Publier un mémoire
Consulter les autres mémoires
|
|
Publier un mémoire Consulter les autres mémoires |
|
|
Un ERP comprend aujourd'hui des dizaines de modules applicatifs qui peuvent être regroupés en trois catégories : les modules sectoriels, les modules intersectoriels et les modules étendus :
· Les modules sectoriels supportent les activités métiers de l'entreprise (production, maintenance...). Ils sont spécifiques au domaine d'activité de l'entreprise (Constructeur automobile, Assurance, service pétrolier, etc.) ;
· Les modules intersectoriels informatisent les activités de support de l'entreprise. Ils sont subdivisés en trois catégories : les activités de soutien (comptabilité, gestion Ressources Humaine...), le système direction (planification stratégique et opérationnelle) et le portail d'entreprise vers l'extérieur (accès via Web aux informations de l'entreprise) ;
· Les modules étendus gèrent les transactions interentreprises ou entre une entreprise et ses clients tels que les modules de type SCM, CRM...
Le modèle standard des ERP inclut toujours les activités suivantes de l'entreprise :
· Planification de la production ;
· Gestion des achats et des stocks ;
· Administration des ventes ;
· Gestion des ressources humaines ;
· Logistique ;
· Gestion comptable et financière.
Figure 10 : Les modules d'un ERP
Ces modules sont, complètement ou partiellement, interfacés ce qui va engendrer la création de flux d'informations importants. Ces flux sont schématisés comme suit :
Figure 11 : Les Flux d'informations couverts par un ERP
Commentaires :
Le schéma, ci-dessus, illustre les flux d'informations générés à partir de l'intégration qui existe entre les modules d'un ERP (gestion des achats, gestion des ventes, comptabilité fournisseurs, comptabilité clients, comptabilité générale, immobilisation, stock ) et les données permanentes de la société (informations clients, fournisseurs et articles).
Le module comptabilité générale est intégré avec les autres modules. Il reçoit automatiquement les informations du module achat (les engagements), de la comptabilité clients (les factures et les règlements) et de la comptabilité fournisseurs.
Les modules du progiciel intégré utilisent instantanément les informations (clients, fournisseurs, taux de change...) à partir des bases de données permanentes (Master Data).
Avant d'entamer la mission, l'auditeur doit se fixer une finalité claire afin de pouvoir suivre la démarche la plus efficace qui permettra d'atteindre les objectifs prédéfinis.
Dans le cas d'une mission d'audit d'un progiciel intégré, l'objectif principal est d'évaluer la pertinence des contrôles existants au niveau des différents modules pour s'assurer de la qualité des informations produites par le progiciel.
Disponibilité
Intégrité
Confidentialité
Auditeur
Figure 12 : Les objectifs d'audit d'un ERP
Pour garantir cette assurance, les spécialistes doivent donner leurs avis sur :
· La Disponibilité :
C'est l'aptitude des systèmes à remplir une fonction dans des conditions prédéfinies d'horaires, de délais et de performances. Il s'agit de garantir la continuité du service, assurer les objectifs de performance (temps de réponse) et respecter les dates et heures limites des traitements.
Pour s'assurer de la disponibilité de l'information, des procédures appropriées de couverture contre les incidents ainsi que des contrôles de sécurité doivent exister afin de se protéger contre les suppressions inattentives ou intentionnelles des fichiers.
La disponibilité des flux d'informations est le fait de garantir la continuité des échanges d'information, c'est à dire de pouvoir disposer, chaque fois que le besoin existe, des possibilités de réception ou de transfert.
Pour les traitements, la disponibilité est destinée à garantir la continuité de service des traitements, c'est à dire de pouvoir disposer des ressources en matériels et logiciels nécessaires à l'ensemble des services, des agences et à la clientèle extérieure.
La disponibilité des données est le fait de pouvoir disposer de l'accès aux données chaque fois que le besoin existe.
· L'Intégrité :
C'est la qualité qui assure que les informations sont identiques en deux points, dans le temps comme dans l'espace.
Selon l'ISO 13-335-1, l'intégrité c'est la propriété de non-altération ou de non-destruction de tout ou partie du système d'information et/ou des données de façon non autorisée. Il s'agit de garantir l'exhaustivité, l'exactitude et la validité des informations ainsi que d'éviter la modification de l'information.
L'Intégrité des données consiste à établir des contrôles sur les entrées et sur les traitements des transactions. Elle consiste, aussi, à sécuriser les fichiers des données cumulées de toute modification non autorisée.
L'Intégrité des opérations et des documents électroniques risque d'être mise en cause. Cette détérioration de L'Intégrité peut provoquer pour l'entreprise des litiges avec ses clients au sujet des conditions de transaction et de paiement.
L'Intégrité des flux d'informations est destinée à garantir la fiabilité et l'exhaustivité des échanges d'information. C'est à dire de faire en sorte que les données soient reçues comme elles ont été émises et d'avoir les moyens de le vérifier.
Pour les traitements, elle est destinée à assurer l'exactitude et la conformité de l'algorithme des traitements automatisés ou non par rapport aux spécifications. C'est à dire de pouvoir obtenir des résultats complets et fiables.
L'Intégrité des données est destinée à garantir l'exactitude et l'exhaustivité des données vis à vis d'erreurs de manipulation ou d'usages non autorisés. C'est à dire de pouvoir disposer de données dont l'exactitude, la fraîcheur et l'exhaustivité sont reconnues et attestées.
· La Confidentialité :
C'est la qualité qui assure la tenue secrète des informations avec accès aux seules entités autorisées. La protection de la confidentialité des informations contre toute intrusion non autorisée est d'une exigence importante qui nécessite un niveau minimum de sécurités.
Il s'agit de :
- réserver l'accès aux données d'un système aux seuls utilisateurs habilités (authentification) en fonction de la classification des données et du niveau d'habilitation de chacun d'eux ;
- garantir le secret des données échangées par deux correspondants sous forme de message ou de fichiers.
Ce dernier volet constitue le point le plus sensible dans les échanges électroniques et intéresse aussi bien l'entreprise que les consommateurs. En effet, ces derniers se soucient pour la protection de leurs données personnelles et financières par peur que ces informations soient divulguées ou utilisées de façon à nuire à leurs intérêts. Il est donc normal que les personnes qui envisagent d'avoir recours au commerce électronique cherchent à obtenir l'assurance que l'entreprise a mis en place des contrôles efficaces sur la protection de l'information et qu'elle veille à la confidentialité des renseignements personnels de ses clients.
La confidentialité des flux d'informations est destinée à garantir la protection des échanges dont la divulgation ou l'accès par des tiers non autorisés porterait préjudice.
Pour les traitements, elle est destinée à assurer la protection des algorithmes décrivant les règles de gestion et les résultats dont la divulgation à des tiers non autorisés serait nuisible.
La confidentialité des données est destinée à protéger les données dont l'accès ou l'usage par des tiers non autorisés porterait préjudice. Il s'agit de donner l'accès qu'aux personnes habilitées tout en se basant sur des procédures formelles.
Tout au long de la partie A, nos travaux se sont limités à une exposition théorique de l'audit informatique. Dans la même partie, on a essayé de présenter le concept d'ERP et de définir les objectifs d'audit d'un progiciel de gestion intégré.
Afin de clarifier au mieux ces concepts, la partie B présentera le déroulement d'une mission de revue du module «Comptabilité Client» du progiciel J.D.Edwards dans une société pétrolière en support à l'audit financier. Cette revue consiste à tester les contrôles informatiques qui s'appliquent sur les données permanentes de la société et au niveau du module «comptabilité client».
PARTIE B : MISSION D'AUDIT INFORMATIQUE EN SUPPORT À L'AUDIT FINANCIER (CAS D'UNE SOCIÉTÉ PÉTROLIÈRE)