tests détaillés. A titre d’exemple, l’objectif de contrôle DS5.8 sur la gestion des clés de chiffrement donne lieu à 4 pages extrêmement détaillées de tests à réaliser. Et si ce niveau de détail se révélait insuffisant, il suffirait de puiser dans d’autres publications (voir en Annexe 1) pour trouver encore un autre niveau de détail. Enfin, il est toujours possible d’enrichir encore ce référentiel sur des périmètres techniques pointus.

L’obligation de rapport sur les procédures de contrôle interne

La loi Sarbanes-Oxley, et ses déclinaisons en norme IFRS (International Financial Reporting Standards) et légales LSF (Loi de Sécurité Financière), a mis l’accent sur le contrôle interne et les responsabilités des dirigeants. Le président de toute société anonyme doit présenter un rapport sur les procédures de contrôle interne mises en place. De son côté, le commissaire aux comptes émet un rapport sur les procédures de contrôle interne relatives à l’élaboration et au traitement de l’information comptable et financière. Les entreprises ont donc l’obligation de rendre compte des procédures de contrôle interne et, à ce titre, le système d’information est concerné à trois niveaux : • La prise en compte de l'informatique comme domaine de gouvernance de l'entreprise, • Les contrôles propres à la fonction informatique, y compris les procédures de sécurité, • L’insertion de contrôles «embarqués» dans les processus automatisés. Le guide «IT Control Objectives for Sarbanes-Oxley» peut servir de base à une approche détaillée de l’évaluation du contrôle interne du système d’information. Ce guide s’appuie sur CobiT. Il liste les objectifs de contrôle de la fonction informatique ainsi que les principales applications informatiques qui supportent les processus de l’entreprise.

Conçu avec l’ensemble des applications du système d’information

Le contrôle interne peut s’effectuer de façon continue grâce à des outils (les CAAT pour Computer Assisted Audit Techniques). Il existe un texte relatif à l'usage des techniques d’audit assisté par ordinateur, le guide G3, particulièrement éclairant sur : • la compétence de l'auditeur pour l'utilisation de CAATs ; • la confiance à accorder aux CAATs elles-mêmes ; • la confiance à accorder aux données traitées. La majeure partie de ces outils est basée sur la structure Cobit. Le contrôle interne s’appuie de plus en plus sur des outils informatisés ou des pistes d’audit (audit trails) qui sont prévues au sein des applications elles-mêmes). Tout ceci permet de disposer de tableaux de bord et d’alertes en cas de non-conformité. L’ensemble doit donc être conçu de façon étroite et homogène avec l’ensemble des applications du système d’information. L’auditeur s’appuiera ensuite sur ces contrôles internes pour effectuer des diligences complémentaires.