Vous êtes sur la page 1sur 11

Cours daudit et informatique 2013

Partie 1 : Les outils informatiques Chapitre 1 : Rappels sur les bases de donnes 1.1. Dfinitions
Une base de donnes est relatives un sujet ou un sujet particulier et organises de manire pouvoir permettre de dfinir des objets faisant partie du sujet de la base de donnes. Un systme de gestion de bases de donnes (SGBD) est un logiciel ou programme informatique qui permet de grer les bases de donnes. Ce logiciel permet donc de crer, modifier ou supprimer des informations structures relatives un ou plusieurs sujets partir dun ordinateur. Un systme de gestion de bases de donnes relationnel (SGBD-R) est un SGBD dans lequel les relations entre diffrents objets du sujet sont dfinis ou peuvent tre dfinis par lutilisateur.

1.2. Structure des SGBD


En informatique, pour reprsenter les bases de donnes, on utilise les proprits ou notions suivantes : a) La table Cest une reprsentation informatique dun objet de la BD. Proprits :

i. Les champs ii. Le code


Le code permet de reprer chaque enregistrement de manire unique dans la BD. b) Les occurrences La notion doccurrence fait appel au fait quun objet de la base de donnes napparait pas de manire unique dans cette dernire. La notion doccurrence fait rfrence au nombre de fois quun objet apparat dans une base de donnes. Il peut exister plusieurs occurrences de cet objet dans la base de donnes qui constituent autant denregistrement de la table reprsentant cet objet ; Chanteur 3 Chanteur 2 Chanteur 1 Code Nom Prnom Date naissance Nom dartiste Par Daniel TANGMO NGAMY

Cours daudit et informatique 2013

c) Les relations La relation est un moyen de rassembler des informations. La relation lie deux tables ayant une caractristique commune (champ), afin que chaque fois quun enregistrement dune table est point, on puisse se rfrer lenregistrement correspondant dans la table lie. Chanteur 1 Code Nom Prnom Date naissance Nom dartiste

Morceau Code Nom de titre Dure Nom du chanteur

Chante

Une fois la relation chante tablie, le risque de ne confondre les chanteurs de mme nom pour association au morceau est annul. d) Formalisme de reprsentation dun SGBD Globalement, pour reprsenter un SGBD, on utilise des tables. Chanteur Album Code album Chante Code chanteur

Morceau Comprend Code titre

Par Daniel TANGMO NGAMY

Cours daudit et informatique 2013


1.3. Les mthodes de connexion aux SGBD
e) Laccs au SGBD Lune des mthodes pouvant tre utilises aujourdhui par les auditeurs pour lanalyse de la performance des systmes de gestion de lentreprise est la connexion aux bases dinformation. Cette connexion permet lauditeur de disposer dinformations relatives la gestion de lentreprise pour alimenter ses propres modles danalyse et den tirer des rsultats consquents. Les SGBD modernes permettent de tirer des donnes soit manuellement, soit par un systme dutilisateurs. Aujourdhui, on fait de nettes distinctions entre les bases dinformation (bases de donnes) et les applications elles-mmes qui sont en fait des mthodes de traitement qui permettent soit de tirer des informations de la BD, soit de mettre jour la BD avec les rsultats de traitement. Lutilisateur ou le programme accde aux donnes du SGBD travers une requte quil construit. Alors, pour accder aux informations (BD) en entreprise, lauditeur doit construire une requte. f) Mthodes daccs un SGBD

Application/ utilisateur

Outil de requte

Requte

SGBD

Table requte

i. Lapplication
Cest un programme informatique qui se sert des informations de la BD pour effectuer un ou plusieurs traitements et en tirer les rsultats consquents. Lapplication se sert de loutil de requte pour construire une requte en direction de la BD. Un outil de requte est un programme informatique qui permet de construire des requtes vers une base de donnes. Les outils de requte les plus connus sont : Seagate Crystal Report ; Microsoft Query.

ii. La requte
Une requte est une srie dinformations labore dans un langage que comprend la BD ; cest la requte qui permet dextraire des informations de cette dernire. Il existe plusieurs langages (informatiques) de requte sur la BD. Cependant, le langage le plus rpandu est le SQL (Structured Query Langage) c'est--dire Langage de Requte Structur.

Par Daniel TANGMO NGAMY

Cours daudit et informatique 2013


La requte se sert dun outil de connexion pour envoyer des instructions la BD afin que celle-ci puisse les excuter. Un outil de connexion est un programme informatique qui permet denvoyer de manire locale ou distante des commandes une BD pour lui permettre de les excuter. Chaque SGBD possde son propre outil de connexion. Les mthodes les plus connues pour se connecter une BD sont : ODBC (Online Database Connectivity) OLEDB (Object Linking and Embedding Database)

Ainsi, chaque SGBD possde son propre driver (pilote) ODBC ou OLEDB. Par exemple il faut, pour utiliser la BD de SAGE, avoir son pilote OBDC ou OLEDB. Le SGBD rpond la requte en mettant la disposition de lapplication ou de lutilisateur une table requte qui ne contient que les informations (rponse la requte) dont a besoin lapplication ou lutilisateur pour effectuer ses traitements.

iii. Elaboration de requtes pratique


Un fichier Microsoft Access est disponible. Ltudiant peut lenregistrer o il veut. Considrons que dans le cas prsent, nous lavons enregistr sur le bureau. Nous travaillons dans le tableur Excel 2010. Etape 1. Ouvrir un classeur Microsoft Excel vierge. Etape 2. Donnes > Donnes externes > Autres sources > Provenance : Microsoft Query Etape 3. Slectionner MS Access database , ok Etape 4. Chercher le dossier o le fichier Access est enregistr, ici Users > User > Desktop Etape 5. Slectionner le fichier Comptabilit.mdb , ok

Par Daniel TANGMO NGAMY

Cours daudit et informatique 2013


Partie 2 : Audit informatique Chapitre 1. Dfinitions, objectifs, rgles et principe de laudi t 1.1. Dfinitions
a. Dfinition de laudit Auditer, cest expliciter les finalits puis en dduire les moyens ncessaires pour atteindre ces finalits. En dautres termes, cest mesurer ladquation entre la finalit et les moyens mis en uvre pour les atteindre ou plus simplement mesurer la diffrence entre lessence et lexistence c'est--dire entre ce qui devrait tre et ce qui est. b. Systme dinformation

i. Dfinition
La systmique (science qui tudie les systmes) dfinie le systme dinformation comme lensemble des rgles, des mthodes, des moyens humains, matriels et financiers utiliss dans lentreprise pour assurer son pilotage. Le systme dinformation est donc linterface entre le systme oprant et le systme dcisionnel. La systmique dfinit lentreprise structurellement en trois parties :

Partie 1. Le systme oprant : des tches de fabrication des biens (produit fini ou service). Partie 2. Le systme dcisionnel (systme de pilotage) : prend les dcisions. Partie 3. Le systme dinformation.

Systme de pilotage

Systme d'information

Systme oprant

Par Daniel TANGMO NGAMY

Cours daudit et informatique 2013


1.2. Les objets constitutifs du SI
Le systme dinformation est constitu de trois types dobjet : Les objets conceptuels : objets qui relvent de la constitution du SI. Ce sont par exemple la politique informatique, le schma directeur informatique et le plan directeur informatique ; Les objets ncessaires lexistence du SI : objets qui font que le systme existe, vive. Ce sont dabord les moyens (matriels, locaux, logiciels, ressources humaines, moyens financiers), les rgles (procdures, mthodes de travail, bonnes pratiques), les actions (installation, maintenance, mise en place, exploitation, en fait tout ce que lon fait pour que le SI fonctionne) ; Les objets qui visent au contrle du SI : laudit.

1.3. Les aspects dun SI


Les aspects dun SI, en se rfrant sur le principe de management, sont: Dabord la faisabilit : sassurer au pralable de lexistence de moyens et actions ncessaires la ralisation des finalits ; Ensuite, la comprhensibilit : sassurer quun contrle est toujours faisable dans un dlai raisonnable ; Enfin, ladaptabilit : sassurer de la conformit du SI par rapport son environnement.

1.4. Lobjectif de laudit informatique


Laudit informatique a pour objectif de sassurer que les diffrents objets constitutifs du SI prsentent les aspects numrs ci-dessus (1.3 ci-dessus). En fonction de lobjectif de la mission, on peut classer les diffrents audits suivant les catgories ci-aprs : La faisabilit (audit de la faisabilit dun systme d'information) : ce type daudit concerne gnralement les SI qui ne sont pas encore mis en place et que lon veut mettre en place ; Lvolutivit (audit de lvolutivit) : Le systme d'information existe et on veut savoir sil est volutif c'est--dire quil peut voluer suivant les objectifs lentreprise, qui elle-mme volue suivant lenvironnement ou alors le systme d'information est obsolte et a besoin dtre actualis ; La fiabilit (audit de la fiabilit) : le systme d'information existe et on veut savoir sil est fiable, si on peut lui faire confiance, si les rsultats issus de ses traitements reprsentent la ralit ; La cohrence (audit de la cohrence) : on veut vrifier lhomognit du systme d'information, savoir ses objets forment un ensemble cohrent ;

Par Daniel TANGMO NGAMY

Cours daudit et informatique 2013


La conformit (audit de la cohrence) : on veut vrifier que le systme d'information est conforme ce qui tait attendu au dpart ; La scurit (audit de la scurit) : la scurit est de plus en plus une proccupation pour les organisations.

1.4. Quelques rgles et principes de laudit informatique


a. Les rgles

Rgle n1. Lauditeur du systme d'information doit comparer lobservation dun ou plusieurs
objets selon un ou plusieurs aspects. Il doit formuler un jugement et des recommandations.

Rgle n2. Laudit informatique est toujours faisable. Rgle n3. Lauditeur doit se doter des moyens ncessaires lobjet de sa mission de manire
exclusive mais pas exhaustivement au sujet de laudit, par exemple pour une mission de jugement de lvolutivit dun systme d'information, il faut se doter des moyens de lvolutivit, mais les utiliser aussi pour vrifier ladaptabilit ou mme la scurit si lon juge que ces aspects ont des problmes. b. Les principes

Principe n1. Interdiction de cumuler audit et conseil1 sur un mme sujet. Principe n2. Lauditeur doit garantir, par lui-mme ou par une quipe sous sa
responsabilit, quil a les comptences ncessaires (pour lexcution dune mission).

Principe n3. Lauditeur doit sintresser au systme d'information dans son ensemble, et
non seulement aux lments automatiss2.

Principe n4. Lauditeur doit fournir des conclusions motives et utiles sur les objets, les
aspects ainsi que la priode de temps qui ont t les lments de sa mission.

1.5. Les bonnes pratiques en matire daudit des systmes d'information


Il nexiste pas de normes en matire daudit informatique. Par contre, il existe des entreprises qui ont dvelopp des bonnes pratiques qui sont utiliss comme des standards daudit informatique. Lun des standards les plus rputs est le COBIT (Control of Business objectives for Information Technology, cest le contrle qui permet de vrifier lalignement stratgique des systmes
1

Je veux informatiser ma comptabilit. Je vais vois un conseil qui me montrent quels ordinateurs acheter, quels logiciels, etc. Mais je me rends compte que ce systme d'information ne me satisfait pas. Je vais donc voir un auditeur pour rgler mon problme, il va venir mesurer la diffrence entre ce que je voulais et ce que jai eu. 2 Le systme informatique nest quune partie du systme d'information. Par exemple, on audite le systme d'information comptable dune socit, le systme informatique est bon, mais la pr-comptabilisation est encore manuelle. Du coup, les erreurs issues de cette tape peuvent en ptir sur les rsultats du systme d'information.

Par Daniel TANGMO NGAMY

Cours daudit et informatique 2013


d'information) dvelopp par un organisme que lon appelle lISACA. La certification ISACA (Information System Audit and Control Association) sappelle le CISA.

Par Daniel TANGMO NGAMY

Cours daudit et informatique 2013


Chapitre 2 : Mthode et droulement de laudit 2.1. Rappels des rgles daudit
Rappel n1. Un systme dinformation est un ensemble de collecte, de stockage, de
traitement et de production dinformation qui peuvent tre plus ou moins automatiss.

Rappel n2. Laudit informatique est lexamen dun systme d'information, en tout ou en
partie, pour porter un jugement sur celui-ci. Lauditeur porte un jugement sur un ou plusieurs objets du systme. Chaque objet comprend gnralement des parties automatises et dautres qui nen sont pas. Laudit informatique ne considre que des aspects bien dfinis, chacun isolment mais dont lensemble constitue la totalit des critres de qualit possibles.

Rappel n3. Laudit informatique porte sur le pass, le prsent et lavenir.

2.2. Mthode daudit


Laudit doit tre dcoup en trois phases :

Phase n1. La dfinition des objectifs


Dans la dfinition des objectifs, lauditeur doit noncer clairement les objectifs de sa mission. Pour cela, il doit : Dterminer les finalits de sa mission et la porte des conclusions ; Enumrer lventail des activits en rapport avec les finalits (pour chaque finalit) ; Proposer certaines prcautions concernant lavenir et mettre en vidence les points faibles ou rechercher les causes danomalies passes : cest ce quon appelle lanalyse des risques.

Phase n2. Lexcution


Cette phase est celle qui concerne le droulement de laudit proprement dit. Pour cela, lauditeur doit laborer : Un plan de collecte dinformation : comporte gnralement formulaires de collecte dinformation, calendrier dinterviews et des runions, plan de synthse de la collecte dinformation ; Les mthodes de contrle, danalyse et de synthse ; Le plan du rapport final.

Par Daniel TANGMO NGAMY

Cours daudit et informatique 2013


Phase n3. Le suivi
Cette phase suit la phase dexcution et concerne la mise en uvre des conclusions de laudit. A ce titre, lauditeur doit suggrer : Une mthode dinformation des services ; Un plan de vrification de la mise en uvre des recommandations.

2.3. Le plan de travail


Aprs la prise de connaissance gnrale, lauditeur doit laborer un plan de travail selon la nature et le volume des tches. Ce plan de travail doit comprendre : Un dcoupage du travail en tapes successives ayant chacune une sous-finalit dont les conclusions fragmentaires ou partielles ont dj un intrt ; Un budget (chaque tape) exprim soit en jours, soit directement en termes montaires (FCFA). Il est conseill de proposer une enveloppe en prenant une marge scuritaire de 20% car les dlais ne peuvent jamais tre figs ; Un dcoupage temporel des diffrentes tapes de laudit ; La liste des intervenants internes (ceux de lentreprise) et externes (ceux de lauditeur), leur rle et leur qualification chaque tape ; La liste des lieux (o se trouvent les systmes concerns) visiter et des systmes examiner.

2.4. Les ressources de lauditeur


Les ressources de lauditeur sont constitues : Les rsultats des traitements (par exemple, pour un systme comptable, cest la balance, le grand livre, etc.) ; La documentation existante (mme exemple, manuel de lutilisateur, plan comptable) ; Les rsultats des audits prcdents ; Les machines et systmes dont il doit disposer des jours et des heures convenus davance pour ne pas gner lexploitation quotidienne : dans un calendrier, convenu avec leurs utilisateurs ; Les ressources humaines (qui travaillent sur les systmes) de lentreprise qui obissent aux conditions que ci-dessus.

10

Par Daniel TANGMO NGAMY

Cours daudit et informatique 2013


2.5. Le rapport
Le rapport et la prsentation du rapport sont logiquement placs en fin des travaux ; le rapport est gnralement rdig en deux temps : il y a dabord le projet de rapport et le rapport dfinitif. Gnralement un rapport daudit comprend trois parties :

Partie 1. Cest la partie introductive. Elle comprend :


La lettre dintention ou de mission ; La liste des documents remis ; La liste des personnes rencontres ; La liste des collaborateurs ayant fait partie de la mission ; Les difficults ventuellement rencontres.

Partie 2. Cest le corps du rapport, qui comprend :


Le problme pos ; La dmarche adopte ; Le travail effectu ; Le rsultat des analyses effectu sur chaque point.

Partie 3. Ce sont les recommandations. Elles doivent rdiges de manire comprhensible,


suffisamment bien argumentes et tre conomiquement acceptables. Il est conseill, pour chaque recommandation, dexprimer schmatiquement le sens (pour que ce soit compris par les nophytes) et en crire le dtail (financier, etc.) qui sera apprci par les spcialistes.

11

Par Daniel TANGMO NGAMY