Réaliser un audit informatique

Le renforcement de la sécurité informatique des entreprises

La complexité des systèmes d’information, souvent facteurs clés dans la performance des entreprises mais dont dépendent fortement la conduite de l’activité opérationnelle et la fiabilité de l’information financière, rend incontournable leur prise en compte dans une démarche d’analyse des risques de toute entreprise.

Mazars a défini une organisation de proximité en France et à l’étranger pour intervenir efficacement sur vos problématiques de systèmes d’information.

Nos équipes d’experts vous accompagnent pour :

• identifier les risques liés à vos systèmes d’information avec la mise en œuvre d’outils d’analyse et de scoring des risques informatiques ;
• mettre en place des contrôles informatisés sur des processus et des zones de risque spécifiques : achats, stocks, en-cours de production, facturation, immobilisations, fraudes et erreurs, etc. ;
• formuler des recommandations et des axes d’amélioration pour renforcer la sécurité de vos systèmes d’information.

Pour répondre à vos attentes, Mazars vous propose deux types d’intervention, pouvant être combinés :

• l'examen des systèmes d’information ;
• l’analyse de données des processus métier et financiers.

L'examen des systèmes d’information

Cartographie des applications

En préalable, la mise en place de la cartographie des applications permet de recenser les applications, les interfaces et leurs contrôles afin de mieux comprendre l’environnement informatique et comment s’organisent les processus métier au sein des systèmes d’information.

Conduite généralement sur la base d’un entretien avec le responsable informatique, la cartographie est réalisée en une demi-journée environ, selon la complexité informatique.

Les travaux sont modélisés dans un document présentant la vision synthétique et fonctionnelle du système d’information, le détail de la fonction de chaque application, les interfaces et leurs contrôles associés.

Revue des systèmes d'information

L’objectif de la revue des systèmes d’information est d’évaluer le dispositif de contrôle interne des applications et de la fonction informatique. Les domaines étudiés en priorité constituent les axes de vigilance majeurs :

• sécurité physique de la salle informatique ;
• procédure de sauvegardes des serveurs et plan de secours en cas de sinistre ;
• sécurité des accès aux données : réseau et applications ;
• stratégie et contrôle interne du service informatique ;
• processus de gestion des évolutions des systèmes d’information.

L’intervention se déroule en moyenne sur une à deux journées en fonction de la complexité des systèmes d’information, la taille du service informatique et la granularité des travaux. Des tests complémentaires et approfondis peuvent notamment être nécessaires pour la conduite et la pertinence de la mission.

Un outil de scoring des risques informatiques est utilisé pour mieux identifier les axes d’amélioration et faciliter la communication de nos conclusions dans un rapport détaillant l’ensemble des travaux menés.

L’analyse de données

L’analyse de données est une technique d’audit permettant de détecter des anomalies dans les données d’un processus provoquées par un utilisateur ou par un programme informatique.

La mise en œuvre d’une approche d’analyse par les données est un moyen d’analyse adapté à une grande diversité de systèmes d’information :

• volumétrie des données ;
• multiplicité des applications et des interfaces ;
• complexité des processus informatisés et des règles de gestion.

Cette approche permet de mieux appréhender les risques des processus en effectuant des tests sur l’exhaustivité de la population étudiée.

La démarche utilise des contrôles standard que nous adaptons à votre contexte en fonction des contraintes de votre système d’information, de nos objectifs de contrôle et de vos attentes :

• recherche d’erreurs et de fraudes par l’analyse du journal des écritures comptables : identification des schémas d’écritures de fraudes, oubli de déduction de TVA ou TVA déduite à tort, personnes non habilitées à la saisie de certains types d’écritures comptables, etc. ;
• vérification de la fiabilité du processus des stocks : analyse qualitative (stocks négatifs et doublons par exemple), calcul de la rotation des stocks et mise en relation avec la provision pour dépréciation, vérification de l’équation de stock au niveau de chaque article ;
• contrôle de l’exhaustivité des appels de facturation : organismes de logements sociaux, associations, etc.

Le processus de mise en œuvre suit les étapes suivantes :

 
En préalable, la prise de connaissance de l’environnement applicatif et des interfaces permet de mieux identifier les données à utiliser.

La mise en place d’une analyse de données, dont la durée est variable en fonction de l’étendue des travaux, généralement entre 2 et 4 jours, conduit à la formulation de conclusions dans un rapport détaillant les étapes d’analyse.

Les autres domaines d’intervention

En dehors du cadre de nos missions de commissariat aux comptes, nos experts interviennent sur ces mêmes domaines, décrits ci-dessus, avec la possibilité d’approfondir par l’accompagnement la mise en œuvre des recommandations.

Par ailleurs, nos experts présentant des compétences ERP fortes, nous proposons d’accompagner les dirigeants et leurs équipes dans toutes les étapes du processus de mise en place de nouvelles applications :

• définition des besoins et rédaction du cahier des charges ;
• processus de sélection ;
• renforcement du contrôle interne ;
• contrôle de la migration des données (possible aussi en commissariat aux comptes) ;
• formation des utilisateurs et assistance post-démarrage.