Audit des contrôles applicatifs

 

Chaque année, des sommes colossales sont investies dans le cadre du déploiement et de l’évolution des applications informatiques sensées améliorer la maîtrise et l’efficience des processus opérationnels et financiers.

Couverture GTAG 8

Le GTAG 8 sur l’audit des contrôles applicatifs décrit la méthodologie et l’approche pouvant être mise en œuvre afin d’apprécier l’intégrité, l’exhaustivité, la rapidité d’exécution et la disponibilité des contrôle liés aux données financières ou opérationnelles de l’entreprise. En fonction de l’environnement informatique, des risques inhérents, de la conception et de l’efficacité des contrôles, ce guide donne de manière structurée et pragmatique des clés afin de définir une approche d’audit adaptée. A cette fin, une liste des contrôles courants « embarqués » au sein des applications et un exemple de programme d’audit y sont présentés.

De manière plus large, ce GTAG fournit aux responsables de l’audit interne des éléments pour :

  • Décrire des différents types de contrôles applicatifs
    • Les contrôles des entrées et des accès
    • Les contrôles de transmission des données
    • Les contrôles de traitement
    • Les contrôles des sorties de données
    • Les contrôles liés aux données de base
  • Définir le rôle des auditeurs internes
  • Evaluer les risques en prenant en compte les processus exposés et les systèmes afférents
  • Délimiter l’étendue de la revue des contrôles applicatifs
  • Choisir l’approche de la revue des applications

Questions clés à se poser

  • Quelle est la différence entre les contrôles applicatifs et les contrôles généraux informatiques (CGTI) ?
  • Quels sont les différents types de contrôles applicatifs existants ?
  • Quelles sont les données à contrôler sur les processus en place ?
  • Quelles sont les compétences nécessaires aux auditeurs internes pour réaliser des audits relatifs aux contrôles applicatifs ?

Commentaires de l’IFACI

Ce guide présente une approche détaillée et pratique afin de mettre en œuvre une démarche pertinente d’analyse des risques pour la revue des contrôles applicatifs. Nous avons particulièrement apprécié la matrice des contrôles sur le processus achat, qui illustre les activités de contrôles et leurs attributs (fréquence, prévention / détection, manuel / automatique…). Enfin, l’annexe A propose quelques exemples pertinents de tests réalisables.
On pourra se référer au GTAG 1(lien vers page GTAG 1) pour une approche plus générale des contrôles informatiques.

Sommaire

Résumé

Introduction

1. Définition des contrôles applicatifs
2. Contrôles applicatifs et contrôles généraux informatiques
3. Environnements TI complexes et non complexes
4. Avantages des contrôles applicatifs
5. Rôle des auditeurs internes

Évaluation des risques

1. Évaluer les risques
2. Contrôle des applications : approche de l’évaluation des risques

Étendue des revues au titre des contrôles applicatifs

1. Méthode du processus d’entreprise
2. Méthode de l’application unique
3. Contrôles d’accès

Approches de la revue des contrôles applicatifs et autres considérations

1. Planification
2. Besoin de ressources d’audit spécialisées
3. Méthode du processus d’entreprise
4. Techniques de documentation
5. Tests
6. Techniques d’audit assistées par ordinateur

Annexes

1. Annexe A: Contrôles applicatifs courants et propositions de tests
2. Annexe B: Exemple de plan d’audit

 

Télécharger le GTAG en français
Télécharger le GTAG en anglais