Audit Que PDF

ROYAUME DU MAROC
INSTITUT SUPERIEUR DE COMMERCE

ET DADMINISTRATION DES ENTREPRISES
CYCLE DEXPERTISE COMPTABLE (C.E.C)
PROPOSITION D'UNE METHODOLOGIE POUR

LA CONDUITE DES MISSIONS D'AUDIT INFORMATIQUE
MEMOIRE PRESENTE POUR LOBTENTION DU DIPLOME

NATIONAL DEXPERT-COMPTABLE
PAR
M. Abdelilah TOURY
MEMBRES DU JURY
Prsident :
Directeur de Recherche :
Suffragants :
M. Mohamed ELMOUEFFAK
Enseignant et Directeur des tudes de LISCAE
Novembre 2003
M. Abdelaziz AL MECHATT
Expert-Comptable DPLE
M. Fawzi BRITEL
Expert-Comptable DPLE
M. Larbi KZAZ
Enseignant LISCAE
Mai 2006
REMERCIEMENTS
Je tiens remercier toutes les personnes qui ont particip la ralisation de ce travail.
Jexprime ma gratitude, particulirement :
Lensemble des enseignants lISCAE, pour la qualit de la formation quils mont assure
aussi bien pendant les quatre annes du Cycle Normal que pendant les trois annes du Cycle
dExpertise Comptable ;
M. ABDELAZIZ AL MECHATT, qui a suivi de prs la ralisation de ce travail ;
M. MOHAMED MOUEFFAK, Enseignant et Directeur des tudes lISCAE ;
M. FAWZI BRITEL, Expert-Comptable DPLE ;
M. LARBI KZAZ, Enseignant lISCAE.
Je remercie, au mme titre, M.Rachid MRABET, Directeur de lISCAE, qui veille

continuellement la qualit de la formation assure au sein de cet Institut.
TABLE DES MATIERES SIMPLIFIEE

INTRODUCTION GENERALE
PARTIE I :
LA COMPREHENSION DU CADRE GENERAL DE LA FONCTION INFORMATIQUE : UN
PREALABLE NECESSAIRE POUR LA REALISATION DES MISSIONS DAUDIT
INFORMATIQUE
INTRODUCTION DE LA PREMIERE PARTIE
TITRE 1 :
LENVIRONNEMENT ET LORGANISATION DE LA FONCTION INFORMATIQUE
10
CHAPITRE 1 : LENVIRONNEMENT ET LORGANISATION DE LA FONCTION INFORMATIQUE

DE LENTREPRISE
CHAPITRE 2 : LENVIRONNEMENT LEGAL DES SYSTEMES DINFORMATION
TITRE 2 :
PRESENTATION DES CYCLES DE VIE DU SYSTEME DINFORMATION DES RISQUES ET
DES CONTROLES Y AFFERENTS
CHAPITRE 1: PRESENTATION DES CYCLES DE VIE ET DES METHODOLOGIES DE
DEVELOPPEMENT DUN SYSTEME DINFORMATION
CHAPITRE 2 : IDENTIFICATION DES RISQUES ET DES CONTROLES LIES AUX CYCLES DE VIE
DES SYSTEMES DINFORMATION
10
22
32
32
37
CONCLUSION DE LA PREMIERE PARTIE

PARTIE II :
PROPOSITION DUNE METHODOLOGIE POUR LA CONDUITE DES MISSIONS DAUDIT
INFORMATIQUE
46
INTRODUCTION DE LA DEUXIEME PARTIE
49
TITRE 1 :
LE PROCESSUS DE LAUDIT INFORMATIQUE DANS LE CADRE DES MISSIONS DAUDIT
FINANCIER ET COMPTABLE
CHAPITRE 1 : PRESENTATION DE LA DEMARCHE DE LAUDIT INFORMATIQUE DANS LE
CADRE DES MISSIONS DAUDIT FINANCIER ET COMPTABLE
CHAPITRE 2 : LAUDIT DE LA FONCTION INFORMATIQUE (CONTROLES GENERAUX
INFORMATIQUES)
CHAPITRE 3 : AUDIT DES APPLICATIONS INFORMATIQUES
TITRE 2 :
PROCESSUS DE LAUDIT DANS LE CADRE DAUTRES MISSIONS DAUDIT
INFORMATIQUE
CHAPITRE 1: PROPOSITION DUNE APPROCHE DAUDIT DE LA MISSION CONNEXE DU
COMMISSAIRE AUX COMPTES RELATIVE A LEXAMEN DU DOSSIER FINANCIER
CHAPITRE 2: PROPOSTION DUNE METHODOLOGIE DAUDIT DE LA SECURITE
INFORMATIQUE
CONCLUSION DE LA DEUXIEME PARTIE
CONCLUSION GENERALE
BIBLIOGRAPHIE
PLAN DETAILLE
LEXIQUE DU SYSTEME DINFORMATION
ANNEXES
48
50
50
60
72
87
88
93
100
101
105
109
113
122
1.
Lenjeu conomique li lvolution et au rle des systmes dinformation dans

un contexte de globalisation
1.1
Evolution des systmes dinformation
Lenvironnement actuel de lentreprise est caractris par la globalisation des

conomies qui est facilite par le dveloppement acclr des systmes dinformation.
En effet, durant les vingt dernires annes, ils ont connu des volutions exponentielles
grce au dveloppement technologique. Ainsi, nous avons observ notamment,
lexplosion des micro-processeurs, le dveloppement des rseaux, lintgration des
systmes, louverture des systmes sur les partenaires de lentreprise.
Lirruption de lInternet a acclr considrablement lvolution des systmes

dinformation, puisque son cot rduit et sa relative simplicit dutilisation ont
favoris leur pntration, notamment vers les petites entreprises et
les
consommateurs. Lconomie moderne devient de plus en plus immatrielle.
Cette volution vers la Socit de lInformation naurait t facilite que par le

dveloppement spectaculaire des technologies de linformation.
1.2
Rle stratgique des systmes dinformation
Aujourdhui, les systmes dinformation revtent un caractre stratgique dans le

monde des entreprises. En effet, les exigences de lenvironnement (marchs financiers,
clients, concurrence... etc.) imposent celles-ci la performance et la ractivit. Ceci
implique que le traitement de linformation soit rapide et pertinent.
Ainsi, il est primordial que les systmes dinformation permettent lentreprise dune
part, dadapter en permanence sa structure aux exigences de son march et, dautre
part, dtre en mesure, daugmenter continuellement sa productivit.
Cest ainsi que les dirigeants des entreprises sorientent de plus en plus vers des
systmes ouverts, modulaires, axs sur les besoins des clients et permettant la
couverture de lensemble des besoins de lentreprise.
2.
Impacts des systmes informatiques sur lapproche de laudit financier

Les volutions significatives de la rglementation, des rfrentiels comptables et des
modes de fonctionnement des entreprises auxquelles nous avons assistes au cours de
ces dernires annes, ont fortement influenc la dmarche de laudit comptable et
financier.
Afin de rpondre aux nouvelles exigences imposes par cet environnement, lauditeur
devra revoir sa mthodologie daudit et complter sa formation dans le domaine de
laudit informatique de faon prendre en considration les risques induits par les
systmes informatiques et leur impact sur le dispositif du contrle interne.
En effet, louverture et la complexit des systmes peuvent engendrer des risques

ayant des consquences nfastes sur le bon fonctionnement de lentreprise.
Pour faire face ce nouveau contexte, les grands cabinets daudit et de conseil ont
adopt de nouvelles dmarches daudit qui reposent largement sur lvaluation des
risques et des contrles informatiques. Ces nouvelles approches imposent aux
auditeurs de comprendre, valuer et tester le contrle interne relatif lenvironnement
de la fonction informatique et aux applications grant les principaux processus des
activits de lentreprise.
3.
Problmatique et objectifs du prsent mmoire
3.1
Problmatique du mmoire
Le sujet du mmoire intitul proposition dune mthodologie pour la conduite des

missions daudit informatique est en relation directe avec les missions daudit et de
conseil de lexpert comptable.
La problmatique rside dans le fait que :
Linformation comptable et financire est souvent issue des processus hautement

informatiss et quil est par consquent inconcevable de certifier les comptes sans
auditer les systmes informatiques ;
En outre, les nouvelles rglementations exigent des auditeurs dvaluer et de tester les
procdures de contrle interne y compris celles lies aux systmes informatiques.
Les systmes informatiques induisent des risques spcifiques que lauditeur doit
prendre en considration dans sa dmarche daudit.
En effet, le recours aux technologies de linformation saccompagne inluctablement
de nouveaux risques, parmi lesquels nous pouvons citer :
Louverture des systmes dinformation aussi bien en interne travers les outils
dIntranet quen externe travers lInternet ;
Labsence de procdures de gestion et de matrise des risques lis lintroduction des

nouvelles technologies de linformation peut avoir des consquences financires
prjudiciables ;
Labsence de politiques et de procdures relatives la scurit informatique ;
La dpendance vis--vis des fournisseurs de technologie ;
La refonte des processus suite la mise en place de nouveaux systmes informatiques

peut affecter larchitecture des contrles et leur capacit couvrir les risques de
lentreprise.
Face ce nouveau contexte, quel est lapport de lexpert comptable ?
En effet, il sera confront la complexit des systmes informatiques et aux risques
qui leur sont lis. Il nest donc pas seulement appel adapter sa dmarche daudit
comptable et financier mais aussi conseiller les clients en matire de gestion des
risques et de mise en place des procdures de contrle interne lies aux systmes
informatiques.
3.2
Objectifs
Les objectifs atteindre par ce mmoire sont les suivants :
Prsenter une mthodologie claire permettant daider les professionnels effectuer des
missions daudit informatique ;
Prsenter les bonnes pratiques en matire dorganisation de la fonction informatique et

de management du systme dinformation, qui peuvent tre utilises comme un guide
par les professionnels dans leurs missions de conseils en gestion des risques ou de
mise en place des procdures de contrle interne ;
Permettre aux auditeurs financiers de comprendre les risques lis aux systmes
informatiques et de se familiariser avec la dmarche de lauditeur informatique devant
leur permettre dutiliser les rsultats de ces travaux dans leur approche daudit
financier.
Sur le plan personnel, ce travail ma permis dapprofondir mes connaissances dans un

domaine stratgique qui implique ncessairement une mise niveau du mtier de
lexpert comptable. En effet, celui-ci est amen de nos jours dvelopper une
expertise dans ce domaine, afin dlargir les champs de ses missions laudit et au
conseil en systme dinformation et dtre en mesure de certifier les tats de synthse.
4.
Dmarche adopte
De manire atteindre les objectifs noncs ci-dessus avec le maximum defficacit et

de valeur ajoute, la mthodologie adopte sarticule autour des axes suivants :
Une dmarche pragmatique
Elle consiste prsenter une mthodologie pour la conduite des missions daudit
informatique, en mettant en vidence les bonnes pratiques en matire de contrle des
systmes dinformation, ainsi que les guides permettant la ralisation de ce type de
mission notamment des guides spcifiques.
Un plan structur
Le plan de ce mmoire sarticule autour de deux grands volets :
1re partie : La comprhension du cadre gnral de la fonction informatique : Un
pralable ncessaire pour la ralisation des missions daudit informatique
Dans cette partie, lattention sera porte sur :
La comprhension du fonctionnement de la fonction informatique (son organisation,

son contrle interne et la gestion des cycles de vie des systmes informatiques) ;
La prsentation de lenvironnement lgal de la fonction informatique ;
La prsentation des bonnes pratiques en matire de gestion et dorganisation de la

fonction informatique, en sappuyant sur les rfrentiels existants et sur lexprience
vcue ;
La prsentation sommaire des cycles de vie des systmes informatiques ;
Lidentification des contrles et des risques lis la fonction informatique en

sappuyant galement sur les rfrentiels existants et sur les expriences tires des
missions accomplies au sein du cabinet. Cette identification sera effectue pour les
diffrents cycles de vie des systmes dinformation.
2me partie : Proposition dune mthodologie pour la conduite des missions

daudit informatique.
Dans cette partie, laccent sera mis sur :
Le processus de laudit informatique en tant que support aux missions daudit

comptable et financier ;
La prsentation des objectifs, des spcificits, des composantes, des phases et des
outils de la dmarche daudit informatique.
La dmarche daudit informatique dans le cadre de certaines missions spcifiques.

Laccent sera mis sur les missions qui prsentent un caractre obligatoire ou prioritaire
pour le pilotage des systmes dinformation et la gestion des risques qui leur sont lis.
Il y a lieu de noter que nous avons joint en fin du prsent mmoire, un lexique des
principaux termes informatiques utiliss. Par ailleurs, nous tenons prciser
quactuellement les systmes dinformation des entreprises sont gnralement
informatiss. Ce sont ces systmes automatiss auxquels nous faisons rfrence dans
le prsent mmoire. Les termes souvent utiliss dans notre tude sont soit les systmes
informatiques, soit les systmes dinformation (SI).
PARTIE I
LA COMPREHENSION DU CADRE GENERAL DE LA
FONCTION
INFORMATIQUE :
UN
PREALABLE
NECESSAIRE POUR LA REALISATION DES MISSIONS
DAUDIT INFORMATIQUE

Le processus de libralisation et de mondialisation des marchs entrane une
concurrence froce sur les marchs. Ceci, amne les entreprises matriser, entre
autre, leur systme dinformation afin dtre ractives et dtre en mesure de jouer un
rle prdominant dans leurs marchs.
Face aux exigences de ce nouvel environnement, les structures des organisations
notamment celles relatives la fonction informatique, devraient voluer de faon
permettre de raccourcir le cycle de leur processus et de ragir rapidement. Ces
ncessits imposent galement, une disponibilit de l'information en temps rel et une
intgration des systmes d'information et leur ouverture sur les partenaires de
lentreprise.
Lvolution et louverture des systmes sur les partenaires induisent de nouveaux
enjeux et risques, ce qui pourrait se traduire par laugmentation de la vulnrabilit des
systmes dinformation. Par ailleurs, la mise en place des nouveaux systmes
informatiques intgrs et complexes saccompagne par une refonte des processus de
gestion des activits et des procdures de contrle interne des entreprises.
Afin de prendre en considration les enjeux et les risques lis au dveloppement des
systmes informatiques, les lgislateurs et les organismes professionnels ont ragi et
ont adopt de nouvelles rgles et normes.
Il est vident que la comprhension de lorganisation et de lenvironnement lgal de la
fonction informatique, des cycles de vie des systmes et des principaux risques qui y
sont lis constituent un pralable ncessaire laccomplissement des missions daudit
informatique aussi bien dans le cadre des missions daudit financier que des missions
daudit spcifique.
Cette partie sera donc consacre :
Lenvironnement et lorganisation de la fonction informatique (titre 1) ;
La prsentation des cycles de vie du systme dinformation, des risques et des

contrles qui y sont lis (cf. titre 2).
TITRE 1 :
LENVIRONNEMENT ET LORGANISATION DE LA FONCTION
INFORMATIQUE
CHAPITRE 1 : LENVIRONNEMENT ET LORGANISATION DE LA

FONCTION INFORMATIQUE DE LENTREPRISE
Lobjectif de ce chapitre est dapporter des lments de contexte gnral et de

prsenter lorganisation de la fonction informatique. Il sera consacr la prsentation
des fonctions gravitant autour du systme dinformation et aux bonnes pratiques de
leur organisation.
1.
Rle et caractristiques des systmes dinformation
1.1
Rle des systmes dinformation de gestion
Le systme dinformation d'une organisation est constitu d'un ensemble de moyens,

de ressources, d'lments organiss permettant de collecter, saisir, traiter, stocker et
diffuser l'information. Cette dernire est ncessaire pour dcider, agir, prvoir,
contrler et effectuer les activits dune organisation.
L'amlioration de l'efficacit et de l'efficience des organisations est la proccupation

permanente des dirigeants des entreprises. Dans une conomie qui se mondialise, o la
concurrence devient de plus en plus froce, les organisations cherchent offrir
davantage de services aux clients, l'information est de plus en plus une variable
stratgique, essentielle et primordiale au processus de prise de dcision.
Le systme d'information est aujourd'hui au cur de la cration de valeur au sein des

entreprises et peut constituer un avantage comparatif par rapport la concurrence.
10
1.2
Caractristiques des systmes dinformation
Actuellement, les dirigeants des entreprises sont soucieux de la rentabilit, de la

capacit dvolution, et de la fiabilit de leur systme dinformation. Ainsi, ils
sorientent vers des systmes :
Globaux devant avoir une large couverture fonctionnelle permettant de prendre en

charge lessentiel des processus et de centraliser lensemble des flux dinformation. Ils
permettront ainsi doffrir des applications grant les activits de lentreprise et des
outils de contrle de gestion, de pilotage et daide la dcision ;
Ouverts sur dautres systmes par le biais dinterfaces permettant la gnration

automatique des transactions et des critures comptables, ainsi que lchange des
donnes informatises avec lensemble des partenaires ;
Modulaires avec une conception du systme dinformation selon le principe de

modules mtiers ;
Orients client permettant de disposer dune vision globale de lensemble des

informations des clients ;
Fiables et scuriss permettant de restituer des informations fiables et de protger les

donnes contre lensemble des risques pouvant menacer les systmes dinformation de
lentreprise.
2.
Rle et organisation de la fonction informatique
2.1
Rle de la fonction informatique
Compte tenu de leur caractre stratgique, la fonction informatique doit jouer un rle
central dans le pilotage et la gestion des systmes dinformation. Elle doit notamment,
assurer lalignement de la stratgie informatique avec celle de lentreprise.
11
Le rle de la fonction informatique diffre selon la taille et le degr de maturit de

lorganisation informatique. La maturit de lorganisation informatique peut tre
apprhende partir de deux aspects :
Laspect organisationnel : lorganisation informatique est considre comme ayant

atteint un degr lev de maturit si dune part, la relation entre linformatique et les
utilisateurs est rgie par des contrats de services ou Service Level Agreement SLA et si, dautre part, les utilisateurs reconnaissent le rle des directions des
systmes dinformation (DSI) et simpliquent dans les projets informatiques ;
Laspect fonctionnel et technologique : plus les systmes dinformation sont intgrs,

ouverts sur les partenaires et utilisent les nouvelles technologies (Approche Clients
Relationship Management - CRM, E-commerce, architecture client lger, Extranet
etc.), plus lorganisation est considre comme ayant atteint un degr de maturit
lev.
Lors de ses missions daudit et de conseil, lexpert comptable est appel valuer
cette maturit afin de comprendre le rle et le positionnement de linformatique au
sein de lentreprise, et de proposer des recommandations pratiques et adaptes au
contexte de sa mission.
2.2
Lorganisation de la fonction informatique
2.2.1
Structure de la fonction informatique
Afin daccompagner le dveloppement spectaculaire des systmes informatiques grce

lutilisation des nouvelles technologies, les directions des systmes dinformation
(DSI) ont d sadapter en largissant les comptences de leurs ressources humaines et
en se dotant dorganisations et doutils appropris.
En effet, lorganisation des DSI a volu dune architecture centralise vers des
structures plus tendues et ouvertes. La structure des DSI dpend des mtiers de
lorganisation et des technologies utilises, du recours aux progiciels et des pratiques
du management de lentreprise.
12
Quelque soit la structure adopte par lentreprise pour cette fonction, deux activits
principales nanmoins doivent tre assures savoir :
La gestion des oprations dexploitation informatique ;
La gestion des oprations relatives lacquisition, le dveloppement et la maintenance

des systmes informatiques.
Gnralement, la fonction informatique est organise de la manire suivante :
a-
Un directeur ou service informatique en charge de la supervision de la direction

informatique,
b-
une division ou service exploitation en charge des travaux d'exploitation des systmes
de production,
c-
une division ou service tudes et dveloppement en charge de la gestion des projets

informatiques,
d-
une division ou service systmes en charge de la gestion et de la maintenance des

systmes informatiques.
Selon la taille de la direction des systmes dinformation et le degr de dveloppement
des systmes informatiques de lentreprise, nous pouvons trouver dautres services
comme par exemple :
Le service tlcommunication ;
Le service assistance aux utilisateurs (HelpDesk) ;
Le service administration des bases de donnes (DBA) ;
Le service administration rseaux ;
Le service administration de la scurit informatique ;
Le service assurance Qualit.
13
2.2.2
Les principales attributions de la direction des systmes dinformation
Les principaux objectifs assigns la direction des systmes dinformation peuvent se

rsumer comme suit :
Permettre linformatique de dlivrer un bon niveau de service aux utilisateurs et de

pouvoir rpondre leurs attentes (qualit, dlais), en formalisant les relations et les
responsabilits dans le domaine informatique des diffrents intervenants (personnel
informatique, organisation, utilisateurs) ;
Assurer un bon niveau de contrle des oprations de la direction informatique, en

formalisant les contrles du personnel informatique et les tableaux de bord de la
direction informatique ;
Assurer la prennit des oprations de la direction informatique, en formalisant les

procdures informatiques.
Ainsi, la direction des systmes dinformation dfinit et met en uvre les systmes
dinformation, destins au pilotage et la gestion des diffrentes activits de
lorganisation. A ce titre, elle est charge de dfinir, de mettre en place et de grer les
moyens techniques ncessaires aux systmes dinformation et de communication, et de
planifier leur volution dans le cadre dun schma directeur. Elle dfinit et met en
uvre galement les contrles et les ressources informatiques (personnel, applications,
technologie, utilitaires, donnes) qui permettent datteindre ses objectifs dans les
domaines suivants :
o Le planning et lorganisation,
o Lacquisition et limplmentation,
o Lexploitation et la maintenance,
o Le monitoring (le pilotage).
2.3
Principes de gestion et de contrle interne relatifs lorganisation de la
fonction informatique
Avant daborder les principes du contrle interne relatif lorganisation de la fonction
informatique, il est utile de rappeler ceux relatifs au contrle interne des organisations
dune manire gnrale.
14
2.3.1
Rappel relatif au dispositif du contrle interne
Nous rappelons ci-aprs dune manire synthtique la dfinition et les composantes du

contrle interne :
Le systme du contrle interne selon les normes professionnelles
Au Maroc :
Le manuel des normes professionnelles marocaines en matire daudit lgal et
contractuel labor par lordre des experts comptables a dfini le contrle interne
comme suit :
Le contrle interne est constitu par l'ensemble des mesures de contrle, comptable
ou autre, que la direction dfinit, applique et surveille, sous sa responsabilit, afin
d'assurer la protection du patrimoine de l'entreprise et la fiabilit des enregistrements
comptables et des tats de synthse qui en dcoulent .
Le contrle interne ainsi dfini, doit permettre d'obtenir l'assurance raisonnable que :
Les oprations sont excutes conformment aux dcisions de la direction (systme

d'autorisation et d'approbation) ;
Les oprations sont enregistres de telle faon que les tats de synthse qui en
dcoulent soient rguliers et sincres et donnent une image fidle du rsultat de
l'exercice, de la situation financire et du patrimoine de l'entreprise (contrles internes
fiables lors du traitement des donnes et de l'laboration des tats de synthse) ;
Les actifs de l'entreprise sont sauvegards (sparation des tches, contrle physique
sur les actifs, service d'audit interne, assurances, etc.) .
15
En France :
La norme 2.301 du CNCC (Conseil National des commissaires aux comptes) a dfini
le systme du contrle interne comme lensemble des politiques et procdures mises
en uvre par la direction dune entit en vue dassurer dans la mesure du possible la
gestion rigoureuse et efficace de ses activits. Ces procdures impliquent le respect
des politiques de gestion, la sauvegarde des actifs, la prvention et la dtection des
irrgularits et inexactitudes, lexactitude et lexhaustivit des enregistrements
comptables et ltablissement en temps voulu des informations financires ou
comptables fiables. Le systme de contrle interne sentend au-del des domaines
directement lis au systme comptable. Il comprend lenvironnement gnral du
contrle interne et les procdures de contrle .
Dfinition du contrle interne selon le modle COSO :
Le modle COSO (Committee of Sponsoring Organizations) dfinit le contrle interne
comme suit :
Globalement le contrle interne est un processus mis en uvre par la direction
gnrale, la hirarchie, le personnel dune entreprise et destin fournir une assurance
raisonnable quant la ralisation dobjectifs entrant dans les catgories suivantes :
o Ralisation et optimisation doprations ;
o Fiabilit des informations financires ;
o Conformit aux lois et rglements en vigueur .
Ce modle distingue cinq niveaux de contrle qui permettent datteindre les objectifs
du contrle interne cits ci-dessus. Ces niveaux sont rsums comme suit :
Niveau 1 : Lenvironnement de contrle
Il constitue la base des autres lments du contrle interne. Il est dtermin par
lattitude et le comportement des dirigeants vis--vis du contrle interne. Il couvre les
domaines suivants :
o Lintgrit, lthique et la comptence du personnel ;
o Les responsabilits et les dlgations du pouvoir ;
o La politique des ressources humaines.
16
Niveau 2 : Lvaluation des risques

Les risques inhrents au business et lorganisation de lentreprise peuvent
lempcher de raliser ses objectifs. Ainsi, elle doit disposer des mcanismes et des
outils permettant didentifier, dvaluer et de grer ces risques.
Niveau 3 : Les activits de contrle :
Les activits de contrle sont une partie intgrante de lactivit de lentreprise. Elles
sont dfinies comme lapplication des normes et des procdures contribuant raliser
les objectifs et matriser les risques de lentreprise.
Nous distinguons deux types de contrle:
Les contrles de pilotage de lactivit : Ils comprennent les analyses effectues par le
management et les indicateurs de performance et de gestion lis aux activits de
lentreprise.
Les contrles dapplication: Ils comprennent les contrles de traitement des donnes,
les contrles physiques, la sparation des tches et les confirmations externes.
Niveau 4: Information et communication
Linformation revt une importance capitale dans la mesure o sa qualit influence
directement le processus de prise des dcisions et des contrles effectus.
En effet, afin de permettre au personnel dassumer ses responsabilits, le management
doit mettre sa disposition des informations fiables et pertinentes.
Par ailleurs, la communication aussi bien interne quexterne devra tre suffisante et de
qualit.
Niveau 5: Pilotage
Le management devra mettre en place des mcanismes et des outils de pilotage des
activits de contrle de faon garantir son fonctionnement permanent ainsi que son
alignement par rapport aux objectifs et aux risques de lentreprise. En outre, il y a lieu
de procder priodiquement lvaluation du contrle interne (auto-valuation, audit
interneetc.).
17
Dans le contexte actuel, la mise en place dun systme de contrle interne est une
obligation lgale qui incombe aux dirigeants de lentreprise. En effet, ces derniers
doivent dfinir leurs objectifs, identifier les risques du business et mettre en place un
systme de contrle interne. Le modle COSO permet de dcrire les composantes dun
bon systme de contrle.
Ce modle est devenu la rfrence des cabinets daudit et de plusieurs organismes
professionnels travers le monde. Ainsi, il a t retenu par le lgislateur Amricain
dans la rdaction de la loi Sarbanes oxley (expose dans le chapitre qui suit) comme
un modle de rfrence du contrle interne. Certains cabinets internationaux lont
galement intgr dans leur dmarche daudit pour la documentation du contrle
interne.
2.3.2
Le dispositif du contrle interne relatif lorganisation et le pilotage de la fonction
informatique
Les procdures de contrle relatives lorganisation et au pilotage de la fonction

informatique ont pour but de grer les risques qui menacent la ralisation des objectifs
de la fonction informatique. Parmi les facteurs qui peuvent engendrer ces risques nous
pouvons citer:
Mauvais environnement de contrle;
Faible dispositif du contrle interne;
Principe de sparation des tches non respect;
Absence danalyse des risques ;
Absence de systme de gestion des risques ;
Absence de politiques relatives la gestion des applications ;
Les rles et les responsabilits des utilisateurs et des informaticiens ne sont pas
clairement dfinis ;
Inexistence de manuel dadministration des systmes et des applications ;
Absence ou non mise jour des guides dutilisation des systmes et des applications ;
Incohrence des accs accords avec le principe de sparation des tches ;
Absence de dfinition d'une charte de service entre les utilisateurs et linformatique.
18
2.3.2.1 Les bonnes pratiques en matire de pilotage de la fonction informatique

Les principaux instruments de suivi et de pilotage de la fonction informatique sont le
comit informatique, les tableaux de bord et la charte de service (Service Level
Agreement).
Comit directeur informatique
Un comit directeur informatique est un instrument de gestion de haut niveau qui
permet de sassurer que la mission du dpartement informatique est en harmonie avec
les objectifs de lentreprise.
L'objectif d'une telle entit est de pouvoir runir les membres cls de l'organisation
afin notamment de :
Revoir et valider la stratgie informatique court et long terme ;
Fixer les priorits en matire de dveloppements informatiques ;
Procder l'arbitrage en matire des demandes de maintenance importante ;
Suivre l'avancement des diffrents grands projets ;
Dfinir les grandes lignes d'une stratgie en matire de scurit.

Ce comit pourrait se runir par exemple semestriellement, et chaque runion devrait
faire l'objet d'un compte rendu formalis distribu la Direction Gnrale ainsi qu'aux
diffrents responsables des dpartements. Ce compte rendu pourrait contenir :
L'ordre du jour du comit ;
Les diffrents points abords ;
Les dcisions prises ;
L'ordre du jour du comit suivant.

Les tableaux de bord
La DSI devra mettre en place des indicateurs et des outils de suivi et de mesure des
performances des activits et des cots des diffrentes fonctions informatiques. Les
indicateurs dvaluation des performances pourront tre tablis en fonction de
plusieurs axes danalyse (exemples : Contribution de la fonction informatique la
stratgie de lentreprise, matrise des cots, productivit, disponibilit, etc. ).
19
A titre dexemple dindicateurs, nous pouvons citer :
Le taux davancement des projets ;
La frquence de maintenance corrective des applications ;
Le turn over ;
La part de la sous-traitance ;
Le taux dutilisation des applications et des systmes ;
Les incidents ;
Le taux de disponibilit des applications, des systmes et des rseaux ;
Le nombre dincidents par nature et par criticit ;
Le taux de ralisation des budgets ;
Le degr de satisfaction.
La charte de service
Une charte de service (Service Level Agreement - SLA) est un contrat de service
entre les services informatiques et les utilisateurs. Ce contrat devra tre tabli pour
chacune des prestations assures par la DSI. Il doit galement prvoir les outils de
mesure et de suivi de la satisfaction des utilisateurs, notamment en ce qui concerne :
La disponibilit des systmes et le temps de rponse des applications ;
La qualit du support utilisateur ;
La continuit dexploitation en cas de sinistre.
2.3.2.2 Le dispositif du contrle interne relatif lorganisation de la fonction informatique

Afin que linformatique soit matrise, la Direction Gnrale et les directions
utilisatrices devront tre impliques dans le dveloppement, la gestion, la mise en
uvre et le contrle des systmes informatiques. Ainsi, la DSI devrait tre confie
une personne ayant lexprience et les comptences requises. Elle doit tre rattache
la Direction Gnrale, associe la stratgie de lentreprise et membre du comit
informatique. Ses performances devront tre rgulirement suivies et values.
20
Il est galement, recommand de dsigner un membre du directoire ou du conseil

dadministration qui sera responsable du suivi et du contrle des activits de la
fonction informatique.
Les principales bonnes pratiques relatives au dispositif de contrle interne de la
fonction informatique peuvent se rsumer comme suit :
La mise la disposition de la DSI du personnel adquat compte tenu des missions

assignes et des systmes et technologies utiliss ;
Les applications critiques doivent avoir un support suffisant (au moins deux personnes
ayant une bonne connaissance des systmes) ;
La mise en place dun plan de remplacement du personnel cl ;
La dfinition et la communication dune manire claire des rles et des

responsabilits du staff. Il est noter que dans les organisations dune certaine taille
un organigramme doit tre mis en place ;
La dsignation dun responsable des questions et des problmes de la scurit ;
La formalisation et la documentation des procdures informatiques ;
La formation du staff de la fonction informatique sur les mtiers de lentreprise, les

procdures et les technologies utilises ;
Limplication des utilisateurs dans le dveloppement et la mise en uvre des systmes

informatiques ;
Lutilisation dune mthodologie rigoureuse pour le dveloppement, la mise en service

des systmes et la documentation des applications ;
Lexistence et lapplication des procdures de modification des programmes ;
Limplication de la fonction dans les projets informatiques ;
Lexistence de procdures formalises et communiques aux personnes concernes ;
La sparation des tches entre les fonctions de spcifications fonctionnelles, de

dveloppement des programmes, tests, mise en production, exploitation des
applications, autorisation des transactions et de surveillance des donnes.
Aprs avoir pass en revue le rle des systmes dinformation, lorganisation de la
fonction informatique ainsi que les bonnes pratiques de contrle interne qui y sont
lies, il convient dexaminer lenvironnement lgal des systmes informatiques.
21
CHAPITRE
LENVIRONNEMENT
LEGAL
DES
SYSTEMES
DINFORMATION
Face lvolution technologique et informatique, en plus de la rglementation
existante, de nouvelles dispositions lgislatives sont apparues et de nombreuses
cellules de rflexion ont t cres, ce sujet, dans le cadre dorganismes
professionnels. A cet effet, nous allons essayer , tout au long de ce chapitre, de
comparer les ractions au Maroc par rapport celles dautres pays (dont,
essentiellement, la France).
1.
LA REGLEMENTATION COMPTABLE ET FISCALE
1.1
Au Maroc
1.1.1
La rglementation comptable
La lgislation marocaine ne prvoit pas des dispositions spcifiques relatives aux

systmes comptables informatiss, lexception de quelques dispositions implicites
contenues dans les textes fiscaux, le code du commerce, la loi 9-88 relative aux
obligations comptables des commerants et le CGNC.
1.1.2
La rglementation fiscale
Les textes relatifs limpt sur les socits (IS), la Taxe sur la valeur ajoute (TVA) et
limpt gnral sur les revenus (IGR) ont impos aux contribuables un certain nombre
dobligations comptables. Ces obligations relatives lorganisation et la conservation
des documents comptables ont pour objectif de permettre ladministration fiscale le
droit de contrle et de communication prvu par la loi.
En effet, les contribuables sont dans lobligation de tenir un certain nombre de livres
comptables quelque soit le systme choisi (systme classique, centralisateur ou
informatique).
22
Dans le cas o la comptabilit serait tenue par des moyens informatiques, le

contribuable devrait prvoir les dispositions permettant ladministration fiscale
dexercer son droit de contrle.
Il y a lieu de noter quen vertu des dispositions fiscales cites ci-dessus, les documents
comptables et les pices justificatives doivent tre conservs pendant une priode de
dix ans.
1.2
En France
Contrairement son homologue Marocain, le lgislateur franais a mis niveau sa

rglementation de faon prendre en considration les spcificits de lenvironnement
informatique des entreprises. Cette nouvelle rglementation prvoit de mettre en place
de nouvelles modalits de transmission, de conservation et de vrification des
informations communiques ladministration fiscale et des comptabilits
informatises en gnral.
Les principales dispositions fiscales prvues concernent essentiellement les aspects
suivants :
-
La documentation technique permettant dune part, de comprendre le systme

dinformation utilis au cours de la priode de contrle et, dautre part, de
transcrire de manire prcise les rgles de gestion des donnes et des fichiers qui
ont un impact direct sur la formation du rsultat comptable et fiscal et des diverses
dclarations prvues par la lgislation fiscale.
La conservation sur support informatique des donnes et des traitements lis la

formation des rsultats comptable et fiscal et des diverses dclarations prvues par
la lgislation fiscale pendant une priode de 3 ans.
2.
LE CADRE JURIDIQUE GENERAL

La comprhension du cadre juridique de la fonction informatique constitue un
pralable ncessaire pour la ralisation dune mission daudit informatique. Notre
propos au niveau de cette partie est de prsenter lessentiel des textes applicables et
23
projets relatifs au domaine informatique et qui peuvent avoir un impact sur les travaux
daudit de la fonction informatique.
2.1 Le cadre juridique au Maroc:

Les seules vritables innovations en la matire constituant larsenal juridique
marocain, sont les suivantes :
La loi n 2-00 du 15 fvrier 2000
Relative aux droits dauteur et droits voisins, cette loi consacre en effet le droit
dauteur et les sanctions civiles auxquelles les contrevenants ce droit sexposent
(articles 62 et 64 de la loi 2-00). Par ailleurs, la protection des entreprises est assure
par la loi 11-99 du 25 juillet 1993 formant code pnal. Il y a lieu de noter que dans le
cadre de laccord du libre change conclu entre le Maroc et les Etats-Unis dAmrique
(USA), la rglementation relative aux droits dauteurs a t complte et modifie par
la loi n 34-05 de faon la mettre en harmonie avec les standards internationaux.
Projets de lois rglementant le E-commerce

Des projets de loi visant rglementer les aspects lis au commerce lectronique ont
t proposs par un comit interministriel qui avait t institu cet effet. Ces projets
de lois ont t traits dans le mmoire intitul Incidence de la prsence dun site de
commerce lectronique sur la mission daudit prsent par M.Adnane LOUKILI pour
lobtention du diplme national dexpert comptable.
2.2 Le cadre juridique en France :
Contrairement au Maroc, la France a adopt des lois rglementant les aspects lis
lutilisation des nouvelles technologies de linformation. Les principales lois ont port
sur :
La protection des donnes relatives la vie prive des personnes ;
La protection des droits dauteurs en matire de production des logiciels ;
La sanction des fraudes informatiques : Les dlits sanctionns vont de laccs non
autoris aux informations la falsification des donnes informatiques ;
La protection de la transmission des donnes ;
La reconnaissance de la signature lectronique en tant que moyen de preuve ;

24
La dfinition des conditions de fiabilit des procds de signature lectronique ;
La possibilit de remplacer les dclarations crites par les messages lectroniques

condition de conclure un contrat qui prcise les rgles en matire de preuve.
3.
Rglementation spcifique aux dispositifs de contrle interne lis au reporting

financier
Suite aux scandales financiers qui ont secou le march lchelle mondiale,
notamment aux Etats unis, les lgislateurs Amricains et Europens ont promulgu des
lois visant rassurer les marchs financiers sur la fiabilit des reportings financiers :
Sarbanes Oxley (SOX) et la loi sur la scurit financire (LSF).
En revanche, il nexiste toujours pas au Maroc une rglementation dans ce domaine
lexception des circulaires mises par Bank Al Maghrib et le code des assurances.
3.1
Revue du systme dinformation dans le cadre de la revue par le CAC du
dossier financier tabli par les compagnies dassurance
Larticle 245 du code des assurances a rendu obligatoire le contrle par les CAC du
Compte Rendu Statistique et Financier prpar par les compagnies dassurance, appel
communment le Dossier Financier et transmis la Direction des Assurances et de
la Prvoyance Sociale (DAPS).
Le code des assurances na pas dfini ltendue de la mission du CAC relative
lexamen du Dossier Financier . Une commission ad hoc, compose des membres
de lordre des experts comptables et des reprsentants de la DAPS et de la Fdration
des assurances a dlimit la nature et le contenu de cette mission. Ainsi, elle a t
dfinie comme tant une mission connexe de revue du Dossier Financier.
Il y a lieu de souligner que cette mission connexe du CAC est en train dtre redfinie
afin de llargir lensemble du dispositif du contrle interne affrent au Dossier
Financier.
3.2
Circulaire n 6/G/2001 de Bank Al Maghrib relative au contrle interne des
Etablissements de crdit
Afin de renforcer le dispositif du contrle interne des tablissements de crdit, BANK
AL-MAGHRIB a mis la circulaire n6/G/2001. Celle-ci constitue un complment au
contrle prudentiel quantitatif, fond sur les limites de surveillance imposes par les
25
ratios prudentiels (coefficient de solvabilit, coefficient de division des risques,

coefficient de liquidit, rgles de classification et de provisionnement des crances en
souffrance).
La circulaire n 6 a impos aux tablissements de crdit la mise en place dun systme
de contrle interne visant matriser les risques quils encourent. Elle a ainsi prcis,
les modalits et les rgles minimales que ces derniers doivent observer dans ce
domaine.
Elle a galement numr certaines catgories de risques lies aux activits des
tablissements de crdit et a exig quils soient suivis dune manire permanente.
En ce qui concerne, la gestion des risques informatiques, elle a prvu dans son article
63 que le dispositif de contrle du risque informatique doit assurer un niveau de
scurit conformment aux normes technologiques et aux exigences du mtier.
Les rgles observer en matire de gestion du risque informatique, sont stipules dans
les articles 63,64 et 65 de la circulaire n 6/G/2001 et se rsument comme suit :
Documentation
Les supports de l'information et de la documentation relatifs l'analyse et l'excution
des programmes doivent tre conservs dans des conditions prsentant le maximum de
scurit contre les risques de dtrioration, de manipulation ou de vol (art 63).
Niveau de scurit et contrles

Les systmes informatiques doivent faire lobjet de contrles priodiques portant sur :
o Le niveau de scurit quils offrent (art.65) ;
o Lexistence de procdures de secours informatique (back-up) permettant dassurer
la continuit de lexploitation en cas de difficults graves de fonctionnement (art
64).
26
3.3
La loi Sarbanes-Oxley (SOX)
Cette loi vise rassurer les marchs financiers quant la sincrit de linformation
financire. Elle sapplique aux socits cotes aux Etats-Unis. Elle comprend 11
thmes dont :
o La responsabilit d'entreprise,
o L'amlioration de l'information financire.
Elle impose aux dirigeants de nouvelles obligations relatives au contrle interne
affrent au processus de production du reporting financier. Ainsi, lvaluation du
contrle interne par les dirigeants est effectue chaque anne, sous leur responsabilit.
Ils doivent galement certifier que des procdures et des contrles relatifs
l'information publie ont t dfinis, mis en place et maintenus, et que l'efficacit de
ces procdures et de ces contrles a fait l'objet d'une valuation.
Cette valuation doit tre revue par les auditeurs qui doivent produire une attestation
ce sujet.
En cas de non-respect de la loi, des peines sont prvues pouvant aller jusqu' 20 ans
d'emprisonnement et USD 20 millions d'amende.
Afin de rpondre ces nouvelles obligations, les dirigeants doivent mettre en place :
o Un systme de contrle interne,
o Un processus permettant de documenter les procdures de contrle, et dvaluer
leur efficacit et leur fonctionnement, de documenter les faiblesses et enfin de
mettre en place un plan daction visant corriger les faiblesses identifies et
amliorer le dispositif du contrle interne.
3.4
Loi du 1er aot 2003 sur la scurit financire (LSF)
A linstar du lgislateur Amricain, la France a promulgu la loi relative la scurit

financire dont le but est de protger les pargnants et les investisseurs. Ainsi, elle
27
impose de nouvelles obligations pour les entreprises et les commissaires aux comptes.
Les principales dispositions de cette loi sont relatives :
o Lindpendance des commissaires aux comptes et la communication sur le
contrle interne ;
o La responsabilit des dirigeants en matire de contrle interne.
Contrairement la loi Amricaine, la LSF na pas clairement dfini le primtre du
contrle interne ni le rfrentiel utiliser pour le documenter.
4 - Les principales positions des organismes professionnels :
Nous allons examiner au niveau de cette section les principales rflexions nationales et
internationales :
4.1 - Les normes marocaines
Selon la norme 2102 du manuel marocain des normes daudit lgal et contractuel :
L'valuation du contrle interne d'un systme de traitement informatis de
l'information financire est effectue selon une dmarche en deux parties telle que
dcrite ci-dessous :
o l'valuation du contrle interne de la fonction informatique (c'est--dire,
lensemble form par le service informatique et par les utilisateurs dans leurs
relations avec le service) qui a pour objectif de s'assurer que le systme
fonctionne de manire garantir :
.
la fiabilit des informations produites,
la protection du patrimoine,
La scurit et la continuit des travaux.
o l'valuation du contrle interne d'un systme ou d'une application o sera

considre plus particulirement :
28
Les contrles sur la prparation et la saisie des donnes, aussi

bien au niveau des services utilisateurs qu'au niveau
informatique ;
Les contrles sur l'exploitation : prvention contre des erreurs et

des fraudes pendant le traitement ;
Les contrles destins s'assurer de l'intgrit, de l'exactitude, et

de l'autorisation des oprations enregistrer ;
Le maintien du chemin de rvision (ou systme de rfrence) ;
La qualit de la documentation ;
Les modifications intervenues d'un exercice l'autre dans les

programmes, notamment pour les mthodes d'enregistrement et
d'valuation. .
4.2 - Les rflexions internationales
4.2.1 - Les rflexions de lIFAC (International Federation of Accountants)
LIFAC, qui est une rfrence en matire de normalisation des rfrentiels daudit, a
labor plusieurs normes relatives laudit financier dans un environnement
informatis. Parmi celles-ci, nous pouvons citer :
La norme Internationale relative l'audit dans le contexte d'un systme d'information

informatis,
La directive Internationale d'Audit relative un systme d'information fond sur un

micro- ordinateur autonome,
La directive Internationale d'Audit relative un systme d'information fonctionnant en

rseau et/ou en temps rel,
Directive Internationale d'Audit relative un systme bases de donnes,
Directive Internationale d'Audit relative l'utilisation des techniques d'audit assistes

par ordinateur.
29
4.2.2 - Les rflexions du Conseil National des Commissaires aux Comptes (CNCC) : En
France
Le CNCC soucieux de la qualit de laudit lgal effectu par les commissaires aux
comptes, a publi plusieurs normes, avis et guides relatifs laudit dans un
environnement informatis. Ces publications ont port sur plusieurs sujets dont
notamment la scurit informatique, le commerce lectronique, lchange des donnes
informatises et linternet.
4.3 - Autres rflexions : ISACA
LISACA (Information system audit and control association) est une association
considre comme le normalisateur de rfrence en matire daudit informatique.
Elle a labor des standards et des guides daudit informatique. Les standards de
lISACA ont port sur la responsabilit de lauditeur, les rgles de son indpendance,
le code de conduite professionnel quil doit respecter lors de ses missions daudit
informatique, ainsi que les connaissances et les comptences quil doit avoir et
maintenir travers la formation continue. Par ailleurs, lISACA a dfini des normes de
travail relatives la planification, lexcution et la finalisation des missions daudit
informatiques.
Elle a galement dvelopp le COBIT qui constitue un rfrentiel international de
gouvernance, de contrle et de laudit de linformation et des technologies associes. Il
a t conu partir des meilleures pratiques mondiales en audit et en matrise des
systmes d'information. Il est destin la fois la Direction dentreprise, aux
utilisateurs et aux auditeurs.
Il comprend quatre domaines : Planification et organisation, acquisition et mise en
place de systmes, distribution et support, surveillance. Ces domaines regroupent 34
processus principaux auxquels correspondent 302 objectifs de contrle.
A travers cette tude sommaire relative au cadre lgal des systmes informatiques,
nous constatons lintressement aussi bien pour les instances lgislatives que les
organismes professionnels.
30
Au Maroc, et au niveau rglementaire, nous remarquons un intressement du

Gouvernement mettre en place une rglementation relative aux nouvelles
technologies. Certainement, il y a encore beaucoup faire dans ce domaine mais les
projets de lois proposs visent notamment, combler le vide constat.
Au niveau des organismes professionnels, nous constatons une mise jour des lignes
directrices des normes daudit. Ceci dnote de limportance de lenjeu pour lexpert
comptable. En effet, ce dernier doit dans sa dmarche daudit effectuer les diligences
ncessaires afin de sassurer du respect des dispositions rglementaires relatives au
domaine informatique.
31
TITRE 2
PRESENTATION DES CYCLES DE VIE DU SYSTEME
DINFORMATION DES RISQUES ET DES CONTROLES Y
AFFERENTS
CHAPITRE
1:
PRESENTATION
DES
CYCLES
DE
VIE
ET
DES
METHODOLOGIES DE DEVELOPPEMENT DUN SYSTEME DINFORMATION

Lobjectif de ce chapitre est de comprendre les phases du cycle de vie dun systme
dinformation afin de faciliter lidentification des contrles et des risques y affrents et
qui seront abords dans le chapitre 2 qui suit.
1. LE CYCLE DE VIE DUN SYSTEME DINFORMATION

Avant de faire la description des phases du cycle de vie dun systme dinformation il est
important de faire un rappel sur la planification stratgique qui constitue un pralable la
naissance dun systme dinformation.
Planification stratgique
Lobjectif principal de cette tape est de dfinir globalement le systme dinformation
cible de lorganisation et les moyens pour sa ralisation.
Afin datteindre cet objectif, il y a lieu danalyser la situation actuelle, de dfinir les
besoins futurs en fonction des orientations gnrales du management de lentreprise.
Le principal document issu de cette tape est le plan stratgique ou le schma directeur.
Ce plan stratgique doit dfinir les projets, les priorits et les actions mener court,
moyen et long terme.
Le plan stratgique informatique, qui assure lalignement de la stratgie des systmes
dinformation avec celle de lentreprise, devrait tre approuv par la Direction Gnrale
ou par un comit de direction reprsentant de lensemble des utilisateurs.
32
1.1
Description des phases des cycles de vie dun systme dinformation
Pour chacune des tapes de chaque phase du cycle de vie dun systme dinformation,
nous allons rsumer les objectifs, la dmarche suivre ainsi que les documents ou
produits issus de ltape :
1.1.1 Phase de ltude de faisabilit
Lobjectif de cette tape est dtudier la faisabilit technique et organisationnelle du

systme dinformation dvelopper ou acqurir et danalyser sa rentabilit
conomique.
A lissue de cette tape, un document dtude de la faisabilit devrait tre tabli.
1.1.2
Phase de dveloppement
Elle comprend les tapes de conception, de ralisation des programmes et de mise en

uvre.
1.1.2.1 Etape de Conception
Cette tape comprend deux activits principales :
Analyse fonctionnelle
Les principaux objectifs de lanalyse fonctionnelle sont de spcifier les solutions retenues
par domaine fonctionnel, obtenir un consensus entre les utilisateurs et les informaticiens
et affiner la charge et le planning de la suite des travaux.
La dmarche suivre comprendrait notamment la description exhaustive et dtaille de la
solution retenue, lorganisation des circuits dinformation et les traitements effectuer
(contrles, calculs, dcisions). A lissue de cette tape, un cahier des charges et des
spcifications fonctionnelles devrait tre tabli.
33
Analyse technique
Les principaux objectifs de lanalyse technique sont la prparation de la programmation,
ltablissement du plan de test et la planification de la programmation.
Durant cette phase, larchitecture des programmes devrait tre dcrite dans des termes
comprhensibles par les informaticiens chargs de la programmation.
A lissue de cette tape, les principaux documents tablir sont : les spcifications
techniques, le dossier de programmation et le plan des tests (Dfinition des phases,
calendrier, responsabilits, standards de documentationetc.).
1.1.2.2 Etape de ralisation des programmes
Le principal objectif de cette tape est de produire le code (programme) et la
documentation associs aux spcifications tout en garantissant les critres de qualit
exigs.
Lors de cette tape, les programmes devraient tre tests (recettes fonctionnelle et
technique) et documents conformment aux standards requis. En outre, il y a lieu
dtablir des guides dinstallation, dexploitation et dutilisation.
1.1.2.3 Etape de mise en uvre
Les principaux objectifs de cette tape sont la dfinition de lorganisation des postes et
des procdures de travail, la formation du personnel laccomplissement de ses nouvelles
tches, la transformation des donnes existantes dans le format attendu par les nouveaux
programmes et le lancement de la mise en production des nouveaux programmes.
Lors de cette tape, il y a lieu de dcrire les fonctions des services et des postes de travail
ainsi que les procdures de traitement. Par ailleurs, le plan et les supports de formation
devraient tre prpars et excuts. Enfin, les travaux dordonnancement et les travaux
ncessaires au changement du systme ainsi que leur excution devront tre effectus.
34
A lissue de cette tape, les principaux documents produire sont: les fiches de poste, le
manuel des procdures, le plan de formation et le plan de lancement.
1.1.3
Phase dexploitation
Lexploitation a pour objectif dassurer le bon fonctionnement des machines, des

priphriques, des rseaux et des programmes.
Pour ce faire, il y a lieu de dfinir et mettre en uvre une politique adquate de gestion
des moyens techniques et des incidents dune part, et des procdures documentes
dexploitation des programmes d'autre part.
1.1.4
Phase de maintenance
Les principaux objectifs de la maintenance sont la correction des erreurs, lamlioration

des performances des programmes et la ralisation des modifications demandes par les
utilisateurs.
La dmarche suivre pour la maintenance des programmes est similaire celle des
tapes de dveloppement mentionnes ci-dessus. Il faudrait veiller, lors de cette tape,
la mise jour de la documentation des programmes modifis.
2.
METHODES DE CONCEPTION ET DE DEVELOPPEMENT DES SYSTEMES

DINFORMATION
Les mthodologies de dveloppement des systmes dinformation sinscrivent toutes
dans lingnierie des systmes (system engineering). Celles-ci comprennent non
seulement lanalyse, le design et la programmation relatifs au dveloppement dun
logiciel, mais aussi, la dfinition des postes de travail et des processus de faon faciliter
limplmentation des solutions dveloppes. En effet, la mise en place des nouveaux
systmes saccompagne le plus souvent par la refonte des processus.
35
Il y a lieu, de faire une distinction entre une mthodologie et un modle de

dveloppement. La premire concerne la dfinition des tapes et des tches de
dveloppement ainsi que la gestion des projets. En revanche, le modle de
dveloppement concerne les lments relatifs au dveloppement du logiciel (langage de
dveloppement et le dtail technique touchant le matriel informatique).
Par ailleurs, il existe une panoplie de mthodologies pour concevoir, dvelopper et mettre
en uvre un systme dinformation. Dans le cadre de ce mmoire, nous nallons pas
aborder ces diffrentes mthodes.
36
CHAPITRE 2 : IDENTIFICATION DES RISQUES ET DES

CONTROLES LIES AUX CYCLES DE VIE DES SYSTEMES
DINFORMATION
Aprs avoir dcrit les cycles de vie des systmes et synthtis les bonnes pratiques y
affrentes, il est ncessaire pour lauditeur de comprendre les risques et les contrles
qui y sont lis.
LES RISQUES LIES AUX CYCLES DE VIE DES SYSTEMES

DINFORMATION
Pralablement la prsentation des risques lis aux cycles de vie des systmes
dinformation, il est utile de rappeler la dfinition du risque et le facteur de risque.
1.1
Dfinition du risque
Le risque peut tre dfini comme un pril mesurable visant des biens ou des activits
prcis aux consquences conomiques dommageables ( Jacques Charbonnier)
Le risque informatique est dfini comme la possibilit dun vnement provoquant une
rduction de ladquation aux besoins ou de lefficacit/ performance ou de la fiabilit/
scurit ou du niveau de ressources, ce qui pourrait induire la non ralisation dun
objectif de lentreprise ou de lune des fonctions de celle-ci.
1.2
Facteur de risque
Le facteur de risque est une cause de vulnrabilit due une faiblesse du contrle
interne (faiblesse du processus de gestion, absence de politique de scurit, absence de
politique informatiqueetc.). Le risque informatique peut avoir un impact fonctionnel
(consquence sur le fonctionnement du systme dinformation) ou financier.
Dans ce mmoire, le mot risque est utilis par simplification la place de facteur
de risque. Les facteurs de risque ainsi que les mesures de protection proposes pour y
remdier ont t dvelopps dans le mmoire de M.Omar SEKKAT intitul Le rle
37
de lexpert-comptable face aux risques de scurit micro-informatique dans les PME proposition dune dmarche . Comme cela a t demand par le jury qui a valid la
notice du prsent mmoire, nous allons nous limiter rappeler les principaux facteurs
de risque lis au cycle de vie du systme dinformation et aux applications
informatiques.
1.3
Les risques lis au cycle de vie du systme dinformation
1.3.1
Risques lis la planification
Les principaux risques associs la planification peuvent se rsumer comme suit :
Non prise en compte de la stratgie de lentreprise;
Absence dune stratgie globale de conception et de dveloppement ou d'acquisition

du systme dinformation;
Non alignement de la stratgie du systme dinformation celle de lentreprise;
Non implication du top management dans la dfinition de la stratgie, la conception, le

dveloppement et lacquisition des systmes informatiques;
Absence dtudes de rentabilit et de faisabilit des systmes informatiques acquis ou

dvelopps;
Absence de plan informatique;
Absence de suivi des projets informatiques;
Processus dtablissement des priorits non dfini ;
Processus de dcision non document.

1.3.2
Risques lis au dveloppement et la mise en service des systmes informatiques
Les principaux risques associs au dveloppement se rsument comme suit :
Gestion de projet dficiente;
Objectifs et primtre du projet mal dfinis;
Absence de mthodologie de dveloppement ;
Inadaptation des mthodes, des techniques et des outils utiliss;
Drapage au niveau des cots et des dlais;
38
Faible adquation des solutions dveloppes par rapport aux besoins des utilisateurs;
Analyse insuffisante dans la phase de conception;
Absence des tests utilisateurs des applications dveloppes;
Formation insuffisante des utilisateurs;
Documentation insuffisante des solutions dveloppes;
Absence de tableaux de bord et doutils de suivi des projets de dveloppement.

1.3.3
Risques lis la mise en service
Les principaux risques associs la mise en service dun systme dinformation

peuvent se rsumer comme suit :
Communication et coordination dficientes entre exploitation et tudes;
Absence de sparation des tches entre tudes et exploitation;
Documentation technique insuffisante;
Tests excuts sans le recours une mthodologie approprie;
Absence de plan de reprise des donnes;
1.3.4
Risques lis lexploitation
Les principaux risques associs lexploitation peuvent tre rsums comme suit :
Absence de procdures formalises de gestion de lexploitation;
Absence de tableaux de bord et doutils de suivi de lexploitation;
Programmes excuts avec les mauvaises donnes;
Programmes non excuts;
Programmes excuts deux fois;
Programmes excuts dans le mauvais ordre;
Excution non autorise des programmes (fraude);
Rptition derreurs de traitement;
Restauration incorrecte des fichiers aprs incidents.
39
1.4
Gestion des risques
Le dveloppement des systmes des technologies de linformation a permis aux

organisations davoir de grandes possibilits de traitement, de stockage et de
communication
des
informations.
Toutefois,
louverture
des
systmes
sur
lenvironnement de lentreprise les a rendus plus vulnrables aux accidents et

malveillances (externes et internes).
Il existe deux types de risques:
Les risques physiques (incendies, dgts des eaux, vols, etc.);
Les risques logiques (virus, piratage, altration ou destruction de donnes, etc.).
La survenance de ces risques peut avoir des consquences lourdes sur les entreprises
(perte de business suite lindisponibilit des systmes, cot financier li aux dgts
causs aux systmes). Cest pour cela que la protection des systmes est devenue une
proccupation majeure des dirigeants des entreprises.
Les politiques de scurit mettre en place doivent tre en mesure de protger les
ressources sensibles de lentreprise en prenant en considration les contraintes
techniques et organisationnelles.
Les mesures de scurit et de protection des systmes informatiques ont t
dveloppes par M.Omar Sekkat dans le mmoire prcdemment cit. Comme cela a
t demand par le jury qui a valid la notice de ce mmoire, nous nallons pas traiter
les mesures de gestion des risques. En revanche, et conformment aux
recommandations du jury, nous allons nous focaliser sur la dmarche de laudit de la
scurit informatique. Ainsi, un chapitre lui sera consacr dans la deuxime partie de
ce mmoire.
2
CONTROLES LIES AUX CYCLES DE VIE DES SYSTEMES

DINFORMATION
La prsentation des bonnes pratiques en matire de contrle interne relatif aux phases
du cycle de vie des systmes dinformation, sera limite principalement aux contrles
usuels et pertinents. Elle couvrira les contrles relatifs aux aspects suivants:
40
Le dveloppement et la mise en uvre des applications informatiques;
La gestion des modifications des programmes et des applications;
Lacquisition et la slection des progiciels;
La gestion des oprations dexploitation informatique;
Les procdures utilisateurs;
Le plan secours.
2.1
Les contrles relatifs au dveloppement et la mise en uvre des
applications informatiques
Afin de mieux piloter les projets informatiques, il est recommand de mettre en place
les pratiques suivantes:
Une gestion approprie des projets informatiques en fonction de leur importance en

prvoyant les ressources et les outils ncessaires ;
Lutilisation dune mthodologie rigoureuse et approprie;
Ltablissement dun budget et des outils permettant le suivi et le pilotage des projets
informatiques;
Une division des phases des projets en des tches bien dfinies avec des points de
contrle de la ralisation de ces tches ;
Les outils de planification et de reporting;
Lallocation des ressources ncessaires aux projets ( personnel et matriel);
Limplication de la direction dans le pilotage et le suivi des projets informatiques;
Limplication des utilisateurs cls dans toutes les phases des projets;
Les besoins des utilisateurs devraient tre suffisamment analyss et pris en compte
dans le dveloppement des projets;
La prise en considration des besoins de scurit et de contrle interne au niveau de

chaque tape du projet ;
La ralisation des tests techniques et utilisateurs avant la mise en production de toute

nouvelle application informatique;
41
Une procdure dautorisation des transferts en production des programmes

dvelopps: Cette procdure devra permettre le contrle des transferts en production
des programmes (seuls ceux tests et autoriss doivent tre mis en production);
Une documentation approprie des applications dveloppes (documentation

technique et utilisateurs).
2.2
Les contrles relatifs la gestion des modifications
En matire de gestion des modifications des programmes il faudrait prvoir

notamment:
Un systme de dcision permettant de choisir entre maintenir un programme, le

rcrire ou carrment le remplacer;
Une procdure de demande, dautorisation et de suivi des modifications: Celles-ci

doivent tre justifies et prioritises;
Une mthodologie de spcification, de design, de test et de mise en production des

modifications apportes aux programmes;
Une revue des modifications: Elle doit tre ralise afin de sassurer quelles ont t
effectues conformment aux standards et aux procdures de contrle interne de
lentreprise ;
Une mise jour de la documentation des programmes modifis.
2.3
Les contrles relatifs la slection et la mise en uvre des progiciels
A linstar du dveloppement des applications, lacquisition des progiciels devrait se

faire selon des procdures rigoureuses dont notamment:
La slection des solutions connues et ayant fait leur preuve;
Le choix des solutions en fonction de leur rponse aux besoins de lentreprise, de leur
fiabilit et de la qualit du support fourni par leurs fournisseurs: il y a lieu de
souligner, que ltude des besoins et ltablissement de cahier des charges est un
pralable obligatoire;
La Limitation des dveloppements au minimum: En effet, la majorit des besoins

devraient tre satisfaite par les progiciels acqurir. Les dveloppements spcifiques
42
sont gnralement limits au paramtrage de certaines fonctionnalits non prvues

dans les progiciels;
Le package choisi doit inclure les contrles appropris;
Les tests techniques et utilisateurs doivent tre effectus avant toute mise en
production des progiciels;
Les utilisateurs doivent tre impliqus dans toutes les phases de lacquisition jusqu
la mise en uvre des progiciels (dfinition des besoins, choix de la solution, mise en
uvre et tests);
La rdaction de contrat prvoyant lengagement formel des fournisseurs assurer

lassistance aux utilisateurs et la maintenance des solutions vendues: il y a lieu de
noter quil est prfrable davoir un seul fournisseur responsable de lensemble des
prestations afin dviter la dilution des responsabilits.
2.4
Les contrles relatifs la gestion des oprations dexploitation informatique
La gestion de lexploitation des systmes importants est normalement assure par des
informaticiens ddis et suivant des procdures dtailles et formalises. En revanche,
lexploitation des petits systmes pourrait tre ralise par un informaticien temps
partiel ou par des utilisateurs suffisamment forms.
En effet, pour les systmes importants, il y a lieu dtablir des procdures dtailles
expliquant toutes les tches des oprateurs. Ces procdures doivent inclure aussi bien
les oprations dexploitation normale que celles relatives la gestion des incidents.
Afin dassurer une gestion efficace des oprations dexploitation, il est vivement
recommand dautomatiser au maximum les oprations dexploitation. Il est noter
que dans le cas o elles seraient automatises, la vrification de leur fiabilit devrait
tre effectue au moment de leur premire mise en uvre.
De plus, La direction informatique devrait mettre en place des indicateurs et des

tableaux de bord permettant de remonter notamment les lments suivants :
Les incidents dexploitation: Il faudrait documenter la nature des incidents relevs,

leur impact ainsi que la manire avec laquelle ils ont t rsolus;
Le taux dutilisation des systmes;

43
Le temps de rponse des systmes critiques;
Les tentatives daccs non autoris aux systmes.

Par ailleurs, il y a lieu de contrler les activits des oprateurs qui sont chargs des
oprations dexploitation des systmes.
En outre, il faudrait prvoir des procdures appropries de sauvegarde et de
conservation des donnes et des programmes.
2.5
Les contrles relatifs aux procdures utilisateurs
Afin dassurer une bonne utilisation des systmes, il faudrait notamment, prvoir:
Des instructions dtailles permettant de faciliter lutilisation et le contrle des

systmes: Elles doivent tre mises jour chaque changement effectu;
Une formation approprie des utilisateurs. Elle doit inclure des guides et des manuels
relatifs lutilisation des systmes ;
La mise en place dun service de support aux utilisateurs: Ceci est envisag
notamment dans les organisations dune certaine taille. En revanche, dans les
organisations dune taille rduite, lassistance aux utilisateurs est gnralement assure
par le personnel de lexploitation ou du dveloppement des systmes.
2.6
Les contrles relatifs au plan de secours
Afin de se prmunir contre les dommages lis aux risques dinterruption des systmes
informatiques, un plan de secours est fortement conseill. Il doit porter sur tous les
lments susceptibles dtre affects par les disasters informatiques. Ce plan inclura
non seulement les oprations lies aux systmes informatiques mais aussi toutes les
fonctions critiques pour la continuit du business de lentreprise.
Il doit comprendre notamment:
Les procdures de restauration des systmes informatiques;
Les mthodes dobtention des informations ncessaires la continuit du business;
Les critres de sa mise en uvre;
Le temps ncessaire la restauration de chaque fonction cl du business;
44
Les quipements de remplacement (matriel, programmes, tlcommunication);
Les mthodes de traitement et de conservation pendant la priode dindisponibilit des

systmes;
Le personnel responsable des diffrentes tches du plan de secours;
Les procdures de sauvegarde et de restauration des programmes et des donnes suite

un incident ventuel.
Afin de prparer un bon plan de secours, il faudrait bien identifier les fonctions
critiques du business ainsi que les systmes qui les grent.
Une fois ce plan est tabli, il y a lieu de le tester rgulirement et de le mettre jour
chaque changement des systmes ou des oprations du business.
45
Les systmes dinformation sont composs de plusieurs modules, sous-systmes ou

applications et des infrastructures permettant de recueillir (collecter et saisir), traiter,
stocker, prendre et vhiculer linformation. Ils sont de plus en plus intgrs, ouverts et
complexes et permettent de prendre en charge la majorit des processus de lentreprise
ou de lorganisation.
Dans une conomie de plus en plus mondialise et libralise, les systmes
dinformation sont devenus un levier stratgique pour les entreprises et pourront
constituer un avantage concurrentiel sils sont grs dune manire efficace et
efficiente.
Face ce nouvel environnement contraignant, lorganisation de la fonction
informatique dans les entreprises performantes a t repense de faon tre ractive
et en adquation avec la stratgie de lentreprise.
Au cours de cette partie, nous avons expos le rle des systmes dinformation ainsi
que lorganisation de la fonction informatique. Nos propos ont t axs sur les bonnes
pratiques en matire de contrle interne relatif la fonction informatique.
Par ailleurs, nous avons soulign que lvolution, la complexit et louverture des
systmes dinformation sur les partenaires de lentreprise saccompagnent le plus
souvent, par de nouveaux risques. Ces derniers, qui sont lis lenvironnement et
lorganisation de lentreprise, rendent les systmes dinformation vulnrables. En
effet, sils ne sont pas bien encadrs par le dispositif du contrle interne, ils peuvent
engendrer de lourdes consquences pour les entreprises. Les facteurs de ces risques
ont t synthtiss dans cette premire partie du mmoire.
Au cours de cette partie, nous avons galement rsum les ractions des lgislateurs et
des organismes reprsentant les corps professionnels de laudit face au nouveau
contexte de lenvironnement de la fonction informatique.
La mission de laudit financier, qui repose aujourdhui largement sur le contrle
interne des entreprises, devra tre adapte et complte de faon prendre en
46
considration les risques et les contraintes imposs par le nouvel environnement des
entreprises.
En effet, dans un milieu informatis, il est devenu trs difficile de certifier les tats de
synthse sans auditer pralablement les systmes informatiques.
La dmarche daudit informatique dans le cadre dune mission daudit financier,
prenant en compte les enjeux du nouveau contexte, sera prsente dans la deuxime
partie de ce mmoire.
47
PARTIE II
PROPOSITION DUNE METHODOLOGIE POUR
CONDUITE DES MISSIONS DAUDIT INFORMATIQUE
LA
48

Dans le contexte actuel, lenvironnement de laudit financier a fortement chang et il
se caractrise ainsi par:
La complexit des modes de fonctionnement des entreprises qui deviennent de plus en

plus dpendantes des nouvelles technologies;
Lvolution de la rglementation et des rfrentiels comptables (Sarbanes oxley, Loi

sur la scurit financire, IFRSetc.);
Lexigence croissante des marchs financiers en ce qui concerne la qualit de

linformation financire produite par les socits cotes.
Ainsi, les cabinets daudit ont d revoir leur mthodologie de faon rpondre aux
exigences des marchs et de la rglementation, dune part, et, damliorer la qualit de
laudit comptable et financier, dautre part.
Les nouvelles dmarches daudit adoptes reposent largement sur la comprhension

des risques inhrents au business et lorganisation des entreprises ainsi que sur la
qualit de contrle interne de ces dernires.
Compte tenu du fait que les entreprises sont devenues hautement informatises,
lvaluation des systmes informatiques devient un axe central dans la dmarche de
laudit financier.
La deuxime partie de ce mmoire, est consacre la prsentation dune mthodologie

pour la conduite des missions daudit informatique en tant que support laudit
comptable et financier, ainsi que des dmarches daudit informatique dans le cadre de
certaines missions spciales.
49
TITRE 1
LE PROCESSUS DE LAUDIT INFORMATIQUE DANS LE
CADRE DES MISSIONS DAUDIT FINANCIER ET COMPTABLE
CHAPITRE 1 : PRESENTATION DE LA DEMARCHE DE LAUDIT
INFORMATIQUE DANS LE CADRE DES MISSIONS DAUDIT FINANCIER
ET COMPTABLE
Afin de mieux comprendre la place de laudit informatique dans le processus de

laudit, il y a lieu de rappeler brivement dans ce chapitre la nouvelle dmarche
gnrale de laudit financier, et dexposer par la suite lapproche propose pour la
conduite des missions daudit informatique.
1.
Prsentation de la nouvelle dmarche gnrale de laudit comptable et financier
1.1
Caractristiques de la nouvelle approche daudit
La dmarche daudit que nous allons prsenter dans ce mmoire, sinspire des
mthodologies rcemment dveloppes par les cabinets internationaux daudit et de
conseil. Il sagit dune approche daudit par les risques ; base essentiellement sur la
comprhension des activits des clients et lvaluation de leur dispositif de contrle
interne. En effet, ces nouvelles mthodologies visent mieux rpondre au nouveau
contexte de laudit comptable et financier (exigences rglementaires: SOX, LSF et
pressions des marchs financiers).
En effet, la loi Amricain(SOX) stipule que lauditeur doit examiner les tats
financiers et le contrle interne. Ainsi, lapproche daudit dveloppe permet de:
o Certifier les tats financiers;
o Donner une attestation sur la certification de lefficacit du dispositif contrle interne
relatif au reporting financier tabli par le management.
Cette nouvelle approche daudit est une dmarche intgre. Elle ne remet pas en cause
les principes fondamentaux de laudit, mais elle constitue une volution
50
mthodologique visant se conformer au nouveau contexte de laudit dune part, et,

mieux grer le risque professionnel daudit dautre part.
Les caractristiques de cette nouvelle dmarche peuvent se rsumer ainsi:
o Lvaluation et les tests relatifs aux contrles deviennent systmatiques: Auparavant,

les tests des contrles ntaient effectus que lorsque lauditeur sappuyait sur eux
pour valider les comptes. Dsormais, ce type de tests est prconis par la
rglementation;
o Lidentification et lvaluation des risques ne sont plus effectues partir des comptes
mais, elles se basent sur la comprhension du business, des engagements et des
oprations de lentreprise audite;
o Lassurance daudit est davantage obtenue travers lvaluation et les tests du
dispositif du contrle interne y compris les contrles de pilotage;
o Le lien entre les travaux sur le contrle interne et ceux sur les comptes est mieux
clarifi;
o Les recommandations daudit ont une plus grande valeur ajoute pour les clients
puisquelles sont plus axes sur les vraies proccupations du management.
1.2
Les phases de la nouvelle approche daudit comptable et financier
La nouvelle dmarche daudit repose sur une approche intgre dont, le cycle
dassurance daudit est le point central. Celui-ci commence partir des premiers
entretiens avec le management. Les principales tapes de laudit de cette dmarche
sont rsumes comme suit :
1.2.1
Phase dacceptation et de poursuite de la mission
Cette phase a pour objectif de dcider de lacceptation dune nouvelle mission ou la

poursuite dune ancienne mission. Lauditeur doit valuer le risque professionnel li
chaque mission avant de commencer ses travaux daudit. Sur le plan pratique, les
cabinets internationaux ont dvelopp des logiciels de scoring permettant daider
51
lauditeur dans son processus de dcision relatif lacceptation ou la poursuite de la

mission.
1.2.2
Phase de cadrage de la mission
Elle a pour but de mieux cibler les objectifs de la mission, de structurer lapproche
daudit, de dfinir les rles des membres de lquipe et le planning dintervention, et
enfin, didentifier les comptes significatifs et les processus qui les alimentent.
1.2.3
Phase de comprhension
Elle a pour objectif de comprendre le business du client, ses risques, son dispositif du
contrle interne, son organisation, ses sources dinformation ainsi que son
environnement. Cette comprhension se fait sur la base de lanalyse des activits et de
lorganisation du client. Celle-ci devrait sarticuler autour de:
o March: la concurrence, lenvironnement lgal et conomique;
o Stratgie : les objectifs stratgiques, le business plan, lorganisation et le mode de
management;
o Activits cratrices de valeur: les clients, les ressources humaines, linnovation, la
chane dapprovisionnement et les systmes dinformation;
o Performance financire: la situation financire, la performance conomique, lanalyse
sectorielle et les politiques comptables.
1.2.4
Phase dvaluation
Elle a pour objectif dvaluer dune part, limpact ventuel des risques identifis sur
les comptes et, dautre part, dvaluer dans quelle mesure le dispositif du contrle
interne permet de grer ces risques. Lauditeur devra aussi dterminer quels sont les
contrles cls sur lesquels il peut sappuyer dans sa stratgie daudit.
52
1.2.5
Phase de validation:
Elle a pour objectif de collecter les preuves daudit quant au fonctionnement des
contrles et dapprcier la certification du dispositif du contrle interne relatif au
reporting financier tabli par le management.
La validation des comptes est effectue en fonction de lassurance obtenue partir de

lvaluation finale des contrles. En effet, si celle-ci donne une grande assurance
daudit, la validation des comptes se fera essentiellement par le biais des revues
analytiques approfondies. Dans le cas contraire, o lassurance obtenue, lissue de
cette tape, est limite, la validation des tats financiers sera base essentiellement, sur
les tests tendus portant sur les comptes. Ces derniers sont gnralement moins
efficaces, car ils sont consommateurs de temps et ne permettent pas de cerner tous les
risques daudit.
En plus de lvaluation des tests et des contrles, lauditeur est appel effectuer
dautres procdures daudit qui peuvent varier en fonction du contexte de la mission
daudit. Parmi elles nous pouvons citer:
o La revue des contrats significatifs et des procs verbaux des conseils
dadministration et des assembles gnrales;
o La revue des engagements du client y compris ceux du hors bilan;
o La revue des oprations comptabilises qui nont pas suivi le circuit habituel
dapprobation.
DEMARCHE GENERALE DE LAUDIT INFORMATIQUE

Compte tenu de la complexit des systmes informatiques, les cabinets daudit
internationaux ont dvelopp des mthodologies propres et des quipes spcialises
dans laudit informatique. Dans le cadre du prsent mmoire, nous prsenterons une
mthodologie daudit informatique dans le cadre dune mission daudit comptable et
financier.
La dmarche daudit informatique ne diffre pas, dans ses aspects mthodologiques,
de lapproche de laudit comptable et financier. Elle se dcline en cinq phases:
53
Cadrage de la mission ;
Comprhension de lenvironnement informatique ;
Identification et valuation des risques et des contrles affrents aux systmes;
Tests des contrles;
Finalisation de la mission.
2.1
Cadrage de la mission
Le cadrage de la mission a pour objectif :
De dlimiter le primtre dintervention de lquipe daudit informatique. Cela peut

tre matrialis par une lettre de mission, une note interne, une runion pralable
organise entre les quipes daudit financier et daudit informatique;
De structurer lapproche daudit et organiser les travaux entre les deux quipes;
De dfinir le planning dintervention;
De dfinir les modes de fonctionnement et de communication;
De dfinir les dlivrables.

Lors de cette phase, lauditeur informatique prendra connaissance du dossier de
lquipe de laudit financier (stratgie daudit, management letter, rapports daudit
interne, points daudit soulevs au cours des prcdents audits, attentes du client...
etc.).
Cette prise de connaissance permettra lauditeur dorienter ses travaux lors des
phases qui suivent.
2.2
Comprhension de lenvironnement informatique
Elle a pour objectif de comprendre les risques et les contrles lis aux systmes
informatiques. Elle peut se faire sur la base notamment, de la comprhension de
lorganisation de la fonction informatique, des caractristiques des systmes
informatiques et de la cartographie des applications. Elle doit permettre de dterminer
comment les systmes cls contribuent la production de linformation financire.
54
2.2.1
Lorganisation de la fonction informatique
Lors de cette tape, lauditeur devra comprendre notamment :
La stratgie informatique de lentreprise: Il sagit de voir dune part, dans quelle

mesure est-elle aligne sur la stratgie globale de lentreprise? Et, dautre part,
comment est-elle pilote? (Examen du plan informatique, du comit directeur
informatique, des tableaux de bords... etc.).
Le mode de gestion et dorganisation de la fonction informatique : Il sagit notamment

de comprendre dans quelle mesure la structure organisationnelle de la fonction
informatique est adapte aux objectifs de lentreprise. En outre, il faudrait apprcier si
la fonction informatique est sous contrle du management. A cet effet, il faudrait
examiner les aspects suivants:
o Lorganigramme de la fonction informatique (son adquation par rapport aux
objectifs assigns la fonction, la pertinence du rattachement hirarchique de la
fonction, le respect des principes du contrle interne);
o La qualit des ressources humaines (comptence, exprience, effectif, gestion des
ressources, formation);
o Les outils de gestion et de contrle ( tableaux de bord, reporting, contrles de
pilotage);
o Les procdures mises en place (leur formalisation, leur respect des principes de
contrle interne, leur communication au personnel);
o La dlimitation des rles et des responsabilits, le respect du principe de sparation
des tches.
2.2.2
Caractristiques des systmes informatiques
Lauditeur devra se focaliser sur les systmes cls de faon identifier les risques et
les contrles y affrents. Ainsi, il faudrait documenter larchitecture du matriel et du
rseau en prcisant:
o Les caractristiques des systmes hardware utiliss (leur architecture, leur
procdure de maintenance, les procdures de leur monitoring).
55
o Les caractristiques des systmes software (systmes dexploitation, systmes de

communication, systmes de gestion des rseaux, de la base des donnes et de la
scurit, utilitaires).
2.2.3
Cartographie des applications cls
La documentation des applications cls devrait tre effectue de prfrence,

conjointement par lquipe de laudit financier et celle de laudit informatique. Les
auditeurs financiers identifient les comptes significatifs compte tenu du seuil de
matrialit de la mission. Les deux quipes recensent les processus qui alimentent ces
comptes. Il reviendra par la suite, lquipe daudit informatique dinventorier les
applications informatiques utilises dans ces processus ainsi que leurs caractristiques
(langage de dveloppement, anne de dveloppement, bases de donnes et serveurs
utilissetc.).
Il y a lieu galement de prciser :
o Le lien entre les applications ;
o Les interfaces ;
o Le mapping des processus dinitialisation des oprations jusqu leur
comptabilisation dans les tats financiers ;
o Les applications critiques ;
o Les tats et les rapports permettant deffectuer des contrles et des tests daudit.
La documentation de la cartographie des applications peut tre effectue en utilisant

des diagrammes ou des tableaux complts par des narratifs. En annexe 6 nous avons
prsent un exemple schmatique de cartographie dune compagnie dassurance
marocaine.
2.3
Identification et valuation des risques et des contrles affrents aux

systmes
En plus des risques inhrents au business de lentreprise recenss par lauditeur

financier, il y a lieu didentifier les risques lis aux systmes informatiques et au
contrle dans un environnement informatis. Ils concernent aussi bien les risques lis
56
aux contrles gnraux informatiques que ceux lis aux applications. Les principaux
facteurs de ces risques ont t voqus au niveau de la premire partie de ce mmoire.
Il y a lieu de noter quil faudrait se focaliser sur les risques ayant un impact direct ou
indirect sur la fiabilit des tats financiers. Les risques lis la fonction informatique
sont relatifs lorganisation de la fonction informatique, au dveloppement et mise en
service des applications, la gestion de lexploitation et la gestion de la scurit. Ces
risques ont t abords dans le chapitre du titre 2 de la premire partie.
Une fois ces risques recenss, lauditeur devra valuer les contrles mis en place par
lentreprise pour grer ces risques.
Lidentification des risques et lvaluation des contrles peuvent tre rcapitules sous
la forme dun tableau reprenant les lments suivants:
o Les objectifs du business;

o Les risques de ne pas atteindre ces objectifs et les risques d'audit;
o Les contrles mis en place pour limiter ces risques;
o L'valuation par l'auditeur de l'alignement ou adquation du contrle par rapport
aux risques;
o Les rponses apportes en terme de dmarche daudit;
o Les commentaires et recommandations formuler au client.
2.4
Tests des contrles
Les tests des contrles informatiques peuvent tre effectus en utilisant aussi bien des
techniques spcifiques aux environnements informatiss (contrles assists par
ordinateurs, revue des codes, jeux de testsetc.) que des techniques classiques (
re-performance, examen des pices et documents, observationetc.).
Ces tests portent sur les contrles gnraux informatiques et les contrles
dapplication. Ces derniers seront traits dans le chapitre 3 de cette partie.
57
En revanche, les contrles gnraux informatiques sont dtaills dans le chapitre 2 a

section qui suit.
2.5
Finalisation de la mission
Une fois les travaux achevs et revus, les conclusions de ces travaux doivent faire
lobjet de communications ultrieures au client et lquipe daudit. En effet, lissue
des travaux, lauditeur value limpact des anomalies releves sur la fiabilit des tats
financiers et ventuellement les travaux daudit spcifiques quil y a lieu daccomplir
afin dobtenir une assurance raisonnable sur les tats financiers.
Dans tous les cas, les conclusions doivent tre communiques lquipe daudit sous
forme dun mmorandum comprenant les lments suivants :
Un rappel du cadre et des modalits dintervention (date, dure de la mission,

personnes rencontres, etc.) ;
Un rappel des objectifs valids avec le client ;
La description des travaux raliss et leur conclusion, notamment en terme dimpact

sur la stratgie daudit ;
Les points relevs ;
Les objectifs ventuellement non atteints (cause, impact) ;
Les lments connus prendre en compte pour les interventions futures (migration
technique annonceetc.) ;
Les opportunits de missions spciales.
De mme, les faiblesses de contrle interne doivent tre transmises au client sous
forme de lettre de contrle interne comprenant les lments suivants :
La synthse des points relevs ;
Le cadre de lintervention ;
Les remarques sur le pilotage de la fonction informatique ;
Les remarques sur les contrles dtaills.
58
Les points relevs peuvent tre prsents de deux manires diffrentes :

1er mode de prsentation :
Apprciation gnrale de lenvironnement ;
Pour chaque domaine couvert :

o Points forts;
o Opportunits damlioration.
2me mode de prsentation :
Sommaire des zones damlioration potentielles dans le domaine concern ;
Pour chaque point relev:

o Description du problme;
o Risque induit;
o Recommandations.
59
CHAPITRE 2 : LAUDIT DE LA FONCTION INFORMATIQUE

(CONTROLES GENERAUX INFORMATIQUES)
Les contrles gnraux informatiques sont ceux relatifs lenvironnement gnral de
la fonction informatique. Ils contribuent de manire significative au renforcement du
niveau de contrle interne. Leur qualit conditionne la fiabilit des contrles
automatiss et par consquent le degr de confiance que lauditeur financier peut avoir
dans ce type de contrles.
La revue est effectue dans le cadre des travaux daudit des comptes qui ont pour but
de former une opinion sur les comptes de la socit audite. Elle ne permet pas
didentifier toutes les amliorations du contrle interne quune revue spciale plus
approfondie pourrait permettre.
Par ailleurs, cet aspect de laudit informatique est planifi gnralement avant la fin de
lexercice comptable, lors de la mission dvaluation des procdures et du niveau de
contrle interne au sein de lentreprise. La conclusion de lauditeur informatique
permettra lquipe daudit financier, selon la dmarche dcrite ci-dessus, de mener
un travail plus ou moins dtaill lors des travaux de vrification des comptes en fin
dexercice.
Il convient de souligner aussi que la revue des contrles gnraux informatiques est
souvent suivie par un audit dapplication notamment dans les socits o le degr
dautomatisation est trs lev. En gnral, si les contrles gnraux ne sont pas bons,
ils impacteront de manire indirecte et invitable les contrles dapplication. De plus,
selon les constats relevs lors dune mission de revue des contrles gnraux
informatiques, lauditeur pourrait effectuer dautres missions daudit informatique.
Nous citons, titre dexemple les audits suivants :
Audit des projets informatiques ;
Audit de la scurit informatique ;
Audit dapplication informatique.
60
Dans le cadre de laudit financier, la revue des contrles gnraux informatiques

couvre les aspects suivants :
Organisation, planification et management de la fonction informatique ;
Dveloppement, acquisition, implmentation et maintenance des applications et

programmes informatiques ;
Exploitation informatique ;
Scurit des actifs informatiques et des accs aux ressources informatiques ;
Plan de secours informatique.
Organisation, planification et management de la fonction informatique

Lexamen de lorganisation, de la planification stratgique et du management de la
fonction informatique permet lauditeur informatique de vrifier lalignement de la
stratgie des Systmes d'Information (SI) celle de lentreprise et dapprcier la
qualit du pilotage de la fonction informatique.
1.1
Planification stratgique et management de la fonction informatique
Lauditeur informatique doit sassurer notamment de lexistence dune planification

stratgique qui doit dfinir les projets, les priorits et les actions mener court,
moyen et long terme dans lobjectif de rpondre aux besoins mtiers de lentreprise.
Il doit galement :
Vrifier que le plan informatique est approuv par le top management ou par le comit
informatique et quil est en ligne avec la stratgie de lentreprise ;
Vrifier quun comit informatique regroupant les diffrentes directions de lentreprise

a t cr. Ce comit doit recenser les besoins, valider les choix informatiques, grer
les priorits et assurer le suivi et le contrle de la ralisation des projets informatiques
ainsi que les performances et la qualit des prestations;
Examiner les PV de ce comit et valuer son rle ;
Sassurer que les directions utilisatrices sont impliques dans la conception, le

dveloppement des systmes informatiques, la validation des traitements, les tests des
nouvelles versions et lanalyse des risques et la classification des informations ;
61
Vrifier lexistence de contrats de services (Service level agreement : SLA) pour

chacune des prestations de la DSI ;
Sassurer que la DSI tablit des indicateurs de performance et des tableaux de bord, et
apprcier leur pertinence.
1.2
Audit de lorganisation de la DSI
Laudit de lorganisation de la DSI permet entre autres dapprcier :
Lenvironnement gnral de contrle de la DSI et le niveau de risque associ

lorganisation informatique ;
Le degr de sensibilisation au dispositif du contrle interne ;
La rpartition des tches entre les utilisateurs et les informaticiens.
Lauditeur doit vrifier notamment :
Lexistence dun organigramme jour de la DSI ;
Lexistence dune dfinition claire des fonctions ;
Ladquation des effectifs informatiques aux besoins ainsi que de leurs qualifications ;
Lexistence de procdures formalises ;
Le respect du principe de sparation des tches.
Dveloppement, acquisition, implmentation et maintenance des applications et

des programmes informatiques
Laudit de cet aspect en cas de conclusion positive permet lauditeur financier de :
Sappuyer sur les contrles automatiss au sein des systmes afin de valider
linformation financire issue de lapplication audite ;
Sassurer que les systmes ont t dvelopps suivant une mthodologie permettant de
limiter les risques derreurs et quils ne peuvent tre modifis sans autorisation.
62
Lors de cette tape, lauditeur devra notamment :
Dterminer les composantes, les objectifs et les besoins des utilisateurs afin
didentifier les aspects qui ncessitent un niveau de contrle important. Cette action
est effectue par des entretiens avec les utilisateurs cls et les membres du projet de
dveloppement ;
A travers ces entretiens, dterminer les zones de risques relatives aux dveloppements
raliss et identifier les contrles mis en place pour rduire le niveau des risques
identifis ;
Sassurer que les contrles ont t implments et que les dveloppements raliss
correspondent bien aux besoins des utilisateurs ;
Revoir la mthodologie de dveloppement qui a t suivie et sassurer que toutes les

tapes ont t correctement documentes ;
Evaluer et tester les procdures de maintenance standards des systmes pour sassurer
que toutes les modifications ont t correctement autorises et documentes.
Un guide rcapitulant les principaux travaux effectuer sur les aspects relatifs au
dveloppement, acquisition, implmentation et maintenance des applications et des
programmes informatiques est prsent en annexe1.
Exploitation informatique
Laudit de lexploitation a pour objectif dapprcier la qualit de la planification des
oprations et des procdures dexploitation dune part, et la capacit du dpartement
informatique grer les incidents y affrents, dautres part.
Dans son examen de la planification et gestion des travaux dexploitation
informatiques, lauditeur doit vrifier notamment :
La capacit de lorganisation rpondre aux besoins de lentreprise ;
La matrise des technologies utilises;
Lexistence des points de contrle relatifs lexploitation;
Lexistence de manuels dexploitation des diffrentes applications ncessitant des

travaux batchs;
63
La qualit de la planification des oprations dexploitation ;
Le suivi des incidents dexploitation suite larrt dun programme par exemple ;
La mise en uvre de tableaux de bord dexploitation.

Lauditeur doit galement vrifier que :
Les traitements sensibles peuvent faire lobjet dun retour en arrire ;
Tout rejet est identifi et fait lobjet dun recyclage appropri ;
Les applications et les systmes gnrent des fichiers exploitables ;
Les alertes sont remontes en temps rel la console dadministration.
La scurit des actifs informatiques et des accs aux ressources informatiques

Lobjectif de laudit de cet aspect est de permettre lauditeur de porter une
apprciation sur :
Lexistence dune politique de scurit adopte et approuve par le top management
portant aussi bien sur la scurit logique que la scurit physique;
En ce qui concerne, la scurit logique relative aux procdures dautorisation daccs

et de protection de lintgrit des donnes, lauditeur informatique doit sassurer de:
o Lexistence et la bonne application dune procdure daccs aux ressources

informatiques (cration autorise des accs au systme et des mots de passe,
dfinition autorise du primtre daccs des utilisateurs, dfinition autorise
des
habilitations
en
consultation,
modification
ou
suppression
des
transactions).
o Lexistence et la bonne application dune procdure de suppression des accs
aux systmes suite aux dparts des employs. Dans le cas dexistence de
comptes dormants, il convient de souligner que les risques encourus sont
importants car les comptes dormants sont considrs comme des cibles
privilgies pour des personnes souhaitant s'introduire de manire frauduleuse
dans un systme d'information ;
o Lexistence dune procdure de gestion et de changement des mots de passe.
Un mot de passe est la cl dentre dun utilisateur dans le systme, do son
caractre confidentiel et important. Il est donc recommand que ce dernier ne
64
soit pas facile deviner (alphanumrique et suprieur cinq caractres) ni

difficile mmoriser (ne doit pas dpasser 12 caractres). De plus, il est
galement important de procder au changement priodique du mot de passe,
car en cas de non-modification rgulire des mots de passe, il existe un risque
de divulgation qui affecte leur caractre confidentiel. Par consquent, la
fiabilit du systme de scurit, base sur la confidentialit des mots de passe,
est remise en cause.
Sagissant de la scurit physique des actifs informatiques (serveurs gros systmes,

mini-ordinateurs, quipements rseaux et tlcoms, micro-ordinateurs), elle concerne
notamment:
o Les procdures daccs physique au btiment de lentreprise;
o Les procdures daccs spcifiques aux zones protges (salles "machines",
imprimantes systmes, lieu demplacement des cartouches de sauvegardes,
etc.).
Plans de sauvegardes et de secours informatique
5.1
Plan de sauvegardes
La sauvegarde du patrimoine informatique relve de la prennit du systme

dinformation de la socit. Lauditeur informatique doit donc sassurer que :
Des sauvegardes quotidiennes des donnes dexploitation sont effectues selon un

cycle de cinq ou six jours sur sept. Ces sauvegardes doivent tre places dans un
endroit protg (dans un coffre ignifuge par exemple) ;
Des sauvegardes mensuelles doivent tre galement effectues, pour garder une image
mensuelle des donnes dexploitation et surtout des donnes comptables ;
Des sauvegardes annuelles et dcennales effectues notamment pour les besoins

lgaux ;
Des sauvegardes des programmes sources et objets chaque changement de version

ou chaque modification de programme ;
Une sauvegarde externe doit tre prvue et place dans un endroit scuris (dans le
coffre fort dune banque par exemple).
65
5.2
Plan de secours
Lauditeur informatique doit sassurer de lexistence dun plan de secours, c'est dire
le document listant l'ensemble des oprations devant permettre la socit de pouvoir
restaurer son systme d'information de manire intgre en cas de sinistre informatique
grave.
En effet, en labsence dun plan de secours et en prsence dun sinistre informatique
grave, la socit pourrait ne pas pouvoir disposer de son systme d'information
pendant une certaine dure. Ceci pourrait tre prjudiciable pour la gestion de
l'entreprise.
Par ailleurs, la non-prparation ce type d'ventualit peut dboucher, dans un cas de
sinistre, l'excution d'oprations incorrectes impactant ainsi l'intgrit des donnes
caractre comptable.
De mme, le DMI (Dlai Maximum dIndisponibilit) doit tre identifi par

application. A titre dexemple, les applications dune salle de marchs dune banque
sont des applications critiques, et ne peuvent en aucun cas tre indisponibles. Par
contre, une application de gestion de courrier ntant pas critique peut avoir un dlai
dindisponibilit plus important.
Un plan de secours informatique, doit prvoir, entre autres, un site de backup qui doit
dfinir, selon la criticit des applications, les modalits de back up/restauration.
Un site de back up est :
Soit un hot site qui est un site de backup ayant des serveurs avec les mmes
performances du site rel et des connexions rseaux disponibles. Lavantage dun tel
site est sa rapide disponibilit en cas de sinistre, notamment pour les applications
critiques ayant un faible DMI ;
Soit un Warm site qui est un site de backup ayant uniquement des connexions
rseaux disponibles mais sans la prsence des serveurs ;
Soit un cold site qui est un site disposant uniquement dlectricit et de

climatisation.
66
En cas de prsence du plan de secours, lauditeur informatique doit vrifier si ce plan

est revu annuellement et sil a fait lobjet de tests. En effet, un plan de secours non mis
jour est par consquent obsolescent. De mme, un plan non test nest pas de nature
garantir les rsultats escompts. Au-del du facteur technique, il est trs important de
mesurer et connatre la raction des employs face une situation de sinistre.
6
Prsentation dun cas de revue des contrles gnraux informatiques

Nous avons effectu une revue de la fonction informatique dune compagnie
dassurance de la place. Cette revue a t effectue dans le cadre de nos travaux
daudit des comptes qui ont pour but dexprimer une opinion sur les comptes de la
dite socit.
La plate-forme informatique de la socit audite sarticulait principalement autour
dune machine AS/400 et dun systme dinformation bas sur des applications
dveloppes en interne.
6.1
Etendue et objectifs de la mission
Lintervention a t ralise au sige de la socit et avait pour principal objectif la

revue des contrles gnraux informatiques. Elle a couvert les domaines suivants :
L'organisation de la direction informatique : sassurer que la direction informatique

dispose d'une structure permettant une bonne sparation des tches;
L'exploitation informatique : sassurer que les oprations d'exploitation sont

correctement dfinies, planifies et suivies;
Le dveloppement des applications : sassurer que les procdures de dveloppement et

de modification des programmes sont correctement dfinies et appliques;
La scurit : s'assurer que les accs aux donnes et aux transactions sont correctement
autoriss;
67
Le plan de secours et les sauvegardes : s'assurer que des mesures ont t mises en place
afin d'assurer la restauration du systme d'information en cas de sinistre informatique.
6.2
Notre dmarche
Concernant lorganisation de la direction informatique, nous avons dans un premier

temps effectu des entretiens croiss avec les personnes cls de la direction informatique
(IT Manager, Responsable de la division tudes et dveloppements, responsable
dexploitation, Responsable rseaux, Helpdesk) afin de prendre connaissance du systme
dinformation de la socit, de son plan stratgique informatique ainsi que des diffrentes
attributions de chaque membre du personnel du dpartement informatique. Dans un
deuxime temps, nous avons effectu une revue de la documentation existante qui
matrialise les aspects du management de la fonction informatique (schma directeur,
plan daction, comptes-rendus du comit informatique, fiches de fonction du personnel
informatique, ).
En ce qui concerne les travaux dexploitation informatique, nous avons interview les
diffrentes personnes du service dexploitation qui sont responsables de la planification,
de lexcution des batchs et des tches dexploitation qui concernent la prparation des
fichiers, lexcution des programmes, le suivi des incidents ou problmes dexploitation.
Ces entretiens ont t complts par une revue de la documentation dexploitation
existante (manuel dexploitation, registre des incidents, ).
En ce qui concerne les dveloppements informatiques, notre dmarche a t de prendre

connaissance de la cartographie des applications informatiques, de vrifier lexistence de
mthodologie des dveloppements mens en interne et de revoir la documentation
fonctionnelle et technique de certaines applications (application de la production
automobile et application des sinistres maladies). Nous avons galement vrifi
lexistence dune procdure formalise de modification des programmes suite une
maintenance corrective ou volutive, ainsi quune procdure de mise en production (les
dveloppeurs ne doivent en aucun procder eux-mmes la mise en production des
programmes).
68
En ce qui concerne les aspects de scurit des actifs informatiques de la socit, nous
avons commenc par les aspects physiques, nous avons en compagnie du personnel
informatique visit la salle "machines" et vrifi lapplication des normes standards de la
scurit notamment les rgles daccs la salle (badges magntiques, registre manuel
pour les visiteurs), lexistence de climatiseurs, dtecteurs de feu, extincteurs de feu
automatique, onduleurs, instrument de mesure de temprature et dhumidit, ). Nous
avons galement vrifi que la salle machines nest pas visible de lextrieur et quil y a
une sparation physique entre les serveurs et les imprimantes systmes.
Nous avons ensuite abord les aspects de scurit logique et interview le responsable
dadministration du systme dexploitation (AS/400), ainsi que les responsables
dadministration des diffrentes applications de la socit. Lobjectif de ces entretiens
tait de :
Sassurer de lexistence de procdures de cration, modification ou suppression de profils

utilisateurs tant au niveau de la couche systme (AS/400), quau niveau des applications
dveloppes en interne ;
Sassurer du respect du principe de sparation des tches eu gard aux droits et

habilitations des utilisateurs ;
Sassurer de lexistence de revue priodique des profils utilisateurs afin dassainir et

liminer les profils dormants (personnes ayant quitt la socit), les profils en double
(plusieurs login pour la mme personne) ;
Sassurer de la bonne gestion des mots de passe.
Nous avons ensuite revu la documentation existante et ralis des tests de comparaison
des profils utilisateurs existant dans le systme avec la liste du personnel de la socit.
Nous avons galement effectu des tests par sondage pour sassurer de la bonne
application des procdures de cration, modification et suppression des profils
utilisateurs.
69
Enfin, en ce qui concerne les aspects du plan de secours et des sauvegardes nous avons
demand obtenir le contingency plan de la socit et
demand connatre les
procdures de sauvegarde et de backup du systme dinformation de la socit

(sauvegarde selon un cycle quotidien, hebdomadaire, mensuel et annuel, sauvegarde
externe, placement des cartouches dans un endroit scuris, ).
6.3
Notre conclusion
Nous navions pas dcel au cours de nos travaux de faiblesses alarmantes pour que le
cabinet, en tant quauditeur externe, ne puisse pas sappuyer sur le systme
dinformation pour valider les tats financiers de la dite socit. Nanmoins, nous
avions considr que le niveau de contrle gnral de la fonction informatique tait
insuffisant et qu'il devait tre renforc.
Pour ce dossier daudit, nous avons retenu un niveau de confiance moyen dans les
systmes.
6.4
principaux points relevs lors de notre mission
La scurit logique de lAS/400 de production est insuffisante, nous n'avons pas relev de
plan de scurit permettant didentifier les donnes stratgiques gres par le systme
dinformation ni les moyens de protection. Par ailleurs, nous avons not que la liste des
utilisateurs n'tait pas jour. Enfin, nous avons estim que les droits de certains
informaticiens et utilisateurs taient trop importants, ce qui tait prjudiciable une
correcte sparation des tches.
A ce niveau, nos recommandations taient de :
Revoir la liste des utilisateurs ;
Nommer un Responsable de la Scurit des Systmes dInformation (RSSI), indpendant

des dpartements tudes et exploitation informatique ;
Mettre en place un plan scurit.
Il n'y avait pas un standard de documentation des dveloppements entrepris sur

lAS/400 (S36, AGL LANSA). Ainsi, il existait un risque que la maintenance des
70
applications soit plus difficile posteriori, et pouvant mme entraner des anomalies
non dtectes en production.
La socit ne disposait pas de procdure de mise en production formalise. Les mises

en production taient effectues par les dveloppeurs aussi bien pour les applications
mtiers en environnement AS/400 (LANSA) que pour quelques applications en
environnement NT/SQL. Il existait, donc, un risque que les programmes mis en
production n'aient pas t autoriss. Nous avions recommand ce qu'une limitation
trs stricte daccs lenvironnement de production soit adopte et des moyens de
contrle mis en place.
Il n'existait pas de plan de secours informatique oprationnel pour la socit, ce qui

faisait courir des risques d'interruption de la continuit d'activit en cas de sinistre
informatique important. Dans ce cadre, un plan de secours devrait tre dfini, mis en
place et test.
71
Il existe deux types de mission daudit dapplications informatiques:
Laudit de fiabilit et de scurit;
Laudit defficacit et de performance.

Laudit de fiabilit et de scurit vise d'une part identifier les risques derreur et de
fraude, et d'autre part valuer la qualit du contrle interne de lapplication et de son
environnement afin de sassurer de la fiabilit des informations produites par
lapplication en question.
En revanche, les objectifs et le primtre de laudit defficacit et de performance
d'une application sont variables et dfinis au cas par cas (Audit sur mesure).
Un audit complet dune application couvre les deux volets. Dans ce chapitre, nous
allons nous limiter laudit de fiabilit et de scurit des applications en raison de son
importance capitale pour lexpert comptable dans sa mission de certification des tats
de synthse.
1.
Dmarche gnrale dun audit dapplication

La dmarche de laudit dune application dans le cadre dune mission daudit
comptable et financier peut sarticuler autour des axes suivants :
Prise de connaissance du cadre gnral de lapplication tudie ;
Analyse des risques et des contrles ;
Identification et valuation des risques et des contrles dapplication
Test des contrles dapplication ;
72
1.1
Prise de connaissance du cadre gnral de lapplication
Cette phase a pour objectif de comprendre lenvironnement gnral dans lequel

lapplication a t dveloppe ou acquise, mise en service et exploite. Ceci permet de
cerner lenvironnement de contrle de lapplication. Cette prise de connaissance portera
notamment, sur :
o
Les systmes sur lesquels lapplication est installe;
La mthodologie utilise pour son dveloppement et sa mise en service ;
Le langage utilis pour son dveloppement, ses interfaces, sa portabilit, son intgration
avec les autres systmes et applications de lentreprise;
Ses programmes sources.
La nature, la qualit et la fiabilit du hardware et du systme dexploitation utilis

(Micros, client serveur, mainframe) ;
Le mode de fonctionnement de lapplication (on line, batch) ;
Les donnes, les fichiers et les tables cls utiliss par lapplication ;
Les flux de traitement des informations (donnes en entre, traitement et sorties) ;
Les contrles daccs lapplication ainsi que ladquation des habilitations accordes
aux utilisateurs avec leur profil ;
Le mode de contrle de lexcution des programmes ;
Le systme du back up et de la restauration des donnes et des programmes ;
La priode de conservation des donnes ainsi que limplication des utilisateurs ;
La dtermination de la priode des donnes conserver ;
Limplication des utilisateurs dans le systme de protection des donnes et de la

maintenance des programmes.
En outre, lauditeur devra apprcier la comptence et la qualit de lditeur et/ou les

informaticiens de lentreprise ayant dvelopp et mis en service lapplication tudie.
Dans le cas o celle-ci aurait t acquise, lauditeur devra sassurer que lentreprise a
pris les garanties ncessaires lui permettant dassurer son exploitation normale
(prennit de lditeur, transfert des programmes sources, transfert des comptences en
interne).
73
En revanche, si lapplication a t dveloppe en interne, une attention particulire

devra tre porte notamment, sur la mthodologie utilise ainsi que sur la comptence
des informaticiens et les utilisateurs cls ayant t impliqus dans le processus de son
dveloppement.
La revue prliminaire portera aussi sur lexamen des interfaces. En effet, il y a lieu
dobtenir le dtail des applicatifs qui sont interfacs avec lapplication tudie et de
documenter les donnes changes entre elles, et de vrifier si ces interfaces sont
contrles.
Par ailleurs, lauditeur devra revoir la documentation relative lapplication tudie
dont notamment les manuels dutilisation ; les flowcharts, les schmas fonctionnels,
les tables de dcision. Il examinera aussi les dfinitions des donnes, les entres, les
traitements, les sorties, la squence des oprations, ainsi que les procdures
dutilisation, de transmission, de contrle, didentification et de correction derreurs.
Une fois la revue prliminaire a t effectue, lauditeur doit effectuer des tests de
cheminement (walk through) afin de confirmer sa comprhension des processus de
traitement des transactions, des contrles mis en place et des risques potentiels.
A lissue de cette tape, lauditeur devra tablir des flowcharts ou overviews ou des
narratifs synthtiques lui permettant didentifier les risques affrents lapplication
tudie et danalyser les contrles mis en place en vue de grer ces risques.
1.2
Identification et valuation des risques et des contrles dapplication
Avant daborder lanalyse des risques et des contrles lis aux applications, il y a lieu
de rappeler les objectifs de contrle qui permettent de valider les assertions relatives aux
tats financiers. Ces objectifs sont gnralement au nombre de quatre :
o
Exactitude des enregistrements : Tous les lments des transactions traites par le
systme sont corrects, (montant, compte) ;
Exhaustivit : Toutes les transactions ralises par lentreprise sont traites dune
manire exhaustive par le systme;
74
Validit des enregistrements : Toutes les transactions et les donnes permanentes sont
autorises et sont relles (absence de double traitement et/ou des oprations fictives).
Accs restreint aux actifs et aux enregistrements : Les actifs et les donnes sont protgs
contre les accs non autoriss.
1.3
Analyse des risques et des contrles
Cette tape a pour objectif de:

o
Recenser les risques, valuer leur impact potentiel sur les lments financiers, valuer la
probabilit de leur survenance et les classer selon leur degr dimportance (impact et
probabilit de survenance);
Identifier les contrles, analyser leur pertinence par rapport aux risques identifis et
dgager les risques rsiduels (non couvert par les contrles).
Lanalyse des risques et des contrles permet de cibler lapproche daudit. En effet, les
travaux daudit seront focaliss sur les tests des contrles cls et sur lvaluation de
limpact des risques non couverts par le contrle interne sur les tats financiers.
Lidentification des risques sera ralise en prenant en compte la comprhension du
business du client, des processus grs par lapplication tudie et des facteurs de
risques y affrents. Parmi ces risques nous pouvons citer:
La possibilit de saisie des donnes errones ou non autorises ;
La possibilit de modifier, supprimer ou dajouter des donnes sans autorisation ;
Labsence de procdure didentification, de correction et de recyclage des donnes

rejetes ;
Le traitement erron ou incomplet des donnes ;
Lexcution de traitement non autorise ;
Labsence de contrle dintgrit des donnes saisies, traites et dites ;
Labsence de contrle du contenu et de la destination des rsultats des tats de sortie ;
Labsence de contrle sur le traitement et la transmission des fichiers.
75
A lissue de cette tape, lauditeur tablira un programme de travail cibl en vue de

tester les contrles dapplication identifis et dvaluer limpact ventuel des risques
rsiduels sur les tats financiers.
Par ailleurs, il devra aussi identifier les risques non couverts par les contrles
(programms ou manuels). En effet, les risques non contrls feront lobjet dune
attention particulire par lauditeur financier lors de ses travaux de validation des
comptes.
1.4
Test des contrles dapplication
Une fois les risques et les contrles dapplication ont t identifis et valus. Il y a
lieu de procder aux tests de ces contrles afin de sassurer de la permanence de leur
fonctionnement. En effet, si les tests mettent en vidence que les contrles sont
oprationnels, lauditeur financier peut sappuyer sur ces contrles dans sa dmarche
de validation des comptes. Dans le cas contraire, ils seront considrs comme
inexistants, et par consquent, il adoptera une approche base essentiellement sur des
tests substantifs des comptes (examen tendu de la majorit des transactions).
Avant daborder les contrles dapplication, il est utile de les dfinir.
1.4.1
Dfinition et caractristiques des contrles dapplication
Les contrles dapplication sont conus et mis en place afin dassurer lintgrit des
enregistrements, ils peuvent tre manuels ou automatiques, prventifs, dtectifs ou
correctifs.
Les contrles prventifs ont pour objectif de prvenir la survenance danomalies
derreurs ou de fraude aussi bien au niveau des entres et des traitements quau niveau
des sorties. En revanche, les contrles dtectifs permettent lidentification de ce type
dvnements.
Les contrles correctifs visent minimiser limpact des erreurs ou anomalies et
fraudes dcouvertes. Ils permettent non seulement de les corriger et de les recycler
mais aussi de modifier les processus du systme de faon viter quelles se
reproduisent dans lavenir.
76
Contrairement aux contrles gnraux informatiques qui sexercent au niveau global

de la fonction informatique, les contrles dapplication oprent au niveau des
transactions. En effet, ils procurent une assurance daudit direct quant la fiabilit des
enregistrements.
Par ailleurs, il y a lieu de noter linterconnexion de ces deux types de contrles. En
effet, si les contrles gnraux informatiques ne fonctionnent pas correctement, ceci
conduira forcment linefficacit des contrles dapplication. Cest pour cela que
lauditeur devra normalement tester les premiers et conclure quils fonctionnent
correctement avant de procder la revue des contrles dapplication.
Ces derniers sont conus et mis en place au niveau de chaque phase logique dune
application. Nous allons donc les passer en revue au niveau des principales tapes des
processus dune application savoir : entres, traitement, sorties, recyclage des rejets
et des erreurs.
1.4.2
Contrle des entres
Lauditeur devra sassurer que les procdures de contrle sont mises en uvre afin de
garantir lautorisation, lexactitude, lexistence, et lexhaustivit des transactions et des
donnes permanentes. Ainsi, il est appel vrifier notamment
Les procdures de contrle daccs ;
Les procdures de la collecte et la saisie des transactions et des donnes ;
Les procdures de traitement des donnes rejetes.

1.4.3
Contrle daccs
Lauditeur doit sassurer que les contrles prvus et mis en uvre dans le systme
permettant de restreindre laccs aux donnes, aux programmes et aux transactions aux
seules personnes y habilites. Parmi ces contrles nous pouvons citer :
o Une gestion approprie des mots de passe dfinie en fonction des ressources
partager (unicit de lidentifiant, absence de compte gnrique, longueur des mots
de passe et leur changement priodique).
o Des procdures de dtection et de contrle des tentatives infructueuses des accs
non autoriss ;
77
o Le respect du principe de sparation des tches ;

o Des procdures de partage de laccs aux donnes et aux transactions en fonction
des profils et des tches des utilisateurs et des informaticiens.
1.4.4
Contrle de la collecte des donnes
Lauditeur devra vrifier lexistence et le fonctionnement des contrles relatifs la

prparation et la collecte des donnes. En effet, des procdures devraient permettre de
sassurer que toutes les transactions et les donnes ncessaires sont collectes dune
manire exhaustive et quelles sont enregistres dune manire exacte et exhaustive.
Il y a lieu de souligner que dans les systmes intgrs, les sorties gnres par un
module ou une application sont les entres dun autre module ou dune autre
application. Dans ce cas, lauditeur doit vrifier les rapports dintgrit du systme.
1.4.5
Contrle de lenregistrement des donnes
Lauditeur devra vrifier les contrles automatiques et manuels relatifs

lenregistrement des donnes (autorisation, exactitude, et exhaustivit des donnes
saisies et validit des donnes, identification et correction des erreurs et
anomaliesetc.). Ainsi, il doit sassurer notamment de lexistence et du
fonctionnement des contrles relatifs :
o Lautorisation de toutes les donnes et les transactions enregistres dans le systme
(gnration des rapports de donnes ncessitant lautorisation, dfinition dun
work-flow des processus prvoyant la validation des donnes avant le traitement
par le systme) ;
o Changement des donnes valides et saisies dans le systme ;
o Linterdiction de la saisie des donnes non valides (Exemple : mise en place de
format des donnes permettant de limiter la saisie des donnes non valides );
o La dtection des doubles-saisies, des saisies incompltes, et des incohrences ;
o La rconciliation des brouillards de saisie avec les documents sources ;
o La saisie des donnes permanentes ;
o La garantie de lunicit de la saisie des donnes ;
o Les rapprochements automatiques des donnes avec celles dj saisies;
o La vrification de la squence numrique;
78
o La rconciliation des totaux des donnes saisies (rconciliation annuelle ou

automatique) ;
o La mise jour des fichiers ;
o La vrification de lexhaustivit et exactitude des fichiers ou entres (tout fichier
transmis doit contenir des zones de contrle de lexhaustivit et lexactitude des
donnes transmises : (contrle des doublons, des trous, de la longueur et nombre
des transactions)).
Il y a lieu de noter quil existe plusieurs types de contrle des enregistrements que les
entreprises peuvent mettre en place au niveau des applications informatiques. Parmi
ces contrles, nous pourrons citer titre dexemple :
o Les contrles batchs : Ils permettent le contrle des totaux et ils peuvent porter sur
un total montaire, le nombre darticles ou le total des documents saisis ;
o Les contrles de la squence: Ils sont conus de faon ce que seules les donnes
comprises dans la squence prvue soient admises et que les doublons soient
rejets ;
o Les contrles de limite : Ils sont conus de faon ce que seules les transactions
nexcdant pas une certaine limite puissent tre traites ;
o Les contrles dintervalle : Ils sont conus de faon ce que seules les donnes
comprises dans un certain intervalle soient admises;
o Les contrles selon certains paramtres :
Les donnes sont acceptes par le
systme selon des critres prdtermins (masculin, fminin, etc.)

o Les contrles de double-saisie : La nouvelle transaction est compare avec celle ou
celles dj saisie (s). Si une redondance est dtecte, elle sera rejete ;
o Les contrles de vraisemblance : la vraisemblance des donnes est contrle selon
une logique prdtermine.
Lors de cette tape lauditeur devra
galement
sassurer de lexistence et du
fonctionnement des procdures de contrles relatifs au traitement des donnes rejetes.

En effet, il faudrait prvoir des procdures permettant la conservation, la vrification,
lanalyse et le recyclage des donnes rejetes par le systme.
79
1.4.6
Contrle des traitements et des sorties des donnes
Lauditeur devra examiner lexistence et le fonctionnement des contrles relatifs aux

traitements. Ces contrles ont pour objectif dassurer lexhaustivit et lexactitude des
donnes accumules (rsultats des traitements). Lauditeur devra sassurer
notamment que :
o Toutes les oprations traites sont journalises ;
o Les totaux de fin de traitement sont compars aux totaux de contrle ;
o Lintgrit des donnes est assure ;
o La piste daudit est prvue dans le systme.
Il y a lieu galement de vrifier lexistence et le fonctionnement des procdures de
contrle permettant le bon droulement des programmes selon la logique prvue
(respect des squences de traitement, utilisation des bons programmes et des bons
fichiers).
En ce qui concerne les sorties de donnes, Il faudrait sassurer notamment que:
o La distribution des tats est contrle ;
o Les tats de sorties sont tests avant leur distribution ;
o Les rsultats des sorties sont valids par les utilisateurs ;
o Lintgrit, lexhaustivit et lexactitude des donnes transmises entre les diffrents
modules dune application sont systmatiquement contrles.
Il faut noter quil existe plusieurs types de contrles des traitements que les entreprises
peuvent mettre en place au niveau des applications. Parmi ces contrles de traitement,
nous pouvons citer titre dexemples :
o Recalcule manuel : Slectionner un chantillon des transactions et recalculer
manuellement et comparer le rsultat avec le traitement du systme ;
o Programme daudit : Il peut tre utilis pour vrifier le bon droulement des
traitements ;
o Contrle de limite;
o Contrle de vraisemblance;
o Rapports dexception: Un rapport dexception qui gnre les donnes errones
compte tenu de certains critres prdfinis.
80
2.
CAS PARTICULIER DE LA REVUE DUN PROGICIEL INTEGRE (ERP :

ENTREPRISE RESSOURCES PLANNING ) JDEDWARDS
Avant daborder les particularits de la revue des contrles dapplication dans
lenvironnement des progiciels intgrs, il est utile de rappeler leurs caractristiques
ainsi que les principales zones de risque.
Rappel des principales caractristiques des progiciels :

Lvolution de linformation a connu ces dernires annes une croissance
exponentielle en matire de traitement de linformation comptable et de gestion. Cette
volution a engendr en consquence des problmes dhtrognit des systmes et
des applications informatiques.
Pour remdier cette situation, les diteurs de logiciels ont mis en place des systmes
intgrs appels ERP (entreprise ressources planning) qui englobent lensemble des
besoins fonctionnels (immobilisations, achats, ventes, production et gestion de stocks,
logistique).
Ces logiciels intgrs permettent davoir une vue unique et cohrente de linformation
grce une base de donnes commune et une intgration des diffrents modules de
LERP. En outre, ces progiciels sont diffuss en nombre important ce qui implique :
o Une meilleure qualit des dveloppements a priori : la revue application portera
gnralement sur les aspects recettes, exploitation et contrles applicatifs ;
o Lexistence des guides daudit (SAP, Oracle financial, JDE, etc.) ;
Par ailleurs, ils offrent plusieurs avantages dont notamment :
o Une adaptation dimplmentation dans diffrents secteurs dactivit grce la
flexibilit de leur systme de paramtrage;
o La mise en place dun ERP engendre une revue des chanes de valeur en vue de les
optimiser et dliminer les tches et les contrles redondants. Cela doit
saccompagner par un redploiement des effectifs et une revue des procdures de
contrle et des fiches de fonction;
81
o La richesse des fonctionnalits et des contrles prvus dans les ERP permettent
dintgrer lensemble des besoins de lentreprise et renforcer le dispositif du
contrle
(rapprochement automatique des comptes bancaires, gestion de
linventaire physique, automatisation des critures comptables, gnration

automatique des factures, des rglementsetc.) ;
o Lharmonisation des procdures et des rgles de gestion entre les diffrentes units
du business.
Les principales zones de risque :

Les principaux risques que nous pouvons rencontrer dans un environnement ERP sont
gnralement les suivants:
Progiciels en phase de prototype ou peu diffuss;
Etude des besoins insuffisante ;
Prise en compte des contraintes de lorganisation insuffisante ;
Dpendance vis--vis des fournisseurs ;
Non prise en compte des besoins du contrle interne au moment de la refonte des
processus lors de la mise en place dun ERP: En effet, comme cela a t signal cidessus, limplmentation dun ERP saccompagne par la refonte des processus ce qui
pourrait se traduire par des suppressions des contrles cls. Afin dviter ce type de
risque, de nouvelles dispositions doivent tre prises en compte et adaptes
lenvironnement de lERP mis en place.
Afin de mieux illustrer la spcificit de lapproche daudit dans un environnement
ERP, nous prsenterons ci-aprs la mthodologie de revue des contrles dapplication
dans lenvironnement JDE World (version qui tourne sous lenvironnement du
systme dexploitation AS400 : systme mini dIBM).
La revue de lERP JDEdwards dans le cadre des missions daudit comptable et

financier couvre deux aspects :
La revue des contrles relatifs lintgrit, la scurit et le master data (donnes

permanentes) ;
La revue des contrles relatifs aux processus.
82
2.1
La revue des contrles relatifs lintgrit, la scurit et le master data
Ces contrles sont communs tous les modules de JDE. Leur bon fonctionnement
conditionne la fiabilit des donnes produites par lERP. Il est donc capital de vrifier
le design et le fonctionnement de ces contrles.
2.1.1
Revue des rapports dintgrit
Il est vital que toutes les transactions soient saisies dune manire exacte et exhaustive
dans les comptes. Les rapports dintgrit sont des outils de contrle de lexhaustivit
et lexactitude de lenregistrement des donnes dans le module de la comptabilit
gnrale (GL : general ledger accounts). En effet, les transactions enregistres dans les
sous modules doivent tre conformes celles dverses
dans le module de la
comptabilit gnrale. Ces outils de contrle sont disponibles au niveau de JDE et

doivent tre dits et contrls rgulirement. Toute diffrence identifie dans ces
rapports peut avoir un impact significatif sur la fiabilit des tats financiers.
La plupart des rapports cls dintgrit sont pr-configurs et fournis avec JDE. Mais,
quelques-uns uns doivent tre crs et implments. En revanche tous les rapports
dintgrit ncessitent une configuration propre afin de sassurer quils sont relis
aux bons fichiers et quils incluent le bon rang de lobjet compte (Object account) par
exemple. accounts payable to general ledger.
Compte tenu que, la revue des rapports dintgrit ncessite lintervention dun
spcialiste JDE. Lauditeur avec lassistance de cet expert devra sassurer
notamment que :
Les rapports standards dintgrit (cf. annexe 2 ) ont t mis en place ou crs et
correctement configurs. Les objets comptes doivent pointer aux bons fichiers (la
vrification de ceci ncessite lassistance dun spcialiste JDE) ;
Les rapports sont
rgulirement dits, contrls et les ventuelles diffrences
corriges ;
La nature et lvolution des diffrences sont
analyses et suivies. Les rapports
dintgrit doivent tre dits, mme si les diffrences sont nulles ou non
significatives.
83
Aprs avoir vrifi la configuration et lexploitation des rapports dintgrit, il y a lieu

dditer, de tester et danalyser les rsultats de ces rapports sur plusieurs jours. Ceci
permettra dapprcier leur fonctionnement et danalyser lvolution des ventuelles
diffrences identifies.
Dans le cas o des erreurs seraient identifies au niveau des rapports dintgrit cela
pourrait avoir un impact significatif sur les tats financiers. Par consquent, lauditeur
doit valuer limpact de ce type derreurs sur lopinion daudit, ainsi que sur les
travaux daudit effectuer sur les comptes.
Il faut noter que si lexercice comptable a t cltur, il nest possible dditer les
rapports dintgrit cest pour cela que lauditeur devra les demander avant la clture
de lexercice.
2.1.2
Revue de la scurit (JDE World)
En plus de laudit des aspects de la scurit voqus dans le prcdent chapitre, il y a

lieu de revoir les lments spcifiques lenvironnement JDE. Cette revue devra
permettre de sassurer que les paramtres de la scurit de JDE ont t correctement
configurs. Le paramtrage de la scurit doit garantir le respect du principe de
sparation des tches. Le respect de ce principe est un objectif central de la scurit
des applications dans lenvironnement JDE, et il est difficile atteindre.
En effet, une bonne implmentation de la scurit prvue par JDE permet de garantir
le respect du principe de sparation des tches. Ainsi, lauditeur devra revoir la
manire dont les paramtres et les standards de la scurit JDE ont t mis en uvre.
En outre, il est important de sassurer que laccs aux menus, commandes et

fonctionnalits critiques ont t restreints aux personnes appropries.
Par ailleurs, lauditeur devra galement vrifier que les constantes de scurit du
systme ont t bien implmentes et que les procdures de leur mise jour sont
prvues et fonctionnent correctement.
84
2.1.3
Revue du master data (JD Edwards World)
Le Master Data constitu des donnes et des rgles permanentes dont les principales
sont les suivantes :
o Les donnes permanentes relatives la base de donnes commune(Adress
Book) qui permet de partager les informations entre tous les modules de JDE,
dliminer les redondances des donnes et rduire les erreurs ;
o Les rgles de gestion ;
o Les donnes et les rgles relatives la scurit ;
o Les donnes comptables (instructions de comptabilisation automatique, plan
comptableetc.) ;
o Les donnes et les rgles relatives la gestion des stocks ( inventaires,
tarifsetc.)
Il y a lieu de souligner que dans le cas o des faiblesses auraient t identifies au
niveau des contrles relatifs au master data cela pourrait affecter la fiabilit des tats
financiers.
Afin dassurer lexactitude et lexhaustivit des transactions traites et des donnes
permanentes, il faudrait veiller la garantie de la fiabilit du master data. La
ralisation de cet objectif dpend largement de la qualit des procdures de contrle
interne portant sur :
o La mise en place de JDE ;

o La migration des donnes ;
o La maintenance du master data.
Lors de sa revue du master data lauditeur devra sassurer que:
o Les procdures de contrles de cration des donnes dans le master permettent
de garantir lexactitude et lexhaustivit de ces donnes ;
o Tous les changements affectant les donnes du master data sont autoriss et
revus ;
o Les tches relatives aux oprations touchant chaque catgorie des donnes du
master data (clients, tarification, crdit client, contrle des paiements,
85
banquesetc.) sont attribues de faon permettre de respecter le principe de

sparation des tches ;
o Les oprations relatives la gestion du plan comptable et des instructions de
comptabilisation automatiques ne sont pas accessibles aux utilisateurs
(limitation une personne habilite).
2.2
La revue des processus (business process)

Les processus grs par JD Edwards comprennent :
o Les achats et les comptes fournisseurs (purchases & payables) ;
o Les ventes et les comptes clients (revenues & receivables) ;
o Les stocks (inventories) ;
o Les immobilisations (fixed assets) ;
o La comptabilit gnrale (general ledger) ;
Il y a lieu de souligner que si les procdures de contrle relatives la scurit,

lintgrit et au master data ne sont pas fiables, il sera inappropri de tester les contrles
relatifs aux processus. Il est plus judicieux dans ce cas de remdier dabord aux faiblesses
identifies ces niveaux l avant de procder aux tests des contrles relatifs aux
processus.
Par ailleurs, il y a lieu de noter que les principes des contrles relatifs aux processus dans
le cadre de lenvironnement JDE sont similaires ceux grs sous dautres
environnements. La diffrence rside dans les possibilits offertes par JDE pour
concevoir et mettre en place ces principes de contrle
Dans le cadre de ce mmoire nous avons prsent en annexe3 les principaux travaux de revue
effectuer sur les processus achats-fournisseurs, ventes-clients, immobilisations et
comptabilit gnrale.
86
TITRE 2 : PROCESSUS DE LAUDIT DANS LE CADRE

DAUTRES MISSIONS DAUDIT INFORMATIQUE
Lvolution informatique offre lexpert comptable, qui se spcialise dans laudit
informatique, de nouvelles opportunits professionnelles. Dans le chapitre 1, nous
allons prsenter dune manire synthtique lapproche daudit informatique dans le
cadre dune mission spciale qui prsente une obligation rglementaire (revue du
dossier financier des compagnies dassurances). Nous allons proposer galement dans
le chapitre 2, une mthodologie pour laudit de la scurit dans le cadre dune mission
de revue des domaines informatiques (Trust domaine).
87
CHAPITRE 1: PROPOSITION DUNE APPROCHE DAUDIT DE LA MISSION

CONNEXE DU COMMISSAIRE AUX COMPTES RELATIVE A LEXAMEN DU
DOSSIER FINANCIER
Lobjectif de ce chapitre est de proposer une dmarche pour la conduite de la revue
des systmes informatiques dans le cadre de lexamen limit du compte rendu
statistique et financier.
En effet, conformment aux dispositions de larticle 245 du code des assurances, les
commissaires aux comptes sont appels procder lexamen du dossier financier,
prpar par les compagnies dassurances et envoy la Direction des Assurances et de
la Prvoyance sociale (DAPS).
Les modalits pratiques de lexcution de cette mission telles que dfinies par le
procs verbal (cit dans le paragraphe 3.1.1 du chapitre 1 du titre1 de la premire
partie) prvoient la revue des systmes informatiques. Les travaux effectus par les
commissaires aux comptes dans le cadre de cette mission sont dfinis par la norme
internationale relative aux missions dexamen sur la base des procdures convenues
Approche daudit de lvaluation du systme dinformation dans le cadre de la

mission du CAC de revue du dossier financier
Compte tenu du fait que les informations figurantes dans les tats du dossier financier
sont gnres par des systmes informatiss, lvaluation de ces dernires est une
tape obligatoire de la mission de revue du Dossier Financier.
Les travaux de la revue informatique dans le cadre de lexamen du Dossier Financier
doivent porter sur les volets suivants :
Prise de connaissance de lenvironnement informatique,
Revue des systmes contribuant la production du dossier financier,
Lanalyse des donnes et les tests (ventuellement).
88
1.1
Lvaluation de lenvironnement informatique
Il y a lieu de noter que les travaux relatifs cette phase sont effectus lors de la
mission de certification des tats financiers. Ils seront mis jour lors de cette mission
connexe. Nous rappelons que ces travaux ont pour objectif dapprcier dans quelle
mesure les systmes informatiques influencent les risques daudit (risques inhrents et
de contrle). Ils portent sur les aspects suivants :
Lorganisation, la planification de la fonction informatique ;
Le dveloppement, lacquisition, limplmentation et la maintenance des applications

et programmes informatiques ;
Lexploitation informatique ;
La scurit des actifs informatiques et des accs aux ressources informatiques.

La revue de ces aspects a t dveloppe dans le chapitre 1 du titre 1 de cette partie
(voir ci-dessus).
1.2
Evaluation des applications informatiques contribuant la gnration du

dossier financier
Cette tape a pour objectif didentifier les processus informatiques concourant la

production du dossier financier et dvaluer les contrles y affrents.
1.2.1
Identification des processus informatiques significatifs
Il sagit didentifier les processus informatiques qui contribuent llaboration du

dossier financier et dont lvaluation des contrles y affrents est ncessaire. Il y a lieu
de noter que les tests informatiques sont plus efficaces sur les systmes traitant un
volume important de transactions. Ainsi, ils porteront notamment sur les processus
mtiers (sinistres et production). En revanche, pour les autres processus qui sont
gnralement peu informatiss (rassurance, recouvrement et placement) les tests
manuels sont privilgis.
1.2.2
Tests des contrles affrents aux processus mtiers (production et sinistres)
Ces tests ont pour objectif de sassurer que les donnes traites par un processus sont
exhaustives, exactes, et relles. Ils seront axs sur les volets suivants :
89
o Le contrle permanent des donnes et des traitements afin de sassurer quils

sont correctement saisis, revus et conservs ;
o La gestion de la scurit logique applicative ;
o Le contrle des sorties et des donnes rejetes.
2
Prsentation dun cas pratique de revue des systmes informatiques dans le cadre
de lexamen du dossier financier
2.1 Objectif de la mission :
Notre mission avait pour objectif dapprcier les informations contribuant
llaboration du dossier financier. Elle a port sur lvaluation de lenvironnement
informatique et sur la revue des applications informatiques qui gnrent les
informations servant la production du dossier financier.
2.2
Evaluation de lenvironnement informatique :
Lors de cette tape nous avons procd une revue des contrles gnraux
informatiques. Ces derniers ont t dvelopps dans le chapitre 1 du titre 1 de la
deuxime partie.
2.3
Revue des applications informatiques :
Lors de cette tape, nous avons identifi les principaux processus et les contrles cls
y affrents dans un premier temps et par la suite nous avons procd aux tests de ces
contrles.
2.3.1
Identification des processus et des contrles y affrents
Afin didentifier les processus significatifs, nous avons labor la cartographie des
flux dinformation de la compagnie et avons analys la provenance des donnes
servant llaboration du dossier financier. Ainsi nous avons retenu deux grands
processus savoir:
o La gestion des sinistres;
o La gestion de la production.
En effet, le dossier financier est tabli sur Excel (processus manuel qui est dcrit dans
lannexe). Mais la majorit des informations proviennent des deux processus cits
ci-dessus et certaines donnes proviennent directement de la comptabilit.
90
Les processus de la production et des sinistres sont grs par un progiciel dont le
noyau a t acquis par la compagnie la fin des annes 80 et qui a t complt par
des dveloppements spcifiques effectus par lquipe interne.
Lors de cette intervention, nous avons tabli le mapping de ces processus et de leurs
sous processus ce qui nous a permis didentifier ( voir annexe 6) :
o Les entres ;
o Les traitements;
o Les sorties ;
o Les contrles ;
o Les interfaces.
2.3.2
Tests des contrles identifis
Une fois les contrles cls identifis, nous les avons tests. Ces derniers ont t mis en
ouvre de faon sassurer de:
o Lexhaustivit, lexactitude et la ralit des donnes saisies et des traitements ;
o La scurit logique relative aux applications;
o Lexhaustivit et lexactitude des sorties;
2.4
Rsultat des travaux et conclusions
A lissue de nos travaux, nous avons conclu que les donnes produites par les
systmes mtiers sont globalement fiables. Toutefois, nous avons relev des faiblesses
aussi bien au niveau de lenvironnement informatique quau niveau des applications.
2.4.1
Faiblesses relatives lenvironnement informatique
Principaux points faibles sur le plan technique :

o Systme dinformation coteux en termes de maintenance matriel et logiciel;
o Non ouvert en terme darchitecture;
o Forte dpendance vis--vis de lditeur;
o Structure en fichiers plats rendant difficile la restitution rapide de linformation
laide doutils standards de type SQL ou Query ;
o Toute demande de modification spcifique ncessite un programme en Cobol.
91
Principaux points faibles sur le plan de la scurit :

o Absence dun plan de scurit dfinissant la politique de scurit informatique
et les procdures de sa revue ;
o Absence dun responsable ddi la scurit des systmes dinformation ;
o Les dispositions de la scurit physique relative laccs aux salles des
machines informatiques sont perfectibles ;
o Absence de procdures de revue des profils utilisateurs ;
o Absence de changement rgulier des mots de passe au niveau de certaines
applications ;
2.4.2
Faiblesses relatives aux applications
Principaux points faibles relatifs la production des tats du dossier financier

o Le processus dtablissement des tats du dossier financier est manuel (tableur
Excel) ;
o Non respect du principe de sparation des tches (la mme personne tablit un
tat et procde son contrle).
Principaux points faibles relatifs aux applications informatiques en amont du
dossier financier
o Absence de procdures de saisie/validation et de lannulation des quittances ;
o Absence dinterface entre le suivi des primes et les mises en demeure ;
o Absence du suivi de la compensation des sinistres (risque du double rglement
des sinistres).
92
CHAPITRE 2: PROPOSTION DUNE METHODOLOGIE DAUDIT DE LA

SECURITE INFORMATIQUE
Face lampleur des risques qui menacent aujourdhui les systmes dinformation des
entreprises, les dirigeants sont devenus plus proccups par cette problmatique et
demandeurs de missions daudit et de conseil dans ce domaine.
Ce chapitre est consacr la prsentation dune mthodologie pour la conduite dune
mission daudit et au rappel des bonnes pratiques de politique et dorganisation de la
scurit du systme dinformation.
1.
Dmarche daudit de la scurit informatique

La dmarche suivie par lauditeur informatique lors dune mission de revue des
aspects de scurit dun systme dinformation sarticule gnralement autour des
tapes suivantes :
Prise de connaissance ;
Analyse des risques ;
Evaluation de la scurit des systmes ;
Elaboration de recommandations.
En annexe 4, nous avons repris lexemple dun programme de travail que nous avons
droul lors dune mission daudit de scurit dun environnement de confiance (Trust
Domain) dune socit de la place. Ce programme reprend les diligences daudit
mentionnes dans les paragraphes 1.1, 1. 2 et 1. 3 du prsent chapitre.
1.1
Prise de connaissance
Cette tape a pour objectif davoir une vue systmique du systme dinformation de la
socit, et de recenser tous les standards et les rgles de scurit en vigueur.
A partir des documents de lentreprise, des entretiens et des visites des locaux,
lauditeur informatique doit collecter linformation relative :
93
Aux matriels: serveurs, stations de travail, quipements rseaux, firewalls;
Aux logiciels: systmes dexploitation, applications de gestion, ERP ;
Aux communications: architecture du rseau (topologie), plan de cblage et

connexions avec lextrieur;
A lorganisation:
o Politique de scurit;
o Normes et standards en vigueur;
o Personnes et quipes impliques dans la fonction informatique;
o Dfinition des responsabilits;
o Procdures appliques,
o Plans des sauvegardes, darchivage de secours, de reprise, etc.
Volumtrie: Nombre dutilisateurs, volume de donnes en production et taille des

donnes sauvegardes.
A lissue de cette tape, et selon le primtre de la mission daudit de scurit,
lauditeur informatique peut faire appel des experts spcialiss dans la revue de
scurit des :
Systmes dexploitation comme lAS/400 ou l'Unix ;
ERP comme JD Edwards ou SAP ;
Matriels et logiciels rseaux LAN et WAN ;
Matriels et logiciels Internet : firewall, IDS (Intrusion Detection Systems), etc.

Nous avons prsent en annexe 5 un exemple des travaux daudit relatifs aux aspects
de la scurit dans lenvironnement de JD Edwards world. Ils ont t raliss par un
expert spcialise de la scurit sous environnement JDEdwards et I Series (AS 400 :
systme dexploitation IBM).
1.2
Analyse des risques
Cette tape a pour objectifs dvaluer les enjeux de la scurit du systme, et

notamment :
Identification des scnarios de menace ;
Evaluation de limpact de ces scnarios sur les actifs, le patrimoine et lactivit de

lentreprise de la survenance de ces scnarios.
94
Cette analyse des risques permet donc de :
Classer selon leur degr dimportance, les vulnrabilits qui seront identifies ;
Justifier le cot des actions correctives (comparaison du cot de la ralisation de la

recommandation par rapport au cot de survenance de la menace) ;
Hirarchiser les recommandations.

Parmi les scnarios de menace associs la scurit dun systme dinformation, nous
pouvons citer :
Interruption ou dysfonctionnement du rseau ;
Interruption ou dysfonctionnement du serveur ;
Perte de donnes ;
Perte dintgrit des donnes ;
Divulgation dinformation confidentielle ;
Attaque des logiciels (infections logiques par des virus) ;
Risques juridiques ;
Rpudiation ;
Ecoute du rseau ;
Saisie de transactions non autorises ;
Pntration du site central par le rseau.

1.3
Evaluation de la scurit du systme
Cette tape a pour objectif de sassurer que les contrles mis en uvre au sein ou
autour du systme audit sont en mesure de garantir une couverture suffisante des
risques pesant sur le systme.
Les principaux points contrler sont :
Scurit physique ;
Scurit de continuit dexploitation ;
Scurit logique : contrle des accs et des habilitations ;
Existence dun systme de self assessement (audit et contrle) ;
Prise en compte de la scurit dans les projets informatiques ;
Respect de la rglementation et des lois en vigueur.
95
1.4
Emission de recommandations
Cette tape a pour objectifs de prsenter un plan daction scurit qui devrait :
Proposer une recommandation corrective pour chaque vulnrabilit identifie et qui

correspond un risque ;
Hirarchiser les recommandations en fonction de limportance du risque (application

des rsultats de ltape danalyse des risques) ;
Dfinir un calendrier et un chancier de ralisation des recommandations et dsigner

les responsabilits du personnel oprationnel de lentreprise.
Les recommandations les plus frquentes qui dcoulent dun audit de scurit sont
rsumes dans les points suivants :
1.4.1 Politique de scurit
Formalisation dun document dfinissant la politique de scurit;

o Implication de la Direction Gnrale;
o Cohrence de la scurit ;
o Dfinition claire des responsabilits.
Existence dune organisation ddie la scurit :

o Nomination dun RSSI (Responsable de Scurit du Systme dInformation) ;
o Sparation exploitation/administration de la scurit.
Sensibilisation du personnel la scurit de linformation (informaticiens et

utilisateurs) :
o Guides, communications, formation ;
o Protection du SI de lentreprise ;
o Signature dune convention de confidentialit de linformation par tout le
personnel de lentreprise (confidentiality agreement) ;
o Prvention de la fraude (dont piratage) ;
o Tout incident de scurit caus par un employ pourrait tre considr comme
une faute grave.
96
1.4.2 Scurit Physique :
Accs aux serveurs :

o Installation des serveurs dans une salle machines munie dun minimum de
standards de scurit (climatisation, ondulation, extincteurs de feu, dtecteurs
de feu, instruments de mesure de la temprature et de lhumidit, etc.).
Stockage des sauvegardes :

o Placement des supports de sauvegardes dans un lieu scuris (coffre ignifuge) ;
o Disponibilit dune sauvegarde externe des donnes dexploitation (dans le
coffre fort dune banque par exemple) ;
o Priodicit de renouvellement des sauvegardes stockes lextrieur.
1.4.3 Scurit logique :
Contrle daccs logique :

o Formalisation dune procdure daccs des utilisateurs aux ressources
informatiques ;
o Identification, authentification et autorisation de tous les utilisateurs ;
o Mise en veille/dconnexion automatique aprs une priode dinactivit ;
o Dsactivation automatique des comptes utilisateurs en cas de tentatives
infructueuses ;
o Responsabilisation des utilisateurs.
Gestion des mots de passe :

o Caractre confidentiel et personnel du mot de passe ;
o Rgles de construction du mot de passe (longueur, composition, robustesse) ;
o Rgles de gestion (changement rgulier des mots de passe, non rutilisation) ;
o Procdures de rinitialisation en cas de perte de mots de passe.
Mise jour des habilitations accordes :

o Cohrence entre les effectifs de lentreprise et le fichier ID des utilisateurs ;
o Prise en compte des changements de fonction des utilisateurs ;
97
o Procdures relatives lhabilitation du personnel nappartenant pas

lentreprise (stagiaires, contractants, consultants et sous-traitants).
Accs et habilitations du personnel

o Revue des autorisations daccs aux ressources sensibles ;
o Les dveloppeurs informatiques ne doivent pas tre autoriss accder
lenvironnement de production ;
o Revue rgulire par les propritaires du SI, des autorisations partir des
donnes et des systmes ;
o Revue rgulire des habilitations des utilisateurs par laudit interne ou par le
responsable scurit (contrle de la sparation des fonctions) ;
o Revue rgulire des accs pour dtecter et analyser les tentatives de violation
rptes et laccroissement injustifi des accs raliss sur des ressources
sensibles.
98
2.
Prsentation dun cas daudit de la scurit

Nous avons effectu pour le compte dune grande filiale de multinationale une mission
de revue de la scurit de son systme dinformation. Cette mission sinsre dans un
projet global de certification des systmes dinformation des socits du groupe et
avait pour principal objectif lvaluation de la conformit du systme dinformation de
la socit aux standards de scurit adopts par le groupe.
Notre dmarche pour cette mission sarticulait autour des tapes suivantes :
Planning : Dans cette tape, nous avons revu et valid le scope du projet de certification
du SI de la socit et avons dfini le planning de notre intervention ;
Revue de lauto-valuation (Self-assessment) : Dans cette tape, nous avons revu les
travaux dauto-valuation effectus par lquipe de contrle interne de la socit. Ces
travaux ont t effectus sur la base dentretiens et de revue de documentation ;
Revue des dviations des standards de scurit : Dans cette tape, nous avons identifi
toutes les dviations par rapport aux standards tablis et avons revu le bien fond des
raisons de ces dviations,
Revue de limplmentation des standards de scurit : Dans cette tape, nous avons
droul le questionnaire prsent en annexe 4, et avons vrifi la conformit du SI de la
socit par rapport ces dviations ;
Finalisation et rdaction du rapport : Dans cette tape, tous les points soulevs sont
discuts avec le management de la socit, documents dans le dossier daudit et repris
dans le rapport final destination de la direction du groupe.
Conclusion : Notre revue na pas rvl des points de non conformit significatifs.
Le guide daudit que nous avons utilis dans notre mission est prsent en annexe 4.
99
Laudit informatique dans le cadre des missions daudit financier devient une exigence
impose par les normes professionnelles, mais il est galement une ncessit en raison
de lvolution du contexte des organisations. En effet, dans le contexte actuel o les
systmes informatiques sont prpondrants dans la majorit des processus des
entreprises il nest plus possible de certifier les tats financiers sans valuer les
systmes dinformation. La dmarche des auditeurs devra donc tre adapte pour
reflter cette nouvelle ralit. Laudit informatique en tant que support laudit
financier est ax sur la fiabilit des informations financires produites par les
systmes. Il porte sur les contrles gnraux informatiques et les applications.
Lapproche daudit relative ces deux aspects a t dveloppe dans la deuxime

partie de ce mmoire.
Par ailleurs, lexpert comptable en tant que commissaire aux comptes est appel
effectuer des missions connexes qui impliquent la revue des systmes dinformation
(examen du dossier financier, valuation du contrle interne des tablissements de
crdit y compris les aspects lis aux systmes dinformation). Dans le prsent mmoire
nous avons expos une dmarche pour la revue des systmes dans le cadre de
lexamen du dossier financier et nous avons illustr notre propos par un cas pratique.
Lexpert comptable, en tant que conseiller de lentreprise, est souvent appel assister
le management dans la mise en place des procdures et outils permettant de grer les
risques. Une des missions le plus souvent demande est celle relative la revue des
aspects de la scurit. Le dernier chapitre de ce mmoire a t consacr cet aspect.
100
CONCLUSION GENERALE
Aujourdhui le monde conomique est caractris par la libralisation et la
globalisation. Cette dernire est rendue encore plus rapide par les rseaux
informatiques. En effet, la mondialisation sacclre avec la capacit dutiliser des
moyens de transmettre des informations ou dy accder. Comme tout changement,
cette volution entrane la modification des modles de fonctionnement des
entreprises.
Pour tre comptitives dans lenvironnement conomique actuel, les entreprises
marocaines sont appeles oprer de profondes mutations tant au niveau de leurs
stratgies quau niveau de la mise niveau de leurs modes de gestion. Le processus de
changement qui est enclench par ce nouveau contexte les amne matriser leurs
systmes dinformation afin dtre comptitives et ractives.
En effet, les systmes dinformation sont devenus des leviers stratgiques qui
accompagnent les entreprises dans leur mise niveau et leur dveloppement en leur
permettant dtre performantes et ractives. Ceci implique une excellence dans la
rapidit et la pertinence du traitement de linformation ce qui conduit le plus souvent
une refonte complte du systme dinformation et une redistribution des activits et
des tches aux diffrentes structures de lorganisation.
La dpendance croissante des entreprises de linformation et des systmes qui la
dlivrent augmente avec le dveloppement des technologies qui changent radicalement
les organisations et les pratiques des affaires.
Il est vident que les systmes dinformation permettent lentreprise dtre
performante et ractive, mais leur mise en place saccompagne le plus souvent par une
refonte des processus de lorganisation, ce qui pourrait se traduire par la suppression
de certains contrles cls dans la gestion des risques de lentreprise.
Aujourdhui, nous assistons une forte intgration des systmes et leur ouverture
sur les partenaires de lentreprise. Ceci augmente considrablement la vulnrabilit
des systmes dinformation et engendre de nouveaux risques.
101
Il y a lieu de noter que les risques inhrents aux systmes dinformation augmentent
avec louverture de ces derniers aussi bien en externe avec Internet quen interne
travers les outils dIntranet.
Les entreprises doivent tre conscientes des risques lis aux systmes dinformation
et mettre en place les outils et les procdures de contrle permettant dempcher leur
survenance ou limiter leur impact.
Les lgislateurs ont mis de nouvelles dispositions visant se prmunir contre les
risques lis lutilisation des nouvelles technologies de linformation. Ils ont
galement impos aux auditeurs dvaluer et de tester les contrles, y compris ceux
lis aux systmes informatiques.
Pour rpondre aux nouvelles exigences rglementaires et aux contraintes et risques
induits par les systmes informatiques (intgration, ouverture, automatisation des
contrles, etc.), les organismes professionnels de laudit comptable et financier ont
d revoir leurs normes et mthodologies daudit de faon prendre en compte les
enjeux de ce nouveau contexte.
Dans lenvironnement actuel, o les systmes informatiques sont devenus
prpondrants et linformation comptable et financire est issue directement de ces
systmes il est inconcevable de certifier les comptes sans procder un audit de ces
derniers.
Face ce nouveau contexte, les cabinets daudit ont procd une mise niveau de
leur mthodologie daudit de faon se conformer aux nouvelles normes
professionnelles et dispositions rglementaires. Les nouvelles dmarches proposes
par les cabinets daudit reposent largement sur la comprhension et lvaluation des
contrles lis aux systmes informatiques et sur les tests des contrles programms
(contrles automatiss).
102
Compte tenu que la comprhension de la fonction informatique et de son

environnement est un pralable pour la ralisation des missions daudit informatique
nous avons expos un aperu relatif :
Lorganisation, et lenvironnement lgal de la fonction informatique ;
Aux phases du cycle de vie des systmes informatiques ;
Aux contrles et risques lis aux systmes informatiques.
La prsentation de ces aspects a pour but de comprendre la manire dont les systmes
informatiques affectent le traitement de linformation et le contrle interne de
lentreprise dune part et didenfiter les risques lis aux systmes informatiques
dautre part.
Par la suite nous avons propos une approche daudit pragmatique pour la ralisation
des missions daudit informatique en tant que support laudit comptable et financier.
La dmarche daudit prsente a port non seulement sur laudit des contrles
gnraux et les applications informatiques classiques mais aussi sur le cas particulier
des progiciels intgrs dont la diffusion au sein des entreprises devient de plus en plus
grande.
Nous avons galement prsent des dmarches pour la ralisation de certaines
missions spciales daudit ou de revue informatique qui prsentent soit un caractre
obligatoire (mission de revue du dossier financier) ou un caractre prioritaire pour la
gestion des risques informatiques (audit de la scurit).
Nos propos ont t illustrs par des cas pratiques .
Par ailleurs, il y a lieu de souligner que les missions dans le domaine de laudit et la
gestion des risques informatiques sont nombreuses et varies. Ceci permet lexpert
comptable dlargir le champ de ses missions et de se positionner en tant
que
conseiller et interlocuteur privilgi du management de lentreprise.
103
Une des missions le plus souvent mandate par le management de lentreprise, en

raison de son caractre prioritaire, est laudit informatique oprationnel.
La dmarche pour la ralisation de laudit informatique oprationnel dpend des
objectifs assigns la mission et demande une plus grande exprience et expertise
lauditeur. Gnralement elle porte sur:
Lvaluation de la rentabilit et la performance du SI ;
Lapprciation de ladquation du SI aux besoins de lentreprise ;
Lvaluation de la prennit du SI ;
Lvaluation de la capacit dvolution du SI.
Afin de se conformer aux rgles de la loi Amricaine Sarbanes Oxley, le management

des filiales des multinationales cotes sur le march Amricain( USA) sollicite de plus
en plus des missions daudit et dassistance relatives lvaluation, au design, la
documentation et aux tests des contrles informatiques.
Compte tenu de limportance de ces deux types de missions, les dmarches daudit y
affrentes pourraient faire lobjet dautres mmoires.
Par ailleurs, Il faut souligner quil existe de nombreuses autres missions dans le
domaine de laudit et le conseil en matire des procdures de contrle et de gestion des
risques informatiques, parmi ces missions nous pouvons citer :
Mission daudit informatique dans le cadre de la circulaire n6 de BANK AL

MAGHRIB ;
Assistance la dfinition des procdures de migration des donnes ;
Revue de la gestion des projets informatiques.

Pour faire face aux nouvelles contraintes et saisir les opportunits de missions cres
par lutilisation des nouvelles technologies de linformation, lexpert comptable devra
investir dans lacquisition des comptences dans ce domaine.
104
BIBLIOGRAPHIE
A.
Ouvrages :
Coopers & lybrand et LIFACI : La nouvelle pratique du contrle interne ( les
ditions dorganisation 1994)
G. Benedit/R.Keravel: Mission de rvision: Evaluation du contrle interne (

entreprise et expertise comptable, dition Foucher)
Henry c. Lucas, jr : information technology for management (irwin mcgraw-hill :
7ime dition).
Steven
alter :
information
systems
management
perspective
( the
bengamin/cummings publishing company inc :2ime dition).

James e. Goldman : applied data communications a business-oriented approach
(John wiley & Sons :2ime dition ).
Marc Thorin : audit informatique (3 me dition Masson).
Brian jenkins & anthony pinkney : audit des systmes et des comptes grs sur
informatique (dition publi-union).
Jean-patrick matheron : comprendre, merise outils conceptuels et organisationnels

(dition eyrolles).
Commission bancaire : livre blanc sur la scurit des systmes dinformation ( 2ime
dition).
Olivier lemant pour linstitut franais des auditeurs consultants internes
: la
conduite dune mission daudit interne (dition clet).
ISACA, CISA : Certified Information Systems Auditor , review manual, 2002.
I.S.A.C.A. Guide cobit : Third edition
PriceWaterhouseCoopers : technology forecast : 1998 (price waterhouse global

technology center ).
105
Normes gnrales pour laudit des systmes dinformation :
010 Charte d'audit
020 Indpendance
030 Ethique et normes professionnelles
040 Comptence
050 Planification
060 Ralisation du travail d'audit
070 Rapport
080 Activits de suivi
09 Irrgularits et actes illgaux
10 Gouvernance des systmes informatiques
11 Lutilisation de lvaluation des risques dans la planification de laudit.
Sminaires :
Security
and
controls :
Audit
des
contrles
dans
lenvironnement
JDE :
PriceWaterhouseCoopers, 2001
Audit de la fonction informatique : anim par Franoit Vaillant ( Directeur de laudit

informatique Groupe accord et enseignant luniversit de Paris dauphine) 2002,
organis par consilium
Audit de la scurit informatique organis par consilium et anim par associ chez
Deloitt Paris
Audit des rseaux et tlcommunications organis par consilium et anim par Renaud
Guillemot
"Laudit informatique : concepts, mthodes, outils actuels, dmarches pratiques" par

claude salzman, mars 2002
"computers assurance training 1" : PricewaterhouseCoopers, juillet 1997
106
"computers assurance training 2" : PricewaterhouseCoopers, juillet 1998
"Audit de la scurit dans l'environnement as400" : PricewaterhouseCoopers, mai

1998
"System analysis et design" : universit de macgill Montral 2000
"Informatique system administration" : universit de macgill Montral 2000
Audit de la scurit
Mmoires :
Luc THEROND, Proposition dune mthodologie daudit dans le cadre de

lvaluation du contrle interne des entreprises informatises , 1994 ;
Omar SEKKAT Le rle de lexpert-comptable face aux risques de scurit microinformatique dans les PME - proposition dune dmarche (mmoire dexpertise
comptable), novembre 2002.
Adnane Loukili, incidence de la prsence dun site lectronique sur la mission

daudit mai 2005
Mohamed Lassd Borgi, Lvolution des technologies de linformation et de la

communication : Impact sur laudit financier . Anne universitaire 2000-2001
107
Principaux sites consults
www.IASACA.org
www.clusif.asso.fr
www.pwc.com (knowledgecurve.com)
108
PLAN DETAILLE
1. L'enjeu conomique li l'volution et au rle des systmes d'information dans un contexte de

globalisation
1.1 Evolution des systmes d'information
1..2 Rle stratgique des systmes d'information
2. Impacts des systmes informatiques sur l'approche de l'audit financier
3. Problmatique et objectifs du prsent mmoire
3.1 Problmatique du mmoire
3.2 Objectifs
4. Dmarche adopte
2
2
2
3
3
3
5
6
PARTIE I :
LA COMPREHENSION DU CADRE GENERAL DE LA FONCTION INFORMATIQUE : UN
PREALABLE NECESSAIRE POUR LA REALISATION DES MISSIONS D'AUDIT
INFORMATIQUE

TITRE 1 :
L'ENVIRONNEMENT ET L'ORGANISATION DE LA FONCTION INFORMATIQUE
CHAPITRE 1 : L'ENVIRONNEMENT ET L'OGANISATION DE LA FONCTION INFORMATIQUE DE
L'ENTREPRISE
1. Rle et caractristiques des systmes d'information
1.1 Rle des systmes d'information de gestion
1.2 Caractristiques des systmes d'information
2. Rle et organisation de la fonction informatique
2.1 Rle de la fonction informatique
2.2 L'organisation de la fonction informatique
2.2.1 Structure de la fonction informatique
2.2.2 Les principales attributions de la DSI
2.3 Principes de gestion et de contrle interne relatifs l'organisation de la fonction informatique
2.3.1 Rappel relatif au dispositif du contrle interne
2.3.2 Le dispositif du contrle interne relatif l'organisation de la fonction informatique
2.3.2.1 Les bonnes pratiques en matire de pilotage de la fonction informatique
9
10
10
10
10
11
11
11
12
12
14
14
15
18
19
2.3.2.2 Le dispositif du contrle interne relatif l'organisation et le pilotage de la fonction informatique
20
CHAPITRE 2 : L'ENVIRONNEMENT LEGAL DES SYSTEMES D'INFORMATION
22
22
22
22
22
23
23
24
24
25
1. LA REGLEMENTATION COMPTABLE ET FISCALE

1.1 Au Maroc
1.1.1 La rglementation comptable
1.1.2 La rglementation fiscale
1.2 En France
2. LE CADRE JURIDIQUE GENERAL
2.1 Le cadre juridique au Maroc
2.2 Le cadre juridique en France
3. Rglementation spcifique aux dispositifs de contrle interne lis au reporting financier
3.1 Revue du systme d'information dans le cadre de la revue par le CAC du dossier financier tabli par
les compagnies d'assurance
3.2 Circulaire n 6/G/2001 de Bank Al Maghrib relative au contrle interne des Etablissements de crdit
3.3 La loi Sarbanes-Oxley (SOX)
3.4 Loi du 1er aot 2003 sur la scurit financire(LSF)
25
25
27
27
109
4. Les principales positions des organismes professionnels

4.1 Les normes marocaines
4.2 Les rflexions internationales
4.2.1 Les rflexions de lIFAC (International Federation of Accountants)
4.2.2 Les rflexions du Conseil National des Commissaires aux Comptes (CNCC) en France
4.3 Autres rflexions : ISACA
28
28
29
29
30
30
TITRE 2 :
PRESENTATION DES CYCLES DE VIE DU SYSTEME D'INFORMATION DES RISQUES ET
DES CONTROLES Y AFFERENTS
CHAPITRE 1: PRESENTATION DES CYCLES DE VIE ET DES METHODOLOGIES DUN SYSTEME
D'INFORMATION
1 LE CYCLE DE VIE D'UN SYSTEME D'INFORMATION
1.1 Description des phases des cycles de vie dun systme dinformation
1.1.1 Etape d'tude de faisabilit
1.1.2 Phase de dveloppement
1.1.2.1 Etape de conception
1.1.2.2 Etape de ralisation des programmes
1.1.2.3 Etape de mise en uvre
1.1.3 Phase d'exploitation
1.1.4 Phase de maintenance
2. METHODES DE CONCEPTION ET DE DEVELOPPEMENT DES SYSTEMES D'INFORMATION
CHAPITRE 2 : IDENTIFICATION DES RISQUES ET DES CONTROLES LIES AUX CYCLES DE VIE
DES SYSTEMES D'INFORMATION
1. LES RISQUES LIES AUX CYCLES DE VIES DES SYSTEMES D'INFORMATION
1.1 Dfinition du risque
1.2 Facteur de risque
1.3 Les risques lis au cycle de vie du systme d'information
1.3.1 Risques lis la planification
1.3.2 Risques lis au dveloppement et la mise en service des systmes informatiques
1.3.3 Risques lis la mise en service
1.3.4 Risques lis l'exploitation
1.4 Gestion des risques
2 CONTROLES LIES AUX CYCLES DE VIE DES SYSTEMES D'INFORMATION
2.1 Les contrles relatifs au dveloppement et la mise en uvre des applications informatiques
2.2 Les contrles relatifs la gestion des modifications
2.3 Les contrles relatifs la slection et la mise en uvre des progiciels
2.4 Les contrles relatifs la gestion des oprations d'exploitation informatique
2.5 Les contrles relatifs aux procdures utilisateurs
2.6 Les contrles relatifs au plan de secours
32
32
32
33
33
33
33
34
34
35
35
35
37
37
37
37
38
38
38
39
39
40
40
41
42
42
43
44
44
46
PARTIE II
PROPOSITION D'UNE METHODOLOGIE POUR LA CONDUITE DES MISSIONS D'AUDIT
INFORMATIQUE
48

TITRE 1
LE PROCESSUS DE L'AUDIT INFORMATIQUE DANS LE CADRE DES MISSIONS D'AUDIT
FINANCIER ET COMPTABLE
CHAPITRE 1 : PRESENTATION DE LA DEMARCHE DE L'AUDIT INFORMATIQUE DANS LE
CADRE DES MISSIONS D'AUDIT FINANCIER ET COMPTABLE
1. Prsentation de la nouvelle dmarche gnrale de l'audit comptable et financier
1.1 Caractristiques de la nouvelle approche d'audit
49
50
50
50
50
110
1.2 Les phases de la nouvelle approche d'audit comptable et financier

1.2.1 Phase d'acceptation et de poursuite de la mission
1.2.2 Phase de cadrage de la mission
1.2.3 Phase de comprhension
1.2.4 Phase d'valuation
1.2.5 Phase de validation
2 DEMARCHE GENERALE DE L'AUDIT INFORMATIQUE
2.1 Cadrage de la mission
2.2 Comprhension de l'environnement informatique
2.2.1 L'organisation de la fonction informatique
2.2.2 Caractristiques des systmes informatiques
2.2.3 Cartographie des applications cls
2.3 Identification et valuation des risques et des contrles affrents aux systmes
2.4 Tests des contrles
2.5 Finalisation de la mission
CHAPITRE 2 : L'AUDIT DE LA FONCTION INFORMATIQUE (CONTROLES GENERAUX
INFORMATIQUES)
1. Organisation, planification et management de la fonction informatique
1.1 Planification stratgique et management de la fonction informatique
1.2 Audit de l'organisation de la DSI
2 Dveloppement, acquisition, implmentation et maintenance des applications et des programmes
informatiques
3 Exploitation informatique
4 La scurit des actifs informatiques et des accs aux ressources informatiques
5 Plans de sauvegardes et de secours informatique
5.1 Plan de sauvegardes
5.2 Plan de secours
6 Prsentation dun cas de revue des contrles gnraux informatique
6.1 Etendue et objectifs de la mission
6.2 Notre dmarche
6.3 Notre conclusion
6.4 Principaux points relevs lors de notre mission
1. Dmarche gnrale d'un audit d'application
1.1 Prise de connaissance du cadre gnral de l'application
1.2 Identification et valuation des risques et des contrles d'application
1.3 Analyse des risques et des contrles
1.4 Test des contrles d'application
1.4.1 Dfinition et caractristiques des contrles d'application
1.4.2 Contrle des entres
1.4.3 Contrle d'accs
1.4.4 Contrle de la collecte des donnes
1.4.5 Contrle de l'enregistrement des donnes
1.4.6 Contrle des traitements et des sorties des donnes
2. CAS PRTICULIER DE LA REVUE DU PROGICIEL INTEGRE (ERP : ENTREPRISE
RESSOURCES PLANNING ) JDEDWARDS
2.1 La revue des contrles relatifs l'intgrit, la scurit et le master data
2.1.1 Revue des rapports d'intgrit
2.1.2 Revue de la scurit (JDE World)
2.1.3 Revue du master data (JD Edwards World)
2.2 La revue des processus (business processes)
51
51
52
52
52
53
53
54
54
55
55
56
56
57
58
60
61
61
62
62
63
64
65
65
66
67
67
68
70
70
72
72
73
74
75
76
76
77
77
78
78
80
81
83
83
84
85
86
111
TITRE 2 : PROCESSUS DE L'AUDIT DANS LE CADRE D'AUTRES MISSIONS D'AUDIT

INFORMATIQUE
87
CHAPITRE 1: PROPOSITION D'UNE APPROCHE D'AUDIT DE LA MISSION CONNEXE DU
COMMISSAIRE AUX COMPTES RELATIVE A L'EXAMEN DU DOSSIER FINANCIER
1. Approche d'audit de l'valuation du systme d'information dans le cadre de la mission du CAC de
revue du dossier financier
1.1 L'valuation de l'environnement informatique
1.2 Evaluation des applications informatiques contribuant la gnration du dossier financier
1.2.1 Identification des processus informatiques significatifs
1.2.2 Tests des contrles affrents aux processus mtiers (production et sinistres)
2 Prsentation d'un cas pratique de revue des systmes informatiques dans le cadre de l'examen du
dossier financier
2.1 Objectif de la mission
2.2 Evaluation de l'environnement informatique :
2.3 Revue des applications informatiques :
2.3.1 Identification des processus et des contrles y affrents
2.3.2 Tests des contrles identifis
2.4 Rsultat des travaux et conclusions
2.4.1 Faiblesses relatives l'environnement informatique
2.4.2 Faiblesses relatives aux applications
CHAPITRE 2: PROPOSTION D'UNE METHODOLOGIE D'AUDIT DE LA SECURITE
INFORMATIQUE
1. Dmarche d'audit de la scurit informatique:
1.1 Prise de connaissance
1.2 Analyse des risques
1.3 Evaluation de la scurit du systme
1.4 Emission de recommandations
1.4.1 Politique de scurit
1.4.2 Scurit physique
1.4.3 Scurit logique
2. Prsentation d'un cas d'audit de la scurit
CONCLUSION GENERALE
BIBLIOGRAPHIE
PLAN DETAILLE
LEXIQUE DU SYSTEME D'INFORMATION
ANNEXES
88
88
89
89
89
89
90
90
90
90
90
91
91
91
92
93
93
93
94
95
96
96
97
97
99
100
101
105
109
113
122
112
LEXIQUE DU SYSTEME DINFORMATION
Linformatique est dfinie par le dictionnaire de la langue franaise comme suit :

Science et technique du traitement automatique de linformation au moyen des
ordinateurs . En effet, cest un ensemble doutils et de mthodes qui permettent de
saisir, stocker et changer les donnes, et de traiter ces dernires afin dobtenir des
rsultats pertinents un problme donn ;
Le systme dinformation (SI) est constitu d'un ensemble de moyens, de ressources

et d'lments organiss en vue de recueillir, traiter, stocker et diffuser linformation.
Cest un ensemble complexe, souvent htrogne car constitu d'lments qui se sont
juxtaposs au fil du temps au gr des choix stratgiques, des volutions technologiques
des systmes informatiques en place, et du dveloppement de l'organisation ellemme.
Le systme dinformation peut aussi tre, considr aujourd'hui comme un ensemble

cohrent compos :
o de plusieurs modules, sous-systmes ou applications permettant ou facilitant

lautomatisation de certains processus de lentreprise ou de ladministration,
o dune infrastructure permettant de vhiculer linformation entre ces sous-systmes.
Aujourdhui les SI des entreprises sont gnralement informatises. Ce sont ces

systmes automatiss auxquels nous faisons rfrence dans le prsent mmoire qui
font lobjet. Les termes souvent utiliss dans notre tude sont soit les systmes
informatiques soit les systmes dinformation.
Laudit informatique est effectu par une ou des personnes indpendantes internes
ou externe lentreprise, en vue de donner une assurance sur la ralisation des
objectifs du contrle interne de la fonction informatique, et des conseils visant
amliorer le fonctionnement des systmes dinformation.
113
Le contrle interne relatif la fonction informatique est dfini dans premire partie
(titre :1 chapitre 1 : 3.2).
Laudit comptable et financier est dfini par le manuel des normes professionnelles
marocaines, comme une mission ayant
pour objectif de permettre lauditeur
d'exprimer une opinion selon laquelle les tats de synthse ont t tablis, dans tous
leurs aspects significatifs, conformment un rfrentiel comptable identifi et quils
traduisent dune manire rgulire et sincre la situation financire de la socit, ainsi
que le rsultat de ses oprations et les flux de sa trsorerie.
Application
Programme contenant les traitements appliquer aux donnes dentre (input) pour
obtenir un rsultat dsir (output).
Architecture trois niveaux Three Tiers Architecture
Gnration rcente de larchitecture Client Serveur qui comporte trois composants (un
pour les donnes, un pour les traitements, un pour la prsentation) pouvant rsider
dans des endroits diffrents. Typiquement : les donnes sur un mainframe central, les
traitements sur un serveur local, la prsentation sur le PC (attention : l'expression
"trois tiers" est un faux ami).
Architecture Client Serveur (Client-Server Architecture)
Architecture informatique qui vise utiliser au mieux les ressources en puissance de
traitement et en mmoire pour lexcution des applications, en tirant parti des moyens
disponibles sur les PC. Typiquement, les donnes sont concentres sur le mainframe,
la prsentation est faite par le PC, les traitements sont rpartis entre les deux. Cf.
architecture trois niveaux.
ERP : Il sagit dun ensemble de modules structurs autour d'une base de donnes
unique et couvrant l'ensemble des domaines fonctionnels de l'entreprise, de la gestion
de production la gestion financire.
114
Base de donnes (Database)

Logiciel qui permet de stocker, classer, retrouver des donnes, et de raliser des
calculs sur ces donnes.
Base documentaire (Documentary Database)
Logiciel qui permet de stocker, classer, retrouver des documents.
Bureautique Office Automation
Ce terme a dabord dsign lquipement lectronique de bureau (photocopieuses,
machines calculer). Puis il sest appliqu au micro-ordinateur et ses premires
applications (traitement de texte, tableur, grapheur ) ainsi quaux imprimantes. Avec la
mise en rseau des PC, on est pass la fin des annes 80 la " bureautique
communicante " dont les premires applications ont t la messagerie et lagenda
partag. La bureautique communicante a t vers 1992 englobe sous le concept de
groupware.
Cellule dassistance matrise douvrage (Business Technology Unit)
Entit qui, lintrieur dune matrise douvrage, a la responsabilit de la dfinition,
du dveloppement et de lutilisation dun systme dinformation correspondant aux
missions de cette matrise douvrage.
Circuit intgr (Integrated Circuit)
Ensemble de composants lectroniques fixs, ainsi que leurs interconnexions, sur une
" puce " (le plus souvent en silicium).
Client
Dans le langage de linformatique, un " client ", ce nest pas une personne, mais le PC
de lutilisateur. Cest ainsi quil faut comprendre lexpression " client-serveur ".
115
Commerce lectronique (Electronic Commerce)

Ralisation du processus de la relation commerciale par voie lectronique (rseau,
ordinateurs) : prsentation des produits, prise de commande, paiement, gestion de la
logistique de livraison. Dans le cas des documents ou des logiciels, la livraison ellemme peut se faire par voie lectronique.
Disque dur (Hard Disk)
Mmoire de masse dun ordinateur, accs lent, rsidant sur un support magntique.
Donne Data
Une donne, cest un couple logique form par (a) une dfinition, (b) la spcification
dune mthode de mesure, dobservation ou de calcul (" Mtadonne"). Raliser la
mesure (ou lobservation pour les donnes qualitatives ou le calcul pour les donnes
agrges) permet de connatre la valeur prise par la donne dans un contexte
particulier (lieu, date).
EDI (Echange de donnes informatises) (Electronic Data Interchange)
Communication entre applications informatiques dentreprises diffrentes ou non, par
le moyen de messages dont le format et le codage auront t fix par un accord
dinterchange. La norme Edifact dfinit le format gnral des messages. LEDI facilite
les changes rptitifs dinformation (commande, facture, etc.) entre un fournisseur et
un client assidu. L " EDI-ouvert " procure une norme pour dcrire les rles de
diverses entreprises dans les montages complexes dingnierie daffaire, et garantit
que leurs applications sont capables de communiquer par messages EDI.
Extranet
Mise en rseau de plusieurs entreprises qui connectent leurs Intranets. LExtranet est
le moyen idal pour les relations avec les partenaires, fournisseurs et clients.
116
Indicateur (Indicator)
Donne ou agrgat de donnes slectionn pour son intrt conomique, mis sous
forme de srie chronologique, corrig des variations saisonnires aprs interprtation
des incidents, ayant fait lobjet dune modlisation conomtrique permettant de
linterprter et de fournir des prvisions tendancielles (ou extrapolations). La
production dun indicateur est une opration relativement coteuse : seules certaines
donnes choisies mritent dtre leves au statut dindicateur.
Information
Une information, cest une donne observe par un acteur que cette donne intresse.
Lobservation par un acteur implique la comparaison au moins implicite dautres
donnes, car sans comparaison il ny a pas dinterprtation possible. Passer du rang de
donne celui dinformation suppose que la connaissance de la donne contribue
laction de celui qui lobserve : la notion dinformation recle donc un ct subjectif et
un ct objectif.
Interface
Mise en forme des donnes permettant leur passage dune tape lautre du
traitement. Equipement assurant la transcription des donnes dun langage dans un
autre. Linterface homme-machine assure la communication entre lhomme et
lordinateur grce des supports (cran, clavier, haut-parleurs) accessibles aux sens de
ltre humain. Linterface graphique (Graphical User Interface ou GUI), qui permet
dafficher et de crer des images, fait partie de lergonomie standard en 1997.
Internet
Rseau dinterconnexion dordinateurs utilisant le protocole de transmission de
donnes TCP/IP (qui permet aussi le transfert des images, fixes ou animes, et du son).
Efficace, robuste et peu coteux grce aux qualits de TCP/IP, lInternet a t dabord
utilis par des chercheurs, puis a servi de support des services devenus populaires
(messagerie, forums, Web, commerce lectronique, tlchargement de logiciels) qui
ont fait de lui un phnomne de socit. Cest dsormais le rseau mondial de
communication lectronique.
117
Intranet
Utilisation de lInternet des fins internes une entreprise. LIntranet permet
lentreprise de bnficier de lconomie dchelle acquise par les logiciels sur
lInternet, et doutils de dveloppement orients-objet comme Java. On peut raliser
maintenant sur lIntranet la totalit des applications de groupware. LIntranet ncessite
toutefois une administration soigneuse des droits daccs, et la mise en place de
" Firewalls " pour protger les donnes de lentreprise.
Firewall
Logiciel (pare-feu) qui sert protger un rseau contre les tentatives dintrusion.
Langage de programmation (Programming Language)
Lordinateur ne comprend que des instructions simples : chercher des donnes dont il
connat ladresse en mmoire, faire une opration arithmtique sur ces donnes,
stocker le rsultat de cette opration en mmoire, etc. Le langage qui permet dcrire
ces instructions est le langage machine.
Programmer en langage machine serait une tche fastidieuse pour un tre humain. Les
langages de programmation offrent des instructions plus synthtiques et commodes.
En fait, lexcution dun programme crit en " langage de haut niveau " (Visual Basic,
Java, C++ etc.) ncessite une cascade de traducteurs et interprteurs pour aboutir des
instructions excutables par la machine.
Les langages de programmation sont ainsi plus proches du langage " naturel " (ou de
sa reprsentation graphique). Ils restent cependant trs conventionnels, et leur
utilisation experte suppose une formation approfondie.
Mmoire (Memory)
Support magntique ou lectronique comportant des zones dotes dadresses, et o un
ordinateur peut stocker donnes et programmes. Une mmoire est dautant plus chre
que son accs est plus rapide (do lutilisation dun disque dur accs lent pour la
mmoire de masse, et dune RAM accs rapide pour les travaux en cours).
118
Messagerie lectronique (E-mail)

Systme dadressage et de stockage permettant des utilisateurs dchanger des
messages en mode asynchrone : le message est stock dans la " bote aux lettres "
(BAL) de lutilisateur en attente de sa consultation. Lintroduction dune messagerie a
un effet puissant sur lorganisation dune entreprise.
Micro-ordinateur (Micro Computer)
Ordinateur dont lunit centrale est constitue dun microprocesseur. Le microordinateur contient dautres circuits intgrs ralisant des fonctions de mmoire et
dinterface.
Microprocesseur (Micro Processor)
Circuit intgr contenant les circuits arithmtiques, logiques et de contrle ncessaires
pour raliser les fonctions de lunit centrale dun ordinateur.
Modle conceptuel de donnes (MCD)
Catalogue des dfinitions mettant en vidence les liens logiques entre les diverses
donnes de lentreprise : dcoupage des nomenclatures sans double compte ni
omissions, documentation des agrgats, ratios et autres donnes drives par le calcul
des donnes dobservation directe. La rdaction du MCD est une tape importante de
ladministration des donnes.
Multimdia (Multimedia)
Ce terme sapplique aux interfaces de communication qui utilisent (presque) toutes les
possibilits sensorielles : caractres dimprimerie, images fixes ou animes, son, voire
sensations tactiles et vues en trois dimensions dans les espaces virtuels. Il sapplique
aussi aux logiciels qui utilisent ces interfaces, et aux PC disposant de lecteurs de CDRom, de cartes graphiques, de cartes son, de micros, de haut-parleurs.
Ordinateur (Computer)
Appareil lectronique capable de recevoir des donnes et dexcuter sur ces donnes
des instructions programmes lavance.
119
(Orient-objet) : langage (Object-Oriented Language)

La tradition du dveloppement voulait que lon spare les donnes et leur traitement,
ralis par les applications. Puis il est apparu judicieux de rapprocher dans un mme
petit programme certaines donnes et certains traitements qui leur sont souvent
associs. Ce petit programme, appel " objet ", est par la suite plus facile rutiliser
que les lignes de code des anciennes applications.
A la limite, le travail fait autrefois par une application est fait dsormais par des objets
qui communiquent en schangeant des messages.
Loffre doutils de dveloppement orients-objet nest pas stabilise, mais ce type de
langage semble devoir simposer pour des raisons conomiques et logiques.
(Orient-objet) : modle (Object-Oriented Model)
La dfinition des donnes (modle conceptuel de donnes) est complte, dans les
modles orients-objet, par celle des activits qui utilisent les donnes (" use case ") et
par celle des objets que ces activits manipulent. Il sera utile de pousser le modle
conceptuel de donnes jusqu ce degr de prcision, mme si ensuite les contraintes
techniques ne permettent pas de tout raliser avec un langage orient-objet.
Personal Computer (PC)
Nom du micro-ordinateur lanc par IBM en 1981 pour faire face la concurrence des
micro-ordinateurs dApple. Le PC est devenu un standard quon utilise souvent
comme synonyme de micro-ordinateur (nous le faisons dans certaines de nos
dfinitions).
Processus Process
Succession ordonne des oprations ncessaires lexcution dune tche.
Reporting
Document priodique dune forme convenue lavance, par lequel une entit de
lentreprise rend compte de son activit une autre entit.
120
Rseau local de PC (RLPC) (Local Area Network (LAN))

Un rseau local ou RLPC, permet plusieurs ordinateurs de communiquer entre eux
dans le mme btiment ou le mme campus.
Serveur (Server)
Ordinateur connect un rseau et qui met la disposition dautres ordinateurs ses
ressources de mmoire et de puissance ou qui sert de support au droulement dun
programme. Exemple: serveurs de messagerie, de base de donnes, de calcul etc.
Systme dexploitation (Operating System (OS))
Logiciel qui excute les tches relatives la cration, louverture, la fermeture, la
copie, la destruction de fichiers contenant des programmes ou des donnes, ainsi quau
lancement des programmes et leur excution, la gestion des interruptions etc.
Transmission Control Protocol / Internet Protocol (TCP/IP)
Protocole de transmission de donnes en mode paquet. Mis au point pour rpondre
une demande de larme Amricaine, il est construit pour tre indestructible en cas
dattaque nuclaire : pas dadministration centralise, propagation des tables
dadressage entre serveurs par rplication de proche en proche, routage trs simple
exigeant le minimum de puissance des ordinateurs. Cest ce protocole qui a permis de
construire le rseau Internet. TCP/IP simpose comme le standard universel de la
transmission de donnes.
Unified Modelling Language (UML)
Langage qui vise rassembler les meilleurs procds (" best practices ") dans les
modles conceptuels de donnes orients-objet, et qui ambitionne de devenir un
standard en unifiant les autres langages.
Wide Area Network (WAN)
Un WAN permet plusieurs ordinateurs de communiquer entre eux dans une mme
zone gographique.
121
Liste des annexes
N de lannexe
Intitul de lannexe
Guide pour laudit du dveloppement, acquisition et maintenance
JDE WORLD :Rapports dintgrit
La revue des processus (business process JDE)
Programme de travail de la revue de scurit dans un environnement de

confiance (Trust Domain)
Exemple dun programme daudit de la scurit spcifique lERP JD

Edwards (Version World sous AS/400)
6
Description des process contribuant llaboration du dossier financier
et lidentification des contrles y affrents
Lexique franais-Arabe
122
ANNEXE 1
GUIDE POUR LAUDIT DU DEVELOPPEMENT,

ACQUISITION ET MAINTENANCE
123
Gestion de projet
A travers le processus de gestion de projet, lauditeur informatique doit analyser les
risques inhrents chaque phase du cycle de vie de lapplication informatique et doit
sassurer que des contrles appropris ont t mis en uvre pour minimiser ces
risques. Il faudrait bien entendu viter dimplmenter des contrles dont le cot est
plus important que le risque associ.
Lors de la revue du processus SDLC (System Development Life Cycle), lauditeur
informatique doit obtenir la documentation des diffrentes phases du projet et les
comptes-rendus de runions. Il doit valuer la performance de lquipe de projet
produire temps les livrables cls.
Lauditeur informatique doit revoir ladquation des aspects suivants :
Niveau de monitoring du projet et implication du comit de projet et du comit de

pilotage ;
Mthode dvaluation du risk management du projet ;
Processus de reporting au top management ;
Processus de contrle des changements ;
Revue de la documentation des phases du projet, relative :
o aux objectifs dfinissant ce qui devra tre accompli durant chaque phase du
projet,
o aux livrables cls de chaque phase dsignant clairement les responsables
directs de ces livrables,
o au planning dtaill de chaque phase dfinissant notamment les dates de
finalisation des livrables cls,
o au suivi budgtaire des cots de ralisation de chaque phase.
2
Audit de la phase dtude de faisabilit

Lauditeur informatique doit effectuer les travaux suivants :
Revoir la documentation produite durant cette phase ;
Dterminer si tous les cots et bnfices ont t tudis et valus ;
Identifier et dterminer la criticit des besoins ;

124
Dterminer si tous les scnarios de dveloppement ont t examins ;
Dterminer et justifier le scnario ou le choix retenu.
Audit de la phase dexpression des besoins et de conception gnrale
Obtenir le document dtaill dexpression des besoins et vrifier son adquation par
des entretiens croiss avec les utilisateurs cls ;
Identifier les membres de lquipe de projet et vrifier que les dpartements

utilisateurs concerns sont tous correctement reprsents ;
Vrifier que linitiation du projet et lestimation du budget ont t approuvs par le

management ;
Revoir la conception gnrale et sassurer :

o quelle est en adquation avec les besoins des utilisateurs,
o que des contrles appropris ont t dfinis.
En cas de sous-traitance, sassurer que le primtre et ltude dexpression des besoins

ont t communiqus un nombre raisonnable de prestataires.
Audit du processus dacquisition de progiciels
Analyser la documentation de la phase dtude de faisabilit pour dterminer si le

choix dacquisition de progiciel tait appropri ;
Revoir le document dappel doffres RFP (Request For Proposal) pour sassurer de
son exhaustivit ;
Dterminer si le prestataire retenu rpond correctement aux spcifications

fonctionnelles et techniques de lappel doffres ;
Revoir le contrat sign avec le prestataire et sassurer quil a inclu toute la liste des
fonctionnalits de lappel doffres ;
Sassurer que le dit contrat a t revu par un juriste.
Audit de la phase de conception dtaille

125
Revoir les diffrents flowcharts et leur adquation avec la conception gnrale.
Vrifier que chaque changement constat par rapport la phase de conception

gnrale a t correctement discut et approuv par le management des dpartements
concerns ;
Revoir les inputs, traitements, contrles et outputs qui ont t conus et sassurer
quils sont appropris ;
Interviewer les utilisateurs cls en vue dvaluer leur comprhension du futur

fonctionnement du systme et leur degr dimplication dans la conception des crans
et des tats de sorties ;
Revoir le rsultat de la revue assurance qualit qui doit tre effectue lissue de cette
phase.
Audit de la phase de programmation
Vrifier lintgrit des calculs et traitements ;
Evaluer ladquation des pistes daudit en vue de maintenir la traabilit des

transactions enregistres dans le systme ;
Vrifier que le systme peut identifier les donnes rejetes.
Audit de la phase de tests
La phase de tests est cruciale pour sassurer de ladquation du systme par rapport
aux besoins et son acceptation par les utilisateurs. Ainsi, il est trs important
dimpliquer lauditeur informatique dans cette phase. Il doit effectuer les travaux
suivants :
Revoir le plan et les dossiers de tests pour :

o Vrifier leur exhaustivit et leur adquation par rapport aux fonctionnalits
dcrites dans le document dexpression des besoins;
o Matrialiser lapprobation des utilisateurs cls.
Revoir les rapports derreurs lors du droulement des tests et sassurer quils sont
correctement suivis ;
Vrifier le bon fonctionnement des traitements directement impacts ainsi que ceux
qui le sont indirectement (par exemple, les traitements cycliques de fin de priode) ;
126
Interviewer les utilisateurs finaux sur leur comprhension du fonctionnement du

systme, des nouvelles faons de travailler et des procdures oprationnelles ;
Revoir le rsultat des tests en fonctionnement parallle ;
Vrifier que les aspects de scurit des accs ont t correctement prvus et tests ;
Revoir la compltude de la documentation de la phase de tests (dossiers de tests

signs, PV dacceptation,etc.).
Audit de la phase dimplmentation
Cette phase ne peut tre initie que si la phase de recette des systmes est concluante.
Le nouveau systme devra tre mis en place selon la procdure de contrle des
changements et de mise en production. Lauditeur informatique doit sassurer quune
demande de mise en production a t correctement signe par les dpartements
utilisateurs concerns. De plus, il est important de :
Revoir les procdures et les tapes ordonnances de mise en production ;
Revoir toute la documentation et sassurer quelle a t correctement mise jour

lissue de la phase de tests ;
Sassurer de lexhaustivit et de la qualit de toutes les donnes migres.
Audit de post- implmentation
Aprs la stabilisation du nouveau systme dans lenvironnement de production, une

revue post- implmentation devrait tre ralise. Dans cette revue, lauditeur
informatique doit effectuer les travaux suivants :
Sassurer que le nouveau systme a atteint ses objectifs en adquation avec les besoins
des utilisateurs. Durant cette phase, il est important de mesurer le degr de satisfaction
des utilisateurs. Cet indicateur permettra de sassurer de la bonne russite du projet
dimplmentation ;
Dterminer si les cots/bnfices identifis dans la phase dtude de faisabilit ont t

correctement mesurs, analyss et reports au management ;
Revoir le nombre et les procdures de demande de changement opres durant la

ralisation du projet dimplmentation. Cet indicateur permettra de connatre les types
de changements effectus et leur timing par rapport la conception gnrale ou
dtaille, et par rapport aussi linterprtation des besoins utilisateurs ;
127
Revoir les contrles mis en uvre dans le nouveau systme pour sassurer que ces
contrles correspondent bien ce qui a t prvu dans la phase de conception ;
Revoir les rapport de loging du nouveau systme pour dterminer lexistence de

quelconque problme au niveau applicatif ou systme dexploitation. Cet indicateur
permettra de savoir si la phase de tests a t correctement mene avant mise en
production ;
Revoir les donnes en entres et en sorties, diter les tats et vrifier le bon
fonctionnement du systme.
10
Audit des procdures de changements et des processus de migration
Aprs son implmentation, le nouveau systme entre dans la phase de maintenance. Il

sagit de la :
Maintenance corrective o des changements sont effectus pour corriger des erreurs
ou des bugs de programmes;
Maintenance volutive o les changements oprs concernent des volutions du

systme suite de nouveaux besoins.
Lauditeur informatique devra considrer et revoir les aspects suivants:
Lexistence et la bonne application dune procdure dautorisation, lvaluation des

priorits et le suivi des demandes de modification;
Le traitement particulier des demandes de changement caractre urgent;
Lexistence de la documentation de tous les changements oprs dans le systme;
Le respect de la mthodologie dimplmentation (expression des besoins, conception,

dveloppement, test et mise en production);
Lvaluation de la satisfaction des utilisateurs et les cots de maintenance;
Le bon suivi des versions et la correspondance entre les programmes sources et les
programmes objets;
Ladquation des aspects de scurit par la restriction des accs aux librairies des
programmes sources et objets.
128
ANNEXE 2
RAPPORTS DINTERGRITE DE JDE WORLD
129
1.
Le processus de la dtermination et la mise en uvre de la stratgie daudit

Etablir le niveau de contrle
travers
unestatus
discussion
avec le
Ascertain
of controls
management
et en tenant
through discussions
with
compte
de notre
management
andconnaissance
from your
cumulative
audit
and
du business
et knowledge
notre exprience
experience.
Perform
audit work
passe daudit.
Elaborer
un
programme
indicated
appendix
programme
dauditinindiqu
ciB aprs
(security,
integrity
and master
(scurit,
intgrit
et
data)
Master Data)
Elaborer des travaux daudit

tendus.
Niveau de confort considr
comme nul .
Cette conclusion implique
Perform
audit.
quon nesubstantive
peut se baser sur
le
systme.
Controls reliance
Des travaux "None"
daudit tendus
considered
Le confort
peut-il
tre
Reliance
can be
bas
sur lintgrit,
la
placed
on security,
scurit
et le Master
integrity
and
Data ?master data
No Non
sont ncessaires et mme

des points relevs ce sujet
This
conclusion implies
peuvent tre repris en
that
you
opinion. cannot rely on the
system; before going

Un reporting
dtaill
au
further
you must
consult
management
paryour
ailleurs
PwC
Londonest
(via
exig. co-ordinator if
cluster
applicable) ( See Section
5).
Oui
Yes
Les contrles de confort

considrs
comme
Controls
reliance
considered as
moyen
. Tester
les
"Some".
Test
basic business
contrles
cls des
process
controls
identified in
principaux
processus
duF/A,
section
IV (P&P,
R&R, G/L,
ECS)
business identifis
(P&P,
A substantive audit will be

necessary and this could
lead to issues to be
reported in the opinion.
R&R, G/L, F/A, ECS)
Detailed reporting to
management will be also
required.
Le confort
peut-il
Reliance
cantre
be
obtenu ontravers
tests of
de
placed
basicdes
testing
base sur les
contrles
cls
business
process
controls
par processus
per section IV
No Non
Oui
Yes
Les
contrles
de confort
considrs
Controls
reliance
considered
as
"HIgh".levs
Perform.systems
comme
Elaborerbased
un audit
Confirm
appropriately
basaudit.
sur les
systmes.
Confirmer
accredited skill-sets
(as defined
judicieusement
lallocation
des
on page
1 (section
1.1))
ressources
selon
leurs comptences
available
and consult
a
et leurs
disponibilits
auxwith
domaines
member of the JD Edwards
audits
Controls Group in London
130
JDE WORLD : Rapport dintgrit
Les rapports cls dintgrit que lauditeur externe doit tester sont les suivants :
Intgrit
Comptes de fournisseurs
Impact sur laudit des diffrences

dintgration
La balance auxiliaire des
fournisseurs ne sera pas cadre par
rapport la balance gnrale
P047001
- A/P vers G/L
Ce rapport compare le compte

A/P (F0411) avec la balance
figurant dans la table des comptes
de la balance (F0902).
P04701
- A/P vers G/L
par traitement
Batch
Ce rapport vrifie que les totaux

de chaque batch dans la table
grand livre A/P (F0411) sont
quilibrs avec les montants
correspondants dans la table du
compte comptable
Les comptes auxiliaires

fournisseurs ne seront pas gaux
aux comptes de la balance
gnrale.
Ce rapport permet galement de

vrifier les rejets de paiement
pour chaque opration de
rglement.
Une transaction totale ou partielle

pourrait ventuellement chapper
au processus de traitement pour
paiement
P04702
- Paiements A/P
vers G/L par
traitement
Batch
Ce rapport vrifie que pour

chaque batch A/P, le dtail des
documents de rapprochement
(F0414) relatifs aux paiements est
en quilibre avec les montants des
comptes gnraux en traitement
batch (F0911).
Le sous compte fournisseur ne sera

pas quilibr avec le compte
gnral.
Intgrit
Comptes clients
P037001
- A/R vers G/L
par
Ce rapport compare les montants

intgrs dans la table des
transactions A/R avec les
montants mis jour dans la table
de la balance des comptes
(F0902).

dintgration
Le sous compte clients ne sera pas
quilibr avec le compte gnral
P03702
- AR vers GL
des rceptions
intgres
Ce rapport compare les totaux

intgrs par traitement batch dans
lapplication des rceptions
(F0314) avec le compte gnral
(F0911).

P03701
- A/R vers G/L
par traitement
Ce rapport vrifie que chaque

batch des totaux intgrs dans le
compte A/R (F0311) est quilibr

131
Batch
Intgrit
P127011
- F/I vers G/L
avec les montants correspondants

dans le compte gnral (F0911).
Immobilisations

dintgration
Ce rapport compare les
Le sous compte des actifs
enregistrements dans le fichier des immobiliss ne sera pas quilibr
immobilisations (F1202) avec les avec les comptes gnraux de la
entres dans le compte des
comptabilit gnrale
immobilisations de la comptabilit
gnrale (F0902).
P12301
Ce rapport identifie toutes les

transactions intgres dans le
Immobilisations grand livre, mais qui ne sont pas
non affectes
encore valides dans le souscompte immobilisations (fixed
asset).
Intgrit
ECS
Le sous compte pourrait ne pas

contenir toutes les transactions(il
peut ne pas tre exhaustif).

dintgration
La balance auxiliaire des stocks
pourrait ne pas squilibrer avec la
comptabilit gnrale.
P41543
registre des
articles/compte
Rapport
dintgrit
(Cardex vers GL)
Ce rapport dite toutes les

incohrences entre le registre des
articles (F4111) et le compte
gnral (F0911) :
- Registre des articles existe en
dtail sans correspondance avec le
dtail du compte gnral. Le
registre des articles ne squilibre
pas avec le dtail du compte
gnral.
P41544 Article
Balance/Grand
livre Integrity
Report
Ce rapport dite les incohrences

aussi bien pour les quantits que
pour les valeurs entre la balance
des stocks (F41021) et la
comptabilit (F4111).
Le compte des stocks pourrait ne

pas tre intrinsquement correct :
i.e. cot unitaire multipli par
quantit pourrait ne pas tre gal
la valeur globale.
Intgrit
Comptabilit gnrale
P007011
Traitements
batches non
intgrs
Ce rapport dite une liste de tous

les batchs non intgrs sur la base
de la table de contrle des batchs
(F0011)

dintgration
Le compte gnral pourrait ne pas
tre exhaustif.
P007021
Transaction
sans en-tte de
batch
Ce rapport montre la liste des

transactions sans sauvegarde de
len-tte de batch dans le registre
des contrles Batch. Le rapport
inclut les transactions non
intgres avec un batch statu en
Le compte gnral pourrait ne pas

tre exhaustif.
132
D. les tables utilises sont

F03B11, F0411, F0911
P007031
Traitements
Batch dtailler
et intgrer sans
quilibre
Ce rapport liste les lots

dsquilibrs qui ont t intgrs.
Si le montant net est diffrent de
zro (total dbit diffrent du total
crdit), la diffrence nette est
incluse dans le rapport.
La balance gnrale et le grand livre

peuvent ne pas tre concordants
P097001
Solde des
compagnies
Ce rapport dite une balance par

compagnie. Il identifie les
rglements inter-compagnies non
rpertoris ou les ajustements
comptabiliss sur exercices
antrieurs non inclus dans la
balance.
Les compagnies structures selon

une comptabilit par filiale peuvent
faire apparatre des dsquilibres
entre les balances
Ce rapport montre les montants en Les compagnies structures selon

P09706
une comptabilit par filiale peuvent
Compagnie par dsquilibre par compagnie pour
faire apparatre des dsquilibres
lot dsquilibr chaque batch.
entre les balances
P09705
comptes
rapprochs avec
les transactions
Ce rapport montre les incohrences

sur une base priodique entre la
balance des comptes (F0902) et le
grand livre table (F0911)
Les comptes de la balance peuvent

ne pas correspondre la somme du
dtail de transactions qui le
composent
P097021
Transaction
sans Rapport sur
le compte
principal
Ce rapport montre pour la socit

les incohrences de comptes entre
le compte comptable (F0911) et la
table des comptes principaux
(F0901).
Le grand livre ne sera pas exhaustif
P097031
- Balance des
comptes sans
compte principal
Ce rapport montre les incohrences Le grand livre ne sera pas exhaustif

comptables entre le compte
principal (F0901) et la table des
balances des comptes (F0902)
P097041
Comptes sans
affectation de la
Business Unit
Ce rapport vrifie que la business Le grand livre ne sera pas exhaustif.

unit (ainsi que son code) existe pour
chaque enregistrement comptable
dans la table des comptes
principaux (F0901). Si le code de la
business unit ou de la socit
nexiste pas dans la table des
comptes principaux, le rapport dite
la business unit, lobjet du compte,
la filiale, et la compagnie pour
chaque compte dans la business
unit manquante.
133
ANNEXE 3
La revue des processus (business process JDE)
134
La revue des processus

Les processus grs par JD Edwards comprennent :
Les achats et les comptes fournisseurs (purchases and payables) ;
Les ventes et les comptes clients (revenue and receivables) ;
Les stocks (inventory) ;
Les immobilisations (fixed assets) ;
La comptabilit gnrale(general ledger) ;
Les achats et les comptes fournisseurs (Purchases and payables)

Les contrles et les traitements standards dans le module achats fournisseurs de JDE
sont conus pour un processus dachat classique o les commandes sont lances avant
la rception et la facturation des achats. Ainsi cela suppose que les commandes sont
autorises avant la rception des biens et services. les factures doivent tre contrles
avant leur traitement, les dfaillances de contrles ce niveau pourraient avoir un
impact sur le processus de contrle des entres.
Lors des sa revue de ce processus lauditeur devra notamment sassurer que :
Les commandes dachats sont effectues avant la rception des biens et des services et
avant le traitement des factures des achats ;
o Les commandes en instance sont rgulirement investigues et apures en
utilisant le rapport disponible dans JDE ( P43525) ;
o Les commandes achats sont autorises conformment aux pouvoirs de dcision
prvus dans le manuel des procdures de la socit ;
o Les factures fournisseurs reues sont saisies en utilisant la fonctionnalit
prvue dans JDE cet effet (JDE invoice logging functionality) ;
o Les factures dachats sont correctement codifies et approuves dans les dlais
appropris. Le rapport P43428 (Logged Voucher Detail Report) doit tre
rgulirement dit et revu ;
o Les diffrences entre les rapports des commandes et des rceptions sont
analyses ;
o Le rapport des marchandises reues mais non factures est revu et apur
rgulirement ;
135
o Le document de contrle des paiements est dit et revu pour tous les
rglements ;
o Les taxes (notamment TVA) sont correctement comptabilises ;
o Ldition automatique des chques est contrle ainsi que les chques non
utiliss ;
o Les paiements cash et les paiement urgents sont contrls ;
o Les contrles qui permettent dempcher les doubles paiements sont effectus
et revus rgulirement (Le rapport P04601 doit tre dit et revu
rgulirement) ;
o Les pouvoirs de signature des chques sont bien dfinis et contrls.
Revue des revenus et des crances (JDE World)

Comme indiqu ci-dessus, la fiabilit de ce processus est dpendant des contrles
relatifs la sparation des tches au Master Data et le contrle de l'intgration des
donnes entre les modules SOM (sales order management : gestion des commandes
de vente), A/R (accounts receivables : comtes clients) et G/L ( general ledger :
comptabilit gnrale.
Lors de sa revue de ce processus lauditeur devra notamment sassurer que:

o Toutes commandes de vente sont enregistres dans JDE ds leur rception ;
o Les rgles de gestion appliques aux commandes des ventes sont adaptes au
business du client ;
o
Le systme est utilis de faon systmatique et rgulire pour toutes les

activits de chargement et de livraison ;
o Le rapport des commandes de vente ouvertes (P42620) est dit et revu

quotidiennement ;
o Le (Rapport P42801 d'erreur de mise jour des ventes) est dit et revu
quotidiennement ;
o Les rglements sont enregistrs dune manire exhaustive et exacte et ils sont
correctement affects aux clients correspondants facture par facture. Le non
fonctionnement de ce contrle sur une base rgulire peut se traduire par
linexactitude des comptes clients dont le redressement ncessitera un effort
significatif. Il est donc ncessaire que les rglements reus au comptant ou non
identifis soient apurs en un temps raisonnable ;
136
o Tous les avoirs sont analyss, autoriss et comptabiliss ;

o toutes les crances sont justifies, revues et donnent lieu un suivi rgulier ;
o le provisionnent des crances est adquat.
3
Immobilisations JDE World
Comme indiqu ci-dessus, lefficacit des contrles relatifs ce processus

dpendent des contrles relatifs la sparation des tches, au Master Data
l'intgration des donnes entre F/A et G/L.
Lauditeur devra notamment sassurer que:
o La mthode employe pour la cration d'immobilisations et pour la
codification des immobilisations est approprie ;
o Que les instructions de comptabilisation automatique relatives aux
immobilisations ont t mises en service ;
o Les immobilisations en cours sont revues rgulirement et que leur fichier est
mis jour en fonction des mises en service des immobilisations ;
o Les cessions sont autorises et correctement comptabilises (dans bonne la
priode et dans les bons comptes) ;
o Le fichier des immobilisations est rgulirement revu et mis jour : Un
inventaire des immobilisations devrait tre ralis selon une priodicit propre
chaque entreprise (en fonction des ses procdures, la nature des
immobilisations gres et le risque y affrent etc.).
4
Comptabilit gnrale (JDE World)

En plus des contrles voqus ci-dessus, il y a lieu de sassurer que :
o Les rconciliations et les analyses de comptes sont effectues rgulirement
particulirement pour les banques, les comptes en suspens, les factures
tablir ou recevoir, les diffrence de change et les dprciations ;
o La limitation des accs aux journaux de comptabilisation avec notamment
l'octroi de mots de passe appropris au personnel de la Direction Financire.
Les autorisations d'accs sont de la responsabilit du Directeur financier ;
o Lenregistrement des oprations diverses (journal des OD) est strictement
contrl ;La comptabilisation des lments rcurrents y compris ceux relatifs
137
la fin danne est correctement mise en place et tout changement est soumis
un contrle strict.
138
ANNEXE 4
Programme de travail de la revue de scurit dans un
environnement de confiance (Trust Domain)
139
Domaine
Politique,
organisation et
administration
de la scurit
Questions daudits
Structure et gestion de la scurit
informatique
Procdure daudit
Structure et gestion de la scurit
informatique
1.1 Politique de la scurit informatique 1.1 Politique de la scurit

informatique
1.1.1. Existe-t-il une politique de scurit
1.1.1 Vrifier l'existence d'une
informatique crite ?
politique de scurit
informatique crite
1.1.2 Est-ce que cette politique de
scurit informatique requiert-elle
l'intervention des parties appropries 1.1.2 Obtenir une copie de cette
politique. Examiner le contenu de
de l'organisation conformment aux
cette politique et s'assurer qu'elle
normes de confiance du domaine ?
rpond aux exigences de la
scurit informatique.
1.1.3 Le document de la politique
informatique est-il disponible tout
le personnel concern ?
1.1.3 S'assurer de la disponibilit du
document au personnel concern.
1.2 Rpartition des responsabilits
1.2 Rpartition des responsabilits
1.2.1 Les responsabilits de la scurit

des ressources informatiques sontelles attribues et documentes ?
1.2.1 Obtenir la documentation

relative la scurit des
ressources informatiques et
s'assurer que les responsabilits
ont t correctement assignes.
1.2.1 Les responsabilits sont-elles

communiques au personnel
appropri ?
1.3 Evaluation par rapport aux

normes de confiance du domaine
1.2.1 Demander aux personnes

concernes si elles ont t
informes de leur responsabilit et
/ou confirment la rception de la
documentation approprie.
(Briefings, mails, etc.)
1.3 Evaluation par rapport aux
normes de confiance du
domaine
1.3.1 Existe-t-il des revues et des

valuations des mcanismes mises en
uvre pour l'identification des
dficiences ou des non-conformits
avec les normes de confiance du
domaine ?
1.3.1 Vrifier l'existence des revues

et des valuations des mcanismes
en examinant les procdures mises
en place.
1.3.2 Existe-t-il un processus pour

s'assurer que les dficiences
1.3.2 S'assurer de l'existence de ces

procdures par la revue de la
140
Domaine
Questions daudits
identifies sont corriges ?
1.4 Accord de confidentialit avec le

personnel
1.4.1
Procdure daudit
documentation et / ou des
interviews avec le personnel
concern/
1.4 Accord de confidentialit
avec le personnel
La socit a-t-elle tablit un accord 1.4.1 Obtenir une copie de l'accord de

de confidentialit (non-divulgation confidentialit (non-divulgation des
informations de lentreprise).
des informations de lentreprise )
avec tout le personnel ?
1.4.2 Les accords de confidentialit

sont-ils tous signs par le personnel ?
1.5 Formation et ducation sur la

scurit informatique
1.4.1 S'assurer sur la base d'un

sondage que les accords de
confidentialit sont bien signs
par le personnel concern.
1.5 Formation et ducation sur la
scurit informatique
1.5.1 Existe-t-il des programmes

d'ducation sur la scurit
informatique, les normes et les
procdures associes aux domaines ?
1.5.1 S'assurer par la revue et

l'examen de la documentation de
l'existence de programmes
d'ducation couvrant des sujets
appropris.
1.5.2 Les moyens d'ducation sont-ils

communiqus au personnel qui
utilise, dveloppe ou maintient les
ressources informatiques du domaine
?
1.5.2 Obtenir la preuve de

communication au personnel
concern des moyens d'ducation
relatifs la scurit.
1.5.3 Les utilisateurs sont-ils

correctement forms sur l'utilisation
des quipements (Procdure de
connexion, utilisation des logiciels,
etc.) ?
1.5.3 Vrifier sur la base d'un

sondage que le personnel a t
form avant tout accs aux
ressources informatiques et / ou
examin la documentation
approprie.
1.6 Rapport des incidents de scurit
1.6
1.6.1 Existe-t-il des procdures de

rponse aux incidents de scurit
informatique et des
dysfonctionnements des logiciels ?
1.6.1 Vrifier l'existence des

procdures de rponse en
obtenant et en passant en revue
une copie de ces procdures.
1.6.2 Les procdures dfinissent-elles ce

qui constitue un incident de scurit
informatique, qui ces incidents
doivent tre reports et le traitement
1.6.2 S'assurer que ces procdures

dfinissent les incidents de
scurit informatique, prcisent
qui ces incidents doivent tre
141
Rapport des incidents de

scurit
Domaine
Questions daudits
d'incident qu'il faut appliquer ?
Procdure daudit
remonts et contiennent le
traitement d'incident qu'il faut
adopter.
1.6.3 Le personnel a-t-il t form sur

l'importance de la procdure ?
1.6.3 Vrifier par des interviews si le

personnel a bien t form sur
l'importance de la procdure et /
ou obtenir et examiner la
documentation (notes, mails, etc.
) destine au personnel pour les
informer sur la procdure.
1.7 Processus disciplinaire
1.7 Processus disciplinaire
1.7.1 Existe-t-il un processus

disciplinaire formel contre le
personnel qui sciemment viole la
politique ou les procdures de la
scurit informatique ?
1.7.1 S'assurer de l'existence du

processus disciplinaire en
obtenant et en passant en revue la
documentation relative ce
processus et / ou en interviewant
le personnel concern par ce
processus.
1.8 Contrle de changement

oprationnel
1.8 Contrle oprationnel
1.8.1 Existe-t-il des procdures de

contrle des changements des
quipements et des systmes
informatiques ?
1.8.1
Vrifier
l'existence
des
procdures en obtenant et en passant
en revue une copie de ces procdures.
1.9 Contrle des Virus

1.9 Contrle des virus
.
Vrifier
l'existence
des
1.9.1 Existe-t-il des procdures pour 1.9.1
procdures en obtenant et en passant
prvenir la diffusion des virus ?
en revue une copie de ces procdures.
1.9.2 Existe-t-il
des
procdures
formelles qui exigent l'utilisation des
logiciels sous licence et l'interdiction
d'utilisation des logiciels non
autoriss ?
1.9.2 S'assurer en examinant les

procdures qu'elles exigent bien
l'utilisation des logiciels sous licence
et l'interdiction d'utilisation des
logiciels non autoriss.
1.9.3 Le logiciel de dtection des virus

est-il dploy pour vrifier les mdias
ou parcourir les postes de travail ?
1.9.3 Vrifier par sondage que le

logiciel de dtection des virus est
dploy pour vrifier et parcourir les
postes de travail.
1.9.4 Le logiciel de dtection des virus

est-il rgulirement mis jour ?
1.9.4 Vrifier sur la base d'un sondage

(PC & serveurs ) que le logiciel de
dtection des virus a t
rgulirement mis jour.
142
Domaine
Questions daudits
Procdure daudit
1.9.5
Les disquettes sont-elles
toutes vrifies avant utilisation ?
1.9.5
Vrifier que les
procdures imposent lobligation
de vrifier toutes les disquettes
avant toute utilisation et s'assurer
du respect de ces procdures en
inspectant quelques PC.
1.9.6
Existe-t-il des procdures
de continuit d'exploitation ou
alternatives en cas d'attaque par des
virus ?
1.9.6
Vrifier l'existence des ces
procdures en obtenant et en
passant en revue une copie de ces
procdures.
1.10
Procdures dauto-contrle
1.10 Procdures dauto-contrle

1.10.1 Existe-t-il des revues et des
valuations des mcanismes mises en
place pour l'identification des
dficiences ou des non-conformits
avec les normes de scurits adoptes
?
1.10.5
S'assurer que les revues et
les valuations des mcanismes
sont appliques en obtenant et en
passant en revue la politique
correspondante / Les procdures
et / ou en observant les
mcanismes mis en place.
1.10.2 Est-ce que toutes les ressources

informatiques sont incluses dans le
processus de la revue informatique ?
1.10.2
Vrifier si toutes les
ressources informatiques sont incluses
dans le processus de la revue
informatique.
1.11 Documentation des vnements

de scurit
1.11.1 Les procdures de consignation
des vnements daccs aux
ressources informatiques sont-elles
tablies conformment aux
recommandations des directives de la
scurit informatique ?
1.11.2 Les enregistrements des

vnements sont-ils conservs
pendant une priode donne ?
1.11 Documentation
vnements de scurit
des
1.11.1 Obtenir les procdures de

consignation et les directives de la
scurit
de
la
plate-forme
correspondantes.
Examiner
ces
procdures pour s'assurer quelles ont
t tablies conformment aux
recommandations.
1.11.2 Demander la dure de la
priode de conservation des
donnes. Vrifier sur la base
d'un sondage que cette priode
est respecte.
1.12 Dtection d'intrusion
1.12 Dtection d'intrusion

1.12.1 Les mcanismes et les
procdures de dtection d'intrusion
1.12.1 Vrifier l'existence des

procdures en obtenant une copie de
ces procdures. Dterminer par des
143
Domaine
Questions daudits
sont-ils mis en uvre ?
1.12.2 Toutes les ressources

informatiques (matriels, logiciels)
sont-elles incluses dans les
mcanismes de dtection des
intrusions ?
1.12 Processus d'autorisation
d'installation des quipements
informatiques
1.13.1 Existe-t-il des procdures
formelles d'autorisation pour toutes
les connexions au rseau de la
socit ?
1.13.2 Existe-t-il des procdures

formelles d'autorisation pour s'assurer
que tous les outils de connexion au
domaine sont techniquement
approuvs ?
Procdure daudit
interviews quels sont les mcanismes
mis en place. Vrifier sur la base d'un
sondage
que les mcanismes de
dtection des intrusions ont t bien
installs sur les PC, serveurs, etc.
1.12.2 Prvoir
par sondage les
ressources
informatiques
et
sassurer quelles sont incluses
dans les mcanismes de dtection
des intrusions.
1.12. Processus d'autorisation
d'installation des quipements
informatiques
1.13.1 Vrifier l'existence du
processus d'autorisation en
obtenant et en passant en revue
la documentation relative ce
processus et / ou en
interviewant le personnel
concern par ce processus.
1.13.2 Vrifier par sondage que les
outils de connexion sont
approuvs sur le plan technique.
Scurit physique des quipements

Scurit physique des quipements
2.1
2.1 Plates-formes et quipements de
communication relatifs aux
donnes scurises
2.1.1 Les plates-formes informatiques et
les quipements de communication
du domaine sont-ils placs dans des
zones scurises ?
Scurit
logique
2.1.2 Des barrires physiques adquates
sont-elles mises en place pour
empcher les entres non-autorises ?
2.1.3 En cas de non utilisation, les zones

scurises sont-elles fermes et
Plates-formes et quipements
de communication relatifs
aux donnes scurises

sondage que les plates-formes
informatiques et les quipements
de communication du domaine
sont placs dans des zones
scurises.
sondage que les barrires
physiques permettent d'empcher
les entres non-autorises.
2.1.3 Inspecter quelques domaines
et s'assurer qu'ils ont t bien
ferms pendant les priodes o ils
144
Domaine
Questions daudits
priodiquement vrifies ?
Procdure daudit
ne sont pas utiliss.
2.2 Contrle des entres physiques
2.2 Contrle des entres physiques

2.2.1 Les domaines scuriss sont-ils
protgs par des contrles des entres
?

sondage que les domaines
scuriss sont bien protgs par
des contrles des entres.
2.2.2 Les visiteurs sont-ils surveills

pendant leur visite dans les secteurs
scuriss ?

sondage que les visiteurs des
domaines scuriss sont surveills
pendant leur visite.
2.2.3 Le personnel est-il tenu de porter

une identification visible dans les
domaines scuriss ?
2.2.4 Les droits d'accs sont-ils

rcuprs immdiatement du
personnel qui quitte la socit ?
3.1
Protection des postes de travail

contre les accs non-autoriss
3.1.3 Les ordinateurs personnels et les

ordinateurs de bureau sont-ils
protgs par des clefs (mot de passe)
en cas de non-utilisation ?
2.2.3 Vrifier si les documents

(procdures) exigent que le
personnel porte une identification
visible dans les domaines
scuriss. S'assurer du respect de
cette procdure en effectuant des
visites dans quelques secteurs.
sondage que les droits d'accs du
personnel ayant quitt la socit
ont t annuls en obtenant la liste
de tous les droits d'accs aux
systmes, sites et btiments.
3.1 Protection des postes de travail
contre les accs non-autoriss
sondage que les PC sont protgs
par des mots de passe en cas de
non-utilisation. .
Scurit du rseau
Scurit du rseau
3.2
3.2 Normes de scurit de la Plate-forme
Scurit
Physique
3.2.1 La socit a-t-elle adopte des

standards de scurit des Platesformes rseaux pour chaque type de
Plate-forme utilise dans le domaine
?
Normes de scurit de la
Plate-forme
3.2.1 Vrifier
l'adoption
des
standards en obtenant et en
passant en revue les documents
relatifs ces standards.
3.3 Configuration des plates-formes

145
Domaine
Questions daudits
3.3 Configuration des plates-formes
3.3.1 Les plates-formes informatiques
du domaine sont-elles configures
conformment aux standards de la
version actuelle de la plate-forme
de scurit ?
3.3.2 Des vrifications mensuelles de la
plate-forme informatique sont-elles
effectues pour s'assurer de sa
conformit permanente aux standards
?
3.3.3 Les dviations aux standards ontelles t approuves.
Procdure daudit
3.3.1 Slectionner un chantillon de
plates-formes et s'assurer que les
standards ont t configurs sur
toutes les plates-formes.
3.3.2 S'assurer que des vrifications

mensuelles ont t effectues sur
les plates-formes informatiques.
3.3.3 Obtenir et revoir

les
approbations desdites dviations.
Contrle du primtre du rseau
Contrle du primtre du rseau

3.4 Documentation de la politique du
contrle d'accs
3.4 Documentation de la politique

du contrle d'accs
3.4.1 Les contrles d'accs aux

quipements informatiques sont-ils
dfinis et documents ?
3.4.1 S'assurer que les directives du

management ont t documentes
en obtenant et en examinant la
documentation correspondante.
3.4.2 Les contrles d'accs sont-ils en

conformit avec la politique
d'accs du domaine?
3.4.2 Examiner les directives du

management et vrifier si elles
sont conformes la politique
d'accs au domaine.
4.1 Normes de scurit du rseau
4.1 Normes de scurit du rseau

4.1.1 La socit a-t-elle adopt des
standards de scurit du rseau pour le
contrle d'accs aux plates-formes
informatiques ?
4.2 Maintien du primtre externe

claire et dfini (ouverture sur
lenvironnement externe)
4.2.1 Existe-t-il une scurit externe
claire du primtre des systmes
informatiques ?
4.1.1 Vrifier que les standards ont

t adopts en obtenant et en
passant en revue la documentation
correspondante et / ou
interviewant le personnel
concern.
4.2 Maintien du primtre externe
claire et dfini (ouverture sur
lenvironnement externe)
4.2.1 S'assurer de l'existence d'une
scurit
externe
claire
du
primtre en obtenant et en
passant en revue la documentation
correspondante.
146
Domaine
Scurit rseau
Questions daudits
4.2.2 Les connexions au rseau sontelles installes conformment la

version actuelle des standards de la
scurit du rseau ?
4.2.3 Les dviations par rapport aux

standards ont elles t approuves ?
Procdure daudit
4.2.2 Slectionner un chantillon de
rseau. S'assurer que les standards
ont t installs dans toutes les
connexions
au
rseau
en
inspectant
la
configuration
actuelle de quelques ordinateurs.
4.2.3 Obtenir et passer en revue les
approbations des dviations en
question.
4.2.4 Vrifier en obtenant des

4.2.4 Les primtres de scurits
justificatifs ou en interviewant le
externes sont-ils rgulirement
vrifis contres des connexions par personnel que les primtres de
scurits externes sont rgulirement
des modems non-autoriss ?
vrifis contres des connexions par
des modems non-autoriss.
Gestion des connexions par des tiers
Gestion des connexions par des tiers
5.1 Accords formels de scurit
informatiques avec les tiers
5.1.1 Les connexions directes par des
tiers sont-elles couvertes par contrats
formels de scurit informatique ?
5.1.2 Existe-t-il un audit pour s'assurer

du respect des termes du contrat
relatif la scurit informatique ?
Scurit tiers
5.1.3 Les accs au domaine par des tiers

sont-ils autoriss par la direction
gnrale ?
5.1.4 Le personnel des tiers a-t-il sign

un accord de confidentialit ?
5.1 Accords formels de scurit

informatiques avec les tiers
sondage que les connexions
directes effectues par des tiers
sont couvertes par des contrats de
scurit
informatique
en
examinant une copie de ces
contrats.
5.1.2 S'assurer de l'existence d'un
audit en interviewant le personnel
et / ou en obtenant les documents
justificatifs.
sondage que les accs au domaine
sont autoriss par la direction
gnrale.
5.1.4 Vrifier que le personnel des
tiers a bien sign un accord de
confidentialit.
147
ANNEXE 5
Exemple dun programme daudit de la scurit
spcifique lERP JD Edwards (Version World sous
AS/400)
148
Aspects gnraux
Dterminer lapproche de gestion de la scurit au sein de JDE.
Existe-t-il un
administrateur de la scurit JDE ?
Revoir la procdure de maintenance du carnet dadresse JDE (Address Book)
Dterminer si le journal daudit log du carnet dadresse est activ, imprim et revu.
Revoir la procdure de maintenance des ICA Instructions de Comptabilisation

automatique de JDE
Sassurer de lutilisation des 19 rapports dintgrit standards de JDE et revoir les

procdures de revue des dits rapports et des actions correctives qui en dcoulent.
Revoir la procdure de maintenance des procdures du plan comptable JDE.
1.
MODULES JDE
Revoir les constantes systmes de chaque module et notamment : GL, AP et ARE.
Sassurer au niveau du module comptabilit fournisseur de lactivation du contrle

Payee control. Cette fonctionnalit de JDE permet entre autres, de sassurer de la
bonne sparation des tches entre la saisie et la validation des conditions de paiement
dun fournisseur.
2.
SECURITE
Accder au menu G94 et imprimer tous les utilisateurs
A partir de cette liste :

Accs Rapide (Fasth Path)
o Identifier les utilisateurs ayant accs la fonctionnalit JDE Accs rapide

(cette fonctionnalit permet daccder un programme de JDE si on connat
son code transaction).
o Dterminer la politique dautorisation applique par la socit pour accder
la fonctionnalit accs rapide.
o Dterminer si les utilisateurs sont rellement autoriss accder la
fonctionnalit accs rapide.
149
Navigation (Menu Travel)

o Identifier les utilisateurs ayant accs la fonctionnalit navigation .
o Dterminer la politique applique pour donner laccs la fonctionnalit
Navigation.
fonctionnalit(navigation).
Ligne de commande AS/400 (Command Entry)
o Identifier les utilisateurs ayant accs la fonctionnalit Ligne de commande.
la fonctionnalit ligne de commande.
fonctionnalit ligne de commande.
Touches de fonction (Function Key)
o Identifier les utilisateurs ayant "Y" au niveau de la colonne scurit des
touches de fonction ;
la fonctionnalit scurit des touches de fonction ;
o Si le client a des personnes comptentes dans la rdaction de Query AS/400,
excuter une requte sur le fichier F96/2 en vue dextraire tous les utilisateurs
ayant accs aux touches F6, F8 (recherche par mot cl) et F18 (options de
traitement).
Profiles utilisateurs
Dterminer sil existe des profiles utilisateurs JDE nayant pas de profil correspondant
au niveau AS/400. En cas dexistence de ce type de profil, le message ci-aprs sera
indiqu par JDE "** IBM Profile not found **".
150
Scurit Action Code
A partir du menu G94, slectionner loption Action Code Security . Appuyer ensuite sur
la touche F21 pour afficher la liste des options de traitements possibles :
Rapport de la liste par utilisateurs de la scurit Action Code (XJDE0001)
Rapport de la liste par programme de la scurit Action Code (XJDE0002)

A partir de ces deux tats sassurer que :
o Le profil *PUBLIC est paramtr NNN (pas daccs dajout, modification et
suppression) pour tous les programmes JDE
o Slectionner des programmes sensibles et revoir la scurit action code par
utilisateur pour sassurer quelle est conforme une bonne sparation de
tches.
Approbation des lots de comptabilit (batch Approval/Post security)
A partir du menu G94, slectionner loption 7 Approbation des lots de traitements (batch
Approval / Post) et revoir les lments suivants :
Options
Paramtrage
suggr
Lots de comptabilit gnrale GLGL Batch Security Y/N
Lots de comptabilit AP
Y/N
Lots de comptabilit AR
Y/N
Commandes caches
Taper 36 au niveau de la saisie dans le menu JDE et voir si le rsultat de cette opration
permet laccs la ligne de commande de lAS/400.
151
ANNEXE 6
DESCRIPTION DES PROCESS CONTRIBUANT A

LELABORATION DU DOSSIER FINANCIER ET
IDENTIFICATION DES CONTROLES Y AFFERENTS
152
153
154
155
156
157
158
159
160
Liste des tats du dossier financier

Rf
Libell
Dpartement
Alimentation
Etat D01
Etat D02
Etat D03
Etat D04
Etat D05
Etat D06
Etat D07
compte Technique - Assurance Vie ;

compte Technique - Assurance Non Vie ;
dtail des primes mises ;
provisions techniques et leur reprsentation par des lments d'actif ;
dtail des placements ;
dtail des primes arrires ;
primes impayes et leurs provisions la clture de l'exercice ;
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Etat D08
Etat D09
Etat D10
Etat D11
marge de solvabilit ;
dpouillement du bilan par domaine montaire ;
primes acquises, sinistres pays et provisions pour sinistres payer ;
accidents du travail : Primes acquises, sinistres pays et provisions
pour sinistres payer ;
assurance responsabilit civile des vhicules terrestres moteur :
Primes acquises, sinistres pays et provisions pour sinistres payer ;
mouvement des polices au cours de l'exercice (Non Vie) ;
dtail de certaines provisions techniques non vie ;
dtail des soldes des intermdiaires d'assurances ;
dtail des soldes des rassureurs ;
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Dept
Recouvrement
Comptabilit
Comptabilit
Comptabilit
Comptabilit/
Actuariat
Comptabilit/
Actuariat
Manuelle (Excel)
Comptabilit
Comptabilit
Comptabilit
Dept
Rassurance
Dept
Rassurance
Comptabilit
Comptabilit
Comptabilit/
Actuariat
Comptabilit
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Etat D12
Etat D13
Etat D14
Etat D15
Etat D16
Etat D17 dtail des rsultats de rassurances ;

Etat D18 provision pour fluctuation de sinistralit ;
Etat D19 participation des assurs aux bnfices ;
Etat D20 Statistiques des oprations Vie ;
Etat D21 dpts et affectations relatifs la couverture des provisions
techniques ;
Etat D22 situation financire au 30 juin ;
Etat D23 tats trimestriels ;
Etat D25 dtail de la part des rassureurs dans les primes ;
Etat D26 compte des oprations de rassurance ;
Etat D27 compte technique de la cession lgale ;
Etat D28 dtail de la part des rassureurs dans les provisions techniques ;
Etat D29 dpts effectus par les rassureurs ;
Etat R01 rcapitulation des primes par nature d'acceptation ;
Etat R02 rsultats d'acceptations par catgorie d'assurances ;
Etat R03 rsultats d'acceptations par trait ;
Etat D22 comprend le bilan arrt au 30 juin et le compte de produits et
charges du 1er janvier au 30 juin
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Comptabilit
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
Manuelle (Excel)
161
162
163
164
165
166
Provision pour fluctuation de sinistralit (RFS)
Prov.(RFS)
167
168
ANNEXE 7
LEXIQUE FRANAIS-ARABE
169
FRANAIS
COMPTABILITE
CAHIER DES CHARGES
CHAMP DAPPLICATION
E-COMMERCE
CONFIDENTIALITE DES DONNEES
CONNEXION
COURRIER ELECTRONIQUE
DONNEES NUMERIQUES
ECHANGE DE DONNEES INFORMATISEES
10
LOGICIEL
11
MATERIEL INFORMATIQUE
12
NORMALISATION
13
NORME
14
NOUVELLES TECHNOLOGIES DE

( )

LINFORMATION

15
RESEAU INTERNET
16
SAUVEGARDE
17
SECURITE
18
ACCES
19
MODULE
20
ASPECTS GENERAUX
21
PROFIL
22
DOSSIER FINANCIER
23
COMPAGNIE DASSURANCE
24
COMMISSAIRE AUX COMPTES
25
EXPERT COMPTABLE
26
COMMANDE
27
DOMAINE
28
FONCTION
29
UTILISATEUR
30
DEVELOPPEMENT
31
TEST
32
AUDIT
170
FRANAIS
33
APPROBATION
34
ORGANISATION
35
CYCLE DE VIE
36
PROCESSUS
37
PROCEDURE
38
APPLICATION INFORMATIQUE
39
LINFORMATIQUE
40
INTEGRITE DES DONNEES
41
INTRANET
42
INTEGRITE
43
SYSTEME DINFORMATION
44
LE CONTROLE INTERNE
45
LAUDIT COMPTABLE ET FINANCIER
46
APPLICATION
47
ADMINISTRATEUR
48
MIGRATION DES DONNEES
49
MOT DE PASSE
50
E.R.P
51
BASE DE DONNEES
52
BASE DOCUMENTAIRE
53
BUREAUTIQUE
54
CIRCUIT INTEGRE
56
CLIENT
57
DISQUE DUR
58
DONNEES
59
EXTRANET
60
INDICATEUR
61
INFORMATION
62
INTERFACE
63
LANGAGE DE PROGRAMMATION
64
MEMOIRE
65
MICROPROCESSEUR
67
ORDINATEUR
171
FRANAIS
68
MODELE
69
SYSTEME DEXPLOITATION
70
ECHANGE DE DONNEES INFORMATISEES
(E.D.I)
71
SECURITE DES TRANSACTIONS
72
SIGNATURE ELECTRONIQUE
73
AUTHENTIFICATION
172

Audit Que PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit Que PDF

Transféré par

Droits d'auteur :

Formats disponibles

ROYAUME DU MAROC

INSTITUT SUPERIEUR DE COMMERCE

PROPOSITION D'UNE METHODOLOGIE POUR

MEMOIRE PRESENTE POUR LOBTENTION DU DIPLOME

Jexprime ma gratitude, particulirement :

M. ABDELAZIZ AL MECHATT, qui a suivi de prs la ralisation de ce travail ;

M. MOHAMED MOUEFFAK, Enseignant et Directeur des tudes lISCAE ;

M. FAWZI BRITEL, Expert-Comptable DPLE ;

M. LARBI KZAZ, Enseignant lISCAE.

Je remercie, au mme titre, M.Rachid MRABET, Directeur de lISCAE, qui veille

TABLE DES MATIERES SIMPLIFIEE

INTRODUCTION DE LA PREMIERE PARTIE

CHAPITRE 1 : LENVIRONNEMENT ET LORGANISATION DE LA FONCTION INFORMATIQUE

CONCLUSION DE LA PREMIERE PARTIE

INTRODUCTION DE LA DEUXIEME PARTIE

Lenjeu conomique li lvolution et au rle des systmes dinformation dans

Evolution des systmes dinformation

Lenvironnement actuel de lentreprise est caractris par la globalisation des

Lirruption de lInternet a acclr considrablement lvolution des systmes

consommateurs. Lconomie moderne devient de plus en plus immatrielle.

Cette volution vers la Socit de lInformation naurait t facilite que par le

Rle stratgique des systmes dinformation

Aujourdhui, les systmes dinformation revtent un caractre stratgique dans le

Impacts des systmes informatiques sur lapproche de laudit financier

En effet, louverture et la complexit des systmes peuvent engendrer des risques

Problmatique et objectifs du prsent mmoire

Le sujet du mmoire intitul proposition dune mthodologie pour la conduite des

La problmatique rside dans le fait que :

Linformation comptable et financire est souvent issue des processus hautement

Labsence de procdures de gestion et de matrise des risques lis lintroduction des

Labsence de politiques et de procdures relatives la scurit informatique ;

La dpendance vis--vis des fournisseurs de technologie ;

La refonte des processus suite la mise en place de nouveaux systmes informatiques

Les objectifs atteindre par ce mmoire sont les suivants :

Prsenter les bonnes pratiques en matire dorganisation de la fonction informatique et

Sur le plan personnel, ce travail ma permis dapprofondir mes connaissances dans un

De manire atteindre les objectifs noncs ci-dessus avec le maximum defficacit et

Une dmarche pragmatique

Dans cette partie, lattention sera porte sur :

La comprhension du fonctionnement de la fonction informatique (son organisation,

La prsentation de lenvironnement lgal de la fonction informatique ;

La prsentation des bonnes pratiques en matire de gestion et dorganisation de la

La prsentation sommaire des cycles de vie des systmes informatiques ;

Lidentification des contrles et des risques lis la fonction informatique en

2me partie : Proposition dune mthodologie pour la conduite des missions

Le processus de laudit informatique en tant que support aux missions daudit

La dmarche daudit informatique dans le cadre de certaines missions spcifiques.

INTRODUCTION DE LA PREMIERE PARTIE

Lenvironnement et lorganisation de la fonction informatique (titre 1) ;

La prsentation des cycles de vie du systme dinformation, des risques et des

CHAPITRE 1 : LENVIRONNEMENT ET LORGANISATION DE LA

Lobjectif de ce chapitre est dapporter des lments de contexte gnral et de

Rle et caractristiques des systmes dinformation

Rle des systmes dinformation de gestion

Le systme dinformation d'une organisation est constitu d'un ensemble de moyens,

L'amlioration de l'efficacit et de l'efficience des organisations est la proccupation

Le systme d'information est aujourd'hui au cur de la cration de valeur au sein des

Caractristiques des systmes dinformation

Actuellement, les dirigeants des entreprises sont soucieux de la rentabilit, de la

Globaux devant avoir une large couverture fonctionnelle permettant de prendre en

Ouverts sur dautres systmes par le biais dinterfaces permettant la gnration

Modulaires avec une conception du systme dinformation selon le principe de

Orients client permettant de disposer dune vision globale de lensemble des