Académique Documents
Professionnel Documents
Culture Documents
Aide Memoire PDF
Aide Memoire PDF
DINFORMATION AUTOMATISES
SUPPORT DE COURS
2
SOMMAIRE
Description Page
Introduction.3
5- Audit de lexploitation.32
INTRODUCTION
LA REVOLUTION TELEMATIQUE
Outre le fait dtre essentielle aux individus qui lutilisent pour des buts
personnels, linformation est aussi ncessaire pour ceux qui prennent les
dcisions dans les entreprises. Tous les gestionnaires doivent accomplir
certaines tches ou fonctions de base afin datteindre les objectifs fixs. Les
objectifs poursuivis diffrent, mais les aptitudes de base sont les mmes pour
tous. En dautres mots, tous les gestionnaires doivent savoir planifier, organiser,
diriger, recruter et contrler. Le succs de toute entreprise va dpendre de la
capacit des gestionnaires de mener bien ces diverses fonctions. Ces fonctions
seront dautant mieux ralises si les dirigeants son suffisamment informs.
Pourquoi ?
Parce que chaque fonction exige une prise de dcision et cette prise de dcision
doit tre accompagne dune information prcise, opportune, complte et
pertinente.
plus rentable que toutes les autres connues ce jour, et dans laquelle on peut
voluer sans danger dtre pris. Les consquences de cette criminalit dite
informatique, peuvent tre dsastreuses pour les entreprises.
Elle doit aussi sassurer quen cas de sinistre informatique, elle dispose de
mesures palliatives, pour garantir la continuit de sa production (exploitation)
informatique.
Cest donc la comparaison entre ce qui est observ (un acte de management ou
dexcution) et ce que cela devrait tre, selon un systme de rfrences.
Une socit est cre par un groupement de personnes anim dun but la
recherche du gain . Elle a une personnalit juridique distincte des actionnaires
ou associs. Sa direction est confie soit certains actionnaires, soit des non-
associs. Dans le souci de protger les actionnaires et aussi des diffrents
partenaires sociaux de la socit, la loi sur les socits a prvu un certain
nombre de contrles (audits) externes, dits lgaux, qui peuvent tre :
Pour le Directeur Gnral peu fru en la matire, il sagit souvent dun moyen
de voir un peu plus clair dans lactivit dun des services cls de son
entreprise.
Ainsi donc, sous ce mme concept se cachent des objectifs totalement diffrents.
la scurit.
10
Pourquoi ? :
Bien que les systmes soient la fois de plus en plus intgrs (bases de
donnes) et rpartis (rseaux), que les contrles soient de moins en
moins visibles, et les dcisions de plus en plus rapides, il est bien rare
que lon songe identifier le responsable dune information et celui du
contrle de celle-ci ;
2-1 DEFINITION
Le plan de scurit
dune part assurer la reprise du service dans des dlais acceptables, donc
trs courts et donc prvoir des procdures dgrades temporaires et au
moins un minimum vital, quelles que soient les circonstances
dautre part, rendre absolument impossible une dfaillance permanente et
donc prvoir un plan de survie.
12
Accidents
Pannes
Fraudes et sabotages
Destruction
Erreurs de conception et de ralisation
Erreurs de saisie ou de transmission
Etc. .
31 DEFINITION
Commission Utilisateurs ;
Dpartement Informatique ;
16
faire en sorte que le projet soit achev dans le temps et le budget impartis,
contrle de qualit,
Les CU prsentes dans chacune des Directions de lentreprise ont pour tche
principale de synthtiser les besoins de la Direction en terme de systmes
informatiques et dvaluer les avantages lis chaque systme demand.
Tous ces lments seront pris en compte pour la mise jour du Plan Directeur
Informatique.
17
DEPARTEMENT INFORMATIQUE
responsable du dpartement,
32 OBJECTIFS DE LAUDIT
33 TRAVAUX DAUDIT
Lauditeur vrifiera bien entendu que lorganigramme qui lui est fourni est
jour, et quil couvre lensemble des fonctions ncessaires la bonne marche du
service.
Les principes dun bon contrle interne conduisent ce que soient spars les
fonctions :
des utilisateurs,
du personnel de conception et de ralisation des applications (tudes,
dveloppement, maintenance des applications),
du personnel dexploitation (mise en exploitation des logiciels produits
par le personnel de dveloppement, sauvegardes des donnes, etc..) et
dadministration des donnes.
dfinis et formaliss ?
suivis ?
rgulirement mis jour ?
41 DEFINITIONS
Les tudes font partie des activits courantes du dpartement informatique. Elles
comprennent le dveloppement (conception, ralisation) et la maintenance (mise
jour) des logiciels.
42 OBJECTIFS DE LAUDIT
les projets dtudes sont correctement valus, suivis et les cots affrents
valus.
23
43 TRAVAUX DAUDIT
Si le nombre et le contenu exact des diffrentes phases dun projet peut varier
en fonction de la taille de lentreprise et de limportance des projets, il existe
un point de passage oblig dans tout projet : laccord entre les informaticiens
et les utilisateurs sur le contenu de lapplication dvelopper. Cet accord
sera imprativement formalis par un document crit, que nous appellerons
ici cahier des charges, et qui comprendra, en fait, lensemble des
spcifications fonctionnelles du futur systme dinformation.
24
Sans que la liste en soit exhaustive, on peut citer au titre des principales
spcifications contenues dans le cahier des charges :
Dans des petites ou moyennes entreprise ou bien pour des projets de moindre
envergure, les mthodes voques ci-dessus prsentent gnralement
linconvnient dune trop grande lourdeur. Il nest ds lors pas rare de
rencontrer dans des entreprises des mthodes maison. On imposera alors
25
ltude pralable,
le cahier des charges,
lanalyse technique,
les normes de programmation.
Une mauvaise formation des utilisateurs aura pour consquence, soit une
utilisation anarchique du systme, avec tous les risques que cela implique,
soit un dsintrt, voire un rejet, vis--vis de celui-ci. Dans les deux cas,
lapplication est voue une phase de dmarrage pour le moins agite.
La documentation de lapplication
les jeux dessai, qui permettent de simuler des cas rels : aprs des jeux
dessai conus et raliss par les informaticiens, qui permettront de
sassurer que les logiciels sont conformes au cahier des charges, il est
indispensable de prvoir des jeux dessai utilisateurs, qui valideront
ladquation de lapplication aux besoins, et seront en dfinitive
lultime contrle avant le dmarrage ;
La scurit
Un contrle par sondage des logiciels produits, quil soit ralis en interne(un
membre de lquipe de dveloppement ou du service informatique tant
affect, temps partiel, des tches de contrles) ou par des interventions
extrieures, permet notamment :
Lauditeur aura donc tout intrt procder, par sondage, un contrle sur
quelques programmes de la qualit et du respect des normes.
EXAMEN DE LA DOCUMENTATION
5 - AUDIT DE LEXPLOITATION
5-1 DEFINITION
Toutefois , dans les entreprises , tant donn leur complexit et leur charge de
travail de plus en plus importantes, les fonctions suivantes sont de plus en plus
exclues de lexploitation :
gestion de la scurit
Les principaux objectifs dun bon contrle interne dans ce domaine, sont les
suivants :
dautre part le programme objet prt tre excut, dans une bibliothque
des programmes objets ; en ralit , et plus prcisment , certains
programmes objets doivent tre assembls les uns aux autres avant
excution : il s agit de la phase ddition de liens (linkedit) qui
transforme les modules objets en modules excutables (load-modules).
35
deffectuer ,si ncessaire, des recherches ,en cas dincident, sur la date des
dernires modifications dun logiciel.
Rappelons tout dabord que la saisie des donnes peut tre ralise :
en temps rel, cest dire avec une mise jour immdiate des fichiers ;la
saisie est alors assure , soit directement par les utilisateurs , soit par des
services assurant une saisie de masse intelligente. Ainsi en matire
commerciale, les commandes seront saisies , selon les cas, par les vendeurs
eux-mmes , par leur secrtariat ( par exemple chaque jour aprs
centralisation des commandes de la journe) ou encore par un service
dadministration des ventes ; de la mme manire ,dans un tablissement
financier, les oprations seront saisies, soit par les oprateurs eux-mmes
,soit par un service de saisie et contrle, au sein dun middle office ou
dun front office .
36
Les principes dun bon contrle interne sont-ils respects dans les logiciels de
saisie des donnes ?
Les principaux lments dun bon contrle interne des procdures de saisie des
donnes sont :
le contrle par totalisation des lots de saisie, qui vrifie que tout document a
t saisi une fois et une seule fois, avec des montants exacts ;
ldition pour analyse de la liste exhaustive des donnes saisies et, le cas
chant dune liste par exception des donnes les plus sensibles .
nont pas t saisies des donnes qui nauraient pas d ltre( principe de
ralit) ;
37
tout traitement excut sans planification est soit rejet, soit, au moins,
mis en vidence pour contrle,
Sil est souhaitable, dans labsolu, que ces contrles soient pris en charge par
le service informatique, la pratique tend depuis plusieurs annes transfrer
la responsabilit aux services destinataires.
Il nen reste pas moins que ces contrles de cohrence fonctionnelle revtent
une importance primordiale.
Le souci majeur dans ce domaine doit tre dviter que les pupitreurs aient
prendre des initiatives quant au traitement des incidents , dans la mesure o
ils ne connaissent pas les chanes en exploitation et o la dfinition des
modalits de reprise nest donc pas de leur ressort.
Pour les petits systmes, une totale automatisation des reprises nest pas
envisageable. Il est prvu pour les situations urgentes, en cas dabsence du
responsable dapplication, de fournir au pupitreur un manuel dexploitation
dcrivant prcisment la procdure de reprise appliquer.
40
Par ailleurs, il existe de plus en plus, dans les grands centres , des outils de
contrles et dassistance au travail des pupitreurs : interdiction de transmettre
certaines commandes, rponses automatiques lordinateur ,etc.
Cette automatisation permet alors de focaliser lactivit des pupitreurs sur les
tches les plus dlicates, en particulier le traitement de certains types
dincidents. Corrlativement, elle saccompagne, toujours dans les grands
centres, dune centralisation des fonctions de pupitrage, avec la cration
dquipes ayant la responsabilit simultane de plusieurs units centrales.
Rappelons que ce journal de bord (printlog) retrace, sous une forme plus ou
moins dtaille (paramtrable) , lhistorique des commandes soumises au
systme dexploitation et des messages reus de celui-ci.
Chaque message vient ainsi alimenter un fichier, qui pourra tre utilis des
fins de recherche aprs tout incident dexploitation.
avoir la certitude que sont disponibles dans les bibliothques tous les
programmes objets utiliss,
fournir aux personnels dtudes et de production un maximum de procdures
automatises de gestion des bibliothques (mises en exploitation,
rapatriement dun programme de lenvironnement de production vers
lenvironnement de test..,)
43
3. Si le parc le justifie, existe t- il, un logiciel de gestion des bandes (ou des
cartouches) ?
Noublions pas enfin que, de nos jours, un plan de reprise srieux impliquera
quait t soigneusement envisag le back-up du rseau de
tlcommunications.
Il est bien rare que le site de secours permette de traiter les applications
dans les mmes conditions que le site initial. Il est donc indispensable de
dfinir les applications et les utilisateurs prioritaires, cest dire les
procdures de fonctionnement en mode dgrad .
Les contrats dassurances contre les risques informatiques peuvent tre ventils
en :
des contrats tous risques informatiques (TRI) qui recouvrent selon les
garanties, tout au partie des dommages lis des vnements accidentels,
des contrats extension aux risques informatiques (ERI) qui couvrent, selon
les garanties tout ou partie des dommages lis une utilisation non autorise
des systmes informatiques (actes frauduleux ou malveillants),
Cohrence technique
Cohrence fonctionnelle
Sil est possible de contrler la cohrence des donnes lors de leur saisie, ce
contrle nexclut pas une dgradation ultrieure de celle-ci, pour des raisons
diverses (erreur dans un programme en temps diffr, modification des
donnes non contrles, incident machine).
Il sagit donc vritablement dune fonction qui doit tre disponible tout
moment pour rpondre aux besoins des utilisateurs.
Lexistence dun rseau implique des risques accrus daccs non autoriss,
pour diffrentes raisons :
Une technique plus rcente consiste crer pour les fichiers mis jour en
temps rel des fichiers image sur un disque distinct de celui contenant les
fichiers originaux, et mis jour en mme temps que ceux-ci , ainsi en cas
dincident sur le disque contenant le fichier original, il sera possible de
poursuivre quasi immdiatement lapplication partir du disque image.
1. Les outils dinfocentre sont-ils bien adapts lutilisation par des non-
informaticiens ?
Le cas chant, dans les plus grands centres, plusieurs outils seront mis
disposition des utilisateurs :
Laccs aux outils dinfocentre doit tre limit aux utilisateurs habilits. De
plus, seule la consultation des donnes est le plus souvent autorise, non leur
mise jour.
Il est donc important que soient raliss des suivis des consommations par
application, par utilisateur, par service, afin de dceler dventuels abus.
Certains grands centres informatiques ont fait le choix, en particulier dans les
annes soixante-dix et aux dbut des annes quatre-vingt, de dvelopper en
interne certains logiciels de base : systme de gestion de fichier, systme
dexploitation, moniteur de tltraitement Ces choix, qui entranent parfois
des charges de travail considrables, taient alors justifis par la ncessit de
traiter des volumes dinformation trs importants avec des performances que
noffraient pas les logiciels de base disponibles sur le march.
On peut dailleurs se demander si les mmes erreurs que par le pass ne sont
pas nouveau commises, lorsquon entend parler de grands groupes qui
dveloppent, par exemple, leurs propres logiciels de gestion de rseaux
locaux.
55
6-1 DEFINITION
Des moyens techniques comprennent les matriels, les locaux, les rseaux et les
logiciels de base.
a) Matriels
Dans les systmes temps rel, en particulier industriels, il comprend aussi des
lments beaucoup plus particulariss, interfaces modes srie (synchrone ou
asynchrone) ou parallle, des bus avec leurs protocoles, des capteurs passifs
avec leurs conditionneurs, des capteurs actifs, des circuits dadaptation, des
amplificateurs (ordinaires, oprationnels, disolement, dinstrumentation, de
puissance), des convertisseurs analogique-digital et digital-analogique, des
actionneurs.
b) Locaux
c) Rseaux
Un rseau est compos dune partie matrielle gre par un ensemble logiciel
de gestion des protocoles, qui prsente le mme genre de contrainte temps
rel quun systme dexploitation, et de routeurs, serveurs, concentrateurs et
multiplexeurs qui sont des circuits lectroniques analogues des ordinateurs
spcialiss.
d) Logiciels de base
Le logiciel de base reprsente une part croissante du cot dun systme, donc il
conditionne la bonne utilisation. Cest toujours intrinsquement un systme
temps rel, mme sil ne supporte pas dapplication qui le soit.
Il a une importance primordiale pour la scurit des oprations, car il protge les
ressources (mmoires, informations transmises), assure les redmarrages, et
contrle les accs. Accessoirement, il permet la comptabilit de lutilisation des
ressources.
dimensionnement
Cest le plan qui, ayant dfini les applications, permet de dterminer le type des
matriels (centralis, distribu, reparti, multipostes, rseaux locaux et publics),
et les modes dexploitation (par lots - pour tre ancien, ce mode reste
parfaitement adapt dans de nombreux cas, dont souvent le traitement de la paye
-, ou interactif).
Les temps de rponse, particulirement dans les systmes temps rel bien
entendu, mais aussi les rseaux, doivent tre tudis attentivement, en gnral
par simulation ou essais en vraie grandeur. Les goulets dtranglement sont
souvent les accs aux priphriques et aux rseaux.
Surtout dans les systmes temps rels, cette maintenance matrielle nest pas
toujours facile distinguer de la maintenance logicielle, surtout de celle du
logiciel de base. Do en particulier lintrt dexaminer les contrats de
maintenance.
Le choix des supports physiques des fichiers demande le mme soin que celui
des processeurs, car ils conditionnent le dlai de lanalyse-programmation, et il
ne faut surtout pas compter trop juste : les informations elles-mmes noccupent
quune place rduite devant les logiciels, les tables dindex, les pointeurs, les
zones de manuvre et les zones mortes. De mme, le dbit de ligne est une
notion physique, trs suprieure au dbit rel.
3. Le matriel est-il fiable ? Quelle est la frquence des pannes ? Et quel est
limpact rel des pannes ?
Le matriel doit tre fiable ; au sens des systmistes, cela signifie que sil
fonctionne, les rsultats sont exacts ; cest pratiquement toujours le cas, et sinon
ils sont tellement aberrants que la dtection ne pose gure de problme. Pour les
ingnieurs, cela veut dire quil est disponible, quil ny a pas de dfaillance.
60
Limpact rel des pannes ne peut tre vritablement dtermin que si elles sont
enregistres, composant par composant, mesures par incidence sur le
fonctionnement densemble, avec le moment de la dfaillance et celui de la
remise en tat. Ce qui constitue un cahier des indisponibilits.
accs
incendie
etc..
Les aspects relatifs la scurit des rseaux sont prsents plus en dtail dans la
section consacre laudit de la scurit.
1. Adaptabilit ?
Un logiciel de base est adapt sil permet une utilisation correcte du matriel,
avec les langages et modes dexploitation choisis, pour supporter les
applications.
2. Evolutivit ?
4. Fiabilit ?
La fiabilit du logiciel de base, qui est toujours complexe car elle pose des
problmes de temps rel, est dautant plus importante quelle est
impntrable par lutilisateur, qui a beaucoup de peine rectifier les
consquences danomalies. Or, elle nest jamais parfaite, car un systme
temps rel peut tre robuste, mais nest jamais sans dfaut, car quelle que soit
leur dnomination, tous les logiciels de base sont des systmes temps rel.
62
5. Scurit et protection ?
6. Documentation
La documentation est encore plus importante que pour les matriels, ainsi
que sa mise jour.
Par ailleurs, et sauf lorsque les micro-ordinateurs sont connects en rseaux, les
meilleures protections demeurent ce jour les protections physiques :
verrouillage par cl ou carte magntique, ou tout simplement fermeture cl des
bureaux et armoires.
4. Des mesures spcifiques sont-elles prises pour limiter les risques de vol des
micro-ordinateurs ?
Dans les grandes entreprises, les risques de vol de matriels doivent demeurer
prsents lesprit. Ce risque est dautant plus important quoutre le micro-
ordinateur lui-mme, certains composants annexes sont susceptibles dtre
drobs : logiciels, cartes dextension diverses, etc.
Des contrles par sondage de labsence de logiciels illicites sur les micro-
ordinateurs sont donc prvoir.
Ces logiciels sont susceptibles de dtecter la prsence de virus sur les micro-
ordinateurs, permettant ainsi de les dsactiver avant quils naient eu le temps de
nuire.
66
7-1 DEFINITIONS
Elles se composent :
Laudit des applications a pour objet de se prononcer sur leur qualit. Il sagit
plus particulirement, dapprcier :
Autrement dit, un logiciel peut tre fiable, mais mal utilis, ou linverse, bien
utilis mais peu fiable.
Il nen reste pas moins que la fiabilit dune application informatique rsulte de
la conjonction dun bon logiciel et dune utilisation satisfaisante.
68
Imaginons par exemple un logiciel de gestion de stock qui fournit chaque mois
un tat des stocks valoriss en prix moyen pondr. La ncessit de fournir les
lments dun contrle priodique des tats dits implique que soit prvue
ldition dune liste mensuelle comprenant le stock initial et le dtail des
mouvements du mois valoriss, justifiant ainsi le stock final.
En dautres termes ltat des mouvements de stock garantit la continuit du
chemin de rvision, cest dire la possibilit de faire le lien entre les
informations lmentaires saisies et les donnes restitues. A contrario,
labsence de cet tat interdit toute possibilit de contrle par les utilisateurs du
mode de valorisation des stocks.
Lapplication ne saurait donc tre considre comme fiable si ldition de la liste
des mouvements de stocks na pas t prvue dans le cahier des charges.
Dans la grande majorit des cas, les risques de pertes lies des erreurs de
ralisation ou dutilisation des logiciels sont infiniment plus importants que les
risques de pertes lies des oprations malveillantes ou frauduleuses. cest donc
naturellement la recherche derreur qui sera gnralement privilgie par
lauditeur dans son approche.
Des travaux ddis cette recherche seront alors raliss. Ainsi, dans un
tablissement financier, on peut envisager lexcution rgulire dun progiciel
spcifique de balayage et danalyse des mouvements sur les comptes ordinaires,
afin de dceler des oprations suspectes, susceptibles de cacher un dtournement
de fonds.
De mme, un logiciel fiable un instant donn, mais mal document, verra son
esprance de vie notamment rduite. En effet, sa capacit dvoluer sera trs
limite
Il sagit de :
La capacit des logiciels excuter les traitements prvus dans les dlais en
tenant compte des ressources disponibles,
1. Interview
3. Jeux dessai
Le jeu dessai consiste crer un environnement de test, incluant une copie des
logiciels en exploitation et des fichiers spcifiques.
Avant dtre une technique daudit, les jeux dessai sont dailleurs avant tout un
moyen pour les utilisateurs deffectuer la recette dune application
pralablement sa mise en exploitation.
Technique dune grande efficacit, les jeux dessai sont pourtant rarement
utiliss en matire daudit. Leur principal inconvnient rside en effet dans la
lourdeur de leur mise en uvre, impliquant souvent des charges de travail
prohibitives la fois pour les informaticiens qui crent la base de test et pour les
auditeurs, qui doivent avoir une connaissance parfaite de lensemble des
fonctionnalits.
elle permet de tester les logiciels, mais non le contenu des fichiers en
exploitation. Or, nous avons vu que les fichiers peuvent receler des
anomalies sans que les logiciels soient eux-mmes errons ;
il est difficilement possible dtre exhaustif dans les cas tests par le jeu
dessai ;
Lapproche, cible sur une application, sera dailleurs plus prcise quun
contrle de lensemble du site.
Le principal intrt de cette approche, outre quelle peut tre ralise dans le
cadre dun budget limit, rside dans la bonne prsomption quelle peut donner
de la qualit des logiciels. Labsence de mthodologie de dveloppement, la
faiblesse de la documentation, labsence de suivi des incidents, un grand laxisme
dans les autorisations daccs, une politique de sauvegarde mal dfinie, sont
autant de signes inquitants, dont il est bien rare quils ne se matrialisent pas
par de graves carences dans lapplication.
Sa principale limite est quelle ne fournit que des prsomptions, jamais des
carences avres.
En outre, limplication des utilisateurs est dautant plus importante que des
contrles de cohrence appropris leur niveau sont de bien meilleurs garants
de la fiabilit des logiciels que la plupart des contrles techniques internes au
service informatique. En dpit dune ide trop rpandue, les utilisateurs sont loin
dtre dmunis, et ont entre leurs mains les moyens de dceler la grande majorit
des dfaillances dun logiciel, que celles-ci trouvent leur origine dans une erreur
de programmation ou dans une mauvaise utilisation du systme. Encore faut-il
pour cela quils naient pas renonc assumer toute responsabilit au moment
de la mise en place des traitements automatiss. Trop souvent en effet, soit par
excs de confiance devant un Dieu informatique infaillible, soit par
ngligence (linformatisation est un excellent prtexte pour ne plus assumer ses
propres responsabilits), les utilisateurs on tendance ne plus raliser le
minimum de contrles indispensables la fiabilit densemble de lapplication.
somme, des critures saisies = somme des critures restitues sur les
brouillards de saisie (listes journalires rcapitulatives des critures
saisies) ;
somme des critures listes sur les brouillard du mois = totalisation des
critures sur les journaux comptables du mois ;
totalisation des critures listes sur les journaux comptables du mois =
totalisation des critures du mois sur les grands-livres ;
cumul de dbut de priode des critures sur le grand livre + total des
mouvements du mois = =cumul de dbut de priode suivante (en dbits et
en crdits) ;
solde des comptes du grand-livre = solde des compte de la balance ;
Cette dfinition comporte trois lments : change - donnes - lectronique. L'change est la
fonction remplie. La donne est le contenu de la fonction, c'est--dire l'information vhicule.
Enfin, l'lectronique est le moyen de transmission des donnes.
En d'autres termes, l'EDI permet la transmission de donnes entre ordinateurs, selon un format
normalis. Concrtement, cette transmission peut concerner des commandes, des avis de
rception, des factures mais aussi des informations financires, des paiements, des balances
comptables et bien d'autres messages.
EDIFACT (Electronic Data Interchange for Administration, Commerce and Transport) / (change de Donnes
Informatis pour l'Administration, le Commerce et le Transport)
Rgles des Nations unies concernant l'change de donnes informatis pour l'administration, le commerce et le
transport. Elles se composent d'un ensemble de normes approuves l'chelon international, de rpertoires et de
directives pour l'change lectronique de donnes structures, en particulier celles concernant le commerce des
biens et services entre systmes informatiques indpendants.
77
Les technologies EDI vont modifier profondment les structures et les organisations des
entreprises. Lexpert-comptable doit, ds aujourdhui, prendre en compte cette volution qui
concernera ses clients et son propre cabinet. Il aura vrifier des comptabilits intgrant
lEDI, traiter des volumes dinformations de plus en plus importants, et se verra imposer par
ses partenaires des contraintes pour changer linformation comptable et financire.
En France, l'Ordre des Experts Comptables (OEC) s'est impliqu trs vite dans les travaux
d'laboration de normes EDIFACT pour les messages comptables.
L'association EDIFICAS (Echange de Donnes Informatis en matire Financire,
Informationnelle, Comptable, et d'Audit, Analytique et Sociale) a t cre par l'OEC en
collaboration avec les socits de services qui uvrent habituellement avec la profession
comptable. Cette association dveloppe des normes pour assurer des changes de donnes
informatiss dans des conditions de scurit, d'efficacit, de rapidit qu'autorise l'EDI.
Les buts sont de garantir une prennit des informations (changement des systmes) et des
gains de temps (compatibilit entre les diffrents systmes, suppression des saisies
redondantes).
Le rle d'Edificas est aussi de promouvoir les EDI auprs de la profession comptable et
d'assurer la liaison avec d'autres groupes sectoriels (banques, SSII, CGA...).
Face la croissance du volume des informations traites par les entreprises, une
rorganisation des tches va tre ncessaire. Le client reoit ds aujourd'hui un grand nombre
d'informations via EDI, qui sont traites automatiquement, informatiquement et donc
collectes, classes et imputes comptablement.
Les missions de tenue de comptabilit sont partiellement prises en charge par l'EDI. Ce
transfert des traitements vers l'informatique permet de gagner du temps et de la fiabilit dans
le systme comptable (vite les erreurs de saisie).
Dans un audit comptable et financier classique, la prsence de lEDI ne modifie pas les
objectifs et les grands axes des mthodes de rvision des intervenants, mais le programme doit
sadapter et doit inclure ltude du dispositif EDI sans pour autant en devenir lobjet principal.
Lors de la prise de connaissance, la comprhension du systme et des contrles internes
amnera lauditeur dterminer les risques spcifiques quinduisent les systmes
informatiques utilisant lEDI.
C'est lors de la phase de contrle des comptes que le travail de l'auditeur change le plus.
Lors de l'tablissement du programme de vrification des comptes, il faut identifier les
comptes qui sont affects par lEDI et les justificatifs qui ont disparu. L'auditeur doit disposer
de la liste de tous les documents dits ou ditables sur support papier et se former aux outils
79
d'interrogation des bases de donnes qui le concernent. Les contrles qui s'appuient sur
l'examen physique des pices deviennent impossibles. Ils doivent tre remplacs par la
vrification des messages d'accus de rception conservs par le systme.
Dans un milieu EDI, les contrles portent plus sur la validit des chanes de traitements que
sur les pices comptables elles-mmes. Ainsi, si la fiabilit est dmontre au niveau des
traitements automatiss, alors 100 % des informations se trouvent valides !
Il sagit de :
Les deux derniers points sont importants pour sassurer que le systme EDI fonctionne
correctement.
Le module de certification EDI est mis en uvre par des spcialistes. Il permet de vrifier que
le systme respecte la norme utilise et que les modalits dapplication du contrat
dinterchange sont respectes.
Les programmes de confirmation prsentent lavantage dune rponse directe de partenaires
extrieurs lentreprise, et de faon automatise. Cela permet un contrle rgulier des
procdures en place et une dtection rapide des anomalies de traitement ou de
dysfonctionnement des applications. Pour lauditeur, cette procdure lui enlve la gestion
lourde des circularisations effectues manuellement pour un rsultat identique.
80
correctement planifi ;
Il est difficile de dfinir une norme quant la dure et aux modalits pratiques
exactes de la phase de prparation de la mission. Ainsi, un audit externe aura
pour objectif, pour des raisons commerciales, de figer le plus rapidement
possible une premire proposition dinterventions, quitte prvoir dans celle-ci
une phase dinvestigations pralables lissue de laquelle les concours de la
mission seront prciss.
Il nen reste pas moins que certains travaux prparatoires sont indispensables au
bon droulement de la mission. Dune manire gnrale, il sagit de lensemble
des investigations ncessaires llaboration de deux documents pralables au
dmarrage de la mission elle-mme, lun usage externe, lautre usage interne.
Les objectifs recherchs dans une mission daudit informatique pouvaient tre
trs varis : examen du contrle interne de la fonction informatique, examen de
la scurit physique, audit des protections daccs, contrle des mthodes de
dveloppement, audit des performances, audit dune application spcifique
b) Le primtre de la mission
c) La priode dintervention
f) La constitution de lquipe
lorganigramme du service,
la description de la configuration matrielle,
une description succincte des logiciels, la liste des progiciels,
les principales notes relatives lactivit informatique dans
lentreprise, et lorganisation du service,
le plan informatique
le budget du service informatique,
les comptes rendus des dernires runions du comit informatique.
Il contient une ventilation des charges de travail prvoir pour chaque module
daudit.
Prsentation schmatique
Prise de connaissance
du systme
Evaluation thorique
du contrle interne
Test de
permanence des
points forts
Non
Point fort
confirm
CONTROLE FAIBLESSE DE
INTERNE CONTROLE
SATISFAISANT INTERNE
RECOMMANDATIONS
86
Une qualit premire dun bon auditeur est de valider systmatiquement ses
conclusions. Il nest pas question ici de dcrire pour chaque point daudit les
procdures dvaluation. Celles-ci dcoulent dailleurs delles-mmes dans la
plupart des cas.
Voir exemple en annexe
87
Lorsque des faiblesses graves ont t recenses, il est tout fait souhaitable que
les auditeurs puissent assurer un suivi de la mise en uvre des recommandations
quils ont formules. Ce suivi pourra notamment tre assur :
Il existe sur le march des diffrentes mthodes dont lobjectif est de fournir
une valuation globale de scurit et des risques informatiques au sein dune
entreprise.
le choix des moyens dfinit les moyens mettre en uvre pour amliorer la
scurit de manire cohrente ;
Ils trouvent leur utilit dans la plupart des missions confies lauditeur
informatique. Ainsi :
etc..
des progiciels daudit. En ralit, certains de ces langages ont dautres objectifs
de base, et ne sont quaccessoirement utiliss en matire daudit :
Si cette approche peut paratre surprenante, elle permet de dceler des erreurs
bien inattendues. Ainsi, la rcriture dun programme de valorisation de
stock aboutira t elle une valeur de 1251000,00 F alors que le
programme officiel donne un total de 1151 000 francs. En loccurrence,
93