AUDIT

INFORMATIQUE
MASTER : CDSI – FSJES AGADIR
MODULE : AUDIT OPÉRATIONNEL

ENCADRÉ PAR : M. BORMA

RÉALISÉ PAR : EL AMRANI JAOUAHIR
 PLAN :

 Introduction
 Les concepts de base
 Les types d’audit informatique
 Les objectifs d’audit de la fonction informatique
 La démarche d’audit de la fonction informatique
 Les référentiels d’audit de la fonction informatique
 Etude de cas
 Conclusion
 INTRODUCTION
PROBLÉMATIQUE : QUEL SONT LES DIFFÉRENTS
DOMAINES D’AUDIT INFORMATIQUE ? ET QUELLE EST
LA DÉMARCHE À SUIVRE POUR RÉALISER UN AUDIT
DE LA FONCTION INFORMATIQUE AU SIEN D’UNE
ORGANISATION ?
 Définition de l’audit et
l’audit opérationnel :

 L’audit est une expertise professionnelle effectuée par un agent

compétent et impartial aboutissant à un jugement sur les états
financiers, le contrôle interne, l'organisation, la procédure, ou une
opération quelconque d'une entité.

 L'audit opérationnel est une évaluation périodique, continue et

indépendante, il comprend l'analyse et l'évaluation des éléments de
la gestion (planification, organisation, direction et contrôle), c'est à
dire, les objectifs et les plans, les responsabilités, les structures
organisationnelles, les politiques et procédures, les systèmes et
méthodes, les contrôles, et les ressources humaines et physiques.
Définition de l’audit informatique

L’audit informatique, ou audit IT, permet de s’assurer que les

activités informatiques d’une entreprise se déroulent correctement
quant aux règles et aux usages concernant les bonnes pratiques.

L'audit informatique a pour objectif d’identifier et d’évaluer

les risques associés aux activités informatiques d'une entreprise ou
d'une administration.

L’audit IT va permettre une évaluation du niveau de maturité de

l’informatique et même du niveau des systèmes d’information de
l’entreprise.
Les types de l’audit
informatique :
Audit
de la fonction informatique
Audit des études informatiques

Audit de l'exploitation

Audit des projets informatique

s
Audit des applications opératio
nnelles
Audit de la sécurité informatiq
 Définition de système
informatique au sien de l’E/se :
• L’objectif d’un système informatique est d’automatiser le traitement de
l’information par des systèmes embarqués, des ordinateurs, des robots,
des automates, etc.
• Le système informatique est le sous-système du système d’information .
• Un système informatique est constitué de deux entités: le matériel et le logiciel.
La fonction informatique au
sien de l’E/se :
schéma 1 : Les principales fonctions d’une direction informatique

Source : [Link]
Les objectifs d’audit de la
fonction informatique :

 Vérifier le rôle des directions fonctionnelles et opérationnelles dans

le pilotage informatique et notamment l'existence d'un comité de
pilotage de l'informatique,

 Contrôler la mise en œuvre de politiques, de normes et de

procédures spécifiques à la fonction,

 Contrôler la définition des responsabilités respectives de la fonction

informatique et des unités utilisatrices concernant les traitements,
la maintenance, la sécurité, les investissements, les
développements,….
La démarche d’audit de la
fonction informatique :

Rapport d’audit informatiq

Tests des contrôles

risques
Identifcation et évaluation des

Compréhension de l’environnement
informatique
l'établissement de la lettre de mission et le
cadrage de la mission
 La démarche d’audit de la
fonction informatique :

 Étape 1- L'établissement de la lettre de mission et le

cadrage de la mission :
Les objectifs de cette étape se présentent comme suit :
• Une délimitation du périmètre d’intervention de l’équipe d’audit
informatique. Cela peut être matérialisé par une lettre de mission, une note
interne, une réunion préalable.
• Une structure d’approche d’audit et organisation des travaux ;
• Une définition du planning d’intervention ;
• Une définition des modes de fonctionnement et de communication.
 La démarche d’audit de la
fonction informatique :

 Étape 2 : Compréhension de l’environnement informatique :

A- L’organisation de la fonction informatique.
B- Caractéristiques des systèmes informatiques :
• Les caractéristiques des systèmes hardware utilisés.
• Les caractéristiques des systèmes software.
C- La cartographie des applications.

Et ceci par la collecte des faits, la recueille de toute donné lié à la

fonction, et par les entretiens.
 La démarche d’audit de la
fonction informatique :

 Étape 3 : Identifcation et évaluation des risques et des

contrôles afférents aux systèmes :
Il y a lieu d’identifier les risques liés aux systèmes informatiques et
au contrôle dans un environnement informatisé. Ils concernent aussi
bien les risques liés aux contrôles généraux informatiques que ceux
liés aux applications.
La démarche d’audit de la
fonction informatique :

 Étape 4 : Tests des contrôles et le degré des risques détectés

:
Les tests des contrôles informatiques peuvent être effectués en
utilisant aussi bien des techniques spécifiques aux environnements
informatisés (contrôles assistés par ordinateurs, revue des codes,
jeux de tests) que des techniques classiques (examen des pièces et
documents).
La démarche d’audit de la
fonction informatique :

 Étape 5 : Rapport de l’audit de la fonction informatique :

La rédaction du rapport d'audit est un long travail qui permet de
mettre en avant des constatations faites par l'auditeur et les
recommandations qu'il propose,
 Les référentiels d'audit
informatique :

Il existe différents référentiels comme :

 CobiT : Control Objectives for Information and related Technology.
C'est le principal référentiel des auditeurs informatiques.
 Val IT permet d'évaluer la création de valeur par projet ou par
portefeuille de projets,
 Risk IT a pour but d'améliorer la maîtrise des risques liés à
l'informatique ,
Etude de cas :
 Étude de cas :
 La société Siban a fait appel à un cabinet d’audit informatique dont l’objectif de
vérifier et d’auditer la fonction informatique au sien de son organisation, durant la
première étape de la Compréhension de l’environnement informatique ,
l’auditeurs informatique à dégagé les constats suivants :
 M. Ginseng, le directeur informatique de la société Siban, depuis 5 ans a quitté la
société sans assurer sa succession.
M. Aloé, directeur financier, a repris la fonction de directeur informatique en
attendant l’embauche d’un spécialiste, mais ne contrôle pas encore tous les
processus.
 Le schéma directeur informatique date de 5 ans et le plan d’évolution n’a pas été mis
à jour alors que l’activité de la société est en pleine évolution.
Le directeur informatique est parti sans laisser ses documents de travail et le P-DG ne
s’est jamais impliqué dans ses travaux.
 L’ancien directeur informatique M. Ginseng est le seul à s’occuper de tous les aspects
informatiques de la société.
Le P-DG, M. Ding Xian, ne supervise pas son travail par manque de connaissance
technique.
 La maintenance et le développement de l’ensemble des logiciels de la société Siban
sont externalisés chez le prestataire Indigo.
Cette société est propriétaire des programmes sources des applications développées.
 Etude de cas :

 les risques détectés :

• Risque de perte du contrôle de certains processus.
• Risque de perte d’informations connues de l’ancien directeur
informatique.
• Risque de perte de cohérence dans l’évolution du système
d’information si le plan d’évolution n’est pas tenu à jour.
• Le schéma directeur, obsolète risque de ne plus être en adéquation
avec les besoins de la société.
• Trop de fonctions assurées par une même personne.
Pas de supervision extérieure.
• Dépendance trop importante vis-à-vis de la société d’externalisation.
Difficultés pour changer de prestataire en cas de mécontentement sur
les prestations fournies ou de faillite du prestataire.
 Etude de cas :

 Recommandation :
• Effectuer un état de l’existant, identifier l’ensemble des procédures
existantes ou à mettre en place.
• Mener une réflexion sur une évolution cohérente du système d’information.
• Créer un nouveau schéma directeur avec une architecture informatique
cible.
• Définir le plan d’évolution pour les exercices à venir.
• Affecter une ressource à la fonction informatique ou externalisation de la
fonction développement chez un prestataire. (Résolution du risque= Trop
de fonctions assurées par une même personne).
• S’assurer de la fiabilité de Indigo.
• Etudier des solutions permettant d’assurer la continuité du système
d’information en cas de défaillance d'Indigo.
 Une matrice récapitule de
l’étude :
Constats Risque détecté Recommandati
on
Stratégie élaborée par le directeur -perte du contrôle de Effectuer un état de
les entités informatique a quitté certains processus. l’existant, identifier
opérationnelles la société sans -Risque de perte l’ensemble des
assurer sa succession. d’informations procédures existantes
connues de l’ancien ou à mettre en place.
directeur
informatique.

Sensibilisation de la le plan d’évolution -perte de cohérence -Mener une réflexion

direction n’a pas été mis à jour dans l’évolution du sur une évolution
alors que l’activité de système cohérente du système
la société est en d’information d’information.
pleine évolution. -risque de ne plus être -Créer un nouveau
en adéquation avec schéma directeur
les besoins de la avec une architecture
société. informatique cible.
Définir le plan
d’évolution pour les
exercices à venir.
 Une matrice récapitule l’étude :
Constats Risque détecté Recommandati
on
Organisation Le directeur Trop de fonctions Affecter une
informatique informatique est seul assurées par une ressource à la
Séparation des à s’occuper de tous même personne. fonction informatique
tâches les aspects Pas de supervision ou externalisation de
informatiques de la extérieure. la fonction
société développement chez
un prestataire.

Externalisation La maintenance et le -Dépendance trop -S’assurer de la

développement de importante vis-à-vis fiabilité de Indigo.
l’ensemble des de la société -Etudier des solutions
logiciels de Siban d’externalisation. permettant d’assurer
sont externalisés la continuité du
chez le prestataire système
Indigo. d’information en cas
de défaillance
d'Indigo
CONCLUSIO
N
 La bibliographie :

 L'audit informatique au service du contrôle interne

Compte-rendu de la Rencontre Autour d’un verre du 11 octobre
2010; Conférence de Gina Gullà-Menez rapportée par
Martine Otter.
 Livre blanc "Sécurité Financière et Système d'Information" -
Jean-Yves Galley, Pierre Bernassau
 Information Technology Audits - Lynford Graham, Xenia Ley
Parker– 2007 – ISACA
 Prise en compte de l’environnement informatique et incidence
sur la démarche d’audit , Collection guide d’application;
édition : Avril 2003;
Merci de votre
attention
 AUDIT
INFORMATIQUE
MASTER : CDSI – FSJES AGADIR
MODULE : AUDIT OPÉRATIONNEL

ENCADRÉ PAR : M. BORMA

RÉALISÉ PAR : EL AMRANI JAOUAHIR