Académique Documents
Professionnel Documents
Culture Documents
Sommaire
I.Introduction.............................................................................4
II.Définition générale de la fonction informatique......................5
A.Caractéristiques...................................................................................................................5
B.Risques liés à l’organisation................................................................................................6
C.Techniques d’audit..............................................................................................................6
D.Limites de l’audit de la fonction informatique....................................................................6
III.Développement, installation, modification et intégrité du
système.....................................................................................8
A.techniques d’audit...............................................................................................................8
Développement...................................................................................................................8
Mise en place :....................................................................................................................8
Modification :......................................................................................................................8
Intégrité :.............................................................................................................................8
B.exemple de questionnaire....................................................................................................9
IV.Sécurité des accès physiques et logiques............................13
A.Risques sur les ressources logiques...................................................................................13
Questionnaire : organisation et sécurité des accès logiques :...........................................13
B.Risques sur les actifs informatiques .................................................................................16
Organisation et sécurité des accès physiques :..................................................................17
V.Exploitation...........................................................................21
A.Risques liés à l’exploitation .............................................................................................21
VI.Questionnaire : exploitation ............................................................................................22
VII.L’audit des traitements automatises...................................25
A.Contrôles programmes .....................................................................................................25
Modes de traitement :........................................................................................................25
B.Risques_specifiques_aux traitements automatises............................................................26
C.Objectifs d’audit ...............................................................................................................27
D.Procédures programmées de contrôle répondant aux objectifs d’audit ...........................28
Développement_des_procédures programmées de contrôle :...........................................28
Traitements automatisés et irrégularités...........................................................................28
Les enseignements des études sur les irrégularités :.........................................................28
E.Présentation de la méthodologie........................................................................................30
1ère_étape :_connaissance_de l’environnement...............................................................31
2ème étape: examen préliminaire....................................................................................32
3ème étape : évaluation préliminaire...............................................................................34
4ème étape : plan d’approche de l’audit .........................................................................35
5ème étape : tests de vérification du fonctionnement des contrôles.................................35
6ème étape : teste sur les données et/ou sur les soldes des comptes.................................36
7ème étape : évaluation finale...........................................................................................36
F.Contrôle de la comptabilisation achats fournisseurs, enregistrement des factures,
journalisation et centralisation..............................................................................................37
VI.Les techniques de contrôle basées sur l’informatique..........47
A.Techniques_d’audit informatique utilisant l’ordinateur ...................................................47
Avantages et limites :........................................................................................................47
B.Techniques_de_l’audit informatique ................................................................................47
Jeux d’essaie :...................................................................................................................47
Les testes intégrés :...........................................................................................................47
Les tests en parallèle :.......................................................................................................48
Sélection des donnés dans un fichier :.............................................................................48
C.Organisation de la mise en œuvre des tests informatisés..................................................49
Contraintes liées aux tests informatisés............................................................................49
Organisation :....................................................................................................................51
Dossier de travail :............................................................................................................52
VII.Systèmes experts et audit .................................................54
A.Présentation.......................................................................................................................54
B.L’environnement_des_systemes experts...........................................................................54
L’intelligence artificielle :.................................................................................................54
La connaissance :..............................................................................................................54
C.Approche générale des systèmes experts..........................................................................54
Définition :........................................................................................................................54
Objectifs des systèmes experts :........................................................................................54
Les outils de réalisation des systèmes experts :................................................................55
D.Les systèmes experts en audit ..........................................................................................55
Les systèmes experts généraux :.......................................................................................55
Les systèmes experts dans des domaines connexes :........................................................55
Systèmes experts directement liés à l’audit :....................................................................56
VIII.Conclusion : l’usage de l’informatique dans l’audit............57
IX.Bibliographie........................................................................58
I. Introduction
• Activités de l’entreprise,
• Taille de la fonction informatique,
• Degré de complexité de la configuration et de la sophistication
du système d’informations,
• Dépendance de l’entreprise vis-à-vis de la fonction
informatique.
II. Définition générale de la fonction informatique
A. CARACTÉRISTIQUES
C. Techniques d’audit
Dans la pratique, l’auditeur doit considérer dans son appréciation qu’il ne peut
pas s’attendre à trouver les mêmes standards dans un centre informatique d’une
dizaine de salariés que dans celui de deux cents salariés pour cette raison l’auditeur
intervenant dans un centre de taille moyenne doit prendre en compte des éléments
plus difficiles à appréhender parce que plus subjectif en ce qui concerne notamment
pour la direction de l’information :
l’intérêt pour le contrôle,
l’autorité sur les collaborateurs,
le souci de supervision
le souci de dialogues avec les utilisateurs.
Le contrôle de l’organisation générale de l’informatique peut amener l’auditeur à
proposer des suggestions pour l’amélioration du contrôle interne.
L’auditeur doit moduler ces dernières en onction de la taille ou de l’activité de
l’entreprise. En effet, et ceci est une règle générale une recommandation n’a de valeur
pour le dirigeant que dans la mesure où elle est raisonnable par rapport à la taille et à
l’activité de l’entreprise ainsi que par rapport aux coûts complémentaires qu’elle
entraîne.
III. DÉVELOPPEMENT, installation, modification et intégrité du
système
A. Techniques d’audit
♦ DÉVELOPPEMENT
- Prise de connaissance de la méthodologie de développement par
entretiens, observations, examen du manuel des procédures et des
manuels de référence de la méthode (1) ;
- Inventaire des projets développés depuis le dernier audit ;
- Tests sur l’application de la méthodologie par examen de la documentation
portant, plus particulièrement, sur les documents suivants : Etude la
faisabilité, étude fonctionnelle, programmes (pour le respect des standards
de programmation et la mise à jour de la documentation), procès-verbaux
de recette.
- Intervention de l’auditeur pendant les phases de développement ;
- Examen des contrats lorsque tout, ou partie, du développement est assuré
par une SSII, ou remplacé par l’achat d’un logiciel.
♦ MISE EN PLACE :
- Prise de connaissance des procédures de transfert et de conversation par
entretiens, observations et examen du manuel des procédures ;
- Intervention de l’auditeur pendant la période de conversion. L’auditeur
précise à l’entreprise, avant la conversion, quels sont les documents dont il
aura besoin pour exercer ses contrôles ;
- Tests par l’examen de la documentation et des documents de contrôle de
l’entreprise.
♦ MODIFICATION :
- Examen du chrono de correspondance du chef du projet avec les
utilisateurs ;
- Prise de connaissance des procédures de modification par entretiens,
observations et examen du manuel de procédures ;
- Examen des coûts de modifications dans les imputations par centre de
coût ;
- Tests partant des modifications observées sur les programmes sources et
suivant le cheminement de la modification sur le plan procédural ;
- Examen des paramétrages du gestionnaire de bibliothèques ;
- Examen des journaux de gestionnaire de bibliothèques.
♦ INTÉGRITÉ :
- Prise de connaissance des procédures de protection de l’intégrité des
systèmes par entretiens, observations, examen du manuel de procédures
et du manuel de référence du gestionnaire de bibliothèques ;
- Tests par :
Impression des tables d’accès aux ordres de contrôle et
programmes ;
Impression des tables d’accès aux commandes et programmes
utilitaires permettant de modifier les ordres de contrôle et les
programmes;
Examen du paramétrage du gestionnaire de bibliothèques ;
Examen des journaux de console ;
Examen des journaux du gestionnaire de bibliothèques.
L’auditeur externe prend connaissance, s’ils sont établis, des rapports du
gestionnaire de la sécurité, et/ou de l’audit interne informatique.
B. Exemple de questionnaire
COMMENTAIRES ET
QUESTIONS OUI NON RENVOI AUX FEUILLES
DE TRAVAIL
DEVELOPPEMENT
1. Les développements de système sont-ils
effectués selon une méthodologie ?
2. Cette méthodologie implique-t-elle
suffisamment les utilisateurs au niveau des
phases :
Etude de faisabilité ?
Etude fonctionnelle ?
Recette ?
3. L’étude de faisabilité est-elle approuvée par
le comité informatique ?
4. La phrase étude fonctionnelle prend-elle en
compte :
La philosophie des contrôles au
niveau de la fonction informatique ?
La philosophie des contrôles
manuels et informatisés au niveau du
système ?
Les procédures de sauvegarde, de
restauration et de reprise ?
La formation nécessaire des
informaticiens ?
La formation nécessaire des
utilisateurs ?
5. La phase étude fonctionnelle est-elle
approuvée par les utilisateurs ?
6. Les phrases d’analyse organique, de
programmation et de tests font-elles l’objet
de procédures minimisant les risques
d’erreurs, en utilisant par exemple des
méthodes standardisées de programmation
7. Pour les phases de recette provisoire, les
utilisateurs participent-ils réellement à la
mise au point des jeux d’essai ?
8. La recette provisoire des utilisateurs n’est-
elle donnée que lorsque les résultats sur
jeux d’essai sont satisfaisants ?
9. La recette provisoire des utilisateurs fait-elle
l’objet d’un procès verbal entre
informaticiens et utilisateurs ?
10. La documentation est-elle constituée au fur
et à mesure de l’avancement du projet dans
les phases de développement ?
11. En cas de développement de système sous
SGBD, les phases de développement sont-
elles coordonnées et supervisées par un
gestionnaire de données ou un technicien
ayant une formation suffisante. Ce
gestionnaire de données, ou technicien,
s’assure-t-il de l’efficacité du développement
en matière de :
Définition des données ?
Validation des données ?
Définition des règles d’accès ?
Définition des procédures de
sauvegarde et reprise ?
12.Les développements sont-ils mis au point
dans un environnement de tests, séparé de
l’environnement de production ?
13. En cas de développement d’application sous
infocentre, existe-t-il des procédures
suffisamment en matière de :
• Tests ?
• Documentation ?
• Autorisation ?
• Supervision ?
14. En cas de développement sur micro-
ordinateur, les utilisateurs élaborent-ils un
minimum de documentation ?
15. En cas de développement en PME/PMI, les
éléments fondamentaux suivants sont-ils
respectés :
• Cahier des charges ?
• Recette avec les utilisateurs ?
• Documentation ?
• Travail en parallèle ?
16. En cas de développements confiés à une
SSII, les éléments fondamentaux suivants
sont-ils respectés :
• Cahier des charges défini
conjointement avec l’entreprise ?
• Période d’essai en exploitation
normale ?
• Fourniture d’une documentation
conforme au C NC ?
• Protection suffisante en cas de la
fourniture de programmes limitée aux
programmes-objets ?
17. Les procédures de développement prennent-
elles en compte les réglementations en
vigueur :
• Code général des impôts ?
• Plan comptable général ?
• Décret du 29 novembre 1983 ?
• Loi Informatique et Libertés ?
18. Les procédures de modifications prennent-
elles également en compte les
réglementations en vigueur :
• Code général des impôts ?
• Plan comptable général ?
• Décret du 29 novembre 1983 ?
• Loi Informatique et Libertés ?
MISE EN PLACE
19. Existe-t-il un contrôle de l’intégralité du
transfert des programmes de
l’environnement de tests à l’environnement
de production ?
20. En cas de conversion, existe-t-il un contrôle
sur la « montée en charge » des fichiers ou
l’installation de la base de données ?
Si la réponse est oui à la question
précédente, le contrôle donne-t-il une
assurance suffisante que les données sur
les nouveaux fichiers sont :
• Exhaustives :
- Toutes enregistrées ?
- Toutes enregistrées dans la bonne
période ?
• Exactes : Validation suffisante sur
l’exactitude des données ?
21. Avant la recette finale, le nouveau système
a-t-il été suffisamment testé, notamment à
chaque fois que possible avec l’ancien
système comme système de référence ?
22. Les auditeurs internes participent-ils au
contrôle du processus de conversion ?
23. La recette finale donne-t-elle lieu à un procès
verbal ?
24. La documentation du système comprend-elle
des informations suffisantes sur les
domaines suivants :
Contrôles sur le transfert dans
l’environnement de production ?
Contrôles sur la montée en
charge des fichiers, ou
l’installation de la base de
données ?
Contrôles sur les tests avant
recette finale du système par les
utilisateurs ?
MODIFICATION
25.Existe-t-il une séparation (ordinateurs de
tests, bibliothèques) entre les activités de
tests et de production ?
26. Si cette séparation peut ne pas être
respectée (« forcée ») pour des
modifications urgentes, les possibilités de
contrôle à postériori (supervision et journal
consol), sont-elles suffisantes ?
27. Toute modification fait-elle l’objet d’une
demande écrite des utilisateurs ?
28. Toute modification est-elle effectuée sur des
copies de programmes ?
29. Toute modification n’est-elle testée qu’avec
des jeux d’essai de l’environnement de tests,
ou avec des copies autorisées de fichiers
réels ?
30. La mise en production du ou des
programme(s) modifié(s) est-elle précédée
de l’accord du responsable hiérarchique du
programmeur et de l’utilisateur ?
31. Les documentations sont-elles mises à jour à
chaque modification :
Analyse/Programmation ?
Exploitation ?
Utilisateur ?
Eventuellement, documentations
relatives à :
- Base de données ?
- Réseau ?
- Sécurité ?
INTEGRITE
32. Existe-t-il des procédures assurant l’intégrité
des systèmes mis en production ?
33. Ces procédures permettent-elles des
contrôles suffisants dans les domaines
suffisants :
Protection contre les accès non
autorisés ?
Journalisation des modifications ?
Correspondance entre programmes
d’exploitation sources et objets ?
34. Ces procédures font-elles l’objet d’un
contrôle périodique à postériori par une
personne indépendante, comme le
gestionnaire de la sécurité ou l’audit interne
informatique ?
35.Si ces procédures ont pour base l’utilisation
d’un gestionnaire de bibliothèques, les
options exercées permettent-elles de
satisfaire les contrôles mentionnés dans la
question précédente ?
Les risques pour accès non autorisés aux ressources logiques sont présentés
ci-dessous avec les conséquences pour l’entreprise.
RISQUES CONSEQUENCES
Erreurs causées par des « manipulations » Remise en cause progressive de l’intégrité
non autorisées mais sans intention de du système d’information.
nuire.
Fraudes entraînées par l’exploitation Pertes d’exploitation et financières,
intentionnelle des absences de contrôle du Remise en cause de la réputation de
système d’accès aux ressources logiques. l‘entreprise.
Chantage sur le contenu des informations Remise en cause de la réputation de
accessibles en mode lecture. l’entreprise ;
Infraction à la loi informatique et libertés.
Oui No Commentaires et
Questions n1 renvoi aux feuilles de
travail
1- Existe-t-il une stratégie de la sécurité des accès
logiques dans l’entreprise ?
2- Cette stratégie a-t-elle été développée par une
1
Lorsque la réponse non, il convient de procéder au travail suivant :
- identifier le risque et son impact sur la fiabilité des applications ;
- Proposer les recommandations pour l’élimination de ce risque.
équipe pluridisciplinaire se composant
d’informaticiens et d’utilisateurs ?
3- Cette stratégie a-t-elle été développée selon un
processus cohérent :
-Etude de faisabilité,
-Etude fonctionnelle,
-Programmation et tests,
-Mise à l’essai des utilisateurs en mode non
bloquant
-Mise en place définitive ?
4- cette stratégie est-elle périodiquement révisée
au fur et à mesure de l’évolution de la
configuration et/ou de la structure du système
d’information ?
5- Cette stratégie est-elle mise en œuvre et
supervisée par un gestionnaire de la sécurité
suffisamment indépendant de la fonction
informatique ?
PROCEDURE ET PREVENTION
6- Les fichiers programmes sensibles sont-ils
stockés hors site en dehors des périodes de
traitement.
7- Pour les systèmes fonctionnant sous SGDB,
est-ce que les gestionnaires de base de données
ne transfèrent aux programmes que les éléments
strictement nécessaires :
- Vue logique ?
- Eléments du dictionnaire ?
8- Les ressources logiques, y compris les
commandes et les programmes utilitaires,
auxquelles peuvent accéder les professionnels de
l’informatique par terminaux ou consoles sont-
elles affectées en accord avec les règles de
séparation des fonctions nécessaires à un bon
contrôle interne ?
MICRO-ORDINATEUR
15- Les micro-ordinateurs ayant accès à l'unité
centrale, sont-ils soumis à des règles de sécurité
suffisantes, lorsqu'ils peuvent lire ou mettre à jour
les ressources logiques ?
RISQUES CONSEQUENCES
Destruction partielle ou totale des actifs Remise en cause de la pérennité ;
informatiques, entraînant une rupture dans Perte d’une partie de la clientèle ;
la continuité des traitements. Perte d’exploitation ;
Perte financière ;
Réinvestissement, si l’entreprise est son
propre assureur, des actifs informatiques.
Remise en cause de la réputation de
Chantage sur le contenu confidentiel d’un l’entreprise ;
support magnétique volé. Infraction de la loi informatique et des
libertés.
Transfert d’informations commerciales et Remise en cause de la compétition
techniques à la concurrence. commerciale et technique avec des
concurrents.
Installation défectueuse du système Remise en cause de la fiabilité des
électrique et de la climatisation. traitements de l’intégrité des données.
Mise en cause de la responsabilité du chef
Non-respect des règlements relatifs à la d’entreprise ;
sécurité Non-versement des indemnités par les
assureurs pour non-conformité aux normes.
Des causes de nature très différente sont la source des risques présentés. L’origine
de ces dommages peut être interne à l’entreprise, comme le feu, ou externe, comme
le sabotage. Les causes des dommages sont également regroupées par catégories :
- Accès physique aux actifs de l’informatique non contrôlés ;
- Incendie ;
- Dégâts des eaux ;
- Installation ou fonctionnement défectueux du système de climatisation ;
- Alimentation ou fonctionnement défectueux du système de climatisation ;
- Alimentation électrique défectueuse ;
- Mouvements sociaux
Une alimentation électrique et/ou le fonctionnement défectueux de la climatisation
peuvent être la cause d’une atteinte à l’intégrité du système d’information (perte
d’informations, modifications, modification du contenu des mémoires, impressions de
résultats de calculs erronés, destructions des supports d’informations).
Des mouvements sociaux déclenchés soit à la suite d’une grève, soit à la suite d’un
mouvement (campagne contre une entreprise polluante, par exemple) peuvent être
la cause d’une action de vengeance sur les actifs informatiques.
Décrire le système :
…………………………………………………………..
…………………………………………………………..
…………………………………………………………..
…………………………………………………………..
9. La gestion du système retenu est-elle satisfaisante
pour traiter les problèmes suivants :
-Vol ?
- Démission, licenciement ?
- Changement périodique des codes ?
10. Le système de protection des accès physiques
assure-t-il une protection 24 heures sur 24 par des
procédés d'alarme ou de gardiennage ?
11. Les ressources physiques de la fonction
informatique sont-elles installées dans des locaux
difficiles d'accès ?
12. En cas de crise (mouvements sociaux, par
exemple, les accès aux locaux informatiques
peuvent-ils être fermes rapidement ?
INCENDIE
13. L'entreprise a-t-elle pris des mesures préventives
au moment de l'implantation des ressources
physiques informatiques ?
14. L’entreprise a-t-elle mis en place un système de
détection :
- détecteur de fumée ?
- détecteur de chaleur ?
15. L’entreprise a-t-elle des moyens de combattre
l’incendie en réduisant au maximum les dégâts ;
- CO²
- gaz halon
16. Existe-t-il des instructions incendie suffisamment
connues du personnel informatique :
- interdiction de fumer ?
- volume de papier maximal acceptable à la salle
machine ?
- Nettoyage périodique, y compris dans les faux
planchers ?
- actions à suivre en cas d’incendie ?
- etc. ?
PROCEDURE DE SAUVEGARDE ET DE
RESTAURATION ?
22- Existe-t-il des procédures formalisées de
sauvegarde et de restauration ?
23. Les procédures de sauvegarde sont-elles
adaptées aux besoins de l’entreprise ?
24. La périodicité des sauvegardes est-elle adaptée
aux besoins de l’entreprise ?
25. Pour les applications considérées comme vitales
est-il procédé à une duplication des sauvegardes ?
26. Un historique suffisant des jeux de sauvegarde
est-il conservé ?
27. Existe-t-il des procédures de stockage de
sauvegarde hors site ?
28. Le stockage hors site est-il en dehors des locaux
de la fonction informatique ?
29. Le stockage hors site est-il des consignes
suffisamment précises pour mettre en œuvre
correctement les restaurations ?
30. L’exploitation a-t-elle des consignes suffisamment
précises pour mettre en œuvre correctement les
restaurations ?
31. Les procédures de sauvegarde et de restauration
font-elles l’objet d’un contrôle périodique a posteriori
par l’audit interne et/ou le gestionnaire de la
sécurité ?
PROCEDURE DE REPRISE ET DE PLAN DE
SAUVEGARDE
PROCEDURE DE REPRISE
Risques Conséquences
Organisation insuffisante ou inappropriée Remise en cause de l’intégralité du système
pour prévenir : erreurs- fraudes- chantages d’information ;
-atteinte à la confidentialité- destruction Pertes d’exploitation et financière ;
partielle, ou totale, des ressources Remise en cause de la continuité de
physiques et/ou logiques. l’exploitation ;
Remise en cause de la réputation et de la
concurrence.
Un accès contrôle à la
documentation ? Un accès
contrôle aux supports ?
ALLOCATION DE RESSOURCES
11. Existe-t-il des procédures
d'allocation des ressources
permettant de prévenir les incidents
?
EXECUTION
12. Les activités de l'exploitation sont-
elles enregistrées :
- Application par
application ? - A chaque
incident ?
CONTROLE DE L'EXECUTION
13. La cellule contrôle a-t-elle mis en
place des procédures suffisantes de
contrôle sur l'exhaustivité des
traitements ?
14. Les procédures de distribution des
informations produites par la
fonction informatique sont-elles
adéquates eu égard aux spécificités
de l'entreprise ?
SUPERVISION DE L'EXECUTION
15. Le journal console, ou un produit
programme complémentaire, est-il utilisé
à des fins de contrôle a posteriori :
Temps d'exécution ?
L'utilisation des
programmes ? -
L'utilisation des fichiers ?
Contrôle des traitements
finissant anormalement ?
GESTION DE LA MAINTENANCE
A. Contrôles programmes
♦ MODES DE TRAITEMENT :
Traitement par lots :
Le traitement par lots est défini comme étant le traitement suivant lequel les
programmes à exécuter ou les données à traiter sont groupés par lot. La
caractéristique essentielle des traitements par lots est que la mise à jour des fichiers
n’est pas immédiate.
Pour mettre à jour un ou des fichiers, il faut procéder successivement à la réalisation
des phases de saisie, de validation, de recyclage des anomalies et finalement de
mise à jour.
En raison du caractère séquentiel de ce mode de traitement, le chemin de révision
est généralement facile à suivre pour l’auditeur.
En ligne avec transfert *Insuffisance de contrôle sur transfert des *Traitement incomplet
par télécommunication données par télécommunication ou inexact
*Dégradation de
l'intégrité du système
d'information
*Insuffisance des procédures de *Traitement incomplet
recyclage des anomalies
4- Traitement de mise à *Insuffisance des procédures
jour d'autorisation
*Insuffisance des procédures de contrôle *Traitement inexact
de l'exécution
*Dégradation de
l'intégrité du système
d'information
C. Objectifs d’audit
Ces objectifs sont présentés sous forme de questions auxquelles il faut répondre.
Objectif d’existence :
Toutes les données saisies et traitées sont-elles réelles ?
Objectif d’exhaustivité :
Toutes les données saisies sont-elles enregistrées et traitées ?
Objectif d’évaluation :
Toutes les données saisies et traitées sont-elles correctement évaluées ?
Objectif de comptabilisation :
Toutes les données enregistrées sont-elles correctement comptabilisées ?
D. PROCÉDURES programmées de contrôle répondant aux objectifs
d’audit
♦ DÉVELOPPEMENT_DES_PROCÉDURES PROGRAMMÉES DE
CONTRÔLE :
La stratégie ou la philosophie de contrôle d’un système ou d’une application doit être
développée au moment de l’analyse fonctionnelle avec une implication suffisante des
utilisateurs. La participation des utilisateurs se justifie pour deux raisons
essentielles :
• Les utilisateurs sont responsables de l’exactitude et de
l’intégrité des données , la fonction informatique étant responsable de la bonne
exécution des traitements demandés et approuvés par les utilisateurs ;
• Les informations ont une tendance naturelle à ne programmer
que les contrôles indispensables sur le plan technique comme la vérification des
zones numériques par exemple ;
• Les systèmes en temps réel notamment ceux sous SGBD
entraînent une migration des contrôles du fait qu’une donnée partagée entre
plusieurs services fait l’objet d’une validation commune.
Dans cette approche, le choix parmi les contrôles possibles est réalisé en fonction
des coûts, des performances attendues, des besoins de sécurité…
e- Conclusion :
Les contre-mesures suivantes sont généralement proposées par les auditeurs :
Renforcement des contrôles de validation ;
Renforcement des contrôles sur les applications sensibles ;
Procédures d’analyse sur les écarts d’inventaire ;
Procédures d’analyse de la vraisemblance des résultats ;
Procédures de gestion rigoureuses dans le centre informatique.
E. PRÉSENTATION de la méthodologie
♦ 6ÈME ÉTAPE : TESTE SUR LES DONNÉES ET/OU SUR LES SOLDES
DES COMPTES
L’objet de ces tests est de déterminer si l’application a généré des erreurs et si ces
erreurs ont un impact significatif sur les états financiers. Ces tests peuvent être
conduits manuellement ou en utilisant les possibilités offertes par les techniques de
l’informatique. Le choix de ces deux natures de tests est fonction :
de la population des données ;
de l’importance et de la complexité des informations à traiter ;
de l’existence, ou non, d’un chemin de révision sur support-papier ; l’auditeur
doit prendre en compte le fait que dans les systèmes informatiques complexes
et très intégrés le chemin de révision prend souvent la forme de support
magnétique.
L’auditeur avant d’identifier les risques spécifiques de l’application, dans les feuilles
d’analyse des contrôles, établit pour les principaux modules un diagramme du circuit
de l’information accompagné d’un narratif.
Factures
Bordereaux Tables
Etc. d’accès
Contrôle
profils
d’accès
Tables
Taux
TVA
Tables
Taux de
change
Bons de
Fichiers :
récep- Validation Ecritures
enregistrement ECJ comptables de la
journée
tion
Fichiers
Fournis-
seurs
Plan de
comptes
COMPTABILITE
FONCTION INFORMATIQUE FOURNISSEURS
EC
J
Rapport de
SAUVEGARDE Contrôle N°1
Bande de
sauvegarde Eclatement
des
écritures
Rapport de
Contrôle N°2
EC
FA
G
F
F
A
F
Fonction
informat
ique
F F F
A A A
F F F
trié Livres trié trié
auxiliaires
fournisseu Ecritures du
mois (j-1)
rs (j-1)
Livres
auxiliaires
fournisseurs Ecritures du
(j) mois (j)
* Tri 1 : Par N° de
fournisseur
* Tri 2 : Par N° de journal
* Tri 3 : par N° de compte
et de journal
Narratif comptabilité achats- fournisseurs : journalisation par lots
Ecritures
du mois
Tri
Sur N°
Compte
Totalisation
Date du mois clôturé par N°
FONCTION
compte INFORMATIQUE
Livres Grand
auxiliaires Livre
Mois m mois m
A- Evaluation préliminaire
Sur la base des informations reportées sur les feuilles d’analyse des contrôles,
l’auditeur a conclu que les procédures de contrôles ne remplissaient que les
objectifs d’audit.
Objectif d’exhaustivité :
il n’y a pas de procédures permettant de s’assurer que toutes les factures de
services sont bien enregistrées.
Il n’y a pas de procédures suffisantes permettant de s’assurer que toutes les
factures des services sont bien enregistrées dans la bonne période.
Sous-objectifs d’imputation : il n’y a pas de procédures suffisantes permettant
de s’assurer que les factures (quelle que soit leur nature) sont imputées dans
les bons comptes de charges et d’immobilisations.
Bordereau Table
d’accès
CICS
Contrôle profil
d’accès
Validation
et
mise à jour
Fichiers
fournis-
seurs
C- Fichiers fournisseurs
Contenu :
Nom et adresse
Mode de paiement
Marocain ou étranger
Code fiscal, code devise
Fournisseurs : immobilisations, matières premières, autres
Numéro de compte
Date de création et de mise à jour.
Conclusion
A- Evaluation préliminaire
Sur la base des informations reportées sur les feuilles d’analyse des contrôles, l’audit
a conclu que les procédures de contrôle étaient de nature à satisfaire les objectifs
d’audit.
B- Plan d’approche de l’audit
En prenant pour base les conclusions de l’évaluation préliminaire, l’auditeur a
développé le plan d’approche de l’audit présenté ci-dessous :
Test de vérification du fonctionnement des contrôles :
Examen de l’édition des tables d’accès CICS aux transactions
Observation par sondage du fonctionnement et de la justification des contrôles
Saisie des données par l’auditeur (jeux d’essai).
VI. Les techniques de contrôle basées sur l’informatique
♦ AVANTAGES ET LIMITES :
La limitation du risque grâce à la possibilité d’effectuer une ou plusieurs analyses
exhaustives et cela sans porter atteinte au facteur temps. Au contraire l’outil
informatique a permis à l’auditeur d’économiser le temps et donc de minimiser les
coûts par le biais de l’automatisation des travaux, qui normalement étaient effectués
de manière manuelle.
Mais ceci n’est valide que si l’auditeur possède l’aptitude à manipuler correctement
l’outil informatique, ce qui présente déjà une limite. Mais ce n’est pas tout, car
l’utilisation de l’informatique nécessite au départ des dépenses colossales quant à
l’achat de matériel nécessaire et des progiciels sans lesquels l’auditeur ne peut pas
profiter intégralement du matériel qu’il possède. Il faut ajouter à cela les nombreux
tests pour s’assurer de la fiabilité des programmes utilisés.
B. Techniques_de_l’audit informatique
♦ JEUX D’ESSAIE :
• Définition et application :
Cette méthode consiste à introduire au programme déjà existant des informations
réelles et de suivre après, le cours des traitements effectués puis, d’analyser les
résultats obtenus.
Généralement ces jeux permettent de vérifier les programmes du centre
d’informations, la logique des traitements et les routines de calculs particulières
(calculs d’intérêts, d’amortissements…).
• Avantages :
simples d’utilisation
ne demandent pas de compétences particulières en informatique
• Limites :
Non-adéquation aux programmes complexes
lourdeurs des précalculs
inadaptation aux vérifications de longue durée
• Dans la même rubrique on signale l’existence de jeux d’essai standards qui
contrairement aux précédents visent surtout à tester le programme face à des
situations courantes, d’où l’appellation « standards ».
• Avantages :
une qualification réelle des anomalies détectées
• Limites :
difficultés particulières dans la mise en œuvre des tests, à cause des calculs
colossaux et des formules complexes à utiliser pour la création de ces
programmes
compétences particulières en informatiques pour écrire et analyser ce type de
programme (langages de programmation)
mise en œuvre assez longue et utilisation délicate.
Le choix entre les tests s’avère difficile, il est cependant recommandé d’opter pour
ceux qui restent simples mais adéquats évidemment à l’objectif même de ce test.
a- Planification :
Le fait d’utiliser des fichiers, de même que les moyens informatiques de l’entité
contrôlée imposent de nouvelles contraintes au niveau de la planification de
l’intervention de l’auditeur :
• Une étude préalable doit être effectuée à partir des connaissances déjà
acquises sur le système lors de l’étude du contrôle interne Cette étude
permettra de déterminer :
La faisabilité des travaux envisagés en fonction de la compatibilité des matériels
face aux outils disponibles, de la structure des informations gérées dans le
système et des délais impartis ;
Une première estimation de la charge nécessaire en temps/homme, qui ne peut
être déterminée que par un auditeur ayant une expérience suffisante de ce
type de travaux.
• La détermination des fichiers à utiliser, après étude de leur rotation ( nombre
de générations conservées, durée de conservation) conduit à demander à
l’exploitation des archivages spécifiques de sauvegardes, des copies
complémentaires, des modifications dans les cycles de rétention, voire des
changements dans la définition de la nature de certains fichiers, etc . L’auditeur
doit procéder à cet examen suffisamment tôt pour ne pas courir le risque, à la
date d’intervention, de se retrouver devant une absence des fichiers qu’il
s’apprêtait à contrôler.
• L’évaluation des charges de temps machine et des contraintes de disponibilité
des « périphériques », afin de pouvoir prévoir, avec le service exploitation, une
disponibilité suffisante des ressources.
L’exécution préalable de ces tâches permet l’élaboration d’un planning réaliste (si
possible prévoyant la souplesse nécessaire, pour tenir compte des aléas non
planifiables : pannes, difficultés imprévues). Dans le cas de travaux répétitifs, d’un
exercice à l’autre, ce planning sera évidemment beaucoup plus facile à définir.
b- Obligation de résultat :
Si l’essence même des travaux de l’auditeur repose sur une obligation de moyens, il
n’en est pas de même au niveau des tests informatisés qui impliquent une obligation
de résultat : un programme, même prêt à 99%, n’est pas opérationnel et risque alors
de bouleverser toute l’organisation d’une mission basée sur les travaux
informatiques. Ce point, évident a priori, n’est pas toujours suffisamment bien perçu.
♦ ORGANISATION :
L’organisation porte sur la mise en œuvre des phases suivantes :
• Détermination des objectifs : Elle doit être claire et précise, surtout si l’auditeur
confie à un auditeur spécialisé la mise en œuvre de tests informatisés. En
particulier, la notion de date à laquelle les informations doivent être analysées
est fondamentale. Les termes utilisés doivent être définis avec précision pour
éviter toute confusion, ce qui sous-entend que l’auditeur doit bien connaître le
système à contrôler.
• Estimation du coût : quelquefois difficile à déterminer à priori, cette estimation
est indispensable pour pouvoir faire le choix entre travail manuel et tests
informatisés. Ce coût peut être éventuellement « lissé » sur plusieurs
interventions pour aboutir à un coût acceptable par intervention.
• Analyse des objectifs : la détermination des informations à collecter pour
répondre aux objectifs se fait par entretien avec les responsables des
applications et par analyse de la documentation existante.
• Une difficulté fréquemment rencontrée est liée à la méconnaissance de la part
des services informatiques des fichiers utilisés, en particulier dans les cas
d’informatique distribuée ou d’utilisation de progiciels standard. L’analyse
aboutit à un « mini-cahier des charges » détaillé, qui est discuté avec l’auditeur,
généraliste responsable de la certification des états financiers. De plus, les états
fournis doivent être un support de travail pour les auditeurs. A ce titre ils doivent
être compréhensibles et organisés en fonction de leur exploitation ultérieure :
Séquence de tri
Totalisations
Rupture
Saut de page
Afin de pouvoir intégrer plus facilement les résultats dans les dossiers, il est
possible d’y indiquer une référenciation et de prévoir des colonnes vierges
pour un dépouillement ultérieur.
• Développement : Le développement des programmes, basé sur l’analyse, doit
être organisé pour que les travaux soient clairs, compréhensibles et
suffisamment simples. Suivant le cas, des tests préalables devront être montés,
ce qui suppose la constitution de jeux d’essai ou l’utilisation de fichiers d’essai
préexistants.
• Mise en œuvre : elle concerne l’exploitation des programmes avec les fichiers
réels. En règle générale, un accord est préalablement pris avec l’exploitation, en
particulier si des montages de bandes doivent être effectués.
• Dans le cas d’enchaînements de travaux, il sera nécessaire de décrire ces
derniers sur les formulaires généralement utilisés par l’exploitation pour les
demandes de travaux exceptionnels, ceci afin d’éviter les erreurs et d’obtenir les
résultats dans les délais souhaités.
Un contrôle formel doit être effectué dès l’obtention des résultats par rapport à des
éléments connus : totalisation, nombre d’enregistrements, données d’exception déjà
repérées manuellement, afin de s’assurer d’un premier niveau de validité des tests.
Un contrôle plus fin devra être effectué ensuite par rapport aux données
mentionnées dans les états de l’entreprise. Si des différences apparaissent, elles
doivent être totalement expliquées, ce qui peut nécessiter des tests
complémentaires, avant de pouvoir accorder un niveau de confiance suffisant aux
travaux effectués par l’auditeur.
♦ DOSSIER DE TRAVAIL :
Pour l’ensemble des tests informatisés, il est nécessaire de constituer un dossier
spécifique dont le contenu devra comprendre, pour un test donné :
• Le rappel des objectifs du test, avec les paramètres utilisés, par exemple :
Le niveau de confiance, la précision, le taux d’erreurs retenues pour un
échantillonnage, et les méthodes préconisées ;
Le calcul d’un prix moyen pondéré, etc.
• Le diagramme des traitements, avec les noms des programmes utilisés, des
fichiers lus et créés et l’indication des volumes nécessaires pour les charger.
Lorsque des programmes de tri sont utilisés, la mention des critères de tri est
également indiquée.
• Les dessins de fichiers, sous forme traditionnelle ou sous description
informatiques. Si des fichiers intermédiaires sont créés, leur description est
également mentionnée dans le dossier.
• Les descriptions de programmes, soit sous forme de narratif, soit, ce qui est
plus efficace, sous forme de commentaires détaillés dans les programmes,
facilitant ainsi leur mise à jour.
• Les ordres de contrôle
• Les programmes sources ou les paramétrages (utilitaires, progiciels d’audit).
• Les états obtenus ou une copie de feuillets significatifs. Le cas échéant, il est
nécessaire d’expliciter certaines colonnes.
• Les moyens de contrôle mis en œuvre pour s’assurer que :
L’on a traité le bon fichier ;
Le fichier a été intégralement traité ;
Le test utilisé a bien fonctionné.
• La liste des bibliothèques utilisées, avec leur contenu. Si, à la fin des travaux,
les programmes ont été sauvegardés sur un support magnétique, ce qui est
vivement recommandé, le dossier fait mention du support, de son organisation,
de son identification et des outils nécessaires pour son rechargement.
• Le descriptif des manipulations nécessaires pour :
Développer les programmes (fonctionnement de l’éditeur, création des
bibliothèques, affectation de supports magnétiques),
Visualiser ou éditer le contenu des états obtenus,
Soumettre les travaux
• Pour chaque test est mentionnée la conclusion tirée des résultats.
Eventuellement, un paragraphe reprend les points à améliorer ou à développer
pour l’audit suivant.
En conclusion, le dossier doit être suffisamment développé pour permettre le
contrôle et la supervision des travaux effectués, et pour assurer la continuité des
travaux sur l’exercice suivant.
L’organisation de la mise en œuvre des tests informatisés demande de la part de
l’auditeur de l’expérience, de la compétence et de la prudence. Par un juste retour
des choses, l’auditeur doit s’imposer une rigueur comparable à celle qu’il exige des
entités contrôlées en matière de développement de système, notamment en ce qui
concerne la documentation et les contrôles sur la fiabilité des informations produites.
VII. SYSTÈMES experts et audit
A. PRÉSENTATION
On peut constater ces dernières années un intérêt soutenu porté aux systèmes
experts dans le processus d’informatisation et de bureautisation des travaux d’audit
et de conseil. Ce sujet est abordé en trois parties :
situer les systèmes experts dans leur environnement plus global de l’intelligence
artificielle et des ordinateurs.
Présenter les principales caractéristiques des systèmes experts ainsi que leurs
modalités de développement.
Décrire les principales caractéristiques des systèmes experts disponibles ou
projetés dans le domaine de l’audit.
B. L’environnement_des_systemes experts
♦ L’INTELLIGENCE ARTIFICIELLE :
On peut la définir comme la science qui construit un modèle de fonctionnement basé
sur le fonctionnement intellectuel de l’Homme. Elle comporte d’ores et déjà de
nombreuses branches et des secteurs à niveau de développement inégal.
♦ LA CONNAISSANCE :
C’est la représentation symbolique des objets du monde extérieur et les relations qui
les lient.
L’intelligence symbolique attachera une importance capitale au traitement
d’informations telles que des expressions mathématiques ou des connaissances
descriptives.
♦ DÉFINITION :
Un système ‘expert est un produit qui vise à résoudre des problèmes en suivant un
raisonnement déductif. L’une des applications les plus connues réside dans l’aide au
diagnostic aux forages pour la recherche pétrolière, la détection des pannes dans les
systèmes informatiques, l’aide à l’interprétation des dispositions fiscales et au conseil
fiscal ; l’appréciation du contrôle interne dans les missions d’audit.
EXPERT
Base de connaissances :
Règles
Métarègles
Moteur
d’inférence
Base de frais :
Données.
Description problème
Utilisateur
L’audit dans un cadre informatisé a suscité des exigences nouvelles pour l’auditeur.
Elles sont à la mesure des attentes des responsables des entreprises. Déjà
aujourd’hui, encore plus demain.
IX.Bibliographie
Intitulé du Livre Auteur(s) Edition
Le contrôle interne des • S. YABLONSKY EDITIONS DE L’USINE
systèmes informatiques • K.L.MYRA NOUVELLE