Você está na página 1de 92

Sous la direction de :

A. Lehadiri
Ralis par:
Ghaout Sara
Gherboub Mohamed
Senousaouui Sana

Introduction

La problmatique :
Comment linformatique peut-elle contribuer
la ralisation dune bonne mission daudit?
En dautres termes:
Comment procder la ralisation dune
mission daudit laide de linformatique?
Quelles sont donc les techniques et les outils
informatiques utiliss dans ce domaine?
Quelle est la porte de laudit de la fonction
informatique?

Introduction
Chapitre 1: Organisation informatique
Section 1: la place de la fonction informatique dans
lentreprise
Section 2: la scurit informatique
Section 3: systme dinformation dans lentreprise
Chapitre 2: Laudit des traitements
automatiss
Section 1: la dmarche et la mthodologie
Section 2: les techniques et outils utiliss
Section 3: la porte de laudit informatique
Conclusion

Organisation informatique

La fonction informatique, tout comme les autres


fonctions de lentreprise , doit suivre les rgles de
management:
Dterminations

des objectifs;

Planification;
Slection

et formation du personnel;

Comparaison

des ralisations aux objectifs.

Lexprience tend dmontrer quun mauvais management


ou

une

comptence

insuffisante

des

responsables

informatiques, est la cause dun systme dinformation


mdiocre, tant sur le plan de lefficacit, que sur celui de la
fiabilit.
Pour cette raison, un audit de la fonction informatique
dbute par la prise de connaissance de lorganisation et des
rgles de gestion.

lvolution dynamique de linformatique dans


lentreprise
lvolution spcifique de lactivit informatique montre que
toute entreprise passe par un certains nombre dtapes avant de
parvenir la maitrise de loutil dont elle sest dote.
Les tudes ont dtermin lexistence de six grandes tapes
dans le dveloppement informatique des entreprises.

Les tapes de de dveloppement de


linformatique des entreprises
Maturit

Gestion des
donnes
Intgration

Contrle

Contagion

Dcouverte

Les caractristiques
que de la fonction informatique :
la diction de linformation est rattache la direction gnrale. Cette
volution tr

1)Rattachement hirarchique de la fonction informatique :


la direction de linformation est rattache la direction gnrale.
Cette volution traduit la reconnaissance de limportance de la
fonction informatique dans lentreprise.
2)le comit informatique :
le comit informatique dtermine la stratgie de linformation,
lvolution de la structure de la configuration, lordre de priorit
des applications dvelopper et les grandes lignes de stratgie
de la scurit.
3)comits Ad Hoc :
dans les entreprises dune certaine taille, il est frquent de crer
pour rsoudre des problmes spcifiques, des comits Ad Hoc
regroupant soit des informaticiens seuls, soit des informaticiens et
des utilisateurs.

Les caractristiques
4)Gestionnaire infocentre :
la mise en place dun infocentre suppose une bonne
communication entre les informaticiens et les utilisateurs.
5)Gestionnaire de la scurit :
le rle du gestionnaire de la scurit est de coordonner et
contrler les actions relatives la protection du patrimoine des
ressources informatiques.

Les risques lis lorganisation


Caractristiques de lorganisation
Liaisons insuffisantes avec les utilisateurs

Risques
Incohrence

ou

insuffisance

des

stratgies

de

linformation et de la scurit ;Configuration mal


adapte aux besoins ;Evolution irrationnelle de la
configuration ;Dveloppements, sans relation avec
les besoins des utilisateurs.

Mauvaise sparation des tches lintrieur de la fonction et /ou Erreur


procdures dorganisation insuffisantes

;Fraude

;Malveillance;

Atteinte

la

confidentialit; Dtournement de ressources


Inefficacit.

Insuffisances des procdures de gestion du personnel

Erreur

Fraude;

Malveillance

Atteinte

confidentialit; Dtournement de ressources ;


Incomptence et inefficacit

la

Organisation et scurit des accs physiques

les ressources informatiques physiques reprsentent un


patrimoine important pour lentreprise. Ce patrimoine se
compose des matriels informatiques et des supports de stockage
des ressources logiques.
1) Actifs

informatiques protger:

- Actifs physiques centraliss la fonction informatique:


-Actifs physiques dcentraliss de la fonction informatique:
-Actifs logique :

2)Risques sur les actifs informatiques:


Risques

consquences

Destruction partielle ou totale des actifs informatiques, entranant Remise en cause de la prennit ; Perte dune partie de la
une rupture dans la continuit des traitements.

clientle ;
Perte

dexploitation ;

Perte

financire ;Rinvestissement,

si

lentreprise est son propre assureur, des actifs informatiques.


Chantage sur le contenu confidentiel dun support magntique des Remise en cause de la rputation de lentreprise ;Linfraction la
vol

loi Informatique et Liberts.

Transfert dinformations commerciales et techniques la

Remise en cause de la comptition commerciale et technique avec

concurrence.

des concurrents.

Installation dfectueuse du systme lectrique et de la climatisation

Remise en cause de la fiabilit des traitements et de lintgrit des


donns

Non-respect des rglements relatifs la scurit.

Mise en cause de la responsabilit du chef dentreprise ;


Non versement des indemnits par les assureurs pour nonconformit aux normes.

Organisation et scurit des accs physiques


Des causes de nature trs diffrentes sont la source
des risques prsents. Lorigine de ces dommages peut
tre interne lentreprise, comme le feu, ou externe,
comme le sabotage. Les causes des dommages sont
gnralement regroupes par catgorie.

-Accs

physiques aux actifs de linformatique non


contrls;
-Incendie;
-Dgts des eaux;
-Installation ou fonctionnement dfectueux du systme
de climatisation;
-Alimentation lectrique dfectueuse.

Organisation et scurit des accs physiques


3) Organisation gnrale de la scurit :

Un systme de scurit protgeant le patrimoine informatique


et assurant la continuit de lexploitation en cas de sinistre
ncessite le concours de professionnels diffrents. Deux groupes
de spcialistes sont concerns selon la nature des types de
scurit recherche :
la scurit, parfois qualifie de physique, concerne les moyens
de prvention contre lincendie, les irrgularits, dalimentation
en courant lectrique.
la scurit, parfois qualifie de logique, concerne les mesures
de sauvegarde et de redmarrage aprs une panne, un sinistre
ou une malveillance.

Organisation et scurit des accs physiques


4) Procdures de prvention
Un certain nombre de procdures permettant de
prvenir lentreprise des agressions dordre physique, ou
technique, ont t dveloppes.

Accs

physiques aux actifs informatiques

Incendie
Alimentation

lectrique

Organisation et scurit des accs physiques


5) Procdures de sauvegarde et de restauration

Les procdures de sauvegarde et de restauration ont


donc pour objectif dassurer la continuit dexploitation
aprs une panne, un sinistre ou un acte de malveillance.
Elles sont tablies sur la base dune organisation qui
fixe :
Les
La

ressources logiques sauvegarder;

priodicit des sauvegardes;


Le nombre dexemplaires de sauvegarde;
Le lieu de stockage;
Les procdures de restauration;
Les tests priodiques de restauration;
Le contrle priodique de la correcte application des
procdures.

Organisation et scurit des accs physiques

6) Assurance
Lorsque toutes les protections se sont avres inutiles
prvenir un dommage, il reste lassurance pour
couvrir le risque financier conscutif ce dommage.
Progressivement, les compagnies dassurance ont
propos des polices plus adaptes aux risques
informatiques.

Organisation et scurit des accs logiques

Le mode conversationnel autorise directement la


consultation, la mise jour et la modification des
ressources logiques. Les risques lis ce nouvel
environnement de travail sont un sujet de proccupation
pour le chef dentreprise et pour lauditeur. Par exemple,
quune personne non autorise efface, involontairement
ou volontairement, tout ou partie dune base de donnes,
et cest lintgrit du systme dinformation qui peut tre
remise en cause.

Organisation et scurit des accs logiques


1)Ressources

logiques protger

Les ressources logiques ncessitent une protection contre les


consquences dun accs non autoris, sont regroupes par
catgorie:
Systme

dexploitation;
Produits programmes;
Programmes;
Ordre de contrle;
Fichiers;
Bases de donnes;
Documentation (lorsquelles sont gnres par des traitements
informatiques).

Organisation et scurit des accs logiques


2) Risques sur les ressources logiques:
Risques

Consquences

Erreurs causes par des manipulations non autorises mais Remise


sans intention de nuire

en

cause

progressive

de

lintgrit

du

systme

dinformation

Fraudes entranes par lexploitation intentionnelle des absences Pertes dexploitation et financire,
de contrle du systme daccs aux ressources logiques

Remise en cause de la rputation de lentreprise.

Chantage sur le contenu des informations accessibles en mode Remise en cause de la rputation de lentreprise.
lecture.

Infraction la loi informatique et liberts.

Transfert dinformations commerciales et/ou techniques la Remise en cause de la comptition commerciale et/ou technique
concurrence.
Destruction
involontaire.

avec les concurrents.


dinformations

par

effacement

volontaire,

ou Remise en cause de la continuit dexploitation ;


Remise en cause de la prennit si non rparable.

Organisation et scurit des accs logiques


3)Organisation gnrale de la scurit:

La mise en place dune stratgie de lorganisation des accs


logiques suppose un travail dquipe entre informaticiens et
utilisateurs pour construire une architecture des contrles daccs
adapte aux besoins de lentreprise.
Lentreprise met en place cette stratgie phase par phase:
Identification

des domaines sensibles du systme dinformation;


Apprhension des risques par confrontation des domaines
sensibles aux possibilits daccs aux ressources logiques en
place.
Dtermination dune stratgie de la scurit.

Organisation et scurit des accs logiques


1)procdures

de prvention

Plusieurs techniques, complmentaires les unes des autres,


permettent dassurer un contrle prventif contre des accs non
autoriss aux ressources logiques :
Mise

hors site informatique des fichiers et programmes sensibles ;

Corrlation
Mots

entre organisation gnrale et rgles daccs ;

de passe ;

Codage

Dfinition
Un systme dinformation est
un ensemble organis de
ressources: matriel, logiciel,
personnel, donnes,
procdures, permettant
dacqurir, de traiter, de
stocker des informations (sous
forme de donnes, textes,
images, sons, etc.) dans et
entre organisations.

Objectifs du systme dinformation


- accompagner la mise en uvre de la stratgie
de lentreprise
- assurer ; le respect de la rglementation en
- assurer vigueur
la continuit
de lactivit de
;
lentreprise
en lacasgestion
dincidents
ou delogiques
- optimiser
des ressources
sinistreset; physiques ;
- assurer
une rponse
et prompte
- assurer
la fiabilit
des flexible
informations
lorsque
lentreprise doit procder des
produites
;
changements dorientation.

Les caractristiques dun systme


dinformation automatis

Lapport essentiel de linformatique


dans une organisation est dassurer
la disponibilit et la scurit des
outils et la conformit des services
rendus aux besoins des
oprationnels, en temps voulus et
en terme de fiabilit attendue.

Quelle est la diffrence


entre audit informatique
et audit des systme
dinformations ?

A loppos de la fonction informatique, les systmes dinformations ont,


ct de leur dimension technique, un impact organisationnel. Ils
constituent une part significative des autres processus parce quils
supportent, voire conditionnent, du fait de leur informatisation, une large
partie des oprations unitaires qui les composent et des rgles qui sy
appliquent.

Trop dapproches rductrices rduisent aujourdhui le systme


dinformation sa dimension technologique, rduisant ainsi lapproche de
la matrise des risques et par consquent, la dmarche daudit au seul
primtre de la fonction informatique de lentit.

Plus gnralement, on retiendra donc aujourdhui, de prfrence la


terminologie daudit informatique, celle daudit des systmes
dinformation, dcompose en deux approches : lvaluation de la
fonction informatique et lvaluation de la composante systme
dinformation

Exigences et normes daudit informatique


lautomatisation:
Appelle un complment de normes de travail de
lauditeur, plus particulirement sur les points
suivants:
Plan dapproche de laudit;
Nature et tendue de lapprciation du contrle
interne;
Planifications des travaux;
Comptence;
Preuve des travaux daudit.
Exige une adaptation de la dmarche de lauditeur
pour prendre en compte la complexit dorigine
informatique.

Normes daudit financier en milieu informatis de la


CNCC

Normes daudit financier en milieu informatis de la


CNCC

Formation de lauditeur linformatique

Formation minimal de lauditeur

cette formation permet lauditeur de matriser


objectivement les tches suivantes

Dtecter la ncessit du besoin de faire appel


un spcialiste;
Dfinir le domaine dintervention du spcialiste;
Superviser le droulement des travaux daudit
informatique;
Intgrer les conclusions de ces travaux avec les
autres conclusions de laudit.

Formation de lauditeur linformatique

Formation de lauditeur spcialis

Cette formation porte sur des connaissances


approfondies dans les domaines suivants:

Le fonctionnement des ordinateurs


la connaissance des caractristiques des
principaux systmes dexploitation;
Le traitement par lots et en temps rel;
Les rseaux;
Les systmes de gestion de bases de donnes;
Les produits programmes les plus courants;
Le langage de programmation;
Le langage de contrle;
Les progiciels daudit.

LLaudit des traitements automatiss

La dmarche daudit: contrles programms

Les diffrents types de contrle qui dterminent la


dmarche de lauditeur peuvent tre regroups en
quatre grandes catgories:

Contrles
gnraux de
lentreprise

Contrles
programms des
applications

Contrles de la
fonction
informatique

Contrle des
utilisateurs sur les
applications

La dmarche daudit: contrles programms


La

fiabilit dun systme dinformation automatis


dpend de limpact de plusieurs types de contrles :
-Contrle

interne
de
lenvironnement
de
lapplication (contrles gnraux, contrles de la
fonction informatique).
-Contrle

interne de lapplication
utilisateurs, contrles programms).

(contrles

La dmarche daudit: contrles programms


Une

application informatise est considre comme


complte, exacte et autorise, lorsque celle-ci a t conue
puis mise en uvre dans un environnement capable de
prvenir ou de dtecter la ralisation derreurs ou
dirrgularits.
A cet

effet, lerreur peut tre dfinie comme une


anomalie ayant pour origine une action non
intentionnelle , lirrgularit comme une anomalie ayant
pour origine, une action intentionnelle.

La dmarche daudit: contrles programms


le

traitement par lots : les programmes excuter ou


les donnes traiter sont groups par lot,
le traitement en temps rel : le traitement en temps
rel est un mode de traitement qui permet ladmission
des donnes un instant quelconque et lobtention
immdiate des rsultats,
le traitement en temps diffr : Ce mode de traitement
se caractrise par une validation de la saisie en temps
rel et une mise jour en traitement par lots.

Les risques spcifiques aux traitements automatiss


Etapes du flux manuel et
informatis des
traitements
Prparation

Saisie et validation

Causes derreurs ou dirrgularits

Risques

-perte physique de documents pendant son transfert ; Traitement incomplet


-absence de revue pralable des documents du lot ;
-Traitement inexact
-insuffisances des informations saisies sur le lot pour
les contrles ultrieurs.
-absence dautorisation pralable ;
-Traitement non autoris,
-insuffisance de contrle sur le transfert des donnes -introduction de donnes
par tlcommunication ;
fictives
-Traitement
incomplet
et/ou inexact
-dgradation de lintgrit du systme dinformation.

-Dgradation de lintgrit
du systme dinformation.

traitement de -insuffisance des procdures de validation ;


-Traitement inexact
validation
aprs - insuffisance des procdures de recyclage des -Dgradation de lintgrit du
saisie
anomalies ;
systme dinformation
-Traitement incomplet
traitement de -insuffisance des procdures dautomatisation ;
mises jour
- insuffisance des procdures de contrle de
lexcution ;
- insuffisance des procdures de contrle a posteriori ;
-pas de chemin de rvision.

traitement

(tri,
calcul)

-Traitement non autoris


-introduction
de
donnes
fictives
- Traitement inexact ;
-pas de contrle possible a
postriori ;
-difficults de vrification.

- insuffisance des procdures de contrle de - Traitement inexact


-Traitement incomplet
fusion, lexcution ;
-absence de contrle sur la fiabilit des informations -atteinte aux intrts de
produites par linformatique ;
lentreprise par suite de la
-distribution une personne ou un service non divulgation des informations
autoris ;
stratgiques ou confidentielles
-distribution tardive.
-perte defficacit.

Objectifs daudits

Lapprhension de la probabilit derreurs ou


dirrgularits pour une application est apprcie par
rapport la facult du contrle interne satisfaire les
objectifs daudit.
Objectif

dexistence
Objectif dexhaustivit
Objectif dvaluation
Objectif de comptabilisation

Objectif daudits
Objectif

dexistence

Toutes les donnes saisies et traites sont-elles


relles ?
ole contrle par squence :par ce type de contrle, le
systme refuse au moment de la validation, ou pendant
lexcution des traitements, les donnes ayant des numros
redondants.
ole contrle par rapprochement avec dautres donnes
stockes sur fichiers: ce contrle soumet condition
pralable lacceptation dune donne au stade de la saisie
ou de lexcution des traitements.
ole contrle des procdures daccs: la technologie
informatique offre la possibilit de protection contre les
entres non autorises de donnes, ou des modifications
non autoriss au systme dinformation de lentreprise.

Objectif dexhaustivit

Toutes les donnes saisies sont-elles enregistres et


traites ?
o

le contrle intgral: : il sagit dun examen intgral de la


bonne excution de la saisie.

le contrle par quivalence :il sappuie sur un


programme contrlant chaque jour que les quantits
livres (en tonnes, litres, paquets) galent les quantits
factures.

le contrle sur lexcution pralable dune rgle :il


sagit de contrles conditionnant lacceptation de la
saisie obligatoires de certaines donnes par exemple un
numro de compte.

Objectif dvaluation

Toutes les donnes saisies et traites sont-elles


correctement values ?

le contrle sur la zone denregistrement :par exemple, la


zone doit obligatoirement tre numrique.
le contrle par rapprochement avec dautres donnes
stockes sur fichiers: : cette technique rduit le risque
derreurs en confrontant la donne un intervalle de
valeur acceptable pour ce type de donne.
le contrle par lot : le plus souvent ce contrle ne peut
valider quune seul donne.

Objectif de comptabilisation

Toutes les donnes enregistres sont-elle correctement


comptabilises ?

Sous objectif dimputation : des procdures doivent exister pour


sassurer que les donnes sont dbites ou crdites dans les
bons comptes. (Exemple : gnralisation automatique de la
contrepartie comptable)

Sous objectif de totalisation : des procdures doivent exister


pour sassurer que les dbits et les crdits sont correctement
cumuls dans les journaux. (Exemple : total des dbits = total
des crdits)
Sous objectif de centralisation : des procdures doivent exister
pour sassurer que les informations relatives aux donnes
enregistres sont correctement centralises au grand-livre.
(Exemple : total des dbits des journaux = total des dbits du
grand livre).

on propose une mthodologie qui tient compte des


recommandations de la CNCC.

Connaissance
de
lenvironnemen
t

Evaluation
prliminaire

Examen
prliminaire

Plan
dapproche

Connaissance de lenvironnement
apprciation

de limpact sur lapplication des contrles


gnraux et des contrles de la fonction informatique de
lentreprise : lauditeur doit considrer quun environnement
gnral favorable au contrle interne nest pas une garantie
suffisante dune absence totale du risque;
valuation

de limpact sur lapplication des procdures


dautorisation permettant dintervenir dans le flux manuel
et informatis des donnes: cette apprciation porte sur
lexamen des organigrammes, des descriptions de fonctions et
des profils daccs.

Connaissance de lenvironnement
identification

des changements apports lapplication, depuis le


dernier audit, susceptibles davoir un impact sur les donnes
juges comme significatives par laudit: le flux informatis est
frquemment sujet dun changement. En consquence, limportance
dun chemin de rvision conservant lhistorique des modifications
aux programmes des applications prend ici toute son importance.
identification

de limportance et de la complexit de la
partie informatise de lapplication: lauditeur recherche si
lapplication fait appel des processus dinformatisation trs
simples, du domaine de la comptence de tout auditeur, ou au
contraire trs complexe, du domaine dun auditeur ayant reu
une formation approprie.

Examen prliminaire
identification des donnes significatives et
comprhension des tapes de traitements: les donnes
significatives sont identifies par lanalyse des documents
dentre/sortie, des dessins de fichiers essentiels aux
traitements de lapplication, des menus, et examen de la
documentation des utilisateurs et des informaticiens.
identification

par lauditeur des procdures ncessaires


de contrle: cette identification est ralise par la
confrontation des objectifs daudits aux risques de
lapplication tels quidentifis par lanalyse des
diagrammes de circulation de linformation.

Examen prliminaire

Deux cas peuvent se produire :


Soit

lauditeur dispose, dans les informations obtenues lors


de la phase de comprhension du systme, des lments pour
rpondre et il na pas besoin de faire de recherches
complmentaires ;
Soit il doit sadresser au personnel de lentreprise pour
obtenir des complments dinformation, labsence apparente
de contrle pouvant tre due une comprhension insuffisante
du systme. Dans ce cas, lauditeur doit sadresser un niveau
hirarchique ayant une vue densemble suffisante du systme.

Examen prliminaire
tests

dexistence: ce test consiste slectionner des donnes


significatives pour lesquelles lauditeur vrifie que les tapes
des traitements manuels et informatises, ainsi que les
procdures de contrle fonctionnent comme dcrits dans les
diagrammes de circulation de linformation et les narratifs.
Pour raliser ce test, lauditeur procde en partant du grand
livre, pour tre sr de slectionner des donnes qui ont t
entirement traites, puis remonte la description du systme en
prenant, chaque tape, une photocopie du document
concern.

Evaluation prliminaire
Dans ce cadre, lauditeur doit tre en mesure dapprhender les
lments suivants :
Les risques potentiels derreurs ;
Les procdures de contrle dveloppes par lentreprise pour
prvenir ou dtecter les erreurs ;
Limpact thorique des procdures de contrle, ou de leur
absence sur la probabilit des erreurs ;
Limpact des problmes lis lorganisation des tches entre
les fonctions, identifies laide des grilles de sparation des
tches ;
Limpact des procdures dorganisation et de contrle de la
fonction informatique sur le fonctionnement des procdures de
contrle de lapplication.

Evaluation prliminaire
Pour juger de lutilit des contrles dans le cadre de sa
mission, lauditeur recherche :
Sils sont vrifiables ;
Sil mrite dtre vrifi;
Si les procdures dautorisation et les procdures de
contrles de la fonction informatique ne remettent pas en
cause lefficacit des procdures de contrles de
lapplication.

Evaluation prliminaire

Lvaluation prliminaire va amener lauditeur


constater lune des deux situations suivantes :

Les contrles existants permettent datteindre les


objectifs et sont utiles ;

Les contrles existants ne permettent pas datteindre


les objectifs, ou ne sont pas utiles laudit .

Plan dapproche

Lvaluation prliminaire permet lauditeur dtablir et


de planifier lorganisation des tests suivants :

tests de vrification du fonctionnement des contrles:


lorsque lauditeur a lintention de sappuyer sur le
contrle interne dune application pour limiter, selon son
jugement, les tests sur les soldes des comptes;
tests tendus sur les donnes pour quantifier les risques
derreurs potentielles : lorsque les procdures de
contrles sont inexistantes, inefficaces ou insuffisantes

Plan dapproche
tests

limits sur les soldes des comptes : si les tests dj


mentionns dmontrent une absence raisonnable de
probabilit dexistence des risques derreurs.
tests tendus sur les soldes des comptes : si les tests
mentionns ci-dessus confirment ou montrent lexistence
de risques.
Lensemble des tests conduire par
lauditeur constitue le plan dapproche de laudit dune
application, les rsultats des deux derniers tests dpendent
des deux premiers.

Tests de vrification du
fonctionnement des contrles
Ces

tests concernent lobservation et lexamen de la


matrialisation des contrles. Ils ont pour objet de sassurer
que les procdures de contrle fonctionnent bien comme
nonces par lentreprise et comme compris par lauditeur.

Tests de vrification du fonctionnement des


contrles

Plusieurs techniques sont plus spcifiques linformatique :


Examen a postriori des listes danomalies produites par
lordinateur pour sassurer que les contrles programms
fonctionnent comme dcrits dans la documentation et
sont priodiquement analyss;
Saisie par lauditeur de donnes dans les traitements
informatiss et vrification du fonctionnement des
procdures de contrle,
Examen des programmes sources o sont cods les
contrles.

Tests de vrification du
fonctionnement des contrles
Aprs la ralisation des tests de vrification du
fonctionnement des contrles, lauditeur est confront
lune des deux situations suivantes :
les tests ne rvlent aucune anomalie : les conclusions
de lvaluation prliminaire sont confirmes et lauditeur
peut prparer son programme de contrle des comptes
selon les grandes lignes quil avait fixes dans le plan
dapproche de laudit ;
les tests rvlent des anomalies : lauditeur doit, dans
cette hypothse, valuer lincidence de linefficacit des
procdures de contrle et modifier en consquence le
plan initial dapproche de laudit.

Tests sur les donnes et les soldes


des comptes
Ces tests peuvent tre conduits manuellement ou en
utilisant les possibilits offertes par les techniques de
linformatique. Le choix entre ces deux natures de tests
est fonction :
de la population des donnes tester;
de limportance et de la complexit des informations
traiter ;
de lexistence, ou non, dun chemin de rvision sur
support papier; lauditeur doit prendre en compte le fait
que dans les systmes informatiques complexes et trs
intgr le chemin de rvision prend souvent la forme de
support magntiques.

Evaluation finale
Cette valuation porte fondamentalement sur la propension
des traitements satisfaire lobjectif de lauditeur en
matire de certification de la rgularit et de la sincrit
des comptes annuels. Paralllement cette valuation,
lauditeur doit porter la connaissance de la direction
gnrale les insuffisances notes dans lorganisation du
contrle interne des traitements.

Dfinition
Cette mthode permet de vrifier le fonctionnement des
programmes partir dun certain nombre de donnes fictives
(jeu dessai) que lon soumet aux traitements. Les rsultats
obtenus sont alors compars avec des rsultats prtablis.

Application
lauditeur doit au pralable dfinir les objectifs des tests
et les donnes concernes. Une fois le jeu dessai constitu,
lauditeur doit saisir les informations du jeu dessai.
Aprs avoir soumis le jeu dessai au traitement, lauditeur
rapproche les rsultats obtenus des rsultats prtablis, ce qui
suppose un dossier de travail bien document.

Dfinition

Cette technique consiste introduire des informations


concernant des donnes fictives qui ne seront ensuite pas prises en
compte dans les rsultats de lentreprise.
Ces oprations seront introduites dans les traitements, avec la
mme mthode et la mme priodicit que les informations relles.
Les donnes introduites sont repres et leur incidence compare
des rsultats prtablis.

Application
Cette technique suppose que le systme informatique ait t
conu en tenant compte de cette possibilit supplmentaire. Il faut
en effet que les programmes soient capables disoler ces donnes
fictives pour ne pas les intgrer dans les rsultats dfinitifs.
Ce type de fonctionnement est gnralement rencontr sur des
systmes pour lesquels il a t prvu un mode de travail essai ou
formation , destin aux utilisateurs pour les habituer aux
manipulations des logiciels.

Dfinition
La technique consiste capter, dans le cours normal
des traitements, des informations spcifiques dont la nature ou
les caractristiques (valeur, caractre exceptionnel) impliquent
un contrle a posteriori de l'auditeur.

Application
Dans une premire phase, l'auditeur doit effectuer une
prise de connaissance approfondie de l'application contrler.
A l'issue de ce travail, il est alors possible de dterminer la
nature des informations slectionner et l'tape du traitement
o doivent s'insrer les programmes de capture.

I. Les techniques utilises


II. Les outils d'audit informatique

1. Programmation classique
2. Programmes utilitaires
3. Micro-informatique

Dfinition
Le langage de programmation permet un ltre humain
d'crire un code source qui sera analys par ordinateur. Le
code source subit ensuite une transformation ou une
valuation dans une forme exploitable par la machine, ce qui
permet d'obtenir un programme.

Contraintes lies aux langages de programmation


La conception, l'criture et le test d'un programme sont
des oprations longues, mme lorsqu'il s'agit de programmes
simples. Si l'auditeur ne pratique pas rgulirement le langage,
son temps de radaptation est un lment supplmentaire
dans estimation du cot du test.

Dfinition
Sous ce vocable sont regroups un ensemble de
programmes fournis par le constructeur avec le systme
d'exploitation, et galement des programmes gnraux
dvelopps par la fonction informatique pour rpondre
rapidement des besoins soit de dpannage, soit de production
ponctuelle d'tats spcifiques.

Domaines couverts

1. Programmes de tri
2. Programmes de manipulation de fichier
3. diteurs
4. Langages d'interrogation

Champ d'application
Le dveloppement actuel des logiciels sur microordinateur et le cot de moins en moins significatif du matriel
conduisent tout naturellement l'auditeur se proccuper du
phnomne et envisager l'utilisation de la microinformatique.

Audit informatique et micro-ordinateur

Le micro-ordinateur fait maintenant partie de la panoplie de lauditeur. Le


dveloppement des techniques permet de l'envisager :

Soit comme terminal d'ordinateur configur comme terminal intelligent; il sera


possible de prparer des travaux, de les contrler, de les soumettre distance et
den rcuprer les rsultats;

Soit comme matriel autonome, disposant alors de fichiers sur disque dur, et
capable d'effectuer sur les fichiers des travaux de slection, de calcul, des tests
indiciaires.

I.

Dveloppement

II.

Mise en place

III.

Modifications

IV.

Intgrit

1.

Ncessit dune mthodologie de dveloppement ;

2.

Phase de dveloppement ;

3.

Critiques adresses aux mthodologies de dveloppement ;

4.

Nouvelles techniques de dveloppement.

Labsence de procdures rigoureuse de dveloppement a t la cause


frquente dchecs :

Projets qui nont pas vu le jour aprs des annes/hommes deffort ;

Projets nettement plus coteux que lestimation initiale ;

Projets non adapts aux besoins ;

Etc.

Objectif de gestion : Permettre la gestion et le suivi des cots

Objectif de fiabilit : Assurer un dveloppement qui ramne le


risque derreurs latentes un minimum.

Objectif de relations humaines : Impliquer suffisamment les


utilisateurs pour que le systme traduise correctement leur besoin et
sintgre avec les autres systmes de faon fiable et cohrente.

Schma des phases de dveloppement


Etudes de faisabilit

Prparation des

Procdures de recette

et tude fonctionnelle procdures


1

utilisateurs

Phase a
dominance
utilisateurs

Analyse organique
programmation tests
2

Phase a
dominance
informaticiens

Accroissement des cots ;


Production dune documentation trs volumineuse

Grande partie des efforts concentre au suivi des phases de la

mthodologie,

alors que le but initial est de dvelopper

rapidement un systme fiable et au moindre cot.

Prototype de systme

Lobjet de cette technique est de mettre la disposition des


informaticiens et des utilisateurs un systme de dveloppement plus
flexible que les mthodologies existantes, qui reposent sur une
dmarche squentielle ne permettant que trs difficilement des
modifications pendant les phases de dveloppement. Le prototype,
qui comprend les principales fonctionnalits du systme, est mis au
point avec les utilisateurs qui peuvent le faire modifier jusqu ce
quil donne toute satisfaction. Lorsque le prototype est accept par
les utilisateurs, le systme dfinitif est mis au point.

Infocentre
Linfocentre est une forme dorganisation qui a pour mission de
mettre les ressources informatique, la disposition des utilisateurs.
Les applications dveloppes

concernent gnralement des petits

programmes daide la dcision cods laide de langage dinterrogation.


Dans la pratique, on constate que certains utilisateurs dveloppent de
vritables systmes dinformation avec des fonctions de mise jour de
fichiers sans que ce processus fasse lobjet de contrles trs rigoureux.

Les phases de programmation, de tests et de jeux dessai sont


dveloppes dans un environnement de test. Lorsque les jeux dessai ont
montr que le systme fonctionnait la satisfaction des utilisateurs (recette
provisoire), les programmes du nouveaux systme sont transfrs dans
lenvironnement de production pour la mise en place (ou mise en
exploitation) du nouveau systme (recette dfinitive).

Un systme dinformation nest pas fig. Des changements de


lgislation, de nouveaux besoins des utilisateurs sont des exemples
frquents de causes de modification. Les modifications de systme sont
excutes selon des procdures qui cherchent prvenir ou dtecter le
risque derreurs, de fraudes ou de malveillance.

Pour le chef dentreprise, comme pour lauditeur, il est


fondamental que les traitements excuts par lexploitation
soient bien ceux qui ont t tests et accepts par les
utilisateurs. Une organisation informatique insuffisamment
protge peut tre la cause dune modification non autorise
de programmes linsu des utilisateurs.

Conclusion

Merci pour votre


attention