Vous êtes sur la page 1sur 20

Audit .

/ PDA

Visa

Nom

Date

Rdig par
Approuv par

Personnes concernes

Fonction

pour Prsent, Contrle, pour Action, pour Information

Objet du questionnaire (ou de lentretien) : Organisation, scurit et fiabilit du systme


dinformation comptable et financier (gnrale et auxiliaire).

QUESTIONS

OUI

NON

OBSERVATIONS

I - Organisation gnrale du systme dinformation (SI)


Existe-t-il une cartographie (liste) des SI utiliss au
sein de lentit ?
Dans laffirmative, produire cette cartographie

Dans le cas contraire, faire tablir la liste des


principales applications participant la gestion
comptable et financire (cf. tableau en annexe).
Quelles sont les principales applications mtier ?

Merci de renseigner les deux tableaux en fin de


questionnaire
Indiquez les principales fonctionnalits de ces
applications mtier .

-1-

I*

QUESTIONS

OUI

NON

OBSERVATIONS

Quelle application informatique de gestion


comptable votre tablissement utilise-t-il ?

Prcisez sa date de dveloppement / acquisition


ainsi que la date de mise en service de ses
diffrentes versions.

II - Gestion du service informatique


Un organigramme fonctionnel a-t-il t labor pour
le service informatique de ltablissement ?

Quand a-t-il t actualis pour la dernire fois ?

Remettre ce document
louverture de laudit.

aux

auditeurs

Comment sont articules les activits :

danalyse

de dveloppement

dintgration

dexploitation

dassistance aux utilisateurs

de scurit informatique

Existe-t-il une fonction de gestion du systme


dinformation ddie au pilotage du systme
dinformation et la gestion prvisionnelle des
projets et des ressources ?

Votre tablissement dispose-t-il notamment dun


comit de pilotage informatique ?

Certaines fonctions du systme dinformation ontelles t externalises?

-2-

QUESTIONS

OUI

NON

OBSERVATIONS

Dans ltablissement, quelle(s) structure(s) a (ont) la


charge des missions suivantes :

sassurer de la cohrence entre les plans


informatiques ( court et long terme) et les
objectifs de ltablissement ?

approuver les acquisitions importantes


matire de systme dinformation ?

surveiller les projets informatiques (notamment


le dveloppement des applications) ?

analyser
et
approuver
les
plans
dexternalisation de certaines fonctions du
systme dinformation ?

contrler
lutilisation
informatiques ?

veiller sur le respect de la politique de scurit


(physique
et
logique)
du
systme
dinformation ?

des

en

ressources

Ltablissement voluant, tout comme son


environnement technique, quelle structure est en
charge de la conduite du changement en matire de
systme dinformation ?

Existe-t-il dans votre tablissement une fonction


dofficier de scurit charg :

lors de la conception du systme, de sassurer


que la politique de scurit est respecte et de
conseiller les acteurs du dveloppement sur les
mesures de scurit incorporer au systme ;

dans le cadre de son exploitation courante, de


surveiller le systme dinformation.

III - Formation et Documentation technique et utilisateur s/ le SI comptable et financier


Les utilisateurs actuels des applications ont-ils reu
une formation initiale spcifique ?

Prcisez si possible par utilisateur :

-3-

QUESTIONS

OUI

Quand ?

NON

OBSERVATIONS

Anne :

Quelle a t la dure de cette formation ?

Depuis quand les utilisateurs actuels travaillent-ils


sur les diffrentes applications ?

Anne :

Expriment-ils le besoin dune formation


complmentaire ?

Les utilisateurs disposent-ils dune documentation ?


Prcisez pour chaque application

Si oui, quel est le support (papier, dmatrialis..)

Prcisez pour chaque application

La documentation contient-elle :
- une description de lapplication ?
- les procdures dutilisation des
fonctionnalits?
- les conditions et les procdures de saisie et
de mise jour des donnes ?
- les procdures concernant les tats de
sortie ?
- une description des tats de sortie ?
- une description des rapports de contrle ?
- les procdures dentre dans les bases de
donnes ?
La documentation technique a telle t produite ?

Qui est charg de produire la documentation


technique ?

La documentation utilisateur et/ou le manuel de


procdures sont-ils facilement accessibles et
exploitables ?

Couvrent-ils tous les aspects du systme ?

Existe-t-il des procdures de mise jour de la


documentation technique et utilisateur lorsque des
modifications sont effectues ?

IV - Scurit du SI comptable et financier

-4-

QUESTIONS

OUI

NON

OBSERVATIONS

1- Analyse des risques et politique globale de protection du systme dinformation


Avez-vous procd une analyse des risques lis au
dploiement du systme dinformation dans votre
tablissement ?
Cette analyse a-t-elle t formalise ?
Remettre ce document
louverture de laudit.

aux

auditeurs

Au terme de cette analyse, avez-vous dfini une


politique de gestion des risques lis lexploitation
du systme dinformation

Cette politique a-t-elle t formalise dans un


document de rfrence mis la disposition des
personnels concerns ?

Remettre ce document
louverture de laudit.

aux

auditeurs

Cette politique de gestion des risques lis au


systme dinformation a-t-elle amen la Direction
de votre tablissement dcider de la mise en uvre
de procdures et dispositifs permanents portant sur
les domaines suivants :

protection du
informationnels

conformits aux lois et rglements en vigueur

prvention et dtection des fraudes

patrimoine

et

des

actifs

Prcisez votre rponse.


2. Scurit logique (identification et authentification des utilisateurs)
a) Politique gnrale
Existe-t-il une politique de scurit logique
formalise permettant la mise en uvre de rgles de
scurit communes et homognes entre les
diffrentes
entits utilisatrices du systme
dinformation de ltablissement ?

Remettre ce document
louverture de laudit.

aux

auditeurs

Ce document a-t-il t diffus lensemble des


utilisateurs du systme dinformation ?

Ltablissement procde-t-il une valuation


priodique de la scurit logique de son systme

-5-

QUESTIONS

OUI

NON

OBSERVATIONS

dinformation ?

Selon quelle priodicit ?

Qui est charg de cette tche ?

Selon quelle procdure sont alors traites les


propositions damlioration ?

De faon plus gnrale, quest-ce qui, selon vous,


contribue la qualit du dispositif actuel de scurit
logique ?

Prcisez votre rponse.

Quest-ce qui, linverse, constitue une faiblesse


dans le dispositif actuel de scurit logique ?

Prcisez votre rponse.

Quelles sont selon vous les mesures prendre pour


renforcer ce dispositif ?

b) Autorisation daccs au systme dinformation : identification des utilisateurs


Existe-t-il un systme d'identification de chaque
utilisateur :

Pour laccs au rseau local de ltablissement

Pour laccs au rseau Internet

Pour laccs aux applications en tlgestion

Pour laccs aux applications, donnes et


programmes stocks sur la station de travail de
lutilisateur

Pour laccs au systme dexploitation et aux


donnes sensibles des bases / du systme

-6-

QUESTIONS

OUI

NON

OBSERVATIONS

Prcisez votre rponse.

Qui attribue et dfinit les critres didentification ?


(code utilisateur) :
-

le chef de service ou son adjoint ?

un agent du service informatique ?

lintress lui-mme ?

Les droits sont-ils en cohrence avec les fonctions


exerces ?

Existe-t-il dans le systme informatique des


habilitations en surnombre / personnels rfrencs
dans lorganigramme ?

Existe-t-il des habilitations multi-droits / superutilisateur ?

A qui ont-elles t attribues ?

Existe-t-il
des
habilitations
au
mode
modification au bnfice dagents qui ne
devraient disposer que dun mode consultation ?

Les demandes dautorisation daccs au systme


dinformation manant des chefs de service sontelles systmatiquement formalises :

Pour
les
nouveaux
ltablissement

Pour les personnels muts

arrivants

dans

Les nouvelles autorisations daccs au systme


dinformation donnent-elles systmatiquement lieu
la signature par les agents dune attestation de
reconnaissance de responsabilit, par laquelle ils
sengagent respecter les rgles de scurit dfinies
par ltablissement ?

-7-

QUESTIONS

OUI

NON

OBSERVATIONS

Les demandes de suppression des autorisations


daccs au systme dinformation sont-elles
systmatiquement formalises lors de la cessation de
fonction

dun agent

dune personne exerant des fonctions titre


temporaire

La
cessation
de
fonctions
donne-t-elle
systmatiquement lieu la clture de lattestation de
reconnaissance de responsabilit ?

Selon quelle priodicit ltablissement ralise-t-il


une revue des droits daccs au systme
dinformation accords ?

Qui effectue cette tche ?

La revue des droits daccs donne-t-elle lieu un


rapprochement des trois lments suivants :

organigramme

liste des droits daccs

droits effectivement ouverts dans le systme


dinformation

Existe-t-il des droits inactifs (codes utilisateurs


ouverts mais non utiliss) ?

Les documents justifiant louverture des droits


daccs au systme dinformation sont-ils archivs :

par les services demandeurs / la Direction

par le service informatique

c) Autorisation daccs au systme dinformation : authentification des utilisateurs


Existe-t-il un systme d'authentification
chaque utilisateur de l'application :

pour

Pour laccs au rseau local de ltablissement

-8-

QUESTIONS

OUI

Pour laccs au rseau Internet

Pour laccs aux applications en tlgestion

Pour laccs aux applications, donnes et


programmes stocks sur la station de travail de
lutilisateur

Pour laccs au systme dexploitation et aux


donnes sensibles des bases / du systme

NON

OBSERVATIONS

Prcisez votre rponse.


Existe-t-il dans les applications informatiques un
systme dauthentification spcifique pour la
validation doprations sensibles (ex : code
validant diffrenci dun code saisissant
lintrieur dune application ?)

Pour chacun des aspects voqus dans les deux


questions prcdentes, qui attribue et dfinit les
critres dauthentification ?

Quels sont les critres respecter en matire de


choix du mot de passe (nombre et nature des
caractres, libell diffrent des mots prcdents,
etc.) ?

Les mots de passe apparaissent-ils en clair lors de


leur saisie dans certaines des applications utilises
par ltablissement ?

Les mots de passe


renouvellement rgulier ?

font-ils

lobjet

dun

Selon quelle priodicit :


Hebdomadaire ?
Mensuelle ?
Trimestrielle ?
Semestrielle ?
Autre ? (prcisez)
Qui les modifie ?

De qui ces mots de passe sont-ils connus ?

Existe-t-il un suivi (registre papier, fichier


informatique) des accs l'application tenu dans
ltablissement ?

-9-

QUESTIONS

OUI

NON

OBSERVATIONS

Si oui, par qui est-il suivi ?

Existe-t-il un enregistrement des tentatives d'accs


l'application non autorises, disponible dans
ltablissement ?

Si oui, cet enregistrement fait-il l'objet d'un suivi et


d'un rapport priodique ?
- la Direction
- au service informatique
- aux chefs de service
Des instructions interdisant la programmation de
touches du clavier automatisant la procdure de
saisie du mot de passe ont-elles t donnes ?

Ont-elles t formalises ?

Tout utilisateur du systme dinformation est-il


systmatiquement dconnect aprs plusieurs
tentatives d'accs infructueuses ?

La ractivation de son compte utilisateur ncessitet-il lintervention dune tierce personne (chef de
service, agent du service informatique) ?

Les terminaux ddis l'application sont-ils


automatiquement dsactivs aprs une priode
d'inactivit donne au cours dune mme session de
travail?

Si oui, aprs quelle dure de non-utilisation ?

Quelles sont, selon vous, les principales forces et


faiblesses du systme dinformation de votre
tablissement en matire de scurit logique ?

Prcisez.

Quels ont t les moyens de sensibilisation utiliss :


-

auprs de lencadrement ?

auprs des agents oprationnels?

- 10 -

QUESTIONS

OUI

NON

OBSERVATIONS

Lencadrement effectue t-il des contrles de traces ?

Dispose t-on de restitutions ?

A qui sont-elles transmises ?

Quelles sont les suites donner ces contrles ?

3. Scurit physique du systme dinformation


La Direction de ltablissement a-t-elle dfini une
politique de scurit physique ?
Celle-ci a-t-elle t formalise au travers dun
document diffus lensemble des agents de
ltablissement ?

Remettre ce document
louverture de laudit.

aux

auditeurs

La Direction de ltablissement a-t-elle fait le choix


de mettre en place des stations de travail
microinformatiques sans disques et sans ports USB
et en rseau scuris ?

De faon plus gnrale, quest-ce qui, selon vous,


contribue la qualit du dispositif actuel de scurit
physique ?

Prcisez votre rponse.

Quest-ce qui, linverse, constitue une faiblesse


dans le dispositif actuel de scurit physique ?

Prcisez votre rponse.

Quelles sont selon vous les mesures prendre pour


renforcer ce dispositif ?

Avez-vous mis en place un dispositif sappuyant sur


des contrles techniques effectus par un expert
(organisme de contrle spcialis) s/ les scurits
logiques du SI ?

- 11 -

QUESTIONS

OUI

NON

OBSERVATIONS

Si oui :
- Quelle est la frquence des contrles extrieurs ?

- Quelle est la date du dernier contrle ?

Remettre le compte-rendu du dernier contrle


aux auditeurs louverture de laudit.
Les dispositions crites prvoient-elles la
redondance de certains quipements / matriels
denvironnement ?
Ex : climatisation, quipements lectriques tels que
les disjoncteurs, groupes lectrognes, onduleurs,
etc.

Quelles ont t les suites donnes par


ltablissement aux anomalies qui ont t dtectes
par la structure de contrle spcialise ?

Comment ont-elles t formalises ?

Remettre les documents de formalisation aux


auditeurs louverture de laudit.
Quels sont les dispositifs de scurit mis en place
pour garantir :

la
scurit
des
accs
aux
matriels
informatiques
sensibles
de
lentit
(serveurs) : badges magntiques, clefs, etc ?

Quelle est la frquence de changement des


codes daccs aux locaux informatiques
(digicodes) ?

la scurit contre les dgts naturels ?

Comment le contrle des accs aux installations


informatiques est-il suivi (tenue de journaux
daccs, de listes de possesseurs de badges
magntiques ou de clefs, etc.) ?
Comment est assure la protection contre les
intrusions logicielles ?

Comment est assure la protection contre les virus ?

- 12 -

QUESTIONS

OUI

NON

OBSERVATIONS

Comment la maintenance des matriels est-elle


suivie pour les aspects suivants :

quipements lectriques,

dispositif anti-incendie,

scurit anti-intrusion,

autres

Qui est en charge de ce suivi ?

Comment est-il formalis ?

Selon quelle priodicit ltablissement ralise-t-il


une revue des dispositifs ddis la scurit
physique du systme dinformation ?

Qui effectue cette tche ?

Les agents de ltablissement ont-ils t sensibiliss


la scurit physique du systme dinformation ?

Qui a sensibilis les agents la scurit physique du


systme dinformation ?

Quels ont t les moyens de sensibilisation utiliss ?

4. Points spcifiques aux applications comptables


Existe-t-il une possibilit de dcouplage entre la
date de saisie et la date comptable enregistre dans
lapplication ?

Prcisez les limites de ce dcouplage, notamment au


regard des contraintes de clture des priodes
comptables.

Ce dcouplage apparat-il explicitement sur certains


tats / crans de lapplication ?

- 13 -

QUESTIONS

OUI

NON

OBSERVATIONS

Indiquez quels dispositifs informatiques sont mis en


uvre dans le cadre de la fin de gestion de
lexercice comptable et plus particulirement :

la clture informatique de lexercice ;

les reprises automatiques en balance dentre.

V - Exploitation du SI comptable et financier


Quel est le rle du service informatique dans
lexploitation de lapplication de comptabilit
gnrale ?

Existe-t-il une
programmes de
gnrale ?

possibilit de modifier les


lapplication de comptabilit

Dans laffirmative, une procdure a-t-elle t mise


en place pour limiter laccs aux codes de
lapplication ?

Une traabilit de ces modifications existe-t-elle ?

Des anomalies
identifies dans
gnrale ?

informatiques
ont-elles t
lapplication de comptabilit

En ce cas, quelle procdure met en uvre le service


informatique pour les rsoudre ?

Un suivi des indisponibilits des applications,


ventuellement des indicateurs, existe-t-il ?

VI - Piste daudit
Des contrles sont-ils raliss par le service
informatique sur lintgration :
-

des donnes entrantes (via les applications de


comptabilit auxiliaire) dans lapplication de
comptabilit gnrale ?

des donnes sortantes de lapplication de


comptabilit gnrale vers les applications de
comptabilit auxiliaire ?

- 14 -

QUESTIONS

OUI

NON

OBSERVATIONS

Dans laffirmative :

dcrire ces contrles ;

indiquez si des anomalies dintgration sont


dtectes et les suites donnes.

VII - Maintenance du SI comptable et financier


Par qui est assure la maintenance des logiciels ?

Quelle procdure a t dfinie en matire de


maintenance :

Corrective

Evolutive

modifications urgentes

Prcisez votre rponse sur le plan des conditions de


test et de recette des programmes et chanes de
traitement concerns.

Le service informatique est-il rgulirement sollicit


pour les tests de maintenances effectues sur
lapplication de comptabilit gnrale ?

Dans laffirmative, dcrire le dispositif mis en


place

Existe-t-il une procdure durgence pour la mise en


production de certaines maintenances ?
Le service informatique est-il averti en ce cas ?
Des procdures spcifiques de contrle sont-elles
mises en uvre ?

Les maintenances sont-elles systmatiquement


testes avant leur mise en exploitation ?

- 15 -

QUESTIONS

OUI

NON

OBSERVATIONS

VIII - Sauvegardes des donnes comptable et financires


Quelles sont les rgles de sauvegardes des donnes
de lapplication de comptabilit gnrale ?

Des applications de comptabilit auxiliaire ?

A quel niveau ont t dfinies les modalits de


sauvegarde des donnes et traitements (frquence de
sauvegarde, procdures techniques mettre en
uvre) :

la Direction de ltablissement

le service informatique

autres

Les procdures de sauvegarde ont-elles t


formalises dans un document de rfrence mis
disposition des personnels concerns ?

Remettre ce document
louverture de laudit.

aux

auditeurs

Qui est charge de leur mise en uvre ?

Quels sont les supports de sauvegarde ?

Dans quelles conditions sont-ils conservs ?

Des mesures de contrle interne ou externe de la


correcte mise en uvre de ces dispositions sont-ils
raliss ?

Quelle est la frquence des sauvegardes ?

O sont conserves les sauvegardes ?

Combien de temps sont conserves les donnes ?

- 16 -

QUESTIONS

OUI

NON

OBSERVATIONS

Les sauvegardes font-elles lobjet de tests de


restauration ?
-

Selon quelle priodicit ?

Les rsultats sont-ils formaliss ?

Existe t-il un suivi de ces tests ?

IX - Plan de continuit de lactivit


Une politique a-t-elle t dfinie par ltablissement
en matire de procdure de secours en cas de
sinistre majeur sur site (back-up) ?

Est-elle formalise ?

Ce document a-t-il t port la connaissance des


personnels concerns par la procdure de reprise ?

Remettre ce document
louverture de laudit.

aux

auditeurs

Llaboration du plan de secours a-t-elle t base


sur une analyse pralable de limpact des risques sur
lactivit de ltablissement ?

Quelle a t la solution technique retenue ?

Site miroir (entirement configur et prt


dmarrer) ;

Salle rouge (partiellement configur) ;

Salle blanche (avec quipement


nergie / climatisation / etc.)

Site mobile

Accord de rciprocit
tablissement ?

avec

minimum

un

autre

- 17 -

QUESTIONS

OUI

NON

OBSERVATIONS

Quels sont les indicateurs mis en place pour valuer


la qualit / le caractre oprationnel de la procdure
de secours ?

Quelle est la frquence dactualisation de ces


indicateurs ?

Des tests de simulation de reprise de lexploitation


des applications partir du site de secours ont-ils
t effectus ?

Ont-ils fait apparatre des difficults particulires ?

Quelles dispositions ont t prises pour corriger les


difficults rencontres lors de ces tests ?

Le niveau de connaissance des procdures de


secours par les personnels concerns a-t-il t
valu ?

Si oui, par quels moyens ?

Votre plan de continuit de lactivit / plan de


secours a-t-il obtenu la certification dun organisme
extrieur (organisation professionnelle, organisme
certificateur) ?

[Rem :

plan de continuit de lactivit = ensemble des


processus mis en uvre pour assurer la continuit de
lactivit ;

plan de secours = plan orient sur le systme


dinformation en lui-mme.]

Estimez-vous que grce au plan de continuit quil a


dfini, ltablissement est en mesure de faire face
un sinistre sur site majeur sans que son activit ne
soit mise en pril ?

Prcisez votre rponse.

Merci pour vos rponses

- 18 -

PRINCIPALES APPLICATIONS DE GESTION COMPTABLE ET FINANCIERE (Tableaux


complter ventuellement sous forme de tableaux EXCEL)
Nom de
lapplication

Type de matriel suivant application

Traitement
transactions

T ou *
R

MICRO*
A-R-C

T : Transactionnel
A : Autonome
R : en rseau avec dautres micros
C : connects au mainframe

- 19 -

APPLICATIFS INFORMATIQUES (Tableau complter, ventuellement sous forme de tableaux


EXCEL) Cartographie applicative
Nom de
lapplication
Des logiciels ou
progiciels

Caractristiques
application
1 interne
2 Progiciel non
modifi
3 Progiciel adapt

NOM VERSION Date dernire modification Date modif. Maj.


Progiciel achet
ou version

- 20 -