Académique Documents
Professionnel Documents
Culture Documents
Audit Que PDF
Audit Que PDF
PAR
M. Abdelilah TOURY
MEMBRES DU JURY
Prsident :
Directeur de Recherche :
Suffragants :
M. Mohamed ELMOUEFFAK
Enseignant et Directeur des tudes de LISCAE
Novembre 2003
M. Abdelaziz AL MECHATT
Expert-Comptable DPLE
M. Fawzi BRITEL
Expert-Comptable DPLE
M. Larbi KZAZ
Enseignant LISCAE
Mai 2006
REMERCIEMENTS
Je tiens remercier toutes les personnes qui ont particip la ralisation de ce travail.
Lensemble des enseignants lISCAE, pour la qualit de la formation quils mont assure
aussi bien pendant les quatre annes du Cycle Normal que pendant les trois annes du Cycle
dExpertise Comptable ;
PARTIE I :
LA COMPREHENSION DU CADRE GENERAL DE LA FONCTION INFORMATIQUE : UN
PREALABLE NECESSAIRE POUR LA REALISATION DES MISSIONS DAUDIT
INFORMATIQUE
TITRE 1 :
LENVIRONNEMENT ET LORGANISATION DE LA FONCTION INFORMATIQUE
10
10
22
32
32
37
46
49
TITRE 1 :
LE PROCESSUS DE LAUDIT INFORMATIQUE DANS LE CADRE DES MISSIONS DAUDIT
FINANCIER ET COMPTABLE
CHAPITRE 1 : PRESENTATION DE LA DEMARCHE DE LAUDIT INFORMATIQUE DANS LE
CADRE DES MISSIONS DAUDIT FINANCIER ET COMPTABLE
CHAPITRE 2 : LAUDIT DE LA FONCTION INFORMATIQUE (CONTROLES GENERAUX
INFORMATIQUES)
CHAPITRE 3 : AUDIT DES APPLICATIONS INFORMATIQUES
TITRE 2 :
PROCESSUS DE LAUDIT DANS LE CADRE DAUTRES MISSIONS DAUDIT
INFORMATIQUE
CHAPITRE 1: PROPOSITION DUNE APPROCHE DAUDIT DE LA MISSION CONNEXE DU
COMMISSAIRE AUX COMPTES RELATIVE A LEXAMEN DU DOSSIER FINANCIER
CHAPITRE 2: PROPOSTION DUNE METHODOLOGIE DAUDIT DE LA SECURITE
INFORMATIQUE
CONCLUSION DE LA DEUXIEME PARTIE
CONCLUSION GENERALE
BIBLIOGRAPHIE
PLAN DETAILLE
LEXIQUE DU SYSTEME DINFORMATION
ANNEXES
48
50
50
60
72
87
88
93
100
101
105
109
113
122
INTRODUCTION GENERALE
1.
1.1
les
1.2
Cest ainsi que les dirigeants des entreprises sorientent de plus en plus vers des
systmes ouverts, modulaires, axs sur les besoins des clients et permettant la
couverture de lensemble des besoins de lentreprise.
2.
3.
3.1
Problmatique du mmoire
Les systmes informatiques induisent des risques spcifiques que lauditeur doit
prendre en considration dans sa dmarche daudit.
En effet, le recours aux technologies de linformation saccompagne inluctablement
de nouveaux risques, parmi lesquels nous pouvons citer :
Louverture des systmes dinformation aussi bien en interne travers les outils
dIntranet quen externe travers lInternet ;
3.2
Objectifs
Prsenter une mthodologie claire permettant daider les professionnels effectuer des
missions daudit informatique ;
Permettre aux auditeurs financiers de comprendre les risques lis aux systmes
informatiques et de se familiariser avec la dmarche de lauditeur informatique devant
leur permettre dutiliser les rsultats de ces travaux dans leur approche daudit
financier.
4.
Dmarche adopte
Elle consiste prsenter une mthodologie pour la conduite des missions daudit
informatique, en mettant en vidence les bonnes pratiques en matire de contrle des
systmes dinformation, ainsi que les guides permettant la ralisation de ce type de
mission notamment des guides spcifiques.
Un plan structur
Le plan de ce mmoire sarticule autour de deux grands volets :
1re partie : La comprhension du cadre gnral de la fonction informatique : Un
pralable ncessaire pour la ralisation des missions daudit informatique
La prsentation des objectifs, des spcificits, des composantes, des phases et des
outils de la dmarche daudit informatique.
Il y a lieu de noter que nous avons joint en fin du prsent mmoire, un lexique des
principaux termes informatiques utiliss. Par ailleurs, nous tenons prciser
quactuellement les systmes dinformation des entreprises sont gnralement
informatiss. Ce sont ces systmes automatiss auxquels nous faisons rfrence dans
le prsent mmoire. Les termes souvent utiliss dans notre tude sont soit les systmes
informatiques, soit les systmes dinformation (SI).
PARTIE I
LA COMPREHENSION DU CADRE GENERAL DE LA
FONCTION
INFORMATIQUE :
UN
PREALABLE
NECESSAIRE POUR LA REALISATION DES MISSIONS
DAUDIT INFORMATIQUE
TITRE 1 :
LENVIRONNEMENT ET LORGANISATION DE LA FONCTION
INFORMATIQUE
1.
1.1
10
1.2
2.
2.1
Compte tenu de leur caractre stratgique, la fonction informatique doit jouer un rle
central dans le pilotage et la gestion des systmes dinformation. Elle doit notamment,
assurer lalignement de la stratgie informatique avec celle de lentreprise.
11
2.2.1
12
Quelque soit la structure adopte par lentreprise pour cette fonction, deux activits
principales nanmoins doivent tre assures savoir :
a-
b-
une division ou service exploitation en charge des travaux d'exploitation des systmes
de production,
c-
d-
Le service tlcommunication ;
13
2.2.2
2.3
Principes de gestion et de contrle interne relatifs lorganisation de la
fonction informatique
Avant daborder les principes du contrle interne relatif lorganisation de la fonction
informatique, il est utile de rappeler ceux relatifs au contrle interne des organisations
dune manire gnrale.
14
2.3.1
Les oprations sont enregistres de telle faon que les tats de synthse qui en
dcoulent soient rguliers et sincres et donnent une image fidle du rsultat de
l'exercice, de la situation financire et du patrimoine de l'entreprise (contrles internes
fiables lors du traitement des donnes et de l'laboration des tats de synthse) ;
Les actifs de l'entreprise sont sauvegards (sparation des tches, contrle physique
sur les actifs, service d'audit interne, assurances, etc.) .
15
En France :
La norme 2.301 du CNCC (Conseil National des commissaires aux comptes) a dfini
le systme du contrle interne comme lensemble des politiques et procdures mises
en uvre par la direction dune entit en vue dassurer dans la mesure du possible la
gestion rigoureuse et efficace de ses activits. Ces procdures impliquent le respect
des politiques de gestion, la sauvegarde des actifs, la prvention et la dtection des
irrgularits et inexactitudes, lexactitude et lexhaustivit des enregistrements
comptables et ltablissement en temps voulu des informations financires ou
comptables fiables. Le systme de contrle interne sentend au-del des domaines
directement lis au systme comptable. Il comprend lenvironnement gnral du
contrle interne et les procdures de contrle .
Dfinition du contrle interne selon le modle COSO :
Le modle COSO (Committee of Sponsoring Organizations) dfinit le contrle interne
comme suit :
Globalement le contrle interne est un processus mis en uvre par la direction
gnrale, la hirarchie, le personnel dune entreprise et destin fournir une assurance
raisonnable quant la ralisation dobjectifs entrant dans les catgories suivantes :
o Ralisation et optimisation doprations ;
o Fiabilit des informations financires ;
o Conformit aux lois et rglements en vigueur .
Ce modle distingue cinq niveaux de contrle qui permettent datteindre les objectifs
du contrle interne cits ci-dessus. Ces niveaux sont rsums comme suit :
Niveau 1 : Lenvironnement de contrle
Il constitue la base des autres lments du contrle interne. Il est dtermin par
lattitude et le comportement des dirigeants vis--vis du contrle interne. Il couvre les
domaines suivants :
o Lintgrit, lthique et la comptence du personnel ;
o Les responsabilits et les dlgations du pouvoir ;
o La politique des ressources humaines.
16
Les contrles de pilotage de lactivit : Ils comprennent les analyses effectues par le
management et les indicateurs de performance et de gestion lis aux activits de
lentreprise.
Les contrles dapplication: Ils comprennent les contrles de traitement des donnes,
les contrles physiques, la sparation des tches et les confirmations externes.
Niveau 4: Information et communication
Linformation revt une importance capitale dans la mesure o sa qualit influence
directement le processus de prise des dcisions et des contrles effectus.
En effet, afin de permettre au personnel dassumer ses responsabilits, le management
doit mettre sa disposition des informations fiables et pertinentes.
Par ailleurs, la communication aussi bien interne quexterne devra tre suffisante et de
qualit.
Niveau 5: Pilotage
Le management devra mettre en place des mcanismes et des outils de pilotage des
activits de contrle de faon garantir son fonctionnement permanent ainsi que son
alignement par rapport aux objectifs et aux risques de lentreprise. En outre, il y a lieu
de procder priodiquement lvaluation du contrle interne (auto-valuation, audit
interneetc.).
17
Dans le contexte actuel, la mise en place dun systme de contrle interne est une
obligation lgale qui incombe aux dirigeants de lentreprise. En effet, ces derniers
doivent dfinir leurs objectifs, identifier les risques du business et mettre en place un
systme de contrle interne. Le modle COSO permet de dcrire les composantes dun
bon systme de contrle.
Ce modle est devenu la rfrence des cabinets daudit et de plusieurs organismes
professionnels travers le monde. Ainsi, il a t retenu par le lgislateur Amricain
dans la rdaction de la loi Sarbanes oxley (expose dans le chapitre qui suit) comme
un modle de rfrence du contrle interne. Certains cabinets internationaux lont
galement intgr dans leur dmarche daudit pour la documentation du contrle
interne.
2.3.2
informatique
Les rles et les responsabilits des utilisateurs et des informaticiens ne sont pas
clairement dfinis ;
Absence ou non mise jour des guides dutilisation des systmes et des applications ;
18
Le turn over ;
La part de la sous-traitance ;
Les incidents ;
Le degr de satisfaction.
La charte de service
Une charte de service (Service Level Agreement - SLA) est un contrat de service
entre les services informatiques et les utilisateurs. Ce contrat devra tre tabli pour
chacune des prestations assures par la DSI. Il doit galement prvoir les outils de
mesure et de suivi de la satisfaction des utilisateurs, notamment en ce qui concerne :
20
Les applications critiques doivent avoir un support suffisant (au moins deux personnes
ayant une bonne connaissance des systmes) ;
21
CHAPITRE
LENVIRONNEMENT
LEGAL
DES
SYSTEMES
DINFORMATION
Face lvolution technologique et informatique, en plus de la rglementation
existante, de nouvelles dispositions lgislatives sont apparues et de nombreuses
cellules de rflexion ont t cres, ce sujet, dans le cadre dorganismes
professionnels. A cet effet, nous allons essayer , tout au long de ce chapitre, de
comparer les ractions au Maroc par rapport celles dautres pays (dont,
essentiellement, la France).
1.
1.1
Au Maroc
1.1.1
La rglementation comptable
1.1.2
La rglementation fiscale
Les textes relatifs limpt sur les socits (IS), la Taxe sur la valeur ajoute (TVA) et
limpt gnral sur les revenus (IGR) ont impos aux contribuables un certain nombre
dobligations comptables. Ces obligations relatives lorganisation et la conservation
des documents comptables ont pour objectif de permettre ladministration fiscale le
droit de contrle et de communication prvu par la loi.
En effet, les contribuables sont dans lobligation de tenir un certain nombre de livres
comptables quelque soit le systme choisi (systme classique, centralisateur ou
informatique).
22
1.2
En France
2.
23
projets relatifs au domaine informatique et qui peuvent avoir un impact sur les travaux
daudit de la fonction informatique.
La sanction des fraudes informatiques : Les dlits sanctionns vont de laccs non
autoris aux informations la falsification des donnes informatiques ;
3.
Larticle 245 du code des assurances a rendu obligatoire le contrle par les CAC du
Compte Rendu Statistique et Financier prpar par les compagnies dassurance, appel
communment le Dossier Financier et transmis la Direction des Assurances et de
la Prvoyance Sociale (DAPS).
Le code des assurances na pas dfini ltendue de la mission du CAC relative
lexamen du Dossier Financier . Une commission ad hoc, compose des membres
de lordre des experts comptables et des reprsentants de la DAPS et de la Fdration
des assurances a dlimit la nature et le contenu de cette mission. Ainsi, elle a t
dfinie comme tant une mission connexe de revue du Dossier Financier.
Il y a lieu de souligner que cette mission connexe du CAC est en train dtre redfinie
afin de llargir lensemble du dispositif du contrle interne affrent au Dossier
Financier.
3.2
Circulaire n 6/G/2001 de Bank Al Maghrib relative au contrle interne des
Etablissements de crdit
Afin de renforcer le dispositif du contrle interne des tablissements de crdit, BANK
AL-MAGHRIB a mis la circulaire n6/G/2001. Celle-ci constitue un complment au
contrle prudentiel quantitatif, fond sur les limites de surveillance imposes par les
25
Documentation
Les supports de l'information et de la documentation relatifs l'analyse et l'excution
des programmes doivent tre conservs dans des conditions prsentant le maximum de
scurit contre les risques de dtrioration, de manipulation ou de vol (art 63).
26
3.3
Cette loi vise rassurer les marchs financiers quant la sincrit de linformation
financire. Elle sapplique aux socits cotes aux Etats-Unis. Elle comprend 11
thmes dont :
o La responsabilit d'entreprise,
o L'amlioration de l'information financire.
Elle impose aux dirigeants de nouvelles obligations relatives au contrle interne
affrent au processus de production du reporting financier. Ainsi, lvaluation du
contrle interne par les dirigeants est effectue chaque anne, sous leur responsabilit.
Ils doivent galement certifier que des procdures et des contrles relatifs
l'information publie ont t dfinis, mis en place et maintenus, et que l'efficacit de
ces procdures et de ces contrles a fait l'objet d'une valuation.
Cette valuation doit tre revue par les auditeurs qui doivent produire une attestation
ce sujet.
En cas de non-respect de la loi, des peines sont prvues pouvant aller jusqu' 20 ans
d'emprisonnement et USD 20 millions d'amende.
Afin de rpondre ces nouvelles obligations, les dirigeants doivent mettre en place :
o Un systme de contrle interne,
o Un processus permettant de documenter les procdures de contrle, et dvaluer
leur efficacit et leur fonctionnement, de documenter les faiblesses et enfin de
mettre en place un plan daction visant corriger les faiblesses identifies et
amliorer le dispositif du contrle interne.
3.4
27
impose de nouvelles obligations pour les entreprises et les commissaires aux comptes.
Les principales dispositions de cette loi sont relatives :
o Lindpendance des commissaires aux comptes et la communication sur le
contrle interne ;
o La responsabilit des dirigeants en matire de contrle interne.
Contrairement la loi Amricaine, la LSF na pas clairement dfini le primtre du
contrle interne ni le rfrentiel utiliser pour le documenter.
4 - Les principales positions des organismes professionnels :
Nous allons examiner au niveau de cette section les principales rflexions nationales et
internationales :
Selon la norme 2102 du manuel marocain des normes daudit lgal et contractuel :
L'valuation du contrle interne d'un systme de traitement informatis de
l'information financire est effectue selon une dmarche en deux parties telle que
dcrite ci-dessous :
o l'valuation du contrle interne de la fonction informatique (c'est--dire,
lensemble form par le service informatique et par les utilisateurs dans leurs
relations avec le service) qui a pour objectif de s'assurer que le systme
fonctionne de manire garantir :
.
la protection du patrimoine,
28
La qualit de la documentation ;
LIFAC, qui est une rfrence en matire de normalisation des rfrentiels daudit, a
labor plusieurs normes relatives laudit financier dans un environnement
informatis. Parmi celles-ci, nous pouvons citer :
29
4.2.2 - Les rflexions du Conseil National des Commissaires aux Comptes (CNCC) : En
France
Le CNCC soucieux de la qualit de laudit lgal effectu par les commissaires aux
comptes, a publi plusieurs normes, avis et guides relatifs laudit dans un
environnement informatis. Ces publications ont port sur plusieurs sujets dont
notamment la scurit informatique, le commerce lectronique, lchange des donnes
informatises et linternet.
4.3 - Autres rflexions : ISACA
LISACA (Information system audit and control association) est une association
considre comme le normalisateur de rfrence en matire daudit informatique.
Elle a labor des standards et des guides daudit informatique. Les standards de
lISACA ont port sur la responsabilit de lauditeur, les rgles de son indpendance,
le code de conduite professionnel quil doit respecter lors de ses missions daudit
informatique, ainsi que les connaissances et les comptences quil doit avoir et
maintenir travers la formation continue. Par ailleurs, lISACA a dfini des normes de
travail relatives la planification, lexcution et la finalisation des missions daudit
informatiques.
Elle a galement dvelopp le COBIT qui constitue un rfrentiel international de
gouvernance, de contrle et de laudit de linformation et des technologies associes. Il
a t conu partir des meilleures pratiques mondiales en audit et en matrise des
systmes d'information. Il est destin la fois la Direction dentreprise, aux
utilisateurs et aux auditeurs.
Il comprend quatre domaines : Planification et organisation, acquisition et mise en
place de systmes, distribution et support, surveillance. Ces domaines regroupent 34
processus principaux auxquels correspondent 302 objectifs de contrle.
A travers cette tude sommaire relative au cadre lgal des systmes informatiques,
nous constatons lintressement aussi bien pour les instances lgislatives que les
organismes professionnels.
30
Au niveau des organismes professionnels, nous constatons une mise jour des lignes
directrices des normes daudit. Ceci dnote de limportance de lenjeu pour lexpert
comptable. En effet, ce dernier doit dans sa dmarche daudit effectuer les diligences
ncessaires afin de sassurer du respect des dispositions rglementaires relatives au
domaine informatique.
31
TITRE 2
PRESENTATION DES CYCLES DE VIE DU SYSTEME
DINFORMATION DES RISQUES ET DES CONTROLES Y
AFFERENTS
CHAPITRE
1:
PRESENTATION
DES
CYCLES
DE
VIE
ET
DES
32
1.1
Pour chacune des tapes de chaque phase du cycle de vie dun systme dinformation,
nous allons rsumer les objectifs, la dmarche suivre ainsi que les documents ou
produits issus de ltape :
1.1.2
Phase de dveloppement
Analyse fonctionnelle
Les principaux objectifs de lanalyse fonctionnelle sont de spcifier les solutions retenues
par domaine fonctionnel, obtenir un consensus entre les utilisateurs et les informaticiens
et affiner la charge et le planning de la suite des travaux.
La dmarche suivre comprendrait notamment la description exhaustive et dtaille de la
solution retenue, lorganisation des circuits dinformation et les traitements effectuer
(contrles, calculs, dcisions). A lissue de cette tape, un cahier des charges et des
spcifications fonctionnelles devrait tre tabli.
33
Analyse technique
Les principaux objectifs de lanalyse technique sont la prparation de la programmation,
ltablissement du plan de test et la planification de la programmation.
Durant cette phase, larchitecture des programmes devrait tre dcrite dans des termes
comprhensibles par les informaticiens chargs de la programmation.
A lissue de cette tape, les principaux documents tablir sont : les spcifications
techniques, le dossier de programmation et le plan des tests (Dfinition des phases,
calendrier, responsabilits, standards de documentationetc.).
1.1.2.2 Etape de ralisation des programmes
Le principal objectif de cette tape est de produire le code (programme) et la
documentation associs aux spcifications tout en garantissant les critres de qualit
exigs.
Lors de cette tape, les programmes devraient tre tests (recettes fonctionnelle et
technique) et documents conformment aux standards requis. En outre, il y a lieu
dtablir des guides dinstallation, dexploitation et dutilisation.
Les principaux objectifs de cette tape sont la dfinition de lorganisation des postes et
des procdures de travail, la formation du personnel laccomplissement de ses nouvelles
tches, la transformation des donnes existantes dans le format attendu par les nouveaux
programmes et le lancement de la mise en production des nouveaux programmes.
Lors de cette tape, il y a lieu de dcrire les fonctions des services et des postes de travail
ainsi que les procdures de traitement. Par ailleurs, le plan et les supports de formation
devraient tre prpars et excuts. Enfin, les travaux dordonnancement et les travaux
ncessaires au changement du systme ainsi que leur excution devront tre effectus.
34
A lissue de cette tape, les principaux documents produire sont: les fiches de poste, le
manuel des procdures, le plan de formation et le plan de lancement.
1.1.3
Phase dexploitation
Pour ce faire, il y a lieu de dfinir et mettre en uvre une politique adquate de gestion
des moyens techniques et des incidents dune part, et des procdures documentes
dexploitation des programmes d'autre part.
1.1.4
Phase de maintenance
La dmarche suivre pour la maintenance des programmes est similaire celle des
tapes de dveloppement mentionnes ci-dessus. Il faudrait veiller, lors de cette tape,
la mise jour de la documentation des programmes modifis.
2.
35
Par ailleurs, il existe une panoplie de mthodologies pour concevoir, dvelopper et mettre
en uvre un systme dinformation. Dans le cadre de ce mmoire, nous nallons pas
aborder ces diffrentes mthodes.
36
Pralablement la prsentation des risques lis aux cycles de vie des systmes
dinformation, il est utile de rappeler la dfinition du risque et le facteur de risque.
1.1
Dfinition du risque
Le risque peut tre dfini comme un pril mesurable visant des biens ou des activits
prcis aux consquences conomiques dommageables ( Jacques Charbonnier)
Le risque informatique est dfini comme la possibilit dun vnement provoquant une
rduction de ladquation aux besoins ou de lefficacit/ performance ou de la fiabilit/
scurit ou du niveau de ressources, ce qui pourrait induire la non ralisation dun
objectif de lentreprise ou de lune des fonctions de celle-ci.
1.2
Facteur de risque
Le facteur de risque est une cause de vulnrabilit due une faiblesse du contrle
interne (faiblesse du processus de gestion, absence de politique de scurit, absence de
politique informatiqueetc.). Le risque informatique peut avoir un impact fonctionnel
(consquence sur le fonctionnement du systme dinformation) ou financier.
Dans ce mmoire, le mot risque est utilis par simplification la place de facteur
de risque. Les facteurs de risque ainsi que les mesures de protection proposes pour y
remdier ont t dvelopps dans le mmoire de M.Omar SEKKAT intitul Le rle
37
de lexpert-comptable face aux risques de scurit micro-informatique dans les PME proposition dune dmarche . Comme cela a t demand par le jury qui a valid la
notice du prsent mmoire, nous allons nous limiter rappeler les principaux facteurs
de risque lis au cycle de vie du systme dinformation et aux applications
informatiques.
1.3
1.3.1
38
Faible adquation des solutions dveloppes par rapport aux besoins des utilisateurs;
1.3.4
Les principaux risques associs lexploitation peuvent tre rsums comme suit :
39
1.4
des
informations.
Toutefois,
louverture
des
systmes
sur
La prsentation des bonnes pratiques en matire de contrle interne relatif aux phases
du cycle de vie des systmes dinformation, sera limite principalement aux contrles
usuels et pertinents. Elle couvrira les contrles relatifs aux aspects suivants:
40
Le plan secours.
2.1
Les contrles relatifs au dveloppement et la mise en uvre des
applications informatiques
Afin de mieux piloter les projets informatiques, il est recommand de mettre en place
les pratiques suivantes:
Ltablissement dun budget et des outils permettant le suivi et le pilotage des projets
informatiques;
Une division des phases des projets en des tches bien dfinies avec des points de
contrle de la ralisation de ces tches ;
Limplication des utilisateurs cls dans toutes les phases des projets;
Les besoins des utilisateurs devraient tre suffisamment analyss et pris en compte
dans le dveloppement des projets;
41
2.2
Une revue des modifications: Elle doit tre ralise afin de sassurer quelles ont t
effectues conformment aux standards et aux procdures de contrle interne de
lentreprise ;
2.3
Le choix des solutions en fonction de leur rponse aux besoins de lentreprise, de leur
fiabilit et de la qualit du support fourni par leurs fournisseurs: il y a lieu de
souligner, que ltude des besoins et ltablissement de cahier des charges est un
pralable obligatoire;
42
Les tests techniques et utilisateurs doivent tre effectus avant toute mise en
production des progiciels;
Les utilisateurs doivent tre impliqus dans toutes les phases de lacquisition jusqu
la mise en uvre des progiciels (dfinition des besoins, choix de la solution, mise en
uvre et tests);
2.4
La gestion de lexploitation des systmes importants est normalement assure par des
informaticiens ddis et suivant des procdures dtailles et formalises. En revanche,
lexploitation des petits systmes pourrait tre ralise par un informaticien temps
partiel ou par des utilisateurs suffisamment forms.
En effet, pour les systmes importants, il y a lieu dtablir des procdures dtailles
expliquant toutes les tches des oprateurs. Ces procdures doivent inclure aussi bien
les oprations dexploitation normale que celles relatives la gestion des incidents.
Afin dassurer une gestion efficace des oprations dexploitation, il est vivement
recommand dautomatiser au maximum les oprations dexploitation. Il est noter
que dans le cas o elles seraient automatises, la vrification de leur fiabilit devrait
tre effectue au moment de leur premire mise en uvre.
Afin dassurer une bonne utilisation des systmes, il faudrait notamment, prvoir:
Une formation approprie des utilisateurs. Elle doit inclure des guides et des manuels
relatifs lutilisation des systmes ;
La mise en place dun service de support aux utilisateurs: Ceci est envisag
notamment dans les organisations dune certaine taille. En revanche, dans les
organisations dune taille rduite, lassistance aux utilisateurs est gnralement assure
par le personnel de lexploitation ou du dveloppement des systmes.
2.6
Afin de se prmunir contre les dommages lis aux risques dinterruption des systmes
informatiques, un plan de secours est fortement conseill. Il doit porter sur tous les
lments susceptibles dtre affects par les disasters informatiques. Ce plan inclura
non seulement les oprations lies aux systmes informatiques mais aussi toutes les
fonctions critiques pour la continuit du business de lentreprise.
44
Afin de prparer un bon plan de secours, il faudrait bien identifier les fonctions
critiques du business ainsi que les systmes qui les grent.
Une fois ce plan est tabli, il y a lieu de le tester rgulirement et de le mettre jour
chaque changement des systmes ou des oprations du business.
45
Au cours de cette partie, nous avons expos le rle des systmes dinformation ainsi
que lorganisation de la fonction informatique. Nos propos ont t axs sur les bonnes
pratiques en matire de contrle interne relatif la fonction informatique.
Par ailleurs, nous avons soulign que lvolution, la complexit et louverture des
systmes dinformation sur les partenaires de lentreprise saccompagnent le plus
souvent, par de nouveaux risques. Ces derniers, qui sont lis lenvironnement et
lorganisation de lentreprise, rendent les systmes dinformation vulnrables. En
effet, sils ne sont pas bien encadrs par le dispositif du contrle interne, ils peuvent
engendrer de lourdes consquences pour les entreprises. Les facteurs de ces risques
ont t synthtiss dans cette premire partie du mmoire.
Au cours de cette partie, nous avons galement rsum les ractions des lgislateurs et
des organismes reprsentant les corps professionnels de laudit face au nouveau
contexte de lenvironnement de la fonction informatique.
La mission de laudit financier, qui repose aujourdhui largement sur le contrle
interne des entreprises, devra tre adapte et complte de faon prendre en
46
considration les risques et les contraintes imposs par le nouvel environnement des
entreprises.
En effet, dans un milieu informatis, il est devenu trs difficile de certifier les tats de
synthse sans auditer pralablement les systmes informatiques.
La dmarche daudit informatique dans le cadre dune mission daudit financier,
prenant en compte les enjeux du nouveau contexte, sera prsente dans la deuxime
partie de ce mmoire.
47
PARTIE II
PROPOSITION DUNE METHODOLOGIE POUR
CONDUITE DES MISSIONS DAUDIT INFORMATIQUE
LA
48
Ainsi, les cabinets daudit ont d revoir leur mthodologie de faon rpondre aux
exigences des marchs et de la rglementation, dune part, et, damliorer la qualit de
laudit comptable et financier, dautre part.
49
TITRE 1
LE PROCESSUS DE LAUDIT INFORMATIQUE DANS LE
CADRE DES MISSIONS DAUDIT FINANCIER ET COMPTABLE
CHAPITRE 1 : PRESENTATION DE LA DEMARCHE DE LAUDIT
INFORMATIQUE DANS LE CADRE DES MISSIONS DAUDIT FINANCIER
ET COMPTABLE
1.1
La dmarche daudit que nous allons prsenter dans ce mmoire, sinspire des
mthodologies rcemment dveloppes par les cabinets internationaux daudit et de
conseil. Il sagit dune approche daudit par les risques ; base essentiellement sur la
comprhension des activits des clients et lvaluation de leur dispositif de contrle
interne. En effet, ces nouvelles mthodologies visent mieux rpondre au nouveau
contexte de laudit comptable et financier (exigences rglementaires: SOX, LSF et
pressions des marchs financiers).
En effet, la loi Amricain(SOX) stipule que lauditeur doit examiner les tats
financiers et le contrle interne. Ainsi, lapproche daudit dveloppe permet de:
o Certifier les tats financiers;
o Donner une attestation sur la certification de lefficacit du dispositif contrle interne
relatif au reporting financier tabli par le management.
Cette nouvelle approche daudit est une dmarche intgre. Elle ne remet pas en cause
les principes fondamentaux de laudit, mais elle constitue une volution
50
1.2
La nouvelle dmarche daudit repose sur une approche intgre dont, le cycle
dassurance daudit est le point central. Celui-ci commence partir des premiers
entretiens avec le management. Les principales tapes de laudit de cette dmarche
sont rsumes comme suit :
1.2.1
51
Elle a pour but de mieux cibler les objectifs de la mission, de structurer lapproche
daudit, de dfinir les rles des membres de lquipe et le planning dintervention, et
enfin, didentifier les comptes significatifs et les processus qui les alimentent.
1.2.3
Phase de comprhension
Elle a pour objectif de comprendre le business du client, ses risques, son dispositif du
contrle interne, son organisation, ses sources dinformation ainsi que son
environnement. Cette comprhension se fait sur la base de lanalyse des activits et de
lorganisation du client. Celle-ci devrait sarticuler autour de:
o March: la concurrence, lenvironnement lgal et conomique;
o Stratgie : les objectifs stratgiques, le business plan, lorganisation et le mode de
management;
o Activits cratrices de valeur: les clients, les ressources humaines, linnovation, la
chane dapprovisionnement et les systmes dinformation;
o Performance financire: la situation financire, la performance conomique, lanalyse
sectorielle et les politiques comptables.
1.2.4
Phase dvaluation
Elle a pour objectif dvaluer dune part, limpact ventuel des risques identifis sur
les comptes et, dautre part, dvaluer dans quelle mesure le dispositif du contrle
interne permet de grer ces risques. Lauditeur devra aussi dterminer quels sont les
contrles cls sur lesquels il peut sappuyer dans sa stratgie daudit.
52
1.2.5
Phase de validation:
Elle a pour objectif de collecter les preuves daudit quant au fonctionnement des
contrles et dapprcier la certification du dispositif du contrle interne relatif au
reporting financier tabli par le management.
En plus de lvaluation des tests et des contrles, lauditeur est appel effectuer
dautres procdures daudit qui peuvent varier en fonction du contexte de la mission
daudit. Parmi elles nous pouvons citer:
o La revue des contrats significatifs et des procs verbaux des conseils
dadministration et des assembles gnrales;
o La revue des engagements du client y compris ceux du hors bilan;
o La revue des oprations comptabilises qui nont pas suivi le circuit habituel
dapprobation.
Cadrage de la mission ;
Finalisation de la mission.
2.1
Cadrage de la mission
De structurer lapproche daudit et organiser les travaux entre les deux quipes;
2.2
Elle a pour objectif de comprendre les risques et les contrles lis aux systmes
informatiques. Elle peut se faire sur la base notamment, de la comprhension de
lorganisation de la fonction informatique, des caractristiques des systmes
informatiques et de la cartographie des applications. Elle doit permettre de dterminer
comment les systmes cls contribuent la production de linformation financire.
54
2.2.1
Lauditeur devra se focaliser sur les systmes cls de faon identifier les risques et
les contrles y affrents. Ainsi, il faudrait documenter larchitecture du matriel et du
rseau en prcisant:
o Les caractristiques des systmes hardware utiliss (leur architecture, leur
procdure de maintenance, les procdures de leur monitoring).
55
2.2.3
2.3
56
aux contrles gnraux informatiques que ceux lis aux applications. Les principaux
facteurs de ces risques ont t voqus au niveau de la premire partie de ce mmoire.
Il y a lieu de noter quil faudrait se focaliser sur les risques ayant un impact direct ou
indirect sur la fiabilit des tats financiers. Les risques lis la fonction informatique
sont relatifs lorganisation de la fonction informatique, au dveloppement et mise en
service des applications, la gestion de lexploitation et la gestion de la scurit. Ces
risques ont t abords dans le chapitre du titre 2 de la premire partie.
Une fois ces risques recenss, lauditeur devra valuer les contrles mis en place par
lentreprise pour grer ces risques.
Lidentification des risques et lvaluation des contrles peuvent tre rcapitules sous
la forme dun tableau reprenant les lments suivants:
2.4
Les tests des contrles informatiques peuvent tre effectus en utilisant aussi bien des
techniques spcifiques aux environnements informatiss (contrles assists par
ordinateurs, revue des codes, jeux de testsetc.) que des techniques classiques (
re-performance, examen des pices et documents, observationetc.).
Ces tests portent sur les contrles gnraux informatiques et les contrles
dapplication. Ces derniers seront traits dans le chapitre 3 de cette partie.
57
2.5
Finalisation de la mission
Une fois les travaux achevs et revus, les conclusions de ces travaux doivent faire
lobjet de communications ultrieures au client et lquipe daudit. En effet, lissue
des travaux, lauditeur value limpact des anomalies releves sur la fiabilit des tats
financiers et ventuellement les travaux daudit spcifiques quil y a lieu daccomplir
afin dobtenir une assurance raisonnable sur les tats financiers.
Dans tous les cas, les conclusions doivent tre communiques lquipe daudit sous
forme dun mmorandum comprenant les lments suivants :
Les lments connus prendre en compte pour les interventions futures (migration
technique annonceetc.) ;
De mme, les faiblesses de contrle interne doivent tre transmises au client sous
forme de lettre de contrle interne comprenant les lments suivants :
Le cadre de lintervention ;
58
59
60
Exploitation informatique ;
1.1
Vrifier que le plan informatique est approuv par le top management ou par le comit
informatique et quil est en ligne avec la stratgie de lentreprise ;
61
Sassurer que la DSI tablit des indicateurs de performance et des tableaux de bord, et
apprcier leur pertinence.
1.2
Ladquation des effectifs informatiques aux besoins ainsi que de leurs qualifications ;
Sappuyer sur les contrles automatiss au sein des systmes afin de valider
linformation financire issue de lapplication audite ;
Sassurer que les systmes ont t dvelopps suivant une mthodologie permettant de
limiter les risques derreurs et quils ne peuvent tre modifis sans autorisation.
62
Dterminer les composantes, les objectifs et les besoins des utilisateurs afin
didentifier les aspects qui ncessitent un niveau de contrle important. Cette action
est effectue par des entretiens avec les utilisateurs cls et les membres du projet de
dveloppement ;
A travers ces entretiens, dterminer les zones de risques relatives aux dveloppements
raliss et identifier les contrles mis en place pour rduire le niveau des risques
identifis ;
Sassurer que les contrles ont t implments et que les dveloppements raliss
correspondent bien aux besoins des utilisateurs ;
Evaluer et tester les procdures de maintenance standards des systmes pour sassurer
que toutes les modifications ont t correctement autorises et documentes.
Un guide rcapitulant les principaux travaux effectuer sur les aspects relatifs au
dveloppement, acquisition, implmentation et maintenance des applications et des
programmes informatiques est prsent en annexe1.
Exploitation informatique
Laudit de lexploitation a pour objectif dapprcier la qualit de la planification des
oprations et des procdures dexploitation dune part, et la capacit du dpartement
informatique grer les incidents y affrents, dautres part.
Dans son examen de la planification et gestion des travaux dexploitation
informatiques, lauditeur doit vrifier notamment :
63
Le suivi des incidents dexploitation suite larrt dun programme par exemple ;
habilitations
en
consultation,
modification
ou
suppression
des
transactions).
o Lexistence et la bonne application dune procdure de suppression des accs
aux systmes suite aux dparts des employs. Dans le cas dexistence de
comptes dormants, il convient de souligner que les risques encourus sont
importants car les comptes dormants sont considrs comme des cibles
privilgies pour des personnes souhaitant s'introduire de manire frauduleuse
dans un systme d'information ;
o Lexistence dune procdure de gestion et de changement des mots de passe.
Un mot de passe est la cl dentre dun utilisateur dans le systme, do son
caractre confidentiel et important. Il est donc recommand que ce dernier ne
64
5.1
Plan de sauvegardes
Des sauvegardes mensuelles doivent tre galement effectues, pour garder une image
mensuelle des donnes dexploitation et surtout des donnes comptables ;
Une sauvegarde externe doit tre prvue et place dans un endroit scuris (dans le
coffre fort dune banque par exemple).
65
5.2
Plan de secours
Lauditeur informatique doit sassurer de lexistence dun plan de secours, c'est dire
le document listant l'ensemble des oprations devant permettre la socit de pouvoir
restaurer son systme d'information de manire intgre en cas de sinistre informatique
grave.
En effet, en labsence dun plan de secours et en prsence dun sinistre informatique
grave, la socit pourrait ne pas pouvoir disposer de son systme d'information
pendant une certaine dure. Ceci pourrait tre prjudiciable pour la gestion de
l'entreprise.
Par ailleurs, la non-prparation ce type d'ventualit peut dboucher, dans un cas de
sinistre, l'excution d'oprations incorrectes impactant ainsi l'intgrit des donnes
caractre comptable.
Soit un hot site qui est un site de backup ayant des serveurs avec les mmes
performances du site rel et des connexions rseaux disponibles. Lavantage dun tel
site est sa rapide disponibilit en cas de sinistre, notamment pour les applications
critiques ayant un faible DMI ;
Soit un Warm site qui est un site de backup ayant uniquement des connexions
rseaux disponibles mais sans la prsence des serveurs ;
66
6.1
La scurit : s'assurer que les accs aux donnes et aux transactions sont correctement
autoriss;
67
Le plan de secours et les sauvegardes : s'assurer que des mesures ont t mises en place
afin d'assurer la restauration du systme d'information en cas de sinistre informatique.
6.2
Notre dmarche
En ce qui concerne les travaux dexploitation informatique, nous avons interview les
diffrentes personnes du service dexploitation qui sont responsables de la planification,
de lexcution des batchs et des tches dexploitation qui concernent la prparation des
fichiers, lexcution des programmes, le suivi des incidents ou problmes dexploitation.
Ces entretiens ont t complts par une revue de la documentation dexploitation
existante (manuel dexploitation, registre des incidents, ).
68
En ce qui concerne les aspects de scurit des actifs informatiques de la socit, nous
avons commenc par les aspects physiques, nous avons en compagnie du personnel
informatique visit la salle "machines" et vrifi lapplication des normes standards de la
scurit notamment les rgles daccs la salle (badges magntiques, registre manuel
pour les visiteurs), lexistence de climatiseurs, dtecteurs de feu, extincteurs de feu
automatique, onduleurs, instrument de mesure de temprature et dhumidit, ). Nous
avons galement vrifi que la salle machines nest pas visible de lextrieur et quil y a
une sparation physique entre les serveurs et les imprimantes systmes.
Nous avons ensuite abord les aspects de scurit logique et interview le responsable
dadministration du systme dexploitation (AS/400), ainsi que les responsables
dadministration des diffrentes applications de la socit. Lobjectif de ces entretiens
tait de :
Nous avons ensuite revu la documentation existante et ralis des tests de comparaison
des profils utilisateurs existant dans le systme avec la liste du personnel de la socit.
Nous avons galement effectu des tests par sondage pour sassurer de la bonne
application des procdures de cration, modification et suppression des profils
utilisateurs.
69
Enfin, en ce qui concerne les aspects du plan de secours et des sauvegardes nous avons
demand obtenir le contingency plan de la socit et
Notre conclusion
Nous navions pas dcel au cours de nos travaux de faiblesses alarmantes pour que le
cabinet, en tant quauditeur externe, ne puisse pas sappuyer sur le systme
dinformation pour valider les tats financiers de la dite socit. Nanmoins, nous
avions considr que le niveau de contrle gnral de la fonction informatique tait
insuffisant et qu'il devait tre renforc.
Pour ce dossier daudit, nous avons retenu un niveau de confiance moyen dans les
systmes.
6.4
La scurit logique de lAS/400 de production est insuffisante, nous n'avons pas relev de
plan de scurit permettant didentifier les donnes stratgiques gres par le systme
dinformation ni les moyens de protection. Par ailleurs, nous avons not que la liste des
utilisateurs n'tait pas jour. Enfin, nous avons estim que les droits de certains
informaticiens et utilisateurs taient trop importants, ce qui tait prjudiciable une
correcte sparation des tches.
A ce niveau, nos recommandations taient de :
70
applications soit plus difficile posteriori, et pouvant mme entraner des anomalies
non dtectes en production.
71
1.
72
1.1
Le langage utilis pour son dveloppement, ses interfaces, sa portabilit, son intgration
avec les autres systmes et applications de lentreprise;
Les donnes, les fichiers et les tables cls utiliss par lapplication ;
Les contrles daccs lapplication ainsi que ladquation des habilitations accordes
aux utilisateurs avec leur profil ;
73
1.2
Avant daborder lanalyse des risques et des contrles lis aux applications, il y a lieu
de rappeler les objectifs de contrle qui permettent de valider les assertions relatives aux
tats financiers. Ces objectifs sont gnralement au nombre de quatre :
o
Exactitude des enregistrements : Tous les lments des transactions traites par le
systme sont corrects, (montant, compte) ;
Exhaustivit : Toutes les transactions ralises par lentreprise sont traites dune
manire exhaustive par le systme;
74
Validit des enregistrements : Toutes les transactions et les donnes permanentes sont
autorises et sont relles (absence de double traitement et/ou des oprations fictives).
Accs restreint aux actifs et aux enregistrements : Les actifs et les donnes sont protgs
contre les accs non autoriss.
1.3
Recenser les risques, valuer leur impact potentiel sur les lments financiers, valuer la
probabilit de leur survenance et les classer selon leur degr dimportance (impact et
probabilit de survenance);
Identifier les contrles, analyser leur pertinence par rapport aux risques identifis et
dgager les risques rsiduels (non couvert par les contrles).
Lanalyse des risques et des contrles permet de cibler lapproche daudit. En effet, les
travaux daudit seront focaliss sur les tests des contrles cls et sur lvaluation de
limpact des risques non couverts par le contrle interne sur les tats financiers.
Lidentification des risques sera ralise en prenant en compte la comprhension du
business du client, des processus grs par lapplication tudie et des facteurs de
risques y affrents. Parmi ces risques nous pouvons citer:
75
Par ailleurs, il devra aussi identifier les risques non couverts par les contrles
(programms ou manuels). En effet, les risques non contrls feront lobjet dune
attention particulire par lauditeur financier lors de ses travaux de validation des
comptes.
1.4
Une fois les risques et les contrles dapplication ont t identifis et valus. Il y a
lieu de procder aux tests de ces contrles afin de sassurer de la permanence de leur
fonctionnement. En effet, si les tests mettent en vidence que les contrles sont
oprationnels, lauditeur financier peut sappuyer sur ces contrles dans sa dmarche
de validation des comptes. Dans le cas contraire, ils seront considrs comme
inexistants, et par consquent, il adoptera une approche base essentiellement sur des
tests substantifs des comptes (examen tendu de la majorit des transactions).
Avant daborder les contrles dapplication, il est utile de les dfinir.
1.4.1
Les contrles dapplication sont conus et mis en place afin dassurer lintgrit des
enregistrements, ils peuvent tre manuels ou automatiques, prventifs, dtectifs ou
correctifs.
Les contrles prventifs ont pour objectif de prvenir la survenance danomalies
derreurs ou de fraude aussi bien au niveau des entres et des traitements quau niveau
des sorties. En revanche, les contrles dtectifs permettent lidentification de ce type
dvnements.
Les contrles correctifs visent minimiser limpact des erreurs ou anomalies et
fraudes dcouvertes. Ils permettent non seulement de les corriger et de les recycler
mais aussi de modifier les processus du systme de faon viter quelles se
reproduisent dans lavenir.
76
Lauditeur devra sassurer que les procdures de contrle sont mises en uvre afin de
garantir lautorisation, lexactitude, lexistence, et lexhaustivit des transactions et des
donnes permanentes. Ainsi, il est appel vrifier notamment
Contrle daccs
Lauditeur doit sassurer que les contrles prvus et mis en uvre dans le systme
permettant de restreindre laccs aux donnes, aux programmes et aux transactions aux
seules personnes y habilites. Parmi ces contrles nous pouvons citer :
o Une gestion approprie des mots de passe dfinie en fonction des ressources
partager (unicit de lidentifiant, absence de compte gnrique, longueur des mots
de passe et leur changement priodique).
o Des procdures de dtection et de contrle des tentatives infructueuses des accs
non autoriss ;
77
78
Il y a lieu de noter quil existe plusieurs types de contrle des enregistrements que les
entreprises peuvent mettre en place au niveau des applications informatiques. Parmi
ces contrles, nous pourrons citer titre dexemple :
o Les contrles batchs : Ils permettent le contrle des totaux et ils peuvent porter sur
un total montaire, le nombre darticles ou le total des documents saisis ;
o Les contrles de la squence: Ils sont conus de faon ce que seules les donnes
comprises dans la squence prvue soient admises et que les doublons soient
rejets ;
o Les contrles de limite : Ils sont conus de faon ce que seules les transactions
nexcdant pas une certaine limite puissent tre traites ;
o Les contrles dintervalle : Ils sont conus de faon ce que seules les donnes
comprises dans un certain intervalle soient admises;
o Les contrles selon certains paramtres :
galement
sassurer de lexistence et du
79
1.4.6
Il faut noter quil existe plusieurs types de contrles des traitements que les entreprises
peuvent mettre en place au niveau des applications. Parmi ces contrles de traitement,
nous pouvons citer titre dexemples :
o Recalcule manuel : Slectionner un chantillon des transactions et recalculer
manuellement et comparer le rsultat avec le traitement du systme ;
o Programme daudit : Il peut tre utilis pour vrifier le bon droulement des
traitements ;
o Contrle de limite;
o Contrle de vraisemblance;
o Rapports dexception: Un rapport dexception qui gnre les donnes errones
compte tenu de certains critres prdfinis.
80
2.
81
o La richesse des fonctionnalits et des contrles prvus dans les ERP permettent
dintgrer lensemble des besoins de lentreprise et renforcer le dispositif du
contrle
Non prise en compte des besoins du contrle interne au moment de la refonte des
processus lors de la mise en place dun ERP: En effet, comme cela a t signal cidessus, limplmentation dun ERP saccompagne par la refonte des processus ce qui
pourrait se traduire par des suppressions des contrles cls. Afin dviter ce type de
risque, de nouvelles dispositions doivent tre prises en compte et adaptes
lenvironnement de lERP mis en place.
Afin de mieux illustrer la spcificit de lapproche daudit dans un environnement
ERP, nous prsenterons ci-aprs la mthodologie de revue des contrles dapplication
dans lenvironnement JDE World (version qui tourne sous lenvironnement du
systme dexploitation AS400 : systme mini dIBM).
82
2.1
Ces contrles sont communs tous les modules de JDE. Leur bon fonctionnement
conditionne la fiabilit des donnes produites par lERP. Il est donc capital de vrifier
le design et le fonctionnement de ces contrles.
2.1.1
Il est vital que toutes les transactions soient saisies dune manire exacte et exhaustive
dans les comptes. Les rapports dintgrit sont des outils de contrle de lexhaustivit
et lexactitude de lenregistrement des donnes dans le module de la comptabilit
gnrale (GL : general ledger accounts). En effet, les transactions enregistres dans les
sous modules doivent tre conformes celles dverses
dans le module de la
Les rapports standards dintgrit (cf. annexe 2 ) ont t mis en place ou crs et
correctement configurs. Les objets comptes doivent pointer aux bons fichiers (la
vrification de ceci ncessite lassistance dun spcialiste JDE) ;
corriges ;
dintgrit doivent tre dits, mme si les diffrences sont nulles ou non
significatives.
83
En effet, une bonne implmentation de la scurit prvue par JDE permet de garantir
le respect du principe de sparation des tches. Ainsi, lauditeur devra revoir la
manire dont les paramtres et les standards de la scurit JDE ont t mis en uvre.
Par ailleurs, lauditeur devra galement vrifier que les constantes de scurit du
systme ont t bien implmentes et que les procdures de leur mise jour sont
prvues et fonctionnent correctement.
84
2.1.3
Le Master Data constitu des donnes et des rgles permanentes dont les principales
sont les suivantes :
o Les donnes permanentes relatives la base de donnes commune(Adress
Book) qui permet de partager les informations entre tous les modules de JDE,
dliminer les redondances des donnes et rduire les erreurs ;
o Les rgles de gestion ;
o Les donnes et les rgles relatives la scurit ;
o Les donnes comptables (instructions de comptabilisation automatique, plan
comptableetc.) ;
o Les donnes et les rgles relatives la gestion des stocks ( inventaires,
tarifsetc.)
Il y a lieu de souligner que dans le cas o des faiblesses auraient t identifies au
niveau des contrles relatifs au master data cela pourrait affecter la fiabilit des tats
financiers.
Afin dassurer lexactitude et lexhaustivit des transactions traites et des donnes
permanentes, il faudrait veiller la garantie de la fiabilit du master data. La
ralisation de cet objectif dpend largement de la qualit des procdures de contrle
interne portant sur :
85
2.2
Par ailleurs, il y a lieu de noter que les principes des contrles relatifs aux processus dans
le cadre de lenvironnement JDE sont similaires ceux grs sous dautres
environnements. La diffrence rside dans les possibilits offertes par JDE pour
concevoir et mettre en place ces principes de contrle
Dans le cadre de ce mmoire nous avons prsent en annexe3 les principaux travaux de revue
effectuer sur les processus achats-fournisseurs, ventes-clients, immobilisations et
comptabilit gnrale.
86
87
Les modalits pratiques de lexcution de cette mission telles que dfinies par le
procs verbal (cit dans le paragraphe 3.1.1 du chapitre 1 du titre1 de la premire
partie) prvoient la revue des systmes informatiques. Les travaux effectus par les
commissaires aux comptes dans le cadre de cette mission sont dfinis par la norme
internationale relative aux missions dexamen sur la base des procdures convenues
88
1.1
Il y a lieu de noter que les travaux relatifs cette phase sont effectus lors de la
mission de certification des tats financiers. Ils seront mis jour lors de cette mission
connexe. Nous rappelons que ces travaux ont pour objectif dapprcier dans quelle
mesure les systmes informatiques influencent les risques daudit (risques inhrents et
de contrle). Ils portent sur les aspects suivants :
Lexploitation informatique ;
Ces tests ont pour objectif de sassurer que les donnes traites par un processus sont
exhaustives, exactes, et relles. Ils seront axs sur les volets suivants :
89
Prsentation dun cas pratique de revue des systmes informatiques dans le cadre
de lexamen du dossier financier
2.1 Objectif de la mission :
Notre mission avait pour objectif dapprcier les informations contribuant
llaboration du dossier financier. Elle a port sur lvaluation de lenvironnement
informatique et sur la revue des applications informatiques qui gnrent les
informations servant la production du dossier financier.
2.2
Lors de cette tape nous avons procd une revue des contrles gnraux
informatiques. Ces derniers ont t dvelopps dans le chapitre 1 du titre 1 de la
deuxime partie.
2.3
Lors de cette tape, nous avons identifi les principaux processus et les contrles cls
y affrents dans un premier temps et par la suite nous avons procd aux tests de ces
contrles.
2.3.1
Afin didentifier les processus significatifs, nous avons labor la cartographie des
flux dinformation de la compagnie et avons analys la provenance des donnes
servant llaboration du dossier financier. Ainsi nous avons retenu deux grands
processus savoir:
o La gestion des sinistres;
o La gestion de la production.
En effet, le dossier financier est tabli sur Excel (processus manuel qui est dcrit dans
lannexe). Mais la majorit des informations proviennent des deux processus cits
ci-dessus et certaines donnes proviennent directement de la comptabilit.
90
Les processus de la production et des sinistres sont grs par un progiciel dont le
noyau a t acquis par la compagnie la fin des annes 80 et qui a t complt par
des dveloppements spcifiques effectus par lquipe interne.
Lors de cette intervention, nous avons tabli le mapping de ces processus et de leurs
sous processus ce qui nous a permis didentifier ( voir annexe 6) :
o Les entres ;
o Les traitements;
o Les sorties ;
o Les contrles ;
o Les interfaces.
2.3.2
Une fois les contrles cls identifis, nous les avons tests. Ces derniers ont t mis en
ouvre de faon sassurer de:
o Lexhaustivit, lexactitude et la ralit des donnes saisies et des traitements ;
o La scurit logique relative aux applications;
o Lexhaustivit et lexactitude des sorties;
2.4
A lissue de nos travaux, nous avons conclu que les donnes produites par les
systmes mtiers sont globalement fiables. Toutefois, nous avons relev des faiblesses
aussi bien au niveau de lenvironnement informatique quau niveau des applications.
2.4.1
91
2.4.2
92
1.
Prise de connaissance ;
Elaboration de recommandations.
En annexe 4, nous avons repris lexemple dun programme de travail que nous avons
droul lors dune mission daudit de scurit dun environnement de confiance (Trust
Domain) dune socit de la place. Ce programme reprend les diligences daudit
mentionnes dans les paragraphes 1.1, 1. 2 et 1. 3 du prsent chapitre.
1.1
Prise de connaissance
Cette tape a pour objectif davoir une vue systmique du systme dinformation de la
socit, et de recenser tous les standards et les rgles de scurit en vigueur.
A partir des documents de lentreprise, des entretiens et des visites des locaux,
lauditeur informatique doit collecter linformation relative :
93
A lorganisation:
o Politique de scurit;
o Normes et standards en vigueur;
o Personnes et quipes impliques dans la fonction informatique;
o Dfinition des responsabilits;
o Procdures appliques,
o Plans des sauvegardes, darchivage de secours, de reprise, etc.
94
Classer selon leur degr dimportance, les vulnrabilits qui seront identifies ;
Perte de donnes ;
Risques juridiques ;
Rpudiation ;
Ecoute du rseau ;
Cette tape a pour objectif de sassurer que les contrles mis en uvre au sein ou
autour du systme audit sont en mesure de garantir une couverture suffisante des
risques pesant sur le systme.
Les principaux points contrler sont :
Scurit physique ;
95
1.4
Emission de recommandations
Cette tape a pour objectifs de prsenter un plan daction scurit qui devrait :
96
97
98
2.
Planning : Dans cette tape, nous avons revu et valid le scope du projet de certification
du SI de la socit et avons dfini le planning de notre intervention ;
Revue de lauto-valuation (Self-assessment) : Dans cette tape, nous avons revu les
travaux dauto-valuation effectus par lquipe de contrle interne de la socit. Ces
travaux ont t effectus sur la base dentretiens et de revue de documentation ;
Revue des dviations des standards de scurit : Dans cette tape, nous avons identifi
toutes les dviations par rapport aux standards tablis et avons revu le bien fond des
raisons de ces dviations,
Revue de limplmentation des standards de scurit : Dans cette tape, nous avons
droul le questionnaire prsent en annexe 4, et avons vrifi la conformit du SI de la
socit par rapport ces dviations ;
Finalisation et rdaction du rapport : Dans cette tape, tous les points soulevs sont
discuts avec le management de la socit, documents dans le dossier daudit et repris
dans le rapport final destination de la direction du groupe.
Conclusion : Notre revue na pas rvl des points de non conformit significatifs.
Le guide daudit que nous avons utilis dans notre mission est prsent en annexe 4.
99
Laudit informatique dans le cadre des missions daudit financier devient une exigence
impose par les normes professionnelles, mais il est galement une ncessit en raison
de lvolution du contexte des organisations. En effet, dans le contexte actuel o les
systmes informatiques sont prpondrants dans la majorit des processus des
entreprises il nest plus possible de certifier les tats financiers sans valuer les
systmes dinformation. La dmarche des auditeurs devra donc tre adapte pour
reflter cette nouvelle ralit. Laudit informatique en tant que support laudit
financier est ax sur la fiabilit des informations financires produites par les
systmes. Il porte sur les contrles gnraux informatiques et les applications.
Par ailleurs, lexpert comptable en tant que commissaire aux comptes est appel
effectuer des missions connexes qui impliquent la revue des systmes dinformation
(examen du dossier financier, valuation du contrle interne des tablissements de
crdit y compris les aspects lis aux systmes dinformation). Dans le prsent mmoire
nous avons expos une dmarche pour la revue des systmes dans le cadre de
lexamen du dossier financier et nous avons illustr notre propos par un cas pratique.
Lexpert comptable, en tant que conseiller de lentreprise, est souvent appel assister
le management dans la mise en place des procdures et outils permettant de grer les
risques. Une des missions le plus souvent demande est celle relative la revue des
aspects de la scurit. Le dernier chapitre de ce mmoire a t consacr cet aspect.
100
CONCLUSION GENERALE
Aujourdhui le monde conomique est caractris par la libralisation et la
globalisation. Cette dernire est rendue encore plus rapide par les rseaux
informatiques. En effet, la mondialisation sacclre avec la capacit dutiliser des
moyens de transmettre des informations ou dy accder. Comme tout changement,
cette volution entrane la modification des modles de fonctionnement des
entreprises.
Pour tre comptitives dans lenvironnement conomique actuel, les entreprises
marocaines sont appeles oprer de profondes mutations tant au niveau de leurs
stratgies quau niveau de la mise niveau de leurs modes de gestion. Le processus de
changement qui est enclench par ce nouveau contexte les amne matriser leurs
systmes dinformation afin dtre comptitives et ractives.
En effet, les systmes dinformation sont devenus des leviers stratgiques qui
accompagnent les entreprises dans leur mise niveau et leur dveloppement en leur
permettant dtre performantes et ractives. Ceci implique une excellence dans la
rapidit et la pertinence du traitement de linformation ce qui conduit le plus souvent
une refonte complte du systme dinformation et une redistribution des activits et
des tches aux diffrentes structures de lorganisation.
La dpendance croissante des entreprises de linformation et des systmes qui la
dlivrent augmente avec le dveloppement des technologies qui changent radicalement
les organisations et les pratiques des affaires.
Il est vident que les systmes dinformation permettent lentreprise dtre
performante et ractive, mais leur mise en place saccompagne le plus souvent par une
refonte des processus de lorganisation, ce qui pourrait se traduire par la suppression
de certains contrles cls dans la gestion des risques de lentreprise.
Aujourdhui, nous assistons une forte intgration des systmes et leur ouverture
sur les partenaires de lentreprise. Ceci augmente considrablement la vulnrabilit
des systmes dinformation et engendre de nouveaux risques.
101
Il y a lieu de noter que les risques inhrents aux systmes dinformation augmentent
avec louverture de ces derniers aussi bien en externe avec Internet quen interne
travers les outils dIntranet.
Les entreprises doivent tre conscientes des risques lis aux systmes dinformation
et mettre en place les outils et les procdures de contrle permettant dempcher leur
survenance ou limiter leur impact.
Les lgislateurs ont mis de nouvelles dispositions visant se prmunir contre les
risques lis lutilisation des nouvelles technologies de linformation. Ils ont
galement impos aux auditeurs dvaluer et de tester les contrles, y compris ceux
lis aux systmes informatiques.
Pour rpondre aux nouvelles exigences rglementaires et aux contraintes et risques
induits par les systmes informatiques (intgration, ouverture, automatisation des
contrles, etc.), les organismes professionnels de laudit comptable et financier ont
d revoir leurs normes et mthodologies daudit de faon prendre en compte les
enjeux de ce nouveau contexte.
Dans lenvironnement actuel, o les systmes informatiques sont devenus
prpondrants et linformation comptable et financire est issue directement de ces
systmes il est inconcevable de certifier les comptes sans procder un audit de ces
derniers.
Face ce nouveau contexte, les cabinets daudit ont procd une mise niveau de
leur mthodologie daudit de faon se conformer aux nouvelles normes
professionnelles et dispositions rglementaires. Les nouvelles dmarches proposes
par les cabinets daudit reposent largement sur la comprhension et lvaluation des
contrles lis aux systmes informatiques et sur les tests des contrles programms
(contrles automatiss).
102
La prsentation de ces aspects a pour but de comprendre la manire dont les systmes
informatiques affectent le traitement de linformation et le contrle interne de
lentreprise dune part et didenfiter les risques lis aux systmes informatiques
dautre part.
Par la suite nous avons propos une approche daudit pragmatique pour la ralisation
des missions daudit informatique en tant que support laudit comptable et financier.
La dmarche daudit prsente a port non seulement sur laudit des contrles
gnraux et les applications informatiques classiques mais aussi sur le cas particulier
des progiciels intgrs dont la diffusion au sein des entreprises devient de plus en plus
grande.
Nous avons galement prsent des dmarches pour la ralisation de certaines
missions spciales daudit ou de revue informatique qui prsentent soit un caractre
obligatoire (mission de revue du dossier financier) ou un caractre prioritaire pour la
gestion des risques informatiques (audit de la scurit).
Nos propos ont t illustrs par des cas pratiques .
Par ailleurs, il y a lieu de souligner que les missions dans le domaine de laudit et la
gestion des risques informatiques sont nombreuses et varies. Ceci permet lexpert
comptable dlargir le champ de ses missions et de se positionner en tant
que
103
Lvaluation de la prennit du SI ;
104
BIBLIOGRAPHIE
A.
Ouvrages :
Coopers & lybrand et LIFACI : La nouvelle pratique du contrle interne ( les
ditions dorganisation 1994)
alter :
information
systems
management
perspective
( the
Brian jenkins & anthony pinkney : audit des systmes et des comptes grs sur
informatique (dition publi-union).
: la
105
020 Indpendance
040 Comptence
050 Planification
070 Rapport
Sminaires :
Security
and
controls :
Audit
des
contrles
dans
lenvironnement
JDE :
PriceWaterhouseCoopers, 2001
Audit de la scurit informatique organis par consilium et anim par associ chez
Deloitt Paris
Audit des rseaux et tlcommunications organis par consilium et anim par Renaud
Guillemot
106
Audit de la scurit
Mmoires :
Omar SEKKAT Le rle de lexpert-comptable face aux risques de scurit microinformatique dans les PME - proposition dune dmarche (mmoire dexpertise
comptable), novembre 2002.
107
www.IASACA.org
www.clusif.asso.fr
www.pwc.com (knowledgecurve.com)
108
PLAN DETAILLE
INTRODUCTION GENERALE
2
2
2
3
3
3
5
6
PARTIE I :
LA COMPREHENSION DU CADRE GENERAL DE LA FONCTION INFORMATIQUE : UN
PREALABLE NECESSAIRE POUR LA REALISATION DES MISSIONS D'AUDIT
INFORMATIQUE
9
10
10
10
10
11
11
11
12
12
14
14
15
18
19
20
22
22
22
22
22
23
23
24
24
25
25
25
27
27
109
28
28
29
29
30
30
TITRE 2 :
PRESENTATION DES CYCLES DE VIE DU SYSTEME D'INFORMATION DES RISQUES ET
DES CONTROLES Y AFFERENTS
CHAPITRE 1: PRESENTATION DES CYCLES DE VIE ET DES METHODOLOGIES DUN SYSTEME
D'INFORMATION
1 LE CYCLE DE VIE D'UN SYSTEME D'INFORMATION
1.1 Description des phases des cycles de vie dun systme dinformation
1.1.1 Etape d'tude de faisabilit
1.1.2 Phase de dveloppement
1.1.2.1 Etape de conception
1.1.2.2 Etape de ralisation des programmes
1.1.2.3 Etape de mise en uvre
1.1.3 Phase d'exploitation
1.1.4 Phase de maintenance
2. METHODES DE CONCEPTION ET DE DEVELOPPEMENT DES SYSTEMES D'INFORMATION
CHAPITRE 2 : IDENTIFICATION DES RISQUES ET DES CONTROLES LIES AUX CYCLES DE VIE
DES SYSTEMES D'INFORMATION
1. LES RISQUES LIES AUX CYCLES DE VIES DES SYSTEMES D'INFORMATION
1.1 Dfinition du risque
1.2 Facteur de risque
1.3 Les risques lis au cycle de vie du systme d'information
1.3.1 Risques lis la planification
1.3.2 Risques lis au dveloppement et la mise en service des systmes informatiques
1.3.3 Risques lis la mise en service
1.3.4 Risques lis l'exploitation
1.4 Gestion des risques
2 CONTROLES LIES AUX CYCLES DE VIE DES SYSTEMES D'INFORMATION
2.1 Les contrles relatifs au dveloppement et la mise en uvre des applications informatiques
2.2 Les contrles relatifs la gestion des modifications
2.3 Les contrles relatifs la slection et la mise en uvre des progiciels
2.4 Les contrles relatifs la gestion des oprations d'exploitation informatique
2.5 Les contrles relatifs aux procdures utilisateurs
2.6 Les contrles relatifs au plan de secours
32
32
32
33
33
33
33
34
34
35
35
35
37
37
37
37
38
38
38
39
39
40
40
41
42
42
43
44
44
46
PARTIE II
PROPOSITION D'UNE METHODOLOGIE POUR LA CONDUITE DES MISSIONS D'AUDIT
INFORMATIQUE
48
49
50
50
50
50
110
51
51
52
52
52
53
53
54
54
55
55
56
56
57
58
60
61
61
62
62
63
64
65
65
66
67
67
68
70
70
72
72
73
74
75
76
76
77
77
78
78
80
81
83
83
84
85
86
111
88
88
89
89
89
89
90
90
90
90
90
91
91
91
92
93
93
93
94
95
96
96
97
97
99
100
101
105
109
113
122
112
Laudit informatique est effectu par une ou des personnes indpendantes internes
ou externe lentreprise, en vue de donner une assurance sur la ralisation des
objectifs du contrle interne de la fonction informatique, et des conseils visant
amliorer le fonctionnement des systmes dinformation.
113
Le contrle interne relatif la fonction informatique est dfini dans premire partie
(titre :1 chapitre 1 : 3.2).
Laudit comptable et financier est dfini par le manuel des normes professionnelles
marocaines, comme une mission ayant
d'exprimer une opinion selon laquelle les tats de synthse ont t tablis, dans tous
leurs aspects significatifs, conformment un rfrentiel comptable identifi et quils
traduisent dune manire rgulire et sincre la situation financire de la socit, ainsi
que le rsultat de ses oprations et les flux de sa trsorerie.
Application
Programme contenant les traitements appliquer aux donnes dentre (input) pour
obtenir un rsultat dsir (output).
Architecture trois niveaux Three Tiers Architecture
Gnration rcente de larchitecture Client Serveur qui comporte trois composants (un
pour les donnes, un pour les traitements, un pour la prsentation) pouvant rsider
dans des endroits diffrents. Typiquement : les donnes sur un mainframe central, les
traitements sur un serveur local, la prsentation sur le PC (attention : l'expression
"trois tiers" est un faux ami).
Architecture Client Serveur (Client-Server Architecture)
Architecture informatique qui vise utiliser au mieux les ressources en puissance de
traitement et en mmoire pour lexcution des applications, en tirant parti des moyens
disponibles sur les PC. Typiquement, les donnes sont concentres sur le mainframe,
la prsentation est faite par le PC, les traitements sont rpartis entre les deux. Cf.
architecture trois niveaux.
ERP : Il sagit dun ensemble de modules structurs autour d'une base de donnes
unique et couvrant l'ensemble des domaines fonctionnels de l'entreprise, de la gestion
de production la gestion financire.
114
115
116
Indicateur (Indicator)
Donne ou agrgat de donnes slectionn pour son intrt conomique, mis sous
forme de srie chronologique, corrig des variations saisonnires aprs interprtation
des incidents, ayant fait lobjet dune modlisation conomtrique permettant de
linterprter et de fournir des prvisions tendancielles (ou extrapolations). La
production dun indicateur est une opration relativement coteuse : seules certaines
donnes choisies mritent dtre leves au statut dindicateur.
Information
Une information, cest une donne observe par un acteur que cette donne intresse.
Lobservation par un acteur implique la comparaison au moins implicite dautres
donnes, car sans comparaison il ny a pas dinterprtation possible. Passer du rang de
donne celui dinformation suppose que la connaissance de la donne contribue
laction de celui qui lobserve : la notion dinformation recle donc un ct subjectif et
un ct objectif.
Interface
Mise en forme des donnes permettant leur passage dune tape lautre du
traitement. Equipement assurant la transcription des donnes dun langage dans un
autre. Linterface homme-machine assure la communication entre lhomme et
lordinateur grce des supports (cran, clavier, haut-parleurs) accessibles aux sens de
ltre humain. Linterface graphique (Graphical User Interface ou GUI), qui permet
dafficher et de crer des images, fait partie de lergonomie standard en 1997.
Internet
Rseau dinterconnexion dordinateurs utilisant le protocole de transmission de
donnes TCP/IP (qui permet aussi le transfert des images, fixes ou animes, et du son).
Efficace, robuste et peu coteux grce aux qualits de TCP/IP, lInternet a t dabord
utilis par des chercheurs, puis a servi de support des services devenus populaires
(messagerie, forums, Web, commerce lectronique, tlchargement de logiciels) qui
ont fait de lui un phnomne de socit. Cest dsormais le rseau mondial de
communication lectronique.
117
Intranet
Utilisation de lInternet des fins internes une entreprise. LIntranet permet
lentreprise de bnficier de lconomie dchelle acquise par les logiciels sur
lInternet, et doutils de dveloppement orients-objet comme Java. On peut raliser
maintenant sur lIntranet la totalit des applications de groupware. LIntranet ncessite
toutefois une administration soigneuse des droits daccs, et la mise en place de
" Firewalls " pour protger les donnes de lentreprise.
Firewall
Logiciel (pare-feu) qui sert protger un rseau contre les tentatives dintrusion.
Langage de programmation (Programming Language)
Lordinateur ne comprend que des instructions simples : chercher des donnes dont il
connat ladresse en mmoire, faire une opration arithmtique sur ces donnes,
stocker le rsultat de cette opration en mmoire, etc. Le langage qui permet dcrire
ces instructions est le langage machine.
Programmer en langage machine serait une tche fastidieuse pour un tre humain. Les
langages de programmation offrent des instructions plus synthtiques et commodes.
En fait, lexcution dun programme crit en " langage de haut niveau " (Visual Basic,
Java, C++ etc.) ncessite une cascade de traducteurs et interprteurs pour aboutir des
instructions excutables par la machine.
Les langages de programmation sont ainsi plus proches du langage " naturel " (ou de
sa reprsentation graphique). Ils restent cependant trs conventionnels, et leur
utilisation experte suppose une formation approfondie.
Mmoire (Memory)
Support magntique ou lectronique comportant des zones dotes dadresses, et o un
ordinateur peut stocker donnes et programmes. Une mmoire est dautant plus chre
que son accs est plus rapide (do lutilisation dun disque dur accs lent pour la
mmoire de masse, et dune RAM accs rapide pour les travaux en cours).
118
119
120
121
N de lannexe
Intitul de lannexe
6
Description des process contribuant llaboration du dossier financier
et lidentification des contrles y affrents
Lexique franais-Arabe
122
ANNEXE 1
123
Gestion de projet
A travers le processus de gestion de projet, lauditeur informatique doit analyser les
risques inhrents chaque phase du cycle de vie de lapplication informatique et doit
sassurer que des contrles appropris ont t mis en uvre pour minimiser ces
risques. Il faudrait bien entendu viter dimplmenter des contrles dont le cot est
plus important que le risque associ.
Lors de la revue du processus SDLC (System Development Life Cycle), lauditeur
informatique doit obtenir la documentation des diffrentes phases du projet et les
comptes-rendus de runions. Il doit valuer la performance de lquipe de projet
produire temps les livrables cls.
o aux objectifs dfinissant ce qui devra tre accompli durant chaque phase du
projet,
o aux livrables cls de chaque phase dsignant clairement les responsables
directs de ces livrables,
o au planning dtaill de chaque phase dfinissant notamment les dates de
finalisation des livrables cls,
o au suivi budgtaire des cots de ralisation de chaque phase.
2
Obtenir le document dtaill dexpression des besoins et vrifier son adquation par
des entretiens croiss avec les utilisateurs cls ;
Revoir le document dappel doffres RFP (Request For Proposal) pour sassurer de
son exhaustivit ;
Revoir le contrat sign avec le prestataire et sassurer quil a inclu toute la liste des
fonctionnalits de lappel doffres ;
Revoir les inputs, traitements, contrles et outputs qui ont t conus et sassurer
quils sont appropris ;
Revoir le rsultat de la revue assurance qualit qui doit tre effectue lissue de cette
phase.
La phase de tests est cruciale pour sassurer de ladquation du systme par rapport
aux besoins et son acceptation par les utilisateurs. Ainsi, il est trs important
dimpliquer lauditeur informatique dans cette phase. Il doit effectuer les travaux
suivants :
Revoir les rapports derreurs lors du droulement des tests et sassurer quils sont
correctement suivis ;
Vrifier le bon fonctionnement des traitements directement impacts ainsi que ceux
qui le sont indirectement (par exemple, les traitements cycliques de fin de priode) ;
126
Vrifier que les aspects de scurit des accs ont t correctement prvus et tests ;
Cette phase ne peut tre initie que si la phase de recette des systmes est concluante.
Le nouveau systme devra tre mis en place selon la procdure de contrle des
changements et de mise en production. Lauditeur informatique doit sassurer quune
demande de mise en production a t correctement signe par les dpartements
utilisateurs concerns. De plus, il est important de :
Sassurer que le nouveau systme a atteint ses objectifs en adquation avec les besoins
des utilisateurs. Durant cette phase, il est important de mesurer le degr de satisfaction
des utilisateurs. Cet indicateur permettra de sassurer de la bonne russite du projet
dimplmentation ;
Revoir les contrles mis en uvre dans le nouveau systme pour sassurer que ces
contrles correspondent bien ce qui a t prvu dans la phase de conception ;
Revoir les donnes en entres et en sorties, diter les tats et vrifier le bon
fonctionnement du systme.
10
Maintenance corrective o des changements sont effectus pour corriger des erreurs
ou des bugs de programmes;
Le bon suivi des versions et la correspondance entre les programmes sources et les
programmes objets;
Ladquation des aspects de scurit par la restriction des accs aux librairies des
programmes sources et objets.
128
ANNEXE 2
129
1.
Perform
audit.
quon nesubstantive
peut se baser sur
le
systme.
Controls reliance
Des travaux "None"
daudit tendus
considered
Le confort
peut-il
tre
Reliance
can be
bas
sur lintgrit,
la
placed
on security,
scurit
et le Master
integrity
and
Data ?master data
No Non
Oui
Yes
Detailed reporting to
management will be also
required.
Le confort
peut-il
Reliance
cantre
be
obtenu ontravers
tests of
de
placed
basicdes
testing
base sur les
contrles
cls
business
process
controls
par processus
per section IV
No Non
Oui
Yes
Les
contrles
de confort
considrs
Controls
reliance
considered
as
"HIgh".levs
Perform.systems
comme
Elaborerbased
un audit
Confirm
appropriately
basaudit.
sur les
systmes.
Confirmer
accredited skill-sets
(as defined
judicieusement
lallocation
des
on page
1 (section
1.1))
ressources
selon
leurs comptences
available
and consult
a
et leurs
disponibilits
auxwith
domaines
member of the JD Edwards
audits
Controls Group in London
130
Les rapports cls dintgrit que lauditeur externe doit tester sont les suivants :
Intgrit
Comptes de fournisseurs
P047001
- A/P vers G/L
P04701
- A/P vers G/L
par traitement
Batch
P04702
- Paiements A/P
vers G/L par
traitement
Batch
Intgrit
Comptes clients
P037001
- A/R vers G/L
par
P03702
- AR vers GL
des rceptions
intgres
P03701
- A/R vers G/L
par traitement
Batch
Intgrit
P127011
- F/I vers G/L
P12301
ECS
P41543
registre des
articles/compte
Rapport
dintgrit
(Cardex vers GL)
P41544 Article
Balance/Grand
livre Integrity
Report
Intgrit
Comptabilit gnrale
P007011
Traitements
batches non
intgrs
P007021
Transaction
sans en-tte de
batch
132
P097001
Solde des
compagnies
P097021
Transaction
sans Rapport sur
le compte
principal
P097031
- Balance des
comptes sans
compte principal
P097041
Comptes sans
affectation de la
Business Unit
ANNEXE 3
La revue des processus (business process JDE)
134
Les commandes dachats sont effectues avant la rception des biens et des services et
avant le traitement des factures des achats ;
o Les commandes en instance sont rgulirement investigues et apures en
utilisant le rapport disponible dans JDE ( P43525) ;
o Les commandes achats sont autorises conformment aux pouvoirs de dcision
prvus dans le manuel des procdures de la socit ;
o Les factures fournisseurs reues sont saisies en utilisant la fonctionnalit
prvue dans JDE cet effet (JDE invoice logging functionality) ;
o Les factures dachats sont correctement codifies et approuves dans les dlais
appropris. Le rapport P43428 (Logged Voucher Detail Report) doit tre
rgulirement dit et revu ;
o Les diffrences entre les rapports des commandes et des rceptions sont
analyses ;
o Le rapport des marchandises reues mais non factures est revu et apur
rgulirement ;
135
o Le document de contrle des paiements est dit et revu pour tous les
rglements ;
o Les taxes (notamment TVA) sont correctement comptabilises ;
o Ldition automatique des chques est contrle ainsi que les chques non
utiliss ;
o Les paiements cash et les paiement urgents sont contrls ;
o Les contrles qui permettent dempcher les doubles paiements sont effectus
et revus rgulirement (Le rapport P04601 doit tre dit et revu
rgulirement) ;
o Les pouvoirs de signature des chques sont bien dfinis et contrls.
la fin danne est correctement mise en place et tout changement est soumis
un contrle strict.
138
ANNEXE 4
Programme de travail de la revue de scurit dans un
environnement de confiance (Trust Domain)
139
Domaine
Politique,
organisation et
administration
de la scurit
Questions daudits
Structure et gestion de la scurit
informatique
Procdure daudit
Structure et gestion de la scurit
informatique
Domaine
Questions daudits
identifies sont corriges ?
Procdure daudit
documentation et / ou des
interviews avec le personnel
concern/
1.4 Accord de confidentialit
avec le personnel
1.6
Domaine
Questions daudits
d'incident qu'il faut appliquer ?
Procdure daudit
remonts et contiennent le
traitement d'incident qu'il faut
adopter.
1.8.1
Vrifier
l'existence
des
procdures en obtenant et en passant
en revue une copie de ces procdures.
Domaine
Questions daudits
Procdure daudit
1.9.5
Les disquettes sont-elles
toutes vrifies avant utilisation ?
1.9.5
Vrifier que les
procdures imposent lobligation
de vrifier toutes les disquettes
avant toute utilisation et s'assurer
du respect de ces procdures en
inspectant quelques PC.
1.9.6
Existe-t-il des procdures
de continuit d'exploitation ou
alternatives en cas d'attaque par des
virus ?
1.9.6
Vrifier l'existence des ces
procdures en obtenant et en
passant en revue une copie de ces
procdures.
1.10
Procdures dauto-contrle
1.10.5
S'assurer que les revues et
les valuations des mcanismes
sont appliques en obtenant et en
passant en revue la politique
correspondante / Les procdures
et / ou en observant les
mcanismes mis en place.
1.10.2
Vrifier si toutes les
ressources informatiques sont incluses
dans le processus de la revue
informatique.
1.11 Documentation
vnements de scurit
des
Domaine
Questions daudits
sont-ils mis en uvre ?
Procdure daudit
interviews quels sont les mcanismes
mis en place. Vrifier sur la base d'un
sondage
que les mcanismes de
dtection des intrusions ont t bien
installs sur les PC, serveurs, etc.
1.12.2 Prvoir
par sondage les
ressources
informatiques
et
sassurer quelles sont incluses
dans les mcanismes de dtection
des intrusions.
1.12. Processus d'autorisation
d'installation des quipements
informatiques
1.13.1 Vrifier l'existence du
processus d'autorisation en
obtenant et en passant en revue
la documentation relative ce
processus et / ou en
interviewant le personnel
concern par ce processus.
1.13.2 Vrifier par sondage que les
outils de connexion sont
approuvs sur le plan technique.
Plates-formes et quipements
de communication relatifs
aux donnes scurises
Domaine
Questions daudits
priodiquement vrifies ?
Procdure daudit
ne sont pas utiliss.
2.2 Contrle des entres physiques
3.1
Scurit du rseau
3.2
3.2 Normes de scurit de la Plate-forme
Scurit
Physique
Normes de scurit de la
Plate-forme
3.2.1 Vrifier
l'adoption
des
standards en obtenant et en
passant en revue les documents
relatifs ces standards.
Domaine
Questions daudits
3.3 Configuration des plates-formes
3.3.1 Les plates-formes informatiques
du domaine sont-elles configures
conformment aux standards de la
version actuelle de la plate-forme
de scurit ?
3.3.2 Des vrifications mensuelles de la
plate-forme informatique sont-elles
effectues pour s'assurer de sa
conformit permanente aux standards
?
3.3.3 Les dviations aux standards ontelles t approuves.
Procdure daudit
3.3.1 Slectionner un chantillon de
plates-formes et s'assurer que les
standards ont t configurs sur
toutes les plates-formes.
Domaine
Scurit rseau
Questions daudits
Procdure daudit
4.2.2 Slectionner un chantillon de
rseau. S'assurer que les standards
ont t installs dans toutes les
connexions
au
rseau
en
inspectant
la
configuration
actuelle de quelques ordinateurs.
4.2.3 Obtenir et passer en revue les
approbations des dviations en
question.
147
ANNEXE 5
Exemple dun programme daudit de la scurit
spcifique lERP JD Edwards (Version World sous
AS/400)
148
Aspects gnraux
Existe-t-il un
Dterminer si le journal daudit log du carnet dadresse est activ, imprim et revu.
1.
MODULES JDE
2.
SECURITE
149
Dterminer sil existe des profiles utilisateurs JDE nayant pas de profil correspondant
au niveau AS/400. En cas dexistence de ce type de profil, le message ci-aprs sera
indiqu par JDE "** IBM Profile not found **".
150
A partir du menu G94, slectionner loption Action Code Security . Appuyer ensuite sur
la touche F21 pour afficher la liste des options de traitements possibles :
A partir du menu G94, slectionner loption 7 Approbation des lots de traitements (batch
Approval / Post) et revoir les lments suivants :
Options
Paramtrage
suggr
Lots de comptabilit AP
Y/N
Lots de comptabilit AR
Y/N
Commandes caches
Taper 36 au niveau de la saisie dans le menu JDE et voir si le rsultat de cette opration
permet laccs la ligne de commande de lAS/400.
151
ANNEXE 6
152
153
154
155
156
157
158
159
160
Libell
Dpartement
Alimentation
Etat D01
Etat D02
Etat D03
Etat D04
Etat D05
Etat D06
Etat D07
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Etat D08
Etat D09
Etat D10
Etat D11
marge de solvabilit ;
dpouillement du bilan par domaine montaire ;
primes acquises, sinistres pays et provisions pour sinistres payer ;
accidents du travail : Primes acquises, sinistres pays et provisions
pour sinistres payer ;
assurance responsabilit civile des vhicules terrestres moteur :
Primes acquises, sinistres pays et provisions pour sinistres payer ;
mouvement des polices au cours de l'exercice (Non Vie) ;
dtail de certaines provisions techniques non vie ;
dtail des soldes des intermdiaires d'assurances ;
dtail des soldes des rassureurs ;
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Dept
Recouvrement
Comptabilit
Comptabilit
Comptabilit
Comptabilit/
Actuariat
Comptabilit/
Actuariat
Manuelle (Excel)
Comptabilit
Comptabilit
Comptabilit
Dept
Rassurance
Dept
Rassurance
Comptabilit
Comptabilit
Comptabilit/
Actuariat
Comptabilit
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Etat D12
Etat D13
Etat D14
Etat D15
Etat D16
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
161
162
163
164
165
166
Prov.(RFS)
167
168
ANNEXE 7
LEXIQUE FRANAIS-ARABE
169
FRANAIS
COMPTABILITE
CHAMP DAPPLICATION
E-COMMERCE
CONNEXION
COURRIER ELECTRONIQUE
DONNEES NUMERIQUES
10
LOGICIEL
11
MATERIEL INFORMATIQUE
12
NORMALISATION
13
NORME
14
NOUVELLES TECHNOLOGIES DE
( )
LINFORMATION
15
RESEAU INTERNET
16
SAUVEGARDE
17
SECURITE
18
ACCES
19
MODULE
20
ASPECTS GENERAUX
21
PROFIL
22
DOSSIER FINANCIER
23
COMPAGNIE DASSURANCE
24
25
EXPERT COMPTABLE
26
COMMANDE
27
DOMAINE
28
FONCTION
29
UTILISATEUR
30
DEVELOPPEMENT
31
TEST
32
AUDIT
170
FRANAIS
33
APPROBATION
34
ORGANISATION
35
CYCLE DE VIE
36
PROCESSUS
37
PROCEDURE
38
APPLICATION INFORMATIQUE
39
LINFORMATIQUE
40
41
INTRANET
42
INTEGRITE
43
SYSTEME DINFORMATION
44
LE CONTROLE INTERNE
45
46
APPLICATION
47
ADMINISTRATEUR
48
49
MOT DE PASSE
50
E.R.P
51
BASE DE DONNEES
52
BASE DOCUMENTAIRE
53
BUREAUTIQUE
54
CIRCUIT INTEGRE
56
CLIENT
57
DISQUE DUR
58
DONNEES
59
EXTRANET
60
INDICATEUR
61
INFORMATION
62
INTERFACE
63
LANGAGE DE PROGRAMMATION
64
MEMOIRE
65
MICROPROCESSEUR
67
ORDINATEUR
171
FRANAIS
68
MODELE
69
SYSTEME DEXPLOITATION
70
(E.D.I)
71
72
SIGNATURE ELECTRONIQUE
73
AUTHENTIFICATION
172