Audit des Systèmes d’Information

Audit des systèmes d’information

L’information financière,comptable, extra-comptable ou simplement opérationnelle doit reproduire fidèlement les opérations économiques qu’elle traduit, nécessitant des systèmes d’information puissants et le plus souvent complexes. Dès lors, leur compréhension et leur maîtrise sont des éléments clés pour l’entreprise, son pilotage, et sa communication financière.Mazars a défini une organisation de proximité en France et à l’étranger pour intervenir sur l’ensemble des sujets ayant trait à la maîtrise des systèmes d’information.

Nos équipes d’experts vous accompagnent pour :

  • identifier les risques liés à vos systèmes d’information à l’appui de la mise en œuvre d’outils d’analyse et de scoring des risques informatiques ;
  • mettre en place des contrôles informatisés sur des processus ou des zones de risque spécifiques comme notamment les achats, les stocks, les en-cours de production, la facturation, immobilisations, afin, entre autres, d’y détecter certaines pratiques anormales ou qualifiées pénalement ;
  • analyser les conditions contractuelles d’usage des licences logicielles dans l’optique d’un contrôle de l’éditeur ;
  • analyser et renforcer la sécurité de vos systèmes d’information.

L’examen des systèmes d’information

Cartographie des applications

La réalisation d’une cartographie applicative permet de recenser applications, interfaces et les contrôles qui y sont attachés afin de comprendre la structure d’un système d’information et son articulation avec les processus métier.

Conduite généralement sur la base d’entretiens, la cartographie est réalisée en une journée environ, selon la complexité du système observé.

Les travaux sont modélisés dans un document présentant une vision synthétique, fonctionnelle du système d’information, ainsi que les informations relatives à la fonction de chaque application, et les interfaces et contrôles qui leurs sont associés.

Revue des systèmes d’information

L’objectif de la revue des systèmes d’information est d’évaluer le dispositif de contrôle interne des applications et de la fonction informatique. Les domaines étudiés en priorité constituent les axes de vigilance majeurs :

  • sécurité physique de la salle informatique ;
  • procédure de sauvegardes des serveurs et plan de secours en cas de sinistre ;
  • sécurité des accès aux données : réseau et applications ;
  • stratégie et contrôle interne du service informatique ;
  • processus de gestion des évolutions des systèmes d’information.

L’intervention se déroule en moyenne sur quelques journées dont le nombre dépend notamment de la complexité du système observé, de la taille du service informatique de l’entreprise. Des tests complémentaires et approfondis peuvent également être rendus nécessaires en fonction du niveau d’exigence requis.

Un outil de scoring des risques informatiques est utilisé pour mieux identifier les axes d’amélioration et faciliter la communication de nos conclusions dans un rapport détaillant l’ensemble des travaux menés.

La sécurité des systèmes d’information

Dans un monde connecté, la sécurité des données et des systèmes d’information devient un élément primordial des dispositifs de contrôle à mettre en place au sein de l’entreprise, afin de se protéger d’agressions de plus en plus nombreuses et de plus en plus variées. L’évaluation de ces dispositifs est aujourd’hui nécessaire.

Mazars met en œuvre un ensemble de services qui permettent aux entreprises de mesurer l’efficacité du niveau de sécurité de leur système d’information. Ces services sont notamment constitués de :

  • audit de configuration et d’architecture de sécurité ;
  • revue de code source applicatif ;
  • tests d’intrusion, internes ou externes ;
  • assistance à la maîtrise d’ouvrage sécurité au sein des grands projets ;
  • investigation suite à une suspicion de fraude ou à un incident de sécurité ;
  • assistance à la gouvernance de sécurité.

A ce titre, Mazars est organisme certificateur pour le compte de l’Autorité de Régulation des Jeux En Ligne (ARJEL).

Les travaux réalisés par les équipes Mazars sont menés indifféremment sur des systèmes d’information de gestion ou industriels.

La gestion des actifs logiciels (software asset management)

Les contrats de licences logicielles permettent aux éditeurs de procéder à des audits d’utilisation de leurs logiciels par leurs clients. Ces audits consistent pour l’éditeur à s’assurer que ces derniers, en l’occurrence la Direction des Systèmes d’Information le plus souvent, utilise bien le(s) logiciel(s) conformément au contrat.

Dans le cas où l’entreprise ne respecte pas le contrat, par une inadéquation entre le nombre de logiciels installés et le nombre prévu au contrat de licences, l’éditeur est en droit de demander un réajustement financier.

Ces contrats de licences étant complexes, notamment par l’intégration de données techniques sur les puissances de calcul par exemple, il est recommandé aux Directions des Systèmes d’Information (DSI) et aux Directions Juridiques de faire procéder à une évaluation de leurs besoins logiciels afin de s’assurer que ceux-ci correspondent aux données contractualisées.

Mazars met en œuvre une approche permettant aux DSI, en amont des contrôles éditeurs, d’évaluer les potentiels écarts entre le déploiement des logiciels et les contrats souscrits.

L’analyse de données

L’analyse de données est une technique d’audit permettant de détecter des anomalies dans les données d’un processus provoquées par un utilisateur ou par une application.

La mise en œuvre d’une approche d’analyse par les données est un moyen de réponse efficace face à différentes contraintes :

  • volumétrie des données ;
  • multiplicité des applications et des interfaces ;
  • complexité des processus informatisés et des règles de gestion.

Cette approche permet de mieux appréhender les risques des processus en effectuant des tests sur l’exhaustivité d’une population étudiée.

La démarche utilise un certain nombre de contrôles standards adaptés à votre entreprise en fonction de vos contraintes, des objectifs de contrôle visés et plus généralement de vos attentes :

  • recherche d’erreurs et de fraudes par l’analyse du journal des écritures comptables : identification des schémas d’écritures de fraudes, oubli de déduction de TVA ou TVA déduite à tort, personnes non habilitées à la saisie de certains types d’écritures comptables, entre autres ;
  • vérification de la fiabilité du processus des stocks : analyse qualitative – stocks négatifs et doublons par exemple – calcul de la rotation des stocks et mise en relation avec la provision pour dépréciation, vérification de l’équation de stock au niveau de chaque article ;
  • contrôle de l’exhaustivité des appels de facturation : organismes de logements sociaux, associations, notamment.

Au préalable, la prise de connaissance de l’environnement applicatif et des interfaces permet de mieux identifier les données à utiliser.

La mise en place d’une analyse de données, dont la durée est variable en fonction de l’étendue des travaux, généralement entre 1 et 3 semaines, conduit à la formulation de conclusions dans un rapport détaillant les étapes d’analyse.