UNIVERSIT DU QUBEC MONTREAL

LAUDIT DES SYSTMES DINFORMATION : RFLEXION SUR LVOLUTION DE LA PROFESSION

TRAVAIL DIRIG PRSENT COMME EXIGENCE PARTELLE DE LA MATRISE EN SCIENCES COMPTABLES

PAR ENNOURI MOEZ

SEPTEMBRE 2002

REMERCIEMENT

Dabord Dieu, qui nous devons reconnaissance pour la vie.

Ensuite mon pre, qui a su soublier pour me permettre une vie panouie dans le bonheur, la joie et lamour.

mon directeur de recherche, M. Guy Villeneuve, pour son encadrement et ses encouragements qui ont permis la ralisation de ce travail.

M. Jean Milzi, V-P de lassociation des professionnels de laudit et du contrle des systmes dinformation, pour mavoir consacr son temps et ses comptences et pour ce que nos entrevues ont eu de passionnants et motivants.

Mme Anne Fortin, directrice du programme de la matrise en sciences comptables, pour son srieux, son ouverture et sa comprhension.

Finalement ma famille, mes amis et tous ceux qui mont enseign, encourag et support tout au long de mes tudes.

Merci!

TABLE DES MATIRES

LISTE DES FIGURES ........................................................................................................vi LISTE DES TABLEAUX ..................................................................................................vii RSUM ............................................................................................................................. ix CHAPITRE 1 INTRODUCTION .............................................................................................................. 1 1.1 Problmatique et sa justification............................................................................... 1 1.2 Organisation du travail dirig................................................................................... 2 1.3 Choix de la terminologie............................................................................................ 3 CHAPITRE 2 CADRE MTHODOLOGIQUE ....................................................................................... 5 2.1 Introduction ................................................................................................................. 5 2.2 Slection des rpondants ........................................................................................... 5 2.3 laboration du questionnaire.................................................................................... 6 2.3.1 Le prtest du questionnaire ............................................................................ 7 2.3.2 La collecte des donnes ................................................................................... 8 CHAPITRE 3 EST-CE QUE LAUDIT DES SYSTMES DINFORMATION EST VRITABLEMENT UNE PROFESSION ?...................................................................... 9 3.1 Rponse de lauteur .................................................................................................... 9 3.2 Arguments de lauteur ............................................................................................... 9 3.3 Discussion et analyse................................................................................................ 10

iii 3.3.1 Traits professionnels ...................................................................................... 10 3.3.2 volution du corpus de connaissance ......................................................... 12 3.3.3 volution des professionnels dans leur carrire........................................ 19 3.4 Point de vue avant lenqute ................................................................................... 22 3.5 laboration des questions pour ltude ................................................................. 23 3.5.1 volution des connaissances dans le domaine de laudit SI .................... 23 3.5.2 volution des professionnels dans leur carrire........................................ 24 3.6 Rsultats de lenqute............................................................................................... 26 3.6.1 largissement des connaissances dans le domaine de laudit SI............. 26 3.6.2 volution des professionnels dans leur carrire........................................ 30 3.7 Conclusion ................................................................................................................. 34 CHAPITRE 4 JUSQU QUEL POINT LES ORGANISMES SONT SRIEUX AU SUJET DES TRAVAUX DAUDIT DE SYSTMES DINFORMATION ? ..................................... 35 4.1 Rponse de lauteur .................................................................................................. 36 4.2 Argumentation et points critiques.......................................................................... 36 4.2.1 Manque dun cadre de rfrence.................................................................. 37 4.2.2 Degr de comprhension des objectifs de laudit des SI........................... 37 4.2.3 Importance accorde par les dirigeants laudit des SI ........................... 38 4.2.4 Ressources alloues laudit des SI au sein de lentreprise ..................... 38 4.2.5 Degr de srieux des professionnels envers laudit des SI....................... 38 4.3 Analyse et discussion ............................................................................................... 39 4.3.1 Manque dun cadre de rfrence.................................................................. 39 4.3.2 Degr de comprhension des objectifs de laudit des SI........................... 46 4.3.3 Importance accorde laudit et aux auditeurs des SI ............................ 47 4.3.4 Ressources alloues laudit des SI au sein de lentreprise ..................... 50 4.4 Point de vue avant lenqute ................................................................................... 56 4.5 Rsultats de lenqute............................................................................................... 56 4.5.1 Cadre de rfrence ......................................................................................... 56

iv 4.5.2 Degr de comprhension des objectifs de laudit des SI........................... 57 4.5.3 Importance accorde laudit et aux auditeurs des SI ............................ 58 4.5.4 Ressources alloues laudit des SI au sein de lentreprise ..................... 62 4.5.5 Degr de srieux des professionnels externes............................................ 63 4.6 Conclusion ................................................................................................................. 64 CHAPITRE 5 QUELLE EST LTENDUE DE LAUDIT DES SYSTMES DINFOMATION ?.... 66 5.1 Rponse de lauteur .................................................................................................. 66 5.2 Arguments de lauteur ............................................................................................. 66 5.3 Discussion et analyse des arguments..................................................................... 67 5.3.1 Champ dintervention de laudit des SI ...................................................... 67 5.3.2 Normes pour la pratique professionnelle ................................................... 70 5.3.3 Caractre prventif de laudit SI .................................................................. 74 5.4 Point de vue et laboration des questions ............................................................. 75 5.5 Rsultats de lenqute............................................................................................... 76 5.6 Conclusion ................................................................................................................. 79 CHAPITRE 6 EST-CE QUE LA RELATION ACTUELLE ENTRE AUDITEURS DE SYSTME DINFORMATION ET AUDITEURS FINANCIERS FONCTIONNE ? ................... 80 6.1 Rponse de lauteur .................................................................................................. 80 6.2 Arguments de lauteur ............................................................................................. 80 6.3 Discussion et analyse................................................................................................ 81 6.3.1 Diffrence entre audit des SI et audit financier.......................................... 81 6.3.2 Intgration entre auditeur SI et auditeur financier ................................... 83 6.3.3 Formation interdisciplinaire ......................................................................... 85 6.4 Point de vue avant lenqute ................................................................................... 87 6.5 Rsultats de lenqute............................................................................................... 88 6.5.1 Diffrence entre audit des SI et audit financier.......................................... 88

v 6.5.2 Intgration entre audit SI et audit financier ............................................... 90 6.6 Conclusion ................................................................................................................. 91 CHAPITRE 7 EST-CE QUUNE COMBINAISON DES TRAVAUX INTERNE ET EXTERNE DAUDIT DE SYSTMES DINFORMATION PEUT SE FAIRE RELLEMENT ? 92 7.1 Rponse de lauteur .................................................................................................. 92 7.2 Arguments de lauteur ............................................................................................. 92 7.3 Discussion et analyse................................................................................................ 93 7.4 Point de vue avant lenqute ................................................................................... 94 7.5 Rsultats de lenqute............................................................................................... 96 7.6 Conclusion ................................................................................................................. 97 CHAPITRE 8 CONCLUSION, LIMITES ET AVENUES DE RECHERCHE .................................... 98 8.1 Conclusion ................................................................................................................. 98 8.2 Limites de la recherche........................................................................................... 101 8.3 Avenues de recherche ............................................................................................ 102 BIBLIOGRAPHIE ........................................................................................................... 104 APPENDICE A QUESTIONNAIRE......................................................................................................... 108 APPENDICE B ENTREVUES................................................................................................................... 121 APPENDICE C GUIDE DAUDIT ........................................................................................................... 132

LISTE DES FIGURES

Figure

Page

3.1 3.2 3.3 4.1

volution des approches sur les traits professionnels .... Rpartition des membres de lAFAI par origine professionnelle . Rpartition de titres professionnels dtenus par les rpondants . Information sur COBIT.

10 13 26 44

LISTE DES TABLEAUX

Tableau

Page

3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 4.1 4.2 4.3 4.4 4.5

Tableau reprsentatif des dimensions (occupation / profession) Cumul du titre CISA avec dautres titres professionnels ....... Apprciation de la formation universitaire .. Contribution des recherches et publications .... Effort entrepris par lISACA ... Exprience des rpondants . Opportunit davancement pour lauditeur SI .... Autonomie de lauditeur lors de lexcution des travaux daudit SI..... Importance de la fonction audit SI dans les entreprises . Maintien de lauditeur SI qualifie par son entreprise ... Perspective de carrire en audit SI ..... Utilisation ou planification pour lutilisation de COBIT Utilisation ou planification pour lutilisation du CSA par lentreprise Rsultats de lutilisation ou planification pour lutilisation du COBIT ... Perception sur la confusion des attributs de laudit SI ... Degrs de comprhension des objectifs de laudit SI par les dirigeants ..

11 27 28 29 29 30 32 32 33 33 33 46 49 57 57 58

viii 4.6 4.7 4.8 4.9 4.10 4.11 4.12 4.13 4.14 5.1 5.2 5.3 5.4 6.1 6.2 6.3 6.4 6.5 7.1 Importance accorde laudit SI .... Participation de la direction dans la planification de laudit SI Rsultat de lutilisation ou planification pour lutilisation du CSA . Coordination entre lauditeur SI et le comit daudit . Support de la direction lors de la planification pour laudit SI . Apprciation du plan de relve de lentreprise en cas de sinistre .... Moyens et outils affects laudit SI . Effectif dauditeurs SI dans les entreprises ... Revue des contrles par les auditeurs SI externes ... Charte de mission pour laudit SI .. Apprciation de la planification de la mission daudit SI .. laboration du plan annuel daudit des SI ... Perception sur la fonction daudit SI . Fonctionnalit de la relation entre auditeur de SI et financier .. Compatibilit dobjectifs entre audit SI et financier .... Importance accorde loutput de laudit SI ... Apprciation de la collaboration entre auditeurs SI et financier .. Collaboration entre auditeurs SI et financier ... Apprciation de la collaboration entre auditeur SI interne et externe.. 59 59 60 60 61 61 62 63 64 77 77 78 79 88 88 89 90 91 96

RSUM

Ce travail a pour thme gnral lvolution de laudit des systmes dinformation en tant que profession. Il sarticule autour des faits saillants quinvoque Dunmore (1989) dans son article intitul Farewell to the Information Systems Audit Profession. La rflexion de lauteur constitue une base de constats marquant les conditions de lexercice de la fonction daudit des systmes dinformation (SI) au sein des entreprises. Lobjectif de notre travail consiste tracer les changements qui auraient eu lieu depuis cette poque. Afin datteindre notre objectif, nous avons consacr un chapitre chacune des questions poses par Dunmore (1989) o nous avons analys les arguments quil invoque pour y rpondre. Des lments de discussion sont venus enrichir nos rflexions par le biais dun questionnaire destin aux professionnels de laudit et du contrle des SI. Le questionnaire a t envoy aux auditeurs des SI dans la rgion de Montral qui sont membre de lassociation des professionnels de la vrification et du contrle des systmes dinformation, APVCSI. Il a t dvelopp afin de mesurer les perceptions de ces derniers sur les lments apports par Dunmore (1989). Le taux de rponse de 28.46% montre lintrt des participants lgard des critres recherchs travers notre outil pour ramener des lments pratiques des questions touchant lvolution de ces professionnels dans leur carrire. Lanalyse des informations recueillies nous donne un bon aperu sur lvolution que connat le domaine de laudit des SI, et de ltat actuel des conditions avec lesquelles laudit des SI est exerc, ce qui nous a aid exprimer notre point de vue sur chacune des questions examines. Les rpondants jugent quil y a eu un enrichissement considrable du corpus de connaissance depuis 1989. Les professionnels en audit SI qui ont rpondu notre tude affirment quils ont tendance continuer leur carrire dans ce champ dexpertise. Les rponses sont venues confirmer nos attentes sur plusieurs points. En effet, selon les participants au sondage, il semble que la situation des auditeurs des SI ait connu des changements intressants sur certains points mais reste prs de ltat tel que constat par Dunmore en 1989. Ainsi, certaines caractristiques de

x lorganisation des travaux daudit SI, les limites de la situation matrielle et morale des auditeurs, soit lintrt manifest par les dirigeants des entreprises, le personnel affect, les directives guidant leur intervention et les moyens mis leurs dispositions sont des facteurs qui semblent confirmer les nonces de Dunmore sur le soutien faible quaccordent les dirigeants cette fonction. Les participants ont indiqu que le manque de ressources qualifies sur le march de lemploi empche une plus grande expansion de ce domaine. Cette situation semble tre occasionne par un manque de programme de formation universitaire en audit des SI qui relie les connaissances thoriques la pratique professionnelle. Compte tenu de la nature des missions et de la diversit des domaines couvrir, lauditeur des SI se doit donc de possder une formation solide et une exprience prouve en informatique, en audit et en conseil. Dans un second temps, ltude permet de faire ressortir quil y a une diffrence dans les perceptions des auditeurs internes par rapport aux auditeurs externes sur les conditions qui entourent lexercice de cette fonction.

CHAPITRE 1

INTRODUCTION

1.1 Problmatique et sa justification

Louverture des marchs, lmergence de nouvelles technologies, lexplosion des moyens de communication dfinissent de nouveaux contextes pour les organisations. Le systme dinformation ne constitue pas seulement un lment essentiel dans la gestion, il devient lui-mme stratgique pour les entreprises soucieuses de se doter davantages concurrentiels durables. Il est de plus en plus indispensable de mesurer ses performances, de veiller sa cohrence densemble, sa conformit aux normes, aux critres de qualit et de scurit.

Dans ce contexte, les auditeurs en systmes dinformation (SI) jouent un rle dterminant. Lauditeur des SI qui est charg dtablir rapidement un diagnostic, se trouve demble au cur des problmes de lorganisation dont il value le SI. Bien que des recherches empiriques aient t ralises dans lenvironnement de gestion des SI, il ny a pas eu dans le pass, un corps de connaissance ou thories qui sintressent aux seuls besoins de laudit des SI. En consquence, Dunmore (1989) a soulev plusieurs questions concernant le futur de laudit des SI comme profession.

2 tant donn lintrt accru de ce champ dactivit, la rvolution que connat la technologie de linformation depuis 1989, sa prsence et son incidence sur le traitement des donnes au niveau des entreprises, nous avons estim que certaines questions importantes souleves lpoque devraient tre rvalues et cest ces dites questions que nous tentons de trouver rponse dans notre travail dirig afin dexaminer de prs le champ dintervention et lvolution de laudit des SI en tant que profession.

Les questions poses par Dunmore (1989) sont les suivantes:

1. 2.

Est-ce que laudit des SI est vritablement une profession? Jusqu quel point les organismes sont srieux en excutant des travaux daudit de SI ?

3. 4. 5.

Doit-on tre srieux au sujet de laudit des SI ? Quelle est ltendue de laudit des SI? Est-ce que la relation actuelle entre auditeurs de SI et auditeurs financiers fonctionne?

6.

Est-ce quune combinaison des travaux interne et externe daudit des SI peut se faire rellement?

1.2 Organisation du travail dirig Cette section prsente la manire dont ce travail est organis. Notre tude est cense apporter une contribution aux questions poses par lauteur avant quil dise adieu la profession daudit des SI. Ainsi, treize ans plus tard, en reprenant les constatations souleves depuis 1989, nous examinons de prs le champ dintervention et lvolution de laudit des SI en tant que profession.

3 Sont prsents et discuts dans un chapitre, chacun des six questions souleves et les diffrents points de largumentation qui accompagnent les rponses de Dunmore (1989). Notre analyse se base sur des lments recueillis dans la littrature produite par les professionnels et chercheurs en matire daudit des SI. Afin de constater lvolution de la situation, une discussion suit la rponse et largumentation de lauteur.

Notre discussion montre les changements observs sur le terrain de la pratique professionnelle de laudit des SI, et ceux par le biais de nos entrevues avec les professionnels (Appendice B) et sur la base des rponses nos interrogations formules dans un questionnaire administr aux praticiens (Appendice A). En effet, on a jug intressant de runir lavis des praticiens sur certaines constatations de Dunmore (1989) par le biais dun questionnaire. Dautres lments soulevs par lauteur sont confirms par la littrature et nos entrevues, ce qui a rendu notre questionnaire plus souple et allg. Par les constatations et observations faites, on a pu formuler un point de vue sur les lments traits par lauteur avant lenqute. la fin de chaque chapitre, nous prsentons une conclusion qui tient compte des rponses recueillies par notre questionnaire sur la question initialement souleve.

1.3 Choix de la terminologie Le choix de notre part quant lutilisation du terme audit au lieu du terme vrification se trouve motiv par lemploi de ce mot dans le dictionnaire de la comptabilit et de la gestion financire, Mnard (1994). Il est noter que les termes audit et auditeur seront utiliss dans ce travail mais que les termes vrification et vrificateur restent les plus populaires en pratique comptable au Qubec. Cependant, en plus des termes audit et vrification, le terme certification devient de plus en plus utilise depuis quelques annes.

4 Dautre part, loffice gouvernemental de la langue franaise (OLF)1 propose la traduction audit des SI/audit informatique comme quivalent lappellation en anglais de linformation systems audit et donne la dfinition que nous prsentons :

Audit des SI : opration de diagnostic qui analyse de faon exhaustive et globale le fonctionnement dun centre ou dun service informatique, afin de mesurer ladquation entre les ressources matrielles et humaines mises en uvre, les besoins de lentreprise, les objectifs recherchs et les rsultats attendus.

Note(s) : La vrification informatique diffre de laudit informatique : elle dcrit un vnement sans tablir de diagnostic et elle ne porte pas sur la globalit des activits ou des vnements. Certains audits informatiques peuvent porter sur des facettes nvralgiques des activits. Cest le cas de laudit de scurit, notamment. [Office de la langue franaise, 2000]

Ce mme organisme gouvernemental classe laudit des SI dans la dfinition des domaines de mtiers pour lappellation demploi informatique et propose lquivalent du mot anglais information systems auditor comme tant auditeur informatique/auditeur SI. La dfinition suivante est propose:

Auditeur des SI : personne spcialise dans laudit informatique, qui possde une expertise tendue en technologies de linformation et qui a habituellement obtenu un certificat de comptences dlivr par un organisme autoris. [Office de la langue franaise, 2001]

Office de la langue franaise. Organisme gouvernemental du Qubec. http://www.olf.gouv.qc.ca/ (Janvier 2002)

1

CHAPITRE 2

CADRE MTHODOLOGIQUE

2.1 Introduction Ce chapitre examine comment sest faite la collecte de donnes, les techniques dcrites sont principalement : lentrevue, lobservation et un

questionnaire. Il sagit pour nous de rpondre aux nonces de Dunmore (1989) daprs la perception des auditeurs des SI deux-mmes et de leur contexte de travail.

2.2 Slection des rpondants Nous avons entrepris des dmarches pour rencontrer les professionnels en matire daudit et contrle des SI, la collecte de nos informations dcoule des entrevues, courriers lectroniques et discussions avec des auditeurs de SI et repose sur la gnration de questions spontanes dans le flot naturel dune entrevue ouverte.

Aussi, on a pu avoir plusieurs rencontres auprs de membres du bureau excutif de lAssociation des Professionnels de la Vrification et du Contrle des systmes dinformation, APVCSI, qui est le chapitre tabli Montral et qui reprsente lassociation mondiale qui regroupe les professionnels de laudit et du

6 contrle des systmes dinformation, ISACA Information Systems Audit and Control Association. Ainsi notre projet de travail a t discut avec certains responsables de lAPVCSI avec qui nous avons eu loccasion de nous entretenir (Appendice B).

La relation tablie avec les auditeurs des SI, leurs commentaires repris dans le rapport, leurs attentes par rapport ce travail sont autant de proccupations qui confirment lintrt que portent ces derniers au sujet de ltude. La mthodologie utilise consiste expdier un questionnaire tous les auditeurs des SI, membres de lAPVCSI qui reprsente un effectif de 130 membres. Afin de faire participer le plus grand nombre possible dauditeurs de SI notre tude, nous avons privilgi lenvoie du questionnaire par courrier lectronique. Cette formule nous a permis entre autre de rduire nos cots et les dlais.

2.3 laboration du questionnaire Pour laborer ce questionnaire, il a fallu tablir au dpart ce que lon dsirait chercher comme information, ceci correspond dans le cas actuel aux perceptions des auditeurs des SI quant aux inquitudes formules par Dunmore (1989). Donc le questionnaire doit tre conu de manire obtenir des points de vue sur certains nombres de questions affrentes lvaluation de lenvironnement de la fonction daudit des SI en se basant sur les lments invoqus par lauteur dans sa rponse aux dites questions. Aprs cette tape, il a fallu se demander comment ces informations devraient tre mesures. Pour cela, on a examin certaines publications de mthodologie en la matire et on a consult les questionnaires existants pour fin dinspiration et de prsentation, (Latour (1996) et Lucky (1999). partir de ces suggestions un questionnaire a t labor et complt par trois entrevues avec certains membres de notre chantillon vis pour vrifier les termes choisis ce qui constitue un prtest oral de notre outil.

7 La formulation de nos questions est le fruit dune rflexion qui est bas sur les lments de rponse et les constatations de Dunmore (1989) afin darriver comparer les points de changement avec la situation dcrite lpoque et de nous aider interprter les rsultats et enrichir ainsi notre discussion. Aprs ces diverses tapes le questionnaire tait enfin prt pour le prtest crit.

2.3.1 Le prtest du questionnaire Afin de vrifier empiriquement la qualit du questionnaire et le perfectionner, nous lavons soumis un prtest. En effet, le prtest est une opration prcieuse qui amne des modifications au questionnaire initial. Notre proccupation ce stade, tait de prvoir comment les futurs rpondants ragiraient aux questions. Trois principaux critres ont t respects ce niveau : la clart (qui assure la comprhension), la pertinence (qui renvoie la capacit des informateurs de rpondre) et la neutralit (qui favorise des rponses authentiques). Il importe galement damener les rpondants accepter de rpondre et ainsi de minimiser les refus (Blais, 1993). Dailleurs, afin de se prparer cette tape, nous nous sommes inspirer des recommandations dictes par cet auteur en ce qui trait aux diffrents critres respecter dans la formulation.

La validation du questionnaire a dbut par le prtest de la version prliminaire du questionnaire auprs de trois membres du bureau excutif de lAPVCSI. Pendant que les rpondants, runis dans une salle de confrence, rpondaient au questionnaire, nous avons assist en tant quobservateur afin de nous assurer que les questions qui soulvent des problmes dambigut, de pertinence, de clart ou de comprhension soient immdiatement identifies. Une fois le questionnaire rempli par tous les rpondants, nous avons tenu une runion de groupe afin de discuter de chaque section du questionnaire. Notre discussion nous a permis deffectu les corrections et les perfectionnements appropries.

8 Nous avons privilgi lenvoie du questionnaire par courrier lectronique au lieu de procder lenvoie par la poste. Cette formule constitue une innovation, elle nous a permis de rduire les cots denvoie postaux et davoir des rponses dans des brefs dlais. Le fait que nous nous adressions un chantillon de personnes qui sont habitues linformatique, ceci nous a encourag de choisir cette mthode. De ce fait, on arranger la technique de rponse ce besoin, et nous avons effectu la mise en forme ncessaire afin de faire participer le plus grand nombre possible dauditeurs de SI notre tude. Ainsi la version finale du questionnaire se trouve complte (Appendice A).

2.3.2 La collecte des donnes La version finale du questionnaire a t expdie 130 personnes le 26 mars 2002. Afin dassurer un taux de rponse lev, le questionnaire a t accompagn dune note personnalise et signe par le vice prsident de lAPVCSI.

Aprs une dizaine de jours, et le 7 avril 2002 au moment denvoyer une lettre de rappel par courrier lectronique accompagn par le questionnaire initiale, le taux de rponse tait de 20% (26 rpondants). Le 13 avril, au moment de la compilation finale, 37 questionnaires valides avaient t retourns lassociation APVCSI et nous ont t transfrs notre adresse lectronique pour garder la confidentialit des rpondants. Le nombre de questionnaire qui nous a t achemin reprsente un taux de rponse de 28.46 %. Les rsultats prsents dans ce document traduisent essentiellement les perceptions de 37 auditeurs de SI de la rgion de Montral.

CHAPITRE 3

EST-CE QUE LAUDIT DES SYSTMES DINFORMATION EST VRITABLEMENT UNE PROFESSION ?

3.1 Rponse de lauteur La premire question souleve par Dunmore (1989) examine si laudit des SI est vritablement une profession. La rponse prsente montre que lauteur a des doutes sil sagit vraiment dune profession, daprs lui, il sagit dun champ dexpertise qui na pas encore runi les critres dune vritable profession, mais qui le deviendra invitablement une. Il ajoute que laudit des SI apparat comme une sous spcialit de la profession daudit interne ou externe.

3.2 Arguments de lauteur Selon lauteur, une profession requiert la fois un corps de connaissance aussi bien quun personnel de carrire, non juste un groupe de personne faisant temporairement des travaux similaires. La rponse de lauteur regroupe deux grands volets savoir :

1. Le corpus de connaissance existant pour laudit des SI; 2. Lvolution des professionnels dans leurs carrires.

10 3.3 Discussion et analyse Dunmore (1989) a soulev plusieurs lments dans sa rponse cette question qui examine si laudit des SI runis les critres dune vritable profession. Vu la multitude des sujets quil touche nous nous proposons de prsenter ses arguments sous forme de plusieurs points que nous traitons un par un pour les analyser tout en montrant lvolution enregistre par nos observations et qui feront partie de notre discussion. Dautres points seront analyss travers les rponses aux questions que nous proposons notre chantillon travers un questionnaire.

3.3.1 Traits professionnels Quest-ce quun professionnel? Les thories cherchant distinguer des traits professionnels sont trs anciennes. Logeais (1990) mentionne quon peut reconnatre quatre approches classes selon un axe partant de la plus grande objectivit et allant vers les thories les plus subjectives. La figure ci-dessous expose succinctement la situation.

Objectivit numration des traits ou des caractristiques Identification des rles et des fonctions Reconnaissance dun processus tudes phnomnologiques et historiques Subjectivit

Figure 3.1 volution des approches sur les traits professionnels. (Figure adapte de Logeais ,1990, p.18)

11 Les professions peuvent tre classes dans une perspective plus large doccupations se professionnalisant ou au contraire se dprofessionnalisant. Ainsi un certain nombre de dimensions identifies par Pavalko (1971) permettent de caractriser une profession ou une occupation comme le montre le tableau suivant :

Tableau 3.1 Tableau reprsentatif des dimensions (occupation / profession) Dimension Complexit analytique Orientation aux valeurs sociales Formation Occupation Absente Ngative Courte, non spcialise, manipulation dobjet sous-culture non importante Intrt personnel Faible court terme Faible Inexistant Profession Prsente Positive Longue, spcialise, manipulation de symboles, sous-culture importante Service a la communaut Grande long terme lev Trs dvelopp

Motivation Autonomie Sens de lengagement envers loccupation Sens communautaire Code dthique

12 Comment ces facteurs sont interrelis et quelle est limportance dun facteur par rapport aux autres ? Logeais (1990) ajoute que lorientation sociale et la reconnaissance des valeurs de service, daltruisme sont les traits dominants chez les professionnels. Trois caractristiques sont identifies: Les professionnels possdent un corps de connaissances, un savoir intellectuel spcialis acquis au cours dune longue formation. La division du travail professionnel est base sur le fait que la fonction professionnelle est relie un tat de crise, des besoins humains ou collectifs fondamentaux. Les professionnels ont droit dentrer dans la vie prive, discrte de leurs clients et dexercer sur eux une grande influence, ce droit est reconnu lgalement. Le code dthique affecte la relation professionnelle et la communaut et est bas sur lautorgulation.

Quen est-il de la profession des auditeurs des SI? La rponse ne nous parat pas vidente, examinons dabord les volutions qua connu ce champ dexpertise depuis 1989 par rapport aux dimensions cites ci-dessus afin davoir une meilleure ide quant linquitude formule par Dunmore (1989).

3.3.2 volution du corpus de connaissance Il y a lieu dans cette section de prsenter lassociation qui regroupe les professionnels de laudit et du contrle des SI, savoir, lInformation Systems Auditors and Control Association ISACA. Il sagit dun organisme but non-lucratif, qui assure la promotion de la recherche et publie diffrents ouvrages destins informer et former les utilisateurs des technologies de linformation sur les volets critiques du contrle et de laudit des SI dans leur organisation.

13 Dunmore nous fait savoir quen 1989, les 8500 membres de lAssociation des Auditeurs EDP sont membres des dpartements daudit interne, il peut tre dit que laudit interne domine le domaine daudit des SI. A cette poque lISACA tait connu sous le nom de EDP Auditors Association fonde depuis 1969. Actuellement lISACA compte plus de 23000 membres, rpartis dans plus de 100 pays, organiss sous forme de 161 chapitres.

On na pas pu accder linformation sur les domaines dinterventions de la totalit des professionnels membres de lISACA, mais il suffit de jeter un coup dil sur les caractristiques de leffectif des rpartitions des professionnels adhrant lAFAI (Association franaise dauditeurs informatique) qui est le chapitre franais de lISACA pour comprendre quil ne sagit plus de lpoque o juste les auditeurs internes dominaient ce champ dexpertise comme il fut en 1989 et comme le montre la figure ci-dessous :

Figure 3. 2 Rpartition des membres de lAFAI par origine professionnelle. (Tir de http://www.afai.asso.fr ; Janvier 2002. Rubrique adhsion).

14 LISACA publie le journal Information Systems Audit and Control Journal, et offre des services de librairie spcialise pour des ouvrages techniques. Elle dispense galement un ensemble dactivits de formation et soccupe exclusivement de ladministration de lexamen CISA Certified Information Systems Auditors. Nous nous sommes investis pour adhrer cette association en tant que membre tudiant candidat la certification CISA. Daprs nos investigations et participations aux activits organises, nous pouvons dire quil sagit de lassociation qui contribuer dans une large mesure la formation des professionnels candidats exercer comme auditeurs et consultants en SI et, a donn une grande pousse la formation dtudiants en audit des SI et ceux par lorganisation de la certification CISA. Les exigences pour ce titre sont la russite de lexamen CISA, cinq annes dexprience, ladhsion au code dthique ainsi que la formation continue. En 1989 quand Dunmore a crit son article, il tait dj dtenteur du titre CISA.

La reconnaissance de ce titre a t faite par plusieurs organismes comme tant le titre de spcialisation dans le domaine de laudit SI. Dans un communiqu de presse en date du 15 janvier 2001 lICCA, Institut Canadien des Comptables Agrs, reconnat le titre de CISA Certified Information Systems Auditors comme titre de spcialisation en vrification et contrle des SI :

LICCA a annonc aujourdhui la conclusion dun accord avec lInformation Systems Audit and Control Association (ISACA), accrditant lISACA comme seule organisation dont le titre permet dtre reconnu comme CA spcialiste en vrification, contrle et scurit des SI. Les CA qui travaillent dans ce domaine et qui ne possdent pas le titre de CISA seront incits obtenir ce titre. Les CA qui possdent le titre de CISA et qui sont inscrits comme spcialistes auprs de leur ordre provincial pourront tre reconnus comme CA spcialistes en vrification, contrle et scurit des SI et utiliser la forme de titre CA-CISA2.

http://www.icca.ca (Janvier 2002. Rubrique communique de presse)

15 Par ailleurs, le Groupe de travail de lICCA sur les spcialits en technologies de linformation recommande la cration dune alliance pour lexcellence en technologies de linformation (TI) et dun programme dagrment de spcialistes en TI lintention des CA. Ce programme ne vise pas ncessairement llaboration dune spcialit en audit SI, mais plutt en conseil ou en gestion des TI. Dans un projet en date du 6 novembre 2001 et visant la cration dune alliance pour lexcellence en TI et dun programme dagrment de spcialistes ce groupe dfinit un spcialiste comme une personne qui :

Est reconnue comme spcialiste par ses pairs, ses clients et ses associs en affaires; A consacr un pourcentage considrable de son temps la spcialit pendant une priode prolonge; A suivi des cours ou a russi aux examens appropris dans la spcialit en cause; Suit des cours de perfectionnement professionnel qui se rapportent la spcialit en cause; Continue consacrer un pourcentage considrable de son temps la spcialit.

Du cot des auditeurs internes, nous avons constat que le mme intrt est prsent envers ce champ dexpertise. En plus de la collaboration dans lorganisation des sminaires de formation avec lISACA, la IIA Institute of Internal Auditors vient daccorder aux dtenteurs du titre CISA une exemption de certaines partie de lexamen pour lobtention du titre CIA Certified Internal Auditor qui est reconnu comme tant le titre de renomm et de reconnaissance pour un auditeur interne :

Exemption : Pour obtenir la dsignation CIA, une personne doit passer avec succs les quatre examens. Depuis 1998, les personnes ayant dj un titre comptable ou le titre CISA peuvent obtenir une exemption pour le quatrime examen3
3

http://www.ivim.com (Janvier 2002. Rubrique : programme CIA)

16 Dans larticle publi par Dunmore en 1989, laudit des SI est mentionn parfois comme tant une discipline, comme tant une profession dans dautres cas et finalement lauteur nous fait savoir que ce domaine dexpertise apparat comme une sous spcialit de la profession daudit interne ou externe. Dunmore (1989) ajoute que les opinions des auditeurs des SI non comme les opinions dauditeurs financiers, nont pas de base lgale ou rglementaire accepte en tant quexpert tmoin.

Il est vrai que la lgislation officielle pour la certification des comptes demeure sans changements, mais on remarque de plus en plus que les notes de services bancaires au niveau des dpartements daudit interne et les exigences de collaboration entre organisme financier exigent lintervention dun spcialiste reconnu et le rapport nest valide qua la signature dun professionnel auditeur tel quun dtenteur du titre CISA. Ainsi le guide pour laudit des associations INTERAC publi en 1998, mentionne que les vrifications de conformits requirent la certification par un auditeur professionnel dtenteur de lun ou plus des titres suivant : CA, CGA, CMA, CIA et CISA (Appendice C).

Stachtchenko (1995) et Weber (1999) considrent que ce titre crdibilise les missions daudit SI et motive les collaborateurs. Ils rejoignent en quelque sorte les prtentions de Dunmore (1989) quant lavenir de laudit des SI en affirmant que si aujourdhui, le CISA est un critre de recrutement et de promotion alors demain, il sera le diplme professionnel de rfrence. LISACA oblige ses membres suivre tous les trois ans une formation continue sous forme dune exigence daccrditation de 120 heures de formation en audit et contrle des SI, pour pouvoir garder le titre CISA.4. Il est intressant de mentionner quactuellement il y a 12 000 personnes qui ont le CISA dans le monde, ce titre constitue la rfrence mondiale en matire daudit informatique.

http://www.isaca.org/cisacep1.htm (Janvier 2002. Rubrique: Continuing Education)

17 En poursuivant lvolution qua connu le domaine de laudit des SI, lISACA a tabli que le caractre spcialis de laudit des SI et les comptences requises pour effectuer un tel audit rendent ncessaires le dveloppement et la promulgation de normes gnrales pour laudit des SI. partir de ces normes, savoir, les Standards For Information Systems Auditing, de l ISACA (1997), laudit des SI se dfinit comme tout audit qui comprend lexamen et lvaluation de tous les aspects (ou une partie dentre eux) des systmes de traitement automatis de linformation, y compris les procdures connexes non-automatises, et les interfaces qui les relient entre eux.

Les normes promulgues par lISACA sont applicables aux travaux daudit des SI effectus par les membres de lassociation pour le contrle et laudit des SI et par les dtenteurs du titre dauditeur en SI agr CISA. Lobjectif de ces normes est dinformer les auditeurs du niveau minimal acceptable pour rpondre aux responsabilits professionnelles tablies dans le code dthique professionnelle et informer la direction et les autres parties intresses par les attentes de la profession concernant le travail des praticiens. Ces normes sont entres en vigueur depuis le 25 juillet 1997. Le code dthique professionnelle de lISACA exige de ses membres titulaires du CISA, le respect des normes daudit des SI quelle a promulgu. Le respect de ces normes est considr trs srieusement et fortement encourag. Le dveloppement et la diffusion des normes daudit de SI est la pierre angulaire de la contribution professionnelle de lISACA la communaut de laudit des SI.

Dans sa rponse, Dunmore (1989) avance quun corps de connaissance existe mais quil est petit par rapport dautres professions et nest pas entrain de slargir de la vitesse dont il est suppos atteindre moins de se retrouver dpasser par lavanc technologique des systmes. Par corpus de connaissance on entend, vocabulaire commun, mthodologie, code dthique, publications, normes et procdures organisant le domaine. Il sagit ici dune question dimportance des connaissances acquise et de leur vitesse dvolution.

18 Certaines organisations importantes font des efforts de recherches et de dveloppement en normalisation dans le domaine de laudit des SI. Dailleurs, par exemple lAICPA a labor conjointement avec lICCA. un service de certification SysTrust qui permet de vrifier et de tester de faon indpendante la disponibilit, la scurit et lintgrit des SI. Notre travail est compar principalement au cadre de rfrence de lISACA que nous avons considr comme chef de fil dans ce domaine. En faisant le rapprochement par rapport la situation qui nous est prsent en 1989, nous notons que ce nest quau courant des cinq dernires annes que le domaine de connaissance sest largi dune faon remarquable. En effet, les dates dadoption de tout un arsenal de rglementation du mtier de la part des membres de lISACA confirment notre observation, ainsi nous prsentons ci-dessous la date et le titre des normes, dclaration et recommandation observer : "Normes gnrales pour laudit des SI" en vigueur au 25 juillet 1997. "Politique de gouvernance des SI " en vigueur au 1er juin 1998 "Contenu et forme dun rapport" en vigueur au 1er dcembre 1998 "Matrialit" en vigueur au 1er septembre 1999. "Charte daudit" en vigueur au 1er septembre 1999. "Conscience professionnelle" en vigueur au 1er septembre 1999. "Documentation daudit" en vigueur au 1er septembre 1999. "Externalisation des activits informatiques" en vigueur au 1er septembre 1999. "lments probants" en vigueur au 1er dcembre 1999. "Impact des contrles pervasifs des SI " en vigueur au 1er mars 2000. "Irrgularits" en vigueur au 1er mars 2000. "Rapport organisationnel et indpendance" en vigueur au 1er mars 2000. "valuation des risques et planification des audits" 1er septembre 2000. "Sondage en audit" en vigueur au 1er mars 2000. "Technique daudit assist par ordinateur" en vigueur au 1er dcembre 2000. "Revue des systmes dapplication" en vigueur au 1er novembre 2001.

19 Nous constatons que le rythme dvolution du corpus de connaissance se referant laudit des SI na pris de lacclration que ces quelques dernires annes. Cependant on peut avancer que lanne 2000 et ses problmes inhrents peuvent tre un tournant crucial et une mesure de lefficacit de la profession.

3.3.3 volution des professionnels dans leur carrire Dunmore (1989) a par ailleurs suggr que la rotation constante dauditeurs qualifis (quatre annes ou plus dexprience) limite le domaine de la connaissance daudit des SI. Cette rotation, ajouta-t-il, est due au manque dune voie daccs de carrire pour les auditeurs SI. Non que les auditeurs SI soient bloqus ou sont incapables de tenir dautres positions dautorit dans lorganisation mais quils sont perus comme incapables de tenir dautres positions dautorit dans lorganisation mais qui peut tre caus par labsence de prdcesseurs qui ont russi accder de tels postes.

Dix ans plus tard, une tude par questionnaire a t entreprise auprs dun chantillon comprenant des directeurs de dpartement daudit interne dans la rgion du Nord du Texas, y compris le Dallas. Il sagit de ltude de Lucy (1999) qui sest intress surtout la manire de rpartition des ressources pour les diffrentes tches accomplis lors dun audit de SI. Les directeurs daudit de soixante dix-sept organismes ont rpondu un questionnaire reprsentant ainsi 12 groupements de diffrentes industries. Il est noter quapproximativement un tiers de tous les organismes figurant dans lchantillon de Lucy (1998) emploient des auditeurs SI. Cette tude indique que la moyenne dexprience dun auditeur dans laudit SI est de quatre ans au plus. Seulement trois dentre ceux qui ont quatre ans dexprience en audit SI sont dans leurs organisations actuelles.

20 Par ailleurs Lucy (1999) confirme le fait que les auditeurs SI aient une existence de transition tel que postul par Dunmore (1989). Il trouve que lorsque les auditeurs SI se dplacent leur prochaine affectation, 47% dentre eux quittent leurs organisations actuelles, 12% viennent dautres units opratoires et les mmes 12% retournent apparemment leur dpartement dorigine ou aux autres dpartements oprationnels. Au niveau de supervision et de gestion, plus de la moiti des employes viennent de sources extrieures avec seulement 25% qui venaient du dpartement daudit interne. Lucy (1999) prsume que ceci pourrait tre le rsultat dune rotation leve au niveau des auditeurs SI, qui limite le nombre de candidats ayant plus que quatre ans dexprience, tel quannonc par Dunmore depuis 1989.

Au fait, les constatations de Dunmore (1989) ne sarrtent pas jusqu ces points. Ce dernier ajoute que la plupart des organisations ne sont pas sure de ce quils doivent faire avec les auditeurs des SI particulirement ceux qui ont une formation technique plus large. Par consquents plusieurs auditeurs de SI crent leur propre chemin de carrire en allant vers des cabinets de service. Lauteur fait une distinction entre deux catgories dauditeur SI, les techniciens de logiciel exerant des tches de contrle et daudit de SI et les professionnels occupant des fonctions dauditeurs SI. Les techniciens nont pas du mal rester au sein de lentreprise alors que les auditeurs quittent aprs trois ou quatre ans dexprience.

Dans une autre recherche sur le problme de lvolution des auditeurs SI dans leur carrire professionnelle, Siew (1999) a suppos quavec les applications continues des technologies dinformation avances dans des SI, le futur semble lumineux avec des voies daccs prometteuses de carrire pour des auditeurs SI. Cette tude a t ralise sur la base dun questionnaire expdie chacun des 345 membres du chapitre de lISACA Singapour en dcembre 1998.

21 Presque 65% des rpondants ont la qualification CISA et les 66% deux ont au moins quatre six ans dexprience professionnelle dans laudit des SI. Approximativement 19% (14 sur 75) des rpondants avaient dj quitt laudit des SI pour dautres travaux. En outre, 32.7% des rpondants retenu pour constituer la base des rsultats trouvs par cette tude ont manifest lintention de quitter leur fonction dauditeurs de SI en faveurs dautres fonctions. Lanalyse des rsultats fait ressortir trois explications a cette situation qualifi de turbulente par lauteur. Lambigut des tches accomplir par ces auditeurs SI au sein de leur entreprise : La plupart des auditeurs SI ont indiqu quils sont simultanment responsables dautres tches telles que laudit financier, audit oprationnel, conseil en affaires, support de programmation ou gestion de projet. La progression interne de carrire est non probable de se produire dans le sens verticale du diagramme de la hirarchie des fonctions. Les modules de salaire des auditeurs SI : Les rsultats supportent ainsi la perception gnrale que les auditeurs SI ne sont pas bien compenss par rapport leur collgue uvrant dans le domaine des technologies de linformation comme les gestionnaires de dveloppement dapplication, des gestionnaires de rseau, des chefs de projet et des gestionnaires du centre de calculs.

En dpit des suppositions pour une carrire prometteuse des professionnels de laudit SI avec lemphase toujours croissante des technologies de linformation, ltude de Siew (1999) a indiqu lvidence plutt contradictoire, avec une carrire limite dans lorganisation, une cadence leve de rotation et une tendance des auditeurs SI de quitter le domaine.

22 3.4 Point de vue avant lenqute Nous constatons une importante volution dans lorganisation de ce champ dexpertise et le renforcement des traits professionnels indiqus dans la littrature font toute la diffrence avec la situation dcrite en 1989. Lassociation de laudit et de contrle de systme dinformation (ISACA), raffine continuellement des objectifs de contrle la lumire de la technologie, met jour des normes de conduite professionnelle et continue examiner et certifier des professionnels daudit.

tant donn quapproximativement un tiers des organismes emploient des auditeurs SI, bien quil ny ait aucune rfrence prcdente, lenqute de Lucy (1999) montre que beaucoup de praticiens estiment que cest une augmentation significative depuis 1989. Tous ces lments prcdemment discuts dans ce chapitre, concordent avec les dimensions dune profession tel que dcrite par Logeais (1990) et tel quapprci par Dunmore (1989) lui-mme, savoir, llargissement du corpus de connaissance, la reconnaissance dun titre

daccrditation et lvolution des professionnels dans leur carrire. En plus, nos observations confirment lexistence des caractristiques annonces par Pavalko (1971) sur la qualification dune profession plutt quune occupation (Tableau 3.1).

Ltude de Siew (1999) et Lucy (1999) indique que ltat de la profession na pas encore entirement volu de son tat tel que constat par Dunmore (1989). Ces rsultats sont rvlateurs dinquitudes quant au dveloppement de la vie professionnelle puisquil ny pas eu de changements significatifs par rapport aux constatations faites de Dunmore en 1989 quant aux taux de rotation lev et la difficult des organisations retenir des auditeurs SI qualifis.

23 3.5 laboration des questions pour ltude Les constats discuts dans les sections prcdentes nous poussent poser plusieurs questions sur lvolution de ltat de la situation pour mieux cerner le sujet et tirer au plus clair nos analyses. 3.5.1 volution des connaissances dans le domaine de laudit SI Dunmore (1989) note quil ny a pas beaucoup de littrature au sujet de laudit SI et que les connaissances sont limites compares dautres professions. Par les questions ci-dessous, on va tenter de mieux comprendre ltat actuel de la formation des gens qui soccupe de laudit des SI; surtout que Dunmore juge lpoque quon a tudi laudit des SI mais pas suffisamment et que les professionnels tendent auditer ce qils savent auditer mais pas ce qui doit tre auditer. Avec lchelle suivante nous mesurons les perceptions des professionnels sur ce sujet (1=faible, 2=moyenne, 3=Forte).

1) Quelle contribution apporte la formation universitaire actuelle lvolution de la profession dauditeur de SI ?

2) Quelle contribution les recherches et publications actuelles en matire daudit des SI apportent-elles lenrichissement de ce domaine de connaissance ? 3) Quelle est votre apprciation de leffort entrepris par lISACA pour augmenter la comptence des professionnels de laudit des SI ?

Certains critres des rpondants pourront nous tre utiles pour avoir une ide sur la formation des gens exerant le mtier, ainsi nous pensons rajouter la question qui suit dans notre partie se referant aux donnes dmographiques de notre chantillon.

24 4) tes vous dtenteur du ou des titres professionnels suivants :

a) b) c) d) e) f)

Comptable agre (CA) Comptable en management agre (CMA) Comptable gnral agre (CGA) Auditeur interne agre (CIA) Auditeur de systme dinformation agre (CISA) Autres (spcifier) :

Dans les dernires questions de ce travail on voulu voir si on pouvait trouver une diffrence entre les perceptions de ces points de vue entre les auditeurs des SI internes et externes.

5) Est-ce que vous exercez laudit des SI en tant que : Auditeur interne Auditeur externe

3.5.2 volution des professionnels dans leur carrire Dunmore (1989) estime que les gens exerants le mtier se trouvent limits par un contrle sur ltendue de leur approche daudit, ils nont pas lautonomie ncessaire pour effectuer les travaux quils jugent ncessaires. Sajoute un degr faible dattention port envers cette fonction par les dirigeants. Les questions que nous nous posons visent savoir si les entreprises arrivent maintenir les fonctions de leurs auditeurs actuels, si ces gens se trouvent intresss continuer leurs carrires dans ce domaine et sils ont des chances davancement et de promotion au sein de leur entreprise. La non-motivation continuer dans lorganisation actuelle est due au fait que les auditeurs des SI noccupent pas des postes plus levs dans la

25 hirarchie administrative que leurs collgues en matire financire ou de gestion, ainsi le non-succs des auditeurs SI a accd des positions de contrle au-dessus des fonctions daudit dans lentreprise apparat dominant. Voici les questions que nous nous proposons notre chantillon :

6) Nombre danne exprience en audit des SI?

7) Le nombre danne dans lorganisation actuelle?

8) Comment sont les perspectives de carrire pour le personnel daudit des SI ? (1=Faible, 2= Moyenne, 3=Forte)

9) Quelle opportunit a un auditeur des SI daccder un poste de chef du dpartement daudit interne au sein dune entreprise ? (1=Faible, 2=Moyenne, 3=Forte)

10) Comment jugez-vous limportance accorde la fonction de laudit des SI dans les entreprises ? (1=Faible, 2=Moyenne, 3=Forte)

11) Est-ce que vous bnficier de lautorit ncessaire pour laccomplissement des travaux daudit SI ? Oui Non

12) Pensez vous faire carrire dans le domaine de laudit des SI en y demeurant de faon continue ? Oui Non

13) Est-ce que votre organisation prend les dispositions ncessaires pour maintenir un auditeur de SI hautement qualifi ? Oui Non

26 3.6 Rsultats de lenqute Lobjectif tant de ramener des critres de rponses nos questions initialement poses dans le dbut de ce chapitre, savoir, llargissement du corpus de connaissance dans le domaine de laudit des SI et lvolution des professionnels dans leur carrire.

3.6.1 largissement des connaissances dans le domaine de laudit SI Dans lensemble, les rsultats traduisent la perception de 37 auditeurs de SI dont 19 comme tant auditeur internes (51.4%) et 18 comme auditeurs externes (48.6%). Les rpondants obissent un certain profil, un pourcentage leve (94.6%) de participant ayant complt le questionnaire dtiennent au moins un titre professionnel. Un grand nombre est porteur du titre CISA Certified Information System Auditor. La figure 3.4 donne une ide sur les proportions des titres dtenus par les rpondants. Il sagit des titres suivants :

CA 27%

CMA 2% CGA 10%

CPA 6% CISSP 4% CIA 10%

CISA 41%

Figure 3.3: Rpartition de titres professionnels dtenus par les rpondants

27 Au total, 20 personnes dtiennent le titre CISA que ce soit comme unique titre professionnel (7 personnes), dautres le dtiennent avec des titres daudit et de comptabilit (13 personnes). Parmi les CA qui ont particip cette tude, 41% dentre eux dtiennent le titre CISA que nous avons avanc comme tant la rfrence dans le domaine de laudit des SI. Ceci rejoint en quelque sorte lintrt accru des auditeurs financiers chercher une formation spcialise dans ce type daudit. Le titre CISA se trouve tre jumel avec dautres titres. Ceci est vrai du cot des auditeurs internes et des auditeurs externes. Le tableau suivant donne une ide sur les personnes rpondant qui dtiennent un ou plusieurs titres professionnels en plus du CISA :

Tableau 3.2 Cumul du titre CISA avec dautres titres professionnels

Titres cumuls avec le CISA CA - CISA CIA - CISA CGA - CISA CPA - CISA CISSP - CISA

Nombres de personnes 13.5% 8% 5.7% 5.7% 2.7%

Lgende CA : Comptable Agr CIA : Certified Internal Auditor CGA : Comptable Gnral Agr CPA : Certified Public Accountant CISSP : Certified Information System Security Professionnal

28 Aprs avoir discuter de la formation universitaire suivie par les rpondants notre questionnaire et limportance du titre CISA, nous prsentons dans ce qui suit lassertion de Dunmore (1989), ensuite les rsultats obtenus notre enqute pour chacun des points discuts.

En plus de montrer les rsultats globaux en pourcentage des rponses reues, nous avons spar les perceptions des auditeurs internes et celle des auditeurs externes. Scinder les rpondants en deux catgories nous donnera plus defficience dans linterprtation des rsultats surtout dans le cas o les rponses sont diffrentes.

Il est clair que les programmes universitaires constituent un support important dans lvolution de lauditeur des SI dans sa carrire professionnelle. Mme si lapprciation de ce support existant reste moyenne pour certains (57%) et encore faible pour dautres (43%), la situation diffre de 1989 ou cette formation navait pas de poids comme le prcise Dunmore (1989). Le tableau 3.3 montre les perceptions des rpondants ce sujet.

Tableau 3.3 Apprciation de la formation universitaire Question Quelle contribution apporte la formation universitaire actuelle lvolution de la profession dauditeur de SI ? Rsultat global Faible 43% Moyenne 57% Forte 0% Auditeur Externe 8 10 0 Auditeur Interne 8 11 0

29 Dun autre cot, les avis restent trs proches pour dire que par rapport ltat dcrit par Dunmore (1989) nous assistons des publications juges bonnes dans le domaine de laudit des SI comme le montre le tableau 3.4.

Comme nous lavons indiqu dans notre discussion dans les sections prcdente lISACA contribue largement dans lvolution de la pratique de laudit des SI. En effet, selon le tableau 3.5 qui regroupent les rponses reues, 80 % des rpondants apprcient fortement les efforts entrepris par cette association pour augmenter la comptence de ce domaine dexpertise.

Tableau 3.4 Contribution des recherches et publications Question Quelle contribution les recherches et publications actuelles en matire daudit des SI apportent-elles lenrichissement de ce domaine de connaissance ? Rsultat global Faible 0% Moyenne 57% Forte 43% Auditeur Externe 0 13 5 Auditeur Interne 0 8 11

Tableau 3.5 Effort entrepris par lISACA Question Quelle est votre apprciation de leffort entrepris par lISACA pour augmenter la comptence des professionnels de laudit des SI ? Rsultat global Faible 0% Moyenne 20% Forte 80% Auditeur Externe 0 2 16 Auditeur Interne 0 5 14

30 3.6.2 volution des professionnels dans leur carrire Dunmore (1989) affirme que les auditeurs qualifis qui ont un minimum de 4 ans exprience ont tendance changer de fonction. Dunmore ajoute que les entreprises narrivent pas maintenir ces auditeurs qualifis dans leur fonction ce qui a fait que ces derniers quittent laudit des SI pour dautres fonctions. Nos questions sur lexprience en audit SI dune part et sur la dure de lexprience du rpondant dans son organisation actuelle dautre part, nous donnent les rsultats qui figurent dans le tableau 3.6.

Selon ces rponses, la moyenne dexprience en audit des SI par nos rpondants se situe autour de 5.4 ans. Par ailleurs, 40 % des rpondants ont plus dexprience en audit SI que dans leur organisation actuelle, ce qui suppose que chaque auditeur quitter son ancien employeur pour rejoindre son poste actuel. Ceci nous ramne au mme constat tabli par Dunmore (1989) pour dire quil existe une rotation et une tendance quitter lentreprise qui se manifeste chez les auditeurs SI qualifis qui ont plus que 4 ans exprience.

Tableau 3.6 Exprience des rpondants Question Moyenne de nombre danne dans lorganisation actuelle Moyenne de nombre danne exprience en audit des SI Rsultat global 4.5 5.4 Auditeur Externe 4.8 6.2 Auditeur Interne 4.2 4.7

31 Comme il sagit dune source dinquitude, on a pouss lanalyse plus loin dans le sens o on a cherch si le phnomne reste aussi vrai pour les auditeurs SI internes quexternes. En analysant ces rsultats du point de vue des 18 auditeurs externes, on constate que 12 personnes parmi eux, cest--dire 66% ont plus exprience en audit SI (6 annes) que dans leur organisation actuelle (4 annes). Ceci laisse entendre quils ont chang demployeur au cours de leur carrire. Ce phnomne reste aussi vrai du cot des auditeurs internes sauf quil nest pas constat que la mme ampleur mais demeure inquitante puisque 41% dentre eux semblent avoir vcu un changement demployeur.

Par ailleurs, le phnomne inverse est aussi prsent. Ainsi parmi le groupe des auditeurs internes 34% ont plus exprience dans leur organisation actuelle quen audit SI. Cette mme constatation est vraie aussi pour 34% des auditeurs SI externe ce qui dmontre un intrt accru la spcialisation dans ce champ dactivit.

Dunmore (1989) estime que plusieurs causes font quune carrire en audit SI nest pas attrayante. Notre auteur rajoute que le rsultat final a pour consquence que ces gens quittent le domaine de laudit SI en faveur dautres fonctions que ce soit dans leur organisation ou pour dautre employeur. Nous numrons ces dites causes pour retrouver ensuite les rsultats de nos questions.

Les auditeurs SI sont perus comme incapable de tenir des positions dautorit dans lorganisation et par consquent, ils nont pas accs des postes plus levs dans la hirarchie de leur dpartement daudit. Nos rsultats indiquent quune telle opportunit reste encore peu probable comme la montre la perception des rpondants figurant au tableau 3.7.

32 Tableau 3.7 Opportunit davancement pour lauditeur SI Question Quelle opportunit a un auditeur des SI daccder un poste de chef du dpartement daudit interne au sein dune entreprise ? Rsultat global Faible 24% Moyenne47% Forte29% Auditeur Externe 4 7 7 Auditeur Interne 5 10 4

Tableau 3.8 Autonomie de lauditeur lors de lexcution des travaux daudit SI Question Est-ce que vous bnficiez de lautonomie et de lautorit ncessaire pour laccomplissement des travaux daudit des SI ? Rsultat global Oui 70% Non 30% Auditeur Externe 13 5 Auditeur Interne 13 6

Les auditeurs SI ont un contrle sur leur activit qui empchent le bon droulement des travaux. Daprs les rsultats figurant dans le tableau 3.8, la situation est diffrente puisque 70% bnficient dun certain pouvoir qui leur permet de bien grer leur mandat.

Dunmore (1989) prcise quil y a une importance relative accorde par la direction laudit des SI et par la suite, ces derniers narrivent pas maintenir des auditeurs SI qualifis. Ceci reste plus au moins vrai puisque lintrt port par les dirigeants est jug tre moyen raison de 52% et dans 26% des cas comme tant faible (tableau 3.9). Mais dun autre cot, les rpondants jugent 60% que leurs organisations font des efforts considrables dans ce sens. Ceci est montr par le tableau 3.10.

33 Tableau 3. 9 Importance de la fonction audit SI dans les entreprises Question Rsultat global Faible26% Moyenne 52% Forte22% Auditeur Externe 8 7 3 Auditeur Interne 2 12 5

Comment jugez-vous limportance accorde la fonction de laudit des SI dans les entreprises ?

Tableau 3.10 Maintien de lauditeur SI qualifie par son entreprise Question Est-ce que votre organisation prend les dispositions ncessaires pour maintenir un auditeur de SI hautement qualifi ? Rsultat global Oui 60% Non 40% Auditeur Externe 14 4 Auditeur Interne 12 7

Tableau 3.11 Perspective de carrire en audit SI. Question Rsultat global Faible 5% Moyenne 26% Forte 69% Oui 80% Non 20% Auditeur Externe 2 6 10 12 6 Auditeur Interne 0 3 16 17 2

Comment sont les perspectives de carrire pour le personnel daudit des SI ? Pensez vous faire carrire dans le domaine de laudit des SI en y demeurant de faon continue ?

34 la lumire de ce qui prcde, il est clair que la situation a volu mais les constats dcrits en 1989 restent encore prsents. Toutefois, il faut noter que ceci na pas empch les auditeurs SI de montrer leur intrt continuer de faire carrire en audit SI et daffirmer que les perspectives de carrire sont prometteuses. Ces deux dernires constatations dcoulent des rponses reues nos deux questions figurantes au tableau 3.11. Donc nous sommes devant un changement dattitude par rapport 1989. Toutefois, il est difficile de cerner si les auditeurs SI ont la conviction de continuer leur carrire dans leurs organisations actuelle ou dans dautres organisations quand loccasion se prsente. Nous reviendrons sur cette question dans les chapitres qui suivent. Pour le moment nous nous contentons de savoir que nos rpondants affirment quils veulent continuer faire carrire dans le champ de laudit des SI.

3.7 Conclusion Est-ce que laudit des SI est vritablement une profession ? Ce chapitre a permis de comprendre et de situer lvolution qua connu le domaine de laudit des SI. De plus, il a mis en vidence dautres lments relis un succs de lISACA dtre le leader qui regroupe les gens du mtier. Les rpondants jugent quil y a eu un enrichissement considrable du corpus de connaissance. Les professionnels en audit SI qui ont rpondu notre tude affirment quils ont tendance continuer leur carrire dans ce champ dexpertise. Ainsi, il semble quil sagit donc dune jeune profession qui constitue une spcialit instruite dans la profession daudit en gnral, quelle soit linterne ou a lexterne. Par consquent, nous dfinissons un auditeur de systme dinformation comme la personne dtenteur du titre CISA, qui respecte le code dthique de lassociation ISACA, et qui remplit toutes les conditions pour prserver son titre, savoir la formation continue et linvestissement de son temps demploi dans la pratique de cette spcialit.

CHAPITRE 4

JUSQU QUEL POINT LES ORGANISMES SONT SRIEUX AU SUJET DES TRAVAUX DAUDIT DE SYSTMES DINFORMATION ?

Nous avons choisi de runir au niveau de ce chapitre les propos de Dunmore (1989) qui concernent deux questions la fois. La premire sintresse au degr du srieux de lexcution des travaux daudit SI par les entreprises. La seconde value le degr du srieux port envers laudit des SI en gnral mais du cot des auditeurs internes dune part et externe dautre part. Il sagit des questions suivantes :

1. 2.

Jusqu quel point les organismes sont srieux en excutant des audits de SI ? Doit-on tre srieux au sujet des travaux daudit des SI ?

Notre choix de regrouper ces deux questions se trouve tre motiv par le fait que les travaux daudit des SI sont indissociables du degr de srieux envers ce domaine que ce soit au sein de lentreprise mme ou que ce soit par les gens exerant cette fonction. En plus, largumentation qui nous est prsente par lauteur concerne des arguments qui se rptent et qui se recoupent. Nous prsentons la rponse de Dunmore (1989) sur ces points, les caractristiques que relve lauteur dcrivant ainsi ltat de la situation en 1989 et finalement, une discussion qui englobe lvolution observe incluant les questions et lanalyse des rponses notre outil de recherche relatives ces lments discuts.

36 4.1 Rponse de lauteur Dunmore (1989) trouve quil y a un manque de srieux envers laudit et le contrle des SI de la part des dirigeants des entreprises. La qualit de la fonction daudit des SI peut varier dun service un autre. Au niveau des dpartements daudit interne, le degr de srieux est mixte et la qualit des travaux est variable dun service un autre. Quant aux firmes externes, elles ne semblent pas tre assez srieuses au sujet de laudit des SI. Quelques auditeurs internes sont srieux sur ce plan par contre dautres ne le sont pas.

4.2 Argumentation et points critiques Les arguments de lauteur sont multiples, et tournent autour de cinq constatations principales sur ltat de la situation lpoque. Les caractristiques du manque de srieux envers laudit des SI sont apprcies par, le manque dun cadre de rfrence qui puisse joindre les objectifs et lvaluation du contrle interne au processus de gestion, le degr de comprhension des objectifs de laudit des SI, limportance accorde par les dirigeants laudit des SI et aux auditeurs des SI.

Dunmore (1989) mentionne aussi la difficult dune possibilit de carrire pour lauditeur SI au sein de lentreprise et finalement, il trouve que lintrt que manifestent ces derniers envers lorganisation de leurs travaux est assez relatif. Malgr le fait que ces arguments se recoupent et font rfrence plusieurs ides dj rencontres dans le chapitre prcdent, nous allons les prsenter chacune dans une sous-section part pour mieux les comprendre. Ensuite nous traons les changements qui ont eu lieu depuis 1989 pour fin danalyse et discussion.

37 4.2.1 Manque dun cadre de rfrence Nous constatons daprs les rponses avances par lauteur que la direction dune organisation a des attentes plus fortes envers les fonctions fournies par linformatique. Elle exige des dlais de livraison raccourcis et des niveaux de services continuellement amliors non une attente pour llaboration dun cadre de contrle adquat ou lexcution de travaux de conformit qui savrent loin dtre un support pour le processus de gestion.

Dunmore (1989) dans sa rponse ce point mentionne la direction dune socit voit et considre lautomation comme un outil stratgique qui offre un avantage comptitif. Cela a rsult en une importance croissante sur des dlais de temps serrs pour la demande de dveloppement de systme, et une disposition augmente pour accepter des risques. cause de la rapidit de lautomatisation, ni les auditeurs ni la direction ne peuvent attendre que des procds, procdures ou modles soient mis en place pour tablir les contrles appropris et vrifier la conformit. Les dirigeants sont occups par les profits et laccomplissement des objectifs de lentreprise, cet effet le contrle et laudit des SI est une priorit relative.

4.2.2 Degr de comprhension des objectifs de laudit des SI La comprhension de la gestion et du contrle des systmes est une condition ncessaire pour supporter la fonction daudit des SI et ltablissement dun environnement pertinent de contrle. Ltat actuel montre un niveau faible de la comprhension des objectifs de contrle du systme dinformation et de lintrt que porte la direction envers lutilit, limpact et lapport de laudit SI sur le systme dinformation de lentreprise.

38 4.2.3 Importance accorde par les dirigeants laudit des SI Les auditeurs des SI qui prfrent viter les systmes non financiers, les nouvelles technologies et les questions daffaires en faveur dintrt de contrle familier sont moins utiles la direction quils ne peuvent ltre. Pourquoi alors la direction doit tre srieuse sur la question de laudit des SI ? La raison primaire pour le manque de srieux au sujet daudit SI est le dcroissant intrt du domaine de laudit des SI tel quil est prsent peru par les dirigeants.

4.2.4 Ressources alloues laudit des SI au sein de lentreprise Une autre mesure de la faiblesse des ressources alloues tant le nombre de personnes affectes laudit et le contrle des systmes de lentit. En effet Dunmore (1989) nous fait part que le manque dune voie daccs adquate pour une carrire dans ce domaine est une indication du soutien faible de la part de la direction dune entreprise cette fonction.

4.2.5 Degr de srieux des professionnels envers laudit des SI Daprs les constatations de lauteur qui sont tires de son exprience professionnelle, ceux qui effectuent des travaux daudit de systme dinformation manquent de dtermination et se contentent deffectuer leurs investigations dans des zones faciles de contrles gnraux. Les constatations faites en 1989, dmontrent que les travaux mens lors dun audit des SI se concentrent sur les zones faciles (contrles gnraux et contrles dapplications) et ralisent peu de travail dans les problmes moins controverss (dveloppement des systmes, revue defficacit, tlcommunication, intelligence artificielle) les contrles de base sont effectus lors de laudit annuel.

39 4.3 Analyse et discussion Aprs avoir prsent les arguments de Dunmore, il y a lieu de discuter des volutions qui ont surgis depuis 1989 pour chacun de ces lments. 4.3.1 Manque dun cadre de rfrence Dans un monde o la concurrence est forte et les changements sont rapides, les dirigeants ont davantage dattentes de leurs systmes informatique. Ils demandent plus de fonctionnalits, des dlais de ralisation plus courts, tout cela un cot rduit et un niveau de risque acceptable. Le management a donc besoin dun cadre de rfrence des pratiques de contrle et de matrise de linformatique, applicable et accept, pour valuer son environnement informatique existant ou projet. Or tel que dcrit par Dunmore (1989), la situation montre un cart entre lavancement des technologies de linformation et lautomatisation des systmes dune part, et les procds de contrle qui sont longs et lourds intgrer dans le systme dautre part. Par la force des choses, les procds instaurs ne servaient plus comme support au processus de gestion.

Depuis quelques annes, les organismes de contrle, les lgislateurs, et les utilisateurs ressentent le besoin de plus en plus vident de disposer dun cadre de rfrence en matire de contrle et de gestion, de linformatique et par linformatique. Louvrage publi en 1970 par lICCA et intitul Normes de contrle interne dans un cadre informatique a jou un rle important dans le domaine du processus de gestion eu gard au recours linformatique aux fins de traitement des donnes. Le dfi lors de la premire rvision de ces normes, en 1986, tait de sassurer que leur contenu demeure pertinent compte tenu de lvolution rapide de lenvironnement informatique. En 1998, cet ouvrage a fait lobjet damliorations et de remaniements importants, ainsi la troisime dition publie par lICCA a port le titre : La gestion du contrle de linformatique. Cette dition fournit un cadre de

40 rfrence qui permet de structurer les techniques de contrle. De plus, les normes de contrle minimales quelle renferme constituent un seuil repre que les entreprises doivent sefforcer datteindre si elles veulent tre en mesure de fournir le niveau dintgrit attendu delles sur le plan du traitement des donnes et de linformation.

Par ailleurs, la llA a publi en 1991 (rvis en 1994), un rapport sur laudit et le contrle des SI intitul System Auditability and Control, SAC Report qui a fourni les premires tentatives de codifier les contrles dans un contexte de dpendance vis--vis des tlcommunications et dintgration des technologies nouvelles. Le SAC Report a soulign la ncessit dvaluer le risque, prsente le cot et les avantages des contrles et les avantages conomiques des contrles btis dans les systmes lors de leur conception et dveloppement plutt que les ajouter aprs la mise en place.

Le SAC Report a identifi des risques comprenant la fraude, les erreurs, les interruptions daffaires et lutilisation inefficace et inefficiente des ressources informatiques et des technologies de linformation. Il a dtermin un ensemble dobjectifs de contrle pour attnuer ces risques et assurer lintgrit, la scurit, et la conformit de linformation. Le rapport a conclu que le systme de contrle interne comprend trois composantes: lenvironnement de contrle, les systmes manuels et automatiss, et les procdures de contrle. Lenvironnement de contrle inclut la structure dorganisation, le cadre de contrle, les politiques et les procdures et les influences externes. Les systmes automatiss se composent des logiciels de base et des applications de systme. Les procdures de contrle se composent des contrles dapplication et des contrles compensatoires. En plus des explications fournis, le SAC Report classe les diffrents types de contrle relatifs aux SI en cinq grandes catgories de contrle: (1) prventif, rvlateur et correctif, (2) discrtionnaire et nondiscrtionnaire, (3) volontaire et obligatoire, (4) manuel et automatis, et (5) dapplication et de contrles gnraux.

41 En 1996, afin de fournir un cadre complet et dtaill sur les objectifs dtablissement de contrle dans un contexte volutif des technologies de linformation, lInformation Systems Audit and Control Foundation (ISACF) a dit le modle COBIT, Control Objectives for Information and Related Technology. partir de lanalyse dun ventail dimpratifs plus large regroupant les impratifs en matire de qualit, de fiduciaire et de scurit, sept catgories distinctes de contrle ont t slectionnes. COBIT dfinit les objectifs de contrle de linformation et des technologies associes comme suit:

1.

Lefficacit : concerne toute information significative et pertinente pour le processus de gestion, distribue de manire ponctuelle, correcte, cohrente et utilisable.

2.

Lefficience : Concerne la mise disposition de linformation grce lutilisation optimale (la plus productive et la plus conomique) des ressources.

3.

La confidentialit : Concerne la protection de linformation sensible contre toute divulgation non autorise.

4.

Lintgrit : touche lexactitude et lintgralit de linformation ainsi qu sa validit au regard des valeurs de lentreprise et de ses perspectives.

5.

La disponibilit : proprit de linformation qui est dtre disponible et de le rester lorsquun processus de gestion en a besoin. Concerne aussi la sauvegarde des ressources ncessaires et des moyens associs.

6.

La conformit : consiste se conformer aux lois, aux rglementations et aux clauses contractuelles auxquelles le processus de gestion est soumis, cest dire aux critres de gestion imposs par lenvironnement extrieur.

42 7. La fiabilit de linformation : sadresse aux dirigeants et concerne la fourniture dinformations pertinentes pour le fonctionnement de lentit et lexercice des responsabilits sur le plan des finances et des rapports de conformit.

COBIT est destin trois publics diffrents :

a) Le management: pour laider trouver le juste quilibre entre le risque et linvestissement en contrles, dans lenvironnement souvent imprvisible de linformatique.

b) Les utilisateurs: pour obtenir des garanties concernant la scurit et les contrles de leurs services informatiques, quils soient fournis par une structure interne ou par des tiers.

c) Les auditeurs des SI: pour justifier leur opinion et/ou donner des conseils au management sur les contrles internes.

Lainhart (1996) souligne que la mise en vidence des besoins de lentreprise en matire de contrles de linformatique ainsi que la mise en application des modles de contrle naissants et des normes internationales affrentes ont fait voluer les objectifs de contrles, jusque l, outil dauditeur, vers un outil de management, le COBIT. cet effet lauteur mentionne limportance de ce modle:

Dune part, nous avons assist au dveloppement et la publication de modles gnraux de contrle de lentreprise tels que COSO (Commitee of Sponsoring Organisations of the Treadway Commission-Internal Control-Integrated Framework, 1992) aux tats-Unis, Cadbury en Grande-Bretagne, et CoCo au Canada. Dautre part, il existe un nombre important de modles de contrle plus spcifiques concernant linformatique. Dans cette dernire catgorie, on

43 trouve par exemple le Code de Scurit de Conduite mis par le DTI (Department of Trade and Industry, G.B.) et le Manuel de Scurit mis par le NIST(National Institute of Standards and Technology, U.S.A.). Cependant, ces modles de contrle spcifiques ne fournissent pas de modle la fois complet et utilisable pour le contrle de linformatique en tant que support des processus de gestion. Lobjectif de COBIT est de combler cette lacune en proposant un systme de base troitement li aux objectifs de lentreprise tout en sintressant plus particulirement linformatique.5

COBIT se fonde sur le principe suivant : pour fournir linformation ncessaire latteinte de ses objectifs, une organisation doit grer ses ressources informatiques par processus, eux-mmes regroups en quatre grands domaines fonctionnels. Nous prsentons dans ce qui suit les dfinitions des quatre domaines identifis :

1.

Planification et organisation : ce domaine couvre la stratgie et les tactiques et vise identifier le moyen optimal pour que linformatique puisse contribuer remplir les objectifs de lentreprise.

2.

Acquisition et mise en place : pour raliser la stratgie informatique, il faut identifier, dvelopper ou acqurir des solutions informatiques, les mettre en uvre et les intgrer au processus de gestion. De plus, les modifications qui interviennent dans les systmes existants ainsi que leur maintenance sont couvertes par ce domaine pour assurer un cycle de vie complet de ces systmes.

3.

Distribution et support : ce domaine touche la fourniture des services ncessaires qui vont des oprations traditionnelles concernant les aspects de scurit et de continuit, jusqu la formation. La fourniture de services passe obligatoirement par la mise en place des processus de support ncessaires.
5

Lainhart (1996). Traduction libre, p.21

44 4. Surveillance : tous les processus informatiques doivent tre rgulirement valus pour vrifier leur qualit et leur conformit vis--vis des exigences de contrle. Ce domaine concerne ainsi particulirement la surveillance par le management du processus de matrise et dassurance indpendante de lorganisation, fourni par laudit interne ou externe, ou obtenu dautres sources. La figure 4.1 illustre ce concept.

Figure 4.1 Information sur COBIT (Tire du COBIT 2me dition. AFAI 1996 p16)

45 En rsum, afin de fournir linformation dont lentreprise a besoin pour raliser ses objectifs, les ressources informatiques doivent tre gres par un ensemble de processus regroups naturellement. Par ailleurs, lISACF vient dmettre en juillet 2000 la troisime dition du COBIT qui comprend actuellement :

Une synthse qui contient une introduction destine sensibiliser les directions gnrales et leur faire comprendre les concepts et les principes cls de COBIT. Un rsum du cadre de rfrence qui donne ces mmes directions gnrales plus de dtails sur les concepts et les principes cls de COBIT, et qui prsente les quatre domaines et les 34 processus qui sy rattachent,

Un cadre de rfrence qui dcrit de faon dtaille les 34 objectifs de contrle gnraux et identifie pour chacun deux les impratifs auxquels ils rpondent en matire de gestion de linformation et les ressources informatiques concernes au premier chef,

Des objectifs de contrle qui renferment les rsultats ou les buts atteindre avec la mise en place de 302 objectifs de contrle dtaills correspondant aux 34 processus informatiques,

Un guide daudit qui contient des points daudit suggrs pour chacun des 34 objectifs de contrle gnraux, de faon aider les auditeurs informatiques rviser les processus informatiques par rapport aux 302 objectifs de contrle dtaills, et permettant de fournir au management des recommandations ou des conseils damlioration,

Des outils de mise en uvre qui prsentent les enseignements tirs de lapplication de COBIT par des organisations qui lont mis en place rapidement et avec succs.

Les outils de mise en uvre incluent lintroduction destine sensibiliser les directions gnrales et leur faire comprendre COBIT. Ils intgrent galement un guide de mise en uvre comprenant deux outils utiles danalyse de lenvironnement

46 de contrle informatique des organisations : le diagnostic de sensibilisation du management et le diagnostic de contrle de linformatique. Sy ajoutent des tudes de cas prsentant comment des organisations mondiales ont mis en place COBIT avec succs. Nous comptons interroger les rpondants par une question sur lutilisation du COBIT, (Tableau 4.1). Dans ce sens la rponse des rpondants nous sera dune grande utilit car ce point gnre beaucoup dinquitudes souleves par Dunmore (1989). Elle nous aidera avoir une ide plus complte de llargissement du domaine de connaissance en audit SI, et surtout le degr de comprhension et dimportance quaccordent les dirigeants aux contrles et laudit du SI. 4.3.2 Degr de comprhension des objectifs de laudit des SI Dans sa recherche empirique, Lucy (1999) a mis laccent sur les ressources alloues aux tches effectues lors dun audit de SI, il a identifi trois facteurs qui influencent lallocation des dites ressources: la taille de lorganisation, la complexit perue de la technologie de linformation employe par lorganisation et finalement la connaissance du dveloppement du systme dinformation de gestion de la part de la direction. Ces facteurs rejoignent lide de Dunmore (1989) leffet que le degr de srieux quant laudit des SI est tributaire des ressources qui lui sont alloues et qui dpendent du degr de comprhension des objectifs et de lutilit de laudit des SI de la part des dirigeants. Tableau 4.1 Utilisation ou planification pour lutilisation de COBIT 14) COBIT (Control Objectives for Information and related Technology) Dj mis en application Planification de mise en application Aucun plan pour mettre en application

47 Dunmore (1989) ajoute que les cots de compensation, les risques et les bnfices lies laudit des SI sont souvent des sujets plus au moins compris par les dirigeants de lentreprise. Comme laudit SI comprend la fois le contrle et la scurit du systme, nous avons jug intressant de poser les questions suivantes : 15) Est-ce que vous jugez que dans le contexte actuel de votre organisation, les objectifs de contrle des SI sont-ils compris suffisamment par la direction suprieure ? Oui Non 16) Est-ce que les objectifs de scurit des SI dans le contexte actuel de votre organisation sont-ils marqus dune comprhension suffisante par la direction suprieure ? Oui Non 17) Est-ce que les dirigeants de lentreprise ont tendance de confondre les attributs de laudit des SI comme fonction de contrle par rapport dautres fonctions de vrification ? Oui Non

4.3.3 Importance accorde laudit et aux auditeurs des SI Selon Dunmore (1989), le degr dimportance accorde laudit et aux auditeurs des SI dans lentreprise est tributaire de la connaissance de la direction des dveloppements du systme dinformation de gestion futur et des efforts de planification de maintenance acquis travers le procd de planification du SI ou par la participation dans la planification stratgique du SI. Dans le mme ordre dide, Lucy (1999) trouve que les organisations qui participent au processus de planification et qui font participer les auditeurs SI au comit de direction ou au comit de gestion tendent consacrer plus de ressources laudit du systme dinformation au dveloppement des systmes et aux activits valeur ajoute telle que lAuto-valuation CSA Control Self Assessement et lducation professionnelle continue.

48 Ainsi, nous tenterons de mesurer si les dirigeants des entreprises se sont rveills quant au rle et limportance quils devront accorder lauditeur SI travers les questions suivantes, les rponses sont apprcies selon une chelle de 1 3 avec les indications suivantes: (1=Jamais, 2=Occasionnellement, 3=Toujours).

18) quelle frquence le responsable de laudit des SI de lentreprise assiste aux runions du comit de gestion de la direction suprieure ? 19) quelle frquence lauditeur des SI de lentreprise assiste aux runions du comit directeur du projet lors de dveloppement de systme ?

Les questions suivantes dont la rponse serait oui ou non, nous aiderons comprendre le degr de proccupation envers laudit des SI ;

20) Est-ce que dans votre contexte, lauditeur des SI est-il support par la direction (chef du dpartement daudit) participer et alimenter la planification annuelle de laudit de SI ? 21) Est-ce que dans votre contexte, la direction (chef du dpartement daudit) alimente et participe la planification de lapproche et aux objectifs de la mission (projet ou mandat) daudit de SI ? 22) Est-ce quun plan durgence en cas de sinistre pour la reprise du systme dinformation existe au sein de lentreprise ? 23) Est-ce que le plan durgence pour la reprise de lactivit en cas de sinistre est compltement test chaque anne ? 24) Est-ce que vous considrez que le comit de vrification devrait tenir une ou des sances ouit-clos avec les auditeurs interne des SI ?

49 Lutilisation de certaines techniques dans une organisation est capable de nous clairer sur le degr de comprhension de ces dirigeants, pour cela nos questions porteront aussi sur lutilisation de la technique de lAuto-valuation (CSA). Nous prsentons la dfinition suivante de cette technique:

Le Control Self Assesment (CSA) est une technique selon laquelle le personnel et / ou le management peuvent eux-mmes valuer les contrles et la matrise de risque et ce de manire assiste via des questionnaires ou en sessions de travail facilites par laudit interne ou par des externes6. Daprs West et Khan (1997), essentiellement le processus de CSA instruit des gestionnaires et des employs sur limportance des contrles, identifie les contrles dans leur zone de responsabilit et identifie la responsabilit de lexistence, la comptence et le fonctionnement appropri de ces contrles aux personnels exploitants. Les rpondants auraient rpondre propos de lutilisation ou la planification dutilisation du CSA par leur entreprise.

Tableau 4.2 Utilisation ou planification pour lutilisation du CSA par lentreprise audite 25) Control Self-Assessment / Auto-valuation de Contrle Compltement implant et mis en application Partiellement mis en application mise en application dans 12 mois Aucun plan

Traduction libre. CISA Review Manual 2001. p 51.

50 4.3.4 Ressources alloues laudit des SI au sein de lentreprise Dunmore (1989) laisse entendre que les organisations investissent

massivement dans la technologie informatique et les systmes automatiss, mais trs peu en audit et contrle de ses technologies de linformation. Les dirigeants naccordent pas une attention particulire ce poste et payent plus cher les services dun consultant et narrivent pas retenir un spcialiste pour un poste stable affect uniquement laudit des systmes.

Davis (1993) qualifie laudit des SI dune zone de spcialisation intense qui la charge des travaux doit tre confie un auditeur informatique communment appel aujourdhui auditeur des SI. Il conseille les entreprise de recruter linterne un auditeur SI pour un poste permanent moins de voir la gestion de SI tomber dans une situation de non-contrle des technologies par les dirigeants de lentreprise eux-mme. Davis (1993) ajoute que les auditeurs des SI sont rapidement devenus un lment critique lors de lvaluation des risques de la technologie de linformation de gestion de lentit et contribuent dans plusieurs organisations retirer les avantages des dveloppements en technologie de linformation.

Dunmore (1989) a initialement avanc un postulat selon lequel lexistence dune voie daccs de carrire pour des auditeurs SI expriments nest pas du tout claire en 1989. Les rpondants ltude de Lucy (1999) qui sont des directeurs de dpartement daudit interne, ont galement exprim une inquitude sur la difficult trouver et maintenir des auditeurs SI expriments. Tel quindiqu, dans cette recherche, les organisations ont aussi une certaine difficult de retenir des personnels superviseurs et directionnels expriments en audit SI. Certaines questions pourront nous tre utiles pour tracer sil y lieu des changements ce sujet, il y a eu donc de traiter au niveau de cette section du personnel affect laudit SI au sein de lorganisation et des moyens qui leur sont disponibles pour leur mission.

51 26) La fonction daudit des SI est-elle dote de moyens, doutils et du support ncessaire laccomplissement de ses missions ?

27) Le nombre deffectif de la fonction audit des SI est-il compatible avec ses attributions et ses missions ?

28) Sil y lieu, la raret dun poste ddi a une fonction daudit de systme dinformation linterne des entreprises, est une consquence de : Labsence dune conviction de la direction suprieure Labsence de ressources qualifies sur le march

4.3.5 Degr de srieux des professionnels envers laudit des SI. Warren, Edelson, et Parker (1994) ont indiqu que les tches primaires daudit des SI sont au nombre de quatre:

1. 2. 3. 4.

Lexamen des systmes en cours de dveloppement Examen du centre dinformation Examen du systme dapplication Support et soutient des auditeurs autres que SI (internes et externes)

Dans sa recherche sur les ressources alloues aux travaux daudit de systme dinformation mene par les auditeurs internes en entreprise, Lucy (1999) mentionne quil y a une demande croissante pour laudit des SI excuter des activits valeur ajoute au-del des rles traditionnels et par consquent les quatre rles traditionnels daudit dinformation mentionns ci-dessus doivent tre redfinis en tant que cinq. Nous les prsentons dans les pages suivantes.

52 1. a. b. Revue de dveloppement de systme : Revue des systmes en cours de dveloppement Revue de lapproche de mthodologie et de cycle de vie de dveloppement de tout le systme utilis par lorganisation c. Services de conseils au comit excutif en technologie de linformation

2.

Audit dinfrastructure du centre dinformation majeure, rseau et moyens de

communication aussi bien que les revues de demandes la fois des systmes financiers et non financiers

3. a.

Soutiens dautres auditeurs : Fournir un soutien technique ou des stages aux auditeurs internes financiers ou dopration

b.

Conduire des revues de demande coordonnes avec des auditeurs financiers ou dopration

c.

Fournir un soutien technique aux auditeurs externes

4. a.

Fournir du soutien valeur ajoute lorganisation : Fournir des instructions techniques de contrle et de scurit au personnel du systme dinformation et de gestion

b.

Dvelopper ou assister la direction dans les dveloppements valeurs ajoutes et les applications de contrle accentu (audit de soi mme)

c. d. e.

Faciliter la mise en place des programmes de CSA Stage avec le personnel daudit financier ducation professionnelle continue

5.

Les contrats daudit de conformit et dassurance qualit de fournisseur de software/hardware et les dispositions hors service.

53 Ltude de Lucy (1999), mene par enqute administre aux directeurs des dpartements interne, a confirm ces cinq composantes comme travaux actuels qui se font en audit des SI. En plus, nous constatons limportance de sassurer que les contrles seront mis en application tt dans le dveloppement de systme, et par consquent tmoignent du srieux selon lequel ces travaux sont excuts au sein des dpartements daudit interne.

Dautre part, les normes pour la pratique professionnelle de laudit interne publie par la IIA, dfinissent laudit interne comme tant une activit indpendante et objective qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute. La fonction audit interne est sense aider lorganisation atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et en faisant des propositions pour renforcer leur efficacit. Nous constatons que le travail de lauditeur interne dans son administration du risque est dpendant du systme d informations de lorganisation. Ainsi la IIA publie dans sa nouvelle rvision des normes de mise en uvre entres en vigueur ds le premier janvier 2002 :

2110.A2 Laudit interne doit valuer les risques affrents au gouvernement dentreprise, aux oprations et aux SI de lorganisation au regard : De la fiabilit et lintgrit des informations financires et oprationnelles ; De lefficacit et lefficience des oprations ; De la protection du patrimoine ; Du respect des lois, rglements et contrats. 7

http://www.theiia.org (Rubrique: Guidance, Standards for the Professional Practice of Internal Auditing. The mandatory implementation date for Standards is January 1, 2002)
7

54 Laudit des SI est dsormais class comme une grande activit daudit interne la quelle le professionnel doit accorder une attention particulire. Du fait que la dfinition donne prcdemment, laisse entendre que lactivit daudit et de contrle de systme est un sous-ensemble de la profession daudit interne.

Dun autre cot, dans sa rponse sur le degr de srieux des professionnels, Dunmore (1989) juge que les firmes externes ne semblent pas tre assez srieuses au sujet de laudit des SI car les travaux effectus dune anne une autre ne sont pas approfondis, ils se contentent de refaire ce qui a t fait lanne prcdente. Dans ce mme sens dide la question suivante est propos notre chantillon :

29) Est-ce que vous considrez que dans le contexte des vrifications statutaires exerces par lauditeur externe des SI, la revue des contrles relatifs aux SI est approfondie dune anne lautre ?

Lauteur qualifie le travail effectu par un auditeur externe sur la partie systme dinformation de non srieux car il ne touche pas des zones difficiles et se contente de la revue de contrles gnraux lors de lexamen annuel des comptes. Dans le cas o lentreprise fait appel un auditeur externe de systme dinformation, certaines tches la demande de laudit serait incluse dans la mission dont il est investi. Ainsi, partir dun cas pratique, nous prsentons titre dexemple les domaines couverts lors dune mission daudit externe des SI dans une intervention chez un client (Appendice B). Lobjectif global de cette mission est de sassurer de la disponibilit, de la fiabilit et de la confidentialit des systmes informatiques et des contrles qui supportent les oprations de lentreprise et de mitiger les risques inhrents. Ces contrles se regroupent en domaines, soit, lexploitation des SI, la scurit de linformation, limplantation et maintenance des systmes dapplications, limplantation et soutien des bases de donnes, le soutien du rseau, et finalement le soutien des logiciels de bases.

55 La revue de ces domaines est effectue annuellement, incluant la revue du plan de relve et continuit des oprations. Par contre les sondages et les tests daudit sont effectus selon un plan de rotation triennal. Ainsi, chaque anne deux domaines, la fois, font lobjet de sondages daudit, moins que lorganisation ne connaisse des modifications ou des dveloppements au niveau des systmes informatiques qui ncessitent une rvaluation du plan de rotation. En reprenant la mme chelle de perception du degr de srieux par notre auteur, savoir, ltendue des travaux, nous pensons que le degr du srieux des cabinets externes dpendra toujours de la nature de la mission dont ils sont chargs. Ceci nous laisse croire que les auditeurs SI qui travaillent au sein des cabinets daudit externes sont des spcialistes qui utilisent des techniques daudit informatiques complexes pour effectuer une partie du travail de la vrification. Ils agissent, en quelque sorte, comme consultants internes auprs des auditeurs financiers.

Par ailleurs, et dans le volet de lintrt que portent les auditeurs financiers ce champ dexpertise, nous citons un rcent sondage mene par le Groupe Angus Reid (hiver 2000) qui lICCA a demand de conduire un sondage sur la profession telle quelle est et telle que les CA la voient dans lavenir - auprs de plus de 500 CA de partout au Canada. Les professionnels CA jugent que leur effort en matire de formation en informatique est encore insuffisant et que le futur est dans la spcialisation des services de certification. Ce sondage a rvl que, :

91% des CA se disant en faveur de la spcialisation, et 86% appuyant llaboration de nouveaux services de certification et reconnaissant la ncessit dune rforme de la formation, environ 86% ont reconnu limportance pour les futurs CA davoir une formation en informatique8.

Comment les CA canadiens peroivent l'avenir de leur profession, Livre de bord, Vol. 5, No1, Hiver 2000 (page 3).
8

56 4.4 Point de vue avant lenqute Les efforts entrepris par les organismes professionnels de laudit, toutes catgories confondues, tmoignent du srieux qui entoure lorganisation de lexcution des travaux daudit des SI. En plus, ldition dun cadre de rfrence le COBIT, et lutilisation de certaines techniques dauto-valuation tel que la CSA, sont dune grande utilit pour la gestion de laudit SI.

Daprs nos constatations, il semble que lintrt de ce champ dactivit est rendu une priorit aprs quil a t dune moindre importance comme la fait remarquer Dunmore (1989). Toutefois, le dbat sur limportance quaccordent les dirigeants des entreprises cette fonction et leur soutien aux auditeurs SI reste encore important. 4.5 Rsultats de lenqute travers les questions proposes notre chantillon, nous essayons de tirer au clair les lments qui indiquent lintrt que porte les dirigeants dentreprises envers cette fonction et qui est affect par leurs degrs de comprhension des objectifs et attributs de laudit SI 4.5.1 Cadre de rfrence Il ressort de la littrature que le un cadre de rfrence en matire daudit des SI fait retenir COBIT comme tant loutil qui puisse joindre les objectifs et lvaluation du contrle interne au processus de gestion. Nous dcouvrons que la mise en application de ce dernier nest pas aussi rpandue au sein des organisations dans les quelles interviennent les rpondants cette tude. Nos rsultats, comme le montre le tableau 4.3, font ressortir que dans 14% des cas, COBIT est dj mis en application et que dans 19%, il y a une planification de mise en application.

57 Tableau 4.3 Rsultats de lutilisation ou planification pour lutilisation du COBIT COBIT: Control Objectives for Information and related Technology Dj mis en application Planification de mise en application Aucun plan pour mettre en application Rsultat global 14% 19% 67%

4.5.2 Degr de comprhension des objectifs de laudit des SI Daprs Dunmore (1989), il y a une faible comprhension de lapport, des objectifs et de lapport de la fonction daudit des SI. Nous prsentons dans le tableau 4.4, les rsultats nos questions ce propos qui semblent confirmer que cest encore le cas dans pas mal dorganisations. En effet, 74% des rpondants affirment que les dirigeants de lentreprise ont tendance confondre les attributs de laudit des SI comme fonction de contrle avec dautres fonctions daudit. Comme le montre les rsultats, il y a un niveau faible de comprhension des attributs et des objectifs de laudit des SI par les dirigeants de lentreprise. Tableau 4.4 Perception sur la confusion des attributs de laudit SI Question Est-ce que les dirigeants de lentreprise audite ont tendance de confondre les attributs de laudit des SI comme fonction de contrle par rapport dautres fonctions daudit ? Rsultat global Auditeur Externe Auditeur Interne

Oui 74% Non 26%

14 4

13 6

58 Tableau 4.5 Degrs de comprhension des objectifs de laudit SI par les dirigeants Question Est-ce que vous jugez que les objectifs de contrle des SI sont compris suffisamment par la direction suprieure de lentreprise? Est-ce que les objectifs de scurit des SI sont marqus dune comprhension suffisante par la direction suprieure de lentreprise ? Rsultat global Oui 38% Non 62% Oui 56% Non 44% Auditeur Externe 10 8 10 8 Auditeur Interne 4 15 11 8

Nous notons aussi que les objectifs de contrle ne sont pas suffisamment compris et ce dans 62% des cas. Les objectifs de scurit sont jugs tre plus au moins (56%) compris par la direction. Daprs le tableau 4.5, les objectifs de contrle des SI ne sont pas suffisamment compris par les dirigeants. Cest surtout les auditeurs internes qui sentent plus directement cette insuffisante comprhension des objectifs de contrle des SI par les dirigeants. En effet dans le groupe des auditeurs internes 80% affirment que les objectifs sont mal compris, tandis que dans le groupe des auditeurs externes jugent 55.5 % que ces objectifs sont suffisamment compris par la direction.

4.5.3 Importance accorde laudit et aux auditeurs des SI Daprs notre analyse, limportance que peuvent accorder les dirigeants dune entreprise laudit des SI est tributaire de la connaissance des dveloppements et des efforts de planification et de maintenance du systme dinformation de lentreprise. Les rponses reues, prsentes dans le tableau 4.6, montrent que les auditeurs des SI semblent tre en contact non rgulier avec la direction suprieure de lentreprise et donc, cette dernire nest pas bien informe.

59 Tableau 4.6 Importance accorde laudit SI Question quelle frquence le responsable de laudit des SI assiste aux runions du comit de gestion de la direction suprieure de lentreprise audite? quelle frquence lauditeur des SI assiste aux runions du comit directeur du projet lors de dveloppement de systme de lentreprise audite? Rsultat global Auditeur Externe 2 16 Auditeur Externe 11 8

Jamais 35% Occasionnellement 65% Toujours 0% Jamais13% Occasionnellement 87% Toujours 0%

2 16

3 16

Tableau 4.7 Participation de la direction dans la planification de laudit SI Question Est-ce que dans votre contexte, la direction (chef du dpartement daudit) alimente et participe la planification de lapproche et aux objectifs de la mission (projet ou mandat) daudit de SI ? Rsultat global Oui 57% Non 43% Auditeur Externe 13 5 Auditeur Interne 9 10

Nous venons de constater que la direction ne donne pas assez dimportance ce quelle soit informe par lauditeur SI.. Dailleurs les rsultats de lutilisation de la technique du CSA sont faibles. Nous prsentons ci-dessous les rponses reues lutilisation ou planification pour lutilisation du Control Self-Assessment par lentreprise audite.

60 Tableau 4.8 Rsultat de lutilisation ou planification pour lutilisation du CSA Control Self-Assessment / Auto-valuation de Contrle Compltement implant et mis en application Partiellement mis en application mise en application dans 12 mois Aucun plan Rsultat global 13.5% 19% 8% 60% Auditeur Auditeur Externe Interne 1 3 2 12 4 4 1 10

Tableau 4.9 Coordination entre lauditeur SI et le comit daudit Question Est-ce que vous considrez que le comit daudit devrait tenir une ou des sances ouit-clos avec les auditeurs interne des SI ? Rsultat global Oui 65% Non 35% Auditeur Externe 11 7 Auditeur Interne 13 6

La ngligence de la part de la direction des entreprises donner plus de visibilit ses auditeurs SI a pouss les rpondants suggrer que des runions soient programmes davantage entre ces organes. Ceci est montr par les rponses reues la question qui figure au tableau 4.9.

Le support que trouvent les auditeurs SI dans la planification annuelle de leur intervention semble tre respectable, mais pas rassurant. Ainsi, daprs les rsultats la question montrs par le tableau 4.10, nous trouvons que dans 35% des cas, les auditeurs SI affirment ne pas obtenir de support de la part de la direction de lentreprise audite pour participer et alimenter la planification annuelle de son intervention.

61

Tableau 4.10 Support de la direction lors de la planification pour laudit SI Question Est-ce que dans votre contexte, lauditeur des SI est support par la direction (chef du dpartement daudit) participer et alimenter la planification annuelle de laudit de SI ? Rsultat global Auditeur Externe Auditeur Interne

Oui 75% Non 35%

12 6

12 7

Tableau 4.11 Apprciation du plan de relve de lentreprise en cas de sinistre Question Est-ce quun plan durgence en cas de sinistre pour la reprise du systme dinformation existe au sein de lentreprise ? Est-ce que le plan durgence pour la reprise de lactivit en cas de sinistre est compltement test chaque anne ? Rsultat global Oui 73% Non 27% Oui 52% Non 48% Auditeur Externe 13 5 8 10 Auditeur Interne 14 5 11 8

Le plan de relve des activits a une importance particulire en matire daudit des SI. Le fait que 27% des organisations ne dispose pas dun plan antisinistre de leur systme dinformation reste aussi inquitant notre avis. En plus, il y a juste 52% de ceux qui en dispose qui ont fait tester leur plan de reprise. Ces rsultats sont montrs dans le tableau 4.11.

62 4.5.4 Ressources alloues laudit des SI au sein de lentreprise La question de moyens techniques et financiers est cruciale pour bien mener les travaux daudit. Le rsultat global cette question fait ressortir, quil y a 49% seulement des rpondants qui apprcient les ressources qui leur sont disponibles. (Tableau 4.12)

Dun autre cot, il semble que les auditeurs externes sont plus confortables que leurs collgues auditeurs internes dans laccomplissement de leurs fonctions. cet effet, 61% des auditeurs externes apprcient les moyens techniques et financiers qui sont mis leurs dispositions. Par contre, les auditeurs SI internes affirment dans 63% des cas, que cette fonction nest pas dote doutils et de support ncessaire laccomplissement de leur mission.

Les auditeurs des SI quils soient internes ou externes lentreprise, sont daccord 75% que le personnel nest pas disponible. Daprs les rsultats montrs par le tableau 4.13, les rpondants jugent que la raret des postes ddis laudit des SI est due raison de 56%, labsence dune conviction de la direction suprieure. Par ailleurs, 78% des rpondants affirment que labsence des ressources qualifies sur le march de lemploi fait en sorte que les entreprises recherchent des ressources humaines pour leur service daudit des SI. Tableau 4.12 Moyens et outils affects laudit SI Question Dans votre contexte, la fonction daudit des SI est-elle dote de moyens, doutils et du support ncessaire laccomplissement de ses missions ? Rsultat global Oui 49% Non 51% Auditeur Externe 11 7 Auditeur Interne 7 12

63 Tableau 4.13 Effectif dauditeurs SI dans les entreprises Questions Dans votre contexte, le nombre deffectif de la fonction audit des SI est-il compatible avec ses attributions et ses missions ? Sil y lieu, la raret dun poste ddi une fonction daudit de SI linterne des entreprises, est gnralement une consquence de : a) Labsence dune conviction de la direction suprieure b) Labsence des ressources qualifies sur le march de lemploi Oui 56% Non 44% Oui 78% Non 22% 10 8 15 3 11 8 14 5 Rsultat global Oui 25% Non 75% Auditeur Externe 6 12 Auditeur Interne 3 16

4.5.5 Degr de srieux des professionnels externes Daprs nos entrevues et constatations, les contrles relatifs au systme dinformation de lentreprise devraient tre approfondis dune anne lautre. raison de 65% des cas, nos rpondants affirment que ces contrles ne sont pas approfondis dune anne lautre. Ces rsultats, figurants au tableau 4.14, laissent croire que les auditeurs ne sinvestissent pas dune faon profonde lors des travaux quils mnent.

64 Tableau 4.14 Revue des contrles par les auditeurs SI externes Question Est-ce que vous considrez que dans le contexte des vrifications statutaires exerces par lauditeur externe des SI, la revue des contrles relatifs aux SI est approfondie dune anne lautre ? Rsultat global Auditeur Externe Auditeur Interne

Oui 35% Non 65%

6 12

7 12

4.6 Conclusion Le cadre de rfrence COBIT qui est destin la fois aux dirigeants et aux auditeurs de lentreprise, montre une faible mise en application par les organisations au sein desquelles uvrent nos rpondants. De plus, on note un faible degr de comprhension des objectifs de laudit des SI qui sajoute limportance relative qui est accorde laudit et aux auditeurs SI. On note aussi quil y a un manque de ressources techniques, financires et humaines alloues laudit SI. Le fait que 27% des organisations ne disposent pas dun plan antisinistre de leur systme dinformation reste aussi inquitant.

Les rpondants affirment donc que les travaux daudit SI mens que ce soit par des auditeurs internes au sein des organisations ou bien par des auditeurs de SI dans le cadre de firmes externes na pas atteint un degr de maturit pour les qualifier de srieux.

De mme, une sensibilisation des organisations consacrer des ressources financires suffisantes visant permettre aux auditeurs SI deffectuer leurs travaux de manire plus efficace et efficiente, semble tre aussi ncessaire.

65 Les limites matrielles et morales des auditeurs SI et leurs implications sur lefficacit des contrles, empchent dans une grande mesure lmergence de vritables auditeurs, jouissant des garanties ncessaires laccomplissement des missions qui leur sont assignes.

la lumire de tout ceci, il faut retenir pour cette question que le support de la direction perue comme faible cette fonction justifie encore aujourdhui de manifester les mme inquitudes que Dunmore (1989). Dans linterprtation des rsultats, on voit apparatre une certaine distorsion entre les deux groupes, les auditeurs internes salignent vers une position moins confortable que leur confrre de lexterne.

CHAPITRE 5

QUELLE EST LTENDUE DE LAUDIT DES SYSTMES DINFOMATION ?

5.1 Rponse de lauteur Quelle est ltendue de laudit des SI ? Dunmore (1989) rsume ltendue de laudit des SI en quelques mots : sassurer que la direction vite la surprise au moment daccomplir les objectifs envisags. Selon lui les audits de dveloppement des systmes doivent tre loutil principal pour accomplir ltendue de laudit des SI. La vision de lauteur est que laccent de laudit des SI serait dviter les problmes et non de les dtecter et corriger. En se posant cette question en 1989, Dunmore constate que les tches accomplir lors de laudit des SI ne sont ni uniformes ni facilement quantifiable dans leur effet. Il ajoute que le domaine de laudit des SI nest pas prcis et semble tre ce quun responsable ou un gestionnaire en audit dans une organisation particulire veut quil soit.

5.2 Arguments de lauteur Dans son argumentation sur lambigut qui entoure ltendue de laudit des SI, Dunmore (1989) voque les mmes constatations que celles abordes dans les chapitres prcdents, savoir le manque de ressources alloues, lattitude de la direction envers laudit des SI, la place de lauditeur dans lorganisation et le degr de srieux dans lexcution des travaux par les auditeurs SI.

67 Les nouveaux arguments pour cette question sont aux nombres de deux. La premire raison discute dune mal dfinition du champ dintervention de lauditeur SI qui est d linfluence des pratiques de laudit financier et oprationnel sur les pratiques de laudit des SI. Pour la deuxime, lauteur invoque un manque de normalisation et de standardisation qui dlimite les travaux excuts lors de laudit des SI. la fin lauteur propose la notion du caractre prventif de laudit des SI comme base de tout tendue de lintervention des praticiens.

5.3 Discussion et analyse des arguments Lobjet de laudit est le sujet sur lequel porte lexamen professionnel. Dans le dictionnaire de la comptabilit et de la gestion financire, Mnard (1994) dfinit ltendue de laudit comme lensemble de la matire sur laquelle porte la mission daudit et qui fait lobjet de contrle.

5.3.1 Champ dintervention de laudit des SI Daprs les standards de lISACA (1997), laudit des SI se dfinit comme tout audit qui comprend lexamen et lvaluation de tous les aspects (ou une partie dentre eux) des systmes de traitement automatis de linformation, y compris les procdures connexes non-automatises, et les interfaces qui les relient entre eux Laudit des SI est, donc, un examen critique qui permet de vrifier et dinspecter les conditions de fonctionnement des SI. lintrieur de ce cadre de dfinition gnrale, on peut distinguer diffrentes missions daudit en fonction de leurs objectifs spcifiques. On distingue ainsi laudit stratgique charg dapprcier ladquation entre les SI et les objectifs stratgiques de lentreprise; laudit des applications charg de vrifier la qualit mthodologique de la conception du dveloppement et de la

68 qualit des logiciels raliss; laudit dexploitation sattachant vrifier les procdures dexploitation et les causes de dysfonctionnement.9.

La distinction la plus importante conduit dfinir dune part laudit oprationnel et dautre part, laudit financier. Dans ce me sens dide, Marshall et Steinbart (2000) mentionnent que trois types diffrents daudit interne sont gnralement accomplis au sein des organisations:

a) Audit financier : examine la fiabilit et lintgrit des enregistrements comptables des informations financires et oprationnelles.

b) Audit oprationnel ou de gestion : concerne lutilisation conomique et efficace des ressources ainsi que la ralisation des objectifs fixs aux activits oprationnelles et aux programmes.

c) Audit des SI : revue des contrles gnraux et les contrles dapplications des systmes dinformations comptables pour valuer leurs conformits aux politiques, aux plans et aux procdures de contrle interne ainsi que leur efficacit dans la protection du patrimoine de lentit.

Laudit et le contrle sont conus pour favoriser le progrs dans lorganisation, en favorisant lapprentissage organisationnel. Lobservation des diffrentes situations dcrites par Dunmore (1989), o lon pratique certaines formes de contrle rvle, derrire cet objectif gnral, une grande varit des objectifs immdiats et par suite des difficults dfinir lobjet mme du contrle.

Traduction libre Accounting Information Systems, p.376-377.

69 La mise en place dun systme de contrle dans une organisation implique que des rponses soient apportes quelques questions fondamentales : quels sont les objectifs poursuivis ? Que cherche-t-on obtenir travers lorganisation dun systme de contrle? Dunmore (1989) trouve que laudit des SI est trs influenc par laudit oprationnel et financier. Dans la perspective de laudit oprationnel, le contrle est orient titre principal vers lefficacit et lefficience des SI. Dans la perspective de laudit financier, le contrle est orient vers la validit des informations et donc, vers la qualit et la scurit dans les SI.

Le manuel de prparation de la certification CISA (2001) prcise ce sujet que llment cl lors de la planification dun audit des SI est de traduire les objectifs de base dun audit en des objectifs spcifiques daudit de SI. Par exemple, dans un audit oprationnel/financier, un objectif de contrle interne serait dassurer que les transactions sont correctement signales dans le grand livre comptable. Cependant, en audit des SI, les objectifs peuvent tre tendus pour sassurer que les caractristiques ddition sont en place pour dtecter les erreurs dans le codage des transactions qui peuvent avoir un impact sur les activits denregistrement des comptes. Le but fondamental de tout audit SI est didentifier les objectifs de contrle et les contrles affrents qui sadressent ces dits objectifs.10

Lauditeur des SI doit dlimiter son intervention et savoir la situer par rapport aux autres types daudit. cet effet Weber (1999) mentionne que lauditeur des SI pour bien mener son rle doit bnficier dune certaine indpendance et notorit vis vis des autres dpartements de gestion et de finance de lentreprise.11

10 11

Traduction libre du CISA Technical Review Manual (2001),p.36. Traduction libre, Weber (1999),P.983.

70 5.3.2 Normes pour la pratique professionnelle Dunmore (1989) nous fait savoir quil il ny a pas de norme pour la comparaison des travaux et que les tches accomplir lors de laudit des SI ne sont ni uniformes ni facilement quantifiables dans leur effet. Il ajoute que les travaux semblent tre ce quun dirigeant ou un directeur de dpartement veux quils soient tant donn labsence de standards tablis.

Quel sont les pratiques actuelles ? Lassociation pour le contrle et laudit des SI ISACA a tabli que le caractre spcialis de laudit des SI et les comptences requises pour effectuer un tel audit rendent ncessaires le dveloppement et la promulgation de normes gnrales pour laudit des SI. Comme on la mentionn au chapitre prcdent, cest le 25 juillet 1997 que ces normes sont entres en vigueur et donc applicable aux membres de lassociation et par les dtenteurs du titre dauditeur en SI agr CISA. Les normes gnrales de laudit des SI sont aux nombres de huit; et ont t compltes par la suite de 21 directives spcifiques. En leur tat actuel, les normes gnrales portent la nomenclature suivante et traite des points suivants :

010 Charte daudit 020 Indpendance 030 thique et normes professionnelles 040 Comptence 050 Planification 060 Ralisation du travail daudit 070 Rapport 080 Activits de suivi

71 Pour ce qui est de lexcution de travaux daudit SI, ces normes tablissent que le travail daudit SI doit comprendre la planification des missions, lexamen et lvaluation des informations recueillies, la communication des rsultats et le suivi. Ces normes prcisent ce quil faut entendre par la terminologie suivante :

050 Planification 050.010 Planification dun audit : Lauditeur en SI doit planifier le travail daudit de SI pour rpondre aux objectifs de laudit et pour se conformer aux normes professionnelles daudit applicables.

060 Ralisation du travail daudit 060.010 Supervision : Le personnel daudit des SI doit tre supervis de faon adquate pour offrir lassurance que les objectifs de laudit sont atteints et que les normes professionnelles daudit applicables sont observes. 060.020 lments probants : Durant le cours de laudit, lauditeur en SI doit recueillir des lments probants suffisants, fiables, pertinents et utiles pour accomplir efficacement les objectifs de laudit. Les rsultats et conclusions de laudit doivent tre appuys par une analyse et une interprtation approprie de ces lments probants.

070 Rapport 070.010 Contenu et forme du rapport : Lauditeur en SI doit fournir aux destinataires voulus un rapport, sous une forme approprie, aprs lachvement du travail daudit. Le rapport daudit doit mentionner le but, les objectifs, la priode couverte, la nature et ltendue de laudit ralis. Le rapport doit identifier lorganisation, les destinataires voulus et toute restriction dans la distribution. Le rapport doit contenir les rsultats, conclusions et

recommandations ainsi que toute rserve ou qualification de lauditeur vis--vis de laudit.

72 080 Activits de suivi 080.010 Suivi : Lauditeur en SI doit demander et valuer les informations appropries concernant les rsultats, conclusions et recommandations

antrieures pour dterminer si les mesures appropries ont t mises en place dans des dlais raisonnables.

Nous arrivons comprendre que toute mission daudit SI commence par une collecte de donnes, se poursuit par une phase danalyse et de diagnostic, sachve par des conclusions en forme de recommandations. La dfinition de normes et standards par la communaut daudit des SI est dune grande utilit. Lexistence de principes fondamentaux affirms par la communaut internationale des auditeurs SI cre lunit des objectifs et de la mthode. Elle contribue donc trs largement la cration de la fonction daudit des SI qui, sans elle, risquerait fort de ntre quune addition de pratiques diverses et htrognes tels que dcrites par Dunmore (1989).

Les directives spcifiques lapplication des normes professionnelles pour la pratique de laudit des SI mentionnent que lobjectif de laudit des SI est de matriser les techniques daudit de linformatique, tant pour les aspects techniques quorganisationnels. Ainsi sept domaines dintervention ont t dcrits pour dlimiter ltendue de cet examen daudit :

1. Domaine relatif aux processus daudit des systmes dinformatiques : effectuer les audits conformment aux normes et aux directives gnralement acceptes dans le milieu afin dassurer que les technologies de linformation et les systmes de lentreprise sont adquatement contrls, surveills et valus.

2. Domaine relatif la gestion, planification et organisation des systmes informatiques : valuer les stratgies, politiques, normes, procdures et pratiques en matire de gestion, planification et organisation des SI.

73 3. Domaine relatif linfrastructure technique et aux pratiques oprationnelles : valuer lefficacit et lefficience de la mise en uvre et de la gestion continue effectue par lentreprise au niveau des infrastructures techniques et oprationnelles afin dassurer quelles soutiennent adquatement ses objectifs commerciaux. 4. Domaine relatif la protection des actifs informationnels : valuer la scurit de linfrastructure logique, environnementale et informatique afin dassurer quelle satisfait aux exigences daffaires de lentreprise et den empcher lutilisation, la divulgation ou la modification non autorises ainsi que lendommagement et la perte. 5. Domaine relatif au plan de secours et de continuit des affaires : valuer le processus visant laborer et maintenir des plans de continuit des affaires et de traitement de linformation documente, communiqus et tests en cas de dsastre. 6. Domaine relatif au dveloppement, lacquisition, la mise en uvre et lentretien des systmes dapplications commerciaux : valuer la mthodologie et les processus grce auxquels ces oprations sont entreprises afin dassurer quelles satisfont aux objectifs daffaires de lentreprise. 7. Domaine relatif lvaluation des processus commerciaux et de la gestion des risques : valuer les systmes et processus daffaires pour s'assurer que les risques sont grs conformment aux objectifs de lentreprise.

Lexistence de normes et standards permet aux diffrents acteurs de la fonction daudit SI dexercer celle-ci avec plus dautorit: la rfrence une fonction organise est une marque de qualit qui renforce les services daudit SI dans les entreprises. Toutefois il faut se rappeler le caractre relatif de cette utilit.

74 Les normes et standards daudit SI ne sont, en effet, assortis daucune sanction; et pour cause: les directions des entreprises nont pas se soumettre aux directives de lISACA. Cest qu la diffrence des professions organises et rglementes laudit des SI nest pas une profession indpendante, si tant est que ce soit une "profession". Cest donc exclusivement par leur autorit morale que les Instituts pourront faire prosprer leurs recommandations et par voie de consquence, donner leurs membres plus dautorit et donc plus dindpendance. Daprs Weber (1999), cest parce que cette autorit morale na cess de crotre que la fonction daudit SI a pu s'tendre et dvelopper des objectifs et une mthodologie reconnus. Non seulement ces principes fondamentaux ont permis lvolution de la fonction mais ils permettent son constant dveloppement et son amlioration par les commentaires et modalits dapplication quils suscitent.

5.3.3 Caractre prventif de laudit SI Dunmore (1988) prconiser quelques notions qui peuvent tre utilises pour amliorer la situation dcrite. La plus importante selon lauteur est de mettre laccent sur la prvention du travail daudit des SI (par exemple le dveloppement des systmes, lassistance en formulant des polices ou des procdures pour traiter de nouvelles technologies) sur des rvisions cycliques de contrles gnraux ou des systmes dapplication.

cet effet, la vision du mme auteur se trouve confirme dans son ouvrage publi en 1988 sous le titre System development auditing: traditional and new development methodologies, packaged software and other topics, o il prsente les avantages conomiques lis lintervention des auditeurs des SI ds la conception et dveloppement des SI pour faire auditer la fiabilit des contrles btis.

75 Nous constatons en effet que les volutions sont faites dans ce sens dide. Le SAC Report (1991/1994) et le COBIT (1996) ont insiste sur les avantages conomiques des contrles btis dans les systmes plutt que les ajouter aprs mise en place. Le dploiement du systme dinformation est un vritable projet dentreprise qui mobilise un grand nombre et reprsente un investissement important qui implique une minimisation des risques. Enfin, il ressort des normes dfinis par lISACA (1997), que lintrt de laudit des SI est de dclencher des mesures curatives et prventives fondes sur une dmarche rigoureuse.

Ceci rejoint lide de Dunmore (1989) qui souligne que lessence de laudit des SI est dans laudit des contrles btis lors de la phase de dveloppement et de conception des systmes. Les audits de dveloppement des systmes doivent tre loutil principal pour dlimiter ltendue de laudit des SI.

5.4 Point de vue et laboration des questions Pour russir efficacement ses objectifs, laudit SI ncessite au pralable, comme tout autre service de lentreprise, une dfinition prcise de ses fonctions. Cette dfinition de fonctions fixe lautorit et les responsabilits de laudit SI, et constitue ainsi la charte de fonctionnement de celui-ci. Le contexte dcrit par Dunmore (1989) est marqu par une comprhension insuffisante des objectifs de laudit SI et une confusion de cette fonction de contrle avec dautres fonctions similaires. La perception de Dunmore ce niveau est que la fonction daudit des SI est difficile expliquer aux dirigeants de lentreprise. Dun autre cot, la dfinition dune charte de la fonction devrait constituer une priorit dans les actions de dveloppement de cette pratique au sein des entreprises. Le champ dintervention doit sorganiser suivant un plan rigoureux et bien dfini. Les questions qui suivent devraient nous clairer.

76 30) tes vous daccord sur ces propos La fonction daudit des SI est difficile expliquer la direction ? Oui Non

31) Est-ce que le service daudit de SI dispose dune charte de mission crite et distincte ? Oui Non

32) Est-ce que la fonction daudit des SI exerce ses fonctions sur la base dun plan annuel dactions approuv par la direction de lentreprise? Oui Non

33) Le plan daudit des SI est t-il labor sur la base de :

a. b. c.

Exprience vcue Analyse du risque la demande de la haute direction

La rponse cette dernire question nous donnera une ide sur un certain souci de structure de la part des organisations. Les rponses aux trois choix peuvent nous claircir sur le fil directeur dans llaboration de ce plan et par la suite le respect des normes dictes. En effet linterprtation serait faite selon ce barme :

a. b. c.

plan moins structur de ce qui devrait tre approche base sur lanalyse du risque lintrt et lutilisation de la haute direction des travaux

5.5 Rsultats de lenqute Dans notre discussion, nous avons prcis limportance que donne les normes des pratiques professionnelles llaboration dune charte pour la fonction daudit SI.

77 Les rsultats montrent que la dfinition dune charte de la fonction nest pas une priorit pour les entreprises. 78% des organisations ne disposent pas dune charte de mission crite et distincte, ce qui freine les actions de dveloppement de cette pratique au sein des entreprises.(Tableau 5.1)

Par ailleurs, les plans daction et le champ dintervention semblent tre plus organiss du cot des auditeurs internes. En effet, 63% des auditeurs internes exercent leurs fonctions sur la base dune planification annuelle approuve par la direction gnrale de lentreprise alors que la majorit des auditeurs externes agissent occasionnellement et dans 60% des cas, sans une planification approuve par la direction de lentreprise audite.(Tableau 5.2)

Tableau 5.1 Charte de mission pour laudit SI Question Dans votre contexte, est-ce que le service daudit de SI dispose dune charte de mission crite et distincte ? Rsultat global Oui 22% Non 78% Auditeur Externe 2 16 Auditeur Interne 6 13

Tableau 5.2 Apprciation de la planification de la mission daudit SI Question quelle frquence la fonction audit des SI exerce ses fonctions sur la base dune planification annuelle approuve par la direction gnrale de lentreprise audite? Rsultat global Auditeur Externe 3 11 4 Auditeur Interne 3 4 12

Jamais 16% Occasionnellement 40% Toujours 44%

78 Concernant la planification annuelle de laudit des SI, 16% des rpondants se basent sur lanalyse du risque et 16% se basent sur leur exprience vcue. Dans 35% des cas, llaboration dun plan annuel daudit des SI: se base sur la demande de la haute direction Comme le montre le tableau 5.3, dans 33% des cas, les rpondants se basent sur les trois critres mentionns. Ils dmontrent ainsi un certain souci pour toutes les parties faire de leur mieux pour laccomplissement dun plan bien tabli qui intgre lanalyse du risque avec lexprience vcue tout en suscitant lintrt de la direction. Selon Dunmore (1989), la fonction daudit des SI est difficile expliquer la direction de lentreprise. Ce constat est encore prsent et affirm par 60% des auditeurs comme le montre le tableau 5.4. Ce sont les auditeurs internes qui font balancer les rsultats vers la prsence dune difficult expliquer leurs fonctions leur direction. Par contre, les auditeurs externes ont la perception que rares sont les cas o ils rencontrent cette difficult. Ceci rejoint un peu notre ide discute sur le fait que les auditeurs externes ne sont pas en contact rgulier avec la direction de lentreprise audite et que par la nature de leur fonction, ils sont plus accessibles aux dirigeants pourvus que ces dirigeants fassent appel leurs services. Tableau 5.3 laboration du plan annuel daudit des SI Question : dans votre contexte actuel, quel est llment sur le quel se base llaboration dun plan annuel daudit des SI: 1-Lexprience vcue 2-Lanalyse du risque 3-La demande de la haute direction 4-Sur la base des trois critres prcdents Rsultat global 16% 16% 35% 33% Auditeur Externe 4 4 5 6 Auditeur Interne 2 2 8 9

79 Tableau 5.4 Perception sur la fonction daudit SI Question tes vous daccord sur ces propos : La fonction daudit des SI est difficile expliquer la direction de lentreprise ? Rsultat global Oui 40% Non 60% Auditeur Externe 12 6 Auditeur Interne 3 16

5.6 Conclusion Notre littrature montre que le domaine de laudit SI est dfini par des normes pour la pratique professionnelle qui sont tablies par lISACA. Ces normes et recommandations dlimitent ce champ dintervention. Nos rsultats montrent que le champ dintervention nest pas organis suivant un plan rigoureux et bien dlimit. Nous constatons, en effet, que 78% des rpondants affirment que leurs services daudit SI ne dispose pas de charte de mission crite et distincte, et que beaucoup de travaux (40%) sont faits sans avoir t planifis ou du moins, leur planification na pas t approuve par la direction.

Finalement, il faut se rappeler que nos questions ont t guides par un souci de comprendre lvolution des critres mentionns par Dunmore (1989) et traitent en premier lieu des conditions avec lesquelles cette fonction est exerce. Donc nos rsultats ne nous permettent pas de qualifier ltendue des travaux des professionnels en pratique mais plutt davoir une ide sur les prrogatives qui dlimitent leurs interventions. Dans ce sens, la dfinition de normes et standards par la communaut daudit devrait contribuer la cration de cette fonction daudit SI qui risquait fort en 1989 de ntre quune addition des pratiques diverses et htrognes telles que dcrites par Dunmore lui-mme.

CHAPITRE 6

EST-CE QUE LA RELATION ACTUELLE ENTRE AUDITEURS DE SYSTME DINFORMATION ET AUDITEURS FINANCIERS FONCTIONNE ?

6.1 Rponse de lauteur Dunmore (1989) examine dans cette question la relation de travail qui runit les auditeurs SI et les auditeurs financiers. Dans sa rponse, lauteur prtend que cette relation nest pas fonctionnelle. Plus loin, il nous fait savoir que cette relation peut tre efficace mais condition que certains critres de formation

interdisciplinaire se runissent chez les professionnels qui influencent ltendue et les objectifs des travaux daudit linterne des entreprises.

6.2 Arguments de lauteur Certains arguments dans la rponse de lauteur sont rptitifs pour chacune des questions prcdemment poses, ainsi le problme du degr de comprhension et le degr du srieux manifest lgard de cette fonction de la part des dirigeants de lentreprise sont encore une fois mises en valeur. Sans oublier aussi lallocation faible de ressources alloue aux travaux daudit et lattention porte aux auditeurs des SI.

81 Pour dfendre sa vision concernant la relation entre auditeurs SI et auditeurs financiers, lauteur invoque les trois situations suivantes. Il sagit dune sgrgation continue entre les deux disciplines daudit, savoir financier et informatique. Le deuxime argument discute de la ncessit de cooprer entre auditeur financier et informatique qui nest pas mise en valeur par les professionnels. Le dernier argument traite des retombes positives dune formation qui fait runir les comptences ncessaires chez une personne qui sera capable de dfinir un plan daction qui rendra efficace la relation audit financier et audit informatique.

6.3 Discussion et analyse Dunmore (1989) discute dans son argumentation de la diffrence des philosophies entre les deux types daudits, informatique et financier. Nous traiterons dans cette section de cette diffrence et de la ncessit de coopration entre les deux auditeurs intervenants au sein de lentreprise. 6.3.1 Diffrence entre audit des SI et audit financier Lauteur prtend que les deux auditeurs, financier et de systme dinformation, nont pas les mmes objectifs et philosophie, cest ce qui fait quils narrivent pas sentendre pour faire fonctionner cette relation qui vise finalement prserver le patrimoine de lentreprise. Ainsi, un auditeur des SI assure le bon droulement et le contrle des transactions de lentreprise via le systme dinformation alors quun auditeur financier sintresse en premier lieu aux transactions financires en tant que telles.

Si lobjectif commun de la mission daudit est de prserver le patrimoine de lentreprise, lobjectif spcifique pour chacun des auditeurs peut s'exprimer diffremment entre les intervenants. Le premier objectif des auditeurs internes est de s'assurer que les contrles internes existent et quils sont adquats et fonctionnels.

82 Dautre part, lobjectif des auditeurs externes est de certifier la prsentation juste des tats financiers, sassurer quils prsentent une image fidle de lentreprise et dmettre une opinion sur ces tats financiers partir de critres (principes comptables gnralement reconnu) et dassertions (valeur, appartenance, intgralit, mesure prsentation, existence et ralit).

Nous pouvons comprendre que la diffrence peut tre dans la manire que les objectifs sont exprims et mesurs, mais non pas au point que ces diffrences rendent les travaux des deux disciplines incompatibles. Toutefois il serait opportun de vrifier si cet tat dcrit par Dunmore (1989) demeure toujours vraie dans lesprit des auditeurs.

34) Est-ce que les objectifs des travaux des auditeurs de SI sont compatibles avec les objectifs des auditeurs financiers ? (1=Jamais, 2=Occasionnellement,

3=Toujours)

Daprs Dunmore (1989), la relation actuelle ne peut pas fonctionner entre auditeur financier et auditeur des SI car les directeurs des dpartements daudit interne qui sont de formation financire ne voient pas encore limportance de la mission de lauditeur des SI par rapport celle dun auditeur financier et, par consquent, les travaux de ces gens ne sont pas mesurs leur vraie valeur. On comprend que la diffrence se manifeste plus dans lesprit des dirigeants plutt dans lutilit et les objectifs communs de tout audit. Ainsi la question suivante tente de mesurer s'il y a des difficults de fonctionnement entre les deux professionnels:

35) quelle frquence la relation entre auditeurs financiers et auditeurs de SI fonctionne en harmonie ? (1=Jamais, 2=Occasionnellement, 3=Toujours)

83 Dunmore (1989) prcise encore une fois dans son argumentation que les auditeurs des SI nont pas t capables de prouver la rentabilit de leurs travaux la haute direction et par consquent ils nont pu acqurir les ressources et lapprobation ncessaire au bon droulement de leur mission. Il ajoute que cela fait que le domaine dintervention de laudit des SI est substantiellement diffrent de laudit financier. Pire, son output est diffrent du point de vue de limportance. Nous proposons de poser cette question :

36) Quelle importance accorde la direction suprieure de lentreprise quant loutput de laudit des SI ? (1=faible, 2=moyenne, 3 =Forte)

Enfin, Weber (1999) note que le mtier dauditeur des SI comporte deux composantes essentielles. La premire est dapporter une vision claire aux entreprises et une assurance quant lintgrit, la prennit et la fiabilit de leur systme. Le deuxime volet concerne le support quil fournit aux auditeurs financiers. cette fin, lauditeur SI leur apporte les lments ncessaires et suffisants pour quils aient une vision complte et la plus claire possible pour auditer les comptes. Dans ce cadre, lauditeur en SI est finalement une interface entre la direction financire, la direction informatique et lauditeur financier.

6.3.2 Intgration entre auditeur SI et auditeur financier Lavis de certains professionnels nest pas diffrent de celui de Dunmore (1989) sur la difficult qui rgne propos de lintgration des travaux daudit financier et audit des SI. En effet, Fink (1996) ainsi que Raval (1998) jugent que bien que les auditeurs financiers utilisent de plus en plus doutils assists par ordinateur, il ne semble pas quil y ait une intgration significative entre les deux fonctions daudit financier et de SI. Administrativement, tous les deux rsident au-dessous du mme toit de la corporation daudit, cependant, il y une certaine dception quant au

84 degr et de la qualit des interactions entre les deux groupes. Raval (1998) ajoute que malgr que les deux groupes dauditeurs puissent partager leur connaissance via quelques mdias, aucun mouvement crateur ntait vident en produisant lintgration et la synergie entre les deux. Une raison peut tre que les systmes financiers semblent toujours tre sparment identifiables et peuvent tre examins sans connaissance dtaille de la technologie de linformation implique. Fink (1996) souligne la ncessit dune vraie collaboration entre les diffrents auditeurs de lentreprise et trouve que dans un environnement o lvolution des technologies informatiques s'acclre, la matrise des SI est devenue un facteur cl de succs pour laudit financier de lentreprise.

Lopinion daudit contribue de faon significative la crdibilit de linformation financire. Pour les auditeurs, lmergence de nombreux risques, notamment en matire informatique, constitue un dfi. Comment prendre en compte la complexit croissante des SI et sassurer de leur fiabilit? Il revient aux auditeurs financiers et de SI de relever ces dfis. Nous estimons que lobjectif de tout audit est la prennit de lentreprise et non la comptition entre auditeurs pour des postes de contrle.

Les propos de Fink (1996) laisse croire que la situation na pas volue car le problme de faire fonctionner des quipes multidisciplinaires pour une mme tche fait souvent drouter lobjectif de la mission en des problmes de communication et de non-partage dobjectifs communs. Cest dans cette logique que Dunmore (1989) prconise une formation interdisciplinaire de professionnels daudit. Il sagit donc de la manire dont cette ncessit de coopration est exprime chez les auditeurs. En plus, nous pensons quavec la multiplication des efforts cits et entrepris par les organismes spcialiss en certification pour arriver une standardisation, les langages se trouvent unifis et les objectifs bien exprims.

85 Pour mieux comprendre sil y a des changements dans les attitudes quant ce sujet, nous leur demanderons leur perception du degr de coopration actuelle entre ces deux disciplines.

37) quelle frquence lanalyse du risque est value conjointement par les auditeurs de SI et les auditeurs financiers ? (1=Jamais, 2=Occasionnellement, 3=Toujours)

38) Daprs votre exprience, comment qualifiez-vous la collaboration dans les travaux entre lauditeur des SI et lauditeur financier ? (1= Faible, 2=Moyenne, 3=Forte)

6.3.3 Formation interdisciplinaire Dunmore a soulev le point de formation depuis 1989, daprs lui; on doit favoriser une formation solide qui combine ces deux disciplines, pas seulement enseigner les fondements de chaque profil. Ces dernires annes, on assiste une multitude de sminaires de formation des professionnels dans ce champ dexpertise. Ainsi les organisations professionnelles des auditeurs internes et externes (IVI, ICCA) collaborent dans lorganisation dateliers de formation avec lassociation des professionnels de laudit des systmes dinformation (APVCSI)12.

Laudit des SI apparat comme tant la convergence de deux mtiers, laudit et linformatique. Notre proposition est la mme que celle propose par Dunmore (1989), savoir, mettre leffort dans la formation universitaire professionnelle qui intgrent ces deux disciplines.

12

http://www.apvcsi-quebec.qc.ca (Janvier 2002, Rubrique : formation)

86 Dans le rapport de recherche publie en 1999 par lICCA et intitul la vrification continue, lune des trois grandes conclusions des chercheurs est la suivante : lvolution des services de vrification continue est conditionnelle la conduite de recherches par le milieu universitaire, lexprimentation par les praticiens et llaboration de directives par les normalisateurs. Les sujets ainsi proposs dmontrent que le dbat soulev par Dunmore en 1989 est encore un sujet vaste et de nouveaut.

1.

Comment les vrificateurs peuvent-ils utiliser plus efficacement des outils et techniques de vrification informatiss qui sont peu utiliss lheure actuelle aux fins de la vrification traditionnelle dtats financiers?

2.

Comment peut-on utiliser plus efficacement les connaissances, lexpertise et les travaux des vrificateurs internes aux fins de ltablissement dun processus de vrification continue?

Du cot de la formation dtudiants, nous assistons encore une nondisponibilit dun programme qui dbouche sur une formation interdisciplinaire dun professionnel en audit de SI ayant une formation de gestionnaire et dauditeur financier, malgr la demande croissante des entreprises pour ce profil comme nous lavons remarqu daprs nos entrevues (Appendice B).

Nous pensons quil est temps quun programme universitaire pour lacquisition dun bagage thorique et pratique dans le domaine de laudit informatique soit mis en place. Lide nest pas nouvelle, elle est dj applique et se trouve tre le fruit des rflexions des professionnels de laudit en France. En effet, lordre des experts comptables franais et la compagnie nationale des commissaires aux comptes en France ont particip, en partenariat avec lassociation franaise de laudit et du conseil informatique (AFAI) et linstitut franais de laudit et du

87 contrle internes (IFACI) la cration du diplme universitaire en audit des SI (DUASI) de luniversit de Paris-Dauphine. Ces institutions ont runi leurs comptences afin de rpondre une nouvelle attente du march dans le domaine de la matrise des SI. La formation qui en rsulte, le DUASI, propose un programme denseignement, en alternance, de haut niveau combinant apports thoriques et pratiques professionnelles. Dune dure de 440 heures, rparties sur 20 mois, cette formation a pour objectif de dvelopper les comptences et lexpertise un niveau facilitant laccs au standard international de certification professionnelle du CISA (Certified Information System Auditor) de lISACA.

6.4 Point de vue avant lenqute Que lon soit lintrieur ou a lextrieur de lentreprise, que lon soit auditeur informaticien ou auditeur financier, le rle jou par les auditeurs est essentiel. Cest un rle dopinion qui permet dclairer les directions gnrales et de fixer les repres. Lauditeur est un point dancrage dans lentreprise qui permet aux dirigeants de prendre les bonnes dcisions dans un monde o la complexit va croissante. Concernant lefficacit de la relation entre auditeur SI et auditeur financier nous pensons que des volutions ont d avoir lieu dans le sens dune collaboration plus fructueuse au bnfice de lentreprise.

Par ailleurs, ce qui se passe actuellement au niveau de la formation est une collaboration qui runit de temps autre des professionnels de laudit, tels que les sminaires organiss entre linstitut des vrificateurs internes, lassociation des professionnels de laudit des SI et linstitut canadien des comptables agrs. Laudit est un mtier qui garde sa vocation mais condition que les professionnels sachent le faire voluer au rythme des technologies. Do la ncessit de mettre un programme universitaire facilitant laccs a une carrire en audit SI.

88 6.5 Rsultats de lenqute Les questions poses au niveau de ce chapitre, traitent des points de divergences expliqus par Dunmore (1989). Dans ce qui suit nous prsenterons une analyse des rponses reues pour chacun de ces points. 6.5.1 Diffrence entre audit des SI et audit financier Notre premire question sur ce point value si les deux missions sont en harmonie et par la suite si la situation dcrite par Dunmore (1989) sur une relation non fonctionnelle est encore prsente? Nous comprenons que des diffrences existent et qui font que les deux fonctions ne sont pas intgres dune faon qui leur permet doutrepasser le constat fait par lauteur. (Tableau 6.1) Tableau 6.1 Fonctionnalit de la relation entre auditeur de SI et financier Question quelle frquence la relation entre auditeurs financiers et auditeurs de SI fonctionne en harmonie ? Rsultat global Jamais 8% Occasionnellement 57% Toujours 35% Auditeur Externe 1 11 6 Auditeur Interne 2 10 7

Tableau 6.2 Compatibilit dobjectifs entre audit SI et financier Question quelle frquence les objectifs des travaux des auditeurs de SI sont compatibles avec les objectifs des auditeurs financiers ? Rsultat global Jamais 0% Occasionnellement 40% Toujours 60% Auditeur Externe . 7 11 Auditeur Interne . 8 11

89 Dunmore (1989) juge que les auditeurs des SI et les auditeurs financiers narrivent pas sentendre car ils nont pas les mmes objectifs. Lensemble des rponses reues montre que dans 60% des cas il y a toujours compatibilit dobjectifs. Dans dautres cas, raison de 40%, ces objectifs sont occasionnellement compatibles. Il est noter quaucun des auditeurs na fait mention que les objectifs des deux missions ne sont jamais compatibles. Il s'agit ici dun rsultat qui semblent infirmer que la diffrence dobjectifs et philosophie entre les deux professionnels fait que leur relation soit non fonctionnelle. (Tableau 6.2)

Dunmore (1989) trouve que loutput de laudit des SI na pas une grande importance aux yeux de la direction et cest ce qui fait que le domaine dintervention de laudit des SI soit substantiellement diffrent de laudit financier. Les rsultats montrent que cest encore le cas puisque la majorit des rpondants juge que cette importance est moyenne raison de 54% et quelle se trouve tre mme faible pour 21% des auditeurs qui ont rpondu notre enqute. (Tableau 6.3)

Ce rsultat montre, encore une fois lintrt relatif que porte la direction envers la fonction audit SI et qui pourrait influencer lefficacit des intgrations des travaux entre audit financier et de SI.

Tableau 6.3 Importance accorde loutput de laudit SI Question Quelle importance accorde la direction suprieure de lentreprise audite quant loutput de laudit des SI ? Rsultat global Faible 21% Moyenne 54% Forte 25% Auditeur Externe 6 10 2 Auditeur Interne 3 10 6

90 6.5.2 Intgration entre audit SI et audit financier La rflexion faite par Dunmore (1989) discute de la ncessit de cooprer entre auditeur financier et auditeur des SI qui nest pas mise en valeur par les professionnels. Nos rsultats montrent que la collaboration entre ces deux auditeurs est gnralement moyenne. Elle nest mise en valeur qua raison de 25% des cas. (Tableau 6.4)

Dunmore (1989) prne que ce manque de coopration se manifeste aussi dans la manire de lanalyse du risque qui devrait tre faite de faon conjointe pour tablir une base dentente pour les interventions des deux auditeurs. Les rsultats dmontrent encore une fois que les constats tablis par notre auteur sont encore prsents. Dans ce sens, 70% des rpondants affirment que ce nest

quoccasionnellement que lanalyse du risque est faite de faon conjointe. Pour 17% des rpondants, lanalyse du risque par les auditeurs des SI et les auditeurs financiers est faite toujours sparment. (tableau 6.5)

Tableau 6.4 Apprciation de la collaboration entre auditeurs SI et financier Question Daprs votre exprience, comment qualifiez-vous la collaboration dans les travaux entre lauditeur des SI et lauditeur financier ? Rsultat global Faible 21% Moyenne 58% Forte 21% Auditeur Externe 7 7 4 Auditeur Interne 2 12 5

91 Tableau 6.5 Collaboration en matire danalyse du risque entre auditeurs SI et financier Question quelle frquence lanalyse du risque est value conjointement par les auditeurs de SI et les auditeurs financiers ? Rsultat global Jamais17% Occasionnellement 70% Toujours13% Auditeur Externe 0 14 4 Auditeur Interne 7 12 0

6.6 Conclusion Est-ce que la relation actuelle entre auditeurs de SI et auditeurs financiers fonctionne ? Aprs vrification des arguments fournis par Dunmore (1989) dans sa rponse cette question auprs des rpondants, nous constatons quil reste beaucoup faire du cot des auditeurs SI et des auditeurs financiers pour rendre leur relation plus fructueuse au profit de lentreprise audite. Dun autre cot, lauteur mentionne que le travail en quipe nest pas une solution facile. En tablissant un parallle avec le degr de srieux envers laudit SI au sein des organisations, on se retrouve devant un autre point faible recommander aux entreprises qui serait de revoir ses modes de communication entre les diffrents acteurs en audit SI.

La solution propose par Dunmore (1989) cette situation est dtablir un programme de formation interdisciplinaire. Nous rejoignons notre voix cette solution pour insister sur la mise en application dun programme srieux qui runit des facteurs cls de succs thorique et pratique pour rendre la relation des diffrents intervenants plus comprhensible et harmonieuse et assurer lefficacit et lefficience de leurs interventions

CHAPITRE 7

EST-CE QUUNE COMBINAISON DES TRAVAUX INTERNE ET EXTERNE DAUDIT DE SYSTMES DINFORMATION PEUT SE FAIRE RELLEMENT ?

7.1 Rponse de lauteur Dunmore (1989) trouve quil ny a pas lieu dunifier les travaux des deux professionnels, car coordonner et combiner les travaux daudit de SI interne et externe est une perte de temps et deffort. En effet daprs lui, le seul fait consistant est que les auditeurs internes de SI doivent effectuer des contrles gnraux et supporter les auditeurs externes, et donc refaire les mme travaux lors de la revue annuelle du systme.

7.2 Arguments de lauteur Largumentation de Dunmore (1989) montre que lanalyse du risque nest pas faite conjointement par les auditeurs internes et externes de SI. En effet, lauteur constate que les missions daudits de SI interne et externe sont dfinies de faons vagues et la planification du risque daudit nest pas mise en commun ce qui nuit lefficacit de laudit. Il ajoute que les deux auditeurs font pratiquement les mmes travaux, il sagit dune revue annuelle et systmatique des mme contrles gnraux. Plus loin, lauteur insiste sur le besoin dune formation continue de la part des auditeurs SI externe ou interne, pour pouvoir bien servir lentreprise.

93 7.3 Discussion et analyse Pourquoi lunion des travaux faite par les auditeurs SI interne et les auditeurs externes de SI ne fonctionne-elle pas vraiment ? Dunmore (1989) discute de lambigut qui entoure la dfinition de la mission et le champ dintervention des auditeurs de systme dinformation interne et externe. Dunmore (1989) juge que lutilisation actuelle des outils dvaluation du risque ne donne pas la synergie ncessaire pour pouvoir coordonner les travaux internes et externes daudit de SI.

Weber (1999) note quil faut imaginer que lacceptation gnrale de laudit informatique comme une ncessit de premire importance, va conduire les entreprises sassurer que lintervention des auditeurs SI interne ou externe aura lieu suffisamment tt dans la ralisation dune nouvelle application informatise. Cette participation pouvant staler jusqu la ralisation des jeux dessaie par lauditeur en partant de sa connaissance de ltat du dveloppement informatique.

Dunmore (1989) considre quil sagit dune perte de temps dunifier les travaux de ces deux professionnels. Une perte de temps, car il ne voit pas de plus value qui se dgage pour les entreprises puisquil y a une rptition de lvaluation des mme groupes de contrles exercs annuellement. Les auditeurs SI interne et externe placent leur intrt dans la revue annuelle des contrles gnraux et aux processus des transactions financires. La revue des contrles est examine annuellement et dune faon rptitive, encore de nos jours, comme a dj constat Dunmore (1989).

Lors dune mission daudit des SI externe et daprs nos entrevues, en matire informatique, il y a toujours des modifications dapplications, de nouveaux logiciels et programmes. De ce fait, la revue cyclique est refaire annuellement en collaboration avec lauditeur interne de lentreprise (Appendice B). Sur un mandat

94 de 3 ans par exemple, il ny a approfondissement des revues des points rencontrs lanne dernire que lorsquil y a eu des changements et modifications concernant ces points. Quant aux propos de joindre la planification de la dmarche de la revue des contrles, notre interlocuteur affirme quelle ne peut tre efficace quavec une certaine collaboration avec lauditeur des SI interne de lentreprise. Pour fin defficience, un plan directeur est tabli lors de la revue cyclique de ladquation des contrles internes. Toutefois, il faut garder lesprit que la politique dintervention dun auditeur externe doit garder son effet de surprise pour demeurer rassurante, ainsi la stratgie est explique juste la haute direction ou prsente au comit daudit de lorganisation. titre dexemple, nous fournissons une ide sur une prsentation faite par un auditeur externe des SI devant un comit daudit dune entreprise faisant appel ses services (Appendice B ).

Daprs lvolution constate dans ce domaine dexpertise, nous pensons que le problme de collaboration de travaux entre auditeurs de SI interne et externe nest pas aussi important que la perception de Dunmore (1989). Pour avoir une ide sur la pratique actuelle, nous avons jug utile de poser cette question :

39) Est-ce que vous considrez que la collaboration entre les auditeurs internes et externes en matire daudit des SI est satisfaisante ? Oui Non

7.4 Point de vue avant lenqute Nous ne pensons pas vraiment que la coordination entre travaux externe et interne entre auditeurs de systme dinformation soit une perte de temps, nous pensons que les temps ont chang et quil sagit maintenant dun dialogue entre spcialistes. En plus, les efforts de collaboration qui se font entre diverses parties pour pouvoir rattraper lavancement de la technologie de linformation en matire daudit montrent que le degr de diffrence entre philosophies daudit interne et

95 externe nest plus un obstacle pour mieux sorganiser. Ce qui rassure cest les formes dalliances stratgiques, ainsi nous pourrons lire dans le rapport annuel 2001 du conseil national de la spcialisation (CNS) issue de lICCA que beaucoup deffort est cherch de la part des auditeurs externes pour des formes nouvelles de stratgies.

Au dbut de lan 2000, le Conseil national de spcialisation a conclu un accord exclusif de partenariat stratgique et daccrditation avec lInstitue of internal Auditors. En vertu de cet accord, le programme Certified Internal Auditors (CIA), qui est reconnu sur la scne internationale, est le programme dagrment de spcialistes pour les CA qui travaillent en vrification interne. Pour plus de 2000 CA qui ont dvelopper un intrt particulier pour la vrification interne, lagrment titre de spcialiste prsente des avantages considrables en matire de technologies de linformation, de gouvernance et de stratgie dentreprise.

Donc, il rsulte du cot des comptables agrs quils se sont investis pour ainsi formuler des alliances, et nous nous retrouvons aujourdhui devant des CA spcialiste sous lappellation CA-CISA et CA-CIA. En plus, avec laccord de collaboration entre lIIA et lISACA pour faire exempter le dtenteur du titre CISA de la partie de lexamen CIA qui porte sur les technologies de linformation. Tout ceci nous pousse croire en une dfinition unique de laudit des SI et la forte collaboration entre diffrents acteurs pour mettre la main sur lavancement technologique pertinent et son incidence sur les affaires fonctionnelles, scuritaires, financires, stratgiques, et de contrle de systme pour lintrt de lentreprise et du public.

nos yeux, il sagit dune course contre la montre pour rattraper le temps perdu, donc en revenant notre question de Dunmore (1989), la combinaison des travaux doit se faire sur la base dune collaboration entre auditeurs interne et externe conduisant les entreprises sassurer que les intervenants agissent suffisamment tt

96 dans le circuit des conceptions et dveloppements des systmes informatiques. Toutefois, on peut prvoir que la combinaison des travaux daudit des SI entre auditeurs SI interne et externe va continuer exercer les esprits dans le cadre de la division des responsabilits. 7.5 Rsultats de lenqute Nous avons mesur le degr de collaboration entre les auditeurs SI interne et les auditeurs SI externes. La rponse est utile aussi pour avoir une ide sur la collaboration entre lentreprise et son fonctionnement linterne avec son auditeur externe pour coordonner leurs travaux en audit SI. Dans lensemble 56% des rpondants semblent tre satisfaits et 44% ne le sont pas. (Tableau 7.1)

En analysant les rsultats de plus prs, nous constatons que 68% des auditeurs des SI internes sont satisfaits de la collaboration avec leurs collgues externes. Les auditeurs des SI externes nont pas la mme perception, ils jugent 66% que leur collaboration avec leurs collgues de linterne nest pas satisfaisante.

Tableau 7.1 Apprciation de la collaboration entre auditeur SI interne et externe Question Est-ce que vous considrez que la collaboration entre les auditeurs internes et externes en matire daudit des SI est satisfaisante ? Rsultat global Oui 56% Non 44% Auditeur Externe 8 12 Auditeur Interne 13 6

97 7.6 Conclusion Est-ce quune combinaison des travaux interne et externe daudit des SI peut se faire rellement ? Dans llaboration de sa rflexion sur cette question, Dunmore (1989) a invoqu les mmes arguments qui ont servi pour rpondre aux interrogations examines dans les chapitres prcdents pour arriver une rponse ngative cette question. Nous avons penser que les choses auraient chang car entre auditeurs de SI nous avons estimer que la collaboration pourrait atteindre un degr volu. Les rponses reues dmontrent que ce constat est encore sujet dbat puisque la collaboration des travaux entre eux est juge comme plus au moins satisfaisante.

En considrant lemploie des auditeurs externes de SI par les entreprises, la question principale qui devrait tre souleve est lindpendance de ces derniers lors de la revue des systmes quand les auditeurs de SI externes coordonnent leurs travaux avec ceux de linterne dans les travaux daudit SI. Quelle ampleur mettent les auditeurs externes sur des audits de SI excuts par eux-mmes? Dans quelle mesure pourron-ils objectivement mettre un avis sur un systme ayant particip son dveloppement ? Une autre question qui na pas t discute par Dunmore (1989), est si des revues de systmes qui sont excutes par des contrats de consultants en matire de systmes devraient tre diriges et/ou coordonnes par les auditeurs internes de lentreprise? Les auditeurs internes font-ils face un conflit dintrt quand ils participent aux procds de dveloppement de systmes ? Les questions ainsi souleves constituent une autre piste de recherche.

CHAPITRE 8

CONCLUSION, LIMITES ET AVENUES DE RECHERCHE

8.1 Conclusion En 1989, Dunmore a soulev plusieurs questions que nous avons repris, treize ans plus tard, afin dvaluer lvolution de laudit des systmes dinformation (SI) en tant que profession. Les rponses fournies dans le cadre de notre enqute proviennent de personnes spcialises dans la discipline de la comptabilit et de laudit. En effet, un pourcentage lev (94.6%) de participants ayant complt le questionnaire dtiennent au moins un titre professionnel et ont plus que quatre ans dexprience en audit des SI. travers les discussions sur les arguments de Dunmore, lanalyse des rponses lenqute, voici les rflexions qui ressortent sur chacune des questions poses initialement par Dunmore (1989).

1.

Est-ce que laudit des SI est vritablement une profession?

La recherche de Lucy (1999) a indiqu quun tiers des organisations avaient des auditeurs de SI. Bien quil ny ait pas de points de rfrences prcdents, beaucoup de praticiens ont la perception quil sagit dune augmentation significative depuis 1989. Par ailleurs, la IIA, lICCA et lISACA continuellement raffinent les objectifs daudit et de contrle la lumire de lvolution de la technologie.

99 Les corporations maintiennent les normes de conduite professionnelle et continuent tester et certifier les professionnels auditeurs SI. Laugmentation du nombre d'auditeurs SI et le support continu des organisations professionnelles sont des indicateurs de vritable profession. Malgr cela, les opportunits de carrire restent peu nombreuses et les inquitudes sur le dveloppement de la vie professionnelle des auditeurs SI au sein de leur entreprise demeurent bien prsentes.

2.

Jusqu quel point les organismes sont srieux en excutant des travaux daudit

de SI et doit-on tre srieux au sujet de laudit des SI?

L'enqute montre clairement un faible soutien de la direction aux auditeurs SI. Cet tat de fait se traduit l'absence de perspective de carrire intressante et, lincapacit dobtenir des ressources humaines supplmentaires. Au moment o la technologie de linformation volue rapidement, il devient plus critique de promouvoir des communications ouvertes avec la direction, les auditeurs SI et les autres auditeurs pour une meilleure comprhension mutuelle.

3.

Quelle est ltendue de laudit des SI?

travers la discussion prsente sur ce point, les travaux raliss par lauditeur SI, semblent couvrir un vaste domaine d'applications qui incluent le dveloppement de systme, linfrastructure, le support aux auditeurs, les activits de valeurs ajoutes et la conformit. Avec lapparition de COBIT qui est considr tre un ensemble des bonnes pratiques, les planificateurs daudit SI auront un outil utiliser dans le planning de leur intervention et pour changer avec la direction.

Lindpendance de la fonction daudit SI et la diversit de ses fonctions sont des conditions ncessaires la russite dune pratique de qualit. Par contre, la planification et lallocation de ressources restent des facteurs critiques pour la

100 ralisation daudit des SI. Pour le moment, ces conditions semblent chapper lauditeur SI, ltendue de laudit SI tant tributaire dune attitude positive des dirigeants qui semblent tre absente.

4.

Est-ce que la relation actuelle entre auditeurs de SI et auditeurs financiers

fonctionne?

Lobjectif premier des auditeurs SI est dassurer que les contrles internes informatiques sont adquats et performants. Dautre part, lobjectif des auditeurs externes est dattester la fidlit des tats financiers. Malgr que ces deux objectifs sont complmentaires, les rpondants rencontrent une certaine difficult rendre cette relation plus efficiente.

Le manque de coopration se manifeste par l'absence d'analyse conjointe du risque qui constitue la base pour planifier des interventions plus bnfiques lentreprise. La possibilit de regrouper dans une mme quipe, et selon les besoins, des spcialistes aux profils complmentaires (rseaux, bases de donnes, gestion, comptabilit gnrale, analytique et budgtaire) place lentreprise dans de meilleures conditions pour recevoir des recommandations damliorations ralistes et adaptes.

5.

Est-ce quune combinaison des travaux interne et externe daudit des SI peut se

faire rellement? En 1989, Dunmore a considr quune perte de temps et deffort rsulte dessayer dunifier les travaux des auditeurs SI internes avec les externes. Notre analyse montre que cette relation reste fragile, mais il faut imaginer que lacceptation gnrale de laudit informatique comme une ncessit de premire importance va conduire les entreprises sassurer que lintervention de lauditeur SI interne ou externe a lieu suffisamment tt dans la ralisation dune nouvelle application

101 informatise. Lappel aux auditeurs externes ou aux consultants en systmes soulve dautres questions qui nont pas t poses. La question qui se pose dans ce cas, traitera des problmes dindpendance et dthique pour les auditeurs externes et internes. Dans quelle mesure pourraient-ils objectivement mettre un avis sur un systme ayant particip son dveloppement ? 8.2 Limites de la recherche Lobjectif principal tait dapporter des lments de rponse aux inquitudes formules par Dunmore (1989) sur lvolution de laudit des SI en tant que profession. Les rsultats de cette recherche ainsi que les conclusions que lon peut en tirer sont sujettes certaines limites. Les limites pour cette recherche se situent diffrents niveaux, exemple le questionnaire, lchantillon.

En ce qui concerne loutil, les mesures de certaines variables devraient tre amliores puisque notre travail de recherche sarrte au niveau de lvaluation de lvolution de laudit des SI selon les critres tablis par Dunmore (1989). Une autre limite qui sajoute notre travail se trouve tre lie au a la slection de notre chantillon. En effet, ce ne sont pas tous les auditeurs en SI qui sont membre de lAPVCSI. Ainsi, les organisations dont aucun auditeur en SI ntait membre de lAPVCSI nont pas t considres dans le processus de slection.

En plus notre tude se base uniquement sur la perception dun chantillon de personne dans la rgion de Montral, ce qui empche toute gnralisation des rsultats. Par ailleurs, lintention de cette tude fut exploratoire et constitue un enrichissement de la discussion entreprise sur les tudes prcdentes qui ont constat les mmes observations dans dautres lieux gographiques concernant lvolution de laudit des SI.

102 8.3 Avenues de recherche Ce travail lavantage doffrir certains apports aux diffrents intervenants dans le domaine de laudit des SI et de mettre en vidence les facteurs qui influent sur son volution en tant que profession. Pour le domaine de la recherche, il a permis de rcapituler diffrentes ides sur le mtier de lauditeur SI dans un seul document qui constitue nos yeux une matire de rflexion pour de nouvelles recherches dans ce domaine. Dans ce qui suit nous proposons quelques ides qui peuvent faire lobjet de recherches futures.

la lumire des quelques diffrences trouves dans les perceptions des auditeurs SI externes par rapport ceux de linterne. Nous croyons quil serait utile pour dautres chercheurs de continuer explorer ce filon. Ils pourraient examiner si les auditeurs SI externe ont plus de critres professionnels que ceux de linterne ou linverse. Il serait aussi pertinent de traiter de la diffrence du degr de soutien que retrouve chacun dentre eux de la part des dirigeants de lentreprise audite.

Comme not prcdemment dans nos conclusions, le support des auditeurs SI est bas dans la majorit des organisations. Ceci a t trouv par un manque dun cheminement de carrire adquat pour les auditeurs SI et la difficult dacqurir du personnel supplmentaire comptent pour bien accomplir ltendue des travaux. La recherche supplmentaire serait utile en identifiant les critres sur lesquels un programme universitaire devrait tre mis en place en collaboration entre les diffrents intervenants dans le milieu de laudit SI.

Finalement, nous croyons que lvolution des outils de gestion et dadministration de linformation dans les organisations, les dveloppements des intranet/extranet, et des nouveaux outils daccs linformation modifient considrablement le travail des professionnels de linformation et de la vrification.

103 Dessiner lvolution de leurs mtiers nest donc ni vident, ni facile. On peut cependant approfondir davantage les recherches afin dexplorer cette question en ajoutant dautres variables influentes dans cette volution celle dcrite par Dunmore (1989) pour distinguer les principaux facteurs de mutation qua connue le champ dintervention des auditeurs SI comme lvolution des nouvelles technologies de linformation et les changements organisationnels, cest--dire la dcentralisation des dcisions, la circulation de linformation et les changes de savoir.

BIBLIOGRAPHIE

ASSOCIATION FRANCAISE DE LAUDIT ET DU CONSEIL INFORMATIQUE, COBIT: Gouvernance, contrle et audit de linformation et des technologies associes, Document Synthse COBIT, 2me dition. ISACF,1996/ AFAI, 2000, 16p.

BLAIS, A., Le sondage, chapitre 15 dans : Recherche sociale. De la problmatique la collecte des donnes, Sous la direction de GAUTHIER, B., Sainte-Foy, Les Presses de lUniversit du Qubec, 1993, p.362-398.

DARLINGTON, B., Stepping Through the IS Audit, Information Systems Control Journal, 2000, Vol.I, 15p.

DAVIS, CHARLES K., Information Systems Auditors: Friend or Foe?, Journal of Systems Management, Cleveland, 1993, Vol.44, No.6; p.25-28.

De KETELE, JEAN-MARIE et XAVIER ROEGIERS, Mthodologie du recueil dinformations : Fondements des mthodes dobservation, de questionnaires, dinterviews et dtude de documents, Bruxelles : De Boek-Wesmael, 1991, 226p.

DUNMORE, DAVID B., Farewell to The Information Systems Audit Profession, Internal Auditor, fvrier 1989, p.42-48. DUNMORE, DAVID B., System Development Auditing: Traditional and New Development Methodologies, Packaged Software and Other Topic, Management Advisory, Wellesley Hills, Mass, 1988, 314p.

FINK., D., Information System Auditing: Cooperation, Competition or Conflict?, Information System Audit and Control Journal,1996, Vol.V, p.6-11.

105 HUNTONAND, J.E. et J.D. BEELER, How Information Systems Managers Perceive Information Systems Auditors, Information System Audit and Control Journal, 1995, Vol.VI, p42.

INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION, Standards for Information Systems Auditing, Rolling Meadows, IL, ISACA, 1997.

INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION, CISA Technical Review Manual 2001, Rolling Meadows, IL, ISACA 2001, 424p.

INFORMATION SYSTEMS AUDIT AND CONTROL FOUNDATION, Control Objectives for Information and Related Technology, COBIT Framework, 3rd Edition, Rolling Meadows, IL, ISACF, 2000, 68p.

INSTITUT FRANCAIS DES AUDITEURS CONSULTANT INTERNES, Audit et contrle des systmes dinformation, Version Franaise du SAC Report, IFACI, Paris, 1993,.Vo.l, 177p.

INSTITUT CANADIEN DES COMPTABLES AGRS, Comment les CA canadiens peroivent lavenir de leur profession?, Livre de bord, Vol.5, No.1, Hiver 2000, 11p.

INSTITUT CANADIEN DES COMPTABLES AGRS, Rapport annuel 2001 du conseil national de la spcialisation, avril 2001, 26p.

INSTITUT CANADIEN DES COMPTABLES AGRS, Projet et proposition visant la cration dune alliance pour lexcellence en technologie de linformation et dun programme dagrment de spcialistes, ICCA, Novembre 2001.

JAVEAU, C., Lenqute par questionnaire : Manuel a lusage du praticien, Les ditions dOrganisation-paris, 3e dition, 1988, 138p.

106 LATOUR, ., Une tude empirique sur les outils et techniques de vrification informatique utiliss par les services de la vrification interne au Canada, Mmoire de Matrise en sciences comptables, UQAM, 1996, 270p.

LAINHART, J.W, Arrival of COBIT Helps Refine The Valuable Role of IS Audit and Control in The Enterprise Information System Audit and Control Journal,.1996, Vol.IV, p.20-23.

LOGEAIS, C., Les nouveaux services en vrification : Des opportunits?, Document de travail, UQAM, 1990, 14p.

LUCY, RICHARD F., IS Auditing: The State of the Profession Going Into the 21st Century, Information Systems Control Journal, 1999, Vol.IV, p.44-55.

MARSHALL B. ROMNEY, et PAUL JOHN STEINBART, Accounting Information Systems, Upper Saddle River, N.J., Prentice Hall, 2000, 796p.

NEUMANN, S., N. AHITUV, et M. ZVIRAN, A Measure for Determining the Strategic Relevance of IS to the Organization, Information Management, 1992, p.281-299.

PAVALKO, .M., Sociological perspectives on occupations, Itasca, Illinois, F.E. Peacock, 1972.

RAVAL VASANT, Today's Information Systems Audits: Opportunities and Challenges, Information Systems Audit and Control Association InfoBytes, ISACA, mars 1998, p3.

STACHTCHENKO, P., CISA Exam Mirrors Changes In Profession, Information System Audit and Control Journal, 1995, Vol.V, p17.

SIEW KIEN SIA, Surfacing the Career Development Issues of IS Auditors: The Myths and the Reality, Information Systems Audit and Control Association InfoBytes, ISACA., octobre 1999., p6.

107 WARREN, J. DONALD, Jr., LYNN W, EDELSON,. et XENIA LEY, PARKER, Handbook of IT Auditing, Boston, MA: Warren, Gorham & Lamont, 1994, p.A26.

WEBER, RON, Information Systems Control and Audit, Prentice-Hall, tats-Unis, 1999, 1013p.

WEST, S., et A. KHAN, The Client as Participant: IS Audit and Control SelfAssessment, Information System Audit and Control Journal, 1997, Vol.I, p20-23. Sites Web :

ASSOCIATION DES PROFESSIONNELSS DE LA VRIFICATION ET DU CONTRLE DES SYSTMES DINFORMATION http://www.apvcsi-montreal.ca

ASSOCIATION FRANCAISE DES AUDITEURS INFORMATIQUE http://www.afai.asso.fr

INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION http://www.isaca.org

INSTITUTE OF INTERNAL AUDITORS http://www.theiia.org

INSTITUT CANADIEN DES COMPTABLES AGRS http://www.icca.ca

INSTITUT DES VRIFICATEURS INTERNES DE MONTRAL http://www.ivim.com

APPENDICE A

QUESTIONNAIRE

OUTIL DE RECHERCHE DESTIN AUX AUDITEURS DES SYSTMES DINFORMATION MEMBRE DE LASSOCIATION DES PROFESSIONNELS DE LA VRIFICATION ET DU CONTRLE DES SYSTMES DINFORMATION RGION DE MONTRAL

109

Montral le 26 mars 2002

Cher membre,

Notre association ayant pour objectif de promouvoir la formation, lamlioration et le dveloppement des connaissances et des comptences de ses membres, elle encourage ainsi toute initiative, recherches et contribution au domaine de laudit et du contrle des SI. Dans ce cadre LAPVCSI a offert de supporter le projet de recherche de monsieur Moez Ennouri, tudiant la matrise en sciences comptables de lUniversit du Qubec Montral. Son tude exploratoire vise llargissement des connaissances dans le domaine de laudit et du contrle des SI en examinant de plus prs lvolution de la profession des auditeurs des SI. Afin dencourager les initiatives et de contribuer la diffusion des travaux entrepris lavancement des connaissances et des tendances dans le domaine de laudit des SI, lAPVCSI sollicite votre collaboration et vous encourage vivement de bien vouloir prendre quelques minutes afin de rpondre au questionnaire ci-joint et de nous le retourner directement par courrier lectronique, le plutt possible. Le recueil des rponses ladresse de lAPCSI t retenue pour prserver le caractre confidentiel des rpondants. Nous ne remettrons M Ennouri que les documents questionnaires reus et dpourvus de toutes informations concernant les expditeurs. En vous remerciant de votre attention et collaboration, veuillez agrer, Madame, Monsieur, lexpression de mes sentiments les meilleurs. Jean Milzi CISA, CISSP Vice-Prsident CISA, APVCSI

110

Montral le 26 mars 2002

Cher(e) Monsieur/Madame

Dans le cadre dun travail dirig en vue de lobtention du diplme de matrise en sciences comptables, nous conduisons une recherche exploratoire sur lvolution de la profession des auditeurs des SI.

Lobjet de notre questionnaire est de faire le point sur la profession en amenant votre point de vue qui nous sera dun concours prcieux pour enrichir la littrature sur cette question.

Toute linformation obtenue sera traite dans la plus stricte confidentialit. Seule lanalyse des donnes sera disponible. Les rsultats qui pourraient tre dintrt pour vous, vous seront gracieusement communiquer si vous le dsirez.

En vous remerciant pour votre participation cette tude, veuillez agrer, Monsieur/Madame, lexpression de notre profond respect.

Moez Ennouri tudiant la matrise en sciences comptables Universit du Qubec Montral ennouri.moez@courrier.uqam.ca

111

Montral le 07 avril 2002

Cher membre

Rcemment, nous vous faisions parvenir un questionnaire intitul tude sur lvolution de laudit des SI en tant que profession. Cette tude consiste examiner les principales caractristiques du domaine de laudit et du contrle des SI.

Si vous navez pas dj retourn ce questionnaire, nous sollicitons de nouveau votre aide. lAPVCSI vous encourage vivement de bien vouloir prendre quelques minutes afin de rpondre au questionnaire ci-joint et de nous le retourner directement par courrier lectronique, avant le 12 avril 2002.

En vous remerciant de votre attention et collaboration, veuillez agrer, Madame, Monsieur, lexpression de mes sentiments les meilleurs.

Jean Milzi CISA, CISSP Vice-Prsident CISA, APVCSI http://www.apvcsi-montreal.ca

112

TUDE SUR LVOLUTION DE LAUDIT DES SYSTMES DINFORMATION EN TANT QUE PROFESSION Questionnaire destin aux auditeurs des systmes dinformation (SI) membres de lassociation des professionnels de la vrification et du contrle des SI. APVCSI-Section de Montral

Notes 1. Cest votre opinion qui nous importe, il ny a donc pas de bonne ou mauvaise rponse. 2. Ce questionnaire comprend quatre sections, veuillez s.v.p. vous conformer aux instructions propres chacune delles. Section 1 : Pour chaque question veuillez choisir lune des trois mesures correspondantes votre choix en cliquant sur le bouton correspondant selon lchelle suivante : Faible, Moyenne ou Forte. Pour rpondre commencez cliquer sur le bouton de la barre doutils pour

activer le sur lignage fluo Highlight. Ensuite lisez la question et slectionner lchelle de mesure correspondante votre rponse. (Par exemple : Faible )

113

Quelle contribution apporte la formation universitaire actuelle lvolution de la profession dauditeur de SI ?

Faible Moyenne Forte

Quelle contribution les recherches et publications actuelles en matire daudit des SI apportent-elles lenrichissement de ce domaine de connaissance ?

Faible Moyenne Forte Faible Moyenne Forte Faible Moyenne Forte

Quelle est votre apprciation de leffort entrepris par lISACA pour augmenter la comptence des professionnels de laudit des SI ?

Comment sont les perspectives de carrire pour le personnel daudit des SI ?

Quelle opportunit a un auditeur des SI daccder un poste de chef du dpartement daudit interne au sein dune entreprise ?

Faible Moyenne Forte Faible Moyenne Forte

Comment jugez-vous limportance accorde la fonction de laudit des SI dans les entreprises ?

Quelle importance accorde la direction suprieure de lentreprise audite quant loutput de laudit des SI ?

Faible Moyenne Forte

Daprs votre exprience, comment qualifiez-vous la collaboration dans les travaux entre lauditeur des SI et lauditeur financier ?

Faible Moyenne Forte

114 Section 2 :

Pour chacune des questions de cette section, veuillez considrer lchelle de mesure suivante : Jamais, Occasionnellement, Toujours. Faite votre choix de rponse par le sur lignage fluo rponse correspondante. en slectionnant la

quelle frquence le responsable de laudit des SI de lentreprise assiste aux runions du comit de gestion de la direction suprieure de lentreprise audite ?

Jamais Occasionnellement Toujours Jamais Occasionnellement Toujours Jamais Occasionnellement Toujours Jamais Occasionnellement Toujours Jamais Occasionnellement Toujours Jamais Occasionnellement Toujours

10

quelle frquence lauditeur des SI de lentreprise assiste aux runions du comit directeur du projet lors de dveloppement de systme de lentreprise audite?

11

quelle frquence les objectifs des travaux des auditeurs de SI sont compatibles avec les objectifs des auditeurs financiers ?

12

quelle frquence lanalyse du risque est value conjointement par les auditeurs de SI et les auditeurs financiers ?

13

quelle frquence la relation entre auditeurs financiers harmonie ? et auditeurs de SI fonctionne en

14

quelle frquence la fonction audit des SI exerce ses fonctions sur la base dune planification annuelle approuve par la direction gnrale de lentreprise ?

115 Section 3 :

Pour chacune des questions suivantes, veuillez rpondre par Oui ou Non. Faite votre choix de rponse en slectionnant la case correspondante votre opinion. 15 Pensez vous faire carrire dans le domaine de laudit des SI en y demeurant de faon continue ? Oui Non

16

Est-ce que votre organisation prend les dispositions ncessaires pour maintenir un auditeur de SI hautement qualifi ?

Oui

Non

17

Est-ce que vous jugez que les objectifs de contrle des SI sont compris suffisamment par la direction suprieure de lentreprise audite?

Oui

Non

18

Est-ce que les objectifs de scurit des SI sont marqus dune comprhension suffisante par la direction suprieure de lentreprise audite ?

Oui

Non

19

Dans votre contexte, est-ce que le service daudit de SI dispose dune charte de mission crite et distincte ?

Oui

Non

20

Est-ce que dans votre contexte, lauditeur des SI est-il support par la direction (chef du dpartement daudit) participer et alimenter la planification annuelle de laudit de SI ?

Oui

Non

116 21 Est-ce que dans votre contexte, la direction (chef du dpartement daudit) alimente et participe la planification de lapproche et aux objectifs de la mission (projet ou mandat) daudit de SI ? 22 Est-ce quun plan durgence en cas de sinistre pour la reprise du systme dinformation existe au sein de lentreprise ? Oui Non Oui Non

23

Est-ce que le plan durgence pour la reprise de lactivit en cas de sinistre est compltement test chaque anne ?

Oui

Non

24

Sil y lieu, la raret dun poste ddi une fonction daudit de systme dinformation linterne des entreprises, est gnralement une consquence de : a) Labsence dune conviction de la direction

Oui

Non

suprieure b) Labsence des ressources qualifies sur le march de lemploi 25 Est-ce que les dirigeants de lentreprise audite ont tendance de confondre les attributs de laudit des SIs comme fonction de contrle par rapport dautres fonctions de vrification ? 26 tes vous daccord sur ces propos La fonction daudit des SI est difficile expliquer la direction de lentreprise ? Oui Non Oui Non Oui Non

117 27 Dans votre contexte, le nombre deffectif de la fonction audit des SI est-il compatible avec ses attributions et ses missions ? 28 Dans votre contexte, la fonction daudit des SI est-elle dote de moyens, doutils et du support ncessaire laccomplissement de ses missions ? 29 Est-ce que vous bnficiez de lautonomie et de lautorit ncessaire pour laccomplissement des travaux daudit des SI ? 30 Est-ce que vous considrez que la collaboration entre les auditeurs internes et externes en matire daudit des SI est satisfaisante ? 31 Est-ce que vous considrez que dans le contexte des vrifications statutaires exerces par lauditeur externe des SI, la revue des contrles relatifs aux SI est approfondie dune anne lautre ? 32 Est-ce que vous considrez que le comit de Oui Non Oui Non Oui Non Oui Non Oui Non Oui Non

vrification devrait tenir une ou des sances ouit-clos avec les auditeurs interne des SI ?

118 Section 4 : Veuillez s.v.p. choisir votre rponse par le sur lignage fluo

33. Utilisation ou planification pour lutilisation de COBIT COBIT (Control Objectives for Information and related Technology) Dj mis en application Planification de mise en application Aucun plan pour mettre en application

34 Utilisation ou planification pour le CSA par lentreprise audite Control Self-Assessment / Auto-valuation de Contrle Compltement implant et mis en application Partiellement mis en application mise en application dans 12 mois Aucun plan

35. Planification annuelle de laudit des SI Dans votre contexte actuel, quel est llment sur le quel se base llaboration dun plan annuel daudit des SI: Lexprience vcue Lanalyse du risque La demande de la haute direction

119 36. Titres professionnels

tes vous dtenteur du ou des titres professionnels suivants : Auditeur de systme dinformation agr (CISA) Auditeur interne agr (CIA) Comptable agr (CA) Comptable en management agr (CMA) Comptable gnral agr (CGA) Autres (spcifier) _____

37. Auditeur interne/auditeur externe

Est-ce que vous exercez laudit des SI en tant que : Auditeur interne Auditeur externe

38.

Veuillez indiquer le nombre dannes de votre exprience en audit des SI : ____

39.

Veuillez

indiquer

le

nombre

dannes

de

votre

exprience

dans

lorganisation actuelle : ____ 40. Si vous dsirez recevoir un rsum de cette tude : Oui Non

120

Vous tes arriver la fin de ce questionnaire, sil vous plait, assurez-vous davoir rpondu toutes les questions et procder lenregistrement du document.

Compte tenu du protocole observer dans le cadre de ce travail, nous apprcierons recevoir votre rponse le plutt possible.

La date limite pour la compilation des rsultats est le vendredi 12 avril 2002.

Retourner votre rponse en attachement par courrier lectronique ladresse lectronique de lassociation APVCSI qui vous a achemin ce questionnaire.

Merci pour votre prcieuse collaboration

APPENDICE B

ENTREVUES

Notre premier contact avec les gens de la profession sest droule en novembre 2001, avec le Vice-Prsident de lAPVCSI, association des professionnels en vrification et contrle des SI, chapitre montralais de lISACA (Information Systems Audit and Control Association). Avant notre entrevue, nous avons envoy une copie de larticle de Dunmore (1989) notre interlocuteur, M.Milzi, dtenteur du titre CISA et uvrant dans le domaine de laudit des SI depuis 25 ans, qui nous a fait savoir quil se rappelle bien des sujets de discussion controverss que cet auteur a dclench entre les professionnels de lpoque. Notre discussion a port sur le fond des questions souleves par lauteur. Nous prsentons un rsum des sujets abords lors de ces rencontres.

Premire rencontre en date du : 12-11-2001

Lutilisation des technologies de linformation dans le cadre du travail de laudit a commenc au dbut de 1980. La rcurrence des missions daudit, la nature du travail de lauditeur et linformatisation massive des systmes comptables des entits vrifies ont conduit les vrificateurs accrotre, de faon importante, lutilisation des technologies de linformation.

122 En passant par les traitements de textes, les chiffriers lectroniques et les systmes daide la dcision, les technologies de linformation supportent maintenant le travail daudit toutes les tapes du processus. Cependant, cette volution nest pas termine et laccroissement potentiel du degr dinformatisation des travaux daudit est encore important.

La ncessit dadaptation des moyens de contrles aux volutions complexes des systmes contrls se confirme de plus en plus. Quoique lobjectif de laudit reste inchang, les mutations actuelles ont oblig lauditeur revoir ses mthodes de travail. En effet linformatique relationnelle qui met en relation tous les individus concerns par une mme tche au sein de lentreprise, acclrer encore les mutations. De mme, la ncessit dintgrer des informaticiens au sein des quipes daudit ou de renforcer la formation acadmique des auditeurs en matire informatique se confirme de plus en plus. En effet, il est claire, daprs notre exprience que les dpartements daudit interne au niveau des entreprises ainsi que les cabinets de comptable ont des partenaires informaticiens de formation et intgrent leurs effectifs de plus en plus des gens comptents en contrle des SI.

Qualit et efficience des interventions chez le client :

laccs linformation tous les niveaux, la qualit et lefficacit dans lexcution des programmes de travail, le choix des chantillons, le choix du seuil de signification, lefficience dans lintervention et la rapidit davoir et de prsenter

linformationetc.

Possibilit de valeur ajoute au client :

la possibilit de cration de nouveaux contrles adapts lenvironnement et au systme de contrle interne du client, ainsi que les recommandations et lexploitation des possibilits existantes au niveau du systme dinformation du client... etc.

123 Notre discussion a port ensuite sur le contenu de larticle de Dunmore 1989 et des points saillants relevs par lexprience professionnelle vcue par notre interlocuteur dans les domaines de linformatique, de la gestion et de laudit financier et oprationnel. Ensuite on a discut de la logistique entreprendre pour combiner les efforts rattachs ce travail avec les efforts de lassociation dans le cadre de la promotion et de la formation des professionnels en matire daudit SI.

Deuxime rencontre en date du : 27-11-2001

Notre question pour notre interlocuteur sest porte sur la formation des professionnels dans le domaine de laudit des SI. Un ensemble de questions ouvertes a donn lieu une discussion qui se rsume autour des ces points :

Pour autant quil s'occupe dun logiciel comptable, il appartient linformaticien davoir assez de culture comptable et au contrleur interne ou externe davoir assez de savoir informatique pour que tous deux puissent dialoguer et collaborer. Toutefois, ce serait une erreur tactique que chacun dentre eux s'imagine pouvoir se passer de lautre et dcide de faire sa petite cuisine tout seul.

La tendance actuelle est de former des experts en audit financier et contrle de systme dinformation. Celui-ci sera dautant plus coopratif et rceptif que son interlocuteur dans sa dmarche daudit parle et comprend le langage informatique ou financier. Les avantages procurs au professionnel, par la combinaison de formation entre lutilisation de loutil informatique et la ralisation des missions daudit, s'analysent plusieurs niveaux. Malheureusement ajouta-t-il, une formation qui puisse joindre ces deux disciplines, savoir, linformatique et laudit financier, pour former un auditeur en systme dinformation reste restreinte et nest pas rpondu au niveau des universits.

124 linstar des professionnels de lexpertise et de laudit comptable en France, nous proposons une solution qui pourrait tre bnfique pour la formation des auditeurs qualifis en SI dans les universits canadiennes. Lordre des expertscomptables franais et la compagnie nationale des commissaires aux comptes en France ont particip, en partenariat avec lassociation franaise de laudit et du Conseil Informatiques (AFAI) et linstitut franais de laudit et du contrle internes (IFACI) la cration du diplme universitaire en audit des systmes dinformation (DUASI) de luniversit de Paris-Dauphine.

Ces institutions ont runi leurs comptences afin de rpondre une nouvelle attente du march dans le domaine de la matrise des SI. La formation qui en rsulte, le DUASI, propose un programme denseignement, en alternance, de haut niveau combinant apports thoriques et pratiques professionnelles. Dune dure de 440 heures rparties sur 20 mois, cette formation a pour objectif de dvelopper les comptences et lexpertise un niveau facilitant laccs au standard international de certification professionnelle du CISA de lISACA

Troisime rencontre en date du : 05-01-2002

Nous avons pos certaines questions notre interlocuteur sur ltendue dune mission daudit des SI, les domaines couverts, la coopration avec les auditeurs des SI interne et le droulement de la mission. Ainsi notre interlocuteur nous a fourni une ide sur nos interrogations. Nous reprenons ici ces propos accompagns dun cas pratique dune intervention de sensibilisation des dirigeants sur lintervention et ltablissement de contrles gnraux informatiques au sein de la compagnie ABC. Sur un mandat de 3 ans chez lABC par exemple, il ny a un approfondissement des revues des points rencontrs lanne dernire, que lorsquil y a eu des changements et modifications concernant ces points.

125 La revue de ces domaines est effectue annuellement, incluant la revue du plan de relve et continuit des oprations. Par contre, les sondages et les tests de vrification sont effectus selon un plan de rotation triennal. Ainsi, chaque anne, deux domaines la fois font lobjet de sondages de vrification, moins que lorganisation ne connaisse des modifications ou des dveloppements au niveau des systmes informatiques qui ncessitent une rvaluation du plan de rotation.

Quant aux propos de joindre la planification de la dmarche de la revue des contrles, notre interlocuteur affirme quelle ne peut tre efficace quavec une certaine collaboration avec lauditeur des SI interne de lentreprise. Pour cela, un plan directeur est tabli avec le dpartement daudit interne de lentreprise pour fin defficience lors de la revue cyclique de ladquation des contrles informatiques. Toutefois, il faut garder lesprit que la politique dintervention dun auditeur externe doit garder son effet de surprise pour demeurer rassurante, ainsi la stratgie est explique juste la haute direction ou prsente au comit daudit de lorganisation.

titre dexemple, nous fournissons dans les pages suivantes une prsentation faite par un auditeur externe des SI devant un comit daudit dune entreprise faisant appel ses services.

126

CONTRLES GNRAUX INFORMATIQUES

Une Stratgie dintervention chez la compagnie ABC

Objectifs Global
Lobjectif global est de sassurer de la disponibilit, de la fiabilit et de la confidentialit des systmes informatiques et des contrles qui supportent les oprations de lentreprise et de mitiger les risques inhrents. Disponibilit : Les systmes rpondent adquatement aux besoins de lorganisation et sont accessibles pour supporter les traitements oprationnels et de gestion. (incluant la scurit physique) Fiabilit Le traitement des systmes rpondent adquatement aux besoins oprationnels et de gestion tout en conservant lintgrit et lintgralit des donnes (qui sont des lments dactifs) Confidentialit Laccessibilit aux donnes est protge par des contrles daccs (scurit logique) et prserve la divulgation des informations critiques en assurant la sgrgation des tches

127

Contrles informatiques
Les contrles informatiques qui assurent la prvention, la dtection et la correction dvnements se dfinissent en deux niveaux soient gnral et particulier dit aussi contrle dapplication Contrles gnraux informatiques : Ce sont les contrles de base qui supportent lensemble des systmes, des environnements et des traitements informatique de lentreprise. Contrles dapplications : Ce sont les contrles spcifiques chaque lments et composantes de lensemble des environnements et des systmes informatique de lentreprises. Une dfaillance au niveau des contrles gnraux affectera lensembles des systmes, alors quune dfaillance au niveau des contrles dune application naffectera que les activits qui lui sont relies.

Contrles gnraux informatiques

Ces contrles se regroupes en domaines, soit : Exploitation des systmes dinformation Scurit de linformation Implantation et maintenance des systmes dapplications. Implantation et soutien des bases de donnes. Soutien du rseau. Soutien des logiciels de base La revue de ces domaines est effectue annuellement, incluant la revue du plan de relve et continuit des oprations. Par contre les sondages et les tests de vrifications sont effectus selon un plan de rotation triennal. Ainsi, chaque anne deux domaines, la fois, font lobjet de sondages de vrification, moins que lorganisation ne connaisse des modifications ou des dveloppements au niveau des systmes informatiques qui ncessitent une rvaluation du plan de rotation.

128

Plan de rotation des sondages

Domaines Contrles gnraux informatiques Activits des systmes dinformation. (Oprations dexploitation) Scurit de linformation. Implantation et entretien Systmes dapplications. Implantation et entretien Bases de donnes. Support du rseau. Support des logiciels de systmes. (systmes dexploitation et utilitaires)
X

2000
X

2001

2002

X
X

Exploitation des systmes dinformation

Tous les programmes de production ncessaires au traitement des transactions par lots et en ligne et la prparation des rapports connexes sont excuts adquatement et jusqu leur excution normale complte. Seuls les programmes de production valides sont excuts. Les donnes sont conserves conformment aux lois, aux rglements et la politique de lentit pour quon puisse les rcuprer au besoin intgrit et intgralit des traitements

Surveillance et monitoring des traitements Sauvegarde, conservation et rcupration des donnes

129

Scurit de linformation
Des outils et des techniques de scurit logique sont mis en uvre et configurs afin de restreindre laccs aux programmes, aux donnes et aux autres ressources dinformation. Les outils et les techniques de scurit logique sont administrs de manire restreindre laccs aux programmes, aux donnes et autres ressources dinformation. Les restrictions daccs physique sont mises en uvre et administres de manire ce que seules les personnes autorises puissent avoir accs aux ressources dinformation ou les utiliser. Toutes les ressources dinformation font lobjet de mesures appropries de scurit physique et logique. Disponibilit - Outils de scurit actifs et configurs adquatement

Administration de la scurit autorisation des accs,suivi des violations, dtection des tendances et assistances aux utilisateurs

Contrle des accs physiques

Protection physique et logique des actifs (donnes et matriel )

Implantation et maintenance des systmes dapplications

Les nouveaux systmes dapplications sont implants de faon approprie et fonctionnent conformment aux intentions de la direction. Lors de limplantation de nouveaux systmes dapplications, les donnes existantes qui sont converties au nouveau systme sont compltes, exactes et valides. Toutes les modifications ncessaires des systmes dapplications existants sont mises en uvre adquatement Les modifications du systme dapplications sont mises en uvre de faon approprie, et les systmes dapplications modifis fonctionnent conformment aux intentions de la direction. Processus de slection - Les nouveaux systmes dapplications rpondent aux besoins de lentreprise Processus de conciliation Conservation de lintgrit et de lintgralit des sonnes converties

Gestion des changements aux programmes dapplication Tests et acceptation par les utilisateurs propritaires Protection de lenvironnement de production Mise en uvre contrle des nouveaux systmes dapplication et modifications subsquentes.

130

Implantation et soutien des bases de donnes

La structure des donnes, telle quelle est dfinie dans le systme de gestion de base de donnes (ou son quivalent), est implante de faon approprie et fonctionne conformment aux intentions de la direction. Toutes les modifications ncessaires des structures de donnes existantes sont mises en uvre adquatement. Les modifications de la structure existante des donnes sont mises en uvre de faon approprie, et la structure modifie des donnes fonctionne conformment aux intentions de la direction.

La structure des donnes des bases de donnes exploites sont adquates, rpondent aux besoins de lentreprise

Gestion des changements autorisation et prservation de ladquation des structures et des donnes

Protection de lenvironnement de production et contrle de la mise en uvre des modifications aux bases de donnes

Soutien du rseau
Les nouveaux logiciels de rseau et de communication sont implants de faon approprie et fonctionnent conformment aux intentions de la direction. Toutes les modifications ncessaires des logiciels de rseau et de communication existants sont mises en uvre adquatement. Les modifications des logiciels de rseau et de communication existants sont mises en uvre de faon approprie, et les logiciels de rseau et de communication modifis fonctionnent conformment aux intentions de la direction. Les logiciels de rseau et de communication sont configurs adquatement pour supporter la tlcommunications et les transmissions de donnes Les modifications sont testes et contrles pour prserver les communications et les besoins de lentreprise La mise en applications des modifications est contrle afin de prserver lintgrit et la fiabilit des communications

131

Soutien des logiciels de base Systmes dexploitation et utilitaires

Les nouveaux logiciels de base sont implants de faon approprie et fonctionnent conformment aux intentions de la direction. Toutes les modifications ncessaires des logiciels de base existants sont mises en uvre adquatement. Les modifications des logiciels de base existants sont mises en uvre de faon approprie, et les logiciels de base modifis fonctionnent conformment aux intentions de la direction. Les nouveaux systmes dexploitation et utilitaires sont configurs et surveills adquatement en incluant la scurit logique de base Les modifications sont contrles et prserve lexploitation des traitements qui en dpendent Contrle des mises en uvre protection de lenvironnement et des accs aux systmes dexploitation

Planification de la continuit de l'exploitation

En cas de sinistre informatique, il est possible de rcuprer rapidement les processus daffaires et les systmes dinformation essentiels. Continuit des oprations en cas de dfaillance mineure et en cas dsastre

APPENDICE C

GUIDE DAUDIT

133

134