Parmi les structures de contrôle présentes dans l’entreprise pour notamment aider le management dans la prise de décisions, on retrouve l’audit interne. C’est une fonction communément admise comme étant un moyen à la disposition du management dans le cadre du processus de gestion des risques et d’évaluation du dispositif de contrôle interne en place. L’audit interne est défini comme une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Historiquement orienté vers la gestion financière et comptable, son champ d’action s’est étendu à tous les domaines de l’entreprise.
Les missions de contrôle et d’évaluation de la maîtrise des activités ainsi que de conseils ont suivi l’évolution économique et la croissance des organisations. De nos jours, « le management gagnant » impose l’atteinte des objectifs dans tous les domaines. L’audit interne, par son approche systématique et méthodique, accompagne les opérationnels dans l’identification et la maîtrise des risques, en vue d’atteindre les objectifs fixés par la Direction Générale. Dans le contexte actuel d’amélioration continue des technologies d’information et de communication, les risques liés aux systèmes d’information sont en général suivis de près dans les cartographies des risques des auditeurs. Dans le cadre de cette surveillance accrue, une attention particulière est accordée à la sécurité de l’information. En effet, l’information est essentielle, voire déterminante pour la pérennité de l’entreprise.
CADRE CONCEPTUEL DE L’AUDIT INTERNE ET DE LA SECURITE DE L’INFORMATION
«Parce qu’il décuple la qualité et la rapidité des décisions, le système d’information est aujourd’hui au cœur des processus, des produits et du management de l’entreprise : il est devenu un actif stratégique». Cette phrase de Deyrieux (2004) traduit bien l’importance du système d’information pour les entreprises. Pour fonctionner correctement, les entreprises doivent s’assurer de la continuité et de la qualité de service de leur système d’information. En effet le système d’information est une organisation des ressources destinées à traiter l’information, soit pour produire, soit pour piloter. Le but de la sécurité de l’information est de mettre en place des méthodes et des technologies afin d’éliminer, ou du moins de minimiser, les menaces qui planent sur le système d’information. En outre, la complexité des systèmes informatiques, leur interconnexion en réseaux internes et externes, les applications informatisées et développées à l’aide de méthodologies et techniques de pointe et leur rôle stratégique pour la survie de l’entreprise, rendent de plus en plus nécessaires les missions d’audit interne permettant de répondre aux interrogations des dirigeants d’entreprise .
L’auditeur interne doit être alerté devant l’évolution sans cesse croissante des technologies de l’information et les risques y afférent pour toute organisation qu’elle soit de grande ou de petite taille. Il va devoir appréhender cette nouvelle dimension technologique afin de mieux remplir son rôle d’informateur et de conseiller auprès de la direction générale et du conseil d’administration.
A travers différentes étapes, nous aborderons les notions d’audit interne et de sécurité de l’information. Ensuite nous établirons une relation entre ces deux concepts afin de faire ressortir la contribution de l’audit interne, de par ses missions et objectifs, au maintien de la sécurité de l’information au sein même d’un organisme de crédit notamment la banque.
Historique et cadre de référence de l’audit interne
La création de la fonction d’audit interne dans les entreprises s’inscrit dans un cadre plus général de la notion d’audit. Bertin (2007 : 17 – 18) dans son ouvrage nous décrit l’historique de l’audit interne. En effet, le précurseur de l’audit connu sous le nom de révision des comptes, a été institué par la loi du 24 juillet 1867 en France. On parlait de révision des comptes avant de lui préférer le nom « audit ». Le manuel du CIA (rédigé par l’IIA) explique que l’audit a véritablement évolué après la deuxième guerre mondiale (1945). Progressivement, le terme « audit » connu un élargissement plus qu’important. Etant premièrement axé essentiellement sur les aspects financiers et comptables, il a commencé par couvrir toutes les activités opérationnelles et stratégiques de l’entreprise. Il considérait l’image de rigueur de l’entreprise, les risques liés aux différentes activités, les politiques et plans, les instabilités de l’environnement et les complexités des paramètres de gestion et de contrôle.
Cependant les crises économiques de 1929 aux USA et l’instauration de la loi Sarbanes-Oxley (SOX) et de la LSF ont déclenché une diversité d’audit notamment l’audit interne et l’audit externe appelé également audit comptable et financier. La SOX a été établie pour règlementer et rendre obligatoire les pratiques de l’audit au sein des entreprises. Renard (2010 : 36) explique que la fonction d’audit interne n’est réellement apparue en France dans les entreprises qu’à partir de 1960 et un peu partout dans le monde à partir de 1980. Car dans un souci de réduction des charges dues à la récession économique, les entreprises en vinrent finalement à suggérer de faire assumer certains des travaux préparatoires des cabinets d’audit externes, par leur propre personnel. De plus le besoin était présent de disposer en interne d’un outil d’évaluation et d’amélioration des processus de management des risques, de contrôle et de gouvernement d’entreprise.
Aujourd’hui l’audit interne a pénétré tous les domaines, toutes les fonctions, activités, opérations, tous les stades décisionnels de l’entreprise. A travers les notions et missions de l’audit interne et les responsabilités des auditeurs internes, nous verront quel est le rôle de l’audit interne dans une organisation et en quoi est-il important.
Notion d’audit interne
Lacolare (2010 : 10) explique que selon les normes ISO 9000:2005 et ISO 19011:2002, l’audit est défini comme un processus méthodique, indépendant et documenté permettant d’obtenir des preuves d’audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit sont satisfaits. En plus de lui, plusieurs comités et organismes ont tenté de donner une définition à l’audit interne.
Cependant ils s’accordent tous sur cette définition de l’IFACI, approuvée par l’IIA le 29 juin 1999 :
« L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée.
Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité.» .
Cette définition implique l’Audit Interne dans la fonction de conseiller, de perfectionniste, d’améliorateur. Son rôle est d’assurer la bonne santé de toutes les fonctions au sein même de l’organisation.
L’audit interne est le mieux à même d’alimenter le conseil d’administration et la direction générale en informations sur les faiblesses du système de contrôle interne ou sur les zones de risques susceptibles de nuire à l’atteinte des objectifs stratégiques, opérationnels, informationnels et de conformité (Bertin 2007 : 25 – 26). Le blog SSI Conseil, dans son article sur l’audit interne du SSI, explique que dans le cadre de la sécurité ses systèmes d’information, l’audit interne est une des mesures de sécurité du Système de Management de la sécurité du SI. C’est une des clauses obligatoires de la mise en œuvre d’un SMSI conforme à l’ISO 27001 : Clause 6. Il contribue à vérifier de façon indépendante et objective :
l’efficience des dispositions du SMSI
l’efficacité des mesures de sécurité organisationnelles, procédurales ou techniques choisies pour réduire les risques à un niveau acceptable.
Ainsi l’audit interne est l’organe qui, mandaté par la direction, intervient pour examiner et établir un diagnostic attestant du plus ou moins bon fonctionnement de son système d’information et de son dispositif de contrôle interne. Il établit également un pronostic alertant les responsables et la direction sur la sécurité des actifs, la fiabilité des informations et aussi de l’efficacité des opérations qui en découlent.
Missions, Objectifs et Champ d’application de l’audit interne
L’audit interne, comme nous l’avons notifié plus haut, connait une évolution constante du fait des changements réguliers de l’environnement dans lequel il est employé. En fonction de la définition de l’audit interne, nous ferons ressortir ses missions, ses objectifs et son champ d’application pour une meilleure compréhension de son rôle au sein de l’entreprise.
Les missions
Suivant la définition de l’IFACI, l’audit interne présente 3 missions :
Contribuer à la création de valeur ajoutée : selon l’IFACI (CRIPP 2013 : 72), l’audit interne apporte de la valeur ajoutée à l’organisation lorsqu’il fournit une assurance objective et pertinente et qu’il contribue à l’efficience et à l’efficacité des processus de gouvernement d’entreprise, de management des risques et de contrôle ;
Améliorer le fonctionnement de l’organisation : par la réalisation de missions d’audit et d’apport de conseils ;
Aider l’entreprise à atteindre ses objectifs : par l’évaluation des processus de management des risques, de contrôles et de gouvernement d’entreprise, à l’aide d’une approche systématique et méthodique.
Ainsi, l’Audit Interne étant une entité à part entière, doit être capable de rassurer l’entreprise sur la continuité d’exploitation, sur la maitrise des opérations (gestion des risques) et donner une garantie pas absolue mais raisonnable du succès des activités et de l’atteinte effective des objectifs.
Les objectifs
Dans la Modalité Pratique d’Application (MPA) 2120.A1 de l’audit interne contenu dans le CRIPP, il est spécifié les aspects sur lesquels doit porter l’évaluation du contrôle interne. Toujours dans la tendance de l’analyse par les risques, il est dit que l’audit interne doit évaluer les risques afférents au gouvernement d’entreprise, aux opérations et aux systèmes d’information de l’organisation au regard de :
l’atteinte des objectifs stratégiques de l’organisation ;
la fiabilité et l’intégrité des informations financières et opérationnelles ;
l’efficacité et l’efficience des opérations et des programmes ;
la protection des actifs ;
le respect des lois, règlements, règles, procédures et contrats.
Bertin (2007 : 21 – 22) pouvait dire l’audit interne est devenu un acteur majeur du dispositif de maîtrise des risques, du contrôle interne et de la gouvernance des sociétés. Il n’y a pas d’audit interne sans dispositif de contrôle interne. De ce fait, l’audit interne est une fonction d’appréciation et d’évaluation dont la tâche essentielle est notamment la validation et le maintien du contrôle interne. Sa mission principale est de s’assurer que les objectifs de contrôle interne s’inscrivent dans une approche globale du management des risques (COSO I et COSO II) et qu’ils sont relativement atteints.
L’interprétation de la norme 2120 donnée par L’IFACI (CRIPP 2013 : 165), soutenue par Renard (2010 : 144) souligne que pour atteindre les objectifs en matière de management des risques, les auditeurs internes doivent s’assurer que :
les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
les risques significatifs sont identifiés et évalués ;
leurs modalités de traitement des risques sont appropriées et en adéquation avec l’appétence pour le risque de l’organisation ;
les informations relatives sont recensées et communiquées en temps opportun au sein de l’organisation pour permettre aux collaborateurs, à leur hiérarchie et au conseil d’exercer leur responsabilité.
Le champ d’application
Depuis son établissement en 1929, la fonction d’audit interne a commencé à prendre de l’ampleur, à élargir son champ d’application et à modifier ses objectifs.
Etant concerné dorénavant par toutes les fonctions de l’entreprise, l’audit interne revêt plusieurs formes selon les objectifs à atteindre lors de la réalisation d’une mission. Selon Renard (2010 : 48 – 55), nous avons :
l’audit de conformité ;
l’audit d’efficacité ;
l’audit de management ;
l’audit de stratégie ;
le conseil.
Compétences et responsabilités des auditeurs
Du fait de la variété des domaines à couvrir et des missions à conduire, l’audit interne doit disposer d’une gamme de compétences toujours plus étendue. La formation permanente constitue donc un facteur clé de performance au plan individuel et collectif. Aussi, le respect des Normes internationales pour la pratique professionnelle de l’audit interne est essentiel pour que les auditeurs internes puissent s’acquitter de leurs responsabilités. Les normes relatives aux responsabilités des auditeurs internes sont appelées des normes de qualification (normes 1000 – CRIPP 2013). Ces normes doivent être définies dans une charte formelle d’audit interne. De ces normes, découlent les caractéristiques de l’auditeur interne :
indépendance : capacité à assumer de manière impartiale, les responsabilités. L’audit interne doit être positionné à un niveau suffisamment élevé de la hiérarchie pour pouvoir être totalement indépendant et objectif. Pour cela, selon la norme 1100, l’audit interne doit être doublement rattaché à la direction générale et au conseil d’administration (au comité d’audit plus précisément) ;
objectivité : avoir un jugement impartial et sans aucune forme de subordination à celui d’autres personnes (normes 1100 et 1120);
compétence et Conscience professionnelle : le savoir-faire, la diligence dans le travail, des connaissances et autres compétences relatives à l’exercice de leur fonction. Aussi faire preuve d’une formation professionnelle continue (norme 1200).
Concernant le système d’information et la sécurité de l’information, la MPA 1210.A3 (IFACI, 2013 : 36) précise que les auditeurs internes doivent posséder une connaissance suffisante des principaux risques et contrôles relatifs aux technologies de l’information, et des techniques d’audit informatisées susceptibles d’être mises en œuvre dans le cadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes ne sont pas censés posséder l’expertise d’un auditeur dont la responsabilité première est l’audit informatique. La MPA 1220.A2 (IFACI, 2013 : 37) ajoute que pour remplir ses fonctions avec conscience professionnelle, l’auditeur interne doit envisager l’utilisation de techniques informatiques d’audit et d’analyse des données. Ces normes démontrent l’importance mise sur l’éventail de connaissance et compétence que doit avoir l’auditeur interne pour mener à bien ses missions d’audit de sécurité de l’information.
Selon Villalonga (2011 : 25), l’auditeur interne doit avoir les qualités nécessaires suivantes:
ouvert d’esprit,
diplomate,
observateur,
perspicace,
polyvalent,
autonome,
synthétique,
empathique.
Toutes ces caractéristiques citées plus haut sont celles dont l’auditeur doit se revêtir pour ainsi assurer et contribuer au maintien et à l’amélioration du système d’information, notamment de la sécurité de l’information dans l’entreprise ; sécurité sans laquelle l’entreprise serait incapable de poursuivre correctement ses opérations et ainsi s’exposer à des pertes financières énormes.
|
Table des matières
DEDICACE
REMERCIEMENTS
LISTE DES SIGLES ET ABREVIATIONS
LISTE DES TABLEAUX ET FIGURES
INTRODUCTION GENERALE
PARTIE 1 : CADRE THEORIQUE DE L’ETUDE
CHAPITRE 1 : CADRE CONCEPTUEL DE L’AUDIT INTERNE ET DE LA SECURITE DE L’INFORMATION
1.1 Historique et cadre de référence de l’audit interne
1.1.1 Notion d’audit interne
1.1.2 Missions, Objectifs et Champ d’application de l’audit interne
1.1.2.1 Les missions
1.1.2.2 Les objectifs
1.1.2.3 Le champ d’application
1.1.3 Compétences et responsabilités des auditeurs
1.2 La sécurité de l’information
1.2.1 Notion d’information
1.2.1.1 Définition de l’information
1.2.1.2 Les caractéristiques de l’information
1.2.1.3 L’importance de l’information
1.2.2 La sécurité de l’information
1.2.2.1 Notion de sécurité de l’information
1.2.2.2 Principes fondamentaux de la sécurité de l’information
1.2.2.3 Missions et Objectifs de la sécurité de l’information
1.2.3 Mise en œuvre du cadre de gestion de la sécurité de l’information
1.2.3.1 Engagement de la Haute Direction
1.2.3.2 La constitution de la structure de mise en œuvre de la sécurité de l’information
1.2.3.3 Communication et responsabilité des différents acteurs
CHAPITRE 2 : L’AUDIT INTERNE ET LA SECURITE DE L’INFORMATION EN MILIEU BANCAIRE
2.1 Les normes et référentiels afférents à l’audit interne et à la sécurité de l’information
2.1.1 Les normes et référentiels applicables à l’audit interne
2.1.2 Les normes et référentiels applicables à la sécurité de l’information bancaire
2.1.2.1 La norme ISO 27002
2.1.2.2 Le référentiel CobiT
2.1.3 Les référentiels applicables au système bancaire
2.1.3.1 La commission bancaire
2.1.3.2 Le comité de Bâle
2.2 Méthodologie de l’audit interne dans le cadre de la sécurité de l’information bancaire
2.2.1 Le plan d’audit de la sécurité de l’information
2.3.3 Les outils et tests de contrôle
2.3 La contribution de l’audit interne et création de valeur ajoutée
CHAPITRE 3 : METHODOLOGIE DE LA RECHERCHE
3.1 Le modèle d’analyse
3.2 La démarche d’analyse utilisée
3.3 La collecte de données
3.3.1 Les outils de collecte des données
3.3.2 Les outils d’analyse des données
PARTIE 2 : CADRE PRATIQUE DE L’ETUDE
CHAPITRE 4 : PRESENTATION GENERALE DE ECOBANK COTE D’IVOIRE
4.1 Historique du Groupe Ecobank
4.2 Présentation, organisation et missions de Ecobank CI
4.2.1 Présentation de Ecobank CI
4.2.2 Organisation administrative et structurelle de ECOBANK CI
4.2.3 Mission et activités de ECOBANK CI
4.3 Présentation de la direction de l’audit interne
CHAPITRE 5 : DESCRIPTION ET DIAGNOSTIC CRITIQUE DE LA CONTRIBUTION DE L’AUDIT INTERNE A LA GESTION DE LA SECURITE DE L’INFORMATION AU SEIN DE ECOBANK COTE D’IVOIRE
5.1 Description du système de gestion de la sécurité de l’information
5.1.1 Engagement et soutien de la haute direction
5.1.2 Politique et procédures
5.1.3 Organisation
5.1.4 Sensibilisation à la sécurité et éducation
5.1.5 Contrôle et conformité
5.1.6 Gestion et intervention face à l’incident
5.2 Description de la fonction de l’audit interne et du dispositif de contrôle interne
5.2.1 La fonction d’audit interne
5.2.2 Le dispositif de contrôle interne en matière de sécurité de l’information
5.3 Diagnostic critique de la gestion de la sécurité de l’information
5.3.1 Evaluation de la gestion de la sécurité de l’information
5.3.1.1 Absence d’un comité de pilotage de la sécurité de l’information
5.3.1.2 Inexistence d’une politique d’appétence pour le risque de sécurité de l’information
5.3.2 Evaluation des activités et de la gestion des technologies relatives à la sécurité de l’information
5.3.2.1 Inefficience de la gestion de la sécurité de l’information
5.3.2.2. Traçabilité des agents et ouverture du réseau de l’entreprise vers l’extérieur
5.3.2.3 Périodicité des formations trop longue
5.3.2.4 Méthodologie de classification des informations non optimale
5.3.2.5 Gestion de la sauvegarde des données sur les ordinateurs et appareils mobiles
5.3.2.6 Gestion des badges d’accès et privilèges par la Direction du Contrôle Interne
5.3.2.7 Approche réactive du comité de gestion des incidents
5.4 Analyse de l’implication de l’audit interne à la sécurité de l’information
5.4.1 Les missions d’évaluation de la sécurité de l’information
5.4.2 La méthodologie d’audit du SMSI
5.4.3 Les compétences et outils de travail
CHAPITRE 6 : RECOMMANDATIONS AU SERVICE D’AUDIT INTERNE A LA CONTRIBUTION DE LA SECURITE DE L’INFORMATION
6.1 Constats du diagnostic de gestion de la sécurité de l’information
6.2 Recommandations pour l’amélioration de la sécurité de l’information et l’audit interne au sein de Ecobank Cote d’Ivoire
6.2.1 Recommandations pour l’amélioration du SMSI de Ecobank CI
6.2.1.1 Création d’un comité de pilotage de la sécurité de l’information
6.2.1.2 Gestion efficace de la sécurité de l’information
6.2.1.3 Communication / formation régulière du personnel
6.2.1.4 Mesures de sauvegarde des données sur les ordinateurs et appareils mobiles et gestion des privilèges
6.2.1.5 Classification des informations par valeur et niveau de sensibilité
6.2.1.6 Sécurité du réseau
6.2.1.7 Intervention du comité de gestion des incidents de sécurité
6.2.2 Recommandations pour le perfectionnement de l’audit interne en matière de sécurité de l’information
CONCLUSION GENERALE
ANNEXES
BIBLIOGRAPHIE
