Travail ralis par :

-TSARADIA Marco -OROU GUIWA Sko Boro -NDOND OBONO MICHA Hermenegildo -Farah Ali Farah -Abdelilah CHERKAOUI 2351 2534 2494 2538 J

Encadr par Monsieur LOTFI

LENVIRONNEMENT ET LORGANISATION DE LA FONCTION INFORMATIQUE DE LENTREPRISE

Lobjectif est dapporter des lments de contexte gnral et de prsenter lorganisation de la fonction informatique. Il sera consacr la prsentation des fonctions gravitant autour du systme dinformation et aux bonnes pratiques de leur organisation.

A. ROLE ET CARACTERISTIQUES DES SYSTEMES DINFORMATION

1. ROLE DES SYSTEMES DINFORMATION DE GESTION

Le systme dinformation d'une organisation est constitu d'un ensemble de moyens, de ressources, d'lments organiss permettant de collecter, saisir, traiter, stocker et diffuser l'information. Cette dernire est ncessaire pour dcider, agir, prvoir, contrler et effectuer les activits dune organisation. L'amlioration de l'efficacit et de l'efficience des organisations est la proccupation permanente des dirigeants des entreprises. Dans une conomie qui se mondialise, o la concurrence devient de plus en plus froce, les organisations cherchent offrir davantage de services aux clients, l'information est de plus en plus une variable stratgique, essentielle et primordiale au processus de prise de dcision. Le systme d'information est aujourd'hui au cur de la cration de valeur au sein des entreprises et peut constituer un avantage comparatif par rapport la concurrence.
2. CARACTERISTIQUES DES SYSTEMES DINFORMATIONS

Actuellement, les dirigeants des entreprises sont soucieux de la rentabilit, de la capacit dvolution, et de la fiabilit de leur systme dinformation. Ainsi, ils sorientent vers des systmes : Globaux devant avoir une large couverture fonctionnelle permettant de prendre en charge lessentiel des processus et de centraliser lensemble des flux dinformation. Ils permettront ainsi doffrir des applications grant les activits de lentreprise et des outils de contrle de gestion, de pilotage et daide la dcision ; Ouverts sur dautres systmes par le biais dinterfaces permettant la gnration automatique des transactions et des critures comptables, ainsi que lchange des donnes informatises avec lensemble des partenaires ; Modulaires avec une conception du systme dinformation selon le principe de modules mtiers ;

 Orients client permettant de disposer dune vision globale de lensemble des informations des clients ; Fiables et scuriss permettant de restituer des informations fiables et de protger les donnes contre lensemble des risques pouvant menacer les systmes dinformation de lentreprise.

B. Rle et organisation de la fonction informatique

3. ROLE DE LA FONCTION INFORMATIQUE

Compte tenu de leur caractre stratgique, la fonction informatique doit jouer un rle central dans le pilotage et la gestion des systmes dinformation. Elle doit notamment, assurer lalignement de la stratgie informatique avec celle de lentreprise. Le rle de la fonction informatique diffre selon la taille et le degr de maturit de lorganisation informatique. La maturit de lorganisation informatique peut tre apprhende partir de deux aspects : Laspect organisationnel : lorganisation informatique est considre comme ayant atteint un degr lev de maturit si dune part, la relation entre linformatique et les utilisateurs est rgie par des contrats de services ou Service Level Agreement - SLA et si, dautre part, les utilisateurs reconnaissent le rle des directions des systmes dinformation (DSI) et simpliquent dans les projets informatiques ; Laspect fonctionnel et technologique : plus les systmes dinformation sont intgrs, ouverts sur les partenaires et utilisent les nouvelles technologies (Approche Clients Relationship Management - CRM, E-commerce, architecture client lger, Extranet etc.), plus lorganisation est considre comme ayant atteint un degr de maturit lev.

4. LORGANISATION DE LA FONCTION INFORMATIQUE

STRUCTURE DE LA FONCTION INFORMATIQUE Afin daccompagner le dveloppement spectaculaire des systmes informatiques grce lutilisation des nouvelles technologies, les directions des systmes dinformation (DSI) ont d sadapter en largissant les comptences de leurs ressources humaines et en se dotant dorganisations et doutils appropris. En effet, lorganisation des DSI a volu dune architecture centralise vers des structures plus tendues et ouvertes. La structure des DSI dpend des mtiers de lorganisation et des technologies utilises, du recours aux progiciels et des pratiques du management de lentreprise. Quelque soit la structure adopte par lentreprise pour cette fonction, deux activits principales nanmoins doivent tre assures savoir :

La gestion des oprations dexploitation informatique ; La gestion des oprations relatives lacquisition, le dveloppement et la maintenance des systmes informatiques.

Gnralement, la fonction informatique est organise de la manire suivante : Un directeur ou service informatique en charge de la supervision de la direction informatique, Une division ou service exploitation en charge des travaux d'exploitation des systmes de production, Une division ou service tudes et dveloppement en charge de la gestion des projets informatiques, une division ou service systmes en charge de la gestion et de la maintenance des systmes informatiques. Selon la taille de la direction des systmes dinformation et le degr de dveloppement des systmes informatiques de lentreprise, nous pouvons trouver dautres services comme par exemple : Le service tlcommunication ; Le service assistance aux utilisateurs (HelpDesk) ; Le service administration des bases de donnes (DBA) ; Le service administration rseaux ; Le service administration de la scurit informatique ; Le service assurance Qualit.

LES PRINCIPALES ATTRIBUTIONS DE LA DIRECTION DES SYSTEMES DINFORMATION Les principaux objectifs assigns la direction des systmes dinformation rsumer comme suit : peuvent se

Permettre linformatique de dlivrer un bon niveau de service aux utilisateurs et de pouvoir rpondre leurs attentes (qualit, dlais), en formalisant les relations et les responsabilits dans le domaine informatique des diffrents intervenants (personnel informatique, organisation, utilisateurs) ; Assurer un bon niveau de contrle des oprations de la direction informatique, en formalisant les contrles du personnel informatique et les tableaux de bord de la direction informatique ; Assurer la prennit des oprations de la direction informatique, en formalisant les procdures informatiques.

Ainsi, la direction des systmes dinformation dfinit et met en uvre les systmes dinformation, destins au pilotage et la gestion des diffrentes activits de lorganisation. A ce titre, elle est charge de dfinir, de mettre en place et de grer les moyens techniques ncessaires aux systmes dinformation et de communication, et de planifier leur volution dans le cadre dun schma directeur. Elle dfinit et met en uvre galement les contrles et les ressources informatiques (personnel, applications, technologie, utilitaires, donnes) qui permettent datteindre ses objectifs dans les domaines suivants : Le planning et lorganisation, Lacquisition et limplmentation, Lexploitation et la maintenance, Le monitoring (le pilotage).

5. LE DISPOSITIF DU CONTROLE INTERNE RELATIF A LORGANISATION ET LE PILOTAGE DE LA FONCTION INFORMATIQUE

Les procdures de contrle relatives lorganisation et au pilotage de la fonction informatique ont pour but de grer les risques qui menacent la ralisation des objectifs de la fonction informatique. Parmi les facteurs qui peuvent engendrer ces risques nous pouvons citer:

Mauvais environnement de contrle; Faible dispositif du contrle interne; Principe de sparation des tches non respect; Absence danalyse des risques ; Absence de systme de gestion des risques ; Absence de politiques relatives la gestion des applications ; Les rles et les responsabilits des utilisateurs et des informaticiens ne sont pas clairement dfinis ; Inexistence de manuel dadministration des systmes et des applications ; Absence ou non mise jour des guides dutilisation des systmes et des applications ; Incohrence des accs accords avec le principe de sparation des tches ; Absence de dfinition d'une charte de service entre les utilisateurs et linformatique.

Les bonnes pratiques en matire de pilotage de la fonction informatique

Les principaux instruments de suivi et de pilotage de la fonction informatique sont le comit informatique, les tableaux de bord et la charte de service (Service Level Agreement).

Comit directeur informatique Un comit directeur informatique est un instrument de gestion de haut niveau qui permet de sassurer que la mission du dpartement informatique est en harmonie avec les objectifs de lentreprise. L'objectif d'une telle entit est de pouvoir runir les membres cls de l'organisation afin notamment de : Revoir et valider la stratgie informatique court et long terme ; Fixer les priorits en matire de dveloppements informatiques ; Procder l'arbitrage en matire des demandes de maintenance importante ; Suivre l'avancement des diffrents grands projets ; Dfinir les grandes lignes d'une stratgie en matire de scurit.

Ce comit pourrait se runir par exemple semestriellement, et chaque runion devrait faire l'objet d'un compte rendu formalis distribu la Direction Gnrale ainsi qu'aux diffrents responsables des dpartements. Ce compte rendu pourrait contenir : L'ordre du jour du comit ; Les diffrents points abords ; Les dcisions prises ; L'ordre du jour du comit suivant. Les tableaux de bord La DSI devra mettre en place des indicateurs et des outils de suivi et de mesure des performances des activits et des cots des diffrentes fonctions informatiques. Les indicateurs dvaluation des performances pourront tre tablis en fonction de plusieurs axes danalyse (exemples : Contribution de la fonction informatique la stratgie de lentreprise, matrise des cots, productivit, disponibilit, etc.). A titre dexemple dindicateurs, nous pouvons citer : o o o o o o o o o o Le taux davancement des projets ; La frquence de maintenance corrective des applications ; Le turn over ; La part de la sous-traitance ; Le taux dutilisation des applications et des systmes ; Les incidents ; Le taux de disponibilit des applications, des systmes et des rseaux ; Le nombre dincidents par nature et par criticit ; Le taux de ralisation des budgets ; Le degr de satisfaction.

La charte de service Une charte de service (Service Level Agreement - SLA) est un contrat de service entre les services informatiques et les utilisateurs. Ce contrat devra tre tabli pour chacune des prestations assures par la DSI. Il doit galement prvoir les outils de mesure et de suivi de la satisfaction des utilisateurs, notamment en ce qui concerne : o La disponibilit des systmes et le temps de rponse des applications ; o La qualit du support utilisateur ; o La continuit dexploitation en cas de sinistre. Le dispositif du contrle interne relatif a lorganisation de la fonction informatique Afin que linformatique soit matrise, la Direction Gnrale et les directions utilisatrices devront tre impliques dans le dveloppement, la gestion, la mise en uvre et le contrle des systmes informatiques. Ainsi, la DSI devrait tre confie une personne ayant lexprience et les comptences requises. Elle doit tre rattache la Direction Gnrale, associe la stratgie de lentreprise et membre du comit informatique. Ses performances devront tre rgulirement suivies et values. Il est galement, recommand de dsigner un membre du directoire ou du conseil dadministration qui sera responsable du suivi et du contrle des activits de la fonction informatique. Les principales bonnes pratiques relatives au dispositif de contrle interne de la fonction informatique peuvent se rsumer comme suit : La mise la disposition de la DSI du personnel adquat compte tenu des missions assignes et des systmes et technologies utiliss ; Les applications critiques doivent avoir un support suffisant (au moins deux personnes ayant une bonne connaissance des systmes) ; La mise en place dun plan de remplacement du personnel cl ; La dfinition et la communication dune manire claire des rles et des responsabilits du staff. Il est noter que dans les organisations dune certaine taille un organigramme doit tre mis en place ; La dsignation dun responsable des questions et des problmes de la scurit ; La formalisation et la documentation des procdures informatiques ; La formation du staff de la fonction informatique sur les mtiers de lentreprise, les procdures et les technologies utilises ; Limplication des utilisateurs dans le dveloppement et la mise en uvre des systmes informatiques ; Lutilisation dune mthodologie rigoureuse pour le dveloppement, la mise en service des systmes et la documentation des applications ; Lexistence et lapplication des procdures de modification des programmes ;

 Limplication de la fonction dans les projets informatiques ; Lexistence de procdures formalises et communiques aux personnes concernes ; La sparation des tches entre les fonctions de spcifications fonctionnelles, de dveloppement des programmes, tests, mise en production, exploitation des applications, autorisation des transactions et de surveillance des donnes. Aprs avoir pass en revue le rle des systmes dinformation, lorganisation de la fonction informatique ainsi que les bonnes pratiques de contrle interne qui y sont lies, il convient dexaminer lenvironnement lgal des systmes informatiques.

DEMARCHE GENERALE DE LAUDIT INFORMATIQUE

Compte tenu de la complexit des systmes informatiques, les cabinets daudit internationaux ont dvelopp des mthodologies propres et des quipes spcialises dans laudit informatique. Dans le cadre du prsent travail, nous prsenterons une mthodologie daudit informatique dans le cadre dune mission daudit comptable et financier. La dmarche daudit informatique ne diffre pas, dans ses aspects mthodologiques, de lapproche de laudit comptable et financier. Elle se dcline en cinq phases: Cadrage de la mission ; Comprhension de lenvironnement informatique ; Identification et valuation des risques et des contrles affrents aux systmes; Tests des contrles; Finalisation de la mission. 1. Cadrage de la mission Le cadrage de la mission a pour objectif : De dlimiter le primtre dintervention de lquipe daudit informatique. Cela peut tre matrialis par une lettre de mission, une note interne, une runion pralable organise entre les quipes daudit financier et daudit informatique; De structurer lapproche daudit et organiser les travaux entre les deux quipes; De dfinir le planning dintervention; De dfinir les modes de fonctionnement et de communication; De dfinir les dlivrables. Lors de cette phase, lauditeur informatique prendra connaissance du dossier de lquipe de laudit financier (stratgie daudit, management letter, rapports daudit interne, points daudit soulevs au cours des prcdents audits, attentes du client...etc.). Cette prise de connaissance permettra lauditeur dorienter ses travaux lors des phases qui suivent.

2. Comprhension de lenvironnement informatique Elle a pour objectif de comprendre les risques et les contrles lis aux systmes informatiques. Elle peut se faire sur la base notamment, de la comprhension de lorganisation de la fonction informatique, des caractristiques des systmes informatiques et de la cartographie des applications. Elle doit permettre de dterminer comment les systmes cls contribuent la production de linformation financire.

3. Lorganisation de la fonction informatique Lors de cette tape, lauditeur devra comprendre notamment : La stratgie informatique de lentreprise: Il sagit de voir dune part, dans quelle mesure estelle aligne sur la stratgie globale de lentreprise? Et, dautre part, comment est-elle pilote? (Examen du plan informatique, du comit directeur informatique, des tableaux de bords... etc.). Le mode de gestion et dorganisation de la fonction informatique : Il sagit notamment de comprendre dans quelle mesure la structure organisationnelle de la fonction informatique est adapte aux objectifs de lentreprise. En outre, il faudrait apprcier si la fonction informatique est sous contrle du management. A cet effet, il faudrait examiner les aspects suivants: -Lorganigramme de la fonction informatique (son adquation par rapport aux objectifs assigns la fonction, la pertinence du rattachement hirarchique de la fonction, le respect des principes du contrle interne); -La qualit des ressources humaines (comptence, exprience, effectif, gestion des ressources, formation); -Les outils de gestion et de contrle (tableaux de bord, reporting, contrles de pilotage); -Les procdures mises en place (leur formalisation, leur respect des principes de contrle interne, leur communication au personnel); -La dlimitation des rles et des responsabilits, le respect du principe de sparation des tches. 4. Caractristiques des systmes informatiques Lauditeur devra se focaliser sur les systmes cls de faon identifier les risques et les contrles y affrents. Ainsi, il faudrait documenter larchitecture du matriel et du rseau en prcisant:

Les caractristiques des systmes hardware utiliss (leur architecture, leur procdure de maintenance, les procdures de leur monitoring). Les caractristiques des systmes software (systmes dexploitation, systmes de communication, systmes de gestion des rseaux, de la base des donnes et de la scurit, utilitaires).

5. Cartographie des applications cls La documentation des applications cls devrait tre effectue de prfrence, conjointement par lquipe de laudit financier et celle de laudit informatique. Les auditeurs financiers identifient les comptes significatifs compte tenu du seuil de matrialit de la mission. Les deux quipes recensent les processus qui alimentent ces comptes. Il reviendra par la suite, lquipe daudit informatique dinventorier les applications informatiques utilises dans ces processus ainsi que leurs caractristiques (langage de dveloppement, anne de dveloppement, bases de donnes et serveurs utilissetc.). Il y a lieu galement de prciser : o Le lien entre les applications ; o Les interfaces ; o Le mapping des processus dinitialisation des oprations jusqu leur comptabilisation dans les tats financiers ; o Les applications critiques ; o Les tats et les rapports permettant deffectuer des contrles et des tests daudit. La documentation de la cartographie des applications peut tre effectue en utilisant des diagrammes ou des tableaux complts par des narratifs. 6. Identification et valuation des risques et des contrles affrents aux systmes En plus des risques inhrents au business de lentreprise recenss par lauditeur financier, il y a lieu didentifier les risques lis aux systmes informatiques et au contrle dans un environnement informatis. Ils concernent aussi bien les risques lis aux contrles gnraux informatiques que ceux lis aux applications. Les principaux facteurs de ces risques ont t voqus au niveau de la premire partie de ce travail. Il y a lieu de noter quil faudrait se focaliser sur les risques ayant un impact direct ou indirect sur la fiabilit des tats financiers. Les risques lis la fonction informatique sont relatifs lorganisation de la fonction informatique, au dveloppement et mise en service des applications, la gestion de lexploitation et la gestion de la scurit. Une fois ces risques recenss, lauditeur devra valuer les contrles mis en place par lentreprise pour grer ces risques.

Lidentification des risques et lvaluation des contrles peuvent tre rcapitules sous la forme dun tableau reprenant les lments suivants: o o o o Les objectifs du business; Les risques de ne pas atteindre ces objectifs et les risques d'audit; Les contrles mis en place pour limiter ces risques; L'valuation par l'auditeur de l'alignement ou adquation du contrle par rapport aux risques; o Les rponses apportes en termes de dmarche daudit; o Les commentaires et recommandations formuler au client.

7. Tests des contrles Les tests des contrles informatiques peuvent tre effectus en utilisant aussi bien des techniques spcifiques aux environnements informatiss (contrles assists par ordinateurs, revue des codes, jeux de testsetc.) que des techniques classiques (re-performance, examen des pices et documents, observationetc.). Ces tests portent sur les contrles gnraux informatiques et les contrles dapplication. 8. Finalisation de la mission Une fois les travaux achevs et revus, les conclusions de ces travaux doivent faire lobjet de communications ultrieures au client et lquipe daudit. En effet, lissue des travaux, lauditeur value limpact des anomalies releves sur la fiabilit des tats financiers et ventuellement les travaux daudit spcifiques quil y a lieu daccomplir afin dobtenir une assurance raisonnable sur les tats financiers. Dans tous les cas, les conclusions doivent tre communiques lquipe daudit sous forme dun mmorandum comprenant les lments suivants : Un rappel du cadre et des modalits dintervention (date, dure de la mission, personnes rencontres, etc.) ; Un rappel des objectifs valids avec le client ; La description des travaux raliss et leur conclusion, notamment en termes dimpact sur la stratgie daudit ; Les points relevs ; Les objectifs ventuellement non atteints (cause, impact) ; Les lments connus prendre en compte pour les interventions futures (migration technique annonceetc.) ; Les opportunits de missions spciales.

De mme, les faiblesses de contrle interne doivent tre transmises au client sous forme de lettre de contrle interne comprenant les lments suivants : La synthse des points relevs ; Le cadre de lintervention ; Les remarques sur le pilotage de la fonction informatique ; Les remarques sur les contrles dtaills.

LES OUTILS DE LAUDITEUR INFORMATIQUE Lauditeur informatique peut disposer de deux types doutils importants dans le cadre de son activit :
Les mthodes danalyse des risques informatiques, Les progiciels daudit.
A- LES METHODES DANALYSE DES RISQUES INFORMATIQUES Il existe sur le march des diffrentes mthodes dont lobjectif est de fournir une valuation globale de scurit et des risques informatiques au sein dune entreprise. La plus clbre dentre elles est incontestablement la mthode MARION, labore par le CLUSIF ( Club de la scurit informatique Franaise), lAPSAIRD ( Assemble Plnire des Socits dAssurance contre lincendie et les Risques Divers). Ces mthodes ont toutes en commun de fournir : un questionnaire dvaluation du risque : chaque question donne lieu une notation de lenvironnement tudi ; une prsentation conviviale des rsultats de lvaluation, souvent aprs saisie des rponses au questionnaire sur un micro-ordinateur et traitement des rsultats.

La mthode MARION comporte six tapes :

Lanalyse des risques a pour objet le recensement des risques encourus et lvaluation du cot maximum des pertes conscutives chaque risque recens ; Lexpression du risque maximum admissible permet de dfinir, en accord avec la direction de lentreprise, le seuil critique au-del duquel le risque nest plus admissible ; Lanalyse de la scurit existante, base sur les rponses un questionnaire dvaluation, aboutit une synthse de risque encouru sous la forme de la clbre rosace. Lvaluation des contraintes permet de prendre en compte lexistant dans lanalyse des risques et la dfinition des remdes : contraintes techniques, humaines ;

Le choix des moyens dfinit les moyens mettre en oeuvre pour amliorer la scurit de manire cohrente La dfinition du plan de scurit dfinit les modalits pratiques selon lesquelles la scurit sera amliore.

B- LES PROGICIELS DAUDIT Ils trouvent leur utilit dans la plupart des missions confies lauditeur informatique. Ainsi :

dans le cadre dun audit dapplication, ils permettent de contrler le contenu des fichiers et
de dceler dventuelles anomalies ; dans le cadre de lassistance la rvision comptable, ils permettront de valider les rsultats de certains traitements, ou encore de mettre en vidence des informations anormales ou errones. Par abus de langage, on dsigne souvent sous le terme daudit informatique le dveloppement de programmes de contrle dans le cadre daudit comptable ou audit oprationnel. En ralit, linformatique nest alors quun outil mis disposition de lauditeur pour mener bien sa tche premire : laudit comptable a pour objet de vrifier la rgularit et la sincrit des comptes de lentreprise, laudit oprationnel de se prononcer sur la fiabilit et lefficacit dun cycle de lentreprise (approvisionnements, ventes, production..).

Compte tenu de la forte automatisation de la plupart des entreprises, leur contrle passe ncessairement de plus en plus par un contrle des applications informatises, ainsi que par lutilisation doutils informatiques destins rduire la dure de ces contrles tout en amliorant leur efficacit. Prenons lexemple du commissaire au compte auditant les immobilisations. Ralis manuellement, le contrle du calcul des dotations est la fois fastidieux et peu convaincant, compte- tenu de la faible taille de lchantillon quil est raisonnablement possible de valider. En revanche, lcriture dun logiciel, gnralement peu complexe, analysant le fichier des immobilisations, permettra de recalculer et de valider la dotation de lexercice. Qui plus est, des programmes complmentaires mettront en vidence dventuelles anomalies pour analyse : Liste des immobilisations dont la dotation cumule depuis lorigine est infrieure au minimum linaire (les dotations tant alors insuffisantes et les dotations irrgulirement diffres, car non comptabilises, tant finalement non dductibles fiscalement) ; Liste des immobilisations dont la date de mise en service diffre notablement de la date dinstallation ;

Parfois mme, lauditeur dveloppe des programmes pour connatre lincidence financire de ses remarques. Face des comptes clients insuffisamment provisionns, il crira un programme de recherche des crances anciennes et, si ncessaire, dvaluation du montant de la provision constituer. On le voit, linformatique est devenue aujourdhui loutil indispensable de lauditeur, sans la matrise duquel celui-ci ne pourra accomplir sa mission dune manire totalement efficace. De faon gnrale, cette technique vise dvelopper des programmes informatiques dont lobjectif est de contrler la fiabilit des applications audites. Des langages de programmation, particulirement adapts au dveloppement rapide de requtes danalyse des fichiers, ont parfois t abusivement baptiss des progiciels daudit. En ralit, certains de ces langages ont dautres objectifs de base, et ne sont quaccessoirement utiliss en matire daudit : Langages dinfocentre, pour analyse rapide des fichiers par utilisateur, Langages de dveloppement rapide de programmes ddition, destins aux informaticiens pour des sorties dtats peu complexes.

Les objectifs recherchs par la conception et la ralisation des programmes daudit varient et peuvent tre ventils en deux catgories :

Les programmes de slection pour analyse de certains enregistrements contenus dans les fichiers.
Les types de slection sont eux-mmes varis, Dans certains cas, il sagit dun simple chantillonnage : slection pour contrle dune facture sur 1000, slection des achats les plus significatifs par leur montant Parfois encore, ces enregistrements reclent des informations qui, quoique ntant pas ncessairement errones, justifient une recherche complmentaire par leur caractre exceptionnel : ditions des ventes pour lesquelles le pourcentage de remise au client est suprieur certain seuil, dition des immobilisations acquises antrieurement une certaine date. Dans dautres cas enfin, les slections correspondent systmatiquement des anomalies, que celles-ci soient issue dune erreur de programmation ou dune mauvaise application des procdures : tat des stocks ngatifs, tat des ventes perte, liste des codes articles figurant dans le fichier de facturation et ne figurant pas dans le fichier des rfrences article.

Les programmes de validation dinformations issues de lapplication

Lobjectif de lauditeur ici sera de valider les logiciels eux-mmes, pour certains traitements importants, gnralement en crivant un programme ayant les mmes fonctionnalits que celui qui est audit.

Si cette approche peut paratre surprenante, elle permet de dceler des erreurs bien inattendues. Ainsi, la rcriture dun programme de valorisation de stock aboutira t elle une valeur de 1251000,00 F alors que le programme officiel donne un total de 1151 000 francs. En loccurrence, le contrle ralis aura mis en vidence une insuffisance de capacit dune zone de travail du programme officiel. Cette zone ne comporte que cinq chiffres significatifs, un article dont la valeur totale tait de 106 000 francs navait t valoris que pour 6000 francs. Or, en prsence dun fichier trs volumineux, reprsentant une liste de plusieurs dizaines de pages, cette erreur pouvait fort bien passer inaperu lors dun contrle manuel.

Bien entendu, la rcriture pour contrle de certains programmes ne peut que rester une technique limite. Sa gnralisation conduisant en effet . A rcrire lapplication audite.

La Rvision Assiste par Ordinateur

La Rvision Assiste par Ordinateur est un outil informatique d'aide la rvision des comptes, destin l'expert-comptable et leurs collaborateurs. Il permet, aprs reprise de la balance du client, un suivi du dossier permanent, une analyse des risques, la constitution du dossier annuel, la prparation des feuilles matresses, et la passation d'critures d'oprations diverses.

Prsentation dun cas pratique de revue des systmes informatiques dans le cadre de lexamen du dossier financier
1. Objectif de la mission : Notre mission avait pour objectif dapprcier les informations contribuant llaboration du dossier financier. Elle a port sur lvaluation de lenvironnement informatique et sur la revue des applications informatiques qui gnrent les informations servant la production du dossier financier. 2. Evaluation de lenvironnement informatique : Lors de cette tape nous avons procd une revue des contrles gnraux informatiques. 3. Revue des applications informatiques : Lors de cette tape, nous avons identifi les principaux processus et les contrles cls y affrents dans un premier temps et par la suite nous avons procd aux tests de ces contrles.
3-1 Identification des processus et des contrles y affrents

Afin didentifier les processus significatifs, nous avons labor la cartographie des flux dinformation de la compagnie et avons analys la provenance des donnes servant llaboration du dossier financier. Ainsi nous avons retenu deux grands processus savoir: o La gestion des sinistres; o La gestion de la production.

En effet, le dossier financier est tabli sur Excel (processus manuel qui est dcrit dans lannexe). Mais la majorit des informations proviennent des deux processus cits ci-dessus et certaines donnes proviennent directement de la comptabilit.

Les processus de la production et des sinistres sont grs par un progiciel dont le noyau a t acquis par la compagnie la fin des annes 80 et qui a t complt par des dveloppements spcifiques effectus par lquipe interne.

Lors de cette intervention, nous avons tabli le mapping de ces processus et de leurs sousprocessus ce qui nous a permis didentifier : o Les entres ; o Les traitements; o Les sorties ; o Les contrles ; o Les interfaces.
3.2 Tests des contrles identifis

Une fois les contrles cls identifis, nous les avons tests. Ces derniers ont t mis en oeuvre de faon sassurer de: o Lexhaustivit, lexactitude et la ralit des donnes saisies et des traitements ; o La scurit logique relative aux applications; o Lexhaustivit et lexactitude des sorties; 4. Rsultat des travaux et conclusions A lissue de nos travaux, nous avons conclu que les donnes produites par les systmes mtiers sont globalement fiables. Toutefois, nous avons relev des faiblesses aussi bien au niveau de lenvironnement informatique quau niveau des applications.
4.1 Faiblesses relatives lenvironnement informatique.

Principaux points faibles sur le plan technique : o Systme dinformation coteux en termes de maintenance matriel et logiciel; o Non ouvert en terme darchitecture; o Forte dpendance vis--vis de lditeur; o Structure en fichiers plats rendant difficile la restitution rapide de linformation laide doutils standards de type SQL ou Query ; o Toute demande de modification spcifique ncessite un programme en Cobol.

Principaux points faibles sur le plan de la scurit : o Absence dun plan de scurit dfinissant la politique de scurit informatique et les procdures de sa revue ; o Absence dun responsable ddi la scurit des systmes dinformation ; o Les dispositions de la scurit physique relative laccs aux salles des machines informatiques sont perfectibles ; o Absence de procdures de revue des profils utilisateurs ; o Absence de changement rgulier des mots de passe au niveau de certaines applications ;

4.2 Faiblesses relatives aux applications

Principaux points faibles relatifs la production des tats du dossier financier o Le processus dtablissement des tats du dossier financier est manuel (tableur Excel) ; o Non respect du principe de sparation des tches (la mme personne tablit un tat et procde son contrle).

Principaux points faibles relatifs aux applications informatiques en amont du dossier financier o Absence de procdures de saisie/validation et de lannulation des quittances ; o Absence dinterface entre le suivi des primes et les mises en demeure ; o Absence du suivi de la compensation des sinistres (risque du double rglement des sinistres).