AUDIT DES SYSTEMES

DINFORMATION AUTOMATISES

ET OUTILS INFORMATIQUES DE LAUDITEUR

SUPPORT DE COURS
 2

SOMMAIRE
Description Page

Introduction.3

1- Les concepts de laudit informatique..8

2- Audit de la politique et des stratgies de mise en place

de linformatique.11

3- Audit de lorganisation gnrale et des ressources

humaines informatiques..15

4- Audit des tudes..22

5- Audit de lexploitation.32

6- Audit des moyens techniques. .55

7- Audit des applications en exploitation..66

8- La conduite dune mission daudit informatique..80

9- Les outils de lauditeur informatique 89

 3

INTRODUCTION

LA REVOLUTION TELEMATIQUE

Nous vivons actuellement, la quatrime rvolution industrielle : lre de

linformatique, lre de la rvolution tlmatique (informatique +
tlcommunications).

Lordinateur, outil de traitement de linformation, permet lhomme de

dvelopper son pouvoir mental comme le moteur a multipli sa force physique.

Linformatique a pris une place de premire importance dans notre socit.

Prsente au travail, dans les coles, dans les loisirs et mme dans les domiciles,
il est indniable quelle fait maintenant partie des habitudes courantes, au mme
titre que le tlviseur ou lautomobile.

Linformatique sest dveloppe rapidement, trop rapidement sans doute pour la

police qui se prpare fbrilement faire face une forme de criminalit
nouvelle : la criminalit informatique. Une criminalit abstraite car elle est
constitue dlments inconnus des policiers savoir : les ordinateurs, les
logiciels, le stockage et laccs des renseignements. Pour ces raisons, les
activits frauduleuses relies linformatique sont difficiles prvenir et
dtecter.

Grce la jonction de linformatique, des rseaux de tlcommunications et de

la tlvision, toute une gamme de nouveaux services fait son apparition. On
connat dj ldition distance des journaux dans des imprimeries
dcentralises. Les tlconfrences, la tltransmission des messages
lintrieur des organisations, le courrier lectronique, se gnralisent. Les
procds de tlcopie deviennent dusage courant. Les banques bibliographiques
ou documentaires peuvent maintenant tre interroges distance. Les individus,
les entreprises peuvent commercer en ligne.

On ne peut le nier, lordinateur a pntr chacune de nos activits

quotidiennes et il demeure vident que linformatisation fait partie de
lavenir et quelle ne pourra quinfluencer davantage notre vie.
 4

LINFORMATION = LE FACTEUR CAPITAL DU

DEVELOPPEMENT ET DE LA SURVIE DE TOUTE ENTREPRISE

Au cours de la dernire dcennie, linformatique a dcupl lhabilet de

lhomme utiliser linformation tel point quelle a engendr une
rvolution du travail intellectuel dont limpact est considrablement plus
grand que celui produit par la rvolution industrielle sur le travail manuel.
La rvolution industrielle a transform lconomie de subsistance en conomie
de consommation, lorganisation artisanale du travail en production la chane,
la culture des lites en culture de masse. La rvolution de linformation a non
seulement modifi les mthodes de travail, les structures des entreprises mais a
galement entran toute une srie de changements structurels dans notre vie et
dans nos valeurs.

Linformation est ncessaire dans tous les domaines de la pense et de

laction humaine. En comparant les individus dpourvus dinformations et de
connaissance ceux qui en ont, ces derniers ont de plus grandes possibilits de
carrire et sont mieux arms pour prendre des dcisions.

Outre le fait dtre essentielle aux individus qui lutilisent pour des buts
personnels, linformation est aussi ncessaire pour ceux qui prennent les
dcisions dans les entreprises. Tous les gestionnaires doivent accomplir
certaines tches ou fonctions de base afin datteindre les objectifs fixs. Les
objectifs poursuivis diffrent, mais les aptitudes de base sont les mmes pour
tous. En dautres mots, tous les gestionnaires doivent savoir planifier, organiser,
diriger, recruter et contrler. Le succs de toute entreprise va dpendre de la
capacit des gestionnaires de mener bien ces diverses fonctions. Ces fonctions
seront dautant mieux ralises si les dirigeants son suffisamment informs.
Pourquoi ?
Parce que chaque fonction exige une prise de dcision et cette prise de dcision
doit tre accompagne dune information prcise, opportune, complte et
pertinente.

Mettre une information de qualit la disposition de ceux qui savent

lutiliser facilite la prise de dcision ; les bonnes dcisions vont permettre la
russite des activits de gestion ; et une russite effective en gestion conduit la
ralisation des buts de lentreprise. Linformation est lagent de liaison qui
maintient lunit de lentreprise.
 5

LE SYSTEME DINFORMATION AUTOMATISE : LE CUR DE

LENTREPRISE

Les systmes dinformations traditionnels ont souvent laiss dsirer parce

quils devaient possder les qualits suivantes : peu coteux, pertinents,
opportuns, vraiment intgrs, concis, vraiment disponibles dans une forme
variable.

Pour diminuer les difficults souleves, par les approches traditionnelles, de

nouveaux concepts de systmes dinformation en gestion, orients vers
lutilisation des ordinateurs, ont t dvelopps. Ces efforts damliorations sont
dus un certain nombre de pressions qui ont incit les gestionnaires sorienter
vers lutilisation de lordinateur. Parmi ces pressions, on peut citer :

La capacit de traitement dans plusieurs entreprises a t augmente par :

la croissance en grandeur et non en complexit de lentreprise ;

la demande croissante de donnes par des sources externes ;

la demande constante des gestionnaires afin dobtenir davantage

dinformation. Plus le volume traiter est grand, plus le traitement par
ordinateur se rvle conomique en comparaison dautres traitements ;
les cots moins importants de linformatique.

Linformation fournie par un systme informatis aura un impact

important sur la gestion dune organisation :

en permettant didentifier rapidement les problmes et les possibilits ;

en aidant lanalyse du problme et au choix de solutions possibles ;

en influenant le choix le plus appropri.

 6

LE SYSTEME DINFORMATION AUTOMATISE :

EVOLUTION

Etapes Technologie Acteurs impliqus dans la mise en

oeuvre
Centralisation des traitements Mainframe Informaticien
1950 - 1970 Fichier
Dcentralisation PC Matre duvre
1970 - 1990 SGBD Informaticiens
Interoprabilit et Client -serveur Matre douvrage
standardisation ERP Matre duvre
1990 2000 Internet Utilisateurs
Informaticiens

NTIC Matre douvrage

Universalit et gestion des Matre duvre
connaissances Utilisateurs
2000- Informaticiens

LES FACTEURS CLES DE SUCCES ET LES MENACES

La disponibilit de linformation est indispensable la survie de

lentreprise.

En effet, la perte dun fichier ou dune banque de donnes ou la non

disponibilit des quipements informatiques en temps opportun, cause par une
erreur de programmation, dun sabotage ou dun dsastre naturel, peut parfois
signifier pour une entreprise, la fin permanente des oprations. Imaginons une
entreprise dont le fichier des comptes clients (comptes des recevables) est
dtruit. Elle serait considrablement affecte par la perte de ces informations et
sa survie serait srement compromise.

Par ailleurs, limportance de lexactitude de linformation peut parfois tre

capitale pour une organisation. Prenons, par exemple, le cas du gestionnaire
utilisant lordinateur pour manipuler des informations qui laideront orienter
une dcision stratgique sur son entreprise.

Toutefois, la prolifration des ordinateurs et des systmes informatiques

ainsi que leur interconnexion ( lchelle de lentreprise, de la nature, de la
plante), a fait natre une forme de criminalit beaucoup plus sophistique,
 7

plus rentable que toutes les autres connues ce jour, et dans laquelle on peut
voluer sans danger dtre pris. Les consquences de cette criminalit dite
informatique, peuvent tre dsastreuses pour les entreprises.

Laccroissement du nombre de banques de donnes contenant diffrentes

informations stratgiques pour lentreprise a multipli les risques de violation du
caractre confidentiel. Il demeure de la responsabilit de lentreprise de veiller
protger adquatement ses informations emmagasines dans les ordinateurs.

Il faut noter aussi que linformatique ncessite la mobilisation dimportantes

ressources financires.

Lentreprise doit donc en permanence sassurer du caractre oprationnel de

la scurit et des performances de son systme dinformation.

Elle doit aussi sassurer quen cas de sinistre informatique, elle dispose de
mesures palliatives, pour garantir la continuit de sa production (exploitation)
informatique.

Il sagit donc pour lentreprise de procder de manire rgulire lexamen de

son systme dinformation.

LAUDIT INFORMATIQUE EST LOUTIL PRIVILEGIE POUR LA

REALISATION DUNE TELLE MISSION.
 8

1 LES CONCEPTS DE LAUDIT INFORMATIQUE

Laudit est lexamen dune situation, dun systme dinformations, dune
organisation pour porter un jugement.

Cest donc la comparaison entre ce qui est observ (un acte de management ou
dexcution) et ce que cela devrait tre, selon un systme de rfrences.

Il est clair que le jugement ne peut se limiter une approbation ou une

condamnation, comme cest souvent le cas, mais il faut prciser aussi ce quil
aurait fallu faire, et ce quil faudra faire pour corriger les dfauts constats.

LES DIFFERENTS TYPES DAUDITS DES SOCIETES

Une socit est cre par un groupement de personnes anim dun but la
recherche du gain . Elle a une personnalit juridique distincte des actionnaires
ou associs. Sa direction est confie soit certains actionnaires, soit des non-
associs. Dans le souci de protger les actionnaires et aussi des diffrents
partenaires sociaux de la socit, la loi sur les socits a prvu un certain
nombre de contrles (audits) externes, dits lgaux, qui peuvent tre :

soit permanents : commissariats aux comptes ;

soit occasionnels : expertise judiciaire, commissariat aux apports.

Les dirigeants de lentreprise, peuvent, en plus du contrle lgal, dsigner un

professionnel, indpendant, pour procder des contrles, dits audits
contractuel.

Examen de leurs comptes en vue dexprimer une opinion motive sur

la rgularit et la sincrit du bilan et de leurs comptes de rsultats.
examen de leur systme dinformation, pour apprcier sa fiabilit, sa
scurit et sa pertinence.
Etc..
 9

QUEST CE QUE LAUDIT INFORMATIQUE ?

Si le concept de laudit informatique est aujourdhui largement rpandu, ce

terme gnrique recouvre en ralit des objectifs et des mthodes trs varis.

Pour le Directeur Gnral peu fru en la matire, il sagit souvent dun moyen
de voir un peu plus clair dans lactivit dun des services cls de son
entreprise.

Pour le Directeur Informatique, laudit informatique, apporte, outre un conseil

en organisation fourni par des spcialistes extrieurs, le moyen daccompagner
et de justifier la mise en place de nouvelles structures ou de nouvelles mthodes.
Le Directeur Financier, quant lui, y verra plus gnralement le moyen
dapprcier la fiabilit des chanes de traitement dont il est lutilisateur. Enfin, le
Commissaire aux Comptes, indpendant de lentreprise et dont le rle est den
certifier les comptes, sintressera en particulier aux moyens dutiliser loutil
informatique pour tablir et conforter son opinion.

Ainsi donc, sous ce mme concept se cachent des objectifs totalement diffrents.

Toutefois, quelque soit son objectif ou son tendue, laudit informatique

concerne les composantes du systme informatique dinformation de
lentreprise. Celles-ci sont :

les aspects stratgiques : conception et planification de la mise en

uvre du systme dinformations.

lenvironnement et lorganisation gnrale de la gestion de

linformatique.

Les activits courantes de gestion de linformatique.

les ressources informatiques mises en service.

les applications informatiques en service.

la scurit.
 10

QUELLE EST DONC LA PLACE DE LAUDIT INFORMATIQUE ?

Normalement, une place prpondrante, compte tenu de limportance

primordiale du systme dinformation voque ci-avant, en introduction.
Cependant, malgr des amliorations trs lentes, laudit informatique est fort peu
rpandu ; linformatique tant le dernier mtier que lon songe auditer, et que
lon nose pntrer.

Pourquoi ? :

Les dcideurs ont trop souvent rarement conscience des vulnrabilits

induites par un systme automatis ;

Linformatique est vue comme un outil technique neutre et nest pas

conue comme auditable, alors quelle est le support de toutes les
activits ;

Bien que les systmes soient la fois de plus en plus intgrs (bases de
donnes) et rpartis (rseaux), que les contrles soient de moins en
moins visibles, et les dcisions de plus en plus rapides, il est bien rare
que lon songe identifier le responsable dune information et celui du
contrle de celle-ci ;

Le sentiment que linformatique est trop technique pour pouvoir tre

audit ;

Laudit est souvent considr comme un cot et non comme un moyen

efficace de rduire les risques ;

Enfin, un sentiment rpandu est que les informaticiens apprcieraient

fort peu dtre audits, sy ajoutent les problmes ci-aprs :

 lvolution rapide des matriels, rseaux, logiciels, systmes de gestion de

bases de donnes et langages, conduisant une prolifration anarchique
de petits systmes,

 quel profil ?, quelle comptence pour lauditeur informatique ?

 absence de normes, de rfrentiels, de principes et mme de technologies

communs.

Ainsi, la qualit dun audit informatique dpend - elle trop souvent de la

personnalit de lauditeur .
 11

2 - AUDIT DE LA POLITIQUE ET DES STRATEGIES

DE MISE EN PLACE DE LINFORMATIQUE

2-1 DEFINITION

La politique et les stratgies de mise en place de l informatique sont formules

dans les documents suivants :

Le schma directeur informatique

Le plan informatique
Le plan de scurit
Le plan de qualit

Le schma directeur prsente :

 La politique et les objectifs en matire de dveloppement des systmes

informatiques ceci en fonction des objectifs et du mtier de l entreprise
 L architecture du systme d information cible
 L architecture technologique
 L organisation informatique mettre en place

Le plan informatique prsente :

 Les projets de : dveloppements des applications, acquisitions et

installation des logiciels de base et des quipements informatiques
 Le scnario de mise en uvre des projets informatiques, ainsi que les
priorits, les plans daction et de suivi,
 Lestimation des cots
 La procdure de suivi de lexcution du schma directeur.

Le plan de scurit

Il formalise la politique de scurit de lentreprise, qui doit :

 dune part assurer la reprise du service dans des dlais acceptables, donc
trs courts et donc prvoir des procdures dgrades temporaires et au
moins un minimum vital, quelles que soient les circonstances
 dautre part, rendre absolument impossible une dfaillance permanente et
donc prvoir un plan de survie.
 12

Le plan de scurit prsente les risques probables. Ces risques sont :

 Accidents
 Pannes
 Fraudes et sabotages
 Destruction
 Erreurs de conception et de ralisation
 Erreurs de saisie ou de transmission
 Etc. .

Le plan qualit comprend :

 Les buts ainsi que leur applicabilit

 Leurs exigences et lorganisation
 Les mthodes, procdures et contrles
 Les rgles, normes, standard et conventions
 Les outils
 Les dmarches de dveloppement et de test
 Les engagements envers lutilisateur

2-2 OBJECTIFS DE LAUDIT

Laudit de la politique et des stratgie a pour objectifs de :

Sassurer que la politique dinformatisation, et dune manire plus gnrale

de mise en place des systmes dinformation, est :

 clairement dfinie et formalise,

 en adquation avec le but de lentreprise, son mtier, ses enjeux et ses
stratgies de dveloppement.

Sassurer par ailleurs que :

 les dcideurs et futurs utilisateurs des systmes ont particip leur

dfinition et sont solidaires aux actions envisages,
 les systmes dfinis (application, architecture matriel , etc. ..) sont
susceptibles de satisfaire aux besoins court et moyen terme de
lentreprise et sont en adquation avec les possibilits offertes par la
technologie du moment,
 13

 la mise en uvre des systmes est correctement planifie et que les

projets et plans daction labors sont cohrents, et matrisables.

Proposer les mesures correctives ncessaires.

2-3 TRAVAUX DAUDIT

Il sagit dapprcier, par discussion avec les concerns :

la formation et linformation des dirigeants en gestion de linformatique :

conception et apprciations sur ce que lautomation peut, et inversement ce
quelle ne peut pas, apporter dans leurs prises de dcision et leur contrle de
gestion ; ides prcises de conception, de dveloppement, de contrle,
dinstallation et dexploitation des systmes.
A chacun des buts doivent tre attachs les avantages escompts et les
conditions de ralisation, ainsi que les contraintes techniques et
organisationnelles, et enfin la reconnaissance des inconvnients ;

lintrt apport linformatique et la profondeur de ltude des opportunits

techniques, humaines et conomiques, limplication dans le choix des
moyens (type de matriels ,organisation, budgtisation) et des actions
(informations reues ; critres dapprciation dun service, de sa productivit
et rentabilit ; participation llaboration de la politique, buts et plans ;
acceptation des remises en cause de lexistant) ;

Lauditeur procdera ainsi lanalyse du mtier ,de lenvironnement, de

lorganisation et des flux dinformations de lentreprise.

Il examinera, par rfrence la politique gnrale, idalement prsente par un

document crit, si le systme sert pertinemment des objectifs prcis, bien dfinis
et discuts avec tous les responsables, dans une conception globale et homogne
qui noublie pas lexistant et a obtenu un consensus.

Il devra aussi examiner lhistorique de linformatique : incidences sur

lorganisation, existence et validit des prvisions (de structure juridique, de
march, de politique de produits et bien entendu de linformatique), pratiques
relles de la direction, difficults mal rsolues, les rticences, voire les rancurs
(qui sont ainsi mises en pleine lumire, mme si elles paraissent dissipes).
Laptitude rsoudre les problmes, surmonter les difficults, ne peut tre
visible que dans une perspective historique.
 14

Il examinera, auprs des techniciens de linformatique et des utilisateurs si les

finalits sont bien communiques tous les intresss et quelles ont t
comprises, avec des objectifs clairs, des problmes bien poss, une circulation
bien dfinie des informations, une bonne rpartition des tches et
responsabilits.

Il procdera enfin, lanalyse critique du schma directeur, des plans

informatiques, de scurit et de qualit, sils ont t tablis. Il examinera, en
particulier, leur adquation avec les conclusions de ses travaux prliminaires
dcrits ci-avant.
 15

3 AUDIT DE LORGANISATION GENERALE ET

DES RESSOURCES HUMAINES INFORMATIQUES

31 DEFINITION

Le succs de la mise en place du systme informatique dfini et

particulirement la qualit des applications informatiques installes, dpendent
dans une large mesure, de lefficacit de lorganisation de la gestion de
linformatique.

LES PRINCIPAUX OBJECTIFS DE LA GESTION DE

LINFORMATIQUE SONT LES SUIVANTS :

fournir un mcanisme efficace pour traiter tous les besoins

informatiques de lentreprise et les opportunits dutilisation de loutil
informatique, en tenant compte de ses objectifs gnraux et des
contraintes ;

fournir un mcanisme efficace pour planifier, contrler et coordonner

linvestissement et lexploitation de linformatique en favorisant la
participation de la Direction Gnrale dans le processus de prise de
dcision dans le Domaine informatique.

LES PRINCIPALES COMPOSANTES USUELLES DE LA

STRUCTURE DE GESTION DE LINFORMATIQUE SONT LES
SUIVANTES :

Comit Directeur Informatique ;

Comit des Projets ;

Commission Utilisateurs ;

Dpartement Informatique ;
 16

COMITE DIRECTEUR INFORMATIQUE (CDI)

Ses rles et ses responsabilits sont les suivants :

tablir, revoir et mettre jour le Schma Directeur Informatique,

allouer les priorits pour les systmes stratgiques,

approuver et contrler lallocation des ressources pour la ralisation

des systmes stratgiques,

autoriser et suivre les investissements informatiques principaux,

approuver les plans annuels du Dpartement Informatique.

COMITE DE PROJET (CP)

Chaque CP contrlera lexcution dun projet stratgique ; ses rles et ses

responsabilits sont les suivants :

contrler lexcution du projet stratgique,

faire en sorte que le projet soit achev dans le temps et le budget impartis,
contrle de qualit,

sassurer dune bonne documentation de la gestion du projet,

autoriser les modifications sur le budget et les dlais de dveloppement.

COMMISSION UTILISATEURS (CU)

Les CU prsentes dans chacune des Directions de lentreprise ont pour tche
principale de synthtiser les besoins de la Direction en terme de systmes
informatiques et dvaluer les avantages lis chaque systme demand.

Dans le cas o plusieurs systmes sont demands, les CU devront assigner

chacun des systmes une note dimportance et une priorit.

Tous ces lments seront pris en compte pour la mise jour du Plan Directeur
Informatique.
 17

DEPARTEMENT INFORMATIQUE

Il a la responsabilit de la gestion courante de linformatique. Il se compose

gnralement des structures suivantes :

responsable du dpartement,

service mthodes, tudes et maintenance,

service exploitation des applications,

service support technique (systmes, rseaux et bases de donnes,

maintenance matriels).

Ses rles sont les suivants :

centraliser toute activit informatique,

mettre en uvre le plan informatique,

planifier et organiser lactivit informatique,

grer tous les projets informatiques,

dfinir larchitecture technique de chaque site en application du schma

directeur,

superviser et raliser les amnagements des salles informatiques,

superviser lapprovisionnement en matriels et consommables

informatiques,

grer la politique de maintenance du matriel,

dfinir des rgles et politique de gestion du matriel et des consommables,

grer la formation du personnel informatique,

organiser et suivre lexploitation des applications informatiques,

superviser et raliser le support informatique et Bureautique,

coordonner lactivit informatique.
 18

32 OBJECTIFS DE LAUDIT

Laudit de lorganisation gnrale et des ressources humaines informatiques a

pour objectifs de :

Vrifier que lorganisation gnrale de linformatique mise en place ;

 Permet : de garantir le succs de la mise en uvre des futurs systmes

dfinis, dassurer la fiabilit et la prennit des logiciels installs,
 respecte les rgles usuelles du contrle interne, notamment en matire de
sparation des tches,
 permet de garantir le respect des orientations dfinies par la Direction.

Sassurer aussi, que :

 lentreprise dispose des ressources humaines informatiques adquates,

 les cots de linformatique sont correctement suivis et matriss.

Proposer les mesures correctives ncessaires.

33 TRAVAUX DAUDIT

REVUE ET EVALUATION DE LORGANISATION GENERALE DE LA

FONCTION INFORMATIQUE

1. Les diffrents organes de gestion de linformatique sont-elles mises en

place et sont-elles oprationnelles ?

 dfinition et formalisation des missions,

 composition,
 fonctionnement effectif.

2. Positionnement hirarchique du dpartement informatique ?

3. Existe-t-il un organigramme crit du dpartement informatique ?

Si lorganigramme crit peut paratre superflu, voire contraignant dans les

petites structures, il simpose ds lors que leffectif dpasse une dizaine de
personnes.
 19

Lauditeur vrifiera bien entendu que lorganigramme qui lui est fourni est
jour, et quil couvre lensemble des fonctions ncessaires la bonne marche du
service.

Par ailleurs, il sassurera de lexistence de fiches fonctions, en particulier pour

les postes : responsables des mthodes, administrateurs des donnes,
responsable de lexploitation, etc.

4. La sparation des fonctions est-elle en conformit avec les rgles usuelles

du contrle interne ?

Les principes dun bon contrle interne conduisent ce que soient spars les
fonctions :

 des utilisateurs,
 du personnel de conception et de ralisation des applications (tudes,
dveloppement, maintenance des applications),
 du personnel dexploitation (mise en exploitation des logiciels produits
par le personnel de dveloppement, sauvegardes des donnes, etc..) et
dadministration des donnes.

5. Les relations entre le dpartement informatique et les services utilisateurs

sont-elles satisfaisantes ?

 qualit du service fourni (disponibilit des ressources matrielles, temps

de rponse moyen des transactions, frquence des incidents par
application, dlai de ractivit pour satisfaire aux demandes des
utilisateurs, etc. )
 interface entre le dpartement informatique et les services utilisateurs
(existence de la fonction de correspondant informatique)
 prise en considration dans la conception des nouvelles applications des
problmes lis lorganisation des services utilisateurs et
lamnagement des procdures administratives.

6. Comment sont choisis les fournisseurs ?

 20

REVUE DE LA PLANIFICATION ET DU CONTRLE DES

ACTIVITES INFORMATIQUES

1. La politique, les stratgies et les plans de mise en uvre des systmes

informatiques sont-ils

 dfinis et formaliss ?
 suivis ?
 rgulirement mis jour ?

2. Des organes usuels responsables des principaux choix stratgiques et de

suivi de la mise en uvre des systmes informatiques sont-ils en place et
sont-ils oprationnels ?

3. Les activits courantes de linformatique sont-elles releves, suivies,

contrles ?

 planification des projets de dveloppement, relev et suivi des temps

dintervention.
 rapports dactivits
 etc..

SUIVI DES COUTS DE LINFORMATIQUES

1. Examen du budget informatique :

 existe t il ? comment est-il dfini ?

 contenu du budget,
 suivi des ralisations et analyse des carts,
 justification, approbation des dpassements budgtaires,
 existence de fonction de contrle de gestion relatif aux cots
informatiques.

2. Les cots des oprations internes informatiques sont-ils valus ? refacturs

aux services utilisateurs ?

3. Examen du mode de financement de lacquisition des ressources

informatiques :

 critres du choix du mode de financement (achat, location, crdit-bail),

 21

 adquation avec les conditions du march du moment, les possibilits

financires de lentreprise, et la dure prvisible dutilisation du matriel.

EVALUATION DES RESSOURCES HUMAINES ET EXAMEN DE

LENVIRONNEMENT SOCIAL

1. Politique de recrutement, de rmunration, de formation continue et de

promotion du personnel.

2. Adquation de la qualification du personnel avec les fonctions exerces.

3. Motivation du personnel par :

 une rmunration satisfaisante ?

 la promotion interne ? la formation continue ?
 la participation aux prises de dcisions ? les projets raliss ?
 limage de marque de lentreprise ?
 Etc.

4. Comment se prsente lenvironnement social ?

 taux de rotation du personnel informatique,

 nombre de licenciements et conditions de licenciements,
 mouvements sociaux (grves, etc. ).
 22

4 AUDIT DES ETUDES

41 DEFINITIONS

Les tudes font partie des activits courantes du dpartement informatique. Elles
comprennent le dveloppement (conception, ralisation) et la maintenance (mise
jour) des logiciels.

Une bonne organisation densemble de cette activit, lexistence de procdures

et de mthodes satisfaisantes constituent une premire prsomption de la
fiabilit et de la prennit des logiciels dvelopps.

A titre dexemple, la non-existence de normes de programmation laisse chaque

programmeur la libert de choix de sa mthode, do terme, une grande
difficult de maintenance des applications et par voie de consquence, une
dgradation progressive de la fiabilit de celles-ci.

42 OBJECTIFS DE LAUDIT

Laudit des tudes a pour objectifs de :

Sassurer que lorganisation des activits dtudes, les mthodes de

conception, de dveloppement et de maintenance des applications
informatiques, permettent la ralisation de logiciels informatiques
performants :

 conformes aux besoins de lentreprise,

 capables dvaluer facilement,
 intgrs

Sassurer aussi que :

 la documentation produite (documentation technique, manuels

utilisateurs) est exhaustive, claire et accessible des non informaticiens
(en ce qui concerne les manuels utilisateurs) et quelle rpond aux besoins
des utilisateurs,

 les projets dtudes sont correctement valus, suivis et les cots affrents
valus.
 23

Proposer les mesures correctives ncessaires.

43 TRAVAUX DAUDIT

REVUE CRITIQUE DE LA METHODOLOGIE DE

DEVELOPPEMENT DES APPLICATIONS

1. Une tude dopportunit est-elle ralise pralablement au lancement de la

conception dune nouvelle application ?

Ltude dopportunit devra inclure notamment :

 la prsentation succincte des fonctions dvelopper,

 les principales contraintes de mise en uvre,
 si ncessaire, une prsentation des diffrentes solutions techniques entre
lesquelles il conviendra darbitrer,
 une estimation des volumes traiter,
 une estimation des cots prvisionnels et, le cas chant, des gains
financiers attendus,
 un chancier prvisionnel de mise en uvre.

2. Avant tout dveloppement de logiciels ou toute acquisition de progiciel, les

avantages et inconvnients respectifs de lacquisition du progiciel et de la
ralisation du systme spcifique sont-ils analyss ?

3. Est-il rdig un cahier des charges pralablement au lancement de la

ralisation de nouveaux logiciels.

Si le nombre et le contenu exact des diffrentes phases dun projet peut varier
en fonction de la taille de lentreprise et de limportance des projets, il existe
un point de passage oblig dans tout projet : laccord entre les informaticiens
et les utilisateurs sur le contenu de lapplication dvelopper. Cet accord
sera imprativement formalis par un document crit, que nous appellerons
ici cahier des charges, et qui comprendra, en fait, lensemble des
spcifications fonctionnelles du futur systme dinformation.
 24

En son absence, il est quasiment certain que les logiciels dvelopps ne

correspondront pas aux besoins des utilisateurs. Lconomie de quelques
jours passs la rdaction, certes fastidieuse, dun document de synthse,
apparatra alors bien drisoire au regard des surcots et des dpassements de
dlais qui dcouleront de cette incomprhension.

Sans que la liste en soit exhaustive, on peut citer au titre des principales
spcifications contenues dans le cahier des charges :

 la description des fonctions dvelopper,

 la description des grilles de saisie et de consultation,
 les traitements raliser,
 la liste et le contenu des principaux tats dits,
 la liste et contenu des fichiers constitutifs de lapplication ( lexception
des fichiers de travail),
 lestimation des volumes traiter.

On y trouvera galement, selon les cas, les modalits et lchancier de mise

en uvre et de dmarrage de lapplication.

4. Existe-t-il des normes en matire de dveloppement dapplications ?

Il est bien videmment indispensable que soit adopte une mthode en

matire de dveloppement dapplication. La question de savoir si une
mthode reconnue sur le march est prfrable des normes de maison
est en revanche plus dlicate.

Dans un environnement de grandes entreprises ou dadministrations, le choix

dune mthode largement rpandue simpose incontestablement. Des
mthodes comme MERISE, le standard de fait, ou AXIAL (propos par
IBM), prsentent lavantage, par leur diffusion, dtre connues de bons
nombre dinformaticiens, et donc de pouvoir tre aisment imposes au sein
de lentreprise. Elles prsentent en outre lavantage dune grande rigueur,
ncessaire au dveloppement de projets trs importants (trs concrtement,
nous considrerons comme importants des projets dont le cot global atteint
plusieurs centaines de millions de Francs CFA).

Dans des petites ou moyennes entreprise ou bien pour des projets de moindre
envergure, les mthodes voques ci-dessus prsentent gnralement
linconvnient dune trop grande lourdeur. Il nest ds lors pas rare de
rencontrer dans des entreprises des mthodes maison. On imposera alors
 25

dans le dveloppement dun projet le respect de certaines tapes, et la

formalisation de documents dont le contenu-type sera prdfini.

Seront par exemple imposs :

 ltude pralable,
 le cahier des charges,
 lanalyse technique,
 les normes de programmation.

5. Existe-t-il des normes en matire de programmation ?

Lexistence de normes de programmation est en principe de nature

amliorer la qualit des logiciels produits, dans la mesure o elles constituent
un vritable guide, particulirement utile pour les programmeurs dbutants.
Elles conduisent en outre une meilleure homognit de lensemble des
logiciels de lentreprise.

Plus prcisment nous distinguons :

Les normes concernant la structure gnrale des programmes :

 la programmation structure ou Warnier

 certains langages de dveloppement (langages de quatrime

gnration, gnrateurs de programmes) imposent de facto une
structure de programmation.

Les normes concernant le contenu dtaill des programmes

Citons par exemple :

 les noms de fichiers.

 les noms de zones dans les fichiers,
 les noms des tiquettes dans les programmes,
 etc.

Les normes dergonomie :

 format des crans (couleur, caractres, boutons, liste, etc..)

 touches fonctions
 messages
 26

6. Des outils de type ~ atelier de gnie logiciel sont ils utiliss ?

Le terme d ~atelier de gnie logiciel (AGL) et aujourdhui utilis pour

dsigner des fonctions trs diverses dans le dveloppement dapplications.
Ses fonctions , couvraient principalement lorigine la gestion des
bibliothques de logiciels dtudes et dexplication et lautomation du
processus de mise en exploitation.

Ses possibilits sont aujourdhui beaucoup plus vaste puisquelles incluent

souvent, outre les fonctions voques ci-dessus, lassistance la conception
des logiciels, la gestion automatise des spcifications et de la
documentation, la gnration des logiciels partir des spcifications, etc.
Lauditeur devra, aprs avoir recens les mthodes et outils de production
dapplication, se prononcer sur leurs effets en terme de scurit et defficacit
du processus.

7. Les principales phases de mise en uvre dun projet sont-elles prvues

dans le processus de dveloppement des nouvelles applications ?

Sauf exception, certaines phases doivent imprativement tre prvues dans

le processus de mise en place des nouvelles applications. Les principales
dentre elles sont rappeles ci-aprs.

La formation des utilisateurs

Une mauvaise formation des utilisateurs aura pour consquence, soit une
utilisation anarchique du systme, avec tous les risques que cela implique,
soit un dsintrt, voire un rejet, vis--vis de celui-ci. Dans les deux cas,
lapplication est voue une phase de dmarrage pour le moins agite.

La documentation de lapplication

Une documentation doit comprendre, outre lanalyse :

 les listes de programmes ;

 les dessins denregistrements ;
 les schmas de bases de donnes ;
 les rfrences croises modules et informations ;
 les rfrences croises contrles et informations ;
 les dessins des crans et tats ;
 la documentation utilisateur.
 27

La reprise des fichiers

Le dmarrage dune application ncessite quasiment toujours soit la

constitution et la saisie ex-nihilo des fichiers ncessaires celle-ci, soit
,cas de loin le plus frquent aujourdhui (les nouveaux logiciels succdant
plus souvent une ancienne application qu un processus manuel), la
reprise dans le nouveau systme des fichiers issus de lancien.

Limpact du nouveau systme sur lorganisation et les procdures

administratives.

Un nouveau systme informatique saccompagne, dans la grande majorit

des cas, dune rflexion sur lorganisation du travail ainsi que la mise en
place des nouvelles procdures.
Limplantation physique des matriels

La rflexion en la matire permet de prvoir notamment :

 limplantation de la ou des units centrales( dans un systme fortement

dcentralis, on trouvera une unit centrale par site),

 le nombre et la localisation gographique des terminaux, crans et

imprimantes.

La validation des logiciels

Deux mthodes complmentaires conduisent la validation des logiciels(

on parle souvent de recette) avant leur mise en exploitation :

 les jeux dessai, qui permettent de simuler des cas rels : aprs des jeux
dessai conus et raliss par les informaticiens, qui permettront de
sassurer que les logiciels sont conformes au cahier des charges, il est
indispensable de prvoir des jeux dessai utilisateurs, qui valideront
ladquation de lapplication aux besoins, et seront en dfinitive
lultime contrle avant le dmarrage ;

 lexploitation en double, qui consiste faire tourner simultanment le

nouveau et lancien logiciel, afin de comparer les rsultats.
 28

La scurit

Si la scurit du systme dinformation est primordiale en phase

dexploitation, une premire approche dans certains domaines est
souhaitable ds la conception.
Citons par exemple, les rflexions sur :

 le moyen de contrle de la validit des traitements : contrles

dexploitation, contrles dintgrit des bases de donnes, etc.

 le respect par lapplication de certains principes de contrles interne :

contrle hirarchique, sparation des fonctions, continuit du chemin de
rvision, etc.

 les procdures dexploitation : reprise en cas dincident, sauvegardes, site

de secours, etc.

8. Est-il procd rgulirement un suivi de lavancement et des cots des

projets ?

Ce suivi a pour objet le contrle de lavancement de chacune des tches

lmentaires composant les projets, afin de dtecter le plus rapidement
possible les risques de drapage, la fois en termes de planning et en termes
de cots.

De nombreux progiciels de suivi de projet sont aujourdhui disponibles, sur

grands systmes ou, plus frquemment, sur micro-ordinateur. En tout tat de
cause, un simple tableur peut parfois suffire un suivi efficace.

Quel que soit loutil utilis, lauditeur sattachera vrifier que le

responsable du projet dispose des moyens danticiper temps tout drapage,
afin de prendre les mesures ncessaires.

9. Les projets font-ils lobjet dune coordination suffisante ?

Dune manire gnrale, le charisme du ou des responsables du projet sont

un facteur primordial de la russite de celui-ci. Pour les projets les plus
lourds, la coordination du projet doit tre formalise au travers de runions
priodiques (par exemple hebdomadaires) des principaux responsables.
 29

Nous distinguerons, en fait, pour chaque projet dont lenvergure le justifie :

la coordination entre les quipes de conception, puis entre les quipes de

ralisation,

la coordination entre les quipes de mise en uvre,

la coordination entre les informaticiens et les utilisateurs.

EVALUATON DE LA QUALITE DES LOGICIELS PRODUITS

1. Est-il procd rgulirement des contrles de qualit des logiciels

produits ?

Un contrle par sondage des logiciels produits, quil soit ralis en interne(un
membre de lquipe de dveloppement ou du service informatique tant
affect, temps partiel, des tches de contrles) ou par des interventions
extrieures, permet notamment :

 de contrler la qualit des logiciels produits,

 de sassurer de lhomognit de ces logiciels.

2. Les nouveaux collaborateurs font-ils l(objet dune attention particulire ?

Cette attention particulire se traduira de diffrentes manires :

Une formation thorique et pratique

La formation thorique sera utilement complte par une formation plus

pratique, sous des formes diverses :parrainage des nouvelles recrues,
passage dans diffrentes quipes, etc.

Un contrle dactivit renforc

Une exprience insuffisante du programmeur est souvent lorigine de

programmes lourds et consommateurs de temps machine. Malheureusement,
en labsence dun suivi efficace ,on ne sapercevra de ces erreurs de jeunesse
que trop tard, une fois que notre programmeur inexpriment aura ralis de
nombreux logiciels, quil sera impossible de rcrire. Un contrle
 30

systmatique des premiers logiciels crits par chaque nouveau collaborateur

permet de rduire ce risque et de corriger le tirimmdiatement.

3. La qualit des documents et logiciels produits par les tudes est-elle

satisfaisante ?

Aussi formalises soient - elles, les mthodes et normes de dveloppement et

de programmation ne peuvent constituer une garantie absolue de la qualit
des logiciels, ne serait ce que parce que lexistence de normes ne garantit
pas que celles-ci soient respectes !

Lauditeur aura donc tout intrt procder, par sondage, un contrle sur
quelques programmes de la qualit et du respect des normes.

EXAMEN DE LA DOCUMENTATION

1. La qualit de la documentation produite est-elle satisfaisante ?

On distingue dans la documentation dune application informatique :

 la documentation dtudes, destine aux quipes de dveloppement et de

maintenance,
 la documentation dexploitation, destine au personnel de production,
 la documentation destine aux utilisateurs.

La documentation dtudes contient notamment :

 la description du contenu des fichiers,

 la description des chanes de traitements,
 la description dtaille des programmes,
 lhistorique des oprations de maintenances.

La documentation dexploitation contient lensemble des

informations et consignes ncessaires au personnel de production :

 description et organigrammes des chanes de traitement,

 consignes de prparation,
 description des contrles de lexploitation raliser lors de chaque
traitement,
 consignes de pupitrage.
 31

La documentation utilisateurs contient :

 la description gnrale des applications,

 la description des transactions,
 la description des tats dits,
 lexplication des messages danomalie.

Outre la qualit et lexhaustivit de la documentation, lauditeur

sintressera sa souplesse dutilisation. Ainsi , une documentation gre
sur support magntique, laide dun progiciel prvu cet effet, facilitera
grandement les mises jours et permettra des sauvegardes sur un site
extrieur.

Dune manire gnrale, lauditeur sattachera galement particulirement

vrifier que la documentation est jour. Aussi complte soit - elle, celle-
ci devient en effet rapidement inutilisable si les oprations de maintenance
ne lui sont pas immdiatement rpercutes.

EVALUATION DES PROCEDURES DE MAINTENANCE DES

APPLICATIONS

Les procdures de maintenance des logiciels sont elles formalises ?

Les demandes de maintenance des logiciels doivent tre formalises et faire

lobjet dune demande crite de la part des services utilisateurs, vise par le
correspondant dsign, et transmise au responsable des tudes qui, aprs accord,
en assurera le transfert au chef de projet concern. Les logiciels modifis sont
tests dans lenvironnement dtudes avant tout transfert en exploitation.

En cas durgence, et en particulier si lopration vise corriger une anomalie de

conception des logiciels, il pourra bien entendu tre drog lexigence dune
demande de maintenance crite. En tout tat de cause, mme dans ce cas, le
service informatique rdigera une fiche dcrivant la modification apporte aux
programmes.

Par ailleurs, dune manire gnrale, lensemble des fiches de maintenance

relatives une application sont archives dans le dossier de celle-ci.
 32

5 - AUDIT DE LEXPLOITATION

5-1 DEFINITION

Comme les tudes, lexploitation fait partie des activits courantes du

dpartement informatique. Dune manire gnrale elle recouvre toutes les
tches relatives lutilisation des applications informatiques et des ressources
matriel en service.

Elle comprend, ainsi donc :

la mise en exploitation des logiciels produits,

la gestion et ladministration des donnes oprationnelles de lentreprise,

lexcution des traitements en temps diffr,

la gestion de lenvironnement et des matriels dexploitation (production

informatique)

la gestion des bibliothques de programmes.

Elle aussi assurer :

la continuit de lexploitation en cas dincident (reprise sur site extrieur),

la scurit des donnes et des dispositifs matriels,

la gestion de la maintenance des quipements informatiques.

Toutefois , dans les entreprises , tant donn leur complexit et leur charge de
travail de plus en plus importantes, les fonctions suivantes sont de plus en plus
exclues de lexploitation :

administration des donnes(en fait administration des bases de donnes)

gestion des rseaux

gestion de la scurit

gestion de la maintenance des quipements.

 33

5-2 OBJECTIFS DE LAUDIT

Laudit de lexploitation pour objectifs de :

Apprcier la qualit de la production informatique et de lappui apport

aux utilisateurs dans leurs travaux informatiques courants :

 disponibilit des moyens informatiques, des traitements et des donnes

(dploiement des moyens informatiques),
 excution adquate des traitements,
 formation des utilisateurs lexploitation des applications,
 assistance aux utilisateurs en cas dincident,
 Utilisation efficiente de la Bureautique,
 Etc.

Vrifier que les procdures dexploitation mises en place permettent :

 de garantir la scurit et lintgrit des donnes,

 dassurer la continuit de lexploitation( sauvegarde des donnes,
restauration et reprise en cas dincident)

Apprcier la qualit de la gestion des moyens techniques

 Acquisition et installation des quipements

 Amnagement physique des locaux
 Maintenance prventive et curative du matriel
 Support technique systme et rseaux
 34

5-3 TRAVAUX DAUDIT

EXAMEN DES PROCEDURES DE MISE EN EXPLOITATION

Les procdures de mise en exploitation des logiciels sont-elles satisfaisantes ?

Les principaux objectifs dun bon contrle interne dans ce domaine, sont les
suivants :

La procdure de mise en exploitation doit garantir une bonne sparation

entre les fonctions dtude et les fonctions dexploitation.

Concrtement, le personnel dtude ne doit pas avoir accs aux bibliothques

de programmes dexploitation, pas plus quaux fichiers dexploitation. Cet
objectif vise dailleurs beaucoup plus prvenir les risques derreurs de
manipulation que les risques doprations frauduleuses de la part du
personnel dtudes.

La procdure dexploitation doit tout moment garantir que lon

dispose dans les bibliothques des programmes sources correspondants
aux programmes objets en exploitation.

Le programme sourceest le programme crit par linformaticien dans un

langage volu, comprhensible par lhomme ; le programme objetest le
langage compil , cest dire transform en code binaire directement
excutable par la machine. Le langage objet tant quasiment illisible par
lhomme.

Sont conservs en machine :

 dune part le programme source, dans une bibliothque de programmes

sources, qui sera modifi, puis recompil, en cas de maintenance de
lapplication,

 dautre part le programme objet prt tre excut, dans une bibliothque
des programmes objets ; en ralit , et plus prcisment , certains
programmes objets doivent tre assembls les uns aux autres avant
excution : il s agit de la phase ddition de liens (linkedit) qui
transforme les modules objets en modules excutables (load-modules).
 35

En labsence des programmes sources, ou bien en prsence de programmes

sources non cohrents avec les programmes objets excuts, la maintenance
de lapplication sera trs court terme impossible.

La procdure de mise en exploitation doit permettre de conserver

lhistorique des transferts de logiciels dans lenvironnement
dexploitation.

Cet historique permettra notamment :

 dlaborer des statistiques : mises en exploitation par programme, nombre

de maintenances par programme et par application, etc.,

 deffectuer ,si ncessaire, des recherches ,en cas dincident, sur la date des
dernires modifications dun logiciel.

EXAMEN DES PROCEDURES DE SAISIE DES DONNEES

Rappelons tout dabord que la saisie des donnes peut tre ralise :

en temps diffr, sur des matriels ddis la saisie, partir de bordereaux

remplis par les services utilisateurs ; la saisie, dite de masse, est alors
assure par des perforatrices - vrificatricesdans des ateliers de saisie,
spcialiss dans cette fonction ; les ateliers de saisie sont aujourdhui en voie
de disparition, mais se trouve encore justifis dans certains cas particuliers.

en temps rel, cest dire avec une mise jour immdiate des fichiers ;la
saisie est alors assure , soit directement par les utilisateurs , soit par des
services assurant une saisie de masse intelligente. Ainsi en matire
commerciale, les commandes seront saisies , selon les cas, par les vendeurs
eux-mmes , par leur secrtariat ( par exemple chaque jour aprs
centralisation des commandes de la journe) ou encore par un service
dadministration des ventes ; de la mme manire ,dans un tablissement
financier, les oprations seront saisies, soit par les oprateurs eux-mmes
,soit par un service de saisie et contrle, au sein dun middle office ou
dun front office .
 36

Les principes dun bon contrle interne sont-ils respects dans les logiciels de
saisie des donnes ?

Les principaux lments dun bon contrle interne des procdures de saisie des
donnes sont :

lorsque la saisie est ralise partit dun bordereau, lexistence sur le

bordereau du visa dune personne autorise, contrl par le personnel de
saisie ;

la double saisie (uniquement dans le cas de saisie de masse en temps

diffr) ;

lexistence de cls de contrle pour les codes numriques, les erreurs de

saisie du code tant alors immdiatement rejetes ;

le contrle par totalisation des lots de saisie, qui vrifie que tout document a
t saisi une fois et une seule fois, avec des montants exacts ;

le contrle dexistence en table ou en fichier des codes saisis ;

les contrles de cohrence (exemple : contrle de cohrence du jour, du mois

et de lanne dans la saisie dune date) ; dans certains cas la saisie de donne
redondantes sera volontairement prvue la fin de contrle (exemple : saisie
dans une facture du montant Hors Taxe (A) , de la TVA (B) et du montant
TTC (C) : le programme de saisie vrifie que C=A+B) ;

laffichage pour validation ds la saisie de libell correspondant (uniquement

en cas de saisie interactive) au code saisi : exemple : au moment de la saisie
dune facture fournisseur, le nom fournisseur est affich partir du code
fournisseur saisi ;

ldition pour analyse de la liste exhaustive des donnes saisies et, le cas
chant dune liste par exception des donnes les plus sensibles .

Dune manire gnrale lauditeur vrifiera que les procdures de saisie

garantissent que :

toute donne devant tre saisie la bien t (principe dexhaustivit),

nont pas t saisies des donnes qui nauraient pas d ltre( principe de
ralit) ;
 37

des donnes saisies ne comportent pas derreurs (principe dexactitude)

EVALUATION DES PROCEDURES ET CHAINES DE

TRAITEMENTS EN TEMPS DIFFERE

1. Lexcution des travaux en temps diffr fait -t- il lobjet dune

planification ?

La planification de lexcution des traitements est un principe de base dune

organisation rationnelle. A dfaut, lordinateur pourrait se trouver satur
certaines priodes ( do des retards dans la distributions des rsultats ), et
inactif dautres.

Par ailleurs,une planification systmatique permet de s assurer aisment que

seuls les traitements planifis et autoriss ont t excuts.

Des progiciels dassistance la planification et lordonnancement des

travaux sont aujourdhui disponibles sur le march (principalement, pour les
plus complets, sur les grands systmes) ,grce auxquels :

tout traitement excut sans planification est soit rejet, soit, au moins,
mis en vidence pour contrle,

les contraintes denchanements des travaux sont mises en paramtres,

vitant ainsi certaines erreurs lies des lancements manuels (travail
oubli, ou au contraire excut en double, travaux excuts dans une
mauvaise squence..).

Notamment ces progiciels permettent aux prparateurs (ou plus gnralement

aux responsables dapplication) de paramtrer dans la journe lexcution
de travaux qui sexcutent de nuit, sous le seul contrle des pupitreurs.

2. La fonction de prparation des travaux est-elle assume de manire

satisfaisante ?

Citons, au titre des principales caractristiques dune organisation

satisfaisante de la fonction de prparation des travaux :

La qualit de la documentation destine aux responsables de la

prparation : la qualit de la documentation est, bien entendu, la
 38

condition sine qua non de la qualit du travail de prparation par les

responsables dapplications ;

Linterchangeabilit des responsables dapplication : sil nest pas

souhaitable que chaque responsable dapplication assume tour tour la
responsabilit de la prparation de lensemble des chanes de traitement
(ce qui conduira une trop grande dispersion), il est du moins ncessaire
que plusieurs responsables soient capables dassurer la prparation de
chaque chane, de manire ce que les congs, la maladie ou le dpart de
lun deux ne deviennent pas la source de tous les dangers ;

La qualit des JCL : des JCL dexploitation performants rduisent

fortement les risques derreurs dexploitation en limitant au strict
minimum le nombre de paramtres modifier lors de chaque exploitation.

Les JCL sont gnralement modifis par les responsables dapplication au

moment de la mise en exploitation dune nouvelle chane de traitement,
dans un souci doptimiser les performances dexploitation , que nont pas
toujours les quipes de dveloppement.

Par ailleurs , les outils dautomatisation des exploitations (gnration

automatique des JCL, gestion des reprises, gestion des gnrations
successives dun mme fichier, gestion des sauvegardes..) participent
notablement la rduction du nombre des paramtres dexploitation.

3. Les chanes de traitements font-elles systmatiquement lobjet de contrles

posteriori ?

On peut distinguer dans les contrles sur une chane de traitement :

 les contrles sur la cohrence technique de lexploitation,

 les contrles sur la cohrence fonctionnelle de lexploitation

Les contrles sur la cohrence technique.

Ils portent par exemple sur :

 sur les nombres denregistrements traits,

 sur le contenu des bases de donnes,
 39

 sur le bonne fin des traitements (par lanalyse des messages et

dindicateurs de fin de traitement),
 sur la cohrence des tats dits.

Bon nombre de ces contrles peuvent dailleurs tre fortement informatiss,

soit par la cration de chiffriers automatiques, soit par lutilisation des
progiciels existants sur le march, en particulier pour le contrle de la bonne
fin des traitements .

les contrles sur la cohrence fonctionnelle de lexploitation

Sil est souhaitable, dans labsolu, que ces contrles soient pris en charge par
le service informatique, la pratique tend depuis plusieurs annes transfrer
la responsabilit aux services destinataires.

La principale raison en rside dans limpossibilit devant laquelle se trouvent

les services informatiques pour dfinir et raliser des contrles fonctionnels
pertinents.

Il nen reste pas moins que ces contrles de cohrence fonctionnelle revtent
une importance primordiale.

4. Les modalits de reprises de lexploitation de la chane en cas dincident

sont-elles clairement dfinies ?

Le souci majeur dans ce domaine doit tre dviter que les pupitreurs aient
prendre des initiatives quant au traitement des incidents , dans la mesure o
ils ne connaissent pas les chanes en exploitation et o la dfinition des
modalits de reprise nest donc pas de leur ressort.

Dans les grands centres de traitements, les systmes dexploitation

permettent gnralement la totale automatisation des procdures de reprises
conscutives la plupart des incidents. Lorsquune reprise automatique
savre impossible, il est prfrable, sauf urgence dabandonner le traitement
et dattendre la dcision du responsable de la production de lapplication
(cest dire de diffrer la dcision au lendemain matin pour les chanes de
nuit).

Pour les petits systmes, une totale automatisation des reprises nest pas
envisageable. Il est prvu pour les situations urgentes, en cas dabsence du
responsable dapplication, de fournir au pupitreur un manuel dexploitation
dcrivant prcisment la procdure de reprise appliquer.
 40

CONTROLE DU PILOTAGE DE LENVIRONNEMENT DE

PRODUCTION

1. Existe -t- il des outils de contrle et dassistance destins aux pupitreurs ?

Si dans les grands centres, les pupitreurs travaillent systmatiquement en

quipe, il nest pas toujours de mme dans les petits centres. Dans certains
cas, des travaux non urgents sont lancs et excuts la nuit en labsence de
toute prsence humaine ( lexception si possible des gardiens) : en cas
dincident, les travaux seront alors interrompus et relancs le lendemain.

Par ailleurs, il existe de plus en plus, dans les grands centres , des outils de
contrles et dassistance au travail des pupitreurs : interdiction de transmettre
certaines commandes, rponses automatiques lordinateur ,etc.

Cette automatisation permet alors de focaliser lactivit des pupitreurs sur les
tches les plus dlicates, en particulier le traitement de certains types
dincidents. Corrlativement, elle saccompagne, toujours dans les grands
centres, dune centralisation des fonctions de pupitrage, avec la cration
dquipes ayant la responsabilit simultane de plusieurs units centrales.

CONTROLE DE LA QUALITE DE LA PRODUCTION

INFORMATIQUE

1. Existe - t- il un suivi de la qualit des prestations fournies ?

Ce suivi revt des formes varies :

disponibilit de la machine et du rseau,

temps de rponse des applications interactives,
frquence des incidents par logiciel,
frquence des retards dans la distribution des tats, et retard moyen
constat,
nombre doprations de maintenance par application,
etc..
 41

2. Existetil un suivi destin optimiser les performances du systme

informatique ?

Ce suivi revt lui aussi des formes varies :

taux de charge de lunit centrale,

taux de remplissage des disques,
frquence des entres sorties,
suivi des temps de traitement par logiciel dapplication ,
suivi de lutilisation du rseau,
etc.

3. Le journal de bord du (ou des ) ordinateurs est il systmatiquement

dit et archiv ?

Rappelons que ce journal de bord (printlog) retrace, sous une forme plus ou
moins dtaille (paramtrable) , lhistorique des commandes soumises au
systme dexploitation et des messages reus de celui-ci.

Chaque message vient ainsi alimenter un fichier, qui pourra tre utilis des
fins de recherche aprs tout incident dexploitation.

Lauditeur vrifiera en particulier :

que la taille du fichier permet de contenir lhistorique des messages sur

une priode suffisamment longue( de un quelques jours),

que lejournal de bord fait lobjet de sorties papier , archives elles

aussi sur une priode suffisamment longue( quelques mois).
 42

CONTROLE DE LA GESTION DE LESPACE DISQUE

1. Le contenu des disques est il rgulirement analys pour suppression des

fichiers inutiles ?

Il est indispensable que soient mises en place des procdures permettant de

traquer les fichiers inutiles. Citons par exemple :

le recensement priodique avec les chefs de projet et les responsables de

production dapplication de tous les fichiers oprationnels,

llimination automatique des fichiers dont le nom ne respecte pas une

structure prdfinie.

Des progiciels de gestion automatise de lespace disque permettent en

particulier de lutter contre cette prolifration de fichiers inutiles.

2. Limplantation des fichiers sur les disques faitelle lobjet dune

optimisation ?

En effet, une optimisation de limplantation des fichiers sur le disque

permet :

de diminuer le temps de certains traitements, quils soient interactifs ou en

temps diffr,
damliorer la scurit .

CONTROLE DE LA GESTION DES BIBLIOTHEQUES DE

PROGRAMMES

Sassurer que les rgles suivantes sont respectes :

ne conserver dans les bibliothques que les programmes effectivement

utiliss,

avoir la certitude que sont disponibles dans les bibliothques tous les
programmes objets utiliss,
fournir aux personnels dtudes et de production un maximum de procdures
automatises de gestion des bibliothques (mises en exploitation,
rapatriement dun programme de lenvironnement de production vers
lenvironnement de test..,)
 43

interdire aux personnes non autorises laccs aux bibliothques.

EVALUATION DE LA GESTION DES SAUVEGARDES

Le support physique de la sauvegarde na aucune incidence particulire sur la

politique gnrale. Les questions ci-aprs sappliquent donc indiffremment
des sauvegardes sur bandes et des sauvegardes sur cartouches.

Si lobjectif final des sauvegardes est aisment comprhensible, les modalits

pratiques en sont souvent fort diffrentes dun site lautre, ne seraitce que
parce que celles-ci sont tributaires de la taille du centre, des volumes
dinformations sauvegarder et des systmes dexploitation proposs par le
constructeur.

Quelles que soient les procdures appliques, lauditeur sattachera vrifier

quelles satisferont aux objectifs fondamentaux dune bonne politique de
sauvegarde, savoir :

permettre le redmarrage de chacune des chanes de traitement en cas

dincident (exemple : redmarrage dune chane interrompue par une panne
dalimentation, ou encore par un incident logiciel) ;

permettre de pallier un incident sur un support physique (exemple : un

incident sur un disque rend celui-ci illisible et impose son remplacement
physique, puis le chargement de son contenu partir dune sauvegarde) ;

permettre le redmarrage sur un site extrieur en cas dindisponibilit ou de

destruction totale du site de production ;

rpondre aux obligations lgales en matire darchivage : obligations

commerciales, comptables et fiscales.

1. Lensemble des logiciels et fichiers ncessaires au dveloppement et

lexploitation est-il rgulirement sauvegard ?

Doivent imprativement tre sauvegards :

les logiciels de base,

les fichiers et logiciels dapplication de lenvironnement dexploitation,

 44

les fichiers et logiciels dapplications de lenvironnement dtudes.

2. Les sauvegardes permettent elles de traiter dans un dlai satisfaisant tous

les types dincident ?

Nous illustrerons cette question par diffrents exemples de mauvaises

politiques de sauvegarde.

Les fichiers et bibliothques sont sauvegards totalement une fois par

mois, et, dans lintervalle, toutes les modifications sont historises.

Cette politique est mauvaise car, pour les fichiers et bibliothques

frquemment modifis , la reconstitution de la situation au moment dun
incident ( en particulier si celui-ci survient juste avant une sauvegarde totale )
sera excessivement longue.

Toutes les sauvegardes sont ralises par support physique et il

nexiste aucune sauvegarde slective des fichiers

Dans cette hypothse, en cas dincident sur une application donne, la

reconstitution dun ou plusieurs fichiers sera parfois longue, puisquelle
ncessite le rechargement pralable dun disque complet

Il nexiste que des sauvegardes slectives de fichiers et de

bibliothques , et aucune sauvegarde totale par support physique.

Cette fois , cest en cas de ncessit de reconstitution dun support physique

(aprs destruction de celui-ci ou aprs destruction totale de tout le site) que la
charge de travail deviendra considrable.

3. Si le parc le justifie, existe t- il, un logiciel de gestion des bandes (ou des
cartouches) ?

La gestion du parc de bandes (ou de cartouches) magntiques ne pose pas de

problme particulier dans les petits centres de traitements :

Les bandes sont peu nombreuses, et sont dailleurs souvent rfrences et

ranges directement par nature de sauvegarde. Un tel mode de gestion est
tout fait impensable dans les grands centres, o les supports doivent alors
tre numrots, et rangs en ordre squentiel. Le gestionnaire de la
 45

bandothque, gnralement laide dun progiciel, tablira la correspondance

entre la rfrence numrique des bandes, leur nature et leur lieu de stockage
gographique.

Le progiciel assurera en outre :

la gestion des lieux de stockage, selon un paramtrage initial (par

exemple, pour tout fichier, la version V se trouvera sur le site, et sera
transfre sur un site extrieur lorsquelle deviendra la version V-1,
lancienne version V-1 tant elle mme banalise) ;

la banalisation des bandes supportant des fichiers devenus inutiles :

le contrle daccs aux bandes contenant des fichiers actifs (et

linterdiction de toute modification sur celles-ci).

Lauditeur pourra notamment vrifier par sondage :

que toute bande rfrence dans le progiciel se trouve bien

gographiquement au lieu de stockage prvu (et, le cas chant, que le
nom et la version du fichier contenu sur la bande sont bien ceux qui sont
rfrencs) ;

que toute bande prsente physiquement est bien rfrence dans le

progiciel.

4. La gestion des sauvegardes rpond-elle aux obligations lgales en matire

darchivage ?

5. Procde-t-on des sauvegardes au site extrieur ?

EXAMEN DES PROCEDURES DE REPRISE SUR SITE EXTERIEUR

(BACK-UP)

1. Est-il prvu une procdure permettant un redmarrage sur un site

extrieur, dans un dlai satisfaisant ?
 46

Parmi les principales mesures destines prparer un ventuel back-up, on

peut citer :

le contrat de back-up auprs dune socit spcialise,

la salle blanche , salle vide, pr-quipe pour des tlcommunications,

et prt recevoir des matriels de secours en cas de besoins,

le contrat dassistance avec des entreprises disposant dquipements

similaires,

la mise en commun dun site de secours entre plusieurs entreprises,

et enfin solution en plein essor, lexistence dans lentreprise de deux sites

loigns lun de lautre, dont chacun est capable dassumer le back-up de
lautre, moyennant la mise en uvre de procdures dgrades.

Noublions pas enfin que, de nos jours, un plan de reprise srieux impliquera
quait t soigneusement envisag le back-up du rseau de
tlcommunications.

2. Si la reprise sur un site extrieur implique la mise en uvre de procdures

dgrades, celles-ci ont-elles t dfinies ?

Il est bien rare que le site de secours permette de traiter les applications
dans les mmes conditions que le site initial. Il est donc indispensable de
dfinir les applications et les utilisateurs prioritaires, cest dire les
procdures de fonctionnement en mode dgrad .

3. Les procdures de reprise sur site extrieur sont-elles rgulirement

testes ?

Seul le test grandeur nature des reprises dclera les imperfections de la

procdure thorique : mmoire centrale insuffisante, fichiers non sauvegards
utilisateurs non connects, etc.
 47

EVALUATION DE LA SECURITE PHYSIQUE DU CENTRE DE

TRAITEMENT

(voir cours consacr laudit de la scurit.)

EXAMEN DES CONTRATS DASSURANCE

Lauditeur vrifiera quont t envisages les couvertures financires des risques

lis :

la destruction des matriels,

la reconstitution des fichiers perdus,
aux pertes dexploitation conscutives lindisponibilit des matriels,
aux pertes financires conscutives des actes malveillants ou frauduleux.

Les contrats dassurances contre les risques informatiques peuvent tre ventils
en :

des contrats tous risques informatiques (TRI) qui recouvrent selon les
garanties, tout au partie des dommages lis des vnements accidentels,

des contrats extension aux risques informatiques (ERI) qui couvrent, selon
les garanties tout ou partie des dommages lis une utilisation non autorise
des systmes informatiques (actes frauduleux ou malveillants),

des contrats de type globale informatique qui cumulent les couvertures

lies aux deux types de risques prcdents.

EXAMEN DES PROCEDURES DADMINISTRATION DES BASES

DE DONNEES

1. Existe-t-il un administrateur des donnes ?

LAdministrateur de donnes a pour rle la gestion des donnes de

lentreprise (dans les PME) et pour les applications importantes, la gestion
des donnes des applications.

Il est le garant de la cohrence et de la non-redondance des donnes gres

par le SGBD.
 48

On distinguera, au moins dans les grands centres, la notion dadministrateur

des donnes, responsable des donnes de lentreprise, de celle
dadministrateur de base de donnes, responsable de limplantation physique
des bases, de leur optimisation et de leur cohrence technique (voir ci-aprs).

2. Un dictionnaire des donnes est il utilis ?

Le dictionnaire des donnes est un progiciel qui facilite la gestion des

donnes par ladministrateur, et leur utilisation par les quipes de
dveloppement.

3. Procde-t-on des travaux de recherche doptimisation de la base de

donnes ?

Il existe gnralement plusieurs manires de structurer une base de donnes

et de grer laccs celle ci pour rpondre un mme besoin. Selon
loptimisation ou non des mthodes daccs, les performances dun mme
programme peuvent varier dans des proportions tout fait considrables.
Labsence totale doptimisation conduira dans certains cas des temps de
rponses des applications interactives ou des temps dexcution des travaux
en temps diffr tout fait inacceptables.

Loptimisation des bases de donnes constitue donc une tche essentielle de

ladministrateur des donnes, en relation avec les dveloppeurs.

4. Lintgralit des bases et la cohrence des donnes sont-elles contrles

rgulirement ?

Doivent tre rgulirement contrles :

 la cohrence technique des bases de donnes,

 la cohrence fonctionnelle des donnes.

Cohrence technique

La technique des bases de donnes, quelle que soit leur architecture

(hirarchique, en rseau ou relationnelle) implique la prsence de pointeurs et
dindex, assurant la relation entre les segments (ou entre les tables), et vitant
ainsi la redondance des donnes.
 49

Cohrence fonctionnelle

Sil est possible de contrler la cohrence des donnes lors de leur saisie, ce
contrle nexclut pas une dgradation ultrieure de celle-ci, pour des raisons
diverses (erreur dans un programme en temps diffr, modification des
donnes non contrles, incident machine).

Il est donc souhaitable que des contraintes dintgrit et de cohrence des

donnes puissent tre incluses dans la dfinition de la base elle-mme, et que
le respect de ces contraintes soit rgulirement contrl pour lensemble des
donnes de la base.

DIAGNOSTIC DE LA GESTION DES RESEAUX

1. Existe-t-il une cellule technique de gestion des rseaux ?

Dans les environnements grand systme , la mise en uvre dun rseau

ncessite le choix de logiciels cohrents les uns avec les autres, puis leurs
implantation et leur paramtrage.

Le choix des rseaux eux-mmes ncessite des tudes techniques et

conomiques.

Cette fonction est gnralement dvolue une cellule technique, rattache

lquipe systme.

Outre lexistence mme de lquipe rseau, lauditeur contrlera son

activit :

justification technique et conomique des choix,

test des nouvelles configurations,
back-up entre les ingnieurs systmes, etc

2. Existe-t-il une cellule dassistance rseau ?

Contrairement la cellule technique prcdente, celle-ci a essentiellement un

rle dassistance aux utilisateurs :
 50

installation de nouveaux postes de travail,

premire assistance tlphonique en cas de problme,
maintenance, si celle-ci nest pas confie des socits spcialises,
gestion de certaines tables.

Il sagit donc vritablement dune fonction qui doit tre disponible tout
moment pour rpondre aux besoins des utilisateurs.

3. Les accs aux rseau sont-ils contrls ?

Lexistence dun rseau implique des risques accrus daccs non autoriss,
pour diffrentes raisons :

le nombre de terminaux connects lordinateur central est en

augmentation constance, et ceux-ci peuvent se trouver dans des
localisations gographiques trs loignes ;

si, dans la plupart des applications, la liste des terminaux physiquement

autoriss tre connects au systme central est limitativement tablie, il
est de plus en plus frquent que pour des raisons de souplesse
dutilisation, des terminaux non identifis physiquement soient autoriss
accder au rseau : cest notamment le cas lorsque des procdures de
tlmaintenance sont mises en place ;

la gestion des rseaux combine dans la grande majorit des cas

lutilisation de lignes prives (lignes loues) et de rseaux publics (rseau
tlphonique commut, SYTRANPAC, IRIS), o les donnes qui
circulent sont mlanges celles dautres entreprises ;

enfin certaines applications informatiques sont, par nature, destines un

accs public : consultation des comptes par la clientle dans les
tablissements financiers consultation des stocks et saisie des commandes
dans des entreprises industrielles ou commerciales.

4. Des techniques de sauvegarde et de reprise propres lutilisation

dapplications en tltraitement ont-elles t prvues ?
 51

Les techniques de sauvegarde quotidienne des fichiers (gnralement lors des

traitements de nuit) trouvent une importante limite dans le cas des
applications interactives : les fichiers tant mis jour en permanence, une
sauvegarde la veille au soir implique, en cas dincident et de ncessit de
reprise partir de la sauvegarde, que soient ressaisis tous les mouvements de
la journe.

Cette contrainte est dailleurs acceptable dans certains cas, condition du

moins que les utilisateurs prennent leurs dispositions en consquence. Dans
le cas contraire, des techniques spcifiques doivent tre mises en uvre.

La plus frquente et la plus ancienne consiste en la journalisation (logging)

des transactions : chaque mise jour de fichiers donne lieu cration de
mouvement sur un fichier-journal, rgulirement dchargs sur bande ou
cartouche : en cas dincident la rapplication des mouvements du jour sur la
sauvegarde la veille au soir permettra de reconstituer la situation des
fichiers au moment de lincident.

Plus prcisment, le contenu du fichier journal pourra varier dun

environnement un autre : dans certains cas il contiendra les transactions de
mise jour elles-mmes, dans dautre il contiendra limage des
enregistrements du fichier modifi avant et aprs mise jour.

Une technique plus rcente consiste crer pour les fichiers mis jour en
temps rel des fichiers image sur un disque distinct de celui contenant les
fichiers originaux, et mis jour en mme temps que ceux-ci , ainsi en cas
dincident sur le disque contenant le fichier original, il sera possible de
poursuivre quasi immdiatement lapplication partir du disque image.

Le principal inconvnient de ces techniques, journalisation et disque

image , qui explique dailleurs quelles ne soient pas utilises dans
certains sites (essentiellement les PME) rside dans leur cot : la cration du
fichier journal multiplie les oprations dentres-sorties ( I/O ) et requiert
donc des configurations matrielles plus importantes. La technique des
fichiers image est encore plus onreuse, puisquelle ncessite une
duplication des volumes disques, qui demeurent des supports magntiques
coteux.

On notera enfin que la technique de la journalisation pourrait stendre dans

les prochaines annes aux traitements en temps diffr : cest dj le cas,
avec certains SGBD relationnel, tel que DB2 dIBM, qui permet de
journaliser les modifications de la base, issue la fois des traitements en
temps rel et des traitements en temps diffr.
 52

5. Si les applications le ncessitent, est-il prvu des procdures de back-up

du rseau ?

Nous avons essentiellement voqu ci-avant, les procdures de reprise

conscutives une indisponibilit de lunit centrale. Mais il existe un autre
risque propre aux rseaux : lindisponibilit dun support de transmission de
donnes. Cest le cas bien connu, par exemple, de la ligne loue indisponible
pendant quelques jours car physiquement endommage.

Si limportance des logiciels le justifie, il convient donc de prvoir des

procdures de nature pallier ces dfaillances. Citons par exemple :

le doublement dune ligne spcialise par un abonnement

SYTRANPAC, prt prendre immdiatement le relais pour le transfert
des donnes,

le dveloppement de logiciels permettant le traitement en local et en mode

dgrad de certaines applications, en cas dimpossibilit totale dassurer la
liaison entre les utilisateurs et le site central,

lutilisation de liaisons qui intgrent leurs propres solutions de secours.

DIAGNOSTIC DE LA GESTION DE LINFO CENTRE

La notion dinfocentre, ou dinfoservice, correspond la mise disposition des

utilisateurs, de langages de programmation de manipulation aise,
essentiellement destins des interrogations des bases de donnes et permettant
de dcharger dautant les quipes de dveloppement du service informatique.

1. Les outils dinfocentre sont-ils bien adapts lutilisation par des non-
informaticiens ?

Trop souvent, des langages de programmation rapide totalement inadapts

une utilisation par des non-informaticiens, car trop complexes, sont
abusivement appels langages dinfocentre.

Au mieux, ils sont oublis de tous, au pire ils engendreront de nombreux

rsultats errons.
 53

Le cas chant, dans les plus grands centres, plusieurs outils seront mis
disposition des utilisateurs :

des langages simples destins des requtes lmentaires pour la majorit

dentre eux
de vritables langages de dveloppement rapide pour les plus avertis.

2. Laccs aux outils dinfocentre est-il contrl ?

Laccs aux outils dinfocentre doit tre limit aux utilisateurs habilits. De
plus, seule la consultation des donnes est le plus souvent autorise, non leur
mise jour.

3. Les outils dinfocentre ne sont-ils pas dtourns de leur objectif dorigine

au profit du dveloppement dapplications pirates ?

Lassistance fournie par le service informatique pour lutilisation de

linfocentre doit tre loccasion de sassurer que celui-ci nest pas dtourn
de sa fonction dorigine.

En effet, sagissant des micro-ordinateurs, le risque li une prolifration

non matrise dapplications parallles dveloppes par les utilisateurs eux-
mmes, existe.

4. Les charges-machines imputables linfocentre sont-elles surveilles ?

Les outils dinfocentre sont gnralement de grands consommateurs de

ressources, quil sagisse despaces-disque ou de temps-machine.

Il est donc important que soient raliss des suivis des consommations par
application, par utilisateur, par service, afin de dceler dventuels abus.

Notons que ce problme devrait disparatre progressivement au cours des

prochaines annes, grce lutilisation de nouvelles techniques :

Machines ddies linfocentre

Utilisation de micro-ordinateurs, les donnes tant tout dabord

dcharges du site central vers le micro-ordinateur, puis retraites sur
celui-ci laide doutils appropris.
 54

DIAGNOSTIC DE LA FONCTION SYSTEME

1. Dans les grands centres, a-t-on cr un environnement spcifique pour les

ingnieurs-systme ?

Les ingnieurs-systme ont, dans les grands centres de traitement, des

pouvoirs trs tendus, de par la connaissance quils ont des logiciels de base.

Lobjectif de la cration dun environnement spcifique sera de permettre

aux hommes-systme de tester en toute srnit les nouvelles versions des
logiciels de base.

2. Sil a t fait le choix de dvelopper certains logiciels de base en interne, ce

choix a-t-il t dment justifi ?

Certains grands centres informatiques ont fait le choix, en particulier dans les
annes soixante-dix et aux dbut des annes quatre-vingt, de dvelopper en
interne certains logiciels de base : systme de gestion de fichier, systme
dexploitation, moniteur de tltraitement Ces choix, qui entranent parfois
des charges de travail considrables, taient alors justifis par la ncessit de
traiter des volumes dinformation trs importants avec des performances que
noffraient pas les logiciels de base disponibles sur le march.

Malheureusement, la maintenance de ces logiciels, gnralement crits en

assembleur, sest avre au fil du temps de plus en plus complexe, incitant
les responsables de ces centres revenir des outils standard, devenus entre-
temps plus performants. Mais, l encore, la conversion fut souvent longue et
dlicate, compte tenu de ses consquences sur les logiciels applicatifs.

Dune manire gnrale, lauditeur sassurera quaucun logiciel de base nest

dvelopp dans lentreprise sans quaient t tudis les progiciels offrant des
fonctions similaires. Aujourdhui, le dveloppement de logiciels spcifiques
importants devrait tre tout fait exceptionnel.

On peut dailleurs se demander si les mmes erreurs que par le pass ne sont
pas nouveau commises, lorsquon entend parler de grands groupes qui
dveloppent, par exemple, leurs propres logiciels de gestion de rseaux
locaux.
 55

6 AUDIT DES MOYENS TECHNIQUES

6-1 DEFINITION

Des moyens techniques comprennent les matriels, les locaux, les rseaux et les
logiciels de base.

a) Matriels

le matriel reprsente encore une part financire importante dun systme.

Son choix est ultrieurement difficile remettre en cause et son installation
assez longue en gnral, aussi doit-il tre tudi soigneusement.

Il comprend les processeurs, les matriels annexes de saisie et de restitution

des informations, les supports physiques des fichiers,

Dans les systmes temps rel, en particulier industriels, il comprend aussi des
lments beaucoup plus particulariss, interfaces modes srie (synchrone ou
asynchrone) ou parallle, des bus avec leurs protocoles, des capteurs passifs
avec leurs conditionneurs, des capteurs actifs, des circuits dadaptation, des
amplificateurs (ordinaires, oprationnels, disolement, dinstrumentation, de
puissance), des convertisseurs analogique-digital et digital-analogique, des
actionneurs.

Dans les rseaux, il y a bien entendu des lignes de transmission de dbits

variables (lectriques, hertziennes, radio, optiques) avec leurs protocoles,
mais aussi des matriels locaux : routeurs, multiplexeurs (spatiaux ou
temporels), concentrateurs, diffuseurs ; et aussi les quipements terminaux de
circuits de donnes, souvent appels modems , mme sil nest pas
question de modulation (transmission en mode de base).

b) Locaux

Ils sont essentiellement constitus par les btiments et leurs quipements

annexes. Ils abritent les matriels informatiques.
 56

c) Rseaux

Un rseau est compos dune partie matrielle gre par un ensemble logiciel
de gestion des protocoles, qui prsente le mme genre de contrainte temps
rel quun systme dexploitation, et de routeurs, serveurs, concentrateurs et
multiplexeurs qui sont des circuits lectroniques analogues des ordinateurs
spcialiss.

Un rseau est en fait souvent un ensemble de rseaux, relis par des

passerelles, chacun devant tre adapt des changes spcifiques
dinformations soit de gestion interne, soit entre entreprises, soit industrielles.

d) Logiciels de base

Le logiciel de base reprsente une part croissante du cot dun systme, donc il
conditionne la bonne utilisation. Cest toujours intrinsquement un systme
temps rel, mme sil ne supporte pas dapplication qui le soit.

Il a une importance primordiale pour la scurit des oprations, car il protge les
ressources (mmoires, informations transmises), assure les redmarrages, et
contrle les accs. Accessoirement, il permet la comptabilit de lutilisation des
ressources.

Il peut tre reparti, et mme sans temps absolu (multiprocesseurs, bases de

donnes rparties) et partiellement cbl, malgr son nom.

Le logiciel de base comprend essentiellement le systme dexploitation qui gre

les processus, dont les siens, qui sont tous en comptition et en coopration la
fois. Il est fonctionnellement compos des sous-systmes suivants :

noyau (qui attribue le processeur) ;

gestion de la mmoire interne (souvent virtuelle) ;
gestion des fichiers ou bases ;
gestion des entres-sorties ;
gestion du rseau.
 57

6-2 OBJECTIFS DE LAUDIT

Laudit des moyens techniques a pour objectifs de :

Sassurer de la performance des quipements :

 disponibilit, fiabilit, positionnement chronologique tant sur le plan

national quinternational

 dimensionnement

 tat de fonctionnement, niveau dutilisation et degr de satisfaction des

utilisateurs

 volutivit, adquation aux besoins actuels et futurs de lentreprise.

Evaluer le caractre fonctionnel et convivial, le niveau de scurit daccs et

de protection des locaux qui abritent les quipements informatiques.

Sassurer de la performance des rseaux, de leur fiabilit, de leur scurit et

de leur adquation lenvironnement informatique.

Evaluer la qualit des logiciels de base et sassurer de leur adquation avec

les besoins de lentreprise, en particulier des objectifs assigns au systme
dinformation quils supportent.

6.3. TRAVAUX DAUDIT

a) Audit spcifique des matriels

1. Le matriel est-il adapt aux applications traiter et aux logiciels de base

tant qualitativement (nature de ceux-ci, que quantitativement (volume et
temps de rponse) ?

Le choix du type de matriel (modes dexploitation, rseaux, etc) est une

dcision de gestion, car elle structure le systme dinformation.
 58

Cest le plan qui, ayant dfini les applications, permet de dterminer le type des
matriels (centralis, distribu, reparti, multipostes, rseaux locaux et publics),
et les modes dexploitation (par lots - pour tre ancien, ce mode reste
parfaitement adapt dans de nombreux cas, dont souvent le traitement de la paye
-, ou interactif).

Un soin particulier doit tre consacr lexamen actuel et prvisionnel des

conflits dutilisation pour un systme centralis, et aux cohrences des
informations pour un systme rparti.

Les temps de rponse, particulirement dans les systmes temps rel bien
entendu, mais aussi les rseaux, doivent tre tudis attentivement, en gnral
par simulation ou essais en vraie grandeur. Les goulets dtranglement sont
souvent les accs aux priphriques et aux rseaux.

La dfinition des volumes dans les applications permet ensuite de dterminer la

configuration proprement dite (taille des mmoires, type, nombre et capacits
des priphriques, interfaces caractristiques des liaisons). Les erreurs
proviennent presque toujours dun excs doptimisme, et dun manque de souci
de lvolutivit.

La disponibilit du matriel et la rapidit de remise en fonctionnement sont des

critres essentiels dans le choix des constructeurs. Il est important de vrifier
leurs dires et de les consigner par contrat.

Une maintenance prventive frquente, des dlais dintervention brefs, des

diagnostics faciles, voire automatiss, sont des facteurs positifs de disponibilit.

Les statistiques de temps dutilisation et dentretien des enregistrements des

pannes, composant par composant, permettent destimer leur homognit, leur
disponibilit, et ventuellement de conclure des causes permanentes
dinadaptation, comme latteinte dun point dcroulement partir dune
certaine charge.

2. Qualit de la maintenance du matriel ?

La maintenance matrielle sapprcie en fonction des contrats et des relevs

dindisponibilit ; elle est prventive (entretien) et curative (remise en tat).
Lauditeur doit examiner les modalits dappel, les dlais dintervention et ceux,
qui peuvent tre bien plus longs, de remise en tat, les dures dindisponibilit
en rsultant, linclusion de la main duvre, des pices, et des dplacements.
 59

La tlmaintenance vise une meilleure efficacit, mais demande comme toute

connexion des prcautions contre les accs indus : la ligne ne doit tre tablie
que sur demande aux moments convenus, il suffit din interrupteur manuel, et si
possible manuvr seulement aprs retrait de tous les fichiers sensibles.

Surtout dans les systmes temps rels, cette maintenance matrielle nest pas
toujours facile distinguer de la maintenance logicielle, surtout de celle du
logiciel de base. Do en particulier lintrt dexaminer les contrats de
maintenance.

Le choix des supports physiques des fichiers demande le mme soin que celui
des processeurs, car ils conditionnent le dlai de lanalyse-programmation, et il
ne faut surtout pas compter trop juste : les informations elles-mmes noccupent
quune place rduite devant les logiciels, les tables dindex, les pointeurs, les
zones de manuvre et les zones mortes. De mme, le dbit de ligne est une
notion physique, trs suprieure au dbit rel.

Lvolutivit des objectifs, en quantit et en nature, implique que le matriel lui-

mme soit volutif tout en restant bien adapt et modulaire (nombre de
terminaux connects par exemple). Le danger est dapprocher de la saturation,
en volume ou en temps de rponse.
Et, si le premier cas est assez facile prdire, le second chappe toute intuition
car lcroulement dun systme est trs brutal pour un seuil donn, difficile
dterminer priori. Il est bon de prvoir non seulement les extensions, mais
aussi les rtractions (par exemple en cas de scission dentreprise).

Ladaptation aux logiciels de base et aux applications na pas pour critre

loptimisation, mais la relative indpendance des changements des uns ou des
autres : une extension des applications ne doit pas remettre en cause le matriel,
ni inversement une extension du matriel modifier profondment les
applications.

3. Le matriel est-il fiable ? Quelle est la frquence des pannes ? Et quel est
limpact rel des pannes ?

Le matriel doit tre fiable ; au sens des systmistes, cela signifie que sil
fonctionne, les rsultats sont exacts ; cest pratiquement toujours le cas, et sinon
ils sont tellement aberrants que la dtection ne pose gure de problme. Pour les
ingnieurs, cela veut dire quil est disponible, quil ny a pas de dfaillance.
 60

Limpact rel des pannes ne peut tre vritablement dtermin que si elles sont
enregistres, composant par composant, mesures par incidence sur le
fonctionnement densemble, avec le moment de la dfaillance et celui de la
remise en tat. Ce qui constitue un cahier des indisponibilits.

b) Audit spcifique des locaux

Les locaux sont-ils adapts et volutifs ?

Disposition logique des matriels, des stocks de fourniture, des circuits de

dplacement et de portage, ergonomie des postes de travail, clairage (y
compris de secours) et insonorisation.

Sont-ils suffisamment protgs ?

 accs
 incendie
 etc..

c) Audit spcifique des rseaux

Il couvre les aspects suivants :

examen des caractristiques oprationnelles et des proprits (nombre,

nature, connexions, relations statiques et dynamiques) ;

examen des performances, ou plutt de ladaptation (temps de rponse,

surtout pour un rseau temps rel ou industriel, dbit, taux derreur,
disponibilit) par collecte de statistiques, insertion ventuelle de
compteurs ;

examen de la scurit par recensement des menaces potentielles

accidentelles ou dlibres (coute, modification de messages,
mascarade), et des parades (authentification, cryptage, certification),
ainsi que la gestion des clefs et lenregistrement des tentatives
djoues. ;
 61

gestion des tests, pannes, modes dgrads, rparations et reprises

composant par composant, puis dtermination des goulots
dtranglement, en partant de lhistorique.

Les aspects relatifs la scurit des rseaux sont prsents plus en dtail dans la
section consacre laudit de la scurit.

d) Audit spcifique des logiciels de base.

Il couvre lexamen des aspects suivants :

1. Adaptabilit ?

Un logiciel de base est adapt sil permet une utilisation correcte du matriel,
avec les langages et modes dexploitation choisis, pour supporter les
applications.

2. Evolutivit ?

Lvolutivit impose une certaine transparence pour les applications qui

reposent sur lui, tant donn quil ne peut y avoir de totale indpendance.
Ainsi, un changement dun de ses composants, ventuellement dict par une
volution du matriel quil gre, ne doit pas entraner une modification
profonde des applications.

3. Homognit des composants du logiciel de base ?

Lhomognit des composants du logiciel de base signifie quils doivent

tre adapts la configuration du matriel, mais aussi entre eux, avec les
langages, avec les utilisateurs, les analystes-programmeurs et les oprateurs.
Ce point est souvent dcevant, mme si le prestataire est unique. Par
exemple, entre traducteur de langage, systme de gestion de base de donnes,
et comptabilisation des ressources consommes.

4. Fiabilit ?

La fiabilit du logiciel de base, qui est toujours complexe car elle pose des
problmes de temps rel, est dautant plus importante quelle est
impntrable par lutilisateur, qui a beaucoup de peine rectifier les
consquences danomalies. Or, elle nest jamais parfaite, car un systme
temps rel peut tre robuste, mais nest jamais sans dfaut, car quelle que soit
leur dnomination, tous les logiciels de base sont des systmes temps rel.
 62

Particulirement importantes sont la protection mmoire, celle des fichiers en

traitement distance, et la sauvegarde des informations dans une base de
donnes.

Il est essentiel que le logiciel de base permette dimplanter des points de

reprise et de reconstitution prcis, efficaces et utilisables. Aucune transaction
ne doit tre perdue, ni envoye un mauvais destinataire, sans avertissement
immdiat, ni dform par la transmission.

5. Scurit et protection ?

(voir ci-aprs, audit de la scurit)

6. Documentation

La documentation est encore plus importante que pour les matriels, ainsi
que sa mise jour.

e) Aspects spcifiques la micro-informatique.

Les travaux daudit de la micro-informatique recouvrent lexamen des aspects

spcifiques ci-aprs :

1. Lacquisition et lutilisation des micro-ordinateurs sont elles

coordonnes ?

Lauditeur vrifiera donc que soient coordonns au niveau de la Direction

informatique (et non obligatoirement centraliss) :

le choix des matriels agrs dans lentreprise, en veillant offrir une

diversit de matriels suffisamment tendue,

le choix des logiciels de Bureautique agrs : traitement de textes,

tableurs, logiciels graphiques, logiciels intgrs, gestionnaires de fichiers,
etc.,

le choix des fournisseurs et la ngociation des conditions commerciales,

les modalits de la maintenance des matriels et des progiciels,

 63

la dfinition de la politique en matire dinfocentre, et les modalits des

transferts de donnes entre lunit centrale et les micro-ordinateurs.

Labsence totale de coordination, que lon rencontre dans certaines entreprises,

est prohiber car elle conduit rapidement une situation totalement anarchique.
Cette absence de coordination est gnralement le rsultat dun abandon de la
Direction informatique face de fortes pousses autonomistes des services en
matire de Bureautique, elles-mmes dailleurs souvent la consquence des
fortes rticences qui se manifestaient dans ce domaine au sein des services
informatiques il y a quelques annes.

2. Veille-t-on ce que la micro-informatique ne devienne pas le support dun

dveloppement anarchique dapplications autonomes et htrognes ?

Si la micro-informatique est aujourdhui un support fiable et efficace pour traiter

lensemble des besoins de lentreprise en matire de Bureautique, son utilisation
en tant que support de dveloppement dapplications de gestion, si elle nest pas
prohiber systmatiquement, doit du moins tre tudie soigneusement.

Nombre de logiciels de gestion budgtaire, de gestion des immobilisations, de

gestion de stock ou de comptabilit gnrale, dvelopps par des amateurs avec
de simples tableurs ou gestionnaires de fichiers, sont de vritables dangers pour
les chefs dentreprise. Ecrits en quelques jours, mis en exploitation sans
vritables tests, ces logiciels offrent rarement des contrles suffisants lors de la
saisie des donnes (qui doit en outre souvent tre ralise en double, compte
tenu de labsence de coordination avec les dveloppements sur grand systme).

En revanche, bien matriss, les dveloppement sur micro-ordinateurs,

ventuellement complts par des changes de donnes avec les grands
systmes, constituent un prcieux moyen pour donner satisfaction aux
utilisateurs, tout en dchargeant des services informatiques engorgs.

En dfinitive, lauditeur vrifiera :

que lutilisation de la micro-informatique des fins de dveloppement

dapplications est connue du service informatique et contrle par lui (les
logiciels seront si possible dvelopps par le service informatique) ;

que les applications dveloppes dans ces conditions sont correctement

documentes, et prsentent les mmes garanties en matire de scurit que
les applications dveloppes sur grand systme :
 64

 contrle des donnes saisies,

 procdures de sauvegarde et de reprise,
 contrle daccs,
 etc.

3. Laccs aux traitements applicatifs ou aux donnes sensibles grs sur

micro-ordinateur est-il contrl ?

Les techniques habituelles de protection daccs aux fichiers, aux bibliothques

de programmes, et aux applications peuvent trouver sappliquer dans un
environnement micro-informatique.

Il convient cependant de reconnatre que celles-ci sont encore trop peu

rpandues, mme lorsque des applications sensibles sont traites sur le
micro-ordinateur.

Quelle est la proportion de postes de travail sur lesquels les possibilits de

contrle daccs par mot de passe ont effectivement t utilises ? La ngligence
est dautant plus coupable que, sil y a quelques annes les micro-ordinateurs
taient particulirement permables, certains dentre eux offrent aujourdhui des
possibilits de contrle daccs analogues celles des grands systmes.

Par ailleurs, et sauf lorsque les micro-ordinateurs sont connects en rseaux, les
meilleures protections demeurent ce jour les protections physiques :
verrouillage par cl ou carte magntique, ou tout simplement fermeture cl des
bureaux et armoires.

4. Des mesures spcifiques sont-elles prises pour limiter les risques de vol des
micro-ordinateurs ?

Dans les grandes entreprises, les risques de vol de matriels doivent demeurer
prsents lesprit. Ce risque est dautant plus important quoutre le micro-
ordinateur lui-mme, certains composants annexes sont susceptibles dtre
drobs : logiciels, cartes dextension diverses, etc.

Parmi les mesures prventives, on peut citer :

le contrle des entres et sorties de lentreprise,

lidentification prcise des immobilisations et linventaire physique rgulier

de lensemble du parc.
 65

5. Lentreprise nencourtelle aucune sanction pnale pour limplantation de

progiciels sans licence dutilisation ?

Beaucoup de grandes entreprises ont eu jusqu ce jour une attitude peu

exemplaire dans ce domaine soit par une politique dlibre, soit par manque de
contrle.

Or le non-respect de la rglementation implique pour lentreprise :

un risque de sanctions pnales, prvoit les lois relatives la proprit

intellectuelle.

un risque de dtrioration du parc existant, en cas de prsence de virus

dans les logiciels utiliss sans licence.

Des contrles par sondage de labsence de logiciels illicites sur les micro-
ordinateurs sont donc prvoir.

6. Des programmes de dtection de virus sont-ils excuts rgulirement sur

les micro-ordinateurs ?

Ces logiciels sont susceptibles de dtecter la prsence de virus sur les micro-
ordinateurs, permettant ainsi de les dsactiver avant quils naient eu le temps de
nuire.
 66

7 - AUDIT DES APPLICATIONS EN EXPLOITATION

7-1 DEFINITIONS

Les applications en exploitation recouvrent les logiciels utiliss dans

lentreprise pour :

la planification, le suivi et la gestion des activits courantes ;

le traitement des donnes et la diffusion des informations.

Elles se composent :

dapplications de type scientifique ou industrielle

dapplications de gestion et daide la dcision
de logiciels bureautiques et de communication

Nous ne traiterons que les modalits de contrle des applications de gestion.

Les applications usuelles de gestion informatises de lentreprise sont :

la comptabilit (gnrale, auxiliaire, analytique et budgtaire)

la gestion des achats
la gestion des stocks
la gestion des immobilisations
la gestion des ventes
la gestion de la production
la gestion de la trsorerie
la paye et la gestion des ressources humaines

Elles comprennent aussi les applications spcifiques au mtier de

lentreprise.

gestion de la fort (pour une socit forestire),

gestion de la scolarit (pour un tablissement scolaire)
etc..
 67

7-2 OBJECTIFS DE LAUDIT DES APPLICATIONS

INFORMATIQUES EN EXPLOITATION

Laudit des applications a pour objet de se prononcer sur leur qualit. Il sagit
plus particulirement, dapprcier :

1. La fiabilit du progiciel, et lutilisation qui en est faite

On pourrait considrer que, dans le premier cas, cest la prestation du service

informatique qui est contrle, alors que dans le deuxime cas, cest lactivit
des utilisateurs qui lest.

Autrement dit, un logiciel peut tre fiable, mais mal utilis, ou linverse, bien
utilis mais peu fiable.

Imaginons un logiciel comptable, dont la saisie dcritures seffectue

normalement, mais qui efface par erreur les critures dans les fichiers. Ce
logiciel est lvidence peu fiable malgr lutilisation correcte qui en est faite.

A contrario, la plupart des logiciels comptables admettent, afin de corriger des

anomalies dans le contenu des fichiers, une procdure de saisie dcritures
dsquilibres (cest--dire dont le dbit nest pas gal au crdit), cette opration
exceptionnelle devant tre rserve aux seuls utilisateurs comptents. Utilise
abusivement, cette procdure, quoique rpondant un besoin rel, peut conduire
des situation totalement anarchiques.

Un bon logiciel contient des garde-fous contre une mauvaise utilisation, et

un bon utilisateur met en place des outils de contrle de la fiabilit des
applications.

Dans lexemple prcdent le service comptable dtectera aisment lingalit

des dbits et des crdits, donc lexistence dcritures effaces, et le logiciel
comptable ditera distinctement pour analyser la liste des critures saisies par la
procdure drogatoire. Encore faut-il que cette liste soit examine et conserve !

Il nen reste pas moins que la fiabilit dune application informatique rsulte de
la conjonction dun bon logiciel et dune utilisation satisfaisante.
 68

2. Ladquation des logiciels dvelopps aux spcifications fonctionnelles et

ladquation des spcifications fonctionnelles aux objectifs dun bon
contrle interne.

Vrifier ladquation des logiciels dvelopps aux spcifications fonctionnelles

dfinies dans le cahier des charges, en principe rdig par les utilisateurs, cest
contrler que les logiciels dvelopps par le service informatique sont
conformes aux besoins exprims.

Mais cette adquation nest pas suffisante pour garantir la qualit de

lapplication dans son ensemble, puisque les spcifications fonctionnelles
peuvent elles mmes rvler des insuffisances ou des anomalies.

Imaginons par exemple un logiciel de gestion de stock qui fournit chaque mois
un tat des stocks valoriss en prix moyen pondr. La ncessit de fournir les
lments dun contrle priodique des tats dits implique que soit prvue
ldition dune liste mensuelle comprenant le stock initial et le dtail des
mouvements du mois valoriss, justifiant ainsi le stock final.
En dautres termes ltat des mouvements de stock garantit la continuit du
chemin de rvision, cest dire la possibilit de faire le lien entre les
informations lmentaires saisies et les donnes restitues. A contrario,
labsence de cet tat interdit toute possibilit de contrle par les utilisateurs du
mode de valorisation des stocks.
Lapplication ne saurait donc tre considre comme fiable si ldition de la liste
des mouvements de stocks na pas t prvue dans le cahier des charges.

Autre exemple, la conception des applications doit permettre de respecter les

principes de sparation des fonctions. Ainsi, en matire financire les oprations
de comptabilisation et les oprations de trsorerie doivent en principe tre gres
par des personnes distinctes. La conception et lutilisation des logiciels doivent
donc permettre de respecter cette sparation, notamment grce la mise en
uvre de contrle daccs appropris.

Dernier exemple, un bon contrle interne implique lexistence de contrle

hirarchique sur les oprations. Ce principe a pour consquence informatique la
dfinition :

soit de procdures de validation des oprations par un suprieur hirarchique

ds leur saisie,
 69

soit de procdures ddition dtats de contrle des oprations saisies

(exhaustif ou par exception) pour analyse a posteriori par un suprieur
hirarchique,

soit dune combinaison de ces deux types de procdures.

Ainsi en matire de gestion commerciale, certaines oprations spcifiques
saisies par les vendeurs seront soumises validation du directeur commercial :
remises accordes suprieures certains seuil, dpassement du crdit maximum
autoris pour un client

3. les risques de fraudes et derreurs

Dans la grande majorit des cas, les risques de pertes lies des erreurs de
ralisation ou dutilisation des logiciels sont infiniment plus importants que les
risques de pertes lies des oprations malveillantes ou frauduleuses. cest donc
naturellement la recherche derreur qui sera gnralement privilgie par
lauditeur dans son approche.

Bien entendu, dans certains cas spcifiques (prsomption de dtournement de

fonds) ou dans certains secteurs dactivit (tablissements financiers), la
recherche doprations frauduleuses fera partie des objectifs assigns laudit.

Des travaux ddis cette recherche seront alors raliss. Ainsi, dans un
tablissement financier, on peut envisager lexcution rgulire dun progiciel
spcifique de balayage et danalyse des mouvements sur les comptes ordinaires,
afin de dceler des oprations suspectes, susceptibles de cacher un dtournement
de fonds.

4. la qualit des mthodes de dveloppement des logiciels et la qualit des

procdures dexploitation

La qualit des procdures de conception et de ralisation des applications

constitue une prsomption de fiabilit des logiciels et de respect des
spcifications fonctionnelles.

Nanmoins de graves anomalies peuvent apparatre dans les fichiers si un

logiciel, mme parfait, nest pas exploit de manire satisfaisante. Ainsi, des
erreurs dexploitation, comme lexcution en double dun traitement en temps
diffr ou au contraire sa non-excution, peuvent altrer les donnes contenues
dans les fichiers.
 70

De mauvaises procdures dexploitation peuvent galement avoir des

consquences nuisibles sur la prennit des applications. Ainsi en labsence de
sauvegarde sur un site extrieur, des logiciels ou des fichiers dimportance
initiale se trouveront ils perdus et impossibles reconstituer en cas de sinistre
conduisant la destruction du site informatique.

5. La prennit des logiciels

Nous venons indirectement dvoquer cette distinction. Un logiciel peut savrer

fiable de par la qualit de sa conception, mais non prenne du fait de mauvaises
procdures dexploitation.

De mme, un logiciel fiable un instant donn, mais mal document, verra son
esprance de vie notamment rduite. En effet, sa capacit dvoluer sera trs
limite

6. La performance des logiciels et leurs niveaux dintgration

Il sagit de :

La capacit des logiciels excuter les traitements prvus dans les dlais en
tenant compte des ressources disponibles,

Des interfaces avec les autres logiciels.

7-3 TRAVAUX DAUDIT

1. Interview

Outre des entretiens avec les responsables du dveloppement et de lexploitation

de lapplication, il sera gnralement prvu des entretiens avec les principaux
utilisateurs concerns.

2. Contrles sur pice

Selon les objectifs exacts de la mission, ils concerneront par exemple :

 71

les documents pralables au dveloppement de lapplication (schma

directeur, tude pralable, tude dtaille),
la documentation dtudes,
la documentation dexploitation,
les manuels utilisateurs,
manuels de procdures,
les logiciels eux-mmes.

3. Jeux dessai

Le jeu dessai consiste crer un environnement de test, incluant une copie des
logiciels en exploitation et des fichiers spcifiques.

Il est alors possible, dans cet environnement, de contrler le fonctionnement des

logiciels dune manire approfondie, dans la mesure du moins o les cas de test
ont t suffisamment prpars.

Avant dtre une technique daudit, les jeux dessai sont dailleurs avant tout un
moyen pour les utilisateurs deffectuer la recette dune application
pralablement sa mise en exploitation.

Technique dune grande efficacit, les jeux dessai sont pourtant rarement
utiliss en matire daudit. Leur principal inconvnient rside en effet dans la
lourdeur de leur mise en uvre, impliquant souvent des charges de travail
prohibitives la fois pour les informaticiens qui crent la base de test et pour les
auditeurs, qui doivent avoir une connaissance parfaite de lensemble des
fonctionnalits.

Toutefois les principales limites de cette technique sont :

elle permet de tester les logiciels, mais non le contenu des fichiers en
exploitation. Or, nous avons vu que les fichiers peuvent receler des
anomalies sans que les logiciels soient eux-mmes errons ;

il est difficilement possible dtre exhaustif dans les cas tests par le jeu
dessai ;

cette technique permet rarement de dceler des oprations frauduleuses, dans

la mesure o celles-ci sont ralises soit par intervention directe sur les
fichiers, soit par une modification temporaire des logiciels, qui napparat
plus au moment de la cration des logiciels de test.
 72

4. Examen du contrle de lenvironnement informatique pour cette

application

Un des moyens de base pour contrler une application consiste contrler la

qualit de lenvironnement informatique pour cette application.

Concrtement, seront tudies, limitativement pour lapplication audite :

Les procdures de dveloppement et de maintenance : outils, mthodologie,

normes, documentation, procdures de mise en exploitation ;

Les procdures dexploitation : protection daccs, sauvegardes, prparation,

lancement et contrle des travaux en temps diffr, procdures de reprise,
suivi des incidents ;

Les fonctions techniques : gestion de rseau, support micro-informatique ;

lorganisation gnrale du service et du projet.

Lapproche, cible sur une application, sera dailleurs plus prcise quun
contrle de lensemble du site.

Le principal intrt de cette approche, outre quelle peut tre ralise dans le
cadre dun budget limit, rside dans la bonne prsomption quelle peut donner
de la qualit des logiciels. Labsence de mthodologie de dveloppement, la
faiblesse de la documentation, labsence de suivi des incidents, un grand laxisme
dans les autorisations daccs, une politique de sauvegarde mal dfinie, sont
autant de signes inquitants, dont il est bien rare quils ne se matrialisent pas
par de graves carences dans lapplication.

Sa principale limite est quelle ne fournit que des prsomptions, jamais des
carences avres.

5. Examen du contrle interne de la fonction traite

Le contrle exhaustif dune application implique la fois le contrle des

logiciels dvelopps et le contrle de lutilisation qui en est faite. Une
application ne peut tre considre comme fiable si, en dpit de logiciels de
qualit, elle est utilise en dpit de bon sens.
 73

En outre, limplication des utilisateurs est dautant plus importante que des
contrles de cohrence appropris leur niveau sont de bien meilleurs garants
de la fiabilit des logiciels que la plupart des contrles techniques internes au
service informatique. En dpit dune ide trop rpandue, les utilisateurs sont loin
dtre dmunis, et ont entre leurs mains les moyens de dceler la grande majorit
des dfaillances dun logiciel, que celles-ci trouvent leur origine dans une erreur
de programmation ou dans une mauvaise utilisation du systme. Encore faut-il
pour cela quils naient pas renonc assumer toute responsabilit au moment
de la mise en place des traitements automatiss. Trop souvent en effet, soit par
excs de confiance devant un Dieu informatique infaillible, soit par
ngligence (linformatisation est un excellent prtexte pour ne plus assumer ses
propres responsabilits), les utilisateurs on tendance ne plus raliser le
minimum de contrles indispensables la fiabilit densemble de lapplication.

En consquence, lauditeur informatique basera une partie importante de ses

investigations sur lutilisation et le contrle par les utilisateurs des traitements
informatiques :

la ralisation par les utilisateurs de contrles de cohrence portant

sur les traitements

Par exemple, en matire de progiciel comptable, des contrles de cohrence

du type :

 somme, des critures saisies = somme des critures restitues sur les
brouillards de saisie (listes journalires rcapitulatives des critures
saisies) ;
 somme des critures listes sur les brouillard du mois = totalisation des
critures sur les journaux comptables du mois ;
 totalisation des critures listes sur les journaux comptables du mois =
totalisation des critures du mois sur les grands-livres ;
 cumul de dbut de priode des critures sur le grand livre + total des
mouvements du mois = =cumul de dbut de priode suivante (en dbits et
en crdits) ;
 solde des comptes du grand-livre = solde des compte de la balance ;

permettront de dceler la plupart des erreur de conception, dexploitation et

dutilisation des logiciels comptables. Encore faut-il quils soient mis en
uvre rgulirement et soigneusement.
 74

Lexistence de contrles hirarchiques

Lexistence de contrles hirarchiques sur les oprations traites constituent

un lment essentiel de contrle interne de lensemble des cycles de
lentreprise.

Les procdures informatiques permettant la validation ou le contrle par un

suprieur hirarchique de lopration, des donnes saisies, sont ncessaires :

 listes rcapitulatives de saisie, dtailles ou par exception, pour contrle a

posteriori ;
 procdure dautorisation en temps rel de certains mouvements
pralablement leur validation (contrle a priori).

Lexistence dune bonne sparation des fonctions

Dune manire gnrale, on distingue dans lactivit dune entreprise :

 des oprations relatives la ralisation de lobjet social,

 des oprations relatives la conservation du patrimoine,
 des oprations relatives au traitement comptable.

Le souci dune bonne sparation de fonctions conduit attribuer, pour un

mme processus de lentreprise, la responsabilit des travaux relatifs
chacun de ces trois types doprations des personnes distinctes.

Au cas spcifique des systme informatiss, le respect de cette sparation de

fonctions sera contrl par la mise en place de systmes dautorisation
daccs aux traitements voqus ci-aprs.

Lexistence de procdures dautorisation daccs satisfaisantes

Une application ne peut tre considre comme fiable si nimporte qui,

lintrieur ou, pis encore, lextrieur de lentreprise, a la possibilit de se
connecter celle-ci, et den consulter ou den mettre jour les donnes de
base.

Au del des risques doprations frauduleuses ou malveillantes que lon

imagine aisment, il en rsulte en effet un risque important derreurs,
commises en toute bonne foi et dont il sera souvent impossible de retrouver
lauteur.
 75

La comptence et lintgrit du personnel

La comptence et lintgrit, tant des informaticiens que des utilisateurs,

constitue naturellement un lment essentiel de la fiabilit des applications.

La continuit du chemin de rvision

La notion de continuit de chemin de rvision du systme dinformation (on

parle aussi souvent de piste daudit, du terme anglo-saxon audit trail)
correspond la ncessit de faire le lien entre les donnes entres dans ce
systme et les informations restitues. En dautres termes, lapplication doit
fournir les lments ncessaires la validation des donnes issues des
chanes de traitement.

Lexistence de validations rgulires du contenu des fichiers

Les fichiers grs par lapplication informatise contiennent certaines

donnes dont le contenu est susceptible de faire lobjet dune validation.
Ainsi, les stocks seront priodiquement contrls au cours dinventaires
physiques, et les soldes des comptes de tiers, clients et fournisseurs, seront
implicitement valids par labsence de litiges.
 76

7-4 IMPACT DE LENVIRONNEMENT EDI

A - DEFINITIONS
L'EDI est l'change entre systmes informatiss, par voie lectronique, de donnes
structures, organises en messages normaliss .
LEDI (Electronic Data Interchange, en franais Echange de Donnes Informatis) consiste
changer directement, selon une structure et un format pralablement dfinis, des donnes
jusqualors transmises par support papier, entre les diffrentes applications informatiques de
partenaires conomiques connects sur un ou plusieurs rseaux.

Cette dfinition comporte trois lments : change - donnes - lectronique. L'change est la
fonction remplie. La donne est le contenu de la fonction, c'est--dire l'information vhicule.
Enfin, l'lectronique est le moyen de transmission des donnes.

En d'autres termes, l'EDI permet la transmission de donnes entre ordinateurs, selon un format
normalis. Concrtement, cette transmission peut concerner des commandes, des avis de
rception, des factures mais aussi des informations financires, des paiements, des balances
comptables et bien d'autres messages.

La normalisation en EDI concerne :

le contenu (normalisation des informations transmettre)
le contenant (protocole de tlcommunication permettant de transmettre les diffrents types
d'EDI)
et de faon lie, l'organisation des changes eux-mmes, dans un contexte global.

EDIFACT est devenu le langage adopt lunanimit par lensemble de la communaut

internationale (ONU et norme ISO).

EDIFACT (Electronic Data Interchange for Administration, Commerce and Transport) / (change de Donnes
Informatis pour l'Administration, le Commerce et le Transport)
Rgles des Nations unies concernant l'change de donnes informatis pour l'administration, le commerce et le
transport. Elles se composent d'un ensemble de normes approuves l'chelon international, de rpertoires et de
directives pour l'change lectronique de donnes structures, en particulier celles concernant le commerce des
biens et services entre systmes informatiques indpendants.
 77

Les technologies EDI vont modifier profondment les structures et les organisations des
entreprises. Lexpert-comptable doit, ds aujourdhui, prendre en compte cette volution qui
concernera ses clients et son propre cabinet. Il aura vrifier des comptabilits intgrant
lEDI, traiter des volumes dinformations de plus en plus importants, et se verra imposer par
ses partenaires des contraintes pour changer linformation comptable et financire.

En France, l'Ordre des Experts Comptables (OEC) s'est impliqu trs vite dans les travaux
d'laboration de normes EDIFACT pour les messages comptables.
L'association EDIFICAS (Echange de Donnes Informatis en matire Financire,
Informationnelle, Comptable, et d'Audit, Analytique et Sociale) a t cre par l'OEC en
collaboration avec les socits de services qui uvrent habituellement avec la profession
comptable. Cette association dveloppe des normes pour assurer des changes de donnes
informatiss dans des conditions de scurit, d'efficacit, de rapidit qu'autorise l'EDI.

Les buts sont de garantir une prennit des informations (changement des systmes) et des
gains de temps (compatibilit entre les diffrents systmes, suppression des saisies
redondantes).

Le rle d'Edificas est aussi de promouvoir les EDI auprs de la profession comptable et
d'assurer la liaison avec d'autres groupes sectoriels (banques, SSII, CGA...).

B - CONSEQUENCES SUR LORGANISATION DES CABINETS

Face la croissance du volume des informations traites par les entreprises, une
rorganisation des tches va tre ncessaire. Le client reoit ds aujourd'hui un grand nombre
d'informations via EDI, qui sont traites automatiquement, informatiquement et donc
collectes, classes et imputes comptablement.
Les missions de tenue de comptabilit sont partiellement prises en charge par l'EDI. Ce
transfert des traitements vers l'informatique permet de gagner du temps et de la fiabilit dans
le systme comptable (vite les erreurs de saisie).

Ce type de fonctionnement va permettre au cabinet de collecter des informations du systme

informatique du client distance, pour les traiter et les analyser, ou de pratiquer des
circularisations, de faire de la rvision... sans aucun dplacement de la part des collaborateurs
du cabinet. Cette approche est une nouvelle manire de grer un dossier client.
 78

En contrepartie de la collecte d'informations du cabinet dans le systme du client, le client lui-

mme pourra consulter une base de donnes situe chez l'expert-comptable. Cette base de
donnes pourra regrouper des informations qualitatives issues du travail et de l'exprience de
l'expert-comptable. Ce nouveau service offert par l'expert-comptable apporte une plus-value
au client qui pourra consulter des informations financires commentes, des analyses de
marges, des donnes concernant le secteur de l'entreprise ou un march spcifique, des
recommandations sur les procdures...

L'expert-comptable va donc revoir son organisation informatique pour proposer de nouveaux

services, et mettre en place des gestions d'accs pour assurer la scurit de son systme. Il
devra mettre jour rgulirement les informations stockes, avoir une politique de stockage
des donnes et des documents (GED).

La rorganisation du cabinet se fera dsormais autour du systme informatique, ce qui lui

permettra de rpondre aux contraintes du march, d'assurer une meilleure productivit et de
rduire les cots de revient de ses missions.

C - CONSEQUENCES DES EDI SUR LA MISSION DE LEXPERT-COMPTABLE

Dans un audit comptable et financier classique, la prsence de lEDI ne modifie pas les
objectifs et les grands axes des mthodes de rvision des intervenants, mais le programme doit
sadapter et doit inclure ltude du dispositif EDI sans pour autant en devenir lobjet principal.
Lors de la prise de connaissance, la comprhension du systme et des contrles internes
amnera lauditeur dterminer les risques spcifiques quinduisent les systmes
informatiques utilisant lEDI.

Dans un environnement EDI, il est de plus indispensable de prendre connaissance de laccord

dinterchange auquel a adhr lentreprise et de son degr dintgration dans son propre
systme.

C'est lors de la phase de contrle des comptes que le travail de l'auditeur change le plus.
Lors de l'tablissement du programme de vrification des comptes, il faut identifier les
comptes qui sont affects par lEDI et les justificatifs qui ont disparu. L'auditeur doit disposer
de la liste de tous les documents dits ou ditables sur support papier et se former aux outils
 79

d'interrogation des bases de donnes qui le concernent. Les contrles qui s'appuient sur
l'examen physique des pices deviennent impossibles. Ils doivent tre remplacs par la
vrification des messages d'accus de rception conservs par le systme.
Dans un milieu EDI, les contrles portent plus sur la validit des chanes de traitements que
sur les pices comptables elles-mmes. Ainsi, si la fiabilit est dmontre au niveau des
traitements automatiss, alors 100 % des informations se trouvent valides !

D- OUTILS A LA DISPOSITION DE LAUDITEUR

Il sagit de :

jeu dessais : simulation denvoi, de traitement et de rception de flux EDI,

outil dinterrogation et dextraction de donnes : interrogation et extraction de donnes
prcises, demandes par lauditeur,
outil bureautique : interrogation de fichiers dont la taille est compatible avec les capacits
dun micro-ordinateur,
confirmation : interrogation de partenaires proposs automatiquement par lordinateur
suivant des paramtres dfinis par lauditeur,
module de certification EDI : module de certification de la qualit dun produit EDI.

Les deux derniers points sont importants pour sassurer que le systme EDI fonctionne
correctement.
Le module de certification EDI est mis en uvre par des spcialistes. Il permet de vrifier que
le systme respecte la norme utilise et que les modalits dapplication du contrat
dinterchange sont respectes.
Les programmes de confirmation prsentent lavantage dune rponse directe de partenaires
extrieurs lentreprise, et de faon automatise. Cela permet un contrle rgulier des
procdures en place et une dtection rapide des anomalies de traitement ou de
dysfonctionnement des applications. Pour lauditeur, cette procdure lui enlve la gestion
lourde des circularisations effectues manuellement pour un rsultat identique.
 80

8 - LA CONDUITE DUNE MISSION DAUDIT

INFORMATIQUE
Comme laudit obit aux mmes rgles que le management lui-mme du
systme, il doit lui tre :

faisable, cest--dire disposer dlments dinformation suffisants pour

permettre de conclure dans un dlai raisonnable ; sinon lauditeur doit
refuser ou interrompre sa mission, en indiquant comme il a t vu que si
le systme nest pas comprhensible, il a tous les dfauts possible
simultanment. Lacceptation dune mission engage la responsabilit de
lauditeur, car elle implique quil certifie implicitement tre comptent ;

correspondre aux besoins des demandeurs et autres intresss ;

correctement planifi ;

adapt particulirement : la dmarche dtermine de faon arborescente

tous les moyens et actions sans aucune lacune ; la dmonstration de ce
quil prouve est sans faille ;

comprhensible : les conclusions doivent tre exprimes en termes clairs

pour les lecteurs.

8-1 LA PREPARATION DE LA MISSION

Il est difficile de dfinir une norme quant la dure et aux modalits pratiques
exactes de la phase de prparation de la mission. Ainsi, un audit externe aura
pour objectif, pour des raisons commerciales, de figer le plus rapidement
possible une premire proposition dinterventions, quitte prvoir dans celle-ci
une phase dinvestigations pralables lissue de laquelle les concours de la
mission seront prciss.

Un service daudit interne, affranchi de la contrainte financire lie

lincertitude quant lacceptation ou non dune proposition, pourra au contraire
prfrer, selon les cas, une phase denqute prliminaire relativement longue, de
manire aboutir une lettre de mission la plus prcise et la complte possible,
ou une phase prliminaire extrmement courte, avec corrlativement une lettre
de mission la plus ouverte possible.
 81

Il nen reste pas moins que certains travaux prparatoires sont indispensables au
bon droulement de la mission. Dune manire gnrale, il sagit de lensemble
des investigations ncessaires llaboration de deux documents pralables au
dmarrage de la mission elle-mme, lun usage externe, lautre usage interne.

Le document usage externe sera la proposition dintervention, dans le cas dun

audit ralis par une socit extrieure, ou la lettre de mission, dans le cas dun
audit interne.

Le document usage interne constituera le programme de travail des auditeurs.

8-1-1 La proposition dintervention ou la lettre de mission

Ce document matrialise laccord entre le mandant (souvent la Direction

gnrale de lentreprise) et son mandataire (audit externe ou audit interne) sur le
contenu et les modalits pratiques de la mission. Il lgitime en outre
lintervention vis--vis des services audits. Il prsente les aspects ci-aprs :

a) les objectifs de la mission

Les objectifs recherchs dans une mission daudit informatique pouvaient tre
trs varis : examen du contrle interne de la fonction informatique, examen de
la scurit physique, audit des protections daccs, contrle des mthodes de
dveloppement, audit des performances, audit dune application spcifique

La proposition dintervention devra donc lever toute ambigut en prcisant les

objectifs viss.

b) Le primtre de la mission

La lettre de mission dfinira clairement les socits et tablissements, ainsi

que les sites concerns par les travaux. Dans le cas dun audit dapplication, ce
sont les fonctionnalits audites qui seront elles-mmes prcises.
 82

c) La priode dintervention

Seront ici prcise la fois la dure globale de la mission et ses principales

chances (date de dbut et de fin des travaux, tapes intermdiaires, date de
remise des conclusions).

d) Les contraintes prvoir pour les services audits

En particulier, il est souhaitable de prciser ds le dbut de la mission la

disponibilit qui sera demande aux services audits. La trop grande surcharge
de travail induite par un audit est en effet souvent invoqu, tort ou raison, par
ceux-ci, et est ainsi la source de relations difficiles.

En cas dutilisation de logiciels daudit, des contraintes spcifiques sont

galement prvoir pour les services audits.

De la mme manire, la mise en uvre de jeux dessai ncessite le plus souvent

un travail prparatoire important.

e) Les mthodes de travail employes

La dfinition dtaill des mthodes de travail employes est davantage du

ressort du programme de travail, document interne, que de la proposition
dintervention. Il est nanmoins le plus souvent souhaitable de prciser, au
moins dans les grandes lignes, ces mthodes de travail : utilisation ou non de
questionnaires, mthodes bases sur les interviews ou sur ltude de documents,
mise en uvre de jeux dessai, utilisation de progiciels

f) La constitution de lquipe

La composition de lquipe, ainsi que le nom du responsable de la mission,

seront ici prciss. Dans le cas de missions daudit externe importantes, il est
gnralement souhaitable que soit fourni un curriculum vitae trs succinct des
diffrents intervenants.
 83

g) Les documents prparatoires

Afin de faciliter le dmarrage de la mission, une liste de documents

prparatoires fournir aux auditeurs sera le cas chant incluse dans les
propositions dintervention, ou transmise aux services audits pralablement au
premier entretien. Ce seront par exemple :
Pour un examen du contrle interne de la fonction informatique

 lorganigramme du service,
 la description de la configuration matrielle,
 une description succincte des logiciels, la liste des progiciels,
 les principales notes relatives lactivit informatique dans
lentreprise, et lorganisation du service,
 le plan informatique
 le budget du service informatique,
 les comptes rendus des dernires runions du comit informatique.

Pour un audit dapplication

 lorganigramme du service et la liste des principaux interlocuteurs

rencontrer (utilisateurs et informaticiens),
 les documents de prsentation de lapplication,
 le cas chant, la description du contenu de certains fichiers sur
lesquels il est envisag de raliser des contrles.

8-1-2 Le programme de travail

Le programme de travail dfinit prcisment les mthodes daudit retenues et le

travail raliser par les auditeurs.

Il contient une ventilation des charges de travail prvoir pour chaque module
daudit.

On trouvera dans lencadr ci-aprs un exemple de programme de travail

succinct dune mission daudit dapplication.
 84

Programme de travail de la mission daudit du logiciel de gestion du personnel par le

Commissaire aux comptes dans un environnement PME (budget 80 heures)

- lancement de la mission 4 heures

- prise de connaissance de lapplication :
16 heures
entretiens avec le chef de projet et avec les principaux utilisateurs,
lecture de la documentation disponible

- analyse critique des fonctionnalits de lapplication 8 heures

- examen du contrle interne de la fonction informatique 16 heures

pour cette application : procdures de dveloppement et
dexploitation, analyse de la documentation

- dveloppement de logiciels daudit (fonctionnalits dfinir 20 heures

lors de la prise de connaissance de lapplication)
et analyse des rsultats
- rdaction du rapport et synthse 16 heures
 85

8-2 LES METHODES DINVESTIGATION

8-2-1 La dmarche gnrale dvaluation du contrle interne

Prsentation schmatique

Prise de connaissance
du systme

Evaluation thorique
du contrle interne

POINTS FORTS POINTS FAIBLES

THEORIQUES THEORIQUES

Test de
permanence des
points forts

Non
Point fort
confirm

CONTROLE FAIBLESSE DE
INTERNE CONTROLE
SATISFAISANT INTERNE

RECOMMANDATIONS
 86

Une prise de connaissance et lanalyse des procdures du systme valu

permettent de mettre en vidence ses forces et ses faiblesses thoriques.
Nanmoins, un point fort thorique nen devient rellement un que si la
procdure dcrite est bien celle qui est effectivement applique. Cest lobjet des
tests de permanence de vrifier cette permanence de lapplication de la
procdure thorique.

8-2-2 Lvaluation du contrle interne de la fonction informatique

a) Lvaluation des forces et faiblesses thoriques

Lanalyse des procdures, ncessaire une premire valuation des forces et

faiblesses du systme, se fera essentiellement au travers :
dinterviews des responsables du service informatique ainsi que , ainsi que,
gnralement des principaux services utilisateurs ;
dun travail sur pice partir de lensemble des documents disponibles dans
le service : plan informatique, norme interne, organigramme, plan de
scurit

b) Les tests de permanence

Une qualit premire dun bon auditeur est de valider systmatiquement ses
conclusions. Il nest pas question ici de dcrire pour chaque point daudit les
procdures dvaluation. Celles-ci dcoulent dailleurs delles-mmes dans la
plupart des cas.
Voir exemple en annexe
 87

8-2-3 Autres travaux

Voir sections prcdentes

8-3 LAPPRECIATION DU VOLUME DINTERVENTION

Lapprciation de la charge de travail prvoir pour raliser la mission pose le

problme de la ncessit dun compromis entre la recherche dun cot
dintervention minimum et celle dinvestigation le plus complet possible.

Au pralable, il convient de bien comprendre que, si la charge de ralisation

dun application, rpond des besoins dfinis prcisment dans un cahier des
charges, est fixe et incompressible, la charge de ralisation dun audit
informatique est fonction dun programme de travail , et peut donc tre modul,
du moins lintrieur de certaines limites :

une borne infrieure en de de laquelle il est raisonnablement impossible de

porter une apprciation motive ;

une borne suprieure au-del de laquelle lapport marginal des investigations

complmentaires sur les conclusions de laudit est trop limit pour prsenter
un intrt quelconque.

8-4 LA PRESENTATION DES CONCLUSIONS

La fin de la mission daudit se matrialise gnralement par une prsentation

contradictoire avec les services audits des principales conclusions, suivie de
lmission du rapport. Outre une analyse critique, il est souhaitable que celui-ci
contienne une synthse des recommandations formules par lauditeur.
 88

8-5 LE SUIVI DES RECOMMANDATIONS

Lorsque des faiblesses graves ont t recenses, il est tout fait souhaitable que
les auditeurs puissent assurer un suivi de la mise en uvre des recommandations
quils ont formules. Ce suivi pourra notamment tre assur :

soit au travers dune participation rgulire aux principales runions de

synthse relatives lavancement des travaux,

soit au travers de la ralisation de missions lgres dactualisation du rapport.

 89

9 - LES OUTILS DE LAUDITEUR INFORMATIQUE

Lauditeur informatique peut disposer de deux types doutils importants dans le
cadre de son activit :

les mthodes danalyse des risques informatiques,

les progiciels daudit .

9.1 LES METHODES DANALYSE DES RISQUES

INFORMATIQUES

Il existe sur le march des diffrentes mthodes dont lobjectif est de fournir
une valuation globale de scurit et des risques informatiques au sein dune
entreprise.

La plus clbre dentre elles est incontestablement la mthode MARION ,

labore par le CLUSIF ( Club de la scurit informatique Franaise),
lAPSAIRD ( Assemble Plnire des Socits dAssurance contre lincendie et
les Risques Divers).

Ces mthodes ont toutes en commun de fournir :

un questionnaire dvaluation du risque : chaque question donne lieu une

notation de lenvironnement tudi ;

une prsentation conviviale des rsultats de lvaluation, souvent aprs saisie

des rponses au questionnaire sur un micro-ordinateur et traitement des
rsultats.

La mthode MARION comporte six tapes :

lanalyse des risques a pour objet le recensement des risques encourus et

lvaluation du cot maximum des pertes conscutives chaque risque
recens ;

lexpression du risque maximum admissible permet de dfinir , en accord

avec la direction de lentreprise , le seuil critique au-del duquel le risque
nest plus admissible ;
 90

lanalyse de la scurit existante, base sur les rponses un questionnaire

dvaluation , aboutit une synthse de risque encouru sous la forme de la
clbre rosace ;

lvaluation des contraintes permet de prendre en compte lexistant dans

lanalyse des risques et la dfinition des remdes : contraintes techniques,
humaines ;

le choix des moyens dfinit les moyens mettre en uvre pour amliorer la
scurit de manire cohrente ;

la dfinition du plan de scurit dfinit les modalits pratiques selon

lesquelles la scurit sera amliore.

9.2 LES PROGICIELS DAUDIT

Ils trouvent leur utilit dans la plupart des missions confies lauditeur
informatique. Ainsi :

dans le cadre dun audit dapplication , ils permettent de contrler le contenu

des fichiers et de dceler dventuelles anomalies ;

dans le cadre de lassistance la rvision comptable , ils permettront de

valider les rsultats de certains traitements, ou encore de mettre en vidence
des informations anormales ou errones.

Par abus de langage, on dsigne souvent sous le terme daudit informatique le

dveloppement de programmes de contrle dans le cadre daudit comptable ou
audit oprationnel.

En ralit, linformatique nest alors quun outil mis disposition de lauditeur

pour mener bien sa tche premire : laudit comptable a pour objet de vrifier
la rgularit et la sincrit des comptes de lentreprise, laudit oprationnel de se
prononcer sur la fiabilit et lefficacit dun cycle de lentreprise
(approvisionnements, ventes, production..).
 91

Compte tenu de la forte automatisation de la plupart des entreprises, leur

contrle passe ncessairement de plus en plus par un contrle des applications
informatises, ainsi que par lutilisation doutils informatiques destins rduire
la dure de ces contrles tout en amliorant leur efficacit.

Prenons lexemple du commissaire au compte auditant les immobilisations.

Ralis manuellement, le contrle du calcul des dotations est la fois fastidieux
et peu convaincant, compte- tenu de la faible taille de lchantillon quil est
raisonnablement possible de valider.

En revanche, lcriture dun logiciel, gnralement peu complexe, analysant le

fichier des immobilisations, permettra de recalculer et de valider la dotation de
lexercice.

Qui plus est, des programmes complmentaires mettront en vidence

dventuelles anomalies pour analyse :

liste des immobilisations dont la dotation cumule depuis lorigine est

infrieure au minimum linaire (les dotations tant alors insuffisantes et les
dotations irrgulirement diffres, car non comptabilises, tant finalement
non dductibles fiscalement) ;

liste des immobilisations dont la date de mise en service diffre notablement

de la date dinstallation ;

etc..

Parfois mme, lauditeur dveloppe des programmes pour connatre lincidence

financire de ses remarques. Face des comptes clients insuffisamment
provisionns, il crira un programme de recherche des crances anciennes et, si
ncessaire, dvaluation du montant de la provision constituer.

On le voit, linformatique est devenue aujourdhui loutil indispensable de

lauditeur, sans la matrise duquel celui-ci ne pourra accomplir sa mission dune
manire totalement efficace.

De faon gnrale, cette technique vise dvelopper des programmes

informatiques dont lobjectif est de contrler la fiabilit des applications
audites.

Des langages de programmation, particulirement adapts au dveloppement

rapide de requtes danalyse des fichiers, ont parfois t abusivement baptiss
 92

des progiciels daudit. En ralit, certains de ces langages ont dautres objectifs
de base, et ne sont quaccessoirement utiliss en matire daudit :

langages dinfocentre, pour analyse rapide des fichiers par utilisateur,

langages de dveloppement rapide de programmes ddition, destins aux

informaticiens pour des sorties dtats peu complexes.

Les objectifs recherchs par la conception et la ralisation des programmes

daudit varient et peuvent tre ventils en deux catgories :

Les programmes de slection pour analyse de certains enregistrements

contenus dans les fichiers.

Les types de slection sont eux-mmes varis

Dans certains cas, il sagit dun simple chantillonnage : slection pour

contrle dune facture sur 1000, slection des achats les plus significatifs par
leur montant

Parfois encore, ces enregistrements reclent des informations qui, quoique

ntant pas ncessairement errones, justifient une recherche complmentaire
par leur caractre exceptionnel : ditions des ventes pour lesquelles le
pourcentage de remise au client est suprieur certain seuil , dition des
immobilisations acquises antrieurement une certaine date .

Dans dautres cas enfin , les slections correspondent systmatiquement des

anomalies, que celles-ci soient issue dune erreur de programmation ou dune
mauvaise application des procdures : tat des stocks ngatifs , tat des
ventes perte, liste des codes articles figurant dans le fichier de facturation et
ne figurant pas dans le fichier des rfrences article.

Les programmes de validation dinformations issues de lapplication

Lobjectif de lauditeur ici sera de valider les logiciels eux-mmes, pour

certains traitements importants, gnralement en crivant un programme
ayant les mmes fonctionnalits que celui qui est audit.

Si cette approche peut paratre surprenante, elle permet de dceler des erreurs
bien inattendues. Ainsi, la rcriture dun programme de valorisation de
stock aboutira t elle une valeur de 1251000,00 F alors que le
programme officiel donne un total de 1151 000 francs. En loccurrence,
 93

le contrle ralis aura mis en vidence une insuffisance de capacit dune

zone de travail du programme officiel . Cette zone ne comporte que cinq
chiffres significatifs , un article dont la valeur totale tait de 106 000 francs
navait t valoris que pour 6000 francs. Or , en prsence dun fichier trs
volumineux , reprsentant une liste de plusieurs dizaines de pages , cette
erreur pouvait fort bien passer inaperu lors dun contrle manuel.

Bien entendu , la rcriture pour contrle de certains programmes ne peut

que rester une technique limite. Sa gnralisation conduisant en effet .
rcrire lapplication audite.

La Rvision Assiste par Ordinateur

La Rvision Assiste par Ordinateur est un outil informatique d'aide la

rvision des comptes, destin l'expert-comptable et leurs collaborateurs. Il
permet, aprs reprise de la balance du client, un suivi du dossier permanent,
une analyse des risques, la constitution du dossier annuel, la prparation des
feuilles matresses, et la passation d'critures d'oprations diverses.